◎ 羅 力

?

新興信息技術(shù)背景下我國(guó)智慧城市信息安全風(fēng)險(xiǎn)和保障研究

◎ 羅 力

摘 要：智慧城市為我們描繪了一個(gè)具備開(kāi)放性、集中化、協(xié)同化、移動(dòng)化和智能化等特點(diǎn)的新型現(xiàn)代化城市。信息安全是智慧城市正常運(yùn)行的前提，具有至關(guān)重要的地位，必須作為我國(guó)智慧城市建設(shè)中的一個(gè)核心內(nèi)容加以保證。本文對(duì)我國(guó)智慧城市建設(shè)和運(yùn)行過(guò)程中所面臨的信息安全風(fēng)險(xiǎn)進(jìn)行識(shí)別分析，指出我國(guó)智慧城市必須要與信息安全保障同規(guī)劃、同設(shè)計(jì)、同建設(shè)，要構(gòu)建包括新技術(shù)研發(fā)應(yīng)用與產(chǎn)業(yè)發(fā)展、政策法規(guī)、組織管理體系、制度建設(shè)、人才培養(yǎng)等多個(gè)方面在內(nèi)的聯(lián)動(dòng)協(xié)同的信息安全保障體系。

關(guān)鍵詞：新興信息技術(shù) 智慧城市 信息安全

一、引言

當(dāng)前我國(guó)正處在工業(yè)化、信息化、城鎮(zhèn)化和農(nóng)業(yè)現(xiàn)代化加快發(fā)展與融合深化的重要時(shí)期，將會(huì)在“十三五”時(shí)期全面進(jìn)入城市時(shí)代，但我國(guó)城市發(fā)展在基礎(chǔ)設(shè)施、經(jīng)濟(jì)、民生、服務(wù)等方面正面臨著巨大挑戰(zhàn)。隨著物聯(lián)網(wǎng)、云計(jì)算、移動(dòng)互聯(lián)網(wǎng)等新一代信息技術(shù)的出現(xiàn)和迅速發(fā)展，IBM 在2008年底提出了借助新興信息技術(shù)建設(shè)“智慧地球”的設(shè)想，并在2009年又提出了建設(shè)“智慧地球”首先需要建設(shè)“智慧城市”的口號(hào)。智慧城市的內(nèi)涵是以“為民、便民、惠民”為目標(biāo)，以物聯(lián)網(wǎng)、云計(jì)算、移動(dòng)互聯(lián)網(wǎng)、大數(shù)據(jù)等先進(jìn)的信息通信技術(shù)在城市經(jīng)濟(jì)社會(huì)發(fā)展各領(lǐng)域的充分運(yùn)用為基礎(chǔ)，以最大限度地整合和開(kāi)發(fā)利用包括城市公共服務(wù)管理、電信、電力、金融、交通、醫(yī)療、教育等各類信息資源為核心，通過(guò)智慧應(yīng)用和解決方案，實(shí)現(xiàn)智慧的感知、建模、分析、集成和處理，為居民、企業(yè)和社會(huì)提供及時(shí)、互動(dòng)、高效的信息服務(wù)，進(jìn)而推動(dòng)城市科學(xué)發(fā)展，使城市達(dá)到前所未有的高度“智慧”狀態(tài)［1］。智慧城市是信息化引領(lǐng)城市化的過(guò)程，是繼數(shù)字城市和智能城市后的城市信息化高級(jí)形態(tài)，是現(xiàn)代城市可持續(xù)發(fā)展的方向和趨勢(shì)。智慧城市的理念在世界多個(gè)國(guó)家和地區(qū)得到了普遍認(rèn)同，并受到了各國(guó)政府、產(chǎn)業(yè)界和學(xué)界的廣泛關(guān)注。國(guó)外包括美國(guó)、德國(guó)、西班牙、愛(ài)爾蘭、韓國(guó)、日本、新加坡等在內(nèi)的50多個(gè)國(guó)家陸續(xù)制定了相應(yīng)的國(guó)家發(fā)展戰(zhàn)略，開(kāi)展了智慧城市試點(diǎn)和示范工程建設(shè)，將智慧城市建設(shè)與城市經(jīng)濟(jì)發(fā)展、產(chǎn)業(yè)振興、提高公共服務(wù)和社會(huì)治理能力緊密結(jié)合。我國(guó)也掀起了智慧城市建設(shè)浪潮，國(guó)務(wù)院在2014年4月印發(fā)了《國(guó)家新型城鎮(zhèn)化規(guī)劃（2014-2020年）》，明確提出未來(lái)智慧城市的發(fā)展方向，即要統(tǒng)籌城市發(fā)展的物質(zhì)資源、信息資源和智力資源利用，推動(dòng)物聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)等新一代信息技術(shù)創(chuàng)新應(yīng)用，實(shí)現(xiàn)與城市經(jīng)濟(jì)社會(huì)發(fā)展深度融合。2014年8月，國(guó)家發(fā)改委、工信部、科技部、公安部、財(cái)政部、國(guó)土部、住建部、交通部八部委印發(fā)了《關(guān)于促進(jìn)智慧城市健康發(fā)展的指導(dǎo)意見(jiàn)》，提出到2020年，建成一批特色鮮明的智慧城市，聚集和輻射帶動(dòng)作用大幅增強(qiáng)，綜合競(jìng)爭(zhēng)優(yōu)勢(shì)明顯提高，在保障和改善民生服務(wù)、創(chuàng)新社會(huì)管理、維護(hù)網(wǎng)絡(luò)安全等方面取得顯著成效。該文件明確了城市人民政府是智慧城市建設(shè)的責(zé)任主體，科學(xué)合理地規(guī)劃智慧城市建設(shè)，頂層設(shè)計(jì)尤為重要［2］。據(jù)不完全統(tǒng)計(jì)，我國(guó)各地推進(jìn)智慧城市建設(shè)中普遍存在熱情高、決心大的特點(diǎn)，目前已有超過(guò)200個(gè)城市陸續(xù)推出相應(yīng)的智慧城市發(fā)展規(guī)劃和相關(guān)產(chǎn)業(yè)的行動(dòng)計(jì)劃。

