如何建立与智慧城市相匹配的安全体系?| 产业安全观智库访谈
据IDC《2019H1全球半年度智慧城市支出指南》,2020年中国市场支出规模将达到266亿美元,是全球仅次于美国的支出第二大国家。计算科技部、工信部、国家测绘地理信息局、发改委所确定的智慧城市相关试点数量,宏观口径上我国智慧城市试点数量已达到749个。
“两会”的召开以及“新基建”的发展将会进一步加速推动智慧城市的建设,“网络安全”作为“新基建”发展的基础,对智慧城市的基础性、关键性作用日益凸显。但是,相对于智慧城市投入规模和日渐成熟的建设思路,与之相适应的网络安全建设还不充分,意识还不到位。
一方面,智慧城市建设涉及到庞大的支出,但网络安全占比微乎其微。另一方面,网络安全在智慧城市体系当中一直扮演“救火队员”的角色,只有出现了问题,其重要性才会被意识到。此外,在智慧城市的规划和建设阶段,网络安全往往“缺席”,这可能会对未来智慧城市体系的运行,留下潜在的安全风险。
除此之外,智慧城市的发展并不孤立,它会驱动大量传统产业通过数字化和生态化的方式相互连接。针对产业环节中的某一个点发起的网络攻击,必然会“牵一发动全身”对整体城市安全造成威胁,某一个微小的安全事件极有可能对企业造成严重影响,甚至社会公共安全乃至国家安全。
因此,智慧城市将会面对前所未有的网络安全挑战,网络安全产业也将会迎来巨大的市场机遇。为了与智慧城市的发展相配,需要构建产业安全观的顶层思维,实现安全防护技术和应用的快速进步,积极促成安全生态的建立,打造面向智慧城市的整体安全解决方案。通过政策驱动以及产业规范的建立,将网络安全纳入智慧城市的顶层架构和设计当中,实现智慧城市全融合安全能力的形成。
01
安全问题
应成为智慧城市建设的首要关注
根据前瞻产业研究院预测,到2022年我国智慧城市市场规模将达到25万亿元,与此同时,网络安全市场还在向千亿规模努力。两者在体量上的差异,从一个侧面反映出网络安全距离智慧城市的发展需要,还有一段距离。因此,在大力推进智慧城市部署的同时,要将网络安全作为关键问题去考量与解决。
Q:智慧城市建设当前所面临的网络信息安全问题有哪些?
李雪莹:首先,智慧城市的建设需要数据的全面融合,数据融合的过程中同时会伴随着数据安全方面的问题,主要体现在两个方面:一是个人隐私数据的不正当存留和使用,这关系到每一个网络公民;二是公共信息和数据的泄露,这可能会危及政务系统甚至是国家安全。
其次,智慧城市及信息化技术的应用,加强了业务协同,在带来政务和生活便利的同时,也使得网络安全问题从过去只影响某一个点,变成了“牵一发而动全身”影响了整个面。比如针对交通运输系统的网络攻击,不仅仅会导致数据泄露、经济损失或者系统瘫痪,更会对人身安全和社会安全造成严重威胁。
我认为,随着智慧城市的深入发展,业务连续性问题非常值得关注。智慧城市需要运营,信息化系统的稳定性和业务连续性就是网络安全需要保障的重点之一,因此,我们应该重视网络安全在智慧城市建设当中的作用。
郭浩哲:在当前阶段,政府部门希望通过建设城市大脑的方式来实现数据的互联互通。这个过程中会涉及非常多的应用和场景,而不同场景的服务商、应用软件商对于网络安全的理解力是不一样的,有一些甚至非常不足。所以当前对智慧城市来说最大的安全问题就在于,当所有的数据被串联起来以后,如何将它们安全地保护好、防护住。
在我看来,我们的智慧城市当前面临的网络安全挑战有很多,也很大,这可能需要在智慧城市的设计之初或技术方案设计里考虑更多安全的问题,对安全有更多的理解。网络安全的市场也会随之越来越大。
02
将安全能力
纳入智慧城市的顶层设计中
安全的能力高低决定了数字化升级的水位与高度。作为智慧产业的最上层形态,智慧城市将会构建更加宏大的数字化图景,安全也将扮演智慧城市发展基础性要素,贯穿其建设的全过程。所以,安全应该纳入智慧城市的顶层设计阶段和顶层架构当中,成为智慧城市的原生能力,进而保护好人身安全、财产安全、社会公共安全乃至国家安全。
Q:网络安全应当在智慧城市发展中承担什么责任?
郭浩哲:从整个智慧城市的规划设计来看,安全能力一定是会被越来越重视。这当中包括了对政府层面、对个人隐私信息以及对企业数字资产三个方面的安全防护。
从腾讯建设的数字广东来看,我认为网络安全的投入占比还是非常可观的。但是在我所接触的其他部分数字政府建设中,往往只考虑到了政府层面的安全需求,而对于政府面向企业和个人提供的安全服务却远远没有足够的认知。如何保证企业和个人在线办事过程中的数字资产和隐私安全,我认为这就需要考虑相应的安全投入。
在智慧城市的建设过程中,安全行业的主管单位在过去极少以特殊的身份参与到标准的制定当中,这就需要头部的一些安全企业尽可能多地释放能力建设生态,通过自身对安全的理解,推动行业对安全认知的变化,进而推动主管单位进行政策上的提升和优化,并且建议将安全能力纳入到智慧城市的顶层设计当中。
Q:如何将安全纳入到智慧城市的顶层架构中?
