劉志誠

摘 要：智慧城市網(wǎng)絡信息安全的定位應著眼與智慧城市網(wǎng)絡信息安全運營中心的基礎設施建設，要作為智慧城市關鍵信息基礎設施的核心一環(huán)，構建智慧城市的免疫系統(tǒng)，在保障智慧城市眾多信息化應用系統(tǒng)安全的同時，關注網(wǎng)絡空間威脅對物理空間安全的影響，避免網(wǎng)絡信息安全風險對城市公共安全以及關鍵基礎設施的損壞造成的重大經(jīng)濟損失。向智慧城市范疇內(nèi)的企業(yè)網(wǎng)絡信息安全建設輸出能力，為國家網(wǎng)絡空間安全助力。

關鍵詞：智慧城市；網(wǎng)絡空間安全；信息安全

中圖分類號：TN915.08 文獻標識碼：C

Abstract： Smart city cyberspace information security should focus on the infrastructure construction of the smart city network information security operation center. It should be the core of the smart city's key information infrastructure， build the immune system of the smart city， and protect the intelligent city's many information applications. At the same time of system security， pay attention to the impact of cyberspace threats on physical space security， and avoid major economic losses caused by network information security risks to urban public safety and damage to critical infrastructure. Exporting capabilities to enterprise network information security in the context of smart cities， contributing to national cyberspace security.

Key words： smart city； cycberspace security； information security

1 引言

在目前城市信息化日新月異，城市治理越來越離不開信息化支撐的前提下，國家網(wǎng)信辦的成立，《網(wǎng)絡安全法》頒布實施都在為我國網(wǎng)絡信息安全的建設提供綱領性指南，不過從最近看的不少智慧城市信息化建設過程中的網(wǎng)絡信息安全解決方案而言，智慧城市的網(wǎng)絡信息安全在需求解讀、宏觀概念、整體架構、落實措施層面存在不少缺憾，大多仍在獨立的信息化系統(tǒng)的網(wǎng)絡信息安全或者企業(yè)級的信息化網(wǎng)絡信息安全保障的角度出發(fā)，除了放之四海皆準的集成產(chǎn)品思路的網(wǎng)絡信息安全保護措施，缺少了智慧城市復雜的信息化環(huán)境、引入的先進的信息化技術、面對的物理網(wǎng)絡空間界限融合的局面所做的分析、解讀、構建。

本文試圖從智慧城市網(wǎng)絡信息安全與傳統(tǒng)信息化安全演進路徑中的同與不同出發(fā)，在傳統(tǒng)網(wǎng)絡信息安全保障信息化思路的前提下，對智慧城市建設過程中面對的新的基礎設施，新的開發(fā)部署運維模式，新技術帶來的挑戰(zhàn)出發(fā)，結合網(wǎng)絡信息安全領域目前產(chǎn)品和服務領域的創(chuàng)新技術、產(chǎn)品、模式的演進，給出一些粗淺的建議，為智慧城市網(wǎng)絡信息安全的保障體系添磚加瓦。首先，智慧城市網(wǎng)絡信息安全的分類，可以從基礎設施的安全、業(yè)務架構的安全、數(shù)據(jù)的安全的需求出發(fā)，分析面對的場景和需求；其次，給出智慧城市網(wǎng)絡信息安全保障的解決方案，建設智慧城市網(wǎng)絡信息安全的安全基礎設施。

2 智慧城市網(wǎng)絡信息安全的基本需求

2.1 基礎設施的安全

智慧城市是由信息化系統(tǒng)構建而成，信息化系統(tǒng)的基礎設施安全是以技術安全為中心的安全產(chǎn)品集成體系，這也是單一項目的網(wǎng)絡信息安全與企業(yè)級網(wǎng)絡信息安全的基礎，網(wǎng)絡信息安全的從業(yè)人員大多擅長該領域的安全集成，這是智慧城市網(wǎng)絡信息安全解決方案一般都能覆蓋的領域。

信息系統(tǒng)的基礎設施安全可以從物理環(huán)境的安全談起，電力、空調(diào)、消防、機房、門禁等都在此范疇內(nèi)，進一步關注網(wǎng)絡邊界的保護，信息系統(tǒng)的安全域或安全組管理，通過策略實現(xiàn)邏輯隔離，在企業(yè)級安全保障體系中，或內(nèi)部化的信息系統(tǒng)中，一般還要關注終端的安全保障措施，避免終端側的安全風險影響的信息系統(tǒng)的安全，系統(tǒng)安全從信息系統(tǒng)承載的基礎運行環(huán)境，硬件、操作系統(tǒng)、中間件、數(shù)據(jù)庫以及Web系統(tǒng)本身的安全，這些安全關注的要點在于漏洞的檢測、管理和補丁，避免惡意軟件的入侵、黑客的攻擊以及內(nèi)部人員的非法使用。