隨著物聯(lián)網(wǎng)、云計(jì)算、移動(dòng)互聯(lián)網(wǎng)和大數(shù)據(jù)等新興信息技術(shù)廣泛、深入地植入到城市的每一個(gè)“細(xì)胞”中，我國(guó)城市信息化程度正逐步提升，網(wǎng)絡(luò)與信息系統(tǒng)已經(jīng)成為國(guó)家的關(guān)鍵基礎(chǔ)設(shè)施，其基礎(chǔ)性、全局性作用進(jìn)一步增強(qiáng)，政府部門(mén)和企事業(yè)單位的信息資源被整合到更大的智慧城市平臺(tái)上，并在國(guó)民經(jīng)濟(jì)發(fā)展中發(fā)揮著日益重要的作用。但目前國(guó)際網(wǎng)絡(luò)空間的對(duì)抗態(tài)勢(shì)十分嚴(yán)峻，網(wǎng)絡(luò)信息安全問(wèn)題呈現(xiàn)多樣化、復(fù)雜化的特征，國(guó)家級(jí)、集團(tuán)級(jí)的網(wǎng)絡(luò)攻擊時(shí)有發(fā)生，大量個(gè)體利益驅(qū)動(dòng)的信息安全犯罪廣泛存在，信息應(yīng)用系統(tǒng)的社會(huì)工程犯罪屢見(jiàn)不鮮。針對(duì)網(wǎng)絡(luò)和信息系統(tǒng)的滲透、入侵、數(shù)據(jù)竊取等攻擊破壞活動(dòng)以及網(wǎng)絡(luò)與信息系統(tǒng)自身的安全問(wèn)題嚴(yán)重影響著金融、證券、能源、交通、海關(guān)、稅務(wù)等重點(diǎn)行業(yè)關(guān)鍵基礎(chǔ)設(shè)施的正常運(yùn)轉(zhuǎn)。智慧城市從技術(shù)上來(lái)講，是對(duì)現(xiàn)有新興信息技術(shù)的高度集成，因此智慧城市建設(shè)和運(yùn)行所面臨的信息安全風(fēng)險(xiǎn)的不確定性和復(fù)雜性將更加凸顯。如果我國(guó)智慧城市信息安全沒(méi)有得到有效保障，海量數(shù)據(jù)出現(xiàn)泄露和濫用現(xiàn)象，這將不止造成個(gè)人隱私權(quán)和財(cái)產(chǎn)權(quán)受損等局部風(fēng)險(xiǎn)，而且嚴(yán)重打擊人們享受信息消費(fèi)的熱情和信心，進(jìn)而成為一個(gè)挑戰(zhàn)現(xiàn)實(shí)社會(huì)管理系統(tǒng)和誠(chéng)信體系、威脅國(guó)家信息安全的亟待解決的緊迫問(wèn)題。本文將對(duì)我國(guó)智慧城市建設(shè)和運(yùn)行過(guò)程中所面臨的信息安全風(fēng)險(xiǎn)進(jìn)行識(shí)別分析，并提出加強(qiáng)我國(guó)智慧城市信息安全保障體系建設(shè)的若干建議。

二、我國(guó)智慧城市建設(shè)的信息安全風(fēng)險(xiǎn)識(shí)別和誘因分析

智慧城市是一個(gè)大型的復(fù)雜系統(tǒng)，包括感知層、通信傳輸層、應(yīng)用層、智能分析處理層在內(nèi)均面臨不同的信息安全風(fēng)險(xiǎn)?？偟膩?lái)說(shuō)，可從技術(shù)-政策法規(guī)-管理制度-用戶等4個(gè)維度加以觀察，四個(gè)維度中任何一個(gè)維度受損，都將導(dǎo)致智慧城市系統(tǒng)的結(jié)構(gòu)發(fā)生變化，進(jìn)而進(jìn)入非安全狀態(tài)。

（一）源于技術(shù)維度的信息安全風(fēng)險(xiǎn)

