中文引用格式:李洋,,謝思琪,,邱菁萍,等.智慧城市信息安全保障體系研究[J].信息技術(shù)與網(wǎng)絡安全,,2018,37(7):18-21.
0 引言
隨著社會的發(fā)展,,人口膨脹、環(huán)境污染,、交通堵塞,、城市管理運行效率低、公共服務供給能力不足等各種城市病爆發(fā),經(jīng)濟,、民生,、生態(tài)、基礎(chǔ)設(shè)施,、管理服務等各方面遭遇嚴峻挑戰(zhàn),。為了破解城市難題,由此誕生了“智慧城市”概念,。
1 智慧城市發(fā)展概述
“智慧城市”的概念最早源于2008年國際商業(yè)機器公司(IBM)提出的“智慧地球”,,其高度集成了物聯(lián)網(wǎng)、大數(shù)據(jù),、云計算,、空間地理信息等先進信息技術(shù),通過對城市各領(lǐng)域各方面深度信息化,,進行資源高效整合和合理配置,,促進城市規(guī)劃、建設(shè),、管理和服務,,推進城市信息化、智慧化,、現(xiàn)代化發(fā)展,,進而邁向可持續(xù)發(fā)展。智慧城市是以城市信息化帶動城市現(xiàn)代化的過程,,是有效提升人民生活水平,、改善生態(tài)環(huán)境、優(yōu)化城市管理和生產(chǎn)方式的創(chuàng)新發(fā)展模式,。建設(shè)智慧城市是國家和時代發(fā)展的必然趨勢,。
21世紀以來,信息技術(shù)蓬勃發(fā)展,,世界各國積極通過信息技術(shù)的強大力量推動城市發(fā)展,。2004年,日本,、韓國分別推出基于物聯(lián)網(wǎng)的國家信息化戰(zhàn)略,,旨在催生新一代信息科技革命,實現(xiàn)無所不在的便利社會,;2009年,,日本推出“I-Japan(智慧日本)戰(zhàn)略”,進一步深化數(shù)字社會,;同年,,美國IBM主導及推動提出“智慧城市”,,并與迪比克市共建了美國第一個智慧城市;2007年,,歐盟提出建設(shè)智慧城市目標,,2010年發(fā)布了《歐洲數(shù)字化議程》,旨在通過信息技術(shù)推動和實現(xiàn)歐洲可持續(xù)的經(jīng)濟效益與社會效益,。
智慧城市迅速引入到我國,,近年來得到高度重視和發(fā)展,國家成立促進智慧城市健康發(fā)展部際協(xié)調(diào)工作組,,組建產(chǎn)業(yè)聯(lián)盟,,大力推進智慧城市建設(shè),現(xiàn)今已上升到國家戰(zhàn)略高度,。“十三五”明確指出我國智慧城市的總體定位,,“圍繞信息強國戰(zhàn)略與社會經(jīng)濟轉(zhuǎn)型需求,,推動信息技術(shù)在智慧城市中深度融合創(chuàng)新,支撐智慧產(chǎn)業(yè)技術(shù)創(chuàng)新,,提升社會治理能力和公共服務能力,。力爭到2020年,在典型城市(群)開展集成創(chuàng)新與融合服務的示范應用,?!蹦壳埃覈延谐^500個試點城市,,并形成眾多智慧城市領(lǐng)軍企業(yè),,市場規(guī)模超萬億,智慧城市建設(shè)實現(xiàn)了大規(guī)模推進,。
2 智慧城市安全現(xiàn)狀
信息化的發(fā)展和新技術(shù)的運用密切關(guān)系著智慧城市的安全問題,,網(wǎng)絡信息安全遭遇到前所未有的嚴峻挑戰(zhàn)。習近平總書記明確指出,,網(wǎng)絡安全是事關(guān)國家安全的重大戰(zhàn)略問題,,沒有網(wǎng)絡安全就沒有國家安全,沒有信息化就沒有現(xiàn)代化,。因此,,智慧城市的健康發(fā)展必定離不開安全建設(shè)。
