1  引言

　　隨著“網(wǎng)絡強國”戰(zhàn)略、“大數(shù)據(jù)”戰(zhàn)略、“互聯(lián)網(wǎng)+”行動計劃的實施和“數(shù)字中國”建設的不斷發(fā)展，我國智慧城市建設步伐不斷加快。截至2019年年底，我國開展智慧城市建設試點的城市近800 個[1]，成為全球智慧城市知名國家。智慧城市建設[2]可實現(xiàn)數(shù)據(jù)融通、協(xié)同、滲透，更好地服務城市和人民。然而，隨著智慧城市建設中大量數(shù)據(jù)在系統(tǒng)中集中存儲，大數(shù)據(jù)安全風險不斷集中、突出，如身份認證、電子證照等基礎通用能力模塊被各類應用廣泛使用。一旦這些應用被成功攻擊，將導致巨大的損失，甚至威脅到城市安全、社會安全和政府安全。

　　2  智慧城市建設與大數(shù)據(jù)安全

　　2.1  智慧城市建設

　　智慧城市建設[2]主要是通過大數(shù)據(jù)、云計算、物聯(lián)網(wǎng)、人工智能等新一代信息技術，推動政務、產業(yè)和民生幾大領域的信息化建設，進而實現(xiàn)全程全時的為民服務、高效有序的城市治理、共融共享的數(shù)據(jù)開放、綠色開源的經濟發(fā)展，以及安全清朗的網(wǎng)絡空間，最終實現(xiàn)國家與城市協(xié)調發(fā)展的新生態(tài)。智慧城市建設的總體架構主要由感知層、網(wǎng)絡層、 數(shù)據(jù)層、平臺層、應用層等構成。其中，數(shù)據(jù)在智慧城市建設中的流通路線為：感知層獲取數(shù)據(jù)，網(wǎng)絡層進行數(shù)據(jù)傳輸交互，服務層為海量數(shù)據(jù)存儲、實時分析和處理提供服務，平臺層實現(xiàn)數(shù)據(jù)之間的聚合、融通，應用層面向最終用戶提供基于數(shù)據(jù)融通的智慧化服務。具體的智慧城市解決方案架構圖以及建設中的數(shù)據(jù)流轉圖分別見圖1和圖2。

　　圖1  智慧城市解決方案總體架構

　　圖2  智慧城市建設中的數(shù)據(jù)流轉

　　2.2  大數(shù)據(jù)安全

　　隨著大數(shù)據(jù)、云計算、物聯(lián)網(wǎng)、人工智能等技術的快速發(fā)展，全球數(shù)據(jù)量出現(xiàn)爆炸式增長；IDC研究的“大數(shù)據(jù)摩爾定律”表明，人類社會產生的數(shù)據(jù)一直在以每年50%的速度增長，也就是說，每兩年就增加一倍。在大數(shù)據(jù)不斷向各個行業(yè)滲透，深刻影響國家的政 治、經濟、民生和國防的同時，其安全問題也將對個人隱私、社會穩(wěn)定和國家安全帶來巨大的潛在威脅與挑戰(zhàn)。大數(shù)據(jù)安全[3]是要確保經過網(wǎng)絡傳輸和交換的數(shù)據(jù)不會發(fā)生增加、修改、丟失和泄露等。傳統(tǒng)而言，企業(yè)或單體場景下的大數(shù)據(jù)安全自下而上可依次分為大 數(shù)據(jù)平臺安全、數(shù)據(jù)安全和個人隱私保護等3個層次。大數(shù)據(jù)平臺不僅要保障自身基礎組件的安全，還要為運行其上的數(shù)據(jù)和應用提供安全機制保障；除平臺安全保障外，數(shù)據(jù)安全防護技術為業(yè)務應用中的數(shù)據(jù)流動過程提供安全防護手段；隱私安全保護是在數(shù)據(jù)安全基礎之上對個人敏感信息的安全防護。

