安全牛评:如果说互联网开启了“数字化生存”时代,那么,智慧城市为我们许诺的则是“数字化生活”。从“丛林”到都市,从生存到生活,人们在享受智慧城市“万物互联”的同时,对信息安全的焦虑也在与日俱增。一座智慧城市的良心:不是下水道,而是信息安全的“基建”水平。
在目前的信息化时代,基于信息技术的各种应用不断出现,电子商务、实时GIS服务(地理信息系统服务)、在线社交、网络大文娱、视频直播等信息技术的发展。特别是2020年,Covid-19的全球性爆发,极大地改变了人们的生产和生活方式,远程办公、远程问诊、在线教育等社会服务蓬勃发展,加之5G的快速推进,促使着人们对城市服务提出了更高的要求,催生了新时代信息化的城市基础设施建设的安全需求。随之而来新基建的推进,以信息技术为代表的科技进步,提供了城市发展和创新的新思路,智慧城市由此诞生并日益成熟,“云在算、数在转、机器在干”正在成为人类生活的普遍形态。
而随着智慧城市信息业务的展开,越来越多的网络安全隐患逐渐暴露,网络诈骗事件和数据泄露事件常常见诸报端,如明星健康宝照片泄露,1,000多位艺人的身份证号仅售1元;镇江丹阳警方侦破的侵犯公民个人信息案件,30人贩卖6亿条个人隐私数据,获利800余万;杭州中院公开庭审“中国人脸识别第一案”。从此种种,我们发现在智慧城市的构建中不仅要注重信息技术发展的便捷性,还需必要性地考虑信息化建设的网络安全性问题。
近日安全牛有幸邀请到杭州安恒信息技术股份有限公司高级副总裁杨勃先生,围绕智慧城市如何建设信息安全等话题展开了一系列讨论与分享。
杨勃
杭州安恒信息技术股份有限公司高级副总裁,首席云安全技术官。在信息安全技术领域有着13年的丰富经验,负责安恒信息云安全研究及产品研发工作,输出云安全理念与实践、城市大数据治理与智慧城市治理等成果,广泛涉猎政府、教育、医疗、运营商和金融等行业。
安全牛:当前,智慧城市和新基建成为目前城市发展的主旋律,根据您的从业经验,当前智慧城市建设中的安全痛点有哪些?
杨勃:由于城市信息化的需求,智慧城市在构建之初搭载了一系列的信息化基础设施来满足城市居民的衣食住行。特别是政务、商务等业务陆续上云后,网络与资源从集中封闭的实体化逐渐呈现出分布式虚拟化的特征,从而引起了多云业务复杂化和边界模糊化。云上的网络应用和数据快速增长,多种业务的开展形成了云资源的多样化和巨量化,各类个人信息和业务信息使得数据价值高,网络应用风险也随之增加。
从技术生态体系上来说,我们通常把智慧城市构建分为云—网—数—端这四部分。从云端的计算服务和资源调动,到庞大网络系统的交互传输,再到大数据的全生命周期,最终到具体用户场景的端点应用,整套体系环环相扣、相互作用,没有信息安全的智慧城市构建,就像是没有锁的防盗门,结实的门板看似坚不可破,却可轻松打开。
而智慧城市网络结构中,多云业务复杂化,网络边界模糊化以及云资源的多样化和巨量化,无论在技术上和管理上都对信息安全的构建提出了更高水平更严格的要求,但由于建设系统的庞大性与复杂性、网络恶意攻击的不断升级等因素,导致网络空间在互联网蓬勃发展同时,逐渐表现出与信息安全建设的不平衡性。
安全牛:您刚才提到的网络信息化发展与信息安全建设的不平衡性,请问这种不平衡性主要表现在什么方面,可以展开讲讲吗?
