當前,物聯(lián)網、云計算與大數(shù)據(jù)處理正成為世界信息科技發(fā)展的重大前沿標志,也是世界及我國諸多城市在未來智慧城市建設中所期望應用的核心技術手段之一。據(jù)國家信息中心信息化研究部統(tǒng)計顯示,截至2012 年2月底,包括上海在內,我國提出智慧城市建設的城市數(shù)量已達154個,計劃投資規(guī)模超過1.1萬億元。我們應該清醒地認識到在物聯(lián)網、云計算與大數(shù)據(jù)處理等信息前沿科技運用中所蘊含的現(xiàn)實危機與問題,這將有助于在智慧城市建設的設計與布局實施層面更加理性地應對這些危機與問題。
一、智慧城市建設中信息技術安全危機新態(tài)勢
從技術驅動力來看,智慧城市的發(fā)展緊密依托物聯(lián)網、云計算和移動互聯(lián)網為代表的新型信息科技,以及維基、社交網絡、Fablab、Living Lab、綜合集成法等工具和方法的應用。通過新一代互聯(lián)網、云計算、智能傳感、通信、遙感、衛(wèi)星定位、地理信息系統(tǒng)等技術的綜合運用,城市將實現(xiàn)對一切物品的智能化識別、定位、跟蹤、監(jiān)控與管理,從而達到“智慧”的狀態(tài)。然而,“智慧”格局所暗含的安全隱患,卻使新技術在為智慧城市帶來無限愿景的同時,也給城市管理與社會安全帶來嚴峻的挑戰(zhàn)。
現(xiàn)實狀況與可預見的未來顯示,智慧城市建設中所面臨的信息技術安全危機將主要體現(xiàn)在:
(一)數(shù)據(jù)泄露與丟失:網絡威脅復雜性日增
世界著名的安全認證機構CAS近期發(fā)布報告,對云計算領域中的威脅進行了分析,指出2013年前三大威脅是數(shù)據(jù)泄露、數(shù)據(jù)丟失和賬戶劫持。自互聯(lián)網時代以來,數(shù)據(jù)泄露就成為一個老生常談的問題,而云計算和物聯(lián)網則加劇了這一威脅。尤其是當云服務數(shù)據(jù)庫受到攻擊的時候,與該服務相關的其他賬戶也自然牽涉其中。對智慧城市而言,其所具備的公眾服務基礎,便是云服務的設施、平臺和應用的高度共享。這種高度共享所帶來的一個附加因素則是云端數(shù)據(jù)資源的分享,其往往不限于使用者提供數(shù)據(jù)的初衷;這使得一些惡意軟件能夠通過資源尋求,破解加密信息而竊取數(shù)據(jù)。
在數(shù)量激增的惡意軟件作用下,數(shù)據(jù)安全在云環(huán)境中變得更為麻煩。識別惡意軟件的全球響應智能防御系統(tǒng)(GRID)于2011年辨識出的惡意軟件樣本有1350萬個,到2012年有1600萬個,即每天約4.4個惡意軟件樣本被發(fā)現(xiàn)。比如,惡意軟件中具有代表性的Exploit Kits(攻擊軟件套裝)中的惡意程序能夠快速識別網絡漏洞,然后對其進行攻擊并傳播惡意軟件。這些攻擊包括數(shù)據(jù)丟失、IP和身份竊取、金融欺詐和盜竊等。2013年,Exploit Kits的攻擊將針對被廣泛應用于通信、商務系統(tǒng)的Windows 8、MAC OS X 和移動設備(尤其是基于安卓系統(tǒng)的移動設備)。同樣,在智慧城市建設中廣泛應用的云服務基礎架構中,“分布式拒絕服務攻擊(DDoS)”也將變得更加活躍,這種攻擊具有快速摧毀整個云基礎架構的潛力。2011年,DDoS顯示有159.7萬例;到2012 年,DDoS增長到1.2億例,增長了約75倍。
