数治长文 | 智慧城市数据应用场景与安全解决方案总览

白皮书从智慧城市顶层设计、数据处理周期安全、安全管理运营、公共领域攻击防范四个层面提出智慧城市数据安全解决方案，满足国家对新型智慧城市数据安全保障工作的要求。

智慧城市作为一种新型城市发展形态和治理模式已被社会群体广泛认可和接受，建设新型智慧城市渐成风潮、方兴未艾。以 5G、物联网、云计算、大数据、人工智能、区块链等为代表的信息技术与新型基础设施建设全面融合，助推智慧城市高质量建设发展。

2023 年 3 月，中共中央、国务院印发了《党和国家机构改革方案》，组建国家数据局。负责协调推进数据基础制度建设，统筹数据资源整合共享和开发利用，统筹推进数字中国、数字经济、数字社会规划和智慧城市建设等工作。

国内及世界各地智慧城市建设逐步通过区块链、物联网、人工智能等新兴技术手段的应用，将城市中各行业数据相融合，实现城市管理和公共服务的智能化、高效化和可持续发展。近年来，我国智慧城市建设持续深化，面临的数据安全问题日趋凸显。

智慧城市数据量大、种类多、流动性和传播性强，所蕴含的巨大价值使其极易成为攻击的重点目标，在数据处理各环节均伴随各类安全风险，特别是涉及重要或核心数据的泄露与破坏，将影响国家安全和社会稳定。

一、智慧城市系统架构及数据应用场景

1. 智慧城市系统架构

结合智慧城市发展现状，考虑当前智慧城市标准化需求，常见智慧城市统一框架如图 2 所示。框架由总体标准、技术与平台、基础设施、数据层、管理与服务、建设与运营、安全与保障七部分组成。

图 2 常见智慧城市统一框架

总体标准层是智慧城市的顶层设计，从概念术语、架构模型、评价方法、应用指南四个维度，规划智慧城市发展的方向。
技术与平台层汇聚智慧城市所需的核心计算技术，技术在智慧城市领域的应用以及相关能力平台对业务的协同支撑作用、互联互通和互操作性，用于保障上层智慧城市相关基础设施建设、数据、建设管理及智慧应用功能的实现。
基础设施层是针对新型基础设施的技术、建设、管理的平台，切实为智慧城市项目建设和运营基础服务提供支撑和保障。
数据层包括城市数据资源体系、城市数据模型、城市数据治理、城市数据融合与服务四大项。数据层作为数据存储的体系架构，是数据安全防护的重点。
管理与服务层，提供智慧城市相关领域规划、建设、实施与运营过程标准，包括城市治理、惠民服务、生态宜居、产业发展、区域协同五大服务方向。
建设与运营层，为智慧城市建设和运营过程提供技术、方法、流程、创新等方面的指导和参考，包括规划设计、部署实施、运营管理、评估改进四个子类。

智慧城市建设和运营过程中面临复杂的安全风险，安全防护是保障技术与平台、关键基础设施、数据平台、管理与服务、建设与运营安全可靠的重要基础。

2. 智慧城市数据应用

智慧城市场景众多，大致包括城市治理、惠民服务、生态宜居、产业发展、区域协同等多个服务方向。基于数据的应用更是数不胜数，需关注从收集、存储、使用加工、传输、提供、公开和销毁的各个数据处理周期过程。要保障智慧城市多种应用场景的数据服务安全，需要充分考虑各阶段的数据应用：

一是收集数据，其中涉及不同领域数据，如人口数据、地理数据、天气数据、交通数据、医疗健康数据等。同时数据收集方式多种多样，如传感器采集、爬虫、录入、文件导入、接口、块数据等，且不同领域数据收集制式不同，收集识别过程需要大量人工确认。数据收集过程中应在收集设备、收集方式以及人工操作等环节保障安全。

二是存储数据，要保障城市海量数据存储安全，业务系统存储介质的安全可信是非常必要的，同时也要考虑城市重要数据需要加密存储。

三是需要使用加工数据，智慧城市业务涉及数据类型多样，有文本、音频、视频、图像等多形态数据，各个系统对数据做处理分析的同时也要保障数据的安全性，如智慧安检中涉及大量人像、车辆、图像以及视频数据，想要预测某一时间段违规车数量，则需要统一数据格式，同时也要对数据中用户个人信息做一定的处理，防止数据的泄露。

