不經不覺,資訊保安論壇CLOUDSEC已踏入第7屆。由趨勢科技主辦的 CLOUDSEC Hong Kong 2017,上周假香港會議展覽中心舉行,並邀得多位來自全球各地的業界專家,分享他們對威脅、風險及解決方案的真知灼見。
趨勢科技香港及台灣區總經理洪偉淦表示,企業機構均正面對次世代的多層次威脅,隨著雲運算及物聯網的生態圈加強連繫,機構有必要在這個不斷轉變的環境中重新評估威脅、危機,及相關對應方案。過去多年來,CLOUDSEC為業界創造了一個交流平台,盼能藉此教育及提升用戶,對最新保安議題的認知,與及協助他們準備面對現實世界中,可能出現的網絡保安挑戰。
共創安全智能烏托邦
會上,趨勢科技前瞻威脅研究部高級經理Ryan Flores,藉分享其智能城市報告,探討機構在資訊保安及風險管理上,正面對的挑戰。
Flores不諱言,香港在亞太區智能城市發展方面較為落後,報告中所提及的設施或基建,於本港僅屬研究計畫階段,尚未確切落實。「礙於商業機構只能有限度參與政府政策,因此我們並未有主動就智能城市保安,聯繫香港政府相關部門。這也是我們將這份研究公開讓公眾參考的目的,那麼政府若有需要,即可自行下載研究報告。相信其他城市的案例可作借鏡,待香港落實建設智能城市時,其他城市曾面對的保安挑戰,亦有一定的參考價值。」
該報告指出,聯合國曾預估,2050年全球將會有逾六成以上的人們居住於都市,故現階段全球各地政府皆已積極投資開發「智能城市」。而是次趨勢科技發布的「智能城市防護——以充分安全措施安心邁向烏托邦(Securing Smart Cities – Moving Toward Utopia with Security in Mind)」研究報告,正好協助地方政府以及城市,開發商檢視智能城市的安全性,共創安全無虞的智能烏托邦。
網絡資訊保安十大要點
Flores表示,智能科技的發展將無可避免地帶來資訊保安危機,是各國政府及企業,未來必須面對的重要課題。他引述報告中智能城市網絡資訊保安十大要點:
- 執行品質檢驗與滲透測試:
為順利排除資料外泄和系統失控等資訊保安問題,智能城市科技應採取嚴格的檢驗與測試標準,而地方政府機關除了僱用獨立的運作滲透檢測機構外,也應加強執行智能科技的品質保證,與品質測試流程。
- 提前研擬資訊保安準則:
無論是地方政府機關還是開發商,都應與合作的供應商建立「服務層級協議」,確立其應達成的資訊保安標竿為何,例如保障市民隱私資訊、建立24小時解決回報問題的應變團隊等。
- 建立專屬的應變團隊:
在政府轄下設置電腦保安事故協調中心,或網絡資訊保安事件應變小組,以處理涉及智能應用的資訊保安問題。
- 確保軟件定期更新:
一旦智能設備的軟件提供了新的版本,就應立即予以更新,且注意最好是以符合資訊保安條件的方式進行,例如使用加密技術或是數位簽章認證方法。
- 妥善計畫智能基建的使用年限:
地方政府應該預先規劃如何處理過時的設備,也需提前因應廠商服務到期的狀況,尤其技術支援的終止可能導致嚴重的安全漏洞問題,且也應考慮智能基建是否會有年久失修、過度使用的風險。
- 時時謹記隱私資料處理規範:
於智能城市中搜集得來的任何資料,都應採取去識別化與匿名處理,以保護城市居民的隱私權,而與智能城市計畫不相關的資訊都應刪除,並針對敏感資訊限制存取權限。
- 加密與限制公共的溝通管道:
任何涉及敏感資料的溝通,無論是線上還是線下的管道都應加密,所有的智能溝通系統都應至少使用一組帳戶密碼,或實行如一次性密碼、生物辨識等更強的認證機制,並且也應限制溝通管道以降低中控系統受入侵的風險。
- 準備手動操作備用方案:
便利的智能自動化系統也可能運行失靈,因此應該提前準備好手動操作模式,以防遭遇網絡斷線或黑客執行遠端操控的危機。
- 設計容錯系統:
智能城市應該要設計一種當某些元件發生故障或設計錯誤時,仍能維持正確運作的容錯系統,如此可避免一個小故障造成整個系統癱瘓、無法運行的狀況。
- 確保基礎服務永續運作:
即使不幸遭遇整個系統癱瘓的情況,也應確保所有市民能即時與支援緊急狀況的技術團隊取得連繫,且確保市民能取得如電力與水這些重要資源。簡單來說,一個完善的智能城市必須隨時備有替代能源,以對應主要電力系統發生故障的情況。