目前,,我國絕大部分智慧城市未開展全面的安全建設(shè),,其現(xiàn)狀普遍存在缺乏頂層設(shè)計和統(tǒng)籌規(guī)劃,以及網(wǎng)絡安全隱患和風險問題突出,,尤其是信息安全問題,。表現(xiàn)在:其一,,盲目開展智慧城市建設(shè),欠缺對安全的全面考慮,,側(cè)重于系統(tǒng)建設(shè),,忽略安全建設(shè),導致智慧城市出現(xiàn)繁榮而混亂的局面,;其二,,頂層設(shè)計和統(tǒng)籌規(guī)劃中欠缺信息安全的考慮,導致安全隱患頻出,,影響智慧城市業(yè)務安全和運轉(zhuǎn),;其三,新技術(shù)的廣泛應用加劇了安全問題,,信息泄露,、數(shù)據(jù)破壞等安全事件激增;其四,,我國智慧城市信息安全核心技術(shù)缺失,,自主可控率低;其五,,隨著智慧民生的發(fā)展,,個人信息和隱私的侵害愈來愈嚴重。
3 智慧城市安全挑戰(zhàn)分析
智慧城市是一項龐大的,、復雜的,、綜合的信息重塑城市工程,廣泛應用了物聯(lián)網(wǎng),、云計算,、大數(shù)據(jù)等新一代信息技術(shù)實現(xiàn)城市職能智能化,因此其安全風險涉及物聯(lián)感知層,、網(wǎng)絡通信層,、數(shù)據(jù)及服務支撐層、智慧應用層以及用戶的接入環(huán)境等各個層面,。
3.1 城市信息基礎(chǔ)設(shè)施面臨的安全風險
由于我國智慧城市信息安全核心基礎(chǔ)設(shè)施,、關(guān)鍵技術(shù)的自主可控率低,智慧應用服務存在許多安全漏洞,,易遭攻擊,。隨著越來越多城市基礎(chǔ)設(shè)施與互聯(lián)網(wǎng)打通,互聯(lián)網(wǎng)對基礎(chǔ)設(shè)施的侵害加重,。例如,,在工控系統(tǒng)方面,由于其脆弱性,,互聯(lián)網(wǎng)化后頻遭攻擊,,如2010年伊朗布什爾核電站遭遇震網(wǎng)病毒攻擊,,2017年美國龍卷風報警系統(tǒng)遭黑客入侵等。
3.2 物聯(lián)網(wǎng)感知層面臨的安全風險
物聯(lián)網(wǎng)是智慧城市體系框架的基礎(chǔ)層,,負責收集各種基礎(chǔ)數(shù)據(jù),,其技術(shù)大規(guī)模運用到城市中,且物聯(lián)網(wǎng)作為互聯(lián)網(wǎng)的延展,,同樣存在信息安全問題,。
由物聯(lián)網(wǎng)自身引發(fā)的新安全問題有三方面,一是自動識別技術(shù)RFID(Rodio Frequency Identification)帶來的安全問題,,RFID技術(shù)無法區(qū)分查詢信號是否來自合法讀寫器,,易造成重要信息外流,且在末端設(shè)備和RFID標簽使用者不被知情情況下,,標簽上的信息易被掃描,、定位、追蹤,,導致隱私數(shù)據(jù)泄露,;二是傳感網(wǎng)的安全問題,傳感設(shè)備或傳感器節(jié)點易被接觸和攻擊,,且目前智慧城市大量感知節(jié)點沒有適用的認證系統(tǒng),安全防御能力薄弱,;三是終端安全復雜,,終端接入方式眾多且自身防御能力不強,移動終端更是成為了黑客的主要攻擊點,,用戶信息和隱私受到威脅,。
3.3 網(wǎng)絡通信層面臨的安全風險
網(wǎng)絡通信層面臨的風險有以下幾個方面:一是網(wǎng)絡協(xié)議問題,攻擊者常用IP地址欺騙,、拒絕服務攻擊,、后門入口等工具和技術(shù)入侵網(wǎng)絡;二是跨網(wǎng)病毒傳播,;三網(wǎng)融合后病毒更容易傳播到各層,。三是網(wǎng)絡監(jiān)管困難,網(wǎng)絡流量監(jiān)控無法控制,,導致分布式拒絕服務攻擊頻發(fā),,網(wǎng)絡異常行為判斷變得困難,易造成混亂現(xiàn)象,。
3.4 數(shù)據(jù)及服務支撐層面的安全風險
數(shù)據(jù)及服務支撐層面是核心層,,城市級海量信息的聚合、共享,、共用都在這里實現(xiàn),,上層的各類智慧應用服務都由此提供支撐,,而這里最關(guān)鍵的支撐技術(shù)就是云計算技術(shù)。
