城市信息安全架构的研究

2023-02-06

一、信息安全架构的解释

信息安全架构涉及到信息安全空间、安全系统结构、信息安全审计以及信息安全检测体系。城市信息安全的核心是数据的安全和隐私的保护。但是, 城市信息化的不断发展, 信息安全也直接涉及和影响到政治、经济、军事、文化等各个方面[1]。

(一) 信息安全空间

由安全机制、安全服务和OSI网络参考模型组成的三维安全空间。信息安全空间包含五大要素, 分别为:认证、加密、权限、不可否认以及完整。城市信息安全三维空间包括了认证服务、存取安全服务、数据加密服务等。城市信息安全空间在城市的安全机制、安全服务和安全技术方面展开扩展, 提供技术应用。

(二) 安全系统结构

城市信息安全系统结构采用国际标准的信息安全保障系统, 该系统结构是以PKI/CA系统为基础, 采用软硬件通用系统, 按照PKI/CA标准进行重新编制所需要的业务系统, 在外围添加加安安全全防防护护措措施施, , 能能够够更更大大的挺高城市信息安全的等级。

(三) 信息安全审计

城市信息安全审计采用数据挖掘和分析技术, 对网络中的终端设备采取监控和管理, 利用智能化的管理机制, 在遇到预警和警告时, 能及时向管理者发出信号, 进而对相应的历史数据进行分析处理等。

二、城市信息安全所面临的风险

随着数字化、智能化、网络化的不断进步, 城市信息化与其信息一样, 也会存在诸多的安全风险, 并且, 信息安全也成为了城市建设的必须考虑的因素。因此, 必须充分考虑信息化对城市信息安全所带来的各种安全威胁。

(一) 城市信息安全系统基本结构的风险

城市信息化建设实现了用更精细、更快捷、更准确的城市管理运行方式, 通过利用城市信息化, 政府办事效率、市民生活水平、公共基础设施、公共服务都有了较大的提升, 实现了城市建设智能化[2]。智能化城市基本结构如图1所示。

1. 基础设施面临的风险

城市信息化的发展充分体现在了基础设施的智能化、数字化、和信息化的进步方面, 将以前传统基础设施智能化, 将单一的基础设施变成系统化, 通过共享的发展理念更好的服务于人民群众, 也更好的充分利用现有的基础设施资源。随着城镇化不断发展, 信息技术在城市建设中所占比例越来越大, 尤其是现代化城市将人们日常生活中的点点滴滴联系在一起 (智能电网、智能通讯、智能交通等) 。那么城市信息安全性就会关系到国计民生、经济发展, 严重时还会涉及到国家安全等方面。城市网络化的发展, 也给网络黑客带来了进入的空间, 尤其是越来越多的黑客将目光瞄准在城市基础设施上边, 他们利用信息网络世界里的各种各样的潜在的、直接的联系, 对城市信息化基础设施进行恶意攻击、恶意破坏等活动。因为城市基础设施不再是单一的元素, 所以这些攻击破坏活动造成的影响和破坏力度比传统更严重, 对人民财产造成的威胁更大。

2. 智慧应用所面临的风险

智慧应用在城市信息化建设中是作为城市最顶层的结构。利用大数据共享的特点, 对数据进行挖掘、研究, 在与各行各业进行联系起来, 形成对城市发展的准确控制、精确管理。在实现城市信息化建设的同时, 智慧应用会接入多种不同的终端, 并且城市信息化刚刚起步, 智慧应用在各种终端上的管理相对不够完善, 缺少统一的管理标准和认证模式, 这样会非常容易让攻击者进入内部器件, 从而展开对各项平台的恶意攻击和损坏;其次, 智慧应用在平台操作系统的设计上会缺少有效的安全策略, 这样会给行业带来各种安全威胁, 尤其包括信息泄露等。

3. 数据共享

数据共享是城市信息化的重要体现, 例如现实生活中的地图位置共享、天气情况、GPS、共享单车等等。这些城市中的数据通过互联网、物联网等多种形式为城市市民体验城市信息化的福利提供了便利。同时, 数据又可看做是城市信息化的核心, 任何信息都需要数据进行传递, 以数据为基础进行传播, 支撑城市信息化的发展。但是, 数据的安全又是城市信息化建设必须要考虑的问题之一。这是因为数据及控制命令缺乏信息认证, 易被黑客截取数据信息, 做一些违法犯罪的事情。进而影响人民生命财产安全。在进行城市信息建设, 人的数据隐私这方面的信息把控比较难, 也非常容易被他人利用, 进而造成对个人、对整个系统产生巨大的危害。所以城市信息安全架构的建设也是有利于城市健康发展的。

(二) 城市信息安全制度和技术所面临的风险

城市信息涉及到日常生活的水、电、气、暖等基础设施, 它还涉及到国家机关系统等多方面的信息, 因此所存在的风险不仅仅是上文提到的城市的基本结构的风险, 在信息安全技术方面也存在着一定的风险[3]。

