李炯彬

Construction and Research on Cybersecurity of Smart City Based on the Baseline for Protection of Cybersecurity 2.0

Li Jiongbin? （Shenzhen Academy of Metrology and Quality Inspection）

Abstract： Smart city is a new concept and new model based on information and communication technology to fully perceive， analyze， integrate and process massive data resources in smart city information system， and realize the interconnection of various data resources. In recent years， with the rapid development of 5G technology， AI technology， cloud computing， mobile internet and internet of things， the previous cybersecurity architecture is facing more and more challenges. Facing the severe cybersecurity situation， this paper explores the content of smart city cyber security construction based on the baseline for protection of cybersecurity.

Key words： smart city，? cybersecurity，? cyber security protection 2.0

0 引言

智慧城市是依據(jù)新的網(wǎng)絡(luò)通信技術(shù)，通過(guò)各種信息化和數(shù)字化建設(shè)，及時(shí)對(duì)城市運(yùn)營(yíng)管理中的各類(lèi)需求做出智能化響應(yīng)和決策支持，以優(yōu)化城市資源的調(diào)度，提升城市的運(yùn)行效率，提高市民的生活質(zhì)量。

伴隨著“互聯(lián)網(wǎng)+”戰(zhàn)略的推進(jìn)以及國(guó)家“十三五”規(guī)劃創(chuàng)新、協(xié)調(diào)、綠色、開(kāi)放、共享發(fā)展理念的提出，我國(guó)智慧城市建設(shè)正在加快推進(jìn)。據(jù)統(tǒng)計(jì)，截至2015年9月，全國(guó)95%的副省級(jí)以上城市以及76%的地級(jí)以上城市，總計(jì)約500多個(gè)城市提出或在建智慧城市。由于物聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)、移動(dòng)互聯(lián)網(wǎng)等新一代信息與通信技術(shù)在智慧城市中的廣泛應(yīng)用，使智慧城市信息系統(tǒng)從孤立向全面互聯(lián)互通數(shù)據(jù)共享以及萬(wàn)物互聯(lián)的方向發(fā)展。數(shù)字經(jīng)濟(jì)時(shí)代，智慧城市的建設(shè)過(guò)程中要利用先進(jìn)的物聯(lián)網(wǎng)感知技術(shù)，全面感知城市的要素和運(yùn)行狀態(tài)，要建立人與人、人與物、物與物之間的信息交互及過(guò)程，要通過(guò)海量數(shù)據(jù)收集及存儲(chǔ)分析來(lái)挖掘系統(tǒng)間、人與物之間、人與人之間的聯(lián)系規(guī)律等，勢(shì)必導(dǎo)致智慧城市中存在著大量的信息系統(tǒng)以及這些系統(tǒng)中擁有海量的有價(jià)值信息，這些信息無(wú)疑是城市乃至國(guó)家的重要戰(zhàn)略資源。如何確保這些數(shù)據(jù)、信息的安全，是智慧城市建設(shè)中務(wù)必要謹(jǐn)慎對(duì)待的重大問(wèn)題。其次越來(lái)越多的城市基礎(chǔ)設(shè)施與互聯(lián)網(wǎng)打通，傳統(tǒng)的較為封閉的工業(yè)控制系統(tǒng)，在數(shù)字化轉(zhuǎn)型的過(guò)程中也會(huì)嘗試著互聯(lián)網(wǎng)化，這樣一來(lái)，傳統(tǒng)的信息安全威脅將擴(kuò)展到城市基礎(chǔ)設(shè)施，可以借助互聯(lián)網(wǎng)侵害城市基礎(chǔ)設(shè)施的安全，導(dǎo)致智慧城市所面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，不再僅僅是信息泄露、信息系統(tǒng)無(wú)法使用等“小”問(wèn)題，而是會(huì)對(duì)現(xiàn)實(shí)世界造成直接的、實(shí)質(zhì)性的影響，如設(shè)備運(yùn)行異常（交通癱瘓、城市運(yùn)行停滯）、設(shè)備運(yùn)行停滯（停水、停電、停氣、停供暖）、設(shè)備損壞（零部件損壞甚至火災(zāi)事故）、環(huán)境污染甚至人員傷亡等。

