如果說互聯網開啟了“數字化生存”時代，那么，智慧城市為我們許諾的則是“數字化生活”。從“叢林”到都市，從生存到生活，人們在享受智慧城市“萬物互聯”的同時，對信息安全的焦慮也在與日俱增。一座智慧城市的良心：不是下水道，而是信息安全的“基建”水平。

　　在目前的信息化時代，基于信息技術的各種應用不斷出現，電子商務、實時GIS服務（地理信息系統服務）、在線社交、網絡大文娛、視頻直播等信息技術的發展。特別是2020年，Covid-19的全球性爆發，極大地改變了人們的生產和生活方式，遠程辦公、遠程問診、在線教育等社會服務蓬勃發展，加之5G的快速推進，促使著人們對城市服務提出了更高的要求，催生了新時代信息化的城市基礎設施建設的安全需求。隨之而來新基建的推進，以信息技術為代表的科技進步，提供了城市發展和創新的新思路，智慧城市由此誕生并日益成熟，“云在算、數在轉、機器在干”正在成為人類生活的普遍形態。

　　而隨著智慧城市信息業務的展開，越來越多的網絡安全隱患逐漸暴露，網絡詐騙事件和數據泄露事件常常見諸報端，如明星健康寶照片泄露，1,000多位藝人的身份證號僅售1元；鎮江丹陽警方偵破的侵犯公民個人信息案件，30人販賣6億條個人隱私數據，獲利800余萬；杭州中院公開庭審“中國人臉識別第一案”。從此種種，我們發現在智慧城市的構建中不僅要注重信息技術發展的便捷性，還需必要性地考慮信息化建設的網絡安全性問題。

　　近日安全牛有幸邀請到杭州安恒信息技術股份有限公司高級副總裁楊勃先生，圍繞智慧城市如何建設信息安全等話題展開了一系列討論與分享。

　　當前，智慧城市和新基建成為目前城市發展的主旋律，根據您的從業經驗，當前智慧城市建設中的安全痛點有哪些？

　　楊勃：由于城市信息化的需求，智慧城市在構建之初搭載了一系列的信息化基礎設施來滿足城市居民的衣食住行。特別是政務、商務等業務陸續上云后，網絡與資源從集中封閉的實體化逐漸呈現出分布式虛擬化的特征，從而引起了多云業務復雜化和邊界模糊化。云上的網絡應用和數據快速增長，多種業務的開展形成了云資源的多樣化和巨量化，各類個人信息和業務信息使得數據價值高，網絡應用風險也隨之增加。

　　從技術生態體系上來說，我們通常把智慧城市構建分為云—網—數—端這四部分。從云端的計算服務和資源調動，到龐大網絡系統的交互傳輸，再到大數據的全生命周期，最終到具體用戶場景的端點應用，整套體系環環相扣、相互作用，沒有信息安全的智慧城市構建，就像是沒有鎖的防盜門，結實的門板看似堅不可破，卻可輕松打開。

　　而智慧城市網絡結構中，多云業務復雜化，網絡邊界模糊化以及云資源的多樣化和巨量化，無論在技術上和管理上都對信息安全的構建提出了更高水平更嚴格的要求，但由于建設系統的龐大性與復雜性、網絡惡意攻擊的不斷升級等因素，導致網絡空間在互聯網蓬勃發展同時，逐漸表現出與信息安全建設的不平衡性。

　　您剛才提到的網絡信息化發展與信息安全建設的不平衡性，請問這種不平衡性主要表現在什么方面，可以展開講講嗎？

　　楊勃：如2020年的Covid-19事件，在線辦公、網課服務、遠程醫療逐漸深入人們的生活。在2020年上半年，在線業務噴井式發展，企業信息資產迅速增加，為了完成快速的迭代或上線，部分企業的很多在線端口在完成某個特定任務之后并沒有及時關閉或納入常規化管理，從而導致部分攜帶重要用戶信息或企業信息的網絡資產成了“三不管”，在互聯網中長期開放。2020年，社交媒體爆出了不少案例，如未妥善管理的云主機遭遇病毒感染，服務器數據被惡意加密，暗鏈、掛馬、篡改事件常有發生，勒索、網絡詐騙事件層出不窮。這些網絡安全事件嚴重干擾了企業的正常業務的開展，甚至某些網絡安全事件危及企業的生存。

