《中国数字经济观察报告》项目组出品

我国智慧城市发展脉络

自2008年IBM首次提出智慧城市 (smarter cities) 的概念以来,智慧城市已形成了集成服务框架。 通过对人工智能、云计算、物联网等技术的利用,智慧城市系统能对数据进行分析、模拟和仿真计算,进而为公共资源配置和城市治理提供科学决策支持,形成新型城市应用。
1. 智慧城市发展历经五个发展阶段
2008-2014: 智慧城市进入中国,各地单独开展试点

2008年11月,IBM提出“智慧地球”远景和“智慧城市”概念,我国也随之开展试点工程,探索智慧城市发展路径。 从2008年到2014年,国内的智慧城市建设主要以各部门、各地方独立建设为主,相对分散与无序。 2012年,住建部发布《关于开展国家智慧城市试点工作的通知》,并于2013-2014年之间相继发布三批试点工程,试点数量达到290个。

2014-2015: 部委协调各地智慧城市建设

2014年,我国成立了“促进智慧城市健康发展部际协调工作组”,各个条线部门之间开始协同指导各地方的智慧城市相关建设工程。 同年8月,国家发改委、工信部、科技部、公安部、财政部、国土部、住建部、交通部八部委联合发布《关于促进智慧城市健康发展的指导意见》,将智慧城市建设规划上升到国家战略层面。

2015-2017: 智慧城市成为国家级战略

2015年12月,中央城市工作会议召开,习近平总书记提出智慧城市应该打破信息孤岛和数据分割。 我国智慧城市建设进入到新型智慧城市发展新阶段,智慧城市逐步成为国家落实新型城镇化的重要抓手与顶层设计的重要战略抉择。

2017-2020: 智慧城市建设上升至新的战略高度

2017年10月,党的十九大提出建设网络强国、数字中国和智慧社会等概念。 2018年4月,首届数字中国建设峰会在福州隆重开幕。 习近平总书记发来贺信强调,以信息化培育新动能,用新动能推动新发展,以新发展创造新辉煌。 随着智慧社会、数字中国等概念的提出与扩展,数字政府、新型智慧城市的建设又上升到了新高度。

2020-至今: 全国智慧城市建设规模不断扩大

我国智慧城市发展与建设持续深入,各地纷纷结合自身情况,提出有针对性的城市数字化转型概念。 2020年11月,上海市委提出要全面推进城市数字化转型。 2021年2月,浙江省委召开全省数字化改革大会,全面部署省内数字化改革工作,推动智慧城市发展和落地。 目前中国已打造多个智慧城市群,工程数量全球遥遥领先。 德勤2019年发布的《超级智能城市2.0: 人工智能引领新风向》报告指出,中国国内在建智慧城市数量近500个,是全球智慧城市建设数量的一半。 截至2020年4月,各部委公布的智慧城市相关试点数量达到749个。

 

2. 智慧城市建设迎来黄金期  

2.1 / 全国各地陆续开展试点工作

在实践方面,上海、深圳和杭州等城市率先将数据驱动的智慧管理应用于城市治理。 新加坡艾登战略研究所对全球140个主要城市在智慧城市建设中的表现进行排名,上海因在整合公共与民营企业大数据领域的优秀表现位列全球第十。 上海民营企业与政府在共享数据方面进行了较多探索,例如共享单车运营商与政府通过共享位置分布数据,利用大数据分析手段识别城市拥挤区域。

深圳市在2018年发布了《深圳市新型智慧城市建设总体方案》,其中“数字政府”是新型智慧城市的重要组成部分,城市大数据中心与智慧城市运行管理中心联动,为基层治理和数字化公共服务提供支撑。 同时,深圳市结合自身优势,加强与腾讯、华为等本地企业合作,促进多方数据融合共享,促进治理多元化,形成社会共治的治理新模式。

2.2 / 政策利好和市场需求双向驱动智慧城市快速发展

从政策方面看,智慧城市的发展重点于2016年转变,从理论探索、概念普及转向为大规模开展工程、推动项目落地。 随着相关技术参考、评价体系等文件的发布,智慧城市产业相关国家标准体系逐渐形成,为各地智慧城市的项目落地创造了有利条件。

从硬件方面看,我国已建成世界范围内规模最大的网络系统,为智慧城市建设夯实了信息基础设施。 大数据、云计算、人工智能、5G通信等数字城市相关的技术快速发展,在商业领域的应用规模不断扩大,应用场景不断丰富,为智慧城市的创新与建设提供了坚实的技术支撑。

从应用场景看,城市化水平的提升及人口的涌入带来了交通拥堵、资源紧缺、环境污染等诸多问题,复杂的场景催生技术和商业模式创新,为企业提供了延长产品线,整合技术、资金、业务和市场的舞台。 截至2020年末,我国常住人口城镇化率超过60%,城市治理特别是超大城市治理对于智慧城市建设具有巨大需求。

