升级数字基础设施、充分发挥数据要素作用、推进产业数字化转型、推动数字产业化、持续提升公共服务数字化水平、健全完善数字经济治理体系、强化数字经济安全体系等方面提出了建设和规划要求,为推动我国数字经济健康发展和下一阶段的数字经济建设规划提供了顶层指导意见。2.智慧城市标准化建设现状
3
3.各地智慧城市建设现状
(1)国内智慧城市建设现状
智慧城市从概念提出到落地实践,历经十多年建设与发展,我国智慧城市建设数量持续增长。目前,所有副省级以上城市、89%地级以上城市、47%
4
(2)国外智慧城市建设现状
5
IBM于2008年提出“智慧地球”的概念后,新加坡、美国、欧盟、日本等国家和地区先后提出智慧城市发展战略,试图运用新一代信息技术来重新审视城市的本质、城市发展目标的定位、城市功能的培育、城市结构的调整、城市形象与特色等一系列现代城市发展中的关键问题。新加坡被公认为全球领先的智慧城市,由新加坡总理领导规划了新加坡数字化发展愿景,并设立专门政府部门负责推进“智慧国家”建设以及协调各机构工作。2006年,新加坡推出为期十年的“智能城市2015”信息化计划,目的是通过大力发展ICT产业,应用ICT,提高关键领域的竞争力,将新加坡建设成为由ICT驱动的智能城市。制定了智慧城市建设目标,定期发布报告,让民众了解目标是否达成。经过十年的努力,效果显著,新加坡于2014年将该发展蓝图升级为“智慧国家2025”,希望通过ICT改善人们的生活,创造更多的机会。
美国网络安全和基础设施安全局2020年发布《智慧城市系统信任》(TrustinSmartCitySystems)报告。根据该报告,美国目前有数百个智慧城市项目处于部署或开发阶段,这些项目的投资量和影响范围意味着美国公民将更加依赖更智能的城市技术。美国政府尤为重视标准建设,如美国国土安全部科学技术理事会推进发布《智慧城市互操作性参考体系架构》,以此来评估智慧城市标准在公共安全领域的发展现状,并为物联网传感器提供可互操作的开放架构。美国国家标准与技术研究所(NIST)推进发布《智慧城市和社区框架系列》,以解决智慧城市建设中数据、网络、安全、特定行业及实施方法等方面的问题。
欧盟是国际区域一体化的代表区域,近年来整个欧洲已启动了超过15项
6
针对数字化产业的国家计划,如德国工业4.0、法国未来工业联盟、荷兰智慧产业等。2020年,欧盟委员会先后发布了《塑造欧洲的数字未来》、《人工智能白皮书》和《欧洲数据战略》3份文件,从战略层面推进欧盟加快数字转型,提升数字化水平。《塑造欧洲数字未来》涵盖了从网络安全到关键基础设施、数字教育到技能、民主到媒体的所有内容,该战略提出欧盟数字化变革理念、战略和行动,希望建立以数字技术为动力的欧洲社会,使欧洲成为数字化转型的全球领导者。
结合智慧城市发展现状,考虑当前智慧城市标准化需求,常见智慧城市
7
基础设施层是针对新型基础设施的技术、建设、管理的平台,切实为智慧城市项目建设和运营基础服务提供支撑和保障。数据层包括城市数据资源体系、城市数据模型、城市数据治理、城市数据融合与服务四大项。数据层作为数据存储的体系架构,是数据安全防护的重点。
8
建设与运营层,为智慧城市建设和运营过程提供技术、方法、流程、创新等方面的指导和参考,包括规划设计、部署实施、运营管理、评估改进四个子类。
智慧城市建设和运营过程中面临复杂的安全风险,安全防护是保障技术与平台、关键基础设施、数据平台、管理与服务、建设与运营安全可靠的重要基础。
2.智慧城市数据应用
一是收集数据,其中涉及不同领域数据,如人口数据、地理数据、天气数据、交通数据、医疗健康数据等。同时数据收集方式多种多样,如传感器采集、爬虫、录入、文件导入、接口、块数据等,且不同领域数据收集制式不同,收集识别过程需要大量人工确认。数据收集过程中应在收集设备、收集方式以及人工操作等环节保障安全。
二是存储数据,要保障城市海量数据存储安全,业务系统存储介质的安全可信是非常必要的,同时也要考虑城市重要数据需要加密存储。
9
五是提供数据,要实现智慧城市信息系统的互联互通,各个业务系统之间就要打破数据壁垒,实现数据为多种业务场景服务的能力,如用户用电数据既可以服务智慧消防系统,也可以服务智慧城市运行,但要想实现数据的互联互通,就需要有清晰的数据确权、规范安全的数据交换平台以及相应技术支持(如隐私计算、数据沙箱等)。
六是数据公开,智慧城市信息不应只为各个业务系统提供数据支撑,还需要服务公众,及时适度公开数据。对于法律法规要求公开的数据,使用数据脱敏技术实施保护,同时明确数据公开的范围、类别、条件、程序等,在数据公开前分析研判可能对国家安全、公共利益产生的影响程度,存在重大影响的不得公开。
七是数据销毁,智慧城市各服务节点分布式存储大量数据,当数据需要
10
销毁时,需要统一各平台对该条数据全部删除,防止数据残留。(三)数据要素及其安全在智慧城市建设中的重要意义1.政策体系构建安全顶层设计
表1我国数据安全综合治理体系层级规范名称上位法
基本法律基础性法律《网络安全法》《数据安全法》《个人信息保护法》下位法
行政法规《关键信息基础设施安全保护条例》《网络数据安全管理条例(征求意见稿)》部门规章及
规范性文件
《网络安全审查办法》《数据出境安全评估办法(征求意见稿)》《汽车数据安全管理若干规定(试行)》《工业和信息化领域数据安全管理办法(试行)(征求意见)》《银行业金融机构数据治理指引》《国家健康医疗大数据标准、安全和服务管理办法》......
