近日,国家发改委透露,发改委、网信办等联合编制的首个国家智慧城市评价指标体系即将出台,597个智慧城市试点将面临国家部委的首次评价检验。其中,网络安全是该评价指标体系中的一级指标之一。
事实上,随着智慧城市扑面而来,智慧城市建设信息高度集中化的特点,也对网络安全提出了更高的要求。智慧城市中传感感知、通信传输、应用服务、智能分析处理等诸多层面安全风险和脆弱性日益凸显,使得智慧城市的可持续发展面临严峻的安全威胁。
4大安全威胁“拷问”智慧城市建设
智慧城市有力推动了区域或行业信息基础设施的集约化发展,这种集约化基础资源的高度共享性,加大了数据丢失、IP和身份窃取、金融欺诈和盗窃等安全风险。
与此同时,大量智能终端设备和传感器接入智慧城市综合网络,产生了复杂的接入环境、多样化的接入方式和数量庞大的智能接入终端,全面加大了智慧城市系统的接入风险。
第三,智慧城市所用的硬件软件中,属于我国的自主知识产权的产品较少,特别是基础操作系统,核心芯片和数据库管理软件多数由国外产品占据或主导。整个智慧城市的系统就像一个巨大的“黑盒子”,很多软硬件存在的BUG和后门不被国内所掌握,严重威胁整个智慧城市基础性安全。
最后,随着大数据成为新的生产力,为城市实现智慧提供信息基础并给各行业发展带来新机遇和新动力,大数据的集聚和使用也大大加剧了数据风险,进而导致城市信息泄密。尤其是随着经济社会运行对智慧城市应用的依赖程度日益增加,当这些应用系统受到攻击,产生数据破坏、信息丢失时,将对城市的运行和管理造成重大打击并难以恢复,导致城市日常生活瘫痪或造成重大经济损失。
未来国际打造智慧城市安全解决方案
在多种安全因素的综合作用下,传统的局部防御和应用级安全已经无法适应智慧城市建设安全保障的要求。作为国内闻名的新型智慧城市服务商,未来国际基于多年来在智慧城市落地实施上的经验总结,从智慧城市业务系统的概念设计、建设实施到后期运维等各个环节充分保障智慧城市建设的信息安全,形成了智慧城市建设信息安全保障的完整闭环。
智慧城市安全保障体系是以承载智慧城市的云数据中心安全保障为核心,以网络安全政策法规、制度标准、技术指南为指导,以网络安全运行机制为保障,以网络安全技术、产品、系统、平台为支撑的闭环式系统。它包括两大核心内容:网络安全技术监测防御体系和网络安全应急指挥、管理、处理、服务体系。
网络安全技术监测防御体系包括对云、网、端的技术监测防御,通过多手段、全覆盖的信息采集做多维度安全攻击印证,以此形成网络安全数据分析体系,并开展持续动态的监测防御,构筑起主动监测和实时防御的数据资源基础。
网络安全应急指挥、管理、处理、服务体系则依托于网络安全技术监测防御体系所提供的技术和数据支撑,由网络安全数据交换平台、威胁大数据分析处理中心、智慧城市网络安全应急平台组成。其中,网络安全数据交换平台针对不同来源的数据进行标准化处理,是连接智慧城市各个应用节点与网络安全应急平台的数据枢纽;威胁大数据分析处理中心则是规范化处理来自于数据交换平台的各类数据信息;而智慧城市网络安全应急平台基于城市信息安全数据进行实时分析处理,对信息安全事件和潜在风险进行实时跟踪,辅助领导决策指挥,并按照应急响应体系对安全事件和潜在风险进行实时处理。
信息安全不仅仅是一个技术问题
事实上,智慧城市信息安全不仅是技术问题,而且需要结合管理制度、产品规范、安全等级保护、风险评估、监测指标、法律法规多方面因素采取措施,规范人员安全行为,增强安全防范意识,提高风险保护能力。因此,在具体的运维过程中,未来国际也明确了智慧城市安全保障体系的管理体制和流程规范,强调职责分工和操作权限约束,并规范运行监督。
显而易见,庞大的智慧城市建设绝非一人之功,政府主管部门、智慧城市应用提供商、集成商、智慧城市服务运营商、第三方安全评估机构、智慧城市标准研究评估机构、规划设计咨询机构等均在其中出谋划策。未来国际制定的智慧城市安全保障体系,明确了各级机构的角色与责任,并建立了责任人体制、追溯查证体系、监督检查机制、应急预案演练与处理机制、服务外包安全责任机制、信息安全保障教育培训体系,作为智慧城市建设信息安全保障的行为准则、依据和指导,以制度约束行为。
此外,未来国际也制定了智慧城市建设全过程安全保障管理要求和智慧城市建设信息安全保障技术要求,从管理上完善信息安全管理与控制的流程,从技术上在物理、网络、主机、应用、终端和数据等方面建立起强健的安全技术保障体系,保证智慧城市建设安全运行。