智慧城市信息安全風(fēng)險及保障體系構(gòu)建研究

王 銀，李 麗，余 海

（中國電子科技集團公司第三十研究所，四川 成都 610041）

0 引 言

智慧城市將城市管理與服務(wù)集成化，由產(chǎn)品設(shè)備采集數(shù)據(jù)信息，通過互聯(lián)網(wǎng)對數(shù)據(jù)進行保存和處理，利用一體化平臺對整個城市的服務(wù)進行檢測和管理。智慧城市的應(yīng)用可以提升對城市的管理效率，改善市民的生活質(zhì)量和工作方式，促進整個城市社會、經(jīng)濟及環(huán)境的和諧發(fā)展。我國政府對智慧城市的發(fā)展極為重視，現(xiàn)已跟緊科技時代的腳步，在智慧城市的建設(shè)道路上飛速發(fā)展。健全的信息安全風(fēng)險及保障是建設(shè)智慧城市并保障其安全運行的基礎(chǔ)。目前我國在信息安全風(fēng)險及保障體系建立方面還有很多不足之處，需參考國際智慧城市的成功案例并結(jié)合我國城市現(xiàn)有情況，完善我國信息安全風(fēng)險及保障體系，總結(jié)出合理的法律法規(guī)，增強我國對核心技術(shù)的自主權(quán)，制定對智慧城市建設(shè)的管理措施。

1 智慧城市信息安全挑戰(zhàn)

近年來，智慧城市建設(shè)在國內(nèi)得到高速推進，得到了政府的高度重視和支持。如圖1所示，智慧城市主要應(yīng)用于醫(yī)療、建設(shè)、教育、環(huán)境、家居及管理等生活中的各個方面。智慧城市的成功構(gòu)建彰顯著我國社會的穩(wěn)步發(fā)展、經(jīng)濟提升以及環(huán)境改善[1]。

圖1 智慧城市主要應(yīng)用領(lǐng)域與價值

2014年，國務(wù)院推出新型城鎮(zhèn)規(guī)劃策略；國家工業(yè)和信息化部、改革委員會及財政部等8個部門于2014年8月聯(lián)合推出智慧城市發(fā)展的指導(dǎo)意見通知。指導(dǎo)性文件和方針為我國建設(shè)智慧城市的信息安全保障提供了巨大支持，為智慧城市的信息安全建設(shè)提供了寶貴意見。

隨著科學(xué)技術(shù)的高速發(fā)展，智慧城市的信息安全問題開始逐漸暴露出來，如網(wǎng)絡(luò)攻擊、對系統(tǒng)和服務(wù)進行破壞[2]。非法獲取智慧城市系統(tǒng)的數(shù)據(jù)信息，不僅會對個人用戶造成經(jīng)濟和名譽損失，還會危害城市甚至國家的安全穩(wěn)定。

2 智慧城市信息安全面臨的風(fēng)險

2.1 信息安全頂層設(shè)計規(guī)劃能力有待提高

智慧城市頂層設(shè)計規(guī)劃是智慧城市建設(shè)的重要環(huán)節(jié)之一。若在智慧城市頂層設(shè)計中對信息安全設(shè)計考慮不足，將會導(dǎo)致智慧城市在運行過程中頻繁地出現(xiàn)安全隱患。智慧城市信息安全的頂層設(shè)計和發(fā)展規(guī)劃需具有科學(xué)性、針對性及合理性，優(yōu)秀的頂層設(shè)計有助于智慧城市長久穩(wěn)定地運行。目前國內(nèi)信息安全頂層設(shè)計規(guī)劃能力還需更進一步，如對智慧城市的各個組織和應(yīng)用之間數(shù)據(jù)開放的安全規(guī)范的規(guī)劃。規(guī)范處理數(shù)據(jù)信息，保障數(shù)據(jù)信息的安全，可以從源頭避免信息安全事件的發(fā)生，保證數(shù)據(jù)不被泄露或丟失[3]。

2.2 信息安全標準規(guī)范不完善

建設(shè)智慧城市需要制定合理的信息安全標準規(guī)范。如今，國際多個組織和聯(lián)盟已經(jīng)著手研究智慧城市的標準化規(guī)則，旨在形成一套智慧信息安全風(fēng)險及保障的標準體系。我國針對智慧城市信息安全也提出了一些指導(dǎo)性文件，用于指導(dǎo)、要求安全信息統(tǒng)一規(guī)范。但從整體來看，我國的智慧城市安全風(fēng)險及保障體系仍存在很多問題，需不斷地完善和總結(jié)，追趕先進國家建設(shè)智慧城市成功的腳步。

