国家领导人对信息安全问题非常重视,针对以上问题早在2003年就发布了27号文件,这是关于信息安全具有里程碑意义的文件,随后出台了一系列对策。在城市信息化的推进中,一定要遵照国家要求做到“发展与安全并重”。国家相关领导曾经说过,网络空间的对抗态势十分严峻,有很多信息技术受制于人,信息安全协调尚存在薄弱环节和重要隐患,难以应对“重大灾害”。因此对信息安全要有“危机感”和“紧迫感”,要加强我国信息安全“战略研究”和做好“顶层设计”。我国现在正在加强信息安全技术研发,产业发展中重视信息产品的自主权与可控权;加强立法、规范、标准的制定;风险评估制度化、加强信息安全专项检查,发挥其在信息安全保障中的作用,防患于未然;加强培训提升信息安全的意识;制定整改措施、抓落实、督促检查;对信息安全保密要采取果断措施;要加大信息安全的财政投入,使我国的信息化建设能够健康发展。
深入分析本城市信息安全的威胁和风险,做好“智慧城市”信息安全的顶层设计,建设“智慧城市信息安全保障体系”。制定城市重要基础设施和要害部位的信息安全防护策略(水、电、气、暖、油、交通、金融、通信、政务、商务等),构建大数据时代城市信息资源的安全架构,统一部署和推进等级保护与分级保护,统一部委纵向系统与同城部门的安全协调。做到城市信息资源平台建设与跨域的信息交换与广泛共享的安全。构建城市的“信息安全基础设施”,特别要重视解决“新型信息技术”(物联网、云计算、移动互联网等)中的安全治理。
云计算安全面临的挑战和对策
云计算可以为城市的信息化建设带来很多好处,但同时也引发了众多安全问题。云计算的安全问题涉及服务化、集约化、虚拟化三个方面中的安全脆弱性,需要引起人们高度关注。云计算安全大体包括10个关注点。服务化的风险管理:服务商的资质、能力、行为的合规性测评与确认;服务化的法律与电子证据获取:证据源的掌控;服务化合规性与审计:评估证据、达标性/ ISO 27000;集约化多用户信息生命周期管理:数据迁移生命周期中的(6性)保证;集约化的加密与密钥管理:加密传输、存储、备份;集约化的身份与访问管理:提供安全有效的服务;虚拟化的可移植性和互操作性:服务商间数据迁移的互操作性、安全性和合规性;虚拟化业务连续性和容灾:BCP/DR的能力确认;虚拟化事件响应与容灾:检测、通报、响应、补救;虚拟化的应用安全:SaaS、PaaS、IaaS对应用安全的支持度。
虚拟化突破了原信息和基础架构的可见性和可控性,在虚拟化的存储、计算、网络、环境与管理的引入过程中,在实现基于逻辑的信息安全,包括基于基础架构的应用安全、基于风险的自适应安全方面,云计算安全面临着很多新的挑战。另外,强化虚拟机间隔离与加固、保证虚拟机数据迁移中的安全可信、不同安全等级应用虚拟化之间的强隔离、对虚拟化脆弱性检查、虚拟环境的严格安全管理和最小特权、加强虚拟化环境中用户的可视化与可信度等,都是云计算安全带来的问题。
根据虚拟化带来的众多问题,必须高度重视大数据下数据虚拟存储的安全对策,包括:虚拟化数据存放位置合规性检查,数据存放位置告知和确认,客户间数据混存、传输、使用的区别对待,大数据的海量、动态、异构特点的安全治理,服务结束时数据的彻底删除,数据存贮、备份、恢复、传输的加密处理,密钥的强保护,数据安全证据的保护等问题。
物联网安全面临的挑战和对策
物联网系统安全主要从信任体系、检测防护、监控审计、应急容灾、管理体系五个方面建设。
物联网拥有大量、多样化的感知设备(感知器、智能家电、嵌入式系统等)的“感知端”,这些“感知端”由多样化的自组织网组成,包括现场总线、无线局域网、楼域网、园区网等。由于“感知端”处于公开、暴露、移动、野外等复杂的环境中,感知设备安全防护能力脆弱,因此,要高度重视“感知端”的信息安全。解决好认证、加密、防控、鉴别、审计等问题,关注“感知端”、“传递网”、“智能层”之间安全代理的协同,落实好“感知端”信息安全的“六性”,认真防止泄露、伪造、篡改、暴露、干扰、延误、失效等问题的出现。
“传感网”由多样化的自组织网组成,涉及现场总线、无线局域网、楼域网、园区网等。由于“传感网”的多入口、多元化特点,网络环境十分复杂,再加上感知设备量大、外界干扰等要素,易发生“拒绝服务”(DDOS)。当病毒侵入时,其扩散性、隐蔽性、破坏性等难以控制。传感网与互联网或专网的接入将造成网络威胁新的融合,对此,需要高度关注“感知端”、“传感网”与“传输网”、“智能层”间安全代理的协同,认真防止泄露、伪造、篡改、暴露、干扰、延误、失效、阻塞等安全问题。
手机的安全漏洞是病毒、木马攻击的源头,这些源头可能来自无线网、互联网、应用业务、外部嵌入,通过短信、邮件、应用程序传播等各种手段,对移动互联网的感知端带来大量的威胁,包括降低性能、窃取数据、系统崩溃、骗取资费;制造出手机僵尸、短信海盗,而且手机病毒还可能再次回击到网络、网关、网站。
因此,必须强化手机操作系统的安全性,加强身份验证、最小特权、安全审计、安全隔离、可信通道,重视手机与网络安全智能代理间的协同联动,提升手机安全防护能力。
建立智慧城市信息安全保障体系
信息安全保障体系在智慧城市的建设中占据重要地位,在信息安全基础设施的建设中,在考虑各种新型信息技术应用的安全中,要加强对智慧城市信息安全标准化体系的建设,为智慧城市的实现提供可靠的支撑。
在智慧城市信息安全保障体系的建设中,必须充分重视六个特性,即保密性、完整性、可用性、真实性、可核查性和可控性。信息安全基础设施的建设主要包括:基于数字证书的信任体系、网络安全事件通报与治理体系、网络安全实时监测与治理体系、网络应急响应与支援体系、灾难恢复信息技术基础设施、网络病毒预警与防治服务体系、IT产品与系统信息安全检测与风险评估体系、网络舆情掌控与治理体系、密钥管理基础设施等。
构建智慧城市的信息安全保障体系,是一个跨部门跨行业相互支撑和协同的工作,为了有效的构建智慧城市,在建设过程中需要由政府成立跨部门的智慧城市信息安全协调小组,做好智慧城市信息安全的顶层设计,根据城市发展的进程和本地财政资金的支付能力合理规划,分步实施。在建设过程中要充分考虑到纵深防御体系的建设,划分出内网、专网、外网和互联网安全域,制定隔离与防护策略;强化预警、防护、检测、响应、恢复、反击等信息安全动态防护机制;做好实时监控和强审计工作;完善城市信息安全应急与容灾体系,使智慧城市在信息安全保障体系的支撑下能够有效和健康地成长。
