智慧城市數(shù)據(jù)安全白皮書2023

111一、概述（一）智慧城市發(fā)展現(xiàn)狀智慧城市是全球城市發(fā)展的新理念和新模式。根據(jù)國(guó)家標(biāo)準(zhǔn)GB/T37043-2018《智慧城市術(shù)語(yǔ)》的定義，智慧城市是運(yùn)用信息通信技術(shù)，有效整合各類城市管理系統(tǒng)，實(shí)現(xiàn)城市各系統(tǒng)間信息資源共享和業(yè)務(wù)協(xié)同，推動(dòng)城市管理和服務(wù)智慧化，提升城市運(yùn)行管理和公共服務(wù)水平，提高城市居民深化。黨的十八大以來(lái)，以習(xí)近平同志為核心的黨中央提出“以人民為中心的發(fā)展思想”，為推進(jìn)新型智慧城市指明了發(fā)展方向。十八屆三中全會(huì)提出綠色、開(kāi)放、共享”發(fā)展理念，為城市發(fā)展賦予新的內(nèi)涵和要求，全面推動(dòng)了傳統(tǒng)意義上的智慧城市向具有中國(guó)特色的新型智慧城市發(fā)展。黨的二十大報(bào)告中再次強(qiáng)調(diào)“加強(qiáng)城市基礎(chǔ)設(shè)施建設(shè)，打造宜居、韌性、智慧城市”。當(dāng)前，新型智慧城市已成為貫徹落實(shí)新發(fā)展理念、培育數(shù)字經(jīng)濟(jì)市場(chǎng)、建設(shè)數(shù)字中國(guó)和智慧社會(huì)的綜合載體。同時(shí)，新型智慧城市也是技術(shù)和產(chǎn)業(yè)發(fā)展創(chuàng)新的綜合試驗(yàn)場(chǎng)，發(fā)揮著重要的引擎作用。新型智慧城市建設(shè)已成為推動(dòng)根據(jù)國(guó)內(nèi)數(shù)字經(jīng)濟(jì)和智慧城市的建設(shè)現(xiàn)狀，國(guó)務(wù)院依據(jù)《“十四五”規(guī)劃綱要》的精神，對(duì)“十四五”期間的數(shù)字經(jīng)濟(jì)和智慧城市發(fā)展進(jìn)行了專項(xiàng)2升級(jí)數(shù)字基礎(chǔ)設(shè)施、充分發(fā)揮數(shù)據(jù)要素作用、推進(jìn)產(chǎn)業(yè)數(shù)字化轉(zhuǎn)型、推動(dòng)數(shù)字產(chǎn)業(yè)化、持續(xù)提升公共服務(wù)數(shù)字化水平、健全完善數(shù)字經(jīng)濟(jì)治理體系、強(qiáng)化數(shù)字經(jīng)濟(jì)安全體系等方面提出了建設(shè)和規(guī)劃要求，為推動(dòng)我國(guó)數(shù)字經(jīng)濟(jì)健（國(guó)標(biāo)委工二聯(lián)〔2015〕64號(hào)）。該文件從智慧城市標(biāo)準(zhǔn)體系、智慧城市評(píng)價(jià)指標(biāo)體系兩個(gè)維度，明確了“十三五”期間我國(guó)智慧城市標(biāo)準(zhǔn)化工作的總體目標(biāo)和重點(diǎn)任務(wù)，是我國(guó)智慧城市標(biāo)準(zhǔn)化工作的第一份指導(dǎo)性文件；同時(shí)），3在國(guó)家智慧城市標(biāo)準(zhǔn)體系指導(dǎo)下，截至目前國(guó)內(nèi)相關(guān)標(biāo)準(zhǔn)化技術(shù)組織共慧城市頂層設(shè)計(jì)指南》等國(guó)家標(biāo)準(zhǔn)已成為各地開(kāi)展智慧城市規(guī)劃、建設(shè)、評(píng)估時(shí)重點(diǎn)參考的技術(shù)依據(jù)，得到了廣泛應(yīng)用，切實(shí)發(fā)揮了標(biāo)準(zhǔn)的規(guī)范和引領(lǐng)作用。其中，GB/T37971-2019《信息安全技術(shù)智慧城市安全體系框架》、GB/Z38649-2020《信息安全技術(shù)智慧城市建設(shè)信息安全保障指南》也提出智慧城市安全體系的基本框架、組成要素和實(shí)施方法，為智慧城市安全工作智慧城市從概念提出到落地實(shí)踐，歷經(jīng)十多年建設(shè)與發(fā)展，我國(guó)智慧城4中西部四大智慧城市群。新型智慧城市建設(shè)呈現(xiàn)“區(qū)域特色明顯”“地域差異化顯著”等發(fā)展態(tài)勢(shì)，北京、上海、廣州、深圳、杭州等城市發(fā)展水平相革創(chuàng)新領(lǐng)域水平均有所提升。智慧城市作為一種新型城市發(fā)展形態(tài)和治理模等場(chǎng)景。國(guó)家層面已經(jīng)設(shè)立江蘇無(wú)錫、浙江杭州、福建福州、重慶南岸區(qū)、江西鷹潭等5個(gè)物聯(lián)網(wǎng)特色的新型工業(yè)化產(chǎn)業(yè)示范區(qū)，物聯(lián)網(wǎng)感知設(shè)施統(tǒng)籌部署已經(jīng)成為智慧城市建設(shè)的重要內(nèi)容。上海、蘭州、合肥、南京等多地建立了云計(jì)算中心，并部署面向人工智能的計(jì)算加速資源和邊緣計(jì)算布局，提機(jī)構(gòu)改革方案》，組建國(guó)家數(shù)據(jù)局。負(fù)責(zé)協(xié)調(diào)推進(jìn)數(shù)據(jù)基礎(chǔ)制度建設(shè)，統(tǒng)籌數(shù)據(jù)資源整合共享和開(kāi)發(fā)利用，統(tǒng)籌推進(jìn)數(shù)字中國(guó)、數(shù)字經(jīng)濟(jì)、數(shù)字社會(huì)規(guī)5等國(guó)家和地區(qū)先后提出智慧城市發(fā)展戰(zhàn)略，試圖運(yùn)用新一代信息技術(shù)來(lái)重新新加坡被公認(rèn)為全球領(lǐng)先的智慧城市，由新加坡總理領(lǐng)導(dǎo)規(guī)劃了新加坡數(shù)字化發(fā)展愿景，并設(shè)立專門政府部門負(fù)責(zé)推進(jìn)“智慧國(guó)家”建設(shè)以及協(xié)調(diào)目的是通過(guò)大力發(fā)展ICT產(chǎn)業(yè)，應(yīng)用ICT，提高關(guān)鍵領(lǐng)域的競(jìng)爭(zhēng)力，將新加坡建設(shè)成為由ICT驅(qū)動(dòng)的智能城市。制定了智慧城市建設(shè)目標(biāo)，定期發(fā)布報(bào)美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局2020年發(fā)布《智慧城市系統(tǒng)信任》（TrustinSmartCitySystems）報(bào)告。根據(jù)該報(bào)告，美國(guó)目前有數(shù)百個(gè)智慧城市項(xiàng)目處于部署或開(kāi)發(fā)階段，這些項(xiàng)目的投資量和影響范圍意味著美國(guó)公民將更加依賴更智能的城市技術(shù)。美國(guó)政府尤為重視標(biāo)準(zhǔn)建設(shè)，如美國(guó)國(guó)土安全部科學(xué)技術(shù)理事會(huì)推進(jìn)發(fā)布《智慧城市互操作性參考體系架構(gòu)》，以此來(lái)評(píng)估智慧城市標(biāo)準(zhǔn)在公共安全領(lǐng)域的發(fā)展現(xiàn)狀，并為物聯(lián)網(wǎng)傳感器提供可互操作的開(kāi)放架構(gòu)。美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所（NIST）推進(jìn)發(fā)布《智慧城市和社區(qū)框架系列》，以解決智慧城市建設(shè)中數(shù)據(jù)、網(wǎng)絡(luò)、安全、特定行業(yè)及6產(chǎn)業(yè)等。2020年，歐盟委員會(huì)先后發(fā)布了《塑造歐洲的數(shù)字未來(lái)》、《人工型，提升數(shù)字化水平。《塑造歐洲數(shù)字未來(lái)》涵蓋了從網(wǎng)絡(luò)安全到關(guān)鍵基礎(chǔ)設(shè)施、數(shù)字教育到技能、民主到媒體的所有內(nèi)容，該戰(zhàn)略提出歐盟數(shù)字化變革理念、戰(zhàn)略和行動(dòng)，希望建立以數(shù)字技術(shù)為動(dòng)力的歐洲社會(huì)，使歐洲成為日本從自身自然資源貧乏和自然災(zāi)害頻發(fā)的國(guó)情出發(fā)，制定了相應(yīng)的計(jì)世界IT領(lǐng)先國(guó)家——促進(jìn)公共和私營(yíng)部門數(shù)據(jù)采用基本計(jì)劃的聲明《都市營(yíng)造的宏偉設(shè)計(jì)——東京2040》城市總體規(guī)劃，推進(jìn)“新東京”實(shí)現(xiàn)用城市空間，結(jié)合不斷發(fā)展的數(shù)據(jù)，搭建最尖端的信息平臺(tái)，實(shí)現(xiàn)城市活動(dòng)（二）智慧城市系統(tǒng)架構(gòu)及數(shù)據(jù)應(yīng)用場(chǎng)景結(jié)合智慧城市發(fā)展現(xiàn)狀，考慮當(dāng)前智慧城市標(biāo)準(zhǔn)化需求，常見(jiàn)智慧城市7統(tǒng)一框架如圖2所示?？蚣苡煽傮w標(biāo)準(zhǔn)、技術(shù)與平臺(tái)、基礎(chǔ)設(shè)施、數(shù)據(jù)層、技術(shù)與平臺(tái)層匯聚智慧城市所需的核心計(jì)算技術(shù)，技術(shù)在智慧城市領(lǐng)域的應(yīng)用以及相關(guān)能力平臺(tái)對(duì)業(yè)務(wù)的協(xié)同支撐作用、互聯(lián)互通和互操作性，用于保障上層智慧城市相關(guān)基礎(chǔ)設(shè)施建設(shè)、數(shù)據(jù)、建設(shè)管理及智慧應(yīng)用功能的基礎(chǔ)設(shè)施層是針對(duì)新型基礎(chǔ)設(shè)施的技術(shù)、建設(shè)、管理的平臺(tái)，切實(shí)為智數(shù)據(jù)層包括城市數(shù)據(jù)資源體系、城市數(shù)據(jù)模型、城市數(shù)據(jù)治理、城市數(shù)據(jù)融合與服務(wù)四大項(xiàng)。數(shù)據(jù)層作為數(shù)據(jù)存儲(chǔ)的體系架構(gòu)，是數(shù)據(jù)安全防護(hù)的8管理與服務(wù)層，提供智慧城市相關(guān)領(lǐng)域規(guī)劃、建設(shè)、實(shí)施與運(yùn)營(yíng)過(guò)程標(biāo)準(zhǔn)，包括城市治理、惠民服務(wù)、生態(tài)宜居、產(chǎn)業(yè)發(fā)展、區(qū)域協(xié)同五大服務(wù)方建設(shè)與運(yùn)營(yíng)層，為智慧城市建設(shè)和運(yùn)營(yíng)過(guò)程提供技術(shù)、方法、流程、創(chuàng)新等方面的指導(dǎo)和參考，包括規(guī)劃設(shè)計(jì)、部署實(shí)施、運(yùn)營(yíng)管理、評(píng)估改進(jìn)四智慧城市建設(shè)和運(yùn)營(yíng)過(guò)程中面臨復(fù)雜的安全風(fēng)險(xiǎn)，安全防護(hù)是保障技術(shù)與平臺(tái)、關(guān)鍵基礎(chǔ)設(shè)施、數(shù)據(jù)平臺(tái)、管理與服務(wù)、建設(shè)與運(yùn)營(yíng)安全可靠的重智慧城市場(chǎng)景眾多，大致包括城市治理、惠民服務(wù)、生態(tài)宜居、產(chǎn)業(yè)發(fā)展、區(qū)域協(xié)同等多個(gè)服務(wù)方向?；跀?shù)據(jù)的應(yīng)用更是數(shù)不勝數(shù)，需關(guān)注從收集、存儲(chǔ)、使用加工、傳輸、提供、公開(kāi)和銷毀的各個(gè)數(shù)據(jù)處理周期過(guò)程。要保障智慧城市多種應(yīng)用場(chǎng)景的數(shù)據(jù)服務(wù)安全，需要充分考慮各階段的數(shù)據(jù)一是收集數(shù)據(jù)，其中涉及不同領(lǐng)域數(shù)據(jù)，如人口數(shù)據(jù)、地理數(shù)據(jù)、天氣數(shù)據(jù)、交通數(shù)據(jù)、醫(yī)療健康數(shù)據(jù)等。同時(shí)數(shù)據(jù)收集方式多種多樣，如傳感器采集、爬蟲、錄入、文件導(dǎo)入、接口、塊數(shù)據(jù)等，且不同領(lǐng)域數(shù)據(jù)收集制式不同，收集識(shí)別過(guò)程需要大量人工確認(rèn)。