網絡信息安全在智慧城市建設中的威脅與應對

孫亮

中國移動通信集團內蒙古有限公司呼和浩特分公司

0 引言

作為一個龐大且復雜的系統，智慧城市的建設可分為智能分析處理層、應用層、通信傳輸層以及感知層，這些智慧城市的不同層面均面臨著不同程度的信息安全威脅。可以從技術、管理、政策法規以及用戶共4個維度對當前智慧城市建設過程中面臨的網絡信息安全予以觀察。四個維度中的任意維度出現安全問題，都會造成智慧城市系統結構出現變化，出現網絡信息安全問題。

1 城市發展現狀

近年來，中國的通信網絡、計算機科學發展迅速，并且技術應用、商用化的速度非常快。智能手機的普及、智能設備的發展、萬物互聯的推進，以及社會生活中P2P、O2O、移動互聯網接入、大數據應用等技術的落地，都為城市生活智慧化奠定了基礎。越來越方便的城市生活促進了城市化進程加速，但是網絡信息安全意識培養、基礎技術能力普及的周期較長，成為社會高速發展過程中的重要矛盾。

目前我國智慧城市應用大致有三個方面的力量提供支撐：政府行為作為城市智慧化的綱領，為智慧城市的發展、部署確定了方向、范圍；基礎電信運營企業為城市信息交互提供了通道；互聯網企業、民間資本為城市提供了各種應用。從目前的城市發展和IPv6、物聯網的發展與應用前景來看，未來的智慧城市建設、發展空間非常大，但是隨著智慧城市的發展，網絡信息安全對生產生活的威脅不容忽視。

2 當前智慧城市建設過程中網絡信息安全受到的威脅

2.1 技術維度

我國智慧城市建設過程中，在技術維度上面臨的網絡信息安全風險，主要包括智慧城市建設的核心技術、智慧基礎設施等。我國在智慧城市建設過程中，大量購買和使用的智慧設施主要來自國外公司，未經國家信息安全審查，而這些設備可能存在后門、漏洞等，網絡信息有可能通過這些后門、漏洞等被泄露，這些智慧基礎設施面臨的網絡信息安全風險可歸屬于供應鏈的安全風險。除去設備的安全風險外，我國尚未掌握智慧城市建設過程中的核心技術，如大數據分析、云計算以及物聯網等，這些核心技術掌握于國外公司手中，且技術仍不太成熟，存在一定的后門、漏洞等，存在信息泄露的風險，因此需要在較長的使用和發展過程中逐漸完善。以當前我國主流云平臺普遍存在的問題為例，主要有配置注入漏洞、命令注入漏洞，以及傳統安全保障技術面對共享式信息時出現的不適應等。配置注入漏洞是指云平臺具有相當強大的功能，且其中較多功能均與配置設置相關，通過配置注入的方式，黑客可以對云平臺進行攻擊。命令注入漏洞是指云環境中常見大量命令調用，因此極易出現由命令注入而產生的漏洞。傳統安全保障技術面對共享式信息時出現的不適應，是指傳統的信息安全保障技術（如信息加密、監控審計、漏洞掃描以及防火墻等）多作用于邏輯隔離或邏輯封閉的網絡信息系統，因此具有“封閉”的性質，運用于當前云計算平臺、物聯網等網絡信息保障時，無法迅速處理協同化、開放式環境下網絡信息面對的安全威脅。例如，云平臺一旦受到攻擊，將會導致該云平臺上的所有用戶都受到損失；云平臺數據的共享性質導致可能受到惡意軟件的影響，云平臺可能出現用戶數據丟失、金融欺詐、身份竊取等網絡信息安全風險。同時，智慧城市中，大量傳感器、智能末端設備接入網絡，不同的接入方式、復雜的接入環境都將導致較為復雜的安全問題。