盡管一些云服務供應商強調事前加密、定制產品和安全監(jiān)控手段對云服務具有相應的安全保障性,但由于信息交互過程中的各種復雜因素,安全問題并未減少,反而變得更為嚴峻。
(二)移動終端:網絡安全威脅的新集散地
在現(xiàn)代人的生活中,手機等移動終端已成為人與外部社會關聯(lián)中不可或缺的一部分。一些新型軟件的開發(fā)和嵌入,正在使手機成為一種指向性工具。比如,使用手機下載如“magicphone”等一些小應用程序后,可以在Wi-Fi環(huán)境下用來控制房間內所有的家電,如空調、電燈、電腦、電子相框、打印機等。還有一些創(chuàng)意應用的開發(fā),如裝有Rfid傳感器的“坑爹貼紙”,可以使男女見面只要手機對一下就可以交換數(shù)據(jù),存上電話號碼、QQ、微博等。這些新型應用程序給手機等移動終端的未來創(chuàng)造了無限的可能,但同時也將更大的安全問題推上臺面。
即便在安全控制級別較高的系統(tǒng)中,國外的實驗結果顯示其也存在安全問題,如利用SIMON技術和安卓應用軟件Plane Sploit 可以向飛機上的飛行管理系統(tǒng)發(fā)送信息,從而能夠用一臺安卓設備就可以成功地遙控劫持一架飛機。盡管實驗是在虛擬環(huán)境下進行的,但這也說明了飛行管理系統(tǒng)中存在嚴重的信息安全問題。
移動終端的另一個問題是其本身系統(tǒng)帶來的信息安全巨大隱患。事實上,手機中各種系統(tǒng)的信息安全問題,尤其是信息泄密問題已成為一個嚴重的社會問題。2013年的央視3.15晚會曝光了58%以上的安卓軟件都存在用戶隱私泄密的問題;而數(shù)據(jù)調查公司Appthority最新的調查顯示,應用IOS獲得的個人數(shù)據(jù)更多。比如其前50款免費應用軟件中有60%會追蹤用戶位置,有54%會訪問用戶聯(lián)系人列表,有60%會與廣告或分析公司分享數(shù)據(jù)。系統(tǒng)應用的各種安全問題,使黑客有機可乘。
有用戶在使用手機時發(fā)現(xiàn),手機竟然會在沒人觸碰的情況下自動工作,翻看短信、通訊記錄,甚至手機QQ、微信等的聊天記錄,就像隱形人在身邊操作一樣。這便是被稱為“手機臥底”的黑客軟件入侵用戶手機所產生的一個效果。這類軟件目前市場上已有若干,例如“南京特洛伊科技”開發(fā)的一款號稱“最強大的手機自控軟件”產品“Xwodi”安裝在目標手機后,能夠從“Xwodi”的相關網站上監(jiān)看目標手機給任何人發(fā)送的短信。軟件的安裝無需借助任何設備和數(shù)據(jù)線,只需手機上網后下載就行了。軟件安裝僅需兩三分鐘,安裝后自動隱形,而且該軟件還能讓手機變身為“竊聽器”,在目標手機的待機狀態(tài)下實施監(jiān)聽。
移動終端是未來智慧城市中重要的基礎設施,是接入物聯(lián)網、云存儲、LBS定位等服務的生活應用終端。在不久的未來,移動終端將具備更為豐富的功能,但由于信息分享的特性,其面臨的安全威脅也更加嚴峻,且在較長的一段時間內尚難有妥善的解決方案。
(三)網絡黑手對智慧城市建設中民生領域侵害加劇
黑客入侵商業(yè)網絡進行非法操作和牟利在互聯(lián)網時代已經是一個普遍的問題。隨著社會民生管理對網絡平臺依賴性的增加,不少非法分子正在借助新媒體信息技術的漏洞,通過篡改數(shù)據(jù)記錄等,在更為廣泛的民生領域中謀取利益。比如,2012年12月26日,宿州市公安局接到本市交警支隊報案,稱有案犯借助計算機技術,入侵交警支隊車輛違章系統(tǒng)后臺數(shù)據(jù)庫,刪除車輛違章記錄而謀取利益。又如,曾有50多所高校的教務信息系統(tǒng)被入侵,案犯通過進入高校教務系統(tǒng)修改學生成績而謀取利益。