數(shù)據(jù)收集過(guò)程中應(yīng)在收集設(shè)備、收二是存儲(chǔ)數(shù)據(jù)，要保障城市海量數(shù)據(jù)存儲(chǔ)安全，業(yè)務(wù)系統(tǒng)存儲(chǔ)介質(zhì)的安9三是需要使用加工數(shù)據(jù)，智慧城市業(yè)務(wù)涉及數(shù)據(jù)類型多樣，有文本、音頻、視頻、圖像等多形態(tài)數(shù)據(jù)，各個(gè)系統(tǒng)對(duì)數(shù)據(jù)做處理分析的同時(shí)也要保障數(shù)據(jù)的安全性，如智慧安檢中涉及大量人像、車輛、圖像以及視頻數(shù)據(jù)，想要預(yù)測(cè)某一時(shí)間段違規(guī)車數(shù)量，則需要統(tǒng)一數(shù)據(jù)格式，同時(shí)也要對(duì)數(shù)據(jù)中用四是傳輸數(shù)據(jù)，一方面數(shù)據(jù)收集及前期處理后，需傳輸?shù)礁鱾€(gè)業(yè)務(wù)系統(tǒng)內(nèi)部再次進(jìn)行存儲(chǔ)或分析，如智慧消防應(yīng)用需要傳輸用電數(shù)據(jù)、天氣數(shù)據(jù)、充電樁數(shù)據(jù)等數(shù)據(jù)幫助進(jìn)行火災(zāi)的風(fēng)險(xiǎn)評(píng)估。另一方面各個(gè)業(yè)務(wù)系統(tǒng)、各組件之間的數(shù)據(jù)實(shí)時(shí)傳輸，如智慧消防系統(tǒng)需要智慧交通系統(tǒng)的某一段的路況數(shù)據(jù)。在系統(tǒng)和組件之間數(shù)據(jù)傳輸則需要安全的網(wǎng)絡(luò)環(huán)境和傳輸設(shè)備，以確五是提供數(shù)據(jù)，要實(shí)現(xiàn)智慧城市信息系統(tǒng)的互聯(lián)互通，各個(gè)業(yè)務(wù)系統(tǒng)之間就要打破數(shù)據(jù)壁壘，實(shí)現(xiàn)數(shù)據(jù)為多種業(yè)務(wù)場(chǎng)景服務(wù)的能力，如用戶用電數(shù)據(jù)既可以服務(wù)智慧消防系統(tǒng)，也可以服務(wù)智慧城市運(yùn)行，但要想實(shí)現(xiàn)數(shù)據(jù)的互聯(lián)互通，就需要有清晰的數(shù)據(jù)確權(quán)、規(guī)范安全的數(shù)據(jù)交換平臺(tái)以及相應(yīng)技六是數(shù)據(jù)公開(kāi)，智慧城市信息不應(yīng)只為各個(gè)業(yè)務(wù)系統(tǒng)提供數(shù)據(jù)支撐，還需要服務(wù)公眾，及時(shí)適度公開(kāi)數(shù)據(jù)。對(duì)于法律法規(guī)要求公開(kāi)的數(shù)據(jù)，使用數(shù)據(jù)脫敏技術(shù)實(shí)施保護(hù)，同時(shí)明確數(shù)據(jù)公開(kāi)的范圍、類別、條件、程序等，在數(shù)據(jù)公開(kāi)前分析研判可能對(duì)國(guó)家安全、公共利益產(chǎn)生的影響程度，存在重大七是數(shù)據(jù)銷毀，智慧城市各服務(wù)節(jié)點(diǎn)分布式存儲(chǔ)大量數(shù)據(jù)，當(dāng)數(shù)據(jù)需要（三）數(shù)據(jù)要素及其安全在智慧城市建設(shè)中的重要意義四五”數(shù)字經(jīng)濟(jì)發(fā)展規(guī)劃》、《數(shù)字中國(guó)建設(shè)整體布局規(guī)劃》等重要國(guó)家數(shù)據(jù)戰(zhàn)略，強(qiáng)調(diào)建設(shè)數(shù)字中國(guó)，加快數(shù)據(jù)要素市場(chǎng)化流通，創(chuàng)新數(shù)據(jù)要素開(kāi)發(fā)利用機(jī)制，保障智慧城市數(shù)據(jù)開(kāi)發(fā)工作。伴隨政務(wù)數(shù)據(jù)進(jìn)程的發(fā)展，數(shù)據(jù)的巨大價(jià)值和重要意義已得到強(qiáng)調(diào)和凸顯。為規(guī)范數(shù)據(jù)處理活動(dòng)，保障數(shù)據(jù)安全，促進(jìn)數(shù)據(jù)開(kāi)發(fā)利用，我國(guó)在數(shù)據(jù)安全治理形成了以法律、行政法規(guī)、部門規(guī)章及規(guī)范性文件、地方性法規(guī)、以及相關(guān)行業(yè)標(biāo)準(zhǔn)、指南等相結(jié)合的綜合性治理體系，不斷加強(qiáng)數(shù)據(jù)治理的規(guī)范建設(shè)，整體的法律法規(guī)及規(guī)范脈絡(luò)《國(guó)家健康醫(yī)療大數(shù)據(jù)標(biāo)準(zhǔn)、安全和服務(wù)管理辦法》......《深圳經(jīng)濟(jì)特區(qū)數(shù)據(jù)條例》《上海市數(shù)據(jù)條例》......在法律層面，《中華人民共和國(guó)網(wǎng)絡(luò)安全法》從法律層面保障了廣大人民群眾在網(wǎng)絡(luò)空間的利益，有效維護(hù)了國(guó)家網(wǎng)絡(luò)空間主權(quán)和安全，是國(guó)家基本法律；《中華人民共和國(guó)數(shù)據(jù)安全法》、《中華人民共和國(guó)個(gè)人信息保護(hù)法》從法律層面提供了數(shù)據(jù)安全保障和個(gè)人信息保護(hù)，是相關(guān)領(lǐng)域的基礎(chǔ)性法律?！毒W(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》以及《個(gè)人信息保護(hù)法》共同構(gòu)成了我國(guó)數(shù)據(jù)保護(hù)的基礎(chǔ)體系?！毒W(wǎng)絡(luò)安全法》對(duì)數(shù)據(jù)安全和個(gè)人數(shù)據(jù)保護(hù)給予了足夠的關(guān)注，主要著眼于兩方面：一是要求各類組織切實(shí)承擔(dān)起保障數(shù)據(jù)安全的責(zé)任，即保密性、完整性、可用性。二是保障個(gè)人對(duì)其個(gè)人信息的理清了數(shù)據(jù)安全防護(hù)的主體責(zé)任，規(guī)范了國(guó)家機(jī)關(guān)、企業(yè)、個(gè)人在數(shù)據(jù)安全防護(hù)的職責(zé)，為數(shù)據(jù)安全防護(hù)奠定了基礎(chǔ)?！秱€(gè)人信息保護(hù)法》發(fā)布，旨在保護(hù)個(gè)人信息安全的法律，規(guī)定了個(gè)人信息的收集、使用、處理、存儲(chǔ)、傳在行政法規(guī)層面，《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施的認(rèn)定程序，進(jìn)一步強(qiáng)調(diào)對(duì)公共服務(wù)、電子政務(wù)等重要行業(yè)數(shù)據(jù)安全的保障，包括關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者應(yīng)維護(hù)數(shù)據(jù)的完整性、保密性和可用性；履行個(gè)人信息和數(shù)據(jù)安全保護(hù)責(zé)任，建立健全個(gè)人信息和數(shù)據(jù)安全保護(hù)制度；發(fā)生重要數(shù)據(jù)泄露、較大規(guī)模個(gè)人信息泄露等情形時(shí)，保護(hù)工作部信息辦公室代國(guó)務(wù)院頒布《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（征求意見(jiàn)稿）》，規(guī)定互聯(lián)網(wǎng)平臺(tái)運(yùn)營(yíng)者義務(wù)等的重要內(nèi)容。條例是對(duì)數(shù)據(jù)安全相關(guān)法律的重要補(bǔ)中央國(guó)務(wù)院關(guān)于構(gòu)建數(shù)據(jù)基礎(chǔ)制度更好發(fā)揮數(shù)據(jù)要素作用的意見(jiàn)》（以下簡(jiǎn)稱“數(shù)據(jù)二十條”）對(duì)外發(fā)布，強(qiáng)調(diào)數(shù)據(jù)基礎(chǔ)制度建設(shè)事關(guān)國(guó)家發(fā)展和安全大局，從數(shù)據(jù)產(chǎn)權(quán)、流通交易、收益分配、安全治理等方面構(gòu)建數(shù)據(jù)基礎(chǔ)制規(guī)模和豐富應(yīng)用場(chǎng)景優(yōu)勢(shì)，激活數(shù)據(jù)要素潛能，做強(qiáng)做優(yōu)做大數(shù)字經(jīng)濟(jì)，增在行業(yè)部門規(guī)章層面，智慧城市數(shù)據(jù)來(lái)源于各行各業(yè)，我國(guó)的數(shù)據(jù)治理網(wǎng)信部門、工信部門、公安部門以及金融、衛(wèi)生等行業(yè)主管機(jī)構(gòu)均在各自職責(zé)范圍內(nèi)頒布數(shù)據(jù)安全治理的規(guī)范文件。例如，工業(yè)和信息化部、網(wǎng)信辦等十六部門發(fā)布《關(guān)于促進(jìn)數(shù)據(jù)安全產(chǎn)業(yè)發(fā)展的指導(dǎo)意見(jiàn)》、國(guó)家互聯(lián)網(wǎng)信息辦公室、工信部等五部門發(fā)布《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》、國(guó)中國(guó)銀行保險(xiǎn)監(jiān)督管理委員會(huì)發(fā)布《銀行業(yè)金融機(jī)構(gòu)數(shù)據(jù)治理指引》、國(guó)家在地方性條例和管理辦法層面，我國(guó)各地方同樣在不斷探索數(shù)據(jù)安全治川省數(shù)據(jù)條例》、《深圳經(jīng)濟(jì)特區(qū)數(shù)據(jù)條例》、《浙江省公共數(shù)據(jù)條例》、《江蘇省公共數(shù)據(jù)管理辦法》、《江西省公共數(shù)據(jù)管理辦法》、《廣東省公共數(shù)據(jù)安全管理辦法》、《山東省公共數(shù)據(jù)開(kāi)放辦法》、《河北省政務(wù)數(shù)據(jù)共享應(yīng)用管理辦法》、《上海市公共數(shù)據(jù)開(kāi)放實(shí)施細(xì)則（征求意見(jiàn)稿）》、《福建省公共數(shù)據(jù)資源開(kāi)放開(kāi)發(fā)管理辦法（試行）》等均在不斷深化我國(guó)的在國(guó)家行業(yè)標(biāo)準(zhǔn)層面，我國(guó)出臺(tái)了一系列的國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)及相關(guān)指南，對(duì)法律法規(guī)等規(guī)范性文件中的較為原則性的規(guī)定給予了具體的指導(dǎo)。從防止數(shù)據(jù)泄露、保護(hù)個(gè)人權(quán)益、提升數(shù)據(jù)安全治理能力等多角度提出細(xì)化數(shù)據(jù)要素是數(shù)字經(jīng)濟(jì)的關(guān)鍵基礎(chǔ)，數(shù)字經(jīng)濟(jì)是智慧城市發(fā)展的推動(dòng)力。數(shù)據(jù)要素快速融入生產(chǎn)、分配、流通、消費(fèi)和社會(huì)服務(wù)管理等各個(gè)環(huán)節(jié)，基商環(huán)境，加快構(gòu)建數(shù)據(jù)資源體系，對(duì)激發(fā)市場(chǎng)主體創(chuàng)新活力、助推數(shù)字經(jīng)濟(jì)發(fā)展、加快數(shù)字中國(guó)建設(shè)步伐發(fā)揮至關(guān)重要作用。維護(hù)數(shù)據(jù)要素安全就是在維護(hù)數(shù)字經(jīng)濟(jì)安全就是維護(hù)國(guó)家安全。2020年，我國(guó)數(shù)增加值占國(guó)內(nèi)生產(chǎn)總值（GDP）比重達(dá)到7.8%[3]，數(shù)字經(jīng)濟(jì)為經(jīng)濟(jì)社會(huì)持續(xù)網(wǎng)絡(luò)基礎(chǔ)設(shè)施發(fā)展，智慧城市數(shù)據(jù)算力改變。根據(jù)十四五規(guī)劃，我國(guó)將建設(shè)高速泛在、天地一體、云網(wǎng)融合、智能敏捷、綠色低碳、安全可控的智能化綜合性網(wǎng)絡(luò)基礎(chǔ)設(shè)施。當(dāng)前國(guó)家正在有序推進(jìn)骨干網(wǎng)擴(kuò)容，協(xié)同推進(jìn)千局第六代移動(dòng)通信（6G）網(wǎng)絡(luò)技術(shù)儲(chǔ)備，加大6G技術(shù)研發(fā)支持力度，參與網(wǎng)絡(luò)等，推動(dòng)衛(wèi)星互聯(lián)網(wǎng)建設(shè)。物聯(lián)網(wǎng)在工業(yè)制造、農(nóng)業(yè)生產(chǎn)、公共服務(wù)、在新型基礎(chǔ)網(wǎng)絡(luò)的擴(kuò)建中，數(shù)據(jù)收集、傳輸、存儲(chǔ)等安全方案也面臨新的挑平臺(tái)技術(shù)領(lǐng)域發(fā)展，智慧城市數(shù)據(jù)整合度提升。當(dāng)前世界正在著力發(fā)展傳感器、量子信息、集成電路、關(guān)鍵軟件、大數(shù)據(jù)、人工智能、區(qū)塊鏈等戰(zhàn)略性前瞻性領(lǐng)域。