11
地方性法规《深圳经济特区数据条例》《上海市数据条例》......标准、指南等
12
在地方性条例和管理办法层面,我国各地方同样在不断探索数据安全治
13
理的规则及模式,已出台的《上海市数据条例》、《重庆市数据条例》、《四川省数据条例》、《深圳经济特区数据条例》、《浙江省公共数据条例》、《江苏省公共数据管理办法》、《江西省公共数据管理办法》、《广东省公共数据安全管理办法》、《山东省公共数据开放办法》、《河北省政务数据共享应用管理办法》、《上海市公共数据开放实施细则(征求意见稿)》、《福建省公共数据资源开放开发管理办法(试行)》等均在不断深化我国的数据安全治理的模式,共计30余个省市相继提出了数据安全治理的新措施,为当地智慧城市建设具有指导意义。
数据要素是数字经济的关键基础,数字经济是智慧城市发展的推动力。数据要素快速融入生产、分配、流通、消费和社会服务管理等各个环节,基于数据汇聚、数据分析的广泛应用,深刻影响智慧城市场景不断发展,如“一网统管”、“一网通办”、“一网协同”等。智慧城市打造便民的生活和营商环境,加快构建数据资源体系,对激发市场主体创新活力、助推数字经济发展、加快数字中国建设步伐发挥至关重要作用。维护数据要素安全就是在维护数字经济的安全。
维护数字经济安全就是维护国家安全。2020年,我国数字经济核心产业增加值占国内生产总值(GDP)比重达到7.8%[3],数字经济为经济社会持续
14
健康发展提供了强大动力。到2025年,数字经济迈向全面扩展期,数字经济核心产业增加值占GDP比重达到10%[3],我国数字经济对国内核心经济影响逐步提升,因此维护数字经济安全就是维护国家安全。3.数字技术安全要素融合创新
网络基础设施发展,智慧城市数据算力改变。根据十四五规划,我国将建设高速泛在、天地一体、云网融合、智能敏捷、绿色低碳、安全可控的智能化综合性网络基础设施。当前国家正在有序推进骨干网扩容,协同推进千兆光纤网络和5G网络基础设施建设,推动5G商用部署和规模应用,前瞻布局第六代移动通信(6G)网络技术储备,加大6G技术研发支持力度,参与推动6G国际标准化工作。未来将大力发展空间信息基础设施演进,卫星通信网络等,推动卫星互联网建设。物联网在工业制造、农业生产、公共服务、应急管理等领域的覆盖水平有所提高。智慧城市数据的发展离不开基础网络,在新型基础网络的扩建中,数据收集、传输、存储等安全方案也面临新的挑战。
15
平台和运行管理服务平台,因地制宜构建数字孪生城市。数据要素多样性发展,智慧城市数据管理难度提升。智慧城市是一个以数据为核心要素的智能系统。来自自然空间、物理空间、经济空间和社会空间多元异构数据融合,构成了数据底座。智慧城市数据具有分布式、海量性、多态性、关联性及语义性的新特点。随着城市的发展,数据类型呈现多样化发展趋势,这包含结构化数据(如用户数据)、半结构化数据(文档报表、统计报表数据)以及非结构化数据(图片数据、音视频数据);数据处理需求的多样化,包括离线数据分析类应用和在线并发访问类应用。数据统一标准、分类分级、数据全流程监控、跨行业监管等都是智慧城市数据安全面临的新挑战。比如一个地级城市至少有40个委办局,再加上区级单位,会有50多个条线。北京在2019年实现一网统管时,汇集了68个不同系统[4]。总的来说,数据量的丰富和多样化对数据处理与安全技术提出了新的挑战,如数据采集与存储、数据质量、数据处理与分析、数据安全与隐私等问题需要不断进行技术突破和创新。
4.数据安全社会需求与日俱增
数据要素是信息化社会的建设核心,对我们当今社会生活、工作和创新发展都具有明显影响和重要意义。数据要素的发展使得商业更加智能和高效、推动医疗保建的转型、改善教育质量、促进城市智慧化管理,帮助群众“最多跑一次”、享受数据红利。然而数据带来便利的同时,数据安全事件也不断发生。
数据安全事件影响程度日益加剧。数据安全威胁更加多样化,集中在数据泄露、弱口令、特权账号访问、非法访问、越权访问等。数据安全事件影
16
从促进行业数字化转型和国家数字经济发展的角度看,数据安全问题会从多方面产生显著的负面影响:首先,会抑制行业数据合理开放共享的意愿和积极性;其次,会增加公众和运营企业对于个人信息和隐私数据的收集和使用以及对于包括重要数据在内的数据交易、共享和价值挖掘活动的顾虑,从而阻碍基于数据的新技术、新业务与实体经济的深度融合与创新;再者,数据安全问题给数据的跨境流通增添了新的难度与挑战。
