（上海社會科學(xué)院應(yīng)用經(jīng)濟(jì)研究所）

1.智慧城市網(wǎng)絡(luò)安全報告綜述

智慧城市是指通過運(yùn)用信息通信技術(shù)（ICT），以動態(tài)的方式優(yōu)化城市功能，為市民提供更好的生活。智慧城市內(nèi)涵更廣，是在“網(wǎng)聯(lián)城市”概念基礎(chǔ)上更普遍化、更廣泛的數(shù)據(jù)交換演化。智能公共交通系統(tǒng)（Intelligent public transport, IPT）是智慧城市的關(guān)鍵要素之一，智能公交運(yùn)營商應(yīng)用ICT技術(shù)來管理本地公共交通，從而提高運(yùn)輸系統(tǒng)的服務(wù)水平和效能，運(yùn)營商之間彼此互相交換數(shù)據(jù)，以期提供更佳的整合服務(wù)。

數(shù)據(jù)交換整合服務(wù)和資產(chǎn)，促進(jìn)了城市的自動化程度。在這些關(guān)鍵服務(wù)互聯(lián)后，為保護(hù)數(shù)據(jù)交換、隱私以及市民的健康和安全，網(wǎng)絡(luò)安全的需求激增。當(dāng)前暫無統(tǒng)一的準(zhǔn)則或標(biāo)準(zhǔn)來管控數(shù)據(jù)交換，導(dǎo)致智能公交運(yùn)營商、市政部門、政策制定者、生產(chǎn)制造商、供應(yīng)商及解決方案提供商等無法應(yīng)對各類不同的需求提供具有高可用性的特定解決方案。目前IPT運(yùn)營商可遵循的網(wǎng)絡(luò)安全政策或關(guān)鍵資產(chǎn)的制度化和規(guī)范屈指可數(shù)，此外IPT領(lǐng)域的網(wǎng)絡(luò)安全方面的知識儲備和投入也極少。雖然IPT運(yùn)營商也已施用一些網(wǎng)絡(luò)安全措施，但這類措施種類繁多，但由于網(wǎng)絡(luò)安全標(biāo)準(zhǔn)并不通用，故與IPT的需求并不完全相符，能被普遍接受的最佳實踐那就更少了。

這份報告定義了一個高級架構(gòu)模型可用來理解關(guān)鍵領(lǐng)域所面臨的網(wǎng)絡(luò)威脅，為后續(xù)完善網(wǎng)絡(luò)安全指南奠定基礎(chǔ)，但由于城市成熟度水平各異，該架構(gòu)主要基于IPT運(yùn)營商視角，側(cè)重于智慧城市中利益相干各方的相互作用及集成各自的功能流程和數(shù)據(jù)交換。IPT運(yùn)營商與其他相關(guān)方之間的數(shù)據(jù)交換不可避免地帶來網(wǎng)絡(luò)安全威脅以及潛在的風(fēng)險。由于城市的成熟度不同，威脅來源多樣，不僅只是信息/數(shù)據(jù)、應(yīng)用和技術(shù)等層面，還包括源自組織機(jī)構(gòu)及IPT相關(guān)的基礎(chǔ)設(shè)施等因素。在本報告中將特定威脅初步分為兩類：故意攻擊和意外威脅。

本報告不僅為IPT運(yùn)營商預(yù)防故意攻擊和意外威脅整理了部分優(yōu)秀實踐，根據(jù)調(diào)研情況總結(jié)出七項重要發(fā)現(xiàn)，因此向利益干系各方提出八點建議：

·市政部門應(yīng)支持開發(fā)協(xié)調(diào)一致的網(wǎng)絡(luò)安全框架；

· 歐盟委員會及成員國應(yīng)促成產(chǎn)業(yè)、成員國和市政部門之間的網(wǎng)絡(luò)安全知識交流和合作；

· IPT運(yùn)營商應(yīng)清晰定義其安全需求；

· IPT運(yùn)營商和政府應(yīng)在網(wǎng)絡(luò)安全事務(wù)方面增加投入；

· 產(chǎn)品制造商和解決方案供應(yīng)商應(yīng)在產(chǎn)品中集成安全性；

· IPT運(yùn)營商和政府應(yīng)明確中高層管理人員在網(wǎng)絡(luò)安全事務(wù)中的職責(zé)；

· 歐盟委員會和成員國應(yīng)明確參與各方職責(zé)；

· 智慧城市和標(biāo)準(zhǔn)化組織應(yīng)將網(wǎng)絡(luò)安全需求整合進(jìn)智慧城市成熟度模型；

1.1.智慧城市的網(wǎng)絡(luò)安全

該研究分別在網(wǎng)聯(lián)城市（Connected Cities,CCs）和智慧城市（Smart Cities,SCs）的不同概念下分析智能公交（IPT）的網(wǎng)絡(luò)安全，網(wǎng)聯(lián)城市和智慧城市均系在多利益相干方的情況下充分利用信通技術(shù)，滿足公眾需求并促進(jìn)城市發(fā)展。網(wǎng)聯(lián)城市的特點是運(yùn)營商獨立，由自己的控制中心管理一個或多個系統(tǒng)，運(yùn)營商之間基本獨立。而智慧城市則突破網(wǎng)聯(lián)城市的相關(guān)約束，在數(shù)據(jù)集成方面通過全局決策過程實現(xiàn)任務(wù)自動化的管理，目標(biāo)是以動態(tài)方式優(yōu)化城市功能從而為市民提供更佳的生活質(zhì)量。城市首先通過信息技術(shù)變得“更智能”，同時信息技術(shù)應(yīng)用延伸范圍極廣，滲透進(jìn)金融、公共安全、能源、公共交通等各個領(lǐng)域的管理。

