◎文/郑卫华

智慧城市信息安全体系研究及对天津的启示

◎文/郑卫华

智慧城市已经成为全球范围内城市发展的热点，信息安全是智慧城市持续健康运行的保障，同时也是目前智慧城市推进的难点之一。本文在对城市信息安全风险进行了归纳总结的基础上，从数据安全和隐私保护角度对智慧城市的信息安全问题及信息安全架构进行了初步探索。

智慧城市；信息安全；隐私保护

2008年IBM“智慧地球”概念提出后，智慧城市成为全球范围内城市发展的热点。城市智慧化被作为提升区域竞争力及解决人口、交通、能源等带来的发展问题的重要途径，成为城市发展的共识。美国、英国、日本、韩国、新加坡、丹麦、西班牙、荷兰、印度、马来西亚等国家都制定了智慧化发展战略。2009年IBM《智慧城市在中国》白皮书的发布，推动了我国智慧城市的建设，并快速成为我国城市提升能级的主流趋势。2014年，国务院颁布了《国家新型城镇化规划（2014－2020年）》，智慧城市成为我国新型城镇化建设的重要任务。

信息安全和信息化是建设智慧型城市的一体两翼，信息安全是智慧城市持续健康运行的保障，同时也是目前智慧城市推进的难点之一。随着各类应用服务的快速发展，信息安全已经不仅仅局限于政治、军事、外交等方面，信息安全越来越贴近于经济、生活领域，用户的数据安全和隐私保护逐渐被重视。本文从数据安全和隐私保护角度对智慧城市的信息安全问题及信息安全架构进行初步的探索。

一、理论基础

（一）智慧城市的内涵

全球智慧城市建设还处于探索阶段，关于智慧城市的概念并没有统一的定义，智慧城市的发起者IBM认为智慧城市是运用信息和通信技术手段，感知、分析、整合城市运行核心系统的各项关键信息，从而对包括民生、环保、公共安全、城市服务、工商业活动

在内的各种需求做出智能响应。Forrester机构认为智慧城市就是通过智慧的计算技术为城市提供更好的基础设施与服务，包括使城市管理、教育、医疗、公共安全、住宅、交通及公用事业更加智能、互通和高效。我国工信部在发布的《智慧城市评估指标体系》中指出智慧城市是利用新一代信息技术来感知、监测、分析、整合城市资源，对各种需求做出迅速、灵活、准确反应，为公众创造绿色、和谐环境，提供泛在、便捷、高效服务的城市形态。

（二）智慧城市信息主体

智慧城市场景下的生产生活可以看作是用户通过各类解决方案（如平台、应用程序等）进行社交、贸易、生产管理等活动，那么智慧城市是新一代信息技术在城市管理和运行领域的应用，从某种程度上可以说智慧城市信息系统是一个智慧城市应用市场，这个应用市场的主体主要有三类：供方即服务提供商，需方即各类用户，政府是市场管理者。

（三）信息安全的主要内容

信息安全的核心是数据的安全和隐私的保护，一般情况下，信息安全的目标涉及三个不同方面：私密性、完整性和可用性。私密性是指只允许获得授权的主体才能访问特定数据的直接相关的行为。完整性是指一个数据、信息或数据包，不会在未经授权的情况下被更改，或者说数据的合法所有者或目标可以检测到变化。可用性是指在信息安全背景下，当拥有权限的人需要访问该信息时能够访问的到。

（四）智慧城市的信息体系框架

对于智慧城市的信息系统体系，现有的文献中，有的学者将其分为三层结构，如满晓元（2013）将智慧城市信息系统分为底层、数据共享平台、应用服务平台三层，底层为基础设施平台，主要包括互联网络和感知网络；数据共享平台主要包括基础信息资源库，例如人口信息、地理信息等；应用服务平台是面向公众、企业及政府的综合服务门户平台。有的学者将其分为四层，如李勇（2012）提出了智慧城市的四层技术体系即：感知层（即时收集城市各类信息）、互联层（通过移动互联、无线网络、专网等传递信息与数据）、平台层（海量信息的智能处理、分布式计算、信息发现等）、应用层（应用信息，提高城市效率）。中国电子技术标准化研究院在2013年颁布的《中国智慧城市标准化白皮书》中将智慧城市划分为四个层面，即深层感知、广泛互联、高度共享、智慧应用。