17
二、智慧城市数据安全风险(一)智慧城市数据安全内部管理风险近年来,我国智慧城市建设持续深化,面临的数据安全问题日趋凸显,而随着技术的进步,外部攻击变得越来越复杂,部分城市建设者将安全工作完全集中在外部攻击上,这为内部风险留下了更多机会。一些建设者没有认识到数据安全合规、数据处理周期或数据运营过程中安全的重要性。毫无疑问,“内部威胁”是数据安全中最容易被忽视的方面之一。1.数据安全合规风险
18
有效指引。
二是责任难以划分,智慧城市是多个信息系统与应用的集合。相应地,在数据安全责任多方参与的背景下,监管方、使用方、保障方、建设方、运营方等各种角色难以清晰地界定各自责任边界。同时,数据要素的流通也会带来数据提供者、数据处理者、数据公开者等责任划分的困难。2.数据处理安全风险
根据《GB/T42447-2023信息安全技术电信领域数据安全指南》国家标准,数据的处理措施包括七个阶段:数据收集、数据存储、数据使用加工、数据传输、数据提供、数据公开、数据销毁。智慧城市数据在数据处理的不同阶段面临不同程度安全风险。
(1)数据收集
从智慧城市建设与管理需求的角度,智慧城市数据收集包括基础数据(如人口数据)、专题数据(如房屋数据)、业务专属数据(如公安、教育等领域数据)、其他数据(如工业数据)等等。智慧城市数据收集类型多、收集节点复杂、收集技术要求高的特点,导致智慧城市在数据收集阶段面临诸多风险。数据收集阶段主要风险主要有,一数据收集范围不明确,未遵循最小收集原则,导致数据过度收集、非法收集、非必要收集;二数据收集业务能力有限,导致所收集数据的真实性和完整性难以保证;三数据收集面临劫持、篡改控制命令,导致数据泄露。
(2)数据存储
数据是智慧城市的核心组成部分,智慧城市建设的效用高低,很大程度上取决于大数据资产利用的深度与广度,而有效存储海量数据是智慧城市建
19
设中的一个关键问题。目前,智慧城市数据存储阶段还面临着许多挑战,一是数据存储介质不安全、不可信,易引发数据泄露或被窃取等风险;二是重要或敏感数据缺乏梳理,对数据分布、脆弱性、访问接口不清楚,面对海量数据,难以实行分类分级保护;三是数据使用、访问过程中,缺乏必要的数据容错保护手段,易导致核心数据被破坏的风险,如新员工操作不熟练、运维人员或特权人员为谋私利等破坏核心数据;四是数据无定期备份,一旦遭人为破获、软硬件故障、灾难灾害或突发事件等,易导致数据丢失;五是国内智慧城市数据存储多依赖国外技术和软件,存在技术和软件不可控的风险;六是敏感数据未加密存储,一旦被人窃取,将导致大量数据明文泄露风险。(3)数据使用加工
智慧城市拥有海量数据,要真正实现“智慧”,城市需要拥有能够处理分析和保护海量数据的能力。而智慧城市数据使用加工阶段也面临着大量安全挑战,一是对数据的使用缺乏访问控制,易导致数据被窃取或破坏;二是数据处理使用易发生数据库之间、应用与数据库之间数据异常流转、针对数据库发动拖库或删库攻击的风险;三是数据防护手段不完善,内部员工非法利用数据谋取自身利益。
(4)数据传输
智慧城市数据传输主要是指数据在各业务平台、各节点之间、各组件之间以及跨组织之间进行传输,以实现万物互联。而城市信息化、智能化的推进导致智慧城市数据在传输过程中可能会遭到不法分子的攻击,导致数据被拦截、被篡改、被中间人攻击(MITM攻击);也可能由于传输操作不当,或因移动介质、传输设备和网络不安全等原因,导致数据泄露。由于智慧城
20
市数据传输的异构、多源、关联等特点,即使多个数据集各自脱敏处理,在传输过程中数据仍然存在因关联分析而造成信息泄漏的风险。(5)数据提供
目前,建设智慧城市仍存在数据收集后缺乏整合、难以返还提供合理数据的问题,给城市数字化建设带来难题。智慧城市数据提供阶段面临的主要难题,一是数据交易平台不规范、不安全,防护能力不足,容易造成数据被泄露、窃取、冒用;二是与外部单位进行数据提供过程中缺少技术审计手段,一旦发生泄密难以溯源;三是数据接口缺少可信认证机制,存在非法应用服务器接入的风险;四是数据提供过程有隐私安全风险,通过数据推算数据所有者信息造成隐私泄露。
(6)数据公开
(7)数据销毁
数据销毁阶段主要对数据及数据存储媒体通过相应的操作手段,使数据彻底删除且无法通过任何手段恢复的过程。智慧城市建设包括智能电网、智能交通、智能环保、智能城管等领域,而这些领域出于保密要求存在大量需要进行销毁的数据,只有采取正确安全的销毁方式,才能达到保护关键数据的目的。目前,智慧城市数据销毁阶段面临的安全风险主要有:一是采用单
