新型智慧城市CIM平台的大数据流转安全研究

2021-03-04中国海洋大学胡丹中电科网络空间安全研究院于忠臣

网信军民融合 2021年12期

◎中国海洋大学◎胡丹、中电科网络空间安全研究院◎于忠臣

新型智慧城市CIM平台，可促进智慧城市数据资源集聚，全面推动政务数据与社会数据的跨领域融合应用，打通数据流通通道，避免孤岛，创新数据管理和共享开放体系与数据交易服务体系。本文针对CIM平台数据来源涉及数据格式种类繁多，且应用数据交换需求多样、系统权限体系复杂、跨域延伸不可控等智慧城市数据流转过程中面临的安全难点，提出了基于CIM平台的大数据流转安全框架，以数据分类分级为基础，依据数据安全流转周期与数据治理安全域的时空维度，构建数据安全流转体系，从而解决智慧城市数据多源异构、跨网跨平台交换和共享的安全问题。

1. 新型智慧城市CIM平台发展概述

随着人类社会的不断发展，未来城市将承载越来越多的人口。预测到2050 年，全球城市化的比例将达到 70%，大约将有60亿人口涌入城市。目前，世界很多地区为解决城市发展过程中日益严峻的“城市病”难题，实现城市可持续发展，建设智慧城市已成为当今世界城市发展不可逆转的历史潮流。中国智慧城市发展经过萌芽阶段（智慧城市概念提出之前）、探索试点阶段（2010年-2015年）、体系创新阶段（2016年-现在）的持续演进，发展为新型智慧城市。中国无论在政策还是在发展规划方面，一直将智慧城市以及新型智慧城市作为城市经济社会可持续发展的重点任务进行推进。预计未来在国家“智慧社会”、“数字强国”等战略的引导下，新型智慧城市相关领域的建设投资规模还将保持较快增长水平。

2020年4月，中共中央国务院公布《关于构建更加完善的要素市场化配置体制机制的意见》，指出土地、劳动力、资本、技术、数据五大生产要素的改革方向和相关体制机制的建设要求。自此，数字技术从助力经济发展的工具转变为引领经济发展的核心，“数字经济”开启蓬勃发展之路。

智慧城市建设离不开海量数据支持，数字经济的工作重心便是数据采集处理，这也契合智慧城市建设发展所需。通过对国际典型智慧城市进行研究与分析发现，近年来智慧城市建设尤其注重CIM（城市信息模型）平台对智慧城市在数字孪生的支持作用。CIM也正在被越来越多地应用于打通城市“信息烟囱”、“数据孤岛”，实现智慧城市数据采集、共享和利用。2018年11月，国家住建部启动了CIM平台建设的试点工作，首批试点城市包括南京、北京城市副中心、广州、厦门和雄安新区。

CIM（城市信息模型）是以城市信息数据为基础建立的三维城市空间模型和城市信息的有机综合体。随着新型测绘、模拟仿真、深度学习等技术的成熟运用，数字空间构建了一一映射的数字孪生城市。除了三维视觉表现，还承载了城市要素的属性信息，将城市三维模型从可视化阶段真正引入城市计算领域，实现挖掘、统计、分析、决策，物理城市的数字表达经历了从最初的二维平面到三维立体、到全要素结构化的发展历程。经过语义化技术进行结构提取和属性自动挂接得到的CIM平台成为了发展新型智慧城市的基础核心。因此，保障智慧城市数据开放共享过程中的安全流动成为CIM的核心安全问题。

2. 智慧城市CIM平台大数据流转安全风险分析

智慧城市CIM平台作为新型智慧城市的基础信息平台，运行了智慧城市各类关键业务数据与城市基础数据，各类数据资源必将成为未来网络对抗的焦点与重点攻击目标。其存在的网络安全风险主要包括为：一是CIM平台汇聚智慧城市各类数据，在为有关部门提供数据服务过程中存在的安全风险；二是考虑到CIM平台依托政务云进行建设的实际情况，云平台特有的安全风险；三是平台本身作为数据服务平台所带来的传统安全风险；四是CIM平台在与其他业务平台交互过程中，通过数据接口的传导风险；五是由不完善的安全管理体制和策略所带来的网络安全风险。

