李 阳 郭晓萧 张延强

(国家信息中心 北京 100045)(guoxx@sic.gov.cn)

智慧城市，让国家更现代化.随着城市治理现代化的纵深推进，运用科技创新手段和前沿技术，全方位多层次多角度增强城市协调统筹能力、贯彻执行能力以及信息传导效能，“全周期管理”意识于智慧城市建设的过程中，对信息网络、系统、传感器以及设备之间的连接更加依赖，也给网络安全埋下了无法估量的隐患，因此智慧城市网络安全保障研究意义重大.

1 国外智慧城市网络安全保障政策研究

从国际标准制定情况来看，国际标准化组织(ISO)、国际电工委员会(IEC)、国际电信联盟(ITU-T)等国际组织是主要的标准制定者.总体上，当前国际智慧城市信息安全标准体系基本完善，并且与时俱进，适应了5G、人工智能等新技术的运用.目前，已颁布的主要标准化文件有：2016年，ITU-T FG SCC(智慧可持续城市焦点组)在智慧城市安全方面发布《智慧可持续城市网际安全、数据保护和弹性》，提出了智慧可持续城市发展相关的安全保障建议；2019年，ISO发布了《信息技术——智慧城市ICT评价指标(ISO/IEC 30146:2019)》，其作为首个ICT领域智慧城市国际标准，从ICT视角提出了一套适用于全球的综合性评估评价指标；2020年2月ISO发布《智慧城市基础设施——数据交换与共享指南》，是ISO发布的首个智慧城市基础设施数据交换标准；2020年8月，ISO/IEC JTC 1(国际标准化组织/国际电工委员会 第一联合技术委员会)发布了由我国主导研制的智慧城市ICT框架国际标准《信息技术智慧城市ICT参考框架》；此外，ITU-T SG5(国际电联电信标准化部门第五研究组)在环境和气候变化的前提下成立的“智慧可持续城市焦点组”，主要研究智慧城市可持续发展；IEC SMB则成立了智慧城市系统评估组，建立起对于一国智慧城市系统的全面评估标准.

从政策体系来看，一些国外主要国家重视智慧城市的网络安全建设，积极出台政策举措.

1.1 美 国

美国在智慧城市安全保障方面，重点关注智慧城市带来的安全和隐私问题，2015年发布的《白宫智慧城市行动倡议》[1]中提出，充分利用联邦政府已经开展的工作，通过在传感器网络、网络安全、宽带基础设施和智能交通系统等方面进行的研究和投资，形成一种投资组合模式，为智慧城市安全建设奠定坚实基础.2019年美国国土安全部在密苏里州圣路易斯市积极开展试点工作，旨在将“智慧城市互操作性参考架构”用于城市派遣和指导应急响应部门及其他市政部门，进一步提高市政服务水平，促进智慧城市数据交互，协同分析评估智慧城市相关技术与城市各部门的数据共享能力.在“云”安全方面，美国网络与信息技术研发计划(The Networking and Information Technology Research and Development, NITRD)发布的《智慧互联社区框架》中强调了美国“国家标准与技术研究院”的云计算项目(the NIST Cloud Computing Program, NCCP)，重点关注智慧城市建设中的信息物理系统、网络安全和信息保障等安全环节，旨在保证智慧城市云服务的安全有效.此外，美国科创企业积极开发相关技术，助力美国实现全天候、无死角的智慧城市安全预警，打造安全的家庭、社区和公共场所.

1.2 欧 盟

欧盟智慧城市建设由来已久，2007年，围绕智慧城市建设提出了一整套目标，先后出台相关治理战略以及确定重点建设领域.2011年，欧盟围绕交通和能源2大领域，推出“智慧城市和社区开拓计划”.2012年7月，欧盟委员会启动“智慧城市和社区欧洲创新伙伴行动”，并成为欧盟在智慧城市领域最核心的建设措施.

在智慧城市安全保障和治理创新方面，欧盟形成了“政府引导-企业参与-公众驱动”的创新模式，其中，政府发挥治理创新引导作用，进行统一规划、协同和组织.该模式旨在打造协同创新的、智慧的、以市民和企业为中心的服务.同时，欧盟致力于发展最新通信技术，建设新网络.在凯文·艾什顿(Kevin Ashton)最早提出“物联网”时，欧盟信息社会技术项目建议组便启用“环境感知智能”名词，引进无线射频识别(RFID)技术，并将物联网作为其智慧城市治理的重点，确保智慧城市建设网络安全.

