1  引言

　　隨著“網(wǎng)絡(luò)強國”戰(zhàn)略、“大數(shù)據(jù)”戰(zhàn)略、“互聯(lián)網(wǎng)+”行動計劃的實施和“數(shù)字中國”建設(shè)的不斷發(fā)展，我國智慧城市建設(shè)步伐不斷加快。截至2019年年底，我國開展智慧城市建設(shè)試點的城市近800 個[1]，成為全球智慧城市知名國家。智慧城市建設(shè)[2]可實現(xiàn)數(shù)據(jù)融通、協(xié)同、滲透，更好地服務(wù)城市和人民。然而，隨著智慧城市建設(shè)中大量數(shù)據(jù)在系統(tǒng)中集中存儲，大數(shù)據(jù)安全風(fēng)險不斷集中、突出，如身份認證、電子證照等基礎(chǔ)通用能力模塊被各類應(yīng)用廣泛使用。一旦這些應(yīng)用被成功攻擊，將導(dǎo)致巨大的損失，甚至威脅到城市安全、社會安全和政府安全。

　　2  智慧城市建設(shè)與大數(shù)據(jù)安全

　　2.1  智慧城市建設(shè)

　　智慧城市建設(shè)[2]主要是通過大數(shù)據(jù)、云計算、物聯(lián)網(wǎng)、人工智能等新一代信息技術(shù)，推動政務(wù)、產(chǎn)業(yè)和民生幾大領(lǐng)域的信息化建設(shè)，進而實現(xiàn)全程全時的為民服務(wù)、高效有序的城市治理、共融共享的數(shù)據(jù)開放、綠色開源的經(jīng)濟發(fā)展，以及安全清朗的網(wǎng)絡(luò)空間，最終實現(xiàn)國家與城市協(xié)調(diào)發(fā)展的新生態(tài)。智慧城市建設(shè)的總體架構(gòu)主要由感知層、網(wǎng)絡(luò)層、 數(shù)據(jù)層、平臺層、應(yīng)用層等構(gòu)成。其中，數(shù)據(jù)在智慧城市建設(shè)中的流通路線為：感知層獲取數(shù)據(jù)，網(wǎng)絡(luò)層進行數(shù)據(jù)傳輸交互，服務(wù)層為海量數(shù)據(jù)存儲、實時分析和處理提供服務(wù)，平臺層實現(xiàn)數(shù)據(jù)之間的聚合、融通，應(yīng)用層面向最終用戶提供基于數(shù)據(jù)融通的智慧化服務(wù)。具體的智慧城市解決方案架構(gòu)圖以及建設(shè)中的數(shù)據(jù)流轉(zhuǎn)圖分別見圖1和圖2。

　　圖1  智慧城市解決方案總體架構(gòu)

　　圖2  智慧城市建設(shè)中的數(shù)據(jù)流轉(zhuǎn)

　　2.2  大數(shù)據(jù)安全

　　隨著大數(shù)據(jù)、云計算、物聯(lián)網(wǎng)、人工智能等技術(shù)的快速發(fā)展，全球數(shù)據(jù)量出現(xiàn)爆炸式增長；IDC研究的“大數(shù)據(jù)摩爾定律”表明，人類社會產(chǎn)生的數(shù)據(jù)一直在以每年50%的速度增長，也就是說，每兩年就增加一倍。在大數(shù)據(jù)不斷向各個行業(yè)滲透，深刻影響國家的政 治、經(jīng)濟、民生和國防的同時，其安全問題也將對個人隱私、社會穩(wěn)定和國家安全帶來巨大的潛在威脅與挑戰(zhàn)。大數(shù)據(jù)安全[3]是要確保經(jīng)過網(wǎng)絡(luò)傳輸和交換的數(shù)據(jù)不會發(fā)生增加、修改、丟失和泄露等。傳統(tǒng)而言，企業(yè)或單體場景下的大數(shù)據(jù)安全自下而上可依次分為大 數(shù)據(jù)平臺安全、數(shù)據(jù)安全和個人隱私保護等3個層次。大數(shù)據(jù)平臺不僅要保障自身基礎(chǔ)組件的安全，還要為運行其上的數(shù)據(jù)和應(yīng)用提供安全機制保障；除平臺安全保障外，數(shù)據(jù)安全防護技術(shù)為業(yè)務(wù)應(yīng)用中的數(shù)據(jù)流動過程提供安全防護手段；隱私安全保護是在數(shù)據(jù)安全基礎(chǔ)之上對個人敏感信息的安全防護。

