返回 登录
0

各地的智慧城市建设如火如荼,但也存在不安全的隐患

阅读253

1 本项目实施的必要性和意义 1.1 国家高度重视信息安全保障工作 党中央、国务院长期以来高度重视国家信息安全工作,先后出台了《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》(国发〔2012〕23号)、《信息安全等级保护管理办法》等一系列信息安全保障相关政策与法规。 《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)提出“实行信息安全等级保护,重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统”,以及“加强以密码技术为基础的信息保护和网络信任体系建设,要建立协调管理机制,规范和加强以身份认证、授权管理、责任认定等为主要内容的网络信任体系建设。” 《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》(国发〔2012〕23号)提出“强化信息资源和个人信息保护。加强地理、人口、法人、统计等基础信息资源的保护和管理,保障信息系统互联互通和部门间信息资源共享安全。”“加强网络信任体系建设和密码保障,强化密码在保障电子政务、电子商务安全和保护公民个人信息等方面的支撑作用”。 信息安全等级保护制度是国家信息安全保障工作的基本制度、基本策略和基本方法,是促进信息化健康发展,维护国家安全、社会秩序和公共利益的根本保障。国家重要的信息系统必须按照等级保护要求进行安全保障 2014年2月27日,中央网络安全与信息化领导小组成立。在中央网络安全与信息化领导小组第一次会议上,习近平总书记指出“没有网络安全就没有国家安全,没有信息化就没有现代化”。信息安全正式提升到了国家安全战略高度的级别,信息安全保障工作已经刻不容缓。 智慧城市建设涵盖水、电、气等城市基础设施、基础信息网络、政府办公、生产调度、应急指挥等各个领域,属于国家重要信息系统建设。智慧城市的建设将对整个城市进行全面透彻感知,对城市各个节点进行宽带泛在互联,对城市管理、政府公共服务、市民生活等各种应用进行高度智能融合,能够极大提高政府管理和服务的能力,极大提升人民群众的物质和文化生活水平。但是,由于智慧城市建设涉及市民生活、城市管理、政府服务和决策等方方面面,其安全防护范围急剧扩大。一个小区的电子广告牌、一个政府部门的微博、甚至城市的供电、供水等基础设施都将成为国内外敌对势力等黑客组织的攻击目标,特别是“伪基站”、“棱镜门”等安全事件充分说明,利用身份假冒、电子欺骗、数据篡改、信息窃密等专注于可信安全方面的攻击,已经成为智慧城市信息安全保障体系最严重、最薄弱的环节,一旦智慧城市某个节点或某个应用遭受攻击,轻则影响市民的正常生活,重则对整个城市的公共安全和政府决策造成严重危害和损失,极易造成严重的社会影响,甚至政治影响。因此,建设安全可信保障系统已经成为智慧城市信息安全保障体系建设的基础和核心,非常重要和紧迫。 1.2 智慧城市建设标准总体框架 智慧城市的建设,是当今世界城市化进程的大势所趋。我国在借鉴国外成功经验的基础上,不断对智慧城市的架构体系进行深入探索和研究,尤其重视智慧城市的信息安全保障体系研究。国内不同领域的安全厂商也根据自身行业领域特点和不同地区政府的要求,提出了多种智慧城市建设的总体框架,使得国内智慧城市的建设模式百花齐放。随着国内外智慧城市建设的广泛开展,智慧城市建设的架构体系得以不断完善,同时结合当前各个领域权威机构对智慧城市建设最新的技术研究成果,逐步形成了国内目前最权威、最完善、最有效和最安全的智慧城市建设标准总体框架,如图1-1所示。

图1-1智慧城市建设标准总体框架 智慧城市建设标准总体框架主要包括应用层、数据层、通信层、感知层、安全层以及相关的政策法规和技术标准、规范。其中,安全层主要对感知层等以上各层提供重要的安全支撑,是智慧城市建设最基础、最核心的部分,处于非常重要的地位。 目前国内智慧城市安全层的建设主要包括可信安全和传统安全两部分,为智慧城市各种智慧应用相关的物理安全、网络安全、主机安全、终端安全、应用安全和数据安全等提供安全保障,技术框架如图1-2所示。

