【專家主場】形外佳興 ─ Oh smart city oh smart city, what security befalls

今朝一早老編打來催稿，仲鬧 Neo 寫 D 嘢，一岩一忽，九唔答八，點同讀者交代；我話，趕住搵食，一個鐘要出稿，你期望 D 乜呢？老編話，我唔理，總之今次要寫 D 嘢出黎。我話，吓？

好啦，要寫 D 嘢，所以去左個「香港內地網絡安全論壇」，冇報名惟有靜雞雞捐入去聽。一聽，水平又幾高，因為唔係賣藥，而係討論未來 Smart City 的問題，講困難多過講答案，好。Neo 從中吸左唔少，頗有 insight。 Related Posts

【專家主場】略評 Michael Coates 訪談 Oct 28, 2019

【專家主場】形外佳興——不誠實取用電腦 May 21, 2019

【專家主場】形外佳興 ─ 顧問的存在焦慮 Oct 1, 2018

Smart City 背後是物聯網，雲運算，大數據，人工智能，達致開心、健康、綠色、數字化的優質城市生活（以上並非學術定義）。所以，Smart City 有兩個角度看：系統的角度、以及人的角度。從系統的角度看，一個 Smart City 的架構（Architecture）會分為平台層次、網絡層次、應用層次、以致終端的感知層次。例如，數碼打的，在的士上的監測器，就一直感知著具體物體的活動（感知層次）；之上的應用層次，會讓司機、顧客與 Payment Gateway 進行交易；這些交易，透過整個城市的網絡層次流通；而這個整體，本身是一個大數據、人工智能平台、雲平台，再與其他平台交換。這是其中一種（注意，只是其中一種）分析 Smart City 架構的方式。由此架構，也起碼讓我們明白，黑客可以在不同的層次，如何攻擊感知層次的 S&DD（Smart & Dumb Devices），攻擊應用層次的系統及軟件、攻擊網絡層次的通信、攻擊平台層次的數據。如此，IT Security 就要在不同的層次，定立安全標準及策略，並處理 Smart City 特有的問題：技術的多樣性、地域的廣泛性、情況的複雜性、IT Security Incidents 的隨機性、IT Governance 的去中心性、問題的弘大規模等等；所以，在中央化企業中可以實現的IT Security 策略，並不保證在 Smart City 有效。

而且，單單站在系統的角度，仍有所欠缺，因為未考慮另一個角度：人的角度。站在人的角度，人會獨立作出決定，會走動，會有不同的社會背景及技術水平，人會意想不到的盡用 Smart City 所提供的服務，而人本身亦有其弱點，例如 End-point 的處理失誤，S&DP（Smart & Dumb People）會誤墮 Social Engineering 陷阱及其他 Fraud，以致人會利用空子進行種種犯罪行為。

再者，問題還有一籮，例如大數據本身如何平衡保安要求及開放共享要求；S&DD 如何一隻一隻的補丁；人工智能與 S&DP 之間如何分工；如何讓數碼世界擁有有如物理世界一般的防衛機制…

不錯的論壇；也引發了Neo進一步的思考。有機會再講。

Neo 按：

借 Foucault 語，近日，在數字化的海浪中，FB 遭殃了。