智慧城市網(wǎng)絡安全管理路徑研究

【摘 要】 本文從加強智慧城市網(wǎng)絡安全管理，應對和化解智慧城市網(wǎng)絡安全威脅的角度，深入分析智慧城市網(wǎng)絡安全管理的現(xiàn)狀及存在的不足，并從4個方面提出了有針對性的建議。

【關鍵詞】 智慧城市 網(wǎng)絡安全 管理路徑

1 引言

目前，我國智慧城市建設正在如火如荼地展開。隨著新一代信息技術的快速發(fā)展和網(wǎng)絡安全風險的趨高態(tài)勢，智慧城市也面臨著日益突出的網(wǎng)絡安全風險。面對巨大的智慧城市網(wǎng)絡安全風險，亟須建立健全智慧城市網(wǎng)絡安全管理體系，從管理機制、制度規(guī)范、實施措施等方面加強體系建設，努力化解網(wǎng)絡安全風險，促進智慧城市健康可持續(xù)發(fā)展。

2 智慧城市網(wǎng)絡安全管理現(xiàn)狀

2.1 頂層設計待健全

一是需出臺網(wǎng)絡安全工作頂層規(guī)劃。智慧城市是集各類技術、多種應用、海量數(shù)據(jù)于一體的復雜系統(tǒng)，云計算、大數(shù)據(jù)、人工智能、物聯(lián)網(wǎng)、空間地理信息集成等新一代信息技術在智慧城市中的深入應用，使得智慧城市呈現(xiàn)出數(shù)字化、網(wǎng)絡化、信息化、智慧化的特征，面臨的網(wǎng)絡安全問題也更加多樣，需要科學的網(wǎng)絡安全頂層設計與規(guī)劃。當前的智慧城市建設，一方面缺乏網(wǎng)絡安全規(guī)劃的總體安排、統(tǒng)一安全框架的設計理念和系統(tǒng)方法，尚未形成跨層級、跨地域、跨系統(tǒng)、跨部門、跨業(yè)務的網(wǎng)絡安全整體保障體系；另一方面缺乏網(wǎng)絡安全管理集中領導、統(tǒng)一部署和統(tǒng)籌推進的制度設計，安全管理工作不到位。

二是需健全技術與管理標準體系。國家有關機構正在組織制修訂智慧城市相關標準規(guī)范，積極引導智慧城市建設，但其中關于網(wǎng)絡安全保障的標準內容缺乏系統(tǒng)性、完整性、可操作性。截至目前，智慧城市建設的國家級標準包含GB/T 34680.4-2018《智慧城市 頂層設計指南》、GB/T 36622.3-2018《新型智慧城市評價指標》等在內的28項標準以及《國家智慧城市試點暫行管理辦法》等管理制度，上海、江蘇等地也都出臺了智慧城市建設相關標準和管理制度。然而，基于智慧城市網(wǎng)絡安全的標準規(guī)范，僅出臺GB/T 37971-2019《信息安全技術 智慧城市安全體系框架》，智慧城市各類技術應用、業(yè)務場景的安全標準規(guī)范，以及智慧城市網(wǎng)絡安全管理、監(jiān)督、評價的標準指南，還存在體系化欠缺。

三是需提升安全意識，增加安全投入。部分智慧城市建設單位還未建立站在國家安全的高度看待網(wǎng)絡安全的意識，安全保障建設與信息化建設不同步，“重應用，輕安全”“先建設，再規(guī)范”的思想觀念仍然存在。不少項目的安全投入與高額的建設資金相比顯得極不相稱，有限的安全投入僅以合規(guī)為目的，安全產品的堆砌無法有效應對安全風險，總體系統(tǒng)較為脆弱。一些機構和公民對網(wǎng)絡安全的重要性認識不夠，基本防護技能掌握不足，由此引發(fā)的安全事件層出不窮。