 

3. 政府数字化转型进程进一步加快

3.1 / 政府数字化转型对于数字经济有明显拉动效应

近年来,数字技术不断变革与创新,全球数字化转型正成为经济社会发展的新要素、新动能和新制高点。 政府数字化转型拓展了数字市场的空间,对于数字经济企业和产业均产生正向的拉动作用。 据麦肯锡预测,当前技术水准下的政府数字化转型每年可产生超过1万亿美元的价值。

3.2 / 全球多个国家制定政府数字化转型顶层设计

许多国家相继出台并实施了数字政府相关战略,加速推动政府数字化转型。 如英国《政府转型战略 (2017-2020) (2017) ,美国《数字政府战略》 (2012) 、《联邦数据战略2020年行动计划》 (2019) ,澳大利亚《数字化转型战略2018-2025》 (2018) ,加拿大《数字加拿大150 2.0 版)》 (2015) 、《服务与数字政策》 (2020) 和《服务与数字指令》 (2020) 等。

3.3 / 我国正从互联网+政务的多领域合作向政府全方位数字化转型进阶

我国的政府数字化转型不断深化,转型模式以中央顶层设计与地方试点实践结合为主,将对政府的施政理念、方式和手段产生根本性的影响,以新型数字技术赋能政府治理现代化。 典型模式包括深化“放管服”改革背景下的“互联网+政务服务”,“一网通办”,“一网统管”等。 从细分市场看,数字政府部门是智慧政务项目最大的需求方。 从近年来公开的政务类中标项目比例来看,信息中心、大数据局、街道为主的数字政府部门占比较高。 从产业环节看,信息化系统/平台、数据库、云计算等占比较高。

3.3 / 数字服务成为创新公共服务一体化供给模式的主要方式

从供给侧来看,政府改进政务服务模式,明确各部门之间的责任分配,打破数据孤岛,以审批更简、监管更强、服务更优为目标,大幅提升公共服务能力。 从需求侧来看,居民可以获得更多的信息服务和数字服务,提升数字服务获取的便捷程度。

 

4. 基层治理成为新型智慧城市建设重要着力点

4.1 / 基层治理是国家治理的基石

基层社会治理是以政府为主导,利用多种力量为基层居民提供民生保障,创造舒适生活环境的治理活动。 在我国,乡村和社区是基层治理的重点。 基层治理需要时刻关注群众在生产生活中面临的庞杂事务,提供精准化、精细化的公共服务,提升人民群众的获得感、幸福感与安全感。 我国的“2035年远景目标”提出加强数字社会、数字政府建设,对基层治理水平提出了新要求。 从数字化技术发展、万物互联的背景看,技术革新为基层治理的模式创新提供了宝贵的机会。

4.2 / 基层治理统筹难度大

从治理效果来看,当前我国的基层治理无法快速统筹突发事件的关键信息并和基层各个部门协同,从而难以及时作出判断与决策,影响基层治理的效率与准确性。 从组织结构来看,由于各地市级、区级职能部门条状分割,各业务系统分别向基层治理单位要数据、加任务,不同的部门反复要求核准、填写、上报同样的数据,在增加工作量的同时难以保障工作效率,使基层工作人员沦为填表员,难以有效、精准的开展必要工作。 从治理手段看,当前我国在基层治理的过程中对基层实时信息感知采集手段不足,无法实时感知城市整体运行态势,治理决策缺乏相关数据支撑,大数据处理能力和智能化处置协调能力较为低下,难以完全依靠数字化手段完成基层治理工作。

4.3 / 新技术在基层治理中不断普及

有些基层社区单位尝试借助云平台、物联网、人工智能设备等技术,扩大基层治理体系覆盖面积,实现数据公开、数据共享,打破数据孤岛,促进各方之间的数据流通,在一定程度上实现了开放治理。 通过公共数据平台在各部门之间合理分配责任,避免抢夺信息、职能重复等问题,提升了基层治理效率。 乡镇机关为配合农业信息服务体系的建设工作,开办了专门的农业信息平台,为农民群众提供查询发布信息、网上购物等服务。

 

5. 安全与韧性是新型智慧城市建设的重要课题

5.1 / 我国城市安全治理已由被动预防和碎片化管理转为主动预防和综合性治理

随着我国城市化进程的深化,城市人口、功能和规模不断扩大,运行系统日益复杂,安全风险随之上升。 部分城市的安全管理水平无法适应发展需求,导致发生重特大生产安全事故。 11.22青岛输油管道爆炸事故、12.31上海外滩踩踏事故、8.12天津滨海新区爆炸事故、12.20深圳特别重大滑坡事故,1.10山东栖霞金矿重大安全事故等暴露了城市安全风险管理方面存在漏洞,在城市安全评估方面存在缺陷,对城市安全管理提出了巨大挑战。 党的十八大以来,我国城市安全治理理念发生重大转变,预防方式由被动转为主动,管理模式由碎片化管理转向针对全环节的综合性治理,事故预防体系由事后的紧急救援转向全周期管理,管理方式由传统的经验主义转为技术赋能的现代化模式,治理理念和手段不断发展和创新。

