【摘要】智慧城市建設是打造數(shù)字政府的重要抓手，也是加速推進我國城鎮(zhèn)化發(fā)展的必由之路。在我國，智慧城市建設經(jīng)歷了十余年的發(fā)展，取得了顯著成效，但在信息安全方面仍存在一些問題，需要從加強智慧城市信息安全頂層設計、構(gòu)建智慧城市信息安全框架體系、完善智慧城市信息安全評估機制、健全智慧城市信息安全法律法規(guī)等方面進行優(yōu)化完善。

【關鍵詞】智慧城市 信息安全 數(shù)字政府 【中圖分類號】D291.1 【文獻標識碼】A

黨的十九屆四中全會審議通過的《中共中央關于堅持和完善中國特色社會主義制度 推進國家治理體系和治理能力現(xiàn)代化若干重大問題的決定》明確指出，“建立健全運用互聯(lián)網(wǎng)、大數(shù)據(jù)、人工智能等技術手段進行行政管理的制度規(guī)則”。智慧城市建設旨在運用現(xiàn)代信息技術，提高城市科學化、精細化、智能化管理水平。深化智慧城市建設，是打造數(shù)字政府的重要抓手，也是加速我國城鎮(zhèn)化進程的必由之路。

我國智慧城市建設的基礎架構(gòu)與發(fā)展歷程

智慧城市的基礎架構(gòu)分為四個層次，第一層是通過物聯(lián)感知層構(gòu)筑物聯(lián)網(wǎng)，進行信息與數(shù)據(jù)的收集；第二層是通過移動互聯(lián)網(wǎng)、無線寬帶等網(wǎng)絡通信層實時傳遞信息與數(shù)據(jù)；第三層是通過云計算、大數(shù)據(jù)等數(shù)據(jù)服務支撐層對信息與數(shù)據(jù)進行存儲與深度分析；第四層是智慧應用層，將數(shù)據(jù)分析結(jié)果廣泛應用于市政設施、公共服務、社會管理等各個領域。

我國的智慧城市建設大致可以劃分為三個階段。第一個階段是2008—2011年的初步探索階段。在該階段由于無線通訊、光纖寬帶、全球衛(wèi)星定位系統(tǒng)等技術的市場化，部分城市開始在社會管理中探索應用，并取得了一定成效。

第二個階段是2012—2015年的建設試點階段。住建部于2012年底開展智慧城市建設試點，隨后2014年國務院發(fā)布了《國家新型城鎮(zhèn)化規(guī)劃（2014—2020）》，首次把智慧城市建設納入國家戰(zhàn)略規(guī)劃，并提出到2020年建成一批特色鮮明智慧城市的目標。2014年8月國家發(fā)改委牽頭發(fā)布了《關于印發(fā)促進智慧城市健康發(fā)展的指導意見》的通知，并成立了“促進智慧城市健康發(fā)展部際協(xié)調(diào)工作組”，作為推進智慧城市建設的領導機構(gòu)。

第三個階段是2016年至今的全面推進階段。國務院于2016年3月印發(fā)的國民經(jīng)濟和社會發(fā)展“十三五”規(guī)劃綱要中，將建設智慧城市列為新型城鎮(zhèn)化重大工程。2016年12月國務院印發(fā)《“十三五”國家信息化規(guī)劃》的通知，正式提出新型智慧城市建設行動，分級分類推進新型智慧城市建設。2018年12月，國家發(fā)改委發(fā)布《關于繼續(xù)開展新型智慧城市建設評價工作深入推動新型智慧城市健康快速發(fā)展》的通知，明確了智慧城市建設的評價標準。經(jīng)過十余年的發(fā)展，我國的智慧城市建設取得了長足的進步。

我國智慧城市建設面臨關鍵信息基礎設施安全、信息傳輸與存儲安全、公民個人信息安全等風險

關鍵信息基礎設施安全風險。在智慧城市建設中，傳統(tǒng)基礎設施被具備信息收集功能的智能物聯(lián)網(wǎng)設備所替代，并通過統(tǒng)一的技術標準實現(xiàn)信息共享。但是，關鍵信息基礎設施信息系統(tǒng)極易受到網(wǎng)絡攻擊而陷入癱瘓。例如2015年，烏克蘭全國27個配電運營中心遭到黑客惡意軟件攻擊，造成長達3小時的大規(guī)模停電，社會生產(chǎn)生活受到嚴重影響。

信息傳輸與存儲安全風險。由于智慧城市建設涉及大量復雜的數(shù)據(jù)采集、存儲、傳輸與交換，在數(shù)據(jù)流動的各個環(huán)節(jié)均可能產(chǎn)生網(wǎng)絡安全風險。第一，破解數(shù)據(jù)授權訪問。不法分子可以通過技術手段，對具有訪問權限的主體獲取數(shù)據(jù)的過程中進行非法截取。第二，數(shù)據(jù)的跟蹤與交叉訪問。在智能城市網(wǎng)絡系統(tǒng)中各數(shù)據(jù)中心互聯(lián)互通，一個數(shù)據(jù)包往往對多個應用程序開放訪問權限。不法分子就可以通過信息追蹤技術，基于一個數(shù)據(jù)中心的訪問權限，追蹤到其他多個相關數(shù)據(jù)中心的數(shù)據(jù)，進而非法竊取其他數(shù)據(jù)中心的數(shù)據(jù)，造成系統(tǒng)的安全事故。第三，對數(shù)據(jù)儲存的惡意網(wǎng)絡攻擊。通過網(wǎng)絡病毒對數(shù)據(jù)系統(tǒng)進行攻擊是網(wǎng)絡安全事件最常見的表現(xiàn)形式。網(wǎng)絡病毒主要包括木馬病毒、系統(tǒng)漏洞攻擊、網(wǎng)絡爬蟲、遠程后門與僵尸網(wǎng)絡等類型。黑客在實施網(wǎng)絡攻擊的過程中，往往將幾種手段結(jié)合使用，從而對網(wǎng)絡系統(tǒng)安全造成重大威脅。

