智慧城市信息安全體系研究及對天津的啟示

◎文/鄭衛(wèi)華

智慧城市信息安全體系研究及對天津的啟示

◎文/鄭衛(wèi)華

智慧城市已經(jīng)成為全球范圍內(nèi)城市發(fā)展的熱點，信息安全是智慧城市持續(xù)健康運行的保障，同時也是目前智慧城市推進的難點之一。本文在對城市信息安全風(fēng)險進行了歸納總結(jié)的基礎(chǔ)上，從數(shù)據(jù)安全和隱私保護角度對智慧城市的信息安全問題及信息安全架構(gòu)進行了初步探索。

智慧城市；信息安全；隱私保護

2008年IBM“智慧地球”概念提出后，智慧城市成為全球范圍內(nèi)城市發(fā)展的熱點。城市智慧化被作為提升區(qū)域競爭力及解決人口、交通、能源等帶來的發(fā)展問題的重要途徑，成為城市發(fā)展的共識。美國、英國、日本、韓國、新加坡、丹麥、西班牙、荷蘭、印度、馬來西亞等國家都制定了智慧化發(fā)展戰(zhàn)略。2009年IBM《智慧城市在中國》白皮書的發(fā)布，推動了我國智慧城市的建設(shè)，并快速成為我國城市提升能級的主流趨勢。2014年，國務(wù)院頒布了《國家新型城鎮(zhèn)化規(guī)劃（2014－2020年）》，智慧城市成為我國新型城鎮(zhèn)化建設(shè)的重要任務(wù)。

信息安全和信息化是建設(shè)智慧型城市的一體兩翼，信息安全是智慧城市持續(xù)健康運行的保障，同時也是目前智慧城市推進的難點之一。隨著各類應(yīng)用服務(wù)的快速發(fā)展，信息安全已經(jīng)不僅僅局限于政治、軍事、外交等方面，信息安全越來越貼近于經(jīng)濟、生活領(lǐng)域，用戶的數(shù)據(jù)安全和隱私保護逐漸被重視。本文從數(shù)據(jù)安全和隱私保護角度對智慧城市的信息安全問題及信息安全架構(gòu)進行初步的探索。

一、理論基礎(chǔ)

（一）智慧城市的內(nèi)涵

全球智慧城市建設(shè)還處于探索階段，關(guān)于智慧城市的概念并沒有統(tǒng)一的定義，智慧城市的發(fā)起者IBM認為智慧城市是運用信息和通信技術(shù)手段，感知、分析、整合城市運行核心系統(tǒng)的各項關(guān)鍵信息，從而對包括民生、環(huán)保、公共安全、城市服務(wù)、工商業(yè)活動

在內(nèi)的各種需求做出智能響應(yīng)。Forrester機構(gòu)認為智慧城市就是通過智慧的計算技術(shù)為城市提供更好的基礎(chǔ)設(shè)施與服務(wù)，包括使城市管理、教育、醫(yī)療、公共安全、住宅、交通及公用事業(yè)更加智能、互通和高效。我國工信部在發(fā)布的《智慧城市評估指標體系》中指出智慧城市是利用新一代信息技術(shù)來感知、監(jiān)測、分析、整合城市資源，對各種需求做出迅速、靈活、準確反應(yīng)，為公眾創(chuàng)造綠色、和諧環(huán)境，提供泛在、便捷、高效服務(wù)的城市形態(tài)。

（二）智慧城市信息主體

智慧城市場景下的生產(chǎn)生活可以看作是用戶通過各類解決方案（如平臺、應(yīng)用程序等）進行社交、貿(mào)易、生產(chǎn)管理等活動，那么智慧城市是新一代信息技術(shù)在城市管理和運行領(lǐng)域的應(yīng)用，從某種程度上可以說智慧城市信息系統(tǒng)是一個智慧城市應(yīng)用市場，這個應(yīng)用市場的主體主要有三類：供方即服務(wù)提供商，需方即各類用戶，政府是市場管理者。

