国产欧美日韩精品a在线观看-国产欧美日韩精品一区二区三区-国产欧美日韩精品综合-国产欧美中文字幕-一区二区三区精品国产-一区二区三区精品国产欧美

    來源：工業和信息化部電子科學技術情報研究所

    摘要：“智慧城市”概念席卷全球以來，隨著物聯網、云計算、大數據等高新技術的集成應用

   
    “沒有網絡安全就沒有國家安全”。安全問題一直陪伴著信息化的發展，進入21世紀，特別是2009年“智慧城市”建設席卷全球以來，隨著物聯網、云計算、大數據等高新技術的集成應用，城市信息資源體量越來越大，集中度、共享度越來越高，通過智慧城市各系統之間交融協作，已經形成了一張高復雜度的“城市信息耦合網絡”，信息安全問題的戰略地位更加凸顯，表現更加體系化；而技術與城市的深度融合，讓網絡與傳統實體生活的各種邊界逐漸模糊，信息安全問題的危害也不再局限于虛擬世界，應對信息安全的挑戰已經成為國內外智慧城市建設的共同難題。

    一、國外主要做法與經驗

    國外在智慧城市信息安全問題領域重視以法律為牽引，構建全方位的安全防御的體系。

    （一）將網絡安全提升到國家戰略

    近些年來，維護國家和政府信息安全，已成為各國執政者的共識，并上升到國家安全戰略高度。2003年2月，美國發布《確保網絡空間安全的國家戰略》，首次把網絡安全戰略列為國家安全戰略的一部分，2011年5月，奧巴馬政府發布《網絡空間國際戰略》首次把美國的網絡安全政策與國際戰略目標結合在一起，將外交、軍事和網絡安全議題進行了整合。歐盟各國緊隨美國的步伐，截至2013年3月，有13個歐盟成員國出臺了國家網絡安全戰略，歐盟委員會也在2013年2月發布了歐洲層面統一的網絡安全戰略《網絡安全戰略——一個開放、安全、可靠的網絡空間》。此外，印度、澳大利亞、新西蘭、加拿大、日本和哥倫比亞等國也頒布了網絡空間安全戰略。這些國家的網絡安全戰略的主要內容包括建立以政府通信總部為中心的監測網絡、與其他國家合作制定網絡空間國際標準、加強與工商業界合作以提高網絡產品和服務的安全標準、建立高水平的網絡安全人才隊伍和強化對公眾的網絡安全教育。
 

    同時，各國都盡最大限度保證重點信息安全領域的科研機構研究所需的經費，在國家預算中安排專項資金用于信息安全研究。如2012年，美國國土安全部獲批8.88億美元用于基礎設施和信息安全保護，網絡安全方面投入4.43億美元。英國2011年底投入超10億美元用于網絡安全戰略，擬用4年時間提升網絡安全水平。

    （二）不斷完善網絡信息安全立法

    信息安全的國家戰略地位只有通過立法才能得到真正的落實，因此，國外十分注重信息安全立法工作，并隨著技術、應用的發展，不斷完善相關法律。如：2002年美國出臺《聯邦信息安全管理法案》，通過法案對信息安全進行了定義，即“保護信息和信息系統以避免未授權的訪問、使用、泄露、破壞、修改或者銷毀，以確保信息的完整性、保密性和可用性”。2010年出臺《國家網絡基礎設施保護法案》和《網絡空間作為國有資產保護法案》，法案規定，當發生危害國家安全的突發事件時，總統擁有開關“互聯網按鈕”的權力。

    1992年歐盟就已經開始重視信息安全立法，重點保護公眾利益不受侵犯。1995 年，歐盟理事會提出《合法攔截電子通訊的決議》，關注網絡環境下公權力行使與人權保護制衡的問題。2003年歐盟已經不局限于只通過技術手段來保障網絡與信息安全, 出臺了《歐洲網絡信息安全文化決議》，通過合作與交流，向所有利益相關者闡明網絡信息安全的責任，提高全社會的網絡安全意識。

