1.4 城市无处不在的网络安全威胁
智慧城市是城市信息化发展的高级阶段,是城市可持续发展的内在需求,其核心是新一代信息通信技术与城市发展的深度融合,提供各种智慧化的信息服务,实现改善城市人居的环境质量、优化城市管理和生产生活方式、提升城市居民的幸福感受。信息化技术是手段,也是重要的工具,因此智慧城市的发展,离不开信息化技术的发展与应用。然而古往今来,很多技术都是“双刃剑”,一方面可以造福社会、造福人民,另一方面也可以被一些人用来损害社会公共利益和民众利益。信息化的发展,新技术的运用,在推动智慧城市发展的同时,也带来了新的网络安全隐患和风险。
1.4.1 信息化发展与网络安全的博弈
当今世界,信息技术革命日新月异,对国际政治、经济、文化、社会、军事等领域发展产生了深刻的影响。信息化和经济全球化相互促进以及互联网融入社会生活的方方面面,深刻改变了人们的生产生活方式。我国正处在这个大潮之中,受到的影响越来越深。在我国,互联网和信息化工作已取得了显著发展成就,2014年,我国互联网用户数达到6.49亿人,位居全球第一,互联网普及率达47.9%,电子信息产业全年完成销售收入达到14万亿,领先于全国工业发展水平。在我国已成为网络大国的同时我们也要看到,在自主创新方面我国还相对落后,核心技术受制于人的现象依然突出,网络安全问题依然严峻。长期以来,对网络安全与信息化发展的关系,存在一些争论,我们也确实看到,一些应用上去了,安全问题会随之而来;一些新技术出来了,传统的网络安全技术防线和管理规定就会失效,信息化发展和网络安全之间存在着天然的博弈。
2003年国家信息化领导小组发布的27号文件《关于加强信息安全保障工作的意见》提出,我国信息化建设的指导思想是“以安全保发展,在发展中求安全”。实践证明,这一指导思想是符合当时我国的经济状况和信息化发展水平。但是,近年来随着我国逐步成为全球网络大国,网络安全形势日趋严峻、复杂。我国网络安全所面临的内外形势都要求我们应该适时调整和改变我国的网络安全政策。正是在这样的背景下,信息化发展和网络安全成为以习近平总书记为核心的新一届政府治国理政思想的重要组成部分。党的十八大以来,站在新的历史起点上,习近平总书记根据目前国内外网络安全形势的变化,在多个场合反复强调治理互联网、用好互联网是一场“新的综合性挑战”,是一个“着眼国家安全和长远发展、统筹协调涉及经济、政治、文化、社会和军事等各个领域的重大问题”。还特别指出“我们务必要认清面临的形势和任务,充分认清网络安全和信息化工作的重要性和紧迫性,因势而谋、应势而动、顺势而为”。
习近平总书记的一系列重要论述,阐明了网络安全在国家安全体系中的重要战略地位。伴随着全球信息经济的高速发展,网络安全形势也越来越复杂。网络安全问题已经和食品安全、能源安全等一起成为全球性焦点问题。特别是斯诺登事件后,令全世界都感到了极度震惊和不安,也重重地敲响了我国网络安全的警钟。
在党的十八届三中全会上,习近平总书记进一步提出“网络和信息安全牵涉到国家安全和社会稳定,是我们面临的新的综合性挑战”。在国家安全委员会成立后不久,党中央又成立了中央网络安全和信息化领导小组,并由习近平总书记担任小组组长,在该小组第一次会议上,习近平总书记鲜明地指出网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题,并强调“没有网络安全就没有国家安全,没有信息化就没有现代化”,提出网络安全和信息化是“一体之两翼、驱动之双轮”,并进一步确立了“以安全保发展,以发展促安全”的指导思想。这些重要论断的提出,廓清了过去存在的模糊认识,阐明了网络安全和信息化在国家总体战略中的重要地位,表明党中央对国家安全以及网络安全在国家安全中的地位和作用有了更进一步的认识,对于网络安全治理具有纲领性和指导性的意义。中央网络安全和信息化领导小组的成立,将我国的网络安全和信息化工作提到了国家层面,充分体现出了党中央对保障网络安全、维护国家利益、推动信息化发展的坚定决心。
