智慧城市建設(shè)過(guò)程中信息安全保障機(jī)制研究
——以溫州市為例

高和平

(浙江安防職業(yè)技術(shù)學(xué)院，浙江溫州325024)

1 引言

智慧城市成為城市建設(shè)發(fā)展的新方向，我國(guó)也在大力推進(jìn)智慧城市的建設(shè)，智慧城市試點(diǎn)的規(guī)模在逐步擴(kuò)大[1-2]。溫州市在2013 年被列入國(guó)家智慧城市試點(diǎn)城市，2014 年列入信息惠民國(guó)家試點(diǎn)城市，2016 年成為推進(jìn)國(guó)家新型智慧城市建設(shè)試點(diǎn)。在新一代的信息技術(shù)基礎(chǔ)上，溫州市從國(guó)家對(duì)智慧城市的建設(shè)要求、目標(biāo)、內(nèi)涵出發(fā)，全面推進(jìn)智慧城市建設(shè)的各項(xiàng)工作，在政府、民生、經(jīng)濟(jì)領(lǐng)域推進(jìn)網(wǎng)絡(luò)信息化。近幾年溫州市政府圍繞民生服務(wù)和城市管理需求，推進(jìn)智慧應(yīng)用體系建設(shè)，助力城市服務(wù)和協(xié)同治理能力的提升。為實(shí)現(xiàn)“最多跑一次”目標(biāo)，快速推進(jìn)“互聯(lián)網(wǎng)+政務(wù)服務(wù)”，將教育、金融、民政等政府部門(mén)的政務(wù)服務(wù)事項(xiàng)接入浙江政務(wù)服務(wù)溫州平臺(tái)，實(shí)現(xiàn)城市管理高度網(wǎng)絡(luò)信息化。

智慧城市建設(shè)工作的推進(jìn)，網(wǎng)絡(luò)規(guī)模以及數(shù)量急劇增加，城市的信息安全面臨著嚴(yán)峻的挑戰(zhàn)[3]。保證信息資源在城市運(yùn)轉(zhuǎn)過(guò)程中合理、合法、安全地傳播，成為城市管理的重要工作。據(jù)國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心公布的數(shù)據(jù)，2020 年上半年監(jiān)測(cè)發(fā)現(xiàn)我國(guó)境內(nèi)被篡改網(wǎng)站數(shù)量為147682個(gè)，其中被篡改政府網(wǎng)站581 個(gè)；被植入后門(mén)的網(wǎng)站數(shù)量為40086 個(gè)，其中被植入后門(mén)的政府網(wǎng)站數(shù)量為127 個(gè)。溫州市在近幾年的網(wǎng)絡(luò)信息安全專(zhuān)項(xiàng)檢查中發(fā)現(xiàn)網(wǎng)絡(luò)信息安全形勢(shì)嚴(yán)峻，檢查中發(fā)現(xiàn)很多單位、企業(yè)信息安全隱患突出。在溫州智慧城市建設(shè)過(guò)程中，保證城市基礎(chǔ)設(shè)施、信息數(shù)據(jù)、業(yè)務(wù)應(yīng)用不受外部威脅的侵害，已成為當(dāng)前迫切需要解決的問(wèn)題。因此，系統(tǒng)深入地研究溫州智慧城市建設(shè)過(guò)程中信息安全保障機(jī)制迫在眉睫[4-5]。

