別讓信息安全成智慧城市建設的短板
發(fā)布時間:2015-04-16在剛結(jié)束的2015年“兩會”上,,對信息安全,,包括個人信息,、網(wǎng)絡安全等進行立法又一次被眾多與會的全國人大代表和政協(xié)委員們提出,,在國家網(wǎng)絡信息安全、個人信息安全保護等方面,,都有推動立法的呼聲,。全國人大代表及政協(xié)委員們呼吁通過建立健全法律法規(guī)等途徑確保信息安全,而2015政府工作報告中也明確指出,,要建立全國統(tǒng)一的社會信用代碼制度和信用信息共享平臺,,依法保護企業(yè)和個人的信息安全,。同時,,全國政協(xié)第十二屆全國委員會第三次會議上也宣布,網(wǎng)絡安全法已被列入了相關立法計劃,。
這說明了整個業(yè)界都已意識到了信息安全的重要性,,并給予了高度重視,。智慧城市建設以物聯(lián)網(wǎng)、云計算等大數(shù)據(jù)技術體系為支撐,,數(shù)據(jù)信息巨大,,并涉及到政務、商業(yè),、生活等方方面面,,一旦出現(xiàn)信息泄露、數(shù)據(jù)丟失等安全問題,,后果將不堪設想,。因此,智慧城市的信息安全問題不容忽視,。我國近年來智慧城市建設實踐中,,信息安全作為重要一環(huán),在進行整體規(guī)劃和頂層設計之時,,并未被忽視,,各省市的智慧城市規(guī)劃設計大多都建立了完善的體系系統(tǒng),在信息安全方面也都有比較完善的規(guī)劃設計,。
由于網(wǎng)絡空間的特殊性,,決定了信息安全將是至始至終伴隨信息化建設而生的艱巨任務。一個全面的信息安全體系,,包括網(wǎng)絡信息系統(tǒng)安全測評,、風險評估及技術服務、信息安全認證,、信息安全管理等多項工作組成,。只有經(jīng)過精心的頂層設計和完善的基礎建設,并且從技術和管理兩個方面共同著手,,這樣的信息安全體系才是智慧城市以及我們國家全面信息化進程健康推進的基石,。
在筆者所參與的一些智慧城市建設實踐當中,在規(guī)劃設計層面的問題被解決的同時,,在管理與技術方面的問題,,往往還是非常明顯的。最近,,筆者所在的上?;ヂ?lián)網(wǎng)軟件有限公司在為一家大型園區(qū)管理企業(yè)開發(fā)建設信息安全體系時發(fā)現(xiàn),客戶在信息安全管理方面,,在思想觀念和業(yè)務實踐中都還存在很多的盲區(qū)和死角,。例如在討論數(shù)據(jù)安全時,客戶最關心的是加密,、防外部攻擊等技術手段,,但對健全IT設備,、機房等的操作、管理制度卻還停留在非常初級的階段,,對設施設備的安全保障也只知道應該保障供電安全,,對防水、防風,,以及機房等關鍵設施的安全保障,、實時監(jiān)控都還只有模糊的概念,需要技術供應商提供非常詳細的解決方案,。
實際上,,由于物聯(lián)網(wǎng)、云計算等新興技術的高速發(fā)展,,相應的信息安全保障技術還沒有達成十分成熟的程度,,智慧城市的建設中還存在著許多相對比較脆弱的問題。例如,,對智慧城市而言,,云端數(shù)據(jù)資源的高度共享性,使得云平臺在惡意軟件作用下,,產(chǎn)生數(shù)據(jù)丟失,、IP和身份竊取、金融欺詐和盜竊等隱患,。
又比如分布式拒絕服務攻擊(DDoS)也具有快速摧毀整個云基礎架構(gòu)的潛力,,并且當云平臺受到攻擊時,所有相關賬戶也將牽涉其中,,導致該平臺服務的用戶受到不可估量的損失,。比較典型的案例就是2010年的蠕蟲病毒震網(wǎng)(stuxnet),其感染了全球超過45000個網(wǎng)絡,,給各國的電力部門帶來了巨大的威脅和破壞,。
目前,智慧城市建設的技術供應商都在不斷強調(diào)事前加密,、安全監(jiān)控等手段,,加強對云服務的安全保障,但信息基礎設施安全保障體系仍需要通過長期的應用和發(fā)展慢慢完善,。而加強管理手段,,是這一保障體系非常重要的一環(huán),通過管理手段的優(yōu)化,,提高管理水平,,也是在技術手段力有不逮之時,補強短板的最好方法,。建立合理,、有效的安全組織架構(gòu),,配備和設立安全決策,、管理,、執(zhí)行以及監(jiān)管的責任人、崗位和機構(gòu),,明確角色與責任,,是比起技術手段來更易實現(xiàn)的方法,也是迫切需要建立的管理手段,。此外,,建立信息安全等級評測和保護體系,加強信息安全應急處置能力等,,都是在管理方面需要提高的內(nèi)容,。
當然,另一方面,,技術手段也具有同樣的重要的作用,。智慧城市建設運用多種新型IT技術手段,而這些技術的快速發(fā)展,,往往遠超決策者和建設者們的想像,,使得信息安全經(jīng)常落后于技術發(fā)展。這就要求我們在規(guī)劃設計和建設時,,要充分考慮到技術的前瞻性,,為整個智慧城市體系的升級、拓展留有足夠的余地,。
在智慧城市信息核心技術上,,我國已經(jīng)開始逐步擺脫早先由于IBM、Oracle和EMC等業(yè)界巨頭在智慧城市建設領域特別是業(yè)務信息系統(tǒng),、數(shù)據(jù)庫管理和業(yè)務解決方案市場占據(jù)主導地位而產(chǎn)生的“IOE”依賴癥,,包括“BAT”、聯(lián)想,、浪潮等國內(nèi)企業(yè),,已經(jīng)在這一領域慢慢趕了上來,并在國內(nèi)的智慧城市建設市場占據(jù)了一席之地,。但在核心技術的基礎上,,應用層的信息安全技術仍略顯不足,在信息終端,、數(shù)據(jù)監(jiān)控,、設備監(jiān)控、存儲安全等領域,,技術創(chuàng)新的腳步仍然更不上核心技術的高速發(fā)展,。
如前文提到的那家大型園區(qū)管理企業(yè)的信息安全體系建設中,,在信息安全監(jiān)控軟件上,從最初的終端監(jiān)控應用軟件開始,,上?;ヂ?lián)網(wǎng)軟件有限公司在兩年多的規(guī)劃建設期里,持續(xù)的對應用軟件做著升級更新,,不斷配合新技術,、新設備的應用進行技術創(chuàng)新,形成了以724服務器云監(jiān)控平臺產(chǎn)品為核心的系列信息安全監(jiān)控應用軟件,。然而即使是這樣,,在客戶的應用實踐和與業(yè)界的交流探討中,筆者仍然發(fā)覺存在一些信息安全方面需要再行提高和加強的應用點,,這也說明了在技術層面上,,信息安全建設將會是隨著智慧城市建設的推進長期的過程。
作為新一代城市生活形態(tài),,智慧城市能走多遠,,取決于信息安全走多遠。智慧城市為人們構(gòu)建了一幅美好的藍圖,,但在建設智慧城市的過程中必須要高度重視信息安全,,只有建立完整的信息安全保障體系,有效保障各類信息,、數(shù)據(jù)的安全,,建設安全可靠的智慧城市,才能真正把智慧城市建設得更加美好,。?
