大數據環境下智慧城市信息安全保障體系構建研究

鄒凱 郭一航 向尚 萬震

摘要：[目的/意義]大數據環境下智慧城市面臨的信息安全問題日益突出，基于此構建大數據環境下全面感知、系統運作、協同整合的智慧城市信息安全保障體系，優化大數據環境下智慧城市信息安全管理，完善當下智慧城市信息安全建設具有一定的理論意義和實踐價值。[方法/過程]將全面質量管理理論應用到智慧城市信息安全保障體系研究中，立足于信息安全的四項基本內涵，借助PDCA循環的4個階段構建大數據環境下智慧城市信息安全保障體系基本架構。[結果/結論]通過PDCA循環解決智慧城市信息安全保障問題，符合城市建設和發展過程應不斷動態調整的特點，為保障大數據環境下智慧城市信息安全的全過程實施提供參考，主要包括：規劃階段的“方向+目標、規范+約束、計劃+指標”，實施階段的組織結構、基礎設施和技術體系，控制階段的態勢感知、應急響應和風險管理，改進階段政府、運營方和公眾的多主體協同。

關鍵詞：智慧城市? ? 大數據? ? 信息安全? ? PDCA循環? ? 保障體系

分類號：G203

引用格式：鄒凱， 郭一航， 向尚， 等. 大數據環境下智慧城市信息安全保障體系構建研究[J/OL]. 知識管理論壇， 2021， 6（6）： 364-374[引用日期]. http：//www.kmf.ac.cn/p/268/.

1? 引言

隨著Web2.0、物聯網和云計算等技術的廣泛使用，在智慧城市建設和運營過程中，政府、企業和社會之間的信息交換和信息共享日趨頻繁，產生大量數據資源的同時也帶來許多非傳統性的信息安全問題，這些問題相互交織和疊加引發的隱私泄露事件呈指數增長，極易造成不良的經濟影響和社會影響。我國“十四五”規劃綱要指出，要“在推動新一代信息技術同各產業深度融合的同時，保障國家數據安全，推動大數據中心建設”。大數據作為推動智慧城市快速發展的關鍵技術，將城市公共基礎設施運行系統的各項關鍵信息進行整合，跟蹤了解城市運行情況，統籌管理各方信息資源，監測處理各種突發狀況，促進傳統數據中心向高算例、高效能的新型數據中心演進，有利于保證城市運行的良好態勢。

目前國內外學者對于智慧城市信息安全的相關研究成果較為豐富，沈明歡[1]首次提到應高度重視從戰略層面加強對智慧城市信息安全的管理，Chen Z Y [2]在對智慧城市進行可視化數據處理時首次提到信息安全的保護，在此背景下，國內外學者開始逐步展開對智慧城市信息安全的研究。在研究初期，多以定性和宏觀層面的研究為主，對智慧城市信息安全的基本內涵[3]、現狀困境[4-7]、風險評價[8]、關鍵技術[9]、保障策略[10-11]等進行探討。隨著研究的逐漸拓展，國內外學者開始嘗試對智慧城市信息安全進行量化分析、創新性技術融合和具體實踐應用的深入研究，對智慧城市信息安全風險管理中的風險預測[12-13]、風險評估模型[14-15]、風險要素識別[16-17]、風險監管[18]等進行探討，并從不同維度[19]、不同層次[20]構建了智慧城市信息安全體系以應對智慧城市運營中的風險，有關學者在此基礎上對其做出了進一步的完善[21-22]。對新一代信息技術[23-26]在智慧城市建設的深度融合進行研究，并探究相關技術在不同智慧應用場景中實現安全隱私保護的具體實踐[27]。