（三）信息安全的主要內(nèi)容

信息安全的核心是數(shù)據(jù)的安全和隱私的保護，一般情況下，信息安全的目標涉及三個不同方面：私密性、完整性和可用性。私密性是指只允許獲得授權(quán)的主體才能訪問特定數(shù)據(jù)的直接相關(guān)的行為。完整性是指一個數(shù)據(jù)、信息或數(shù)據(jù)包，不會在未經(jīng)授權(quán)的情況下被更改，或者說數(shù)據(jù)的合法所有者或目標可以檢測到變化?？捎眯允侵冈谛畔踩尘跋?，當(dāng)擁有權(quán)限的人需要訪問該信息時能夠訪問的到。

（四）智慧城市的信息體系框架

對于智慧城市的信息系統(tǒng)體系，現(xiàn)有的文獻中，有的學(xué)者將其分為三層結(jié)構(gòu)，如滿曉元（2013）將智慧城市信息系統(tǒng)分為底層、數(shù)據(jù)共享平臺、應(yīng)用服務(wù)平臺三層，底層為基礎(chǔ)設(shè)施平臺，主要包括互聯(lián)網(wǎng)絡(luò)和感知網(wǎng)絡(luò)；數(shù)據(jù)共享平臺主要包括基礎(chǔ)信息資源庫，例如人口信息、地理信息等；應(yīng)用服務(wù)平臺是面向公眾、企業(yè)及政府的綜合服務(wù)門戶平臺。有的學(xué)者將其分為四層，如李勇（2012）提出了智慧城市的四層技術(shù)體系即：感知層（即時收集城市各類信息）、互聯(lián)層（通過移動互聯(lián)、無線網(wǎng)絡(luò)、專網(wǎng)等傳遞信息與數(shù)據(jù)）、平臺層（海量信息的智能處理、分布式計算、信息發(fā)現(xiàn)等）、應(yīng)用層（應(yīng)用信息，提高城市效率）。中國電子技術(shù)標準化研究院在2013年頒布的《中國智慧城市標準化白皮書》中將智慧城市劃分為四個層面，即深層感知、廣泛互聯(lián)、高度共享、智慧應(yīng)用。

從數(shù)據(jù)流的角度，本文認為智慧城市信息系統(tǒng)是一個多入口、單出口的類循環(huán)系統(tǒng)，整個系統(tǒng)包含數(shù)據(jù)來源層、數(shù)據(jù)感知層、數(shù)據(jù)傳輸層、數(shù)據(jù)共享層、數(shù)據(jù)應(yīng)用層、數(shù)據(jù)消費層六個層次，其中智慧城市消費層的用戶也是數(shù)據(jù)的主要來源之一，即用戶在智慧城市數(shù)據(jù)流中即是數(shù)據(jù)的生產(chǎn)者，也是數(shù)據(jù)的消費者。

數(shù)據(jù)來源層：數(shù)據(jù)來源主要來自于兩個方面，一是城市的基礎(chǔ)設(shè)施、環(huán)境、建筑、交通等，二是用戶產(chǎn)生的數(shù)據(jù)。

數(shù)據(jù)感知層：主要功能是數(shù)據(jù)采集，是以物聯(lián)網(wǎng)技術(shù)為核心，通過傳感器、攝像頭、RFID等各類終端，感知城市基礎(chǔ)設(shè)施、環(huán)境等各類物體的信息，收錄各類用戶生成的數(shù)據(jù)信息。

數(shù)據(jù)傳輸層：主要功能是數(shù)據(jù)傳遞，通過互聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)以及各類專網(wǎng)等，傳輸數(shù)據(jù)和信息。

數(shù)據(jù)共享層：主要功能是數(shù)據(jù)存儲、分析，實現(xiàn)城市信息資源的聚合、共享、公用，為數(shù)據(jù)應(yīng)用提供支撐。

數(shù)據(jù)應(yīng)用層：主要功能是為用戶提供各類解決方案，包括平臺、框架、應(yīng)用程序等服務(wù)。

數(shù)據(jù)消費層：主要功能是用戶通過各類應(yīng)用服務(wù)將數(shù)據(jù)轉(zhuǎn)化為各類分析決策的基礎(chǔ)或生產(chǎn)資料，用戶包括個人、政府、企業(yè)等。

