2017年6月11日,由中国新一代IT产业推进联盟指导,CIO时代学院与光明网联合主办,北大软件工程研究中心、北达软、政府采购信息报社协办,CIO时代APP承办的“第十一届中国电子政务高峰论坛暨2017中国新型智慧城市创新50强授牌”活动在北大中关新园隆重举行。深信服首席安全专家曾志峰发表题为《智慧城市安全防护体系研究与实践》的主题演讲,以下为演讲实录:
尊敬的各位领导、专家、同仁,上午好!非常荣幸代表公司今天做一个关于智慧城市方面的交流。我的题目叫“智慧城市安全防护体系研究与实践”,为什么取这个题目,因为2016年国家在网信办的指导下正在编制关于智慧城市安全体系的框架标准,我也是作为工作组副组长负责这个标准的编制。今天汇报的题目有四个方面:公司介绍、智慧城市发展概况及安全风险、智慧城市安全建设体系框架、结合目前已经在智慧城市建设当中的一些安全问题,提一些经验或者做法。后面如果时间购得话,简单播一个小的东西,前段时间爆发的病毒困扰比较深,经过国家很多机构的通力合作已经找到比较好的工具和方法,类似的勒索病毒都可以彻底的预防。这个目前还没有暂时公布,也是根据国家相关的一些要求,陆陆续续也会出这些相关技术或者产品,甚至可能是免费的形式提供给设置机构。
深信服是2000年成立的,经过十几年的发展,也是不断的创新十几年。深信服一开始大家都以为是做VPN的企业,知道深信服的人不多,我估计一半的人都不了解深信服。正如某位领导所说,深信服名气虽然没有某些企业大,但是营业额23亿,在行业里已经是名副其实的排在行业的领导者。深信服也是按照国家“一带一路”发展战略,目前在七个海外市场拓展我们中国的安全品牌,目前在海外收入已经超过一亿元。我们的安全理念:更简单、更安全、更有价值。我们做安全工作本来就很复杂,对人的要求很高,我们的安全工作就是保证客户的安全,让安全投资更有价值。让安全发挥更大的价值。深信服的安全产品涵盖比较广,网络层、传输层、应用层、数据层都有。从终端的移动介入,互联网、数据中心全方位的产品都有。我们公司的产品在Gartner、IDC等排名,大部分排在第一的位置,一部分排在第二第三。比如说我们的云计算,其中企业云、分支云、桌面云,比如说分支云,一台设备可能就全都搞定了,服务器、存储、防火墙、VPN、防病毒等等,一台设备就可以搞定,大大节省投资,安全性也很高。很多象限都是在Gartner排名比较好,其中有三个产品是中国唯一入围Gartner的,比如上网行为之类的。我自己也是参与国家大数据相关标准编写,包括04年智慧城市的标准、2016年城市安全体系标准编制,作为工作组的副组长参与编制。我们也请了两位世界冠军为公司作代言。
下面介绍一下智慧城市目前的发展概况和存在的安全风险。
智慧城市到现在发展已经过几个阶段,目前我们叫智慧城市阶段。所谓智慧城市是什么?更多是提供智能化的服务,应用的创新。应用的创新离不开新技术的发展,当然新技术使用时也会带来很多潜在的风险。比如说云计算、大数据、移动应用,特别是虚拟化的应用,比如虚拟网络、虚拟数据管理等等。在有安全风险的时候,我们要不断的提高智慧城市的安全保障水平。
作为智慧城市的安全建设,杨部长刚才也提到,更多的是利益相关者最大的保证。我们的政府为企业、社会、个人,是一个利益最大化的方式,可以通过智能化的手段,新的技术,应用集成,数据整合,包括很多新应用,共享方式、绿色低碳等方式,作为整个智慧城市的发展。
上午提到的我们新余市的徐市长提到的,新余作为我们江西省,我也是江西萍乡的,昨天我们还在江西跟萍乡市政府谈到智慧城市建设的时候也提到这一块,作为我们江西的落后地方,怎么弯道超车,怎么建设我们的智慧城市,需要向很多城市学习。我们新余面积小、人口少,如何利用智慧城市的方法提高一个城市的核心竞争力、管理水平、治理水平和人民的幸福程度。
