◆李 怡 楊 帆 安克萬(wàn)

（陜西省網(wǎng)絡(luò)與信息安全測(cè)評(píng)中心 陜西 710065）

新型智慧城市網(wǎng)絡(luò)安全評(píng)價(jià)指標(biāo)體系研究

◆李 怡 楊 帆 安克萬(wàn)

（陜西省網(wǎng)絡(luò)與信息安全測(cè)評(píng)中心 陜西 710065）

為了貫徹落實(shí)《關(guān)于加強(qiáng)國(guó)家網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化工作的若干意見(jiàn)》等文件精神，本文分析了新型智慧城市面臨的網(wǎng)絡(luò)安全威脅，提出了新型智慧城市網(wǎng)絡(luò)安全指標(biāo)設(shè)計(jì)原則，并分別從新型智慧城市網(wǎng)絡(luò)安全管理、系統(tǒng)與數(shù)據(jù)安全和網(wǎng)絡(luò)安全運(yùn)維這三方面設(shè)計(jì)了新型智慧城市網(wǎng)絡(luò)安全評(píng)價(jià)指標(biāo)體系。所提指標(biāo)體系不僅可為新型智慧城市網(wǎng)絡(luò)安全評(píng)價(jià)標(biāo)準(zhǔn)的制定提供重要參考，還可為新型智慧城市的網(wǎng)絡(luò)安全管理與建設(shè)提供一定的指導(dǎo)，從而增強(qiáng)新型智慧城市網(wǎng)絡(luò)安全保障能力。

新型智慧城市；網(wǎng)絡(luò)安全威脅；網(wǎng)絡(luò)安全評(píng)價(jià)指標(biāo)體系

0 引言

自2009年IBM提出“智慧城市”的概念以來(lái)，智慧城市建設(shè)已成為全球城市發(fā)展的戰(zhàn)略選擇和城市競(jìng)爭(zhēng)的制高點(diǎn)，美國(guó)、歐盟、日本等國(guó)家紛紛加快智慧城市的建設(shè)步伐，我國(guó)多個(gè)城市也紛紛提出智慧城市發(fā)展規(guī)劃，截至目前，我國(guó)的智慧城市試點(diǎn)已達(dá)300余個(gè)。然而，我國(guó)智慧城市建設(shè)過(guò)程中出現(xiàn)了公共數(shù)據(jù)難以互聯(lián)互通，市民感知度較差等問(wèn)題[1]。為了更好的解決傳統(tǒng)智慧城市中存在的問(wèn)題，2016年國(guó)家“十三五”規(guī)劃綱要中明確提出要“建設(shè)一批新型示范性智慧城市”，我國(guó)智慧城市至此踏上了新型智慧城市的建設(shè)征程。

“新型智慧城市”的概念由習(xí)近平總書(shū)記在2016年4月全國(guó)網(wǎng)信工作會(huì)議上首次提出，它是智慧城市發(fā)展的新階段，是以人民為中心，實(shí)現(xiàn)民生服務(wù)便捷、社會(huì)治理精準(zhǔn)、社會(huì)經(jīng)濟(jì)綠色、城鄉(xiāng)發(fā)展一體、網(wǎng)絡(luò)安全可控的智慧城市。作為城市發(fā)展與現(xiàn)代信息技術(shù)深度融合的產(chǎn)物，新型智慧城市更注重市民的感受、數(shù)據(jù)信息的融合與開(kāi)放、城市資源的匯聚共享和跨部門(mén)的協(xié)調(diào)聯(lián)動(dòng)以及網(wǎng)絡(luò)安全的維護(hù)與保障。然而，新型智慧城市包含了眾多傳統(tǒng)市政應(yīng)用和市政服務(wù)應(yīng)用互連構(gòu)成的信息系統(tǒng)，除了原先系統(tǒng)各自的脆弱性，系統(tǒng)互連又帶來(lái)了新的安全挑戰(zhàn)，已成為制約我國(guó)城市健康發(fā)展的嚴(yán)重評(píng)頸。為此，2016年11月，國(guó)家發(fā)改委、中央網(wǎng)信辦和國(guó)家標(biāo)準(zhǔn)委聯(lián)合發(fā)布了《關(guān)于組織開(kāi)展新型智慧城市評(píng)價(jià)工作務(wù)實(shí)推動(dòng)新型智慧城市健康快速發(fā)展的通知》（發(fā)改辦高技[2016]2476號(hào)），以促進(jìn)新型智慧城市健康快速發(fā)展。

