智慧城市網(wǎng)絡(luò)安全管理路徑研究

【摘 要】 本文從加強(qiáng)智慧城市網(wǎng)絡(luò)安全管理，應(yīng)對(duì)和化解智慧城市網(wǎng)絡(luò)安全威脅的角度，深入分析智慧城市網(wǎng)絡(luò)安全管理的現(xiàn)狀及存在的不足，并從4個(gè)方面提出了有針對(duì)性的建議。

【關(guān)鍵詞】 智慧城市 網(wǎng)絡(luò)安全 管理路徑

1 引言

目前，我國(guó)智慧城市建設(shè)正在如火如荼地展開。隨著新一代信息技術(shù)的快速發(fā)展和網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的趨高態(tài)勢(shì)，智慧城市也面臨著日益突出的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。面對(duì)巨大的智慧城市網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，亟須建立健全智慧城市網(wǎng)絡(luò)安全管理體系，從管理機(jī)制、制度規(guī)范、實(shí)施措施等方面加強(qiáng)體系建設(shè)，努力化解網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，促進(jìn)智慧城市健康可持續(xù)發(fā)展。

2 智慧城市網(wǎng)絡(luò)安全管理現(xiàn)狀

2.1 頂層設(shè)計(jì)待健全

一是需出臺(tái)網(wǎng)絡(luò)安全工作頂層規(guī)劃。智慧城市是集各類技術(shù)、多種應(yīng)用、海量數(shù)據(jù)于一體的復(fù)雜系統(tǒng)，云計(jì)算、大數(shù)據(jù)、人工智能、物聯(lián)網(wǎng)、空間地理信息集成等新一代信息技術(shù)在智慧城市中的深入應(yīng)用，使得智慧城市呈現(xiàn)出數(shù)字化、網(wǎng)絡(luò)化、信息化、智慧化的特征，面臨的網(wǎng)絡(luò)安全問題也更加多樣，需要科學(xué)的網(wǎng)絡(luò)安全頂層設(shè)計(jì)與規(guī)劃。當(dāng)前的智慧城市建設(shè)，一方面缺乏網(wǎng)絡(luò)安全規(guī)劃的總體安排、統(tǒng)一安全框架的設(shè)計(jì)理念和系統(tǒng)方法，尚未形成跨層級(jí)、跨地域、跨系統(tǒng)、跨部門、跨業(yè)務(wù)的網(wǎng)絡(luò)安全整體保障體系；另一方面缺乏網(wǎng)絡(luò)安全管理集中領(lǐng)導(dǎo)、統(tǒng)一部署和統(tǒng)籌推進(jìn)的制度設(shè)計(jì)，安全管理工作不到位。

二是需健全技術(shù)與管理標(biāo)準(zhǔn)體系。國(guó)家有關(guān)機(jī)構(gòu)正在組織制修訂智慧城市相關(guān)標(biāo)準(zhǔn)規(guī)范，積極引導(dǎo)智慧城市建設(shè)，但其中關(guān)于網(wǎng)絡(luò)安全保障的標(biāo)準(zhǔn)內(nèi)容缺乏系統(tǒng)性、完整性、可操作性。截至目前，智慧城市建設(shè)的國(guó)家級(jí)標(biāo)準(zhǔn)包含GB/T 34680.4-2018《智慧城市 頂層設(shè)計(jì)指南》、GB/T 36622.3-2018《新型智慧城市評(píng)價(jià)指標(biāo)》等在內(nèi)的28項(xiàng)標(biāo)準(zhǔn)以及《國(guó)家智慧城市試點(diǎn)暫行管理辦法》等管理制度，上海、江蘇等地也都出臺(tái)了智慧城市建設(shè)相關(guān)標(biāo)準(zhǔn)和管理制度。然而，基于智慧城市網(wǎng)絡(luò)安全的標(biāo)準(zhǔn)規(guī)范，僅出臺(tái)GB/T 37971-2019《信息安全技術(shù) 智慧城市安全體系框架》，智慧城市各類技術(shù)應(yīng)用、業(yè)務(wù)場(chǎng)景的安全標(biāo)準(zhǔn)規(guī)范，以及智慧城市網(wǎng)絡(luò)安全管理、監(jiān)督、評(píng)價(jià)的標(biāo)準(zhǔn)指南，還存在體系化欠缺。