本文针对CIM平台在大数据流转过程中，列举出面临的五种数据安全风险：

2.1 智慧城市CIM平台数据访问失控风险

智慧城市CIM平台的每类数据库对访问控制的粒度以及标准存在不一致的支持度，假设当前需要进行字段级粒度的访问控制，而某些组件只能对表级粒度进行访问控制。因此，访问控制能力的差异必然会导致制定全局安全策略变得困难，全局策略制定困难成为了统一访问控制机制的短板，而且CIM平台数据访问控制安全策略的优化依赖于对当前数据安全属性状态的掌握程度。过于宽松的数据访问权限，极大地增加了将来出现数据泄露问题的可能性，CIM平台的特权账户权限过大且缺乏有效监管也是目前面临的重大安全问题。

2.2 数据防护策略与数据级别不匹配

数据分类分级既是数据治理的基础，也是开展数据共享与开放的前提。如果CIM平台中的数据未进行分类分级，则会按照政务数据默认敏感等级进行安全保护，从而造成多种问题：首先，部署安全防护工作需要投入更大量的人力物力财力；其次，未分类数据中敏感级别低于默认敏感级别的数据会被过度保护，存在安全资源过度投入，防护过度也会导致系统运作效率降低；另外，被默认级别保护的数据中还将含有大量敏感级别高于默认级别的数据，从而出现高敏感数据保护不足的风险。

2.3 缺乏数据评估的共享与开放风险

CIM平台汇聚了各种新型智慧城市相关的数据资源，对各类数据如果缺乏分类分级治理，尤其是在数据服务提供过程中，对数据应用方管理失控，势必会造成国家敏感数据的泄露，来自不同数据集的海量数据经过采集和分析会产生巨大的情报信息价值，成为西方国家对我国开展网络空间监视和控制的重要依据。

2.4 城市级敏感数据泄露风险

CIM平台有时需要提供批量数据给数据应用方，同一份数据也可能会同时提供给多个数据应用方。一旦发生了数据泄漏事件，并且泄漏的数据是CIM平台曾经提供给了多个数据应用方的情况下，泄漏渠道可能是其中一个或多个数据应用方，也可能是CIM平台自身泄漏，很难准确判断泄漏途径，存在数据泄漏不可追溯风险，难以归责。

2.5 智慧城市CIM平台数据共享与交换风险

CIM平台数据整合共享涉及大数据集中存储和管理，大量的分散、结构化和非结构化的数据汇集到共享平台的大数据存储和管理系统，多个部门存储、处理的工作秘密或者内部敏感数据汇聚后可能涉及国家秘密，对数据保护不足，极易导致泄密。CIM平台数据的运营者常常不是数据的所有者，使得数据在存储和处理过程中容易被滥用，如果多个数据使用方权限控制的安全性不足，导致非授权用户的越权访问。

3. 智慧城市CIM平台大数据流转安全体系

由于CIM平台在数据流转的过程中，绝大部分数据来源于其他城市级信息平台，如物联网平台、视频网平台等，以及各类智慧城市应用系统；符合数据开放条件的数据存储在城市大数据平台；智慧城市各个平台之间数据传输主要通过电子政务外网、5G、视频专网、物联网等。因此，CIM平台重点关注在数据处理与数据交换阶段的大数据流转安全，而在数据采集、数据传输、数据存储、数据销毁等阶段要求其他平台提供必要的安全措施。

CIM平台服务于智慧城市各委办局、各类设计建设单位与城市运营单位、以及数据相关科研单位和企业，由于在数据处理与交换的过程中，各个数据主体角色在CIM平台不同的数据流转阶段安全关注点有所不同，CIM平台大数据流转安全框架包括数据安全流转周期与数据治理安全域。

