【公共信息安全遭遇挑战】 公共信息安全

公共信息安全遭遇挑战

公共信息安全遭遇挑战 在全球打造智慧城市的浪潮中,利用先进的信息安全技术是必然,其覆盖 领域及范围还将越来越宽,公共信息安全遭受到前所未有的挑战。谁动了我们的 数据是担心,是现实,会不会也成为未来 一个名叫斯诺登的美国人,使得全世界的人们对于信息安全有了更进 一步的了解,好奇、恐惧、担忧等因“棱镜门”而生的复杂情绪得以持续发酵。然 而,我们站在大洋彼岸隔岸观火之时,一场最为现实的公共信息安全事件让不少 国人惊觉,原来我们亦遭受着公共信息泄密的危险现实。

2014年底,一到“春运”就爱“掉链子”的12306网站,又因用户数据被 泄露而再遭公众的疯狂吐槽。去年12月25日,专注于互联网安全漏洞报告的乌云 平台发布报告称,大量12306用户数据在互联网疯传,包括用户账号、明文密码、 身份证、邮箱等,导致用户资料大量泄露。很快,乌云平台的这项报告就得到了 12306官方网站的正面回应,其发布公告称,经认真核查,此泄露信息全部含有 用户的明文密码。

12306网站信息泄露事件仅仅是公共信息安全隐患的冰山一角。在全 球打造智慧城市的浪潮中,利用先进的信息技术不仅是必然,而且其覆盖领域及 范围还将越来越宽,公共信息安全也因此遭受到前所未有的挑战。

近六成人认为公共信息安全面临威胁 “在利用先进信息技术打造智慧城市的过程中,您认为是否会面临着 公共信息安全的威胁呢”这是“2015中国平安小康指数”调查问卷的一道题目,结 果显示,59%的人选择“是”,33.8%的人表示“不好说”,仅有7.2%的人认为“不是”。

对此,中国信息通信研究院泰尔终端实验室信息安全部副主任、高级 工程师落红卫亦给出了肯定的答案。

显然,理解智慧城市公共信息安全首先要对它所处的大环境——智慧 城市有所了解。落红卫告诉《小康》记者,智慧城市概念的提出本质上是为了解 决一系列城市发展所面临的问题:诸如人口增加使得本就局促的社会资源更显稀 缺,需要通过一系列技术手段来解决这些问题,进而支撑整个城市的发展。“信 息技术就是比较好的选择,用信息技术加上城市建设和管理以达到智慧城市的目标。”落红卫说,通过包括物联网、云计算、大数据、移动互联网在内的信息技 术,使得城市变得更智能,资源配置更合理。

然而,在智慧城市建设之路上,信息安全必将受到前所未有的挑战。

落红卫举例说,人行走在原始的荒原之上,基本不会有安全问题,而一旦修好了 路,人开始奔跑,就有了摔倒的风险。当道路修建得更好,人可以穿上旱冰鞋进 行快速滑行,危险系数也会伴着更高速的运动而提高。“智慧城市建设就如此, 在其高速发展过程中,信息越来越便捷,完成的工作也越来越重要,风险系数必 然有所提升”。

在2014年,诸多公共信息安全事件让人瞠目结舌,除了12306网站用 户信息泄露、“棱镜门”持续发酵外,俄罗斯与乌克兰黑客在网络空间展开激战、 韩国核电站关键信息被窃取、携程网曝支付信息泄露漏洞、圆通快递官网漏洞泄 露1400万用户信息等等,无一不暴露出公共信息安全的脆弱性。对此,落红卫解 释称,网络安全特性之一就是相对性,安全和风险永远是一个动态性的问题,没 有绝对的安全,从内部因素来看,一些安全隐患和漏洞是无法避免的。另外,智 慧城市把用户资产、国家资产等放到信息管理网络中来,有资产,就会引人重视, 继而发起攻击。内外因素共同作用于智慧城市建设,就对信息安全形成了威胁。

最担心政务管理信息被泄露 虽然我国的智慧城市建设与欧美发达国家相比仍有较大差距,但是在 建设过程中,其覆盖范围已经延伸到涉及民生的方方面面。究竟公众最担心哪些 应用项目的信息被泄露呢“2015中国平安小康指数”调查结果显示,27.5%的人选 择了政务管理运营平台,23.8%的人认为是健康医疗服务,21.6%的人选了安居 服务,20%的选择了公共服务,选择教育文化服务与交通的分别为4.7%和2.4%。