網(wǎng)絡(luò)安全不僅指數(shù)據(jù)的安全性，還存在于用于存儲、處理和傳輸數(shù)據(jù)的應(yīng)用程序和基礎(chǔ)設(shè)施等方面，通常認(rèn)為網(wǎng)絡(luò)安全是預(yù)防、檢測和響應(yīng)網(wǎng)絡(luò)安全事件來保護(hù)數(shù)據(jù)和信息的過程。

1.2.范圍和目標(biāo)

研究目標(biāo)為構(gòu)建智慧城市中運(yùn)輸領(lǐng)域的架構(gòu)模型，并向IPT運(yùn)營商介紹優(yōu)秀的網(wǎng)絡(luò)安全優(yōu)秀實踐，但這類優(yōu)秀實踐與城市成熟度水平有關(guān)，這就使得運(yùn)營商和市政部門可迅速評估他們是否在網(wǎng)絡(luò)安全方面落后于其他城市，如果確有差距，本研究提供了一些實用的、可操作的指南，可讓這些城市選擇采取恰當(dāng)?shù)男袆印?/p>

本研究網(wǎng)絡(luò)安全的研究重點為數(shù)據(jù)交換方面，因此就特別關(guān)注參與各方的相互干系，這些參與方不僅包括IPT運(yùn)營商，還有銀行、安全部門和能源供應(yīng)商等。除此之外，還研究了潛在網(wǎng)絡(luò)安全事件產(chǎn)生的原因影響、如何控管恢復(fù)措施及優(yōu)秀實踐。

1.3.目標(biāo)受眾

主要面向四類人群：

· 公共交通運(yùn)營商：設(shè)計了一個網(wǎng)絡(luò)安全框架，協(xié)助運(yùn)營商明了其即將面臨的網(wǎng)絡(luò)安全威脅，并為他們控制事態(tài)和恢復(fù)服務(wù)提供指南；

· 市政部門：了解在智慧城市中公交運(yùn)營商和其他利益相關(guān)者之間如何進(jìn)行數(shù)據(jù)交換及互動，可參照城市成熟度的國際基準(zhǔn)評估本地網(wǎng)絡(luò)安全狀況并采取對策。

· 政策制定者：除了解各利益方在數(shù)據(jù)交換領(lǐng)域如何共同互動，還可讓他們更清晰地了解政策如何影響公交運(yùn)營商的網(wǎng)絡(luò)安全實踐。

· 網(wǎng)絡(luò)安全產(chǎn)業(yè)：本研究中開發(fā)的網(wǎng)絡(luò)安全框架，可幫助公交運(yùn)營商的供應(yīng)商、解決方案提供商以此為基礎(chǔ)充分交換意見，從而更好的協(xié)同。

2.智慧城市環(huán)境介紹

智慧城市近年來概念較多，尚未有明確定義，本研究經(jīng)過多方調(diào)研認(rèn)為其概念主要包含兩個關(guān)鍵要素：

· 智慧城市的基本流程：如廣泛使用ICT，或為滿足公眾需求而應(yīng)用大數(shù)據(jù)分析等；

· 與這些流程相關(guān)或賦能的特定領(lǐng)域：如提高移動性或彈性，或克服環(huán)境帶來的挑戰(zhàn)。

不同的人對智慧城市這一概念的認(rèn)知在兩項要素中有明顯的側(cè)重點，如廠商或生產(chǎn)制造商通常不太關(guān)心網(wǎng)絡(luò)安全狀況；而市政部門則容易陷入暢想未來，而非真切定義。當(dāng)然 “網(wǎng)聯(lián)城市”和“智慧城市”這兩個概念并無明顯界限，兩者也常被混用，在改報告中一般使用智慧城市，因為智慧城市是比網(wǎng)聯(lián)城市外延更廣泛，而且關(guān)注與數(shù)據(jù)集成及通盤決策流程的任務(wù)自動化。

智能交通一般指的是智能交通系統(tǒng)（ITSs），但和智慧城市一樣，它的概念也是定義眾多,通常與歐盟2010/40/EU指令中ITS定義相似，這類定義都源于ITS的技術(shù)本質(zhì)及在技術(shù)基礎(chǔ)之上的相關(guān)活動，在本報告中將此定義做了簡化，僅指在運(yùn)輸體系中為提高服務(wù)水平和效能而應(yīng)用ICT技術(shù)，而且限定于城區(qū)范圍的載客公共交通。

網(wǎng)絡(luò)安全的定義一般指網(wǎng)絡(luò)空間中對計算機(jī)系統(tǒng)和信息的保護(hù)、事件發(fā)生后如何管理恢復(fù)過程，但在如下三個方面使得定義略有不同：