图1-2安全层技术框架 其中,安全层的传统安全部分主要通过部署防火墙等安全设备,该类设备主要基于已有攻击的特征、安全策略的配置等技术进行防御,也被称为静态防御。由于无法及时发现各种威胁的特征,新型网络攻击技术自动化和攻击效率也在不断提高,同时人员或管理漏洞等各种威胁,导致传统安全的静态防御体系很容易被攻破。从“棱镜门”等安全事件分析来看,黑客利用身份欺骗、篡改、窃密等攻击手段,专注于对可信安全部分的攻击已经成为智慧城市面临的最主要的攻击方式,因此,必须对智慧城市进行动态化、智能化的可信安全防御,可信安全体系建设已经成为智慧城市安全建设最核心、最重要的地位,建设安全可信保障平台对智慧城市各类设备、人员、行为等进行可信认证,以及保护数据的私密性、完整性,是智慧城市信息安全保障建设的基础和核心。 以数字证书、加解密等密码技术解决数据、操作行为、权限、对象等私密性、完整性和不可否认性,已成为世界公认的最有效的技术手段,甚至未来的量子密码体系也基本遵循这一体系,因此近几年密码技术已成为世界信息和网络安全最热门的技术,受到极大关注。 近年来,随着国家智慧城市试点工作深入开展,国内主要城市在智慧城市建设中已经充分认识到了可信安全建设的重要性和紧迫性,但是,全国的可信安全总体建设情况并不乐观,不规范建设的现象普遍存在。据权威机构统计,目前95%以上智慧城市的安全可信保障建设基本采用国外的密码算法和技术,而RSA1024算法、DES算法等大部分国外算法那已经被攻破,采用这类密码技术的可信安全体系其作用甚微,基本形同虚设,而有的甚至没有采用密码技术,安全性更是不言自明。“棱镜门”、“心脏出血”等重大安全事件再一次充分表明:国外密码技术的安全性存在严重的安全漏洞,基于国外密码技术进行可信安全保障形同虚设,因此,基于国产密码算法和技术进行安全可信平台建设已经成为智慧城市的当务之急。 1.3 市智慧城市建设现状 **市智慧城市建设是国家智慧城市建设试点的重要组成部分。根据市智慧城市建设总体规划,目前依托市云计算中心,市工业设计云平台、公共服务云平台已经建成并投入运行,电子政务云平台建设工作也已正式启动。 未来,市智慧城市建设将在启动工业设计、电子政务、公共服务云平台的基础上,依托云计算中心,陆续启动智能公交、智慧交通、市民卡、智慧旅游、智慧社区、智慧教育等重点项目,全力推动**市智慧城市建设和信息消费健康快速发展。

图1-3 市智慧城市整体建设内容 1.4 **市智慧城市建设存在的安全问题 通过对市智慧城市云平台目前的建设方案和总体框架分析发现:安全层基本上是市智慧城市建设的空白,如图1-4所示。市智慧城市建设仅部署了防火墙等传统安全产品,没有采用密码技术进行可信安全建设,也没有采用国产密码技术实现可信安全防御,可信安全已经成为**市智慧城市建设最大的安全漏洞。

图1-4 威海市智慧城市建设总体框架 随着市智慧城市重点项目建设的推进,市智慧交通、智慧社区、市民卡等各种智慧应用对市智慧城市云平台的依赖程度将会越来越高。如果没有采用基于国产密码技术进行可信安全保障,非法用户可以随意盗用合法用户身份从事非法操作,智慧社区、交通等各种敏感数据可以轻易被非法篡改和窃取,各个节点的信息采集录入、应急指挥等行为也无法进行真实性和权威性鉴别,这些都将对威海市智慧城市的建设构成严重的安全威胁。 由于市智慧城市的信息安全将直接关系到市城市安全、社会安全、政府安全等各个方面,一旦可信安全部分出现严重漏洞,后果将不堪设想。因此,建设以国产密码技术为基础的安全可信保障平台,从根本上解决市智慧城市云平台的人、设备等身份的可信认证、敏感数据的私密性和完整性保护,以及对各种操作行为进行有效的责任追溯和认定,已经成为**市智慧城市建设的当务之急,刻不容缓!

评论