在国外来讲很多城市都在做智慧城市的发展,我们也借鉴了很多相关经验。那么中国的智慧城市发展也经过了很多年,在珠三角、长三角和渤海湾地区逐步向逐步地区在减少,包括沈阳很多地方都在减少,包括今天来的各位领导、专家都经历了智慧城市的建设也取得了很多的成果。中国的智慧城市,好多地方智慧城市有一部分更多的是平安城市,有一部分重点在我们的业务、交通,当然每个城市的发展定位、工作重点是略有不同的。当然我们也取得了一些经验,有些是以物流为主,有的是教育或者民生、交通、公共服务的。怎么做好智慧城市,规划的工作是尤为重要的。
我们前段时间也走访了一些城市建设,编写国家智慧城市标准框架时也发现了一些问题,有的可能是一开始规划时做的不够,由一个项目逐步变成智慧城市,还有就是整个智慧城市建设时安全工作考虑的有点少,特别是个别城市建完之后的使用不太好,为什么?因为刚开始安全工作没有做好。所以安全不做好,有可能成为定时炸弹,就成为黑客的天堂。所以安全还是要保护好,就跟习总书记说的一样,没有安全就没有网络。
今后城市的发展,汽车、物联网设备、摄像头都可以进入到城市里面,甚至供水系统、电梯系统,包括对App的控制,这都是我们一个城市发展当中都会面临的一些问题,当然应用为主,安全是保障。比如说移动应用的发展,工具的防护手段存在的风险也是越来越明显的,现在很多智能家居很多设备都往智能方面发展,它通过App控制、无线终端控制,很多地方都有,当然了我们不能因为安全问题而阻碍城市的发展。
智慧城市里面各个不同的层次的安全风险,风险方面包括战略风险、管理风险、技术风险等。战略风险主要是我们本身的一些规划,对风险的识别和责任的认定。特别是云计算发展以后,安全的责任、安全的边界有点模糊,不管是公有云还是私有云。在城市建设里面,特别是对于租户、委办局在使用过程当中出现问题的时候,包括目前国家在智慧城市安全标准上还没有正式颁布,现在初稿已经出来了。包括管理的风险,还有应用的风险。应用风险和我们以前提到的应用风险是比较相似的,更多的是新技术带来的风险。智慧城市的发展国家也比较重视,这两年也是制定城市安全体系框架,标准也是有很多参考依据,包括业务连续性、等级保护、数据防护的要求等都成为我们在制定智慧城市标准的主要的参考依据。智慧城市安全目标主要是保障智慧城市信息系统质量的安全,保障系统运行的有效性、可靠性,保障关键数据的保密性、完整性、可用性,最终实现智慧城市系统、安全、稳定的运行,提高社会、国家的管理水平和治理水平。从保护对象来讲,要保护关键基础设施,其中网络法的实施,关键设施的保护已经成为国家最关心的保护对象。另外智慧城市里面的数据资产,现在各种数据保护还有数据出境的保护都已经陆续颁布了,还有智慧城市的应用与服务以及融合共享的资源。这些是智慧城市在规划、方案设计当中要重点保护的对象,尤其是数据、应用和关键基础设施。
最近出台的智慧城市安全体系框架包含五个部分,主要是智慧城市的战略保障、管理保障、技术保障、运维保障、安全基础设施的支撑。战略保障主要是国家战略、安全法规、标准层面。管理保障主要是管理组织、人员、智慧城市建设的评价和改进机制。技术保障会有很多维度,这里只是从一个维度展现的,物理感知层。因为智慧城市离不开物物相连,特别是wifi通信、有线的通信、2G、3G、4G、5G,每种联系方式都会面临着问题,所以底层物理设备连接安全是基础,包括通信安全、计算安全、存储安全、应用安全,还有包括本身的智慧城市的保障。特别是贵州的智慧城市建设,他是国家第一个拿自己的系统做攻防演练的,把自己的系统要经常自己的进行尝试性测试、演练。当然首先要保障安全性的基础之上,和系统正常服务的基础之上。
智慧城市建设能为省、市政府带来什么价值?首先是提高城市中长期规划的设计能力。就跟发展与安全一样,安全保发展、发展促进安全。智慧城市的建设也为城市规划设计提高水平,安全规划设计能为城市发展带来很多的保障。二是提高政府执政水平和管理水