　　3  大數(shù)據(jù)安全問題產(chǎn)生的原因

　　3.1  智慧城市建設(shè)中的大數(shù)據(jù)安全問題

　　智慧城市建設(shè)中涉及到的數(shù)據(jù)具備種類多、覆蓋范圍廣、數(shù)據(jù)量大、價值密度低、總價值量巨大等特點。既包擴底層傳感器數(shù)據(jù)、視頻采集數(shù)據(jù)等在內(nèi)的物聯(lián)感知數(shù)據(jù)，也包括公民、企業(yè)等單位產(chǎn)生的移動通信數(shù)據(jù)，還包括各類城市運營管理部門產(chǎn)生的政務(wù)、公共服務(wù)運行、市場主體行為等數(shù)據(jù)。智慧城市建設(shè)正在朝感知泛在化、連接全面化、能力通用化和應(yīng)用智能化方向快速發(fā)展，正在越來越深入地影響城市中各類主體的生產(chǎn)和生活，也為大數(shù)據(jù)安全提出了大量新的挑戰(zhàn)。

　?。?）感知泛在化，即大量具備聯(lián)網(wǎng)功能的傳感器承擔(dān)了智慧城市運行當中的大量信息感知功能，對人工填報、人工采集的信息構(gòu)成了替代。大量物聯(lián)感知和控制設(shè)備的廣泛部署意味著大數(shù)據(jù)安全的分析視角必須從平臺層向網(wǎng)絡(luò)和前端感知層延伸，物聯(lián)感知設(shè)備遭到大規(guī)模劫持和控制已呈頻繁發(fā)生且不斷加劇的態(tài)勢。這種控制不僅可以用來制造垃圾流量、發(fā)起DDoS攻擊，也可以通過人為偽造傳感器數(shù)據(jù)從而成體系地干擾整個智慧化的運行機制，例如黑客如果大規(guī)模劫持了某區(qū)域的消防傳感器控制或者接入平臺，則可以在發(fā)生重大事故時故意發(fā)送大量虛假警報，從而嚴重干擾救災(zāi)救援業(yè)務(wù)。

　　（2）連接全面化，即各類垂直應(yīng)用系統(tǒng)之間、各類設(shè)備與設(shè)備之間通過各類網(wǎng)絡(luò)產(chǎn)生了大量連接。這意味著跨系統(tǒng)、平臺、網(wǎng)絡(luò)環(huán)境的大數(shù)據(jù)應(yīng)用是新型智慧城市運行中的常態(tài)，并在平臺層為大數(shù)據(jù)安全提出了大量新的挑戰(zhàn)。一是，所有的跨系統(tǒng)、平臺、網(wǎng)絡(luò)環(huán)境邊界天然成為潛在的安全風(fēng)險來源。例如，在跨網(wǎng)絡(luò)數(shù)據(jù)交換的場景下，攻擊者可以通過網(wǎng)絡(luò)嗅探的方式獲取交換邊界的身份認證密鑰，從而偽裝成正常的數(shù)據(jù)交換方，從低密網(wǎng)絡(luò)發(fā)起對高密網(wǎng)絡(luò)的數(shù)據(jù)交換請求，從而導(dǎo)致數(shù)據(jù)泄露；二是，各類數(shù)據(jù)交換、流轉(zhuǎn)往往脫離原始數(shù)據(jù)提供方的控制，攻擊者存在通過不同來源數(shù)據(jù)進行碰撞獲取被保護信息的可能。例如，在醫(yī)療場景下，數(shù)據(jù)交換需要對于患者的身份信息進行脫敏加密，但有時交換數(shù)據(jù)中會包括移動平臺的賬戶加密字符串，這個字符串可以利用數(shù)據(jù)黑市上的數(shù)據(jù)集 進行碰撞，從而獲知患者的具體身份信息，從而獲取患者的就診、治療等高度敏感的隱私數(shù)據(jù)。

　?。?）能力通用化，即諸多共性能力被通用平臺逐步取代，各種信息系統(tǒng)煙囪被逐步打破。某種程度上說，這種通用化趨勢對于大數(shù)據(jù)安全具有雙刃劍的作用，一方面高度集中的云平臺、中間件和大數(shù)據(jù)平臺可以提供較強的數(shù)據(jù)安全防護能力；另一方面，數(shù)據(jù)湖、數(shù)倉、數(shù)據(jù)中臺等數(shù)據(jù)資源層建設(shè)也將各種來源的數(shù)據(jù)集中起來，為數(shù)據(jù)分級、分類、精確的權(quán)限生命周期管理和安全審計提出了更高的要求。從目前的實踐來看，大量數(shù)據(jù)資源中心難以做到權(quán)限的范圍和生命周期與訪問行為的范圍和生命周期精確匹配，研發(fā)分析人員多人共用賬戶、超出業(yè)務(wù)需求訪問數(shù)據(jù)，甚至下載泄露的事件時有發(fā)生。

