中文引用格式:李洋,謝思琪,,邱菁萍,,等.智慧城市信息安全保障體系研究[J].信息技術(shù)與網(wǎng)絡(luò)安全,2018,37(7):18-21.
0 引言
隨著社會(huì)的發(fā)展,,人口膨脹,、環(huán)境污染、交通堵塞,、城市管理運(yùn)行效率低,、公共服務(wù)供給能力不足等各種城市病爆發(fā),經(jīng)濟(jì),、民生,、生態(tài)、基礎(chǔ)設(shè)施,、管理服務(wù)等各方面遭遇嚴(yán)峻挑戰(zhàn),。為了破解城市難題,由此誕生了“智慧城市”概念,。
1 智慧城市發(fā)展概述
“智慧城市”的概念最早源于2008年國際商業(yè)機(jī)器公司(IBM)提出的“智慧地球”,,其高度集成了物聯(lián)網(wǎng),、大數(shù)據(jù)、云計(jì)算,、空間地理信息等先進(jìn)信息技術(shù),,通過對(duì)城市各領(lǐng)域各方面深度信息化,進(jìn)行資源高效整合和合理配置,,促進(jìn)城市規(guī)劃,、建設(shè)、管理和服務(wù),,推進(jìn)城市信息化,、智慧化、現(xiàn)代化發(fā)展,,進(jìn)而邁向可持續(xù)發(fā)展,。智慧城市是以城市信息化帶動(dòng)城市現(xiàn)代化的過程,是有效提升人民生活水平,、改善生態(tài)環(huán)境,、優(yōu)化城市管理和生產(chǎn)方式的創(chuàng)新發(fā)展模式。建設(shè)智慧城市是國家和時(shí)代發(fā)展的必然趨勢(shì),。
21世紀(jì)以來,,信息技術(shù)蓬勃發(fā)展,世界各國積極通過信息技術(shù)的強(qiáng)大力量推動(dòng)城市發(fā)展,。2004年,,日本、韓國分別推出基于物聯(lián)網(wǎng)的國家信息化戰(zhàn)略,,旨在催生新一代信息科技革命,,實(shí)現(xiàn)無所不在的便利社會(huì);2009年,,日本推出“I-Japan(智慧日本)戰(zhàn)略”,,進(jìn)一步深化數(shù)字社會(huì);同年,,美國IBM主導(dǎo)及推動(dòng)提出“智慧城市”,,并與迪比克市共建了美國第一個(gè)智慧城市;2007年,,歐盟提出建設(shè)智慧城市目標(biāo),,2010年發(fā)布了《歐洲數(shù)字化議程》,旨在通過信息技術(shù)推動(dòng)和實(shí)現(xiàn)歐洲可持續(xù)的經(jīng)濟(jì)效益與社會(huì)效益,。
智慧城市迅速引入到我國,,近年來得到高度重視和發(fā)展,國家成立促進(jìn)智慧城市健康發(fā)展部際協(xié)調(diào)工作組,,組建產(chǎn)業(yè)聯(lián)盟,,大力推進(jìn)智慧城市建設(shè),,現(xiàn)今已上升到國家戰(zhàn)略高度?!笆濉泵鞔_指出我國智慧城市的總體定位,,“圍繞信息強(qiáng)國戰(zhàn)略與社會(huì)經(jīng)濟(jì)轉(zhuǎn)型需求,推動(dòng)信息技術(shù)在智慧城市中深度融合創(chuàng)新,,支撐智慧產(chǎn)業(yè)技術(shù)創(chuàng)新,,提升社會(huì)治理能力和公共服務(wù)能力。力爭(zhēng)到2020年,,在典型城市(群)開展集成創(chuàng)新與融合服務(wù)的示范應(yīng)用,。”目前,,我國已有超過500個(gè)試點(diǎn)城市,,并形成眾多智慧城市領(lǐng)軍企業(yè),市場(chǎng)規(guī)模超萬億,,智慧城市建設(shè)實(shí)現(xiàn)了大規(guī)模推進(jìn),。
2 智慧城市安全現(xiàn)狀