智慧城市的建設(shè)必然會(huì)引來(lái)海量的數(shù)據(jù)資源，這些數(shù)據(jù)資源通過(guò)網(wǎng)絡(luò)通信基礎(chǔ)設(shè)施實(shí)現(xiàn)數(shù)據(jù)共享、萬(wàn)物互聯(lián)，安全的網(wǎng)絡(luò)架構(gòu)在其中扮演著尤為重要的角色。

2007年，公安部等四部門(mén)印發(fā)了《信息安全等級(jí)保護(hù)管理辦法》（以下簡(jiǎn)稱“等保1.0”），為信息安全建設(shè)提供了框架標(biāo)準(zhǔn)的具體要求。2019年5月，《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（以下簡(jiǎn)稱“等保2.0”）正式發(fā)布，給智慧城市建設(shè)帶來(lái)了全新的安全規(guī)范和要求。

1 等保2.0提出的新要求

等保2.0新規(guī)相較于等保1.0而言，有著顯著的新變化，主要體現(xiàn)在以下4個(gè)方面：（1）覆蓋對(duì)象的變化。新規(guī)范中的對(duì)象不僅包含傳統(tǒng)對(duì)象，更與時(shí)俱進(jìn)地添加了新興事物主體，例如大數(shù)據(jù)平臺(tái)、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)等。（2）安全要求的改變。安全擴(kuò)展的邊界更側(cè)重于考慮如大數(shù)據(jù)技術(shù)、互聯(lián)網(wǎng)技術(shù)等便捷性技術(shù)所同步產(chǎn)生的安全隱患。（3）分類(lèi)結(jié)構(gòu)的變化。等保2.0定義了技術(shù)部分和管理部分兩塊內(nèi)容，技術(shù)部分側(cè)重于物理環(huán)境、通信網(wǎng)絡(luò)、網(wǎng)絡(luò)邊界、計(jì)算方面和整體框架;管理部分則包括安全管理制度、安全管理機(jī)構(gòu)、管理人員、建設(shè)跟蹤和持續(xù)運(yùn)維。（4）強(qiáng)調(diào)云端連接安全。不僅要求既往基礎(chǔ)設(shè)施與公有云的安全，更增加了虛擬化等私有云的安全內(nèi)容，甚至涉及了云服務(wù)商資質(zhì)和云計(jì)算環(huán)境等制度性強(qiáng)制審核要求。

2 智慧城市網(wǎng)絡(luò)安全的建設(shè)原則

我國(guó)網(wǎng)絡(luò)通信技術(shù)在安防、交通、金融等多個(gè)領(lǐng)域的規(guī)?；逃?，且與人工智能、物聯(lián)網(wǎng)、云計(jì)算、移動(dòng)互聯(lián)、大數(shù)據(jù)等新一代網(wǎng)絡(luò)通信技術(shù)的協(xié)同合作，為智慧城市的建設(shè)發(fā)展提供有力的技術(shù)支撐，通過(guò)感知互聯(lián)、交互共享的能力，使智慧城市得到更快發(fā)展。針對(duì)智慧城市項(xiàng)目網(wǎng)絡(luò)安全部分進(jìn)行充分的頂層設(shè)計(jì)，制定全新安全框架，主要體現(xiàn)在3個(gè)重點(diǎn)方面。

2.1 擴(kuò)大覆蓋范圍，延展新場(chǎng)景

智慧城市信息系統(tǒng)在原有基礎(chǔ)上進(jìn)行了分類(lèi)擴(kuò)展，增加了特定的技術(shù)領(lǐng)域。智慧城市的基礎(chǔ)架構(gòu)包含5層，依次為：物聯(lián)感知層、網(wǎng)絡(luò)通信層、計(jì)算存儲(chǔ)層、數(shù)據(jù)與服務(wù)融合層、智慧應(yīng)用層，除基礎(chǔ)架構(gòu)外，還包含建設(shè)管理體系、運(yùn)維管理體系和安全保障體系，見(jiàn)圖2。