与此相对应的是,在“最需要加强信息安全的应用项目”一题的调查中, 26.3%的受访者指向了“智慧政务城市综合管理运营平台”,使得该选项在智慧公 共服务、智慧交通、智慧服务应用等八大类应用项目选项中排名首位。

政务管理运营平台的公共信息层面较高,主要涉及公安部门、法院系 统以及政府各部门。机密信息泄露会对当地乃至国家产生较大影响。在落红卫看 来,在我国政务管理运营平台建设方面,仍存在一些欠缺。不少政务系统相对封 闭,而就整个国家信息技术发展来看,一些技术并没有在政务平台得到很好的应 用。可能产生的结果是,外部信息网络发达,而政务平台自身比较脆弱,这样就不可避免存在一定安全风险。

据英国BBC网站报道,2014年10月12日,网络黑客组织“匿名者”在当 日入侵逾52个中国政府网站,盗取了四万多个电邮账户的私人资料和密码,水利 部、教育部和人社部的网站一度无法显示。

落红卫建议,保障政务运营平台的信息安全首先要依靠法律法规制约, 这是第一级别的威慑,需要制定严格处罚规章。另外,还需要引进最先进的技术, 在安全建设和安全运维方面也要特别加强。

公共信息终归是由一个个用户信息汇聚而成,其二者的关系就是大数 据与小数据的关系。个人信息收集到一定程度形成大数据,后者体现规律性问题, 前者则是针对每一个个体。大数据来源于小数据,并服务于小数据,两者相互补 充。一旦大数据出现泄露可能直接影响个人隐私被泄露。

而以上正是人们所担心的。43.6%的人认为,智慧城市建设中最有可 能面临的信息安全威胁就是个人隐私的泄密。人们最担心哪些个人隐私被泄露呢 85.5%的人选了个人身份信息,72.9%的人认为是个人金融交易,58.7%的人认为 是个人资产,38.8%的认为是出行轨迹,选择个人喜好的占19.3%。

保护信息安全:技术与管理并行 “在智慧城市发展过程中,一定是两手并行发展,一方面让信息技术 更发达,同时也需要信息安全网络安全的措施加以保障。”落红卫补充道。

在保护信息安全措施一题的调查中,加强信息系统安全运行监管,加 强立法、规范、标准的制定和建立信息安全事件应急处置机制被受访者认为是保 障信息安全最有效的三个措施。对此,落红卫表示认同,但他也指出,对于完整 的信息安全保护而言,这还远远不够。

落红卫表示,保护信息安全要遵循四大原则,第一是全面性原则,坚 持技术与管理并重。在技术层面上涉及物理安全、网络安全、主机安全、应用安 全以及数据安全。在管理层面上同样有五个层次,即安全机制、安全管理、人员 安全、建设安全以及运维安全。如果只强调技术而轻视管理,有些黑客完全可以 通过最粗鲁的方式进行破坏。第二个原则是相对性,安全是个动态过程,需要对 保护技术进行相应提升。第三是针对性原则,安全方案一定是针对某一个或某一 类安全威胁而制定。第四是层次性原则,即逐级增强安全措施。落红卫特别强调了信息安全立法的重要性,他认为法律是所有工作的 基础,只有将其作为根本,再相应出台一些部门规章,加上技术与管理,几方面 同时并重,才能真正达到对信息安全的保护。

除信息安全外,公共安全与应急管理也是建设平安的智慧城市的重要 内容。目前,欧美不少国家已经开始把大数据等新技术运用到公共安全与应急管 理中,并取得了一定成效,最为显著的是,利用空间感知系统打击恐怖活动和预 防违法行为等。很多参与“2015中国平安小康指数”调查的受访者亦表达了此类意 愿,那么他们希望将哪些项目最先纳入智慧城市的建设当中“呼声”最高的五项是 食品安全(81.4%)、社会公共安全(75%)、公共卫生安全(74.9%)、消防安全(38.7%) 和生产安全(37.9%)。

作者:尤蕾 来源:小康 2015年13期