新型智慧城市CIM平臺的大數據流轉安全研究

◎中國海洋大學◎胡丹、中電科網絡空間安全研究院◎于忠臣

新型智慧城市CIM平臺，可促進智慧城市數據資源集聚，全面推動政務數據與社會數據的跨領域融合應用，打通數據流通通道，避免孤島，創新數據管理和共享開放體系與數據交易服務體系。本文針對CIM平臺數據來源涉及數據格式種類繁多，且應用數據交換需求多樣、系統權限體系復雜、跨域延伸不可控等智慧城市數據流轉過程中面臨的安全難點，提出了基于CIM平臺的大數據流轉安全框架，以數據分類分級為基礎，依據數據安全流轉周期與數據治理安全域的時空維度，構建數據安全流轉體系，從而解決智慧城市數據多源異構、跨網跨平臺交換和共享的安全問題。

1. 新型智慧城市CIM平臺發展概述

隨著人類社會的不斷發展，未來城市將承載越來越多的人口。預測到2050 年，全球城市化的比例將達到 70%，大約將有60億人口涌入城市。目前，世界很多地區為解決城市發展過程中日益嚴峻的“城市病”難題，實現城市可持續發展，建設智慧城市已成為當今世界城市發展不可逆轉的歷史潮流。中國智慧城市發展經過萌芽階段（智慧城市概念提出之前）、探索試點階段（2010年-2015年）、 體系創新階段 （2016年-現在）的持續演進，發展為新型智慧城市。中國無論在政策還是在發展規劃方面，一直將智慧城市以及新型智慧城市作為城市經濟社會可持續發展的重點任務進行推進。預計未來在國家“智慧社會”、“數字強國”等戰略的引導下，新型智慧城市相關領域的建設投資規模還將保持較快增長水平。

2020年4月，中共中央國務院公布《關于構建更加完善的要素市場化配置體制機制的意見》，指出土地、勞動力、資本、技術、數據五大生產要素的改革方向和相關體制機制的建設要求。自此，數字技術從助力經濟發展的工具轉變為引領經濟發展的核心，“數字經濟”開啟蓬勃發展之路。

智慧城市建設離不開海量數據支持，數字經濟的工作重心便是數據采集處理，這也契合智慧城市建設發展所需。通過對國際典型智慧城市進行研究與分析發現，近年來智慧城市建設尤其注重CIM（城市信息模型）平臺對智慧城市在數字孿生的支持作用。CIM也正在被越來越多地應用于打通城市“信息煙囪”、“數據孤島”，實現智慧城市數據采集、共享和利用。2018年11月，國家住建部啟動了CIM平臺建設的試點工作，首批試點城市包括南京、北京城市副中心、廣州、廈門和雄安新區。

CIM（城市信息模型）是以城市信息數據為基礎建立的三維城市空間模型和城市信息的有機綜合體。隨著新型測繪、模擬仿真、深度學習等技術的成熟運用，數字空間構建了一一映射的數字孿生城市。除了三維視覺表現，還承載了城市要素的屬性信息，將城市三維模型從可視化階段真正引入城市計算領域，實現挖掘、統計、分析、決策，物理城市的數字表達經歷了從最初的二維平面到三維立體、到全要素結構化的發展歷程。經過語義化技術進行結構提取和屬性自動掛接得到的CIM平臺成為了發展新型智慧城市的基礎核心。因此，保障智慧城市數據開放共享過程中的安全流動成為CIM的核心安全問題。

2. 智慧城市CIM平臺大數據流轉安全風險分析

智慧城市CIM平臺作為新型智慧城市的基礎信息平臺，運行了智慧城市各類關鍵業務數據與城市基礎數據，各類數據資源必將成為未來網絡對抗的焦點與重點攻擊目標。其存在的網絡安全風險主要包括為：一是CIM平臺匯聚智慧城市各類數據，在為有關部門提供數據服務過程中存在的安全風險；二是考慮到CIM平臺依托政務云進行建設的實際情況，云平臺特有的安全風險；三是平臺本身作為數據服務平臺所帶來的傳統安全風險；四是CIM平臺在與其他業務平臺交互過程中，通過數據接口的傳導風險；五是由不完善的安全管理體制和策略所帶來的網絡安全風險。