    （三）建立全方位的安全防御體系

    國外在構建網絡信息安全防御體系時，強調要全方位覆蓋。美國在構建網絡空間安全防御體系時，覆蓋了經濟、社會管理、司法、軍事、技術、國際發展、網絡自由等諸多方面。
 

    面對重點領域，又會從立法、標準、計劃、意識等多方面加強保護。例如關鍵基礎設施信息安全防護領域，立法方面，2013年2月12日，奧巴馬總統先后簽署加強關鍵基礎設施安全的行政令（第13636號行政令《加強關鍵基礎設施網絡安全》）與總統令（第21號總統令《關鍵基礎設施安全性及恢復力》），行政令與總統令作為具有完全法律效應的文件，是美國在關鍵基礎設施立法方面的又一進展，確保美國關鍵基礎設施保護工作順利進行；標準制定方面，從2月份開始，美國國家標準與技術研究院（NIST）根據13636號行政令的要求，積極組織開展網絡安全框架制定工作，形成網絡安全初步框架（征求意見稿），通過界定關鍵基礎設施五項網絡安全核心功能----識別、保護、檢測、響應、恢復，并就每項功能的具體活動及其標準進行描述，以及應用網絡安全風險管理概念，分級分類地對風險進行管理，規范美國各行業關鍵基礎設施保護活動；保護計劃方面，美國國土安全部（DHS）根據第21號總統令的要求，負責國家基礎設施保護計劃（National Infrastructure Protection Plan，NIPP）修訂工作，對2009年NIPP版本進行更新與修訂，期望建立一種綜合性方法來保護水利、電力、電信、金融以及其他關鍵基礎設施系統；意識提升方面，2013年10月底，奧巴馬總統簽署總統公告，宣布成立關鍵基礎設施安全月，增強全民關鍵基礎設施保護意識。

    二、我國存在問題與建議

    （一）存在問題

    我國在智慧城市建設推進過程中也十分注重信息安全保護，但面對新的發展形勢，仍存在技術可控率低，安全防護、協同響應能力不足等問題。

    1.基礎設施、技術、服務自主可控率低

    涉及智慧城市信息安全建設的基礎設施、關鍵技術、應用服務的國內自主可控率低。智慧城市的建設過程主要包括智慧化基礎設施搭建、關鍵核心技術提升和應用服務的實現。其中，智慧化基礎設施建設包括下一代互聯網、物聯網、云計算中心服務平臺、智能電網、智能交通、導航衛星定位等。智慧城市的關鍵核心技術[周發桂.智慧城市的信息安全分析[J].中國信息安全,2014,(02):105-109]主要包括物聯網技術、云計算技術、大數據、地理信息技術以及全球定位系統等。應用服務包括社會管理、教育、醫療衛生服務等。

    目前，許多核心基礎設施、關鍵技術、應用服務仍然掌握在Oracle、EMC等國外高技術公司中。國內尚無一套有自主知識產權的傳感器設計軟件，國產傳感器可靠性比國外同類產品低1～2個數量級，傳感器工藝裝備研發與生產長期為國外壟斷，傳感器工藝制備中的某些關鍵技術，如高可靠的 MEMS封裝技術、快速測試技術、高仿真模擬技術等，尚未取得突破性進展和批量生產的驗證；由于全國所有通用頂級域的根服務器在國外，2014 年1 月21 日下午，遭受攻擊出現異常，也就是DNS 故障導致的“斷網”，全國多地大面積出現網站無法打開現象；中國大陸許多機頂盒廠商之產品采用歐洲的“CA”標準， 2014年8月1日晚，溫州有線電視的機頂盒遭到黑客控制，改寫了有線電視“電子節目指南”（Electronic Program Guide，簡稱EPG）的廣告系統，通過寫入緩存的方式傳送了敏感內容；操作系統、病毒防護、云服務平臺等對信息安全要求極高的軟件系統也由國外提供。這些應用服務中存在許多安全漏洞，甚至我們無法控制的信息后門。我國在智慧城市建設中部分城市過度信任國外大公司的品牌，依賴于其提供的信息安全設計方案和整體規劃設計，完全由國外公司建設涉及能源、金融、社會安全服務的信息系統，這樣的智慧城市平臺建設，自主可控率低，信息安全隱患巨大。

