王 伟，夏俊杰，高 枫，肖 宇（中国联通智能城市研究院，北京 100048）

1 智慧城市是城市发展的必然趋势

2008 年IBM 公司提出智慧城市概念，得到各国广泛关注，并引发全球智慧城市的建设热潮。作为一种城市发展的新理念，智慧城市已经成为推进城镇化、提升城市治理水平、破解大城市病、提高公共服务质量、发展数字经济的战略选择。

市场研究机构IDC 发布预测报告称，到2023 年，全球智慧城市的技术支出将达到1 895 亿美元。报告显示，新加坡以其正在实施的“虚拟新加坡”项目成为全球智慧城市技术支出最多的地区，其他排名靠前的城市还包括纽约、东京、伦敦、以及中国的北京和上海，这些城市2020 年的支出均超过10 亿美元。世界范围内，智慧城市投入最多的地区为美国、西欧和中国，约占全球“智慧城市”技术支出的70%；支出增长最快的地区包括日本、中东和非洲，年均增速达到21%。IDC 指出，全球智慧城市支出从2021 年开始将逐渐提高增长速度，并在2020—2024 年的预测期间内实现14.6%的年复合增长率。

我国的智慧城市概念最初由住建部提出，其定义随着对智慧城市认知的不断深化而演进。2014 年，国家发改委从数字化与技术的角度对其进行明确定义，智慧城市是运用物联网、云计算、大数据、空间地理信息集成等新一代信息技术，促进城市规划、建设、管理和服务智慧化的新理念和新模式。

近年来，我国智慧城市快速发展，成效显著。在政策的充分带动和政府的大力支持下，各地加大了智慧城市的建设力度。据统计，截至2020 年，所有副省级以上城市、89%地级以上城市、47%县级以上城市都提出要建设智慧城市。

2 智慧城市面临的安全挑战

智慧城市的设计与建设，涉及政府部门、基础设施、通信产业、IT 产业等领域，同时融合公共服务、通信、金融、电力、能源、交通等多个行业，行业和领域的多样性和交错性，使得安全与多领域、行业相融合；建设过程中大量运用的新一代信息技术、覆盖全域的传感网络、各平台的互联互通以及数据要素的相互流转等需求也伴生了新的安全风险。

2.1 海量泛终端接入增加安全风险

通过在建筑、道路、桥梁、车辆、公共场所等部署感知设备和智慧终端，智慧城市实现多维感知数据的融合汇聚，形成全域、全时、互联互通的感知体系，城市管理者得以感知城市运行状态并以此为基础进行推演与决策，有效支撑公共安全、生态环境、民生服务等重点领域。大量智慧终端设备和传感器的接入，产生了复杂的接入环境、多样化的接入方式、多类型的感知设备，使得安全管控难度倍增。

伴随感知设备的广泛应用，针对智慧城市感知和传输层的安全攻击越来越多，包括假冒攻击、重放攻击、信息篡改攻击、拒绝服务攻击、数据注入型攻击、虫洞攻击、Sybil 攻击、选择性转发或拒绝转发攻击等，这些攻击导致传感层和网络层无法正常工作；另外，攻击者以物联节点为跳板将后门程序传送至业务后台，导致核心业务数据泄露。

2.2 安全风险由网络空间延伸至物理世界

受政策和实际业务需求的双重驱动，包括通信、公路、地铁、电网、油气、给排水系统在内的传统基础设施的数字化改造进程正在加速，并逐步实现智慧化管理。城市智慧中台链接数字化改后的各基础设施，实现城市的智慧化运行。物理世界与网络空间的相互映射，会导致网络空间安全风险的影响不再局限于信息泄露、线上业务无法使用等问题，而是会对物理世界造成实质性的影响。比如黑客入侵电力调度系统切断城市电力供应，入侵地铁调度系统造成混乱甚至导致交通事故。

2.3 传统安全建设难以应对APT攻击威胁

高级持续性威胁（advanced persistent threat，APT）攻击具备隐蔽性、持续性、针对性及手法多样化的特点，以攻击基础设施、窃取敏感情报为目的，具有强烈的国家战略意图，在全球网络信息技术高速发展的大背景下，已经成为网络空间最严重的安全威胁之一。

传统安全建设通过在不同网络节点部署相应安全产品进行威胁检测与防护，如在云端部署Web 应用防火墙、抗DDOS、数据库防火墙，在网络侧布放防火墙、准入控制，在终端侧安装主机管理、病毒防护等产品。传统安全系统、设备的部署，能检测和阻止部分网络攻击，对网络安全建设起到了积极作用，但其检测机制和建设模式方面的不足，导致其应对APT 攻击时力不从心。

a）传统安全设备大多采用规则匹配机制对网络数据和终端文件进行检测，如果攻击利用的是不在规则库内的零日漏洞，传统安全设备便无法检出。

b）传统孤岛式的安全建设模式缺乏对安全数据的全局洞察，每个安全产品只能看到自身的数据，而APT具有隐蔽性，很难通过单一安全能力来发现。

2.4 数据共享流通加速给安全防护带来新挑战

2020年4月，《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》发布，首次提出将数据作为继土地、劳动力、资本、技术之外的新型生产要素，并要求推进政府数据开放共享，提升社会数据资源价值，加强数据资源整合和安全防护。当前数据要素正成为推动经济转型发展的新动力，通过数据牵引推动社会生产要素的开发和高效利用，提升经济运行水平和效率。

