國家保密局網(wǎng)站>>保密科技

智慧城市網(wǎng)絡(luò)安全管理路徑研究

2021年08月13日    來源:國家保密科技測評中心【字體: 打印

【摘 要】 本文從加強智慧城市網(wǎng)絡(luò)安全管理,應(yīng)對和化解智慧城市網(wǎng)絡(luò)安全威脅的角度,深入分析智慧城市網(wǎng)絡(luò)安全管理的現(xiàn)狀及存在的不足,并從4個方面提出了有針對性的建議。

【關(guān)鍵詞】 智慧城市 網(wǎng)絡(luò)安全 管理路徑

1 引言

目前,我國智慧城市建設(shè)正在如火如荼地展開。隨著新一代信息技術(shù)的快速發(fā)展和網(wǎng)絡(luò)安全風(fēng)險的趨高態(tài)勢,智慧城市也面臨著日益突出的網(wǎng)絡(luò)安全風(fēng)險。面對巨大的智慧城市網(wǎng)絡(luò)安全風(fēng)險,亟須建立健全智慧城市網(wǎng)絡(luò)安全管理體系,從管理機制、制度規(guī)范、實施措施等方面加強體系建設(shè),努力化解網(wǎng)絡(luò)安全風(fēng)險,促進(jìn)智慧城市健康可持續(xù)發(fā)展。

2 智慧城市網(wǎng)絡(luò)安全管理現(xiàn)狀

2.1 頂層設(shè)計待健全

一是需出臺網(wǎng)絡(luò)安全工作頂層規(guī)劃。智慧城市是集各類技術(shù)、多種應(yīng)用、海量數(shù)據(jù)于一體的復(fù)雜系統(tǒng),云計算、大數(shù)據(jù)、人工智能、物聯(lián)網(wǎng)、空間地理信息集成等新一代信息技術(shù)在智慧城市中的深入應(yīng)用,使得智慧城市呈現(xiàn)出數(shù)字化、網(wǎng)絡(luò)化、信息化、智慧化的特征,面臨的網(wǎng)絡(luò)安全問題也更加多樣,需要科學(xué)的網(wǎng)絡(luò)安全頂層設(shè)計與規(guī)劃。當(dāng)前的智慧城市建設(shè),一方面缺乏網(wǎng)絡(luò)安全規(guī)劃的總體安排、統(tǒng)一安全框架的設(shè)計理念和系統(tǒng)方法,尚未形成跨層級、跨地域、跨系統(tǒng)、跨部門、跨業(yè)務(wù)的網(wǎng)絡(luò)安全整體保障體系;另一方面缺乏網(wǎng)絡(luò)安全管理集中領(lǐng)導(dǎo)、統(tǒng)一部署和統(tǒng)籌推進(jìn)的制度設(shè)計,安全管理工作不到位。

二是需健全技術(shù)與管理標(biāo)準(zhǔn)體系。國家有關(guān)機構(gòu)正在組織制修訂智慧城市相關(guān)標(biāo)準(zhǔn)規(guī)范,積極引導(dǎo)智慧城市建設(shè),但其中關(guān)于網(wǎng)絡(luò)安全保障的標(biāo)準(zhǔn)內(nèi)容缺乏系統(tǒng)性、完整性、可操作性。截至目前,智慧城市建設(shè)的國家級標(biāo)準(zhǔn)包含GB/T 34680.4-2018《智慧城市 頂層設(shè)計指南》、GB/T 36622.3-2018《新型智慧城市評價指標(biāo)》等在內(nèi)的28項標(biāo)準(zhǔn)以及《國家智慧城市試點暫行管理辦法》等管理制度,上海、江蘇等地也都出臺了智慧城市建設(shè)相關(guān)標(biāo)準(zhǔn)和管理制度。然而,基于智慧城市網(wǎng)絡(luò)安全的標(biāo)準(zhǔn)規(guī)范,僅出臺GB/T 37971-2019《信息安全技術(shù) 智慧城市安全體系框架》,智慧城市各類技術(shù)應(yīng)用、業(yè)務(wù)場景的安全標(biāo)準(zhǔn)規(guī)范,以及智慧城市網(wǎng)絡(luò)安全管理、監(jiān)督、評價的標(biāo)準(zhǔn)指南,還存在體系化欠缺。