2 智慧城市建設(shè)過(guò)程中的信息安全現(xiàn)狀和問(wèn)題

溫州智慧城市建設(shè)過(guò)程中，網(wǎng)絡(luò)信息安全問(wèn)題主要表現(xiàn)為在以下四個(gè)方面。

一是基礎(chǔ)設(shè)施網(wǎng)絡(luò)信息安全問(wèn)題突出。城市運(yùn)轉(zhuǎn)過(guò)程中信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)化趨勢(shì)明顯，經(jīng)濟(jì)、民生、能源等領(lǐng)域中存在較多數(shù)量的低安全高風(fēng)險(xiǎn)的基礎(chǔ)設(shè)施暴露于互聯(lián)網(wǎng)，部分系統(tǒng)還存在信息安全責(zé)任不明確、互聯(lián)網(wǎng)資產(chǎn)(包括服務(wù)器、域名、網(wǎng)站、軟件)管理不明晰、數(shù)據(jù)分級(jí)分類(lèi)不精準(zhǔn)、防控策略不完善、網(wǎng)絡(luò)邊界不清晰等問(wèn)題，難以有效應(yīng)對(duì)有組織、大規(guī)模、高強(qiáng)度的網(wǎng)絡(luò)攻擊。學(xué)校、企業(yè)、政府機(jī)關(guān)的網(wǎng)絡(luò)設(shè)備存在漏洞數(shù)量較多，網(wǎng)絡(luò)信息存在較大的風(fēng)險(xiǎn)。

二是業(yè)務(wù)信息安全存在薄弱環(huán)節(jié)。溫州市電子政務(wù)建設(shè)已經(jīng)形成規(guī)模，“互聯(lián)網(wǎng)+政務(wù)服務(wù)”得到廣泛應(yīng)用，在全省占有領(lǐng)先位置。但由于電子政務(wù)系統(tǒng)架構(gòu)復(fù)雜、涉及領(lǐng)域廣、關(guān)聯(lián)系統(tǒng)性強(qiáng)，但是與應(yīng)用建設(shè)相比，網(wǎng)絡(luò)信息安全建設(shè)還處于起步階段。電子政務(wù)外網(wǎng)與互聯(lián)網(wǎng)之間邊界處，不同單位網(wǎng)絡(luò)邏輯隔離不嚴(yán)密，存在隱患接入管理存在缺陷，違規(guī)外聯(lián)情況突出。已經(jīng)停用業(yè)務(wù)的端口沒(méi)有及時(shí)關(guān)閉，資產(chǎn)清理滯后，網(wǎng)絡(luò)業(yè)務(wù)層面信息安全有風(fēng)險(xiǎn)。

三是運(yùn)維管理不夠精細(xì)。各企事業(yè)單位管理高度信息化，但是網(wǎng)絡(luò)信息安全管理水平存在差異，管理的過(guò)程中沒(méi)有形成規(guī)范化制度體系。數(shù)據(jù)在業(yè)務(wù)間流轉(zhuǎn)過(guò)程中，防護(hù)措施和安全管理制度仍待健全?；谌^(guò)程數(shù)據(jù)安全監(jiān)管尚未形成，數(shù)據(jù)共享使用存在較大安全隱患，信息泄露的現(xiàn)象較為嚴(yán)重。

四是信息安全人員能力仍需提高。企事業(yè)單位從事信息安全的人員大都由傳統(tǒng)的網(wǎng)絡(luò)管理人員兼任，缺少專(zhuān)業(yè)的信息安全管理人才。部分單位聘用外包人員進(jìn)行網(wǎng)絡(luò)信息安全進(jìn)行測(cè)試維護(hù)，缺乏對(duì)單位整體網(wǎng)絡(luò)信息架構(gòu)的深入了解，安全保障存在局限性。從事網(wǎng)絡(luò)安全的企業(yè)規(guī)模小、數(shù)量少，缺乏對(duì)最新技術(shù)和設(shè)備的研究，網(wǎng)絡(luò)安全保障能力不足。

3 智慧城市信息安全建設(shè)的對(duì)策思考

智慧城市信息安全保障主要從信息安全的理論依據(jù)、實(shí)踐經(jīng)驗(yàn)、安全技術(shù)、管理政策等方面出發(fā)，以“信息安全管理、信息安全測(cè)評(píng)、信息安全運(yùn)營(yíng)、安全產(chǎn)業(yè)人才”為核心搭建信息安全框架，如圖1所示。

