別讓信息安全成為智慧城市建設(shè)的一塊短板

　　在剛剛結(jié)束的2015年“兩會(huì)”上，對(duì)信息安全，包括個(gè)人信息、網(wǎng)絡(luò)安全等進(jìn)行立法又一次被眾多與會(huì)的全國(guó)人大代表和政協(xié)委員們提出，在國(guó)家網(wǎng)絡(luò)信息安全、個(gè)人信息安全保護(hù)等方面，都有推動(dòng)立法的呼聲。全國(guó)人大代表及政協(xié)委員們呼吁通過(guò)建立健全法律法規(guī)等途徑確保信息安全，而2015政府工作報(bào)告中也明確指出，要建立全國(guó)統(tǒng)一的社會(huì)信用代碼制度和信用信息共享平臺(tái)，依法保護(hù)企業(yè)和個(gè)人的信息安全。同時(shí)，全國(guó)政協(xié)第十二屆全國(guó)委員會(huì)第三次會(huì)議上也宣布，網(wǎng)絡(luò)安全法已被列入了相關(guān)立法計(jì)劃。

　　這些代表、委員之中，許多人本身就是業(yè)界專家、學(xué)者，或者從事信息化相關(guān)工作的政府官員，這說(shuō)明了整個(gè)業(yè)界都已意識(shí)到了信息安全的重要性，并給予了高度重視。智慧城市建設(shè)以物聯(lián)網(wǎng)、云計(jì)算等大數(shù)據(jù)技術(shù)體系為支撐，數(shù)據(jù)信息巨大，并涉及到政務(wù)、商業(yè)、生活等方方面面，一旦出現(xiàn)信息泄露、數(shù)據(jù)丟失等安全問(wèn)題，后果將不堪設(shè)想。因此，智慧城市的信息安全問(wèn)題不容忽視。我國(guó)近年來(lái)智慧城市建設(shè)實(shí)踐中，信息安全作為重要一環(huán)，在進(jìn)行整體規(guī)劃和頂層設(shè)計(jì)之時(shí)，并未被忽視，各省市的智慧城市規(guī)劃設(shè)計(jì)大多都建立了完善的體系系統(tǒng)，在信息安全方面也都有比較完善的規(guī)劃設(shè)計(jì)。

　　由于網(wǎng)絡(luò)空間的特殊性，決定了信息安全將是至始至終伴隨信息化建設(shè)而生的艱巨任務(wù)。一個(gè)全面的信息安全體系，包括網(wǎng)絡(luò)信息系統(tǒng)安全測(cè)評(píng)、風(fēng)險(xiǎn)評(píng)估及技術(shù)服務(wù)、信息安全認(rèn)證、信息安全管理等多項(xiàng)工作組成。只有經(jīng)過(guò)精心的頂層設(shè)計(jì)和完善的基礎(chǔ)建設(shè)，并且從技術(shù)和管理兩個(gè)方面共同著手，這樣的信息安全體系才是智慧城市以及我們國(guó)家全面信息化進(jìn)程健康推進(jìn)的基石。

　　在筆者所參與的一些智慧城市建設(shè)實(shí)踐當(dāng)中，在規(guī)劃設(shè)計(jì)層面的問(wèn)題被解決的同時(shí)，在管理與技術(shù)方面的問(wèn)題，往往還是非常明顯的。最近，筆者所在的上?；ヂ?lián)網(wǎng)軟件有限公司在為一家大型園區(qū)管理企業(yè)開發(fā)建設(shè)信息安全體系時(shí)發(fā)現(xiàn)，客戶在信息安全管理方面，在思想觀念和業(yè)務(wù)實(shí)踐中都還存在很多的盲區(qū)和死角。例如在討論數(shù)據(jù)安全時(shí)，客戶最關(guān)心的是加密、防外部攻擊等技術(shù)手段，但對(duì)健全I(xiàn)T設(shè)備、機(jī)房等的操作、管理制度卻還停留在非常初級(jí)的階段，對(duì)設(shè)施設(shè)備的安全保障也只知道應(yīng)該保障供電安全，對(duì)防水、防風(fēng)，以及機(jī)房等關(guān)鍵設(shè)施的安全保障、實(shí)時(shí)監(jiān)控都還只有模糊的概念，需要技術(shù)供應(yīng)商提供非常詳細(xì)的解決方案。

　　實(shí)際上，由于物聯(lián)網(wǎng)、云計(jì)算等新興技術(shù)的高速發(fā)展，相應(yīng)的信息安全保障技術(shù)還沒有達(dá)成十分成熟的程度，智慧城市的建設(shè)中還存在著許多相對(duì)比較脆弱的問(wèn)題。例如，對(duì)智慧城市而言，云端數(shù)據(jù)資源的高度共享性，使得云平臺(tái)在惡意軟件作用下，產(chǎn)生數(shù)據(jù)丟失、IP和身份竊取、金融欺詐和盜竊等隱患。又比如分布式拒絕服務(wù)攻擊(DDoS)也具有快速摧毀整個(gè)云基礎(chǔ)架構(gòu)的潛力，并且當(dāng)云平臺(tái)受到攻擊時(shí)，所有相關(guān)賬戶也將牽涉其中，導(dǎo)致該平臺(tái)服務(wù)的用戶受到不可估量的損失。比較典型的案例就是2010年的蠕蟲病毒震網(wǎng)(stuxnet)，其感染了全球超過(guò)45000個(gè)網(wǎng)絡(luò)，給各國(guó)的電力部門帶來(lái)了巨大的威脅和破壞。

