智慧城市信息安全风险评估指标体系构建

智慧城市信息安全风险评估指标体系构建

江若虹

广西讯驰信息科技有限公司  530000   

摘要：［目的／意义］智慧城市建设过程中潜藏着众多风险与威胁，正确认识与评估这些风险是提升智慧城市信息安全保障能力的基础。［方法／过程］从风险来源视角，识别智慧城市信息安全主要风险源，通过分析指标间的相互依存关系，构建ＡＮＰ结构模型，运用超级决策软件计算出指标权重。［结果／结论］构建了包括环境风险、数据风险、用户风险、管理风险在内的４个一级指标、８个二级指标、３０个三级指标的智慧城市信息安全风险评估指标体系，其中管理者最需要关注的是环境风险，其次是管理风险、数据风险、用户风险，并提出智慧城市信息安全风险应对策略。

关键词：智慧城市；信息安全；风险评估指标；网络层次分析法

建设新型智慧城市是促进经济发展的内生动力，是当前及未来城市建设和发展的主旋律。大数据、云计算、物联网、人工智能、空间信息技术等新一代信息技术在新型智慧城市建设过程中广泛应用，然而安全问题一直伴随着信息技术的发展，给智慧城市带来诸多的安全风险与挑战。近年来，陕西、河南、山东等省份相继印发了《关于加快推进新型智慧城市建设的指导意见》都明确提出了加强信息安全管理，提升城市安全保障能力。

1智慧城市信息安全风险源分析

１）城市信息基础设施风险

新基建在助力数字经济发展的同时，也应为网络安全保驾护航。全球范围内，已发生多起重大城市关键信息基础设施受攻击事件，如“乌克兰电厂攻击事件”。在智慧城市建设中，通过智能化的全面感知设备替代传统的信息基础设施，实时全景收集各种文本、视频、语音和指令数据，通过物联感知层、网络通信层、计算与存储层、数据及服务融合层和智慧应用层为公众、企业用户、城市管理决策者提供智慧化的应用和服务。但在智慧城市建设过程中使用的信息核心技术，如大数据、物联网、区块链等，仍掌握在ＩＢＭ、甲骨文、微软等全球ＩＴ巨头公司手中，其信息设备和相关产品可能留有一些不受控制的隐蔽信道和后门，存在严重的安全隐患，将危害国家和人民安全。

２）政策环境风险

当前，我国智慧城市建设处于高峰期阶段，智慧城市信息安全监督管理机制尚不完善，尚未组建智慧城市信息安全事件应急响应中心，对于信息安全问题，传统的信息安全监督管理机构难以提供及时、有效的防护，缺乏有效的管理创新和机制创新，严重影响了智慧城市信息安全工作的开展及落实。随着信息安全上升到国家战略层面，信息安全威胁到国家安危，需要通过出台更多信息安全法律法规，规范公民、企业及其他组织的信息安全行为，明确各方权利义务，保障智慧城市信息化建设的安全。目前，信息安全相关标准尚未成熟，新技术新应用不断增加，相关标准体系也需不断调整和适应，加快智慧城市信息安全标准体系的实施，可促进信息安全产业的发展，以标准化解决安全互联、互通问题。参与智慧城市建设的主体众多，完善信息安全管理机制，加强各部门之间信息安全的合作、协同治理，避免相关主体责任难以认定、监管机构责任不明等问题，使参与智慧城市建设各主体在信息安全防控中发挥作用，保障智慧城市信息安全。

2智慧城市信息安全风险评估指标体系分析

由于智慧城市信息安全风险在一定条件下可以相互影响和转化，且各风险因素之间存在相互作用、反馈的关系，因此选取网络层次分析法（ＡＮＰ）分析指标之间的关系，从而确定各指标的权重。

2.1构建ＡＮＰ结构模型

构建ＡＮＰ模型，首先需要对指标之间的相互关系进行判断，通过德尔菲法邀请７名信息安全领域的专家填写问卷，其中包含计算机科学与技术专业、信息管理与信息系统专业的博士生导师。