三是需提升安全意識(shí)，增加安全投入。部分智慧城市建設(shè)單位還未建立站在國(guó)家安全的高度看待網(wǎng)絡(luò)安全的意識(shí)，安全保障建設(shè)與信息化建設(shè)不同步，“重應(yīng)用，輕安全”“先建設(shè)，再規(guī)范”的思想觀念仍然存在。不少項(xiàng)目的安全投入與高額的建設(shè)資金相比顯得極不相稱，有限的安全投入僅以合規(guī)為目的，安全產(chǎn)品的堆砌無(wú)法有效應(yīng)對(duì)安全風(fēng)險(xiǎn)，總體系統(tǒng)較為脆弱。一些機(jī)構(gòu)和公民對(duì)網(wǎng)絡(luò)安全的重要性認(rèn)識(shí)不夠，基本防護(hù)技能掌握不足，由此引發(fā)的安全事件層出不窮。

2.2 組織與管理機(jī)制待加強(qiáng)

一是安全工作需強(qiáng)化總體部署與統(tǒng)籌聯(lián)動(dòng)。國(guó)家新型智慧城市建設(shè)部際協(xié)調(diào)工作組由國(guó)家發(fā)展改革委和中央網(wǎng)信辦共同擔(dān)任組長(zhǎng)單位，25個(gè)部委共同組成。各個(gè)地方在智慧城市建設(shè)中的牽頭單位大不相同，地方智慧城市建設(shè)中往往缺乏對(duì)安全工作的總體引領(lǐng)，在安全管理工作中彼此缺乏協(xié)調(diào)，系統(tǒng)性、統(tǒng)籌性的安全管理機(jī)制缺失，智慧城市網(wǎng)絡(luò)安全管理工作易流于無(wú)序。

二是安全責(zé)任需落實(shí)到位。各個(gè)地方在智慧城市建設(shè)中，明確有建設(shè)與運(yùn)營(yíng)管理的責(zé)任主體，但網(wǎng)絡(luò)安全管理與監(jiān)督的責(zé)任主體比較模糊，缺少對(duì)組織、人員、活動(dòng)、過程的全程監(jiān)督與有效管理。此外，由于智慧城市建設(shè)涉及眾多建設(shè)與運(yùn)營(yíng)單位，以及技術(shù)、產(chǎn)品、數(shù)據(jù)、應(yīng)用、服務(wù)的供應(yīng)單位，各自應(yīng)承擔(dān)的網(wǎng)絡(luò)安全職責(zé)及責(zé)任制度不清晰，缺乏有效的制度約束，對(duì)于具體工作人員也缺乏相應(yīng)的安全責(zé)任規(guī)定。

三是安全保障效能評(píng)價(jià)改進(jìn)措施需完善。在國(guó)家已組織開展的兩次新型智慧城市建設(shè)評(píng)價(jià)工作中，設(shè)置了不同的網(wǎng)絡(luò)安全指標(biāo)項(xiàng)和權(quán)重分值，從評(píng)價(jià)結(jié)果分析，各地在網(wǎng)絡(luò)安全指標(biāo)項(xiàng)的差距不大，并沒有實(shí)際反映出智慧城市面臨的網(wǎng)絡(luò)安全問題及安全管理現(xiàn)狀。從指標(biāo)設(shè)置來(lái)看，網(wǎng)絡(luò)安全的重要性仍需加強(qiáng)，需探索完善更加科學(xué)、能夠真實(shí)反映安全風(fēng)險(xiǎn)狀況及安全管理成效的評(píng)價(jià)方法，以此促進(jìn)智慧城市網(wǎng)絡(luò)安全保障能力的提升。從各地智慧城市管理來(lái)看，自身也缺乏對(duì)網(wǎng)絡(luò)安全保障體系的評(píng)估與安全措施優(yōu)化機(jī)制，缺少自我檢查與能力提升措施。