綜上所述，國內外學者在智慧城市信息安全許多方面的研究較為成熟，在保障體系方面，雖有少量研究成果，但缺乏系統性的規劃和成熟的理論指導，特別是在大數據環境下，信息安全中的數據正呈現一種多維融合、多利益主體開放共享、萬物跨域互聯、軟硬件重疊滲透、協同和整合中匯聚的全新形態，這大大增加了信息安全管理的復雜性、交織性、動態性和綜合性[28]。信息安全不單單只是技術問題，而是各方面的協同管理問題[29]，因此，構建完善的智慧城市信息安全保障體系是當務之急。筆者從頂層設計的角度，首先分析大數據環境下智慧城市信息安全面臨的挑戰和智慧城市信息安全基本內涵之間的內在聯系，其次基于全面質量管理理論的PDCA循環，對智慧城市信息安全工作的不同階段實施全方位的動態質量管理，最后構建注重業務需求、持續改進的信息安全保障體系，滿足智慧城市信息安全建設需要，以期為智慧城市信息安全保障的具體實踐獻言建策。

2? 大數據環境下智慧城市信息安全保障體系的形成

2.1? 大數據環境下智慧城市信息安全面臨的挑戰

智慧城市的建設與大數據技術的發展應用，開啟了大規模實時、在線、多方協作的社會治理的新局面。借助大數據，可以為城市的規劃、管理、安防與防災、輿情監控等領域提供強大的決策，以達到優化行政資源、降低管理成本、提高管理效率和應急響應能力的目標。大數據技術在驅動城市智慧升級的同時，也帶來更加嚴峻的信息安全挑戰，主要包括3個方面：? ? ①傳統防護方式變得復雜和困難。在大數據環境下，傳統的數據隔離、數據加密、訪問控制、容災備份等數據防護方式需要進一步革新。在數據的傳輸、處理及存儲的各個環節中，存在著不同以往的數據泄露、篡改與破壞的風險。②數據融合和共享導致管理工作復雜化。數據的高度融合與開發給信息安全管理帶來了空前的挑戰。宏觀上，智慧城市的信息安全保障體系、相關配套法律法規和監督管理機制尚不健全，防護手段能力建設仍處于起步階段;微觀上，針對智慧城市不同信息系統之間的運行環境、系統架構、數據庫系統、數據格式等，信息安全工作者需要設計不同的安全策略和防控方案，運營管理和監控審計難度也進一步加大。③個人的隱私保護和數據安全變得更加緊迫。大數據時代信息即價值的理念深入人心，有關企業在收集大量非必要的個人信息后進行擅自披露和傳播，加劇了個人信息的濫用，更有甚者通過售賣個人信息獲取不正當利益的行為也屢見不鮮，如在“315”晚會上曝光的“人臉信息非法盜用”和“簡歷平臺個人信息非法售賣”等事件加劇了人們對大數據時代信息安全的擔憂，“滴滴平臺因信息外露下架”事件更是威脅到了國家安全。此外網絡黑客利用企業存在的技術漏洞、監管不力等因素多方位盜取個人信息和數據，進而實施電信詐騙等違法犯罪行為。在如今的泛在網絡時代下，不法分子可以通過大數據分析技術動用較少的資源實現多維度、共時性的網絡攻擊，其造成的信息安全威脅更加精準并更具危害性。

2.2? 大數據環境下智慧城市信息安全基本內涵

結合國家《計算機信息系統安全保護條例》，可以將智慧城市信息安全的基本內涵分為物理安全、數據安全、運行安全和管理安全4個方面：物理安全是指通過智慧城市信息系統實體有關的硬件設施與環境建設而進行的物理安全設計，構筑出安全的物理網絡。數據安全是為數據處理系統建立的安全保護，確保網絡數據的可用性、完整性和保密性。運行安全是著眼于智慧城市運行工作特點，利用安全技術與措施保護信息處理、分析與使用過程中的安全。管理安全是通過制定相應標準規范和制度規則，對智慧城市信息安全工作人員的日常工作和行為進行管理和約束。對上述4個方面進行全方位動態管理有利于應對大數據環境下智慧城市信息安全帶來的巨大挑戰。