此外，欧盟积极进行统一部署，构建国家层面的领导机构等组织，对智慧城市进行统筹治理，并协调各部门间的相互合作，芬兰通过设立国家信息管理委员会，加强协同各政府部门的信息管理工作，实现保障联动.通过制定标准，规范电子政务应用软件的技术标准、开发过程和数据结构，2013年4月，欧盟标准化组织CEN/CENELEC成立的“智慧&可持续城市与社区协调组”(SSCC-CG)，以推动欧盟智慧城市的标准化相关工作为目标[2].

1.3 英 国

英国把信息安全作为智慧城市安全保障的重点，为更好指导英国智慧城市安全保障建设，英国国家网络安全中心2020年发表《智慧城市网络安全指南》，旨在建立起政府主管部门对于设计、建造和管理智慧城市的安全保障认知，制定智慧城市网络安全原则，明确政府机构、社会组织和个人职责，确保智慧城市及其底层基础设施安全，有效应对网络攻击，确保智慧城市的所有者和管理者作出明智的网络安全选择，具体表现为5点内容，每一点都出台了相应的政策文件保障实施，由此构成了英国智慧城市安全保障技术框架(如表1所示)[3].

表1 英国智慧城市安全保障技术框架表

1.4 新加坡

新加坡长期处于智慧城市建设领先地位，在智慧城市安全保障方面，新加坡政府指出数据安全是构建智慧国家的关键推动力，同时采用安全设计原则来保护政府系统免受网络安全威胁[4].新加坡政府主要从3个方面构建智慧城市安全保障体系[5]，强化在智慧城市建设中政府对重要数据的保护.第一，确保政府网络安全.新加坡“智慧国家和数字政府小组”(SNDGG)负责制定ICT安全策略，建立安全技术体系结构，保障所有政府机构配备足够的设备，并进行频繁的安全测试，保护整个政府网络系统.同时，重视重要数据保护，通过匿名化保护对较为重要的传感器数据进行管理，并限制分享范围.第二，灵活响应行动.在“智慧国家2025”计划提出背景下，搭建“智慧国平台”，并由政府协同统筹，进而开展全国数据的连接、收集和分析，提供优质公共服务.新加坡还成立了一支由网络安全维护者组成的专门团队，负责支持和保护政府内部的所有系统.安全分析员全天候监控政府系统，迅速响应并遏制政府内部任何网络安全事件，并进行事后调查和信息系统恢复.第三，与社区合作，寻找智慧城市网络漏洞.通过政府与社区合作，对智慧城市系统灵活性进行压力测试.通过“政府漏洞赏金计划”和“漏洞披露计划”，政府与“白帽”社区合作，及时发现并修复系统漏洞.

此外，新加坡加强关注公共领域信息安全，重点确保数字技术和安全解决方案的稳定性，确保智慧城市提供的公民服务不中断.最后，为了监控针对智慧城市系统的网络安全攻击，及时化解安全危机，新加坡政府设立专门事件报告平台，公众可以在报告平台上报告任何侵权泄露个人或政府数据的事件[6].

2 我国智慧城市网络安全保障体系研究

在智慧城市安全保障标准化建设方面，中国电子技术标准化研究院提出了智慧城市技术参考模型，构建了智慧城市总体技术架构，提出了智慧城市网络安全参考框架.其中：智慧城市网络安全战略保障属顶层设计，与法律法规、标准指南相关；技术保障主要确保智慧网络设施、数据、应用安全；管理过程保障采用PDCA循环方法确保智慧城市网络安全的可持续发展；运行保障层面包括风险监测、应急处置、安全态势预警等[7].全国信息安全标准化技术委员会(TC260)围绕我国智慧城市信息安全标准制定工作，发布了GB/T 37971—2019《信息安全技术智慧城市安全体系框架》国家标准，开展了《信息安全技术——智慧城市建设信息安全保障指南》《信息安全技术——智慧城市网络安全评价方法》《信息安全技术——智慧城市公共支撑与服务平台安全要求》等国家标准研制项目，基本上完善了我国智慧城市信息安全标准体系建设.随着5G技术在智慧城市建设中的运用越来越普遍，对于5G参与智慧城市建设的标准化工作也正在开展.同时，我国还积极参与智慧城市国际标准的建设.我国政府部门、相关领域高校和专家教授积极参与国际智慧城市信息安全标准体系建设.2020年3月，国际电信联盟ITU-T SG17工作组通过了我国相关单位提交的《智慧城市数字孪生系统安全机制》和《智慧社区安全机制》2个立项，增加了中国在国际智慧城市信息安全标准建设中的话语权.