傳統(tǒng)基礎設施的安全挑戰(zhàn)在于，涉及到云計算的普及。智慧城市進入私有云時代，分布式的條塊化信息系統(tǒng)的建設模式，逐漸演變?yōu)榛A設施統(tǒng)一，應用架構統(tǒng)一，最終實現(xiàn)數(shù)據(jù)統(tǒng)一的模式。在基礎設施統(tǒng)一階段，從IaaS云服務入手，計算、存儲、網(wǎng)絡資源首先會統(tǒng)一到城市的IDC計算中心，原有的條塊化分布式信息系統(tǒng)面對云架構體系的更新調(diào)整，基礎設施面對新的安全需求，安全域、安全組需要重新劃分，安全隔離的設備也面臨虛擬化的挑戰(zhàn)，安全策略的配置和部署在虛擬資源的環(huán)境下，需要進一步考慮部署、實施的結構以及保障措施和手段，而傳統(tǒng)的硬件、服務器、安全域的集成式架構安全等原有的安全措施、防護手段在新的環(huán)境下幾無勇武之地。

CSA提出SDP安全定義邊界的概念，就重新定義了傳統(tǒng)結構安全的規(guī)則，而SDN、NFV等新的網(wǎng)絡、基礎架構技術的引入，將安全的配置與編程進一步模糊了邊界，驗證了Google提出的SRE概念，當運維工作日益軟件工程化后，安全也勢必進入軟件工程化的范疇。

智慧城市中，除了傳統(tǒng)意義上的基礎設施安全之外，還包括能力基礎設施的安全問題，例如身份能力、計算能力、存儲能力、支付能力、安全能力等，這些能力作為信息系統(tǒng)的有機組成部分，安全的保障可以參考下文業(yè)務架構的安全，基礎的軟硬件部分納入基礎設施安全范疇。

2.2 業(yè)務架構的安全

具體到業(yè)務應用的網(wǎng)絡信息安全保障，軟件安全越來越進入到人們關注的視野，從需求、設計、開發(fā)、測試到部署、運行，軟件開發(fā)過程的安全管理和安全集成是必須重點關注的環(huán)節(jié)。

在需求階段，需要考慮軟件運行的場景，承載的環(huán)境，考慮需要規(guī)避的安全風險，引入安全控制的措施。在設計階段，需要對軟件的邏輯結構、具體算法進行邏輯測試，避免異常帶來的安全風險，需要在身份管理、權限控制、數(shù)據(jù)過程、業(yè)務邏輯等層面增加安全集成的手段。例如，通過密碼機制實現(xiàn)強身份認證和數(shù)據(jù)的機密性與完整性，在云計算的微服務場景下，需要考慮第三方服務的API集成實現(xiàn)安全集成。

在編碼階段，需要通過代碼走讀和審查，以及安全測試，發(fā)現(xiàn)編碼階段的問題。隨著開源軟件的普及，商業(yè)軟件中集成第三方組件、代碼日益增多，需要對引入的代碼和組件進行代碼的審查，避免引入惡意代碼和漏洞。測試過程中，引入模糊測試和滲透測試，實現(xiàn)對發(fā)布的軟件的系統(tǒng)化安全測試，發(fā)現(xiàn)未知漏洞。從攻防的角度，實現(xiàn)對安全性的檢驗。

業(yè)務應用安全在智慧城市場景下的挑戰(zhàn)在于智慧城市業(yè)務開發(fā)、部署、運維架構和業(yè)務環(huán)境的終端技術能力普及帶來的變革背景下，信息安全如何能夠的與時俱進的滿足需求。

首先，在智慧城市的生態(tài)體系中，多家應用軟件開發(fā)商的生態(tài)集成模式，對應用開發(fā)的過程管理更加復雜，開發(fā)過程的安全管理，在Devops以及敏捷模式下，也面臨新的挑戰(zhàn)，傳統(tǒng)的安全軟件開發(fā)過程管理SDL以及軟件安全成熟度模型如何新的形勢，確實是一個不小的課題。

