信任智慧城市：風險因素及其啟示

我們需要確保我們正在談論正確的事情，發出正確的指令，我們可以相信它們告訴我們的事情，並且它們會遵循我們的指令，在這一過程中，沒有任何人能夠干預」。這讓我們開始思考我們是否可以信任智慧城市。

數十年後，我們將生活在一個由數百億設備組成的世界中，這些設備將交互協作，為我們提供個性化的自主服務。我們周圍無處不在的物體和事物被稱為物聯網（IoT）。城市可能是最先受益於物聯網的個體，但依賴機器的決策系統將對整個社會的信任體系產生深遠影響。信任智慧城市意味著對智慧城市設施能夠安全、可靠和負責任地運行有信心和信念。為了理解信任如何應用於智慧城市，我們引入了信任和風險的正式定義，並提出了三個風險因素，這些因素反映了在部署智慧城市技術時必須考慮的一系列問題。在這些風險因素的基礎上，我們提出了一個威脅分析矩陣，以確定智慧城市應對這些風險的能力。我們也將以對智慧城市戰爭的未來的一些想法作結。

介紹

城市環境正變得越來越互聯和複雜。在未來的幾十年里，我們將被數十億感測器、設備和機器包圍，被物聯網（IOT）包圍。受益於物聯網的城市和城市地區通常被稱為智慧城市（SC）：

「智慧城市是一座創新型城市，它利用信息、通信技術和其他手段來提高人們的生活質量、城市運作和服務效率以及競爭力，同時確保滿足當代人和子孫後代在經濟、社會和環境方面的需求。」

智慧城市的思想也可以應用到其他領域，例如智能軍事設施、智能化合物和智能校園。開發智慧城市應用程序的目的是改進城市人口流動的管理，並能夠讓城市對挑戰作出實時反應。然而，在城市環境中部署分散式感測器網路存在安全風險。一個風險是，敵方有能力入侵民用基礎設施，並利用它們對付我們。因此，了解這些物聯網技術將如何應用於城市環境、它們的操作行為、公民將如何與這些感測器網路互動以及它們大規模部署在城市環境中的安全影響是至關重要的。

城市可能是最先受益於物聯網的，但周圍環繞著數十億個感測器、設備和機器，這對安全、信任和隱私有著深遠的影響。一個城市使用的技術越多，就越容易受到網路攻擊，所以最智慧的城市城市面臨的風險也是最大的。雖然安全性、隱私和信任都是物聯網的關鍵問題，但我們主要的關注都集中在信任上。

信任的必要性早已得到確認，「......決策制定中的關鍵是，我們必須能夠相信這些設備在「說」什麼，並控制它們所做的事情。我們需要確保我們正在談論正確的事情，發出正確的指令，我們可以相信它們告訴我們的事情，並且它們會遵循我們的指令，在這一過程中，沒有任何人能夠干預」。這讓我們開始思考我們是否可以信任智慧城市。

本文的組織如下。在第二節中，我們介紹了信任的正式定義及其與風險的反向關係。為了了解信任如何應用於智慧城市，我們在第三節中引入了三個風險因素。第四節介紹了一個威脅分析矩陣，該矩陣是了解智能城市面臨風險的下一步措施。最後，我們對未來智能城市的網路攻擊的一些想法作了一些總結性的討論。

信任與風險

信任有幾種定義。信任是相信一個實體能夠在特定環境中安全和可靠地行事。信任是指一方在特定情況下願意依賴某人或某事，併產生相對的安全感，即使有可能產生消極後果。換句話說，信任是一個比信息安全更廣泛的概念，它包括主觀標準和經驗。信任包含的概念如下：

感知——通過感知產生對事物的認知；

記憶——過去的歷史和經驗；

特定語境——信任在某種情況下可能存在，但在另一種情況下可能會減少甚至根本不存在。

信任的主觀性取決於人們是否願意參與交易，以及交易結果的相對安全性。因此，存在依賴性的一個方面，這既包括由可能性產生的不確定性，也包括由消極後果產生的風險。

當交易的風險很高時，或者當該交易在系統的安全性方面具有關鍵作用時，風險就會出現。「在大多數考慮風險的信任系統中，用戶必須明確地認識到風險與信任之間的關係，並承認這兩種概念之間的反向關係，即低價值交易常常與高風險和低信任水平相關聯，反之亦然，同樣，風險和信任常常有反作用力，以確定用戶對合作夥伴的接受程度。」

