新型智慧城市網絡安全評價指標體系研究

◆李 怡 楊 帆 安克萬

（陜西省網絡與信息安全測評中心 陜西 710065）

新型智慧城市網絡安全評價指標體系研究

◆李 怡 楊 帆 安克萬

（陜西省網絡與信息安全測評中心 陜西 710065）

為了貫徹落實《關于加強國家網絡安全標準化工作的若干意見》等文件精神，本文分析了新型智慧城市面臨的網絡安全威脅，提出了新型智慧城市網絡安全指標設計原則，并分別從新型智慧城市網絡安全管理、系統與數據安全和網絡安全運維這三方面設計了新型智慧城市網絡安全評價指標體系。所提指標體系不僅可為新型智慧城市網絡安全評價標準的制定提供重要參考，還可為新型智慧城市的網絡安全管理與建設提供一定的指導，從而增強新型智慧城市網絡安全保障能力。

新型智慧城市；網絡安全威脅；網絡安全評價指標體系

0 引言

自2009年IBM提出“智慧城市”的概念以來，智慧城市建設已成為全球城市發展的戰略選擇和城市競爭的制高點，美國、歐盟、日本等國家紛紛加快智慧城市的建設步伐，我國多個城市也紛紛提出智慧城市發展規劃，截至目前，我國的智慧城市試點已達300余個。然而，我國智慧城市建設過程中出現了公共數據難以互聯互通，市民感知度較差等問題[1]。為了更好的解決傳統智慧城市中存在的問題，2016年國家“十三五”規劃綱要中明確提出要“建設一批新型示范性智慧城市”，我國智慧城市至此踏上了新型智慧城市的建設征程。

“新型智慧城市”的概念由習近平總書記在2016年4月全國網信工作會議上首次提出，它是智慧城市發展的新階段，是以人民為中心，實現民生服務便捷、社會治理精準、社會經濟綠色、城鄉發展一體、網絡安全可控的智慧城市。作為城市發展與現代信息技術深度融合的產物，新型智慧城市更注重市民的感受、數據信息的融合與開放、城市資源的匯聚共享和跨部門的協調聯動以及網絡安全的維護與保障。然而，新型智慧城市包含了眾多傳統市政應用和市政服務應用互連構成的信息系統，除了原先系統各自的脆弱性，系統互連又帶來了新的安全挑戰，已成為制約我國城市健康發展的嚴重評頸。為此，2016年11月，國家發改委、中央網信辦和國家標準委聯合發布了《關于組織開展新型智慧城市評價工作務實推動新型智慧城市健康快速發展的通知》（發改辦高技[2016]2476號），以促進新型智慧城市健康快速發展。

新型智慧城市網絡安全評價的標準化工作具有以評促建的作用，可有效瓦解并防范“信息孤島”，亦可為智慧城市管理、工程技術及第三方服務等相關人員提供管理和技術參考，從而有效提升全國新型智慧城市信息安全水平，為新型智慧城市建設的深入發展提供安全保障。

然而，目前國際標準化組織（ISO）、國際電信聯盟 (ITU)、國際電工委員會（IEC）、美國國家標準技術研究院 (ANSI) 等組織已紛紛開展了智慧城市標準化的工作[2]，但其網絡安全評價方面仍處于研究階段。為了填補新型智慧城市網絡安全評價方面的標準空白，2016年8月，中央網絡安全和信息化領導小組辦公室在《關于加強國家網絡安全標準化工作的若干意見》中也提出“加快智慧城市安全等領域的標準研究和制定工作”。

為了解決新型智慧城市面臨的安全威脅，增強新型智慧城市網絡安全保障能力，本文提出了新型智慧城市的網絡安全評價指標體系，不僅可為新型智慧城市網絡安全評價標準的制定提供參考，還可為新型智慧城市的網絡安全管理與建設提供一定的指導。

1 新型智慧城市網絡安全威脅分析

參照新型智慧城市的系統框架[3]，下面分別從感知層、傳輸層、知識層到應用層介紹其面臨的安全威脅[4]。

（1）感知層運用城市中遍布的各類傳感器，通過實時感知獲取城市基礎的物聯數據。由于傳感器體積較小，在目前的技術水平下無法安裝身份認證設備，從而容易受到偽造、假冒和復制攻擊以及信息篡改、隱私泄露等威脅。

（2）城市通過傳輸層實現信息傳輸和匯聚，傳輸網絡包括移動通信網、互聯網、廣播電視網、專網及市政以及企業內網等網絡。由于城市傳輸節點多、數據量大，大量設備訪問網絡，其身份認證和密鑰的生成將成為一項挑戰，一旦大量節點有數據傳輸，就很容易出現網絡擁塞；傳輸網絡類型多樣，數據在傳輸、交換中易出現分布式拒絕服務攻擊、中間人攻擊等攻擊。

（3）知識層向智慧應用領域提供公共硬件、軟件和數據支撐，以形成統一的城市信息化支撐平臺，包括城市計算、信息處理基礎的基礎通信設施、云計算和服務平臺以及信息安全管理平臺。數據集中存儲于云計算系統中，不僅為云平臺服務帶來了挑戰，也使云平臺成為主要的攻擊目標，存在隱私和敏感數據泄露、惡意數據注入及高級持續性攻擊等安全威脅。

（4）智慧應用層將建立各種基于行業或領域的智慧應用及應用整合，如智慧政務、智慧交通和智慧醫療等，為城市管理者和社會公眾等提供整體的信息化應用與服務。各類應用中的風險主要有：智慧政務除了傳統信息安全風險外，還面臨著云計算服務安全風險和信息跨行業共享、交換帶來的新的安全風險；智慧交通系統中大量設備訪問網絡存在惡意攻擊的漏洞、破壞數據完整性等安全風險；智慧醫療主要存在隱私泄露等安全風險。

