□文/田 珍 史龑东 李仪涵
(郑州轻工业大学经济与管理学院 河南·郑州)
[提要] 大数据背景下,智慧城市发展成为城市化发展必由之路。然而,在智慧城市建设进程中,数据信息共享与信息安全这一矛盾成为智慧城市快速发展的一大障碍。如何既保证公民个人信息的安全又能通过数据信息共享提升治理效率成为智慧城市发展的重中之重。本文探讨智慧城市信息安全保障体系的构建。
智慧城市是指以海量信息与创新概念为特征,以实现城市治理的精确化和高效化为目的,以大数据、互联网等前沿信息技术为支撑的城市发展新模式。智慧城市以新一代信息技术为依托,极大地助力了城市治理精确化和高效化进程,但信息技术的广泛应用也使得智慧城市较传统城市而言面临更为复杂的信息安全风险。大数据是信息化发展过程中的新阶段,数据是国家基础性的战略资源,是数字经济的关键要素,随着数据技术的逐渐发展和数据共享开放的日益增速,保障数据安全也面临着严峻的挑战。2020 年,国家标准化管理委员会发布了《信息安全技术——智慧城市建设信息安全保障指南》,从网络通信等5 个不同层次分析了智慧城市建设所面临的信息安全风险,并着重强调了针对智慧城市运营者等智慧城市建设主要角色开展信息安全监管的必要性。
如今,智慧城市建设在全国范围内开展已有不短的时间,可依旧难以形成规模,其中一个主要原因便是信息安全的保障工作难以解决,存在“信息孤岛”的问题。如何保障大数据时代下的智慧城市信息安全问题,是智慧城市建设走出“试点”阶段的重要一环。
(一)相关文献梳理。Elmaghraby A S(2014)等认为,用户在信息的产生、传播、存储与使用的各个阶段都会面临威胁信息安全的情况,完善法律法规和推广信息安全教育等可以有效解决智慧城市信息安全问题。Li X(2018)等将模糊集理论和灰色关联应用到智慧城市信息安全研究领域中,利用相关理论对智慧城市信息安全进行了风险评估,并预判了智慧城市信息系统的脆弱性指数。向尚(2016)等在改进现有智慧城市信息安全风险指标体系的基础上,运用随机森林算法建立了其预测模型,并与传统模型预测结果做了对比。邹凯(2019)在环境、逻辑、组织这三个维度上,构建了智慧城市信息安全风险影响因素三维结构框架,同时运用DEMATEL 方法来识别智慧城市信息安全风险影响因素。毛子骏(2020)等选取了我国20 个智慧城市试点地区,同时基于贝叶斯网络量化评估了各试点的信息安全风险,发现我国各智慧城市试点间的信息安全风险水平有较大的差距。张艳丰(2020)等基于扎根理论,构建了智慧城市信息安全影响因素框架模型,阐明用户自身、数据服务、人员管理、外部环境4 大因素对智慧城市信息安全的影响及其相互之间的作用关系。
(二)主要发达国家政策梳理
1、美国。美国在智慧城市安全保障方面所重点关注的是智慧城市带来的安全和隐私问题,美国在其2015 年发布的《白宫智慧城市行动倡议》中提出,充分利用联邦政府已经开展的工作,通过在传感器网络、网络安全、宽带基础设施和智能交通系统等方面进行的研究和投资,形成一种投资组合模式,为智慧城市安全建设奠定坚实基础。2019 年,美国国土安全部在密苏里州圣路易斯市积极开展试点工作,旨在将“智慧城市互操作性参考架构”用于城市派遣和指导应急响应部门及其他市政部门,进一步提高市政服务水平,促进智慧城市数据交互,协同分析评估智慧城市相关技术与城市各部门的数据共享能力。在“云”安全方面,美国网络与信息技术研发计划(NITRD)发布的《智慧互联社区框架》中强调了美国“国家标准与技术研究院”的云计算项目(NCCP),重点关注智慧城市建设中的信息物理系统、网络安全和信息保障等安全环节,旨在保证智慧城市云服务的安全有效。此外,美国科创企业积极开发相关技术,助力美国实现全天候、无死角的智慧城市安全预警,打造安全的家庭、社区和公共场所。
