智慧城市網絡安全管理路徑研究

【摘 要】 本文從加強智慧城市網絡安全管理，應對和化解智慧城市網絡安全威脅的角度，深入分析智慧城市網絡安全管理的現狀及存在的不足，并從4個方面提出了有針對性的建議。

【關鍵詞】 智慧城市 網絡安全 管理路徑

1 引言

目前，我國智慧城市建設正在如火如荼地展開。隨著新一代信息技術的快速發展和網絡安全風險的趨高態勢，智慧城市也面臨著日益突出的網絡安全風險。面對巨大的智慧城市網絡安全風險，亟須建立健全智慧城市網絡安全管理體系，從管理機制、制度規范、實施措施等方面加強體系建設，努力化解網絡安全風險，促進智慧城市健康可持續發展。

2 智慧城市網絡安全管理現狀

2.1 頂層設計待健全

一是需出臺網絡安全工作頂層規劃。智慧城市是集各類技術、多種應用、海量數據于一體的復雜系統，云計算、大數據、人工智能、物聯網、空間地理信息集成等新一代信息技術在智慧城市中的深入應用，使得智慧城市呈現出數字化、網絡化、信息化、智慧化的特征，面臨的網絡安全問題也更加多樣，需要科學的網絡安全頂層設計與規劃。當前的智慧城市建設，一方面缺乏網絡安全規劃的總體安排、統一安全框架的設計理念和系統方法，尚未形成跨層級、跨地域、跨系統、跨部門、跨業務的網絡安全整體保障體系；另一方面缺乏網絡安全管理集中領導、統一部署和統籌推進的制度設計，安全管理工作不到位。

二是需健全技術與管理標準體系。國家有關機構正在組織制修訂智慧城市相關標準規范，積極引導智慧城市建設，但其中關于網絡安全保障的標準內容缺乏系統性、完整性、可操作性。截至目前，智慧城市建設的國家級標準包含GB/T 34680.4-2018《智慧城市 頂層設計指南》、GB/T 36622.3-2018《新型智慧城市評價指標》等在內的28項標準以及《國家智慧城市試點暫行管理辦法》等管理制度，上海、江蘇等地也都出臺了智慧城市建設相關標準和管理制度。然而，基于智慧城市網絡安全的標準規范，僅出臺GB/T 37971-2019《信息安全技術 智慧城市安全體系框架》，智慧城市各類技術應用、業務場景的安全標準規范，以及智慧城市網絡安全管理、監督、評價的標準指南，還存在體系化欠缺。

三是需提升安全意識，增加安全投入。部分智慧城市建設單位還未建立站在國家安全的高度看待網絡安全的意識，安全保障建設與信息化建設不同步，“重應用，輕安全”“先建設，再規范”的思想觀念仍然存在。不少項目的安全投入與高額的建設資金相比顯得極不相稱，有限的安全投入僅以合規為目的，安全產品的堆砌無法有效應對安全風險，總體系統較為脆弱。一些機構和公民對網絡安全的重要性認識不夠，基本防護技能掌握不足，由此引發的安全事件層出不窮。

2.2 組織與管理機制待加強

一是安全工作需強化總體部署與統籌聯動。國家新型智慧城市建設部際協調工作組由國家發展改革委和中央網信辦共同擔任組長單位，25個部委共同組成。各個地方在智慧城市建設中的牽頭單位大不相同，地方智慧城市建設中往往缺乏對安全工作的總體引領，在安全管理工作中彼此缺乏協調，系統性、統籌性的安全管理機制缺失，智慧城市網絡安全管理工作易流于無序。

二是安全責任需落實到位。各個地方在智慧城市建設中，明確有建設與運營管理的責任主體，但網絡安全管理與監督的責任主體比較模糊，缺少對組織、人員、活動、過程的全程監督與有效管理。此外，由于智慧城市建設涉及眾多建設與運營單位，以及技術、產品、數據、應用、服務的供應單位，各自應承擔的網絡安全職責及責任制度不清晰，缺乏有效的制度約束，對于具體工作人員也缺乏相應的安全責任規定。