　?。?）應(yīng)用智能化，即人工智能算法正在進入大量應(yīng)用場景，并且逐步從決策支持向（部分）自主化運行滲透，各類智能算法在城市感知認知過程當中逐步占據(jù)更為重要的基礎(chǔ)性地位，其算法的安全性就成為了新的大數(shù)據(jù)安全分析視角下必須關(guān)注的問題。其中，既包括算法本身的安全問題，如基于對抗生成網(wǎng)絡(luò)技術(shù)的算法攻擊手段可以利用在車牌上添加人類肉眼不易辨別的花紋從而欺騙視頻監(jiān)控場景下的車牌識別OCR算法；也包括針對基于算法的公共服務(wù)進行攻擊，如隱私差分算法可通過部分公共服務(wù)接口提取個人隱私；還包括基于人工智能算法的跨領(lǐng)域綜合性威脅，例如內(nèi)容推薦算法定向推送敏感內(nèi)容從而危害社會安全穩(wěn)定。

　　3.2  大數(shù)據(jù)安全問題的原因分析

　　由上可知，隨著智慧城市的建設(shè)越加深化，其對應(yīng)的大數(shù)據(jù)安全挑戰(zhàn)也愈加嚴峻，主要原因歸結(jié)為以下幾方面。

　?。?）安全理念嚴重滯后。實踐中，以合規(guī)為導(dǎo)向的安全理念仍然占據(jù)主流，缺少從底線思維出發(fā)的整體安全理念；大家對于新攻擊形態(tài)、新威脅類型認知不足；數(shù)據(jù)安全部門和業(yè)務(wù)部門之間的關(guān)系以監(jiān)管和被監(jiān)管為主，協(xié)同意愿和機制較為欠缺。

　　（2）智慧城市建設(shè)相關(guān)的標準和數(shù)據(jù)安全機制不健全[4]。目前，缺少針對智慧城市建設(shè)運行中產(chǎn)生的大量異構(gòu)數(shù)據(jù)的精細化的分級、分類管理標準，缺少對于數(shù)據(jù)流轉(zhuǎn)溯源、行為審計追蹤的技術(shù)和管理標準，缺少對于大數(shù)據(jù)安全和算法相關(guān)的安全問題的安全風(fēng)險評估標準和方法論。

　?。?）大數(shù)據(jù)安全運營人才持續(xù)匱乏。相對基于技術(shù)層面對抗?jié)B透的人才，能夠持續(xù)監(jiān)督優(yōu)化智慧城市整體安全運營，特別是數(shù)據(jù)資源安全運營的人才非常稀缺。大數(shù)據(jù)來源多樣化、數(shù)據(jù)范圍廣泛，數(shù)據(jù)在流轉(zhuǎn)、應(yīng)用過程中產(chǎn)生聚合產(chǎn)生新的數(shù)據(jù)資源體系，往往會與原始數(shù)據(jù)保護邊界發(fā)生變化，如何在整個數(shù)據(jù)資源的流轉(zhuǎn)體系中進行大數(shù)據(jù)資源的合理安全防護，對于安全運營人員提出了非常高的挑戰(zhàn)和要求。一方面，要求安全運營人員對于數(shù)據(jù)的業(yè)務(wù)屬性具有深刻理解，能夠識別其中蘊含的安全風(fēng)險和信息價值；另一方面要求安全人員根據(jù)數(shù)據(jù)的需求場景，選取風(fēng)險暴露和技術(shù)投入、管理難度多要素平衡的技術(shù)方案，在安全可控的前提下盡可能發(fā)掘、實現(xiàn)數(shù)據(jù)價值。

　?。?）系統(tǒng)復(fù)雜度高速膨脹，對于管理體系造成沖擊。智慧城市是一個典型的大規(guī)模異構(gòu)系統(tǒng)，其建設(shè)在時空和管理兩個維度均存在高度離散化的特征。各個建設(shè)主體往往在設(shè)備選型、通信協(xié)議、數(shù)據(jù)治理、接口規(guī)范、業(yè)務(wù)標準、安全措施等方面存在大量差異，難以進行整體化治理，導(dǎo)致大量數(shù)據(jù)、服務(wù)、設(shè)備、系統(tǒng)采取私下對接或臨時性接入的模式流轉(zhuǎn)，難以納入統(tǒng)一安全體系，造成管理盲區(qū)和治理黑洞。