三是需提升安全意識,增加安全投入。部分智慧城市建設(shè)單位還未建立站在國家安全的高度看待網(wǎng)絡(luò)安全的意識,安全保障建設(shè)與信息化建設(shè)不同步,“重應(yīng)用,輕安全”“先建設(shè),再規(guī)范”的思想觀念仍然存在。不少項目的安全投入與高額的建設(shè)資金相比顯得極不相稱,有限的安全投入僅以合規(guī)為目的,安全產(chǎn)品的堆砌無法有效應(yīng)對安全風(fēng)險,總體系統(tǒng)較為脆弱。一些機構(gòu)和公民對網(wǎng)絡(luò)安全的重要性認(rèn)識不夠,基本防護(hù)技能掌握不足,由此引發(fā)的安全事件層出不窮。

2.2 組織與管理機制待加強

一是安全工作需強化總體部署與統(tǒng)籌聯(lián)動。國家新型智慧城市建設(shè)部際協(xié)調(diào)工作組由國家發(fā)展改革委和中央網(wǎng)信辦共同擔(dān)任組長單位,25個部委共同組成。各個地方在智慧城市建設(shè)中的牽頭單位大不相同,地方智慧城市建設(shè)中往往缺乏對安全工作的總體引領(lǐng),在安全管理工作中彼此缺乏協(xié)調(diào),系統(tǒng)性、統(tǒng)籌性的安全管理機制缺失,智慧城市網(wǎng)絡(luò)安全管理工作易流于無序。

二是安全責(zé)任需落實到位。各個地方在智慧城市建設(shè)中,明確有建設(shè)與運營管理的責(zé)任主體,但網(wǎng)絡(luò)安全管理與監(jiān)督的責(zé)任主體比較模糊,缺少對組織、人員、活動、過程的全程監(jiān)督與有效管理。此外,由于智慧城市建設(shè)涉及眾多建設(shè)與運營單位,以及技術(shù)、產(chǎn)品、數(shù)據(jù)、應(yīng)用、服務(wù)的供應(yīng)單位,各自應(yīng)承擔(dān)的網(wǎng)絡(luò)安全職責(zé)及責(zé)任制度不清晰,缺乏有效的制度約束,對于具體工作人員也缺乏相應(yīng)的安全責(zé)任規(guī)定。

三是安全保障效能評價改進(jìn)措施需完善。在國家已組織開展的兩次新型智慧城市建設(shè)評價工作中,設(shè)置了不同的網(wǎng)絡(luò)安全指標(biāo)項和權(quán)重分值,從評價結(jié)果分析,各地在網(wǎng)絡(luò)安全指標(biāo)項的差距不大,并沒有實際反映出智慧城市面臨的網(wǎng)絡(luò)安全問題及安全管理現(xiàn)狀。從指標(biāo)設(shè)置來看,網(wǎng)絡(luò)安全的重要性仍需加強,需探索完善更加科學(xué)、能夠真實反映安全風(fēng)險狀況及安全管理成效的評價方法,以此促進(jìn)智慧城市網(wǎng)絡(luò)安全保障能力的提升。從各地智慧城市管理來看,自身也缺乏對網(wǎng)絡(luò)安全保障體系的評估與安全措施優(yōu)化機制,缺少自我檢查與能力提升措施。

2.3 安全管控措施待完善

一是針對接入智慧互聯(lián)網(wǎng)絡(luò)的海量終端需加強安全認(rèn)證與管控。智慧城市擁有龐大的物聯(lián)感知終端和應(yīng)用終端,存在突出的安全隱患。首先是終端設(shè)施的物理防護(hù)、物理環(huán)境、網(wǎng)絡(luò)通信存在的安全風(fēng)險,影響感知系統(tǒng)與業(yè)務(wù)應(yīng)用系統(tǒng)的安全穩(wěn)定運行。其次是智能家居終端、智能工控設(shè)備等物聯(lián)網(wǎng)技術(shù)設(shè)備本身的安全防護(hù)薄弱,極易遭受攻擊或被利用發(fā)起攻擊,造成系統(tǒng)癱瘓。再次是物聯(lián)感知設(shè)施的接入、運行、運維存在未授權(quán)訪問、竊取、損壞和干擾的安全風(fēng)險,數(shù)據(jù)采集與指令執(zhí)行存在可靠性、可用性、準(zhǔn)確性的安全隱患。最后是終端系統(tǒng)的接入、升級、運行存在的安全風(fēng)險,對應(yīng)用的安全穩(wěn)定及數(shù)據(jù)防護(hù)產(chǎn)生影響。