在云計算安全方面,,智慧城市信息基礎(chǔ)設(shè)施以云計算中心的方式發(fā)展集約化,,其資源高度共享的特性加大了安全風險。數(shù)據(jù)泄露與丟失,、不安全身份和訪問控制管理,、API篡改、系統(tǒng)脆弱性,、賬戶劫持,、惡意內(nèi)部人員、APT攻擊,、盡職調(diào)查不足,、云服務器濫用、DDoS攻擊,、共享技術(shù)漏洞等威脅重重,。
在大數(shù)據(jù)安全方面,本層匯聚海量數(shù)據(jù),,但數(shù)據(jù)泄露,、篡改和破壞風險日益嚴峻。同時,,我國智慧城市出現(xiàn)“信息孤島”問題,,數(shù)據(jù)融合共享難導致安全工作復雜化,而大數(shù)據(jù)安全管理能力不足,,用戶信息和隱私被利用,,甚至成為黑客的攻擊手段,這些都是亟需解決的難題,。
3.5 智慧應用層面臨的安全風險
智慧應用為公眾,、企業(yè)、政府提供信息化應用和服務,,移動應用成熱門,。目前,移動應用市場審核薄弱,,手機病毒爆發(fā),,個人隱私和信息泄露嚴重,智慧城市應用系統(tǒng)認證難度大,,應用與數(shù)據(jù)安全監(jiān)管不足,,都是此層面臨的挑戰(zhàn)。
如今,,網(wǎng)絡安全形勢嚴峻,,國家不斷提出加強網(wǎng)絡安全建設(shè),,保障網(wǎng)絡空間安全,促進智慧城市健康發(fā)展,。2014年,,八部委印發(fā)《關(guān)于促進智慧城市健康發(fā)展的指導意見》,指出要堅持可管可控,,落實安全的基本原則和網(wǎng)絡安全長效化的主要目標,。2015年,四部委發(fā)布《關(guān)于加強智慧城市網(wǎng)絡安全管理工作的若干意見》,,提出要增強智慧城市網(wǎng)絡基礎(chǔ)設(shè)施,、重要信息系統(tǒng)、關(guān)鍵數(shù)據(jù)資源及服務的安全保障能力,,促進智慧城市健康可持續(xù)發(fā)展,。
4 構(gòu)建智慧城市信息安全體系框架
網(wǎng)絡與信息安全問題始終是智慧城市健康發(fā)展的重點。隨著新技術(shù)的不斷創(chuàng)新迭代,、網(wǎng)絡安全威脅的質(zhì)變升級和攻防發(fā)展的不平衡,,傳統(tǒng)的防御已無法適應智慧城市的安全需求,新型智慧城市建設(shè)對安全能力提出了更加注重信息安全的構(gòu)建和保障的要求,。
構(gòu)建智慧城市信息安全體系,,需緊緊結(jié)合金融科技、醫(yī)療科技,、人工智能,、區(qū)塊鏈、大數(shù)據(jù),、云計算等方面的優(yōu)勢,全方位,、多維度保障信息安全,,如圖1所示。
4.1 構(gòu)建智慧城市縱深安全防御體系
智慧城市信息安全保障體系涵蓋信息系統(tǒng)的基礎(chǔ)安全,、技術(shù)保障平臺和安全合規(guī)建設(shè)等方面,,直接作用于智慧城市業(yè)務信息系統(tǒng)的安全保障,因此對信息資源的安全保護需從技術(shù),、人,、運維三方進行搭建。
基于智慧城市縱深安全防御體系,,垂直于接入層,、網(wǎng)絡層、數(shù)據(jù)層和應用層等多層級安全防御,,相應深入到終端安全和物聯(lián)網(wǎng)安全,、網(wǎng)絡基礎(chǔ)設(shè)施安全和云計算安全,、身份管理和隱私保護、威脅情報和態(tài)勢感知以及智能決策等運維安全,,形成縱深防御,,以此支撐和保障智慧政務、財政,、安防,、醫(yī)療、生活,、環(huán)保,、房產(chǎn)、教育等各個業(yè)務信息子系統(tǒng)安全,。
此外,,對應技術(shù)、人,、運維三方的具體實踐,,云服務提供商必須在技術(shù)支撐方面,搭建安全的網(wǎng)絡,,實現(xiàn)系統(tǒng)架構(gòu)的安全,,研發(fā)安全產(chǎn)品、平臺以及對安全技術(shù)深入研究,。在人員方面,,設(shè)立安全專家服務團隊,提供安全咨詢服務,,為各業(yè)務提供端到端的行業(yè)解決方案,,以及威脅情報和事件應急響應服務等。在運維管理方面,,建立專業(yè)安全運營團隊,,根據(jù)客戶業(yè)務需求定制安全策略,托管信息安全,,并定期開展風險評估,,持續(xù)修復安全漏洞,降低安全風險,。