　　3  大數(shù)據(jù)安全問題產生的原因

　　3.1  智慧城市建設中的大數(shù)據(jù)安全問題

　　智慧城市建設中涉及到的數(shù)據(jù)具備種類多、覆蓋范圍廣、數(shù)據(jù)量大、價值密度低、總價值量巨大等特點。既包擴底層傳感器數(shù)據(jù)、視頻采集數(shù)據(jù)等在內的物聯(lián)感知數(shù)據(jù)，也包括公民、企業(yè)等單位產生的移動通信數(shù)據(jù)，還包括各類城市運營管理部門產生的政務、公共服務運行、市場主體行為等數(shù)據(jù)。智慧城市建設正在朝感知泛在化、連接全面化、能力通用化和應用智能化方向快速發(fā)展，正在越來越深入地影響城市中各類主體的生產和生活，也為大數(shù)據(jù)安全提出了大量新的挑戰(zhàn)。

　?。?）感知泛在化，即大量具備聯(lián)網(wǎng)功能的傳感器承擔了智慧城市運行當中的大量信息感知功能，對人工填報、人工采集的信息構成了替代。大量物聯(lián)感知和控制設備的廣泛部署意味著大數(shù)據(jù)安全的分析視角必須從平臺層向網(wǎng)絡和前端感知層延伸，物聯(lián)感知設備遭到大規(guī)模劫持和控制已呈頻繁發(fā)生且不斷加劇的態(tài)勢。這種控制不僅可以用來制造垃圾流量、發(fā)起DDoS攻擊，也可以通過人為偽造傳感器數(shù)據(jù)從而成體系地干擾整個智慧化的運行機制，例如黑客如果大規(guī)模劫持了某區(qū)域的消防傳感器控制或者接入平臺，則可以在發(fā)生重大事故時故意發(fā)送大量虛假警報，從而嚴重干擾救災救援業(yè)務。

　　（2）連接全面化，即各類垂直應用系統(tǒng)之間、各類設備與設備之間通過各類網(wǎng)絡產生了大量連接。這意味著跨系統(tǒng)、平臺、網(wǎng)絡環(huán)境的大數(shù)據(jù)應用是新型智慧城市運行中的常態(tài)，并在平臺層為大數(shù)據(jù)安全提出了大量新的挑戰(zhàn)。一是，所有的跨系統(tǒng)、平臺、網(wǎng)絡環(huán)境邊界天然成為潛在的安全風險來源。例如，在跨網(wǎng)絡數(shù)據(jù)交換的場景下，攻擊者可以通過網(wǎng)絡嗅探的方式獲取交換邊界的身份認證密鑰，從而偽裝成正常的數(shù)據(jù)交換方，從低密網(wǎng)絡發(fā)起對高密網(wǎng)絡的數(shù)據(jù)交換請求，從而導致數(shù)據(jù)泄露；二是，各類數(shù)據(jù)交換、流轉往往脫離原始數(shù)據(jù)提供方的控制，攻擊者存在通過不同來源數(shù)據(jù)進行碰撞獲取被保護信息的可能。例如，在醫(yī)療場景下，數(shù)據(jù)交換需要對于患者的身份信息進行脫敏加密，但有時交換數(shù)據(jù)中會包括移動平臺的賬戶加密字符串，這個字符串可以利用數(shù)據(jù)黑市上的數(shù)據(jù)集 進行碰撞，從而獲知患者的具體身份信息，從而獲取患者的就診、治療等高度敏感的隱私數(shù)據(jù)。

　?。?）能力通用化，即諸多共性能力被通用平臺逐步取代，各種信息系統(tǒng)煙囪被逐步打破。某種程度上說，這種通用化趨勢對于大數(shù)據(jù)安全具有雙刃劍的作用，一方面高度集中的云平臺、中間件和大數(shù)據(jù)平臺可以提供較強的數(shù)據(jù)安全防護能力；另一方面，數(shù)據(jù)湖、數(shù)倉、數(shù)據(jù)中臺等數(shù)據(jù)資源層建設也將各種來源的數(shù)據(jù)集中起來，為數(shù)據(jù)分級、分類、精確的權限生命周期管理和安全審計提出了更高的要求。從目前的實踐來看，大量數(shù)據(jù)資源中心難以做到權限的范圍和生命周期與訪問行為的范圍和生命周期精確匹配，研發(fā)分析人員多人共用賬戶、超出業(yè)務需求訪問數(shù)據(jù)，甚至下載泄露的事件時有發(fā)生。

