智慧城市信息安全风险及保障机制研究

　　了提高智慧城市信息安全保障能力，从顶层设计、标准规范、技术产品、应急响应和法律法规等五个方面分析了智慧城市信息安全面临的风险，然后分别对应五个方面设计了信息安全的保障机制和应对策略，为有效提高智慧城市信息安全保障水平提供了参考。

　　1 引言

　　智慧城市是运用物联网、云计算、大数据等新一代信息技术，促进城市规划、建设、管理和服务智慧化的一种新模式。建设智慧城市是主动适应经济发展新常态，实现城市集约、智能、绿色、低碳发展的战略选择。

　　近年来，我国智慧城市得到了快速发展。在政策方面，国家及相关部委出来了一系列文件推进智慧城市建设，并从宏观上指导智慧城市信息安全建设。2014年，中共中央、国务院印发了《国家新型城镇化规划(2014—2020年)》，其中在“推进智慧城市建设”的篇章中着重指出“增强城市要害信息系统和关键信息资源的安全保障能力”。2014年8月，国家发展改革委、工业和信息化部、财政部等八部委联合发布了《关于印发促进智慧城市健康发展的指导意见的通知》(发改高技[2014]1770号)，提出了“可管可控，确保安全”的智慧城市发展原则，为我国智慧城市信息安全建设指明了方向[1]。2015年，国家标准委、中央网信办、国家发展改革委等联合发布了《关于开展智慧城市标准体系和评价指标体系建设及应用实施的指导意见》，指出在智慧城市评价指标体系总体框架下，分别从四个方面“网络安全管理，监测、预警与应急，信息系统安全可控，要害数据安全”来加强网络安全能力建设。

　　与此同时，智慧城市信息安全面临着严峻的挑战。在智慧城市建设和运行中，由于采用了物联网、大数据、云计算、移动互联网等新技术和新应用，这就给智慧城市带来了更多复杂性、不确定性的信息安全问题。如何更好地解决智慧城市建设和运行中的信息安全问题，是促进智慧城市健康发展的重要课题。

　　2 智慧城市信息安全面临的风险

　　当前我国智慧城市信息安全在顶层设计、标准规范、技术产品、应急响应和法律法规等五个方面还存在一定的安全风险。

　　2.1 信息安全顶层设计规划能力需要提高

　　智慧城市顶层设计规划的科学性、合理性直接关系到智慧城市建设的成效。与智慧城市具体应用业务系统相比，智慧城市信息安全顶层设计中还存在重视程度不够、不完善、重硬件轻软件等情况[2]。众多周知，智慧城市的核心价值在于实现了重要信息资源的高度集聚和共享，而信息资源越集聚，其面临的信息安全风险就越大。特别是与智慧城市相关的物联网、云计算、大数据、移动互联网的应用带来了新的更复杂的信息安全问题。因此，需要本着“可管可控、确保安全”的原则，切实强化信息安全顶层设计，统筹业务系统和信息安全的同步设计规划，从源头加强信息安全建设。

　　2.2 信息安全标准规范不完善

　　目前，国际标准化组织(ISO)、国际电信联盟(ITU)、国际电工委员会(IEC)等国际标准化组织均开展了智慧城市标准化的研究工作，在智慧城市信息安全标准化方面还处于探索阶段。全国信息技术标准化技术委员会、全国信息安全标准化技术委员会等标准化机构正在研究制定智慧城市信息安全的相关标准，初步形成了智慧信息安全标准体系，已正式立项《信息安全技术 智慧城市建设信息安全保障指南》、《信息安全技术 智慧城市信息与服务公共支撑平台安全要求》等五项国家智慧城市标准[3]。但从整体上来看，智慧城市信息安全标准尚处于探索制定阶段，标准体系还很不完善。

　　2.3 自主可控的信息安全技术产品支撑能力需要提高

　　智慧城市建设需要大量的软硬件支撑。众所周知，全球IT行业的巨头如微软、英特尔、IBM、思科、甲骨文等公司在我国的信息化建设进程中一直扮演着重要的角色。我国信息网络基础设施自主可控的程度低，特别是通用处理器、操作系统、大型数据库等严重依赖国外IT巨头，数据安全面临着严重威胁[4]。智慧城市建设需要大量的信息网络软硬件产品，如果大量使用国外的设备和软件，这将给我国的信息安全带来巨大的安全隐患， 因此，我国自主可控的信息安全技术产品支撑能力亟需得到提高。

　　2.4 信息安全应急响应能力需通过实战不断检验提高

　　随着我国信息安全保障工作的不断发展，信息安全应急响应工作不断向前推进，信息安全预案体系逐步建立，但是仍然存在可操作性、针对性不强的问题[5][6]。例如，有些信息安全预案存在模式化、雷同化的倾向，难以高效地运用到实际的应急处置工作中。另外，现有的信息安全预案不同程度上都缺乏必要的实战演练，无法验证预案的可操作性、合理性和有效性，这势必会影响智慧城市信息安全的应急响应能力。