2.3 自主可控的信息安全技術(shù)產(chǎn)品支撐能力需要提高

智慧城市的建設(shè)離不開大量的技術(shù)產(chǎn)品支撐。保障智慧城市的信息安全，需要不斷提高國內(nèi)技術(shù)產(chǎn)品的自主可控能力。現(xiàn)階段我國智慧城市的信息安全建設(shè)仍依靠國外IT行業(yè)公司，如微軟、甲骨文及英特爾等。對于技術(shù)產(chǎn)品的自主可控能力不足，可能會因使用國外的通用處理器、大型數(shù)據(jù)庫及操作系統(tǒng)等技術(shù)產(chǎn)品而造成嚴重的數(shù)據(jù)安全威脅，甚至破壞國家的利益。因此，我國智慧城市發(fā)展需提高對于產(chǎn)品技術(shù)的要求，并著手培養(yǎng)大量的優(yōu)秀人才。

2.4 信息安全應(yīng)急響應(yīng)能力需通過實戰(zhàn)不斷檢驗提高

隨著國內(nèi)智慧城市信息安全保障工作的不斷進步，城市建設(shè)者積極響應(yīng)政府的號召和法律法規(guī)，目前我國已經(jīng)初步建立了一套信息安全預(yù)案體系[4]。由于這套體系沒有被大量實驗驗證，因此仍存在一些問題。例如，體系存在著重復(fù)性，在實際應(yīng)用中難以進行相對應(yīng)的模式化處理；信息安全預(yù)案體系的可操作性、合理性、針對性及有效性還沒有得到驗證，需進行長時間的實戰(zhàn)演練，提高應(yīng)急響應(yīng)能力。

2.5 信息安全法律法規(guī)不健全

我國政府和相關(guān)管理單位已經(jīng)開始制定相關(guān)法律法規(guī)，以應(yīng)對網(wǎng)絡(luò)信息安全的各種問題，對網(wǎng)絡(luò)管理進行約束。由于網(wǎng)絡(luò)問題種類復(fù)雜多樣，黑客技術(shù)不斷升級，因此，相關(guān)單位需進一步完善網(wǎng)絡(luò)安全法律法規(guī)。只有具備合理、全面的信息安全法律法規(guī)，才能夠有效支撐智慧城市的建設(shè)與運行。我國應(yīng)該加快建立與完善信息安全法律法規(guī)，盡早提升我國信息安全法律的可靠性。

3 智慧城市信息安全保障體系構(gòu)建

3.1 技術(shù)支撐

3.1.1 安全體系架構(gòu)設(shè)計

智慧城市具備網(wǎng)絡(luò)通信功能，互聯(lián)網(wǎng)的開放性加大了智慧城市安全穩(wěn)定發(fā)展的難度[5]。智慧城市信息安全的主要風(fēng)險包括基礎(chǔ)設(shè)施、安全技術(shù)、管理制度以及信息安全政策法規(guī)不健全等，如圖2所示。為了降低信息安全事件的發(fā)生率，避免和減少信息安全的相關(guān)問題，本文針對智慧城市信息安全的主要風(fēng)險，建立相對應(yīng)的安全保障體系。

圖2 信息安全保障體系架構(gòu)圖

安全體系架構(gòu)需要成熟的技術(shù)支撐，主要包括加密技術(shù)、數(shù)據(jù)智能檢測技術(shù)以及邊界防御技術(shù)。加密技術(shù)根據(jù)用戶需求選擇合適的加密算法和方案，保護用戶的數(shù)據(jù)安全，避免數(shù)據(jù)被惡意程序和黑客非法獲取。智能檢測技術(shù)可以及時對數(shù)據(jù)的安全性進行檢測，避免數(shù)據(jù)在傳輸過程中被惡意篡改，大大提高數(shù)據(jù)傳輸?shù)目煽啃?。邊界防御技術(shù)包括防火墻和VPN等防御技術(shù)，合理地運用邊界隔離技術(shù)可以防止惡意攻擊和非法入侵。

3.1.2 安全運行設(shè)計

為了保障智慧城市建設(shè)系統(tǒng)安全運行，需在一體化平臺實時監(jiān)測智慧城市的整體運行狀態(tài)，對信息安全形勢進行分析，在信息安全異常時發(fā)出預(yù)警并落實對應(yīng)的緊急處理措施，滿足整體信息安全的一切韌性需求[6]。建立完善的應(yīng)急機制，維護智慧城市信息安全的建設(shè)與運營，對各種緊急安全問題進行備案和分析，在發(fā)生信息安全事件時能夠及時定位問題并根據(jù)應(yīng)急機制采取相應(yīng)的處理措施，維護智慧城市安全穩(wěn)定地運行。