技術(shù)維度的信息安全風(fēng)險(xiǎn)主要是指信息技術(shù)（包括信息安全技術(shù)）缺陷引發(fā)的信息安全風(fēng)險(xiǎn)。智慧城市信息基礎(chǔ)設(shè)施也稱為智慧基礎(chǔ)設(shè)施，是信息技術(shù)水平高低的重要反映，主要包括信息網(wǎng)絡(luò)設(shè)施、信息共享基礎(chǔ)設(shè)施和經(jīng)過(guò)智能化改造的傳統(tǒng)基礎(chǔ)設(shè)施，具體是指有線網(wǎng)絡(luò)、無(wú)線網(wǎng)絡(luò)、物聯(lián)網(wǎng)等信息傳輸系統(tǒng)、云平臺(tái)、信息安全服務(wù)平臺(tái)及測(cè)試中心等公共數(shù)據(jù)存儲(chǔ)、信息交換及運(yùn)營(yíng)支撐平臺(tái)等。目前我國(guó)智慧城市建設(shè)面臨較大的源于信息技術(shù)的信息安全風(fēng)險(xiǎn)。首先，大量購(gòu)買(mǎi)和使用的智慧基礎(chǔ)設(shè)施來(lái)自外國(guó)公司，并沒(méi)有經(jīng)過(guò)國(guó)家信息安全審查，存在較大的供應(yīng)鏈安全風(fēng)險(xiǎn)。其次，我國(guó)智慧城市建設(shè)中的包括物聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)分析在內(nèi)的許多核心技術(shù)還掌握在外國(guó)公司手中，我國(guó)尚未具備完整的自主研發(fā)能力。這些技術(shù)本身的發(fā)展和應(yīng)用還剛剛興起，可能存在許多尚未掌握的安全漏洞和“后門(mén)”，需要一段時(shí)間的應(yīng)用和發(fā)展才能慢慢完善起來(lái)，比如我國(guó)主流云平臺(tái)面臨比較嚴(yán)重的共性問(wèn)題：一是命令注入漏洞，即在云環(huán)境中，由于涉及大量命令調(diào)用，所以容易出現(xiàn)命令注入的漏洞；二是配置注入漏洞，即云平臺(tái)中提供的功能很多涉及配置，黑客可利用配置注入方式進(jìn)行攻擊。第三，現(xiàn)有的包括防火墻、漏洞掃描、監(jiān)控審計(jì)、信息加密等傳統(tǒng)信息安全保障技術(shù)主要是針對(duì)封閉或邏輯隔離的網(wǎng)絡(luò)信息系統(tǒng)，屬于“封閉”導(dǎo)向的信息安全技術(shù)，而針對(duì)物聯(lián)網(wǎng)和云計(jì)算平臺(tái)的信息安全保障技術(shù)還不成熟，無(wú)法有效應(yīng)對(duì)智慧城市開(kāi)放式的、泛在互聯(lián)和協(xié)同化信息環(huán)境下的信息安全威脅，比如云平臺(tái)數(shù)據(jù)資源的高度共享性，使云平臺(tái)在惡意軟件作用下產(chǎn)生數(shù)據(jù)丟失、身份竊取、金融欺詐等風(fēng)險(xiǎn)；分布式拒絕服務(wù)攻擊（DDoS）也具有快速摧毀云基礎(chǔ)架構(gòu)的潛力，即當(dāng)云平臺(tái)受到攻擊時(shí)，所有相關(guān)賬戶也將牽涉其中，導(dǎo)致該平臺(tái)服務(wù)的千萬(wàn)用戶受到不可估量的損失；智慧城市將大量智能終端設(shè)備和傳感器接入智慧網(wǎng)絡(luò)，由此產(chǎn)生復(fù)雜的接入環(huán)境、多樣化的接入方式、數(shù)量龐大的智能接入終端，帶來(lái)更復(fù)雜的網(wǎng)絡(luò)與信息安全問(wèn)題［3］ ［4］。

（二）源于政策法規(guī)維度的信息安全風(fēng)險(xiǎn)