    2.城市與個人信息缺乏系統的安全防護

    在綜合集成的物聯網、云計算、大數據發展環境下，智慧城市中信息技術的應用與發展所面臨的網絡環境更加復雜，城市與個人信息缺乏系統的安全防護。主要包括：

    “城市生命線”的脆弱性：智慧城市建設過程中大范圍應用物聯網技術，讓城市中水、電、油、氣等“城市生命線”相關各種設施全面實現物網互聯，以實現更為細致的感知和搭建智能化應用。但由于信息技術中網絡資源、計算資源和存儲資源的易獲取性，也讓“城市生命線”暴露于不法分子面前，如果有人侵入“城市生命線”的控制系統，那么阻斷一個城市的水、電、油、氣將易如反掌，整個城市會瞬間陷入癱瘓。

    城市管理信息泄漏風險性：智慧城市涵蓋多個城市運行的信息系統，前所未有地保存著物聯網、應用訪問、用戶信息、城市管理信息等全部的數據。大部分城市規劃要將這些信息存儲于云計算服務平臺中，這些海量的數據中隱藏著社會運行的重要信息，通過大數據挖掘，能夠萃取出具有非常高價值的信息，不法分子如果竊取到智慧城市的云計算資源，實施大數據計算，獲取相關機密信息，不僅會造成社會經濟的損失，更有甚者，會威脅到整個國家的長治久安。例如，為解決道路交通擁堵這一“城市病”，上海市運用大數據為交警裝上“千里眼”，有效引導車流，化解上下班高峰期擁堵問題，同時利用數據分析做好交通事故預防。如果交通信息實時反饋被惡意侵入，那么城市交通錯誤疏導反而會造成全城癱瘓。

    公民個人信息安全隱私性：目前，網絡承載了公民太多的個人信息。在智慧城市社會管理應用中，公民個人的身份證號、工作單位、家庭住址、戶口信息以及納稅、參保繳費、違法違紀等公民征信信息也都存儲在云平臺中，一旦這些服務平臺中存在安全漏洞，必將引發公民個人信息的泄露，使違法分子有機可趁。此外，隨著網絡銀行、電子商務、互聯網金融等服務的興起，網絡徹底改變了人們的生活、消費方式。許多涉及公民個人隱私的信息都可以在網絡上追蹤到軌跡。加之近年來各種移動終端的普及，進一步擴大了公民生活的軌跡內容，這些軌跡反映了公民個人在物理世界的行為，如活動范圍、社會關系、行為偏好、情緒狀態等等，這些都是個人信息泄露面臨的潛在危機。近年來，個人隱私泄露事件層出不窮，2013年3月，支付寶轉賬信息被谷歌抓取，直接搜索“site:shenghuo.alipay.com”就能搜到轉賬信息，數量超過2000條；2013年10月，圓通快遞公司客戶快遞單信息泄漏，被不法分子倒賣，詐騙、推銷等通過這些信息擾亂了公民正常生活； 2013年11月，烏云網曝光稱，騰訊QQ群關系數據被泄露，據測試，該數據包括QQ號、用戶備注的真實姓名、年齡、社交關系網甚至從業經歷等大量個人隱私，有7000多萬個QQ群信息，以及12億多個部分重復的QQ號碼，隨后騰訊公司回應稱，此次QQ群泄露的只是2011年之前的數據，黑客攻擊的漏洞也已經修復，不過這么大規模數據在網上公開，由此引發的后遺癥很難消除。