為了理解這種反向關係如何適用於智慧城市，我們定義了三個關鍵的風險因素：非技術性、技術性和複雜性。

非技術風險包括人類參與到智慧城市的各方面中，如管理、培訓和教育以及進行管控和安全演練。

技術風險因素集中在智慧城市的技術方面，包括硬體和軟體系統。這也包括信息物理系統（cyber-physical system）的概念，信息物理系統是一個控制物理實體的協同計算元素的系統。最後一個風險因素是複雜性。智慧城市不是一個獨立的事物，它是一個由各種不同系統（人力和技術）組成的複雜的、多維聯繫的事物，它向客戶提供服務並促進性能發展到最佳狀態。這些系統的複雜性是有風險的，特別是當規模變得非常大的時候。下一節將更詳細地介紹這些關鍵風險因素。

風險因素

在本節中，我們描述了屬於這三個維度的風險的例子。

非技術因素

智慧城市代表了服務交付方式的根本性改變——它主要不是關於技術，而是關於服務轉型和升級。這就突出了流程和人員的重要性，即如何使一個城市變得更智慧，以及由誰來管理它。這使我們開始考慮非技術性風險領域：管理、培訓和最佳實踐。

管理。先進的技術增加了複雜性和不確定性。風險越大，就越有必要採用有效的管理和政策工具來應對風險。智慧城市的表現將取決於對系統和基礎設施的有效管理，而不僅僅是系統本身的表現。信息技術（IT）的部署是一項複雜的工作，如果不能管理與部署有關的高風險因素，就會導致技術驅動的公共部門項目徹底失敗。這方面的一個例子就是《合理醫療費用法案》健康信息市場的災難性推出。事實上，85％的IT項目由於創新的非技術方面的挑戰而失敗，而在很大程度上，這些挑戰來自於政策、組織和管理相關的風險。

培訓和教育。支持數字經濟的基礎設施正變得越來越複雜。企業和城市越來越多地在虛擬機上運行它們的計算系統，雲服務已然成為一種標準的商業慣例。然而，儘管有大量技術流入，仍然嚴重缺乏一批訓練有素的安全專家，而到2020年，這種短缺將達150萬人。公共部門安全技能短缺情況往往更糟——由於私營部門工資薪酬較高，最有才能的人往往都被吸引走了。因此，隨著城市變得更加智慧，吸引合格的人才並向他提供有競爭力的薪酬將是一個挑戰。一種選擇是培訓現有的勞動力，同時努力吸引年輕一代進入技術領域（即增加潛在員工的渠道）。但是，這需要在正常設備採購以及這些系統的操作和維護之外進行投資。要獲得安全和智能城市技術的培訓預算，就必須教育領導者，並獲得認同，但情況卻會隨著每次選舉而改變。

最佳做法。城市需要加強安全措施，以應對極端威脅。有許多「最佳做法」清單為防範大多數安全威脅提供了有益指導。其中一個最佳做法就是嚴格測試設備和系統。城市可以測試系統的功能、對氣候條件的抵抗能力等，但他們往往很少或沒有執行網路安全測試。據Cerrudo報道，大約有20萬個易受攻擊和不安全的交通控制感測器被安裝在華盛頓特區、紐約、西雅圖、舊金山、倫敦、里昂和墨爾本等城市。由於一家公司未能對其通信進行加密，來自這些感測器的信息可能會在1500英尺之外被截獲。這個安全漏洞可能已經使某人讓交通信號燈保持為紅色或綠色，調整電子限速標誌，或調整匝道，讓所有車輛一次性全部進入高速公路中。如果這些城市或軟體供應商在設備部署期間和（或）通過例行安全檢查進行了適當的安全測試，這一安全漏洞就可能被發現。不幸的是，「大多數產品供應商都在開發那些沒有安全性的軟體和硬體，而政府也沒有對它們進行任何測試就將其發布了。」