21
一销毁方式、数据销毁制度不完善,缺乏有效监督;二是数据销毁不彻底,如普通的数据删除、低级格式化等不能彻底删除数据,容易造成数据泄露;三是某些组织为了自身利益刻意恢复数据,转卖给第三方公司,严重侵害用户隐私;四是数据分布式存储技术的普及可能使数据销毁不彻底,或因数据关联分析使得销毁数据恢复。
3.数据运营风险分析
智慧城市建设过程中产生大量数据资产,而要最大化发挥数据资产的价值,则重在数据运营,通过数据运营快速响应业务需求、驱动业务持续改进,从而推动智慧城市高效协同发展。而我国智慧城市运营方式因地制宜,根据各地市情况由城市管理局、大数据局、第三方开发公司等多方建设运营,同时在建设过程中,仍有一些地方重建设轻运营,缺乏专业化数据安全运营管理机制,内部管理不规范,导致数据安全面临严重挑战。根据Verizon发布的《2022年数据泄露调查报告》,2022年数据泄露事件中82%的违规行为涉及人为因素。因此,数据运营过程也是数据安全防护不容忽视的方面。比较典型的风险:一是内部员工出于个人利益,越权访问、恶意篡改或窃取重要敏感数据;二是运维人员因误操作或者泄愤行为,造成数据损坏;三是企业因培训不足、管理流程不规范等原因导致员工误用、滥用数据;四是因系统故障、设备老化等原因导致数据意外丢失。(二)智慧城市数据安全外部攻击风险智慧城市建设中涉及的数据具有种类多、覆盖范围广、总量大、数据价值高等特点。随着数据价值重视程度的提升和信息化的发展,重要数据成为更多不法分子的目标。近几年国内外数据安全事件呈上升趋势,事件原因多
22
种多样,后果日益严重,智慧城市建设中面临的外部安全威胁越来越严峻。从全球公开新闻报道
[5]来看,51.7%的数据安全事件为数据泄露事件,23.3%的数据安全事件为数据破坏事件。下面重点就造成数据泄露、数据破坏的主要攻击手段以及新的攻击技术带来的安全风险进行分析。1.常用攻击手段
(1)凭证窃取
智慧城市有力推动了区域或行业信息基础设施的集约化发展,这种集约化基础资源的高度共享性,加大了数据IP、身份窃取等安全风险。根据Verizon《2022年数据泄露调查报告》显示,凭证窃取是造成数据泄露的重要因素之一。外部攻击者常常使用密码喷射、凭证填补、中间机器等攻击向量窃取凭证,以直接获取的姿态盗取数据。
(2)网络钓鱼
网络钓鱼是攻击者利用欺骗性的电子邮件和伪造的web站点来进行诈骗活动。智慧城市建设涵盖众多行业,电力、交通、医疗等领域,涉及大量敏感信息,一旦数据管理人员安全意识不足或者操作不当,被黑客组织利用,对城市建设造成的损害难以估量。根据《2022年数据泄露成本报告》显示,网络钓鱼是第二大造成数据泄露的原因,同时也是造成组织损失金额排名第一的攻击方式,平均给受访组织造成高达491万美元的损失。(3)供应链攻击
供应链攻击是一种面向软件开发人员和供应商的新兴威胁。攻击者会将供应链作为攻击对象,先攻击供应链中安全防护相对薄弱的企业或组织,再利用供应链之间的相互连接,如软件供应、开源应用等,将风险扩大至上下
23
游企业或组织,产生巨大的破坏性。智慧城市中供应链涉及环节复杂,链路长而广泛,供应商众多,暴露给攻击者的攻击面也越来越多,供应链的各个环节都可能成为不法组织攻击的入口。根据《2022年数据泄露调查报告》显示,今年62%的系统入侵事件是由供应链造成的。(4)漏洞利用
(5)僵尸网络
僵尸网络是指采用一种或多种传播手段,将大量主机感染僵尸程序病毒,从而在控制着和被感染主机之间所形成的一个可一对多控制的网络[6]。物联网是智慧城市建设的技术基础,然而物联网设备是僵尸网络的理想设备,因为它们的安全性较差,并且还存在大量几乎相同的设备,攻击者可以使用同样的策略进行攻击,造成网络瘫痪,从而窃取内部重要数据或导致大量隐私泄露。
2.数据破坏途径
(1)通过勒索软件破坏数据
24
勒索软件是数据遭到破坏最主要的原因。近年来,对数据强行加密的勒索手段成为攻击者最常用且最有效的攻击手段,勒索攻击目的由单纯经济牟利转向实施数据破坏、窃取战略机密、谋取政治诉求等多重企图。一是关键信息基础设施已经成为黑客发起勒索攻击的重点目标。二是随着技术的发展,黑客组织的勒索手段由单一加密勒索转向双重勒索、多重混合勒索模式,以“勒索”为幌子,掩护其进行数据破坏、情报猎取等真实意图,获取更多潜在利益。目前,智慧城市建设的各个领域,包括应急服务、交通、能源等,正越来越多的与5G物联网服务和传感器相连。此类物联网设备的任何安全缺失,都可能使它们成为黑客组织运用勒索软件攻击的目标。3.其他攻击方法