2014年4月15日,在中央国家安全委员会第一次会议上,习近平总书记提出了“总体国家安全观”,强调要构建包括信息安全在内的11种安全于一体的国家安全体系。总体国家安全观的提出,不仅是中国特色国家安全理论的重大突破,也为网络安全和信息化工作提供了基本遵循。2016年4月19日,习近平总书记在主持召开网络安全和信息化工作座谈会时正式强调:“网络安全和信息化是相辅相成的。安全是发展的前提,发展是安全的保障,安全和发展要同步推进。”如今,网络安全已经上升到和国家信息化同等重要的位置,我国信息化进程也已经从着重推进发展阶段进入到了更加注重网络治理和安全保障的阶段。处理好安全和发展的关系,做到协调一致、齐头并进,是习近平总书记基于社会信息化持续推进环境下加强国家安全治理的新思路,对国家网络安全治理具有创新性和引领性作用。
习近平总书记的系列重要论述,阐明了网络安全与信息化之间的辩证关系。安全是发展的堤坝。我们应该认识到,没有网络安全,信息化发展越快,造成的危害就可能越大,而没有信息化发展,经济社会发展将会滞后,网络安全也没有保障,已有的安全甚至会丧失。伴随着国民经济和社会信息化进程的加快,网络系统的基础性、全局性作用日益显现,保持信息化发展的持续稳定势必对网络安全的要求越来越高。新形势下如何处理好安全与发展的关系已经成为可以直接影响到国家总体布局、策略导向的重大问题。习近平总书记将网络安全和信息化形象地比喻为“一体之两翼、驱动之双轮”。这一比喻所蕴含的精髓,就是必须对二者进行统一谋划、统一部署、统一推进和统一实施,做到“以安全保发展、以发展促安全”,才能实现信息化的健康发展。网络安全是信息化推进过程中会必然出现的问题,只能在发展的过程中用发展的方式加以解决,要努力实现技术创新和体制机制创新,不断形成维护网络安全的新思路、新方法、新举措。
1.4.2 愈演愈烈的网络违法犯罪
随着计算机、智能手机等上网设备和QQ、微信、陌陌等聊天工具的普遍应用,利用网络实施犯罪的现象日趋严重,同时物联网、云计算、大数据、移动互联网等新一代信息通信技术的普及,更为不法分子的违法行为提供了空前的隐蔽性和便利性。在2017年1月召开的中央政法工作会议上,中共中央政治局委员、中央政法委书记孟建柱指出,我国网络犯罪已占犯罪总数的三分之一,并以每年30%以上速度增长,从个人信息泄漏,到网络电信诈骗、网络谣言,再到网络恐怖主义等可能给国家安全及个人安全带来威胁的各类违法犯罪活动愈演愈烈。
随着经济和科技的发展,计算机和网络开始走入普通人的生活,导致网络犯罪呈现出简单化的趋势。以往的网络犯罪,要求行为人具有相当程度的电脑编程、应用能力,才能实施破坏活动。而今却不然,侵入并破坏计算机的安全系统成了一般网民就能办到的事,因为在今天,打通或穿透整个系统的工具能在互联网上轻易获得,黑客们在互联网上开设的教授“如何入侵计算机信息系统”的网站比比皆是,任何一名“上心”的网民均能在短时间内自我“培训”成为一名黑客,致使普通人也可以利用现代科技带来的便利走上网络犯罪的道路,获取非法利益,给社会环境的稳定带来危害。其次网络犯罪实施起来极为便利,只需要一台可以接入互联网的设备即可,同时犯罪嫌疑人可在家里、办公室、网吧等任何有联网计算机的地方实施犯罪,甚至可以利用联网的手机实施犯罪,而且网络犯罪从始至终行为人都可以不直接接触被害人一方,这使大部分的网络犯罪行为呈现隐蔽性强的特点,而一旦犯罪成功其收益却不可限量。以通过网络实施诈骗为例,行为人可以通过多种方法骗取受害人钱财,金额可高达几千万,甚至上亿。因此,网络犯罪可谓典型的低投入、高产出犯罪,并且不仅仅是经济成本上的低投入、高产出,由于其实施手法上的隐蔽性,在风险程度上也是低投入、高产出的。反之,遏制、打击网络犯罪,却需付出相对大得多的反犯罪成本,导致铤而走险的不法分子越来越多。
随着大数据时代的到来,易获取的海量信息为我们带来了数不清的好处,人们的日常生活变得更加便利,企业能够更精准地为目标人群开发产品,政府决策的准确性也随之提高。但与此相伴的是,我们的个人信息包括隐私的泄漏风险也如影相随。就像电影《终结者》中的天网一般,每个人都是网上的一个节点,日常生活的一举一动都会以数据的形式在这张网络上沉淀下来。当这些数据被贩卖,我们就都成了资本眼中的“摇钱树”。我们怀着惊喜迎向新时代的阳光,却未能注意到我们身后的阴影正在变大。