· 保護(hù)的要素；

· 保護(hù)所采取的措施；

· 威脅的本質(zhì)；

智慧城市中的網(wǎng)絡(luò)安全是指向支撐城市運(yùn)營及讓生活其中的人們安居樂業(yè)產(chǎn)生關(guān)鍵影響的各類基礎(chǔ)設(shè)施、各種系統(tǒng)及數(shù)據(jù)的提供防護(hù)。

2.1.利益相干方

智慧城市中利益相干方主要分為如下四類，如圖1所示：

（1）本地公交運(yùn)營商：在城區(qū)內(nèi)提供乘客公共運(yùn)輸服務(wù)，如出租車、公交車、有軌/無軌電車、地鐵、輕軌等；

（2）非本地公交運(yùn)營商：主要是包含提供國際或國內(nèi)長途等公共運(yùn)輸服務(wù)商、貨運(yùn)以及為私人提供服務(wù)的運(yùn)營商三個小類；

（3）非運(yùn)輸運(yùn)營商：主要指銀行、通訊等；

（4）非營運(yùn)類：主要包括政府、產(chǎn)業(yè)聯(lián)盟、監(jiān)管部門等。

圖1：智慧城市中智能交通利益相干各方

全部四類利益干系方均面臨與日俱增的網(wǎng)絡(luò)安全威脅，其中一個突出的問題是越來越密集的互聯(lián)傳感器網(wǎng)絡(luò)，包括各式各樣的資源受限設(shè)備和它們之間連綿不斷的數(shù)據(jù)流，就給攻擊者搜尋脆弱點帶來機(jī)會。與此同時，被智慧城市運(yùn)營商大量存儲和交換的數(shù)據(jù)及對系統(tǒng)的訪問控制權(quán)對攻擊者變得更有價值，加上依賴數(shù)據(jù)和系統(tǒng)的，被敲詐的風(fēng)險就越大。如智慧城市需要使用云服務(wù)來存儲地理分布廣泛、不同來源的大量數(shù)據(jù)，一旦不能確保其云環(huán)境有足夠的安全規(guī)范，那它容易遭致敏感數(shù)據(jù)泄露風(fēng)險，當(dāng)前基礎(chǔ)設(shè)施往往使用內(nèi)部專網(wǎng)，但在上云后就使維持系統(tǒng)固若金湯變得格外艱難。還有一個問題是攻擊智慧城市會有現(xiàn)實風(fēng)險，譬如操縱交通信號燈所依賴的交通數(shù)據(jù)將會引發(fā)嚴(yán)重事故。除了公交運(yùn)營商外，其他非運(yùn)營商實際也與智能交通相關(guān)，如政府、監(jiān)管機(jī)構(gòu)等。在網(wǎng)絡(luò)安全方面最關(guān)鍵的是計算機(jī)安全事件響應(yīng)小組（CSIRTS）。最后是市民，無論是否是乘客，都是智能交通特別是智慧城市的主要利益相關(guān)方，市民也是與智能公交運(yùn)營商直接互動最多的參與者之一。

2.2.數(shù)據(jù)交換的交互作用

該報告的研究切入點是智慧城市參與方之間的數(shù)據(jù)交換的形式，認(rèn)為交互的特點是協(xié)同，但目前這些利益相干者之間數(shù)據(jù)交換及相關(guān)的協(xié)同并不多見，即便有數(shù)據(jù)交換，但也只是因為強(qiáng)制而非由于協(xié)調(diào)所需，因此數(shù)據(jù)交換需要夯實一個廣泛、規(guī)范的共同基礎(chǔ)，而非流于應(yīng)付。

在智慧城市的智能公交領(lǐng)域內(nèi)產(chǎn)生數(shù)據(jù)交互主要有兩種情況：

· 與市民相關(guān)的數(shù)據(jù)交換：市民與運(yùn)營商之間一般沒有直接交換的渠道，而是通過網(wǎng)站、App應(yīng)用、站牌等媒介進(jìn)行數(shù)據(jù)交互；

· 與其他干系方的數(shù)據(jù)交換：運(yùn)營商之間實現(xiàn)各自系統(tǒng)級的數(shù)據(jù)交換；

智慧城市環(huán)境實際的數(shù)據(jù)傳輸主要是通過有線或無線的機(jī)器對機(jī)器（Machine to Machine,M2M）技術(shù)，實現(xiàn)M2M數(shù)據(jù)交換的途徑之一是使用Webservice，在智慧城市中常用的規(guī)范或協(xié)議主要有SIRI、GTFS、CoAP等。SIRI協(xié)議是指實時信息服務(wù)接口（Service Interface for Real Time Information），該協(xié)議最早由倫敦交通局所使用，目前已成為國際標(biāo)準(zhǔn)的一部分。GTFS是指通用數(shù)據(jù)傳輸格式（General Transit Feed Specification），這是一種開源公共交通調(diào)度數(shù)據(jù)格式。而CoAP是指受限制的應(yīng)用協(xié)議 (Constrained Application Protocol)，由 IETF 所開發(fā)，主要用于類似傳感器這類僅有簡單設(shè)備的軟件接口標(biāo)準(zhǔn)。在智能交通領(lǐng)域常常用到的技術(shù)或協(xié)議還包括6LoWPAN（IPv6 over Low power Wireless Personal Area Networks）、IEEE 802.15.4、HC-06藍(lán)牙模塊及MRHOF（Minimum Rank Objective Function with Hysteresis） 等，當(dāng)然3GPP及5GPPP也在歐盟及歐洲物聯(lián)網(wǎng)產(chǎn)業(yè)協(xié)同規(guī)劃下一代通訊網(wǎng)絡(luò)和服務(wù)。

