罗筱琦 何培育
【关键词】智慧城市 信息安全 数字政府
【中图分类号】D291.1 【文献标识码】A
党的十九届四中全会审议通过的《中共中央关于坚持和完善中国特色社会主义制度 推进国家治理体系和治理能力现代化若干重大问题的决定》明确指出,“建立健全运用互联网、大数据、人工智能等技术手段进行行政管理的制度规则”。智慧城市建设旨在运用现代信息技术,提高城市科学化、精细化、智能化管理水平。深化智慧城市建设,是打造数字政府的重要抓手,也是加速我国城镇化进程的必由之路。
智慧城市的基础架构分为四个层次,第一层是通过物联感知层构筑物联网,进行信息与数据的收集;第二层是通过移动互联网、无线宽带等网络通信层实时传递信息与数据;第三层是通过云计算、大数据等数据服务支撑层对信息与数据进行存储与深度分析;第四层是智慧应用层,将数据分析结果广泛应用于市政设施、公共服务、社会管理等各个领域。
我国的智慧城市建设大致可以划分为三个阶段。第一个阶段是2008—2011年的初步探索阶段。在该阶段由于无线通讯、光纤宽带、全球卫星定位系统等技术的市场化,部分城市开始在社会管理中探索应用,并取得了一定成效。
第二个阶段是2012—2015年的建设试点阶段。住建部于2012年底开展智慧城市建设试点,随后2014年国务院发布了《国家新型城镇化规划(2014—2020)》,首次把智慧城市建设纳入国家战略规划,并提出到2020年建成一批特色鲜明智慧城市的目标。2014年8月国家发改委牵头发布了《关于印发促进智慧城市健康发展的指导意见》的通知,并成立了“促进智慧城市健康发展部际协调工作组”,作为推进智慧城市建设的领导机构。
第三个阶段是2016年至今的全面推进阶段。国务院于2016年3月印发的国民经济和社会发展“十三五”规划纲要中,将建设智慧城市列为新型城镇化重大工程。2016年12月国务院印发《“十三五”国家信息化规划》的通知,正式提出新型智慧城市建设行动,分级分类推进新型智慧城市建设。2018年12月,国家发改委发布《关于继续开展新型智慧城市建设评价工作深入推动新型智慧城市健康快速发展》的通知,明确了智慧城市建设的评价标准。经过十余年的发展,我国的智慧城市建设取得了长足的进步。
关键信息基础设施安全风险。在智慧城市建设中,传统基础设施被具备信息收集功能的智能物联网设备所替代,并通过统一的技术标准实现信息共享。但是,关键信息基础设施信息系统极易受到网络攻击而陷入瘫痪。例如2015年,乌克兰全国27个配电运营中心遭到黑客恶意软件攻击,造成长达3小时的大规模停电,社会生产生活受到严重影响。
信息传输与存储安全风险。由于智慧城市建设涉及大量复杂的数据采集、存储、传输与交换,在数据流动的各个环节均可能产生网络安全风险。第一,破解数据授权访问。不法分子可以通过技术手段,对具有访问权限的主体获取数据的过程中进行非法截取。第二,数据的跟踪与交叉访问。在智能城市网络系统中各数据中心互联互通,一个数据包往往对多个应用程序开放访问权限。不法分子就可以通过信息追踪技术,基于一个数据中心的访问权限,追踪到其他多个相关数据中心的数据,进而非法窃取其他数据中心的数据,造成系统的安全事故。第三,对数据储存的恶意网络攻击。通过网络病毒对数据系统进行攻击是网络安全事件最常见的表现形式。网络病毒主要包括木马病毒、系统漏洞攻击、网络爬虫、远程后门与僵尸网络等类型。黑客在实施网络攻击的过程中,往往将几种手段结合使用,从而对网络系统安全造成重大威胁。