　　4  提升智慧城市大數(shù)據(jù)安全能力

　　智慧城市建設(shè)步伐加快，各地紛紛重視智慧城市建設(shè)是好現(xiàn)象，但是一味地追求速度、規(guī)模，而不重視數(shù)據(jù)安全，將為后期的智慧城市運營帶來一定的安全隱患，因此有必要從各個層級、各個方面重視數(shù)據(jù)安全。通過研究，本文建議重點從管理和技術(shù)兩大方面來提升智慧城市大數(shù)據(jù)安全能力。

　　4.1  強化智慧城市大數(shù)據(jù)安全管理能力

　?。?）建立基于整體視角的韌性安全理念。對于以智慧城市為代表的超復(fù)雜系統(tǒng)，難以完全消除發(fā)生數(shù)據(jù)安全事件的概率。所以，從理念角度上說，除了要從合規(guī)角度出發(fā)做好防護以外，還要樹立風(fēng)險必然發(fā)生的底線思維和韌性意識。在安全風(fēng)險的評估、管理和運營中，既要注重預(yù)留安全余量，又要注重從業(yè)務(wù)運行循環(huán)的整體視角評估數(shù)據(jù)資源和智能應(yīng)用的完整性、可用性、保密性。

　?。?）完善智慧城市大數(shù)據(jù)安全標準。建立大數(shù)據(jù)資源的安全運營標準，針對數(shù)據(jù)資源固有的敏感性、保密性以及數(shù)據(jù)資源在不同場景下使用的安全風(fēng)險建立量化的風(fēng)險-收益評估標準，實現(xiàn)公共利益和數(shù)據(jù)相關(guān)權(quán)利人安全風(fēng)險的平衡。在數(shù)據(jù)采集階段，建立數(shù)據(jù)收集權(quán)限、范圍的集中授權(quán)監(jiān)管機制，明確哪些部門、哪些人員可以收集哪些數(shù)據(jù)；在數(shù)據(jù)匯聚階段設(shè)立數(shù)據(jù)資源分級分類管理標準，對于存在安全風(fēng)險的敏感數(shù)據(jù)采取加密、脫敏存儲的形式，盡量避免原始數(shù)據(jù)在流轉(zhuǎn)過程中多次落地存儲；在數(shù)據(jù)挖掘和應(yīng)用階段，建立業(yè)務(wù)需求和場景化安全風(fēng)險評估標準，明確何人在何種情況下可以調(diào)用哪些數(shù)據(jù)，建立數(shù)據(jù)權(quán)限生命周期管理標準，做到單次授權(quán)、單個對象，范圍和屬性的精細化權(quán)限管理，建立集中化的數(shù)據(jù)資源調(diào)用標準，對于數(shù)據(jù)的流轉(zhuǎn)和調(diào)用進行全程留痕和審計。

　?。?）完善智慧城市大數(shù)據(jù)安全制度保障。在組織機制上，建立網(wǎng)信辦、大數(shù)據(jù)局、公安等多個部門參與的大數(shù)據(jù)安全管理聯(lián)席機制。其中，數(shù)據(jù)資源管理部門承擔(dān)雙重角色：一方面，作為專門負責(zé)統(tǒng)籌新型智慧城市建設(shè)的綜合性部門，對智慧城市大數(shù)據(jù)安全的議題承擔(dān)最終需求方的角色，即承擔(dān)各個零散需求部門和社會各方的大數(shù)據(jù)安全需求收集、評估、整理的需求側(cè)運營工作，并根據(jù)公共利益確定大數(shù)據(jù)安全的整體需求；另一方面，承擔(dān)數(shù)據(jù)融合共享為切入口的智慧城市大數(shù)據(jù)資源建設(shè)工作，作為技術(shù)標準制定、技術(shù)選型、運營機制等方面第一手的管理方和監(jiān)管方，是事實上的供給側(cè)運營部門。此外，為了更好地保障大數(shù)據(jù)安全運營工作的成效，應(yīng)積極探索“管運分離”的長效化運營機制。

　　（4）注重產(chǎn)業(yè)化合作，激活多主體合作活力。在智慧城市建設(shè)運營框架下，探索安全運營的政企合作機制，吸引社會力量投入共建共管共享，引導(dǎo)市場主體形成新型智慧城市整體安全運營商；強化公民權(quán)利意識和公共數(shù)據(jù)安全意識、提升社會認同感和支持力度、完善數(shù)據(jù)安全確權(quán)體系和知情同意溯源體系、推廣社會公眾體驗感知等。