傳統(tǒng)的條塊模式下的信息系統(tǒng)建設，各行其是，解決的是某個領域的業(yè)務的信息化問題，信息系統(tǒng)之間，缺少必要的關聯(lián)與互動。各系統(tǒng)的開發(fā)、部署、運維架構同樣各自為政，未能實現(xiàn)開放、協(xié)同、統(tǒng)一?，F(xiàn)階段的智慧城市建設，考慮到了基礎設施資源統(tǒng)一的問題，實現(xiàn)云計算、云存儲、基礎運維的統(tǒng)一，進一步考慮到用戶的身份統(tǒng)一、數(shù)據(jù)統(tǒng)一，建立統(tǒng)一的數(shù)據(jù)倉庫，實現(xiàn)數(shù)據(jù)的整合。

然而，理想的狀況是在云計算背景下，引入Devops的持續(xù)發(fā)布，持續(xù)集成概念，通過微服務實現(xiàn)業(yè)務邏輯的抽象，實現(xiàn)業(yè)務系統(tǒng)間的整合與互動，從而實現(xiàn)業(yè)務邏輯的整合、服務的整合、能力的整合。這一步對既有系統(tǒng)是非常大的挑戰(zhàn)，卻是發(fā)展的必然趨勢，在開發(fā)、部署、運維技術和管理模式的進步下，對安全保障的挑戰(zhàn)也會隨之而來，如何保障持續(xù)發(fā)布、持續(xù)集成的安全，如何把安全能力微服務化，作為業(yè)務系統(tǒng)生態(tài)體系中的一環(huán)，是業(yè)務架構安全的參考方向，Devsecops提出了方向，距離智慧城市信息安全架構的落地，仍有不小的距離。

其次，移動互聯(lián)網(wǎng)的普及，對業(yè)務的邊界的拓展超出了傳統(tǒng)邊界防御的范疇，移動應用的安全被提到了前所未有的高度。

Android系統(tǒng)生態(tài)體系的安全性本身由于開發(fā)和安全機制設計的不合理，帶來了更大的安全挑戰(zhàn)。目前，基于Android應用的安全保護手段也在不斷發(fā)展和演進，從防止Java代碼的逆向到安全虛擬機的機制，本質(zhì)上是為了解決Android沒有解決的問題——用戶手機成為業(yè)務系統(tǒng)安全入侵的突破口。

下一個階段，隨著物聯(lián)網(wǎng)IoT概念的崛起，無人值守終端設備遍布城市，物聯(lián)網(wǎng)終端面臨的安全性挑戰(zhàn)遠大于移動互聯(lián)網(wǎng)安全，而智慧城市的數(shù)據(jù)采集與指令執(zhí)行，通過無人終端執(zhí)行，對物理世界造成實質(zhì)性的影響，一旦出現(xiàn)安全問題，不僅僅是應用系統(tǒng)癱瘓的問題，可能是人命關天的通天劫難。邊緣計算的崛起，進一步把決策體系前移，類似于人類植物神經(jīng)的功能反射性自動化的執(zhí)行，脫離了大腦的控制，超越了分布式，實現(xiàn)了離散式的信息化系統(tǒng)，對安全的挑戰(zhàn)難度會上升一個數(shù)量級。

2.3 業(yè)務架構的安全

網(wǎng)絡信息安全本質(zhì)上是保障信息的安全，CIA作為信息安全的三要素，貫穿到信息的生命周期的過程，有意義的數(shù)據(jù)是為信息，大數(shù)據(jù)時代，數(shù)據(jù)的意義已經(jīng)不是單純的一種轉換模式，信息安全已經(jīng)不僅保護信息，要保護到原始數(shù)據(jù)的范疇。數(shù)據(jù)庫安全是傳統(tǒng)數(shù)據(jù)安全保障的重要范疇，數(shù)據(jù)庫防火墻，數(shù)據(jù)庫加密，數(shù)據(jù)庫的身份認證與權限管理，數(shù)據(jù)庫的備份與恢復，都是傳統(tǒng)的數(shù)據(jù)安全保障范疇。另外，數(shù)據(jù)在終端與系統(tǒng)間的生命周期流轉過程，無論是終端的生成、處理、存儲還是網(wǎng)間的傳輸，都存在數(shù)據(jù)的真實性、完整性、數(shù)據(jù)源的可信性問題?；诿荑€機制的數(shù)字信封、數(shù)字簽名，TLS/SSL協(xié)議等都是保護數(shù)據(jù)安全的解決方案，終端側的數(shù)據(jù)防泄漏的解決方案，應用端數(shù)據(jù)保護的產(chǎn)品和機制避免業(yè)務數(shù)據(jù)的泄露。