2、欧盟。欧盟是较早进行智慧城市建设的地区,2007 年针对智慧城市建设提出了一整套的目标,先后出台相关治理战略以及确定重点建设领域。2011 年,欧盟重点落脚于交通和能源这两大领域,推出了“智慧城市和社区开拓计划”。2012 年7月,欧盟委员会开展“智慧城市和社区欧洲创新伙伴行动”,并成为欧盟在智慧城市领域最核心的建设措施。在智慧城市安全保障和治理创新方面,欧盟形成了“政府引导-企业参与-公众驱动”的创新模式,其中政府发挥治理创新引导作用,进行统一规划、协同和组织。该模式目的在于打造协同创新的、智慧的、以市民和企业为中心的服务。同时,欧盟致力于发展最新通信技术,建设新网络。在Kevin Ashton 最早提出“物联网”时,欧盟信息社会技术项目建议组便启用“环境感知智能”名词,引进无线射频识别(RFID)技术,并将物联网作为其智慧城市治理的重点,确保智慧城市建设网络安全。此外,欧盟积极进行统一部署,构建国家层面的领导机构等组织,对智慧城市进行统筹治理,并协调各部门间的相互合作,芬兰通过设立国家信息管理委员会,加强协同各政府部门的信息管理工作,实现保障联动。通过制定标准,规范电子政务应用软件的技术标准、开发过程和数据结构,2013 年4 月欧盟标准化组织CEN CENELEC 成立的“智慧&可持续城市与社区协调组”(SSCC-CG),以推动欧盟智慧城市的标准化相关工作为目标。
3、英国。英国把信息安全作为智慧城市安全保障的重点,为更好指导英国智慧城市安全保障建设,英国国家网络安全中心2020 年发表《智慧城市网络安全指南》,旨在建立起政府主管部门对于设计、建造和管理智慧城市的安全保障认知,制定智慧城市网络安全原则,明确政府机构、社会组织和个人职责,确保智慧城市及其底层基础设施安全,有效应对网络攻击,确保智慧城市的所有者和管理者做出明智的网络安全选择,具体表现为5 点内容,每一点都出台了相应的政策文件保障实施,由此构成了英国智慧城市安全保障技术框架。(表1)
表1 英国智慧城市安全保障技术框架一览表
在当今信息化、数据化的时代背景下,监控、人脸识别、指纹录入等技术的应用和成熟,对于城市管理中信息的采集工作并不困难,但真正困难的是信息的共享问题,主要原因在于如何保证信息的安全性。每个公民的个人信息有许多,其中最为关键的信息有户籍信息、行程轨迹信息、银行账户信息、网络浏览信息等,但其中大多数信息都关系到个人的隐私甚至是生命财产安全,应当是由国家机关、金融机构等部门所掌控和保护的,不能轻易调取和泄露,这是保护每个公民的个人隐私和生命财产安全的必要保证。出于对公民个人信息安全的考虑,公民个人信息难以实现共享,这就是问题的关键所在,也是非常棘手的困难。
设想,如果是由于智慧城市建设的需要,联合各个国家机关、部门实现信息共享,在这一过程中出现了信息泄露,使得某些本不该掌握某一领域公民个人信息的机构或个人获取了这些信息,危害了公民的个人信息安全,进而侵害了公民的个人隐私甚至是生命财产安全。如果类似情况发生,将是严重的社会公共安全事故,社会危害极大。
许多关于智慧城市的研究报告中都会论述到智慧城市建设中存在“信息孤岛”的问题,这一问题也确实存在。部分研究在分析其原因时会归结到政府部门间不顾大局只关注自身利益等问题,实则不然,智慧城市建设中“信息孤岛”这一问题的产生,归根结底还是由于对保障信息安全这一社会关键问题的顾虑。只有在确保公民信息安全这一不可让步的前提下,才能去考虑智慧城市建设中公民信息共享的问题,但要真正实现智慧城市中的信息共享任重而道远。
(一)建立数据中心,实现权限分级、多部门联动的数据一体化。为了寻求数据共享提升政府管理效率与保护居民个人隐私及数据安全的平衡点,应建立总数据库。从各部门收集数据进行汇总,进行数据保护以及大数据分析,并且将综合分析结果及时传送给市政府及各个相关部门以便于政府提前发现问题和突发情况,对居民做出预警疏散,做到未雨绸缪、先防先治,最大限度地减少市民损失,第一时间为市民提供保障,同时有效解决市民生活中的困难,比如停车难、看病难、频繁堵车等。