从数据流的角度，本文认为智慧城市信息系统是一个多入口、单出口的类循环系统，整个系统包含数据来源层、数据感知层、数据传输层、数据共享层、数据应用层、数据消费层六个层次，其中智慧城市消费层的用户也是数据的主要来源之一，即用户在智慧城市数据流中即是数据的生产者，也是数据的消费者。

数据来源层：数据来源主要来自于两个方面，一是城市的基础设施、环境、建筑、交通等，二是用户产生的数据。

数据感知层：主要功能是数据采集，是以物联网技术为核心，通过传感器、摄像头、RFID等各类终端，感知城市基础设施、环境等各类物体的信息，收录各类用户生成的数据信息。

数据传输层：主要功能是数据传递，通过互联网、移动互联网以及各类专网等，传输数据和信息。

数据共享层：主要功能是数据存储、分析，实现城市信息资源的聚合、共享、公用，为数据应用提供支撑。

数据应用层：主要功能是为用户提供各类解决方案，包括平台、框架、应用程序等服务。

数据消费层：主要功能是用户通过各类应用服务将数据转化为各类分析决策的基础或生产资料，用户包括个人、政府、企业等。

二、智慧城市面临的信息安全风险

智慧城市建设是一项复杂的大型系统工程，高度集成了物联网、云计算、大数据等众多新一代信息技术，与传统的城市形态相比，智慧城市的信息环境具有开放性、移动化、集中化、协同化、高渗透性等特点，信息的数量、形态、传输速度、传播范围向大、多、快、广方向快速发展，智慧城市信息体系各层面都存在着比传统信息安全更为严峻的安全风险和脆弱性。

（一）智慧城市信息主体的安全风险

智慧城市的概念与 “数据”和“互联互通”紧密相关，其智慧服务是利用数据实现的，比如居民的位置信息、数据交流信息、行业和地方政府数据等。数据的积累和处理，增加了个人和社会层面的安全和隐私问题，恶意攻击者会通过多个渠道、多种手段对用户和合法的服务商及应用服务进行攻击，其主要侵权行为目标包括用户的私密信息、应用服务的使用模式、社区的机密统计数据、公共数据等。

因此，智慧城市信息安全的主要内容是就防止用户、服务提供商遭到恶意攻击，以及预防自然环境的破坏对数据的影响两个方面。服务提供商主要关注感知的数据是否存在缺陷、基础设施的传感器感官怎样不会受损害、其他服务供应商提供的服务是否可信、数据存储和共享是否符合用户隐私相关法规等等。用户层面主要关注自己是否可以控制共享数据、传输和存储自己的信息怎样才能安全、自己的数据都可以被谁访问、谁能够保证服务提供商是诚实可信的等。

（二）智慧城市可能出现的信息安全风险

在智慧城市信息流通过程中，可能出现的信息安全威胁主要有以下几种：

1.应用程序访问入口。数据在终端和网络之间的传输是非常重要的安全风险。网络中，设备可以以不同的方式、在不同的位置访问一个数据包，为了增强数据私密性和完整性，应加强数据传输的安全性。为了在数据传输中减少延迟，可以创建本地拷贝或缓存。比如某一个传感器连接到一个服务器，以识别用户A，检索它的权限。在这个过程中，用户B可能会在不同的网络节点或不同设备上截取该数据包，并且从用户A和正在访问数据的设备上获得一系列信息。

2.信息跟踪。智慧城市场景中，部分系统之间是相互连通、相互操作的，以安全的方式支撑系统间数据交换非常重要，避免通过其他系统泄露原始信息的来源。

3.用户跟踪。智慧城市解决方案利用传感器来采集数据，城市解决方案会使城市管理变得更好。由传感器带来的问题诸如传感器的安全、采集到的数据的安全等，因此，传感器必须由一个负责任的实体监管。最重要的风险问题，就是要保证没有任何一个传感器的信息可能被用于跟踪用户、用户的活动和决策等，比如：未经授权的跟踪用户，发现用户活动情况和泛滥的定向广告推送等。