2.2 組織與管理機制待加強

一是安全工作需強化總體部署與統(tǒng)籌聯(lián)動。國家新型智慧城市建設部際協(xié)調工作組由國家發(fā)展改革委和中央網(wǎng)信辦共同擔任組長單位，25個部委共同組成。各個地方在智慧城市建設中的牽頭單位大不相同，地方智慧城市建設中往往缺乏對安全工作的總體引領，在安全管理工作中彼此缺乏協(xié)調，系統(tǒng)性、統(tǒng)籌性的安全管理機制缺失，智慧城市網(wǎng)絡安全管理工作易流于無序。

二是安全責任需落實到位。各個地方在智慧城市建設中，明確有建設與運營管理的責任主體，但網(wǎng)絡安全管理與監(jiān)督的責任主體比較模糊，缺少對組織、人員、活動、過程的全程監(jiān)督與有效管理。此外，由于智慧城市建設涉及眾多建設與運營單位，以及技術、產品、數(shù)據(jù)、應用、服務的供應單位，各自應承擔的網(wǎng)絡安全職責及責任制度不清晰，缺乏有效的制度約束，對于具體工作人員也缺乏相應的安全責任規(guī)定。

三是安全保障效能評價改進措施需完善。在國家已組織開展的兩次新型智慧城市建設評價工作中，設置了不同的網(wǎng)絡安全指標項和權重分值，從評價結果分析，各地在網(wǎng)絡安全指標項的差距不大，并沒有實際反映出智慧城市面臨的網(wǎng)絡安全問題及安全管理現(xiàn)狀。從指標設置來看，網(wǎng)絡安全的重要性仍需加強，需探索完善更加科學、能夠真實反映安全風險狀況及安全管理成效的評價方法，以此促進智慧城市網(wǎng)絡安全保障能力的提升。從各地智慧城市管理來看，自身也缺乏對網(wǎng)絡安全保障體系的評估與安全措施優(yōu)化機制，缺少自我檢查與能力提升措施。

2.3 安全管控措施待完善

一是針對接入智慧互聯(lián)網(wǎng)絡的海量終端需加強安全認證與管控。智慧城市擁有龐大的物聯(lián)感知終端和應用終端，存在突出的安全隱患。首先是終端設施的物理防護、物理環(huán)境、網(wǎng)絡通信存在的安全風險，影響感知系統(tǒng)與業(yè)務應用系統(tǒng)的安全穩(wěn)定運行。其次是智能家居終端、智能工控設備等物聯(lián)網(wǎng)技術設備本身的安全防護薄弱，極易遭受攻擊或被利用發(fā)起攻擊，造成系統(tǒng)癱瘓。再次是物聯(lián)感知設施的接入、運行、運維存在未授權訪問、竊取、損壞和干擾的安全風險，數(shù)據(jù)采集與指令執(zhí)行存在可靠性、可用性、準確性的安全隱患。最后是終端系統(tǒng)的接入、升級、運行存在的安全風險，對應用的安全穩(wěn)定及數(shù)據(jù)防護產生影響。

二是面對大數(shù)據(jù)廣泛應用與深度融合需制定精細化管理舉措。智慧城市搭建了云計算、大數(shù)據(jù)等平臺，匯集了大量政府、公共服務機構、金融機構、企業(yè)、公民等的敏感信息和重要數(shù)據(jù)，包含關鍵信息基礎設施建設運行數(shù)據(jù)，隨著跨層級、跨地域、跨系統(tǒng)、跨部門、跨業(yè)務的數(shù)據(jù)匯集、共享、開放的應用場景與日俱增，數(shù)據(jù)采集的無序、數(shù)據(jù)存儲與傳輸?shù)姆雷o不足，遭受黑客攻擊和信息泄露風險增大，對個人財產、經(jīng)濟運行、公共利益和國家安全帶來嚴重威脅。