图1 智慧城市CIM平台大数据流转安全框架

3.1 数据安全流转周期

依据智慧城市CIM平台数据流转过程中，所涉及数据流转处理重点的不同，划分为数据组织安全、数据利用安全、数据开放安全与数据运维安全四个环节。

数据组织安全环节针对CIM平台与数据提供方交互的对源数据的一系列处理操作，为数据的共享与开放提供必要的前提处理；数据利用安全环节针对CIM平台的数据做共享与开放地安全计算与分析处理；数据开放安全环节主要针对CIM平台与数据应用方交互的数据共享与开放服务提供安全保障；数据运维安全环节针对CIM平台整个数据共享与开放的过程中的平台运营做保障处理。

3.2 数据治理安全域

依据智慧城市CIM平台数据流转过程中涉及的数据治理重点，对数据进行不同的处理需要，划分为数据采集域、数据计算域、数据应用域、数据运维域。数据采集域是对CIM平台的数据提供方的源数据做数据组织安全环节各种处理；数据计算域是对CIM平台各等级的数据做相关的数据利用安全环节相关处理；数据应用域是对CIM平台与数据应用方提供数据共享与开放相关的数据开放安全环节执行相关操作；数据运维域主要是针对CIM平台各级别数据的不同存储要求分等级存储，执行数据运维安全环节相关操作。

4. 数据安全流转周期安全治理策略

智慧城市CIM平台数据安全流转周期，包括数据组织安全、数据利用安全、数据开放安全、数据运维安全四个环节，依据数据共享与开放的设计思路，采取一系列数据安全技术措施，保障CIM平台数据流转安全。

4.1 数据组织安全

智慧城市CIM平台数据流转安全治理周期的数据组织安全环节，主要在数据采集域与数据提供方进行相关操作，包括：数据质量管理、数据分类、数据分级、数据标签。

4.1.1 数据质量管理

智慧城市CIM 平台汇聚了各类数据，包括航拍影像、遥感遥测、三维倾斜摄影、BIM、人文历史、各类规划、物联网等数据，这些数据主要是由物联网平台、视频网平台，以及各个智能城市应用系统作为数据提供方提供到CIM平台，进入CIM平台需要先对各类数据做数据质量管理，对数据的来源、时空属性、安全属性、要素属性等做质量审核。

通过数据质量管理为后续的数据分类、分级与数据标记等步骤提供基础数据，便于管理。可实现支持记录并保存数据清洗、转换和加载过程中数据的处理过程；支持制定数据质量分级标准，明确不同级别和类型的数据采集、清洗、转换和加载等数据采集处理流程质量要求等。

4.1.2 数据分类

针对智慧城市CIM平台数据，采用线分类法、面分类法和多维度相结合的方法，按专题、业务和行业三个维度进行分类，对于每个维度采用线分类法将其分为大类、中类和小类三级。对于每一个业务大类，按线分类法划分中类。对于每一个中类，按照线分类法划分小类。

图1 智慧城市CIM平台大数据流转安全框架

按照智慧城市CIM平台数据资源所涉及的知识范畴，将数据按照专题进行分类，采取大类、中类和小类三级分类法。

按专题将数据分为以下大类:国土资源、能源、交通、城乡建设、环境保护、水利、旅游、气象、水文测绘、医疗、教育等。

根据智慧城市CIM平台数据资源所涉及的业务应用范畴，按业务将数据划分为现状、规划、建设、运营、乡愁等类型，主要基于以下原则:

·要对构建数字孪生城市具有决策支撑作用

·体现经济调节、市场监管、公共服务等政府职能

·有利于实现智慧城市各政府单位与社会单位内部跨部门、跨行业数据共享

根据智慧城市CIM平台数据资源所涉及的行业领域范畴，采用GB/T4754-2011规范的国民经济行业分类与代码，将其四级类目的前三级(即门类、大类、中类)对应为本标准的大类、中类、小类。