4.2 從金融云到城市云,,構(gòu)建智慧城市核心安全
如今,新一代信息技術(shù)廣泛應用于金融業(yè)中,,技術(shù)創(chuàng)新與金融服務不斷融合,,互聯(lián)網(wǎng)金融與日俱進,越來越滿足到大眾的金融需求,同時,,互聯(lián)網(wǎng)金融成為打造金融智慧城市的主要工具,,解決了智慧城市建設(shè)融資困難的重大問題。據(jù)平安金融安全研究院發(fā)表的《2017金融科技安全分析報告》的數(shù)據(jù)表明,,金融行業(yè)經(jīng)大幅互聯(lián)網(wǎng)化后,,83.5%的機構(gòu)或企業(yè)開展了互聯(lián)網(wǎng)業(yè)務,60%的機構(gòu)使用了云服務,,其中大部分使用私有云,,僅有20%的機構(gòu)使用公有云或混合云。對互聯(lián)網(wǎng)金融企業(yè)來說,,上云能夠節(jié)約成本,,同時獲得更大的業(yè)務回報,但隨著各類創(chuàng)新型云服務應用在越來越多的互聯(lián)網(wǎng)金融業(yè)務場景中,,如何保障云安全就顯得尤為重要,。
智慧城市的海量數(shù)據(jù)信息集中在數(shù)據(jù)及服務支撐層,云安全的保障成為信息安全的關(guān)鍵所在,。一方面,,對云的設(shè)計以云上合規(guī)為基礎(chǔ),達到安全可靠的要求,,保障云自身系統(tǒng)安全,;另一方面,自下而上考慮云的基礎(chǔ)服務安全,,涵蓋基礎(chǔ)架構(gòu)安全,、用戶安全和網(wǎng)絡安全,深入物理安全,、虛擬化平臺與應用安全,、數(shù)據(jù)安全和業(yè)務安全,有效保障云上信息系統(tǒng)安全,。
從金融云到城市云平臺,,都需要考慮眾多業(yè)務、服務場景,,以安全合規(guī),、維護方便,、彈性擴容,、節(jié)約成本為核心,以多種云計算形態(tài)構(gòu)建敏捷性的云解決方案,,滿足智慧城市發(fā)展的靈活性要求,。特別在災備方面,考慮多地可用區(qū),,提供云災備規(guī)劃,、災備演練等整體服務,,同時要解決網(wǎng)絡擁堵問題,提高災害響應和處理速度,。
5 結(jié)論
我國正從智慧城市向新型智慧城市轉(zhuǎn)型發(fā)展,,新型智慧城市建設(shè)更加注重信息資源的共享、大數(shù)據(jù)的挖掘和利用以及城市安全的構(gòu)建和保障,,而網(wǎng)絡與信息安全對智慧城市健康發(fā)展起了決定性作用,。自2017年以來,新型智慧城市建設(shè)提檔加速,,未來,,智慧城市能建多好,發(fā)展多遠,,必定與城市信息安全建設(shè)休戚與共,。
參考文獻
[1] 范淵. 智慧城市與信息安全[M]. 北京:電子工業(yè)出版社, 2014.
[2] 魏軍. “互聯(lián)網(wǎng)+”時代背景下智慧城市信息安全研究初探[J]. 智能建筑, 2016(7):29-32.
[3] 云成. 加強頂層設(shè)計,建設(shè)特色鮮明的智慧城市——《關(guān)于促進智慧城市健康發(fā)展的指導意見》發(fā)布[J]. 衛(wèi)星應用, 2014(11):45-48.
[4] 平安金融安全研究院. 2017金融科技安全分析報告[R]. 2018.
(收稿日期:2018-06-20)
作者簡介:
李洋(1978-),男,,博士,,副教授,主要研究方向:網(wǎng)絡空間與信息安全,,金融科技安全等,。
謝晴(1992-),女,,碩士,,安全研究員,主要研究方向:移動安全,、醫(yī)療健康安全,。
邱菁萍(1994-),女,,碩士,,安全研究員,主要研究方向:智慧城市發(fā)展研究,、網(wǎng)絡安全政策,。