信息化的發(fā)展和新技術(shù)的運(yùn)用密切關(guān)系著智慧城市的安全問題,網(wǎng)絡(luò)信息安全遭遇到前所未有的嚴(yán)峻挑戰(zhàn),。習(xí)近平總書記明確指出,,網(wǎng)絡(luò)安全是事關(guān)國家安全的重大戰(zhàn)略問題,沒有網(wǎng)絡(luò)安全就沒有國家安全,,沒有信息化就沒有現(xiàn)代化,。因此,智慧城市的健康發(fā)展必定離不開安全建設(shè),。
目前,,我國絕大部分智慧城市未開展全面的安全建設(shè),其現(xiàn)狀普遍存在缺乏頂層設(shè)計(jì)和統(tǒng)籌規(guī)劃,,以及網(wǎng)絡(luò)安全隱患和風(fēng)險(xiǎn)問題突出,尤其是信息安全問題,。表現(xiàn)在:其一,,盲目開展智慧城市建設(shè),欠缺對(duì)安全的全面考慮,,側(cè)重于系統(tǒng)建設(shè),,忽略安全建設(shè),導(dǎo)致智慧城市出現(xiàn)繁榮而混亂的局面,;其二,,頂層設(shè)計(jì)和統(tǒng)籌規(guī)劃中欠缺信息安全的考慮,導(dǎo)致安全隱患頻出,,影響智慧城市業(yè)務(wù)安全和運(yùn)轉(zhuǎn),;其三,,新技術(shù)的廣泛應(yīng)用加劇了安全問題,信息泄露,、數(shù)據(jù)破壞等安全事件激增,;其四,我國智慧城市信息安全核心技術(shù)缺失,,自主可控率低,;其五,隨著智慧民生的發(fā)展,,個(gè)人信息和隱私的侵害愈來愈嚴(yán)重,。
3 智慧城市安全挑戰(zhàn)分析
智慧城市是一項(xiàng)龐大的、復(fù)雜的,、綜合的信息重塑城市工程,,廣泛應(yīng)用了物聯(lián)網(wǎng)、云計(jì)算,、大數(shù)據(jù)等新一代信息技術(shù)實(shí)現(xiàn)城市職能智能化,,因此其安全風(fēng)險(xiǎn)涉及物聯(lián)感知層、網(wǎng)絡(luò)通信層,、數(shù)據(jù)及服務(wù)支撐層,、智慧應(yīng)用層以及用戶的接入環(huán)境等各個(gè)層面。
3.1 城市信息基礎(chǔ)設(shè)施面臨的安全風(fēng)險(xiǎn)
由于我國智慧城市信息安全核心基礎(chǔ)設(shè)施,、關(guān)鍵技術(shù)的自主可控率低,,智慧應(yīng)用服務(wù)存在許多安全漏洞,易遭攻擊,。隨著越來越多城市基礎(chǔ)設(shè)施與互聯(lián)網(wǎng)打通,,互聯(lián)網(wǎng)對(duì)基礎(chǔ)設(shè)施的侵害加重。例如,,在工控系統(tǒng)方面,,由于其脆弱性,互聯(lián)網(wǎng)化后頻遭攻擊,,如2010年伊朗布什爾核電站遭遇震網(wǎng)病毒攻擊,,2017年美國龍卷風(fēng)報(bào)警系統(tǒng)遭黑客入侵等。
3.2 物聯(lián)網(wǎng)感知層面臨的安全風(fēng)險(xiǎn)
物聯(lián)網(wǎng)是智慧城市體系框架的基礎(chǔ)層,,負(fù)責(zé)收集各種基礎(chǔ)數(shù)據(jù),,其技術(shù)大規(guī)模運(yùn)用到城市中,且物聯(lián)網(wǎng)作為互聯(lián)網(wǎng)的延展,,同樣存在信息安全問題,。
由物聯(lián)網(wǎng)自身引發(fā)的新安全問題有三方面,一是自動(dòng)識(shí)別技術(shù)RFID(Rodio Frequency Identification)帶來的安全問題,,RFID技術(shù)無法區(qū)分查詢信號(hào)是否來自合法讀寫器,,易造成重要信息外流,,且在末端設(shè)備和RFID標(biāo)簽使用者不被知情情況下,標(biāo)簽上的信息易被掃描,、定位,、追蹤,導(dǎo)致隱私數(shù)據(jù)泄露,;二是傳感網(wǎng)的安全問題,,傳感設(shè)備或傳感器節(jié)點(diǎn)易被接觸和攻擊,且目前智慧城市大量感知節(jié)點(diǎn)沒有適用的認(rèn)證系統(tǒng),,安全防御能力薄弱,;三是終端安全復(fù)雜,終端接入方式眾多且自身防御能力不強(qiáng),,移動(dòng)終端更是成為了黑客的主要攻擊點(diǎn),,用戶信息和隱私受到威脅。