政策法規(guī)維度的信息安全風(fēng)險(xiǎn)主要是指我國(guó)現(xiàn)行的政策法規(guī)不能有效支撐智慧城市的建設(shè)和運(yùn)行，從而引發(fā)若干信息安全風(fēng)險(xiǎn)。鑒于我國(guó)傳統(tǒng)的信息政策法規(guī)是以保密安全為導(dǎo)向的，現(xiàn)有大量信息出于安全和部門(mén)利益的考慮并沒(méi)有得到充分的開(kāi)發(fā)利用，而智慧城市的關(guān)鍵任務(wù)就是對(duì)來(lái)自各個(gè)渠道的海量信息實(shí)現(xiàn)快速傳輸、充分整合和智能化挖掘［5］。隨著全球城市信息化和智慧城市建設(shè)的推進(jìn)，我國(guó)各級(jí)政府也逐漸開(kāi)始強(qiáng)調(diào)透明政府、信息公開(kāi)、數(shù)據(jù)開(kāi)放和信息保護(hù)的重要性，并出臺(tái)了包括《中華人民共和國(guó)政府信息公開(kāi)條例》《中華人民共和國(guó)刑法修正案（七）》《全國(guó)人民代表大會(huì)常務(wù)委員會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》《促進(jìn)大數(shù)據(jù)發(fā)展行動(dòng)綱要》等若干有關(guān)政府信息公開(kāi)和信息保護(hù)的政策法規(guī)，甚至若干省市相繼出臺(tái)政策法規(guī)支持政府開(kāi)放數(shù)據(jù)運(yùn)動(dòng)，推進(jìn)大數(shù)據(jù)交易中心建設(shè)，比如《貴州省大數(shù)據(jù)發(fā)展應(yīng)用促進(jìn)條例》。但筆者認(rèn)為，在《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《個(gè)人信息保護(hù)法》《網(wǎng)絡(luò)安全審查制度》等諸多法律法規(guī)尚未出臺(tái)的情況下，大量購(gòu)買(mǎi)外國(guó)公司提供的信息技術(shù)產(chǎn)品和服務(wù)，貿(mào)然大規(guī)模推進(jìn)政府部門(mén)間的數(shù)據(jù)開(kāi)放、共享與整合利用，眾多政府部門(mén)和企事業(yè)單位不按照“數(shù)據(jù)收集最小化”原則過(guò)度收集用戶數(shù)據(jù)、建設(shè)大數(shù)據(jù)交易中心、數(shù)據(jù)跨境流動(dòng)等行為會(huì)醞釀更大的信息安全風(fēng)險(xiǎn)，比如在地下黑色產(chǎn)業(yè)活動(dòng)中，各類數(shù)據(jù)交易頻繁，通過(guò)不同行業(yè)、不同領(lǐng)域的數(shù)據(jù)比對(duì)，開(kāi)展下一步的不法犯罪活動(dòng)，這直接導(dǎo)致公民個(gè)人、城市和國(guó)家安全在不同程度上受到威脅，而尚未接受有效法律監(jiān)管的大數(shù)據(jù)交易中心極有可能助長(zhǎng)了地下黑色產(chǎn)業(yè)發(fā)展的勢(shì)頭；云計(jì)算服務(wù)模式使得數(shù)據(jù)跨境流動(dòng)成為一種常態(tài)，如何確定數(shù)據(jù)傳輸?shù)墓茌牂?quán)進(jìn)而確定適用的法律，是云計(jì)算跨境服務(wù)中最為重要的法律問(wèn)題，否則甚至?xí)p害國(guó)家安全。另外以我國(guó)的個(gè)人信息保護(hù)立法現(xiàn)狀為例，據(jù)《中國(guó)青年報(bào)》報(bào)道，目前我國(guó)已出臺(tái)與網(wǎng)絡(luò)相關(guān)的法律、法規(guī)和規(guī)章共計(jì)兩百多部，其中涉及個(gè)人信息保護(hù)方面的法律有將近40部，法規(guī)有30部，另外還有一些部門(mén)規(guī)章和一些地方法規(guī)，但這些法律法規(guī)根本無(wú)法有效遏制我國(guó)愈演愈烈的個(gè)人信息安全事件發(fā)生的態(tài)勢(shì)，可見(jiàn)，目前有法難依和執(zhí)法不嚴(yán)也是一個(gè)重要問(wèn)題，單靠傳統(tǒng)信息安全理念指導(dǎo)下的立法和執(zhí)法已無(wú)法防范新興信息技術(shù)帶來(lái)的信息安全風(fēng)險(xiǎn)。

（三）源于管理維度的信息安全風(fēng)險(xiǎn)

管理維度的信息安全風(fēng)險(xiǎn)主要是指我國(guó)各級(jí)組織的信息安全管理制度和管理力量尚未跟上智慧城市建設(shè)和運(yùn)行的步伐，從而引發(fā)若干信息安全風(fēng)險(xiǎn)。建設(shè)各級(jí)組織的信息安全保障體系，不僅僅是用各類信息安全產(chǎn)品搭建一座城墻，更重要的是各級(jí)組織建立一套完善的信息安全管理制度，配備相應(yīng)的人力資源，將信息安全產(chǎn)品和信息安全管理制度緊密結(jié)合，才能避免組織發(fā)生嚴(yán)重的信息安全事件。但目前各級(jí)組織現(xiàn)有的信息安全管理制度，無(wú)論是制度的內(nèi)容層面，還是制度的執(zhí)行層面，都存在不足。以智慧城市背景下的BYOD引發(fā)的信息安全風(fēng)險(xiǎn)為例，這就是源于智慧城市的開(kāi)放性和相應(yīng)信息安全管理制度調(diào)整滯后。BYOD是指各級(jí)組織允許員工將自有的個(gè)人電腦、手機(jī)、平板電腦等智能終端設(shè)備接入組織內(nèi)網(wǎng)。目前BYOD越來(lái)越普遍，但這種行為卻會(huì)使得辦公數(shù)據(jù)與私人設(shè)備的物理邊界消失，使得員工和外來(lái)人員可以比較隨意接入組織網(wǎng)絡(luò)，拷貝機(jī)密文件。雖然各級(jí)組織的很多現(xiàn)有信息安全管理制度均或多或少涉及信息安全風(fēng)險(xiǎn)評(píng)估環(huán)節(jié)，但該項(xiàng)制度的執(zhí)行存在較大問(wèn)題。另外以各級(jí)組織面臨的個(gè)人信息安全風(fēng)險(xiǎn)為例，個(gè)人信息安全在智慧城市運(yùn)行中尤其重要，但目前各種信息安全管理制度對(duì)個(gè)人信息保護(hù)的重視程度非常不夠，一般只針對(duì)個(gè)人信息處理環(huán)節(jié)出臺(tái)了有關(guān)規(guī)定，而嚴(yán)重忽視了個(gè)人信息收集、儲(chǔ)存、利用等環(huán)節(jié)的保護(hù)。雖然我國(guó)第一個(gè)“個(gè)人信息保護(hù)”專項(xiàng)國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)、公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》已于2013年2月施行，主要對(duì)個(gè)人信息處理原則、個(gè)人信息主體的權(quán)利和個(gè)人信息保護(hù)要求作了相應(yīng)規(guī)定，但通過(guò)調(diào)研發(fā)現(xiàn)，由于該項(xiàng)標(biāo)準(zhǔn)并非國(guó)家強(qiáng)制性標(biāo)準(zhǔn)，各級(jí)組織并沒(méi)有及時(shí)地將相關(guān)內(nèi)容及時(shí)整合到信息安全管理制度中。另外目前各級(jí)組織壓縮信息管理部門(mén)的人員編制，在信息安全管理的人力配備上更是少得可憐，取而代之的是將有關(guān)工作外包給其他IT公司，這也蘊(yùn)含著較大信息安全風(fēng)險(xiǎn)。