(1)APT高级持续性攻击
APT攻击(高级可持续威胁攻击),也称为定向威胁攻击,指某组织对特定对象展开的持续有效的攻击活动。APT组织攻击领域广泛,规模庞大;攻击目标多样,全域覆盖;攻击技术先进,手法复杂,攻击具有极强的隐蔽性和针对性。智慧城市数据对政治、经济和社会等方面高价值的特点,往往成为APT组织攻击的主要对象。APT攻击以获取机密数据、控制关键基础设施运行等为目标,一旦发生将给人民生产生活、社会经济稳定,甚至国家安全造成巨大影响。
(2)利用爬虫技术非法获取敏感数据大数据时代的到来,使得网络爬虫技术得以广泛应用。在智慧城市数据收集过程中,也会经常用到网络爬虫技术,将网络中出现的实时数据进行快速抓取。但随着爬虫技术的发展,不法组织利用其技术非法爬取大量行业数
25
据,从数据中分析出行业网络行为特性、甚至具有高价值的敏感数据,以谋取非法利益或获取商业对手核心机密等。(三)智慧城市数据交换开放共享风险智慧城市的建设和运转需要将大量的数据进行共享,更开放的数据会带来更便捷的城市服务。但是在无可信第三方的情况下,共享的数据同时也会带来相应的风险,主要存在于三个方面。
26
的发展,催生出很多新型、高级的网络攻击手段,使得传统的安全防御技术无法有效抵御外界的风险。
随着6G技术的研发和应用,将打通未来智慧城市的各个领域,包括政务、能源、交通、医疗等行业,实现全域覆盖、通感一体、智慧交互,让我们的城市更联通和智能。但是6G技术带来便利的同时,也为个人隐私数据带来更多的威胁。相比5G网络,6G网络中会具备更多的数据形式,如传输大量人体数字信息(包含物联网、电子健康、人体局域网等)。此外,6G网络将会更广泛地渗透到各行业,网络中的大量数据将会包含及其敏感的个人隐私。如果没有强有力的隐私保护手段,极可能面临数据泄露风险。与此同时,6G网络带来的空天地一体化网络环境十分复杂,由于具有时延长、误码率高、信息非对称、高动态特性等特征,以及承载的业务类型具有多样性,给数据可靠传输带来巨大挑战,同时数据泄露也变得日益严重,由此引发的问题往往会直接关系国家安全。
人工智能技术,可以通过自动化决策在人脸识别技术、智能医疗、智能交通、智能家居等诸多领域发挥作用,但是它也能被不法分子用于网络诈骗、黑客攻击、生物信息伪造等方面,例如业余黑客利用ChatGPT开发智能恶意软件程序并发起隐形攻击,使得攻击更加隐蔽、智能、有效,导致数据被操纵、暴露和篡改的风险不断放大,从而给智慧城市的建设带来新的安全风险。数字孪生技术的发展,能够极大推动智慧城市建设,如建立实时标准的结构化数据,提高定位的精准性;通过对城市交通数据进行实时分析,可精准预测城市交通拥堵的关键节点,进而提前进行交通管制,缓解交通压力。但是,数字孪生技术会产生海量数据,需要多种存储方式进行存储,每个环
27
节都可能会产生数据泄密的风险,同时虚拟控制系统也可能存在各种未知安全漏洞,造成数据泄露。
新技术的发展使得数据安全攻击更加智能化,攻击手段更加隐蔽和持续,导致许多传统的安全防护体系无法应对新问题,数据安全所面临的风险也在不断增加。
28
三、智慧城市数据安全需求(一)国家法律法规合规需求1.满足国家智慧城市数据安全的顶层设计顶层设计是智慧城市数据安全建设的行动指南,是检验智慧城市数据安全成果的工具,是实现安全合规的基础。
从整体来看,全国对智慧城市数据安全越来越重视,但针对智慧城市数据安全领域的制度体系尚不完善,结构内容尚不丰富。针对上述难点,应在管理方案、技术防护、运营机制三方面做好顶层设计,推进智慧城市数据安全体系规范化建设。管理方案层面,需明确安全主体责任,完善智慧城市数据访问权限控制、安全风险处置、安全审计等数据安全管理制度规范,加强数据流转全流程审计监督,形成组织架构、制度规范、合规审计三位一体的闭环管理方案;技术防护层面,根据智慧城市数据特点,利用数据加密、数据脱敏等基础防护手段,结合隐私计算、人工智能等新技术,完善数据安全防护和监测手段,实现数据处理周期的可见、可知、可管、可控;运营机制层面,加强安全服务能力集中化运营、安全服务团队统一管理,加强数据安全风险信息的获取、分析、研判、预警以及应急响应处置机制,建立健全事前管审批、事中全留痕、事后可追溯的数据安全运营机制。2.不断细化完善安全技术规范