四是传输数据，一方面数据收集及前期处理后，需传输到各个业务系统内部再次进行存储或分析，如智慧消防应用需要传输用电数据、天气数据、充电桩数据等数据帮助进行火灾的风险评估。另一方面各个业务系统、各组件之间的数据实时传输，如智慧消防系统需要智慧交通系统的某一段的路况数据。在系统和组件之间数据传输则需要安全的网络环境和传输设备，以确保数据的机密性、完整性和可用性。

五是提供数据，要实现智慧城市信息系统的互联互通，各个业务系统之间就要打破数据壁垒，实现数据为多种业务场景服务的能力，如用户用电数据既可以服务智慧消防系统，也可以服务智慧城市运行，但要想实现数据的互联互通，就需要有清晰的数据确权、规范安全的数据交换平台以及相应技术支持（如隐私计算、数据沙箱等）。

六是数据公开，智慧城市信息不应只为各个业务系统提供数据支撑，还需要服务公众，及时适度公开数据。对于法律法规要求公开的数据，使用数据脱敏技术实施保护，同时明确数据公开的范围、类别、条件、程序等，在数据公开前分析研判可能对国家安全、公共利益产生的影响程度，存在重大影响的不得公开。

七是数据销毁，智慧城市各服务节点分布式存储大量数据，当数据需要销毁时，需要统一各平台对该条数据全部删除，防止数据残留。

二、智慧城市数据安全解决方案

（一）智慧城市数据安全总体架构

智慧城市数据安全总体架构的目标就是要保证城市在数字化转型过程中各类数据基础设施和重要业务系统的正常运行，确保智慧城市重要数据资源的保密性、完整性、可用性、真实性、可控性、不可抵赖性，使个人信息得到保护，满足国家对新型智慧城市数据安全保障工作的要求。

图 3 智慧城市数据安全总体架构

（二）智慧城市数据处理周期安全

智慧城市数据处理周期整体是一个系统性的安全保护措施，要通过技术手段和管理规范相结合来实现对智慧城市数据的有效保障。它具体分为七个阶段，分别为数据收集安全、数据存储安全、数据使用加工安全、数据传出安全、数据提供安全、数据公开安全和数据销毁安全，每个阶段具有特定的保护方案。

1. 数据收集安全

（1）资产发现方案

智慧城市大数据平台通过资产扫描、元数据接口对接、数据字典导入等方式，收集、发现各对接系统的数据资产，其中资产扫描方式是以任务形式对指定城市平台内的各类数据库、涉敏文件进行嗅探，自动发现数据资产并进行备案，再通过对指定数据库、大数据或文件进行扫描，识别数据资产与分类分级情况；数据字典可通过文件导入或与元数据系统的接口对接方式获取数据资产。

智慧城市大数据平台通过主动发起数据探测行为，对数据源或结构化文件、非结构化文件中的数据进行分析，运用字段名、字段描述、内容关键字、正则表达式、自然语言识别等规则匹配，进行数据特征的智能识别，该技术可以判断输入数据的特征是属于个人姓名、身份证号、手机/座机号、职业、地址、纳税人识别号等类型。通过数据资产自动发现与识别技术，可以对需要分类分级的数据做预处理，加速人工判别过程。实现数据资产的全面测绘，形成数据资产地图、多维统计分析视图、资产分析报告、数据清单等。

（2）分类分级方案

智慧城市大数据平台对发现的数据资产，面向字段名、字段描述、数据样本三要素，通过数据识别引擎进行自动化的敏感数据特征识别，与数据分类分级模板中明细分类建立映射关系，快速生成数据分类分级策略，完成数据资产分类分级的预处理。

数据分类分级模板依照智慧城市特点，对经济、证券、工控、政务等行业标准制定不同预制模板。参考标准如《数字化改革公共数据分类分级指南》（DB33/T 2350-2021）、《国民经济行业分类》（GB/T 4754-2017）、《政务信息资源目录体系第 4 部分：政务信息资源分类》（GB/T 21063.4—2007）、《证券期货业数据分类分级指引》（JR/T 0158—2018）、《石油和化工行业工业数据分类分级指南》等。