1. 城市信息的安全管理风险

总体的规划策略和顶层的设计是城市信息化建设中, 使各部门有效的实现统一管理机制的必要条件。通过建立有效的信息安全评估机制和信息安全管理机制实现城市信息化建设中数据的大共享。有效的管理监督机制可以城市中各项管理、运营活动更明确、更规范、更安全。统一的城市信息安全管理机制, 在面对系统问题时, 不至于从一侧层面扩散至另一个层面, 也使得整个系统更安全、更有保障。

2. 信息安全技术风险

物联感知层、网络通信层、计算与存储层、数据及服务融合层, 以及智慧应用层都存在诸多安全风险。如表2所示。

物联感知层的设备繁多, 如果缺少统一有效的认证机制, 非常容易让攻击者有机可乘, 对一些感知设备进行监听, 或者是冒充其他合法人员获取敏感信息, 从事犯罪行为。这些黑客经常会通过这些感知层的认证机制不完善的弊端进行对城市信息系统的破坏。网络通讯层的一些网络通讯设备和网络传输协议存在的安全漏洞会被攻击者利用, 对网络发起恶性攻击。在城市信息化快速发展的同时, 城市业务系统的开放融合导致各系统间的联系边界模糊, 单纯的一些隔离方式不在适用。尤其是存在的网络深度融合的额病毒, 其特点是易扩散、攻击力强、影响力大。常见的网络防护能力不能很好应对新型网络攻击。API接口错误和云平台界面错误是计算机存储层常见的安全风险[4], 这些问题会导致业务中断或者数据被泄露, 那些攻击者对网络进行远程遥控窃取数据。例如:如果信息基础设施没有正确的密码管理机制、又不能及时有效的修补系统出现的漏洞, 会导致整个网络环境的安全风险升级。跨信息系统的非法访问、数据滥用、无脱敏处理的数据共享、模糊不清的数据来源等都是数据及服务融合层常见的安全风险。在智慧应用层, 如果网络世界的病毒、木马、后门等恶意软件控制了应用系统和智能终端将会导致系统信息和个人信息的泄露, 造成财产的巨大损失。

三、城市信息安全保障要素

(一) 安全基础保障

为城市信息基础安全提供提出支撑服务和基础支撑设施。

(二) 安全技术保障

为城市建立全面的网络防御体系, 实现面对城市信息安全技术风险时, 能够对系统达到防御、检测和恢复的目标。

(三) 安全管理保障

为城市协调管理、协调运作提供安全管理保障。

(四) 信息安全建设和运营保障

为城市的工程实施和安全运行提供保障, 确保城市信息系统安全有序的进行。

四、城市信息安全体系的建设内容

安全体系为城市信息化建设提供一种开放、共享、协作的新型安全体系环境, 其建设内容包括以下几方面。

(一) 构建社会参与的信息安全体系

信息安全问题已经是全社会综合性问题, 所以需要全社会成员协同参与信息安全体系建设, 共同应对信息安全问题。要构建信息安全意识, 政府要加大力度在各行各业间进行宣传、教育, 普及相关知识, 定期向小企事业单位提供技术指导, 构建起城市安全架构意识;社会要协同运作, 以政府为核心, 利用云安全技术, 将社会成员信息联入云技术服务, 借助这个服务平台, 提高信息安全保障的准确性与及时性。

(二) 建立全方位的信息安全架构管理制度

将网络安全、数据安全、内外安全综合起来, 构建全方位的信息安全架构管理制度。网络系统和信息资源的保护同时重视起来, 信息化的时代, 要非常注重信息安全的保护对象, 将这些保护对象从设备转向网络设备和信息资源同时保护。不仅要好防入侵的保护, 更要注意来自城市信息化内部的威胁。

(三) 建设新型安全技术体系

世界信息越来越开放, 联系越来越紧密, 要解决城市信息化建设中所遇到的各种信息安全保障难题, 必须主动出击, 建设更加符合时代的安全技术体系。主动防御技术, 变被动为主动, 对信息采用主动加密的策略, 数据信息在不同形式传递时, 主动防御技术对其进行加密, 保证数据的安全;智能识别技术, 这种技术可以在开放环境中确认用户, 对用户的信息行为进行跟踪, 并且可以智能判断出是否会带来安全问题, 做出相应的正确举措;可信计算技术, 则是指在PC硬件平台引入安全芯片架构, 通过其提供的安全特性来提高终端系统的安全性, 实现三个主要功能:一是通过可信链来防御病毒攻击;二是建立一个可信的身份, 识别假冒的平台;三是将数据密封在安全区域中, 实现高安全性的数据保护[5]。

五、总结

建立城市信息安全架构有助于明确城市信息安全架构中的各类角色及其职责, 增强各系统间的协调管理, 通过信息安全战略、信息安全管理、信息安全技术和信息安全运营中各种角色之间协同配合, 最终实现智慧城市信息安全目标。

摘要：城市信息安全是推进我国新型城镇化的重要举措。随着科技的不断进步, 城市信息安全是基于物联网、云计算、大数据等信息技术。本文以城市的信息安全架构为核心, 对整个信息网络的建设进行研究, 在城市信息安全方面以安全风险评估、安全监管机制等和安全有关体系的建立进行研究, 从数据安全和隐私保护角度对城市信息安全问题及信息安全架构进行步的探索。

关键词：城市信息安全,信息安全架构