啟明星辰的安全觀(guān):智慧城市 安全先行
發(fā)布時(shí)間:2017-03-13 12:41
如果一名黑客利用勒索軟件控制城市供水系統(tǒng)���,或通過(guò)增加氯的濃度��,污染城市用水��,最后索要贖金���。你認(rèn)為會(huì)出現(xiàn)什么樣的結(jié)果�。不管怎樣����,一旦發(fā)生這樣的事情����,將把整個(gè)城市市民置于危險(xiǎn)境地�����。這不是科幻小說(shuō)�,它是近期美國(guó)一所大學(xué)研究人員的成果。
除了這些��,最近受到廣泛關(guān)注的雅虎3次數(shù)據(jù)泄露�、低價(jià)即可購(gòu)買(mǎi)個(gè)人全部信息等事件都與網(wǎng)絡(luò)安全息息相關(guān)。網(wǎng)絡(luò)安全說(shuō)大了����,關(guān)系國(guó)家安全,說(shuō)小了��,與我們每個(gè)人的日常生活息息相關(guān)�。在北京召開(kāi)的2017兩會(huì),作為信息安全行業(yè)領(lǐng)導(dǎo)者的啟明星辰�����,其CEO嚴(yán)望佳提出了涵蓋企業(yè)首席信息安全官、移動(dòng)支付安全和智慧城市安全的議案�。
關(guān)鍵信息基礎(chǔ)設(shè)施成為關(guān)注重點(diǎn)
嚴(yán)望佳提出了《關(guān)于以首席信息安全官為關(guān)鍵責(zé)任人構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)責(zé)任的提案》。提案指出���,“防范境內(nèi)外的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和威脅����,保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施免受攻擊�、侵入、干擾和破壞”���。的確�,關(guān)鍵信息基礎(chǔ)設(shè)施影響重大����,事關(guān)人們的日常生活。
假如在冬天�,城市供暖系統(tǒng)遭黑客劫持,暖氣被切斷�,即使短短幾個(gè)小時(shí)�����,就能影響數(shù)千萬(wàn)居民,危害重大���,這將給城市生活造成巨大打擊�。
“如果使用勒索軟件攻擊���,一般是針對(duì)個(gè)人�,當(dāng)然軟件和技術(shù)手段可用在基礎(chǔ)設(shè)施上”,啟明星辰的首席戰(zhàn)略官(CSO )潘柱廷說(shuō)��,“如果用勒索軟件鎖住你的電腦���,勒索一定錢(qián)財(cái)����,影響還在個(gè)人���。但是通過(guò)控制關(guān)鍵基礎(chǔ)設(shè)施�����,比如自來(lái)水��、電力��、暖氣等���,那就不是普通的勒索行為��,這已經(jīng)屬于妨礙公共安全的嚴(yán)重性質(zhì)����。勒索個(gè)人�,個(gè)人可以選擇妥協(xié)或?qū)?而勒索控制公共設(shè)施,這就無(wú)法退讓?zhuān)仨氂脟?guó)家強(qiáng)力給予打擊����。”
當(dāng)今的攻擊更加復(fù)雜 從單一層面上升到MCP三個(gè)層面
對(duì)于安全問(wèn)題�,不僅需要技術(shù)手段來(lái)防御和保障,更需要每個(gè)人提高安全意識(shí)����。意識(shí)這個(gè)東西最難培養(yǎng),打個(gè)比喻:假如你每天宣傳人們需要買(mǎi)車(chē)險(xiǎn)�����,這樣才能保障安全�,減少損失,那么人們不一定有車(chē)險(xiǎn)的意識(shí)�。
事實(shí)上,購(gòu)買(mǎi)保險(xiǎn)需要花費(fèi)人們的時(shí)間�����、金錢(qián)和精力�,這是人們不愿付出的。如果沒(méi)有遭遇交通事故����,大多數(shù)人們還是不會(huì)主動(dòng)去購(gòu)買(mǎi)車(chē)險(xiǎn)。而一旦發(fā)生一次交通事故�����,人們就會(huì)轉(zhuǎn)變態(tài)度���,積極購(gòu)買(mǎi)車(chē)險(xiǎn)���。安全意識(shí)也是同樣的道理,你每天宣傳�,還沒(méi)有受到1次攻擊�,看到損失有效�����。
潘柱廷表示���,整個(gè)安全問(wèn)題可以劃分為三個(gè)層面�,稱(chēng)為MCP���?!捌渲?�,M代表人的意識(shí)��,C是系統(tǒng)�,P則是現(xiàn)實(shí)。社會(huì)上發(fā)生侵害人們資金的三個(gè)手段����,就是與MCP對(duì)等的,”他說(shuō)�,“最開(kāi)始時(shí),直接偷你的錢(qián)���,其次����,變成通過(guò)欺騙影響你的意識(shí)和決策來(lái)侵害你的錢(qián)�����,這就是詐騙�����,稱(chēng)為M��。有了計(jì)算機(jī)以后�,手段變成利用攻擊技術(shù),比如黑掉你的銀行賬戶(hù)和計(jì)算機(jī)�����、偷盜你的銀行密碼等�。”
現(xiàn)在�,網(wǎng)絡(luò)攻擊把MCP變成一個(gè)矩陣,對(duì)你進(jìn)行意識(shí)�、系統(tǒng)和現(xiàn)實(shí)三個(gè)層面的攻擊�。將來(lái)����,攻擊面和攻擊效果可能出現(xiàn)在意識(shí)層、計(jì)算機(jī)層和現(xiàn)實(shí)層�。