圖1 智慧城市信息安全保障機(jī)制框架圖

3.1 完善信息安全管理機(jī)制

實(shí)行層級(jí)管理，強(qiáng)化管理責(zé)任主體。網(wǎng)絡(luò)信息安全事件涉及領(lǐng)域多、影響力大，管理機(jī)構(gòu)的設(shè)置上需要成立專(zhuān)管小組，明確各單位各自任務(wù)分工和職責(zé)范疇推進(jìn)各項(xiàng)工作。同時(shí)要打破信息孤島的局面，以網(wǎng)絡(luò)信息安全專(zhuān)管部門(mén)為中心，形成城市網(wǎng)絡(luò)信息安全管理的分層次分等級(jí)的管理脈絡(luò)。將單位部門(mén)管理中心納入城市整體規(guī)劃管理的范圍，并建立可協(xié)調(diào)、可控制、可統(tǒng)籌的信息安全管理的組織體系。安全管理的組織系統(tǒng)目的在于提高信息系統(tǒng)安全管理責(zé)任，使每一個(gè)部門(mén)都明確自己的安全管理任務(wù)，并對(duì)整個(gè)組織在系統(tǒng)信息安全管理工作的分配起促進(jìn)作用。

健全管理規(guī)章制度，全面提升安全水平。根據(jù)《中華人民共和國(guó)計(jì)算機(jī)系統(tǒng)安全保護(hù)條例》《中華人民共和國(guó)國(guó)家安全法》《互聯(lián)網(wǎng)信息服務(wù)管理辦法》等已有的國(guó)家信息安全法律規(guī)章，制定具有自身城市特點(diǎn)的法律規(guī)章制度，對(duì)信息的產(chǎn)生、傳輸、使用和管理各個(gè)環(huán)節(jié)加強(qiáng)法律和制度的約束，加大違規(guī)違法行為的懲罰力度，不斷健全完善網(wǎng)絡(luò)安全和信息化建設(shè)管理的規(guī)范化、法制化。

提升設(shè)備系統(tǒng)管理，鞏固信息資產(chǎn)安全。規(guī)范網(wǎng)絡(luò)設(shè)備安全運(yùn)行，其內(nèi)容包括網(wǎng)站安全管理方法、計(jì)算機(jī)網(wǎng)絡(luò)安全管理規(guī)定、互聯(lián)網(wǎng)信息發(fā)布保密系統(tǒng)、機(jī)房安全管理系統(tǒng)等方面。同時(shí)需要進(jìn)一步強(qiáng)化信息安全系統(tǒng)等級(jí)保護(hù)制度，從采集、處理、應(yīng)用等環(huán)節(jié)完善安全保障條例，對(duì)于信息安全事件做好按等級(jí)進(jìn)行響應(yīng)處置。

加強(qiáng)人員安全管理，細(xì)化賬號(hào)控制。企事業(yè)單位信息化程度高，從物理層到應(yīng)用層涉及眾多設(shè)備和系統(tǒng)的賬號(hào)密碼管理，在賬號(hào)的權(quán)限設(shè)置上遵循最小化夠用原則，控制賬號(hào)操作流程和控制范圍。加強(qiáng)對(duì)信息安全崗位工作人員加強(qiáng)管理，提升工作人員的保密意識(shí)，規(guī)范應(yīng)聘、在崗、離職流程，從源頭上杜絕信息泄露、數(shù)據(jù)丟失等信息安全事件。

強(qiáng)化應(yīng)急預(yù)案建設(shè)，明確信息安全響應(yīng)流程。根據(jù)信息系統(tǒng)的建設(shè)與運(yùn)行狀況、所面臨的安全風(fēng)險(xiǎn)、相應(yīng)安全保障需求、現(xiàn)有預(yù)案體系、應(yīng)急響應(yīng)機(jī)制、技術(shù)保障力量、應(yīng)急保障資源儲(chǔ)備等信息，修訂和完善預(yù)案。根據(jù)信息安全事件影響程度設(shè)置信息安全預(yù)警級(jí)別，根據(jù)應(yīng)急預(yù)案的主要目的可以將預(yù)案分為綜合性預(yù)案和專(zhuān)題性預(yù)案。綜合預(yù)案重點(diǎn)從信息安全處置基本原則、應(yīng)急組織結(jié)構(gòu)、部門(mén)的職責(zé)、應(yīng)急方案總體思路方面進(jìn)行綜合部署。專(zhuān)題預(yù)案可以針對(duì)某一類(lèi)安全事件如黑客攻擊、蠕蟲(chóng)爆發(fā)等來(lái)進(jìn)行設(shè)置，強(qiáng)化信息安全的專(zhuān)項(xiàng)工作。