技術因素

技術是智能城市的助推器，它包括硬體系統和軟體系統。技術風險的例子包括：信息安全、軟體開發和信息物理系統的設計。

軟體開發。利用感測器和數據網路創建對社會群體更透明和更敏感的城市是物聯網的下一個前沿領域。要實現這一目標，關鍵在於我們是否能夠正確地使用軟體，Vint Cerf曾說過，「我們不知道如何編寫沒有錯誤的軟體，為此我們已經嘗試了70年。」如果智慧城市要依靠軟體來運行關鍵基礎設施和服務，那麼我們怎麼在知道它很可能存在漏洞的情況下還相信它呢？

發生在2003年8月14日的停電事故便是一例。在一個運行著100個關鍵服務系統的城市中，由於連鎖反應或事件，一個軟體漏洞產生了巨大的影響。停電影響了加拿大安大略省近1000 萬人和美國8個州的4500 萬人。而造成停電的主要原因就是警報系統的一個軟體故障。

網路攻擊。對關鍵基礎設施系統的網路攻擊數量正在增加。2014年，歐洲黑帽公司的安全研究人員演示了如何通過操縱智能電錶和利用電力線通信技術中的加密問題來「黑進」部分城市。Cerrudo還介紹了另一起涉及國土安全部（DHS）的襲擊事件。2014年，美國國土安全部承認，一家公用事業公司的控制系統網路遭到了「複雜的威脅參與者」的侵入，而黑客們只通過猜測聯網系統上的密碼就進行了侵入。最近的黑客甚至能夠遠程控制一輛在高速公路上行駛的吉普車。

智慧城市將使用無線感測器來控制從交通信號燈到水資源管理的一切事務；因此，對城市的攻擊面是巨大的。在智慧城市中沒有「內部網路」的概念。城市越智慧，計算機系統越多，系統之間的集成就越多，對所有這些系統收集的數據的訪問也就越開放。同時這也帶來了大量潛在的攻擊漏洞。根據 2013年賽門鐵克一項互聯網安全威脅報告，22％的有針對性的攻擊是針對政府和能源/公用事業公司，而身份泄露的24％的目標是政府和醫療機構。

物聯網帶來了一系列嚴重的安全挑戰，因為許多物聯網設備與現實世界有著密切的互動。由於計算和電力資源有限，設備的安全功能可能很差或根本就沒有，更糟的是，它們還不能適當地保護自己。許多物聯網設備可能是用完全過時的操作系統和庫來構建的，而這些系統和庫都還沒有得到完全的修復，這進一步地加劇了這一問題。如果一個設備依賴於帶有漏洞的開源軟體（例如，使用OpenSSL版本的許多路由器容易受到Heartbleed病毒的影響），那麼更新這些設備上的固件就會很困難。

信任數據和設備。另一個風險在於，設備可能會歪曲自身。換句話說，它們被有意編程去欺騙。一個例子是大眾汽車公司被發現編程它們的軟體使其在排放測試中進行欺騙。欺騙是指為了獲得不公平優勢而蓄意歪曲產品的行為，例如大眾公司欺騙監管機構以通過排放測試，並欺騙消費者以銷售更多車輛。將更多的控制和決策下放給設備，可能產生更多的欺騙行為。對於擁有成熟品牌的大型公司來說，在欺騙中被暴露的風險可能會阻止他們。但是，對於物聯網和智慧城市初創公司來說風險要低得多，它們進行欺騙的可能性會更大。

與信任設備相關的是信任數據。對於智慧建築和智慧城市最大的擔憂之一是，設備中的感測器可能會被黑客攻擊，並提供假數據，而假數據可以被用於各種惡作劇，例如造成信號失效，導致地鐵關閉或將污染物排入供水系統。「當我們看到為智慧城市系統提供的數據被盲目信任，並能很容易被操縱的時候——這些系統很容易被黑客入侵，而且到處都存在著安全問題——就是當智慧城市成為一個傻瓜的時候」。驗證、管理和信任物聯網設備的需求已然非常緊迫。