智慧城市將逐步支持應(yīng)用各類產(chǎn)學(xué)研協(xié)同創(chuàng)新平臺(tái)，打通貫穿基礎(chǔ)研究、技術(shù)研發(fā)、中試熟化與產(chǎn)業(yè)化全過(guò)程的創(chuàng)新鏈，重點(diǎn)應(yīng)用云計(jì)算、大數(shù)據(jù)、人工智能、區(qū)塊鏈、新能源汽車等領(lǐng)域，突破智能制造、數(shù)字孿生、城市大腦、邊緣計(jì)算、腦機(jī)融合等集成技術(shù)。新型智慧城市建設(shè)依賴于相關(guān)技術(shù)突破，數(shù)據(jù)的開(kāi)發(fā)度也依賴技術(shù)底座。未來(lái)要推動(dòng)城市技術(shù)與數(shù)據(jù)整合共享和業(yè)務(wù)協(xié)同，提升城市綜合管理服務(wù)能力，完善城市信息模型數(shù)據(jù)要素多樣性發(fā)展，智慧城市數(shù)據(jù)管理難度提升。智慧城市是一個(gè)以數(shù)據(jù)為核心要素的智能系統(tǒng)。來(lái)自自然空間、物理空間、經(jīng)濟(jì)空間和社會(huì)空多態(tài)性、關(guān)聯(lián)性及語(yǔ)義性的新特點(diǎn)。隨著城市的發(fā)展，數(shù)據(jù)類型呈現(xiàn)多樣化發(fā)展趨勢(shì)，這包含結(jié)構(gòu)化數(shù)據(jù)（如用戶數(shù)據(jù)）、半結(jié)構(gòu)化數(shù)據(jù)（文檔報(bào)表、統(tǒng)計(jì)報(bào)表數(shù)據(jù)）以及非結(jié)構(gòu)化數(shù)據(jù)（圖片數(shù)據(jù)、音視頻數(shù)據(jù)）；數(shù)據(jù)處理需求的多樣化，包括離線數(shù)據(jù)分析類應(yīng)用和在線并發(fā)訪問(wèn)類應(yīng)用。數(shù)據(jù)統(tǒng)一標(biāo)準(zhǔn)、分類分級(jí)、數(shù)據(jù)全流程監(jiān)控、跨行業(yè)監(jiān)管等都是智慧城市數(shù)據(jù)安全面臨多個(gè)條線。北京在2019年實(shí)現(xiàn)一網(wǎng)統(tǒng)管時(shí)，匯集了68個(gè)不同系統(tǒng)[4]?？偟膩?lái)說(shuō)，數(shù)據(jù)量的豐富和多樣化對(duì)數(shù)據(jù)處理與安全技術(shù)提出了新的挑戰(zhàn)，如數(shù)據(jù)采集與存儲(chǔ)、數(shù)據(jù)質(zhì)量、數(shù)據(jù)處理與分析、數(shù)據(jù)安全與隱私等問(wèn)題需要不數(shù)據(jù)要素是信息化社會(huì)的建設(shè)核心，對(duì)我們當(dāng)今社會(huì)生活、工作和創(chuàng)新推動(dòng)醫(yī)療保建的轉(zhuǎn)型、改善教育質(zhì)量、促進(jìn)城市智慧化管理，幫助群眾“最多跑一次”、享受數(shù)據(jù)紅利。然而數(shù)據(jù)帶來(lái)便利的同時(shí)，數(shù)據(jù)安全事件也不數(shù)據(jù)安全事件影響程度日益加劇。數(shù)據(jù)安全威脅更加多樣化，集中在數(shù)據(jù)泄露、弱口令、特權(quán)賬號(hào)訪問(wèn)、非法訪問(wèn)、越權(quán)訪問(wèn)等。數(shù)據(jù)安全事件影響范圍不斷擴(kuò)大。從受到影響的對(duì)象來(lái)看，數(shù)據(jù)安全事件的影響范圍已經(jīng)從最初的企業(yè)或組織和個(gè)人，逐步延伸到國(guó)家各個(gè)行業(yè)、整個(gè)社會(huì)，甚至可能二、智慧城市數(shù)據(jù)安全風(fēng)險(xiǎn)（一）智慧城市數(shù)據(jù)安全內(nèi)部管理風(fēng)險(xiǎn)近年來(lái)，我國(guó)數(shù)據(jù)安全法律法規(guī)、標(biāo)準(zhǔn)規(guī)范不斷出臺(tái)，智慧城市各業(yè)務(wù)領(lǐng)域相關(guān)的地區(qū)性數(shù)據(jù)安全條例和規(guī)定也不斷細(xì)化完善，對(duì)智慧城市數(shù)據(jù)安全的監(jiān)管力度也在不斷增強(qiáng)。在此背景下，數(shù)據(jù)安全合規(guī)成為智慧城市數(shù)據(jù)一是缺少統(tǒng)一的合規(guī)治理標(biāo)準(zhǔn)：隨著《網(wǎng)絡(luò)安全法》、《個(gè)人信息保護(hù)法》、《數(shù)據(jù)安全法》、《信息安全技術(shù)—網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GB/T22239-2019）等法律法規(guī)及國(guó)家標(biāo)準(zhǔn)的頒布，明確了智慧城市數(shù)據(jù)安全領(lǐng)域的基本合規(guī)要求。在此前提下，各組織在智慧城市建設(shè)中均需落實(shí)法律法規(guī)和標(biāo)準(zhǔn)規(guī)范在不同維度上的安全合規(guī)要求，但考慮到法律法規(guī)在要求上比較籠統(tǒng)，與其配套的政策、制度和標(biāo)準(zhǔn)尚不健全，如缺少“智慧城市數(shù)據(jù)安全”國(guó)家級(jí)規(guī)范標(biāo)準(zhǔn)，缺少對(duì)智慧城市數(shù)據(jù)分類分級(jí)、數(shù)據(jù)脫敏等基礎(chǔ)數(shù)據(jù)安全防護(hù)技術(shù)的標(biāo)準(zhǔn)要求和技術(shù)規(guī)范等，可操作性仍有待加強(qiáng)。同時(shí)，業(yè)內(nèi)缺少在智慧城市數(shù)據(jù)安全領(lǐng)域的優(yōu)秀實(shí)踐，與具體落地間存在差距。整體來(lái)看，尚不健全的數(shù)據(jù)安全標(biāo)準(zhǔn)和實(shí)踐指南難以為智慧城市數(shù)據(jù)合規(guī)提供準(zhǔn)，數(shù)據(jù)的處理措施包括七個(gè)階段：數(shù)據(jù)收集、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)使用加工、數(shù)據(jù)傳輸、數(shù)據(jù)提供、數(shù)據(jù)公開(kāi)、數(shù)據(jù)銷毀。智慧城市數(shù)據(jù)在數(shù)據(jù)處理的不人口數(shù)據(jù)）、專題數(shù)據(jù)（如房屋數(shù)據(jù)）、業(yè)務(wù)專屬數(shù)據(jù)（如公安、教育等領(lǐng)域數(shù)據(jù)）、其他數(shù)據(jù)（如工業(yè)數(shù)據(jù)）等等。智慧城市數(shù)據(jù)收集類型多、收集節(jié)點(diǎn)復(fù)雜、收集技術(shù)要求高的特點(diǎn)，導(dǎo)致智慧城市在數(shù)據(jù)收集階段面臨諸多風(fēng)險(xiǎn)。數(shù)據(jù)收集階段主要風(fēng)險(xiǎn)主要有，一數(shù)據(jù)收集范圍不明確，未遵循最小收集原則，導(dǎo)致數(shù)據(jù)過(guò)度收集、非法收集、非必要收集；二數(shù)據(jù)收集業(yè)務(wù)能數(shù)據(jù)是智慧城市的核心組成部分，智慧城市建設(shè)的效用高低，很大程度上取決于大數(shù)據(jù)資產(chǎn)利用的深度與廣度，而有效存儲(chǔ)海量數(shù)據(jù)是智慧城市建設(shè)中的一個(gè)關(guān)鍵問(wèn)題。目前，智慧城市數(shù)據(jù)存儲(chǔ)階段還面臨著許多挑戰(zhàn)，一是數(shù)據(jù)存儲(chǔ)介質(zhì)不安全、不可信，易引發(fā)數(shù)據(jù)泄露或被竊取等風(fēng)險(xiǎn)；二是重要或敏感數(shù)據(jù)缺乏梳理，對(duì)數(shù)據(jù)分布、脆弱性、訪問(wèn)接口不清楚，面對(duì)海量數(shù)據(jù)，難以實(shí)行分類分級(jí)保護(hù)；三是數(shù)據(jù)使用、訪問(wèn)過(guò)程中，缺乏必要的數(shù)據(jù)容錯(cuò)保護(hù)手段，易導(dǎo)致核心數(shù)據(jù)被破壞的風(fēng)險(xiǎn)，如新員工操作不熟練、運(yùn)維人員或特權(quán)人員為謀私利等破壞核心數(shù)據(jù)；四是數(shù)據(jù)無(wú)定期備份，一旦遭人為破獲、軟硬件故障、災(zāi)難災(zāi)害或突發(fā)事件等，易導(dǎo)致數(shù)據(jù)丟失；五是國(guó)智慧城市擁有海量數(shù)據(jù)，要真正實(shí)現(xiàn)“智慧”，城市需要擁有能夠處理分析和保護(hù)海量數(shù)據(jù)的能力。而智慧城市數(shù)據(jù)使用加工階段也面臨著大量安全挑戰(zhàn)，一是對(duì)數(shù)據(jù)的使用缺乏訪問(wèn)控制，易導(dǎo)致數(shù)據(jù)被竊取或破壞；二是數(shù)據(jù)處理使用易發(fā)生數(shù)據(jù)庫(kù)之間、應(yīng)用與數(shù)據(jù)庫(kù)之間數(shù)據(jù)異常流轉(zhuǎn)、針對(duì)數(shù)據(jù)庫(kù)發(fā)動(dòng)拖庫(kù)或刪庫(kù)攻擊的風(fēng)險(xiǎn)；三是數(shù)據(jù)防護(hù)手段不完善，內(nèi)部員工非法智慧城市數(shù)據(jù)傳輸主要是指數(shù)據(jù)在各業(yè)務(wù)平臺(tái)、各節(jié)點(diǎn)之間、各組件之間以及跨組織之間進(jìn)行傳輸，以實(shí)現(xiàn)萬(wàn)物互聯(lián)。而城市信息化、智能化的推進(jìn)導(dǎo)致智慧城市數(shù)據(jù)在傳輸過(guò)程中可能會(huì)遭到不法分子的攻擊，導(dǎo)致數(shù)據(jù)被攔截、被篡改、被中間人攻擊（MITM攻擊）；也可能由于傳輸操作不當(dāng)，或因移動(dòng)介質(zhì)、傳輸設(shè)備和網(wǎng)絡(luò)不安全等原因，導(dǎo)致數(shù)據(jù)泄露。由于智慧城市數(shù)據(jù)傳輸?shù)漠悩?gòu)、多源、關(guān)聯(lián)等特點(diǎn)，即使多個(gè)數(shù)據(jù)集各自脫敏處理，在目前，建設(shè)智慧城市仍存在數(shù)據(jù)收集后缺乏整合、難以返還提供合理數(shù)據(jù)的問(wèn)題，給城市數(shù)字化建設(shè)帶來(lái)難題。智慧城市數(shù)據(jù)提供階段面臨的主要難題，一是數(shù)據(jù)交易平臺(tái)不規(guī)范、不安全，防護(hù)能力不足，容易造成數(shù)據(jù)被一旦發(fā)生泄密難以溯源；三是數(shù)據(jù)接口缺少可信認(rèn)證機(jī)制，存在非法應(yīng)用服務(wù)器接入的風(fēng)險(xiǎn)；四是數(shù)據(jù)提供過(guò)程有隱私安全風(fēng)險(xiǎn)，通過(guò)數(shù)據(jù)推算數(shù)據(jù)所數(shù)據(jù)公開(kāi)是智慧城市的必要環(huán)節(jié)，但公開(kāi)數(shù)據(jù)也會(huì)帶來(lái)風(fēng)險(xiǎn)。數(shù)據(jù)公開(kāi)的風(fēng)險(xiǎn)一是范圍過(guò)大導(dǎo)致非必要數(shù)據(jù)公開(kāi)；二是類別選擇不準(zhǔn)確影響數(shù)據(jù)完整性；三是公開(kāi)條件不清晰導(dǎo)致數(shù)據(jù)未授權(quán)訪問(wèn)；四是智慧城市數(shù)據(jù)公開(kāi)程序不合理導(dǎo)致數(shù)據(jù)管理難度增大，嚴(yán)重的將對(duì)國(guó)家安全和公共利益產(chǎn)生不良數(shù)據(jù)銷毀階段主要對(duì)數(shù)據(jù)及數(shù)據(jù)存儲(chǔ)媒體通過(guò)相應(yīng)的操作手段，使數(shù)據(jù)徹底刪除且無(wú)法通過(guò)任何手段恢復(fù)的過(guò)程。智慧城市建設(shè)包括智能電網(wǎng)、智能交通、智能環(huán)保、智能城管等領(lǐng)域，而這些領(lǐng)域出于保密要求存在大量需要進(jìn)行銷毀的數(shù)據(jù)，只有采取正確安全的銷毀方式，才能達(dá)到保護(hù)關(guān)鍵數(shù)據(jù)的目的。