實際上,早在2009年,被稱為“網絡犯罪之母”的俄羅斯商業(yè)網就將“隱形的手”伸向了擁有巨額財富的各種商業(yè)組織和國家機構。該團體曾侵入美國移民局計算機系統(tǒng),盜竊了7000名波多黎各學生的個人信息資料,并以每條250美元的價格賣給多米尼加非法移民,來幫助他們身份“合法化”。
在網絡黑手入侵防御方面,商業(yè)領域已采取了一定的保護措施,由百度、人人、騰訊、新浪、微軟、阿里巴巴集團及支付寶、網易7家企業(yè)共同發(fā)起的互聯(lián)網企業(yè)安全工作組,于2013年4月制定并公布了《互聯(lián)網企業(yè)安全漏洞披露與處理公約》,其旨在“幫助用戶提高安全意識、交流技術,共享信息,充分發(fā)揮整體效應,通過行業(yè)協(xié)同,共同提高軟件及服務安全性;共同保護廣大互聯(lián)網用戶,防御網絡安全威脅;共同推動業(yè)界合作,提升互聯(lián)網安全”。而在更為廣泛的民生和社會管理領域,網絡安全防患體系尚未建立。
我國“十二五”規(guī)劃對智慧城市建設中涉及民生領域的產業(yè)發(fā)展起到了巨大的推動作用。從智能安防到智能電網,從二維碼普及到智慧城市落地,都被寄予厚望。然而,隨著智慧城市建設,隨著我國政府和民生領域對網絡依賴性的增長,這些領域中信息安全所面臨的問題也將變得更為復雜。
二、借鑒國際做法,預先布局應對信息安全危機
在上述新態(tài)勢下,上海作為國內智慧城市建設的先驅陣地,必將率先面臨信息設施布局與應用中的信息安全問題。在物聯(lián)網、云計算、大數(shù)據(jù)處理所構筑的城市神經網絡中,感知終端、基礎設施、商業(yè)設施被連接起來,信息共享、實時反應與協(xié)調運作成為智慧城市中各個子網絡有效運行的根本保障。然而,在傳感器、信息流處理、信息識別與關聯(lián)等信息技術架構下,上述信息安全問題所造成的后果也將更加廣泛和深入。在個人生活層面,如遍布的傳感器對人的蹤跡記錄,可能會在家中無人時被惡意利用;物聯(lián)網上的各種終端設施,可能在黑客技術下被惡意遠程操控;智慧醫(yī)療對個人健康信息的記錄,可能會由于個人隱私泄露對病人的身體和心理帶來傷害。在政府管理層面,如社會管理、民生服務等系統(tǒng)中儲存的大量信息,在共享架構下被用于其他用途的幾率呈幾何倍數(shù)增加。在商業(yè)運作層面,信息將成為最具價值的商品,也將成為商業(yè)公平競爭機制的最大挑戰(zhàn)。
更值得注意的是,移動智能終端接入“智慧”網絡,并在更多的領域中廣泛應用,將信息安全的可靠性問題直接轉移到移動終端系統(tǒng)的安全性上來;而移動終端應用系統(tǒng)和軟件開發(fā)與市場都存在巨大的不穩(wěn)定性和干擾因素,排除這些干擾,在法律規(guī)范和行為規(guī)范方面都還有不少問題和困難,這也給智慧城市目標在現(xiàn)實應用層面埋下隱患。實際上,智慧城市的安全問題已經深受關注,不少大型信息技術公司都對各層面的問題進行研究和提供解決方案。但事實顯示,即便在信息技術高度發(fā)達、且非常重視信息安全的美國航空信息和軍用信息系統(tǒng),信息安全問題在今天也是更多了。