　　（5）強化相關(guān)保障支撐，加強人才隊伍配套建設(shè)。建立基于綜合大數(shù)據(jù)安全的專業(yè)化人才培養(yǎng)體系，進 一步推動安全認證培訓(xùn)從合規(guī)導(dǎo)向向整體安全運營導(dǎo)向演進；建立從全方位安全對抗視角出發(fā)的大數(shù)據(jù)安全人才培養(yǎng)機制，充分利用軍民融合、政企合作等方式建立綜合性人才梯隊。

　　4.2  關(guān)注新興技術(shù)，升級大數(shù)據(jù)安全保障工具箱

　?。?）在網(wǎng)絡(luò)層，加快推進IPv6等新型協(xié)議的部署應(yīng)用，逐步淘汰安全性不足的老舊協(xié)議和組網(wǎng)模式，構(gòu)建不可抵賴的網(wǎng)絡(luò)追蹤溯源機制。

　?。?）在設(shè)備層，強調(diào)邊緣設(shè)備的本質(zhì)安全，采取區(qū)塊鏈等手段構(gòu)建設(shè)備標識體系，構(gòu)建設(shè)備對設(shè)備、設(shè)備對系統(tǒng)的可信連接模式，推動計算、網(wǎng)絡(luò)、存儲等底層IaaS設(shè)備完成全面的自主可控替代。

　?。?）在數(shù)據(jù)的傳輸和存儲層[5]，注重隱私和敏感數(shù)據(jù)的全面脫敏加密；合理構(gòu)建云、邊協(xié)同的數(shù)據(jù)存儲和應(yīng)用模式；引入聯(lián)邦學(xué)習(xí)等新興技術(shù)模式，減少敏感數(shù)據(jù)在網(wǎng)絡(luò)中的低效搬運；全面推廣數(shù)據(jù)不落地，可用不可見的服務(wù)化封裝模式；利用區(qū)塊鏈智能合約等新興技術(shù)手段，推動公共數(shù)據(jù)資源上鏈，構(gòu)建數(shù)據(jù)資源溯源標記，實現(xiàn)數(shù)據(jù)的全流程可審計。

　　（4）在平臺層，進一步推動國產(chǎn)化操作系統(tǒng)在專業(yè)應(yīng)用領(lǐng)域的覆蓋。通過智能合約等手段強化系統(tǒng)間的協(xié)同；構(gòu)建支持多種數(shù)據(jù)共享交換模式的接口封裝審計技術(shù)，將全量大數(shù)據(jù)的共享交換流轉(zhuǎn)納入審計范圍，做到全流程安全可控；強調(diào)零信任和本質(zhì)安全理念，充分推進虛擬化技術(shù)，將存在較大數(shù)據(jù)安全風(fēng)險的研發(fā)活動置于可信的沙箱環(huán)境下進行；構(gòu)筑基于大數(shù)據(jù)分析的安全態(tài)勢感知體系，建立對于大數(shù)據(jù)安全風(fēng)險的主動感知和管控機制。

　　（5）在應(yīng)用層，注重關(guān)注智能算法的算法安全機制。重要的基礎(chǔ)識別算法采取加密分發(fā)、定期迭代的部署模式，在關(guān)鍵數(shù)據(jù)采集領(lǐng)域逐步替代采用固定版本識別算法的硬件設(shè)備；對于交通調(diào)度、物流調(diào)度、能源調(diào)度等涉及城市重要公共運行業(yè)務(wù)的核心算法進行全流程加密和定期更新，避免因核心算法泄露導(dǎo)致的綜合性攻擊風(fēng)險。

　　5  結(jié)束語

　　基于大數(shù)據(jù)的智慧城市建設(shè)，關(guān)系著每個人的生活，為人們的生活提供方便，但其中的大數(shù)據(jù)安全問題需要引起全員重視。智慧城市建設(shè)，首先需要所有參與建設(shè)、實施、運行等各階段的人員對大數(shù)據(jù)安全問題達成統(tǒng)一共識，共同關(guān)注大數(shù)據(jù)安全問題；其次需要完備的加強大數(shù)據(jù)安全的規(guī)章制度，并在智慧城市建設(shè)中的每個層級規(guī)避大數(shù)據(jù)安全問題；最后需要持續(xù)加大培養(yǎng)大數(shù)據(jù)安全人員的力度，提高大數(shù)據(jù)安全技術(shù)的普及度。從而從全方位、多角度、多層級來保障智慧城市建設(shè)持續(xù)、健康發(fā)展。