二、智慧城市面臨的信息安全風(fēng)險

智慧城市建設(shè)是一項復(fù)雜的大型系統(tǒng)工程，高度集成了物聯(lián)網(wǎng)、云計算、大數(shù)據(jù)等眾多新一代信息技術(shù)，與傳統(tǒng)的城市形態(tài)相比，智慧城市的信息環(huán)境具有開放性、移動化、集中化、協(xié)同化、高滲透性等特點，信息的數(shù)量、形態(tài)、傳輸速度、傳播范圍向大、多、快、廣方向快速發(fā)展，智慧城市信息體系各層面都存在著比傳統(tǒng)信息安全更為嚴峻的安全風(fēng)險和脆弱性。

（一）智慧城市信息主體的安全風(fēng)險

智慧城市的概念與 “數(shù)據(jù)”和“互聯(lián)互通”緊密相關(guān)，其智慧服務(wù)是利用數(shù)據(jù)實現(xiàn)的，比如居民的位置信息、數(shù)據(jù)交流信息、行業(yè)和地方政府?dāng)?shù)據(jù)等。數(shù)據(jù)的積累和處理，增加了個人和社會層面的安全和隱私問題，惡意攻擊者會通過多個渠道、多種手段對用戶和合法的服務(wù)商及應(yīng)用服務(wù)進行攻擊，其主要侵權(quán)行為目標包括用戶的私密信息、應(yīng)用服務(wù)的使用模式、社區(qū)的機密統(tǒng)計數(shù)據(jù)、公共數(shù)據(jù)等。

因此，智慧城市信息安全的主要內(nèi)容是就防止用戶、服務(wù)提供商遭到惡意攻擊，以及預(yù)防自然環(huán)境的破壞對數(shù)據(jù)的影響兩個方面。服務(wù)提供商主要關(guān)注感知的數(shù)據(jù)是否存在缺陷、基礎(chǔ)設(shè)施的傳感器感官怎樣不會受損害、其他服務(wù)供應(yīng)商提供的服務(wù)是否可信、數(shù)據(jù)存儲和共享是否符合用戶隱私相關(guān)法規(guī)等等。用戶層面主要關(guān)注自己是否可以控制共享數(shù)據(jù)、傳輸和存儲自己的信息怎樣才能安全、自己的數(shù)據(jù)都可以被誰訪問、誰能夠保證服務(wù)提供商是誠實可信的等。

（二）智慧城市可能出現(xiàn)的信息安全風(fēng)險

在智慧城市信息流通過程中，可能出現(xiàn)的信息安全威脅主要有以下幾種：

1.應(yīng)用程序訪問入口。數(shù)據(jù)在終端和網(wǎng)絡(luò)之間的傳輸是非常重要的安全風(fēng)險。網(wǎng)絡(luò)中，設(shè)備可以以不同的方式、在不同的位置訪問一個數(shù)據(jù)包，為了增強數(shù)據(jù)私密性和完整性，應(yīng)加強數(shù)據(jù)傳輸?shù)陌踩浴榱嗽跀?shù)據(jù)傳輸中減少延遲，可以創(chuàng)建本地拷貝或緩存。比如某一個傳感器連接到一個服務(wù)器，以識別用戶A，檢索它的權(quán)限。在這個過程中，用戶B可能會在不同的網(wǎng)絡(luò)節(jié)點或不同設(shè)備上截取該數(shù)據(jù)包，并且從用戶A和正在訪問數(shù)據(jù)的設(shè)備上獲得一系列信息。

2.信息跟蹤。智慧城市場景中，部分系統(tǒng)之間是相互連通、相互操作的，以安全的方式支撐系統(tǒng)間數(shù)據(jù)交換非常重要，避免通過其他系統(tǒng)泄露原始信息的來源。