從上海未來城市建設和發(fā)展的角度思考,在智慧城市賴以支撐的龐大信息體系中,對信息技術不同層次的安全問題需要區(qū)別認識和對待,同時,也不能忽略技術以外的措施與應對策略。從這個意義上說,有必要為可能面臨的這些現(xiàn)實危機做前瞻性考慮。在國際上,美國是研究互聯(lián)網安全問題起步最早的國家,其國家和政府層面采取的一些對策或能為上海及我國智慧城市建設中的信息安全提供參考。
(一)建立關鍵信息基礎設施保護早期預警與響應機制
早在2003年,美國聯(lián)邦政府就啟動了網絡態(tài)勢感知大規(guī)模運算的“愛因斯坦計劃”。該項系統(tǒng)能夠自動地收集、關聯(lián)、分析和共享國內政府間的計算機安全信息,從而使得各聯(lián)邦機構能夠接近實時地感知其網絡基礎設施面臨的威脅,并更迅速地采取恰當?shù)膶Σ?。這種態(tài)勢感知的能力使美國政府能夠更好地識別和響應網絡威脅與攻擊,從而提高網絡安全性。
2004年初,歐盟委員會資助了與“愛因斯坦計劃”類似的“龍蝦計劃”項目,即通過對大規(guī)模寬帶基礎設施監(jiān)測,建立一套提前發(fā)現(xiàn)、追蹤和消除復雜網絡攻擊,并分享這些攻擊信息的系統(tǒng)。在“云架構”下的網絡安全防范中,美國的“愛因斯坦計劃”和歐盟的“龍蝦計劃”所采用的關鍵技術和手段,可為我國開發(fā)、布局關鍵信息基礎設施保護的早期預警與響應系統(tǒng)提供技術與思路借鑒。
(二)建設與完善信息安全法制體系與誠信體系
自21世紀以來,我國陸續(xù)出臺了一系列與信息安全相關的法律法規(guī),將信息安全保障提高到戰(zhàn)略高度;然而,在網絡信息安全保障方面,還存在不少漏洞,使得網絡黑客和非法牟利的商業(yè)機構有機可乘。
從美國和歐洲的經驗可以看到,信息安全的法律保障往往是與社會誠信體系建設相一致。美國的信用信息服務產業(yè)已經發(fā)展成為一個層次分明、各領域深入滲透、覆蓋面極廣的龐大體系。在該體系下,信用信息與社會法制等基礎要素建設產生的“協(xié)同效應”,在企業(yè)信息監(jiān)管與個人行為監(jiān)督中發(fā)揮著重要功能。健全的網絡空間、信息安全的法律法規(guī),不僅成為懲治網絡犯罪的有力武器,也成為政府和民眾防范網絡攻擊的重要保障。
作為國際化大都市的上海,在誠信系統(tǒng)的建設與完善中,更應考慮信息安全要素在社會、政治、經濟、文化綜合環(huán)境中的信用“協(xié)同效應”,將社會信用體系與信息安全保障緊密結合,從而提高全民的網絡安全意識。
(三)政府與企業(yè)和社會機構合作,提升全民網絡安全意識
在美國,大部分關鍵基礎設施是由私營部門擁有和經營的,而政府卻具有獨特的信息綜合與分析能力。因此,政府和私營部門需要合作,共同分析和使用這些信息來應對網絡攻擊。基于這種考慮,美國政府提出:“政府維護網絡安全的主要目標包括:提高私營部門的安全性;促進聯(lián)邦政府、州及地方政府之間的合作、交流及信息共享;改善現(xiàn)存的數(shù)據(jù)存儲記錄?!边@種做法一方面借助了私營部門對網絡配置的熟悉性和技術解決優(yōu)勢,另一方面也提升了私營部門和民眾對網絡安全的警惕意識。
美國通過與企業(yè)和社會機構的合作,提升全民網絡安全意識與技能培訓的做法,可為上海智慧城市建設中的網絡安全提供借鑒。公民網絡安全意識的培養(yǎng)和全民防范能力的提升,依賴于安全意識的普及和技能培訓、網絡安全法制的深入人心、政府對企業(yè)和社會機構在網絡安全防護方面的有效扶持、政府與企業(yè)及公眾之間在信息和技術方面的全面共享。