智慧城市建设网络安全十大要点

智慧城市建设以物联网、云计算等大数据技术体系为支撑，数据信息巨大，并涉及到政务、商业、生活等方方面面，一旦出现信息泄露、数据丢失等安全问题，后果将不堪设想。因此，智慧城市的信息安全问题不容忽视。我国近年来智慧城市建设实践中，信息安全作为重要一环，在进行整体规划和顶层设计之时，并未被忽视，各省市的智慧城市规划设计大多都建立了完善的体系系统，在信息安全方面也都有比较完善的规划设计。风华正茂科技为您详细介绍。
智慧城市建设中 网络安全攻防战如何打赢

配合当地文化与市民需求，以及智慧科技在一些关键领域可能遭到什么样的黑客攻击是值得被注意的议题。同时，一旦缺乏良好的安全标准和规范，原本预期的效益将大打折扣，进而将衍生出意想不到的问题。

为了协助主管单位打造健全的智慧城市，制作了一份安全十大要点，以供于导入智慧科技时做为参考。

1、执行质量检验与渗透测试

智慧科技必须经过严格的检验及测试，才能进行任何全面性的建置。经由这道步骤，建置单位可在智能装置、基础架构或服务正式上线之前，找出安全和维护上的问题，例如：资料外泄和异常状况。

此外，市府单位也应聘请独立的外部厂商定期进行渗透测试。不过，由于渗透测试的重点仅在于漏洞扫瞄，因此，一些标准的产品测试程序，如：品保(QA)与质量测试(QT)也应列为标准程序。品保的重点在于发掘智慧科技中的瑕疵，而质量测试的重点则在于测试功能的稳定度。

2、将安全列为所有厂商及服务供货商“服务等级协议”(SLA)的优先目标

智慧城市计划的负责人员必须制定一套服务等级协议(SLA)，列出智慧科技厂商及服务供货商必须达到的安全标准。并且明订未达标准时的罚则。此外，也可以纳入民众数据隐私确保条款、7天24小时紧急应变团队，或是前述的定期渗透测试和安全稽核。

3、在市府内成立计算机紧急应变小组(CERT)或网络安全事件应变小组(CSIRT)

万一智慧科技发生任何的安全事件，市府内部应该要有专责的计算机紧急应变小组(CERT)或安全事件应变小组(CSIRT)随时待命准备应变。当遭遇黑客攻击时，他们必须熟悉如何应对，或者当系统发生当机时该如何复原。除此之外，这类小组还可统筹漏洞通报与修补作业、担任厂商联络窗口、倡导最佳安全实务原则等等。

4、确保软件更新的完整性与安全性

一旦厂商针对智能装置释出软件或固件更新，主管单位就应立即展开部署工作。不论市府或厂商都应确保更新派送的安全性(例如透过加密和数字签名)，以确保软件的完整性。数字签名可用来检查更新是否遭到篡改，等确认无误之后再进行安装。

5、妥善规划智慧基础架构的生命周期

相对于一般的消费性产品，智能基础架构的服务生命周期显然较长。因此很重要的一点，市府单位必须制定一套详细的程序，来处理面临淘汰或厂商已终止支持的基础架构。因为一旦系统被终止支持，后续将面临严重漏洞无法修补的窘境，引来黑客觊觎。

此外，智慧城市负责单位也应将基础架构的寿命列入考虑。经年累月的使用、缺乏维护、或过度使用，都有可能造成基础架构耗损。因此，预先针对基础架构的生命周期进行妥善规划，未来市府单位在面临系统必须维修或汰换时就不会不知所措。

6、所有数据处理流程都必须考虑到隐私权

请谨守一大原则：智慧城市所搜集的任何数据，都必须匿名处理以保障民众隐私，尤其是政府必须对外公开的数据。任何与智慧城市计划无关的数据，都必须彻底销毁。

任何敏感的数据都必须受到严格管制，只有市府核准的人员才能存取，例如：有义务达成服务等级协议(SLA)的服务厂商。此外，也应制定明确的信息共享规范，包括：哪些信息可以共享、谁可以共享，以及数据隐私保障机制为何。此外也应包含数据备份与复原的规划，以防灾难发生。

7、加密、认证及管制所有通讯

所有的通讯，不论有线或无线，皆应防范黑客窃听、拦截及窜改，尤其是包含敏感信息的数据，必须采用严格的加密，而加密密钥也应妥善保管。

所有智能通讯系统至少必须经过账号密码认证才能存取。此外，也可采用更严格的认证，如：一次性密码、生物特征认证、双重或多重认证等等来提高安全性。

市府单位应管制通讯协议和流量，以降低中央系统或多个彼此相连的装置遭攻击而脱机的风险。将智能通讯系统上非必要的功能全部关闭，如此可缩小黑客的攻击面，也避免遭人滥用。

8、务必要能强制切换手动 *** 作

不管全面自动化多么诱人，但维持切换手动 *** 作的能力仍旧非常重要。因为，万一发生严重的系统故障，或者遭到黑客入侵，强制切换手动 *** 作可以让市府单位在没有因特网联机或者远程 *** 作遭到黑客拦截时，依然能够 *** 作系统。