2.3 安全管控措施待完善

一是針對(duì)接入智慧互聯(lián)網(wǎng)絡(luò)的海量終端需加強(qiáng)安全認(rèn)證與管控。智慧城市擁有龐大的物聯(lián)感知終端和應(yīng)用終端，存在突出的安全隱患。首先是終端設(shè)施的物理防護(hù)、物理環(huán)境、網(wǎng)絡(luò)通信存在的安全風(fēng)險(xiǎn)，影響感知系統(tǒng)與業(yè)務(wù)應(yīng)用系統(tǒng)的安全穩(wěn)定運(yùn)行。其次是智能家居終端、智能工控設(shè)備等物聯(lián)網(wǎng)技術(shù)設(shè)備本身的安全防護(hù)薄弱，極易遭受攻擊或被利用發(fā)起攻擊，造成系統(tǒng)癱瘓。再次是物聯(lián)感知設(shè)施的接入、運(yùn)行、運(yùn)維存在未授權(quán)訪問、竊取、損壞和干擾的安全風(fēng)險(xiǎn)，數(shù)據(jù)采集與指令執(zhí)行存在可靠性、可用性、準(zhǔn)確性的安全隱患。最后是終端系統(tǒng)的接入、升級(jí)、運(yùn)行存在的安全風(fēng)險(xiǎn)，對(duì)應(yīng)用的安全穩(wěn)定及數(shù)據(jù)防護(hù)產(chǎn)生影響。

二是面對(duì)大數(shù)據(jù)廣泛應(yīng)用與深度融合需制定精細(xì)化管理舉措。智慧城市搭建了云計(jì)算、大數(shù)據(jù)等平臺(tái)，匯集了大量政府、公共服務(wù)機(jī)構(gòu)、金融機(jī)構(gòu)、企業(yè)、公民等的敏感信息和重要數(shù)據(jù)，包含關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)運(yùn)行數(shù)據(jù)，隨著跨層級(jí)、跨地域、跨系統(tǒng)、跨部門、跨業(yè)務(wù)的數(shù)據(jù)匯集、共享、開放的應(yīng)用場(chǎng)景與日俱增，數(shù)據(jù)采集的無(wú)序、數(shù)據(jù)存儲(chǔ)與傳輸?shù)姆雷o(hù)不足，遭受黑客攻擊和信息泄露風(fēng)險(xiǎn)增大，對(duì)個(gè)人財(cái)產(chǎn)、經(jīng)濟(jì)運(yùn)行、公共利益和國(guó)家安全帶來(lái)嚴(yán)重威脅。

三是關(guān)于對(duì)外依賴性強(qiáng)的關(guān)鍵核心技術(shù)產(chǎn)品需采取有效保障措施。我國(guó)在智慧城市涉及的傳感器技術(shù)、網(wǎng)絡(luò)技術(shù)、智能信息處理等領(lǐng)域，已有一定的技術(shù)積累和產(chǎn)業(yè)化能力，然而在關(guān)鍵核心技術(shù)與產(chǎn)品上仍存在對(duì)外依存度過高的問題，高端芯片、操作系統(tǒng)、數(shù)據(jù)庫(kù)、工業(yè)控制系統(tǒng)、仿真軟件等領(lǐng)域仍被國(guó)外巨頭企業(yè)壟斷，安全可控水平較低。一方面由于對(duì)技術(shù)與產(chǎn)品的掌控有限，安全漏洞不易被發(fā)現(xiàn)，危害產(chǎn)品和數(shù)據(jù)的保密性、完整性和可用性等；另一方面則是在國(guó)際競(jìng)爭(zhēng)格局不穩(wěn)定的境況下，面臨被“卡脖子”的威脅，供應(yīng)鏈安全風(fēng)險(xiǎn)異常嚴(yán)峻。