3.3 網(wǎng)絡(luò)通信層面臨的安全風(fēng)險(xiǎn)
網(wǎng)絡(luò)通信層面臨的風(fēng)險(xiǎn)有以下幾個(gè)方面:一是網(wǎng)絡(luò)協(xié)議問題,,攻擊者常用IP地址欺騙,、拒絕服務(wù)攻擊、后門入口等工具和技術(shù)入侵網(wǎng)絡(luò),;二是跨網(wǎng)病毒傳播,;三網(wǎng)融合后病毒更容易傳播到各層。三是網(wǎng)絡(luò)監(jiān)管困難,,網(wǎng)絡(luò)流量監(jiān)控?zé)o法控制,,導(dǎo)致分布式拒絕服務(wù)攻擊頻發(fā),網(wǎng)絡(luò)異常行為判斷變得困難,,易造成混亂現(xiàn)象,。
3.4 數(shù)據(jù)及服務(wù)支撐層面的安全風(fēng)險(xiǎn)
數(shù)據(jù)及服務(wù)支撐層面是核心層,城市級(jí)海量信息的聚合,、共享,、共用都在這里實(shí)現(xiàn),上層的各類智慧應(yīng)用服務(wù)都由此提供支撐,,而這里最關(guān)鍵的支撐技術(shù)就是云計(jì)算技術(shù),。
在云計(jì)算安全方面,智慧城市信息基礎(chǔ)設(shè)施以云計(jì)算中心的方式發(fā)展集約化,,其資源高度共享的特性加大了安全風(fēng)險(xiǎn),。數(shù)據(jù)泄露與丟失,、不安全身份和訪問控制管理,、API篡改、系統(tǒng)脆弱性,、賬戶劫持,、惡意內(nèi)部人員,、APT攻擊、盡職調(diào)查不足,、云服務(wù)器濫用,、DDoS攻擊、共享技術(shù)漏洞等威脅重重,。
在大數(shù)據(jù)安全方面,,本層匯聚海量數(shù)據(jù),但數(shù)據(jù)泄露,、篡改和破壞風(fēng)險(xiǎn)日益嚴(yán)峻,。同時(shí),我國智慧城市出現(xiàn)“信息孤島”問題,,數(shù)據(jù)融合共享難導(dǎo)致安全工作復(fù)雜化,,而大數(shù)據(jù)安全管理能力不足,用戶信息和隱私被利用,,甚至成為黑客的攻擊手段,,這些都是亟需解決的難題。
3.5 智慧應(yīng)用層面臨的安全風(fēng)險(xiǎn)
智慧應(yīng)用為公眾,、企業(yè),、政府提供信息化應(yīng)用和服務(wù),移動(dòng)應(yīng)用成熱門,。目前,,移動(dòng)應(yīng)用市場(chǎng)審核薄弱,手機(jī)病毒爆發(fā),,個(gè)人隱私和信息泄露嚴(yán)重,,智慧城市應(yīng)用系統(tǒng)認(rèn)證難度大,應(yīng)用與數(shù)據(jù)安全監(jiān)管不足,,都是此層面臨的挑戰(zhàn),。
如今,網(wǎng)絡(luò)安全形勢(shì)嚴(yán)峻,,國家不斷提出加強(qiáng)網(wǎng)絡(luò)安全建設(shè),,保障網(wǎng)絡(luò)空間安全,促進(jìn)智慧城市健康發(fā)展,。2014年,,八部委印發(fā)《關(guān)于促進(jìn)智慧城市健康發(fā)展的指導(dǎo)意見》,指出要堅(jiān)持可管可控,,落實(shí)安全的基本原則和網(wǎng)絡(luò)安全長(zhǎng)效化的主要目標(biāo),。2015年,四部委發(fā)布《關(guān)于加強(qiáng)智慧城市網(wǎng)絡(luò)安全管理工作的若干意見》,提出要增強(qiáng)智慧城市網(wǎng)絡(luò)基礎(chǔ)設(shè)施,、重要信息系統(tǒng),、關(guān)鍵數(shù)據(jù)資源及服務(wù)的安全保障能力,促進(jìn)智慧城市健康可持續(xù)發(fā)展,。