三是關于對外依賴性強的關鍵核心技術產品需采取有效保障措施。我國在智慧城市涉及的傳感器技術、網(wǎng)絡技術、智能信息處理等領域，已有一定的技術積累和產業(yè)化能力，然而在關鍵核心技術與產品上仍存在對外依存度過高的問題，高端芯片、操作系統(tǒng)、數(shù)據(jù)庫、工業(yè)控制系統(tǒng)、仿真軟件等領域仍被國外巨頭企業(yè)壟斷，安全可控水平較低。一方面由于對技術與產品的掌控有限，安全漏洞不易被發(fā)現(xiàn)，危害產品和數(shù)據(jù)的保密性、完整性和可用性等；另一方面則是在國際競爭格局不穩(wěn)定的境況下，面臨被“卡脖子”的威脅，供應鏈安全風險異常嚴峻。

3 加強智慧城市網(wǎng)絡安全管理的政策建議

3.1 加強網(wǎng)絡安全管理的頂層設計與制度建設

一是構建全國垂直的管理與監(jiān)管體系。明確全國統(tǒng)一的智慧城市網(wǎng)絡安全主管部門，采取“一線牽”的方式構建全國體系，指導地方主管部門統(tǒng)籌開展智慧城市網(wǎng)絡安全管理與監(jiān)管，協(xié)調網(wǎng)絡安全領域相關主管部門在各自職責范圍內統(tǒng)籌推進智慧城市網(wǎng)絡安全工作。

二是建立智慧城市分級的網(wǎng)絡安全管理框架。不同的城市由于行政級別、區(qū)域特征、經(jīng)濟規(guī)模、社會形態(tài)、發(fā)展水平等存在差異，面臨的網(wǎng)絡安全問題不盡相同。可考慮從行政級別、城市人口數(shù)量、經(jīng)濟產值規(guī)模等不同要素劃分智慧城市等級，按照分級分標準的方式采取相應的網(wǎng)絡安全管理措施。

三是建立與現(xiàn)有法律法規(guī)、標準體系銜接的管理制度。網(wǎng)絡安全領域已建立以法律、法規(guī)、規(guī)范性文件、標準為體系的制度框架，制定智慧城市網(wǎng)絡安全相關制度應與網(wǎng)絡安全法、密碼法以及正在制定的數(shù)據(jù)安全法、個人信息保護法、關鍵信息基礎設施安全保護條例等法律法規(guī)做好銜接，充分運用和發(fā)揮現(xiàn)有法律體系的制度效能，構筑智慧城市網(wǎng)絡安全的基礎屏障。

3.2 制定主體明確、責任清晰的安全責任制度

一是各級管理部門應注重制度建設。智慧城市網(wǎng)絡安全管理部門包括國家及地方相關主管部門、項目建設主管部門。國家主管部門應建立和完善智慧城市網(wǎng)絡安全標準，監(jiān)督、評估相關政策和管理機制，發(fā)揮統(tǒng)籌、指導、檢查的作用。地方主管部門應依據(jù)國家政策方針，結合地方實際制定具體管理措施，組織開展相關工作。項目建設主管部門應按照“誰主管、誰負責”的原則，貫徹落實相關政策與舉措。網(wǎng)絡安全相關主管部門應依照政策與法規(guī)要求，在各自職責領域加強監(jiān)督與管理。

二是建設與運營單位應履行安全責任制。智慧城市建設與運營單位包括建設單位、運營單位、服務單位及相關人員。建設與運營單位應依照相關政策、法律制度滿足相關資質要求，履行網(wǎng)絡安全相關職責義務，接受主管部門的監(jiān)督與管理。對建設與運營人員應加強網(wǎng)絡安全意識教育與崗位培訓，建立責任到人的安全責任制度，加強人員上崗、換崗、離崗的流程管理。

三是使用者負有安全使用的義務。智慧城市使用者包括使用單位和個人。使用者應規(guī)范使用智慧城市應用與服務，樹立網(wǎng)絡安全意識，及時反映存在的網(wǎng)絡安全問題。

3.3 強化項目管理，建立全流程的安全管控機制

一是落實“三同步”原則，加強過程管理。智慧城市建設應按照信息化與網(wǎng)絡安全“三同步”的原則進行，結合新技術、新應用的發(fā)展特征與趨勢，依照有關政策法規(guī)、標準規(guī)范的要求，設計滿足現(xiàn)實需求的網(wǎng)絡安全保障框架，同步規(guī)劃、同步建設、同步使用，構建覆蓋智慧城市建設與運營全過程的網(wǎng)絡安全保障體系。