2016年以来，随着国家和地方“十三五”规划的相继发布，智慧城市建设逐渐成为城市未来的发展重心，同时这些政策从各个角度对智慧城市建设和发展提出了相应举措和建议，构成并不断明确了我国智慧城市发展的方向与目标.一是从国家层面来看，进入“十三五”时期以来，我国智慧城市政策密集发布，主要推进电子政务、智慧交通、大数据与云计算的发展，同时完善智慧城市评价指标体系.2020年1月17日，国务院办公厅发布《关于支持国家级新区深化改革创新加快推动高质量发展的指导意见》，深入推进智慧城市建设，提升城市精细化管理水平.二是从各地建设层面来看，相继推进并逐步完善.2016年9月，银川市出台全国首部智慧城市地方性法规，制定相关安全制度，完善安全评估和保障体系，加强风险防范和安全管理.2016年11月，天津市在智慧城市建设“十三五”规划中，明确安全保障方向，强化基础设施改造升级，完善安全保障体系，强化监管力度[8].2018年7月18日，深圳市人民政府办公厅印发《深圳市新型智慧城市建设总体方案》，围绕新型智慧城市建设注重提升安全可控和信息保护水平，实现信息安全共享和规范管理.2020年2月10日，上海市政府出台《关于进一步加快智慧城市建设的若干意见》，首次提出并设立首席网络安全官，注重降低安全事件响应时间，加强信息保护，加大信息治理，切实保障网络空间安全.

在学术领域，吕欣等人[7]构建了智慧城市网络安全参考框架，具体分为战略、管理组织、技术、管理过程、运行这5大保障体系.张大江等人[9]结合智慧城市建设在信息安全方面的需求调研情况，构建了相应体系框架.信息安全角色包括决策者、管理者、建设者、运营者、服务提供者和服务使用者.安全保障要素包括战略、管理、技术、建设与运营保障以及基础支撑.该框架进一步明确了智慧城市信息安全体系中的各类角色和职责，增强系统间的协调管理与协同配合，最终实现智慧城市信息安全目标.王青娥等人[10]从我国智慧城市基础架构和安全环境分析入手，研究了我国智慧城市建设过程中可能引发的信息风险，并根据风险来源构建了信息安全保障体系.需要通过完善数据加密、数据检测、操作系统、应用安全等关键技术，制定相关信息管理规定、加强信息安全立法，构建起保障体系以应对智慧城市信息安全中的基础设施、安全技术、管理制度和政策法规风险.代武翔等人[11]从政府数据共享所涉及到的3类主体对数据的安全需求出发，分析智慧城市建设过程中政府数据共享所面临的主要问题及原因，提出强化政府数据共享的协调机制、健全政府数据共享的法律体系、提高政府数据共享的监督管理等智慧城市建设过程中保障政府数据共享安全的相关建议.李怡等人[12]参考GB/T33356—2016《新型智慧城市评价指标》中网络安全评价模块，遵循新型智慧城市设计的数据安全原则(指保护数据和个人信息)，提出了新型智慧城市数据安全保障体系，具体包括管理保障、技术保障和过程保障.张恬[13]从构建智慧城市信息安全的顶层设计、创新亮点出发，通过分析大数据、云平台、物联网的安全防护系统运作机制，探索保障智慧城市信息安全的机制与路径.他认为，构建智慧城市信息安全框架需要基于“ABC技术”(A：人工智能、B：大数据、C：云计算)等新创新技术，打造大数据、云平台与物联网三重安全防护体系，通过数据开发、云平台安全防护资源池、物联网智能感知传输网络以应对信息安全管理中的各类不确定因素.