　　目前，智慧城市建設(shè)的技術(shù)供應(yīng)商都在不斷強(qiáng)調(diào)事前加密、安全監(jiān)控等手段，加強(qiáng)對(duì)云服務(wù)的安全保障，但信息基礎(chǔ)設(shè)施安全保障體系仍需要通過(guò)長(zhǎng)期的應(yīng)用和發(fā)展慢慢完善。而加強(qiáng)管理手段，是這一保障體系非常重要的一環(huán)，通過(guò)管理手段的優(yōu)化，提高管理水平，也是在技術(shù)手段力有不逮之時(shí)，補(bǔ)強(qiáng)短板的最好方法。建立合理、有效的安全組織架構(gòu)，配備和設(shè)立安全決策、管理、執(zhí)行以及監(jiān)管的責(zé)任人、崗位和機(jī)構(gòu)，明確角色與責(zé)任，是比起技術(shù)手段來(lái)更易實(shí)現(xiàn)的方法，也是迫切需要建立的管理手段。此外，建立信息安全等級(jí)評(píng)測(cè)和保護(hù)體系，加強(qiáng)信息安全應(yīng)急處置能力等，都是在管理方面需要提高的內(nèi)容。

　　當(dāng)然，另一方面，技術(shù)手段也具有同樣的重要的作用。智慧城市建設(shè)運(yùn)用多種新型IT技術(shù)手段，而這些技術(shù)的快速發(fā)展，往往遠(yuǎn)超決策者和建設(shè)者們的想像，使得信息安全經(jīng)常落后于技術(shù)發(fā)展。這就要求我們?cè)谝?guī)劃設(shè)計(jì)和建設(shè)時(shí)，要充分考慮到技術(shù)的前瞻性，為整個(gè)智慧城市體系的升級(jí)、拓展留有足夠的余地。

　　在智慧城市信息核心技術(shù)上，我國(guó)已經(jīng)開始逐步擺脫早先由于IBM、Oracle和EMC等業(yè)界巨頭在智慧城市建設(shè)領(lǐng)域特別是業(yè)務(wù)信息系統(tǒng)、數(shù)據(jù)庫(kù)管理和業(yè)務(wù)解決方案市場(chǎng)占據(jù)主導(dǎo)地位而產(chǎn)生的“IOE”依賴癥，包括“BAT”、聯(lián)想、浪潮等國(guó)內(nèi)企業(yè)，已經(jīng)在這一領(lǐng)域慢慢趕了上來(lái)，并在國(guó)內(nèi)的智慧城市建設(shè)市場(chǎng)占據(jù)了一席之地。但在核心技術(shù)的基礎(chǔ)上，應(yīng)用層的信息安全技術(shù)仍略顯不足，在信息終端、數(shù)據(jù)監(jiān)控、設(shè)備監(jiān)控、存儲(chǔ)安全等領(lǐng)域，技術(shù)創(chuàng)新的腳步仍然更不上核心技術(shù)的高速發(fā)展。如前文提到的那家大型園區(qū)管理企業(yè)的信息安全體系建設(shè)中，在信息安全監(jiān)控軟件上，從最初的終端監(jiān)控應(yīng)用軟件開始，上?；ヂ?lián)網(wǎng)軟件有限公司在兩年多的規(guī)劃建設(shè)期里，持續(xù)的對(duì)應(yīng)用軟件做著升級(jí)更新，不斷配合新技術(shù)、新設(shè)備的應(yīng)用進(jìn)行技術(shù)創(chuàng)新，形成了以724服務(wù)器云監(jiān)控平臺(tái)產(chǎn)品為核心的系列信息安全監(jiān)控應(yīng)用軟件。然而即使是這樣，在客戶的應(yīng)用實(shí)踐和與業(yè)界的交流探討中，筆者仍然發(fā)覺存在一些信息安全方面需要再行提高和加強(qiáng)的應(yīng)用點(diǎn)，這也說(shuō)明了在技術(shù)層面上，信息安全建設(shè)將會(huì)是隨著智慧城市建設(shè)的推進(jìn)長(zhǎng)期的過(guò)程。

　　作為新一代城市生活形態(tài)，智慧城市能走多遠(yuǎn)，取決于信息安全走多遠(yuǎn)。智慧城市為人們構(gòu)建了一幅美好的藍(lán)圖，但在建設(shè)智慧城市的過(guò)程中必須要高度重視信息安全，只有建立完整的信息安全保障體系，有效保障各類信息、數(shù)據(jù)的安全，建設(shè)安全可靠的智慧城市，才能真正把智慧城市建設(shè)得更加美好。

　　關(guān)于作者：“電子政府創(chuàng)新體驗(yàn)中心”由上?；ヂ?lián)網(wǎng)軟件有限公司創(chuàng)建，是一個(gè)集技術(shù)研發(fā)、理論實(shí)證研究、技術(shù)產(chǎn)品展示為一體的研發(fā)服務(wù)平臺(tái)。中心以創(chuàng)新的技術(shù)理念，搭建一個(gè)開放、互助的“智慧城市”研發(fā)服務(wù)平臺(tái)，通過(guò)全面解讀“智慧城市”全景圖，努力探索新理念、新技術(shù)、新應(yīng)用在中國(guó)“智慧城市”建設(shè)中的具體實(shí)踐。