公民个人信息安全风险。随着移动网络终端与智能手机的普及使用,智能城市网络系统中存在大量的公民个人信息,包括个人位置信息、照片、健康信息、银行账户、联系人等。这些私密性很强的信息通常使用本地存储工具或者API进行数据存储,一旦接入智慧城市数据网络系统,往往成为不法分子觊觎的对象,如果不增强客户加密存储与系统隔离,极容易造成数据泄露。
加强智慧城市信息安全顶层设计。政府部门应在智慧城市建设中发挥主导作用,以“可管可控、确保安全”原则为指导,从顶层设计出发进行总体协调,成立智慧城市信息安全保障领导小组,制定信息安全总体战略、政策、计划方案,并对落实情况定期开展评估工作,建立健全智慧城市信息安全管理工作机制,明确相关参与部门及单位的职责分工,避免出现职能交叉重叠或空白地带,从而实现政府、智慧城市建设方、数据运营维护方以及信息安全保障机构相互之间的分工协作。
构建智慧城市信息安全框架体系。围绕智慧城市体系的不同模块,应采取有针对性的信息安全手段,构建智慧城市信息安全框架体系。对于关键信息基础设施安全风险,首先应当重点优化访问控制,不同用户单位根据各自数据收集系统的技术特点,设计有针对性的访问控制方案。对于智慧城市数据的存储与传输,应当根据不同的数据类型进行加密,防止数据被篡改或系统被破坏,以确保敏感数据安全。此外,在数据的储存与传输过程中,应当通过数据智能检测技术,评估数据安全保障技术的可靠性,如果发现存在有网络攻击与恶意篡改的情况,应及时向数据控制主体发出系统警报。对于智慧城市数据的应用,应当加强操作系统安全保障,通过隐私保护技术、身份認证技术、云存储安全技术等实现访问控制与硬件安全,确保安全保障系统的稳定性。
完善智慧城市信息安全评估机制。对智慧城市信息系统定期开展安全评估是保障数据安全的重要手段。通过安全评估,可以有效分析系统风险,掌握系统安全状况并有助于在客观认识风险级别的基础上进行科学决策,提升信息安全保障水平。安全评估一般分为四个要素,即资产、威胁、脆弱性与安全措施,在资产要素部分,应重点考察关键信息基础设施的国产化率、物联网技术稳定性、安全管理人员的数量与水平等;在威胁来源部分,重点从设备的故障率、安全事故发生频率、管理制度的成熟度等方面评估技术类风险与管理风险;在脆弱性识别部分,重点从硬件设备与网络系统的脆弱性、相关人员配置与管理制度完善性等方面进行评估;在安全措施方面,重点从安全制度的完善性、事故预案的科学性、身份验证与访问审查、加密制度等方面进行系统评估。
健全智慧城市信息安全法律法规。虽然《中华人民共和国网络安全法》第31—39条对关键信息基础设施安全进行了规定,但相关条文较为宏观,需要进一步制定配套实施细则,明确关键信息基础设施安全保护中各方主体的责任和义务,完善关键信息基础设施的安全责任制度、检查评估制度、事故应急处理预案制度等,切实保障关键信息基础设施安全、稳定运行。在加强公民个人信息保护方面,应加快制定《个人信息保护法》等法律法规,合理界定公民个人信息使用、共享的合法性边界,加大对个人数据盗窃、非法收集与交易行为的打击力度,保障公民隐私权不受侵犯。
(作者分别为广东财经大学法学院教授;重庆理工大学知识产权学院教授)
【注:本文系国家社科基金项目“大数据时代个人信息盗窃的法律问题与对策研究”(项目编号:16CFX027)阶段性成果】
【参考文献】
①王青娥、柴玄玄、张譞:《智慧城市信息安全风险及保障体系构建》,《科技进步与对策》,2018年第24期。
②郑建华:《智慧城市建设与信息安全》,《网信军民融合》,2018年第7期。
③张泽虹、赵冬梅:《信息安全管理与风险评估》,北京:电子工业出版社,2010年。
责编/孙垚 美编/陈琳