通過分析智慧城市建設(shè)過程中面臨的風(fēng)險研究，發(fā)現(xiàn)項(xiàng)目建設(shè)過程中的風(fēng)險，提出風(fēng)險評估的方法，采取相關(guān)措施對風(fēng)險進(jìn)行控制，期望能夠?qū)χ腔鄢鞘薪ㄔO(shè)項(xiàng)目的風(fēng)險管理水平和效率有所促進(jìn)。

1.引言

自IBM于2009提出“智慧地球”理念以來，國內(nèi)外已經(jīng)有眾多城市以網(wǎng)絡(luò)為基礎(chǔ)，打造數(shù)字化、泛在互聯(lián)的新型智慧型城市。在智慧城市的建設(shè)和研究過程中，將新興的物聯(lián)網(wǎng)、云計算、超級計算，以及基礎(chǔ)通信網(wǎng)絡(luò)、軟件服務(wù)化、數(shù)據(jù)共享、整合、挖掘與分析等技術(shù)全面應(yīng)用。同時也對信息安全帶來了全角度的沖擊。

建設(shè)智慧城市必將面臨各種風(fēng)險，本文主要研究和討論智慧城市工程信息系統(tǒng)的風(fēng)險和評估方法。并且為建設(shè)智慧城市信息安全提供設(shè)計思路。

目前信息安全風(fēng)險評估的方法主要有層次分析法、神經(jīng)網(wǎng)絡(luò)方法和模糊理論等;信息安全要求是通過對安全風(fēng)險的系統(tǒng)評估予以識別的。風(fēng)險評估是依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn)，對信息系統(tǒng)及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進(jìn)行評價的過程。

2.建設(shè)智慧城市面臨的信息安全風(fēng)險

2.1 智慧城市信息系統(tǒng)的基本結(jié)構(gòu)

智慧城市主要由三部分組成，底層為基礎(chǔ)設(shè)施平臺，主要包括互聯(lián)網(wǎng)絡(luò)和感知網(wǎng)絡(luò);數(shù)據(jù)共享平臺主要包括基礎(chǔ)信息資源庫，例如人口信息、地理信息等;應(yīng)用服務(wù)平臺是面向公眾、企業(yè)及政府的綜合服務(wù)門戶平臺。

2.2 智慧城市面臨的信息安全風(fēng)險

信息安全風(fēng)險是認(rèn)為或自然的威脅利用信息系統(tǒng)及其管理體系中存在的脆弱性導(dǎo)致安全事件的發(fā)生及其對組織造成的影響[5]。如表1所示，智慧城市面臨的信息安全風(fēng)險主要有物理破壞、人為破壞、設(shè)備故障、內(nèi)部與外部攻擊、數(shù)據(jù)誤用、數(shù)據(jù)丟失以及應(yīng)用程序錯誤等風(fēng)險。智慧城市服務(wù)面廣、影響廣泛，面對大眾，其持續(xù)服務(wù)能力和流暢服務(wù)能力直接關(guān)系到智慧城市建設(shè)的成敗。而這兩個服務(wù)能力又取決于管理者和建設(shè)者對以上風(fēng)險的認(rèn)知和處理程度。

3.信息安全風(fēng)險識別

信息安全風(fēng)險識別的基本依據(jù)就是客觀世界的因果關(guān)聯(lián)性和可認(rèn)識性。在建設(shè)智慧城市的過程中，信息系統(tǒng)必將面臨各種安全風(fēng)險。明確識別風(fēng)險，評估風(fēng)險，并合理的管理風(fēng)險，是參與智慧城市項(xiàng)目建設(shè)中每個人的責(zé)任和義務(wù)。

風(fēng)險識別主要有兩種方法，一種是從主觀信息源出發(fā)的識別方法。主要利用頭腦風(fēng)暴法，德爾菲方法(Delphi method)和情景分析法(Scenarios analysis)。前兩種方法在我國使用的較多，情景分析法是一種定性預(yù)測方法，對預(yù)測對象可能出現(xiàn)的情況或引起的后果做出預(yù)測的方法，操作過程復(fù)雜，目前在我國的具體應(yīng)用較少。另外一種風(fēng)險識別的方法是從客觀信息源出發(fā)的識別方法。主要利用核對表法、流程圖法、數(shù)據(jù)或結(jié)果實(shí)驗(yàn)法、工作結(jié)構(gòu)分解分析法和財務(wù)報表法等。

信息安全風(fēng)險管理是識別并評估風(fēng)險、將風(fēng)險降低至可接受級別、執(zhí)行適當(dāng)機(jī)制來維護(hù)這種級別的過程。沒有絕對安全的環(huán)境，每種環(huán)境都會存在某種程度的脆弱性，都會面臨一定的威脅。問題的關(guān)鍵在于識別威脅，估計它們實(shí)際發(fā)生的可能性以及可能造成的破壞，并采取恰當(dāng)?shù)拇胧⑾到y(tǒng)環(huán)境的總體風(fēng)險降低至組織機(jī)構(gòu)認(rèn)為可以接受的級別。

4.終端面臨安全風(fēng)險

用戶訪問智慧城市信息數(shù)據(jù)的終端雖然不屬于智能城市建設(shè)的范疇，但面對大量的用戶終端，智慧城市工程相關(guān)管理和技術(shù)人員必須要考慮智慧城市系統(tǒng)對用戶終端的影響。