複雜性

智慧城市的核心系統並不是離散的，它是由各種不同系統組成的複雜的多維互聯，這些系統能夠提供獨特的服務並促進其性能達到最佳狀態。從這個角度來看，一個智慧城市可以被認為是一個複雜的系統。複雜的系統由相互連接的部分組成，這些部分作為一個整體顯示一個或多個從單個部分來看並不明顯的屬性。智慧城市的複雜性可能導致兩種類型的風險：級聯效應和常態意外。

級聯效應

級聯效應由影響系統的行為所引起的不可避免且有時無法預料的一系列事件。由於系統之間存在的複雜性和操作上的相互依賴性，級聯效應對智慧城市來說是一個真正的威脅。當城市運行數百種關鍵服務的系統和設備時，很難辨別哪些是處於風險之中的，以及系統將如何作出反應。因此，由於相互依賴和連鎖反應，一個簡單的軟體漏洞或一次網路攻擊就可能會產生巨大的影響。例如，如果沒有交通控制系統，沒有路燈，沒有公共交通工具（如地鐵），我們的日常通勤會出現什麼情況？如果電力或用水供應不足，街道變得黑暗，沒有攝像頭，公民將如何應對？如果垃圾回收在夏季被中斷，源源不斷的垃圾堆積起來，並開始在街道上發臭怎麼辦？那些攻擊者們都知道級聯效應，並且知道可以通過對一個似乎不太關鍵的、小的、安全性較差的系統發動攻擊來利用它，從而達到自己的目的，這就引發了連鎖反應。

常態意外理論

常態意外理論是指根據其風險性描述複雜技術系統的框架，這些技術系統包括空中交通、海上交通、化工廠、水壩、DNA研究等，特別是核電站。根據該理論，複雜系統中的事故被認為是不可避免的，因為無意的和看起來似乎毫不相干的事件積累起來，並聯合起來，就會產生災難性後果和重大故障。在他的書中，Perrow給出了一些具體的例子，包括對DC-10飛機墜毀的描述，他引用了國家運輸安全委員會的一份報告報告：

飛機失去控制是由三個因素造成的：左機翼外側前緣縫翼的回縮，板條分歧預警系統的損壞，以及失速報警系統的損壞——所有的這些都是由發動機吊架組件的分離造成的。正常的飛機都不會使合格的機組人員失去對飛機的控制，但是在飛行的關鍵時刻，在它們的共同作用下，機組人員沒有足夠的機會意識到和防止飛機隨後出現的失速。

Perrow指出了使系統容易發生常態意外的三個條件：該系統是複雜的，該系統是緊密耦合的，以及該系統有可能造成災害。系統和基礎設施的組合、連接和集成是一個城市智能化的基礎。城市越智慧，計算機系統就會越多。各系統之間就需要進行更多的集成，這同時也意味著更有可能出現問題。智慧城市可以連接數百萬（或更多）的人、機器、感測器和設備。隨著越來越多的機器連接在一起，它們的數量將超過我們的人口數量，而人類將不可能監測和控制所有機器。因此，一些決策將被委託給系統中的機器。一旦人類加入到這個複雜的循環中，意外就會發生。這些系統的規模和複雜性就會導致常態意外的發生。

安全影響

既然現在已經定義了這些風險，下一步就是分析智慧城市應對現有威脅的情況。威脅可以表現為當前的（或即將發生的），某個時間的（不持久的），可容忍的（可以復原的）和不能容忍的（例如黑天鵝事件）。分析應該著眼於智慧城市所面臨的威脅，將它們分為這四個類別中的一個，並對常設委員會在這三個風險領域應對這些威脅的能力進行評級。這種分析的矩陣如圖1所示。這種分析將有助於智慧城市了解他們在今後所面臨的安全問題，並能採取措施開始解決這些問題。

