智慧城市若干安全技术的初探

2017-11-17◆赵勃

网络安全技术与应用 2017年11期

关键词：信息安全智慧建设

◆赵勃

（西安石油大学陕西 710065）

智慧城市若干安全技术的初探

◆赵勃

（西安石油大学陕西 710065）

随着我国电子商务进程的加快，“智慧城市”建设进入高峰期，信息安全问题不能忽略。本文根据智慧城市信息系统的特点以及安全需求，在智慧城市基础平台的架构基础上针对智慧城市的信息安全问题进行研究，提出智慧城市同步实施信息安全保障体系的若干措施。

智慧城市；信息安全；云平台

0 前言

2014年以来，北京、上海、深圳等地纷纷开展了电子商务与智慧城市建设相结合的相关规划和工程建设，重点推进电子商务在智慧民生服务和智慧产业发展中的应用。这些一线城市带动内地诸多城市纷纷打出了“建设智慧城市、发展电子商务”的口号，随着经济的发展和技术的进步，城市建设呈信息化、智慧化的发展趋势。

智慧城市是运用物联网、云计算、大数据、空间地理信息集成等新一代信息技术，促进城市规划、建设、管理和服务智慧化的新理念和新模式。智慧城市参考模型从城市信息化整体建设考虑，以ICT技术为视角，且所需要具备的五个层次要素和三个支撑体系（如图1所示）。

图1 智慧城市基础参考模型

横向层次要素的上层对其下层有依赖关系，纵向支撑体系对于五个横向层次要素具有约束关系。分别为：

（1）物联感知层：通过感知设备及传感器网络实现对城市范围内人员、设施、环境等数据的识别、采集、监测和控制。

（2）网络通信层：为智慧城市提供大容量、高宽带、高可靠的网络通信基础设备。

（3）计算机与存储层：为智慧城市提供计算、存储和相关软件环境的资源，保障上层对于数据的相关需求。

（4）数据及服务融合层：通过数据和服务的融合支撑，承载智慧应用层中的相关应用；提供应用所需的各种服务，为构建上层各类智慧应用提供支撑。

（5）智慧应用层：在前几层的基础之上建立的各种基于行业或领域的智慧应用及应用整合，为社会公众、企业用户等提供整体的信息化应用和服务。

（6）建设管理体系：指导智慧城市建设，确保智慧城市建设的科学性和合理性。

（7）安全保障体系：为智慧城市构建统一的安全平台，实现统一入口、统一认证和统一授权等功能。

（8）运维管理体系：为智慧城市建设提供整体的运维管理机制，确保智慧城市建设和管理的长效运行。

我国各地的智慧城市会话结合了城市自身的发展需求，发展和实施重点都各具特色，但不论是哪种建设方案，安全都是设计的关键环节。智慧城市采用云计算、物联网等新技术为手段，提供信息汇聚、信息共享的同时，也引入了新技术所带来的安全风险。这些安全风险将造成管理混乱、个人隐私泄露等局面。

因此智慧城市建设应从智慧城市规划、各系统设计各个环节全面充分考虑，建立全方位的、立体、综合的信息安全体系是智慧城市建设，形成信息安全保障的完整闭环。

1 智慧城市建设中所存在的安全性问题

智慧城市在建设中所存在的安全性问题如图2所示。

图2 智慧城市建设中所存在的安全性问题

1.1 技术性的安全问题

（1）物联网

在物联网技术的应用中，很多设备无人值守，设备容易受到硬件的损坏更改以及软件的操作和病毒嵌入。在与互联网的连接中，容易受到互联网安全风险的入侵。互联网针对不同的行业、不同的应用场景，设计什么样的安全协议，以及如何平衡数据安全性和有效传输效率的问题将是智慧城市安全需要考虑的问题之一。

（2）云计算

云计算技术为智慧城市建设提供高性能服务的支撑。云计算服务器上部属web应用程序，需要面对各种应用和网络威胁。虚拟环境中的信息防护和访问授权是传统安全保护策略无法应对的。