傳統(tǒng)數(shù)據(jù)保護方案偏重于關系數(shù)據(jù)庫的結構化數(shù)據(jù)保護，而智慧城市應用的復雜性，基于移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)的位置、行為等實時流量數(shù)據(jù)充斥大量非結構數(shù)據(jù)。而大數(shù)據(jù)平臺對數(shù)據(jù)流、非關系數(shù)據(jù)庫數(shù)據(jù)、列數(shù)據(jù)的清洗、脫敏、歸一化處理，超出原有數(shù)據(jù)處理的平臺與范圍，非結構數(shù)據(jù)的全生命周期的安全性保護，同樣需要重點予以關注。

從需求出發(fā)對數(shù)據(jù)的分級定義和分級保護是傳統(tǒng)信息安全首先關注的問題。大數(shù)據(jù)時代的數(shù)據(jù)保護需要考慮安全成本的問題，不可能所有的數(shù)據(jù)采用統(tǒng)一的保護措施和手段，數(shù)據(jù)的分級安全保護同樣是重中之重。不過，數(shù)據(jù)的保護除了從傳統(tǒng)意義上的業(yè)務需求出發(fā)之外，還需要關注通過數(shù)據(jù)關聯(lián)分析可能帶來的風險，對原始數(shù)據(jù)的敏感性需要結合技術角度辨別需要的安全級別，避免通過關聯(lián)分析出現(xiàn)泄密的事件。

用戶數(shù)據(jù)的保護，包括用戶的屬性和行為信息，都屬于極度敏感的范圍，歐洲《通用數(shù)據(jù)保護條例》對個人數(shù)據(jù)的保護進一步細化到知情權、修改權、遺忘權、轉移權、控制權等一些里具體化權利。中國的《網(wǎng)絡安全法》雖然未明確權利保障的手段和措施，但也給出了相關權利的聲明。因此，智慧城市中關于用戶信息保護的要求，勢必是重中之重。

3 智慧城市網(wǎng)絡信息安全的基礎設施建設與運營

3.1 安全基礎設施

智慧城市的網(wǎng)絡信息安全體系構建，不能局限與單一的信息化系統(tǒng)安全保障體系的設計，也不能局限在企業(yè)級網(wǎng)絡信息安全保障體系構建的范疇內(nèi)。從信息化的復雜度，應用場景和規(guī)模來看，智慧城市作為一個生態(tài)體系，需要宏觀層面構建網(wǎng)絡信息安全保障體系。把網(wǎng)絡信息安全需要作為一系列能力，納入智慧城市基礎設施建設的范疇，是智慧城市網(wǎng)絡信息安全建設的核心理念。

而關鍵的安全基礎設施能力，可以抽象為預防、檢測、監(jiān)控、處置能力。

預防的基礎設施比較典型的可以從PKI/CA談起。PKI作為公鑰基礎設施的縮寫，在20世紀80年代隨著公鑰技術的發(fā)展，已經(jīng)通過CA機制建立了體系化的方案和手段，實現(xiàn)應用系統(tǒng)的密鑰應用與管理。作為一種完備的密鑰管理機制在身份的認證與管理，數(shù)據(jù)的機密性完整性保護等各種預防性安全措施中應用廣泛。在常見的Openstack結構中，通過Barbican項目可以直接應用于身份、鏡像等一些列安全應用。

當然，由于PKI/CA機制設計于80年代，在新的技術框架和體系結構中面臨一些新的挑戰(zhàn)，以及存在不少不足。例如，CA僅在密鑰的管理層面提供了解決方案，由于應用層面就缺少了統(tǒng)一和規(guī)范，導致了一系列的應用安全問題。同時，作為中心化的系統(tǒng)，第三方機構的權威性也帶來一些場景適用性問題，而同樣具有非對稱密鑰的區(qū)塊鏈機制，有效地解決了密鑰的管理和應用層面的問題，整個協(xié)議和機制，良好地規(guī)避了PKI中的一些問題，結合PKI是個比較好的密鑰基礎設施解決方案。

