1  引言

　　隨著“網絡強國”戰略、“大數據”戰略、“互聯網+”行動計劃的實施和“數字中國”建設的不斷發展，我國智慧城市建設步伐不斷加快。截至2019年年底，我國開展智慧城市建設試點的城市近800 個[1]，成為全球智慧城市知名國家。智慧城市建設[2]可實現數據融通、協同、滲透，更好地服務城市和人民。然而，隨著智慧城市建設中大量數據在系統中集中存儲，大數據安全風險不斷集中、突出，如身份認證、電子證照等基礎通用能力模塊被各類應用廣泛使用。一旦這些應用被成功攻擊，將導致巨大的損失，甚至威脅到城市安全、社會安全和政府安全。

　　2  智慧城市建設與大數據安全

　　2.1  智慧城市建設

　　智慧城市建設[2]主要是通過大數據、云計算、物聯網、人工智能等新一代信息技術，推動政務、產業和民生幾大領域的信息化建設，進而實現全程全時的為民服務、高效有序的城市治理、共融共享的數據開放、綠色開源的經濟發展，以及安全清朗的網絡空間，最終實現國家與城市協調發展的新生態。智慧城市建設的總體架構主要由感知層、網絡層、 數據層、平臺層、應用層等構成。其中，數據在智慧城市建設中的流通路線為：感知層獲取數據，網絡層進行數據傳輸交互，服務層為海量數據存儲、實時分析和處理提供服務，平臺層實現數據之間的聚合、融通，應用層面向最終用戶提供基于數據融通的智慧化服務。具體的智慧城市解決方案架構圖以及建設中的數據流轉圖分別見圖1和圖2。

　　圖1  智慧城市解決方案總體架構

　　圖2  智慧城市建設中的數據流轉

　　2.2  大數據安全

　　隨著大數據、云計算、物聯網、人工智能等技術的快速發展，全球數據量出現爆炸式增長；IDC研究的“大數據摩爾定律”表明，人類社會產生的數據一直在以每年50%的速度增長，也就是說，每兩年就增加一倍。在大數據不斷向各個行業滲透，深刻影響國家的政 治、經濟、民生和國防的同時，其安全問題也將對個人隱私、社會穩定和國家安全帶來巨大的潛在威脅與挑戰。大數據安全[3]是要確保經過網絡傳輸和交換的數據不會發生增加、修改、丟失和泄露等。傳統而言，企業或單體場景下的大數據安全自下而上可依次分為大 數據平臺安全、數據安全和個人隱私保護等3個層次。大數據平臺不僅要保障自身基礎組件的安全，還要為運行其上的數據和應用提供安全機制保障；除平臺安全保障外，數據安全防護技術為業務應用中的數據流動過程提供安全防護手段；隱私安全保護是在數據安全基礎之上對個人敏感信息的安全防護。

　　3  大數據安全問題產生的原因

　　3.1  智慧城市建設中的大數據安全問題

　　智慧城市建設中涉及到的數據具備種類多、覆蓋范圍廣、數據量大、價值密度低、總價值量巨大等特點。既包擴底層傳感器數據、視頻采集數據等在內的物聯感知數據，也包括公民、企業等單位產生的移動通信數據，還包括各類城市運營管理部門產生的政務、公共服務運行、市場主體行為等數據。智慧城市建設正在朝感知泛在化、連接全面化、能力通用化和應用智能化方向快速發展，正在越來越深入地影響城市中各類主體的生產和生活，也為大數據安全提出了大量新的挑戰。

　　（1）感知泛在化，即大量具備聯網功能的傳感器承擔了智慧城市運行當中的大量信息感知功能，對人工填報、人工采集的信息構成了替代。大量物聯感知和控制設備的廣泛部署意味著大數據安全的分析視角必須從平臺層向網絡和前端感知層延伸，物聯感知設備遭到大規模劫持和控制已呈頻繁發生且不斷加劇的態勢。這種控制不僅可以用來制造垃圾流量、發起DDoS攻擊，也可以通過人為偽造傳感器數據從而成體系地干擾整個智慧化的運行機制，例如黑客如果大規模劫持了某區域的消防傳感器控制或者接入平臺，則可以在發生重大事故時故意發送大量虛假警報，從而嚴重干擾救災救援業務。

　　（2）連接全面化，即各類垂直應用系統之間、各類設備與設備之間通過各類網絡產生了大量連接。這意味著跨系統、平臺、網絡環境的大數據應用是新型智慧城市運行中的常態，并在平臺層為大數據安全提出了大量新的挑戰。一是，所有的跨系統、平臺、網絡環境邊界天然成為潛在的安全風險來源。例如，在跨網絡數據交換的場景下，攻擊者可以通過網絡嗅探的方式獲取交換邊界的身份認證密鑰，從而偽裝成正常的數據交換方，從低密網絡發起對高密網絡的數據交換請求，從而導致數據泄露；二是，各類數據交換、流轉往往脫離原始數據提供方的控制，攻擊者存在通過不同來源數據進行碰撞獲取被保護信息的可能。例如，在醫療場景下，數據交換需要對于患者的身份信息進行脫敏加密，但有時交換數據中會包括移動平臺的賬戶加密字符串，這個字符串可以利用數據黑市上的數據集 進行碰撞，從而獲知患者的具體身份信息，從而獲取患者的就診、治療等高度敏感的隱私數據。