3.智慧城市中智能交通架構(gòu)

該架構(gòu)主要從利益相關(guān)者互動的角度來介紹，因此細(xì)分為兩個模型：

· 干系交互模型：主要關(guān)注利益相關(guān)者（如能源運(yùn)營商）、功能流程（如能源管理）和利益相關(guān)者之間的數(shù)據(jù)交換（如能源消耗數(shù)據(jù)的交換）；

· 交互層模型：主要關(guān)注利益相關(guān)者需要從業(yè)務(wù)（如交通協(xié)調(diào)業(yè)務(wù)）、信息/數(shù)據(jù)（如乘客信息）、應(yīng)用（如GTFS）、技術(shù)（如IEEE 802.15.4）和物理鏈路（如無線射頻）之間交互的元素。

3.1.從網(wǎng)聯(lián)城市向智慧城市演進(jìn)

圖2：智慧城市智能交通的簡化ICT架構(gòu)

由于公交部門的表現(xiàn)不一，主要取決于城市成熟度水平，因此在描述智慧城市的交通部門的架構(gòu)時，需要考慮城市成熟度。當(dāng)前為了評估智慧城市的發(fā)展水平，已有多種評級方法，這類評級有助于遴選領(lǐng)先者，同時領(lǐng)先者的優(yōu)秀實踐可成為其他城市的標(biāo)桿，智慧城市的簡化ICT架構(gòu)如圖2所示。

下面三層實際描述的是網(wǎng)聯(lián)城市（CC）中智能交通的ICT體系結(jié)構(gòu)，其中獨立運(yùn)營商（不一定就是IPT運(yùn)營商）管理他們的系統(tǒng)，彼此之間較少進(jìn)行交互?，F(xiàn)場組件是與真實世界進(jìn)行交互的傳感器和執(zhí)行器，數(shù)據(jù)傳輸網(wǎng)絡(luò)用于現(xiàn)場組件和數(shù)據(jù)處理之間傳輸數(shù)據(jù)，在數(shù)據(jù)處理則將來自現(xiàn)場組件的數(shù)據(jù)在集成后通過可視化系統(tǒng)進(jìn)行呈現(xiàn)。

智慧城市則利用增加數(shù)據(jù)聚合和全局決策的能力來拓展網(wǎng)聯(lián)城市的范疇，因此在架構(gòu)中需增加兩個額外的層：數(shù)據(jù)聚合與鏈接層和智能化處理層，前者使得公交運(yùn)營商與智能組件之間的數(shù)據(jù)交換成為可能，因為后者需聚合和關(guān)聯(lián)來自多個來源的數(shù)據(jù)，為全局通盤決策奠定基礎(chǔ)。但與市民或其他利益相關(guān)者的數(shù)據(jù)交換在智慧城市或網(wǎng)聯(lián)城市均有可能發(fā)生，但兩者的交互方式略有不同。

3.2.干系交互模型

IPT運(yùn)營商和其他利益相關(guān)者之間交換數(shù)據(jù)的能力和范圍取決于城市的稟賦和成熟度，但智慧城市中智能交通相較于網(wǎng)聯(lián)城市更復(fù)雜，智慧城市中的IPT運(yùn)營商可單獨或聯(lián)合交互數(shù)據(jù)，除在網(wǎng)聯(lián)城市已涉及到的能源、基礎(chǔ)設(shè)施、安全、交通和網(wǎng)絡(luò)安全等方面采取協(xié)調(diào)行動外，智慧城市還要處理應(yīng)急信息。智慧城市中IPT運(yùn)營商與利益相干者的數(shù)據(jù)交互關(guān)系如圖3所示。

圖3：智慧城市IPT運(yùn)營商與其他利益相干方的數(shù)據(jù)交互關(guān)系

調(diào)研表明IPT運(yùn)營商非常不愿意公開網(wǎng)絡(luò)安全方面的問題，但愿意與CSIRTS和警察部門合作和交換信息，同時他們也期待實現(xiàn)主動、雙向的信息共享。表1說明了智慧城市中IPT運(yùn)營商與其他利益相關(guān)者的安全要求和交互關(guān)系。

3.3.交互層模型

交互層模型主要從IPT運(yùn)營商的視角來描述數(shù)據(jù)交換，即前一節(jié)中描述的互動關(guān)系。智慧城市中的數(shù)據(jù)交換主要從業(yè)務(wù)和信息/數(shù)據(jù)的角度來確定，同時兼顧應(yīng)用和技術(shù)等方面因素，如圖4展示了交互層模型。