29
30
一方面需要不断完善和建设数据分类分级、数据脱敏、数据加密、数据销毁等基础防护技术,加强隐私计算、数据流转分析等关键技术来保障智慧城市数据处理安全;另一方面,需建设安全策略防火墙、IPS、WAF、抗DDoS、邮件网关等网络防护技术,来有效应对恶意代码、爬虫、DDoS攻击、钓鱼邮件、APT攻击等外部网络攻击。最后为提高自主可控性,在安全防护技术中应减少对外部软件和技术的依赖,提高技术的自主可控性。(四)智慧城市新技术应用的安全需求近年来,新技术的快速兴起,在促进智慧城市发展的同时也带来了新的安全问题。如何运用新兴技术为智慧城市数据安全保驾护航,已经成为未来
31
32
四、智慧城市数据安全解决方案(一)智慧城市数据安全总体架构智慧城市数据安全总体架构的目标就是要保证城市在数字化转型过程中各类数据基础设施和重要业务系统的正常运行,确保智慧城市重要数据资源的保密性、完整性、可用性、真实性、可控性、不可抵赖性,使个人信息得到保护,满足国家对新型智慧城市数据安全保障工作的要求。图3智慧城市数据安全总体架构(二)智慧城市数据处理周期安全智慧城市数据处理周期整体是一个系统性的安全保护措施,要通过技术手段和管理规范相结合来实现对智慧城市数据的有效保障。它具体分为七个
33
阶段,分别为数据收集安全、数据存储安全、数据使用加工安全、数据传出安全、数据提供安全、数据公开安全和数据销毁安全,每个阶段具有特定的保护方案。
1.数据收集安全
(1)资产发现方案
智慧城市大数据平台通过资产扫描、元数据接口对接、数据字典导入等方式,收集、发现各对接系统的数据资产,其中资产扫描方式是以任务形式对指定城市平台内的各类数据库、涉敏文件进行嗅探,自动发现数据资产并进行备案,再通过对指定数据库、大数据或文件进行扫描,识别数据资产与分类分级情况;数据字典可通过文件导入或与元数据系统的接口对接方式获取数据资产。
智慧城市大数据平台通过主动发起数据探测行为,对数据源或结构化文件、非结构化文件中的数据进行分析,运用字段名、字段描述、内容关键字、正则表达式、自然语言识别等规则匹配,进行数据特征的智能识别,该技术可以判断输入数据的特征是属于个人姓名、身份证号、手机/座机号、职业、地址、纳税人识别号等类型。通过数据资产自动发现与识别技术,可以对需要分类分级的数据做预处理,加速人工判别过程。实现数据资产的全面测绘,形成数据资产地图、多维统计分析视图、资产分析报告、数据清单等。(2)分类分级方案
智慧城市大数据平台对发现的数据资产,面向字段名、字段描述、数据样本三要素,通过数据识别引擎进行自动化的敏感数据特征识别,与数据分类分级模板中明细分类建立映射关系,快速生成数据分类分级策略,完成数
34
据资产分类分级的预处理。
数据分类分级模板依照智慧城市特点,对经济、证券、工控、政务等行业标准制定不同预制模板。参考标准如《数字化改革公共数据分类分级指南》(DB33/T2350-2021)、《国民经济行业分类》(GB/T4754-2017)、《政务信息资源目录体系第4部分:政务信息资源分类》(GB/T21063.4—2007)、《证券期货业数据分类分级指引》(JR/T0158—2018)、《石油和化工行业工业数据分类分级指南》等。
智慧城市大数据平台针对数据字段和字段描述,通过运用谓词切分与语义分析技术,帮助了解和定义数据的业务分类,进一步通过表和字段自动关联分析,对业务分类关键字进行钻取、分析、统计,帮助对业务分类进行统计确认,并与数据分类分级模板中的明细分类建立映射关系,生成更加精确的数据分类分级策略。
城市大脑基于已分类分级的数据资产结果集,将结果中的表名、字段名、字段描述、数据特征等作为向量,进行机器学习建模,并根据知识库模型智能预测大规模数据的分类分级打标,实现数据自动分类分级,输出数据分类分级报告。并通过面向行业或系统的持续模型优化,形成数据分类分级模型知识库,向全自动数据分类分级迈进。数据分类分级结果根据数据重要性,在数据处理周期各环节采取不同保护策略和要求。2.数据存储安全
(1)静态脱敏方案
数据脱敏是指对某些敏感信息通过脱敏规则进行数据的变形,实现敏感数据的可靠保护,实现在不泄露用户隐私的前提下保障业务系统的正常运行,
35
对敏感数据去标签化处理。脱敏算法包含掩码、截断和哈希,脱敏技术应支持通过灵活多样的内置或自定义脱敏算法,实现了智慧城市各类数据的不同脱敏效果,并确保脱敏后的数据保真可用。(2)静态加密方案