沸沸扬扬的徐玉玉电信诈骗案,随着最后一名嫌疑的主动归案而告一段落。在信息大爆炸的时代里,人们的注意力很快就发生了转移,但伴随本案而暴露出来的,关于大数据时代的用户隐私保护问题正愈演愈烈,不断地提醒我们,其实我们每个人正在大数据的时代长河里“裸泳”。在“徐玉玉案”中,个人信息遭到泄漏是导致徐玉玉遭诈骗致死的重要原因,然而大多数人对以下几种情况一定不陌生:刚买完房,手机会接到多家开发商、中介机构的电话或短信;孩子刚出生,推销婴幼儿产品的广告纷至沓来;车险一到期,各大熟知你信息的保险机构就开始“轮番关怀”,公众对个人信息的泄漏早已见怪不怪了。正如360总裁周鸿祎指出的,大数据时代可以不断采集数据,当看起来是碎片的数据汇总起来,“每个人就变成了透明人,每个人在干什么,想什么,云端全部都知道。”
2016年,仅电信网络诈骗就立案63万起,占全部刑事案件的近10%。据统计,在欧美等发达国家,电信诈骗已成第一大犯罪类型,而在中国,近几年电信诈骗案年增速超30%。电信诈骗的频发与个人信息泄漏紧密相关,中国互联网协会发布的《中国网民权益保护调查报告2016》显示,2016年因信息泄漏而遭受的经济损失高达915亿元。网络非法获取公民个人信息日益猖獗,涉及身份信息、电话号码、家庭地址,扩展到网络账号及密码、银行账号及密码、购物记录、出行记录,且形成了“源头——中间商——非法使用人员”的黑色产业。机关单位、服务机构等掌握大量个人信息的企业内鬼利用自己的权限获取公民个人信息进行贩卖,不法分子通过技术手段实施攻击、撞库或利用钓鱼网站、木马、免费WIFI、恶意APP等技术手段窃取,这两种行为成为导致信息泄漏的主要成因。
我国面临的问题也是全世界面临的挑战。防范打击日益复杂的网络犯罪,需要不断完善网络立法,在应对网络犯罪过程当中提供新的规范支持和更为有效的制度支撑;需要在更大范围内实现综合协调、联动融合;需要深入推进基础信息化建设,充分运用大数据技术和信息化手段提升防控智能化水平,打造国家级网络安全中心,在推进我国智慧城市建设的过程中,更需要同步完善网络安全,提高城市应对网络安全风险的防范能力。
1.4.3 网络安全是智慧城市健康发展的基石
伴随着“互联网+”战略的推进以及国家“十三五”规划创新、协调、绿色、开放、共享发展理念的提出,我国智慧城市建设正在加快推进。据统计,截至2015年9月,全国95%的副省级以上城市、76%的地级以上城市,总计约500多个城市提出或在建智慧城市。
由于物联网、云计算、大数据、移动互联网等新一代信息与通信技术在智慧城市中的广泛应用,使智慧城市信息系统从孤立向全面互联互通、数据共享以及万物互联的方向发展。智慧城市的建设过程中,要利用先进的物联网感知技术,全面感知城市的要素和运行状态,要建立人与人、人与物、物与物之间的信息交互及过程,要通过海量数据收集及存储分析来挖掘系统间、人与物之间、人与人之间的联系规律等,势必导致智慧城市中存在着大量的信息系统以及这些系统中拥有海量的有价值信息,这些信息无疑是城市乃至国家的重要战略资源。如何确保这些数据、信息的安全,是智慧城市建设中务必要谨慎对待的重大问题。其次越来越多的城市基础设施会与互联网打通,传统的较为封闭的工业控制系统,也会尝试着互联网化,这样一来,传统的信息安全威胁将扩展到城市基础设施,可以借助互联网侵害城市基础设施的安全,导致智慧城市所面临的网络安全风险,不再仅仅是信息泄漏、信息系统无法使用等“小”问题,而是会对现实世界造成直接的、实质性的影响,如设备运行异常(交通瘫痪、城市运行停滞)、设备运行停滞(停水、停电、停气、停供暖)、设备损坏(零部件损坏甚至火灾事故)、环境污染甚至人员伤亡等。
