網(wǎng)絡(luò)信息安全在智慧城市建設(shè)中的威脅與應(yīng)對

孫亮

中國移動通信集團(tuán)內(nèi)蒙古有限公司呼和浩特分公司

0 引言

作為一個龐大且復(fù)雜的系統(tǒng)，智慧城市的建設(shè)可分為智能分析處理層、應(yīng)用層、通信傳輸層以及感知層，這些智慧城市的不同層面均面臨著不同程度的信息安全威脅。可以從技術(shù)、管理、政策法規(guī)以及用戶共4個維度對當(dāng)前智慧城市建設(shè)過程中面臨的網(wǎng)絡(luò)信息安全予以觀察。四個維度中的任意維度出現(xiàn)安全問題，都會造成智慧城市系統(tǒng)結(jié)構(gòu)出現(xiàn)變化，出現(xiàn)網(wǎng)絡(luò)信息安全問題。

1 城市發(fā)展現(xiàn)狀

近年來，中國的通信網(wǎng)絡(luò)、計(jì)算機(jī)科學(xué)發(fā)展迅速，并且技術(shù)應(yīng)用、商用化的速度非?？?。智能手機(jī)的普及、智能設(shè)備的發(fā)展、萬物互聯(lián)的推進(jìn)，以及社會生活中P2P、O2O、移動互聯(lián)網(wǎng)接入、大數(shù)據(jù)應(yīng)用等技術(shù)的落地，都為城市生活智慧化奠定了基礎(chǔ)。越來越方便的城市生活促進(jìn)了城市化進(jìn)程加速，但是網(wǎng)絡(luò)信息安全意識培養(yǎng)、基礎(chǔ)技術(shù)能力普及的周期較長，成為社會高速發(fā)展過程中的重要矛盾。

目前我國智慧城市應(yīng)用大致有三個方面的力量提供支撐：政府行為作為城市智慧化的綱領(lǐng)，為智慧城市的發(fā)展、部署確定了方向、范圍；基礎(chǔ)電信運(yùn)營企業(yè)為城市信息交互提供了通道；互聯(lián)網(wǎng)企業(yè)、民間資本為城市提供了各種應(yīng)用。從目前的城市發(fā)展和IPv6、物聯(lián)網(wǎng)的發(fā)展與應(yīng)用前景來看，未來的智慧城市建設(shè)、發(fā)展空間非常大，但是隨著智慧城市的發(fā)展，網(wǎng)絡(luò)信息安全對生產(chǎn)生活的威脅不容忽視。

2 當(dāng)前智慧城市建設(shè)過程中網(wǎng)絡(luò)信息安全受到的威脅

2.1 技術(shù)維度

我國智慧城市建設(shè)過程中，在技術(shù)維度上面臨的網(wǎng)絡(luò)信息安全風(fēng)險，主要包括智慧城市建設(shè)的核心技術(shù)、智慧基礎(chǔ)設(shè)施等。我國在智慧城市建設(shè)過程中，大量購買和使用的智慧設(shè)施主要來自國外公司，未經(jīng)國家信息安全審查，而這些設(shè)備可能存在后門、漏洞等，網(wǎng)絡(luò)信息有可能通過這些后門、漏洞等被泄露，這些智慧基礎(chǔ)設(shè)施面臨的網(wǎng)絡(luò)信息安全風(fēng)險可歸屬于供應(yīng)鏈的安全風(fēng)險。除去設(shè)備的安全風(fēng)險外，我國尚未掌握智慧城市建設(shè)過程中的核心技術(shù)，如大數(shù)據(jù)分析、云計(jì)算以及物聯(lián)網(wǎng)等，這些核心技術(shù)掌握于國外公司手中，且技術(shù)仍不太成熟，存在一定的后門、漏洞等，存在信息泄露的風(fēng)險，因此需要在較長的使用和發(fā)展過程中逐漸完善。以當(dāng)前我國主流云平臺普遍存在的問題為例，主要有配置注入漏洞、命令注入漏洞，以及傳統(tǒng)安全保障技術(shù)面對共享式信息時出現(xiàn)的不適應(yīng)等。配置注入漏洞是指云平臺具有相當(dāng)強(qiáng)大的功能，且其中較多功能均與配置設(shè)置相關(guān)，通過配置注入的方式，黑客可以對云平臺進(jìn)行攻擊。命令注入漏洞是指云環(huán)境中常見大量命令調(diào)用，因此極易出現(xiàn)由命令注入而產(chǎn)生的漏洞。傳統(tǒng)安全保障技術(shù)面對共享式信息時出現(xiàn)的不適應(yīng)，是指傳統(tǒng)的信息安全保障技術(shù)（如信息加密、監(jiān)控審計(jì)、漏洞掃描以及防火墻等）多作用于邏輯隔離或邏輯封閉的網(wǎng)絡(luò)信息系統(tǒng)，因此具有“封閉”的性質(zhì)，運(yùn)用于當(dāng)前云計(jì)算平臺、物聯(lián)網(wǎng)等網(wǎng)絡(luò)信息保障時，無法迅速處理協(xié)同化、開放式環(huán)境下網(wǎng)絡(luò)信息面對的安全威脅。例如，云平臺一旦受到攻擊，將會導(dǎo)致該云平臺上的所有用戶都受到損失；云平臺數(shù)據(jù)的共享性質(zhì)導(dǎo)致可能受到惡意軟件的影響，云平臺可能出現(xiàn)用戶數(shù)據(jù)丟失、金融欺詐、身份竊取等網(wǎng)絡(luò)信息安全風(fēng)險。同時，智慧城市中，大量傳感器、智能末端設(shè)備接入網(wǎng)絡(luò)，不同的接入方式、復(fù)雜的接入環(huán)境都將導(dǎo)致較為復(fù)雜的安全問題。