数据静态加密方案,一般支持对称:SM1/SM4/AES/SM7、非对称:SM2/RSA(1024~4096)、摘要:SM3/SHA256/SHA384等加密算法。可以对城市中原始数据进行加密工作,保证在城市数据存储中(数据库、HIVE表、HDFS等)数据处于加密状态,并可根据数据保密需求的不同,设置不同的加密算法。加密技术需拥有独享加密芯片支持SM1、SM2、SM3、SM4等国产加密算法。
36
图4数据存储加密技术3.数据使用加工安全
(1)操作审计方案
访问控制主要保护数据通过应用程序和API访问,以及用户终端使用过程中的数据泄露防护。基于用户级别和数据级别,配置数据访问权限策略,对于高敏感级数据采用双人控制等访问控制策略。4.数据传输安全
37
(1)传输加密方案
智慧城市数据传输通过安全基础设施提供的加密网关等数据加密保护功能,对传输协议、链路进行加密,保障传输安全;通过安全基础设施提供的密码服务等数据加密保护功能,对数据进行签名和验签,防止身份抵赖。常用技术包括SSL算法、VPN隧道、安全网关等。(2)传输监控方案
全流量采集监测分析技术,其传输监控的位点包括了智慧城市各平台间传输的网络监控,智慧城市平台内部数据操作的应用监控,客户访问智慧城市的接口监控等。将监控的所有节点实时上传至监控统一平台,平台系统监测节点状态、业务流向;对分析发现的可疑威胁源与高风险事件,进行持续跟踪分析,并结合历史告警事件进行关联分析,从而挖掘出隐藏的真正威胁。网络监控技术具有仿冒检测能力,持续检测数据采集设备运行状态,当发现设备存在网络环境变更(如网络中断重新接入),或网络行为出现变更时触发仿冒确认过程。当发现设备硬件信息(MAC地址)、指纹信息发生变化时,确认设备仿冒事件发生。当确认设备发生仿冒,准入系统需要通过连接重置的方式对设备网络流量进行限制或联动网络设备的方式直接切断设备网络连接。同时记录完整的发现及处置日志,满足合规审计要求。网络监控同时搭配IPS安全设备,可对网络攻击如DDoS、暴力破解、漏洞利用等进行监控与拦截。
应用监控技术具备内部数据调用检测能力,持续监测各数据库内部数据调用的合法正规性,当发现数据库被大量或恶意调用,将自动阻断并进行告警通知。
38
接口监控技术具备对智慧城市全部流量采集汇聚,搭配流量审计系统可对用户访问的所有行为检测建模。通过与防火墙等网关设备联动,对非法身份、恶意攻击、可疑操作等问题进行拦截并告警。5.数据提供安全
(1)动态脱敏方案
动态数据脱敏旨在通过类似网络代理的中间件技术,按照脱敏规则对于外部申请提供的数据进行及时处理并返回脱敏后结果。动态脱敏通常会在数据对外提供服务的场景中使用。
智慧城市大数据平台应可设置动态脱敏规则,针对不同的访问身份,动态遮蔽查询返回的高级别数据内容,防止智慧城市核心数据通过水滴式收集和屏幕拍摄的方式大量泄露。如针对智慧城市对市民服务的业务,应区分调用数据的账号,当存在普通市民帐号请求数据时,应动态配置脱敏方案,防止他人信息泄露。
(2)对外接口管控
数据对外接口管控通过对网络协议解析,建立API接口清单并识别敏感数据暴露面,避免出现安全管理盲区,降低数据泄露和合规风险。围绕业务API接口,采用实时监测技术,对API接口数据进行协议解析,对接口数据流转环节进行风险关联分析,实现敏感数据传输与违规监测、异常行为风险监测,以确保日常数据处理活动的安全、合规。数据对外接口管控主要包括API应用接口地图绘制、行为异常监测、数据内容合规监测等功能。6.数据公开安全
(1)数字水印方案
39
(2)文档标签方案
智慧城市中存在大量的文档文件,对于指定用户或用户组终端中标注为指定密级的文件,在打印时自动加标水印。水印可以通过普通水印或二维码等方式实现,支持水印的打印位置、透明度等参数的灵活设置,同时也支持记录、追踪指定密级文件的打印行为。
7.数据销毁安全
(1)数据销毁方案
数据销毁实现在停止智慧城市业务服务、数据使用以及存储空间再分配的场景下,对数据库、服务器以及终端中的数据、文件、帐号等信息进行擦除或者物理销毁。核心安全能力要具备介质销毁、数据销毁以及销毁过程审计等安全能力。
(2)密钥销毁方案
当智慧城市业务服务停止、数据加密算法停用或密钥过期时,应通过KMS
40
