趋势科技发表资安10大要点，协助检视智慧城市安全性。(图／趋势科技提供)

甫刚结束的台北国际电脑展COMPUTEX 2017中，而聚焦于「物联网科技应用」的SmarTEX展区展示眾多崭新应用，其中有许多皆围绕着智慧家庭与智慧城市主题。联合国曾预估2050年全球将会有逾六成以上的人们居住于都市区，现阶段全球各地也积极投注于「智慧城市」的开发上。对此趋势，趋势科技日前发布「Securing Smart Cities- Moving Toward Utopia with Security in Mind」研究报告，以各个国家与城市的智慧城市案例，提醒智慧科技的发展将伴随着不可避免的资安危机，是未来政府及企业所需面对的重要课题。

趋势科技前瞻资安威胁研究团队（Forward-looking Threat Research, FTR）提供智慧城市网路资安十大要点如下，可协助地方政府以及城市开发商检视智慧城市的安全性，共创安全的智慧乌托邦：

1. 执行品质检验与渗透测试：为顺利排除资料泄漏和系统失控等资安问题，智慧城市科技应採行严格的检验与测试标准，而地方政府机关除了雇用独立运行渗透检测的厂商，也应加强执行智慧科技的品质保证（Quality Assurance）与品质测试（Quality Testing）流程。

2. 提前研拟资安准则：无论是地方政府机关还是开发商都应与协力供应商建立「服务层级协议」（Service Level Agreements, SLAs），确立其应达成的资安标竿为何，例如保障居民的隐私资讯、建立24小时解决回报问题的应变团队。

3. 建立专属的应变团队：当面临涉及智慧应用的资安问题时，最好设置市府下辖的电脑紧急应变小组（Computer Emergency Response Team, CERT）或网路资安事件应变小组（Computer Security Incident Response Team, CSIRT）。

4. 确保软体的定期更新：一旦智慧设备的软体提供了新的版本，就应立即予以更新，且注意最好是以符合资安条件的方式进行，例如使用加密技术或是数位签章认证方法。

5. 妥善计画智慧基础建设的使用年限：地方政府应该预先规划如何处理过时的设备，也需提前因应厂商服务到期的状况，尤其技术支援的终止可能导致严重的安全漏洞问题，且也应考虑智慧基础建设是否会有年久失修、过度使用的风险。

6. 时时谨记隐私资料处理规范：于智慧城市中搜集得来的任何资料，都应使用去识别化与匿名处理，以保护城市居民的隐私权，而与智慧城市计画不相关的资讯都应予以删除，最后针对敏感资讯应限制存取权限。

7. 加密与限制公共的沟通管道：任何涉及敏感资料的沟通，无论是线上还是线下的管道都应予以加密，所有的智慧沟通系统都应至少使用一组帐户密码，或实行如一次性密码、生物辨识等更强的认证机制，并且也应限制沟通管道以降低中控系统受骇的风险。

8. 准备手动操作备案：便利的智慧自动化系统也可能会有运行失灵的情况，因此应该提前准备好手动操作模式，以防遭遇网路断线或骇客执行远端操控的危机。

9. 设计容错的系统：智慧城市应该要设计一种当某些元件发生故障或设计错误时，仍能维持正确运作的容错系统，如此可避免一个小缺失造成整个系统当机、无法运行的状况。

10. 确保基础服务永续运作：即使不幸遭遇整个系统当机的情况，也应确保所有居民能够即时与支援紧急状况的技术团队取得连繫，且确保居民皆能取得如电力与水这些重要资源，举例来说一个完善的智慧城市必须随时备有替代能源，以因应主要电力系统发生故障的情况。

随着时间演变，未来城市将变得越来越聪明，人们经由科技来定义、存取、改善智慧城市服务和基础架构的机会也越来越高；然而智慧化的趋势也就越容易引来骇客的攻击，因此资讯安全在保护智慧城市资源与公共建设的机密性、可用性与完整性，都扮演了巨大的角色，所以不论是从头建造或是经由都市更新计画建造的智慧城市，都必须兼顾功能和安全性，而趋势科技也呼吁市府机关与开发商谨记，智慧城市建造目的是为了服务人，故应以保障人的安全为最高准则。