按行业将数据分为以下大类:农、林、牧、渔业；采矿业；制造业；电力、热力燃气及水生产和供应业；建筑业；批发和零售业；交通运输、仓储和邮政业；住宿和餐饮业；信息传输、软件和信息技术服务业；金融业；房地产业；租赁和商务服务业；科学研究和技术服务业；水利、环境和公共设施管理业；居民服务、修理和其他服务业等。

4.1.3 数据分级

针对智慧城市CIM平台数据分类后的处理情况，对数据进行分级，依据数据的开放风险程度进行划分，从数据的影响对象、影响范围、影响程度、影响要素等因素来定义分级，可以将CIM平台数据划分为公开、内部、秘密和机密四个等级，防止在数据共享与开放的过程中，数据被非法获取、篡改、泄露或者不当利用。

·影响对象：国家、行业、地区、个人等；

·影响范围：国家安全、社会秩序、公共利益、组织权益、个人利益等；

· 影响程度：严重、中等、轻微、无；（一般指数据的完整性、可用性等安全属性遭到破坏后带来的影响大小）

· 影响要素：严重、中等、轻微、无；（指数据作为生产要素属性的权属、定价、交易与使用等属性遭到破坏后带来的影响大小）

根据智慧城市CIM平台数据的价值、内容敏感程度、影响不同，将数据等级分为四级：

Ⅰ级（公开）数据——可以直接向社会公众开放的数据，例如智慧城市某条街道的交通灯工作情况数据，或者智慧城市某政务大厅的工作服务情况数据。

Ⅱ级（内部）数据——安全要求低，在国家相关政务单位内部开放但不向社会直接公开的数据，如需向社会开放需要经过数据脱敏等技术处理。例如智慧城市某段时间的城市水电气使用数据。

Ⅲ级（秘密）数据——安全要求高，需要经过一定的技术手段脱敏处理，或者密文检索，可以向国家相关政务单位内部开放的数据。例如智慧城市某行政区域内的工程建设未来模型数据。

Ⅳ级（机密）数据——高度敏感的内部数据，其披露可能会对智能城市运营产生负面影响，或者危害国家安全。如需开放，不仅需要经过严格的技术手段脱敏与密文处理，而且需要经过时效性的过渡要求。例如智慧城市的军工相关驻地的三维倾斜数据。

4.1.4 数据标签

针对CIM平台的数据分类分级处理后，对所有数据进行数据标记，标记过程中主要从安全属性、业务属性、时空属性、主体权限与来源清单等维度，对数据添加全量标签，以及对数据作为生产要素维度的标记。根据数据在CIM平台的流向分为数据准备与数据应用两个阶段。

4.2 数据利用安全

在智慧城市CIM平台数据流转安全体系过程中，CIM平台数据安全治理周期的数据利用安全阶段，CIM平台的数据运营方在职责范围内采取相应数据安全技术措施保障数据利用安全阶段的数据安全，具体包括：数据脱敏、数据正当使用、数据分析安全、密文数据检索、密文集合操作、数据要素脱敏。

4.3 数据开放安全

在智慧城市CIM平台数据流转安全体系过程中，CIM平台数据安全治理周期的数据开放安全阶段，CIM平台的数据运营方与数据应用方应在各自职责范围内采取相应数据安全技术措施保障数据开放安全阶段的数据安全，具体包括：资源目录管理、数据溯源管理、数据共享安全、数据接口安全、数据发布安全、要素可用性管理。

4.4 数据运维安全

在智慧城市CIM平台数据流转安全体系过程中，CIM平台数据安全治理周期的数据运维安全阶段，CIM平台的数据运营方与数据提供方和数据应用方在不同CIM平台数据安全流转周期，在各自职责范围内采取相应数据安全技术措施保障数据运维安全阶段的数据安全，具体包括：元数据管理、数据供应链管理、逻辑存储安全、数据备份和恢复、数据传输加密、数据存储加密、数据导入导出、授权管理、访问控制、应急处置、安全审计、态势感知、预警监测、风险评估；数据要素身份鉴别、要素权限管理、交易信息保密管理、数据要素追溯管理、要素交易不可抵赖性管理、交易可审计性管理。