新型智慧城市網(wǎng)絡(luò)安全評(píng)價(jià)的標(biāo)準(zhǔn)化工作具有以評(píng)促建的作用，可有效瓦解并防范“信息孤島”，亦可為智慧城市管理、工程技術(shù)及第三方服務(wù)等相關(guān)人員提供管理和技術(shù)參考，從而有效提升全國(guó)新型智慧城市信息安全水平，為新型智慧城市建設(shè)的深入發(fā)展提供安全保障。

然而，目前國(guó)際標(biāo)準(zhǔn)化組織（ISO）、國(guó)際電信聯(lián)盟 (ITU)、國(guó)際電工委員會(huì)（IEC）、美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究院 (ANSI) 等組織已紛紛開(kāi)展了智慧城市標(biāo)準(zhǔn)化的工作[2]，但其網(wǎng)絡(luò)安全評(píng)價(jià)方面仍處于研究階段。為了填補(bǔ)新型智慧城市網(wǎng)絡(luò)安全評(píng)價(jià)方面的標(biāo)準(zhǔn)空白，2016年8月，中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組辦公室在《關(guān)于加強(qiáng)國(guó)家網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化工作的若干意見(jiàn)》中也提出“加快智慧城市安全等領(lǐng)域的標(biāo)準(zhǔn)研究和制定工作”。

為了解決新型智慧城市面臨的安全威脅，增強(qiáng)新型智慧城市網(wǎng)絡(luò)安全保障能力，本文提出了新型智慧城市的網(wǎng)絡(luò)安全評(píng)價(jià)指標(biāo)體系，不僅可為新型智慧城市網(wǎng)絡(luò)安全評(píng)價(jià)標(biāo)準(zhǔn)的制定提供參考，還可為新型智慧城市的網(wǎng)絡(luò)安全管理與建設(shè)提供一定的指導(dǎo)。

1 新型智慧城市網(wǎng)絡(luò)安全威脅分析

參照新型智慧城市的系統(tǒng)框架[3]，下面分別從感知層、傳輸層、知識(shí)層到應(yīng)用層介紹其面臨的安全威脅[4]。

（1）感知層運(yùn)用城市中遍布的各類傳感器，通過(guò)實(shí)時(shí)感知獲取城市基礎(chǔ)的物聯(lián)數(shù)據(jù)。由于傳感器體積較小，在目前的技術(shù)水平下無(wú)法安裝身份認(rèn)證設(shè)備，從而容易受到偽造、假冒和復(fù)制攻擊以及信息篡改、隱私泄露等威脅。

（2）城市通過(guò)傳輸層實(shí)現(xiàn)信息傳輸和匯聚，傳輸網(wǎng)絡(luò)包括移動(dòng)通信網(wǎng)、互聯(lián)網(wǎng)、廣播電視網(wǎng)、專網(wǎng)及市政以及企業(yè)內(nèi)網(wǎng)等網(wǎng)絡(luò)。由于城市傳輸節(jié)點(diǎn)多、數(shù)據(jù)量大，大量設(shè)備訪問(wèn)網(wǎng)絡(luò)，其身份認(rèn)證和密鑰的生成將成為一項(xiàng)挑戰(zhàn)，一旦大量節(jié)點(diǎn)有數(shù)據(jù)傳輸，就很容易出現(xiàn)網(wǎng)絡(luò)擁塞；傳輸網(wǎng)絡(luò)類型多樣，數(shù)據(jù)在傳輸、交換中易出現(xiàn)分布式拒絕服務(wù)攻擊、中間人攻擊等攻擊。