目前，智慧城市數(shù)據(jù)銷毀階段面臨的安全風(fēng)險(xiǎn)主要有：一是采用單一銷毀方式、數(shù)據(jù)銷毀制度不完善，缺乏有效監(jiān)督；二是數(shù)據(jù)銷毀不徹底，如普通的數(shù)據(jù)刪除、低級(jí)格式化等不能徹底刪除數(shù)據(jù)，容易造成數(shù)據(jù)泄露；三是某些組織為了自身利益刻意恢復(fù)數(shù)據(jù)，轉(zhuǎn)賣給第三方公司，嚴(yán)重侵害用戶隱私；四是數(shù)據(jù)分布式存儲(chǔ)技術(shù)的普及可能使數(shù)據(jù)銷毀不徹底，或因數(shù)據(jù)智慧城市建設(shè)過(guò)程中產(chǎn)生大量數(shù)據(jù)資產(chǎn)，而要最大化發(fā)揮數(shù)據(jù)資產(chǎn)的價(jià)從而推動(dòng)智慧城市高效協(xié)同發(fā)展。而我國(guó)智慧城市運(yùn)營(yíng)方式因地制宜，根據(jù)各地市情況由城市管理局、大數(shù)據(jù)局、第三方開(kāi)發(fā)公司等多方建設(shè)運(yùn)營(yíng)，同時(shí)在建設(shè)過(guò)程中，仍有一些地方重建設(shè)輕運(yùn)營(yíng)，缺乏專業(yè)化數(shù)據(jù)安全運(yùn)營(yíng)管件中82%的違規(guī)行為涉及人為因素。因此，數(shù)據(jù)運(yùn)營(yíng)過(guò)程也是數(shù)據(jù)安全防護(hù)惡意篡改或竊取重要敏感數(shù)據(jù)；二是運(yùn)維人員因誤操作或者泄憤行為，造成數(shù)據(jù)損壞；三是企業(yè)因培訓(xùn)不足、管理流程不規(guī)范等原因?qū)е聠T工誤用、濫（二）智慧城市數(shù)據(jù)安全外部攻擊風(fēng)險(xiǎn)智慧城市建設(shè)中涉及的數(shù)據(jù)具有種類多、覆蓋范圍廣、總量大、數(shù)據(jù)價(jià)值高等特點(diǎn)。隨著數(shù)據(jù)價(jià)值重視程度的提升和信息化的發(fā)展，重要數(shù)據(jù)成為更多不法分子的目標(biāo)。近幾年國(guó)內(nèi)外數(shù)據(jù)安全事件呈上升趨勢(shì)，事件原因多種多樣，后果日益嚴(yán)重，智慧城市建設(shè)中面臨的外部安全威脅越來(lái)越嚴(yán)峻。從全球公開(kāi)新聞報(bào)道[5]來(lái)看，51.7%的數(shù)據(jù)安全事件為數(shù)據(jù)泄露事件，23.3%的數(shù)據(jù)安全事件為數(shù)據(jù)破壞事件。下面重點(diǎn)就造成數(shù)據(jù)泄露、數(shù)據(jù)破壞的主智慧城市有力推動(dòng)了區(qū)域或行業(yè)信息基礎(chǔ)設(shè)施的集約化發(fā)展，這種集約《2022年數(shù)據(jù)泄露調(diào)查報(bào)告》顯示，憑證竊取是造成數(shù)據(jù)泄露的重要因素之一。外部攻擊者常常使用密碼噴射、憑證填補(bǔ)、中間機(jī)器等攻擊向量竊取憑網(wǎng)絡(luò)釣魚是攻擊者利用欺騙性的電子郵件和偽造的web站點(diǎn)來(lái)進(jìn)行詐騙活動(dòng)。智慧城市建設(shè)涵蓋眾多行業(yè)，電力、交通、醫(yī)療等領(lǐng)域，涉及大量敏感信息，一旦數(shù)據(jù)管理人員安全意識(shí)不足或者操作不當(dāng)，被黑客組織利用，對(duì)城市建設(shè)造成的損害難以估量。根據(jù)《2022年數(shù)據(jù)泄露成本報(bào)告》顯示，網(wǎng)絡(luò)釣魚是第二大造成數(shù)據(jù)泄露的原因，同時(shí)也是造成組織損失金額排名第供應(yīng)鏈攻擊是一種面向軟件開(kāi)發(fā)人員和供應(yīng)商的新興威脅。攻擊者會(huì)將供應(yīng)鏈作為攻擊對(duì)象，先攻擊供應(yīng)鏈中安全防護(hù)相對(duì)薄弱的企業(yè)或組織，再利用供應(yīng)鏈之間的相互連接，如軟件供應(yīng)、開(kāi)源應(yīng)用等，將風(fēng)險(xiǎn)擴(kuò)大至上下游企業(yè)或組織，產(chǎn)生巨大的破壞性。智慧城市中供應(yīng)鏈涉及環(huán)節(jié)復(fù)雜，鏈路長(zhǎng)而廣泛，供應(yīng)商眾多，暴露給攻擊者的攻擊面也越來(lái)越多，供應(yīng)鏈的各個(gè)環(huán)節(jié)都可能成為不法組織攻擊的入口。根據(jù)《2022年數(shù)據(jù)泄露調(diào)查報(bào)告》顯 勒索軟件是數(shù)據(jù)遭到破壞最主要的原因。近年來(lái)，對(duì)數(shù)據(jù)強(qiáng)行加密的勒索手段成為攻擊者最常用且最有效的攻擊手段，勒索攻擊目的由單純經(jīng)濟(jì)牟利轉(zhuǎn)向?qū)嵤?shù)據(jù)破壞、竊取戰(zhàn)略機(jī)密、謀取政治訴求等多重企圖。一是關(guān)鍵黑客組織的勒索手段由單一加密勒索轉(zhuǎn)向雙重勒索、多重混合勒索模式，以“勒索”為幌子，掩護(hù)其進(jìn)行數(shù)據(jù)破壞、情報(bào)獵取等真實(shí)意圖，獲取更多潛在利益。目前，智慧城市建設(shè)的各個(gè)領(lǐng)域，包括應(yīng)急服務(wù)、交通、能源等，APT攻擊（高級(jí)可持續(xù)威脅攻擊），也稱為定向威脅攻擊，指某組織對(duì)特定對(duì)象展開(kāi)的持續(xù)有效的攻擊活動(dòng)。APT組織攻擊領(lǐng)域廣泛，規(guī)模龐大；攻擊目標(biāo)多樣，全域覆蓋；攻擊技術(shù)先進(jìn)，手法復(fù)雜，攻擊具有極強(qiáng)的隱蔽性和針對(duì)性。智慧城市數(shù)據(jù)對(duì)政治、經(jīng)濟(jì)和社會(huì)等方面高價(jià)值的特點(diǎn)，往往施運(yùn)行等為目標(biāo)，一旦發(fā)生將給人民生產(chǎn)生活、社會(huì)經(jīng)濟(jì)穩(wěn)定，甚至國(guó)家安大數(shù)據(jù)時(shí)代的到來(lái)，使得網(wǎng)絡(luò)爬蟲技術(shù)得以廣泛應(yīng)用。在智慧城市數(shù)據(jù)收集過(guò)程中，也會(huì)經(jīng)常用到網(wǎng)絡(luò)爬蟲技術(shù)，將網(wǎng)絡(luò)中出現(xiàn)的實(shí)時(shí)數(shù)據(jù)進(jìn)行快速抓取。但隨著爬蟲技術(shù)的發(fā)展，不法組織利用其技術(shù)非法爬取大量行業(yè)數(shù)據(jù)，從數(shù)據(jù)中分析出行業(yè)網(wǎng)絡(luò)行為特性、甚至具有高價(jià)值的敏感數(shù)據(jù)，以謀（三）智慧城市數(shù)據(jù)交換開(kāi)放共享風(fēng)險(xiǎn)智慧城市的建設(shè)和運(yùn)轉(zhuǎn)需要將大量的數(shù)據(jù)進(jìn)行共享，更開(kāi)放的數(shù)據(jù)會(huì)帶來(lái)更便捷的城市服務(wù)。但是在無(wú)可信第三方的情況下，共享的數(shù)據(jù)同時(shí)也會(huì)一是數(shù)據(jù)的完整性風(fēng)險(xiǎn)，數(shù)據(jù)共享過(guò)程中，數(shù)據(jù)的創(chuàng)建、處理、傳輸被未授權(quán)的方進(jìn)行篡改，數(shù)據(jù)的完整性遭到破壞，影響數(shù)據(jù)的真實(shí)和準(zhǔn)確，進(jìn)而影響到以來(lái)這些數(shù)據(jù)的智慧城市的運(yùn)營(yíng)與決策；二是數(shù)據(jù)的保密性風(fēng)險(xiǎn)，參與數(shù)據(jù)共享的信息應(yīng)是保密的，相較于傳統(tǒng)的數(shù)字加密傳輸，智慧城市中共享的數(shù)據(jù)量規(guī)模更大，計(jì)算頻次更高。多方數(shù)據(jù)參與的場(chǎng)景下，給數(shù)據(jù)保密帶來(lái)了新的挑戰(zhàn)，數(shù)據(jù)的歸屬方信息在參與數(shù)據(jù)共享的過(guò)程中，未被妥善處理的身份、位置等關(guān)鍵信息會(huì)被其他數(shù)據(jù)共享方獲取。此類被泄露的數(shù)據(jù)會(huì)被用于追蹤或識(shí)別特定的組織或個(gè)人，挖掘出更多的參與方信息；三是數(shù)據(jù)的可用性風(fēng)險(xiǎn)，數(shù)據(jù)共享會(huì)對(duì)授權(quán)用戶訪問(wèn)產(chǎn)生影響，參與數(shù)據(jù)共享的信息原則上應(yīng)以最小使用范圍為準(zhǔn)，但智慧城市數(shù)據(jù)龐大，一次數(shù)據(jù)的計(jì)算會(huì)涉及到多個(gè)業(yè)務(wù)，數(shù)據(jù)在傳輸和存儲(chǔ)中不合理的訪問(wèn)控制，會(huì)帶來(lái)數(shù)據(jù)不可（四）智慧城市新技術(shù)應(yīng)用帶來(lái)的風(fēng)險(xiǎn)智慧城市的建設(shè)離不開(kāi)新技術(shù)的支持，而新技術(shù)在為智慧城市建設(shè)帶來(lái)發(fā)展機(jī)遇的同時(shí)，也帶來(lái)了新的安全風(fēng)險(xiǎn)。6G的發(fā)展，催生出很多新型、高級(jí)的網(wǎng)絡(luò)攻擊手段，使得傳統(tǒng)的安全防御技術(shù)能源、交通、醫(yī)療等行業(yè)，實(shí)現(xiàn)全域覆蓋、通感一體、智慧交互，讓我們的更廣泛地滲透到各行業(yè)，網(wǎng)絡(luò)中的大量數(shù)據(jù)將會(huì)包含及其敏感的個(gè)人隱私。網(wǎng)絡(luò)帶來(lái)的空天地一體化網(wǎng)絡(luò)環(huán)境十分復(fù)雜，由于具有時(shí)延長(zhǎng)、誤碼率高、信息非對(duì)稱、高動(dòng)態(tài)特性等特征，以及承載的業(yè)務(wù)類型具有多樣性，給數(shù)據(jù)可靠傳輸帶來(lái)巨大挑戰(zhàn)，同時(shí)數(shù)據(jù)泄露也變得日益嚴(yán)重，由此引發(fā)的問(wèn)題往人工智能技術(shù)，可以通過(guò)自動(dòng)化決策在人臉識(shí)別技術(shù)、智能醫(yī)療、智能黑客攻擊、生物信息偽造等方面，例如業(yè)余黑客利用ChatGPT開(kāi)發(fā)智能惡意軟件程序并發(fā)起隱形攻擊，使得攻擊更加隱蔽、智能、有效，導(dǎo)致數(shù)據(jù)被操數(shù)字孿生技術(shù)的發(fā)展，能夠極大推動(dòng)智慧城市建設(shè)，如建立實(shí)時(shí)標(biāo)準(zhǔn)的結(jié)構(gòu)化數(shù)據(jù)，提高定位的精準(zhǔn)性；通過(guò)對(duì)城市交通數(shù)據(jù)進(jìn)行實(shí)時(shí)分析，可精準(zhǔn)預(yù)測(cè)城市交通擁堵的關(guān)鍵節(jié)點(diǎn)，進(jìn)而提前進(jìn)行交通管制，緩解交通壓力。但是，數(shù)字孿生技術(shù)會(huì)產(chǎn)生海量數(shù)據(jù)，需要多種存儲(chǔ)方式進(jìn)行存儲(chǔ)，每個(gè)環(huán)節(jié)都可能會(huì)產(chǎn)生數(shù)據(jù)泄密的風(fēng)險(xiǎn)，同時(shí)虛擬控制系統(tǒng)也可能存在各種未知安導(dǎo)致許多傳統(tǒng)的安全防護(hù)體系無(wú)法應(yīng)對(duì)新問(wèn)題，數(shù)據(jù)安全所面臨的風(fēng)險(xiǎn)也在三、智慧城市數(shù)據(jù)安全需求（一）國(guó)家法律法規(guī)合規(guī)需求頂層設(shè)計(jì)是智慧城市數(shù)據(jù)安全建設(shè)的行動(dòng)指南，是檢驗(yàn)智慧城市數(shù)據(jù)安從整體來(lái)看，全國(guó)對(duì)智慧城市數(shù)據(jù)安全越來(lái)越重視，但針對(duì)智慧城市數(shù)據(jù)安全領(lǐng)域的制度體系尚不完善，結(jié)構(gòu)內(nèi)容尚不豐富。針對(duì)上述難點(diǎn)，應(yīng)在管理方案、技術(shù)防護(hù)、運(yùn)營(yíng)機(jī)制三方面做好頂層設(shè)計(jì)，推進(jìn)智慧城市數(shù)據(jù)安全體系規(guī)范化建設(shè)。