启明星辰的安全观：智慧城市 安全先行

如果一名黑客利用勒索软件控制城市供水系统，或通过增加氯的浓度，污染城市用水，最后索要赎金。你认为会出现什么样的结果。不管怎样，一旦发生这样的事情，将把整个城市市民置于危险境地。这不是科幻小说，它是近期美国一所大学研究人员的成果。

除了这些，最近受到广泛关注的雅虎3次数据泄露、低价即可购买个人全部信息等事件都与网络安全息息相关。网络安全说大了，关系国家安全，说小了，与我们每个人的日常生活息息相关。在北京召开的2017两会，作为信息安全行业领导者的启明星辰，其CEO严望佳提出了涵盖企业首席信息安全官、移动支付安全和智慧城市安全的议案。

关键信息基础设施成为关注重点

严望佳提出了《关于以首席信息安全官为关键责任人构建关键信息基础设施保护责任的提案》。提案指出，“防范境内外的网络安全风险和威胁，保护关键信息基础设施免受攻击、侵入、干扰和破坏”。的确，关键信息基础设施影响重大，事关人们的日常生活。

假如在冬天，城市供暖系统遭黑客劫持，暖气被切断，即使短短几个小时，就能影响数千万居民，危害重大，这将给城市生活造成巨大打击。

“如果使用勒索软件攻击，一般是针对个人，当然软件和技术手段可用在基础设施上”,启明星辰的首席战略官(CSO )潘柱廷说，“如果用勒索软件锁住你的电脑，勒索一定钱财，影响还在个人。但是通过控制关键基础设施，比如自来水、电力、暖气等，那就不是普通的勒索行为，这已经属于妨碍公共安全的严重性质。勒索个人，个人可以选择妥协或对抗;而勒索控制公共设施，这就无法退让，必须用国家强力给予打击。”

当今的攻击更加复杂 从单一层面上升到MCP三个层面

对于安全问题，不仅需要技术手段来防御和保障，更需要每个人提高安全意识。意识这个东西最难培养，打个比喻：假如你每天宣传人们需要买车险，这样才能保障安全，减少损失，那么人们不一定有车险的意识。

事实上，购买保险需要花费人们的时间、金钱和精力，这是人们不愿付出的。如果没有遭遇交通事故，大多数人们还是不会主动去购买车险。而一旦发生一次交通事故，人们就会转变态度，积极购买车险。安全意识也是同样的道理，你每天宣传，还没有受到1次攻击，看到损失有效。

潘柱廷表示，整个安全问题可以划分为三个层面，称为MCP。“其中，M代表人的意识，C是系统，P则是现实。社会上发生侵害人们资金的三个手段，就是与MCP对等的，”他说，“最开始时，直接偷你的钱，其次，变成通过欺骗影响你的意识和决策来侵害你的钱，这就是诈骗，称为M。有了计算机以后，手段变成利用攻击技术，比如黑掉你的银行账户和计算机、偷盗你的银行密码等。”

现在，网络攻击把MCP变成一个矩阵，对你进行意识、系统和现实三个层面的攻击。将来，攻击面和攻击效果可能出现在意识层、计算机层和现实层。

对企业来说，除了要加强安全保障和防护外，更重要地是把安全责任具体落实。以企业为例，虽然不断提到应该设立首席信息安全官，但是连CIO都不常见。企业安全到底有谁负责？潘柱廷提到了现实中存在的情况，“说全员负责，结果没人管;还有一把手负责，他的事情太多，也管不了;甚至由业务部门负责也变成没人管。”

对这个问题，他提出自己的建议，企业安全不应仅仅口号式地说由全员、一把手和业务部门负责，而是应该由很明确的内部专职负责人和部门负责和监督。全员、一把手、业务部门都有其必须承担的责任，但还需这个专职的关键存在。另外，最好再把安全保险加入进来。

建设智慧城市 安全先行 打造堡垒式的构建方式

最近几年，智慧城市作为一个新兴事物，受到极大关注，严望佳提出了《关于智慧城市信息安全建设的提案》。如果说，对个人和企业来说，安全问题不是很复杂，但是一旦上升到整个城市，那么面临的安全风险将是未知的。

未来的智慧城市涵盖智慧交通、智慧医疗、智慧系统以及智慧医院等方方面面，可以称之为系统性的大工程。同时，智慧城市建设中还涉及到大量的数据收集、存储、管理和分析，如何保证数据安全成为新焦点。

对此，潘柱廷说：“智慧城市并不是新的技术形态，而是新技术应用模式。这个时候，我们看待的主体就发生了变化，从个人、机构变成一个区域、城市，就像影响到整个区域和民生的自来水、煤气。”

现实情况下，城市信息化之后，安全保护非常少，基本属于“裸奔”。并且，大家对这件事情的认识又非常弱。他给我们举了一个例子：如果找一个施工围栏，扛着一个梯子去那，到现在任何一个交通摄像的地方。用围栏一拦，上去装东西，没有人会阻拦你。“智慧城市与物联网密切相连，MCP的P是暴露在外，设备、联线可以直接进入你的信息系统，这是目前智慧城市面临的问题。”

此外，智慧城市的安全投入没有跟上。智慧城市拥有大量的数据，在数据的采集、存储和保护过程中，智慧城市安全投入的比例与现在成熟机构的投入根本差一个数量级。

在智慧城市中，由于联网设备的大量增加，现实中存在大量的物与物、物与人和人与人的连接，如果黑客攻击一个设备，后果会是“滚雪球式”吗？对此，潘柱廷说：“安全问题归根结底是内外问题，存在内部和外部两个方面。如果有人说，云计算或之后边界消失，那是不懂安全的说法。”

他甚至以西游记为例，如果孙悟空给唐僧画个圈(西游记中，圈具有保护作用)，这是个人问题;如果他把八戒和沙僧都放在里面，那就成为一个机构(西天取经团)。

“当智慧城市出现后，这不是一个可以很容易被圈起来的机构或区间，自己完全形成了一个供给，区间变成空间，呈现立体化，”潘柱廷说，“区间边界清晰，但是空间不好划分，你可能会觉得网络必须要清楚你的位置，比如说交管局一出线已经是不可控的，很难处于控制下。”