智慧城市网络安全挑战及有关建议
2023-10-11李阳国家信息中心
■文/李阳(国家信息中心)
一、智慧城市概况
(一)智慧城市概念
智慧城市是基于数字城市、物联网和云计算技术建立的现实世界与数字世界的融合,以实现对人和物的感知、控制和智能服务。中国科学院院士尹浩认为,智慧城市是利用先进的信息技术,实现城市智慧式管理和运行。中国工程院院士邬贺铨认为智慧城市是具有很大发展空间的市场,要重视城市云的建设和政府数据平台,这些可以为城市发展提供技术支撑。
(二)智慧城市发展阶段
2010年IBM公司首次提出“智慧城市”愿景,各类有关“智慧城市”的概念表述、模型架构及建设实践在全球各地纷纷涌现。2014年经国务院同意,国家发展改革委、工业和信息化部等八部委印发《关于促进智慧城市健康发展的指导意见》,明确推进信息资源共享和社会化开发利用、强化信息安全等具体措施。中国科学院院士梅宏认为,智慧城市正在经历信息系统建设、数据跨域融合阶段,正在向数字孪生治理阶段发展,需要解决智慧城市在持续发展中的深层次问题,通过对城市数据进行感知并融合分析,在数字空间和物理空间进行交互联动,探索城市运行的机理和规律。
(三)智慧城市网络安全的重要意义
智慧城市通过物联网、云计算、人工智能等新一代信息技术来承载城市基础设施、公共服务、城市治理等功能,通过智慧城市的万物互联来提高城市的运行效率和管理水平,呈现数据来源广、用户数量大、智能终端泛等特征,使得城市重要网络、关键系统、敏感数据等面临不断扩大的网络攻击面,系统漏洞、安全风险也随之增加。加强智慧城市网络安全防护,对于提升数字时代人民群众的获得感具有重要的现实意义。
二、我国智慧城市网络安全发展现状
自2010年智慧城市概念提出后,世界各国给予了广泛关注,美国、澳大利亚、新加坡、日本、韩国等国家大力推进智慧城市建设。我国也高度重视智慧城市建设,尤其是围绕智慧城市的网络安全防护,出台一系列政策举措。
(一)加强规划先行,指导智慧城市网络安全建设
以新一代信息技术为底座建设的智慧城市,在日常运行过程中面临着网络安全隐患,对此我国出台规划举措,为智慧城市建设和发展提供指导和支撑。2012年我国印发《国家智慧城市试点暂行管理办法》,2015年中央城市工作会议召开提出新型智慧城市理念。“十三五”期间,我国提出“推进大数据和物联网发展,建设智慧城市”。2019年,国家发展改革委、中央网信办等部门重新修订《新型智慧城市评价指标(2018)》,将网络安全等纳入评价体系。国家先后制定并深入实施《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等,其中网络安全、数据安全的运营管理已成为智慧城市建设的重要环节。“十四五”期间,提出“分级分类推进新型智慧城市建设”,同时也提出“推进城市数据大脑建设”、“探索建设数字孪生城市”等,实现以数字化助推城市发展和治理模式创新。
(二)出台标准规范,强化智慧城市网络安全防护
在智慧城市建设过程中,我国逐步建立健全智慧城市国家标准体系,响应网络安全需求,积极服务城市应用。2019年8月30日,由国家信息中心组织起草的国家标准《信息安全技术 智慧城市安全体系框架》发布,提出了体现智慧城市特点、具有可操作性的安全体系框架。2020年4月28日,国家标准《信息安全技术 智慧城市建设信息安全保障》发布,提供了智慧城市建设全过程的信息安全保障指导。 2019年9月,中国城市轨道交通行业《智慧城市轨道交通信息技术架构和网络安全规范》发布,立足中国目前智慧城市的建设情况,对城轨信息系统基于云平台应用的总体需求进行规范。2022年6月,ISO、IEC正式批准发布《信息技术 智慧城市数字化平台参考架构数据与服务》,为智慧城市数字化平台建设提供了指导。2022年10月,国家信息中心牵头组织制定的国家标准《新型智慧城市评价指标》正式发布,用于新型智慧城市评价工作。
(三)城市加大布局,立足数字转型筑牢安全底座
随着数字化、网络化进程加快,智慧城市的数据资产暴露面不断扩大,安全风险持续增加。在此背景下,智慧城市建设、运营和治理等方面的工作重心也发生了重大变化,各地纷纷围绕城市数字化转型对网络安全保障的要求,出台行动计划、指导意见等,持续推动智慧城市的网络安全实践落地实施。2016年杭州首次提出城市大脑,从交通治堵的探索实践开始,到城市治理的全面升级,围绕场景试点深耕应用取得了一系列成果,突出强化城市大脑安全支撑,确保新型智慧城市高效稳定运行。目前,正在围绕城市大脑2.0与大模型开展融合化建设,积极打造“更聪明、更智慧、更高效”的城市大脑。广州市推动城市安全智慧化转型,筑牢城市安全屏障。2020年1月白云区颁布《智慧白云建设规划纲要(2019—2025年)》,坚持网络和信息安全可管可控。2020年12月,上海市发布了《关于全面推进上海城市数字化转型的意见》,严格落实安全管理责任。北京市2021年发布了“十四五”时期智慧城市行动纲要,在管理上严格落实法律法规,在安全可控的前提下稳步推进各场景应用。2021年长沙市发布《长沙市新型智慧城市示范城市顶层设计(2021—2025年)》,以建设城市超级大脑为主要载体,推动人工智能、大数据等新一代信息技术与城市治理、民生服务等相互融合促进,打造“共建、共治、共享”的智慧治理新模式。2023年武汉市发布《武汉市数字政府和智慧城市建设三年行动方案(2023—2025年》,以“数字赋能”来推动城市建设,持续升级“云、网、数、智、端”智慧城市的数字底座,来推动城市数字化转型,提升城市数字化治理的能力和水平。
However, past reports included benign diseases, and no report about long-term results. The authors analyzed for elderly colorectal cancer only and long-term outcomes.