（四）源于用戶維度的信息安全風(fēng)險(xiǎn)

用戶維度的信息安全風(fēng)險(xiǎn)主要是指用戶的信息安全素養(yǎng)不能滿足智慧城市建設(shè)和運(yùn)行的要求，從而引發(fā)若干信息安全風(fēng)險(xiǎn)。用戶是智慧城市的主體，一方面，智慧城市的核心價(jià)值是為用戶構(gòu)建一個(gè)良好的生活環(huán)境，促進(jìn)用戶的全面發(fā)展；另一方面，智慧城市建設(shè)和運(yùn)行也離不開(kāi)用戶的參與。信息安全素養(yǎng)是指在信息化條件下， 人們對(duì)信息安全的認(rèn)識(shí)以及對(duì)信息安全所表現(xiàn)出來(lái)的各種綜合能力，包括信息安全意識(shí)、信息安全知識(shí)、信息安全能力、信息倫理道德等具體內(nèi)容。北京谷安天下科技有限公司發(fā)布的《2010企業(yè)員工信息安全意識(shí)調(diào)查報(bào)告》顯示，42.8%的受訪者認(rèn)為個(gè)人信息安全意識(shí)不足是最大的信息安全隱患，然后依次是缺少安全制度或現(xiàn)有制度未落實(shí)、投入或人員不足或缺乏信息安全培訓(xùn)、安全產(chǎn)品功能不足和其他。報(bào)告進(jìn)一步顯示，中國(guó)企業(yè)員工普遍缺乏信息安全意識(shí)。不少信息安全專家也都指出，眾多缺乏信息安全素養(yǎng)的員工，正在成為黑客突破組織安全防護(hù)時(shí)最大也最難修補(bǔ)的漏洞。智慧城市建設(shè)的決策者和管理者也是用戶的重要組成部分，目前我國(guó)一些城市的智慧城市建設(shè)，處于一窩蜂的狀態(tài)，部分決策者和管理者并沒(méi)有樹(shù)立良好的信息安全保障與智慧城市建設(shè)同步規(guī)劃、同步設(shè)計(jì)、同步建設(shè)的觀念，這也為智慧城市建設(shè)和運(yùn)行埋下了相當(dāng)大的信息安全隱患。

三、加強(qiáng)我國(guó)智慧城市信息安全保障體系建設(shè)的建議

我國(guó)智慧城市建設(shè)是眾多的城市管理部門(mén)、信息與通信技術(shù)服務(wù)提供商、業(yè)務(wù)應(yīng)用開(kāi)發(fā)與運(yùn)營(yíng)單位以及全體市民參與的城市信息化創(chuàng)新活動(dòng)，其中的信息安全問(wèn)題已超過(guò)了某個(gè)部門(mén)、某個(gè)人的范圍，需要建立全社會(huì)協(xié)作參與的信息安全保障體系。

（一）重視智慧城市頂層設(shè)計(jì)，實(shí)現(xiàn)信息安全保障體系的同步規(guī)劃和建設(shè)

智慧城市頂層設(shè)計(jì)是根據(jù)智慧城市發(fā)展趨勢(shì)、愿景和發(fā)展目標(biāo)，在綜合區(qū)域基礎(chǔ)條件、產(chǎn)業(yè)發(fā)展和內(nèi)外部環(huán)境等基礎(chǔ)上，制定一個(gè)完整的智慧城市建設(shè)方案的過(guò)程。目前我國(guó)智慧城市建設(shè)過(guò)程中在頂層設(shè)計(jì)方面存在著較大的信息安全風(fēng)險(xiǎn)，因此我們首先應(yīng)該明確頂層設(shè)計(jì)的重要意義。其次，要成立專門(mén)的專家委員會(huì)，以保證頂層設(shè)計(jì)的科學(xué)性與合理性。要充分結(jié)合自身城市的特點(diǎn)，不能脫離實(shí)際。最后，信息安全保障體系必須同步規(guī)劃、同步建設(shè)、同步運(yùn)行，信息安全風(fēng)險(xiǎn)管理必須貫穿于智慧城市系統(tǒng)生命周期。