9、设计一套容错系统

智能基础架构及应用程序必须在单一或多个组件故障时依旧维持运作，这就是所谓的容错系统。此时，智慧服务或许会稍微不顺，但系统还是能够维持运作，不会全面瘫痪。要达到这点，必须要建置一些备援机制(软件、硬件)来容许故障发生，并且维持必要功能。

10、确保基本服务永续运作

万一真的发生不幸而导致所有系统全部当机，民众还是必须能够取得基本的公共服务，包括：水、电、燃气、救护车等等。所以当主要电力系统故障时，必须要有备用的电力。

随着时间演变，未来的都市必定更加聪明。随着各国政府逐渐拥抱智慧科技，这将是未来必然的发展。不论是全新规划或是都市更新的智慧城市，都必须兼顾功能和安全。都市是为了服务人民而打造，因此，保障人民安全才是真正的王道。

特别声明：我们推送的文章部分图文来源于互联网，版权属原作者所有；如涉及到版权问题，请及时与我们联系，核实后将作删除处理

��

根据我了解到的情况，F5亚太区安全解决方案架构师曾经总结过这个问题，即：万物互联时代已经来临，各类物联网设备的数量正在成倍增长。随之而来的，是越来越棘手的安全问题，物联网安全问题主要涉及第一个就是，攻击源由于lOT设备的加入，会成为一个非常巨大的这个敌人，而且这种巨大性是会越来越刚性的发展的，就是TB级的对抗会成为一种常态，第二个企业级数据中心作为一种有限资源的目标一定要把Securityas Service 就是运营商层面的安全服务纳入到你的防御架构当中，这是唯一可应对TB级流量的一个防御架构。第三个就是实体数据中心里面一定要走混合的架构，不能再像原来单一的以盒子的堆砌，作为这个防御架构的运维模式，一定要考虑用这个虚拟化的资源应对那些突发的，上百倍的这种流量的变化。这三个趋势是未来F5可能遇到的一些挑战,所以F5已经在加强准备了，等到危机来临的那一天，F5早就出方案了，直接找F5就好了。

　物联网的概念是在1999年提出的。物联网的英文名称叫“The Internet of things”，顾名思义，简而言之，物联网就是“物物相连的互联网”。这有两层意思：第一，物联网的核心和基础仍然是互联网，是在互联网基础上的延伸和扩展的网络；第二，其用户端延伸和扩展到了任何物品与物品之间，进行信息交换和通讯。严格而言，物联网的定义是：通过射频识别（RFID）、红外感应器、全球定位系统、激光扫描器等信息传感设备，按约定的协议，把任何物品与互联网连接起来，进行信息交换和通讯，以实现智能化识别、定位、跟踪、监控和管理的一种网络。
物联网中非常重要的技术是RFID电子标签技术。以简单RFID系统为基础，结合已有的网络技术、数据库技术、中间件技术等，构筑一个由大量联网的阅读器和无数移动的标签组成的，比Internet更为庞大的物联网成为RFID技术发展的趋势。物联网用途广泛，遍及智能交通、环境保护、政府工作、公共安全、平安家居、智能消防、工业监测、老人护理、个人健康等多个领域。预计物联网是继计算机、互联网与移动通信网之后的又一次信息产业浪潮。有专家预测10年内物联网就可能大规模普及，这一技术将会发展成为一个上万亿元规模的高科技市场。
国际电信联盟2005年一份报告曾描绘“物联网”时代的图景：当司机出现 *** 作失误时汽车会自动报警；公文包会提醒主人忘带了什么东西；衣服会“告诉”洗衣机对颜色和水温的要求等等。
物联网把新一代IT技术充分运用在各行各业之中，具体地说，就是把感应器嵌入和装备到电网、铁路、桥梁、隧道、公路、建筑、供水系统、大坝、油气管道等各种物体中，然后将“物联网”与现有的互联网整合起来，实现人类社会与物理系统的整合，在这个整合的网络当中，存在能力超级强大的中心计算机群，能够对整合网络内的人员、机器、设备和基础设施实施实时的管理和控制，在此基础上，人类可以以更加精细和动态的方式管理生产和生活，达到“智慧”状态，提高资源利用率和生产力水平，改善人与自然间的关系。
物联网是利用无所不在的网络技术建立起来的，是继计算机、互联网与移动通信网之后的又一次信息产业浪潮，是一个全新的技术领域。早在1999年，在美国召开的移动计算和网络国际会议就提出，“传感网是下一个世纪人类面临的又一个发展机遇”；2003年，美国《技术评论》提出传感网络技术将是未来改变人们生活的十大技术之首；2005年，在突尼斯举行的信息社会世界峰会（WSIS）上，国际电信联盟（ITU）发布了《ITU互联网报告2005：物联网》，正式提出了“物联网”的概念。
毫无疑问，如果“物联网”时代来临，人们的日常生活将发生翻天覆地的变化。然而，不谈什么隐私权和辐射问题，单把所有物品都植入识别芯片这一点现在看来还不太现实。人们正走向“物联网”时代，但这个过程可能需要很长很长的时间。