李雪莹:首先,需要政策的保障。在智慧城市建设中,要落实安全需要哪些基本的投入和建设,定义安全达到的标准和级别,细化到不同规模的智慧城市的规划和设计中,是安全能够纳入智慧城市顶层设计当中的根本保障。
其次,形成对应的行业规范。智慧城市当中的垂直行业众多,包括交通、水利、医疗等各个方面,对应到每一个行业都应当通过规范化来指导行业的健康快速发展。
只有先做到这两点,才能在智慧城市的顶层设计中纳入安全能力。否则就会像过去多个行业的发展规律一样,变成“建设先行,安全滞后”,最后成为保障性、补丁性的工作,所以政策的保障和行业规范的要求尤为重要。
03
安全产业
需找准自己在智慧城市中的定位
今年两会上,围绕智慧城市建设方面的提议成为一大看点,智慧城市的发展也将迎来新一轮的加速;与此同时,“网络安全”也高居两会热词中的第四位,受到政府与广大代表的普遍关注。面对未来智慧城市的大力建设,网络安全将会承担更重要的责任,这无疑是对安全产业的一次重大考量。
Q:安全产业应如何满足智慧城市所提出的安全要求?
郭浩哲:我认为这包含了两个方面,一是基础安全能力,二是对生态的理解能力。
在当前智慧城市的发展阶段,安全产品可以理解为一种通用型场景里的基础能力,因而在一个多场景的生态当中,结合不同的生态场景,安全所面临的需求是不太一样的。
这就要求安全行业更好地理解智慧城市的生态,将安全能力封装到多样化的应用场景里,满足下一阶段安全市场巨大的扩容。对于安全企业来说,首先要有非常清晰的自我能力认知,找准自己的安全能力定位,从而准确地在智慧城市建设中输出自己的核心能力。
其次是建设生态能力,通过和其他合作伙伴与生态能力的结合,将安全能力成功输送到市场当中。当前两步做好以后,再通过更广泛的投入带动整个行业对安全认知的提升。
李雪莹:在政策方针层面,政府对智慧城市非常重视,随着智慧城市的发展,安全产业的规模将实现快速的提升,这是安全产业的新机遇。
伴随着机遇,认清自己在智慧城市建设当中的定位,并不断夯实自己的产品技术能力,是一个安全企业根本要务。
当然,安全企业仅仅做好自己的工作还不够,需要多个企业甚至是整个安全产业一起合力,与主管部门和重要的客户进行长期且充分的持续沟通,这有助于我们清晰地了解需求和目标。在这个过程中,安全产业需要积极地参与相关政策、标准和规范的制定工作。
最后,至关重要的是构建围绕智慧城市的生态圈,包括安全企业和互联网企业、应用企业以及安全企业之间的协同。天融信和腾讯当前就在做这样的事情,这些都是为了保障智慧城市建设,安全企业和产业需要提前做好的准备。
04
智慧城市建设需打造产业安全生态
安全生态对于智慧城市的建设意义非凡,打造围绕智慧城市的产业安全生态非常必要。以某智慧政务项目为例,腾讯与超过10家生态伙伴共同合作,涉及基础安全、业务安全、内容安全等全栈能力,协助政府从0到1构建了完整的数字化安全防护体系,并且在中央主管部门组织的50余家测评机构测评中,获得了零失分成绩,树立了智慧政务安全的标杆。
Q:为什么说智慧城市的建设离不开安全生态的打造?
郭浩哲:由于社会需求量过大,导致没有任何一个单一的企业有能力完成一个彻底闭环的场景,因此建立安全生态是应对智慧城市发展的一个很好的办法,但是这个生态不是一个简单意义上的生态。
安全是一个技术门槛很高的行业,虽然应用软件的技术门槛在降低,但是对于业务能力的要求在不断提高。随着生态的变化,生态的多样性和复杂性会产生一些变革,而在变革的过程中,过去我们所认为能够触达的生态也许就不再是未来真正的生态。
这就需要一些能够促成变革的企业和团队,面向未来真正将要触达的生态进行产业布局和投资,而这个过程也就需要之前所提到的领先的安全企业,实现更多的技术突破。
李雪莹:目前,据不完全统计,我国的安全企业已经超过2000家。智慧城市安全解决方案的构建,是对整体安全的把控能力的考验。我认为具备提供全覆盖安全解决方案能力的企业,才有能力把控整体安全。
相对来说,具有综合安全解决方案能力的安全企业往往拥有齐全的产品线,具备包括网络安全防护、安全检测、安全接入、数据安全治理以及安全专家服务等多领域能力,并经具体实践检验,才可以被认为胜任面向智慧城市安全解决方案的工作。
领先的安全企业需要在智慧城市的安全建设中承担更多的责任,也需要在安全生态的建设中整合更多的资源,更好地造福整个安全产业和生态,促成整体解决方案的落地,在智慧城市的发展当中发挥更重要的作用。
05
立足生态打造
面向智慧城市的整体安全解决方案
智慧城市所涉及的场景多、分布广、技术复杂,可以说是“千城千面”;安全产业同样具有碎片化、复杂化等特点。因此,智慧城市建设当前缺少相应的整体安全解决方案,能够适用于各个级别和场景下智慧城市的安全需求。所以,安全产业需要立足于产业生态,协同生态的力量,共同打造面向智慧城市的整体安全解决方案。
Q:如何打造面向智慧城市的整体安全解决方案?