本文針對CIM平臺在大數據流轉過程中，列舉出面臨的五種數據安全風險：

2.1 智慧城市CIM平臺數據訪問失控風險

智慧城市CIM平臺的每類數據庫對訪問控制的粒度以及標準存在不一致的支持度，假設當前需要進行字段級粒度的訪問控制，而某些組件只能對表級粒度進行訪問控制。因此，訪問控制能力的差異必然會導致制定全局安全策略變得困難，全局策略制定困難成為了統一訪問控制機制的短板，而且CIM平臺數據訪問控制安全策略的優化依賴于對當前數據安全屬性狀態的掌握程度。過于寬松的數據訪問權限，極大地增加了將來出現數據泄露問題的可能性，CIM平臺的特權賬戶權限過大且缺乏有效監管也是目前面臨的重大安全問題。

2.2 數據防護策略與數據級別不匹配

數據分類分級既是數據治理的基礎，也是開展數據共享與開放的前提。如果CIM平臺中的數據未進行分類分級，則會按照政務數據默認敏感等級進行安全保護，從而造成多種問題：首先，部署安全防護工作需要投入更大量的人力物力財力；其次，未分類數據中敏感級別低于默認敏感級別的數據會被過度保護，存在安全資源過度投入，防護過度也會導致系統運作效率降低；另外，被默認級別保護的數據中還將含有大量敏感級別高于默認級別的數據，從而出現高敏感數據保護不足的風險。

2.3 缺乏數據評估的共享與開放風險

CIM平臺匯聚了各種新型智慧城市相關的數據資源，對各類數據如果缺乏分類分級治理，尤其是在數據服務提供過程中，對數據應用方管理失控，勢必會造成國家敏感數據的泄露，來自不同數據集的海量數據經過采集和分析會產生巨大的情報信息價值，成為西方國家對我國開展網絡空間監視和控制的重要依據。

2.4 城市級敏感數據泄露風險

CIM平臺有時需要提供批量數據給數據應用方，同一份數據也可能會同時提供給多個數據應用方。一旦發生了數據泄漏事件，并且泄漏的數據是CIM平臺曾經提供給了多個數據應用方的情況下，泄漏渠道可能是其中一個或多個數據應用方，也可能是CIM平臺自身泄漏，很難準確判斷泄漏途徑，存在數據泄漏不可追溯風險，難以歸責。

2.5 智慧城市CIM平臺數據共享與交換風險

CIM平臺數據整合共享涉及大數據集中存儲和管理，大量的分散、結構化和非結構化的數據匯集到共享平臺的大數據存儲和管理系統，多個部門存儲、處理的工作秘密或者內部敏感數據匯聚后可能涉及國家秘密，對數據保護不足，極易導致泄密。CIM平臺數據的運營者常常不是數據的所有者，使得數據在存儲和處理過程中容易被濫用，如果多個數據使用方權限控制的安全性不足，導致非授權用戶的越權訪問。

3. 智慧城市CIM平臺大數據流轉安全體系

由于CIM平臺在數據流轉的過程中，絕大部分數據來源于其他城市級信息平臺，如物聯網平臺、視頻網平臺等，以及各類智慧城市應用系統；符合數據開放條件的數據存儲在城市大數據平臺；智慧城市各個平臺之間數據傳輸主要通過電子政務外網、5G、視頻專網、物聯網等。因此，CIM平臺重點關注在數據處理與數據交換階段的大數據流轉安全，而在數據采集、數據傳輸、數據存儲、數據銷毀等階段要求其他平臺提供必要的安全措施。

CIM平臺服務于智慧城市各委辦局、各類設計建設單位與城市運營單位、以及數據相關科研單位和企業，由于在數據處理與交換的過程中，各個數據主體角色在CIM平臺不同的數據流轉階段安全關注點有所不同，CIM平臺大數據流轉安全框架包括數據安全流轉周期與數據治理安全域。

圖1 智慧城市CIM平臺大數據流轉安全框架

3.1 數據安全流轉周期

依據智慧城市CIM平臺數據流轉過程中，所涉及數據流轉處理重點的不同，劃分為數據組織安全、數據利用安全、數據開放安全與數據運維安全四個環節。

數據組織安全環節針對CIM平臺與數據提供方交互的對源數據的一系列處理操作，為數據的共享與開放提供必要的前提處理；數據利用安全環節針對CIM平臺的數據做共享與開放地安全計算與分析處理；數據開放安全環節主要針對CIM平臺與數據應用方交互的數據共享與開放服務提供安全保障；數據運維安全環節針對CIM平臺整個數據共享與開放的過程中的平臺運營做保障處理。