什么是物联网安全？物联网安全问题有哪些：
广义物联网：物联网是一个未来发展的愿景，等同于“未来的互联网”，能够实现人在任何时间、地点、使用任何网络与任何人与物的信息交换，以及物与物之间的信息交换。
狭义物联网：物联网是物品之间通过网络连接起来的局域网，不论该局域网是否接入互联网，只要具有感、联、知、控（用）四个环节，都属于物联网的范畴。
物联网市场规模快速增长，联网设备数量持续增加。近年来，随着NB-IOT、eMTC、Lora等低功耗广域网商用化进程不断加速，日益增长的物联网平台带来了服务支撑能力的迅速提升，以及边缘计算、人工智能等新技术不断注入，物联网产业迎来了快速增长。

网络安全问题分为很多类，比如说系统安全，web安全，无线安全，物联网安全等等。就我个人学习而言，我是学习web安全的，所谓的web安全也就是我们常见的网站安全。
web安全：当网站源码的程序员对源码编写的时候，没有给赋值的参数进行过滤，那么会产生很多安全漏洞，比较常见的漏洞就是SQL注入漏洞，XSS漏洞，文件包含漏洞，越权漏洞，等等。其实这些漏洞很容易杜绝，但是程序员因为懒惰所以铸成大错，当然，在服务器配置方面也会出现漏洞，比如说常见的，目录遍历，敏感下载，文件上传，解析漏洞等等。都是因为服务器的配置不当而产生的，产生这些漏洞非常容易让攻击者获得想要的数据，比如说网站管理员的账号密码，如果漏洞严重，可以直接提权服务器，拿到服务器的shell权限。
系统安全：系统安全的漏洞一般都是权限类漏洞，用户没有及时更新补丁，或者开放了敏感端口，敏感服务，等等，都可以被黑客利用，详细的可以看看缓冲区溢出漏洞原理。
无线安全和物联网安全，这些的话，我也没有深究过，我们说的无线常用的就是wifl，或者说是无线设备，攻击者可以伪造页面，植入木马等等获取到连入恶意wifl的主机权限，物联网我们最常见的就是自动贩卖机或者是一些智能设备了，那么就自动贩卖机来说，自动贩卖机是一个沙盒系统，说到底他还是个系统，当用户通过某种方式获取到可以对系统进行 *** 作的时候，那岂不是可以任意的买东西，等等。
当然。网络安全不是一两句话就可以说完的，这里只是举几个常见的例子，具体不懂得可以追问，手工打字，望楼主采纳。

许多人认为物联网设备很简单，但它们其实并不简单，实际上它们运行的是具有完整网络堆栈和应用层的 *** 作系统。更糟糕的是，其中大部分是我们无法控制的。据研究，多达82%的企业无法识别连接到其网络的所有设备，77%的公司承认物联网设备量的增加会带来严重的安全挑战。

由于我们无法控制的设备数量持续增长，因此风险也在增加。我们已经看到僵尸网络的显着增加，物联网设备被接管并用于从数量、暴力攻击到垃圾邮件和数据泄露等各种应用。例如，骇客可以控制交通摄像头，上传流氓固件，从而可以远程控制受影响的设备。

目前摄像机在动态DNS服务、设备间的通信和缓冲区溢出漏洞方面都存在问题。易受攻击的物联网设备为恶意软件的迅速传播提供入口点。同样，随着我们无线连接的增强，使更多设备能够相互连接，威胁也在不断增加。例如BlueBorne攻击，它允许攻击者利用蓝牙中的漏洞接管设备。目前53亿个设备存在该风险，开启蓝牙功能使攻击者可以悄悄接管任何设备。

这些易受攻击的端点的最恐怖的事情之一是，它们可以让攻击者在您不知情的情况下获得访问权限。如果您不知道网络上的所有设备有哪些或不知道它们是否已正确打补丁，那么就不知道这些设备的防御措施何时已失效。同样，尽管防火墙在某些特定点上可能会很好地保护外围设备并监控网络流量，但企业之间通常也不清楚网络上列入白名单的设备是否适合。并且现在这些设备为了可以直接相互通信，通常使用蓝牙或Wi-Fi来绕过安全系统。

那么物联网所需要做的是将可视性从外围设备扩展到网络核心。一个成功的架构不能依赖代理，它必须清楚所有连接的设备是什么，以及设备何时被入侵。在实施安全解决方案时，需要一些可以与现有环境集成并且位于现有网络基础架构之上的工具，以提供观察。

尽可能地采用自动化，以避免安全团队的重复性工作。同样，分析物联网中各个设备的行为。建模网络中所有设备的预期行为和预期行为，在可能的地方自动执行安全策略，并将不正常的情况报告给安全人员。虽然物联网正在促成许多行业令人振奋的发展，但我们不能忽视安全问题，否则它可能成为发生重大事件的盲点。

以上由物联传媒提供，如有侵权联系删除

---