◆李 怡 杨 帆 安克万
(陕西省网络与信息安全测评中心 陕西 710065)
新型智慧城市网络安全评价指标体系研究
◆李 怡 杨 帆 安克万
(陕西省网络与信息安全测评中心 陕西 710065)
为了贯彻落实《关于加强国家网络安全标准化工作的若干意见》等文件精神,本文分析了新型智慧城市面临的网络安全威胁,提出了新型智慧城市网络安全指标设计原则,并分别从新型智慧城市网络安全管理、系统与数据安全和网络安全运维这三方面设计了新型智慧城市网络安全评价指标体系。所提指标体系不仅可为新型智慧城市网络安全评价标准的制定提供重要参考,还可为新型智慧城市的网络安全管理与建设提供一定的指导,从而增强新型智慧城市网络安全保障能力。
新型智慧城市;网络安全威胁;网络安全评价指标体系
自2009年IBM提出“智慧城市”的概念以来,智慧城市建设已成为全球城市发展的战略选择和城市竞争的制高点,美国、欧盟、日本等国家纷纷加快智慧城市的建设步伐,我国多个城市也纷纷提出智慧城市发展规划,截至目前,我国的智慧城市试点已达300余个。然而,我国智慧城市建设过程中出现了公共数据难以互联互通,市民感知度较差等问题[1]。为了更好的解决传统智慧城市中存在的问题,2016年国家“十三五”规划纲要中明确提出要“建设一批新型示范性智慧城市”,我国智慧城市至此踏上了新型智慧城市的建设征程。
“新型智慧城市”的概念由习近平总书记在2016年4月全国网信工作会议上首次提出,它是智慧城市发展的新阶段,是以人民为中心,实现民生服务便捷、社会治理精准、社会经济绿色、城乡发展一体、网络安全可控的智慧城市。作为城市发展与现代信息技术深度融合的产物,新型智慧城市更注重市民的感受、数据信息的融合与开放、城市资源的汇聚共享和跨部门的协调联动以及网络安全的维护与保障。然而,新型智慧城市包含了众多传统市政应用和市政服务应用互连构成的信息系统,除了原先系统各自的脆弱性,系统互连又带来了新的安全挑战,已成为制约我国城市健康发展的严重评颈。为此,2016年11月,国家发改委、中央网信办和国家标准委联合发布了《关于组织开展新型智慧城市评价工作务实推动新型智慧城市健康快速发展的通知》(发改办高技[2016]2476号),以促进新型智慧城市健康快速发展。
新型智慧城市网络安全评价的标准化工作具有以评促建的作用,可有效瓦解并防范“信息孤岛”,亦可为智慧城市管理、工程技术及第三方服务等相关人员提供管理和技术参考,从而有效提升全国新型智慧城市信息安全水平,为新型智慧城市建设的深入发展提供安全保障。
然而,目前国际标准化组织(ISO)、国际电信联盟 (ITU)、国际电工委员会(IEC)、美国国家标准技术研究院 (ANSI) 等组织已纷纷开展了智慧城市标准化的工作[2],但其网络安全评价方面仍处于研究阶段。为了填补新型智慧城市网络安全评价方面的标准空白,2016年8月,中央网络安全和信息化领导小组办公室在《关于加强国家网络安全标准化工作的若干意见》中也提出“加快智慧城市安全等领域的标准研究和制定工作”。
为了解决新型智慧城市面临的安全威胁,增强新型智慧城市网络安全保障能力,本文提出了新型智慧城市的网络安全评价指标体系,不仅可为新型智慧城市网络安全评价标准的制定提供参考,还可为新型智慧城市的网络安全管理与建设提供一定的指导。
参照新型智慧城市的系统框架[3],下面分别从感知层、传输层、知识层到应用层介绍其面临的安全威胁[4]。
(1)感知层运用城市中遍布的各类传感器,通过实时感知获取城市基础的物联数据。由于传感器体积较小,在目前的技术水平下无法安装身份认证设备,从而容易受到伪造、假冒和复制攻击以及信息篡改、隐私泄露等威胁。
(2)城市通过传输层实现信息传输和汇聚,传输网络包括移动通信网、互联网、广播电视网、专网及市政以及企业内网等网络。由于城市传输节点多、数据量大,大量设备访问网络,其身份认证和密钥的生成将成为一项挑战,一旦大量节点有数据传输,就很容易出现网络拥塞;传输网络类型多样,数据在传输、交换中易出现分布式拒绝服务攻击、中间人攻击等攻击。
(3)知识层向智慧应用领域提供公共硬件、软件和数据支撑,以形成统一的城市信息化支撑平台,包括城市计算、信息处理基础的基础通信设施、云计算和服务平台以及信息安全管理平台。数据集中存储于云计算系统中,不仅为云平台服务带来了挑战,也使云平台成为主要的攻击目标,存在隐私和敏感数据泄露、恶意数据注入及高级持续性攻击等安全威胁。
(4)智慧应用层将建立各种基于行业或领域的智慧应用及应用整合,如智慧政务、智慧交通和智慧医疗等,为城市管理者和社会公众等提供整体的信息化应用与服务。各类应用中的风险主要有:智慧政务除了传统信息安全风险外,还面临着云计算服务安全风险和信息跨行业共享、交换带来的新的安全风险;智慧交通系统中大量设备访问网络存在恶意攻击的漏洞、破坏数据完整性等安全风险;智慧医疗主要存在隐私泄露等安全风险。