二是建立全流程的評審、檢查、驗收制度。智慧城市在建設與運營過程管理中應建立專家顧問機制，對智慧城市網(wǎng)絡安全規(guī)劃設計進行論證，對建設與運營過程中網(wǎng)絡安全同步建設情況進行檢查，對網(wǎng)絡安全合規(guī)與達標情況進行評定，出現(xiàn)問題及時整改，通過專家評審的才可進入下一個環(huán)節(jié)。需要經(jīng)過國家安全審查的相關產品與服務，應以通過安全審查作為驗收的必要條件。

3.4 抓實關鍵環(huán)節(jié)，落實安全管理措施

一是強化數(shù)據(jù)治理與安全保障。全面梳理智慧城市應用的各類數(shù)據(jù)，根據(jù)數(shù)據(jù)的重要性和敏感程度、關聯(lián)程度以及泄露后對個人、社會、國家的影響程度，制定數(shù)據(jù)分級分類標準和指南。依據(jù)相關法律法規(guī)和標準，采取加密、訪問控制等措施加強對個人信息和重要數(shù)據(jù)的保護。對數(shù)據(jù)的采集、傳輸、存儲、分析、應用、交易、共享、銷毀等全生命周期管理建立清晰的規(guī)則并加強監(jiān)管。發(fā)布、共享、交易或向境外提供重要數(shù)據(jù)應經(jīng)相關主管部門批準。

二是落實供應鏈風險管理制度。智慧城市建設涉及的供應商數(shù)量眾多、類型多樣，繁多的產品與服務一方面存在全生命周期中的傳統(tǒng)安全風險；另一方面存在供應中斷的供應鏈風險，特別是嚴重依賴國外供應商的供應鏈所面臨的風險尤為突出。智慧城市建設與運營應加強對產品與服務的全生命周期安全的監(jiān)管，建立供應商評估、考核機制，加強對對外依賴性強的供應鏈監(jiān)管，保障智慧城市持續(xù)穩(wěn)定運行。

三是加強監(jiān)測預警與應急處置的協(xié)同組織。建立全國聯(lián)動的監(jiān)測預警機制，將智慧城市監(jiān)測預警平臺接入聯(lián)動系統(tǒng)，構建智能化、多維度的監(jiān)測預警體系。聯(lián)合政府部門、研究機構、企業(yè)等應急響應技術力量，建立覆蓋數(shù)據(jù)采集、分析處理、預警發(fā)布、協(xié)同響應的整體應急處理機制，整體提升我國智慧城市網(wǎng)絡安全監(jiān)測預警和應急處置能力。

四是建立風險排查與評估改進機制。國家智慧城市網(wǎng)絡安全主管部門應制定智慧城市網(wǎng)絡安全評價指標體系和評價工作機制，統(tǒng)籌指導地方各級主管部門開展檢查、評估、改進工作，就相關政策制度與法律法規(guī)落實情況、網(wǎng)絡安全工作機制和制度的制定與執(zhí)行情況、網(wǎng)絡安全措施保障情況、安全投入與資源保障情況等進行評價與檢查，督導智慧城市建設與運營單位及時整改發(fā)現(xiàn)的問題，提升網(wǎng)絡安全保障能力。

4 結語

智慧城市建設要正確處理安全與發(fā)展的關系，智慧城市作為一個要素復雜、應用多樣、不斷演化的綜合性復雜系統(tǒng)，片面追求快速高效而忽視安全管控的發(fā)展，必將造成巨大的安全隱患。加強智慧城市網(wǎng)絡安全管理，以“整體、動態(tài)、開放、相對、共同”的網(wǎng)絡安全觀為指引，打造安全的智慧城市，將更好地發(fā)揮智慧城市服務成效，提升城市治理與服務品質，促進經(jīng)濟社會健康發(fā)展，推進國家治理體系和治理能力現(xiàn)代化。

 

（原載于《保密科學技術》雜志2020年11月刊）