IBM网络安全白皮书：智慧城市存在潜在漏洞

从IBM提出“智慧地球”概念至今，在短短的10年内，智慧城市已经遍地开花。德勤最近的一份报告指出，全球已启动或正在建设的智慧城市已经达到了1000多个，其中中国在建500个，远远超过了排名第二的欧洲(90个)。可以说，中国也是世界上建设智慧城市最积极的国家之一。

　　然而，智慧城市真的是一种种牢不可破的解决方案吗？答案是否定的，根据IBM的最新报告，智慧城市系统中存在的潜在漏洞，可能会允许黑客窜改数据、触发警报甚至造成恐慌。

　　随着物联网、云计算、移动互联网等信息技术的发展，以及城市信息化应用水平的提高，“智慧城市”随之应运而生。有数据显示，美国已经有60%的城市开始投入使用智能技术，而在中国，得益于更多政策和投资支持，计划在2016年-2020年期间培育100个新的智慧城市，以领导国家的城市规划和发展。

　　此外，联合国曾预测，到2030年，全球60%的人口将居住在城市中，而三分之一的人会居住在至少50万居民的城市。要确保这些新城市的宜居性，就需要改善诸如垃圾清理以及水供应等服务，并为居民提供足够的就业机会和可持续发展的可能。

　　这也是智慧城市的定义——利用技术使城市变得更高效且可持续发展，同时，创造新的就业机会。

　　智慧城市本质：数据收集

　　对智慧城市而言，其核心部分便是数据收集。众所周知，在一个智慧城市的建设中，会有数以万计的传感器等被放置在路灯、桥梁、垃圾桶以及其他城市基础设施上，并通过物联网连接在一起，展开数据收集。今年早些时候，由于包括Wifi热点、清洁能源的使用以及教育和商业生态系统等在内的19个原因，波士顿被评为了美国“最智慧”的城市(The Smartest City)。

　　圣地亚哥从2014年就开始着手建设世界上最大的城市物联网网络，现在可每年节省250万美元的能源和维护成本。此外，智能信号灯的使用也让人们在这座城市高峰期的出行时间缩短了25%。当然，这也仅仅是个开始，随着越来越多智慧城市的出现，其收集的数据量将会呈指数级增长。

　　对大多数智慧城市而言，它们会将这些数据反馈给开发人员，以帮助创建相关的应用程序和软件，使城市和市民得以受益。事实也确实如此，这一前所未有的大数据收集行为将很多数据转化成了有用的东西，无论对网络技术、移动应用还是对人们的生活质量，都有了促进作用。

　　在这种情况下，许多初创公司纷纷投身于与智慧城市相关的产业。比如，位于奥斯汀的Sensco使用传感器收集的数据检测供水基础设施中存在的泄漏问题。RoadBotics选择跟踪道路状况，并对出行司机及当地政府官员就特殊的道路情况(如坑洼)提出警告。

　　事实上，智慧城市里智能技术的使用都是为了提升其三个核心价值——宜居性，可行性和可持续性，这就为创业公司提供了更多发展空间。像初创公司One Concern就通过从城市传感器收集的数据和人工智能技术来预测应对诸如地震、火灾以及洪水等自然灾害。

　　此外，通过使用从手机位置信号到城市公园收集的数据，LotaData专门为政府，营销人员和开发人员提供基于位置的预测分析。

　　以上，虽然智慧城市中数据的应用为人们的生活带来了诸多便利，并改变着当地政府为公众提供服务的方式以及公众与周围世界互动的方式，但其潜在的危险也还是成为了公众不接受智慧城市的原因之一。

　　最新的调查显示，66%的美国人不想生活在智慧城市，除了隐私和数据的安全问题，网络攻击也是他们的担忧之一。那人们的担忧是毫无意义的吗？恰恰相反，不管对研究员还是政府官员来说，这都是最应该关注的问题。

　　IBM：智慧城市漏洞多达17个 可造成严重后果

　　近日，IBM发布了一份网络安全白皮书，公布了其X-Force Red团队与安全业者Threatcare对智能城市所使用的主要系统的调查结果——共发现了17个安全漏洞，更严重的是，它们将允许黑客操纵警报系统、篡改传感器数据，导致城市混乱。

