智慧城市信息安全風險及保障體系構建研究

王 銀，李 麗，余 海

（中國電子科技集團公司第三十研究所，四川 成都 610041）

0 引 言

智慧城市將城市管理與服務集成化，由產品設備采集數據信息，通過互聯網對數據進行保存和處理，利用一體化平臺對整個城市的服務進行檢測和管理。智慧城市的應用可以提升對城市的管理效率，改善市民的生活質量和工作方式，促進整個城市社會、經濟及環境的和諧發展。我國政府對智慧城市的發展極為重視，現已跟緊科技時代的腳步，在智慧城市的建設道路上飛速發展。健全的信息安全風險及保障是建設智慧城市并保障其安全運行的基礎。目前我國在信息安全風險及保障體系建立方面還有很多不足之處，需參考國際智慧城市的成功案例并結合我國城市現有情況，完善我國信息安全風險及保障體系，總結出合理的法律法規，增強我國對核心技術的自主權，制定對智慧城市建設的管理措施。

1 智慧城市信息安全挑戰

近年來，智慧城市建設在國內得到高速推進，得到了政府的高度重視和支持。如圖1所示，智慧城市主要應用于醫療、建設、教育、環境、家居及管理等生活中的各個方面。智慧城市的成功構建彰顯著我國社會的穩步發展、經濟提升以及環境改善[1]。

圖1 智慧城市主要應用領域與價值

2014年，國務院推出新型城鎮規劃策略；國家工業和信息化部、改革委員會及財政部等8個部門于2014年8月聯合推出智慧城市發展的指導意見通知。指導性文件和方針為我國建設智慧城市的信息安全保障提供了巨大支持，為智慧城市的信息安全建設提供了寶貴意見。

隨著科學技術的高速發展，智慧城市的信息安全問題開始逐漸暴露出來，如網絡攻擊、對系統和服務進行破壞[2]。非法獲取智慧城市系統的數據信息，不僅會對個人用戶造成經濟和名譽損失，還會危害城市甚至國家的安全穩定。

2 智慧城市信息安全面臨的風險

2.1 信息安全頂層設計規劃能力有待提高

智慧城市頂層設計規劃是智慧城市建設的重要環節之一。若在智慧城市頂層設計中對信息安全設計考慮不足，將會導致智慧城市在運行過程中頻繁地出現安全隱患。智慧城市信息安全的頂層設計和發展規劃需具有科學性、針對性及合理性，優秀的頂層設計有助于智慧城市長久穩定地運行。目前國內信息安全頂層設計規劃能力還需更進一步，如對智慧城市的各個組織和應用之間數據開放的安全規范的規劃。規范處理數據信息，保障數據信息的安全，可以從源頭避免信息安全事件的發生，保證數據不被泄露或丟失[3]。

2.2 信息安全標準規范不完善

建設智慧城市需要制定合理的信息安全標準規范。如今，國際多個組織和聯盟已經著手研究智慧城市的標準化規則，旨在形成一套智慧信息安全風險及保障的標準體系。我國針對智慧城市信息安全也提出了一些指導性文件，用于指導、要求安全信息統一規范。但從整體來看，我國的智慧城市安全風險及保障體系仍存在很多問題，需不斷地完善和總結，追趕先進國家建設智慧城市成功的腳步。

2.3 自主可控的信息安全技術產品支撐能力需要提高

智慧城市的建設離不開大量的技術產品支撐。保障智慧城市的信息安全，需要不斷提高國內技術產品的自主可控能力。現階段我國智慧城市的信息安全建設仍依靠國外IT行業公司，如微軟、甲骨文及英特爾等。對于技術產品的自主可控能力不足，可能會因使用國外的通用處理器、大型數據庫及操作系統等技術產品而造成嚴重的數據安全威脅，甚至破壞國家的利益。因此，我國智慧城市發展需提高對于產品技術的要求，并著手培養大量的優秀人才。

2.4 信息安全應急響應能力需通過實戰不斷檢驗提高

隨著國內智慧城市信息安全保障工作的不斷進步，城市建設者積極響應政府的號召和法律法規，目前我國已經初步建立了一套信息安全預案體系[4]。由于這套體系沒有被大量實驗驗證，因此仍存在一些問題。例如，體系存在著重復性，在實際應用中難以進行相對應的模式化處理；信息安全預案體系的可操作性、合理性、針對性及有效性還沒有得到驗證，需進行長時間的實戰演練，提高應急響應能力。

2.5 信息安全法律法規不健全

我國政府和相關管理單位已經開始制定相關法律法規，以應對網絡信息安全的各種問題，對網絡管理進行約束。由于網絡問題種類復雜多樣，黑客技術不斷升級，因此，相關單位需進一步完善網絡安全法律法規。只有具備合理、全面的信息安全法律法規，才能夠有效支撐智慧城市的建設與運行。我國應該加快建立與完善信息安全法律法規，盡早提升我國信息安全法律的可靠性。