2.3? 大數據環境下智慧城市信息安全保障體系架構

全面質量管理理論于20世紀50年代末由美國通用電氣公司的費根堡姆和質量管理專家朱蘭提出，它是一種實現預先控制和全面控制的管理制度，達到對象、過程、人員、范圍的全面管理。戴明博士將全面質量管理的工作程序總結為“計劃（plan）—實施（do）—檢查（check）—處理（act）”四階段的循環方式，簡稱戴明環（PDCA），它是一個周而復始、大環套小環、小環推動大環、階梯性上升的循環體系[30]。目前，在信息安全方面，戴明環（PDCA）在不同行業[31-33]、不同組織[34-36]中都有廣泛研究和應用。智慧城市信息安全建設是以信息安全保障質量為中心，以政府、企業和公眾的參與為基礎，達到全員收益并獲得成功的長期工程。筆者在借鑒ISO/IEC 27001：2005標準的基礎上，進行大數據環境下智慧城市信息安全保障體系的構建，如圖1所示：

筆者通過借鑒PDCA模式循環控制的思想，將智慧城市信息安全保障體系分為“規劃—實施—控制—改進”4個階段。在規劃階段，依據智慧城市信息安全保障戰略規劃特征，確立整體目標;在實施階段，根據全面質量管理的“結構、技術、人員、變革推動者”4個基本要素，將智慧城市的信息安全實施過程分為組織結構、基礎設施、技術體系三部分，保障智慧城市的物理安全和數據安全;在控制階段，依據大數據環境下智慧城市信息安全特點，結合國家標準GB/T 20282-2006《信息安全技術信息系統安全工程管理要求》，從態勢感知、應急響應、風險管理3個方面對數據運營及業務流程進行有力管控，保障智慧城市的運行安全和管理安全;在改進階段，針對國家角度、智慧城市服務方角度、公眾角度對智慧城市信息安全提出不同的改進要求和建議，形成智慧城市信息安全保障體系完整架構。

3? 大數據環境下智慧城市信息安全保障全過程

3.1? 大數據環境下智慧城市信息安全保障的規劃階段

智慧城市信息安全規劃的首要工作是確定整體方向和宏觀目標，政府在收集社會公眾和各方組織的建議之后，借助大數據分析及挖掘技術和信息安全防護特點，確定信息安全工作的建設目標，為信息安全實施、控制過程提供指導性意見，指導信息安全工作的開展。其次，政府要在頂層框架下規劃管理風險的基本要素建設，同時協調機會、環境與各方組織資源之間的平衡，在《數據安全法》和2021年11月1日剛剛施行的《個人信息保護法》等法律法規和相應的方針政策指導下，規范和約束信息安全組織的活動和工作。最后，信息安全主管部門要制定對應的詳細計劃和指標，設計質量評估模型，開發數據質量技術，加強管理規章制度建設和管理手段建設，落實安全管理措施。如相關云服務以及供應鏈提供商要簽訂信息安全保證書，在公司內部形成切實有效的信息安全保障計劃和考察指標，嚴格遵照國家標準和行業規范進行管理和運作。

3.2? 大數據環境下智慧城市信息安全保障的實施階段

在智慧城市信息安全實施過程中，根據全面質量管理的“結構、技術、人員、變革推動者”4個基本要素，將智慧城市的信息安全實施過程分為組織結構、基礎設施、技術體系3個部分，保障智慧城市的物理安全和數據安全。

3.2.1? 智慧城市信息安全組織結構建立

在智慧城市信息安全保障實施階段，為了實現不同應用項目的信息安全建設，需要建立專業化、部門化和正規化的信息安全組織結構，協調各級、各類信息組織的分工、分組和協調合作。智慧城市信息安全組織結構建設要根據智慧城市信息系統的目標和工作計劃，將各項資源按照一定的規則聯結成為相應的模塊，設立不同層次的業務與行政部門，并規定部門內部的人員編制和職權分工，以及相互之間的隸屬關系，使智慧城市信息安全組織成為一個結構有序合理、功能完備的有機整體。結合智慧城市信息安全具體實踐的特點，從智慧城市信息安全的實際需求出發，建立智慧城市信息安全組織的“金字塔”結構，如圖2所示。

信息安全領導小組是智慧城市信息安全決策機構，主要是從全局的角度確定信息安全工作的戰略和方向，部署信息安全管理工作，對智慧城市信息安全項目進行有效控制。

信息安全監督機構是監督信息安全管理委員會和執行機構的相關工作，并將審查結果匯報給智慧城市信息安全領導小組，為各部門和各業務系統的信息安全工作提供改進意見。

信息安全管理委員會通過提供信息為決策機構提供決策支持，制定信息安全工作的相關規則，對信息安全項目進行評審和質量控制，管理信息安全執行機構，并定期向智慧城市信息安全監督機構匯報信息安全情況。

