智慧城市視域下信息安全風險應對策略

文/ 臧超 修磊

?

智慧城市視域下信息安全風險應對策略

文/ 臧超 修磊

摘要：智慧城市作為新的城市發展常態，既有傳統城市的信息安全問題，也有融合新一代信息技術后的新信息安全風險。為應對復雜的信息安全沖擊，在傳統單元技術手段的基礎上，搭建多元的城市信息安全應對體系，是解決智慧城市信息安全的新思路和新方向。

關鍵詞：智慧城市；信息安全

智慧城市是在創新2.0和工業4.0背景下，大數據、云計算、移動互聯網和物聯網等新一代信息技術與城市建設的大集成、大整合、大提升，是網絡社會和信息社會的物化表現，對城市未來的發展有著重要意義。[1]（P1）但是,伴隨機遇而來的是對智慧城市信息安全的挑戰和沖擊，面對復雜的信息安全問題，如何搭建多元的城市信息安全應對體系，是值得研究和探討的重要理論和實踐問題。

一、智慧城市信息安全風險分析

智慧城市可以理解為以數字化、網絡化和智能化信息技術為基礎，以政府、企業、個人為建設主體，以泛在的、綠色的、惠民為主要特征，以社會、環境和管理為要素的現代城市可持續發展理念和實踐。智慧城市作為新的城市發展常態，既有傳統城市的信息安全問題，也有融合新一代信息技術后形塑的新信息安全風險。

一是惡意程序問題。首先，新型蠕蟲病毒傳播速度更快，傳播范圍更大，同時針對性更強，潛伏時間長達幾個月甚至幾年。其次，隨著網絡的發展，政府的政務網職能由單向的政務公開向雙向的網上辦事和參與互動過渡。傳統政府單純的物理隔離架構的政務內網必須面對更加開放的需求，同時，移動互聯網的廣泛應用，必然給山寨APP和手機病毒等新型移動平臺下的病毒傳播提供新的途徑。

二是非法訪問和破壞問題。智慧城市黑客非法訪問等網絡犯罪是對信息安全機密性、完整性、可用性最直接最嚴重的侵害。首先是針對敏感信息非法訪問破壞了機密性。智慧城市加快了光纖寬帶和3G移動通信網絡推進，加快了物聯網應用和大數據存儲，努力構建隨時隨地隨需的泛在網絡，卻缺乏卓有成效的反擊和跟蹤手段，客觀上使得通過網絡侵害信息機密性的黑客犯罪日益增多。其次是云計算平臺的可用性隱患。智慧城市倡導推進城市數據共建、互換和共享的大數據平臺建設，為各類信息資源的存儲、共享和整合提供平臺支撐。但是，一旦城市的某項業務應用系統遭遇攻擊后，出現崩潰或癱瘓，可能會給智慧城市局部甚至整體應用體系造成無法彌補的損失。再次是安全環境完整性問題。智慧城市廣泛應用了各類物聯網傳感器、Wi-Fi傳輸技術、3G移動通信等無線技術，使得通訊信息直接暴露在自然環境中，信息完整性損害風險陡增。

三是管理漏洞問題。智慧城市信息安全建設應該是技術硬實力與管理軟實力的同步發展，然而智慧城市建設方興未艾，管理缺位、不足或不完善的現象在相當長一段時間內將繼續存在。信息安全管理漏洞首先體現在企業、機構和公眾網絡安全意識薄弱上。多年的電子政務發展和建設經驗下，政府及相關部門的網絡信息安全意識較強，普遍建立了規章制度，配置了相關設備，配備了管理人員。相反，網絡安全意識薄弱的主體是企業、機構和公眾。企業和公眾普遍對信息安全重要性認識不足，缺乏網絡安全知識，對防護技能掌握薄弱，不利于網絡風險的規避和網絡威脅應對，已成為制約智慧城市信息安全水平的短板。其次是法律法規尚待完善。由于技術發展前景的不確定性，導致針對智慧城市的新類型的違法犯罪活動難于預判，面臨著執法依據缺乏的情況。同時由于我國計算機安全法律層級較低，約束力較弱，相對于智慧城市的飛速發展，法律法規存在明顯的滯后性，執法范圍較窄，缺乏系統性，存在法律空白和盲點。再次是缺乏基層管理組織。社區、街道以及轄區派出所是智慧城市實體的生產生活統籌協調基層網格組織，為城市安全發揮著重要作用。但是智慧網絡的虛擬性和無界性，一直缺乏政府管理基層組織。對于網絡安全評估和動態監測、網絡安全知識培訓和網絡安全設備部署都應有基層組織參與，才能發揮最佳的安全性。但是由于信息安全的專業性較強，基層管理組織一直沒有有效地形成網格化的管理。