2 新型智慧城市網絡安全評價標準體系設計原則

新型智慧城市網絡安全評價可驗證新型智慧城市網絡安全保障的有效性并促進網絡安全建設，適用于智慧城市生命周期的規劃、設計、建設、運營管理等各個階段。新型智慧城市網絡安全評價過程如圖1所示，即基于評價目標（即評價的信息需求）設計指標體系，從指標中提取具體的評價對象，通過測量模型和測量方法得出測量結果，經過對測量結果的研判，計算得出評價結果，并支持評價目標的實現。

在設計新型智慧城市網絡安全評價指標體系時，我們遵循的設計原則為：

（1）科學性：評價指標選取應能夠體現新型智慧城市網絡安全的主要內容，反映新型智慧城市發展面臨的主要安全風險。

圖1 新型智慧城市網絡安全評價過程

（2）導向性：評價指標選取應考慮新型智慧城市建設的循序漸進，應包含體現新型智慧城市發展安全愿景的指標，引導其安全發展。

（3）代表性：評價指標選取應能較全面反映網絡安全方面的總體水平。

（4）可采集性：評價指標應具有廣泛適用的數據獲取來源，并便于采集。

（5）可考核性：評價指標應明確每個指標的含義與適用范圍。

3 新型智慧城市網絡安全評價指標體系設計

遵循新型智慧城市網絡安全評價指標體系的設計原則，參考《智慧城市建設信息安全保障指南（草案）》[5]，我們設計了新型智慧城市網絡安全評價指標體系，共包含3個一級指標、9個二級指標和30個三級指標。其中，一級指標包含新型智慧城市網絡安全管理、新型智慧城市系統與數據安全和新型智慧城市網絡安全運維；依據新型智慧城市網絡安全評價對象和內容[6]對一級指標進行分解及細化，得到了對應的二級指標，如圖2所示；三級指標可在實際中根據需要進行指標的增加或者刪減以及細化。特別的，指標后括號內的數值代表指標權重。

其中，一級指標對應的二級指標分別為：

新型智慧城市網絡安全戰略、法規，指為了完成新型智慧城市網絡安全保障的使命、功能、任務等，由地方網絡安全主管部門制定的新型智慧城市網絡安全中長期發展計劃等文件的通稱，主要評價新型智慧城市網絡安全規劃、法規及標準的制定、宣貫和落實情況等；新型智慧城市網絡安全建設投資情況是指為了完成新型智慧城市網絡安全保障，政府財政決算（或預算）中以及新型智慧城市安全建設中企業等建設方自籌資金用于網絡安全建設方面的資金使用情況，主要評價智慧城市中網絡安全建設投資情況；新型智慧城市網絡安全機制是指為了完成新型智慧城市網絡安全保障，建立政府職能部門為主的新型智慧城市安全管理機構，協調促進多部門配合聯動以及重大網絡安全事件責任追究制度，明確安全責任，主要評價網絡安全人才培訓、網絡安全監測、通報預警機制、應急處理機制。

新型智慧城市關鍵信息基礎設施安全是指為了保障新型智慧城市關鍵信息基礎設施安全，對涉及的黨政部門、金融、交通、能源、電信、公共安全、公用事業等重點領域的關鍵信息基礎設施的備案、并開展必要的安全防護、進行安全檢查，主要評價關鍵信息基礎設施的安全防護和監管等；新型智慧城市關鍵信息化支撐技術安全主要涉及主要評價新型智慧城市所使用的物聯網基礎設施、移動互聯網接入和云平臺的安全防護情況；新型智慧城市數據安全指黨政部門、金融、交通、能源、電信、公共安全、公用事業等領域的數據資源交互、融合和共享過程中的安全保障情況，以及個人信息保護情況，主要評價信息泄露、數據篡改、個人信息保護等情況。

新型智慧城市安全服務支撐，主要評價提供信息安全服務企業（或機構）的信息安全服務資質取得情況；新型智慧城市監測預警主要評價新型智慧城市網絡安全整體的安全運行過程中的隱患發現能力、安全防護能力和綜合保障能力；新型智慧城市應急保障能力主要評價新型智慧城市網絡安全保障體系應對信息安全事件及災難恢復的能力，包括對信息安全事件的應急響應能力和處置能力，以及發生安全事件后的恢復能力。

圖2 新型智慧城市網絡安全指標體系框架

4 結語

為了貫徹落實推進新型智慧城市網絡安全建設及標準制定方面的政策文件精神，針對新型智慧城市面臨的安全威脅，本文提出了新型智慧城市網絡安全評價指標體系。所提指標體系可加強新型智慧城市網絡安全管理工作的統籌協調，增強新型智慧城市網絡基礎設施、重要新型系統、關鍵數據資源及服務的安全保障能力，對于我國新型智慧城市的網絡安全的建設及評價標準的制定均具有重要的參考意義。

[1] 李建明．智慧城市發展綜述[J]．中國電子科學研究院學報，2011．

[2] 王惠蒞．智慧城市網絡安全風險分析及其標準化研究[J]．標準化研究，2016．

[3] 朱貴冬，劉云龍，羅取．新型智慧城市信息系統頂層設計研究[J]．信息系統工程，2017．

[4] BONINO D,ALIZO M T D,ALAPERIRE A,et al．ALMANAC： Internet of things for smart cities[C]//2015 the 3rd International Conference on Future Internet of Things and Cloud．[S．I．]：IEEE，2015．

[5] 吳前鋒．智慧城市建設信息安全保障指南[S]．國家標準草案，2017．

[6] GB/T 33356-2016．新型智慧城市評價指標．