信息安全執行機構包括信息安全運維團隊和信息安全事件響應小組，負責貫徹和落實上級部門的信息安全方針政策以及各項工作要求，及時響應和處理智慧公共服務、智慧城市綜合體等八大應用項目內的信息安全突發事件[37]。

3.2.2? 智慧城市信息安全基礎設施建設

智慧城市信息安全基礎設施建設是智慧城市信息安全保障的物質基礎。通過信息安全基礎設施建設可以實現信息安全數據共享、信息內容監控、有害信息過濾等，有利于智慧城市相關應用項目的網絡安全保障與空間治理。國脈互聯[38]將智慧城市的基礎設施分為3個部分，如表1所示：

結合國務院最新公布的《關鍵信息基礎設施安全保護條例》，智慧城市信息安全基礎設施建設的推進工作應主要包括3個方面：①要統籌安排信息安全基礎設施的建設工作，對智慧城市信息安全進行全盤管理與系統規劃，規定工作中獲取的信息只能用于維護網絡安全;②要緊密跟蹤和研究國外的發展趨勢和技術進展，結合大數據環境下智慧城市信息安全技術特點提升基礎設施能力，如升級基礎設施、擴大帶寬、改進入侵檢測技術等;③要加強各網絡指揮中心的溝通與連接，融合各單位的工作能力，通過協調分析等手段加強智慧城市信息安全在線監測和態勢感知方面的合作，建立網絡安全信息共享機制。

3.2.3? 智慧城市信息安全技術體系構建

信息安全技術核心目標一般包括保密性、完整性、可用性、可控性和不可否認性等，遵照信息安全的安全隔離、動態保護和深度保護等原則，從層次、空間、等級3個維度建立相對全面、完整的智慧城市信息安全技術體系，如圖3所示：

在層次維中，智慧城市各個信息系統通過對計算機硬件、軟件、網絡和通信設備等基礎設施進行集成，處理智慧城市內部業務的各項信息流，可以分為感知層、網絡層、數據層和應用層[39]4個方面。智慧城市信息系統的4個層次層層遞進，底層設施的安全缺失影響到高層的運行安全，形成信息安全威脅上下交織，從而影響整個系統的安全性。在信息安全環境搭建過程中，對信息安全產品逐層構建，同時注意各層次信息安全產品間的兼容和互補關系，避免安全策略和安全因素之間的矛盾。

在空間維中，通過網絡連接成無數個大小各異的分布式網絡系統，針對不同網絡區域內的安全性目標，其保護策略和技術手段也會有一定的差異，需要依據不同區域的特點采用分域保護的措施。對現有的計算機網絡系統構成和信息安全工程的具體實踐進行系統分析和總結，可以將智慧城市的網絡信息系統分為局域計算環境、網絡邊界、網絡傳輸和網絡基礎設施4種類型[40]，在各區域使用身份驗證、物理隔離、入侵檢測等安全技術和相關安全產品，保障各安全域內的信息安全。

在等級維中，智慧城市不同應用項目和業務部門對信息安全的要求和重要程度是不同的，對于信息安全保護所付出的成本和代價也會不同，因此結合《數據安全法》中對數據實行分類分級保護的思想，將智慧城市信息安全保護分為5個等級[41]。對關系到智慧城市建設和運營的關鍵信息和城市居民隱私實施重點保護，對次要信息給予適當保護。另外，在智慧城市信息安全技術體系的構建過程中，要根據信息安全理論與方法的不斷完善和技術的不斷提升，同步加強信息系統各個方面的防范與保護。

3.3? 大數據環境下智慧城市信息安全保障的控制階段

在智慧城市信息安全控制過程中，依據大數據環境下智慧城市信息安全特點，在智慧城市信息安全基本要素建立的基礎上，結合國家標準GB/T 20282-2006《信息安全技術信息系統安全工程管理要求》，從態勢感知、應急響應、風險管理3個方面對數據運營及業務流程進行有力管控，保障智慧城市的運行安全和管理安全。