3 智慧城市信息安全保障體系構建

3.1 技術支撐

3.1.1 安全體系架構設計

智慧城市具備網絡通信功能，互聯網的開放性加大了智慧城市安全穩定發展的難度[5]。智慧城市信息安全的主要風險包括基礎設施、安全技術、管理制度以及信息安全政策法規不健全等，如圖2所示。為了降低信息安全事件的發生率，避免和減少信息安全的相關問題，本文針對智慧城市信息安全的主要風險，建立相對應的安全保障體系。

圖2 信息安全保障體系架構圖

安全體系架構需要成熟的技術支撐，主要包括加密技術、數據智能檢測技術以及邊界防御技術。加密技術根據用戶需求選擇合適的加密算法和方案，保護用戶的數據安全，避免數據被惡意程序和黑客非法獲取。智能檢測技術可以及時對數據的安全性進行檢測，避免數據在傳輸過程中被惡意篡改，大大提高數據傳輸的可靠性。邊界防御技術包括防火墻和VPN等防御技術，合理地運用邊界隔離技術可以防止惡意攻擊和非法入侵。

3.1.2 安全運行設計

為了保障智慧城市建設系統安全運行，需在一體化平臺實時監測智慧城市的整體運行狀態，對信息安全形勢進行分析，在信息安全異常時發出預警并落實對應的緊急處理措施，滿足整體信息安全的一切韌性需求[6]。建立完善的應急機制，維護智慧城市信息安全的建設與運營，對各種緊急安全問題進行備案和分析，在發生信息安全事件時能夠及時定位問題并根據應急機制采取相應的處理措施，維護智慧城市安全穩定地運行。

3.1.3 智慧應用安全設計

智慧應用的安全設計可分為安全功能和應用交互安全設計。應用安全功能涵蓋用戶權限、認證、驗證、參數和配置、異常處理以及日志記錄等功能。對這些應用功能進行升級和優化，可以有效地提升應用安全性。應用交互安全設計主要包括系統設備安全、接口安全、數據存儲安全以及加密技術。智慧應用可采取的安全支撐技術有隱私保護技術、云安全存儲技術、入侵檢測技術以及身份認證技術等，確保數據信息在收集、存儲及交互的任一環節都不會出現數據泄露和丟失現象。

3.1.4 軟硬件平臺設計

軟硬件平臺設計可劃分為系統軟件設計和硬件設計。系統軟件和硬件通過物聯網和互聯網等技術高度集成，由監測平臺和高清攝像頭對視頻信息進行整合。由高清攝像頭記錄的大量圖形和視頻等數據通過通信協議傳輸到監測平臺，便于工作人員對各個產品設備進行監控。如果在平臺檢測到了安全異常情況，需根據信息安全風險及保障體系進行應急處理。工作人員可在移動端或PC端登錄中心平臺對設備進行統一操控和管理。

3.2 管理措施

3.2.1 智慧城市信息安全組織保障

智慧城市信息安全風險及保障體系離不開政府的大力支持，需根據政府下達的指導性文件明確智慧城市的發展方向，根據每一個城市的實際情況制定相應的信息安全法律法規，合理規劃智慧城市的管理和運營模式，由政府相關部門對智慧城市的資源配置進行合理化分配。

3.2.2 智慧城市信息安全制度保障

智慧城市信息安全制度保障便于系統整體安全運行和管理，由信息安全法律法規對智慧城市運行進行約束，保障信息安全。各級部門明確分配監測、維護以及處理緊急異常的相關工作，根據各個部門和負責人可快速定位到信息安全的問題所在。健全的信息安全制度可以保障智慧城市有條不紊地運行。

3.2.3 智慧城市信息安全管理保障

智慧城市信息安全管理保障需各個部門的相關工作人員嚴格遵循信息安全的相關制度和流程，實時監測設備和系統，審核日志情況，做好系統更新和維護等工作?！盁o規矩不成方圓”，在智慧城市開發、運行及日常維護過程中，相關工作人員應嚴格實施信息安全管理，避免因人為原因造成信息安全問題。

3.2.4 智慧城市信息安全技術保障

堅固的智慧城市信息安全防御體系離不開信息安全技術的支撐。我國相關的信息安全技術大多采用國外的處理器、服務器、數據庫以及操作系統等互聯網技術，缺乏自主控制能力。只有發展自己的安全保障技術，智慧城市才能長期安全穩定地發展，不再受制于人。安全技術包括系統所用設備、網絡傳輸、安全算法、數據存儲、數據及服務融合等各個方面。在這些層面采取高效的安全保障手段，可以全方位保障智慧城市的信息安全。

4 結 語

智慧城市建設將改變現有的生活方式，給人們帶來諸多便利。我國智慧城市信息安全風險及保障體系還有很多不足之處，需通過大量實踐來證實。結合其他國家智慧城市的成功案例和我國城市現狀，制定合理的智慧城市安全風險及保障體系，可以提升智慧城市的整體安全性。唯有解決信息安全問題，構建信息安全保障體系，才能保障智慧城市安全運行。本文對智慧城市信息安全風險及保障體系構建的研究，可為智慧城市的建設提供理論基礎。針對主要的信息安全風險，從產品設備、法律法規、核心技術以及管理制度等層面進行相應的安全保障體系設計，為完善我國智慧城市信息安全保障體系做出貢獻。