（二）加強(qiáng)技術(shù)研發(fā)及應(yīng)用推廣力度，促進(jìn)相關(guān)產(chǎn)業(yè)蓬勃發(fā)展

針對(duì)技術(shù)方面存在的信息安全風(fēng)險(xiǎn)，要加大資金投入，支持企業(yè)與高?？蒲性核暮献?，針對(duì)智慧城市架構(gòu)的不同層次技術(shù)特點(diǎn)，采用相適應(yīng)的安全防護(hù)技術(shù)，搭建技術(shù)防護(hù)體系，積極跟蹤前沿的發(fā)展動(dòng)態(tài)，力爭(zhēng)有所突破；制定面向新一代信息技術(shù)的研發(fā)框架，確定與智慧城市信息安全相關(guān)的多個(gè)技術(shù)優(yōu)先研究領(lǐng)域，通過(guò)引進(jìn)高端的技術(shù)研發(fā)機(jī)構(gòu)，突破感知信息網(wǎng)絡(luò)融合、高寬帶網(wǎng)絡(luò)、智能分析決策等共性技術(shù)，在智慧城市中不斷應(yīng)用推廣新的信息安全技術(shù)和產(chǎn)品，比如深化建設(shè)面向城市網(wǎng)絡(luò)空間安全的監(jiān)測(cè)預(yù)警和應(yīng)急響應(yīng)基礎(chǔ)平臺(tái)，實(shí)現(xiàn)城域網(wǎng)絡(luò)安全態(tài)勢(shì)感知、監(jiān)測(cè)預(yù)警、應(yīng)急處置和災(zāi)難恢復(fù)的一體化運(yùn)作；發(fā)展基于云計(jì)算的大數(shù)據(jù)安全分析以及大數(shù)據(jù)挖掘技術(shù)時(shí)，提升漏洞檢測(cè)效率；建設(shè)全市性的網(wǎng)絡(luò)空間主體可信身份生態(tài)體系，面向泛在網(wǎng)絡(luò)提供普適性的統(tǒng)一身份認(rèn)證［6］。大力推進(jìn)以“智慧產(chǎn)業(yè)”為代表的新興產(chǎn)業(yè)蓬勃發(fā)展，創(chuàng)新商業(yè)模式，拓展相關(guān)應(yīng)用市場(chǎng)，同時(shí)以智慧技術(shù)創(chuàng)新為依托，衍生全新的產(chǎn)業(yè)形態(tài)，推動(dòng)城市產(chǎn)業(yè)升級(jí)，重點(diǎn)發(fā)展物聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)等與智慧城市息息相關(guān)的智慧新興產(chǎn)業(yè)。

（三）適時(shí)出臺(tái)有關(guān)政策法規(guī)，強(qiáng)化政策法規(guī)執(zhí)行環(huán)節(jié)建設(shè)

針對(duì)現(xiàn)行政策法規(guī)引發(fā)的信息安全風(fēng)險(xiǎn)，首先要認(rèn)真梳理現(xiàn)存的有關(guān)政策法規(guī)，分析其不足之處，然后一方面開(kāi)展修法工作，另一方面適時(shí)出臺(tái)包括《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《個(gè)人信息保護(hù)法》和《網(wǎng)絡(luò)安全審查制度》在內(nèi)的相關(guān)政策法規(guī)。其中《中華人民共和國(guó)網(wǎng)絡(luò)安全法（草案）》已于2015年6月經(jīng)第十二屆全國(guó)人大常委會(huì)第十五次會(huì)議初次審議并在中國(guó)人大網(wǎng)公布，向社會(huì)公開(kāi)征求意見(jiàn)，其后還需經(jīng)過(guò)若干環(huán)節(jié)的審議?！毒W(wǎng)絡(luò)安全審查制度》是國(guó)家層面出臺(tái)的重點(diǎn)政策，規(guī)定對(duì)進(jìn)入我國(guó)市場(chǎng)的重要信息技術(shù)產(chǎn)品、服務(wù)及其提供者進(jìn)行測(cè)試評(píng)估、檢測(cè)分析、持續(xù)監(jiān)督，目前該項(xiàng)政策也進(jìn)入了審議環(huán)節(jié)［7］［8］。雖然目前《個(gè)人信息保護(hù)法》尚未列入立法規(guī)劃，但此項(xiàng)法律在我國(guó)智慧城市信息安全保障中將扮演舉足輕重的角色，因?yàn)橹挥幸詫ｍ?xiàng)法律的形式對(duì)我國(guó)的個(gè)人信息開(kāi)發(fā)、利用和保護(hù)原則和各項(xiàng)要求進(jìn)行說(shuō)明，才能確保個(gè)人信息流動(dòng)和個(gè)人信息保護(hù)的平衡，才能對(duì)目前愈演愈烈的個(gè)人信息犯罪和地下黑色產(chǎn)業(yè)鏈形成有效的威懾力。我國(guó)各大城市已經(jīng)陸續(xù)出臺(tái)推動(dòng)智慧城市和相關(guān)產(chǎn)業(yè)發(fā)展的若干政策，下一階段應(yīng)強(qiáng)化這些政策的執(zhí)行和評(píng)估環(huán)節(jié)的有關(guān)工作。另外，我國(guó)信息安全標(biāo)準(zhǔn)正式發(fā)布和在研的有近300項(xiàng)，但專門(mén)針對(duì)智慧城市信息安全的標(biāo)準(zhǔn)目前只有一些在研，而在智慧城市環(huán)境下，由于產(chǎn)業(yè)結(jié)合更加緊密，產(chǎn)品更加多樣，安全產(chǎn)品和安全協(xié)議更加復(fù)雜，因此有必要出臺(tái)統(tǒng)一的信息安全產(chǎn)品標(biāo)準(zhǔn)和信息安全管理標(biāo)準(zhǔn)。