管理方案層面，需明確安全主體責(zé)任，完善智慧城市數(shù)據(jù)訪問(wèn)權(quán)限控制、安全風(fēng)險(xiǎn)處置、安全審計(jì)等數(shù)據(jù)安全管理制度規(guī)范，加強(qiáng)數(shù)據(jù)流轉(zhuǎn)全流程審計(jì)監(jiān)督，形成組織架構(gòu)、制度規(guī)范、合規(guī)審計(jì)三位一體的閉環(huán)管理方案；技術(shù)防護(hù)層面，根據(jù)智慧城市數(shù)據(jù)特點(diǎn)，利用數(shù)據(jù)加密、數(shù)據(jù)脫敏等基礎(chǔ)防護(hù)手段，結(jié)合隱私計(jì)算、人工智能等新技術(shù)，完善數(shù)據(jù)安全防護(hù)和監(jiān)測(cè)手段，實(shí)現(xiàn)數(shù)據(jù)處理周期的可見(jiàn)、可知、可管、可控；運(yùn)營(yíng)機(jī)制層面，加強(qiáng)安全服務(wù)能力集中化運(yùn)營(yíng)、安全服務(wù)團(tuán)隊(duì)統(tǒng)一管理，加強(qiáng)數(shù)據(jù)安全風(fēng)險(xiǎn)信息的獲取、分析、研判、預(yù)警以及應(yīng)急響應(yīng)處置機(jī)制，建立健全事智慧城市數(shù)據(jù)安全面臨管理工作體系化、標(biāo)準(zhǔn)化、規(guī)范化程度不高，安全管理制度未能充分落地，安全責(zé)任難以清晰界定，部分人員數(shù)據(jù)安全意識(shí)不強(qiáng)，數(shù)據(jù)安全工作統(tǒng)籌協(xié)調(diào)難度大等難題。針對(duì)此情況，我們研究相關(guān)政策，總結(jié)出在智慧城市數(shù)據(jù)安全領(lǐng)域應(yīng)不斷細(xì)化完善安全管理和技術(shù)規(guī)范，一是組織架構(gòu)方面，從決策層、管理層、支持層、監(jiān)督層健全智慧城市數(shù)據(jù)安全組織架構(gòu)，明確安全職責(zé)分工和監(jiān)督責(zé)任；二是制度規(guī)范方面，落實(shí)國(guó)加強(qiáng)智慧城市數(shù)據(jù)安全總體規(guī)劃、指引或規(guī)范等的制定，完善數(shù)據(jù)安全分類分級(jí)保護(hù)、風(fēng)險(xiǎn)評(píng)估、檢測(cè)認(rèn)證等管理制度、技術(shù)規(guī)范和實(shí)施細(xì)則，建立處理周期的數(shù)據(jù)安全管理制度和數(shù)據(jù)安全工作責(zé)任制度；三是合規(guī)審計(jì)方面，（二）智慧城市數(shù)據(jù)安全運(yùn)營(yíng)管理需求針對(duì)智慧城市數(shù)據(jù)安全領(lǐng)域缺乏專業(yè)化數(shù)據(jù)安全運(yùn)營(yíng)管理機(jī)制，內(nèi)部管理不規(guī)范等風(fēng)險(xiǎn)，智慧城市在數(shù)據(jù)安全運(yùn)營(yíng)方面應(yīng)不斷加強(qiáng)完善日常運(yùn)維、安全監(jiān)測(cè)、應(yīng)急處置、安全檢查與審計(jì)、常態(tài)化攻防演練等能力，建立持續(xù)化、一體化的安全運(yùn)營(yíng)機(jī)制，實(shí)現(xiàn)對(duì)數(shù)據(jù)資產(chǎn)、安全策略、安全風(fēng)險(xiǎn)和安全日常運(yùn)維方面，需建立數(shù)據(jù)安全運(yùn)維團(tuán)隊(duì)，各個(gè)業(yè)務(wù)系統(tǒng)對(duì)接數(shù)據(jù)安全安全監(jiān)測(cè)方面，需建設(shè)數(shù)據(jù)安全態(tài)勢(shì)感知平臺(tái)，完善威脅監(jiān)測(cè)響應(yīng)能力建設(shè)，強(qiáng)化數(shù)據(jù)和應(yīng)用訪問(wèn)過(guò)程中異常行為和數(shù)據(jù)泄露的風(fēng)險(xiǎn)監(jiān)測(cè)，充分整安全檢查、安全審計(jì)方面，建立常態(tài)化的安全檢查工作機(jī)制，并根據(jù)數(shù)（三）智慧城市數(shù)據(jù)安全技術(shù)體系需求智慧城市數(shù)據(jù)量大、種類多、流動(dòng)性和傳播性強(qiáng)，所蘊(yùn)含的巨大價(jià)值使其極易成為攻擊的重點(diǎn)目標(biāo)，在數(shù)據(jù)處理各環(huán)節(jié)均伴隨各類安全風(fēng)險(xiǎn)，特別單一的安全防護(hù)技術(shù)缺乏協(xié)調(diào)聯(lián)動(dòng)能力，無(wú)法形成安全協(xié)同，難以應(yīng)對(duì)智慧城市面臨的安全威脅。因此，從數(shù)據(jù)處理安全技術(shù)出發(fā)需建立全方位、一體一方面需要不斷完善和建設(shè)數(shù)據(jù)分類分級(jí)、數(shù)據(jù)脫敏、數(shù)據(jù)加密、數(shù)據(jù)銷毀等基礎(chǔ)防護(hù)技術(shù)，加強(qiáng)隱私計(jì)算、數(shù)據(jù)流轉(zhuǎn)分析等關(guān)鍵技術(shù)來(lái)保障智慧件、APT攻擊等外部網(wǎng)絡(luò)攻擊。最后為提高自主可控性，在安全防護(hù)技術(shù)中（四）智慧城市新技術(shù)應(yīng)用的安全需求近年來(lái)，新技術(shù)的快速興起，在促進(jìn)智慧城市發(fā)展的同時(shí)也帶來(lái)了新的安全問(wèn)題。如何運(yùn)用新興技術(shù)為智慧城市數(shù)據(jù)安全保駕護(hù)航，已經(jīng)成為未來(lái)智慧城市建設(shè)的重中之重。本文從加密技術(shù)、人工智能技術(shù)兩方面舉例說(shuō)明數(shù)據(jù)加密技術(shù)是智慧城市數(shù)據(jù)安全的核心技術(shù)之一，對(duì)保障智慧城市各領(lǐng)域數(shù)據(jù)的機(jī)密性、完整性發(fā)揮著重要作用。因此，需要建設(shè)可以抵抗量子計(jì)算攻擊的新型密碼體系。一是要探索量子安全技術(shù)網(wǎng)絡(luò)總體架構(gòu)、網(wǎng)絡(luò)控制、密鑰分發(fā)管控、小型化、移動(dòng)化等關(guān)鍵技術(shù)，推動(dòng)網(wǎng)絡(luò)建設(shè)驗(yàn)證與關(guān)鍵技術(shù)應(yīng)用；二是探索基于后量子密碼算法協(xié)議、無(wú)線網(wǎng)絡(luò)環(huán)境中量子密鑰傳境中的應(yīng)用，推動(dòng)量子密碼技術(shù)向多行業(yè)領(lǐng)域的融合創(chuàng)新應(yīng)用；三是加強(qiáng)抗量子密碼算法的研究，提高密碼算法在各類數(shù)據(jù)加密場(chǎng)景和身份認(rèn)證場(chǎng)景中近年來(lái)，人工智能相關(guān)技術(shù)不斷發(fā)展，正在加快與智慧城市各個(gè)行業(yè)的深度融合。雖然人工智能提高了智慧城市建設(shè)和管理的規(guī)范化、精準(zhǔn)化和智能化水平，但是它也面臨著投毒攻擊、對(duì)抗攻擊等特有攻擊，加大了智慧城市數(shù)據(jù)安全性方面的挑戰(zhàn)。一方面要推進(jìn)人工智能可信安全技術(shù)的研究，使四、智慧城市數(shù)據(jù)安全解決方案（一）智慧城市數(shù)據(jù)安全總體架構(gòu)（二）智慧城市數(shù)據(jù)處理周期安全智慧城市大數(shù)據(jù)平臺(tái)通過(guò)資產(chǎn)掃描、元數(shù)據(jù)接口對(duì)接、數(shù)據(jù)字典導(dǎo)入等方式，收集、發(fā)現(xiàn)各對(duì)接系統(tǒng)的數(shù)據(jù)資產(chǎn)，其中資產(chǎn)掃描方式是以任務(wù)形式對(duì)指定城市平臺(tái)內(nèi)的各類數(shù)據(jù)庫(kù)、涉敏文件進(jìn)行嗅探，自動(dòng)發(fā)現(xiàn)數(shù)據(jù)資產(chǎn)并進(jìn)行備案，再通過(guò)對(duì)指定數(shù)據(jù)庫(kù)、大數(shù)據(jù)或文件進(jìn)行掃描，識(shí)別數(shù)據(jù)資產(chǎn)與分類分級(jí)情況；數(shù)據(jù)字典可通過(guò)文件導(dǎo)入或與元數(shù)據(jù)系統(tǒng)的接口對(duì)接方式獲智慧城市大數(shù)據(jù)平臺(tái)通過(guò)主動(dòng)發(fā)起數(shù)據(jù)探測(cè)行為，對(duì)數(shù)據(jù)源或結(jié)構(gòu)化文正則表達(dá)式、自然語(yǔ)言識(shí)別等規(guī)則匹配，進(jìn)行數(shù)據(jù)特征的智能識(shí)別，該技術(shù)可以判斷輸入數(shù)據(jù)的特征是屬于個(gè)人姓名、身份證號(hào)、手機(jī)/座機(jī)號(hào)、職業(yè)、地址、納稅人識(shí)別號(hào)等類型。通過(guò)數(shù)據(jù)資產(chǎn)自動(dòng)發(fā)現(xiàn)與識(shí)別技術(shù)，可以對(duì)需智慧城市大數(shù)據(jù)平臺(tái)對(duì)發(fā)現(xiàn)的數(shù)據(jù)資產(chǎn)，面向字段名、字段描述、數(shù)據(jù)樣本三要素，通過(guò)數(shù)據(jù)識(shí)別引擎進(jìn)行自動(dòng)化的敏感數(shù)據(jù)特征識(shí)別，與數(shù)據(jù)分類分級(jí)模板中明細(xì)分類建立映射關(guān)系，快速生成數(shù)據(jù)分類分級(jí)策略，完成數(shù)數(shù)據(jù)分類分級(jí)模板依照智慧城市特點(diǎn)，對(duì)經(jīng)濟(jì)、證券、工控、政務(wù)等行《證券期貨業(yè)數(shù)據(jù)分類分級(jí)指引》（JR/T0158—2018）、《石油和化工行業(yè)智慧城市大數(shù)據(jù)平臺(tái)針對(duì)數(shù)據(jù)字段和字段描述，通過(guò)運(yùn)用謂詞切分與語(yǔ)義分析技術(shù)，幫助了解和定義數(shù)據(jù)的業(yè)務(wù)分類，進(jìn)一步通過(guò)表和字段自動(dòng)關(guān)聯(lián)分析，對(duì)業(yè)務(wù)分類關(guān)鍵字進(jìn)行鉆取、分析、統(tǒng)計(jì)，幫助對(duì)業(yè)務(wù)分類進(jìn)行統(tǒng)計(jì)確認(rèn)，并與數(shù)據(jù)分類分級(jí)模板中的明細(xì)分類建立映射關(guān)系，生成更加精確字段描述、數(shù)據(jù)特征等作為向量，進(jìn)行機(jī)器學(xué)習(xí)建模，并根據(jù)知識(shí)庫(kù)模型智能預(yù)測(cè)大規(guī)模數(shù)據(jù)的分類分級(jí)打標(biāo)，實(shí)現(xiàn)數(shù)據(jù)自動(dòng)分類分級(jí)，輸出數(shù)據(jù)分類分級(jí)報(bào)告。并通過(guò)面向行業(yè)或系統(tǒng)的持續(xù)模型優(yōu)化，形成數(shù)據(jù)分類分級(jí)模型知識(shí)庫(kù)，向全自動(dòng)數(shù)據(jù)分類分級(jí)邁進(jìn)。數(shù)據(jù)分類分級(jí)結(jié)果根據(jù)數(shù)據(jù)重要性，數(shù)據(jù)脫敏是指對(duì)某些敏感信息通過(guò)脫敏規(guī)則進(jìn)行數(shù)據(jù)的變形，實(shí)現(xiàn)敏感對(duì)敏感數(shù)據(jù)去標(biāo)簽化處理。脫敏算法包含掩碼、截?cái)嗪凸?，脫敏技術(shù)應(yīng)支持通過(guò)靈活多樣的內(nèi)置或自定義脫敏算法，實(shí)現(xiàn)了智慧城市各類數(shù)據(jù)的不同智慧城市中存在用戶身份證號(hào)、手機(jī)號(hào)碼、家庭地址等大量敏感數(shù)據(jù)，面臨內(nèi)部非授權(quán)訪問(wèn)泄露、外部黑客攻擊拖庫(kù)等威脅，一旦泄露將對(duì)城市安全產(chǎn)生較大挑戰(zhàn)。通過(guò)使用加密技術(shù)，將敏感數(shù)據(jù)加密保護(hù)，對(duì)抗數(shù)據(jù)明文泄露威脅。靜態(tài)加密技術(shù)應(yīng)包括密鑰管理技術(shù)、專屬加密技術(shù)、數(shù)據(jù)靜態(tài)加智慧城市各系統(tǒng)之間需統(tǒng)一密鑰方使得各加密數(shù)據(jù)一致，密鑰管理技術(shù)（KMS）幫助智慧城市各系統(tǒng)平臺(tái)統(tǒng)一管理密鑰、敏感數(shù)據(jù)加密、數(shù)據(jù)數(shù)字簽名等，支持智慧城市管理人員創(chuàng)建、啟用、禁用、刪除、導(dǎo)入密鑰；支持?jǐn)?shù)據(jù)靜態(tài)加密方案，一般支持對(duì)稱：SM1/SM4/AES/SM7、非對(duì)稱：SM2/RSA(1024~4096)、摘要：SM3/SHA256/等）數(shù)據(jù)處于加密狀態(tài)，并可根據(jù)數(shù)據(jù)保密需求的不同，設(shè)置不同的加密算針對(duì)智慧城市數(shù)據(jù)使用場(chǎng)景過(guò)多、數(shù)據(jù)使用頻繁的情況，審計(jì)系統(tǒng)一般采用分布式輕量插件的方式實(shí)現(xiàn)旁路部署。