（3）大数据

大数据的安全隐患包括大数据中用户的隐私保护风险，大数据的可信性风险、大数据的访问控制风险。对于隐私性风险，如果大数据不能妥善处理用户的隐私，不仅存在个人信息泄露的风险，不法分子还可以利用获取的大数据分析未来人们的行为、状态和活动。对于可信性风险，伪造数据是常用的攻击手段，错误和虚假的数据会导致大数据分析得出错误的分析结果。同时在数据使用、存储和传输过程中，破坏数据的完整性也是攻击者的惯用伎俩，但是对于数据的完整性保护对于来源渠道广泛、数据粒度不同、海量的数据增加了实施的难度。大数据是云计算的落地，非法或未授权的信息会导致信息泄露等连带风险，于传统的数据访问相同，需要制定完善的大数据的访问权限和访问策略。智慧城市在统一的云平台上集成了城市管理和服务相关的各个系统，这些系统在云平台上聚集了海量的数据，跟传统的数据相比，大数据存在数据规模大、价值密度低、数据类型复杂、处理时间快等特点，在大数据的存储、应用、管理中，如何确保信息安全，是智慧城市建设中需要解决的重要安全问题。

（4）移动互联网

移动互联网技术发展迅速，移动终端设备的应用安全问题突出，移动终端设备漏洞威胁、病毒入侵威胁会在智慧城市网络中快速扩散，甚至导致局部网络的瘫痪，造成个人经济损失和安全隐患。

1.2 城市管理的安全性问题

（1）安全意识淡薄，安全管理经验不足

智慧城市是城市建设的新模式，伴随着新一代信息技术的发展出现了很多应用，这些应用涵盖了涉及公民个人隐私、个人财产甚至国家安全等诸多方面的数据。但当前国家、政府对数据安全的保护意识还不强，法律法规建设不完善，缺乏有效的责任认定机制，容易出现物理设备、网络、主机和数据管理人权限滥用、内部人员操作不当或操作错误等情况。

传统的城市管理模式以及安全防护手段已经滞后于智慧城市的建设，缺乏应对新的应用环境和管理方法。因此需要以智慧城市的发展为特点，提出新的安全解决方案。

（2）资源共享安全问题

智慧城市是城市信息建设逐步完善的过程，虽然全国多个城市都提出了各自的智慧城市建设方案，但各地对智慧城市建设水平层次不齐，在安全规划、资金投入、实施等方面差异较大，安全保护级别不同。这些导致了在城市中存在多个信息孤岛的问题。为了解决这个问题，避免盲目建设和资源浪费，打通各部门之间的信息资源壁垒，建立信息资源共享和整合平台是解决必要途径。但安全风险也随之而来，如共享资源泄露的风险，跨部门之间消息传输安全风险，因此保障信息共享平台的安全以及跨部门协作之间的安全性是至关重要的问题。

（3）安全运维问题

互联网技术的发展，移动通信技术发展迅猛，我国的移动互联网终端用户数据剧增，2014年，4G用户发展速度超过3G用户，高达12.9亿，2015年4月，全国4G手机用户数量接近4亿。随着互联网和智能家居技术的推广，智能电表、智能摄像头、智能家电、智能窗帘等终端设备走进了市民的家庭生活。如此大量的感知设备和智能终端在给人民生活提供丰富信息和便利生活的同时，也为攻击者提供了更为宽广的攻击平台和环境。

感知设备面临着数据在采集、存储和传输中的泄露，网络病毒和恶意软件的侵袭，以及应用数据非法非授权的访问和数据劫持或篡改等攻击。同时，物理设备的故障和应用程序的错误等需要在智慧城市的建设中考虑设备和程序的维护和更新。因此需要建立强大综合的安全运营平台，保证超大数量数据的处理和存储安全，为智慧城市的运行提供信息资源保障。

（4）关键技术的自主可控问题

城市建设中的基础设施、网络和重要工业和信息系统的设施的核心技术和关键产品都从国外引进，因此关键设备中存在技术后门，我国无法自主控制，这些后门很容易被境内外的不法分子利用，蓄意破坏或终止生产，对网络和城市管理系统实现攻击，或者利用 APT等复杂的攻击方式，潜伏在网络中窃取国家机密和企业商业机密，并进一步实施危害国家和人民安全的活动。