　?。?）應用智能化，即人工智能算法正在進入大量應用場景，并且逐步從決策支持向（部分）自主化運行滲透，各類智能算法在城市感知認知過程當中逐步占據(jù)更為重要的基礎性地位，其算法的安全性就成為了新的大數(shù)據(jù)安全分析視角下必須關注的問題。其中，既包括算法本身的安全問題，如基于對抗生成網(wǎng)絡技術的算法攻擊手段可以利用在車牌上添加人類肉眼不易辨別的花紋從而欺騙視頻監(jiān)控場景下的車牌識別OCR算法；也包括針對基于算法的公共服務進行攻擊，如隱私差分算法可通過部分公共服務接口提取個人隱私；還包括基于人工智能算法的跨領域綜合性威脅，例如內容推薦算法定向推送敏感內容從而危害社會安全穩(wěn)定。

　　3.2  大數(shù)據(jù)安全問題的原因分析

　　由上可知，隨著智慧城市的建設越加深化，其對應的大數(shù)據(jù)安全挑戰(zhàn)也愈加嚴峻，主要原因歸結為以下幾方面。

　?。?）安全理念嚴重滯后。實踐中，以合規(guī)為導向的安全理念仍然占據(jù)主流，缺少從底線思維出發(fā)的整體安全理念；大家對于新攻擊形態(tài)、新威脅類型認知不足；數(shù)據(jù)安全部門和業(yè)務部門之間的關系以監(jiān)管和被監(jiān)管為主，協(xié)同意愿和機制較為欠缺。

　?。?）智慧城市建設相關的標準和數(shù)據(jù)安全機制不健全[4]。目前，缺少針對智慧城市建設運行中產生的大量異構數(shù)據(jù)的精細化的分級、分類管理標準，缺少對于數(shù)據(jù)流轉溯源、行為審計追蹤的技術和管理標準，缺少對于大數(shù)據(jù)安全和算法相關的安全問題的安全風險評估標準和方法論。

　?。?）大數(shù)據(jù)安全運營人才持續(xù)匱乏。相對基于技術層面對抗?jié)B透的人才，能夠持續(xù)監(jiān)督優(yōu)化智慧城市整體安全運營，特別是數(shù)據(jù)資源安全運營的人才非常稀缺。大數(shù)據(jù)來源多樣化、數(shù)據(jù)范圍廣泛，數(shù)據(jù)在流轉、應用過程中產生聚合產生新的數(shù)據(jù)資源體系，往往會與原始數(shù)據(jù)保護邊界發(fā)生變化，如何在整個數(shù)據(jù)資源的流轉體系中進行大數(shù)據(jù)資源的合理安全防護，對于安全運營人員提出了非常高的挑戰(zhàn)和要求。一方面，要求安全運營人員對于數(shù)據(jù)的業(yè)務屬性具有深刻理解，能夠識別其中蘊含的安全風險和信息價值；另一方面要求安全人員根據(jù)數(shù)據(jù)的需求場景，選取風險暴露和技術投入、管理難度多要素平衡的技術方案，在安全可控的前提下盡可能發(fā)掘、實現(xiàn)數(shù)據(jù)價值。

　?。?）系統(tǒng)復雜度高速膨脹，對于管理體系造成沖擊。智慧城市是一個典型的大規(guī)模異構系統(tǒng)，其建設在時空和管理兩個維度均存在高度離散化的特征。各個建設主體往往在設備選型、通信協(xié)議、數(shù)據(jù)治理、接口規(guī)范、業(yè)務標準、安全措施等方面存在大量差異，難以進行整體化治理，導致大量數(shù)據(jù)、服務、設備、系統(tǒng)采取私下對接或臨時性接入的模式流轉，難以納入統(tǒng)一安全體系，造成管理盲區(qū)和治理黑洞。