（3）知識(shí)層向智慧應(yīng)用領(lǐng)域提供公共硬件、軟件和數(shù)據(jù)支撐，以形成統(tǒng)一的城市信息化支撐平臺(tái)，包括城市計(jì)算、信息處理基礎(chǔ)的基礎(chǔ)通信設(shè)施、云計(jì)算和服務(wù)平臺(tái)以及信息安全管理平臺(tái)。數(shù)據(jù)集中存儲(chǔ)于云計(jì)算系統(tǒng)中，不僅為云平臺(tái)服務(wù)帶來(lái)了挑戰(zhàn)，也使云平臺(tái)成為主要的攻擊目標(biāo)，存在隱私和敏感數(shù)據(jù)泄露、惡意數(shù)據(jù)注入及高級(jí)持續(xù)性攻擊等安全威脅。

（4）智慧應(yīng)用層將建立各種基于行業(yè)或領(lǐng)域的智慧應(yīng)用及應(yīng)用整合，如智慧政務(wù)、智慧交通和智慧醫(yī)療等，為城市管理者和社會(huì)公眾等提供整體的信息化應(yīng)用與服務(wù)。各類應(yīng)用中的風(fēng)險(xiǎn)主要有：智慧政務(wù)除了傳統(tǒng)信息安全風(fēng)險(xiǎn)外，還面臨著云計(jì)算服務(wù)安全風(fēng)險(xiǎn)和信息跨行業(yè)共享、交換帶來(lái)的新的安全風(fēng)險(xiǎn)；智慧交通系統(tǒng)中大量設(shè)備訪問(wèn)網(wǎng)絡(luò)存在惡意攻擊的漏洞、破壞數(shù)據(jù)完整性等安全風(fēng)險(xiǎn)；智慧醫(yī)療主要存在隱私泄露等安全風(fēng)險(xiǎn)。

2 新型智慧城市網(wǎng)絡(luò)安全評(píng)價(jià)標(biāo)準(zhǔn)體系設(shè)計(jì)原則

新型智慧城市網(wǎng)絡(luò)安全評(píng)價(jià)可驗(yàn)證新型智慧城市網(wǎng)絡(luò)安全保障的有效性并促進(jìn)網(wǎng)絡(luò)安全建設(shè)，適用于智慧城市生命周期的規(guī)劃、設(shè)計(jì)、建設(shè)、運(yùn)營(yíng)管理等各個(gè)階段。新型智慧城市網(wǎng)絡(luò)安全評(píng)價(jià)過(guò)程如圖1所示，即基于評(píng)價(jià)目標(biāo)（即評(píng)價(jià)的信息需求）設(shè)計(jì)指標(biāo)體系，從指標(biāo)中提取具體的評(píng)價(jià)對(duì)象，通過(guò)測(cè)量模型和測(cè)量方法得出測(cè)量結(jié)果，經(jīng)過(guò)對(duì)測(cè)量結(jié)果的研判，計(jì)算得出評(píng)價(jià)結(jié)果，并支持評(píng)價(jià)目標(biāo)的實(shí)現(xiàn)。

在設(shè)計(jì)新型智慧城市網(wǎng)絡(luò)安全評(píng)價(jià)指標(biāo)體系時(shí)，我們遵循的設(shè)計(jì)原則為：

（1）科學(xué)性：評(píng)價(jià)指標(biāo)選取應(yīng)能夠體現(xiàn)新型智慧城市網(wǎng)絡(luò)安全的主要內(nèi)容，反映新型智慧城市發(fā)展面臨的主要安全風(fēng)險(xiǎn)。

圖1 新型智慧城市網(wǎng)絡(luò)安全評(píng)價(jià)過(guò)程

（2）導(dǎo)向性：評(píng)價(jià)指標(biāo)選取應(yīng)考慮新型智慧城市建設(shè)的循序漸進(jìn)，應(yīng)包含體現(xiàn)新型智慧城市發(fā)展安全愿景的指標(biāo)，引導(dǎo)其安全發(fā)展。