2.2局部权重和全局权重

通过计算，得到网络层和控制层元素的权重值，同时，根据二级指标的全局权重的大小进行排序，来自环境风险的权重占比最高，其次分别是管理风险、数据风险、用户风险。在环境风险中，城市信息基础设施的权重最大，这说明城市信息基础设施对智慧城市信息安全有重要的影响。这是由于城市信息基础设施是以安全大脑为核心的新一代信息安全能力体系的载体，为各类业务提供安全保障，实现信息安全能力的不断进化和成长。而在城市信息基础设施建设中，信息核心技术仍掌握在国外ＩＴ巨头公司，自主可控方面存在安全风险。在管理风险中，管理工作人员权重占比较大，这说明面对标准高、内容多的信息安全管理要求，管理工作人员引起信息安全违规行为导致信息安全泄露事件的风险比较大。

3智慧城市信息安全风险应对策略

根据智慧城市信息安全风险评估指标的全局权重排序可知，来自环境、管理、数据、用户方面的风险对智慧城市信息安全的影响依次降低，结合二级指标的权重，在智慧城市信息安全风险管理中应有所侧重，重点改善风险较大的因素，具体建议如下：

１）环境风险方面

首先，智慧城市建设应从核心设备自主可控、物联网基础设施覆盖率、移动互联网ＡＰ覆盖率、虚拟化资源池稳定性等方面入手，比如逐步使用国产的、实现完全自主可控的核心技术为智慧城市建设提供技术保障，夯实安全“底座”；提高物联网基础设施、移动互联网ＡＰ覆盖率，为企业和居民提供高质量的信息服务；为虚拟化资源池提供安全可信的运行环境，实现易扩展、易管理的目标。其次，健全智慧城市信息安全法律法规，保护公民隐私不受侵犯；制定智慧城市信息安全管理相关制度，如智慧城市信息安全风险评估制度、智慧城市信息安全应急处理制度等；出台智慧城市信息安全建设、管理相关标准，对智慧城市信息安全建设、管理提供指导，为城市信息安全保驾护航。

２）管理风险方面

关键在于加强信息安全管理人员队伍建设与顶层设计。抓好信息安全管理人员队伍建设，加强信息安全管理人员的培训，采取知识讲座、脱产培训、在职学习等多种方式为信息安全管理人员充电，提升信息安全管理人员专业知识水平、责任意识、职业操守、综合素质以及对信息技术发展的适应能力，为智慧城市信息安全提供组织保证。从全局及长远考虑出发，将信息安全纳入到智慧城市建设的顶层设计和顶层架构中，从源头上降低信息安全风险。构建安全可控的智慧城市信息安全体系，保护好人民安全、财产安全，维护社会公共安全、国家安全。同时完善智慧城市信息安全评估机制，通过评估有效掌握系统信息安全状况，进而科学决策；建立健全信息安全监管制度，加大激励与惩戒力度，使安全覆盖全市、风险隐患远离人民群众。

4结语

对智慧城市信息安全进行风险评估是智慧城市健康发展的重要环节。本研究所构建的评估指标体系为今后智慧城市信息安全风险评估提供了新思路，同时也为智慧城市建设实践提供了理论指导，有利于促进智慧城市建设、管理、评估工作的规范化。通过该评估体系可以计算出某一个地区或城市信息安全风险等级，从而发现薄弱环节进行改进。但本研究结果是在当前认知水平和发展环境下所构建的，对未来智慧城市信息安全建设实践发展而言，随着该评估体系在实践中的应用，可以通过增加或删除某些指标来进一步深入研究和完善。

参考文献

［１］河南省人民政府办公厅．河南省人民政府办公厅关于加快推进新型智慧城市建设的指导意见［ＥＢ／ＯＬ］．ｈｔｔｐｓ：／／ｗｗｗ．ｈｅｎａｎｇ．ｇｏｖ．ｃｎ／２０２０／０７－１５／１７４０７０４．ｈｔｍｌ，２０２１－０５－０６．