3 加強(qiáng)智慧城市網(wǎng)絡(luò)安全管理的政策建議

3.1 加強(qiáng)網(wǎng)絡(luò)安全管理的頂層設(shè)計(jì)與制度建設(shè)

一是構(gòu)建全國(guó)垂直的管理與監(jiān)管體系。明確全國(guó)統(tǒng)一的智慧城市網(wǎng)絡(luò)安全主管部門，采取“一線牽”的方式構(gòu)建全國(guó)體系，指導(dǎo)地方主管部門統(tǒng)籌開展智慧城市網(wǎng)絡(luò)安全管理與監(jiān)管，協(xié)調(diào)網(wǎng)絡(luò)安全領(lǐng)域相關(guān)主管部門在各自職責(zé)范圍內(nèi)統(tǒng)籌推進(jìn)智慧城市網(wǎng)絡(luò)安全工作。

二是建立智慧城市分級(jí)的網(wǎng)絡(luò)安全管理框架。不同的城市由于行政級(jí)別、區(qū)域特征、經(jīng)濟(jì)規(guī)模、社會(huì)形態(tài)、發(fā)展水平等存在差異，面臨的網(wǎng)絡(luò)安全問題不盡相同�？煽紤]從行政級(jí)別、城市人口數(shù)量、經(jīng)濟(jì)產(chǎn)值規(guī)模等不同要素劃分智慧城市等級(jí)，按照分級(jí)分標(biāo)準(zhǔn)的方式采取相應(yīng)的網(wǎng)絡(luò)安全管理措施。

三是建立與現(xiàn)有法律法規(guī)、標(biāo)準(zhǔn)體系銜接的管理制度。網(wǎng)絡(luò)安全領(lǐng)域已建立以法律、法規(guī)、規(guī)范性文件、標(biāo)準(zhǔn)為體系的制度框架，制定智慧城市網(wǎng)絡(luò)安全相關(guān)制度應(yīng)與網(wǎng)絡(luò)安全法、密碼法以及正在制定的數(shù)據(jù)安全法、個(gè)人信息保護(hù)法、關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例等法律法規(guī)做好銜接，充分運(yùn)用和發(fā)揮現(xiàn)有法律體系的制度效能，構(gòu)筑智慧城市網(wǎng)絡(luò)安全的基礎(chǔ)屏障。

3.2 制定主體明確、責(zé)任清晰的安全責(zé)任制度

一是各級(jí)管理部門應(yīng)注重制度建設(shè)。智慧城市網(wǎng)絡(luò)安全管理部門包括國(guó)家及地方相關(guān)主管部門、項(xiàng)目建設(shè)主管部門。國(guó)家主管部門應(yīng)建立和完善智慧城市網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，監(jiān)督、評(píng)估相關(guān)政策和管理機(jī)制，發(fā)揮統(tǒng)籌、指導(dǎo)、檢查的作用。地方主管部門應(yīng)依據(jù)國(guó)家政策方針，結(jié)合地方實(shí)際制定具體管理措施，組織開展相關(guān)工作。項(xiàng)目建設(shè)主管部門應(yīng)按照“誰(shuí)主管、誰(shuí)負(fù)責(zé)”的原則，貫徹落實(shí)相關(guān)政策與舉措。網(wǎng)絡(luò)安全相關(guān)主管部門應(yīng)依照政策與法規(guī)要求，在各自職責(zé)領(lǐng)域加強(qiáng)監(jiān)督與管理。