    除了上述提及的惡意人員有針對性的攻擊，智慧城市同樣面臨技術上的脆弱性，比如物聯網中的感知層對能源、計算和存儲能力有多種限制，為設計物聯網的加密機制帶來了更多的困難；云計算環境自身的安全隱患：虛擬機逃逸、資源濫用、資源耗盡、隱蔽信道、網絡流量不可見等。

    3.智慧城市建設部門協同響應能力不足

    智慧城市建設的部門分割和領域分割，造成分而治之的運行模式，缺乏對突發事件及時、有效響應的整體規劃和責任分工，制約了信息安全的快速響應。目前，智慧城市的建設還處于“各掃門前雪”的現狀，智慧城市的建設需要整合不同部門、不同行業、不同系統、不同數據資源的支撐決策，而各部門以及各領域的負責人只關注在某一功能的具體實現上，對信息互聯上面臨的漏洞缺乏應有的警醒態度。如，基礎設施建設由相應的基礎設施管理部門搭建、運營和管理，而在其之上的物聯網服務系統由其它運營商提供，相關的云計算、云存儲資源的管理又來自于其它的應用服務提供商，多種利益的牽扯，信息安全管理責任的不確定性，就容易導致信息安全響應的滯后性。

    智慧城市是綜合集成的“復雜巨系統”，涉及各個系統的組成部分，分屬于不同的部門和機構。有效協調智慧城市信息安全組織架構的前提是對信息系統進行嚴格的安全域劃分[周發桂.智慧城市的信息安全分析[J].中國信息安全,2014,(02):105-109.]。智慧城市建設的信息安全主管部門應該在宏觀上進行信息安全域的劃分，區別出哪些是互聯網上的應用，哪些是歸屬應該進行網絡隔離的重點保護的區域。其次，對于智慧城市信息系統組件內部也應該進行更細致的安全域劃分，比如應該對數據區域、物聯網感知區域、物聯網控制區域以及基礎設施的管理區域進行嚴格的安全域劃分，對不同的安全域實施不同的安全策略，通過網絡隔離技術對智慧城市應用實施多級安全防護，實現智慧城市信息系統的深度防御。

    （二）對策建議

    針對我國在智慧城市信息安全領域存在的問題，結合國內外發展經驗，提出以下對策建議：

    1.統籌安全建設頂層設計

    智慧城市頂層設計是一份長遠戰略規劃指導路線圖，直接影響建設理念、思路、進程，時刻規范著各項工作的開展，關系到智慧城市建設的成敗。在智慧城市頂層設計中，需加強對城市運行過程中信息安全領域各種風險的預判，總結城市信息安全現狀，分析實際需求與效益，結合城市的區位優勢、功能定位、產業發展、資源供給和內外部環境等基礎上，形成具有城市特色的信息安全頂層設計，并制定切實可行的行動方針。

    2.鼓勵關鍵領域技術創新

    “創新驅動”已經成為我國發展的重要戰略方針，對智慧城市的信息安全建設同樣適用，要鼓勵和扶持智慧城市信息安全技術創新和信息安全產品研發工作。

    （1）引進或成立專業的技術研發機構，突破感知信息網絡融合、高寬帶網絡、智能分析決策等共性技術，為智慧城市建設提供技術支撐；

    （2）鼓勵相關企業、高校及科研院所參與到技術研發工作中來。如：鼓勵基礎電信運營商、軟件供應商、系統集成商為電子商務企業提供平臺開發、信息處理、數據托管、應用系統等外包服務；支持基礎電信運營商、增值業務服務商、內容提供商和金融服務機構之間加強協作，加快移動電子商務服務平臺和業務建設等；