（3）代表性：評(píng)價(jià)指標(biāo)選取應(yīng)能較全面反映網(wǎng)絡(luò)安全方面的總體水平。

（4）可采集性：評(píng)價(jià)指標(biāo)應(yīng)具有廣泛適用的數(shù)據(jù)獲取來(lái)源，并便于采集。

（5）可考核性：評(píng)價(jià)指標(biāo)應(yīng)明確每個(gè)指標(biāo)的含義與適用范圍。

3 新型智慧城市網(wǎng)絡(luò)安全評(píng)價(jià)指標(biāo)體系設(shè)計(jì)

遵循新型智慧城市網(wǎng)絡(luò)安全評(píng)價(jià)指標(biāo)體系的設(shè)計(jì)原則，參考《智慧城市建設(shè)信息安全保障指南（草案）》[5]，我們?cè)O(shè)計(jì)了新型智慧城市網(wǎng)絡(luò)安全評(píng)價(jià)指標(biāo)體系，共包含3個(gè)一級(jí)指標(biāo)、9個(gè)二級(jí)指標(biāo)和30個(gè)三級(jí)指標(biāo)。其中，一級(jí)指標(biāo)包含新型智慧城市網(wǎng)絡(luò)安全管理、新型智慧城市系統(tǒng)與數(shù)據(jù)安全和新型智慧城市網(wǎng)絡(luò)安全運(yùn)維；依據(jù)新型智慧城市網(wǎng)絡(luò)安全評(píng)價(jià)對(duì)象和內(nèi)容[6]對(duì)一級(jí)指標(biāo)進(jìn)行分解及細(xì)化，得到了對(duì)應(yīng)的二級(jí)指標(biāo)，如圖2所示；三級(jí)指標(biāo)可在實(shí)際中根據(jù)需要進(jìn)行指標(biāo)的增加或者刪減以及細(xì)化。特別的，指標(biāo)后括號(hào)內(nèi)的數(shù)值代表指標(biāo)權(quán)重。

其中，一級(jí)指標(biāo)對(duì)應(yīng)的二級(jí)指標(biāo)分別為：

新型智慧城市網(wǎng)絡(luò)安全戰(zhàn)略、法規(guī)，指為了完成新型智慧城市網(wǎng)絡(luò)安全保障的使命、功能、任務(wù)等，由地方網(wǎng)絡(luò)安全主管部門(mén)制定的新型智慧城市網(wǎng)絡(luò)安全中長(zhǎng)期發(fā)展計(jì)劃等文件的通稱，主要評(píng)價(jià)新型智慧城市網(wǎng)絡(luò)安全規(guī)劃、法規(guī)及標(biāo)準(zhǔn)的制定、宣貫和落實(shí)情況等；新型智慧城市網(wǎng)絡(luò)安全建設(shè)投資情況是指為了完成新型智慧城市網(wǎng)絡(luò)安全保障，政府財(cái)政決算（或預(yù)算）中以及新型智慧城市安全建設(shè)中企業(yè)等建設(shè)方自籌資金用于網(wǎng)絡(luò)安全建設(shè)方面的資金使用情況，主要評(píng)價(jià)智慧城市中網(wǎng)絡(luò)安全建設(shè)投資情況；新型智慧城市網(wǎng)絡(luò)安全機(jī)制是指為了完成新型智慧城市網(wǎng)絡(luò)安全保障，建立政府職能部門(mén)為主的新型智慧城市安全管理機(jī)構(gòu)，協(xié)調(diào)促進(jìn)多部門(mén)配合聯(lián)動(dòng)以及重大網(wǎng)絡(luò)安全事件責(zé)任追究制度，明確安全責(zé)任，主要評(píng)價(jià)網(wǎng)絡(luò)安全人才培訓(xùn)、網(wǎng)絡(luò)安全監(jiān)測(cè)、通報(bào)預(yù)警機(jī)制、應(yīng)急處理機(jī)制。