圖4：IPT運(yùn)營商視角的交互層模型

表1：智慧城市中IPT運(yùn)營商與其他利益相關(guān)者的交互關(guān)系

業(yè)務(wù)層：該層主要使用信息和數(shù)據(jù)的過程和活動，這些過程和活動依賴于參與各方的數(shù)據(jù)交換。與IPT有關(guān)的過程及活動包括購票支付、乘客信息、交通協(xié)調(diào)以及能源協(xié)調(diào)、基礎(chǔ)設(shè)施協(xié)調(diào)、提高緊急警報、安全協(xié)調(diào)和網(wǎng)絡(luò)安全安全協(xié)調(diào)。由于流程與活動必須受保護(hù)且需具備相當(dāng)?shù)目煽啃?，因此業(yè)務(wù)層與網(wǎng)絡(luò)安全息息相關(guān)。

信息/數(shù)據(jù)層：該層處理存儲、處理和傳輸?shù)男畔⒒驍?shù)據(jù)。在IPT的運(yùn)行環(huán)境中，除需要處理如支付數(shù)據(jù)、行程數(shù)據(jù)和乘客信息外，還應(yīng)包括定位信息、交通和基礎(chǔ)設(shè)施狀況數(shù)據(jù)、能源消耗數(shù)據(jù)、應(yīng)急和監(jiān)測數(shù)據(jù)以及與網(wǎng)絡(luò)安全相關(guān)的威脅和事件數(shù)據(jù)。信息/數(shù)據(jù)層與網(wǎng)絡(luò)安全高度相關(guān)，應(yīng)注意對實際的網(wǎng)絡(luò)安全需求和恰當(dāng)?shù)目刂七M(jìn)行評估。

應(yīng)用層：指在技術(shù)層基礎(chǔ)上運(yùn)行的應(yīng)用程序及其存儲、處理和傳輸?shù)男畔⒒驍?shù)據(jù)。本模型不關(guān)注于特定應(yīng)用，而是更重視與應(yīng)用相關(guān)所采用的協(xié)議和標(biāo)準(zhǔn)，如SIRI、GTFS和CoAP等。

技術(shù)層：承載應(yīng)用程序運(yùn)行所需的技術(shù)，同樣不關(guān)注技術(shù)的細(xì)節(jié)。目前數(shù)據(jù)交換大多基于如Web服務(wù)等的互聯(lián)網(wǎng)技術(shù)。在實際生產(chǎn)運(yùn)營中，如6LoWPAN、IEEE 802.15.4和HC-06藍(lán)牙等技術(shù)在IPT環(huán)境應(yīng)用較為普遍，但主要存在于現(xiàn)場組件之間、及現(xiàn)場組件與各個運(yùn)營商的數(shù)據(jù)中心之間的數(shù)據(jù)交換。分出應(yīng)用層和技術(shù)層對詳細(xì)評估網(wǎng)絡(luò)安全需求和未來控制很有必要。

物理鏈路層：網(wǎng)絡(luò)節(jié)點實際連接所采用的傳輸介質(zhì)，此類介質(zhì)可以是如雙絞線、光纖等有線媒介或其他無線方式。物理鏈路層同樣也與網(wǎng)絡(luò)安全相關(guān)，但在目前與之相關(guān)的安全定義細(xì)節(jié)較少。

4.智慧城市中的安全威脅及優(yōu)秀實踐

4.1.威脅模型

該報告采用安全評估矩陣作為威脅模型，見表2智慧城市威脅評估矩陣。威脅分類主要參照ETSI所定義的ITS威脅，再根據(jù)智慧城市中ICT體系架構(gòu)調(diào)整，最終定義了五類威脅：①可用性威脅；②完整性威脅；③真實性威脅；④機(jī)密性威脅 ；⑤ 不可否認(rèn)性威脅/責(zé)任威脅 。

常見的可用性和持續(xù)的威脅如拒絕服務(wù)（DoS）攻擊。完整性威脅主要包括使用偽裝或惡意軟件未經(jīng)授權(quán)而訪問受限信息以及信息的丟失、被操縱或被破壞。由于ITS中各節(jié)點都有發(fā)送、接收和轉(zhuǎn)發(fā)消息的能力，保證數(shù)據(jù)的真實性是長期挑戰(zhàn)。威脅信息的機(jī)密性常見的手段有通過竊聽或?qū)ο⒘髁康姆治龇欠ㄊ占瘮?shù)據(jù)。信息的不可否認(rèn)/責(zé)任極為重要，應(yīng)確保沒人可以否認(rèn)發(fā)送或接收特定消息或?qū)μ囟ǖ姆?wù)/數(shù)據(jù)進(jìn)行了修改。

在前一節(jié)智慧城市的ICT體系架構(gòu)描述了五層模型：①現(xiàn)場組件；②數(shù)據(jù)傳輸網(wǎng)絡(luò)；③ 數(shù)據(jù)處理；④ 數(shù)據(jù)匯聚與鏈接；⑤智能化處理。