2.2 管理維度

管理維度存在的網(wǎng)絡(luò)信息安全風(fēng)險，指的是智慧城市的建設(shè)、運(yùn)行與當(dāng)前我國各級組織的信息安全管理制度存在的不適應(yīng)，從而出現(xiàn)的信息安全問題。當(dāng)前我國各級組織的制度以及制度的執(zhí)行均存在不足，可能導(dǎo)致網(wǎng)絡(luò)信息安全受到威脅。以智慧城市BYOD的引入而導(dǎo)致的網(wǎng)絡(luò)信息安全風(fēng)險為例，BYOD的含義是指各級組織將自有智能終端設(shè)備（如平板、手機(jī)、PC等）接入組織內(nèi)網(wǎng)以滿足員工的個性化辦公需求。BYOD由于具有提高工作效率、減少企業(yè)設(shè)備購置費(fèi)用的作用而得到普及，但是BYOD的采用導(dǎo)致私有設(shè)備與辦公數(shù)據(jù)的物理界限模糊，導(dǎo)致員工甚至是外來人員可以任意進(jìn)入組織內(nèi)網(wǎng)并從中拷貝企業(yè)的重要文件。就信息安全管理制度而言，各級組織均存在信息安全風(fēng)險評估，但是這一制度徹底貫徹落實(shí)仍存在一定難度。以個人信息的安全為例，智慧城市運(yùn)行過程中，個人信息安全的重要性是不言而喻的，但是信息安全管理制度中就個人信息安全的重視度不足，僅出臺了個人信息處理環(huán)節(jié)的規(guī)定，而關(guān)于個人信息的收集、利用、存儲等環(huán)節(jié)的保護(hù)力度不足。近年來有相關(guān)法律對個人信息的保護(hù)、個人信息主體權(quán)利以及個人信息處理原則做出規(guī)定，但是這些標(biāo)準(zhǔn)由于屬于非強(qiáng)制性標(biāo)準(zhǔn)，導(dǎo)致各級組織并未貫徹落實(shí)。同時，由于各級組織對網(wǎng)絡(luò)信息安全的重視度不足，導(dǎo)致信息安全管理人手配置不足，部分企業(yè)將相關(guān)工作予以外包，這種做法也對網(wǎng)絡(luò)信息安全造成威脅。

2.3 政策維度

政策法規(guī)不完善導(dǎo)致的安全問題，是指我國現(xiàn)行關(guān)于信息安全的法規(guī)、政策等無法滿足智慧城市運(yùn)行、建設(shè)的需求，從而導(dǎo)致的信息安全問題。隨著智慧城市建設(shè)的推進(jìn)，我國政府也正逐漸重視信息保護(hù)、數(shù)據(jù)開放、信息公開以及透明政府的重要性，對此出臺了一系列政策、法規(guī)等予以支持。但是這些政策、法規(guī)尚未完善就開始大量使用國外公司提供的信息技術(shù)與服務(wù)，再加上事業(yè)、企業(yè)單位以及政府部門收集用戶數(shù)據(jù)時不嚴(yán)格按照“數(shù)據(jù)收集最小化”的原則進(jìn)行，而是過度收集用戶數(shù)據(jù)，加之大數(shù)據(jù)交易中心的建造、數(shù)據(jù)的跨境流動等，都將導(dǎo)致更嚴(yán)重的信息安全問題。執(zhí)法不嚴(yán)、有法難依等現(xiàn)象也是導(dǎo)致網(wǎng)絡(luò)信息安全受到威脅的重要因素，在以往的信息安全理念指導(dǎo)下的執(zhí)法、立法，已不適應(yīng)信息安全的新變化。