5.2 / 城市安全风险来自意识、设备、数据、顶设、基础设施等五个层面

一是市民的信息安全意识欠缺。 虽然物联网、云计算、移动互联和大数据等各类数字化技术在智慧城市体系中起到至关重要的作用,但终端感知对象仍然是用户,部分市民缺乏安全观念和防护意识。

二是信息设备的安全防护能力较弱。 智慧城市接入环境复杂、接入方式多样,面临的安全风险与传统互联网行业具有较大差异。 一方面,我国尚未完全掌握芯片、通信链、软件系统等诸多关键技术,难以确认数据库、虚拟化软件等是否留有后门或藏有病毒。 另一方面,传感器、智能家电等部分智能终端缺少安全能力,容易因自身漏洞遭到恶意攻击。

三是数据信息资源存在安全隐患。 随着智慧城市系统收集的数据量增加,数据破坏、丢失、泄露等安全威胁日益严重。 此外,智慧城市依托云服务展开,用户难以监督云服务商的安全措施和访问记录,导致审计难度增加,云服务监管缺位。 同时,智能设备间通过无线网传输信息,极易被干扰、截获或破解,在防范网络攻击、数据窃取、假冒身份等方面存在漏洞。

四是顶层设计与政策支撑需进一步加强。 我国智慧城市建设发展迅速,多种应用成果投入使用,但针对应用市场规范的法律法规有待完善,缺少全面、完善的智慧城市建设监管体系,导致各地区对城市安全风险的认知把握不一,相关行业主管部门各自为政,缺乏必要、统一的保密管理措施。

五是城市基础设施亟需升级。 我国城市公共基础设施比较薄弱,面临设备老化和工程质量不高的问题,且建设项目安全隐患较多,带来诸多风险; 运输线路较为脆弱,道路交通事故频发; 各类应急救险资源有限,抢险能力有待提升; 城市公共场所管理普遍比较薄弱。

新型智慧城市建设运营

1. 我国智慧城市建设的五个特点

1.1 / 各地智慧城市投资额逐年增长

近年来,我国智慧城市建设进入爆发式增长阶段。 截至到目前,根据公开数据显示,全国94%、71%的省会、计划单列市已开展新型智慧城市顶层设计,推动各类智慧城市工程落地。 各级政府积极吸引社会资本投资智慧城市,有力拉动了相关产业的发展。 根据中国信通院测算,2019年全国智慧城市投资总额达1.7万亿元,占全国固定资产投资3.1%。

1.2 / 各地城市数字基础设施规模继续扩大

目前,我国90%以上的地级市已建成市级云平台,平台规模不断增加,业务系统共享和融合程度不断提升,各地加大力度建设数据中心、传输网络、大数据平台、信息安全设施等促进数据互通的信息基础设施,各城市结合自身情况,积极探索各类基础设施、各部门之间数据互联互通的方式。

1.3 / 城市大数据平台逐步完善

随着物联感知数据收集能力不断增强,大数据、人工智能、区块链等数字技术应用范围扩大,城市大数据平台的数据资源更为丰富,智慧城市数据来源逐步从政务信息扩展到智慧终端、互联网、企业等多种类型,建成多渠道提供信息、各方数据共享复用的城市大数据运营体系。 根据有关机构统计,截至2020年6月,我国36个主要城市全部建设了统一政务共享交换平台,其中近三成的城市正在推进建设城市级大数据平台。

1.4 / 智慧城市应用不断拓展和丰富

惠民便企服务场景成为智慧城市重点建设领域。 智慧城市的建设大幅提升了政府治理和公共服务能力,推动政府机关的治理手段、方式更加数字化、网络化、智能化。 智慧治理在互联网+监管、市域治理、平安城市等领域形成一批新亮点,共建共治共享的智慧治理格局加快构建和完善。

智慧城市已建平台的主要类型

1.5 / 智慧城市建设运营愈加重视生态和长效

智慧城市建设一般基于数据融通、系统贯通、机制畅通、生态全通等多个方向开展顶层设计,因此需要具有个性化服务能力和运营、生态搭建能力的机构提供支撑。 各地政府越来越重视智慧城市的运行运营和长效发展,积极探索建立与技术支撑、制度建设相匹配的城市级智慧运营服务体系。

 

2. 我国智慧城市的四种运营模式

2.1 / 政府自投自营

政府一般主导建设缺乏商业价值或不适宜由企业管理的项目。 该模式以政府为牵头单位,一次性出资或者分阶段建设完毕,主要包括服务于政府的非盈利性应用,如网上办事大厅、政务云、大数据中心等。 通信、网络等智慧城市基础设施通常采用政府部门自建模式,其原因一方面在于智慧城市基础设施具有公共物品的性质,必须由政府生产或提供,另一方面在于政府对智慧城市的直接投资可以吸引社会资本参与,推动智慧城市相关工程落地。

