关于智慧城市网络安全建设的几点思考

中国软件评测中心网络安全攻防测试部——张嘉欢，李婧，房沛荣

自2008年IBM首次提出“智慧地球”以来，开展智慧城市建设、精细化城市管理、合理分配资源避免城市重复建设、合理推进跨行业跨领域应用，促进城市健康、安全和可持续发展成为全球城市发展的必然趋势。随着物联网、云计算、大数据等新一代信息技术的迅猛发展，城市的发展已逐步从传统的智慧城市过渡到新型智慧城市发展阶段。

2009年，“智慧城市”概念第一次被引入中国，引起了我国政府的高度重视。在国家八部委制定的《关于促进智慧城市健康发展的指导意见》中明确定义了智慧城市：“智慧城市”是运用物联网、云计算、大数据、空间地理信息集成等新一代信息技术，促进城市规划、建设、管理和服务智慧化的新理念和新模式。同时在，2012年在党的十八大提出到2020年全面建成小康社会的奋斗目标后，我国智慧城市建设全面铺开。建设智慧城市是实现我国四化融合，实现城市可持续发展的重要抓手。

那么在这种趋势下，如何保证智慧城市的网络安全就是我们不得不思考的问题了。

中国软件评测中心作为国内经验丰富且有较高公信力的评测机构，在云计算和大数据安全测试方面有着丰富的经验并参与了其标准的研究和制定。根据这些经验，本文将从云计算和大数据两个方面简单说明智慧城市网络安全建设需要注意的风险。

1. 云平台

云平台是指基于硬件的服务，这一服务提供了计算、网络和存储的能力。云平台在智慧城市中发挥着重要的基础支撑作用，为解决智慧城市建设中大规模分布式数据管理、面向服务应用集成、快速资源部署等问题提供了有力的支撑手段。同时云平台可较高水平的实现城市信息资源的整合与共享，促进数据和服务的融合，为各类智慧类应用提供的强有力的数据和服务能力。因此，保障云平台的安全是保障智慧城市的网络安全的关键。

云平台安全技术策略重点关注统一技术防护策略、统一安全资源管理、统一安全监控和审计等，以实现对安全体系的构建、分层纵深的设计以及虚拟资源安全防护能力的推进和提升。具体来说应做到，对基础设施改造升级和安全防护强化加固，使其达到信息系统安全等级保护第三级要求;同时，建设统一云安全运营平台，实现云安全产品集中管控，提升云计算平台安全的横向弹性扩展能力和统一管理能力，在此基础上通过统一身份管理和授权、统一安全监控和审计，加强集中安全管理，降低安全运维管理风险;进一步通过对云平台恶意代码、安全漏洞、非授权访问等高风险行为的识别、防护及管理，实现业务云之间的隔离、防护、监测及审计，提升流量监测与分析能力，并利用大数据技术进行数据分析和威胁溯源，实现发现、阻断、取证、溯源、研判、拓展的安全业务闭环，实现事前预防、事中审计、事后响应的安全应急服务能力。

2. 大数据

大数据是指一种规模大到在获取、存储、管理、分析方面大大超出了传统数据库软件工具能力范围的数据集合。大数据技术的真正含义和作用不在于掌握庞大的数据信息，而在于对这些含有意义的数据进行专业化处理。

在智慧城市的建设和运营中，对大量数据进行存储、传输以及处理等操作是智慧城市的一大特点。因此，大数据技术是智慧城市的一块重要基石。大数据与智慧城市是我国当前信息化建设的重要内容与平台，两者互为推动力量，智慧城市是大数据的源头，大数据是智慧城市的内核，是推动我国经济转型和提升政府治理能力的新动力和新途径。

对于大数据技术，其关键主要体现在数据采集、数据传输、数据存储、数据处理、数据交换以及数据销毁这六个方面，这也是数据的一个生命周期。因此，大数据的安全策略也应体现在数据生命周期中。

针对于数据采集，首先应根据数据分类分级策略对数据进行分类，实现对不同类别和级别数据的管理、审核、变更、记录等能力;在数据采集前，应明确数据采集的目的、用途、范围、频度和操作规程等符合国家相关法律法规，并保证采集数据的完整性、一致性、合规性、真实性和保密性;

针对于数据传输，在通过安全通道、可信通道、数据加密、完整性校验等数据传输安全策略保证数据完整性和保密性的同时，还应关注数据传输接口规范和传输双方的身份鉴别认证能力。

针对于数据存储，除了保证数据的访问控制、完整性、保密性以及备份恢复，还应实现数据存储架构的伸缩性、跨机柜或机房的容错性、跨地域的容灾性、完整性并建立保障数据架构安全的策略、规程、监管机制和措施等;

针对于数据处理，为保证数据安全应建立严格的数据加密、解密、密钥管理以及数据脱敏的管理规范和制度。同时，制定数据溯源策略和溯源机制保证实现对数据分析处理使用的记录与审查，并通过建立溯源数据存储与使用的管理制度、权限控制和安全审计等措施对溯源数据的完整性和保密性进行保障;

针对于数据交换，通过自动和人工审计相结合以及数据流量监控等方式实现对异常或高风险数据交换操作的自动化识别和实时预警;

针对于数据销毁，应制定相关策略管理介质使用、数据销毁以及介质销毁的流程。

3. 结束语

2012年在党的十八大提出到2020年全面建成小康社会的奋斗目标后，我国智慧城市建设全面铺开。建设智慧城市已成为实现我国四化融合，实现城市可持续发展的重要抓手。因此，如何保证智慧城市的网络安全就是我们不得不思考的问题了。

中国软件评测中心作为国内经验丰富且有较高公信力的评测机构，根据自身在云计算和大数据安全测试方面的经验，参与了云计算和大数据安全标准的制定并积极响应国家号召对智慧城市的规划、建设和测评进行了深入的研究，参与编写了《智慧城市：规划、建设、测评》一书。本文根据这些研究，从云计算和大数据两个方面简单说明了智慧城市网络安全建设需要注意的风险。智慧城市的建设不是一朝一夕能够完成的，需要将科学技术和社会现实充分结合在一起，对系统中各分支系统进行完善，这样才能使智能城市的安全防范得到真正的实现。