四是網絡的缺陷及漏洞問題。網絡缺陷比較常見，漏洞比較少。與之相比，智慧城市的網絡環境卻是多樣化和復雜化的綜合體現。智慧城市的信息協議都強調共享性、開放性和互聯性，協議間協作測試不足，使得網上信息安全先天不足。智慧城市涉及多樣操作系統，操作系統自身補丁更新不足，互通運維時缺乏漏洞測試。

二、智慧城市多元信息安全應對體系建設

傳統的城市信息化中，單純強調通過技術單元手段來解決復雜的信息安全問題。但是，智慧城市的信息安全涉及技術、管理、社會等方方面面，智慧城市的建設和運維所面臨的是一個高度開放的環境，要規避多方帶來的安全風險，必須通過縱深防御的多元的安全應對體系才能實現城市信息系統不受侵害。2015年7月1日，《中華人民共和國網絡安全法（草案）》表決通過，該法第25條明確規定，國家建設網絡與信息安全應對體系，維護國家網絡空間主權、安全和發展利益。為智慧城市多元信息安全應對體系的建立提供了重要參考。

要建立城市基層信息安全領導體制。應建立地方城市的信息安全領導體制，增設職能部門，統籌城市中各部門和行業，統一部署安全工作。首先，加強風險評估工作，針對智慧城市網絡和應用的潛在威脅、薄弱環節及防護措施進行分析評估。建立和完善等級保護制度、管理辦法和技術指南，綜合考慮重要性、涉密性和安全風險因子，進行相應等級的安全建設和管理。其次，建設和完善信息安全預警體制，提高對網絡漏洞、軟件缺陷和隱私泄漏的防范能力。再次，根據智慧城市各行業需求和特色，制定切實可行的災備方案，建立主庫和備庫，做好城市數據庫災備工作。

盡快出臺城市信息安全規章和規范性文件。智慧城市所在的人民政府應依據《中華人民共和國網絡安全法（草案）》擬訂智慧城市信息安全規章，實現依法網絡空間治理，規范信息傳播秩序，懲治網絡違法犯罪。通過規章的落實，為智慧化建設提供良好環境，同時，應注重保護各類網絡主體的合法權利，保障網絡信息依法有序自由流動。各級黨組織、政府部門、社團組織和企事業單位也應結合法律規章，制定職權范圍內具有約束力的規范性文件。

深入開展網絡安全宣傳推廣活動。開展形式多樣的展覽、體驗活動，把網絡安全宏大抽象的概念，形象而具體地搬到公眾面前，實現從概念到理念的轉化，形成良好的全民參與的安全氛圍。開展大講堂，普及網絡安全知識，系統深入地講述網絡安全知識，在更大范圍內普及推廣。宣傳活動是關系到智慧城市中企業和公眾切身利益的關鍵性問題，必須通過宣傳推廣讓公眾對維護網絡安全產生極強的認同感。

應該建立可信計算體系。應引入可信計算到智能終端中，建立起可信終端。可信計算是指在計算機架構上添加硬件模塊及相應軟件，以構建一個操作系統體系之外的計算機安全平臺，從根本上解決計算機系統的安全問題。因此，必須加強可信計算技術的開發利用，規范以身份認證、授權管理和責任認定為主要內容的信息安全信任體系建設。

加快構建網絡誠信體系。應抓住智慧城市誠信體系的矛盾和問題，建立基于黑名單和白名單網絡身份管理，推廣HTTPS 協議代替HTTP，推行網絡證書和機關事業單位的掛標工作，啟動源地址認證活動等等。提高智慧城市中網絡仿冒、DNS劫持和惡意程序的監測發現能力，提高城市中各主體對信息安全的信心。

近年來，對于城市信息化改革提出了無線城市、數字城市、泛在城市等等理念，智慧城市同樣是對城市改革的一種美好展望，智慧城市在同樣突出對信息安全技術的研發和運用的同時，更加重視信息安全文化、信息安全管理體系和信息安全策略等保障措施。智慧城市中，建設與安全是共同發展的。促進多元的智慧城市信息安全應對體系的建立，也就促進了智慧城市的建設工作。

參考文獻

[1]上海社會科學院信息研究所.智慧城市辭典[M].上海:上海辭書出版社，2011.

臧超，中共長春市委黨校信息中心講師，研究方向：智慧城市和信息安全；

修磊，中共長春市委黨校信息中心助教，研究方向：數據庫技術。

責任編輯 王寶珍

作者簡介

DOI：10.13784/j.cnki.22-1299/ d.2016.01.016

中圖分類號：F490.6