密钥管理系统对已有密钥进行销毁。密钥销毁时为防止密钥泄露造成从前加密的信息被破译,要及时销毁已不再使用的密钥。正常销毁时,需将密钥和密钥备份的所有信息清除,清除的方法可以是数字方式的,也可以是物理方式的,关键在于使任何人无法以任何方式重新获得这一密钥的任何信息。(三)智慧城市数据安全管理针对当前智慧城市开展数据安全治理面临的主要风险和关键需求分析,本白皮书面向智慧城市,从组织架构、制度建设、监管实施三个方面,持续探索和演进适合我国、易于落地的智慧城市数据管理方案。1.智慧城市数据安全组织架构
图5数据安全组织架构
41
数据安全治理团队常用的组织架构架构如图5所示,自顶而下依次为决策层、管理层、支持层,外加一个贯穿数据安全治理全程并负责对上述三层进行监督审计的监督层。各层的职能分工和成员建议如下:(1)决策层
负责对智慧城市体系开展和实施数据安全治理的体系目标、范围、策略等进行决策。决策层成员包括智慧城市管理最高负责人(如该城市管理范围的第一领导)和信息安全方面的最高负责人(如主管信息化的委办局第一领导等),同时可以考虑由负责智慧城市建设的设计单位负责人以及对接各平台的负责人负责决策层的例行工作。
(2)管理层
(3)支持层
支持层一般由来自业务平台和运维部门的人员组成。这些人员是数据的
42
2.智慧城市数据安全管理制度
以总体国家安全观的全局视角,强化安全意识,树立底线思维,明确安全主体责任,遵循国家法律法规、政策文件及标准规范、确保安全资源投入、加强与业务条线和监管部门的协同与合作等方面进行数字政府安全保障体系
43
顶层设计、建立数字政府安全管理制度、政策和标准化体系,以指导和约束数字政府的安全管理、技术建设活动。
图6数据安全管理制度
44
3.智慧城市数据安全合规审计
45
计,提前识别和处置相应风险及问题点,并提供整改建议。对于高、中位能力发现的数据安全漏洞及事件告警,通过安全专家介入,对事件开展实地分析研判,支撑取证溯源,协调技术处置,持续对平台数据安全监测模型、监管策略等的优化调整。(四)智慧城市数据安全运营1.智慧城市数据安全运营中心
智慧城市安全运营中心是联动市、区县网络安全工作的总枢纽、是市域各单位获取安全能力的总资源池、是市域一体化安全运营的总工作站。一是统筹安全服务能力。让安全能力集约化、服务化、SaaS(SoftwareasaService)化,形成本地化安全资源与服务目录。对全市单位进行开放,各单位可以自主化、定制化使用安全资源能力;二是统筹安全服务团队。整合市场上优秀的数据安全产品与优秀厂商的安全服务,将不同服务商提供的碎片化的安全服务整合成“城市主导、联合运营”的一体化安全运营服务机制。各厂商安全服务成员统一纳入安全运营中心统一服务团队,将生态服务商整合成一个有机整体,达到持续优化、动态运营的效果;三是统一安全运营服务机制,建立安全运营服务规范与标准化流程。各服务商团队采用同一个标准参与、同一个标准考核、同一套流程开展服务,共同维护智慧城市数据安全;四是统一数据安全策略管理,以数据为中心来制定安全策略,以分类分级结果为基础,通过安全策略管理中心下发对应策略实行不同级别的数据安全防护。数据安全策略包括敏感数据发现策略、脱敏策略、加密策略、水印策略、访问控制策略等。
数据安全运营中心包括态势感知、威胁情报、资产管理、数据地图、统
46
2.智慧城市数据安全应急响应
通过数据安全处理周期安全防护,强化日常数据安全运营工作,不断完善数据安全管理体系,智慧城市应通过安全应急响应工作对安全问题进行闭环。安全应急响应流程分为准备阶段、检测阶段、抑制阶段、根除阶段、恢复阶段、跟踪阶段。
准备阶段:组建应急响应组织,熟练掌握应急响应制度,系统性识别运行维护服务对象及运行维护活动中可能出现的风险,定义应急事件级别,制定预案,开展培训和演练。这其中要求智慧城市参与真实网络攻防演练,全面评估目标所在网络的整体安全防护能力。检测阶段:进行日常监测,及时发现应急事件并有效预整,进行核实和评估以规定的策略和程序启动预案,并保持对应急事件的跟踪。抑制阶段:采取必要的应急调度手段,基于预案开展故障排查与诊断,对故障进行有效、快速的处理降低影响,停止进一步损失,及时通报应急事件。针对大型城市数据泄露事件,应急处置同时应上报上级机关和国家网络安全主管单位,防止数据进一步泄露危害国家安全。根除阶段:进一步分析信息安全事件,找出事件根因并彻底消除。包括漏洞修复,人员培训,制度更新等。
恢复阶段:对系统数据损失进行容灾备份恢复,恢复系统的运行过程,