根據(jù)CATR 2013年3月4日的研究數(shù)據(jù)顯示，預(yù)計2013年中國3G用戶將增長1.5-1.8億戶，用戶規(guī)模突破3億戶。也就是說會有很大量用戶通過3G智能終端獲取信息。智慧城市的信息數(shù)據(jù)，也將通過3G移動互聯(lián)網(wǎng)送至用戶的智能手機(jī)上。會存在黑客利用智慧城市信息服務(wù)平臺攻擊用戶智能終端的情況。

另外一部分用戶將使用個人計算機(jī)機(jī)通過互聯(lián)網(wǎng)訪問智慧城市信息數(shù)據(jù)。同樣黑客也有機(jī)會利用智慧城市信息服務(wù)平臺攻擊用戶的個人計算機(jī)。

最后，由于智能電視、網(wǎng)絡(luò)機(jī)頂盒的出現(xiàn)，還將會有部分用戶通過電視機(jī)訪問智慧城市的信息數(shù)據(jù)，黑客也有攻擊智能電視機(jī)網(wǎng)絡(luò)機(jī)頂盒等電視機(jī)接入設(shè)備。

智慧城市工程的建設(shè)，要應(yīng)對網(wǎng)絡(luò)犯罪和黑客攻擊，維護(hù)移動互聯(lián)網(wǎng)安全，需要將移動網(wǎng)絡(luò)、后臺服務(wù)以及個體終端結(jié)合起來，從全局角度提出一個完整的綜合性解決方案，這就對普通用戶、移動運(yùn)營商、網(wǎng)絡(luò)安全供應(yīng)商、手機(jī)制造商、第三方軟件開發(fā)商以及網(wǎng)絡(luò)信息提供商都提出了更高的要求。同時，還需要政府監(jiān)管部門完善響應(yīng)的監(jiān)管體系，加強(qiáng)相關(guān)法律法規(guī)的建設(shè)。

5.信息安全風(fēng)險評估

信息安全風(fēng)險評估是依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn)，對信息系統(tǒng)及其由處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進(jìn)行評價的過程。要評估資產(chǎn)面臨的威脅以及威脅利用脆弱性導(dǎo)致安全事件的可能性，并結(jié)合安全事件所涉及的資產(chǎn)價值來判斷安全事件一旦發(fā)生對組織造成的影響，并提出有針對性的抵御威脅的防護(hù)對策和整改措施。進(jìn)行信息安全風(fēng)險評估，就是要防范和化解信息安全風(fēng)險，或者將風(fēng)險控制在可接受的水平，從而為最大限度的保障網(wǎng)絡(luò)和信息安全提供科學(xué)依據(jù)。

通過風(fēng)險評估后，就可以針對信息系統(tǒng)中的高危風(fēng)險進(jìn)行風(fēng)險管理。風(fēng)險評估目前主要有定量風(fēng)險分析方法和定性風(fēng)險分析方法。國內(nèi)外研究人員又在此基礎(chǔ)上提出了層次分析法(AHP)，故障樹分析法和基于模糊數(shù)學(xué)的分析方法。另外就是基于科研機(jī)構(gòu)頒布的標(biāo)準(zhǔn)或指南的信息安全風(fēng)險評估方法，比較傳統(tǒng)的方法有BS7799標(biāo)準(zhǔn)、CC標(biāo)準(zhǔn)、ISO13335信息和通信技術(shù)安全管理指南和NIST相關(guān)標(biāo)準(zhǔn)等。這些標(biāo)準(zhǔn)或指南對信息安全風(fēng)險評估具有很好的指導(dǎo)作用，且大多數(shù)是基于定性的風(fēng)險評估，對評估者的能力要求高，評估具有很大的主觀性。

對于智慧城市工程的信息系統(tǒng)，可以采用多種不同的方法對信息系統(tǒng)進(jìn)行綜合風(fēng)險評估，將不同風(fēng)險評估方法得出的結(jié)果系統(tǒng)分析，實(shí)施全方位、多角度的風(fēng)險管理。只有通過對信息系統(tǒng)的安全風(fēng)險評估才能對智慧城市工程存在的風(fēng)險進(jìn)行合理、科學(xué)和有效的管理。

6.結(jié)束語

在建設(shè)智慧城市工程的過程中，信息安全風(fēng)險評估以及風(fēng)險管理勢在必行。在規(guī)劃設(shè)計階段根據(jù)實(shí)際投資和項(xiàng)目情況，以國家相關(guān)標(biāo)準(zhǔn)為基礎(chǔ)進(jìn)行規(guī)劃設(shè)計，并參照《信息系統(tǒng)安全等級保護(hù)基本要求》(GB/T22239-2008)對信息系統(tǒng)進(jìn)行安全保護(hù)。正確識別和評估安全風(fēng)險要始終貫穿到工程項(xiàng)目建設(shè)的每一個環(huán)節(jié)中。在項(xiàng)目建設(shè)初期從多角度、全方位識別風(fēng)險，不留風(fēng)險盲區(qū);在項(xiàng)目建設(shè)過程中，通過風(fēng)險評估的結(jié)論，將風(fēng)險降低到可以接受的程度;在后期的使用維護(hù)過程中，始終使用PDCA方法，不斷的去識別、評估和降低安全風(fēng)險。動態(tài)將風(fēng)險識別和風(fēng)險評估方法貫徹到智慧城市工程的每一個階段，確保實(shí)現(xiàn)安全可靠的智慧型政府、智慧型民生和智慧型產(chǎn)業(yè)。