3.2 健全信息安全防護(hù)體系

3.2.1 建立信息安全測(cè)評(píng)體系

城市政府單位和企業(yè)應(yīng)通過(guò)建立信息安全測(cè)評(píng)體系，盡可能全面、快速、深入檢測(cè)挖掘現(xiàn)有信息系統(tǒng)存在安全脆弱點(diǎn)，分析面臨的威脅，查找信息系統(tǒng)存在的安全漏洞。通過(guò)深入開(kāi)展終端、主機(jī)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備進(jìn)一步提升信息系統(tǒng)的安全防御水平[6]。

1)風(fēng)險(xiǎn)評(píng)估。定期開(kāi)展風(fēng)險(xiǎn)評(píng)估工作，檢測(cè)挖掘現(xiàn)有信息系統(tǒng)存在安全脆弱點(diǎn)，對(duì)現(xiàn)有信息資產(chǎn)包括網(wǎng)絡(luò)架構(gòu)、網(wǎng)絡(luò)設(shè)備、主機(jī)安全策略、安全管理制度等方面，進(jìn)行查找對(duì)所面臨的威脅、存在的弱點(diǎn)、造成的影響進(jìn)行評(píng)估。分析信息系統(tǒng)和關(guān)鍵資產(chǎn)存在的脆弱性，分析其可能面臨的威脅、當(dāng)前安全措施的有效性，確定組織承受風(fēng)險(xiǎn)的能力，明確信息安全保護(hù)的重點(diǎn)。從企事業(yè)單位資產(chǎn)重要性、脆弱性嚴(yán)重程度和威脅發(fā)生頻率等方面切入，分析信息系統(tǒng)所面臨的風(fēng)險(xiǎn)，從而為系統(tǒng)安全加固以及優(yōu)化整改提供依據(jù)。

2) 滲透測(cè)試。模擬黑客攻擊行為，針對(duì)網(wǎng)絡(luò)架構(gòu)的網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層，加強(qiáng)滲透測(cè)試，評(píng)估網(wǎng)絡(luò)資產(chǎn)的安全狀況。通過(guò)滲透測(cè)試，幫助企事業(yè)單位發(fā)現(xiàn)信息系統(tǒng)的隱形安全漏洞和安全風(fēng)險(xiǎn)，進(jìn)一步幫助企事業(yè)單位構(gòu)建網(wǎng)絡(luò)信息安全防護(hù)體系。

3)漏洞掃描。對(duì)網(wǎng)絡(luò)層、數(shù)據(jù)傳輸、應(yīng)用層的各種軟硬件設(shè)備進(jìn)行全面掃描與分析，并及時(shí)修補(bǔ)漏洞。針對(duì)操作系統(tǒng)漏洞、數(shù)據(jù)庫(kù)漏洞、弱口令、信息泄露及配置不當(dāng)?shù)却嗳跣詥?wèn)題，形成信息安全常見(jiàn)漏洞庫(kù)。

4)代碼審計(jì)。通過(guò)代碼安全審計(jì)發(fā)現(xiàn)代碼安全問(wèn)題，提高信息系統(tǒng)安全性。對(duì)于新上線(xiàn)的系統(tǒng)，加強(qiáng)代碼審計(jì)，在實(shí)現(xiàn)系統(tǒng)功能的前提下確保安全上線(xiàn)。針對(duì)已有的系統(tǒng)收集當(dāng)前系統(tǒng)的源代碼，了解業(yè)務(wù)流和各模塊功能和結(jié)構(gòu)的情況下，檢查系統(tǒng)代碼在程序編寫(xiě)上的完整性、安全性和脆弱性，保證系統(tǒng)經(jīng)得起網(wǎng)絡(luò)攻擊。