2.2 分類(lèi)結(jié)構(gòu)細(xì)化，保證標(biāo)準(zhǔn)性

依據(jù)等保2.0中的基本要求、設(shè)計(jì)要求和測(cè)評(píng)要求產(chǎn)生了相應(yīng)的分類(lèi)結(jié)構(gòu)。相應(yīng)的分類(lèi)結(jié)構(gòu)下綜合考慮安全、流程、制度和人員的相關(guān)要求，通過(guò)合規(guī)性檢查加強(qiáng)管理規(guī)范，配置安全設(shè)備阻斷內(nèi)外攻擊，設(shè)定防御策略保護(hù)數(shù)據(jù)，定期災(zāi)難演練提升應(yīng)急處理能力，從而形成安全通信網(wǎng)絡(luò)、安全區(qū)域邊界防護(hù)、安全計(jì)算環(huán)境防護(hù)和安全管理中心的一體化防護(hù)體系架構(gòu)。

2.3 內(nèi)嵌可信計(jì)算，全流程管理

等保2.0增加了可信計(jì)算技術(shù)的要求，在1～4級(jí)中都提出了可信建模空間?；诳尚鸥O(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序和應(yīng)用程序等對(duì)數(shù)據(jù)流進(jìn)行傳遞，涵蓋應(yīng)用程序的所有采集和執(zhí)行環(huán)節(jié)，并將審計(jì)記錄發(fā)送到安全管理中心，方便智慧城市信息系統(tǒng)的管理人員動(dòng)態(tài)感知環(huán)節(jié)中關(guān)聯(lián)細(xì)節(jié)。強(qiáng)化智慧城市自主可控的可信應(yīng)用，從而實(shí)現(xiàn)網(wǎng)絡(luò)內(nèi)的全閉環(huán)、實(shí)時(shí)安全動(dòng)態(tài)監(jiān)控。

3 智慧城市建設(shè)內(nèi)容

智慧城市信息系統(tǒng)按照等保2.0標(biāo)準(zhǔn)的合規(guī)要求，以“安全管理平臺(tái)”為中心，建立“安全計(jì)算環(huán)境、安全區(qū)域邊界、安全網(wǎng)絡(luò)通信”的三重防護(hù)體系，設(shè)計(jì)內(nèi)外網(wǎng)信息交互的安全可信互聯(lián)模型，確保整改后安全的應(yīng)用交互和數(shù)據(jù)傳輸。

3.1 安全管理平臺(tái)

安全管理平臺(tái)負(fù)責(zé)針對(duì)整體系統(tǒng)提出安全管理方面的技術(shù)控制要求，并通過(guò)相應(yīng)手段實(shí)現(xiàn)安全的集中化管理。智慧城市經(jīng)過(guò)授權(quán)的安全管理平臺(tái)，以此作為整體安全管理系統(tǒng)的中樞神經(jīng)。同時(shí)，利用云存儲(chǔ)的數(shù)據(jù)資源上傳到云端進(jìn)行備份，也催生云端互聯(lián)的應(yīng)用實(shí)踐。為了保證云平臺(tái)的安全可靠，安全管理平臺(tái)不僅囊括了傳統(tǒng)的數(shù)據(jù)中心及網(wǎng)絡(luò)基礎(chǔ)設(shè)施，還重點(diǎn)加強(qiáng)了對(duì)網(wǎng)絡(luò)結(jié)構(gòu)、隔離設(shè)備和虛擬化終端的在線評(píng)估，做到日常運(yùn)維管理與實(shí)時(shí)監(jiān)控一體化。