合成這兩種指標(biāo)形成矩陣，就易于將其評估結(jié)果將威脅類別在各層中進(jìn)行定義和描述。

表2：智慧城市威脅評估矩陣（示例）

4.2.特定威脅

特定威脅分為兩類：故意攻擊和意外事件。在智慧城市中威脅來源多樣，既有針對信息/數(shù)據(jù)層、應(yīng)用層和技術(shù)層的威脅，也有來自組織結(jié)構(gòu)和IPT相關(guān)的基礎(chǔ)設(shè)施等威脅，如圖5智慧城市威脅圖景所示。

圖5：智慧城市威脅圖景

4.3.優(yōu)秀實踐

面臨故意攻擊和事故威脅的威脅就有必要進(jìn)行風(fēng)險評估，以作出合理的決定并采取正確的措施。優(yōu)秀實踐可為IPT運(yùn)營商和市政部門提供評估措施進(jìn)行控制或從事件中恢復(fù)提供指導(dǎo)，并為后續(xù)管理這類事件落實新舉措。

當(dāng)前IPT運(yùn)營商很少制度化網(wǎng)絡(luò)安全政策或配置關(guān)鍵資產(chǎn)，調(diào)查發(fā)現(xiàn)IPT運(yùn)營商對于網(wǎng)絡(luò)安全的知識儲備不足、相關(guān)支出偏低。雖然部分IPT運(yùn)營商也已實施一些網(wǎng)絡(luò)安全措施和應(yīng)對方案，但這些仍處于摸索當(dāng)中，再加上攻擊的應(yīng)對手段往往是多樣化的，因此最合用的措施還是改變政策和程序或應(yīng)用新技術(shù)。通常除員工培訓(xùn)、物理訪問控制和防護(hù)及安全性設(shè)計外，慣常使用的還是對數(shù)據(jù)和網(wǎng)絡(luò)進(jìn)行訪問控制、組織架構(gòu)和操作程序的實施指南、災(zāi)難恢復(fù)和維護(hù)備份及實時監(jiān)控硬件/軟件故障。難免設(shè)備使用年限過長且擁有大量的老舊系統(tǒng)，整體安全性難以保證。

左右網(wǎng)絡(luò)安全與否的要素在于網(wǎng)絡(luò)安全意識、數(shù)據(jù)隱私和機(jī)密性需求、保持服務(wù)/數(shù)據(jù)完整性能力以及安全標(biāo)準(zhǔn)和法規(guī)?？偨Y(jié)出了部分優(yōu)秀實踐供參考，需要留意的是防護(hù)和響應(yīng)措施也是多元化，即便優(yōu)秀實踐也并非完全拿來就用，或者施用就完全符合標(biāo)準(zhǔn)或規(guī)范。

適用于故意攻擊威脅的優(yōu)秀實踐有：盡量使用VPN、數(shù)據(jù)加密、部署網(wǎng)絡(luò)入侵檢測系統(tǒng)、實施物理防護(hù)、嚴(yán)格訪問控制、實施警報與監(jiān)測、配置應(yīng)用信息安全策略、記錄活動日志、定期備份與維護(hù)、定期審計、停機(jī)檢測（檢查系統(tǒng)依存度）等；

適用于意外事件威脅的優(yōu)秀實踐有：監(jiān)控關(guān)鍵績效指標(biāo)（KPI）、硬件冗余、規(guī)范設(shè)計、完善維保流程、建立應(yīng)急響應(yīng)和支持小組、質(zhì)量控制、報告流程、事件管理、排錯流程、操作和用戶培訓(xùn)、培育安全意識、制定準(zhǔn)操作過程、響應(yīng)流程、錯誤日志、軟硬件故障檢測、持續(xù)安全監(jiān)測、定義支持條件、定期升級基礎(chǔ)設(shè)施、增強(qiáng)系統(tǒng)彈性、設(shè)備遠(yuǎn)程關(guān)閉能力、早期預(yù)警系統(tǒng)、災(zāi)難恢復(fù)流程、基礎(chǔ)設(shè)施的威脅評估等。

5.重要發(fā)現(xiàn)與建議

5.1.七項重要發(fā)現(xiàn)

（1）智慧城市中協(xié)同周界定義不清晰

智慧城市的首當(dāng)其沖的是實現(xiàn)組件相互關(guān)聯(lián)，要點在于連通性和數(shù)字網(wǎng)絡(luò)，核心是網(wǎng)絡(luò)安全，還要有明確的愿景和遠(yuǎn)期目標(biāo)。智慧城市因此需要跨部門、多個城市甚至跨國的協(xié)作，但當(dāng)前各方缺乏協(xié)同意識，何況一城之內(nèi)合作領(lǐng)域已非常寬泛、但尚未形成協(xié)同，再加上相應(yīng)的法規(guī)也不健全。

（2）缺乏智慧城市數(shù)據(jù)交換的參考架構(gòu)模型

智慧城市利益干系人眾多，數(shù)據(jù)交換來源廣，集成難度大，數(shù)據(jù)集成后易于導(dǎo)致在事件發(fā)生時產(chǎn)生雪崩效應(yīng)，因此需要一個合適的參考架構(gòu)模型，但目前尚為空白。