通過(guò)在宿主機(jī)上部署網(wǎng)絡(luò)探針（RMAgent對(duì)數(shù)據(jù)操作進(jìn)行全面審計(jì)，通過(guò)在服務(wù)器中部署數(shù)據(jù)插件（DBLAP），實(shí)現(xiàn)運(yùn)維人員本地?cái)?shù)據(jù)庫(kù)操作審計(jì)，情況下，釋放資源保障數(shù)據(jù)庫(kù)業(yè)務(wù)的正常運(yùn)行。對(duì)數(shù)據(jù)使用、數(shù)據(jù)庫(kù)登錄等程中的數(shù)據(jù)泄露防護(hù)?；谟脩艏?jí)別和數(shù)據(jù)級(jí)別，配置數(shù)據(jù)訪問(wèn)權(quán)限策略，智慧城市數(shù)據(jù)傳輸通過(guò)安全基礎(chǔ)設(shè)施提供的加密網(wǎng)關(guān)等數(shù)據(jù)加密保護(hù)功能，對(duì)傳輸協(xié)議、鏈路進(jìn)行加密，保障傳輸安全；通過(guò)安全基礎(chǔ)設(shè)施提供的密碼服務(wù)等數(shù)據(jù)加密保護(hù)功能，對(duì)數(shù)據(jù)進(jìn)行簽名和驗(yàn)簽，防止身份抵賴。常全流量采集監(jiān)測(cè)分析技術(shù)，其傳輸監(jiān)控的位點(diǎn)包括了智慧城市各平臺(tái)間傳輸?shù)木W(wǎng)絡(luò)監(jiān)控，智慧城市平臺(tái)內(nèi)部數(shù)據(jù)操作的應(yīng)用監(jiān)控，客戶訪問(wèn)智慧城市的接口監(jiān)控等。將監(jiān)控的所有節(jié)點(diǎn)實(shí)時(shí)上傳至監(jiān)控統(tǒng)一平臺(tái)，平臺(tái)系統(tǒng)監(jiān)測(cè)節(jié)點(diǎn)狀態(tài)、業(yè)務(wù)流向；對(duì)分析發(fā)現(xiàn)的可疑威脅源與高風(fēng)險(xiǎn)事件，進(jìn)行持續(xù)網(wǎng)絡(luò)監(jiān)控技術(shù)具有仿冒檢測(cè)能力，持續(xù)檢測(cè)數(shù)據(jù)采集設(shè)備運(yùn)行狀態(tài)，當(dāng)發(fā)現(xiàn)設(shè)備存在網(wǎng)絡(luò)環(huán)境變更（如網(wǎng)絡(luò)中斷重新接入），或網(wǎng)絡(luò)行為出現(xiàn)變更化時(shí)，確認(rèn)設(shè)備仿冒事件發(fā)生。當(dāng)確認(rèn)設(shè)備發(fā)生仿冒，準(zhǔn)入系統(tǒng)需要通過(guò)連接重置的方式對(duì)設(shè)備網(wǎng)絡(luò)流量進(jìn)行限制或聯(lián)動(dòng)網(wǎng)絡(luò)設(shè)備的方式直接切斷設(shè)備網(wǎng)絡(luò)連接。同時(shí)記錄完整的發(fā)現(xiàn)及處置日志，滿足合規(guī)審計(jì)要求。網(wǎng)絡(luò)監(jiān)控應(yīng)用監(jiān)控技術(shù)具備內(nèi)部數(shù)據(jù)調(diào)用檢測(cè)能力，持續(xù)監(jiān)測(cè)各數(shù)據(jù)庫(kù)內(nèi)部數(shù)據(jù)調(diào)用的合法正規(guī)性，當(dāng)發(fā)現(xiàn)數(shù)據(jù)庫(kù)被大量或惡意調(diào)用，將自動(dòng)阻斷并進(jìn)行告接口監(jiān)控技術(shù)具備對(duì)智慧城市全部流量采集匯聚，搭配流量審計(jì)系統(tǒng)可對(duì)用戶訪問(wèn)的所有行為檢測(cè)建模。通過(guò)與防火墻等網(wǎng)關(guān)設(shè)備聯(lián)動(dòng)，對(duì)非法身動(dòng)態(tài)數(shù)據(jù)脫敏旨在通過(guò)類似網(wǎng)絡(luò)代理的中間件技術(shù)，按照脫敏規(guī)則對(duì)于外部申請(qǐng)?zhí)峁┑臄?shù)據(jù)進(jìn)行及時(shí)處理并返回脫敏后結(jié)果。動(dòng)態(tài)脫敏通常會(huì)在數(shù)智慧城市大數(shù)據(jù)平臺(tái)應(yīng)可設(shè)置動(dòng)態(tài)脫敏規(guī)則，針對(duì)不同的訪問(wèn)身份，動(dòng)態(tài)遮蔽查詢返回的高級(jí)別數(shù)據(jù)內(nèi)容，防止智慧城市核心數(shù)據(jù)通過(guò)水滴式收集和屏幕拍攝的方式大量泄露。如針對(duì)智慧城市對(duì)市民服務(wù)的業(yè)務(wù)，應(yīng)區(qū)分調(diào)用數(shù)據(jù)的賬號(hào)，當(dāng)存在普通市民帳號(hào)請(qǐng)求數(shù)據(jù)時(shí)，應(yīng)動(dòng)態(tài)配置脫敏方案，防數(shù)據(jù)暴露面，避免出現(xiàn)安全管理盲區(qū)，降低數(shù)據(jù)泄露和合規(guī)風(fēng)險(xiǎn)。圍繞業(yè)務(wù)流轉(zhuǎn)環(huán)節(jié)進(jìn)行風(fēng)險(xiǎn)關(guān)聯(lián)分析，實(shí)現(xiàn)敏感數(shù)據(jù)傳輸與違規(guī)監(jiān)測(cè)、異常行為風(fēng)險(xiǎn)監(jiān)測(cè)，以確保日常數(shù)據(jù)處理活動(dòng)的安全、合規(guī)。數(shù)據(jù)對(duì)外接口管控主要包括API應(yīng)用接口地圖繪制、行為異常監(jiān)測(cè)、數(shù)據(jù)內(nèi)容合規(guī)監(jiān)測(cè)等功智慧城市數(shù)據(jù)水印是指從原始環(huán)境向目標(biāo)環(huán)境進(jìn)行敏感數(shù)據(jù)公開(kāi)時(shí)，通分發(fā)目的等因素，同時(shí)保留目標(biāo)環(huán)境業(yè)務(wù)所需的數(shù)據(jù)特性或內(nèi)容的數(shù)據(jù)處理這項(xiàng)技術(shù)主要用于在智慧城市數(shù)據(jù)公開(kāi)中的事后追責(zé)活動(dòng)：通過(guò)對(duì)已經(jīng)發(fā)生數(shù)據(jù)安全損害事件中的特定行為成因進(jìn)行探究，從導(dǎo)致結(jié)果的成因中找出權(quán)重最大或最初始階段的行為主體，再以規(guī)章為依據(jù)追究其相關(guān)責(zé)任。相關(guān)數(shù)據(jù)安全事件既可以是數(shù)據(jù)泄露，也可以是數(shù)據(jù)被濫用或者盜版、販賣等智慧城市中存在大量的文檔文件，對(duì)于指定用戶或用戶組終端中標(biāo)注為指定密級(jí)的文件，在打印時(shí)自動(dòng)加標(biāo)水印。水印可以通過(guò)普通水印或二維碼等方式實(shí)現(xiàn)，支持水印的打印位置、透明度等參數(shù)的靈活設(shè)置，同時(shí)也支持?jǐn)?shù)據(jù)銷毀實(shí)現(xiàn)在停止智慧城市業(yè)務(wù)服務(wù)、數(shù)據(jù)使用以及存儲(chǔ)空間再分配的場(chǎng)景下，對(duì)數(shù)據(jù)庫(kù)、服務(wù)器以及終端中的數(shù)據(jù)、文件、帳號(hào)等信息進(jìn)行擦除或者物理銷毀。核心安全能力要具備介質(zhì)銷毀、數(shù)據(jù)銷毀以及銷毀過(guò)程審密鑰管理系統(tǒng)對(duì)已有密鑰進(jìn)行銷毀。密鑰銷毀時(shí)為防止密鑰泄露造成從前加密的信息被破譯，要及時(shí)銷毀已不再使用的密鑰。正常銷毀時(shí)，需將密鑰和密鑰備份的所有信息清除，清除的方法可以是數(shù)字方式的，也可以是物理方（三）智慧城市數(shù)據(jù)安全管理針對(duì)當(dāng)前智慧城市開(kāi)展數(shù)據(jù)安全治理面臨的主要風(fēng)險(xiǎn)和關(guān)鍵需求分析，本白皮書面向智慧城市，從組織架構(gòu)、制度建設(shè)、監(jiān)管實(shí)施三個(gè)方面，持續(xù)智慧城市負(fù)責(zé)數(shù)據(jù)安全治理例行事宜的通常是一個(gè)常設(shè)團(tuán)隊(duì)，一般稱為數(shù)據(jù)安全治理委員會(huì)或安全管理小組。團(tuán)隊(duì)的職責(zé)是制定對(duì)數(shù)據(jù)進(jìn)行分類、分級(jí)、保護(hù)、使用和管理的原則、策略和過(guò)程，維護(hù)運(yùn)營(yíng)日常數(shù)據(jù)安全相關(guān)事宜。團(tuán)隊(duì)的成員應(yīng)包括城市運(yùn)營(yíng)機(jī)構(gòu)內(nèi)的安全專家，以及所有與數(shù)據(jù)安全人等）的人員代表；在一些大型的智慧城市建設(shè)中，因?yàn)閿?shù)據(jù)安全正日益變成國(guó)家安全的重要問(wèn)題，甚至?xí)ǔ鞘泄芾頉Q策一把手（市領(lǐng)導(dǎo)）擔(dān)任主策層、管理層、支持層，外加一個(gè)貫穿數(shù)據(jù)安全治理全程并負(fù)責(zé)對(duì)上述三層負(fù)責(zé)對(duì)智慧城市體系開(kāi)展和實(shí)施數(shù)據(jù)安全治理的體系目標(biāo)、范圍、策略等進(jìn)行決策。決策層成員包括智慧城市管理最高負(fù)責(zé)人（如該城市管理范圍的第一領(lǐng)導(dǎo)）和信息安全方面的最高負(fù)責(zé)人（如主管信息化的委辦局第一領(lǐng)導(dǎo)等），同時(shí)可以考慮由負(fù)責(zé)智慧城市建設(shè)的設(shè)計(jì)單位負(fù)責(zé)人以及對(duì)接各平管理層一般由來(lái)自專門的數(shù)據(jù)管理部門人員組成，負(fù)責(zé)數(shù)據(jù)安全治理體系的建設(shè)、培訓(xùn)和運(yùn)營(yíng)維護(hù)工作。在智慧城市啟動(dòng)建設(shè)的早期，管理層需要牽頭對(duì)各組織現(xiàn)有的數(shù)據(jù)資產(chǎn)進(jìn)行梳理，向業(yè)務(wù)運(yùn)營(yíng)、數(shù)據(jù)分析等數(shù)據(jù)使用部門充分了解與數(shù)據(jù)安全有關(guān)的業(yè)務(wù)需求，分析評(píng)估安全威脅和潛在風(fēng)險(xiǎn)，并詳盡調(diào)研各政策、法律、標(biāo)準(zhǔn)、規(guī)范中的數(shù)據(jù)安全合規(guī)要求，然后根據(jù)智慧城市的風(fēng)險(xiǎn)承受能力和財(cái)務(wù)預(yù)算，規(guī)劃和起草適宜自身的數(shù)據(jù)安全操作規(guī)程等制度文檔。在制度規(guī)范得到?jīng)Q策層認(rèn)可后，管理層要組織相關(guān)培訓(xùn)，以推動(dòng)制度在智慧城市各平臺(tái)內(nèi)的推廣和落地實(shí)施。管理層還要承擔(dān)起維護(hù)數(shù)據(jù)安全制度持續(xù)運(yùn)轉(zhuǎn)的保障工作，并及時(shí)做出更新、調(diào)整和優(yōu)化，以更好適支持層一般由來(lái)自業(yè)務(wù)平臺(tái)和運(yùn)維部門的人員組成。這些人員是數(shù)據(jù)的使用者、管理者、維護(hù)者、分發(fā)者，同時(shí)也是數(shù)據(jù)安全策略、規(guī)范和流程的重要執(zhí)行者和管理對(duì)象。在智慧城市數(shù)據(jù)安全治理啟動(dòng)建設(shè)的早期，支持層負(fù)責(zé)協(xié)助管理層詳細(xì)了解并深入理解智慧城市在使用過(guò)程中的各種數(shù)據(jù)安全需求；對(duì)管理層提出的數(shù)據(jù)安全操作規(guī)程等制度和方案的可行性和易用性，進(jìn)行細(xì)致的分析和評(píng)估，并將結(jié)果反饋給決策層，以支撐后者做出明智、正確的決策。數(shù)據(jù)安全制度正式發(fā)布實(shí)施后，支持層要在其日常例行工作中嚴(yán)監(jiān)督層一般由智慧城市的審計(jì)部門承擔(dān)，負(fù)責(zé)定期對(duì)數(shù)據(jù)安全方面的制度、策略、規(guī)范等的貫徹落實(shí)和執(zhí)行遵守情況進(jìn)行考查與審核，并將結(jié)果匯報(bào)給決策層。監(jiān)督層的關(guān)鍵是要具有獨(dú)立性，確保其審計(jì)核查工作不會(huì)受到來(lái)自其他三層，特別是管理層和支持層的相關(guān)利益或動(dòng)機(jī)的影響和干擾，從提供重要用戶個(gè)人信息、城市用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個(gè)人信息處理者，還需成立主要由外部成員組成的獨(dú)立機(jī)構(gòu)對(duì)智慧城市數(shù)據(jù)保護(hù)情況進(jìn)行以總體國(guó)家安全觀的全局視角，強(qiáng)化安全意識(shí)，樹(shù)立底線思維，明確安加強(qiáng)與業(yè)務(wù)條線和監(jiān)管部門的協(xié)同與合作等方面進(jìn)行數(shù)字政府安全保障體系頂層設(shè)計(jì)、建立數(shù)字政府安全管理制度、政策和標(biāo)準(zhǔn)化體系，以指導(dǎo)和約束第一層是管理總綱，是智慧城市組織數(shù)據(jù)安全治理的戰(zhàn)略導(dǎo)向。