4.用户数据丢失：智能手机、平板电脑以及其他工具为智慧城市系统提供了海量的数据和信息，这些数据和信息中包含了个人的机密信息，如消息、图片、预约、银行账户、联系人等。很多情况下，这些数据被应用程序管理，使用本地存储工具或API进行数据存储。应用程序在终端上存储的数据可能会丢失，这将给用户带来重大的问题。因此，必须预防未经授权的情况下，在客户端通过各种应用程序、系统或服务获取数据。采取的方法通常是增强客户端加密存储机制或系统隔离。

5.数据中心信息的交叉访问：由于服务端系统漏洞，系统可能被非授权用户访问。例如：在系统存储、分析、管理时，非

授权用户通过其他手段侵犯数据安全性，整个系统可能会受到损害。两个不同的应用程序共享同一个授权的数据区域时，应用程序可以从非特定的连接获取到其他未授权访问的信息。这种情况，不仅仅是对一个特定实体的认证和授权就能解决的，重要的是在一个可互操作、共享的环境下要有一个正确的限制和边界。

6.客户端交叉访问。通过系统A到破坏系统B的信息。比如说一台手机中的两个具有相同存储机制的应用程序没有被正确的隔离，攻击者可用通过其中一个应用程序访问另外一个应用程序的信息，甚至可能会被恶意安装第三个应用程序访问这两个应用内的信息。

7.数据病毒感染。智慧城市是一个互联和互操作的场景，如果各系统之间没有很好的界定边界，并且，系统缺乏深度防护体系，那么病毒可能会通过感染其中一个系统，而迅速蔓延到整个网络上的其他系统。

三、智慧城市信息安全架构的设想

（一）智慧城市信息安全责任主体

在云环境下，公共网络边界模糊，任何一个节点都有可能成为受攻击对象。相对于传统的IT环境，数据存储于用户自己的领域，而在云模式中，用户数据的所有权和控制权被分离。因此，安全模式随之发生了变化，安全责任主体也由用户转变为提供商和用户共同承担。

在智慧城市场景下，系统高度互联，数据充分共享，数据和隐私的安全风险如上节所列，更容易受到其他系统的影响，信息系统环境面临更多的安全挑战，信息安全在社会公共安全中的重要性逐渐增加，这也是在智慧城市建设中在主要困扰因素之一。

用户对数据和隐私安全的担忧、用户与服务商之间的不信任、服务商与服务商之间的不信任等一系列问题，影响了数据的共享、系统的协同，制约了智慧城市的建设与发展。这需要政府从城市整体运行的角度，为整个城市系统建立信任环境，确立基本的信息行为准则，因此，智慧城市场景下的信息安全责任主体拓展到用户、服务商、政府，三方责任主体共同维护城市信息系统安全。

（二）智慧城市信息安全体系概念模型

目前，国内学者对于智慧城市信息安全体系架构的研究，主要侧重于宏观的智慧城市建设框架角度，但是没有对信息安全的责任进行划分，如娄欢，窦孝晨（2015）提出了三层的智慧城市信息安全架构，包括基础设施、运营管理、解决方案三层。

国外学者更多的侧重于数据、服务安全，英国学者Zaheer Khan等（2014）认为安全和隐私不仅只涉及居民，服务提供商和政府同样有信息安全的顾虑，认为智慧城市关键是要建立一个信息体系，提出了基于信任机制的智慧城市信息安全概念模型，该模型适用于各类主体的解决方案，具有较强的城市系统性，但是该学者只考虑了正常运行的城市环境，将恶意攻击者作为预防对象，并没有考虑到重大的地质、自然、环境灾害等对数据的影响。城市发展或人类生活具有历史性，因此，数据灾备处理是城市信息安全体系的重要部分，故而本文在前者的基础上，从责任主体角度提出了智慧城市信息安全架构。