(四)企业创新探索,新方案新模式拉动市场规模
随着“数字中国”战略的深入实施以及市域社会治理精细化、基层治理现代化等的加快推进,智慧城市市场规模日益扩大。根据共研网预测,截至2022年底,中国智慧城市市场规模约为24.3万亿元,同比增长15.2%;预计2023年智慧城市市场规模将达到28.6万亿元。各企业也纷纷抢抓“智慧城市”的市场机遇,对城市运行的核心系统进行整合,加速信息社会的发展。
华为公司在2017年深圳高交会上提出“智慧城市”的过程化概念,认为是一个数据感知、数据分析与处理的完整闭环。腾讯的城市安全以城市IT系统为保护对象,依托安全攻防能力与行业整合能力,有力支持数字广东建设。阿里巴巴的智慧城市形成了“ET城市大脑”的解决方案,从最初的阿里云业务开始,延伸到交通问题的城市大脑,拓展到智慧城市的各级应用场景。
三、智慧城市发展面临的安全挑战
(一)重建设轻运营,持续服务保障能力弱化
我国智慧城市建设持续走深走实,但也凸显出部分城市在网络安全上缺乏顶层设计和统筹规划,面对复杂多变的数字安全环境呈现网络安全隐患和风险突出等问题。
一方面是安全规划脱节。尤其是在城市级的网络安全运营运维过程中,往往面临新场景、新业务、新需求情况下城市的网络安全防护无法满足安全合规性要求的问题,前期的城市建设和后期安全运营存在脱节现象,没有与城市的业务运行进行深度融合,使得智慧城市面临安全责任划分缺失、制度规范缺位、第三方运维不足等问题,导致智慧城市在网络安全能力建设上不均衡。
另一方面是一体化安全运营缺位。在智慧城市的建设中存在政企合作公司、专业运营公司、第三方服务作平台等模式,在安全边界、系统运行、业务运营、责任制度等方面的机制不健全,缺乏过程化的全程联动和监督管理,面临风险数据孤岛化、协同程度不高、服务能力弱、处置效率低等现实难题,因此一体化的安全运营对于智慧城市的持续稳定显得尤为关键。
(二)重系统轻评估,安全风险底数不清、动态不明
中国工程院院士吴志强指出,中国城市分布空间广,资源禀赋差异大,数字化领域发展极不均衡。智慧城市在数字化建设过程中,尤其是东西部城市之间、中心城市和区域城市之间的数字化发展差异很大,一些城市比较重视系统建设,但是忽视了安全评估,对网络安全风险底数不清、动态不明。
一方面是城市在数字化发展方面不平衡、数实融合不充分。智慧城市建设过程中,涉及感知、存储、计算、传输等方面的业务流程多、产业链条多、厂商型号多,在城市内部、社区之间也存在数字化的差异,一些业务平台的监管治理、数据资源的开放应用、APP应用的访问控制等安全保障不足,凸显智慧城市数实融合不充分、安全供需匹配不足。
另一方面是网络安全风险暴露面广。随着数字化技术的加速突进,智慧城市在网络空间与物理空间之间交互协同,智慧城市的网络安全风险暴露面广、攻击风险大,逐渐从云管端的网络空间向供应链的物理空间蔓延,尤其是接入智慧城市中海量的物联网感知终端与服务应用访问终端,安全隐患大、安全防护弱且容易遭受非授权访问和破坏,因此动态性、系统性、持续性的网络安全评估体系建设对于智慧城市的网络安全风险防范尤为关键。
(三)重局部轻协同,网络安全面临多重防护困境
智慧城市的网络安全成为业界关心的重要议题,但由于城市相关部门的业务特征以及网络系统部署的复杂特性,使得在智慧城市的网络安全问题上,重视局部防护、忽视全局协同,网络安全面临多重防护的困境。
一方面是局部防护多,整体防护少。从智慧城市的安全风险来看,大都立足于网络级、数据级和应用级等建立了安全防护,在智慧城市的跨部门、跨层级的协同中,整体化的信息通报、机制协调以及防护协同上存在滞后性,难以快速、精准响应重大网络安全事件。