2.2 / 政府出资自投,企业主导运营

经政府授权后,专业运营维护服务机构可开展运维服务,弥补政府运维服务能力不足问题。 该模式下,政府自行投资建设项目,但是项目经营由社会力量负责。 该方案从智慧城市公共服务领域入手,选择一批数据安全保护等级低、需要长期运营且具备一定盈利能力的项目作为民营智慧城市投资试点,如城市综合管廊、社区服务、智慧养老的运维服务等领域,通过机制模式创新吸引民资参与建设运营,为民营资本积极参与智慧城市建设奠定良好的制度环境。

2.3 / 企业投资、经营,政府授权

准经营性项目一般由政府与企业配合开展建设,其中政府重点负责顶层设计,招募合作企业,对具有公共属性的服务直接提供资金支持,或通过特许经营方式许可企业提供市场化增值服务,开展政企合作建设运营。 该模式下智慧城市项目由承包商负责建设工作并获得合理回报,项目验收合格后移交给政府。 政府部门负责价格和质量监管,确保公共利益最大化。 社会企业通过注入资金减轻政府财政压力,通过提供技术、人才、设备与政府形成优势互补,合理配置各方资源,最终实现政府与企业共同规划、共同投资、共同建设、共享服务。 该模式主要应用于公益单车、公用wifi等大型基础设施。

2.4 / 企业投资,企业经营

具有明确市场价值的项目一般由市场主导,由企业自主开展智慧城市项目建设,政府侧重于做好市场监管、制定政策、优化资源配置等宏观工作。 该模式下政府鼓励社会企业主导建设和经营,充分引入社会资源,激发市场活力,建立可持续发展机制,并利用数字化技术改变传统运营方式,推动城市运行体系升级。 该模式主要应用于惠民领域及兴业领域的一些IT服务项目,如智慧停车、智慧旅游综合服务平台。

2.5 / 总体评价: 因地制宜,为项目量身定制契合的运营方式

相比于建设模式,运营模式对于智慧城市的可持续发展更加重要,因为智慧城市建设项目的成效直接取决于项目的运营效率。 但是并非所有智慧城市项目都可以借助社会力量运营。 城市大数据平台、智慧政务、平安城市等一般公益性的项目仍以政府投资为主,但是智慧停车,智慧路灯等具有经营性以及半经营性的项目可以采用企业运营模式。

对于财政紧张的地区来说,企业积极参与投资建设、经营将极大缓解政府部门的负担,有助于快速推进智慧城市项目落地。 但考虑到东部以及沿海发达城市财政充裕,不缺乏建设资金,该方案吸引力有限,可以考虑采用政府财政资金的方式支持智慧城市建设。

从建设主体看,项目建设的带头单位取决于项目本身的级别。 由政府主导的宏观智慧城市工程通常由政数局、工信局、经信委、发改委、科委等具有统筹能力的部门负责,或是成立数字化转型领导小组。 由企业主导的建设项目通常由政府背景国资企业总承包,但具体建设实施离不开腾讯、华为等大型互联网或者ICT企业,各条业务线上的具体数字化转型业务则由市场监管局、卫健委、公安局、教育局等有直接关联的部门负责。

 

3. 智慧城市规划落地和应用创新存在明显短板

3.1 / 智慧城市资源统筹缺少统一规划

智慧城市是“一把手”工程,需要成立强有力的组织结构提供支撑。 但是部分地区的智慧城市建设工程缺少相应的领导小组和管理团队,导致管理团队主体地位、人员与责权不明,智慧城市建设期间出现沟通协调不利等问题,配套机制无法到位,后续工作难以展开。

3.2 / 很多智慧城市顶层设计仍为空中楼阁

各地智慧城市工程逐渐重视顶层规划,但现有规划需提升延续性、长效性。 当前智慧城市工程集中在各细分领域的应用建设上,较为重视短期效益,缺乏长效运营管理机制,导致顶层设计难以落实。 部分智慧城市顶层设计与实际脱离,相关部门对执行难度、建设成本估计不准确,工程规模和当地财政部门的支持能力不匹配,导致智慧城市建设缺少充足的资金和推动,顶层设计无法发挥规划引领作用。

3.3 / 智慧城市建设应用效果有限

当前智慧城市应用场景不断扩张,政务服务平台、便民服务平台、智慧城管、智慧旅游等民生服务不断深化,但仍缺乏以智慧城市为核心主体,受到市民广泛认同的代表性应用和平台,高频民生类应用难以被归入智慧城市建设的范围。 很多应用用户数量较少,使用频次较低,存在大量民生APP僵尸现象。 部分应用没有坚持以人为本的开发理念,服务和用户体验有待提升。 还有一些应用初始阶段效果不错,但是由于平台创新经验推广不足导致用户数量下降明显,实际效用未得到全面发挥。 因此,智慧城市的配套应用还需要进一步改进、优化、拓展和推广,真正做到管用、好用和爱用。

