首页 >> >> 动态图文报道 >> 智慧城市安全运行谁来“站岗”

智慧城市安全运行谁来“站岗”

智慧城市安全运行谁来“站岗”

■阙天舒

互联网技术的广泛应用,让人们的生活变得越来越便利。然而,基于高度发达的云计算技术、物联网技术构建的智慧城市,在运行过程中也存在巨大的网络安全隐患。
一方面,在城市智能基础设施上,包括水、电、气等供给网络、公共交通系统和金融、银行交易等在内的网络系统。一旦遭到破坏或攻击,将妨碍整个城市的正常运转。比如,由于遭受黑客入侵,智慧城市可能会出现交通瘫痪、城市运行停滞等设备运行异常情况,出现停水、停电、停气、停止供暖等设备运行停滞情况,出现零部件损坏甚至火灾爆炸等设备损坏情况,以及环境污染甚至人员伤亡等。
另一方面,智慧城市建设以物联网、云计算等为支撑,其中的数据资源不仅信息巨大,而且具有高度共享性。一旦黑客将植入病毒脚本文件的安防设备变为病毒源,侵入一些国家重要部门,如公安、金融、交通等,盗取银行账号、机密文件等信息,将对国家安全、社会稳定及民众生活构成极大威胁。例如,境外“海莲花”黑客组织多年来针对我国海事机构实施攻击;今年5月,“永恒之蓝”勒索病毒爆发并肆虐全球时,同样给我国高校、医院等企事业单位造成了损失。
当前,智慧城市智能设施的研发和应用还处于调试阶段。智慧城市建设关键技术、基础产品对国外依赖程度较大,且缺乏适应维护城市网络空间安全的复合型信息安全人才;智慧城市云平台面临访问控制、抗干扰、隐私保护、安全接入、数据加密、身份认证等方面的问题,会不同程度地影响智能设备运行效果。有鉴于此,我国第一部全面规范网络空间安全管理方面问题的基础性法律——《中华人民共和国网络安全法》明确提出:坚持网络安全与信息化发展并重,推动城市的关键信息基础设施安防升级与新兴智能产业发展。
途径一:加强关键信息基础设施的有效保护。关键信息基础设施是指面向公众提供网络信息服务或支撑能源、通信、金融、交通、公用事业等重要行业运行的信息系统或工业控制系统。这些系统一旦发生网络安全事故,就会影响整个行业正常运行,并造成不可估量的损失。维护网络安全,首要任务就是要保障这些关键信息基础设施。
网络安全法已初步搭建起关键信息基础设施保护的基本制度架构,规定了关键信息基础设施的分行业、分领域主管部门负责制,明确了关键信息基础设施范围的认定制度。同时,进一步细化了关键信息基础设施的特别保护制度,如网络产品和服务的国家安全审查制度、个人信息和重要数据境内留存和出境评估制度以及定期进行安全检测评估制度等。
途径二:筑牢个人信息保护的法律防线。智慧城市建设本质上是围绕人来开展的,应以人为本、立足市民生活,在构建现代化城市治理体系之时,兼顾个人信息安全。今年3月,在公安部统一指挥下,14个省市公安机关打掉了一个通过入侵互联网公司服务器,窃取出售公民个人信息的犯罪团伙,查获涉及交通、物流、医疗、社交等各类被窃公民个人信息50多亿条。
有鉴于此,网络安全法明确了相关网络安全监管部门的职责权限,将个人信息保护纳入网络产品提供者、服务运营者实施网络安全风险管理的范围之内,提高了个人对隐私信息的管控程度,增强了针对侵犯个人信息违法行为的威慑。
途径三:提升应对网络攻击的防范和治理。建设智慧城市,移动终端设备必不可少,但由于分布零散,其安全性能更为薄弱。同时,智慧城市云服务基础架构受到的攻击也比以往更为活跃,安全漏洞攻击成为智慧城市网络安全的最大威胁之一。智慧城市建设亟需提升防御能力,最大限度减少安全漏洞可能产生的危害。
网络安全法构建了涵盖事先监测预警、事中应急响应、事后惩治与恢复的“三位一体”治理体系。这个治理体系能够从源头上制订网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险,并采取相应的补救措施,将损害降至最低。同时,按照规定向有关主管部门报告,最后再对犯罪行为人进行惩处。
途径四:规范信息安全等级保护和风险评估。信息安全等级保护和风险评估是智慧城市建设和管理的重要安全机制。它不仅能为智慧城市建设和管理提供系统性、科学性、可行性的指导,而且有助于保障信息安全与智慧城市建设的相协调。
基于此,网络安全法要求网络运营者按照网络安全等级保护制度的要求,采取相应的管理措施和技术防范等措施,履行相应的网络安全保护义务。同时,在多处提及安全检测、认证和风险评估,并将它们作为加强网络安全管理的手段,为网络安全风险管理相关工作提供了坚实的法律依据。
途径五:推进网络安全技术和人才的“双轮驱动”。如果说技术创新、应用创新、服务创新是智慧城市发展的驱动引擎,那么移动安全、大数据安全、物联网安全就是支撑保障。而服务于网络安全维护和智能产品开发的复合型人才,则是智慧城市发展的又一大动力。网络安全法既要求建立和完善网络安全标准体系、推进网络安全社会化服务体系建设、鼓励开发网络数据安全保护和利用技术,又要求开展经常性的网络安全宣传教育、采取多种方式培养网络安全人才,进一步支持和促进网络安全。
可以说,正是由于网络安全法统筹了技术创新、人才培养、企业责任、标准建设、部门协调、应急机制等流程,加强了网络安全全链条管理,构建了网络空间安全保障完整闭环,我们才能更好地应对日趋多样化的网络和信息化安全问题。
(作者为华东政法大学中国法治战略研究中心副主任)