啟明星辰的安全觀:智慧城市 安全先行
發(fā)布時間:2017-03-13 12:41
如果一名黑客利用勒索軟件控制城市供水系統(tǒng)��,或通過增加氯的濃度�,污染城市用水�����,最后索要贖金���。你認為會出現(xiàn)什么樣的結(jié)果����。不管怎樣,一旦發(fā)生這樣的事情��,將把整個城市市民置于危險境地��。這不是科幻小說���,它是近期美國一所大學研究人員的成果。
除了這些����,最近受到廣泛關(guān)注的雅虎3次數(shù)據(jù)泄露、低價即可購買個人全部信息等事件都與網(wǎng)絡(luò)安全息息相關(guān)�����。網(wǎng)絡(luò)安全說大了�����,關(guān)系國家安全����,說小了,與我們每個人的日常生活息息相關(guān)���。在北京召開的2017兩會�,作為信息安全行業(yè)領(lǐng)導者的啟明星辰,其CEO嚴望佳提出了涵蓋企業(yè)首席信息安全官����、移動支付安全和智慧城市安全的議案。
關(guān)鍵信息基礎(chǔ)設(shè)施成為關(guān)注重點
嚴望佳提出了《關(guān)于以首席信息安全官為關(guān)鍵責任人構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施保護責任的提案》���。提案指出����,“防范境內(nèi)外的網(wǎng)絡(luò)安全風險和威脅��,保護關(guān)鍵信息基礎(chǔ)設(shè)施免受攻擊���、侵入�����、干擾和破壞”��。的確���,關(guān)鍵信息基礎(chǔ)設(shè)施影響重大�����,事關(guān)人們的日常生活��。
假如在冬天,城市供暖系統(tǒng)遭黑客劫持�,暖氣被切斷,即使短短幾個小時�,就能影響數(shù)千萬居民,危害重大����,這將給城市生活造成巨大打擊。
“如果使用勒索軟件攻擊���,一般是針對個人��,當然軟件和技術(shù)手段可用在基礎(chǔ)設(shè)施上”,啟明星辰的首席戰(zhàn)略官(CSO )潘柱廷說�,“如果用勒索軟件鎖住你的電腦��,勒索一定錢財����,影響還在個人��。但是通過控制關(guān)鍵基礎(chǔ)設(shè)施�����,比如自來水����、電力����、暖氣等,那就不是普通的勒索行為��,這已經(jīng)屬于妨礙公共安全的嚴重性質(zhì)����。勒索個人,個人可以選擇妥協(xié)或?qū)?而勒索控制公共設(shè)施�����,這就無法退讓���,必須用國家強力給予打擊�����?�!?/p>
當今的攻擊更加復雜 從單一層面上升到MCP三個層面
對于安全問題���,不僅需要技術(shù)手段來防御和保障�,更需要每個人提高安全意識���。意識這個東西最難培養(yǎng),打個比喻:假如你每天宣傳人們需要買車險�,這樣才能保障安全,減少損失���,那么人們不一定有車險的意識���。
事實上,購買保險需要花費人們的時間����、金錢和精力,這是人們不愿付出的。如果沒有遭遇交通事故����,大多數(shù)人們還是不會主動去購買車險。而一旦發(fā)生一次交通事故���,人們就會轉(zhuǎn)變態(tài)度�,積極購買車險�����。安全意識也是同樣的道理��,你每天宣傳�����,還沒有受到1次攻擊���,看到損失有效��。
潘柱廷表示���,整個安全問題可以劃分為三個層面�����,稱為MCP��?�!捌渲?���,M代表人的意識��,C是系統(tǒng)���,P則是現(xiàn)實��。社會上發(fā)生侵害人們資金的三個手段,就是與MCP對等的�,”他說,“最開始時�,直接偷你的錢,其次��,變成通過欺騙影響你的意識和決策來侵害你的錢�,這就是詐騙���,稱為M。有了計算機以后�����,手段變成利用攻擊技術(shù)�����,比如黑掉你的銀行賬戶和計算機�、偷盜你的銀行密碼等?���!?/p>
現(xiàn)在,網(wǎng)絡(luò)攻擊把MCP變成一個矩陣���,對你進行意識���、系統(tǒng)和現(xiàn)實三個層面的攻擊。將來��,攻擊面和攻擊效果可能出現(xiàn)在意識層�、計算機層和現(xiàn)實層����。