 

4. 基于统筹协调、实用性、可持续性原则稳步推进智慧城市建设

4.1 / 强化部门配合以推进智慧城市工程

建议发改委、网信办、科技部、工信部以及财政部等相关部门协同,针对建设智慧城市项目过程中的各类关键技术进行攻关,形成相应的标准化建设体系,避免重复投入、开发现象。

加强智慧城市建设的顶层布局,明确智慧城市各环节的内在逻辑关系,提高各政府部门之间的协同效率,强化政府职能转变,有效整合各类资源、数据、服务力量,做到跨部门的设施、资源共建共享。

加大对智慧城市技术研发机构支持力度,推动智慧城市技术研发和成果转化,形成系统化的智慧城市技术体系,建立本土化的自主产权知识体系,提升智慧城市建设技术支撑能力。

4.2 / 建立智慧城市数据标准协议以确保城市数据共享

建立较为统一的相关建设标准以及通讯协议。 各部门设计数据标准体系时应提前考虑到数据共享协同,并避免与现有数据体系相矛盾,注意各子系统之间的衔接问题。 数据基础标准体系要结合实际,构建科学合理、层次分明、符合实际的智慧城市数据基础标准体系。 打造智慧城市标准规范体系,推进标准公开试行。 标准体系设计应结合试点工作的经验,配合智慧城市建设的推进。 通过公开试行探索数据共享的模式,逐步争取更大范围的数据共享,并验证顶层设计的科学性与适用性。

4.3 / 利用城市大数据资源打造数据枢纽与赋能中心

建议出台政策鼓励支持各地智慧城市业务逐步下沉,支撑数据共享、时空信息等配套平台的建设,聚合成为城市大数据与应用支撑平台,建立强大的数据中枢。   探索充分利用数据产生价值的业务模式,直接支撑业务发展需求,充分释放城市大数据价值。

4.4 / 培育智慧城市运营服务商以实现长效发展

建议各级政府部门探索成熟的可持续发展模式,出台相关政策,设计合理的商业模式,开放相应的数据资源,培育真正意义上的智慧城市建设和运营服务商,为城市提供专业化的业务运营和增值服务。

推动政府与运营服务商从传统的管理与被管理、服务与被服务关系转变为利益、风险共享的合作伙伴关系,形成智慧城市的长效化、可持续化发展能力。

网络数据安全构筑智慧城市防火墙

1. 从智慧城市安全发展来看: 安全政策、产业生态、安全监管、解决方案四位一体格局初步形成

1.1 / 多部重要法律法规颁布

网络信息安全和数据安全行业属于高新技术产业和战略性新兴产业。 有关部门制定了一系列政策及标准,从顶层设计方面促进国内信息安全行业的发展,并提高智慧城市的网络安全和数据安全能力。

在法律层面,我国已经颁布了《国家安全法》、《网络安全法》、《密码法》、《个人信息保护法》、《数据安全法》等,这些法律让智慧城市的网络安全建设有法可依。

在法规和其他规范性文件层面,《关键信息基础设施安全保护条例》中规定,关键信息基础设施包括“一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等”。 根据此条例,智慧城市很多领域会纳入到关键信息基础设施的保护范围内。 其他与智慧城市网络安全相关的法规包括《关于加强党政机关网站安全管理的通知》、《通信网络安全防护管理办法》、《全国人大常委会关于加强网络信息保护的决定》、《计算机信息网络国际联网安全保护管理办法》等。

1.2 / 网安产业形成完整生态

我国网络安全行业经过二十余年的发展,已经形成完整的产业链上下游生态。 在智慧城市的网络安全和数据安全产业生态中,传统的网络安全厂商仍占据着硬件市场大半江山。 近年来,腾讯云、阿里云、华为云、天翼云等IT基础设施和云计算技术供应商在智慧城市场景中深入探索,提供智慧城市解决方案及网络安全和数据安全解决方案,以云安全软件为代表的智慧城市安全软件市场份额也在逐步扩大。

我国网络安全产业市场规模发展潜力较大。 根据IDC预测,中国智慧城市投资将于2022年达到2000亿元人民币。 智慧城市中网络安全建设内容占总预算金额通常在5%-8%之间。 预估到2022年,智慧城市安全市场预估可达到100~160亿元人民币,占中国网络安全市场总规模的10%~16%。

随着智慧城市的快速发展,智慧城市的建设逐步由基础设施向创新型应用深入。 基础的安全软硬件逐步建设完善后,智慧城市的安全运营服务将成为发展重点,城市级安全运营中心也将在中国多个智慧城市快速落地。