3.3.1? 智慧城市信息安全態勢感知

智慧城市信息安全態勢感知的重點是保護城市網絡環境中核心應用的安全穩定以及持續運行，通過標識和報告智慧城市建設和運營中所有信息安全違規行為，對有關事件進行探測和追蹤，并根據安全目標和安全策略處理城市信息安全態勢變化。城市網絡核心應用涉及智慧城市應用項目內部各項資產的監管問題，因此態勢感知需要緊緊圍繞“資產—數據—態勢”這一主線，針對資產的結構、管理、服務狀態等方面可能產生的安全威脅進行識別分析和響應處理。

在資產層中，資產信息和監控數據在經過數據規約、數據融合等預處理之后，利用相應的資產數據庫、事件數據庫等進行表示和存儲，為數據層提供相應的數據支持。在數據層中，通過應用大數據環境下網絡特征提取技術、與關聯分析技術等相關智能算法與安全模型，將存儲的數據進行深度挖掘處理，標識出影響智慧城市信息系統運行態勢的安全事件。在態勢層中，應在安全事件處理過程中根據實時的數據反饋，依據數據可視化技術監督系統安全態勢變化，預測系統安全狀況和安全事件的發展趨勢，做出前瞻性判斷，提前預警信息安全相關威脅。

3.3.2? 智慧城市信息安全應急響應

智慧城市信息安全應急響應是為應對智慧城市系統中各種信息安全事件的發生，而在事發前所做的準備工作和在事后所采取的緊急措施[42]。智慧城市信息安全應急響應可以分為應急準備、事件預警、應急處理和事件評估4個部分。由于信息安全事件處理的及時性和有效性特點，事件預警與應急處理往往是相伴而生，同時進行的。而事件評估則是貫穿應急響應的整個過程，對智慧城市信息安全應急響應過程、各類機構以及人員行為等進行測評和管理。

在應急準備中，信息安全管理機構參照《信息安全事件分類分級指南》，按照信息系統的重要程度、系統損失和社會影響3個考慮因素，劃分事件的不同類別和級別，并制定相應的信息安全應急預案，在安全事件發生時采取有效預案，快速做出響應。

在事件預警和應急處理中，當智慧城市業務系統中發生信息安全事件時，如果安全事件處于控制之下，信息安全執行機構立即啟用對應信息安全預案做出響應，做好充足的信息準備，記錄所有活動以供后續評審之用。反之，如果安全事件不處于控制之下，應及時發出事件預警，按要求填寫信息安全事態和事件報告單，上報給信息安全事件響應小組ISIRT（Information Security Incident Response Team）。此外，如果判斷事件屬于重大信息安全事件，應立即報告給ISIRT管理者和高級管理層。

在事件評估中，信息安全管理委員會和信息安全監督機構應收集和安全保存事件應急過程中的相關電子證據，為后續法律起訴或者內部人員獎懲提供支持。在安全事件解決后，信息安全管理委員會根據報告中詳細應急記錄進行事件評估，從安全事件及其防護措施中吸取經驗和教訓，必要時修改已有的應急預案，防范類似安全事件再次發生。

3.3.3? 智慧城市信息安全風險管理

智慧城市在運行過程中由于其軟硬件系統的多樣化、系統集成和網絡連接中必然會存在缺陷和潛在的薄弱環節，因此會引發不同程度的信息安全風險。參照前人[43-46]的研究基礎，筆者認為對于智慧城市信息安全風險管理應該采用目標驅動的管理模式，進行智慧城市信息安全風險管理建模，并加強風險庫的建設，如圖4所示。

首先，通過大數據采集技術獲取海量信息安全原始數據，分析智慧城市內部業務需求特點，設定業務需求的信息安全控制點，對流程的重要邊界進行定義，確定智慧城市信息安全風險管理的目標，完成目標驅動下的風險管理準備工作。