（四）修訂和落實(shí)信息安全管理制度建設(shè)，強(qiáng)化信息安全組織建設(shè)

針對(duì)現(xiàn)行信息安全管理制度缺陷引發(fā)的信息安全風(fēng)險(xiǎn)，有必要根據(jù)新興信息技術(shù)發(fā)展和智慧城市信息安全保障需求對(duì)其內(nèi)容進(jìn)行修訂。強(qiáng)化智慧城市信息安全風(fēng)險(xiǎn)測(cè)評(píng)機(jī)制建設(shè)。信息安全風(fēng)險(xiǎn)測(cè)評(píng)是以信息系統(tǒng)風(fēng)險(xiǎn)管理方法作為建立智慧城市信息安全保障體系的理論基礎(chǔ)，通過(guò)建立有效的風(fēng)險(xiǎn)識(shí)別、控制和處置機(jī)制，定期進(jìn)行充分的現(xiàn)狀調(diào)研和風(fēng)險(xiǎn)評(píng)估，為智慧城市的信息系統(tǒng)安全建設(shè)和管理提供系統(tǒng)性、針對(duì)性、可行性的指導(dǎo)，有利于在智慧城市建設(shè)過(guò)程中同步建設(shè)信息安全設(shè)施，保障信息安全與智慧城市建設(shè)相協(xié)調(diào)。嚴(yán)格遵照有關(guān)法律和標(biāo)準(zhǔn)規(guī)范的要求，對(duì)每個(gè)信息系統(tǒng)進(jìn)行定級(jí)，實(shí)現(xiàn)信息安全等級(jí)保護(hù)，同時(shí)規(guī)范重要數(shù)據(jù)庫(kù)和信息系統(tǒng)的開(kāi)發(fā)、運(yùn)營(yíng)和管理等各個(gè)環(huán)節(jié)的信息安全工作。建立健全政府信息公開(kāi)保密審查機(jī)制，明確審查責(zé)任和審查職責(zé)，將保密審查程序與公文流轉(zhuǎn)程序、信息發(fā)布程序結(jié)合起來(lái)，防止保密審查與政府信息發(fā)布脫節(jié)。做到審查工作有領(lǐng)導(dǎo)分管、有部門(mén)負(fù)責(zé)、有專人實(shí)施，確保涉密信息不公開(kāi)，公開(kāi)信息不涉密。實(shí)行信息安全工作人員“先培訓(xùn)，后上崗”制度，出臺(tái)信息安全人員培訓(xùn)上崗和持證上崗的工作細(xì)則，即由統(tǒng)一的信息安全權(quán)威管理機(jī)構(gòu)組織管理培訓(xùn)，培訓(xùn)合格后方可從事信息安全管理崗位，信息化管理部門(mén)督促并監(jiān)督相關(guān)人員持證上崗，保持信息安全管理隊(duì)伍的相對(duì)穩(wěn)定［9］。在關(guān)鍵基礎(chǔ)設(shè)施、敏感部門(mén)、政府機(jī)構(gòu)設(shè)立首席信息安全官職位，充分授予首席信息安全官相對(duì)應(yīng)的權(quán)力，比如首席信息安全官可直接向最高決策者匯報(bào)、全權(quán)負(fù)責(zé)信息安全保障體系建設(shè)、咨詢、審批或驗(yàn)證現(xiàn)有的IT投資計(jì)劃。

（五）構(gòu)建多層次的信息安全人才培養(yǎng)體系，全面提升國(guó)民信息安全素養(yǎng)

首先，教育主管部門(mén)不僅要號(hào)召?gòu)V大高等院校中設(shè)置一級(jí)學(xué)科、完善專業(yè)課程體系、編制核心教材、錄制核心課程視頻、深化實(shí)習(xí)交流、參與信息安全競(jìng)賽等手段培養(yǎng)信息安全專業(yè)人才，而且要在現(xiàn)有各級(jí)計(jì)算機(jī)基礎(chǔ)普及教育的基礎(chǔ)上，增加和完善信息安全知識(shí)模塊。其次，充分發(fā)揮網(wǎng)絡(luò)安全宣傳周的作用，政府部門(mén)、企業(yè)、培訓(xùn)機(jī)構(gòu)等通過(guò)設(shè)立專門(mén)培訓(xùn)和互動(dòng)網(wǎng)站、發(fā)放指南或手冊(cè)、舉辦培訓(xùn)、公益講座，開(kāi)展服務(wù)咨詢活動(dòng)、信息安全基礎(chǔ)知識(shí)競(jìng)賽等多種形式加大信息安全宣傳、教育普及力度，將信息安全宣傳教育推向社會(huì)、走進(jìn)校園，重點(diǎn)加強(qiáng)普通民眾和中小學(xué)生信息安全意識(shí)教育，提升國(guó)民的信息安全素養(yǎng)。第三，針對(duì)許多單位已將掌握一定的計(jì)算機(jī)知識(shí)和應(yīng)用技能作為上崗資格、干部錄用、職稱評(píng)定、職務(wù)晉升的重要依據(jù)之一，教育主管部門(mén)應(yīng)對(duì)現(xiàn)有的全國(guó)計(jì)算機(jī)等級(jí)考試內(nèi)容做出適應(yīng)時(shí)代變化的全新調(diào)整，增加信息安全素養(yǎng)相關(guān)知識(shí)點(diǎn)的考察比重，培養(yǎng)潛在求職者的操作能力和解決實(shí)際問(wèn)題的能力，進(jìn)一步提升全國(guó)計(jì)算機(jī)等級(jí)考試合格證書(shū)的含金量和公信力，使之成為大多數(shù)單位人事部門(mén)“進(jìn)人”“晉升”的必備條件。