大数据技术的发展,数据被喻为新时代的石油,是未来重要的生产资源,也是城市智慧升级的催化剂,对国家而言,对数据的掌握和利用已成为重塑国家竞争优势、完善国家公共治理体系、提高公共服务能力的关键,国家竞争力也将部分体现为一国对拥有数据的规模、质量以及运用数据的能力;对企业而言,数据驱动的创新应用成为企业全生产链条升级发展的全新模式,数据正在成为社会生产的新主导要素。大数据时代下,数据的产生、流通和应用更加普遍化和密集化,数据的集聚和融合使得数据的价值攀升,更可能从海量数据中分析出一些国家机密信息和重要敏感信息,因此,对数据安全的防护显得尤为重要。从国家层面而言,数据安全是保障国家安全,维护国家网络空间主权,强化相关国际事务话语权的工作重点;从企业层面来看,数据安全关系到商业秘密的规范化管理和合理保护与支配,是企业长久发展不可回避的新阶段任务;对于个人而言,数据安全与个人生活息息相关,直接关系到每位公民的合法权益。大数据时代背景下,新的技术、新的需求和新的应用场景都给数据安全防护带来全新的挑战。
一个城市的管理和运营需要科学的决策,通过对大数据的采集、处理、整合、分析和应用,能够清晰展示城市运行情况、预判发展态势,为城市管理提供智能决策,是城市走向智慧化的有效途径。然而,大数据技术及其应用模式也带来了在数据采集、数据处理、数据存储、数据共享和内容安全等方面新的安全风险,在智慧城市建设与应用中大数据安全和个人信息保护问题也成为智慧城市安全重点关注解决的问题。目前大数据全生命周期安全保障面临严峻挑战。在大量数据产生、收集、存储、管理、分析和共享的过程中,会面临如数据安全、用户隐私、商业合作等一系列问题,这既涉及一些传统的安全问题,如物理安全、设备安全、网络安全、主机安全、系统安全等,也涉及一些新的安全问题,例如,因数据散乱在众多系统中,信息来源十分庞杂而带来的数据收集安全;因数据种类和业务类型众多而带来的数据整合和存储安全;因海量数据的集中存储而带来的数据管理安全;因外部需求和用户隐私而带来的数据审计和共享的问题等。而现有的数据安全机制并不能满足大数据安全需求,数据的分布式、精细化处理进一步加大了数据泄漏和用户隐私的风险,企业存储的大数据将成为黑客攻击的显著目标,并成为高级可持续攻击的载体。
智慧城市整合了政府、金融机构、医院、运营商、企业等多方面资源,从智能安防到智能电网,从二维码到移动支付,从微博、微信到各种自媒体,智慧城市民生服务领域不断扩大,与此同时,信息安全侵害的领域也在不断扩大。特别是公民个人信息和隐私保护正在成为制约大数据技术发展和智慧城市进步的瓶颈。近年来,我国政府也高度重视数据在经济新常态中推动国家现代化建设的基础性作用,数据是新治理和新经济的关键,这个判断已经广被国人接受。而在所有类型的数据中,个人信息由于能明确指向或可识别出特定个人,具有更大的资产价值。然而在智慧城市建设初期,人们普遍缺乏个人信息保护意识,也缺乏安全防护实践,同时由于我国在个人信息与隐私保护方面的法律法规尚不完善,使得民生领域个人信息隐私侵害问题变得日益严峻。一方面,网上购物、聊天、支付等活动,总会不经意地“出卖”自己的姓名、身份证号、电话、住址等个人隐私信息,随着居民生活对智能网络依赖性的增长,个人、家庭的生活信息通过物联网、社交网络全方位暴露,使得个人信息泄漏风险加剧;另一方面,由于法律法规的缺乏,智慧城市应用服务提供商在利益的驱动下可能存在非法的采集用户的个人隐私信息,非法出卖和利用非常规采集的个人信息与隐私数据。一旦个人信息泄漏,被不法分子利用个人信息与特定个人之间的紧密关系实施各种犯罪,轻则遭遇广告推销垃圾短信,重则遭遇金融电信的精准诈骗,导致财产损失,“徐玉玉案”这样源于个人信息泄漏而导致人身伤亡的惨剧,更给我们敲响了警钟。
没有网络安全,信息化发展越快,造成的危害就可能越大,没有安全保障的智慧城市建设,也终究像空中楼阁一样随时会轰然倒塌。随着大数据时代的来临,大数据技术驱动了城市智慧的升级,智慧城市建设迎来了新的篇章,然而智慧城市的健康发展,网络安全永远是其重要的基石。大数据环境下智慧城市安全该如何建设,大数据时代的数据安全又该如何保障,如何运用大数据、云计算等新的信息技术手段去提升智慧城市安全防护的智能化水平,将在后续章节重点讲述。