應(yīng)明確組織管理與技術(shù)并重”的數(shù)據(jù)安全治理方針；第二層是管理制度，是數(shù)據(jù)安全治理體系建設(shè)導(dǎo)向。應(yīng)建立智慧城市相關(guān)的具體制度，如城市運(yùn)營(yíng)責(zé)任要求、檢查評(píng)價(jià)、教育培訓(xùn)等；第三層是操作流程和規(guī)范性文件，是組織安全規(guī)范導(dǎo)向，是智慧城市建設(shè)和運(yùn)營(yíng)期間的具體規(guī)范指導(dǎo)。作為制度要求下指導(dǎo)數(shù)據(jù)安全策略落地的指南。應(yīng)建立城市數(shù)據(jù)分類分級(jí)操作指南、技術(shù)防護(hù)操作規(guī)范、數(shù)據(jù)安全審計(jì)規(guī)范、合規(guī)評(píng)估、監(jiān)測(cè)預(yù)警響應(yīng)流程、運(yùn)營(yíng)運(yùn)維流程等指導(dǎo)性文件。指導(dǎo)性文件應(yīng)詳細(xì)指導(dǎo)操作人員每一步工作具體流程命令與要求；第四層是表單文件，是組織安全執(zhí)行記錄。作為數(shù)據(jù)安全落地運(yùn)營(yíng)過(guò)程中產(chǎn)生的執(zhí)行文件。應(yīng)建立城市數(shù)據(jù)資產(chǎn)管理臺(tái)賬清單、數(shù)據(jù)使用申請(qǐng)審批查評(píng)估”三位一體的數(shù)據(jù)安全監(jiān)管審計(jì)體系，開(kāi)展常態(tài)化監(jiān)測(cè)分析服務(wù)，提升智慧城市數(shù)據(jù)安全監(jiān)管能力，構(gòu)建具備實(shí)時(shí)監(jiān)測(cè)、精準(zhǔn)定位、高效管理能高位監(jiān)管咨詢：結(jié)合智慧城市實(shí)際情況，優(yōu)化安全管理制度體系，明確各部門安全管理職責(zé)，明確相關(guān)安全標(biāo)準(zhǔn)及管控要求，使安全審計(jì)工作有據(jù)可依、責(zé)任到人。結(jié)合國(guó)家在宏觀安全態(tài)勢(shì)、政策法規(guī)要求、威脅情報(bào)、安全指引等方面的優(yōu)勢(shì)，圍繞監(jiān)管職能為開(kāi)展監(jiān)測(cè)審計(jì)，全面挖掘智慧城市數(shù)中位常態(tài)監(jiān)測(cè)：建設(shè)數(shù)據(jù)安全數(shù)據(jù)安全監(jiān)管平臺(tái)，在數(shù)據(jù)平臺(tái)邊界部署流量采集探針，利用流量分析手段，實(shí)現(xiàn)對(duì)流量側(cè)個(gè)人信息和城市重要數(shù)據(jù)的識(shí)別發(fā)現(xiàn)，對(duì)數(shù)據(jù)發(fā)布、使用和開(kāi)放共享、跨境傳輸過(guò)程中數(shù)據(jù)泄露風(fēng)險(xiǎn)低位檢查評(píng)估：對(duì)標(biāo)智慧城市安全管理制度檢查要點(diǎn)、相關(guān)法律法規(guī)要求、涉及行業(yè)安全要求等方面，從各安全維度建立自評(píng)估體系，定期人工審計(jì)，提前識(shí)別和處置相應(yīng)風(fēng)險(xiǎn)及問(wèn)題點(diǎn)，并提供整改建議。對(duì)于高、中位能力發(fā)現(xiàn)的數(shù)據(jù)安全漏洞及事件告警，通過(guò)安全專家介入，對(duì)事件開(kāi)展實(shí)地分析研判，支撐取證溯源，協(xié)調(diào)技術(shù)處置，持續(xù)對(duì)平臺(tái)數(shù)據(jù)安全監(jiān)測(cè)模型、監(jiān)（四）智慧城市數(shù)據(jù)安全運(yùn)營(yíng)智慧城市安全運(yùn)營(yíng)中心是聯(lián)動(dòng)市、區(qū)縣網(wǎng)絡(luò)安全工作的總樞紐、是市域各單位獲取安全能力的總資源池、是市域一體化安全運(yùn)營(yíng)的總工作站。一是化，形成本地化安全資源與服務(wù)目錄。對(duì)全市單位進(jìn)行開(kāi)放，各單位可以自主化、定制化使用安全資源能力；二是統(tǒng)籌安全服務(wù)團(tuán)隊(duì)。整合市場(chǎng)上優(yōu)秀的數(shù)據(jù)安全產(chǎn)品與優(yōu)秀廠商的安全服務(wù)，將不同服務(wù)商提供的碎片化的安全服務(wù)整合成“城市主導(dǎo)、聯(lián)合運(yùn)營(yíng)”的一體化安全運(yùn)營(yíng)服務(wù)機(jī)制。各廠商安全服務(wù)成員統(tǒng)一納入安全運(yùn)營(yíng)中心統(tǒng)一服務(wù)團(tuán)隊(duì)，將生態(tài)服務(wù)商整合成一個(gè)有機(jī)整體，達(dá)到持續(xù)優(yōu)化、動(dòng)態(tài)運(yùn)營(yíng)的效果；三是統(tǒng)一安全運(yùn)營(yíng)服務(wù)機(jī)制，建立安全運(yùn)營(yíng)服務(wù)規(guī)范與標(biāo)準(zhǔn)化流程。各服務(wù)商團(tuán)隊(duì)采用同一個(gè)標(biāo)準(zhǔn)參與、同一個(gè)標(biāo)準(zhǔn)考核、同一套流程開(kāi)展服務(wù)，共同維護(hù)智慧城市數(shù)據(jù)安全；四是統(tǒng)一數(shù)據(jù)安全策略管理，以數(shù)據(jù)為中心來(lái)制定安全策略，以分類分級(jí)結(jié)果為基礎(chǔ)，通過(guò)安全策略管理中心下發(fā)對(duì)應(yīng)策略實(shí)行不同級(jí)別的數(shù)據(jù)安全防護(hù)。數(shù)據(jù)安全策略包括敏感數(shù)據(jù)發(fā)現(xiàn)策略、脫敏策略、加密策略、水印策略、訪數(shù)據(jù)安全運(yùn)營(yíng)中心包括態(tài)勢(shì)感知、威脅情報(bào)、資產(chǎn)管理、數(shù)據(jù)地圖、統(tǒng)安全運(yùn)營(yíng)中心落地建設(shè)完成后，將不斷升級(jí)智慧化分析能力，實(shí)現(xiàn)人機(jī)協(xié)同網(wǎng)絡(luò)安全分析和防御的先進(jìn)能力，同時(shí)以動(dòng)態(tài)化的方式對(duì)智慧城市相關(guān)安全通過(guò)數(shù)據(jù)安全處理周期安全防護(hù)，強(qiáng)化日常數(shù)據(jù)安全運(yùn)營(yíng)工作，不斷完善數(shù)據(jù)安全管理體系，智慧城市應(yīng)通過(guò)安全應(yīng)急響應(yīng)工作對(duì)安全問(wèn)題進(jìn)行閉環(huán)。安全應(yīng)急響應(yīng)流程分為準(zhǔn)備階段、檢測(cè)階段、抑制階段、根除階段、恢準(zhǔn)備階段：組建應(yīng)急響應(yīng)組織，熟練掌握應(yīng)急響應(yīng)制度，系統(tǒng)性識(shí)別運(yùn)行維護(hù)服務(wù)對(duì)象及運(yùn)行維護(hù)活動(dòng)中可能出現(xiàn)的風(fēng)險(xiǎn)，定義應(yīng)急事件級(jí)別，制定預(yù)案，開(kāi)展培訓(xùn)和演練。這其中要求智慧城市參與真實(shí)網(wǎng)絡(luò)攻防演練，全檢測(cè)階段：進(jìn)行日常監(jiān)測(cè)，及時(shí)發(fā)現(xiàn)應(yīng)急事件并有效預(yù)整，進(jìn)行核實(shí)和抑制階段：采取必要的應(yīng)急調(diào)度手段,基于預(yù)案開(kāi)展故障排查與診斷，對(duì)針對(duì)大型城市數(shù)據(jù)泄露事件，應(yīng)急處置同時(shí)應(yīng)上報(bào)上級(jí)機(jī)關(guān)和國(guó)家網(wǎng)絡(luò)安全根除階段：進(jìn)一步分析信息安全事件，找出事件根因并徹底消除。包括恢復(fù)階段：對(duì)系統(tǒng)數(shù)據(jù)損失進(jìn)行容災(zāi)備份恢復(fù)，恢復(fù)系統(tǒng)的運(yùn)行過(guò)程，跟進(jìn)階段：總結(jié)經(jīng)驗(yàn)持續(xù)監(jiān)控，在日常運(yùn)營(yíng)中持續(xù)改進(jìn)，提升系統(tǒng)安全對(duì)敏感數(shù)據(jù)的流轉(zhuǎn)場(chǎng)景，如敏感信息未脫敏、無(wú)認(rèn)證訪問(wèn)行為、參數(shù)篡改訪問(wèn)、低權(quán)訪問(wèn)高權(quán)業(yè)務(wù)、批量且高頻地訪問(wèn)敏感信息和高頻外發(fā)等進(jìn)行監(jiān)測(cè)和審計(jì)，若違反預(yù)設(shè)監(jiān)測(cè)模型的場(chǎng)景發(fā)生異常訪問(wèn)行為則進(jìn)行告警及通基于異常行為規(guī)則和敏感信息訪問(wèn)規(guī)則，結(jié)合UEBA(UserandEntityBehaviorAnalytics)技術(shù)，實(shí)現(xiàn)用戶異常行為及敏感信息訪問(wèn)分析、異常訪問(wèn)分析和操作行為分析。結(jié)合前序、后續(xù)頁(yè)面操作提升證據(jù)的準(zhǔn)確性，可協(xié)開(kāi)展數(shù)據(jù)安全評(píng)估，涵蓋數(shù)據(jù)安全合規(guī)評(píng)估、重要數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估、個(gè)人業(yè)務(wù)重大變更、處理重要數(shù)據(jù)、處理敏感個(gè)人信息等滿足條件的事項(xiàng)開(kāi)展相應(yīng)數(shù)據(jù)安全評(píng)估，發(fā)現(xiàn)數(shù)據(jù)安全風(fēng)險(xiǎn)，制定有針對(duì)性的數(shù)據(jù)安全改進(jìn)方案及（五）智慧城市公共領(lǐng)域攻擊防范智慧城市網(wǎng)絡(luò)安全建設(shè)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)、關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求，構(gòu)建符合網(wǎng)絡(luò)安全等級(jí)保護(hù)三級(jí)及以上要求的安全防護(hù)體系，增強(qiáng)各數(shù)據(jù)平臺(tái)到智慧城市大數(shù)據(jù)平臺(tái)的不同系統(tǒng)之間的安全防護(hù)能力，確保智慧合理規(guī)劃安全域：智慧城市網(wǎng)絡(luò)邊界防護(hù)是構(gòu)建智慧城市網(wǎng)絡(luò)安全縱深防御體系中的重要環(huán)節(jié)，防范非授權(quán)的訪問(wèn)、阻斷非法入侵以及對(duì)惡意代碼的檢測(cè)和防護(hù)等技術(shù)防護(hù)措施是保障智慧城市網(wǎng)絡(luò)安全防護(hù)的基石。在智慧城市網(wǎng)絡(luò)安全建設(shè)時(shí)，需要合理劃分邏輯區(qū)域，基于“零信任安全”一體化網(wǎng)絡(luò)訪問(wèn)控制、入侵防范、惡意代碼防范、異常流量清洗與防護(hù)等，實(shí)現(xiàn)在源頭對(duì)非信任用戶進(jìn)行網(wǎng)絡(luò)訪問(wèn)隔離，構(gòu)建無(wú)法抵賴、無(wú)法篡改、動(dòng)態(tài)訪問(wèn)部署安全防護(hù)設(shè)備：在網(wǎng)絡(luò)層面各公共領(lǐng)域訪問(wèn)流量應(yīng)通過(guò)各項(xiàng)安全設(shè)備，可有效應(yīng)對(duì)網(wǎng)絡(luò)攻擊、惡意代碼、爬蟲、DDoS攻擊、釣魚郵件、APT攻擊等；服務(wù)器應(yīng)部署服務(wù)器系統(tǒng)安全產(chǎn)品識(shí)別進(jìn)程異常、病毒木馬、勒索攻擊、惡意操作等風(fēng)險(xiǎn)；運(yùn)維辦公主機(jī)應(yīng)安裝殺毒軟件和零信任系統(tǒng)，防止當(dāng)發(fā)生網(wǎng)絡(luò)故障時(shí)可自動(dòng)切換為高可用網(wǎng)絡(luò)鏈路；數(shù)據(jù)存儲(chǔ)應(yīng)搭配冗余備份全鏈路日志分析：通過(guò)數(shù)據(jù)探針，在智慧城市系統(tǒng)各鏈路中監(jiān)控網(wǎng)絡(luò)、智慧城市信息系統(tǒng)涉及功能較多，技術(shù)較為復(fù)雜。