新型智慧城市關(guān)鍵信息基礎(chǔ)設(shè)施安全是指為了保障新型智慧城市關(guān)鍵信息基礎(chǔ)設(shè)施安全，對(duì)涉及的黨政部門(mén)、金融、交通、能源、電信、公共安全、公用事業(yè)等重點(diǎn)領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施的備案、并開(kāi)展必要的安全防護(hù)、進(jìn)行安全檢查，主要評(píng)價(jià)關(guān)鍵信息基礎(chǔ)設(shè)施的安全防護(hù)和監(jiān)管等；新型智慧城市關(guān)鍵信息化支撐技術(shù)安全主要涉及主要評(píng)價(jià)新型智慧城市所使用的物聯(lián)網(wǎng)基礎(chǔ)設(shè)施、移動(dòng)互聯(lián)網(wǎng)接入和云平臺(tái)的安全防護(hù)情況；新型智慧城市數(shù)據(jù)安全指黨政部門(mén)、金融、交通、能源、電信、公共安全、公用事業(yè)等領(lǐng)域的數(shù)據(jù)資源交互、融合和共享過(guò)程中的安全保障情況，以及個(gè)人信息保護(hù)情況，主要評(píng)價(jià)信息泄露、數(shù)據(jù)篡改、個(gè)人信息保護(hù)等情況。

新型智慧城市安全服務(wù)支撐，主要評(píng)價(jià)提供信息安全服務(wù)企業(yè)（或機(jī)構(gòu)）的信息安全服務(wù)資質(zhì)取得情況；新型智慧城市監(jiān)測(cè)預(yù)警主要評(píng)價(jià)新型智慧城市網(wǎng)絡(luò)安全整體的安全運(yùn)行過(guò)程中的隱患發(fā)現(xiàn)能力、安全防護(hù)能力和綜合保障能力；新型智慧城市應(yīng)急保障能力主要評(píng)價(jià)新型智慧城市網(wǎng)絡(luò)安全保障體系應(yīng)對(duì)信息安全事件及災(zāi)難恢復(fù)的能力，包括對(duì)信息安全事件的應(yīng)急響應(yīng)能力和處置能力，以及發(fā)生安全事件后的恢復(fù)能力。

圖2 新型智慧城市網(wǎng)絡(luò)安全指標(biāo)體系框架

4 結(jié)語(yǔ)

為了貫徹落實(shí)推進(jìn)新型智慧城市網(wǎng)絡(luò)安全建設(shè)及標(biāo)準(zhǔn)制定方面的政策文件精神，針對(duì)新型智慧城市面臨的安全威脅，本文提出了新型智慧城市網(wǎng)絡(luò)安全評(píng)價(jià)指標(biāo)體系。所提指標(biāo)體系可加強(qiáng)新型智慧城市網(wǎng)絡(luò)安全管理工作的統(tǒng)籌協(xié)調(diào)，增強(qiáng)新型智慧城市網(wǎng)絡(luò)基礎(chǔ)設(shè)施、重要新型系統(tǒng)、關(guān)鍵數(shù)據(jù)資源及服務(wù)的安全保障能力，對(duì)于我國(guó)新型智慧城市的網(wǎng)絡(luò)安全的建設(shè)及評(píng)價(jià)標(biāo)準(zhǔn)的制定均具有重要的參考意義。

[1] 李建明．智慧城市發(fā)展綜述[J]．中國(guó)電子科學(xué)研究院學(xué)報(bào)，2011．

[2] 王惠蒞．智慧城市網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析及其標(biāo)準(zhǔn)化研究[J]．標(biāo)準(zhǔn)化研究，2016．

[3] 朱貴冬，劉云龍，羅?。滦椭腔鄢鞘行畔⑾到y(tǒng)頂層設(shè)計(jì)研究[J]．信息系統(tǒng)工程，2017．

[4] BONINO D,ALIZO M T D,ALAPERIRE A,et al．ALMANAC： Internet of things for smart cities[C]//2015 the 3rd International Conference on Future Internet of Things and Cloud．[S．I．]：IEEE，2015．

[5] 吳前鋒．智慧城市建設(shè)信息安全保障指南[S]．國(guó)家標(biāo)準(zhǔn)草案，2017．

[6] GB/T 33356-2016．新型智慧城市評(píng)價(jià)指標(biāo)．