2.2 管理維度

管理維度存在的網絡信息安全風險，指的是智慧城市的建設、運行與當前我國各級組織的信息安全管理制度存在的不適應，從而出現的信息安全問題。當前我國各級組織的制度以及制度的執行均存在不足，可能導致網絡信息安全受到威脅。以智慧城市BYOD的引入而導致的網絡信息安全風險為例，BYOD的含義是指各級組織將自有智能終端設備（如平板、手機、PC等）接入組織內網以滿足員工的個性化辦公需求。BYOD由于具有提高工作效率、減少企業設備購置費用的作用而得到普及，但是BYOD的采用導致私有設備與辦公數據的物理界限模糊，導致員工甚至是外來人員可以任意進入組織內網并從中拷貝企業的重要文件。就信息安全管理制度而言，各級組織均存在信息安全風險評估，但是這一制度徹底貫徹落實仍存在一定難度。以個人信息的安全為例，智慧城市運行過程中，個人信息安全的重要性是不言而喻的，但是信息安全管理制度中就個人信息安全的重視度不足，僅出臺了個人信息處理環節的規定，而關于個人信息的收集、利用、存儲等環節的保護力度不足。近年來有相關法律對個人信息的保護、個人信息主體權利以及個人信息處理原則做出規定，但是這些標準由于屬于非強制性標準，導致各級組織并未貫徹落實。同時，由于各級組織對網絡信息安全的重視度不足，導致信息安全管理人手配置不足，部分企業將相關工作予以外包，這種做法也對網絡信息安全造成威脅。

2.3 政策維度

政策法規不完善導致的安全問題，是指我國現行關于信息安全的法規、政策等無法滿足智慧城市運行、建設的需求，從而導致的信息安全問題。隨著智慧城市建設的推進，我國政府也正逐漸重視信息保護、數據開放、信息公開以及透明政府的重要性，對此出臺了一系列政策、法規等予以支持。但是這些政策、法規尚未完善就開始大量使用國外公司提供的信息技術與服務，再加上事業、企業單位以及政府部門收集用戶數據時不嚴格按照“數據收集最小化”的原則進行，而是過度收集用戶數據，加之大數據交易中心的建造、數據的跨境流動等，都將導致更嚴重的信息安全問題。執法不嚴、有法難依等現象也是導致網絡信息安全受到威脅的重要因素，在以往的信息安全理念指導下的執法、立法，已不適應信息安全的新變化。

2.4 用戶維度

用戶方面存在的信息安全風險，指的是用戶對自身信息安全重視度不足，進而導致的信息安全風險。有報告指出，當前信息安全隱患的最主要影響因素是用戶對個人信息安全意識不足，其次才是制度不完善或落實程度不高、信息管理人員失職、投入不足、信息安全培訓不足、安全產品的功能不完善等。也有不少信息安全專家強調，面對黑客的攻擊，員工信息安全素養不足是最難修補、也是最大的漏洞。

3 提高我國智慧城市建設中信息安全的應對措施

3.1 加大技術研發力度

面對智慧城市建設過程中存在的信息安全風險，需要加大技術研發力度，以保障技術維度的網絡信息安全。應加大資金投入，鼓勵企業、高校科研院所之間進行合作，根據智慧城市構架的不同，采取具有針對性的安全防護措施，努力追蹤最新的技術發展動態并爭取有一定突破。引入高端技術研發機構，在智慧城市的建設過程中推廣并應用新型信息安全產品與技術。將發展重點設置于與智慧城市建設關系密切的新型智慧產業，如大數據、云計算以及物聯網等。

3.2 出臺并貫徹落實政策法規

對現行政策法規進行詳細分析，明確其中的不足后予以完善。將《個人信息保護法》以專項法律的形式對個人信息的保護原則、使用原則以及開發原則予以明確，同時明確其中的各項要求，以保證個人信息安全性。智慧城市環境下，不同產業間的合作將會變得更加緊密，產品將出現多元化發展趨勢，且安全協議、安全產品等更復雜，因此需要加大法規、政策的落實力度以保證法律、法規得以貫徹落實。此外，要加大對地下黑色產業鏈、個人信息犯罪的處罰力度。

3.3 提升用戶信息安全意識

教育部門應鼓勵高等院校編制信息安全核心教材、完善專業課程體系，通過開展信息安全競賽以及加大實習交流力度等方式培養一大批信息安全專業人才，同時加大計算機基礎教育普及力度，加設并完善信息安全知識模塊。

設立網絡安全宣傳周，由培訓機構、企業、政府部門等通過公益講座等形式開展培訓宣傳工作，通過發放宣傳手冊、設置互動網站等方式開展服務咨詢活動。

4 結束語

網絡信息安全對保證智慧城市系統正常運行具有重大意義，要從矛盾著手，將網絡信息安全工作作為智慧城市建設過程中的重點環節以保證信息安全。對此，需要從人才隊伍建設、產業發展、新技術研發、制度和政策法規建設完善等多方面協同，建設完善的信息安全保障體系，從而保證智慧城市得以安全、健康且可持續地發展。