其次，針對信息系統的業務目標和安全需求，建立相應風險管理業務流程。開展智慧城市信息安全風險管理工作時，通過分析與識別系統中各類數據特征和安全屬性，確定資產、威脅、脆弱性和控制措施列表。對于智慧城市信息系統中各類已知風險，從風險模型庫中選取大數據環境下相應的智能算法與數學模型，分析信息安全風險威脅指數，劃分風險相應等級，預測風險發生的可能性和造成的社會影響，并將提取的信息安全風險模式和相關特征數據存儲到風險數據庫中。根據得到的風險模式和特征數據，從風險知識庫中獲取處理此類風險的制度、技術和管理上的相關規則及應對措施，并對風險解決結果進行評估審核、存儲備案。

最后，針對發現的新型信息安全風險或者已有風險的新變化，及時更新風險數據庫、風險模型庫和風險知識庫。在處理信息安全風險時，要注意不同管理組織間的信息資源共享，協調各項組織的信息安全需求和工作任務。

3.4? 大數據環境下智慧城市信息安全保障的改進階段

大數據環境下智慧城市信息安全保障的改進是建立在規劃、實施和控制之上的重要模塊。通過PDCA循環的方式，能夠推動大數據環境下智慧城市信息安全保障的問題解決和促進保障能力的不斷提升。在改進階段，涉及多元主體的共同參與，針對不同主體層次間的業務需求對智慧城市信息安全提出相應的改進要求。

立足國家宏觀領導，整合各方資源。在智慧城市規劃過程中，通過大數據技術全方位分析信息安全事件，在保證大方向的統一之下進行局部的目標調整和部署新的工作計劃，推動智慧城市信息安全的組織結構、基礎設施和技術體系的優化提升。在發揮自身領導優勢的同時，借助大數據管理技術引導決策，平衡多方利益，整合各方資源，從傳統低效的人工行政型政府轉變為創新高效的數據服務型政府。

加大技術投入力度，推動空間治理。在智慧城市建設過程中，智慧城市信息基礎設施以及服務提供商應加快在大數據環境下信息安全技術的開發與應用，利用大數據感知技術保護智慧城市關鍵網絡應用，積極推進基于大數據的實時監督。同時，在完善大數據與云計算融合的新一代信息安全防護技術過程中，建立由態勢感知、資產探測、運營中心等多套系統組成的網絡空間普查工具，不斷提升基于機器學習的云端安全防護技術。

促進社會公眾參與，樹立安全意識。在智慧城市運營過程中，智慧城市治理領域不斷呈現出主體多元化和參與深層化的特點，這就要求越來越多的社會公眾參與到智慧城市治理工作中去。智慧城市中的信息通信技術能夠隨時隨地地傳播公眾信息，保障智慧城市信息交流和意見反饋渠道的高效與暢通，實現市民對城市治理的電子參與（e-participation）。此外，要對市民在智慧城市信息安全建設的電子參與過程中產生的海量數據進行存儲和深度挖掘，為智慧城市信息安全保障的規劃提供改進建議。

4? 結束語

筆者分析了大數據環境下智慧城市信息安全所面臨的嚴峻挑戰，結合智慧城市信息安全的基本內涵，將全面質量管理理論應用到智慧城市信息安全保障研究中，借助戴明環（PDCA）的4個階段構建了大數據環境下智慧城市信息安全保障體系，以期為智慧城市信息安全管理研究和相關工作的開展提供借鑒思路和參考意見。本文雖然在理論層面有一定的創新性嘗試，但由于各個城市的自身條件、特色和資源有所不同，在考慮智慧城市信息安全保障體系的構建時不可千篇一律，應考慮到具體城市信息安全建設的重點方向、應用規劃與設計需求，在實際運用中仍需要做進一步探索和驗證。智慧城市的建設和運營處于動態發展的進程之中，是一項規模宏大、內容全面、涉及多元主體的系統工程，因此智慧城市信息安全保障體系應結合城市建設和發展的動態過程不斷調整。大數據技術為智慧城市信息安全的保障提供了一種新的解決方式，未來應加快大數據關鍵技術與智慧城市信息安全保障的進一步深度融合，推進大數據時代的信息安全管理范式變革和智能化決策體系的建立，促進智慧城市的持續健康發展。

參考文獻：

[1] 沈明歡.“智慧城市”助力我國城市發展模式轉型[J].城市觀察， 2010（3）： 140-146.