5)基線(xiàn)檢查。對(duì)基礎(chǔ)系統(tǒng)和設(shè)備等進(jìn)行全面的安全配置核查和分析。對(duì)業(yè)務(wù)系統(tǒng)涉及的操作系統(tǒng)，如Windows、Linux、Unix 等進(jìn)行安全漏洞及安全配置缺陷的檢查與評(píng)估。業(yè)務(wù)系統(tǒng)涉及的數(shù)據(jù)庫(kù)，如MySQL、Oracle、DB2 等數(shù)據(jù)庫(kù)系統(tǒng)進(jìn)行安全漏洞及安全配置缺陷的檢查與評(píng)估。對(duì)用戶(hù)信息系統(tǒng)涉及的網(wǎng)絡(luò)設(shè)備，如防火墻、入侵檢測(cè)系統(tǒng)、路由器、交換機(jī)等進(jìn)行安全漏洞及安全配置缺陷的檢查與評(píng)估。

3.2.2 建立信息安全運(yùn)營(yíng)體系

加強(qiáng)網(wǎng)絡(luò)信息監(jiān)測(cè)預(yù)警。在信息安全體系的建設(shè)過(guò)程中，采取一系列安全防護(hù)、監(jiān)測(cè)、預(yù)警等持續(xù)性的安全保障措施掌握安全威脅情報(bào)、態(tài)勢(shì)感知、事件及時(shí)響應(yīng)處置和追溯，以確保信息系統(tǒng)在被攻擊之前實(shí)現(xiàn)加固防護(hù)。對(duì)常見(jiàn)漏洞和攻擊，如DDos攻擊、APT攻擊、SQL注入漏洞、默認(rèn)口令、跨站腳本攻擊、潛伏型應(yīng)用攻擊、暴力破解等組織開(kāi)展實(shí)時(shí)監(jiān)測(cè)。

提高綜合態(tài)勢(shì)研判能力。從攻擊、訪(fǎng)問(wèn)、安全、深度等多維度實(shí)現(xiàn)態(tài)勢(shì)感知，能對(duì)資產(chǎn)、威脅、攻擊、事件、告警的數(shù)據(jù)信息實(shí)施分析，為判斷、決策及保障網(wǎng)絡(luò)安全提供有效基礎(chǔ)支撐。采用信息加密、防火墻、防病毒、入侵檢測(cè)、虛擬專(zhuān)用網(wǎng)、容災(zāi)備份、網(wǎng)絡(luò)隔離、安全審計(jì)等網(wǎng)絡(luò)安全技術(shù)，針對(duì)不同的網(wǎng)絡(luò)安全需求實(shí)現(xiàn)網(wǎng)絡(luò)安全策略。

建立信息系統(tǒng)安全巡檢機(jī)制。定期對(duì)信息系統(tǒng)包括網(wǎng)絡(luò)設(shè)備、主機(jī)設(shè)備和安全設(shè)備進(jìn)行全面巡檢。維護(hù)防火墻設(shè)置，確保網(wǎng)絡(luò)邊界防火墻部署、檢查防火墻策略的設(shè)置和規(guī)則設(shè)置的合理性，定期檢查防火墻日志。開(kāi)展網(wǎng)絡(luò)設(shè)備巡檢，確認(rèn)網(wǎng)絡(luò)設(shè)備的安全使用、網(wǎng)絡(luò)接入管理是否有效。

加強(qiáng)安全應(yīng)對(duì)控制。打造態(tài)勢(shì)感知系統(tǒng)實(shí)時(shí)感知系統(tǒng)運(yùn)行狀態(tài)，同時(shí)加強(qiáng)多個(gè)平臺(tái)、多個(gè)系統(tǒng)、多個(gè)單位的信息安全運(yùn)營(yíng)聯(lián)動(dòng)。實(shí)現(xiàn)對(duì)分散的信息安全事件形成綜合分析，進(jìn)行集中處置。在信息安全事件發(fā)生時(shí)能夠及時(shí)進(jìn)行修復(fù)和溯源，采用技術(shù)消除安全隱患。

