在这个科技纵横的时代,大家都在提倡智慧城市,但是真正的智慧城市是什么样的呢?只是万物互联,在办公室能远程遥控家里的冰箱洗衣机运作的生活模式吗?必然不是的,在大家无限憧憬智慧生活的同时,还在有人为这种生活的安全所思考着。在两会召开之际,信息安全行业的先行者启明星辰CEO严望佳提出了涵盖企业首席信息安全官、移动支付安全和智慧城市安全的议案。
提到智慧城市就总会与IoT相关,如今做这两方面的企业数不胜数,有种当时互联网浪潮的即视感,但是就在这种浪潮下,却鲜有人提到安全问题,似乎面对安全问题大家都会避而不答。
智慧城市其实不是新的技术形态,而是一种新型的技术应用模式,在这种模式下的主体从个人、机构变成了区域、城市。但是在现实的城市信息化下,提及安全问题大家都会有所顾虑,可是认知亦薄弱,最终导致安全方面的措施非常少。智慧城市与物联网密切相连,MCP(M=人的意识;C=系统;P=现实)的P确确实实是暴露在外的,设备、联线就真的可以进入到信息系统,盗取信息,而这也是现在智慧城市所面临的安全问题。
智慧城市有大量的数据,数据化之后的数据采集、存储和保护过程。在这些过程中,智慧城市安全投入的比例比现有成熟的机构所投入的成本可以差出一个数量级。此外,智慧城市的建设中有一个词极其重要并出现在提案中,那就是安全先行。
如何理解这个词?启明星辰首席战略官(CSO )潘柱廷说:“以前,我们在智慧城市的安全问题上,是查漏补缺,先干,后来再打打补丁。现在叫三同步,同步规划、同步建设、同步运行;现在提出,希望突出安全先行。之前有专家问安全怎么可能先行?打个比喻,你还没有移动支付,我跟你先做移动支付安全,从客观上说这行不通。作为一个机构、一个项目,安全不可能先于业务。但是智慧城市是一个大格局大平台,有大量的局部在这个整体中,局部的安全虽然滞后于这个局部的业务,但可将此局部的安全先行于整体中的局部,达成整体的安全先行。”由此,“安全先行”可简洁的解释为“先行规划、同步设计;先行测试、同步建设;先行预警、同步运行。”
另外,在严望佳提出的《关于智慧城市信息安全建设的提案》中,尝试提出来责任人和责任主体的问题,对智慧城市的建设责任体很清楚,谁建设谁获益。但是智慧城市的安全谁来负责,也是希望在智慧城市发展过程早期就明确智慧城市安全的责任主体,这也是提案里面提出来的建议。
严望佳在《关于以首席信息安全官为关键责任人构建关键信息基础设施保护责任体系的提案》的提案中,针对运营者负责关键信息基础设施的运营,防范境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治网络违法犯罪活动,维护网络空间安全和秩序等问题,提出“以首席信息安全官CISO为关键责任人,构建关键信息基础设施保护责任体系”的建议。
责任人是责任体系中必不可少的,而保险是完善责任体系的一种重要方式。安全责任应该明确由谁来承担,并且要落实到位。针对公共基础设施的侵入、干扰和攻击,是国家所严厉打击的,所以拥有一套完善的责任体系是非常重要的。在责任落实过程中,经常会被问到“这个问题应该由谁来负责?”,但即使有些责任与权力已经具体落到个人,其实还是需要借助其他形式来完成包含在百分百中的残余风险的责任负担。企业安全不应仅仅口号式地说由全员、一把手和业务部门负责,而是应该由很明确的内部专职负责人和部门负责和监督。全员、一把手、业务部门都有其必须承担的责任,但还需关键的专职进行复杂和监督。在网络安全领域以某种财产险的形式去设定一个险种,是一件非常有意义的事情。
严望佳认为,还需要划分详细的关键基础设施、敏感部门、政府机构范围。作为安全领域的先行者,启明星辰在看到产业格局的调整后,认为责任不仅是靠产业需求侧自己给自己的,也需要监管方给需求侧压力。智慧城市、物联网、云计算带给了需求侧变化,威胁侧也会出现跟踪性新攻击。面对如此复杂格局,监管侧须要先行,提出适当超前的要求,才能适应整个格局的瞬息变化。