1.3 / 五部门协同开展安全监管

我国智慧城市网络安全监管的主管部门主要包括各级网信部门、公安机关、工信部门,密码管理部门、以及大数据管理局。 在各部门协同努力下,智慧城市的信息安全风险整体可控。

公安机关主要依据网络安全等级保护条例以及相关法律法规对智慧城市的网络安全基础建设进行网络安全监管执法。

网信部门主要依据中央网信办下发的《网络安全审查办法》和《互联网信息服务管理办法》等对智慧城市中对外提供服务的发布内容进行内容安全和业务安全的监管。

工信部门主要以工信部下发的《加强工业互联网安全工作的指导意见》对智慧城市中涉及工业互联网领域进行安全监管。

密码管理部门主要负责网络与信息系统中密码保障体系的规划和管理,查处密码失泄密事件和违法违规研制、使用密码行为。

大数据管理局作为地方政务数据和云基础设施的管理部门,主要对云平台和大数据平台基础设施,以及政务数据的共享交换和使用进行合规性监管。

1.4 / 主流厂商积极推出网络安全解决方案

伴随着大量信息系统和数据的集中,智慧城市面临新的安全威胁。 网络安全市场主流厂商不断推出面向云计算安全、大数据安全、物联网安全、移动终端安全等创新型解决方案,扩展、完善了网络安全方案体系,丰富了市场对网络安全解决方案的选择。

 

2. 从防护目标对象来看: 云计算、大数据、物联网、移动终端等领域存在新型安全漏洞

2.1 / 云平台安全保障已达标准,政府云上业务安全态势不乐观

云计算通过虚拟服务化的方式提供各类网络、主机、存储、数据库、中间件和应用。 云计算安全在技术和运营层面可分为云平台基础安全和云上租户安全,按照“责任共担”模型,云服务提供方与云上客户的服务模式与控制范围的关系如下图:

责任共担模型 (图源: 《信息安全技术 网络安全等级保护基本要求   2 部分: 云计算安全扩展要求)

我国智慧城市的建设普遍采用IaaS和PaaS技术搭建云IT基础设施环境,安全保障措施均已达到《网络安全等级保护安全设计技术要求》中三级系统的保障要求,暂无因云平台自身安全问题导致的重大信息安全事件的先例。 相比之下,运营智慧城市各个业务模块的政府部门在云上的业务安全态势则并不乐观。 国家互联网应急中心报告显示,政府部门的信息安全事件时有发生。

2.2 / 智慧城市数据安全建设仍需深入

大数据的采集、存储、治理、分析、运营、共享交换等行为普遍由市级大数据管理局作为主管部门负责。 在智慧城市的场景下,大数据技术的应用和数据本身也面临云上、混合云、云下等场景下的信息安全问题,主要包括使用者身份鉴别和安全传输问题、跨平台间的大数据存储安全问题、数据治理过程中数据处理相关问题、以及数据分析、运营等服务过程中的个人隐私保护问题。

目前智慧城市的数据安全建设停留在“网络安全纵深防御”层面。 由于大数据技术在近几年刚刚应用到智慧城市领域,且数据技术和数据流转过程相对复杂,传统的信息安全技术很难实现覆盖数据全生命周期的安全保障,有关部门需要及时升级网络安全体系以应对新的需求。

2.3 / 物联网体系庞大,安全建设难度大

智慧城市的物联网包含5G基建、特高压、城际高速铁路和轨道交通、新能源汽车充电桩、大数据中心、人工智能、工业互联网等领域。 物联网安全在智慧城市建设过程中受到诸多挑战。 海量的物联网终端与联网数据、多种数据协议、多方式接入、多种上层应用等因素为物联网建设带来额外的安全风险,感知层、网络层、平台层任何一个方面的缺陷都将导致智慧城市面临巨大的威胁。

2.4 / 移动终端不受智慧城市运营者管理,面临安全威胁

移动终端已经成为智慧城市的重要组成部分。 终端操作系统以安卓和IOS为主,其中安卓占比超过77%,IOS占比超过22%,其他系统不足1%。 IOS系统具有封闭特点,其终端安全性相对较高。 安卓系统由于版本分支较多、厂商定制化程度高、获取的用户权限过多等原因,易于泄露用户隐私,面临较高的安全风险。

新的技术在带来更高效网络传输能力的同时也带来不可预知的风险。 根据最新研究发现,5G存在的技术漏洞或对用户的隐私安全造成威胁,其中一些新手段还可照搬到4G网络上去利用。 腾讯安全研究人员发现,攻击者可以利用5G基带频段漏洞实现移动终端的远程控制,让目标手机处于长时间的DDoS状态或按照攻击者的指令执行其他操作。 由于移动终端不受智慧城市运营者直接管理,这对智慧城市的安全提出了更高挑战。

 