[2] CHEN Z Y， FAN W， XIONG Z， et al.Visual data security and management for smart cities[J]. Frontiers of computer science in China， 2010， 4（3）： 386-393.

[3] 李勇.智慧城市建設對城市信息安全的強化與沖擊分析[J].圖書情報工作， 2012， 56（6）： 20-24.

[4] 鄧賢峰.“智慧城市”建設的風險分析[J].財經界， 2011（1）： 106-109.

[5] ELMAGHRABY A S， LOSAVIO M M . Cyber security challenges in smart cities： safety， security and privacy[J]. Journal of advanced research， 2014， 5（4）： 491-497.

[6] ZHANG K， NI J B， YANG K， et al. Security and privacy in smart city applications： challenges and solutions[J]. IEEE communications magazine， 2017， 55（1）： 122-129.

[7] ALDAIRI A， TAWALBEH L. Cyber security attacks on smart cities and associated mobile technologies[J]. Procedia computer science， 2017， 109（3）： 1086-1091.

[8] ABBAS H， MAGNUSSON C， YNGSTROM L， et al. Addressing dynamic issues in information security management[J]. Information management & computer security， 2011， 19（1）： 5-24.

[9] 蘆效峰， 李海俊.智慧城市的支撐技術——信息安全技術[J].智能建筑與城市信息， 2013（2）： 90-98.

[10] FERRAZ F S， FERRAZ C. Smart city security issues： depicting information security issues in the role of an urban environment[C]// IEEE /ACM 7th International Conference on Utility and Cloud Computing， London：IEEE， 2014： 842-847.

[11] 宋璟， 李斌， 班曉芳， 等.關于我國智慧城市信息安全的現狀與思考[J].中國信息安全， 2016（2）： 107-111.

[12 ]向尚， 鄒凱， 蔣知義， 等.基于隨機森林的智慧城市信息安全風險預測[J].中國管理科學， 2016， 24（S1）： 266-270.

[13] QI L ， HU C ， ZHANG X ， et al. Privacy-aware data fusion and prediction with spatial-temporal context for smart city industrial environment[J]. IEEE transactions on industrial informatics， 2020， 17（6）： 1.

[14] 鄒凱， 向尚， 張中青揚， 等.智慧城市信息安全風險評估模型構建與實證研究[J].圖書情報工作， 2016， 60（7）： 19-24.

[15] 毛子駿， 梅宏， 肖一鳴， 等.基于貝葉斯網絡的智慧城市信息安全風險評估研究[J].現代情報， 2020， 40（5）： 19-26， 40.

[16] 毛子駿， 黃膺旭， 徐曉林.信息生態視角下智慧城市信息安全風險分析及應對策略研究[J].中國行政管理， 2019（9）： 123-129.

[17] 張艷豐， 王羽西， 鄒凱， 等.基于模糊DANP的智慧城市信息安全風險要素識別與管理策略研究[J].情報理論與實踐， 2020， 43（10）： 144-150.

[18] 鄒凱， 萬震， 曹丹， 等.智慧城市信息安全監管策略的演化博弈分析[J].現代情報， 2021， 41（3）： 3-14.

[19] 李洋， 謝晴， 邱菁萍， 等.智慧城市信息安全保障體系研究[J].信息技術與網絡安全， 2018， 37（7）： 18-21.

[20] 張大江， 畢曉宇， 呂欣， 等.智慧城市信息安全體系研究[J].信息安全研究， 2017， 3（8）： 710-717.

[21] 王青娥， 柴玄玄， 張譞.智慧城市信息安全風險及保障體系構建[J].科技進步與對策， 2018， 35（24）： 20-23.

[22] 楊天開， 魯潔.新型智慧城市環境下信息安全體系架構淺析[J].中國管理信息化， 2019， 22（19）： 140-142.

[23] DAGHER G G ， MOHLER J ， MILOJKOVIC M ， et al. Ancile： privacy-preserving framework for access control and interoperability of electronic health records using blockchain technology[J]. Sustainable cities & society， 2018， 39（2）： 283-297.