    （3）有效發揮不同合作機制所具有的積極作用，多層次、多渠道、多方式加強國際科技交流以及合作，盡快建立健全符合我國國情的智慧城市信息安全標準體系；

    （4）落實對信息技術等的知識產權保護工作；

    （5）人才是創新的寶貴資源，“十年樹木，百年樹人”，要注重人才培養的持續性。

    3.構建長效可控保障體系

    2014年8月，發改委等八部委印發的《關于促進智慧城市健康發展的指導意見》中，提出要建立城市網絡安全保障體系。要實現智慧城市基礎網絡和要害信息系統安全可控，以及網絡安全長效化，必須建立完善的信息安全保障體系。包括：

    建設信息安全宣傳保障體系。智慧城市中的信息安全問題已經涉及到了生活在城市中的每一個人。因此，在智慧城市信息安全保障體系建設中，需要全體民眾共同參與，增加民眾信息安全意識、向民眾傳播防范信息安全泄露的方法和經驗。加大對民眾關于信息安全意識的宣傳和教育力度，采取多種方式提高民眾對維護個人信息安全的能力。

     建設信息安全制度保障體系。傳統的信息管理政策法規以保密為主，但目前對政府工作人員所承擔的信息公開與保密義務的規定卻不對等：一方面對工作人員承擔的信息保密責任做了十分嚴格的規定，工作人員如為了信息保密將面臨著非常嚴厲的處罰；另一方面對政府工作人員承擔的信息公開義務卻往往漠視，而且相關法規政策中對涉及“國家安全、個人隱私和商業機密”的定義也較模糊。智慧城市作為信息化建設的高級形態，需要與之匹配的信息安全法律、規章和政策。如果仍以這種保密為主的信息安全體制，將造成信息資源的封閉與割裂，嚴重妨礙人們對信息資源的深度整合、共享共建。制定信息安全管理辦法等規范及配套制度，形成信息安全管理制度與信息安全建設實踐的良性互動建設信息安全管理保障體系。智慧城市中的協同式、開放的網絡環境對信息安全的管理要求更高。要強化網絡和信息安全管理，落實責任機制，建立智慧城市信息安全保障管理制度，設計安全防護方案，加強對技術、設備和服務提供商的安全審查，定期開展抽查，進行信息安全風險評估，實現信息安全監測的常態化。

    建立信息安全技術保障體系。感知技術、互聯技術、智能分析技術等是智慧城市建設的基礎技術，明確界定信息安全防護的邊界，監控網絡虛擬化中的業務流量，監測海量訪問業務的安全性。

    建立信息安全災難預警、救援體系。定期對智慧城市的信息安全進行風險評估，有效識別智慧城市運行的信息安全風險，及時了解信息安全狀況，設置信息安全的預警級別，將智慧城市信息應急的關口前移。同時，要制定詳細的信息安全應急預案，規劃信息安全應急響應部門，執行信息安全災難救援計劃。

    4.加強城市信息安全監管

    隨著智慧城市應用服務的不斷深入和拓展，信息安全系統的隱患越來越多，加強信息安全的系統監管力度已經迫在眉睫。主要包括：

    （1）監督落實智慧城市信息安全建設的相關方針政策和法律法規，推動信息安全建設的法治化進程；

    （2）協調智慧城市建設的各部門、各領域的職能和責任，打破“信息孤島”的局面；

    （3）抓好重點領域的信息安全監管，強化信息安全基礎工作，加強信息安全防范，完善電子商務企業的數字認證、密鑰管理等安全服務功能，維護社會正常的運行秩序以及國家的長治久安，尤其要加強外國公司的在智慧城市關鍵信息領域的監管；

    （4）貫徹落實智慧城市信息安全體系，監督監理信息安全管理制度與評估機制，提高電子商務系統的應急響應、災難備份、數據恢復、風險監控能力，深化智慧城市應急安全體系；

    （5）聚焦智慧城市信息安全產業發展；

    （6）監督智慧城市信息化發展的管理體制、基礎設施建設、信息資源開發應用以及信息安全保障；

    （7）保護城市公共服務和管理信息的安全，防止公民個人信息的丟失、泄漏、損毀和篡改。