（3）智慧城市的網(wǎng)絡(luò)安全意識很重要但被忽視

在調(diào)研中發(fā)現(xiàn)在理解網(wǎng)絡(luò)安全政策和配置關(guān)鍵資產(chǎn)方面表現(xiàn)較差，大多數(shù)受訪者對網(wǎng)絡(luò)安全政策了解甚少，也從不制度化相關(guān)政策或編制關(guān)鍵資產(chǎn)配置表。調(diào)研發(fā)現(xiàn)這個行業(yè)注重的是車輛運(yùn)行安全性及相應(yīng)的安全系統(tǒng)和訓(xùn)練有素的員工，其次是車輛和物理基礎(chǔ)設(shè)施，網(wǎng)絡(luò)安全不是主要目標(biāo)就不甚關(guān)心。

（4）缺乏威脅和事件的橫向信息共享渠道

現(xiàn)實中安全威脅來源廣泛，應(yīng)急事件響應(yīng)時缺乏信息共享渠道因此難以多方協(xié)同。

（5）IPT領(lǐng)域的網(wǎng)絡(luò)安全知識貧乏、投入極低

運(yùn)營商們即不希望泄露受網(wǎng)絡(luò)攻擊的事實，又不知道如何應(yīng)對此類事件的協(xié)同處置和信息共享，大部分受訪者經(jīng)說明后才知曉有CSIRT或LEA等部門可主動雙向共享威脅情報。

（6）施用網(wǎng)絡(luò)安全措施進(jìn)度遲緩

智慧城市中IPT運(yùn)營商雖已經(jīng)采取部分措施來保障網(wǎng)絡(luò)安全，但進(jìn)展緩慢，同時大多數(shù)受訪的組織也沒有評估其措施是否有效的手段。

（7）提高安全意識可增強(qiáng)網(wǎng)絡(luò)安全性

IPT中對網(wǎng)絡(luò)安全的認(rèn)知障礙主要在于缺乏對IPT方面的網(wǎng)絡(luò)安全威脅的充分理解及缺乏應(yīng)對網(wǎng)絡(luò)安全的明確策略。在調(diào)查中不同類別的受訪者確認(rèn)存在如下差距：組織差距（如安全、培訓(xùn)、內(nèi)部威脅的治理）、政策和標(biāo)準(zhǔn)化差距（如歐盟標(biāo)準(zhǔn)和可識別的歐盟網(wǎng)絡(luò)安全戰(zhàn)略）。但受訪者也認(rèn)為不能把安全與網(wǎng)絡(luò)安全混淆，因為這兩者并不相同，需要不同的方法來處理。另一個值得注意的是關(guān)于網(wǎng)絡(luò)安全是否重要的問題，這個問題的答案大相徑庭，IPT及智慧城市運(yùn)營商持積極態(tài)度，但安全專家和決策者卻相反，他們反而認(rèn)為不甚重要。但總體而言秉持網(wǎng)絡(luò)安全重要的觀點在組織內(nèi)逐漸占主導(dǎo)地位，但路還很長。

5.2.八點建議

（1）市政部門應(yīng)支持開發(fā)協(xié)調(diào)一致的網(wǎng)絡(luò)安全框架

建議目標(biāo)：解決第（1）、（ 2）和（4）關(guān)鍵發(fā)現(xiàn)中所包含的問題。

建議多方參與開發(fā)協(xié)同一致的網(wǎng)絡(luò)安全框架，讓框架成為智慧城市參與各方共同實施的基本準(zhǔn)則，而且低成熟度的智慧城市也可參照此類框架進(jìn)行調(diào)整。

該框架可基于現(xiàn)有的安全標(biāo)準(zhǔn)和風(fēng)險管控措施，但也要考慮諸如社會因素、ICT體系架構(gòu)等在內(nèi)的特殊性，因此理解行業(yè)及運(yùn)營商們采取的方法也很關(guān)鍵，畢竟他們知曉其安全需求和相關(guān)標(biāo)準(zhǔn)。

（2）歐盟委員會及成員國應(yīng)促成產(chǎn)業(yè)、成員國和市政部門之間的網(wǎng)絡(luò)安全知識交流和合作

建議目標(biāo)：解決第（1）、（ 3）、（4）和（7）關(guān)鍵發(fā)現(xiàn)中所包含的問題。

其他部門已經(jīng)開始調(diào)研各自的網(wǎng)絡(luò)安全，建議IPT運(yùn)營商加入此類平臺進(jìn)行跨部門協(xié)作，加深對于威脅和風(fēng)險的理解，共享并借鑒優(yōu)秀實踐。市政部門也應(yīng)當(dāng)參與，可獲取安全知識及落實優(yōu)秀實踐。

（3）IPT運(yùn)營商應(yīng)清晰定義其安全需求

建議目標(biāo)：解決第（6）和（7）關(guān)鍵發(fā)現(xiàn)中所包含的問題。

IPT運(yùn)營商需明確定義規(guī)范的安全需求，應(yīng)遵循“設(shè)計即安全和隱私”的理念，在新系統(tǒng)的早期概念階段就應(yīng)重視其安全性，在集成新系統(tǒng)或服務(wù)時，還應(yīng)考慮對現(xiàn)有現(xiàn)有系統(tǒng)的影響。