3. 从建设运营来看: 新业务场景带来了网络安全和数据安全风险

3.1 / “智慧”与“人文”之间难以达成平衡

智慧城市的建设、运营和发展离不开关键的数据要素,数据的采集过程必然面临着公民个人隐私信息对政府部门和智慧城市运营主体部门暴露的问题,数据的安全保护和数据使用过程中的监管目前存在一定程度的盲区。 智慧城市运营者需要面对智慧城市的便捷性与个人信息的安全性、AI技术应用与社会伦理道德等深层次的网络安全问题。

3.2 / 智慧城市数据安全体系缺少相关标准规范

由于缺乏有效的规范性文件和技术标准指导,我国智慧城市的建设者和运营者很难进行有效的数据安全体系规划,因此数据安全保障普遍较为薄弱。

智慧城市涉及到海量数据的汇集、存储、治理、分析、共享交换和对外服务,包含大量公民隐私信息和涉及到城市安全的敏感信息。 例如,政务服务中的人口库内置2000-10000个公民信息字段,智慧交通领域涉及到城市路网视频监控数据,智慧医疗涉及到公民病例和用药数据等等。 上述信息在流转的各个阶段均应当采用恰当的方式进行保护。 目前,结合数据全生命周期进行安全保护的国家标准仅有《信息安全技术—数据安全能力成熟度模型》可供参考,但该标准于2019年刚刚发布,相关案例较少,难以作为智慧城市领域的落地实施指南,我国网络安全主管部门也并未依据此标准颁布相应的法律法规和相关指导意见。

3.3 / 智慧城市技术安全难以后期加固

5G、物联网等新技术也带来了新的安全风险,由于智慧城市只是技术的承载方,智慧城市的建设者很难依靠后期安全加固来规避技术自身存在的安全风险,需要从产业链上游源头的技术研发和生产厂商侧进行规避。

3.4 / 信息安全体系浮于外围

我国除东南沿海发达省份及中西部省会城市之外,各地智慧城市的建设尚处于发展前期,基础设施的建设仍占据多数投资份额,因此配套的网络安全建设也主要集中于网络边界的硬件系统,深入到智慧城市业务层面的安全保障措施则存在明显不足。

3.5 / 安全体系以合规为主要导向,难以满足实际需求

为实现合规性,目前智慧城市的安全体系建设主要参考《GB∕T 25070-2019 信息安全技术 网络安全等级保护安全设计技术要求》,而该标准无法满足智慧城市复杂场景下的网络安全和数据安全保护需求。

在国家级网络安全攻防演练活动中,许多智慧城市参与单位的表现并不尽如人意。 这从侧面反映出在面临真正的黑客攻击时,当前仅满足合规性要求的安全体系并无法真正解决智慧城市的网络安全和数据安全问题。

3.6 / 我国信息化建设安全投入占比仍较低

世界发达国家的信息系统安全建设一般占整个信息系统开发和建设总费用的10%以上(例如美国)。 据不完全统计,我国智慧城市中网络安全建设内容占总预算金额通常在5%-8%之间。 相比之下,我国在智慧城市信息安全的投入在整个信息化建设的占比仍有2%~5%的增长空间。

 

4. 从保障措施来看: 安全体系、技术保障、常态演练、预算投入是决定智慧城市安全水平的四大要素

4.1 / 加快政策制定,建设网络安全体系

从法规方面看,全国智慧城市的网络安全和数据安全体系化建设需要更多政策指导和标准化技术体系作为参考。 建议国家有关部门尽快出台相应的政策指导文件以及技术标准规范和方案落地实施指南。 同时系统研究有关5G、物联网等新技术带来的安全风险,并着手制定相应的技术规范,从产业链上游源头侧规避相应的安全风险。

从产业方面看,建议制定产业扶持政策,推进网络安全产业发展,拓展深化网安试点示范工程,鼓励网安企业加大在技术攻关、创新等方面投入,抑制恶性竞争,维护市场秩序。

4.2 / 强化技术保障,推进城市级网络安全态势感知和安全运营体系建设

从技术方面看,建议强化智慧城市的网络安全和数据安全技术保障,加快推进城市级网络安全态势感知等安全技术手段建设,促进信息技术与安全技术相互融合和促进。 建设城市级网络安全运营保障中心,建立城市级网络空间态势感知体系和网络威胁预警防护体系,形成智慧城市安全统一规划、统一建设、统一运营监测和统一安全应急响应机制。

从硬件方面看,建议加快核心技术研发速度,获得关键设备自主生产能力。 目前,我国逐步摆脱对服务器提供商IBM、数据库软件提供商Oracle和存储设备提供商EMC等国外巨头依赖症。 腾讯、百度、阿里巴巴、联想、浪潮等国内企业已开始提供各类关键硬件。 另外,智慧城市的网安技术仍略显不足,信息终端、数据监控、设备监控、存储安全等应用层的技术创新跟不上核心技术的升级换代,需要进一步升级。