智慧城市大数据平台针对数据字段和字段描述，通过运用谓词切分与语义分析技术，帮助了解和定义数据的业务分类，进一步通过表和字段自动关联分析，对业务分类关键字进行钻取、分析、统计，帮助对业务分类进行统计确认，并与数据分类分级模板中的明细分类建立映射关系，生成更加精确的数据分类分级策略。

城市大脑基于已分类分级的数据资产结果集，将结果中的表名、字段名、字段描述、数据特征等作为向量，进行机器学习建模，并根据知识库模型智能预测大规模数据的分类分级打标，实现数据自动分类分级，输出数据分类分级报告。并通过面向行业或系统的持续模型优化，形成数据分类分级模型知识库，向全自动数据分类分级迈进。数据分类分级结果根据数据重要性，在数据处理周期各环节采取不同保护策略和要求。

2. 数据存储安全

（1）静态脱敏方案

数据脱敏是指对某些敏感信息通过脱敏规则进行数据的变形，实现敏感数据的可靠保护，实现在不泄露用户隐私的前提下保障业务系统的正常运行，

对敏感数据去标签化处理。脱敏算法包含掩码、截断和哈希，脱敏技术应支持通过灵活多样的内置或自定义脱敏算法，实现了智慧城市各类数据的不同脱敏效果，并确保脱敏后的数据保真可用。

（2）静态加密方案

智慧城市中存在用户身份证号、手机号码、家庭地址等大量敏感数据，面临内部非授权访问泄露、外部黑客攻击拖库等威胁，一旦泄露将对城市安全产生较大挑战。通过使用加密技术，将敏感数据加密保护，对抗数据明文泄露威胁。静态加密技术应包括密钥管理技术、专属加密技术、数据静态加密技术。

智慧城市各系统之间需统一密钥方使得各加密数据一致，密钥管理技术（KMS）帮助智慧城市各系统平台统一管理密钥、敏感数据加密、数据数字签名等，支持智慧城市管理人员创建、启用、禁用、删除、导入密钥；支持密钥轮询、密钥授权。

数据静态加密方案，一般支持对称：SM1/SM4/AES/SM7、非对称： SM2/RSA(1024~4096)、摘要：SM3/SHA256/SHA384 等加密算法。可以对城市中原始数据进行加密工作，保证在城市数据存储中（数据库、HIVE 表、HDFS 等）数据处于加密状态，并可根据数据保密需求的不同，设置不同的加密算法。加密技术需拥有独享加密芯片支持 SM1、SM2、SM3、SM4 等国产加密算法。

图 4 数据存储加密技术

3. 数据使用加工安全

（1）操作审计方案

针对智慧城市数据使用场景过多、数据使用频繁的情况，审计系统一般采用分布式轻量插件的方式实现旁路部署。通过在宿主机上部署网络探针（RMAgent），对数据操作进行全面审计，通过在服务器中部署数据插件（DBLAP），实现运维人员本地数据库操作审计，从而实现全方位数据库审计。并且Agent 和DBLap 通过智能动态防御机制，在数据库主机处于高耗能情况下，释放资源保障数据库业务的正常运行。对数据使用、数据库登录等操作行为建立日志，日志的内容包括但不限于：时间、IP 地址、用户ID、操作内容、操作对象等，对操作异常行为进行识别分析并及时督促整改。

（2）访问控制方案

访问控制主要保护数据通过应用程序和 API 访问，以及用户终端使用过程中的数据泄露防护。基于用户级别和数据级别，配置数据访问权限策略，对于高敏感级数据采用双人控制等访问控制策略。

4. 数据传输安全

（1）传输加密方案

智慧城市数据传输通过安全基础设施提供的加密网关等数据加密保护功能，对传输协议、链路进行加密，保障传输安全；通过安全基础设施提供的密码服务等数据加密保护功能，对数据进行签名和验签，防止身份抵赖。常用技术包括SSL 算法、VPN 隧道、安全网关等。

（2）传输监控方案

全流量采集监测分析技术，其传输监控的位点包括了智慧城市各平台间传输的网络监控，智慧城市平台内部数据操作的应用监控，客户访问智慧城市的接口监控等。将监控的所有节点实时上传至监控统一平台，平台系统监测节点状态、业务流向；对分析发现的可疑威胁源与高风险事件，进行持续跟踪分析，并结合历史告警事件进行关联分析，从而挖掘出隐藏的真正威胁。