二是面對大數(shù)據(jù)廣泛應(yīng)用與深度融合需制定精細(xì)化管理舉措。智慧城市搭建了云計算、大數(shù)據(jù)等平臺,匯集了大量政府、公共服務(wù)機構(gòu)、金融機構(gòu)、企業(yè)、公民等的敏感信息和重要數(shù)據(jù),包含關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)運行數(shù)據(jù),隨著跨層級、跨地域、跨系統(tǒng)、跨部門、跨業(yè)務(wù)的數(shù)據(jù)匯集、共享、開放的應(yīng)用場景與日俱增,數(shù)據(jù)采集的無序、數(shù)據(jù)存儲與傳輸?shù)姆雷o(hù)不足,遭受黑客攻擊和信息泄露風(fēng)險增大,對個人財產(chǎn)、經(jīng)濟運行、公共利益和國家安全帶來嚴(yán)重威脅。

三是關(guān)于對外依賴性強的關(guān)鍵核心技術(shù)產(chǎn)品需采取有效保障措施。我國在智慧城市涉及的傳感器技術(shù)、網(wǎng)絡(luò)技術(shù)、智能信息處理等領(lǐng)域,已有一定的技術(shù)積累和產(chǎn)業(yè)化能力,然而在關(guān)鍵核心技術(shù)與產(chǎn)品上仍存在對外依存度過高的問題,高端芯片、操作系統(tǒng)、數(shù)據(jù)庫、工業(yè)控制系統(tǒng)、仿真軟件等領(lǐng)域仍被國外巨頭企業(yè)壟斷,安全可控水平較低。一方面由于對技術(shù)與產(chǎn)品的掌控有限,安全漏洞不易被發(fā)現(xiàn),危害產(chǎn)品和數(shù)據(jù)的保密性、完整性和可用性等;另一方面則是在國際競爭格局不穩(wěn)定的境況下,面臨被“卡脖子”的威脅,供應(yīng)鏈安全風(fēng)險異常嚴(yán)峻。

3 加強智慧城市網(wǎng)絡(luò)安全管理的政策建議

3.1 加強網(wǎng)絡(luò)安全管理的頂層設(shè)計與制度建設(shè)

一是構(gòu)建全國垂直的管理與監(jiān)管體系。明確全國統(tǒng)一的智慧城市網(wǎng)絡(luò)安全主管部門,采取“一線牽”的方式構(gòu)建全國體系,指導(dǎo)地方主管部門統(tǒng)籌開展智慧城市網(wǎng)絡(luò)安全管理與監(jiān)管,協(xié)調(diào)網(wǎng)絡(luò)安全領(lǐng)域相關(guān)主管部門在各自職責(zé)范圍內(nèi)統(tǒng)籌推進(jìn)智慧城市網(wǎng)絡(luò)安全工作。

二是建立智慧城市分級的網(wǎng)絡(luò)安全管理框架。不同的城市由于行政級別、區(qū)域特征、經(jīng)濟規(guī)模、社會形態(tài)、發(fā)展水平等存在差異,面臨的網(wǎng)絡(luò)安全問題不盡相同?煽紤]從行政級別、城市人口數(shù)量、經(jīng)濟產(chǎn)值規(guī)模等不同要素劃分智慧城市等級,按照分級分標(biāo)準(zhǔn)的方式采取相應(yīng)的網(wǎng)絡(luò)安全管理措施。