[24] MEMOS V A， PSANNIS K E， ISHIBASHI Y， et al. An efficient algorithm for media-based surveillance system （EAMSuS） in IoT smart city framework[J]. Future generation computer systems， 2018， 83（6）： 619-628

[25] WAZID M， DAS A K， VIVEKANANDA B K ， et al. LAM-CIoT： lightweight authentication mechanism in cloud-based IoT environment[J]. Journal of network and computer applications， 2020， 150（1）： 102496

[26] ULLAH Z， Al-TURJMAN F， MOSTARDA L， et al. Applications of artificial intelligence and machine learning in smart cities[J]. Computer communications， 2020， 154（3）： 313-323.

[27] ZHANG K， NI J B， YANG K， et al. Security and privacy in smart city applications： challenges and solutions[J]. IEEE communications magazine： articles， news， and events of interest to communications engineers， 2017， 55 （1） ： 122-129.

[28] 王世偉.論大數據時代信息安全的新特點與新要求[J].圖書情報工作， 2016， 60（6）： 5-14.

[29] 郭驊， 蘇新寧.智慧城市信息安全管理的環境、挑戰與模式研究[J].圖書情報工作， 2016， 60（19）： 49-58.

[30] 黃水清.數字圖書館信息安全管理的過程方法[J].圖書情報工作， 2013， 57（11）： 5-11.

[31] 趙海， 陳芳.電子支付信息安全管理體系的研究與實踐[J].信息安全研究， 2019， 5（6）： 534-541.

[32] 劉珊， 楊華， 岳克明.大數據在電力信息安全的研究[J].山西電力， 2018（4）： 45-47.

[33] 吳璇.PDCA在醫院信息系統安全監管中的應用[J].網絡安全技術與應用， 2018（3）： 114-115.

[34] 曾劍秋， 程廣煥， 楊萌柯.電信運營企業信息安全風險管理體系研究[J].科技管理研究， 2016， 36（18）： 160-164.

[35] 胡昌平， 萬莉.云環境下國家學術信息資源安全全面保障體系構建[J].情報雜志， 2017， 36（5）： 124-128.

[36] 高東懷， 沈霞娟， 寧玉文， 等.高校信息化管理服務體系研究——以第四軍醫大學的實踐為例[J].武漢大學學報（理學版）， 2012， 58（S1）： 65-69.

[37] 胡鑫.智慧城市[J].電信技術， 2016（9）： 46-47， 51.

[38] 姜德峰， 齊瑞瑞.智慧城市基礎設施建設與評估[J]. 電視技術， 2013（14）： 4-5.

[39] 范淵.大數據時代的智慧城市與信息安全[M].北京： 電子工業出版社， 2018： 96.

[40] 王斌君， 吉增瑞.信息安全技術體系研究[J].計算機應用， 2009， 29（S1）： 59-62.

[41] GB/T 22240-2020， 網絡安全保護等級定級指南[S].北京， 國家標準化管理委員會， 2020.

[42] 王翔.網絡與信息安全事件應急響應體系層次結構與聯動研究[J].網絡安全技術與應用， 2015（5）： 177， 179.

[43] 曾志廉， 黃丹鳳.信息安全風險評估綜合管理系統設計[J].教育教學論壇， 2016（23）： 249-250.

[44] 武彬， 張玉清， 毛劍.信息安全風險管理系統的設計與實現[J].計算機工程， 2007（21）： 134-136， 139.

[45] 官海濱， 謝宗曉， 王興起.基于知識庫的信息安全風險評估方法Crisk及其工具實現[J].青島大學學報（自然科學版）， 2013， 26（1）： 66-70.

[46] 王楨珍， 謝永強， 武曉悅， 等.信息安全風險管理研究[J].信息安全與通信保密， 2007（8）： 162-164， 167.

作者貢獻說明：

鄒? 凱：提出研究思路，起草與修訂論文;

郭一航：設計研究框架，起草與修訂論文;

向? 尚：起草與修訂論文;

萬? 震：收集相關文獻，修訂論文。