智慧城市的安全影響

結論

隨著本土化和由ISIS引發的恐怖主義不斷襲擊全球各大城市，公共安全和安全正變得越來越具有挑戰性。城市政府直面所有這些挑戰，並在某種程度上利用智慧城市技術來解決這些挑戰。

每一項新技術和創新都會帶來挑戰和問題。目前，世界各地的城市都面臨著巨大的網路安全問題。這些問題可能直接影響到政府、居民以及在那裡開展業務的企業和組織。城市網路安全是極為重要的，但我們還沒有充分認識到的風險。

一個顯而易見的問題是，我們是否誇大了城市面臨的網路風險。畢竟，這不等同於真實的戰爭，或更糟糕的核戰爭，不是嗎？我們通常認為戰爭是由人類在陸地上進行的。然而，在2009年，美國國防部長指示美國戰略司令部司令建立美國網路司令部（USCYBERCOM）。「美國網路司令部將計劃、協調、整合、同步和開展行動，以便指導特定國防部信息網路的運作和防禦; 以及做好準備，並在接到指示時開展全面的軍事網路空間行動，以便在所有領域採取行動，確保美國/盟國在網路空間的行動自由，並且保證我們的對手無法做到這些。」從軍方的角度來看，網路的確是戰爭的一種形式。

2008年，保守的胡佛研究所稱，在計算機惡意軟體和殭屍網路中存在一種新的大規模殺傷性武器，並為其創造了「大規模殺傷性武器」（WMD）一詞。作者「雖然我們希望『網路大規模殺傷性武器』永遠不會造成其他大規模殺傷性武器（如核武器、化學武器和生物武器）所能造成的生命損失，但我們仍然應該認識到，『網路大規模殺傷性武器』有可能摧毀生計，甚至摧毀整個經濟……」。他們認為網路攻擊等同於大規模殺傷性武器，儘管他們的觀點沒有被一致認同，但這也引發了一場關於通過相關法律的討論，以便更容易追蹤殭屍網路所有者和垃圾郵件製造者，並迫使互聯網註冊者提供真實的註冊信息。

當國防威脅降低局系統脆弱性和評估副主任，美國陸軍少校Quan Hai T. Lu在寫一篇關於新的大規模殺傷性武器挑戰的期刊文章時，這個問題又浮出水面。他在文章指出中「物聯網將人們的日常生活與互聯網聯繫在一起。人與網路空間的這種相互聯繫讓犯罪分子、極端主義分子和敵對國家以個人、私企和政府組織以及整個美國民間社會為目標，並在這個過程中激起了人們對未知事物的恐懼。簡而言之，網路是一種新的大規模殺傷性武器的威脅，解決它將需要整合整個機構間的資源」。Lu認為，儘管所採用的方法和手段可能不同，但對化學設施、生物研究實驗室、核電廠以及核指揮和控制節點所發動的網路攻擊，實際上就相當於使用大規模殺傷性武器。

無論你是否認同新出現的風險等同於戰爭或大規模殺傷性武器，現在都必須採取行動，在這一轉折點的開端，為了讓我們的城市更加安全，就必須防範迫在眉睫的風險。做好準備是防止更大問題和混亂的關鍵。網路安全問題就在我們身邊，而智慧城市將完完全全暴露在網路攻擊之下。這是一個現實而直接的危險。對城市服務和基礎設施進行網路攻擊只是時間早晚的問題。一個城市使用的技術越多，就越容易受到網路攻擊，所以最智慧的城市面臨的風險往往也就越高。智慧城市創新需要技術，組織和政策的進步：

技術創新：改變和更新技術工具的機制，以改進服務，並創造條件更好地利用這些工具。

組織創新：一種為有效利用技術工具和條件而創造管理和組織能力的機制。

政策創新：處理體制和非技術城市問題的機制，並為建立一座智慧城市創造條件。

這不僅僅是技術解決方案，所有這些領域對解決風險至關重要，使我們能夠信任智慧城市。

作者丨Margaret L. Loper

編譯丨IITE

選自丨SMALL WARS JOURNAL

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！