由于IPT運(yùn)營商通常由第三方提供相關(guān)產(chǎn)品和服務(wù)，因此需要明確安全性要求，運(yùn)營商可定義技術(shù)規(guī)范（如安全協(xié)議）、安全集成要求（如接口、訪問控制等）、維護(hù)與支持（如補(bǔ)丁等）、安全功能的測試周期、員工培訓(xùn)等，通過規(guī)范的安全需求可引導(dǎo)第三方供應(yīng)商提供安全產(chǎn)品。

（4）產(chǎn)品制造商和解決方案供應(yīng)商應(yīng)在產(chǎn)品中集成安全性

建議目標(biāo)：解決第（5）和（6）關(guān)鍵發(fā)現(xiàn)中所包含的問題。

建議產(chǎn)品制造商和解決方案供應(yīng)商應(yīng)遵循“設(shè)計即安全”的原則，早做準(zhǔn)備，積極提升產(chǎn)品的安全性和彈性，適應(yīng)IPT運(yùn)營商所提出的安全需求。 制造商或解決方案供應(yīng)商可從其他領(lǐng)域借鑒優(yōu)秀安全實踐，避免重新開發(fā)安全功能，還建議廠商通過測試或認(rèn)證等方法驗證其產(chǎn)品的安全性，另外這些供應(yīng)商也可提供安全支持或培訓(xùn)等增值服務(wù)。

（5）IPT運(yùn)營商和政府應(yīng)明確中高層管理人員在網(wǎng)絡(luò)安全事務(wù)中的職責(zé)

建議目標(biāo)：解決第（3）、（ 5）、（6）和（7）關(guān)鍵發(fā)現(xiàn)中所包含的問題。

建議IPT運(yùn)營商和政府明確中高級管理人員在網(wǎng)絡(luò)安全事務(wù)方面的職責(zé)，職責(zé)應(yīng)涵蓋每位管理人員的角色、職責(zé)和義務(wù)、匯報鏈以及可采取的行動（如跨部門協(xié)同等）。明確職責(zé)有助于提高應(yīng)對網(wǎng)絡(luò)威脅及其后果的準(zhǔn)備程度，也可激發(fā)組織提升網(wǎng)絡(luò)安全水平。

（6）歐盟委員會和成員國應(yīng)明確參與各方職責(zé)

建議目標(biāo)：解決第（ 2）和（6）關(guān)鍵發(fā)現(xiàn)所包含的問題，對發(fā)現(xiàn)（3）也有正面影響。

隨著信息-物理類產(chǎn)品的應(yīng)用更廣泛，網(wǎng)絡(luò)威脅會對市民的安全產(chǎn)生實則影響。因此歐盟委員會和成員國應(yīng)明確參與方各的職責(zé)。

（7）IPT運(yùn)營商和政府應(yīng)在網(wǎng)絡(luò)安全事務(wù)方面增加投入

建議目標(biāo)：解決第（ 5）和（6）關(guān)鍵發(fā)現(xiàn)中所包含的問題，對發(fā)現(xiàn)（4）、（7）也有正面影響。

網(wǎng)絡(luò)安全是有成本的，建議IPT運(yùn)營商和政府增加投入，尤其需要先管理人員和各級員工提供培訓(xùn)、提高網(wǎng)絡(luò)安全認(rèn)知、提升專業(yè)能力等。

（8）智慧城市和標(biāo)準(zhǔn)化組織應(yīng)將網(wǎng)絡(luò)安全需求整合進(jìn)智慧城市成熟度模型

建議目標(biāo)：解決關(guān)鍵發(fā)現(xiàn)（ 2）所包含的問題，對發(fā)現(xiàn)（1）和（6）也有正面影響。

當(dāng)前已有數(shù)個評估體系可用來評價智慧城市發(fā)展成熟度，“彈性”指標(biāo)可能已經(jīng)包含，但用于說明網(wǎng)絡(luò)安全并不全面。而智慧城市的鏈接度持續(xù)增長、數(shù)據(jù)交換范圍逐漸擴(kuò)大，建議現(xiàn)行的標(biāo)準(zhǔn)和評估體系將網(wǎng)絡(luò)安全納入成熟度的關(guān)鍵指標(biāo)。

6.小結(jié)

當(dāng)前中國已有數(shù)百個城市或城區(qū)正在建設(shè)智慧城市或智慧城區(qū)，在城市內(nèi)管理、經(jīng)濟(jì)、社會領(lǐng)域內(nèi)實施信息化和智能化技術(shù)，對于提升城市綜合治理能力和服務(wù)水平收效顯著，但在建設(shè)過程中，由于各自建設(shè)模式或遵循的理念不盡不同，對于網(wǎng)絡(luò)安全的規(guī)劃和設(shè)計也參差不齊，因此ENISA的這份報告提出智慧城市中網(wǎng)絡(luò)安全體系架構(gòu)模型，可作為網(wǎng)絡(luò)安全的頂層設(shè)計方案為我國智慧城市的規(guī)劃與實施提供參考，最終建設(shè)更智能、更安全、更宜居的城市。