四、結(jié)語(yǔ)

以透徹感知、深度互聯(lián)、智能應(yīng)用為特點(diǎn)的智慧城市為我們描述了現(xiàn)代化新型城市的發(fā)展愿景和藍(lán)圖，代表了未來(lái)一個(gè)時(shí)期我國(guó)城市信息化的發(fā)展方向和趨勢(shì)。信息安全是智慧城市正常運(yùn)行的前提和保障，具有不可或缺的重要地位，必須作為智慧城市建設(shè)的一個(gè)核心內(nèi)容加以保證，并做到與智慧城市同規(guī)劃、同設(shè)計(jì)、同建設(shè)。要從頂層設(shè)計(jì)、政策法規(guī)、組織管理、制度建設(shè)、新技術(shù)研發(fā)與應(yīng)用、產(chǎn)業(yè)發(fā)展、人才隊(duì)伍等方面構(gòu)建完善、協(xié)同的信息安全保障體系，確保智慧城市健康、安全和可持續(xù)發(fā)展。

參考文獻(xiàn)：

［1］張力平.安全是智慧城市建設(shè)的重中之重［N］.人民郵電報(bào)，2015-8-31.

［2］王健斌.網(wǎng)絡(luò)信息安全是智慧城市的基石［N］.科技日?qǐng)?bào)，2014，-10-16.

［3］周發(fā)桂.智慧城市的信息安全分析［J］.中國(guó)信息安全，2014（2）:105-109.

［4］范淵.智慧城市的信息安全解決之道［J］.中國(guó)信息安全，2014（10）:119.

［5］丁波濤.智慧城市視野下的新型信息安全體系建構(gòu)［J］.上海城市管理，2012（4）:17-20.

［6］劉山泉.上海智慧城市信息安全保障探索與實(shí)踐［J］.信息安全與通信保密，2015（4）:25-28.

［7］陳桂龍.智慧城市網(wǎng)絡(luò)安全的治理［J］.中國(guó)建設(shè)信息化，2016（1）.

［8］張曉海，鄧賢峰.智慧城市基礎(chǔ)設(shè)施智能化的信息安全挑戰(zhàn)［J］.上海城市管理，2015（5）:35-39.

［9］劉杰.智慧城市建設(shè)的信息安全保障問(wèn)題研究——以廣州智慧城市建設(shè)為例［D］.華南理工大學(xué)碩士學(xué)位論文，2015:37。

（責(zé)任編輯：盧小文）

【中圖分類號(hào)】F299.2；TP309

doi:10.3969/j.issn.1674-7178.2016.03.012

作者簡(jiǎn)介：羅力，管理學(xué)博士，上海社會(huì)科學(xué)院信息研究所副研究員，研究方向?yàn)橹腔鄢鞘薪ㄔO(shè)與個(gè)人信息安全保護(hù)、信息資源開(kāi)發(fā)與利用。

【基金項(xiàng)目】國(guó)家社科基金青年項(xiàng)目“新興信息技術(shù)環(huán)境下我國(guó)個(gè)人信息安全保護(hù)體系構(gòu)建及應(yīng)用研究”（項(xiàng)目編號(hào):13CTQ027）、國(guó)家社科基金重大項(xiàng)目“大數(shù)據(jù)與云環(huán)境下國(guó)家信息安全管理范式及政策路徑研究”（項(xiàng)目編號(hào):13&ZD185）和上海社會(huì)科學(xué)院創(chuàng)新型青年人才“網(wǎng)絡(luò)個(gè)人信息安全管理”階段性研究成果。

An Analysis on the Smart City Information Security Risk and Safeguard in the Context of Emerging ICT in China

Luo Li

Abstract:The concept of smart city has portrayed a new modern city with open， centralized， collaborative， mobile and intelligent features. Information security is a prerequisite for the normal operation of smart city， playing a crucial role and must be guaranteed as a core component in the construction of smart city in China. In this paper， the author firstly gives an identification analysis of the information security risks confronted with during the process of the construction and operation of smart city， then points out that smart city in China must synchronize with the planning， designing and construction of information security safeguard system which is built up with synergistic interactive dimensions including new technology research and development， industrial development， policies and regulations， organization management system， system construction， personnel cultivation， and so on.

Keywords:emerging ICT； smart city； information security