4.3 / 推动网络安全攻防演练活动常态化

建议以城市为单位,建立网络安全攻防演练常态化活动机制,检验智慧城市的网络安全和数据安全建设成果,找出并修复安全体系中的薄弱环节,提升我国智慧城市领域的整体安全能力。

4.4 / 提高信息安全预算投入占比

我国相比于发达国家的信息安全预算投入存在一定上升空间。 浙江省政府已发文要求各部门未来在信息化项目中的安全建设投入不得低于10%,此举有力保障了浙江省信息安全体系的完善程度。 建议全国各地吸取上述经验,通过规定最低投入比例的方式确保信息安全系统健全。

 

5. 腾讯案例: 一个中心、一个平台及五大专项

腾讯在武汉、长沙、贵阳等多个智慧城市Wecity项目的实践中总结出”一个中心、一个平台及五大专项“的城市安全发展数字化治理框架。

(一)“一个中心”即城市安全风险综合监测预警中心。 在“平”时是城市各类安全风险全景监测,包括城市安全体征、风险源实时监测、风险分析、预测预警、事件分拨、市民服务的综合运营管理中心; 在“战”时是信息报告、综合研判、辅助决策、资源协调、指挥调度的应急指挥中心。

(二)“一个平台”即城市安全管理的中枢和大脑。 具体建设内容有一网(天地一体智能感知网)、一图(城市风险监测一张图)和三大基础支撑(城市级智能物联网平台、时空大数据平台、运营运维平台)。

(三)“五大专项”即城市生命线专项、消防专项、安全生产专项、自然灾害专项、环境安全专项。

(1)城市生命线专项

建设内容包括燃气、桥梁、供水管网、排水管网、供热管网、电梯以及地铁等公共基础设施的安全监测与安全运行综合风险管控,即通过对既有公共基础设施进行专业分析评估后有针对性地加装物联网安全监测设备,家那将设施运行状态进行动态监测,并根据数据进行动态分析评估,为各类灾害事故预防、管控和处置提供决策依据。

(2)消防安全专项

整合既有资源和投入,建设智慧消防综合管理平台和消防社会化服务体系,为消防安全重点单位、人员密集场所、九小场所等不放心单位和区域提供包含风险评估、整改施工、设备租赁、监测报警、维保检测、培训演练、保险兜底等全链条一站式消防社会化服务,从根源上解决消防安全隐患普遍存在、火灾多发、易发的问题。

(3)自然灾害专项

整合汇总气象防灾减灾大风告警、台风预警、内涝监测预警、地质灾害风险预警等信息,根据各类自然灾害应急态势风险等级配置信息,实现全市各类灾害风险应急态势分布情况查看,同时实现预警信息发布,提供风险等级和灾害类型分析,以辅助相关部门及时开展事件处置工作。

(4)安全生产专项

通过科技和信息化手段实现对全市重大危险源和危化品流向全程实现“可查、可看、可控”,并通过与政府部门、科技服务机构、保险服务机构、中介服务机构的数据流、资金流和信息量的汇聚,实现信息共享、服务透明化,帮助政府和部门有效监管第三方服务机构,提高城市安全度。

(5)环境安全专项

建立“源-网-站-厂-河 (湖) ”的分层级、分功能、可溯源、可监管的水污染预警溯源网,实现污染源状态、污染传播路径可视化展现,提高现有排水设施、污水处理厂、调蓄池、管网、泵站的匹配运行能力。 同时,对水源污染源事件在短时间内进行专业的唯一性朔源,为水环境监管与治理提供数据支撑和依据。 

本文节选自《维度、力度和限度: 中国数字经济发展观察报告(2021)》。 后台回复关键词“ 数字经济2021 ”,即可提取8万字数字经济观察报告。

总顾问   司晓  杨健

编委会   杨乐 李刚 李沐 周海涛 刘琼 张钦坤 杜晓宇 吴绪亮 柳雁军 王真 陈守双 杜明灯 周政华 王融 袁媛 王强 吴朋阳 彭云

撰写团队  

报告主笔人  腾讯研究院 王 星

编写组成员

CSIG云与智慧产业事业群: 肖坦 冯宇彦 张敏翀 谢丽芳 李郅 吴悦宁 火雪挺 闵钰 陈济棠 黄超 曹齐芳 陈思媚 邓杰汉 段俊 熊俊宇 严琨 郭骥 韩鹏 

WXG微信事业群: 茹炳晟 刘春燕 张楷文 赵沫 王潇咏 

IEG互动娱乐事业群: 刘骏 管旭东 沈琼烨

PCG平台与内容事业群: 姜琬馨 史梓笙 

TEG技术工程事业群: 李蓝青 

CDG企业发展事业群: 何亚波 

腾讯科协秘书处: 刘云

外部专家: 袁豪磊 霍鹏 苗琳娟 唐晓娜 闫佳 叶灿 邓楠 何益帆 

写作支持: 张沐阳 胡佳欣 张子月 胡璇钰 张雪滢