在刚刚结束的2015年“两会”上,对信息安全,包括个人信息、网络安全等进行立法又一次被众多与会的全国人大代表和政协委员们提出,在国家网络信息安全、个人信息安全保护等方面,都有推动立法的呼声。全国人大代表及政协委员们呼吁通过建立健全法律法规等途径确保信息安全,而2015政府工作报告中也明确指出,要建立全国统一的社会信用代码制度和信用信息共享平台,依法保护企业和个人的信息安全。同时,全国政协第十二届全国委员会第三次会议上也宣布,网络安全法已被列入了相关立法计划。
这些代表、委员之中,许多人本身就是业界专家、学者,或者从事信息化相关工作的政府官员,这说明了整个业界都已意识到了信息安全的重要性,并给予了高度重视。智慧城市建设以物联网、云计算等大数据技术体系为支撑,数据信息巨大,并涉及到政务、商业、生活等方方面面,一旦出现信息泄露、数据丢失等安全问题,后果将不堪设想。因此,智慧城市的信息安全问题不容忽视。我国近年来智慧城市建设实践中,信息安全作为重要一环,在进行整体规划和顶层设计之时,并未被忽视,各省市的智慧城市规划设计大多都建立了完善的体系系统,在信息安全方面也都有比较完善的规划设计。
由于网络空间的特殊性,决定了信息安全将是至始至终伴随信息化建设而生的艰巨任务。一个全面的信息安全体系,包括网络信息系统安全测评、风险评估及技术服务、信息安全认证、信息安全管理等多项工作组成。只有经过精心的顶层设计和完善的基础建设,并且从技术和管理两个方面共同着手,这样的信息安全体系才是智慧城市以及我们国家全面信息化进程健康推进的基石。
在笔者所参与的一些智慧城市建设实践当中,在规划设计层面的问题被解决的同时,在管理与技术方面的问题,往往还是非常明显的。最近,笔者所在的上海互联网软件有限公司在为一家大型园区管理企业开发建设信息安全体系时发现,客户在信息安全管理方面,在思想观念和业务实践中都还存在很多的盲区和死角。例如在讨论数据安全时,客户最关心的是加密、防外部攻击等技术手段,但对健全IT设备、机房等的操作、管理制度却还停留在非常初级的阶段,对设施设备的安全保障也只知道应该保障供电安全,对防水、防风,以及机房等关键设施的安全保障、实时监控都还只有模糊的概念,需要技术供应商提供非常详细的解决方案。
实际上,由于物联网、云计算等新兴技术的高速发展,相应的信息安全保障技术还没有达成十分成熟的程度,智慧城市的建设中还存在着许多相对比较脆弱的问题。例如,对智慧城市而言,云端数据资源的高度共享性,使得云平台在恶意软件作用下,产生数据丢失、IP和身份窃取、金融欺诈和盗窃等隐患。又比如分布式拒绝服务攻击(DDoS)也具有快速摧毁整个云基础架构的潜力,并且当云平台受到攻击时,所有相关账户也将牵涉其中,导致该平台服务的用户受到不可估量的损失。比较典型的案例就是2010年的蠕虫病毒震网(stuxnet),其感染了全球超过45000个网络,给各国的电力部门带来了巨大的威胁和破坏。
目前,智慧城市建设的技术供应商都在不断强调事前加密、安全监控等手段,加强对云服务的安全保障,但信息基础设施安全保障体系仍需要通过长期的应用和发展慢慢完善。而加强管理手段,是这一保障体系非常重要的一环,通过管理手段的优化,提高管理水平,也是在技术手段力有不逮之时,补强短板的最好方法。建立合理、有效的安全组织架构,配备和设立安全决策、管理、执行以及监管的责任人、岗位和机构,明确角色与责任,是比起技术手段来更易实现的方法,也是迫切需要建立的管理手段。此外,建立信息安全等级评测和保护体系,加强信息安全应急处置能力等,都是在管理方面需要提高的内容。
当然,另一方面,技术手段也具有同样的重要的作用。智慧城市建设运用多种新型IT技术手段,而这些技术的快速发展,往往远超决策者和建设者们的想像,使得信息安全经常落后于技术发展。这就要求我们在规划设计和建设时,要充分考虑到技术的前瞻性,为整个智慧城市体系的升级、拓展留有足够的余地。
在智慧城市信息核心技术上,我国已经开始逐步摆脱早先由于IBM、Oracle和EMC等业界巨头在智慧城市建设领域特别是业务信息系统、数据库管理和业务解决方案市场占据主导地位而产生的“IOE”依赖症,包括“BAT”、联想、浪潮等国内企业,已经在这一领域慢慢赶了上来,并在国内的智慧城市建设市场占据了一席之地。但在核心技术的基础上,应用层的信息安全技术仍略显不足,在信息终端、数据监控、设备监控、存储安全等领域,技术创新的脚步仍然更不上核心技术的高速发展。如前文提到的那家大型园区管理企业的信息安全体系建设中,在信息安全监控软件上,从最初的终端监控应用软件开始,上海互联网软件有限公司在两年多的规划建设期里,持续的对应用软件做着升级更新,不断配合新技术、新设备的应用进行技术创新,形成了以724服务器云监控平台产品为核心的系列信息安全监控应用软件。然而即使是这样,在客户的应用实践和与业界的交流探讨中,笔者仍然发觉存在一些信息安全方面需要再行提高和加强的应用点,这也说明了在技术层面上,信息安全建设将会是随着智慧城市建设的推进长期的过程。
作为新一代城市生活形态,智慧城市能走多远,取决于信息安全走多远。智慧城市为人们构建了一幅美好的蓝图,但在建设智慧城市的过程中必须要高度重视信息安全,只有建立完整的信息安全保障体系,有效保障各类信息、数据的安全,建设安全可靠的智慧城市,才能真正把智慧城市建设得更加美好。
关于作者:“电子政府创新体验中心”由上海互联网软件有限公司创建,是一个集技术研发、理论实证研究、技术产品展示为一体的研发服务平台。中心以创新的技术理念,搭建一个开放、互助的“智慧城市”研发服务平台,通过全面解读“智慧城市”全景图,努力探索新理念、新技术、新应用在中国“智慧城市”建设中的具体实践。