与其他资源要素相比，数据要素具有以下特征：一是数据体量大，并且随着历史数据的不断积累，数据体量会越来越大；二是数据价值密度低，需借助数据挖掘等手段，提取其蕴含价值；三是数据类型复杂，包括结构化和非结构化数据，不同业务包含的数据字段差异较大。

数据作为新型生产要素，是实现业务价值的主要载体，数据只有在流动中才能体现其价值，而数据的流动必然伴生风险。在实际使用中，数据风险可来自于业务处理的各个环节，包括数据采集、传输、治理、存储、生产、使用、流转、销毁等，数据流转环节多、周期长，导致防护难度较大。

2.5 安全运营自动化程度亟需提升

智慧城市的正常运转需配套相应的网络安全支持，而网络安全的建设是个复杂的综合性工程。大量安全设备使得日常运维工作日益庞杂，孤岛式的安全建设模式，导致安全设备缺乏有效联动；面对多套系统产生的大量安全日志，安全运维人员很难以人工方式从中提取有效信息。当前的网络安全建设模式，越来越难以应对当前复杂多变的安全态势。同时，当前手工式安全运营还存在以下问题。

a）安全运营效率低下。安全运维人员在不同安全系统之间切换操作，对每个安全产品报警信息进行逐条处置。

b）安全运营严重依赖安全人员技术水平。现有产品自动化处置率不高，联动能力不足，威胁处置需人工介入的地方较多，安全运维人员水平成为制约安全运营工作的瓶颈。

3 智慧城市安全需求分析

传统网络安全建设思想以边界防御为主，通过在互联网边界、计算环境边界等部网络连接处部署防火墙、入侵检测等安全产品进行防护，但对内网主机和云服务器等防护力度不足；同时，各防护产品之间未能有效打通，安全日志格式不统一，城市安全数据难以进行一体化分析，导致APT 攻击检测能力较弱；安全能力调度接口不统一，导致威胁处置自动化基础差，威胁响应速度慢。

智慧城市的安全建设，需改变以往安全建设模式，构建“基座+平台+服务”的新范式，安全基座负责提供包括泛终端安全、网络空间安全、城市级数据安全、智能应用安全、安全分析、物理环境安全及安全基础设施等在内的安全能力，形成城市安全能力库，并通过标准化接口，将城市安全能力打通，包括：

a）安全日志接口标准化，即通过标准接口将安全系统、设备的日志上传，便于形成云、网、端安全数据的关联分析。

b）实现策略调度接口的标准化，即通过统一接口对城市安全能力进行协同调度，提升安全运维自动化程度，完成安全威胁联动处置。

除了安全基座以外，城市安全建设新范式还包括安全平台和安全服务。安全平台是以基座原子安全能力为支撑，以城市或行业安全需求为向导而构建的城市安全应用平台；安全服务则负责为数字交通、区块链、城市重保等典型应用场景提供规划、评测、保障等服务。

4 安全基座

4.1 安全共生系统

安全共生系统是以安全共生理论为基础构建的城市级安全管理系统，包括安全基座、城市级安全平台、安全标准测评体系、安全管理制度体系与安全运维等功能。

依托安全共生系统，采用“基座+平台”的建设方式，可有效应对城市安全威胁。城市级安全能力基座，提供多项原子安全能力，并使用统一接口将安全能力打通，在基座基础之上，根据不同的安全需求，建设城市态势感知平台、舆情监测平台、暗网病毒监控平台等城市级安全平台，可实现城市级安全威胁检测与处置。

4.2 安全基座

安全基座是安全共生系统的基础，提供城市级原子化安全能力库，并将原子能力的安全策略配置、日志传输等接口标准化，使其具备统一分析和协同调度的基础。

4.2.1 原子安全能力

安全基座提供城市信息安全所需各种安全能力，分为7个单元。

a）安全基础设施单元。安全基础设施单元提供通用的安全原子能力，主要包括密码技术、密码基础设施（密码算力、密钥管理等）、新技术赋能安全（区块链、量子技术等）、可信计算基础设施、身份认证、访问控制、威胁情报、堡垒机等基础安全能力。