　　2.5 信息安全法律法规不健全

　　我国已经出台了多个与互联网相关的法律法规，包括《促进大数据发展行动纲要》、《电信和互联网用户个人信息保护规定》等。现行的信息安全相关的法律法规不够健全，还不能有效支撑智慧城市的建设与运行。与智慧城市紧密相关的《中华人民共和国网络安全法》还尚未出台，针对大数据、云计算等新技术新应用的信息安全法律法规还不健全。因此，我国应加快信息安全立法进程，借鉴学习国际上智慧城市成功的立法实践，尽快制定符合我国实际的智慧城市法律法规，确保信息安全。

　　3 智慧城市信息安全保障机制

　　提高智慧城市的信息安全保障能力是智慧城市建设的重要任务。本文分别从加强智慧城市信息安全顶层设计规划、制定完善信息安全标准规范、加快自主可控的信息安全技术产品研发、提高信息安全应急响应能力和健全信息安全法律法规体系等五个方面出发，设计相应的信息安全保障机制和应对策略，为提高智慧城市信息安全保障能力提供参考，如图1所示。

　　3.1 加强智慧城市信息安全顶层设计规划

　　智慧城市建设是一个应用多样化、动态演化的复杂巨系统，顶层设计的优劣直接关系到智慧城市的建设水平。智慧城市信息安全顶层设计至关重要，直接关系到智慧城市能否安全可靠运行。智慧城市顶层设计要做到业务应用系统与信息安全规划同步、建设同步和管理同步。在保障好智慧业务应用系统的同时，切实解决好信息共享和隐私保护的矛盾问题。规划设计好智慧城市信息安全的管理体系、技术体系和运维体系，构建智慧城市主动防御、全面防御和纵深防御体系，提高智慧城市信息安全顶层设计水平。

　　3.2 制定完善信息安全标准规范

　　我国信息安全标准已经正式发布和在研的有将近300项，但针对智慧城市信息安全标准的仅有一些物联网、大数据、云安全等方面的标准，远未形成完善的智慧城市信息安全标准规范体系。下一步应加快制定智慧城市信息安全标准规范，特别是从智慧城市信息基础设施、相关安全产品、数据共享安全、安全运行维护、信息安全评价指标体系等方面进一步完善标准规范体系，提高智慧城市的信息安全保障水平。

　　3.3 加快自主可控的信息安全技术产品研发

　　目前，国外IT巨头公司在我国信息技术行业占有着技术产品优势，在市场上处于垄断地位。这种情况下，如果仅仅依靠市场的自由竞争，我国的自主开发的软硬件信息技术产品很难得到大规模的推广应用。因此，着眼于维护我国信息安全的国家利益，充分发挥我国的制度和政策优势，加大自主可控技术和产品的研发力度，通过典型示范应用带动的方式，逐步推动我国自主可控的信息安全技术产品的推广应用，力争尽早摆脱关键技术产品受制于人的局面，形成自主可控的信息安全技术和产品产业化链条。

　　3.4 提高信息安全应急响应能力

　　按照“积极预防、及时发现、快速响应、力保恢复”的方针，针对智慧城市建设与运行的特点，建立“协同指挥、立体联动”的工作运行机制，构建操作性强、效率高、全生命周期的信息安全应急响应体系。制定智慧城市信息安全应急预案，定期组织相关人员进行信息安全应急知识培训，积极开展应急演练，根据实践不断调整优化应急预案，不断提高信息安全应急响应能力。

　　3.5 健全信息安全法律法规体系

　　信息安全法律法规是支撑智慧城市建设和运行的重要保障。现有的法律法规在一定程度上对智慧城市信息安全起到了一定的保障作用。但是与美国、韩国等发达国家相比，我国还没有形成完善的信息安全法律法规体系。下一步，我国应继续加强信息安全立法工作，特别是与智慧城市紧密关联的物联网、云计算、大数据方面的立法工作，尽早论证出台《中华人民共和国网络安全法》、《中华人民共和国网络安全审查制度》等法律法规，为我国智慧城市建设和运行提供坚强的法律保障。

　　4 结束语

　　信息安全是智慧城市建设和运行中需要面临的重要问题，是智慧城市安全可靠运行的前提和保障。从顶层设计、标准规范、技术产品、应急响应和法律法规等五个方面对智慧城市面临的信息安全风险进行了分析，并分别从五个方面设计了信息安全保障机制，为提高智慧城市信息安全保障能力提供了参考。

　　作者简介：

　　张新刚(1979-)，男，汉族，河南漯河人，毕业于华中科技大学，硕士，副教授;主要研究方向和关注领域：网络信息安全。

　　于波(1981-)，女，汉族，吉林白城人，毕业于哈尔滨工业大学，硕士，讲师;主要研究方向和关注领域：网络社会学。

　　王保平(1972-)，男，汉族，河南南阳人，毕业于贵州大学，硕士，副教授;主要研究方向和关注领域：信息安全。

　　田燕(1979-)，女，汉族，河南南阳人，毕业于华中科技大学，硕士，副教授;主要研究方向和关注领域：信息安全。