3.用戶跟蹤。智慧城市解決方案利用傳感器來采集數(shù)據(jù)，城市解決方案會使城市管理變得更好。由傳感器帶來的問題諸如傳感器的安全、采集到的數(shù)據(jù)的安全等，因此，傳感器必須由一個負責(zé)任的實體監(jiān)管。最重要的風(fēng)險問題，就是要保證沒有任何一個傳感器的信息可能被用于跟蹤用戶、用戶的活動和決策等，比如：未經(jīng)授權(quán)的跟蹤用戶，發(fā)現(xiàn)用戶活動情況和泛濫的定向廣告推送等。

4.用戶數(shù)據(jù)丟失：智能手機、平板電腦以及其他工具為智慧城市系統(tǒng)提供了海量的數(shù)據(jù)和信息，這些數(shù)據(jù)和信息中包含了個人的機密信息，如消息、圖片、預(yù)約、銀行賬戶、聯(lián)系人等。很多情況下，這些數(shù)據(jù)被應(yīng)用程序管理，使用本地存儲工具或API進行數(shù)據(jù)存儲。應(yīng)用程序在終端上存儲的數(shù)據(jù)可能會丟失，這將給用戶帶來重大的問題。因此，必須預(yù)防未經(jīng)授權(quán)的情況下，在客戶端通過各種應(yīng)用程序、系統(tǒng)或服務(wù)獲取數(shù)據(jù)。采取的方法通常是增強客戶端加密存儲機制或系統(tǒng)隔離。

5.數(shù)據(jù)中心信息的交叉訪問：由于服務(wù)端系統(tǒng)漏洞，系統(tǒng)可能被非授權(quán)用戶訪問。例如：在系統(tǒng)存儲、分析、管理時，非

授權(quán)用戶通過其他手段侵犯數(shù)據(jù)安全性，整個系統(tǒng)可能會受到損害。兩個不同的應(yīng)用程序共享同一個授權(quán)的數(shù)據(jù)區(qū)域時，應(yīng)用程序可以從非特定的連接獲取到其他未授權(quán)訪問的信息。這種情況，不僅僅是對一個特定實體的認證和授權(quán)就能解決的，重要的是在一個可互操作、共享的環(huán)境下要有一個正確的限制和邊界。

6.客戶端交叉訪問。通過系統(tǒng)A到破壞系統(tǒng)B的信息。比如說一臺手機中的兩個具有相同存儲機制的應(yīng)用程序沒有被正確的隔離，攻擊者可用通過其中一個應(yīng)用程序訪問另外一個應(yīng)用程序的信息，甚至可能會被惡意安裝第三個應(yīng)用程序訪問這兩個應(yīng)用內(nèi)的信息。

7.數(shù)據(jù)病毒感染。智慧城市是一個互聯(lián)和互操作的場景，如果各系統(tǒng)之間沒有很好的界定邊界，并且，系統(tǒng)缺乏深度防護體系，那么病毒可能會通過感染其中一個系統(tǒng)，而迅速蔓延到整個網(wǎng)絡(luò)上的其他系統(tǒng)。

三、智慧城市信息安全架構(gòu)的設(shè)想

（一）智慧城市信息安全責(zé)任主體

在云環(huán)境下，公共網(wǎng)絡(luò)邊界模糊，任何一個節(jié)點都有可能成為受攻擊對象。相對于傳統(tǒng)的IT環(huán)境，數(shù)據(jù)存儲于用戶自己的領(lǐng)域，而在云模式中，用戶數(shù)據(jù)的所有權(quán)和控制權(quán)被分離。因此，安全模式隨之發(fā)生了變化，安全責(zé)任主體也由用戶轉(zhuǎn)變?yōu)樘峁┥毯陀脩艄餐袚?dān)。

在智慧城市場景下，系統(tǒng)高度互聯(lián)，數(shù)據(jù)充分共享，數(shù)據(jù)和隱私的安全風(fēng)險如上節(jié)所列，更容易受到其他系統(tǒng)的影響，信息系統(tǒng)環(huán)境面臨更多的安全挑戰(zhàn)，信息安全在社會公共安全中的重要性逐漸增加，這也是在智慧城市建設(shè)中在主要困擾因素之一。