二是建設(shè)與運(yùn)營(yíng)單位應(yīng)履行安全責(zé)任制。智慧城市建設(shè)與運(yùn)營(yíng)單位包括建設(shè)單位、運(yùn)營(yíng)單位、服務(wù)單位及相關(guān)人員。建設(shè)與運(yùn)營(yíng)單位應(yīng)依照相關(guān)政策、法律制度滿足相關(guān)資質(zhì)要求，履行網(wǎng)絡(luò)安全相關(guān)職責(zé)義務(wù)，接受主管部門的監(jiān)督與管理。對(duì)建設(shè)與運(yùn)營(yíng)人員應(yīng)加強(qiáng)網(wǎng)絡(luò)安全意識(shí)教育與崗位培訓(xùn)，建立責(zé)任到人的安全責(zé)任制度，加強(qiáng)人員上崗、換崗、離崗的流程管理。

三是使用者負(fù)有安全使用的義務(wù)。智慧城市使用者包括使用單位和個(gè)人。使用者應(yīng)規(guī)范使用智慧城市應(yīng)用與服務(wù)，樹立網(wǎng)絡(luò)安全意識(shí)，及時(shí)反映存在的網(wǎng)絡(luò)安全問題。

3.3 強(qiáng)化項(xiàng)目管理，建立全流程的安全管控機(jī)制

一是落實(shí)“三同步”原則，加強(qiáng)過程管理。智慧城市建設(shè)應(yīng)按照信息化與網(wǎng)絡(luò)安全“三同步”的原則進(jìn)行，結(jié)合新技術(shù)、新應(yīng)用的發(fā)展特征與趨勢(shì)，依照有關(guān)政策法規(guī)、標(biāo)準(zhǔn)規(guī)范的要求，設(shè)計(jì)滿足現(xiàn)實(shí)需求的網(wǎng)絡(luò)安全保障框架，同步規(guī)劃、同步建設(shè)、同步使用，構(gòu)建覆蓋智慧城市建設(shè)與運(yùn)營(yíng)全過程的網(wǎng)絡(luò)安全保障體系。

二是建立全流程的評(píng)審、檢查、驗(yàn)收制度。智慧城市在建設(shè)與運(yùn)營(yíng)過程管理中應(yīng)建立專家顧問機(jī)制，對(duì)智慧城市網(wǎng)絡(luò)安全規(guī)劃設(shè)計(jì)進(jìn)行論證，對(duì)建設(shè)與運(yùn)營(yíng)過程中網(wǎng)絡(luò)安全同步建設(shè)情況進(jìn)行檢查，對(duì)網(wǎng)絡(luò)安全合規(guī)與達(dá)標(biāo)情況進(jìn)行評(píng)定，出現(xiàn)問題及時(shí)整改，通過專家評(píng)審的才可進(jìn)入下一個(gè)環(huán)節(jié)。需要經(jīng)過國(guó)家安全審查的相關(guān)產(chǎn)品與服務(wù)，應(yīng)以通過安全審查作為驗(yàn)收的必要條件。

3.4 抓實(shí)關(guān)鍵環(huán)節(jié)，落實(shí)安全管理措施

一是強(qiáng)化數(shù)據(jù)治理與安全保障。全面梳理智慧城市應(yīng)用的各類數(shù)據(jù)，根據(jù)數(shù)據(jù)的重要性和敏感程度、關(guān)聯(lián)程度以及泄露后對(duì)個(gè)人、社會(huì)、國(guó)家的影響程度，制定數(shù)據(jù)分級(jí)分類標(biāo)準(zhǔn)和指南。依據(jù)相關(guān)法律法規(guī)和標(biāo)準(zhǔn)，采取加密、訪問控制等措施加強(qiáng)對(duì)個(gè)人信息和重要數(shù)據(jù)的保護(hù)。對(duì)數(shù)據(jù)的采集、傳輸、存儲(chǔ)、分析、應(yīng)用、交易、共享、銷毀等全生命周期管理建立清晰的規(guī)則并加強(qiáng)監(jiān)管。發(fā)布、共享、交易或向境外提供重要數(shù)據(jù)應(yīng)經(jīng)相關(guān)主管部門批準(zhǔn)。