　　（3）能力通用化，即諸多共性能力被通用平臺逐步取代，各種信息系統煙囪被逐步打破。某種程度上說，這種通用化趨勢對于大數據安全具有雙刃劍的作用，一方面高度集中的云平臺、中間件和大數據平臺可以提供較強的數據安全防護能力；另一方面，數據湖、數倉、數據中臺等數據資源層建設也將各種來源的數據集中起來，為數據分級、分類、精確的權限生命周期管理和安全審計提出了更高的要求。從目前的實踐來看，大量數據資源中心難以做到權限的范圍和生命周期與訪問行為的范圍和生命周期精確匹配，研發分析人員多人共用賬戶、超出業務需求訪問數據，甚至下載泄露的事件時有發生。

　　（4）應用智能化，即人工智能算法正在進入大量應用場景，并且逐步從決策支持向（部分）自主化運行滲透，各類智能算法在城市感知認知過程當中逐步占據更為重要的基礎性地位，其算法的安全性就成為了新的大數據安全分析視角下必須關注的問題。其中，既包括算法本身的安全問題，如基于對抗生成網絡技術的算法攻擊手段可以利用在車牌上添加人類肉眼不易辨別的花紋從而欺騙視頻監控場景下的車牌識別OCR算法；也包括針對基于算法的公共服務進行攻擊，如隱私差分算法可通過部分公共服務接口提取個人隱私；還包括基于人工智能算法的跨領域綜合性威脅，例如內容推薦算法定向推送敏感內容從而危害社會安全穩定。

　　3.2  大數據安全問題的原因分析

　　由上可知，隨著智慧城市的建設越加深化，其對應的大數據安全挑戰也愈加嚴峻，主要原因歸結為以下幾方面。

　　（1）安全理念嚴重滯后。實踐中，以合規為導向的安全理念仍然占據主流，缺少從底線思維出發的整體安全理念；大家對于新攻擊形態、新威脅類型認知不足；數據安全部門和業務部門之間的關系以監管和被監管為主，協同意愿和機制較為欠缺。

　　（2）智慧城市建設相關的標準和數據安全機制不健全[4]。目前，缺少針對智慧城市建設運行中產生的大量異構數據的精細化的分級、分類管理標準，缺少對于數據流轉溯源、行為審計追蹤的技術和管理標準，缺少對于大數據安全和算法相關的安全問題的安全風險評估標準和方法論。

　　（3）大數據安全運營人才持續匱乏。相對基于技術層面對抗滲透的人才，能夠持續監督優化智慧城市整體安全運營，特別是數據資源安全運營的人才非常稀缺。大數據來源多樣化、數據范圍廣泛，數據在流轉、應用過程中產生聚合產生新的數據資源體系，往往會與原始數據保護邊界發生變化，如何在整個數據資源的流轉體系中進行大數據資源的合理安全防護，對于安全運營人員提出了非常高的挑戰和要求。一方面，要求安全運營人員對于數據的業務屬性具有深刻理解，能夠識別其中蘊含的安全風險和信息價值；另一方面要求安全人員根據數據的需求場景，選取風險暴露和技術投入、管理難度多要素平衡的技術方案，在安全可控的前提下盡可能發掘、實現數據價值。

　　（4）系統復雜度高速膨脹，對于管理體系造成沖擊。智慧城市是一個典型的大規模異構系統，其建設在時空和管理兩個維度均存在高度離散化的特征。各個建設主體往往在設備選型、通信協議、數據治理、接口規范、業務標準、安全措施等方面存在大量差異，難以進行整體化治理，導致大量數據、服務、設備、系統采取私下對接或臨時性接入的模式流轉，難以納入統一安全體系，造成管理盲區和治理黑洞。

　　4  提升智慧城市大數據安全能力

　　智慧城市建設步伐加快，各地紛紛重視智慧城市建設是好現象，但是一味地追求速度、規模，而不重視數據安全，將為后期的智慧城市運營帶來一定的安全隱患，因此有必要從各個層級、各個方面重視數據安全。通過研究，本文建議重點從管理和技術兩大方面來提升智慧城市大數據安全能力。

　　4.1  強化智慧城市大數據安全管理能力

　　（1）建立基于整體視角的韌性安全理念。對于以智慧城市為代表的超復雜系統，難以完全消除發生數據安全事件的概率。所以，從理念角度上說，除了要從合規角度出發做好防護以外，還要樹立風險必然發生的底線思維和韌性意識。在安全風險的評估、管理和運營中，既要注重預留安全余量，又要注重從業務運行循環的整體視角評估數據資源和智能應用的完整性、可用性、保密性。