新型智慧城市网络安全评价可验证新型智慧城市网络安全保障的有效性并促进网络安全建设,适用于智慧城市生命周期的规划、设计、建设、运营管理等各个阶段。新型智慧城市网络安全评价过程如图1所示,即基于评价目标(即评价的信息需求)设计指标体系,从指标中提取具体的评价对象,通过测量模型和测量方法得出测量结果,经过对测量结果的研判,计算得出评价结果,并支持评价目标的实现。
在设计新型智慧城市网络安全评价指标体系时,我们遵循的设计原则为:
(1)科学性:评价指标选取应能够体现新型智慧城市网络安全的主要内容,反映新型智慧城市发展面临的主要安全风险。
图1 新型智慧城市网络安全评价过程
(2)导向性:评价指标选取应考虑新型智慧城市建设的循序渐进,应包含体现新型智慧城市发展安全愿景的指标,引导其安全发展。
(3)代表性:评价指标选取应能较全面反映网络安全方面的总体水平。
(4)可采集性:评价指标应具有广泛适用的数据获取来源,并便于采集。
(5)可考核性:评价指标应明确每个指标的含义与适用范围。
遵循新型智慧城市网络安全评价指标体系的设计原则,参考《智慧城市建设信息安全保障指南(草案)》[5],我们设计了新型智慧城市网络安全评价指标体系,共包含3个一级指标、9个二级指标和30个三级指标。其中,一级指标包含新型智慧城市网络安全管理、新型智慧城市系统与数据安全和新型智慧城市网络安全运维;依据新型智慧城市网络安全评价对象和内容[6]对一级指标进行分解及细化,得到了对应的二级指标,如图2所示;三级指标可在实际中根据需要进行指标的增加或者删减以及细化。特别的,指标后括号内的数值代表指标权重。
其中,一级指标对应的二级指标分别为:
新型智慧城市网络安全战略、法规,指为了完成新型智慧城市网络安全保障的使命、功能、任务等,由地方网络安全主管部门制定的新型智慧城市网络安全中长期发展计划等文件的通称,主要评价新型智慧城市网络安全规划、法规及标准的制定、宣贯和落实情况等;新型智慧城市网络安全建设投资情况是指为了完成新型智慧城市网络安全保障,政府财政决算(或预算)中以及新型智慧城市安全建设中企业等建设方自筹资金用于网络安全建设方面的资金使用情况,主要评价智慧城市中网络安全建设投资情况;新型智慧城市网络安全机制是指为了完成新型智慧城市网络安全保障,建立政府职能部门为主的新型智慧城市安全管理机构,协调促进多部门配合联动以及重大网络安全事件责任追究制度,明确安全责任,主要评价网络安全人才培训、网络安全监测、通报预警机制、应急处理机制。
新型智慧城市关键信息基础设施安全是指为了保障新型智慧城市关键信息基础设施安全,对涉及的党政部门、金融、交通、能源、电信、公共安全、公用事业等重点领域的关键信息基础设施的备案、并开展必要的安全防护、进行安全检查,主要评价关键信息基础设施的安全防护和监管等;新型智慧城市关键信息化支撑技术安全主要涉及主要评价新型智慧城市所使用的物联网基础设施、移动互联网接入和云平台的安全防护情况;新型智慧城市数据安全指党政部门、金融、交通、能源、电信、公共安全、公用事业等领域的数据资源交互、融合和共享过程中的安全保障情况,以及个人信息保护情况,主要评价信息泄露、数据篡改、个人信息保护等情况。
新型智慧城市安全服务支撑,主要评价提供信息安全服务企业(或机构)的信息安全服务资质取得情况;新型智慧城市监测预警主要评价新型智慧城市网络安全整体的安全运行过程中的隐患发现能力、安全防护能力和综合保障能力;新型智慧城市应急保障能力主要评价新型智慧城市网络安全保障体系应对信息安全事件及灾难恢复的能力,包括对信息安全事件的应急响应能力和处置能力,以及发生安全事件后的恢复能力。
图2 新型智慧城市网络安全指标体系框架
为了贯彻落实推进新型智慧城市网络安全建设及标准制定方面的政策文件精神,针对新型智慧城市面临的安全威胁,本文提出了新型智慧城市网络安全评价指标体系。所提指标体系可加强新型智慧城市网络安全管理工作的统筹协调,增强新型智慧城市网络基础设施、重要新型系统、关键数据资源及服务的安全保障能力,对于我国新型智慧城市的网络安全的建设及评价标准的制定均具有重要的参考意义。
[1] 李建明.智慧城市发展综述[J].中国电子科学研究院学报,2011.
[2] 王惠莅.智慧城市网络安全风险分析及其标准化研究[J].标准化研究,2016.
[3] 朱贵冬,刘云龙,罗取.新型智慧城市信息系统顶层设计研究[J].信息系统工程,2017.
[4] BONINO D,ALIZO M T D,ALAPERIRE A,et al.ALMANAC: Internet of things for smart cities[C]//2015 the 3rd International Conference on Future Internet of Things and Cloud.[S.I.]:IEEE,2015.
[5] 吴前锋.智慧城市建设信息安全保障指南[S].国家标准草案,2017.
[6] GB/T 33356-2016.新型智慧城市评价指标.