一是恶意程序问题。首先,新型蠕虫病毒传播速度更快,传播范围更大,同时针对性更强,潜伏时间长达几个月甚至几年。其次,随着网络的发展,政府的政务网职能由单向的政务公开向双向的网上办事和参与互动过渡。传统政府单纯的物理隔离架构的政务内网必须智慧城市是在创新 2.0 和工业 4.0 背景下,大数据、云计算、移动互联网和物联网等新一代信息技术与城市建设的大集成、大整合、大提升,是网络社会和信息社会的物化表现,对城市未来的发展有着重要意义。[1](P1)但是 , 伴随机遇而来的是对智慧城市信息安全的挑战和冲击,面对复杂的信息安全问题,如何搭建多元的城市信息安全应对体系,是值得研面对更加开放的需求,同时,移动互联网的广泛应用,必然给山寨 APP 和手机病毒等新型移动平台下的病毒传播提供新的途径。
二是非法访问和破坏问题。
智慧城市黑客非法访问等网络犯罪是对信息安全机密性、完整性、可用性最直接最严重的侵害。首先是针对敏感信息非法访问破坏了机密性。智慧城市加快了光纤宽带和 3G 移动通信网络推进,加快了物联网应用和大数据存储,努力构建随时随地随需的泛在网络,却缺乏卓有成效的反击和跟踪手段,客观上使得通过网络侵害信息机密性的黑客犯罪日益增多。
其次是云计算平台的可用性隐患。智慧城市倡导推进城市数据共建、互换和共享的大数据平台建设,为各类信息资源的存储、共享和整合提供平台支撑。但是,一旦城市的某项业务应用系统遭遇攻击后,出现崩溃或瘫痪,可能会给智慧城市局部甚至整体应用体系造成无法弥补的损失。再次是安全环境完整性问题。智慧城市广泛应用了各类物联网传感器、Wi-Fi 传 输 技 术、3G 移动通信等无线技术,使得通讯信息直接暴露在自然环境中,信息完整性损害风险陡增。
三是管理漏洞问题。智慧城市信息安全建设应该是技术硬实力与管理软实力的同步发展,然而智慧城市建设方兴未艾,管理缺位、不足或不完善的现象在相当长一段时间内将继续存在。信息安全管理漏洞首先体现在企业、机构和公众网络安全意识薄弱上。多年的电子政务发展和建设经验下,政府及相关部门的网络信息安全意识较强,普遍建立了规章制度,配置了相关设备,配备了管理人员。相反,网络安全意识薄弱的主体是企业、机构和公众。
企业和公众普遍对信息安全重要性认识不足,缺乏网络安全知识,对防护技能掌握薄弱,不利于网络风险的规避和网络威胁应对,已成为制约智慧城市信息安全水平的短板。其次是法律法规尚待完善。由于技术发展前景的不确定性,导致针对智慧城市的新类型的违法犯罪活动难于预判,面临着执法依据缺乏的情况。同时由于我国计算机安全法律层级较低,约束力较弱,相对于智慧城市的飞速发展,法律法规存在明显的滞后性,执法范围较窄,缺乏系统性,存在法律空白和盲点。再次是缺乏基层管理组织。社区、街道以及辖区派出所是智慧城市实体的生产生活统筹协调基层网格组织,为城市安全发挥着重要作用。但是智慧网络的虚拟性和无界性,一直缺乏政府管理基层组织。
对于网络安全评估和动态监测、网络安全知识培训和网络安全设备部署都应有基层组织参与,才能发挥最佳的安全性。但是由于信息安全的专业性较强,基层管理组织一直没有有效地形成网格化的管理。
四是网络的缺陷及漏洞问题。网络缺陷比较常见,漏洞比较少。与之相比,智慧城市的网络环境却是多样化和复杂化的综合体现。智慧城市的信息协议都强调共享性、开放性和互联性,协议间协作测试不足,使得网上信息安全先天不足。智慧城市涉及多样操作系统,操作系统自身补丁更新不足,互通运维时缺乏漏洞测试。
二、智慧城市多元信息安全应对体系建设
传统的城市信息化中,单纯强调通过技术单元手段来解决复杂的信息安全问题。但是,智慧城市的信息安全涉及技术、管理、社会等方方面面,智慧城市的建设和运维所面临的是一个高度开放的环境,要规避多方带来的安全风险,必须通过纵深防御的多元的安全应对体系才能实现城市信息系统不受侵害。2015 年 7 月 1 日,《中华人民共和国网络安全法(草案)》表决通过,该法第 25 条明确规定,国家建设网络与信息安全应对体系,维护国家网络空间主权、安全和发展利益。
为智慧城市多元信息安全应对体系的建立提供了重要参考。
要建立城市基层信息安全领导体制。应建立地方城市的信息安全领导体制,增设职能部门,统筹城市中各部门和行业,统一部署安全工作。首先,加强风险评估工作,针对智慧城市网络和应用的潜在威胁、薄弱环节及防护措施进行分析评估。建立和完善等级保护制度、管理办法和技术指南,综合考虑重要性、涉密性和安全风险因子,进行相应等级的安全建设和管理。其次,建设和完善信息安全预警体制,提高对网络漏洞、软件缺陷和隐私泄漏的防范能力。再次,根据智慧城市各行业需求和特色,制定切实可行的灾备方案,建立主库和备库,做好城市数据库灾备工作。
尽快出台城市信息安全规章和规范性文件。智慧城市所在的人民政府应依据《中华人民共和国网络安全法(草案)》拟订智慧城市信息安全规章,实现依法网络空间治理,规范信息传播秩序,惩治网络违法犯罪。通过规章的落实,为智慧化建设提供良好环境,同时,应注重保护各类网络主体的合法权利,保障网络信息依法有序自由流动。各级党组织、政府部门、社团组织和企事业单位也应结合法律规章,制定职权范围内具有约束力的规范性文件。
深入开展网络安全宣传推广活动。开展形式多样的展览、体验活动,把网络安全宏大抽象的概念,形象而具体地搬到公众面前,实现从概念到理念的转化,形成良好的全民参与的安全氛围。开展大讲堂,普及网络安全知识,系统深入地讲述网络安全知识,在更大范围内普及推广。宣传活动是关系到智慧城市中企业和公众切身利益的关键性问题,必须通过宣传推广让公众对维护网络安全产生极强的认同感。
应该建立可信计算体系。
应引入可信计算到智能终端中,建立起可信终端。可信计算是指在计算机架构上添加硬件模块及相应软件,以构建一个操作系统体系之外的计算机安全平台,从根本上解决计算机系统的安全问题。因此,必须加强可信计算技术的开发利用,规范以身份认证、授权管理和责任认定为主要内容的信息安全信任体系建设。
TAG标签: 代写工程论文