智慧城市安全問題初探

資訊安全與網絡安全密不可分，在智慧城市建設過程中，二者往小處說有可能涉及個人隐私洩露，往大處說，事關危機處理、決策判斷。是以，無論個人、企業還是國家機構都提高了對它們的重視程度，增加了資金和技術方面的投入。

智慧城市是多應用、多行業、複雜系統組成的綜合體。多個應用系統之間存在資訊共享、互動的需求。而雲計算恰好可以打破資訊孤島，充分利用大資料來實作各個系統之間的協同運作。但雲計算是需要無處不在的網絡連接配接和随時随地可用的大資料來支撐的。是以，在遍布智慧城市每一個角落的網絡，大資料為智慧城市各個環節的運作提供強大支援。那麼，智慧城市建設中可能存在哪些安全隐患，就此筆者近期采訪了卡巴斯基中國區售前經理魏文佳，聽取了他在智慧城市安全方面的見解。

在智慧城市中，很多資料并不是人工提供的，而是依靠探針、物聯網裝置等聯網裝置自動收集提取的。在這些資料收集過程和上傳過程中，資料是否會洩露?答案是肯定的。魏文佳表示：“資料在收集過程中會牽涉到很多環節，比如說兩端的應用程式、裝置、網絡，以及使用者。應用程式會有編碼方面的漏洞，裝置會有管理方面的漏洞，網絡會有傳輸協定之間的漏洞，而人則可能受到各種社會工程學(社交工程學)方面的欺騙。目前諸多安全廠商針對這類問題所提供的解決方案主要是anti-apt、滲透測試、應用程式評估，以及安全意識評估等。當然普通使用者，也可以通過安裝個人版的安全軟體、訂閱一些資訊安全方面的公衆号、提升安全保密意識等方法，來確定自己的個人資訊不被盜用、濫用。”

收集資料的過程如此，那在資料傳輸和分享的過程中又會有哪些風險呢?魏文佳認為：“分享的目标是什麼、通過什麼管道分享、資料是否需要模糊處理、最終分享範圍如何控制、如何確定資料分享過程中的隐秘性，甚至分享後的資料如何回收。這些環節都可能存在漏洞。這些漏洞有些是技術層面的，有些是與流程相關的。”

他舉例說明：“當我們在一個智慧城市項目中擷取了大量資料的同時，也意味着我們獲得了一定數量的财富，當然這可能是隐性的。但是當我們要再次利用這些資料，提供給其他部門、其他企業進行二次分析時，就會涉及到諸多問題——是否允許分享，允許分享哪些資料，如何定義資料的等級，誰來監管資料的分享過程，誰來確定資料不會被再次轉售。而涉及技術層面的有：通過什麼加密手段來確定分享過程的保密性，通過何種技術對資料進行模糊處理，同時又確定這些資料不會被反向還原，如何確定資料回收過程的完整度。這些問題不僅需要安全廠商們去思考解決，也需要政府相關部門協調資源，通過一些法律、制度來監督。”

資料不僅在收集和分享過程中會受到安全威脅，在資料存儲過程裡也可能落入陷阱。你以為資料存儲在伺服器資料中心就萬無一失了嗎?答案是否定的。據卡巴斯基調查，2016年6月，xdedic地下黑市販賣全球超過7萬台被感染伺服器通路權限，有些最低售價隻有6美元。絕大多數的伺服器在購買其通路權限之後，就可以獲得該伺服器存儲的所有資訊。

魏文佳在看到這些全球被感染的伺服器名單之後發現：“被感染的伺服器行業分布的前三類是營運商、教育、網際網路行業。它們都有一些共通點——伺服器數量多，應用複雜，終端使用者水準相差巨大。”

那到底有什麼好方法可以幫助企業使用者抵禦這些威脅呢?雖然這些行業每年在資訊安全上預算并不低，但是絕大多數花費停留在“防禦”這個環節，當安全問題真正發生并在企業内部不斷擴散時，企業更急需解決的是“如何檢測”和“如何響應”這兩大問題。魏文佳表示，卡巴斯基實驗室已經具備幫助使用者應對這些事件的解決方案，在今後一段時間内，卡巴斯基會持續與這些遭受感染的使用者保持接洽，幫助它們構築完整的安全陣線。

如今都在說軟體定義存儲、軟體定義網絡、軟體定義某某……那麼是不是說軟體定義安全可以完全取代硬體安全産品呢?如果答案是肯定的，為什麼還有衆多硬體安全廠商能夠生存下來?對此筆者非常好奇，并就此問題與魏文佳進行了探讨。魏文佳認為：“軟體可以說是硬體的核心，但是不可能完全替代硬體産品。使用者的安全架構并非一朝一夕就能改變，每個行業也有其特點，或許未來某一天硬體會逐漸碎片化，絕大部分的硬體将僅僅成為一種或者多種軟體的承載體，但是就目前的環境而言，兩者仍是‘最佳拍檔’。”

卡巴斯基長久以來始終在安全軟體領域發展，這是不是就說明軟體可以解決所有安全問題呢?卡巴斯基有沒有考慮發展安全硬體産品?針對筆者的疑問，魏文佳表示：“卡巴斯基目前仍然在安全軟體領域發展，但是我們最新的幾項解決方案也逐漸嘗試與硬體相結合，這種結合不僅僅是利用硬體解決安全問題，也包含了解決硬體自身的安全問題。例如我們的工控安全解決方案，就是解決企業工控環境中硬體裝置所遭遇的威脅。”

上述安全風險僅僅是智慧城市建設中明顯存在的一部分風險，還有一些安全漏洞和風險是隐性的，難以覺察的。大資料和物聯網技術互相依存，共同支撐智慧城市的良性運作。是以，需要更多的技術标準和相關法律法規來確定它們的安全，但這絕不是一蹴而就的，需要在長期實踐中不斷摸索。

====================================分割線================================

本文轉自d1net（轉載）