公民個人信息安全風險。隨著移動網(wǎng)絡終端與智能手機的普及使用，智能城市網(wǎng)絡系統(tǒng)中存在大量的公民個人信息，包括個人位置信息、照片、健康信息、銀行賬戶、聯(lián)系人等。這些私密性很強的信息通常使用本地存儲工具或者API進行數(shù)據(jù)存儲，一旦接入智慧城市數(shù)據(jù)網(wǎng)絡系統(tǒng)，往往成為不法分子覬覦的對象，如果不增強客戶加密存儲與系統(tǒng)隔離，極容易造成數(shù)據(jù)泄露。

加強智慧城市信息安全頂層設計，健全智慧城市信息安全法律法規(guī)

加強智慧城市信息安全頂層設計。政府部門應在智慧城市建設中發(fā)揮主導作用，以“可管可控、確保安全”原則為指導，從頂層設計出發(fā)進行總體協(xié)調(diào)，成立智慧城市信息安全保障領導小組，制定信息安全總體戰(zhàn)略、政策、計劃方案，并對落實情況定期開展評估工作，建立健全智慧城市信息安全管理工作機制，明確相關參與部門及單位的職責分工，避免出現(xiàn)職能交叉重疊或空白地帶，從而實現(xiàn)政府、智慧城市建設方、數(shù)據(jù)運營維護方以及信息安全保障機構(gòu)相互之間的分工協(xié)作。

構(gòu)建智慧城市信息安全框架體系。圍繞智慧城市體系的不同模塊，應采取有針對性的信息安全手段，構(gòu)建智慧城市信息安全框架體系。對于關鍵信息基礎設施安全風險，首先應當重點優(yōu)化訪問控制，不同用戶單位根據(jù)各自數(shù)據(jù)收集系統(tǒng)的技術特點，設計有針對性的訪問控制方案。對于智慧城市數(shù)據(jù)的存儲與傳輸，應當根據(jù)不同的數(shù)據(jù)類型進行加密，防止數(shù)據(jù)被篡改或系統(tǒng)被破壞，以確保敏感數(shù)據(jù)安全。此外，在數(shù)據(jù)的儲存與傳輸過程中，應當通過數(shù)據(jù)智能檢測技術，評估數(shù)據(jù)安全保障技術的可靠性，如果發(fā)現(xiàn)存在有網(wǎng)絡攻擊與惡意篡改的情況，應及時向數(shù)據(jù)控制主體發(fā)出系統(tǒng)警報。對于智慧城市數(shù)據(jù)的應用，應當加強操作系統(tǒng)安全保障，通過隱私保護技術、身份認證技術、云存儲安全技術等實現(xiàn)訪問控制與硬件安全，確保安全保障系統(tǒng)的穩(wěn)定性。

完善智慧城市信息安全評估機制。對智慧城市信息系統(tǒng)定期開展安全評估是保障數(shù)據(jù)安全的重要手段。通過安全評估，可以有效分析系統(tǒng)風險，掌握系統(tǒng)安全狀況并有助于在客觀認識風險級別的基礎上進行科學決策，提升信息安全保障水平。安全評估一般分為四個要素，即資產(chǎn)、威脅、脆弱性與安全措施，在資產(chǎn)要素部分，應重點考察關鍵信息基礎設施的國產(chǎn)化率、物聯(lián)網(wǎng)技術穩(wěn)定性、安全管理人員的數(shù)量與水平等；在威脅來源部分，重點從設備的故障率、安全事故發(fā)生頻率、管理制度的成熟度等方面評估技術類風險與管理風險；在脆弱性識別部分，重點從硬件設備與網(wǎng)絡系統(tǒng)的脆弱性、相關人員配置與管理制度完善性等方面進行評估；在安全措施方面，重點從安全制度的完善性、事故預案的科學性、身份驗證與訪問審查、加密制度等方面進行系統(tǒng)評估。

健全智慧城市信息安全法律法規(guī)。雖然《中華人民共和國網(wǎng)絡安全法》第31—39條對關鍵信息基礎設施安全進行了規(guī)定，但相關條文較為宏觀，需要進一步制定配套實施細則，明確關鍵信息基礎設施安全保護中各方主體的責任和義務，完善關鍵信息基礎設施的安全責任制度、檢查評估制度、事故應急處理預案制度等，切實保障關鍵信息基礎設施安全、穩(wěn)定運行。在加強公民個人信息保護方面，應加快制定《個人信息保護法》等法律法規(guī)，合理界定公民個人信息使用、共享的合法性邊界，加大對個人數(shù)據(jù)盜竊、非法收集與交易行為的打擊力度，保障公民隱私權不受侵犯。

（作者分別為廣東財經(jīng)大學法學院教授；重慶理工大學知識產(chǎn)權學院教授）

【注：本文系國家社科基金項目“大數(shù)據(jù)時代個人信息盜竊的法律問題與對策研究”（項目編號：16CFX027）階段性成果】

【參考文獻】

①王青娥、柴玄玄、張譞：《智慧城市信息安全風險及保障體系構(gòu)建》，《科技進步與對策》，2018年第24期。

②鄭建華：《智慧城市建設與信息安全》，《網(wǎng)信軍民融合》，2018年第7期。

③張澤虹、趙冬梅：《信息安全管理與風險評估》，北京：電子工業(yè)出版社，2010年。

責編/孫垚 美編/陳琳