智慧城市建设中的公共信息安全
在全球打造智慧城市的浪潮中,利用先进的信息技术是必然,其覆盖领域及范围还将越来越宽,公共信息安全遭受到前所未有的挑战。谁动了我们的数据?
美国人斯诺登使得全世界的人对于信息安全有了更进一步的了解,好奇、恐惧、担忧等因“棱镜门”而生的复杂情绪得以持续发酵。这场最为现实的公共信息安全事件让不少国人惊觉,原来我们亦遭受着公共信息泄密的危险现实。
2014年底,一到“春运”就爱“掉链子”的12306网站,又因用户数据被泄露而再遭公众的疯狂吐槽。去年12月25日,专注于互联网安全漏洞报告的乌云平台发布报告称,大量12306用户数据在互联网疯传,包括用户账号、明文密码、身份证、邮箱等,导致用户资料大量泄露。很快,乌云平台的这项报告就得到了12306官方网站的正面回应,其发布公告称,经认真核查,此泄露信息全部含有用户的明文密码。
12306网站信息泄露事件仅仅是公共信息安全隐患的冰山一角。在全球打造智慧城市的浪潮中,利用先进的信息技术不仅是必然,而且其覆盖领域及范围还将越来越宽,公共信息安全也因此遭受到前所未有的挑战。
近六成人认为公共信息安全面临威胁
“在利用先进信息技术打造智慧城市的过程中,您认为是否会面临着公共信息安全的威胁呢?”这是“2015中国平安小康指数”调查问卷的一道题目,结果显示,59%的人选择“是”,33.8%的人表示“不好说”,仅有7.2%的人认为“不是”。
对此,中国信息通信研究院泰尔终端实验室信息安全部副主任、高级工程师落红卫亦给出了肯定的答案。
显然,理解智慧城市公共信息安全首先要对它所处的大环境——智慧城市有所了解。落红卫告诉记者,智慧城市概念的提出本质上是为了解决一系列城市发展所面临的问题:诸如人口增加使得本就局促的社会资源更显稀缺,需要通过一系列技术手段来解决这些问题,进而支撑整个城市的发展。通过包括物联网、云计算、大数据、移动互联网在内的信息技术,使得城市变得更智能,资源配置更合理。
然而,在智慧城市建设之路上,信息安全必将受到前所未有的挑战。落红卫举例说,人行走在原始的荒原之上,基本不会有安全问题,而一旦修好了路,人开始奔跑,就有了摔倒的风险。当道路修建得更好,人可以穿上旱冰鞋进行快速滑行,危险系数也会伴着更高速的运动而提高。
在2014年,诸多公共信息安全事件让人瞠目结舌,除了12306网站用户信息泄露、“棱镜门”持续发酵外,俄、乌黑客在网络空间展开激战、韩国核电站关键信息被窃取、携程网曝支付信息泄露漏洞、圆通快递官网漏洞泄露1400万用户信息等等,无一不暴露出公共信息安全的脆弱性。对此,落红卫解释称,网络安全特性之一就是相对性,安全和风险永远是一个动态性的问题,没有绝对的安全,从内部因素来看,一些安全隐患和漏洞是无法避免的。另外,智慧城市把用户资产、国家资产等放到信息管理网络中来,有资产,就会引人重视,继而发起攻击。内外因素共同作用于智慧城市建设,就对信息安全形成了威胁。
最担心政务管理信息被泄露
虽然我国的智慧城市建设与欧美发达国家相比仍有较大差距,但是在建设过程中,其覆盖范围已经延伸到涉及民生的方方面面。究竟公众最担心哪些应用项目的信息被泄露呢?调查结果显示,27.5%的人选择了政务管理运营平台,23.8%的人认为是健康医疗服务,21.6%的人选了安居服务,20%的选择了公共服务,选择教育文化服务与交通的分别为4.7%和2.4%。
与此相对应的是,在“最需要加强信息安全的应用项目”一题的调查中,26.3%的受访者指向了“智慧政务城市综合管理运营平台”,使得该选项在智慧公共服务、智慧交通、智慧服务应用等八大类应用项目选项中排名首位。
政务管理运营平台的公共信息层面较高,主要涉及公安部门、法院系统以及政府各部门。机密信息泄露会对当地乃至国家产生较大影响。在落红卫看来,我国政务管理运营平台建设方面,仍存在一些欠缺。不少政务系统相对封闭,而就整个国家信息技术发展来看,一些技术并没有在政务平台得到很好应用。可能产生的结果是,外部信息网络发达,而政务平台自身比较脆弱,这样就不可避免存在一定安全风险。据英国BBC网站报道,2014年10月12日,网络黑客组织“匿名者”在当日入侵逾52个中国政府网站,盗取了四万多个电邮账户的私人资料和密码,水利部、教育部和人社部的网站一度无法显示。
落红卫建议,保障政务运营平台的信息安全首先要依靠法律法规制约,这是第一级别的威慑,需要制定严格处罚规章。另外,还需要引进最先进的技术,在安全建设和安全运维方面也要特别加强。
公共信息终归是由一个个用户信息汇聚而成,其二者的关系就是大数据与小数据的关系。大数据来源于小数据,并服务于小数据,两者相互补充。一旦大数据出现泄露可能直接影响个人隐私被泄露。
而以上正是人们所担心的。43.6%的人认为,智慧城市建设中最有可能面临的信息安全威胁就是个人隐私的泄密。人们最担心哪些个人隐私被泄露呢?85.5%的人选了个人身份信息,72.9%的人认为是个人金融交易,58.7%的人认为是个人资产,38.8%的认为是出行轨迹,选择个人喜好的占19.3%。
保护信息安全:技术与管理并行
“智慧城市发展过程,一定是两手并行发展,一方面让信息技术更发达,同时也需要信息安全网络安全的措施加以保障。”落红卫补充道。
在保护信息安全措施一题的调查中,加强信息系统安全运行监管,加强立法、规范、标准的制定和建立信息安全事件应急处置机制被受访者认为是保障信息安全最有效的三个措施。对此,落红卫表示认同,但他也指出,对于完整的信息安全保护而言,这还远远不够。
落红卫表示,保护信息安全要遵循四大原则,第一是全面性原则,坚持技术与管理并重。在技术层面上涉及物理安全、网络安全、主机安全、应用安全以及数据安全。在管理层面上同样有五个层次,即安全机制、安全管理、人员安全、建设安全以及运维安全。如果只强调技术而轻视管理,有些黑客完全可以通过最粗鲁的方式进行破坏。第二个原则是相对性,安全是个动态过程,需要对保护技术进行相应提升。第三是针对性原则,安全方案一定是针对某一个或某一类安全威胁而制定。第四是层次性原则,即逐级增强安全措施。
落红卫特别强调了信息安全立法的重要性,他认为法律是所有工作的基础,只有将其作为根本,再相应出台一些部门规章,加上技术与管理,几方面同时并重,才能真正达到对信息安全的保护。
除信息安全外,公共安全与应急管理也是建设平安的智慧城市的重要内容。目前,欧美不少国家已经开始把大数据等新技术运用到公共安全与应急管理中,并取得了一定成效,最为显著的是,利用空间感知系统打击恐怖活动和预防违法行为等。很多参与调查的受访者亦表达了此类意愿,那么他们希望将哪些项目最先纳入智慧城市的建设当中?“呼声”最高的五项是食品安全(81.4%)、社会公共安全(75%)、公共卫生安全(74.9%)、消防安全(38.7%)和生产安全(37.9%)。