1.政府信息环境的建立。政府作为城市的管理者，需要创建一个良好的可信环境，为应用程序服务市场的供需双方提供交易基础，同时要监督用户和服务提供商都在法规和政策范围内工作。一是源数据的完整性检验。当智慧城市中的设备、服务、居民在高度互联的智慧城市中产生数据时，完整性检查组件对其进行认证。这些证书可以确保服务

提供商可以信任数据源，并在遇到数据欺骗的情况下，可以追溯来源和避免伪造服务体验。二是服务提供商及服务可信性验证，保证服务提供商提供合法可信的服务。对应用程序的服务过程进行登记认证，经监督机构认证后方可向用户推广。三是公开数据访问授权。四是建立审计跟踪机制，以确保涉及的实体在其范围内工作。五是建立数据灾备策略，必须建设远程异地数据备份中心。

2.用户端信息安全策略。用户端信息安全机制主要实现两个功能，即智慧城市采集的数据的安全性和私密性、客户端的应用程序不被恶意篡改。一是验证用户或服务供应商的有效性。二是验证应用程序按照政府法规服务。服务提供商应该遵守政府制定的规则和法规，政府也有确保服务商按照监管当局在登记服务过程中批准的服务描述工作的责任。三是数据匿名或加密机制。数据匿名化可以有效分离用户与数据，当数据受到感染时，由于没有正确的映射信息追溯到它的数据所有者或有关的利益相关者，以降低隐私被侵权的可能性。数据加密机制可以提高数据安全性，确保恶意服务供应商或用户无法访问私人和机密数据。四是等级保护策略选择机制。根据感知信息和服务的描述，对用户的私密信息进行不同等级的保护策略。五是服务授权机制。用户要建立一般性或个性化访问控制策略；建立访问控制日志，记录数据访问活动。

3.服务端信息安全策略。主要解决在不受信的范围内服务供给、安全和隐私数据共享的问题，进而为服务供应商在公共和居民数据基础上开展合作，开发新的服务，从而提高智慧城市的生活体验。一是建立服务供给机制。完善智慧城市服务的开发环境，使服务提供商能够根据网络和计算负载自主扩展服务。二是建立数据仓库。使服务供应商可以访问公共数据库，也可以与其他服务供应商共享应用程序/服务的特定数据。三是开放应用程序接口，使服务提供商与其他服务商开展安全的合作。

四、对智慧天津建设的启示

智慧城市建设是城市建设的主要趋势，国内外众多城市将智慧城市建设作为城市发展的主要抓手。据工信部《2014年ICT深度报告》统计，我国100%副省级以上城市、89%地级及以上城市、47%县级及以上城市都在推进智慧城市建设。天津市将智慧城市建设作为加快实现创新驱动、转型发展的重要举措，到目前有生态城等7个区域已被列入国家智慧城市试点。智慧城市建设过程中，信息安全方面还存在着诸多问题，如信息安全意识有待于进一步加强；信息安全技术发展落后于新一代信息技术的发展；信息安全专业人才匮乏；城市信息安全体系研究不足；核心技术受国外服务商制约等。

因此，建设智慧天津应该注重以下几个方面：一是大力普及信息安全风险、保障知识，加强各方信息安全意识；二是明确各主体的责任，特别是政府建立信息安全信任环境的责任以及政策法规执行的监督责任；三是加强顶层设计，城市信息安全保障体系要与智慧天津建设同步，统筹布局信息安全体系，技术与制度同步实施；四是注重基础，逐步实施，避免盲目推进。五是加强信息安全人才队伍建设；六是重要的社会人文领域同样要注重灾备建设，保障社会发展数据的延续性。

[1]范渊.智慧城市与信息安全[M].北京：电子工业出版社，2014.

[2]满晓元.智慧城市信息安全风险及评估方法[J].电子世界，2013（12）.

[3]李勇.智慧城市建设对城市信息安全的强化与冲击分析 [J].图书情报工作，2012（3）.

责任编辑：虞冬青

X9

A

1006－1255－（2016）11－0027-05

郑卫华（1979—），天津市科学学研究所。邮编：300011