如果一名黑客利用勒索軟件控制城市供水系統,或通過增加氯的濃度,污染城市用水,最后索要贖金。你認為會出現什么樣的結果。不管怎樣,一旦發生這樣的事情,將把整個城市市民置于危險境地。這不是科幻小說,它是近期美國一所大學研究人員的成果。
除了這些,最近受到廣泛關注的雅虎3次數據泄露、低價即可購買個人全部信息等事件都與網絡安全息息相關。網絡安全說大了,關系國家安全,說小了,與我們每個人的日常生活息息相關。在北京召開的2017兩會,作為信息安全行業領導者的啟明星辰,其CEO嚴望佳提出了涵蓋企業首席信息安全官、移動支付安全和智慧城市安全的議案。
關鍵信息基礎設施成為關注重點
嚴望佳提出了《關于以首席信息安全官為關鍵責任人構建關鍵信息基礎設施保護責任的提案》。提案指出,“防范境內外的網絡安全風險和威脅,保護關鍵信息基礎設施免受攻擊、侵入、干擾和破壞”。的確,關鍵信息基礎設施影響重大,事關人們的日常生活。
假如在冬天,城市供暖系統遭黑客劫持,暖氣被切斷,即使短短幾個小時,就能影響數千萬居民,危害重大,這將給城市生活造成巨大打擊。
“如果使用勒索軟件攻擊,一般是針對個人,當然軟件和技術手段可用在基礎設施上”,啟明星辰的首席戰略官(CSO )潘柱廷說,“如果用勒索軟件鎖住你的電腦,勒索一定錢財,影響還在個人。但是通過控制關鍵基礎設施,比如自來水、電力、暖氣等,那就不是普通的勒索行為,這已經屬于妨礙公共安全的嚴重性質。勒索個人,個人可以選擇妥協或對抗;而勒索控制公共設施,這就無法退讓,必須用國家強力給予打擊?!?/p>
當今的攻擊更加復雜 從單一層面上升到MCP三個層面
對于安全問題,不僅需要技術手段來防御和保障,更需要每個人提高安全意識。意識這個東西最難培養,打個比喻:假如你每天宣傳人們需要買車險,這樣才能保障安全,減少損失,那么人們不一定有車險的意識。
事實上,購買保險需要花費人們的時間、金錢和精力,這是人們不愿付出的。如果沒有遭遇交通事故,大多數人們還是不會主動去購買車險。而一旦發生一次交通事故,人們就會轉變態度,積極購買車險。安全意識也是同樣的道理,你每天宣傳,還沒有受到1次攻擊,看到損失有效。
潘柱廷表示,整個安全問題可以劃分為三個層面,稱為MCP?!捌渲?,M代表人的意識,C是系統,P則是現實。社會上發生侵害人們資金的三個手段,就是與MCP對等的,”他說,“最開始時,直接偷你的錢,其次,變成通過欺騙影響你的意識和決策來侵害你的錢,這就是詐騙,稱為M。有了計算機以后,手段變成利用攻擊技術,比如黑掉你的銀行賬戶和計算機、偷盜你的銀行密碼等?!?/p>
現在,網絡攻擊把MCP變成一個矩陣,對你進行意識、系統和現實三個層面的攻擊。將來,攻擊面和攻擊效果可能出現在意識層、計算機層和現實層。
對企業來說,除了要加強安全保障和防護外,更重要地是把安全責任具體落實。以企業為例,雖然不斷提到應該設立首席信息安全官,但是連CIO都不常見。企業安全到底有誰負責?潘柱廷提到了現實中存在的情況,“說全員負責,結果沒人管;還有一把手負責,他的事情太多,也管不了;甚至由業務部門負責也變成沒人管?!?/p>
對這個問題,他提出自己的建議,企業安全不應僅僅口號式地說由全員、一把手和業務部門負責,而是應該由很明確的內部專職負責人和部門負責和監督。全員、一把手、業務部門都有其必須承擔的責任,但還需這個專職的關鍵存在。另外,最好再把安全保險加入進來。
建設智慧城市 安全先行 打造堡壘式的構建方式
最近幾年,智慧城市作為一個新興事物,受到極大關注,嚴望佳提出了《關于智慧城市信息安全建設的提案》。如果說,對個人和企業來說,安全問題不是很復雜,但是一旦上升到整個城市,那么面臨的安全風險將是未知的。
未來的智慧城市涵蓋智慧交通、智慧醫療、智慧系統以及智慧醫院等方方面面,可以稱之為系統性的大工程。同時,智慧城市建設中還涉及到大量的數據收集、存儲、管理和分析,如何保證數據安全成為新焦點。
對此,潘柱廷說:“智慧城市并不是新的技術形態,而是新技術應用模式。這個時候,我們看待的主體就發生了變化,從個人、機構變成一個區域、城市,就像影響到整個區域和民生的自來水、煤氣?!?/p>
現實情況下,城市信息化之后,安全保護非常少,基本屬于“裸奔”。并且,大家對這件事情的認識又非常弱。他給我們舉了一個例子:如果找一個施工圍欄,扛著一個梯子去那,到現在任何一個交通攝像的地方。用圍欄一攔,上去裝東西,沒有人會阻攔你?!爸腔鄢鞘信c物聯網密切相連,MCP的P是暴露在外,設備、聯線可以直接進入你的信息系統,這是目前智慧城市面臨的問題?!?/p>
此外,智慧城市的安全投入沒有跟上。智慧城市擁有大量的數據,在數據的采集、存儲和保護過程中,智慧城市安全投入的比例與現在成熟機構的投入根本差一個數量級。
在智慧城市中,由于聯網設備的大量增加,現實中存在大量的物與物、物與人和人與人的連接,如果黑客攻擊一個設備,后果會是“滾雪球式”嗎?對此,潘柱廷說:“安全問題歸根結底是內外問題,存在內部和外部兩個方面。如果有人說,云計算或之后邊界消失,那是不懂安全的說法?!?/p>
他甚至以西游記為例,如果孫悟空給唐僧畫個圈(西游記中,圈具有保護作用),這是個人問題;如果他把八戒和沙僧都放在里面,那就成為一個機構(西天取經團)。
“當智慧城市出現后,這不是一個可以很容易被圈起來的機構或區間,自己完全形成了一個供給,區間變成空間,呈現立體化,”潘柱廷說,“區間邊界清晰,但是空間不好劃分,你可能會覺得網絡必須要清楚你的位置,比如說交管局一出線已經是不可控的,很難處于控制下?!?/p>
掃一掃在手機上閱讀本文章