进行数据访问权限分级制度,有效保护市民隐私。比如,数据安全度由一到五进行分级,在投入市场过程中,为了方便政企有效结合,扩大便民规模的同时保障市民安全,可以适当开放一级,更好地取之于民、方便于民、收益于民。为了方便政府部门高效为人民服务,统一进行疫情防控等保障人民生命财产安全的措施,相关部门可以申请开放二级权限等。同时,进行严格的数据安全监管,将权力控制在法规和监管之内,严格进行数据权限申请审批,逐渐杜绝私企强制读取人民个人数据,对违反相应法规者进行严厉处罚。当然,对公检法应该给予一定特权,以方便其行使权力保障人民生命财产安全。
(二)加强宣教,提高数据处理人员安全意识。智慧城市所需的数据中涉及个人信息被泄露、盗用、滥用,与相关部门数据处理人员的安全意识不强有直接关系。当前,提高数据处理人员的安全意识是防止智慧城市运行当中个人信息泄露较直接的方法。数据管理部门要积极同新闻宣传部门联动,通过以案释法,依托电视、报纸、短信、App 等载体,加强对相关部门和数据处理人员的防范宣传教育,尽量避免智慧城市建设相关部门或数据处理人员泄露公民个人信息。
(三)加强技术创新,提高个人信息防护能力。一是加强网络安全态势感知。整理各方资源,建立一个全天候网络安全感知一体平台,目的是更好地发现和感知网络安全风险,进一步构造高效的、统一的网络安全风险机制,这一机制包含发现、报告、情报共享与研判处置等功能,以图准确地把握网络安全风险发生过程中的趋势、规律与方向。二是组织进行风险评估。不断对网络安全风险评估机制进行完善,同时对涉及较多个人信息等重要数据的数据库和应用系统进行加强评估,并根据评估所反馈的情况,适时地调整完善网络安全工作方案和保护措施。三是定期组织应急演练。对于那些拥有关键信息的基础设施运营单位,要定期组织进行应急演练,让那些包含个人隐私数据的重要信息系统可以有效地防御有组织的高强度网络攻击。四是认真贯彻法律的相关要求,加强关键信息系统数据的备份建设,同时进行定期备份效果的验证,提高信息系统的抗灾、减灾和恢复能力,并监督各单位认真落实法律法规规定,履行网络安全职责。
(四)多部门联合治理,严惩侵犯个人信息的违法违规行为。为持续保持对侵犯公民个人信息违法犯罪的高压严打态势,从源头上治理公民个人信息被泄露、隐私被侵犯的安全隐患,提高行政机关、企事业单位对公民个人信息和数据安全的保护能力,形成源头治理、综合治理、系统治理的工作格局,信息安全部门应配合公安局、网信办、法院、检察院、工信局、市监局等部门,提供相应的技术支撑,建立打击危害公民个人信息和数据安全违法犯罪的长效机制。同时,各级各部门要参与国家、省市等组织的护网行动,主动监测、发现并通报涉及金融、教育、电信、交通、物流等重点行业信息系统的安全监管漏洞,提高网络安全防范能力。(图1)
图1 智慧城市信息安全保障体系图
总之,智慧城市的建设是提升人民生活质量,便利城市日常管理和建设发展的必由之路,是未来大势所趋。在建设智慧城市的过程当中,信息安全的保障工作是重中之重,建立我国特有的智慧城市信息安全保障体系显得尤为重要。我们应认识到信息安全与数据共享这一矛盾的相互作用,并在这一作用当中寻找平衡点,建立我国的智慧城市信息安全保障体系。要建立数据中心,实现权责分级、多部门联动的数据一体化;要加强宣教,提高数据处理人员安全意识;要加强技术创新,提高个人信息防护能力;要进行联合整治,严惩侵犯个人信息的违规行为。通过建立智慧城市信息安全保障体系,保护智慧城市的安全稳定运营,推动智慧城市建设的规模化发展,筑造起大数据时代下保障公民个人信息安全的防火墙。