2.4 用戶維度

用戶方面存在的信息安全風(fēng)險，指的是用戶對自身信息安全重視度不足，進(jìn)而導(dǎo)致的信息安全風(fēng)險。有報告指出，當(dāng)前信息安全隱患的最主要影響因素是用戶對個人信息安全意識不足，其次才是制度不完善或落實(shí)程度不高、信息管理人員失職、投入不足、信息安全培訓(xùn)不足、安全產(chǎn)品的功能不完善等。也有不少信息安全專家強(qiáng)調(diào)，面對黑客的攻擊，員工信息安全素養(yǎng)不足是最難修補(bǔ)、也是最大的漏洞。

3 提高我國智慧城市建設(shè)中信息安全的應(yīng)對措施

3.1 加大技術(shù)研發(fā)力度

面對智慧城市建設(shè)過程中存在的信息安全風(fēng)險，需要加大技術(shù)研發(fā)力度，以保障技術(shù)維度的網(wǎng)絡(luò)信息安全。應(yīng)加大資金投入，鼓勵企業(yè)、高?？蒲性核g進(jìn)行合作，根據(jù)智慧城市構(gòu)架的不同，采取具有針對性的安全防護(hù)措施，努力追蹤最新的技術(shù)發(fā)展動態(tài)并爭取有一定突破。引入高端技術(shù)研發(fā)機(jī)構(gòu)，在智慧城市的建設(shè)過程中推廣并應(yīng)用新型信息安全產(chǎn)品與技術(shù)。將發(fā)展重點(diǎn)設(shè)置于與智慧城市建設(shè)關(guān)系密切的新型智慧產(chǎn)業(yè)，如大數(shù)據(jù)、云計(jì)算以及物聯(lián)網(wǎng)等。

3.2 出臺并貫徹落實(shí)政策法規(guī)

對現(xiàn)行政策法規(guī)進(jìn)行詳細(xì)分析，明確其中的不足后予以完善。將《個人信息保護(hù)法》以專項(xiàng)法律的形式對個人信息的保護(hù)原則、使用原則以及開發(fā)原則予以明確，同時明確其中的各項(xiàng)要求，以保證個人信息安全性。智慧城市環(huán)境下，不同產(chǎn)業(yè)間的合作將會變得更加緊密，產(chǎn)品將出現(xiàn)多元化發(fā)展趨勢，且安全協(xié)議、安全產(chǎn)品等更復(fù)雜，因此需要加大法規(guī)、政策的落實(shí)力度以保證法律、法規(guī)得以貫徹落實(shí)。此外，要加大對地下黑色產(chǎn)業(yè)鏈、個人信息犯罪的處罰力度。

3.3 提升用戶信息安全意識

教育部門應(yīng)鼓勵高等院校編制信息安全核心教材、完善專業(yè)課程體系，通過開展信息安全競賽以及加大實(shí)習(xí)交流力度等方式培養(yǎng)一大批信息安全專業(yè)人才，同時加大計(jì)算機(jī)基礎(chǔ)教育普及力度，加設(shè)并完善信息安全知識模塊。

設(shè)立網(wǎng)絡(luò)安全宣傳周，由培訓(xùn)機(jī)構(gòu)、企業(yè)、政府部門等通過公益講座等形式開展培訓(xùn)宣傳工作，通過發(fā)放宣傳手冊、設(shè)置互動網(wǎng)站等方式開展服務(wù)咨詢活動。

4 結(jié)束語

網(wǎng)絡(luò)信息安全對保證智慧城市系統(tǒng)正常運(yùn)行具有重大意義，要從矛盾著手，將網(wǎng)絡(luò)信息安全工作作為智慧城市建設(shè)過程中的重點(diǎn)環(huán)節(jié)以保證信息安全。對此，需要從人才隊(duì)伍建設(shè)、產(chǎn)業(yè)發(fā)展、新技術(shù)研發(fā)、制度和政策法規(guī)建設(shè)完善等多方面協(xié)同，建設(shè)完善的信息安全保障體系，從而保證智慧城市得以安全、健康且可持續(xù)地發(fā)展。