3 智慧城市安全保障趋势与展望

新一代信息技术推动城市建设的数字化到智能化再到智慧化的快速发展.在互联网与公众生活已深度融合的现实背景下，智慧城市网络空间的社会治理已与现实空间的社会治理同等重要，因此需要坚持统筹发展与安全、坚持协同安全风险与安全需求、坚持安全投入与效益评估、坚持标准先行与应用示范，有效调配公共资源，不断完善安全保障体系，推动智慧城市更加可持续发展.

3.1 坚持统筹发展与安全

智慧城市的关键点不仅在于智慧，更关键的在于安全.要坚持统筹“发展和安全”并重的原则，以发展促安全、以安全保发展，加强智慧城市的网络安全保障，持续提升网络安全防护能力，推进城市持续安全健康发展.

统筹发展与安全，既要发挥智慧城市的资源与技术优势，又要注重加强网络安全能力建设，全面落实网络与信息安全“三同步”要求,保障智慧城市的网络(系统)安全稳定运行.一是设计环节同步规划，结合智慧城市建设要求，规划网络安全保障技术方案，实现“提前规划、尽早防护、保障安全”；二是建设环节同步实施，严格按照网络安全保障规划设计及相关规范要求，进行同步建设；三是验收环节同步投入运行，结合实际建设情况与网络安全保障技术要求，同步投入运行，切实保障好智慧城市的网络安全.

3.2 坚持协同安全风险与安全需求

随着整体信息化水平持续提升，城市智慧化对信息化的依赖程度日益提高，存在着技术失控、网络攻击、信息泄密的风险隐患，一个技术漏洞、安全风险隐藏几年，甚至长期“潜伏”，可能给智慧城市带来更加严重的安全破坏.在智慧城市建设过程中，要用系统思维去应对动态变化的网络安全问题，通过开展智慧城市的网络安全态势感知，主动加强对智慧城市的网络安全风险识别.

智慧城市在政务服务、惠民服务等公共服务中发挥越来越重要的作用，“最多跑一次”“不见面审批”“一网办”等服务更加便民的同时，身份盗用、网络钓鱼等安全事件也频繁发生，政府、企业、公众对智慧城市网络安全的需求与日俱增.在不断面向实际应用的基础上，深入梳理智慧城市建设的安全需求，协同智慧城市面临的网络安全风险，构建安全架构体系，成为网络安全保障的前置条件.

3.3 坚持安全投入与效益评估

随着智慧城市对网络安全的需求逐渐提升，网络安全产业的市场规模持续增加，但信息安全的投入可能并不产生直接经济效益，只有出现网络安全事件时才能凸显其价值，统筹安全投入与效益评估尤为重要.因此，一是要正确认识智慧城市安全投入与效益之间的关系，智慧城市实现效益的基本前提是网络安全的投入与保障，对网络安全的投入虽不能直接带来经济效益，但却可以产生间接经济效益、潜在的间接性效益以及长远的非经济效益等；如果忽视了网络安全的投入，可能会带来巨大损失，甚至是更为严重的负面效益.二是建立智慧城市业务系统的网络安全基线，结合智慧城市建设存在的安全风险，从识别、防护、检测、响应、恢复5个维度制定智慧城市的网络安全基线，满足智慧城市建设服务可用性、保密性和完整性等需求，为智慧城市建设配置安全策略，并随时根据事件响应的流程持续更新修正，实现动态防护.三是以应急演练为抓手，开展智慧城市网络安全专项检查，强化智慧城市建设安全意识，锻炼应急工作队伍，提升网络安全保障水平.

3.4 坚持标准先行与应用示范

网络安全标准是智慧城市发展的前提和基础，是引导我国各地智慧城市健康发展的重要手段.坚持标准先行，从智慧城市建设的整体建设规范入手，建立网络安全标准体系，进行系统化、规范化建设，不断细化完善，使发展良性化.

通过开展网络安全标准的应用示范，跟进地方在智慧城市网络安全标准的典型经验，以及行业性关键技术与核心平台软件，推动标准应用示范和网络安全标准的应用示范，通过项目实践推进标准在智慧城市建设中的落地，有利于促进网络安全标准的普及和推广.一要选取试点培训推广，切实将网络安全的标准内容落实到智慧城市的实际运营、管理和服务保障等全过程；二要建立示范考核评估机制，按照网络安全标准的建设要求，建立考核评价体系，以评促建、以评促改，不断推动网络安全标准体系的动态维护.