　　與此同時，高價值的數據信息，讓這一生態有利可圖。根據安恒的安全數據大腦對全球約200個黑客組織的長期跟蹤，我們發現，近年來黑客組織已經逐步集團化和專業化，一些代表某些地域利益或民族利益的國際性黑客團伙常年活躍在互聯網中，并且由于利益可觀，黑客組織還在實時更新攻擊手段和工具。

　　對于智慧城市而言，城市中的經濟主體龐大、人口眾多，近幾年由于法律法規與網絡監管的力量，以及相關單位持續舉辦如凈網行動、護網行動這類網絡安全活動，政府和事業單位的安全狀態日漸好轉；而對于企業，很多企業在網絡空間處于孤軍奮戰的狀態，或者由于業務和市場需求的風口式發展，網絡安全很多時候需要妥協于業務。不可忽視的是由于企業的安全建設投入大，安全運營成本高，導致企業特別是中小型企業，在網絡安全建設中處于弱勢地位。因此，智慧城市的網絡安全整體態勢參差不齊，企業安全是智慧城市網絡安全領域的薄弱點之一。智慧城市，亟需構建一套完整的網絡安全聯動防御體系。

　　很多企業用戶在做安全建設中，無法很好地選擇適合自己的安全防護計劃，請問您有什么建議？

　　楊勃：不同規模的企業，在安全規劃上的投入有一定的差別。

　　對于中小企業：建議采用輕量化、軟件化和SaaS化的安全防護計劃，主要做好防篡改、防泄漏、防中斷和防勒索這四個方面。

　　對于大型企業：一般具有體量較大、數據較多和系統復雜等特點，因此建議實體化、體系化和實戰化安全防護建設方案，如“實戰化防護七劍四式”方案，提供實體化、體系化和實戰化安全防護建設方案、產品和服務，滿足企業的等保合規要求和安全防護需求。主要表現以下五步為：

　　第一步：安全意識，等保合規

　　第二步：查漏補缺，摸清家底

　　第三步：安全監測，威脅情報

　　第四步：數據安全，縱深防御

　　第五步：持續運營，統一管理

　　某些初創企業沒有組建專門的安全團隊，如何幫助他們做好自身的網絡安全工作呢？

　　楊勃：在云計算發展蓬勃趨勢與相關政策法規保障的雙重條件下，中小型企業乘著云的力量，實現算力上云，在云上享受良好的企業服務。對于網絡安全工作，基礎性的安全能力是云平臺自身賦予的，對于增值性的安全能力，如終端安全、數據安全等，可通過SaaS化安全服務實現，實現一站式安全服務全托管，投入少，見效快。

　　您認為安全建設工作中，良好的交付模式將會是什么樣的？

　　楊勃：信息安全，將會是城市智慧建設工作的一塊重要木板，而企業安全，將決定這塊重要木板中的長度。安全賦能企業，將會以兩種形式出現：

　　創新安全服務模式，通過統一能力方式，為企事業單位輸出強有力的安全分析、編排、響應和運營能力，對算力、數據、流程和機制等提供完整的創新安全服務，再在威脅信息共享、安全知識培訓等內容的支撐下，為安全結果負責。

　　共享安全平臺模式，通過統一建設平臺，服務多個企業對象的模式來降低單個用戶的安全建設成本，協助等保預測評并幫助解決等保測評后存在的安全技術問題。通過一站式的安全解決方案，集中化、集約化地為不同的企業用戶提供不同的安全套餐，為更多用戶提供服務。

　　上了一系列的安全防護體系之后，是否可以萬無一失？

　　楊勃：沒有萬無一失，只有未雨綢繆。除了聯動響應和縱深防御之外，網絡安全保險服務將是為安全技術服務兜底的最佳選擇。

　　網絡安全保險服務，可實現對用戶信息系統事前預防（風險評估、系統加固）、事中防護（實時監測、應急響應）、事后補償（保險賠付）的全周期保障。用戶可根據自身需求和風險偏好，選擇合適的保障范圍和保險額度。該保險服務可覆蓋第一方風險和第三方風險，針對第一方的保險責任主要針對投保企業自身的資產，包含網絡安全事件造成的業務中斷損失、網絡勒索損失、數據泄露損失、企業名譽損失和法律費用等；針對第三方的保險責任主要包括第三方數據的泄露、丟失、損壞等風險。

　　因此，更加實惠便捷的網絡安全保險服務，是作為轉移信息系統安全剩余風險的有效輔助措施，有效實現了“有防有保”的網絡安全風險管理閉環新模式。