對企業(yè)來說�,除了要加強安全保障和防護外,更重要地是把安全責任具體落實�。以企業(yè)為例,雖然不斷提到應該設(shè)立首席信息安全官���,但是連CIO都不常見��。企業(yè)安全到底有誰負責����?潘柱廷提到了現(xiàn)實中存在的情況��,“說全員負責���,結(jié)果沒人管;還有一把手負責�,他的事情太多��,也管不了;甚至由業(yè)務(wù)部門負責也變成沒人管���?���!?/p>
對這個問題�����,他提出自己的建議�,企業(yè)安全不應僅僅口號式地說由全員、一把手和業(yè)務(wù)部門負責��,而是應該由很明確的內(nèi)部專職負責人和部門負責和監(jiān)督��。全員���、一把手��、業(yè)務(wù)部門都有其必須承擔的責任����,但還需這個專職的關(guān)鍵存在����。另外,最好再把安全保險加入進來�����。
建設(shè)智慧城市 安全先行 打造堡壘式的構(gòu)建方式
最近幾年,智慧城市作為一個新興事物���,受到極大關(guān)注�����,嚴望佳提出了《關(guān)于智慧城市信息安全建設(shè)的提案》�。如果說���,對個人和企業(yè)來說��,安全問題不是很復雜��,但是一旦上升到整個城市��,那么面臨的安全風險將是未知的����。
未來的智慧城市涵蓋智慧交通����、智慧醫(yī)療、智慧系統(tǒng)以及智慧醫(yī)院等方方面面����,可以稱之為系統(tǒng)性的大工程。同時���,智慧城市建設(shè)中還涉及到大量的數(shù)據(jù)收集���、存儲、管理和分析��,如何保證數(shù)據(jù)安全成為新焦點�����。
對此���,潘柱廷說:“智慧城市并不是新的技術(shù)形態(tài)��,而是新技術(shù)應用模式�。這個時候��,我們看待的主體就發(fā)生了變化,從個人��、機構(gòu)變成一個區(qū)域����、城市,就像影響到整個區(qū)域和民生的自來水�、煤氣?��!?/p>
現(xiàn)實情況下���,城市信息化之后,安全保護非常少���,基本屬于“裸奔”�����。并且���,大家對這件事情的認識又非常弱。他給我們舉了一個例子:如果找一個施工圍欄�����,扛著一個梯子去那,到現(xiàn)在任何一個交通攝像的地方�。用圍欄一攔��,上去裝東西�,沒有人會阻攔你?!爸腔鄢鞘信c物聯(lián)網(wǎng)密切相連,MCP的P是暴露在外���,設(shè)備�����、聯(lián)線可以直接進入你的信息系統(tǒng)���,這是目前智慧城市面臨的問題?���!?/p>
此外,智慧城市的安全投入沒有跟上�����。智慧城市擁有大量的數(shù)據(jù),在數(shù)據(jù)的采集�����、存儲和保護過程中�,智慧城市安全投入的比例與現(xiàn)在成熟機構(gòu)的投入根本差一個數(shù)量級。
在智慧城市中�,由于聯(lián)網(wǎng)設(shè)備的大量增加,現(xiàn)實中存在大量的物與物���、物與人和人與人的連接�,如果黑客攻擊一個設(shè)備����,后果會是“滾雪球式”嗎?對此�,潘柱廷說:“安全問題歸根結(jié)底是內(nèi)外問題,存在內(nèi)部和外部兩個方面��。如果有人說�,云計算或之后邊界消失,那是不懂安全的說法��。”
他甚至以西游記為例����,如果孫悟空給唐僧畫個圈(西游記中,圈具有保護作用)�,這是個人問題;如果他把八戒和沙僧都放在里面,那就成為一個機構(gòu)(西天取經(jīng)團)�����。
“當智慧城市出現(xiàn)后�����,這不是一個可以很容易被圈起來的機構(gòu)或區(qū)間�����,自己完全形成了一個供給����,區(qū)間變成空間�����,呈現(xiàn)立體化,”潘柱廷說����,“區(qū)間邊界清晰,但是空間不好劃分����,你可能會覺得網(wǎng)絡(luò)必須要清楚你的位置,比如說交管局一出線已經(jīng)是不可控的�,很難處于控制下?����!?/p>