對(duì)企業(yè)來(lái)說(shuō),除了要加強(qiáng)安全保障和防護(hù)外��,更重要地是把安全責(zé)任具體落實(shí)���。以企業(yè)為例����,雖然不斷提到應(yīng)該設(shè)立首席信息安全官��,但是連CIO都不常見(jiàn)�����。企業(yè)安全到底有誰(shuí)負(fù)責(zé)�?潘柱廷提到了現(xiàn)實(shí)中存在的情況,“說(shuō)全員負(fù)責(zé)���,結(jié)果沒(méi)人管;還有一把手負(fù)責(zé)��,他的事情太多�,也管不了;甚至由業(yè)務(wù)部門(mén)負(fù)責(zé)也變成沒(méi)人管����。”
對(duì)這個(gè)問(wèn)題�����,他提出自己的建議�����,企業(yè)安全不應(yīng)僅僅口號(hào)式地說(shuō)由全員���、一把手和業(yè)務(wù)部門(mén)負(fù)責(zé),而是應(yīng)該由很明確的內(nèi)部專(zhuān)職負(fù)責(zé)人和部門(mén)負(fù)責(zé)和監(jiān)督��。全員���、一把手�、業(yè)務(wù)部門(mén)都有其必須承擔(dān)的責(zé)任�����,但還需這個(gè)專(zhuān)職的關(guān)鍵存在。另外�,最好再把安全保險(xiǎn)加入進(jìn)來(lái)�����。
建設(shè)智慧城市 安全先行 打造堡壘式的構(gòu)建方式
最近幾年���,智慧城市作為一個(gè)新興事物,受到極大關(guān)注����,嚴(yán)望佳提出了《關(guān)于智慧城市信息安全建設(shè)的提案》���。如果說(shuō)�����,對(duì)個(gè)人和企業(yè)來(lái)說(shuō)�����,安全問(wèn)題不是很復(fù)雜,但是一旦上升到整個(gè)城市����,那么面臨的安全風(fēng)險(xiǎn)將是未知的。
未來(lái)的智慧城市涵蓋智慧交通����、智慧醫(yī)療、智慧系統(tǒng)以及智慧醫(yī)院等方方面面���,可以稱(chēng)之為系統(tǒng)性的大工程。同時(shí)�,智慧城市建設(shè)中還涉及到大量的數(shù)據(jù)收集、存儲(chǔ)����、管理和分析,如何保證數(shù)據(jù)安全成為新焦點(diǎn)�。
對(duì)此���,潘柱廷說(shuō):“智慧城市并不是新的技術(shù)形態(tài)����,而是新技術(shù)應(yīng)用模式。這個(gè)時(shí)候��,我們看待的主體就發(fā)生了變化���,從個(gè)人���、機(jī)構(gòu)變成一個(gè)區(qū)域、城市���,就像影響到整個(gè)區(qū)域和民生的自來(lái)水���、煤氣?!?/p>
現(xiàn)實(shí)情況下,城市信息化之后����,安全保護(hù)非常少,基本屬于“裸奔”。并且��,大家對(duì)這件事情的認(rèn)識(shí)又非常弱�。他給我們舉了一個(gè)例子:如果找一個(gè)施工圍欄,扛著一個(gè)梯子去那���,到現(xiàn)在任何一個(gè)交通攝像的地方��。用圍欄一攔����,上去裝東西�,沒(méi)有人會(huì)阻攔你?���!爸腔鄢鞘信c物聯(lián)網(wǎng)密切相連,MCP的P是暴露在外�����,設(shè)備��、聯(lián)線(xiàn)可以直接進(jìn)入你的信息系統(tǒng)��,這是目前智慧城市面臨的問(wèn)題��?���!?/p>
此外,智慧城市的安全投入沒(méi)有跟上����。智慧城市擁有大量的數(shù)據(jù),在數(shù)據(jù)的采集��、存儲(chǔ)和保護(hù)過(guò)程中��,智慧城市安全投入的比例與現(xiàn)在成熟機(jī)構(gòu)的投入根本差一個(gè)數(shù)量級(jí)����。
在智慧城市中,由于聯(lián)網(wǎng)設(shè)備的大量增加���,現(xiàn)實(shí)中存在大量的物與物�����、物與人和人與人的連接����,如果黑客攻擊一個(gè)設(shè)備,后果會(huì)是“滾雪球式”嗎���?對(duì)此���,潘柱廷說(shuō):“安全問(wèn)題歸根結(jié)底是內(nèi)外問(wèn)題,存在內(nèi)部和外部?jī)蓚€(gè)方面��。如果有人說(shuō)����,云計(jì)算或之后邊界消失,那是不懂安全的說(shuō)法�����?����!?/p>
他甚至以西游記為例�,如果孫悟空給唐僧畫(huà)個(gè)圈(西游記中�,圈具有保護(hù)作用)���,這是個(gè)人問(wèn)題;如果他把八戒和沙僧都放在里面,那就成為一個(gè)機(jī)構(gòu)(西天取經(jīng)團(tuán))�����。
“當(dāng)智慧城市出現(xiàn)后���,這不是一個(gè)可以很容易被圈起來(lái)的機(jī)構(gòu)或區(qū)間�,自己完全形成了一個(gè)供給�����,區(qū)間變成空間�����,呈現(xiàn)立體化���,”潘柱廷說(shuō)�����,“區(qū)間邊界清晰���,但是空間不好劃分�,你可能會(huì)覺(jué)得網(wǎng)絡(luò)必須要清楚你的位置�����,比如說(shuō)交管局一出線(xiàn)已經(jīng)是不可控的����,很難處于控制下?!?/p>