　　实际上，智慧城市的安全问题已获得了研究人员的广泛关注。本月，来自以色列内盖夫本-古里安大学(BGU)的网络安全研究人员就发现了许多智能灌溉系统中存在漏洞，使黑客可以随意远程打开或关闭浇灌系统。

　　对此，BGU研究员Ben Nassis表示：“如果黑客利用此类漏洞对1,355个智能灌溉系统同时展开分布式攻击，在僵尸网络的作用下，城市水塔会在一小时内被清空；而如果同时攻击23,866个智能灌溉系统，水库会在一夜之间被清空。”

　　这就意味着尽管目前物联网设备被用于调节从关键基础设施(如智能电网和城市供水服务)获得的水和电，但它们中存在的严重漏洞会很快成为黑客的攻击目标，对城市造成严重影响。IBM的白皮书也指出，从目前的情况来说，智慧城市相关技术的使用，会让政府和工业控制系统网络面临的安全挑战更复杂。

　　实际上，IBM是在今年年初开始进行的这项调查，主要测试了智慧城市使用的Libelium、Echelon和Battelle系统。它们中存在的17个安全漏洞涉及采用默认密码、可绕过身分验证机制，以及数据隐码等，其中8个被列为重大(Critical)漏洞，意味着就算是最为现代化的智慧城市，也身处安全威胁中。除了这些漏洞外，研究人员还在公开网络上发现数百个含有漏洞的装置，有些欧洲国家利用这些装置来侦测辐射，美国城市则使用它们来监控交通。

　　对此，IBM X-Force Red研究总监Daniel Crowley总结道，这些漏洞将允许黑客摆布水位传感器，以触发错误的洪水警报，或是避免触发洪水警报，同样地，黑客也能操纵核电厂附近的辐射传感器，或者是借助对交通系统、建筑物警报系统或紧急警报系统的控制来制造混乱，这很可能对缺乏安全的智慧城市造成实际伤害。

　　解决方案：以安全为出发点 重检系统框架

　　IBM的白皮书也试图针对智慧城市面临的黑客威胁提出一些解决方案，但还是表示，“不存在一个简单的可以修补一个城市的方法，这反映出一个事实，即在设备安全方面，责任是双重的：制造商要确保他们的产品安全构建，而用户则需要确保其良好的安全使用。此外，双方还有需要共同承担的责任——前者发布安全问题软件的更新，后者及时应用这些更新。”

　　但由于数千个来自不同供应商的设备被部署于面积广大的城市中，这就导致智慧城市的IT领导者无法轻松完成传感器网络的自动更新和修补。IBM表示，也正是因为这个原因，漏洞可能会在很久之后才会被发现，但可能已经被黑客利用，让城市陷入困境。

　　IBM还公布了一些其他准则，比如对可连接到智慧城市的设备进行IP地址限制，特别是公共互联网网络；利用可识别漏洞的基本应用程序扫描工具；禁用不必要的远程管理功能和端口；使用强大的网络安全规则来阻止敏感系统的访问以及更安全的密码等。

　　根据IDC发布的《全球半年度智慧城市支出指南》报告，预计2018年全球智慧城市相关投资将超过810亿美元，而到2022年更将进一步增加到1580亿美元。

　　在小智君看来，既然智慧城市的发展已不可避免，首先城市本身要做的是让公众接受智慧城市的存在。而要让公众接受这一新兴事物，就需要先让他们了解什么是“智慧城市”，让他们知道智慧城市将带来的诸多好处以及他们将如何从中受益；其次，针对公众担心的数据隐私问题，政府有义务将收集的数据透明化，像谷歌或者Facebook那样试图让数据变现的模式切不可取。

　　而针对智慧城市的安全问题，除IBM提出的解决方案外，政府等相关部门要鼓励在IT基础设施上的投资，以抵御外部攻击。当然，最重要的还是科技巨头、政府监管机构以及公众的共同努力，只有这样智慧城市发展所面临的问题就不会成为一条不可逾越的鸿沟。只有充分了解未来的发展前景和风险，愿意拿出时间、精力和金钱保护我们之间的“连接”，才能让关系日益紧密的城市获得安全发展。