另一方面是被动防护多、主动防护少。从智慧城市的防护视角来看,基于传统规则的网络安全检测防护多,主动防护少。面对新场景、新特征、新需求,深层漏洞和未知威胁越来越多,尤其是网络安全环境更加趋于复杂化、交织化和自动化,需要加强智能化监测预警和协同化响应防护的联动,阵线前移和协同联动的主动防御显得尤为重要。
四、有关建议
(一)智慧城市安全运营,构建持续化网络安全服务体系
一是网络安全规划同步。要按照信息化与网络安全“三同步”原则推进智慧城市建设,强化智慧城市网络安全的同步规划、同步建设、同步运行,把责任体系、组织体系、过程管理、资金投入、重点领域等安全需求纳入网络安全规划中,以建运协同来推进智慧城市网络安全的顶层设计与统筹规划。
二是搭建安全运营中心。以常态化安全运营为目标,面向城市搭建监管治理运营中心,将安全需求、安全资源、安全能力、安全机制等进行统筹集中,对智慧城市网络安全的风险态势进行通报预警和协同联动,对城市的数字基础设施、重要数据、应用系统和项目平台等提供全面安全服务。
三是推进网络安全闭环运营。健全智慧城市网络安全闭环运营机制,围绕智慧城市的业务运行特点,以智慧城市的数据流通生命周期为依托,以管理制度为主线,健全监测分析、通告响应、处置恢复等一体化的安全运营流程,实现运营团队和安全服务的资源动态调度,打通闭环运营的堵点痛点。
(二)智慧城市风险评估,构建常态化堵漏洞补短板机制
一是数实融合提升数字化水平。坚持以数字化为契机,加快提升城市的数字化、智能化水平。一方面要立足城市的发展方向,深入挖掘数字化转型的需求、痛点和难点,致力于解决城市数字化发展中的不平衡问题。另一方面要立足城市的产业发展,数字化发展与实体经济进行充分融合,尤其是要加强数字供应链的建设,为城市数字化转型夯实产业发展的基石。
二是风险监测提升防护针对性。持续健全智慧城市的网络安全监测,加强对网络安全态势的全天候、全方位感知。一方面与国家级、行业级、区域级的智慧城市网络安全监测平台进行接入联动,实现与其他城市之间的网络安全信息通报;另一方面推进城市内部跨层级、跨业务、跨系统的网络安全信息共享,实现城市网络安全风险整体性分析与识别。
三是风险评估提升防护时效性。探索构建智慧城市的网络安全动态评价体系,围绕智慧城市网络安全的组织机构、制度机制、安全管理、运营服务、实战演练等构建动态评价指标体系,把先行先试、检查评估和整改提升纳入智慧城市网络安全评价体系中,以风险评估为依托持续提升智慧城市网络安全服务能力。
(三)智慧城市协同防护,提升体系化网络安全防护能力
一是构建城市安全大脑,提升防护的科学性。以数字孪生技术探索城市安全大脑建设,搭建智慧城市安全大脑模型平台,探索以BIM、三维GIS、物联网、移动互联网等技术推进地上数字建模与地下数字管网的融合建设,协同构建智慧城市全域安全感知系统,打造面向基层社区、高频业务、重点领域的场景化安全驱动,实现城市安全大脑对数字场景与物理世界的映射联动。
二是推进联动防护,提升防护的时效性。持续推进智慧城市网络安全的联动防护,按照网络安全“一盘棋”的工作理念,统筹事前预警、事中响应、事后恢复等联动防护机制,探索构建“预警+场景库”、“响应+工具箱”、“溯源+模型库”等工作预案体系,把组织管理和技术体系进行有机衔接,来推进联动防护的长效工作机制。
三是开展实战演练,提升防护的主动性。坚持以实战演练作为提升网络安全能力的关键环节,一方面,积极构建模拟场景的智慧城市网络安全靶场系统,把产品部署、测试验证、网络对抗等纳入常态化攻防演练中;另一方面,结合护网行动、网络安全宣传周等活动,依托实际场景组织网络安全管理人员、网络安全服务人员、第三方测试团队等开展实战演练。