3.2 數據治理安全域

依據智慧城市CIM平臺數據流轉過程中涉及的數據治理重點，對數據進行不同的處理需要，劃分為數據采集域、數據計算域、數據應用域、數據運維域。數據采集域是對CIM平臺的數據提供方的源數據做數據組織安全環節各種處理；數據計算域是對CIM平臺各等級的數據做相關的數據利用安全環節相關處理；數據應用域是對CIM平臺與數據應用方提供數據共享與開放相關的數據開放安全環節執行相關操作；數據運維域主要是針對CIM平臺各級別數據的不同存儲要求分等級存儲，執行數據運維安全環節相關操作。

4. 數據安全流轉周期安全治理策略

智慧城市CIM平臺數據安全流轉周期，包括數據組織安全、數據利用安全、數據開放安全、數據運維安全四個環節，依據數據共享與開放的設計思路，采取一系列數據安全技術措施，保障CIM平臺數據流轉安全。

4.1 數據組織安全

智慧城市CIM平臺數據流轉安全治理周期的數據組織安全環節，主要在數據采集域與數據提供方進行相關操作，包括：數據質量管理、數據分類、數據分級、數據標簽。

4.1.1 數據質量管理

智慧城市CIM 平臺匯聚了各類數據，包括航拍影像、遙感遙測、三維傾斜攝影、BIM、人文歷史、各類規劃、物聯網等數據，這些數據主要是由物聯網平臺、視頻網平臺，以及各個智能城市應用系統作為數據提供方提供到CIM平臺，進入CIM平臺需要先對各類數據做數據質量管理，對數據的來源、時空屬性、安全屬性、要素屬性等做質量審核。

通過數據質量管理為后續的數據分類、分級與數據標記等步驟提供基礎數據，便于管理。可實現支持記錄并保存數據清洗、轉換和加載過程中數據的處理過程；支持制定數據質量分級標準，明確不同級別和類型的數據采集、清洗、轉換和加載等數據采集處理流程質量要求等。

4.1.2 數據分類

針對智慧城市CIM平臺數據，采用線分類法、面分類法和多維度相結合的方法，按專題、業務和行業三個維度進行分類，對于每個維度采用線分類法將其分為大類、中類和小類三級。對于每一個業務大類，按線分類法劃分中類。對于每一個中類，按照線分類法劃分小類。

圖1 智慧城市CIM平臺大數據流轉安全框架

按照智慧城市CIM平臺數據資源所涉及的知識范疇，將數據按照專題進行分類，采取大類、中類和小類三級分類法。

按專題將數據分為以下大類:國土資源、能源、交通、城鄉建設、環境保護、水利、旅游、氣象、水文測繪、醫療、教育等。

根據智慧城市CIM平臺數據資源所涉及的業務應用范疇，按業務將數據劃分為現狀、規劃、建設、運營、鄉愁等類型，主要基于以下原則:

·要對構建數字孿生城市具有決策支撐作用

·體現經濟調節、市場監管、公共服務等政府職能

·有利于實現智慧城市各政府單位與社會單位內部跨部門、跨行業數據共享

根據智慧城市CIM平臺數據資源所涉及的行業領域范疇，采用GB/T4754-2011規范的國民經濟行業分類與代碼，將其四級類目的前三級(即門類、大類、中類)對應為本標準的大類、中類、小類。

按行業將數據分為以下大類:農、林、牧、漁業；采礦業；制造業；電力、熱力燃氣及水生產和供應業；建筑業；批發和零售業；交通運輸、倉儲和郵政業；住宿和餐飲業；信息傳輸、軟件和信息技術服務業；金融業；房地產業；租賃和商務服務業；科學研究和技術服務業；水利、環境和公共設施管理業；居民服務、修理和其他服務業等。

4.1.3 數據分級

針對智慧城市CIM平臺數據分類后的處理情況，對數據進行分級，依據數據的開放風險程度進行劃分，從數據的影響對象、影響范圍、影響程度、影響要素等因素來定義分級，可以將CIM平臺數據劃分為公開、內部、秘密和機密四個等級，防止在數據共享與開放的過程中，數據被非法獲取、篡改、泄露或者不當利用。