　　4  提升智慧城市大數(shù)據(jù)安全能力

　　智慧城市建設步伐加快，各地紛紛重視智慧城市建設是好現(xiàn)象，但是一味地追求速度、規(guī)模，而不重視數(shù)據(jù)安全，將為后期的智慧城市運營帶來一定的安全隱患，因此有必要從各個層級、各個方面重視數(shù)據(jù)安全。通過研究，本文建議重點從管理和技術兩大方面來提升智慧城市大數(shù)據(jù)安全能力。

　　4.1  強化智慧城市大數(shù)據(jù)安全管理能力

　　（1）建立基于整體視角的韌性安全理念。對于以智慧城市為代表的超復雜系統(tǒng)，難以完全消除發(fā)生數(shù)據(jù)安全事件的概率。所以，從理念角度上說，除了要從合規(guī)角度出發(fā)做好防護以外，還要樹立風險必然發(fā)生的底線思維和韌性意識。在安全風險的評估、管理和運營中，既要注重預留安全余量，又要注重從業(yè)務運行循環(huán)的整體視角評估數(shù)據(jù)資源和智能應用的完整性、可用性、保密性。

　?。?）完善智慧城市大數(shù)據(jù)安全標準。建立大數(shù)據(jù)資源的安全運營標準，針對數(shù)據(jù)資源固有的敏感性、保密性以及數(shù)據(jù)資源在不同場景下使用的安全風險建立量化的風險-收益評估標準，實現(xiàn)公共利益和數(shù)據(jù)相關權利人安全風險的平衡。在數(shù)據(jù)采集階段，建立數(shù)據(jù)收集權限、范圍的集中授權監(jiān)管機制，明確哪些部門、哪些人員可以收集哪些數(shù)據(jù)；在數(shù)據(jù)匯聚階段設立數(shù)據(jù)資源分級分類管理標準，對于存在安全風險的敏感數(shù)據(jù)采取加密、脫敏存儲的形式，盡量避免原始數(shù)據(jù)在流轉過程中多次落地存儲；在數(shù)據(jù)挖掘和應用階段，建立業(yè)務需求和場景化安全風險評估標準，明確何人在何種情況下可以調用哪些數(shù)據(jù)，建立數(shù)據(jù)權限生命周期管理標準，做到單次授權、單個對象，范圍和屬性的精細化權限管理，建立集中化的數(shù)據(jù)資源調用標準，對于數(shù)據(jù)的流轉和調用進行全程留痕和審計。

　?。?）完善智慧城市大數(shù)據(jù)安全制度保障。在組織機制上，建立網(wǎng)信辦、大數(shù)據(jù)局、公安等多個部門參與的大數(shù)據(jù)安全管理聯(lián)席機制。其中，數(shù)據(jù)資源管理部門承擔雙重角色：一方面，作為專門負責統(tǒng)籌新型智慧城市建設的綜合性部門，對智慧城市大數(shù)據(jù)安全的議題承擔最終需求方的角色，即承擔各個零散需求部門和社會各方的大數(shù)據(jù)安全需求收集、評估、整理的需求側運營工作，并根據(jù)公共利益確定大數(shù)據(jù)安全的整體需求；另一方面，承擔數(shù)據(jù)融合共享為切入口的智慧城市大數(shù)據(jù)資源建設工作，作為技術標準制定、技術選型、運營機制等方面第一手的管理方和監(jiān)管方，是事實上的供給側運營部門。此外，為了更好地保障大數(shù)據(jù)安全運營工作的成效，應積極探索“管運分離”的長效化運營機制。