三是安全保障效能評價改進措施需完善。在國家已組織開展的兩次新型智慧城市建設評價工作中，設置了不同的網絡安全指標項和權重分值，從評價結果分析，各地在網絡安全指標項的差距不大，并沒有實際反映出智慧城市面臨的網絡安全問題及安全管理現狀。從指標設置來看，網絡安全的重要性仍需加強，需探索完善更加科學、能夠真實反映安全風險狀況及安全管理成效的評價方法，以此促進智慧城市網絡安全保障能力的提升。從各地智慧城市管理來看，自身也缺乏對網絡安全保障體系的評估與安全措施優化機制，缺少自我檢查與能力提升措施。

2.3 安全管控措施待完善

一是針對接入智慧互聯網絡的海量終端需加強安全認證與管控。智慧城市擁有龐大的物聯感知終端和應用終端，存在突出的安全隱患。首先是終端設施的物理防護、物理環境、網絡通信存在的安全風險，影響感知系統與業務應用系統的安全穩定運行。其次是智能家居終端、智能工控設備等物聯網技術設備本身的安全防護薄弱，極易遭受攻擊或被利用發起攻擊，造成系統癱瘓。再次是物聯感知設施的接入、運行、運維存在未授權訪問、竊取、損壞和干擾的安全風險，數據采集與指令執行存在可靠性、可用性、準確性的安全隱患。最后是終端系統的接入、升級、運行存在的安全風險，對應用的安全穩定及數據防護產生影響。

二是面對大數據廣泛應用與深度融合需制定精細化管理舉措。智慧城市搭建了云計算、大數據等平臺，匯集了大量政府、公共服務機構、金融機構、企業、公民等的敏感信息和重要數據，包含關鍵信息基礎設施建設運行數據，隨著跨層級、跨地域、跨系統、跨部門、跨業務的數據匯集、共享、開放的應用場景與日俱增，數據采集的無序、數據存儲與傳輸的防護不足，遭受黑客攻擊和信息泄露風險增大，對個人財產、經濟運行、公共利益和國家安全帶來嚴重威脅。

三是關于對外依賴性強的關鍵核心技術產品需采取有效保障措施。我國在智慧城市涉及的傳感器技術、網絡技術、智能信息處理等領域，已有一定的技術積累和產業化能力，然而在關鍵核心技術與產品上仍存在對外依存度過高的問題，高端芯片、操作系統、數據庫、工業控制系統、仿真軟件等領域仍被國外巨頭企業壟斷，安全可控水平較低。一方面由于對技術與產品的掌控有限，安全漏洞不易被發現，危害產品和數據的保密性、完整性和可用性等；另一方面則是在國際競爭格局不穩定的境況下，面臨被“卡脖子”的威脅，供應鏈安全風險異常嚴峻。

3 加強智慧城市網絡安全管理的政策建議

3.1 加強網絡安全管理的頂層設計與制度建設

一是構建全國垂直的管理與監管體系。明確全國統一的智慧城市網絡安全主管部門，采取“一線牽”的方式構建全國體系，指導地方主管部門統籌開展智慧城市網絡安全管理與監管，協調網絡安全領域相關主管部門在各自職責范圍內統籌推進智慧城市網絡安全工作。

二是建立智慧城市分級的網絡安全管理框架。不同的城市由于行政級別、區域特征、經濟規模、社會形態、發展水平等存在差異，面臨的網絡安全問題不盡相同。可考慮從行政級別、城市人口數量、經濟產值規模等不同要素劃分智慧城市等級，按照分級分標準的方式采取相應的網絡安全管理措施。

三是建立與現有法律法規、標準體系銜接的管理制度。網絡安全領域已建立以法律、法規、規范性文件、標準為體系的制度框架，制定智慧城市網絡安全相關制度應與網絡安全法、密碼法以及正在制定的數據安全法、個人信息保護法、關鍵信息基礎設施安全保護條例等法律法規做好銜接，充分運用和發揮現有法律體系的制度效能，構筑智慧城市網絡安全的基礎屏障。

3.2 制定主體明確、責任清晰的安全責任制度

一是各級管理部門應注重制度建設。智慧城市網絡安全管理部門包括國家及地方相關主管部門、項目建設主管部門。國家主管部門應建立和完善智慧城市網絡安全標準，監督、評估相關政策和管理機制，發揮統籌、指導、檢查的作用。地方主管部門應依據國家政策方針，結合地方實際制定具體管理措施，組織開展相關工作。項目建設主管部門應按照“誰主管、誰負責”的原則，貫徹落實相關政策與舉措。網絡安全相關主管部門應依照政策與法規要求，在各自職責領域加強監督與管理。