b）泛终端安全单元。泛终端安全单元提供泛终端的安全保障能力，主要包括泛终端健康检查、漏洞监控、补丁管理、硬件接口管控、上网行为管理、病毒防护、高危端口检查、安全基线核查、弱密码检查、终端账户管理等。

c）网络空间安全单元。网络空间安全单元提供城市网络空间安全保障能力，主要包括网络接入认证、深度报文检测（DPI）、边界防护、异常流量清洗、信道安全、DDOS防护、可信验证等。

d）城市级数据安全单元。城市级数据安全单元提供城市级大数据安全及隐私保护能力，主要包括数据全生命周期安全保护（数据采集、数据治理、数据存储、数据确权、数据多方操作、数据定价、数据评价、数据销毁等）、数据水印、数据脱敏、数据审计、数据访问控制、数据资产管理、数据安全监测、数据安全审计、数据库加密、数据备份与恢复、个人信息保护、剩余信息保护等。

e）智能应用安全单元。智能应用安全单元为数字孪生城市提供智能应用安全保障能力，主要包括用户身份管理（身份鉴别、身份认证、权限管理、口令管理等）、应用组件安全、网站/域名安全、业务安全等。

f）安全分析单元。安全分析单元基于各单位的安全能力，为安全共生体系提供全局安全分析能力，主要包括威胁监测能力、态势感知能力、攻防对抗能力、威胁情报能力、舆情监测能力等。

g）物理环境安全单元。物理环境安全单元为智慧城市提供物理环境安全保障，主要包括物理机房安全、通信线路防护等。

4.2.2 标准化安全能力接口

为兼容城市安全建设中不同厂商的安全产品和设备，安全基座构建时采取分层建设的思想，在原子能力之上搭建驱动层，驱动层起到翻译、转换的作用，将不同厂商的安全日志转换为统一格式用于安全平台分析，并将安全平台的调度指令转成不同安全产品能识别的安全策略予以下发执行。驱动层屏蔽了不同安全厂商的功能实现细节，实现了业务逻辑与能力实现的隔离，使得驱动层之上的各安全平台能以统一语言进行安全能力调度，专注于业务逻辑的实现（见图1）。

图1 城市级安全能力基座

4.2.3 安全能力编排调度

依托原子安全能力与标准化安全调度接口，安全基座可为智慧城市构建全域安全资源编排与调度能力。根据城市不同业务场景的安全需求，通过智能化安全能力资源调度与编排，实现城市级安全能力按需部署配置，形成自适应安全防护体系。

4.3 以安全基座为基础的城市数据要素安全防护应用

针对城市数据要素安全风险，以安全基座为基础，结合动态访问控制平台与全生命周期数据安全防护平台，实现数据访问安全及数据要素的全生命周期安全防护。

4.3.1 动态访问控制平台

动态访问控制平台基于零信任思想，调用安全基座提供的身份认证、安全分析等安全能力，通过细粒度的访问权限控制，结合访问主体身份、行为、环境等安全分析评估，动态调整主体对业务系统、数据库等客体的访问权限，实现业务数据的访问安全（见图2）。

图2 动态访问控制平台

访问主体：即访问发起方，提交访问请求，提供身份、行为、终端安全及环境安全等数据待评估。

控制网关：控制网关位于访问主体与客体之间，根据评估中心的评估结果决定访问请求被转发或拦截。

评估中心：综合分析访问者身份、行为、环境等因素，结合被访问客体的安全要求，得出处置结果并发送至控制网关。

访问客体：访问客体提供被访问的资源，如业务系统、数据库等。

关联系统：关联系统与评估中心连接，提供评估中心所需身份认证及安全分析等功能。

动态访问控制系统简要工作流程如下。

a）请求发起。访问主体发送访问请求至控制网关，控制网关根据评估中心的返回结果予以放行或拦截。

b）安全分析。评估中心根据被访问资源的安全要求，提取访问主体的身份信息和安全状态数据，调用关联系统进行身份认证和安全分析，并将评估结果通知控制网关。

c）访问控制。控制网关根据评估中心返回结果响应访问请求，如访问请求通过，转发访问请求至访问客体；如访问请求未通过，阻断该请求。

4.3.2 全生命周期数据安全防护平台

全生命周期的数据安全防护体系，跟随数据流转路径，综合运用传输加密、终端泄漏防护、网络泄漏防护、存储加密、数据库审计等多项安全基座提供的安全能力，打造数据安全的纵深防护体系，提供覆盖结构化、半结构化和非结构化数据的安全保障（见图3）。

图3 全生命周期数据安全防护

5 总结

本文首先分析了智慧城市面临的网络安全风险，总结出智慧城市亟需全局统筹、集中分析、协同调度的安全建设需求，提出了“基座+平台”的城市安全建设新范式，并对安全基座功能与特点进行详细论述，最后以城市数据要素安全保护为例，阐述如何通过“基座+平台”方式实现数据访问安全及数据要素的全生命周期安全防护。