4 構(gòu)建智慧城市信息安全體系框架
網(wǎng)絡(luò)與信息安全問題始終是智慧城市健康發(fā)展的重點(diǎn),。隨著新技術(shù)的不斷創(chuàng)新迭代、網(wǎng)絡(luò)安全威脅的質(zhì)變升級(jí)和攻防發(fā)展的不平衡,,傳統(tǒng)的防御已無法適應(yīng)智慧城市的安全需求,,新型智慧城市建設(shè)對(duì)安全能力提出了更加注重信息安全的構(gòu)建和保障的要求。
構(gòu)建智慧城市信息安全體系,,需緊緊結(jié)合金融科技,、醫(yī)療科技、人工智能,、區(qū)塊鏈,、大數(shù)據(jù)、云計(jì)算等方面的優(yōu)勢(shì),,全方位,、多維度保障信息安全,如圖1所示,。
4.1 構(gòu)建智慧城市縱深安全防御體系
智慧城市信息安全保障體系涵蓋信息系統(tǒng)的基礎(chǔ)安全,、技術(shù)保障平臺(tái)和安全合規(guī)建設(shè)等方面,直接作用于智慧城市業(yè)務(wù)信息系統(tǒng)的安全保障,,因此對(duì)信息資源的安全保護(hù)需從技術(shù),、人、運(yùn)維三方進(jìn)行搭建,。
基于智慧城市縱深安全防御體系,,垂直于接入層、網(wǎng)絡(luò)層,、數(shù)據(jù)層和應(yīng)用層等多層級(jí)安全防御,,相應(yīng)深入到終端安全和物聯(lián)網(wǎng)安全、網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全和云計(jì)算安全,、身份管理和隱私保護(hù),、威脅情報(bào)和態(tài)勢(shì)感知以及智能決策等運(yùn)維安全,形成縱深防御,,以此支撐和保障智慧政務(wù),、財(cái)政、安防,、醫(yī)療,、生活,、環(huán)保、房產(chǎn),、教育等各個(gè)業(yè)務(wù)信息子系統(tǒng)安全。
此外,,對(duì)應(yīng)技術(shù),、人、運(yùn)維三方的具體實(shí)踐,,云服務(wù)提供商必須在技術(shù)支撐方面,,搭建安全的網(wǎng)絡(luò),實(shí)現(xiàn)系統(tǒng)架構(gòu)的安全,,研發(fā)安全產(chǎn)品,、平臺(tái)以及對(duì)安全技術(shù)深入研究。在人員方面,,設(shè)立安全專家服務(wù)團(tuán)隊(duì),,提供安全咨詢服務(wù),為各業(yè)務(wù)提供端到端的行業(yè)解決方案,,以及威脅情報(bào)和事件應(yīng)急響應(yīng)服務(wù)等,。在運(yùn)維管理方面,建立專業(yè)安全運(yùn)營團(tuán)隊(duì),,根據(jù)客戶業(yè)務(wù)需求定制安全策略,,托管信息安全,并定期開展風(fēng)險(xiǎn)評(píng)估,,持續(xù)修復(fù)安全漏洞,,降低安全風(fēng)險(xiǎn)。
4.2 從金融云到城市云,,構(gòu)建智慧城市核心安全