·影響對象：國家、行業、地區、個人等；

·影響范圍：國家安全、社會秩序、公共利益、組織權益、個人利益等；

· 影響程度：嚴重、中等、輕微、無；（一般指數據的完整性、可用性等安全屬性遭到破壞后帶來的影響大小）

· 影響要素：嚴重、中等、輕微、無；（指數據作為生產要素屬性的權屬、定價、交易與使用等屬性遭到破壞后帶來的影響大小）

根據智慧城市CIM平臺數據的價值、內容敏感程度、影響不同，將數據等級分為四級：

Ⅰ級（公開）數據——可以直接向社會公眾開放的數據，例如智慧城市某條街道的交通燈工作情況數據，或者智慧城市某政務大廳的工作服務情況數據。

Ⅱ級（內部）數據——安全要求低，在國家相關政務單位內部開放但不向社會直接公開的數據，如需向社會開放需要經過數據脫敏等技術處理。例如智慧城市某段時間的城市水電氣使用數據。

Ⅲ級（秘密）數據——安全要求高，需要經過一定的技術手段脫敏處理，或者密文檢索，可以向國家相關政務單位內部開放的數據。例如智慧城市某行政區域內的工程建設未來模型數據。

Ⅳ級（機密）數據——高度敏感的內部數據，其披露可能會對智能城市運營產生負面影響，或者危害國家安全。如需開放，不僅需要經過嚴格的技術手段脫敏與密文處理，而且需要經過時效性的過渡要求。例如智慧城市的軍工相關駐地的三維傾斜數據。

4.1.4 數據標簽

針對CIM平臺的數據分類分級處理后，對所有數據進行數據標記，標記過程中主要從安全屬性、業務屬性、時空屬性、主體權限與來源清單等維度，對數據添加全量標簽，以及對數據作為生產要素維度的標記。根據數據在CIM平臺的流向分為數據準備與數據應用兩個階段。

4.2 數據利用安全

在智慧城市CIM平臺數據流轉安全體系過程中，CIM平臺數據安全治理周期的數據利用安全階段，CIM平臺的數據運營方在職責范圍內采取相應數據安全技術措施保障數據利用安全階段的數據安全，具體包括：數據脫敏、數據正當使用、數據分析安全、密文數據檢索、密文集合操作、數據要素脫敏。

4.3 數據開放安全

在智慧城市CIM平臺數據流轉安全體系過程中，CIM平臺數據安全治理周期的數據開放安全階段，CIM平臺的數據運營方與數據應用方應在各自職責范圍內采取相應數據安全技術措施保障數據開放安全階段的數據安全，具體包括：資源目錄管理、數據溯源管理、數據共享安全、數據接口安全、數據發布安全、要素可用性管理。

4.4 數據運維安全

在智慧城市CIM平臺數據流轉安全體系過程中，CIM平臺數據安全治理周期的數據運維安全階段，CIM平臺的數據運營方與數據提供方和數據應用方在不同CIM平臺數據安全流轉周期，在各自職責范圍內采取相應數據安全技術措施保障數據運維安全階段的數據安全，具體包括：元數據管理、數據供應鏈管理、邏輯存儲安全、數據備份和恢復、數據傳輸加密、數據存儲加密、數據導入導出、授權管理、訪問控制、應急處置、安全審計、態勢感知、預警監測、風險評估；數據要素身份鑒別、要素權限管理、交易信息保密管理、數據要素追溯管理、要素交易不可抵賴性管理、交易可審計性管理。

5. 展望

CIM平臺是數字孿生城市的關鍵信息基礎設施，城市越智能則安全越重要，CIM平臺從空間角度整合了城市全量數據資源，城市安全風險隨系統和數據集成量指數上升，一旦系統平臺被攻破或數據泄露，將引發重大城市安全事故。

數據作為新型生產要素，只有流動、分享、利用與開放才能創造價值。加快培育數據要素市場，推進政府數據開放共享、提升社會數據資源價值、加強數據資源整合和安全保護，需要積極探索數據治理規則，對數據實行分類分級治理，界定數據公開共享范疇，以及積極實踐標注數據的安全屬性與要素屬性等治理手段。

CIM平臺的數據流轉安全體系需要一個實踐積累和理論總結的過程才能建立和完善，不可能一蹴而就，更不能為安全建設而安全建設，須從新型智慧城市總體上系統把握數據資源架構，才能保證CIM平臺數據流轉健康、持續發展。