杨勃:如2020年的Covid-19事件,在线办公、网课服务、远程医疗逐渐深入人们的生活。在2020年上半年,在线业务喷井式发展,企业信息资产迅速增加,为了完成快速的迭代或上线,部分企业的很多在线端口在完成某个特定任务之后并没有及时关闭或纳入常规化管理,从而导致部分携带重要用户信息或企业信息的网络资产成了“三不管”,在互联网中长期开放。2020年,社交媒体爆出了不少案例,如未妥善管理的云主机遭遇病毒感染,服务器数据被恶意加密,暗链、挂马、篡改事件常有发生,勒索、网络诈骗事件层出不穷。这些网络安全事件严重干扰了企业的正常业务的开展,甚至某些网络安全事件危及企业的生存。
与此同时,高价值的数据信息,让这一生态有利可图。根据安恒的安全数据大脑对全球约200个黑客组织的长期跟踪,我们发现,近年来黑客组织已经逐步集团化和专业化,一些代表某些地域利益或民族利益的国际性黑客团伙常年活跃在互联网中,并且由于利益可观,黑客组织还在实时更新攻击手段和工具。
对于智慧城市而言,城市中的经济主体庞大、人口众多,近几年由于法律法规与网络监管的力量,以及相关单位持续举办如净网行动、护网行动这类网络安全活动,政府和事业单位的安全状态日渐好转;而对于企业,很多企业在网络空间处于孤军奋战的状态,或者由于业务和市场需求的风口式发展,网络安全很多时候需要妥协于业务。不可忽视的是由于企业的安全建设投入大,安全运营成本高,导致企业特别是中小型企业,在网络安全建设中处于弱势地位。因此,智慧城市的网络安全整体态势参差不齐,企业安全是智慧城市网络安全领域的薄弱点之一。智慧城市,亟需构建一套完整的网络安全联动防御体系。
安全牛:很多企业用户在做安全建设中,无法很好地选择适合自己的安全防护计划,请问您有什么建议?
杨勃:不同规模的企业,在安全规划上的投入有一定的差别。
对于中小企业:建议采用轻量化、软件化和SaaS化的安全防护计划,主要做好防篡改、防泄漏、防中断和防勒索这四个方面。
对于大型企业:一般具有体量较大、数据较多和系统复杂等特点,因此建议实体化、体系化和实战化安全防护建设方案,如“实战化防护七剑四式”方案,提供实体化、体系化和实战化安全防护建设方案、产品和服务,满足企业的等保合规要求和安全防护需求。主要表现以下五步为:
- 第一步:安全意识,等保合规
- 第二步:查漏补缺,摸清家底
- 第三步:安全监测,威胁情报
- 第四步:数据安全,纵深防御
- 第五步:持续运营,统一管理
安全牛:某些初创企业没有组建专门的安全团队,如何帮助他们做好自身的网络安全工作呢?
杨勃:在云计算发展蓬勃趋势与相关政策法规保障的双重条件下,中小型企业乘着云的力量,实现算力上云,在云上享受良好的企业服务。对于网络安全工作,基础性的安全能力是云平台自身赋予的,对于增值性的安全能力,如终端安全、数据安全等,可通过SaaS化安全服务实现,实现一站式安全服务全托管,投入少,见效快。
安全牛:您认为安全建设工作中,良好的交付模式将会是什么样的?
杨勃:信息安全,将会是城市智慧建设工作的一块重要木板,而企业安全,将决定这块重要木板中的长度。安全赋能企业,将会以两种形式出现:
- 创新安全服务模式,通过统一能力方式,为企事业单位输出强有力的安全分析、编排、响应和运营能力,对算力、数据、流程和机制等提供完整的创新安全服务,再在威胁信息共享、安全知识培训等内容的支撑下,为安全结果负责。
- 共享安全平台模式,通过统一建设平台,服务多个企业对象的模式来降低单个用户的安全建设成本,协助等保预测评并帮助解决等保测评后存在的安全技术问题。通过一站式的安全解决方案,集中化、集约化地为不同的企业用户提供不同的安全套餐,为更多用户提供服务。
安全牛:上了一系列的安全防护体系之后,是否可以万无一失?
杨勃:没有万无一失,只有未雨绸缪。除了联动响应和纵深防御之外,网络安全保险服务将是为安全技术服务兜底的最佳选择。
网络安全保险服务,可实现对用户信息系统事前预防(风险评估、系统加固)、事中防护(实时监测、应急响应)、事后补偿(保险赔付)的全周期保障。用户可根据自身需求和风险偏好,选择合适的保障范围和保险额度。该保险服务可覆盖第一方风险和第三方风险,针对第一方的保险责任主要针对投保企业自身的资产,包含网络安全事件造成的业务中断损失、网络勒索损失、数据泄露损失、企业名誉损失和法律费用等;针对第三方的保险责任主要包括第三方数据的泄露、丢失、损坏等风险。
因此,更加实惠便捷的网络安全保险服务,是作为转移信息系统安全剩余风险的有效辅助措施,有效实现了“有防有保”的网络安全风险管理闭环新模式。