身份管理和認證是另一個比較關鍵的基礎設施，Openid與Oauth在互聯(lián)網(wǎng)業(yè)務與應用的普及，以及SAML等身份協(xié)議、fido等安全聯(lián)盟的推進，身份的統(tǒng)一管理和認證，以及統(tǒng)一登錄有一系列的解決方案。

身份基礎設施面對的關鍵問題是殘留系統(tǒng)對身份協(xié)議的支持不足的問題，需要在工程實施層面，對殘留應用進行大量的定制化開發(fā)和改造。涉及到智慧城市的范疇，人、物、系統(tǒng)的身份校驗與管理是智慧城市首當其沖的基礎設施，智慧城市中網(wǎng)絡、系統(tǒng)、業(yè)務層面的各種自定義賬號，加上社保、公交、銀行、身份證等一些列物理身份的捆綁與連接層出不窮。

身份的統(tǒng)一不僅是ID的統(tǒng)一、認證技術手段的統(tǒng)一，也包括應用、驗證協(xié)議的統(tǒng)一，身份信息安全、隱私保護的機制統(tǒng)一。彭特蘭教授在《智慧社會》的IIS概念是比較早提出的關于個人身份的所有權、應用權問題，隨著歐盟《通用數(shù)據(jù)保護法案》GDPR出臺，身份數(shù)據(jù)的所有權、使用權、隱私權等一系列權利法案，勢必有比較大的影響。中國的《網(wǎng)絡安全法》，雖然沒有像GDPR如此詳細，卻也在目標和權利主張上異曲同工，身份管理和認證的基礎設施，勢必是智慧城市的關鍵一環(huán)。

檢測機制主要在于漏洞的挖掘、掃描，病毒等惡意軟件的檢測，攻擊的檢測，異常的檢測，包含了傳統(tǒng)意義上的模糊測試、掃描器、滲透測試等范疇。主要的目標在于及時發(fā)現(xiàn)問題與風險，既包括已知風險，又要包括未知的風險，而未知風險的檢測和測試，也是目前安全技術領域創(chuàng)新的重點。從模糊測試，機器學習、深度學習等模式檢測，均是提高對未知風險的防御。把各種產(chǎn)品和服務整合起來，通過統(tǒng)一的界面和服務接口，包裝成檢測能力，向業(yè)務系統(tǒng)開放，既避免單一產(chǎn)品帶來的技術局限性，又避免產(chǎn)品操作的復雜性帶來的學習曲線上升，以及單一項目安全成本的飆升，是目前可行的優(yōu)化解決方案。

監(jiān)控機制是把傳統(tǒng)的周期性檢測機制實時化以及持久化，利用探針檢測、流量鏡像、代理采集等數(shù)據(jù)集成手段，結合已知風險庫和未知風險的訓練模式，對系統(tǒng)各類行為的監(jiān)控分析，及時發(fā)現(xiàn)風險和問題，包含傳統(tǒng)意義上的防病毒、防火墻、WAF、入侵檢測等產(chǎn)品和服務，通過已知規(guī)則和未知模式，實現(xiàn)安全的實施檢測。

基礎設施的主要內(nèi)容包括在云計算環(huán)境下基于SDN/NFV以及虛擬化機制，實現(xiàn)配置的開發(fā)和管理，以及對代理、探針、流量的大數(shù)據(jù)的采集、分析和應用。

處置主要是把應急服務納入到基礎設施的范疇，發(fā)現(xiàn)問題后的匯報機制、阻斷機制、恢復機制、取證、反制、報告機制，結合自動化和可視化，實現(xiàn)安全的全程受控管理。檢測、監(jiān)控、處置不僅是安全產(chǎn)品的范疇，也包括了安全運營與管理，需要有工作流機制與工單系統(tǒng)的支撐，以利于安全能力服務的開放與共享。

安全的基礎設施，首先要求具備能力集成和開放機制，實現(xiàn)對第三方的安全產(chǎn)品和安全能力的包裝，從而實現(xiàn)對業(yè)務系統(tǒng)的開放，安全產(chǎn)品的各自為政或一定程度上的大統(tǒng)一，反而帶來了集成與開放的復雜度，這也是互聯(lián)網(wǎng)運營企業(yè)另起爐灶自建安全體系的根源。

智慧城市的安全能力基礎設施構建，需要從生態(tài)體系著手，制定相對包容開放的游戲規(guī)則，降低安全能力接入的門檻，同時，也需要安全產(chǎn)品廠商拋棄保守殘缺的理念，避免一個產(chǎn)品通吃天下的不切實際的幻想，專注于自己的核心能力，打造開放的核心能力安全產(chǎn)品，以利于互補與共贏。