用戶對數(shù)據(jù)和隱私安全的擔(dān)憂、用戶與服務(wù)商之間的不信任、服務(wù)商與服務(wù)商之間的不信任等一系列問題，影響了數(shù)據(jù)的共享、系統(tǒng)的協(xié)同，制約了智慧城市的建設(shè)與發(fā)展。這需要政府從城市整體運行的角度，為整個城市系統(tǒng)建立信任環(huán)境，確立基本的信息行為準則，因此，智慧城市場景下的信息安全責(zé)任主體拓展到用戶、服務(wù)商、政府，三方責(zé)任主體共同維護城市信息系統(tǒng)安全。

（二）智慧城市信息安全體系概念模型

目前，國內(nèi)學(xué)者對于智慧城市信息安全體系架構(gòu)的研究，主要側(cè)重于宏觀的智慧城市建設(shè)框架角度，但是沒有對信息安全的責(zé)任進行劃分，如婁歡，竇孝晨（2015）提出了三層的智慧城市信息安全架構(gòu)，包括基礎(chǔ)設(shè)施、運營管理、解決方案三層。

國外學(xué)者更多的側(cè)重于數(shù)據(jù)、服務(wù)安全，英國學(xué)者Zaheer Khan等（2014）認為安全和隱私不僅只涉及居民，服務(wù)提供商和政府同樣有信息安全的顧慮，認為智慧城市關(guān)鍵是要建立一個信息體系，提出了基于信任機制的智慧城市信息安全概念模型，該模型適用于各類主體的解決方案，具有較強的城市系統(tǒng)性，但是該學(xué)者只考慮了正常運行的城市環(huán)境，將惡意攻擊者作為預(yù)防對象，并沒有考慮到重大的地質(zhì)、自然、環(huán)境災(zāi)害等對數(shù)據(jù)的影響。城市發(fā)展或人類生活具有歷史性，因此，數(shù)據(jù)災(zāi)備處理是城市信息安全體系的重要部分，故而本文在前者的基礎(chǔ)上，從責(zé)任主體角度提出了智慧城市信息安全架構(gòu)。

1.政府信息環(huán)境的建立。政府作為城市的管理者，需要創(chuàng)建一個良好的可信環(huán)境，為應(yīng)用程序服務(wù)市場的供需雙方提供交易基礎(chǔ)，同時要監(jiān)督用戶和服務(wù)提供商都在法規(guī)和政策范圍內(nèi)工作。一是源數(shù)據(jù)的完整性檢驗。當(dāng)智慧城市中的設(shè)備、服務(wù)、居民在高度互聯(lián)的智慧城市中產(chǎn)生數(shù)據(jù)時，完整性檢查組件對其進行認證。這些證書可以確保服務(wù)

提供商可以信任數(shù)據(jù)源，并在遇到數(shù)據(jù)欺騙的情況下，可以追溯來源和避免偽造服務(wù)體驗。二是服務(wù)提供商及服務(wù)可信性驗證，保證服務(wù)提供商提供合法可信的服務(wù)。對應(yīng)用程序的服務(wù)過程進行登記認證，經(jīng)監(jiān)督機構(gòu)認證后方可向用戶推廣。三是公開數(shù)據(jù)訪問授權(quán)。四是建立審計跟蹤機制，以確保涉及的實體在其范圍內(nèi)工作。五是建立數(shù)據(jù)災(zāi)備策略，必須建設(shè)遠程異地數(shù)據(jù)備份中心。

2.用戶端信息安全策略。用戶端信息安全機制主要實現(xiàn)兩個功能，即智慧城市采集的數(shù)據(jù)的安全性和私密性、客戶端的應(yīng)用程序不被惡意篡改。一是驗證用戶或服務(wù)供應(yīng)商的有效性。二是驗證應(yīng)用程序按照政府法規(guī)服務(wù)。服務(wù)提供商應(yīng)該遵守政府制定的規(guī)則和法規(guī)，政府也有確保服務(wù)商按照監(jiān)管當(dāng)局在登記服務(wù)過程中批準的服務(wù)描述工作的責(zé)任。三是數(shù)據(jù)匿名或加密機制。數(shù)據(jù)匿名化可以有效分離用戶與數(shù)據(jù)，當(dāng)數(shù)據(jù)受到感染時，由于沒有正確的映射信息追溯到它的數(shù)據(jù)所有者或有關(guān)的利益相關(guān)者，以降低隱私被侵權(quán)的可能性。數(shù)據(jù)加密機制可以提高數(shù)據(jù)安全性，確保惡意服務(wù)供應(yīng)商或用戶無法訪問私人和機密數(shù)據(jù)。四是等級保護策略選擇機制。根據(jù)感知信息和服務(wù)的描述，對用戶的私密信息進行不同等級的保護策略。五是服務(wù)授權(quán)機制。用戶要建立一般性或個性化訪問控制策略；建立訪問控制日志，記錄數(shù)據(jù)訪問活動。

