《智慧城视野下的新型信息安全体系建构权威资料》由会员分享,可在线阅读,更多相关《智慧城视野下的新型信息安全体系建构权威资料(11页珍藏版)》请在金锄头文库上搜索。
1、智慧城市视野下的新型信息安全体系建构本文档格式为 WORD,感谢你的阅读。导读:信息安全是信息化建设中永恒的话题,智慧 城市也不例外。在由数字城市到信息化城市再到智慧城市的 发展过程中,人们生产生活中产生的信息越来越多,信息形 态越来越复杂,信息传输速度越来越快,信息传播范围越来 越广,社会所面临的信息安全形势也更为严峻。如何在智慧 城市这种新的城市形态中,确保信息资源合法、安全、有序 地传播利用,是一项十分艰巨的任务。自从“九五”期间将信息化建设列入城市发展主战略 以来,上海的城市信息化建设大致经历了一个从起步探索、 重点突破、追随并逐步接近国外发达国家中心城市的过程。 在“十二五”期间,上
2、海将要大力建设面向未来的“智慧城 市”,标志着上海与世界先进城市站在了信息化建设的同一 起跑线上,在上海城市信息化发展史上具有里程碑式的意 义。信息安全是信息化建设中永恒的话题,智慧城市也不 例外。在由数字城市到信息化城市再到智慧城市的发展过程 中,人们生产生活中产生的信息越来越多,信息形态越来越 复杂,信息传输速度越来越快,信息传播范围越来越广,社 会所面临的信息安全形势也更为严峻。如何在智慧城市这种 新的城市形态中,确保信息资源合法、安全、有序地传播利 用,是一项十分艰巨的任务。一、智慧城市的信息环境特点分析智慧城市是指一种全新的城市形态,它在楼宇家居、 路网监控、城市生命线管理、食品药品
3、管理、票证管理、家庭护理、个人健康与数字生活等领域,充分借助物联网、传 感网等新一轮信息科技创新成果,形成基于海量信息和智能 过滤处理的民众生活、产业发展、社会管理新模式。与传统的城市形态相比,智慧城市的信息环境具有以 下特点。(一)智慧城市的开放性特点智慧城市中广泛应用无线传感技术、无线宽带技术, 采用这些技术之后,网络信号都暴露在空气中。如果安全措 施不到位,电子标签发生的无线信号,不仅能方便地被物品 主人所感知,其他人也能进行跟踪、定位和识读,这势必对 国家秘密、商业秘密以及个人隐私构成极大的威胁。美国军 方就曾宣称,“攻破任何无线系统是非常轻而易举的事 情”。尤其是物联网感知层的电子标
4、签,由于受成本和技术 的限制,不可能采用很强的密码机制,电子标签内部数据更 容易被破解。即使对于有线网络,由于目前越来越多的企业 机构通过VPN等方式将机构网络建构在 Internet 等公共网络 之上,传统意义上的内部网与外部网之间的界限已十分模 糊,绝大多数网络都是一种社会大众共有、共用、共享的开 放式网络。(二)智慧城市的移动化特点移动化是智慧城市的重要特征,欧盟的智慧城市评价 标准就将智慧移动性作为评估指标之一。智慧城市的核心目 标之一是要使任何人可以在任何时间、任何地点获取任何信 息。这一目标的实现有赖于泛载网络和手持终端的普及应 用。从当前信息技术的发展可以看到,计算机的小型化和移
5、 动化是大势所趋,不管是电脑、手机、电视机甚至包括游戏 机,都逐渐融合为智能化的手持终端,现在人们手头拿着的 一个小电脑的处理能力都超过二、三十年前超级计算机处理 能力;传统互联网的概念也将逐渐被移动互联网渐进式地取 代;云计算技术的应用实现计算任务的重新分配,可以通过 无线网络将一些复杂计算交由云端完成,降低了手持终端的负荷。可以预见,未来的智慧城市将是以移动网络和移动设 备为核心信息基础设施的城市。(三)智慧城市的集中化特点智慧城市将大量采用云计算技术,而云计算意味着IT资源的集中化。一个云平台就是一个规模巨大的IT资源池,是一个大型的计算中心、存储中心、数据中心、用户中心。 IT资源的集