3.2 安全運營

安全基礎設施的建設，離不開持續(xù)的運營，這也是目前網(wǎng)絡信息安全領域發(fā)展的趨勢。細化到具體的領域，包括安全態(tài)勢感知、威脅情報共享體系、安全分析、應急服務、合規(guī)性的審查以及持續(xù)審計，只有持續(xù)的安全運營，才能形成安全的閉環(huán)管理以及安全保障體系的持續(xù)改進，也是安全系統(tǒng)建設的交鑰匙工程。對于企業(yè)級網(wǎng)絡信息安全而言，安全態(tài)勢感知、威脅情報共享體系、安全分析由于自建成本收益的問題一般通過公有云服務體系實現(xiàn)。

而對于智慧城市的量級而言，安全態(tài)勢感知、威脅情報共享、安全分析，不僅是智慧城市的網(wǎng)絡信息安全核心，更是智慧城市向企業(yè)輸出安全能力，協(xié)助企業(yè)安全保障體系建設的優(yōu)勢所在。智慧城市作為眾多信息化系統(tǒng)的整合生態(tài)體系，具備網(wǎng)絡信息安全運營中心，實現(xiàn)網(wǎng)絡信息安全的統(tǒng)一監(jiān)控與管理，更是整個智慧城市重中之重，網(wǎng)絡信息安全運營中心之于智慧城市就像免疫系統(tǒng)與人的關系，只有建設好免疫系統(tǒng)，方能保障智慧城市的平穩(wěn)運行，不會遭受內(nèi)外部的損害。

大數(shù)據(jù)時代不僅業(yè)務系統(tǒng)需要大數(shù)據(jù)，網(wǎng)絡信息安全同樣依賴大數(shù)據(jù)。大量實時數(shù)據(jù)的采集、清洗、歸一、分析、建模、處理，方能實現(xiàn)對已知和未知威脅的防范與處置，通過知識庫體系、規(guī)則庫體系、特征庫體系對已知威脅的防范，通過威脅情報體系的共享，通過實時數(shù)據(jù)的學習、建模、安全分析。實現(xiàn)對未知威脅的防范，通過對威脅的快速識別、發(fā)現(xiàn)、自動化地處置，降低威脅造成的影響，通過行為、痕跡的追蹤，實現(xiàn)持續(xù)審計，取證以及反制措施的實施和部署，為后續(xù)的法律行動、合規(guī)性提供依據(jù)。

4 結束語

智慧城市網(wǎng)絡信息安全的定位應著眼與智慧城市網(wǎng)絡信息安全運營中心的基礎設施建設，要作為智慧城市關鍵信息基礎設施的核心一環(huán)，構建智慧城市的免疫系統(tǒng)，在保障智慧城市眾多信息化應用系統(tǒng)安全的同時，關注網(wǎng)絡空間威脅對物理空間安全的影響，避免網(wǎng)絡信息安全風險對城市公共安全以及關鍵基礎設施的損壞造成的重大經(jīng)濟損失。向智慧城市范疇內(nèi)的企業(yè)網(wǎng)絡信息安全建設輸出能力，為國家網(wǎng)絡空間安全助力。

參考文獻

[1] 范淵.大數(shù)據(jù)時代的智慧城市與信息安全[M].北京：電子工業(yè)出版社， 2018.

[2] 京東法律研究院.歐盟數(shù)據(jù)憲章評述及實物指引[M].北京：法律出版社， 2018.

[3] 劉馳.大數(shù)據(jù)致力于安全從理論到開源實踐[M].北京：機械工業(yè)出版社， 2017.

[4] 徐光俠.物聯(lián)網(wǎng)及其安全技術解析[M].北京：電子工業(yè)出版社， 2013.

[5] 陳興蜀.云安全原理與實踐[M].北京：機械工業(yè)出版社， 2017.

[6] 360企業(yè)安全研究院.走近安全：網(wǎng)絡世界的攻與防[M].北京：電子工業(yè)出版社，2018.

[7] 詹姆斯M.卡普蘭.麥肯錫的數(shù)字業(yè)務安全策略[M].北京：機械工業(yè)出版社，2016.

[8] 謝宗曉.信息安全管理體系應用手冊[M].北京：中國標準出版社，2008.