3.2 安全計(jì)算環(huán)境

通過(guò)安全計(jì)算環(huán)境的控制節(jié)點(diǎn)，規(guī)定了智慧城市信息系統(tǒng)所需要達(dá)到安全要求的各個(gè)維度。在不同的視角維度，相應(yīng)地設(shè)定了相關(guān)的目標(biāo)要求。例如，在智慧城市運(yùn)用的身份鑒別中，部署了兩種組合的鑒別技術(shù)對(duì)用戶身份進(jìn)行鑒別，以達(dá)到身份認(rèn)證的維度要求;在安全審計(jì)維度，對(duì)物理機(jī)、宿主機(jī)、虛擬機(jī)、數(shù)據(jù)庫(kù)系統(tǒng)等進(jìn)行計(jì)算安全控制。通過(guò)發(fā)揮網(wǎng)絡(luò)計(jì)算環(huán)境中的安全框架，首先滿足所有計(jì)算實(shí)體完整性的有效度量?jī)?yōu)勢(shì)，同時(shí)也保證了用戶終端在域間數(shù)據(jù)計(jì)算交互中的動(dòng)態(tài)安全管控。

3.3 安全區(qū)域邊界

為更好地打造智慧城市信息系統(tǒng)的安全區(qū)域邊界，使用了區(qū)塊隔離的方法來(lái)達(dá)到網(wǎng)絡(luò)邊界的有效控制和防御，邊界間增加了包括附加的防毒墻和入侵檢測(cè)等設(shè)備。不同區(qū)域劃清邊界，通過(guò)應(yīng)用服務(wù)、中間件、鏡像文件和用戶隱私鑒別等手段來(lái)跨越邊界和數(shù)據(jù)互聯(lián)。區(qū)域內(nèi)的業(yè)務(wù)盡量采用虛擬化控制策略來(lái)防止非授權(quán)情況下的接入，安裝虛擬機(jī)防火墻防止病毒越界蔓延，以保證出現(xiàn)問(wèn)題后風(fēng)險(xiǎn)最小化的控制原則。

3.4 安全網(wǎng)絡(luò)通信

加強(qiáng)在網(wǎng)絡(luò)層次的安全防護(hù)和通信建立，通過(guò)人員、制度和流程的有機(jī)結(jié)合，構(gòu)建對(duì)重要業(yè)務(wù)活動(dòng)的管理。安全網(wǎng)絡(luò)通信保證了各應(yīng)用的安全鏈接，通過(guò)內(nèi)外網(wǎng)隔離和服務(wù)器隔離（demilitarized zone，DMZ）等通信物理來(lái)保障數(shù)據(jù)通信的加密。尤其針對(duì)云計(jì)算和互聯(lián)網(wǎng)業(yè)務(wù)，如郵箱、官網(wǎng)預(yù)約和掌上智慧城市等應(yīng)用，實(shí)施了網(wǎng)絡(luò)通信上的網(wǎng)頁(yè)應(yīng)用安全防護(hù)。

4 結(jié)語(yǔ)

通過(guò)分析等保2.0評(píng)估標(biāo)準(zhǔn)，幫助智慧城市建立基于可信計(jì)算的防護(hù)體系，提高數(shù)據(jù)完整性、數(shù)據(jù)保密性、數(shù)據(jù)備份恢復(fù)、剩余信息保護(hù)以及個(gè)人信息保護(hù)等方面，加強(qiáng)對(duì)數(shù)據(jù)安全和個(gè)人隱私的網(wǎng)絡(luò)安全保護(hù)。面對(duì)移動(dòng)互聯(lián)網(wǎng)等革新技術(shù)應(yīng)用給智慧城市帶來(lái)的安全沖擊，通過(guò)落實(shí)各項(xiàng)安全措施，可以更好地為智慧城市信息化發(fā)展保駕護(hù)航。

參考文獻(xiàn)

[1] 全國(guó)信息技術(shù)標(biāo)準(zhǔn)化技術(shù)委員會(huì). 智慧城市 技術(shù)參考模型：GB/T 34678—2017[S]. 北京：中國(guó)標(biāo)準(zhǔn)出版社，2017.

[2] 范淵. 網(wǎng)絡(luò)安全是智慧城市健康發(fā)展的基石[J]. 信息安全研究， 2019， 5（4）：285-286.