在智慧城市業(yè)務(wù)發(fā)展及能力生態(tài)的建設(shè)中，由于涉及到眾多的應(yīng)用主體，為避免應(yīng)用產(chǎn)品的惡意漏洞以及供應(yīng)鏈攻擊所帶來(lái)的損失。緩解整個(gè)智慧城市數(shù)據(jù)產(chǎn)品生命周期的威脅。本文提出通過(guò)可監(jiān)控和有效驗(yàn)證的數(shù)據(jù)應(yīng)用安全方案。依照風(fēng)險(xiǎn)治理智慧城市的軟件引入要做到嚴(yán)進(jìn)寬用，按照當(dāng)前引入時(shí)間為起始點(diǎn)，去除帶有漏洞的軟件版本，嚴(yán)格控制外部引入風(fēng)險(xiǎn)，認(rèn)定后可認(rèn)為引入的軟件是安全的，可供內(nèi)部使用，直至曝出漏洞，對(duì)軟件進(jìn)行標(biāo)記風(fēng)險(xiǎn)狀態(tài)，進(jìn)入結(jié)合智慧城市管理建立供應(yīng)商灰白黑名單機(jī)制，防范帶有漏洞的軟件版本引入系統(tǒng)。針對(duì)曝出漏洞但未完成治理的軟件或系統(tǒng)進(jìn)行標(biāo)記，嚴(yán)格安全管控。同時(shí)智慧城市各子系統(tǒng)之間應(yīng)做好邏輯隔離，防止惡意軟件在系統(tǒng)之智慧城市交付運(yùn)行后，供應(yīng)商應(yīng)在智慧城市的生命周期內(nèi)提供安全保障服務(wù)，對(duì)產(chǎn)品漏洞及時(shí)修復(fù)；最終智慧城市也應(yīng)根據(jù)供應(yīng)商所提供管理手冊(cè)將供應(yīng)鏈產(chǎn)品納入企業(yè)資產(chǎn)管理定期對(duì)資產(chǎn)進(jìn)行安全評(píng)估，結(jié)合漏洞預(yù)警，在智慧城市信息系統(tǒng)的開(kāi)發(fā)生命周期中，漏洞的引入不止有依賴的開(kāi)源組件、供應(yīng)商等，還有開(kāi)發(fā)人員編寫的源代碼漏洞。依照軟件的開(kāi)發(fā)和構(gòu)建過(guò)程，智慧城市信息系統(tǒng)需要從研發(fā)流程管控方面提升安全能力。系統(tǒng)開(kāi)發(fā)為降低開(kāi)發(fā)過(guò)程中源代碼漏洞的產(chǎn)生，提升源代碼安全質(zhì)量，可使用開(kāi)發(fā)IDE工具和持續(xù)集成過(guò)程中，對(duì)源代碼進(jìn)行安全掃描，或者使用IAST(InteractiveApplicationSecurityTesting,通常指交互式安全測(cè)試工具)在系統(tǒng)運(yùn)根據(jù)數(shù)據(jù)二十條數(shù)據(jù)處理者依法依規(guī)在場(chǎng)內(nèi)和場(chǎng)外采取開(kāi)放、共享、交智慧城市數(shù)據(jù)交換的設(shè)計(jì)基于零信任技術(shù)實(shí)現(xiàn)，既不信任網(wǎng)絡(luò)內(nèi)部和外部的任何訪問(wèn)主體，采用以身份為基礎(chǔ)，持續(xù)評(píng)估訪問(wèn)主體的風(fēng)險(xiǎn)，以動(dòng)態(tài)授予應(yīng)用訪問(wèn)控制權(quán)限為核心，持續(xù)防護(hù)對(duì)接平臺(tái)的雙方安全。智慧城市零持續(xù)風(fēng)險(xiǎn)評(píng)估：以訪問(wèn)主體的身份、行為、網(wǎng)絡(luò)環(huán)境、終端環(huán)境等因素動(dòng)態(tài)訪問(wèn)控制策略：建立基于風(fēng)險(xiǎn)評(píng)估的動(dòng)態(tài)訪問(wèn)控制策略，主體訪問(wèn)應(yīng)用與接口最小化授權(quán)：建立基于應(yīng)用功能和API接口的細(xì)粒度授權(quán)體系，數(shù)據(jù)平臺(tái)對(duì)訪問(wèn)者開(kāi)放滿足最小權(quán)限原則所需的應(yīng)用功能和接口權(quán)限，功能與數(shù)據(jù)分離：數(shù)據(jù)平臺(tái)應(yīng)用分層解耦，將安全能力嵌入應(yīng)用，建立數(shù)據(jù)風(fēng)險(xiǎn)識(shí)別：對(duì)數(shù)據(jù)傳輸過(guò)程中的公開(kāi)數(shù)據(jù)、敏感數(shù)據(jù)、加密數(shù)據(jù)、攻擊數(shù)據(jù)的風(fēng)險(xiǎn)進(jìn)行識(shí)別，采用不同策略進(jìn)行傳輸。采取安全算法對(duì)數(shù)據(jù)進(jìn)區(qū)塊鏈可作為智慧城市數(shù)據(jù)安全的能力基礎(chǔ)，對(duì)數(shù)據(jù)進(jìn)行五、智慧城市數(shù)據(jù)安全發(fā)展建議（一）保障法律法規(guī)及基礎(chǔ)安全標(biāo)準(zhǔn)落地實(shí)施《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》的頒布和實(shí)施，對(duì)城市管理者在數(shù)據(jù)安全治理大方向上提供了重要指導(dǎo)，讓數(shù)據(jù)安全工作做到了有法可依，更好的組織開(kāi)展數(shù)據(jù)安全相關(guān)領(lǐng)域的工作。智慧城市管理者應(yīng)嚴(yán)格遵守國(guó)家及地方“智慧城市數(shù)據(jù)安全”國(guó)家標(biāo)準(zhǔn)體系仍待完善，需加快推進(jìn)相關(guān)標(biāo)準(zhǔn)規(guī)范的制定。國(guó)家層面應(yīng)以處理周期數(shù)據(jù)安全為目標(biāo)，做好分類分級(jí)、風(fēng)險(xiǎn)評(píng)估、技術(shù)要求等基礎(chǔ)標(biāo)準(zhǔn)的制定，并持續(xù)推動(dòng)智慧城市數(shù)據(jù)安全國(guó)標(biāo)標(biāo)準(zhǔn)化（二）推進(jìn)智慧城市數(shù)據(jù)安全技術(shù)和人才發(fā)展智慧城市建設(shè)的背后，有著眾多技術(shù)的支撐，隨著前沿技云計(jì)算、人工智能等新技術(shù)的應(yīng)用，網(wǎng)絡(luò)架構(gòu)、網(wǎng)絡(luò)邊界不斷發(fā)生變化，新抗時(shí)有發(fā)生，安全防御技術(shù)能力提升需要新的防護(hù)技術(shù)研究。數(shù)據(jù)處理周期從收集到銷毀，每一個(gè)環(huán)節(jié)都有對(duì)應(yīng)的安全手段進(jìn)行防護(hù)，如隱私計(jì)算、量子加密，這些新防護(hù)技術(shù)使得數(shù)據(jù)交互使用效率提升的同時(shí)，保障了安全性同時(shí)智慧城市涉及多角色運(yùn)營(yíng)，鼓勵(lì)相關(guān)單位制定人才培訓(xùn)計(jì)劃，建立人才培訓(xùn)基地，開(kāi)展智慧城市深度耦合的數(shù)據(jù)安全人才培養(yǎng)，增強(qiáng)數(shù)據(jù)安全（三）強(qiáng)化智慧城市數(shù)據(jù)安全運(yùn)營(yíng)和管理水平智慧城市建設(shè)過(guò)程中產(chǎn)生大量數(shù)據(jù)資產(chǎn)，而要最大化發(fā)揮數(shù)據(jù)資產(chǎn)的價(jià)從而推動(dòng)智慧城市高效協(xié)同發(fā)展。作為智慧城市的負(fù)責(zé)方應(yīng)建立完善的數(shù)據(jù)治理框架、整理運(yùn)營(yíng)方組織架構(gòu)、明確各角色責(zé)任義務(wù)、制定數(shù)據(jù)運(yùn)營(yíng)計(jì)劃等。建立起綜合數(shù)據(jù)平臺(tái)，整合智慧城市各個(gè)組織的數(shù)據(jù)，以便更好地管理和分析數(shù)據(jù)，積極推行數(shù)據(jù)開(kāi)放與共享，同時(shí)加強(qiáng)數(shù)據(jù)安全措施，確保數(shù)據(jù)隱私和安全性得到保障，通過(guò)科學(xué)的運(yùn)營(yíng)和管理將數(shù)據(jù)發(fā)展成為智慧城市可參考文獻(xiàn)標(biāo)準(zhǔn)化,2022(8).[6]金雙民,鄭輝,段海新.僵尸網(wǎng)絡(luò)研究附錄一智慧城市數(shù)據(jù)安全實(shí)踐案例（一）智慧蓉城數(shù)據(jù)安全建設(shè)實(shí)踐貫徹落實(shí)習(xí)近平總書記“一流城市要有一流治理，要注重在科學(xué)化、精細(xì)化、智能化上下功夫”指示精神，成都市市委、市政府以大運(yùn)會(huì)保障為契 機(jī)，以“智慧蓉城”運(yùn)行中心建設(shè)為切入點(diǎn)，加快推進(jìn)城市運(yùn)行“一網(wǎng)統(tǒng)管”與“智慧蓉城”運(yùn)行中心配套的政務(wù)值守、運(yùn)行監(jiān)測(cè)、風(fēng)險(xiǎn)預(yù)警和指揮調(diào)度本項(xiàng)目?jī)?nèi)容主要包括數(shù)據(jù)安全治理服務(wù)、基礎(chǔ)安全防護(hù)服務(wù)和安全基礎(chǔ)數(shù)據(jù)安全治理服務(wù)。主要包括數(shù)據(jù)安全管理體系建設(shè)服務(wù)、數(shù)據(jù)資產(chǎn)梳理服務(wù)、數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估服務(wù)、數(shù)據(jù)訪問(wèn)權(quán)限稽查服務(wù)、數(shù)據(jù)安全策略管理服務(wù)、數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)及告警服務(wù)、數(shù)據(jù)安全溯源分析服務(wù)、數(shù)據(jù)安全安全基礎(chǔ)設(shè)施服務(wù)。通過(guò)打造一體化、開(kāi)放性的威脅情報(bào)中心，實(shí)現(xiàn)對(duì)智慧蓉城基礎(chǔ)安全防護(hù)節(jié)點(diǎn)（設(shè)備）的賦能，提升威脅識(shí)別預(yù)警能力；構(gòu)建基于隱私計(jì)算技術(shù)的數(shù)據(jù)分析運(yùn)用平臺(tái)，促進(jìn)智慧蓉城重要敏感業(yè)務(wù)數(shù)據(jù)高評(píng)估及加固服務(wù)、威脅誘捕服務(wù)、零信任運(yùn)維服務(wù)、紅藍(lán)對(duì)抗服務(wù)、安全檢查服務(wù)、系統(tǒng)接入安全評(píng)估、安全培訓(xùn)、區(qū)塊鏈平臺(tái)安全監(jiān)測(cè)、區(qū)塊鏈風(fēng)險(xiǎn)交換、銷毀全周期各環(huán)節(jié)進(jìn)行數(shù)據(jù)防護(hù)。數(shù)據(jù)治理平臺(tái)與安全管理中心、威代網(wǎng)絡(luò)安全運(yùn)營(yíng)保障中樞，通過(guò)本次項(xiàng)目將智慧蓉城網(wǎng)絡(luò)安全綜合防御能力和運(yùn)營(yíng)保障水平全面提升到一個(gè)新高度，形成智慧蓉城運(yùn)行管理平臺(tái)安全中鍵信息基礎(chǔ)設(shè)施，以安全“高標(biāo)準(zhǔn)合規(guī)要求”和“業(yè)務(wù)風(fēng)險(xiǎn)挑戰(zhàn)”為雙輪驅(qū)動(dòng)，積極推動(dòng)等級(jí)保護(hù)、關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)、數(shù)據(jù)安全保護(hù)以及密據(jù)安全治理體系”兩大安全服務(wù)體系助力智慧蓉城全面完善并落實(shí)安全防護(hù)服務(wù)體系全面提升智慧蓉城業(yè)務(wù)場(chǎng)景所需的“安全識(shí)別、安全防護(hù)、安全檢測(cè)、安全分析、監(jiān)測(cè)預(yù)警、追蹤溯源、事件處置、快速恢復(fù)”八大能力，確保整體實(shí)現(xiàn)“實(shí)戰(zhàn)化、體系化、常態(tài)化”的安全新理念以及“策略可統(tǒng)籌、場(chǎng)景可編排、資源可調(diào)度、資產(chǎn)可探查、事件可監(jiān)控、風(fēng)險(xiǎn)可呈現(xiàn)、指標(biāo)可滿足安全保障工作合規(guī)：充分貼合智慧蓉城運(yùn)行管理平臺(tái)及配套支撐系統(tǒng)實(shí)際需要，按照《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》《密碼法》等法律法規(guī)合規(guī)要求，落實(shí)網(wǎng)絡(luò)提升系統(tǒng)安全保障能力：基于系統(tǒng)平臺(tái)的安全風(fēng)險(xiǎn)分析，從原有的基礎(chǔ)安全的安全架構(gòu)、合規(guī)防御，提升至積極防御和情報(bào)協(xié)同階段；