　　（2）完善智慧城市大數據安全標準。建立大數據資源的安全運營標準，針對數據資源固有的敏感性、保密性以及數據資源在不同場景下使用的安全風險建立量化的風險-收益評估標準，實現公共利益和數據相關權利人安全風險的平衡。在數據采集階段，建立數據收集權限、范圍的集中授權監管機制，明確哪些部門、哪些人員可以收集哪些數據；在數據匯聚階段設立數據資源分級分類管理標準，對于存在安全風險的敏感數據采取加密、脫敏存儲的形式，盡量避免原始數據在流轉過程中多次落地存儲；在數據挖掘和應用階段，建立業務需求和場景化安全風險評估標準，明確何人在何種情況下可以調用哪些數據，建立數據權限生命周期管理標準，做到單次授權、單個對象，范圍和屬性的精細化權限管理，建立集中化的數據資源調用標準，對于數據的流轉和調用進行全程留痕和審計。

　　（3）完善智慧城市大數據安全制度保障。在組織機制上，建立網信辦、大數據局、公安等多個部門參與的大數據安全管理聯席機制。其中，數據資源管理部門承擔雙重角色：一方面，作為專門負責統籌新型智慧城市建設的綜合性部門，對智慧城市大數據安全的議題承擔最終需求方的角色，即承擔各個零散需求部門和社會各方的大數據安全需求收集、評估、整理的需求側運營工作，并根據公共利益確定大數據安全的整體需求；另一方面，承擔數據融合共享為切入口的智慧城市大數據資源建設工作，作為技術標準制定、技術選型、運營機制等方面第一手的管理方和監管方，是事實上的供給側運營部門。此外，為了更好地保障大數據安全運營工作的成效，應積極探索“管運分離”的長效化運營機制。

　　（4）注重產業化合作，激活多主體合作活力。在智慧城市建設運營框架下，探索安全運營的政企合作機制，吸引社會力量投入共建共管共享，引導市場主體形成新型智慧城市整體安全運營商；強化公民權利意識和公共數據安全意識、提升社會認同感和支持力度、完善數據安全確權體系和知情同意溯源體系、推廣社會公眾體驗感知等。

　　（5）強化相關保障支撐，加強人才隊伍配套建設。建立基于綜合大數據安全的專業化人才培養體系，進 一步推動安全認證培訓從合規導向向整體安全運營導向演進；建立從全方位安全對抗視角出發的大數據安全人才培養機制，充分利用軍民融合、政企合作等方式建立綜合性人才梯隊。

　　4.2  關注新興技術，升級大數據安全保障工具箱

　　（1）在網絡層，加快推進IPv6等新型協議的部署應用，逐步淘汰安全性不足的老舊協議和組網模式，構建不可抵賴的網絡追蹤溯源機制。

　　（2）在設備層，強調邊緣設備的本質安全，采取區塊鏈等手段構建設備標識體系，構建設備對設備、設備對系統的可信連接模式，推動計算、網絡、存儲等底層IaaS設備完成全面的自主可控替代。

　　（3）在數據的傳輸和存儲層[5]，注重隱私和敏感數據的全面脫敏加密；合理構建云、邊協同的數據存儲和應用模式；引入聯邦學習等新興技術模式，減少敏感數據在網絡中的低效搬運；全面推廣數據不落地，可用不可見的服務化封裝模式；利用區塊鏈智能合約等新興技術手段，推動公共數據資源上鏈，構建數據資源溯源標記，實現數據的全流程可審計。

　　（4）在平臺層，進一步推動國產化操作系統在專業應用領域的覆蓋。通過智能合約等手段強化系統間的協同；構建支持多種數據共享交換模式的接口封裝審計技術，將全量大數據的共享交換流轉納入審計范圍，做到全流程安全可控；強調零信任和本質安全理念，充分推進虛擬化技術，將存在較大數據安全風險的研發活動置于可信的沙箱環境下進行；構筑基于大數據分析的安全態勢感知體系，建立對于大數據安全風險的主動感知和管控機制。

　　（5）在應用層，注重關注智能算法的算法安全機制。重要的基礎識別算法采取加密分發、定期迭代的部署模式，在關鍵數據采集領域逐步替代采用固定版本識別算法的硬件設備；對于交通調度、物流調度、能源調度等涉及城市重要公共運行業務的核心算法進行全流程加密和定期更新，避免因核心算法泄露導致的綜合性攻擊風險。

　　5  結束語

　　基于大數據的智慧城市建設，關系著每個人的生活，為人們的生活提供方便，但其中的大數據安全問題需要引起全員重視。智慧城市建設，首先需要所有參與建設、實施、運行等各階段的人員對大數據安全問題達成統一共識，共同關注大數據安全問題；其次需要完備的加強大數據安全的規章制度，并在智慧城市建設中的每個層級規避大數據安全問題；最后需要持續加大培養大數據安全人員的力度，提高大數據安全技術的普及度。從而從全方位、多角度、多層級來保障智慧城市建設持續、健康發展。