3.1.3 智慧應(yīng)用安全設(shè)計

智慧應(yīng)用的安全設(shè)計可分為安全功能和應(yīng)用交互安全設(shè)計。應(yīng)用安全功能涵蓋用戶權(quán)限、認證、驗證、參數(shù)和配置、異常處理以及日志記錄等功能。對這些應(yīng)用功能進行升級和優(yōu)化，可以有效地提升應(yīng)用安全性。應(yīng)用交互安全設(shè)計主要包括系統(tǒng)設(shè)備安全、接口安全、數(shù)據(jù)存儲安全以及加密技術(shù)。智慧應(yīng)用可采取的安全支撐技術(shù)有隱私保護技術(shù)、云安全存儲技術(shù)、入侵檢測技術(shù)以及身份認證技術(shù)等，確保數(shù)據(jù)信息在收集、存儲及交互的任一環(huán)節(jié)都不會出現(xiàn)數(shù)據(jù)泄露和丟失現(xiàn)象。

3.1.4 軟硬件平臺設(shè)計

軟硬件平臺設(shè)計可劃分為系統(tǒng)軟件設(shè)計和硬件設(shè)計。系統(tǒng)軟件和硬件通過物聯(lián)網(wǎng)和互聯(lián)網(wǎng)等技術(shù)高度集成，由監(jiān)測平臺和高清攝像頭對視頻信息進行整合。由高清攝像頭記錄的大量圖形和視頻等數(shù)據(jù)通過通信協(xié)議傳輸?shù)奖O(jiān)測平臺，便于工作人員對各個產(chǎn)品設(shè)備進行監(jiān)控。如果在平臺檢測到了安全異常情況，需根據(jù)信息安全風(fēng)險及保障體系進行應(yīng)急處理。工作人員可在移動端或PC端登錄中心平臺對設(shè)備進行統(tǒng)一操控和管理。

3.2 管理措施

3.2.1 智慧城市信息安全組織保障

智慧城市信息安全風(fēng)險及保障體系離不開政府的大力支持，需根據(jù)政府下達的指導(dǎo)性文件明確智慧城市的發(fā)展方向，根據(jù)每一個城市的實際情況制定相應(yīng)的信息安全法律法規(guī)，合理規(guī)劃智慧城市的管理和運營模式，由政府相關(guān)部門對智慧城市的資源配置進行合理化分配。

3.2.2 智慧城市信息安全制度保障

智慧城市信息安全制度保障便于系統(tǒng)整體安全運行和管理，由信息安全法律法規(guī)對智慧城市運行進行約束，保障信息安全。各級部門明確分配監(jiān)測、維護以及處理緊急異常的相關(guān)工作，根據(jù)各個部門和負責(zé)人可快速定位到信息安全的問題所在。健全的信息安全制度可以保障智慧城市有條不紊地運行。

3.2.3 智慧城市信息安全管理保障

智慧城市信息安全管理保障需各個部門的相關(guān)工作人員嚴格遵循信息安全的相關(guān)制度和流程，實時監(jiān)測設(shè)備和系統(tǒng)，審核日志情況，做好系統(tǒng)更新和維護等工作。“無規(guī)矩不成方圓”，在智慧城市開發(fā)、運行及日常維護過程中，相關(guān)工作人員應(yīng)嚴格實施信息安全管理，避免因人為原因造成信息安全問題。

3.2.4 智慧城市信息安全技術(shù)保障

堅固的智慧城市信息安全防御體系離不開信息安全技術(shù)的支撐。我國相關(guān)的信息安全技術(shù)大多采用國外的處理器、服務(wù)器、數(shù)據(jù)庫以及操作系統(tǒng)等互聯(lián)網(wǎng)技術(shù)，缺乏自主控制能力。只有發(fā)展自己的安全保障技術(shù)，智慧城市才能長期安全穩(wěn)定地發(fā)展，不再受制于人。安全技術(shù)包括系統(tǒng)所用設(shè)備、網(wǎng)絡(luò)傳輸、安全算法、數(shù)據(jù)存儲、數(shù)據(jù)及服務(wù)融合等各個方面。在這些層面采取高效的安全保障手段，可以全方位保障智慧城市的信息安全。

4 結(jié) 語

智慧城市建設(shè)將改變現(xiàn)有的生活方式，給人們帶來諸多便利。我國智慧城市信息安全風(fēng)險及保障體系還有很多不足之處，需通過大量實踐來證實。結(jié)合其他國家智慧城市的成功案例和我國城市現(xiàn)狀，制定合理的智慧城市安全風(fēng)險及保障體系，可以提升智慧城市的整體安全性。唯有解決信息安全問題，構(gòu)建信息安全保障體系，才能保障智慧城市安全運行。本文對智慧城市信息安全風(fēng)險及保障體系構(gòu)建的研究，可為智慧城市的建設(shè)提供理論基礎(chǔ)。針對主要的信息安全風(fēng)險，從產(chǎn)品設(shè)備、法律法規(guī)、核心技術(shù)以及管理制度等層面進行相應(yīng)的安全保障體系設(shè)計，為完善我國智慧城市信息安全保障體系做出貢獻。