智慧城市網絡安全的治理

文｜本刊記者 陳桂龍

國家信息技術安全研究中心副主任 馮燕春

智慧城市的技術支撐和安全風險

截至2014年底，中國的城鎮化率為54.77%，中國已成為全球城市化進程發展最快的國家。城市化進程中面臨越來越嚴峻的挑戰：城市環境，包括大氣污染、垃圾污染、自然環境破壞；城市管理，包括交通擁堵、綜合治理困難、犯罪率提升；城市能源，包括水資源匱乏 、電力不足、工業能源緊張等。打造一個更安全、更綠色、更智慧的城市是我國面臨的課題。

“智慧城市的主要技術支撐，就是云計算、物聯網、大數據。物聯網、大數據、云計算的安全風險、推進互聯網+帶來的安全風險，就是智慧城市將要面臨的安全風險。”國家信息技術安全研究中心副主任馮燕春說。

云計算技術面臨的主要安全風險，概括起來有七難：資源難護、風險難料、數據難保、客戶難控、責任難定、司法難管、利益難斷；大數據技術面臨的安全風險有：大體量大損失、大混雜難保真、大范圍難防御、高速率超依賴、超動態難預測。物聯網存在的主要問題有：缺乏完善的法律法規保護，缺乏統一標準和規范，缺乏可持續的商業模式，隱私數據安全難以保障。

智慧城市網絡安全治理的基本思路

2014年8月27日，國務院發布了《關于促進智慧城市健康發展的指導意見》，文中明確指出，可管可控，確保安全是智慧城市建設的基本原則。同時提出，應從三個方面，著力加強網絡信息安全管理和能力建設。第一，強調嚴格全流程網絡安全管理；第二，強調要害信息基礎設施和信息資源安全防護；第三，強調安全責任和安全意識。

馮燕春表示，我國在智慧城市安全治理方面已經具備了很好的基礎，就治理體系方面，可概括為三個原則、三個思路。

“在智慧城市建設中，首先需摒棄安全和業務分家，業務優先建設等舊觀念，而應堅持同步、可控、監管三大原則。”

同步原則。信息安全措施必須同步規劃、同步建設、同步運行；信息安全風險管理必須貫穿系統生命周期中。

可控原則。關鍵基礎設施的控制權必須由國內掌握（包括運維權、供應鏈等），可不拒絕國外，但必須可知、可控。關鍵數據未經授權不得在境外傳輸、存儲和處理。

監管原則。 參建企業必須做出安全承諾，違背承諾必須接受懲處；參建企業必須接受中國政府的安全監管。

馮燕春認為，在智慧城市網絡安全治理工作中，必須理清思路，提前部署，將治理工作貫穿于整個生命周期。

“智慧城市網絡安全治理工作的思路可以概括為：必備基礎。法律法規和政策支撐；安全產業發展和標準化支撐；必須審查。開展關鍵基礎設施軟硬件及服務網絡安全審查；開展審查后的持續指導、監督和管理工作；必要工作。參建企業的安全合規類工作，第三方機構的測試、評估類工作。”

智慧城市網絡安全治理的主要途徑

針對智慧城市網絡安全治理的途徑，馮燕春表達了自己的觀點。

途徑一：完善網絡安全基礎類的工作。

國家已經出臺了《國家安全法》,對國家網絡與信息安全保障體系有非常明確的描述。2015年7月6日，全國人大也公布了《網絡安全法》，標準的支撐也已有了六個標準。

途徑二：開展網絡安全審查類的工作。

2014年5月22日，國家互聯網信息辦公室宣布中國將出臺網絡安全審查制度，規定對進入我國市場的重要信息技術產品、服務及其提供者進行測試評估、檢測分析、持續監督。目前該制度內容已提交內部審議。

“審查的重點在于該產品的安全性和可控性，旨在防止產品提供者利用提供產品的方便，非法控制、干擾、中斷用戶系統，非法收集、存儲、處理和利用用戶有關信息，對不符合安全要求的產品和服務，將不得在中國境內使用。”

網絡安全審查制度主要審查內容，重點審查的是信息技術產品的安全性、可靠性。

馮燕春表示，網絡安全審查制度是國家層面出臺的重點政策，其指導面涉及國家網絡空間的各個方面。該制度是保護我國網絡空間安全可控的基本制度，也是增強網絡空間可知度，加強網絡空間安全治理效果，建設網絡空間可信任體系的里程碑式舉措。深入理解和貫徹該制度，對今后各行各業信息安全建設工作有著重要意義。

“顯然，該政策亦可指導我國物聯網和智慧城市建設工作，尤其是云計算服務的網絡安全審查經驗，可作為重要參考。”

途徑三： 完善智慧城市監測防御體系。

風險規避。及時發現智慧城市中存在的信息安全及威脅問題，提前發現漏洞，做好修補工作，有效規避風險。

重點監管。通過獲取核心網絡節點、云計算平臺、關鍵信息系統中及時、有效的監測數據，實現重點監管。

決策輔助。統計智慧城市最新的安全事件情況，輔助安全決策，發現大規模安全事件，及時應對部署，減少損失。

途徑四： 開展合規、檢測和評估類工作。

工作一：等級保護和風險評估類工作。信息安全等級保護和風險評估是我國智慧城市建設和管理的重要安全機制，可以為智慧城市的信息系統安全建設和管理提供系統性、針對性、可行性的指導，有利于在智慧城市建設過程中同步建設信息安全設施，保障信息安全與智慧城市建設相協調；能夠有效地提高我國智慧城市信息系統安全建設的整體水平，有利于推動智慧城市產業的發展，逐步探索出一條適應智慧城市安全發展的建設模式。

工作二：互聯網金融安全合規類工作。推動信息安全產業鏈安全合作，聯合防控風險；匯集行業信息安全能力和國家信息安全資源，全面提高互聯網金融信息安全態勢掌控能力；應用安全測評與安全加固 。

工作三：智慧城市環境下的滲透測試工作。滲透性測試是挖掘系統漏洞有效方式之一，同樣在大規模、多樣化、復雜的智慧城市環境中依然可以發揮其重要作用。通過對智慧城市核心技術的分析，可以將智慧城市分為感知層、網絡層、平臺層和應用層，同時，也將從這四個層面全面深入地開展滲透性測試，探尋城市中的缺陷，并分析其潛在的風險。

工作四：智慧城市工業控制系統安全保障工作。工業控制系統的安全對于保障“智慧城市”安全運行至關重要。建立工業控制系統產品供應鏈備案管理制度與安全審查機制；開展工控系統可靠性和安全性檢測評估，確保我國工業控制系統安全可控；加快國產工控系統核心技術產品研制，確保我國工業控制系統自主可控。