6、中化在促进资源共用、提高资源伸缩性的同时, 也将带来巨大的潜在风险。如果未来政府、企业和民众的数 据都高度集中在云计算平台上,一旦云平台生现技术故障造 成数据丢失或应用崩溃,将给使用该平台服务的千千万万用 户带来不可估量的损失;另一方面,社会信息高度集中也存 在信息“去国家化”的风险,这些海量信息一旦被整合、分 析并被加以不良地利用,势必对我国的国家信息安全构成严 重威胁。(四)智慧城市的协同化特点智慧城市之所以能够“智慧”,就是因为城市中的各 个主体之间利用云计算、物联网、移动网等技术实现互连互 通,彼此之间能实时感知,及时传递信息,迅速做由反应。 因此,智慧城市中的许多信息系统都已超越了单
7、个机构和组 织的边界,成为一种社会化、协同化的开放系统。以企业为 例,当前企业信息化建设已不仅要求企业内部实现跨部门和 跨地区的信息集成,还要求上下游企业之间、企业与政府之 间进行信息系统的对接,实现信息共享和业务协同。可以预 见,未来将有越来越多的企业、政府部门和社会机构的信息 系统走向网络化、外部化、协同化,除少数涉及绝密信息的 领域之外,大多数信息系统都将是一种开放的协同系统。(五)智慧城市的高渗透特点智慧城市之中,网络信息技术与系统将更加深入地渗 透到人类社会的各个角落。从网络层面上看,物联网是智慧 城市的关键基础设施。传统的互联网主要实现了计算机之间 的连结,而物联网则可以将所有嵌入
8、了感知芯片的物品连结起来,网络规模大大增加,而无线宽带网又进一步消除了人 们使用网络的时间和位置限制;从网络应用层面上看,当前 社会已进入了 Web2.0时代,博客、微博、SNS行其道,普 通民众不再是被动的接收信息,而是主动地参与信息创造和 发布以及网络运转的其它环节。因此,无论是在空间维度上 还是在时间维度上,智慧城市中网络对人类社会的渗透水平 都将大大提升。二、智慧城市对传统信息安全体系的挑战信息安全体系是保障信息网络、系统、内容被合法用 户安全使用,并禁止非法用户、攻击者和黑客使用、偷盗、 破坏这些资源的一系列设备、技术、法规、政策的总称。一 般而言信息安全体系由五个层次组成,由内到外
9、依次是:安 全素养、法规政策、管理制度、安全技术、物理屏障,如图 1 所示。下面将根据这个层次模式,逐一分析智慧城市建设对 传统信息安全体系的挑战。(一)信息介质管理上的挑战信息介质保护是传统信息安全体系的第一道屏障,它 通过专用机房、铁丝网、警卫等物理手段,将一些重要的信 息基础设施(服务器、光纤、网线以及其它信息设备)与外 界隔离,防止非法用户使用或接入这些设施,从而实现信息 的安全保障。智慧城市具有移动性特点,将大量布设和使用可移动的感知设备、用户终端,这将给信息介质管理 带来新的挑战。一方面,智慧城市中的移动设备和终端计算能力、电 力供应、接入速率等十分有限,其自身防御能力较弱,感染
10、病毒和受到攻击的机率大大增加,用户的通信安全和个人隐 私都受到了极大的威胁。另一方面,智慧城市中的感知终端设备往往是布设在 室外甚至野外,缺少人对设备的有效监控,更何况这些设备数量巨大,又往往采用无线网络进行连接,极易发生信息泄黯。(二)信息安全技术上的挑战信息安全技术发展至今大致经历了两个阶段:在单机 时代以基于机器隔离的信息安全技术为主,在网络时代以基 于用户认证的信息安全技术为主。前者通过将计算机置于隔 离的安全环境之中,防止非法用户使用计算机;后者通过账 号和密码来确认用户身份,使得只有特定用户才能进行网络 系统。这类技术包括硬件防火墙、软件防火墙、杀毒软件、 主动防御、漏洞扫描和动态
11、补丁等等。尽管这两种技术手段 各异,但无论是隔离机器还是隔离网络,它们都属于“封 闭”导向的信息安全技术。显然,传统的封闭式信息安全管 理技术,无法适应智慧城市开放式的信息环境。智慧城市中的大多数信息网络是开放式的,系统是协 同的,不同网络和系统之间互连互通,不断地进行信息传递 和交换,传统信息安全技术那种“非友即敌”式的简单判断 模式显然已无法适用。以企业信息系统为例,笔者曾对上海 市飞机、船舶、装备等企业的信息化情况做过调研,许多企 业都借助于信息网络建立了全球化的研发制造体系,但这些 企业的一些产品涉及我国重大机密(如大客机、特种船舶 等),如何在一种开放式的全球化研发制造网络中保障企业