三是建立與現(xiàn)有法律法規(guī)、標(biāo)準(zhǔn)體系銜接的管理制度。網(wǎng)絡(luò)安全領(lǐng)域已建立以法律、法規(guī)、規(guī)范性文件、標(biāo)準(zhǔn)為體系的制度框架,制定智慧城市網(wǎng)絡(luò)安全相關(guān)制度應(yīng)與網(wǎng)絡(luò)安全法、密碼法以及正在制定的數(shù)據(jù)安全法、個人信息保護(hù)法、關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例等法律法規(guī)做好銜接,充分運用和發(fā)揮現(xiàn)有法律體系的制度效能,構(gòu)筑智慧城市網(wǎng)絡(luò)安全的基礎(chǔ)屏障。

3.2 制定主體明確、責(zé)任清晰的安全責(zé)任制度

一是各級管理部門應(yīng)注重制度建設(shè)。智慧城市網(wǎng)絡(luò)安全管理部門包括國家及地方相關(guān)主管部門、項目建設(shè)主管部門。國家主管部門應(yīng)建立和完善智慧城市網(wǎng)絡(luò)安全標(biāo)準(zhǔn),監(jiān)督、評估相關(guān)政策和管理機制,發(fā)揮統(tǒng)籌、指導(dǎo)、檢查的作用。地方主管部門應(yīng)依據(jù)國家政策方針,結(jié)合地方實際制定具體管理措施,組織開展相關(guān)工作。項目建設(shè)主管部門應(yīng)按照“誰主管、誰負(fù)責(zé)”的原則,貫徹落實相關(guān)政策與舉措。網(wǎng)絡(luò)安全相關(guān)主管部門應(yīng)依照政策與法規(guī)要求,在各自職責(zé)領(lǐng)域加強監(jiān)督與管理。

二是建設(shè)與運營單位應(yīng)履行安全責(zé)任制。智慧城市建設(shè)與運營單位包括建設(shè)單位、運營單位、服務(wù)單位及相關(guān)人員。建設(shè)與運營單位應(yīng)依照相關(guān)政策、法律制度滿足相關(guān)資質(zhì)要求,履行網(wǎng)絡(luò)安全相關(guān)職責(zé)義務(wù),接受主管部門的監(jiān)督與管理。對建設(shè)與運營人員應(yīng)加強網(wǎng)絡(luò)安全意識教育與崗位培訓(xùn),建立責(zé)任到人的安全責(zé)任制度,加強人員上崗、換崗、離崗的流程管理。

三是使用者負(fù)有安全使用的義務(wù)。智慧城市使用者包括使用單位和個人。使用者應(yīng)規(guī)范使用智慧城市應(yīng)用與服務(wù),樹立網(wǎng)絡(luò)安全意識,及時反映存在的網(wǎng)絡(luò)安全問題。

3.3 強化項目管理,建立全流程的安全管控機制

一是落實“三同步”原則,加強過程管理。智慧城市建設(shè)應(yīng)按照信息化與網(wǎng)絡(luò)安全“三同步”的原則進(jìn)行,結(jié)合新技術(shù)、新應(yīng)用的發(fā)展特征與趨勢,依照有關(guān)政策法規(guī)、標(biāo)準(zhǔn)規(guī)范的要求,設(shè)計滿足現(xiàn)實需求的網(wǎng)絡(luò)安全保障框架,同步規(guī)劃、同步建設(shè)、同步使用,構(gòu)建覆蓋智慧城市建設(shè)與運營全過程的網(wǎng)絡(luò)安全保障體系。

二是建立全流程的評審、檢查、驗收制度。智慧城市在建設(shè)與運營過程管理中應(yīng)建立專家顧問機制,對智慧城市網(wǎng)絡(luò)安全規(guī)劃設(shè)計進(jìn)行論證,對建設(shè)與運營過程中網(wǎng)絡(luò)安全同步建設(shè)情況進(jìn)行檢查,對網(wǎng)絡(luò)安全合規(guī)與達(dá)標(biāo)情況進(jìn)行評定,出現(xiàn)問題及時整改,通過專家評審的才可進(jìn)入下一個環(huán)節(jié)。需要經(jīng)過國家安全審查的相關(guān)產(chǎn)品與服務(wù),應(yīng)以通過安全審查作為驗收的必要條件。