　　（4）注重產業(yè)化合作，激活多主體合作活力。在智慧城市建設運營框架下，探索安全運營的政企合作機制，吸引社會力量投入共建共管共享，引導市場主體形成新型智慧城市整體安全運營商；強化公民權利意識和公共數(shù)據(jù)安全意識、提升社會認同感和支持力度、完善數(shù)據(jù)安全確權體系和知情同意溯源體系、推廣社會公眾體驗感知等。

　?。?）強化相關保障支撐，加強人才隊伍配套建設。建立基于綜合大數(shù)據(jù)安全的專業(yè)化人才培養(yǎng)體系，進 一步推動安全認證培訓從合規(guī)導向向整體安全運營導向演進；建立從全方位安全對抗視角出發(fā)的大數(shù)據(jù)安全人才培養(yǎng)機制，充分利用軍民融合、政企合作等方式建立綜合性人才梯隊。

　　4.2  關注新興技術，升級大數(shù)據(jù)安全保障工具箱

　?。?）在網(wǎng)絡層，加快推進IPv6等新型協(xié)議的部署應用，逐步淘汰安全性不足的老舊協(xié)議和組網(wǎng)模式，構建不可抵賴的網(wǎng)絡追蹤溯源機制。

　　（2）在設備層，強調邊緣設備的本質安全，采取區(qū)塊鏈等手段構建設備標識體系，構建設備對設備、設備對系統(tǒng)的可信連接模式，推動計算、網(wǎng)絡、存儲等底層IaaS設備完成全面的自主可控替代。

　　（3）在數(shù)據(jù)的傳輸和存儲層[5]，注重隱私和敏感數(shù)據(jù)的全面脫敏加密；合理構建云、邊協(xié)同的數(shù)據(jù)存儲和應用模式；引入聯(lián)邦學習等新興技術模式，減少敏感數(shù)據(jù)在網(wǎng)絡中的低效搬運；全面推廣數(shù)據(jù)不落地，可用不可見的服務化封裝模式；利用區(qū)塊鏈智能合約等新興技術手段，推動公共數(shù)據(jù)資源上鏈，構建數(shù)據(jù)資源溯源標記，實現(xiàn)數(shù)據(jù)的全流程可審計。

　?。?）在平臺層，進一步推動國產化操作系統(tǒng)在專業(yè)應用領域的覆蓋。通過智能合約等手段強化系統(tǒng)間的協(xié)同；構建支持多種數(shù)據(jù)共享交換模式的接口封裝審計技術，將全量大數(shù)據(jù)的共享交換流轉納入審計范圍，做到全流程安全可控；強調零信任和本質安全理念，充分推進虛擬化技術，將存在較大數(shù)據(jù)安全風險的研發(fā)活動置于可信的沙箱環(huán)境下進行；構筑基于大數(shù)據(jù)分析的安全態(tài)勢感知體系，建立對于大數(shù)據(jù)安全風險的主動感知和管控機制。

　　（5）在應用層，注重關注智能算法的算法安全機制。重要的基礎識別算法采取加密分發(fā)、定期迭代的部署模式，在關鍵數(shù)據(jù)采集領域逐步替代采用固定版本識別算法的硬件設備；對于交通調度、物流調度、能源調度等涉及城市重要公共運行業(yè)務的核心算法進行全流程加密和定期更新，避免因核心算法泄露導致的綜合性攻擊風險。

　　5  結束語

　　基于大數(shù)據(jù)的智慧城市建設，關系著每個人的生活，為人們的生活提供方便，但其中的大數(shù)據(jù)安全問題需要引起全員重視。智慧城市建設，首先需要所有參與建設、實施、運行等各階段的人員對大數(shù)據(jù)安全問題達成統(tǒng)一共識，共同關注大數(shù)據(jù)安全問題；其次需要完備的加強大數(shù)據(jù)安全的規(guī)章制度，并在智慧城市建設中的每個層級規(guī)避大數(shù)據(jù)安全問題；最后需要持續(xù)加大培養(yǎng)大數(shù)據(jù)安全人員的力度，提高大數(shù)據(jù)安全技術的普及度。從而從全方位、多角度、多層級來保障智慧城市建設持續(xù)、健康發(fā)展。