如今,,新一代信息技術(shù)廣泛應(yīng)用于金融業(yè)中,技術(shù)創(chuàng)新與金融服務(wù)不斷融合,,互聯(lián)網(wǎng)金融與日俱進(jìn),,越來越滿足到大眾的金融需求,同時(shí),,互聯(lián)網(wǎng)金融成為打造金融智慧城市的主要工具,,解決了智慧城市建設(shè)融資困難的重大問題。據(jù)平安金融安全研究院發(fā)表的《2017金融科技安全分析報(bào)告》的數(shù)據(jù)表明,,金融行業(yè)經(jīng)大幅互聯(lián)網(wǎng)化后,,83.5%的機(jī)構(gòu)或企業(yè)開展了互聯(lián)網(wǎng)業(yè)務(wù),60%的機(jī)構(gòu)使用了云服務(wù),,其中大部分使用私有云,,僅有20%的機(jī)構(gòu)使用公有云或混合云。對(duì)互聯(lián)網(wǎng)金融企業(yè)來說,上云能夠節(jié)約成本,,同時(shí)獲得更大的業(yè)務(wù)回報(bào),,但隨著各類創(chuàng)新型云服務(wù)應(yīng)用在越來越多的互聯(lián)網(wǎng)金融業(yè)務(wù)場(chǎng)景中,如何保障云安全就顯得尤為重要,。
智慧城市的海量數(shù)據(jù)信息集中在數(shù)據(jù)及服務(wù)支撐層,,云安全的保障成為信息安全的關(guān)鍵所在。一方面,,對(duì)云的設(shè)計(jì)以云上合規(guī)為基礎(chǔ),,達(dá)到安全可靠的要求,保障云自身系統(tǒng)安全,;另一方面,,自下而上考慮云的基礎(chǔ)服務(wù)安全,涵蓋基礎(chǔ)架構(gòu)安全,、用戶安全和網(wǎng)絡(luò)安全,,深入物理安全、虛擬化平臺(tái)與應(yīng)用安全,、數(shù)據(jù)安全和業(yè)務(wù)安全,,有效保障云上信息系統(tǒng)安全。
從金融云到城市云平臺(tái),,都需要考慮眾多業(yè)務(wù),、服務(wù)場(chǎng)景,以安全合規(guī),、維護(hù)方便,、彈性擴(kuò)容、節(jié)約成本為核心,,以多種云計(jì)算形態(tài)構(gòu)建敏捷性的云解決方案,,滿足智慧城市發(fā)展的靈活性要求。特別在災(zāi)備方面,,考慮多地可用區(qū),,提供云災(zāi)備規(guī)劃、災(zāi)備演練等整體服務(wù),,同時(shí)要解決網(wǎng)絡(luò)擁堵問題,,提高災(zāi)害響應(yīng)和處理速度。
5 結(jié)論
我國正從智慧城市向新型智慧城市轉(zhuǎn)型發(fā)展,,新型智慧城市建設(shè)更加注重信息資源的共享,、大數(shù)據(jù)的挖掘和利用以及城市安全的構(gòu)建和保障,而網(wǎng)絡(luò)與信息安全對(duì)智慧城市健康發(fā)展起了決定性作用,。自2017年以來,,新型智慧城市建設(shè)提檔加速,,未來,智慧城市能建多好,,發(fā)展多遠(yuǎn),,必定與城市信息安全建設(shè)休戚與共。
參考文獻(xiàn)
[1] 范淵. 智慧城市與信息安全[M]. 北京:電子工業(yè)出版社, 2014.
[2] 魏軍. “互聯(lián)網(wǎng)+”時(shí)代背景下智慧城市信息安全研究初探[J]. 智能建筑, 2016(7):29-32.
[3] 云成. 加強(qiáng)頂層設(shè)計(jì),建設(shè)特色鮮明的智慧城市——《關(guān)于促進(jìn)智慧城市健康發(fā)展的指導(dǎo)意見》發(fā)布[J]. 衛(wèi)星應(yīng)用, 2014(11):45-48.
[4] 平安金融安全研究院. 2017金融科技安全分析報(bào)告[R]. 2018.
(收稿日期:2018-06-20)
作者簡(jiǎn)介:
李洋(1978-),,男,,博士,副教授,,主要研究方向:網(wǎng)絡(luò)空間與信息安全,金融科技安全等,。
謝晴(1992-),,女,碩士,,安全研究員,,主要研究方向:移動(dòng)安全、醫(yī)療健康安全,。
邱菁萍(1994-),,女,碩士,,安全研究員,,主要研究方向:智慧城市發(fā)展研究、網(wǎng)絡(luò)安全政策,。