3.4 抓實關(guān)鍵環(huán)節(jié),落實安全管理措施

一是強化數(shù)據(jù)治理與安全保障。全面梳理智慧城市應(yīng)用的各類數(shù)據(jù),根據(jù)數(shù)據(jù)的重要性和敏感程度、關(guān)聯(lián)程度以及泄露后對個人、社會、國家的影響程度,制定數(shù)據(jù)分級分類標(biāo)準(zhǔn)和指南。依據(jù)相關(guān)法律法規(guī)和標(biāo)準(zhǔn),采取加密、訪問控制等措施加強對個人信息和重要數(shù)據(jù)的保護(hù)。對數(shù)據(jù)的采集、傳輸、存儲、分析、應(yīng)用、交易、共享、銷毀等全生命周期管理建立清晰的規(guī)則并加強監(jiān)管。發(fā)布、共享、交易或向境外提供重要數(shù)據(jù)應(yīng)經(jīng)相關(guān)主管部門批準(zhǔn)。

二是落實供應(yīng)鏈風(fēng)險管理制度。智慧城市建設(shè)涉及的供應(yīng)商數(shù)量眾多、類型多樣,繁多的產(chǎn)品與服務(wù)一方面存在全生命周期中的傳統(tǒng)安全風(fēng)險;另一方面存在供應(yīng)中斷的供應(yīng)鏈風(fēng)險,特別是嚴(yán)重依賴國外供應(yīng)商的供應(yīng)鏈所面臨的風(fēng)險尤為突出。智慧城市建設(shè)與運營應(yīng)加強對產(chǎn)品與服務(wù)的全生命周期安全的監(jiān)管,建立供應(yīng)商評估、考核機制,加強對對外依賴性強的供應(yīng)鏈監(jiān)管,保障智慧城市持續(xù)穩(wěn)定運行。

三是加強監(jiān)測預(yù)警與應(yīng)急處置的協(xié)同組織。建立全國聯(lián)動的監(jiān)測預(yù)警機制,將智慧城市監(jiān)測預(yù)警平臺接入聯(lián)動系統(tǒng),構(gòu)建智能化、多維度的監(jiān)測預(yù)警體系。聯(lián)合政府部門、研究機構(gòu)、企業(yè)等應(yīng)急響應(yīng)技術(shù)力量,建立覆蓋數(shù)據(jù)采集、分析處理、預(yù)警發(fā)布、協(xié)同響應(yīng)的整體應(yīng)急處理機制,整體提升我國智慧城市網(wǎng)絡(luò)安全監(jiān)測預(yù)警和應(yīng)急處置能力。

四是建立風(fēng)險排查與評估改進(jìn)機制。國家智慧城市網(wǎng)絡(luò)安全主管部門應(yīng)制定智慧城市網(wǎng)絡(luò)安全評價指標(biāo)體系和評價工作機制,統(tǒng)籌指導(dǎo)地方各級主管部門開展檢查、評估、改進(jìn)工作,就相關(guān)政策制度與法律法規(guī)落實情況、網(wǎng)絡(luò)安全工作機制和制度的制定與執(zhí)行情況、網(wǎng)絡(luò)安全措施保障情況、安全投入與資源保障情況等進(jìn)行評價與檢查,督導(dǎo)智慧城市建設(shè)與運營單位及時整改發(fā)現(xiàn)的問題,提升網(wǎng)絡(luò)安全保障能力。

4 結(jié)語

智慧城市建設(shè)要正確處理安全與發(fā)展的關(guān)系,智慧城市作為一個要素復(fù)雜、應(yīng)用多樣、不斷演化的綜合性復(fù)雜系統(tǒng),片面追求快速高效而忽視安全管控的發(fā)展,必將造成巨大的安全隱患。加強智慧城市網(wǎng)絡(luò)安全管理,以“整體、動態(tài)、開放、相對、共同”的網(wǎng)絡(luò)安全觀為指引,打造安全的智慧城市,將更好地發(fā)揮智慧城市服務(wù)成效,提升城市治理與服務(wù)品質(zhì),促進(jìn)經(jīng)濟社會健康發(fā)展,推進(jìn)國家治理體系和治理能力現(xiàn)代化。

 

(原載于《保密科學(xué)技術(shù)》雜志2020年11月刊)