二是落實(shí)供應(yīng)鏈風(fēng)險(xiǎn)管理制度。智慧城市建設(shè)涉及的供應(yīng)商數(shù)量眾多、類型多樣，繁多的產(chǎn)品與服務(wù)一方面存在全生命周期中的傳統(tǒng)安全風(fēng)險(xiǎn)；另一方面存在供應(yīng)中斷的供應(yīng)鏈風(fēng)險(xiǎn)，特別是嚴(yán)重依賴國(guó)外供應(yīng)商的供應(yīng)鏈所面臨的風(fēng)險(xiǎn)尤為突出。智慧城市建設(shè)與運(yùn)營(yíng)應(yīng)加強(qiáng)對(duì)產(chǎn)品與服務(wù)的全生命周期安全的監(jiān)管，建立供應(yīng)商評(píng)估、考核機(jī)制，加強(qiáng)對(duì)對(duì)外依賴性強(qiáng)的供應(yīng)鏈監(jiān)管，保障智慧城市持續(xù)穩(wěn)定運(yùn)行。

三是加強(qiáng)監(jiān)測(cè)預(yù)警與應(yīng)急處置的協(xié)同組織。建立全國(guó)聯(lián)動(dòng)的監(jiān)測(cè)預(yù)警機(jī)制，將智慧城市監(jiān)測(cè)預(yù)警平臺(tái)接入聯(lián)動(dòng)系統(tǒng)，構(gòu)建智能化、多維度的監(jiān)測(cè)預(yù)警體系。聯(lián)合政府部門、研究機(jī)構(gòu)、企業(yè)等應(yīng)急響應(yīng)技術(shù)力量，建立覆蓋數(shù)據(jù)采集、分析處理、預(yù)警發(fā)布、協(xié)同響應(yīng)的整體應(yīng)急處理機(jī)制，整體提升我國(guó)智慧城市網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警和應(yīng)急處置能力。

四是建立風(fēng)險(xiǎn)排查與評(píng)估改進(jìn)機(jī)制。國(guó)家智慧城市網(wǎng)絡(luò)安全主管部門應(yīng)制定智慧城市網(wǎng)絡(luò)安全評(píng)價(jià)指標(biāo)體系和評(píng)價(jià)工作機(jī)制，統(tǒng)籌指導(dǎo)地方各級(jí)主管部門開展檢查、評(píng)估、改進(jìn)工作，就相關(guān)政策制度與法律法規(guī)落實(shí)情況、網(wǎng)絡(luò)安全工作機(jī)制和制度的制定與執(zhí)行情況、網(wǎng)絡(luò)安全措施保障情況、安全投入與資源保障情況等進(jìn)行評(píng)價(jià)與檢查，督導(dǎo)智慧城市建設(shè)與運(yùn)營(yíng)單位及時(shí)整改發(fā)現(xiàn)的問題，提升網(wǎng)絡(luò)安全保障能力。

4 結(jié)語(yǔ)

智慧城市建設(shè)要正確處理安全與發(fā)展的關(guān)系，智慧城市作為一個(gè)要素復(fù)雜、應(yīng)用多樣、不斷演化的綜合性復(fù)雜系統(tǒng)，片面追求快速高效而忽視安全管控的發(fā)展，必將造成巨大的安全隱患。加強(qiáng)智慧城市網(wǎng)絡(luò)安全管理，以“整體、動(dòng)態(tài)、開放、相對(duì)、共同”的網(wǎng)絡(luò)安全觀為指引，打造安全的智慧城市，將更好地發(fā)揮智慧城市服務(wù)成效，提升城市治理與服務(wù)品質(zhì)，促進(jìn)經(jīng)濟(jì)社會(huì)健康發(fā)展，推進(jìn)國(guó)家治理體系和治理能力現(xiàn)代化。

 

（原載于《保密科學(xué)技術(shù)》雜志2020年11月刊）