12、 信息安全,防止合作伙伴(尤其是一些国外供应商和合作企 业)通过协同业务网系统窃取产品机密,是这些企业普遍面 临的信息安全技术难题。(三)信息管理制度上的挑战在传统的信息化环境之中,信息安全管理制度主要是 对外的,以防范黑客、非法入侵等外部威胁。但在云计算、 物联网等智慧城市环境之中,来自IT服务商内部的信息安全威胁越来越严重。根据一份针对网络安全的专项调查结果, 目前超过85%勺信息安全威胁来自公司内部,而由内部人员泄 密导致的金额损失是黑客造成损失的16倍。国家计算机应急响应中心发布的数据也显示,在所有的计算机安全事件中, 约有52%是人为因素造成的,技术错误和机构内部人员作案各 占10%
13、仅有3%左右是由外部不法人员的攻击造成。同时, 企事业核心数据的流失实际上有80必右源于企业内部人员的不正当行为,而只有约 20%来自外部的侵犯。如上文所述,智慧城市中信息资源高度集中在IT服务平台上,但另一方面这些服务平台的内部却越来越不安全, 由此必然引发用户信任危机,这正是当前云计算等智慧技术 难以大规模推广的主要原因。美国加利福尼亚州公用事业委 员会的CIO Carolyn Lawson 就说过:“从政府的角度来讲, 我们不会将所有的数据信息都迁移到云中,因为我们的 数据包括个人社会保障号码、驾驶执照甚至子女信息等,公 众把他们的个人信息交给我们希望我们能够很好地保护这些 信息。如果我
14、们将这些信息交给一家云计算公司,而这家公 司非法将这些信息生售的话,我们该怎么解决?我们要承担 这个责任。”因此,在智慧城市环境中,信息安全管理制度 也必须进行变革。(四)信息政策法规上的挑战传统的信息管理政策法规是以保密为导向的,在我国 尤其如此。以政府信息管理体制为例,长期以来我国的政府 信息管理都非常强调信息保密。虽然近几年我国各级政府也 开始强调透明,推由了相关的政府信息公开法规,但目前我 国对政府工作人员所承担的信息公开和信息保密义务的规定 却很不对称:一方面对工作人员承担的信息保密责任作了十 分明确而严格的规定,工作人员如违反信息保密将面临着非 常严厉的处罚;另一方面对政府工作人员
15、承担的信息公开义 务却往往是轻描淡写,信息公开不作为的后果也小得多。而 且目前的相关规定中,对于到底哪些信息涉及到所谓的“国 家安全、个人隐私和商业机密”问题也缺乏十分明确、便于 操作的界定。这种风险的不对称必然造成政府工作人员在实 际信息工作中,明知道会造成信息资源的闲置浪费,也宁可将信息封闭起来,不到万不得已决不公开。在其它领域的信 息资源管理中也存在类似问题。纵观信息化的发展历程,其建设重心大致经历了从基 础设施建设到软件系统实施再到信息资源开发的过程。智慧 城市作为信息化建设的高级阶段,其关键任务就是将云计 算、物联网、移动网络等网络系统中产生的各类海量数据进 行快速的传输、充分的整合
16、和智能化的挖掘利用,实现从信 息到智慧的转换。但目前这种以保密为导向的信息化政策法 规,将造成信息资源的封闭与割裂,障碍人们对信息进行整 合、共享和深度开发,无法实现智慧城市的目标。(五)信息安全素养上的挑战信息安全素养是指在信息化条件下,人们对信息安全的 认识,以及对信息安全所表现由来的各种综合能力,包括信息安全意识、信息安全知识、信息安全能力、信息伦理道德等 具体内容。虽然传统的信息安全体系也包括用户信息安全素养, 但主要强调技术层面上的用户个体素养,这不能适应智慧城 市环境对信息安全素养的要求。其一,智慧城市中信息安全威胁的主体发生转换。在 传统的信息安全体系中,信息安全的防范对象主要是少数的 黑客、非法用户等。而在智慧城市中,由于广大民众的高度 参与,用户的一些有意识或无意识举动,也可能成为安全威 胁来源。最典型的如近几年时有发生的网络谣言、“人肉” 搜索