信息安全策略評(píng)估加固。針對(duì)信息安全運(yùn)用過(guò)程中遇到的問(wèn)題，進(jìn)行策略和技術(shù)的加固，進(jìn)一步提升城市信息安全水平。操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)是信息安全事件的高發(fā)地帶，根據(jù)日常運(yùn)營(yíng)中遇到的問(wèn)題，及時(shí)對(duì)系統(tǒng)補(bǔ)丁、端口安全策略、設(shè)備物理環(huán)境、日志審核等方面進(jìn)行評(píng)估，提出可行的加固方案。

及時(shí)發(fā)布數(shù)據(jù)安全信息。通報(bào)系統(tǒng)設(shè)備和應(yīng)用程序的漏洞威脅以及修補(bǔ)應(yīng)對(duì)方法，做到信息共享，避免其他單位遭受同樣的安全事件而造成損失。公布一段時(shí)間內(nèi)的信息安全事件和影響，提高企事業(yè)單位和民眾對(duì)信息安全的持續(xù)關(guān)注和重視。

3.3 提升信息安全產(chǎn)業(yè)人才

智慧城市建設(shè)過(guò)程中的信息安全問(wèn)題不是一成不變的，隨著技術(shù)的發(fā)展會(huì)隨時(shí)出現(xiàn)新的安全問(wèn)題，因此需要高專(zhuān)業(yè)的信息安全企業(yè)提供持續(xù)的技術(shù)保障。針對(duì)當(dāng)前信息安全專(zhuān)業(yè)技術(shù)缺乏的情況，政府應(yīng)立足城市信息安全，支持網(wǎng)絡(luò)安全產(chǎn)業(yè)和企業(yè)發(fā)展，扶持本地中小型信息安全企業(yè)的發(fā)展。對(duì)信息產(chǎn)業(yè)在政策和資金上提供支持，促進(jìn)本地信息安全產(chǎn)業(yè)的發(fā)展，以保障智慧城市建設(shè)過(guò)程中信息安全的長(zhǎng)久發(fā)展。

同時(shí)打造高素質(zhì)信息安全人才隊(duì)伍，進(jìn)一步加大網(wǎng)絡(luò)信息安全配培訓(xùn)力度，拓寬信息安全宣傳渠道。按照不同對(duì)象和層次開(kāi)展網(wǎng)絡(luò)安全形勢(shì)和基本知識(shí)學(xué)習(xí)。加強(qiáng)專(zhuān)業(yè)管理技術(shù)培訓(xùn)和交流，切實(shí)提高各級(jí)人員的信息安全防范意識(shí)、管理水平以及業(yè)務(wù)能力。關(guān)注培養(yǎng)和引進(jìn)網(wǎng)絡(luò)信息安全人才，打造與城市關(guān)鍵信息基礎(chǔ)設(shè)施相適應(yīng)的管理隊(duì)伍和技術(shù)保障隊(duì)伍。健全信息人才評(píng)估體系，鼓勵(lì)支持高水平信息安全人才為城市的信息安全事業(yè)出謀劃策，建立相應(yīng)的獎(jiǎng)勵(lì)機(jī)制。

4 結(jié)束語(yǔ)

隨著信息化技術(shù)的不斷發(fā)展，信息安全的問(wèn)題對(duì)于智慧城市的建設(shè)將影響越來(lái)越深遠(yuǎn)。探索智慧城市建設(shè)過(guò)程中，需要政府部門(mén)從頂層做好信息安全保障機(jī)制的總體規(guī)劃，提高信息安全工作運(yùn)行機(jī)制和管理機(jī)制。進(jìn)一步健全信息安全保護(hù)機(jī)制，保障基礎(chǔ)設(shè)備和網(wǎng)絡(luò)業(yè)務(wù)的安全水平，同時(shí)要加強(qiáng)對(duì)信息安全人才的培養(yǎng)和引進(jìn)，形成城市信息安全保障長(zhǎng)效機(jī)制。