二是建設與運營單位應履行安全責任制。智慧城市建設與運營單位包括建設單位、運營單位、服務單位及相關人員。建設與運營單位應依照相關政策、法律制度滿足相關資質要求，履行網絡安全相關職責義務，接受主管部門的監督與管理。對建設與運營人員應加強網絡安全意識教育與崗位培訓，建立責任到人的安全責任制度，加強人員上崗、換崗、離崗的流程管理。

三是使用者負有安全使用的義務。智慧城市使用者包括使用單位和個人。使用者應規范使用智慧城市應用與服務，樹立網絡安全意識，及時反映存在的網絡安全問題。

3.3 強化項目管理，建立全流程的安全管控機制

一是落實“三同步”原則，加強過程管理。智慧城市建設應按照信息化與網絡安全“三同步”的原則進行，結合新技術、新應用的發展特征與趨勢，依照有關政策法規、標準規范的要求，設計滿足現實需求的網絡安全保障框架，同步規劃、同步建設、同步使用，構建覆蓋智慧城市建設與運營全過程的網絡安全保障體系。

二是建立全流程的評審、檢查、驗收制度。智慧城市在建設與運營過程管理中應建立專家顧問機制，對智慧城市網絡安全規劃設計進行論證，對建設與運營過程中網絡安全同步建設情況進行檢查，對網絡安全合規與達標情況進行評定，出現問題及時整改，通過專家評審的才可進入下一個環節。需要經過國家安全審查的相關產品與服務，應以通過安全審查作為驗收的必要條件。

3.4 抓實關鍵環節，落實安全管理措施

一是強化數據治理與安全保障。全面梳理智慧城市應用的各類數據，根據數據的重要性和敏感程度、關聯程度以及泄露后對個人、社會、國家的影響程度，制定數據分級分類標準和指南。依據相關法律法規和標準，采取加密、訪問控制等措施加強對個人信息和重要數據的保護。對數據的采集、傳輸、存儲、分析、應用、交易、共享、銷毀等全生命周期管理建立清晰的規則并加強監管。發布、共享、交易或向境外提供重要數據應經相關主管部門批準。

二是落實供應鏈風險管理制度。智慧城市建設涉及的供應商數量眾多、類型多樣，繁多的產品與服務一方面存在全生命周期中的傳統安全風險；另一方面存在供應中斷的供應鏈風險，特別是嚴重依賴國外供應商的供應鏈所面臨的風險尤為突出。智慧城市建設與運營應加強對產品與服務的全生命周期安全的監管，建立供應商評估、考核機制，加強對對外依賴性強的供應鏈監管，保障智慧城市持續穩定運行。

三是加強監測預警與應急處置的協同組織。建立全國聯動的監測預警機制，將智慧城市監測預警平臺接入聯動系統，構建智能化、多維度的監測預警體系。聯合政府部門、研究機構、企業等應急響應技術力量，建立覆蓋數據采集、分析處理、預警發布、協同響應的整體應急處理機制，整體提升我國智慧城市網絡安全監測預警和應急處置能力。

四是建立風險排查與評估改進機制。國家智慧城市網絡安全主管部門應制定智慧城市網絡安全評價指標體系和評價工作機制，統籌指導地方各級主管部門開展檢查、評估、改進工作，就相關政策制度與法律法規落實情況、網絡安全工作機制和制度的制定與執行情況、網絡安全措施保障情況、安全投入與資源保障情況等進行評價與檢查，督導智慧城市建設與運營單位及時整改發現的問題，提升網絡安全保障能力。

4 結語

智慧城市建設要正確處理安全與發展的關系，智慧城市作為一個要素復雜、應用多樣、不斷演化的綜合性復雜系統，片面追求快速高效而忽視安全管控的發展，必將造成巨大的安全隱患。加強智慧城市網絡安全管理，以“整體、動態、開放、相對、共同”的網絡安全觀為指引，打造安全的智慧城市，將更好地發揮智慧城市服務成效，提升城市治理與服務品質，促進經濟社會健康發展，推進國家治理體系和治理能力現代化。

 

（原載于《保密科學技術》雜志2020年11月刊）