郭浩哲:虽然智慧城市所涉及的场景非常复杂多样,但本质依然是单调的业务结构,也就是各类基础设施的建设。在我看来,通用平台能力的就建设非常适合智慧城市整体的解决方案,因此我们可以采用安全中台。
面向不同城市的不同应用,我们可以将基础安全能力封装在中台当中,形成通用型解决方案,针对细节,结合生态释放场景化的能力,就基本可以打造一个面向智慧城市的整体安全解决方案。
而在生态化场景安全的建设方面,全球范围内已经实现了许多技术和形态的突破。因此,领先的一些安全企业需要体现责任和能力担当,尽可能多地围绕智慧城市构建生态安全能力,这样有助于在合法合规的前提下,与主管部门落实场景并快速推广,并将这些能力输送到更多的地方,将安全能力达到最大程度的释放。
Q:针对智慧城市整体安全解决方案有何好的思路和想法?
李雪莹:建设匹配智慧城市的安全能力,要关注解决方案的价值。
安全解决方案的价值一定体现在保障智慧城市所对应业务的稳定、安全和可持续。要关注场景,不同的场景解决方案不同。一个好的解决方案,首先要明确它的价值,即为智慧城市的应用和业务服务保障安全;其次,好的方案要围绕应用场景设计。基于以上原则的解决方案,才能够在一定程度上称之为面向智慧城市的安全解决方案。
需要面向智慧城市或城市大脑构建一个安全赋能中心,赋能中心包括以下四个方面建设内容:
一是构建数字安全中台。在智慧城市建设中,通过数字安全中台,进行数据的交互和融合,支撑监管部门的需求和应用系统安全运营的工作等。
二是建立安全研究院。随着智慧城市的演进和各项新技术的应用,会衍生新的安全需求,涉及新的安全技术。建立安全研究院,针对性地进行及时研究,才能与时俱进更好地解决安全问题。
三是建立安全人才的教育培训基地。相较于智慧城市的快速发展,安全行业正面临人才匮乏的窘境,,每一个智慧城市都需要建立安全人才的教育培训基地,以确保智慧城市从落地开始持续运营的整个过程中,有满足需求的安全人才源源不断地参与其中。
最后是成立针对网络安全的产业基金。生态的构建离不开新兴力量的加入,但新兴企业通常会面临规模小、资金少、资源匮乏的问题。围绕安全产业本身,成立产业基金来助力新兴企业成长,有利于更好地构建产业生态。
我们希望在智慧城市的建设当中构建安全赋能中心,赋能中心包括数字安全中台、安全研究院、安全人才教育培训基地以及安全产业基金。天融信正在积极推进相关建设,希望以此融产业力量,提供整体安全解决方案,为智慧城市安全赋能。
写在最后:
从新基建到智慧城市,从产业互联网到产业安全,在数字化发展的当前阶段,安全已然从过去滞后性的保障工作,上升成为产业发展的底线和决定产业高度上限的天花板。尤其在智慧城市全面推进的今天,安全问题是每一个人都无法逃避的生存必答题。
前不久,全国人大代表、腾讯董事会主席兼首席执行官马化腾提出了《关于加快制定产业互联网国家战略壮大数字经济的建议》等七份书面建议。马化腾认为,要以“数据中台”建设为重点和突破口,进一步推动数据开放共享,创新推动智慧城市、智慧乡村建设,提高数字化治理水平;同时加大产业安全投入,为数字经济高质量发展保驾护航。
我们必须要重新定义安全产业在智慧城市中的价值,从战略高度认识产业安全对于智慧城市发展的重要性,并且真正从政策和产业发展多维度共同促进,早日实现安全在智慧城市顶层设计中的全面参与,立足生态打造面向智慧城市的整体安全解决方案。
在中国产业互联网发展联盟的指导下,腾讯安全联合安在新媒体共同启动了「产业安全观智库访谈」。围绕产业安全的发展趋势,结合当前实事热点,诚邀业界专家、学者及意见领袖倾情分享。希望借此启发思考、引导讨论、催生行动,为中国产业互联网及产业安全在新形势下的应变和发展寻求思路。
- END -
腾讯安全正在护航产业安全
腾讯安全的一手干货,你也「在看」吗?👇