3.服務(wù)端信息安全策略。主要解決在不受信的范圍內(nèi)服務(wù)供給、安全和隱私數(shù)據(jù)共享的問題，進而為服務(wù)供應(yīng)商在公共和居民數(shù)據(jù)基礎(chǔ)上開展合作，開發(fā)新的服務(wù)，從而提高智慧城市的生活體驗。一是建立服務(wù)供給機制。完善智慧城市服務(wù)的開發(fā)環(huán)境，使服務(wù)提供商能夠根據(jù)網(wǎng)絡(luò)和計算負載自主擴展服務(wù)。二是建立數(shù)據(jù)倉庫。使服務(wù)供應(yīng)商可以訪問公共數(shù)據(jù)庫，也可以與其他服務(wù)供應(yīng)商共享應(yīng)用程序/服務(wù)的特定數(shù)據(jù)。三是開放應(yīng)用程序接口，使服務(wù)提供商與其他服務(wù)商開展安全的合作。

四、對智慧天津建設(shè)的啟示

智慧城市建設(shè)是城市建設(shè)的主要趨勢，國內(nèi)外眾多城市將智慧城市建設(shè)作為城市發(fā)展的主要抓手。據(jù)工信部《2014年ICT深度報告》統(tǒng)計，我國100%副省級以上城市、89%地級及以上城市、47%縣級及以上城市都在推進智慧城市建設(shè)。天津市將智慧城市建設(shè)作為加快實現(xiàn)創(chuàng)新驅(qū)動、轉(zhuǎn)型發(fā)展的重要舉措，到目前有生態(tài)城等7個區(qū)域已被列入國家智慧城市試點。智慧城市建設(shè)過程中，信息安全方面還存在著諸多問題，如信息安全意識有待于進一步加強；信息安全技術(shù)發(fā)展落后于新一代信息技術(shù)的發(fā)展；信息安全專業(yè)人才匱乏；城市信息安全體系研究不足；核心技術(shù)受國外服務(wù)商制約等。

因此，建設(shè)智慧天津應(yīng)該注重以下幾個方面：一是大力普及信息安全風(fēng)險、保障知識，加強各方信息安全意識；二是明確各主體的責(zé)任，特別是政府建立信息安全信任環(huán)境的責(zé)任以及政策法規(guī)執(zhí)行的監(jiān)督責(zé)任；三是加強頂層設(shè)計，城市信息安全保障體系要與智慧天津建設(shè)同步，統(tǒng)籌布局信息安全體系，技術(shù)與制度同步實施；四是注重基礎(chǔ)，逐步實施，避免盲目推進。五是加強信息安全人才隊伍建設(shè)；六是重要的社會人文領(lǐng)域同樣要注重災(zāi)備建設(shè)，保障社會發(fā)展數(shù)據(jù)的延續(xù)性。

[1]范淵.智慧城市與信息安全[M].北京：電子工業(yè)出版社，2014.

[2]滿曉元.智慧城市信息安全風(fēng)險及評估方法[J].電子世界，2013（12）.

[3]李勇.智慧城市建設(shè)對城市信息安全的強化與沖擊分析 [J].圖書情報工作，2012（3）.

責(zé)任編輯：虞冬青

X9

A

1006－1255－（2016）11－0027-05

鄭衛(wèi)華（1979—），天津市科學(xué)學(xué)研究所。郵編：300011