网络监控技术具有仿冒检测能力，持续检测数据采集设备运行状态，当发现设备存在网络环境变更（如网络中断重新接入），或网络行为出现变更时触发仿冒确认过程。当发现设备硬件信息（MAC 地址）、指纹信息发生变化时，确认设备仿冒事件发生。当确认设备发生仿冒，准入系统需要通过连接重置的方式对设备网络流量进行限制或联动网络设备的方式直接切断设备网络连接。同时记录完整的发现及处置日志，满足合规审计要求。网络监控同时搭配IPS 安全设备，可对网络攻击如 DDoS、暴力破解、漏洞利用等进行监控与拦截。

应用监控技术具备内部数据调用检测能力，持续监测各数据库内部数据调用的合法正规性，当发现数据库被大量或恶意调用，将自动阻断并进行告警通知。

接口监控技术具备对智慧城市全部流量采集汇聚，搭配流量审计系统可对用户访问的所有行为检测建模。通过与防火墙等网关设备联动，对非法身份、恶意攻击、可疑操作等问题进行拦截并告警。

5. 数据提供安全

（1）动态脱敏方案

动态数据脱敏旨在通过类似网络代理的中间件技术，按照脱敏规则对于外部申请提供的数据进行及时处理并返回脱敏后结果。动态脱敏通常会在数据对外提供服务的场景中使用。

智慧城市大数据平台应可设置动态脱敏规则，针对不同的访问身份，动态遮蔽查询返回的高级别数据内容，防止智慧城市核心数据通过水滴式收集和屏幕拍摄的方式大量泄露。如针对智慧城市对市民服务的业务，应区分调用数据的账号，当存在普通市民帐号请求数据时，应动态配置脱敏方案，防止他人信息泄露。

（2）对外接口管控

数据对外接口管控通过对网络协议解析，建立 API 接口清单并识别敏感数据暴露面，避免出现安全管理盲区，降低数据泄露和合规风险。围绕业务API 接口，采用实时监测技术，对 API 接口数据进行协议解析，对接口数据流转环节进行风险关联分析，实现敏感数据传输与违规监测、异常行为风险监测，以确保日常数据处理活动的安全、合规。数据对外接口管控主要包括API 应用接口地图绘制、行为异常监测、数据内容合规监测等功能。

6. 数据公开安全

（1）数字水印方案

智慧城市数据水印是指从原始环境向目标环境进行敏感数据公开时，通过向数据中植入水印标记，使数据具有可识别分发者、分发对象、分发时间、分发目的等因素，同时保留目标环境业务所需的数据特性或内容的数据处理过程。数据水印应具有隐蔽性、可追溯性、确定性等特点。

这项技术主要用于在智慧城市数据公开中的事后追责活动：通过对已经发生数据安全损害事件中的特定行为成因进行探究，从导致结果的成因中找出权重最大或最初始阶段的行为主体，再以规章为依据追究其相关责任。相关数据安全事件既可以是数据泄露，也可以是数据被滥用或者盗版、贩卖等情况。

（2）文档标签方案

智慧城市中存在大量的文档文件，对于指定用户或用户组终端中标注为指定密级的文件，在打印时自动加标水印。水印可以通过普通水印或二维码等方式实现，支持水印的打印位置、透明度等参数的灵活设置，同时也支持记录、追踪指定密级文件的打印行为。

7. 数据销毁安全

（1）数据销毁方案

数据销毁实现在停止智慧城市业务服务、数据使用以及存储空间再分配的场景下，对数据库、服务器以及终端中的数据、文件、帐号等信息进行擦除或者物理销毁。核心安全能力要具备介质销毁、数据销毁以及销毁过程审计等安全能力。

（2）密钥销毁方案

当智慧城市业务服务停止、数据加密算法停用或密钥过期时，应通过 KMS 密钥管理系统对已有密钥进行销毁。密钥销毁时为防止密钥泄露造成从前加密的信息被破译，要及时销毁已不再使用的密钥。正常销毁时，需将密钥和密钥备份的所有信息清除，清除的方法可以是数字方式的，也可以是物理方式的，关键在于使任何人无法以任何方式重新获得这一密钥的任何信息。

（三）智慧城市数据安全运营

1. 智慧城市数据安全运营中心

智慧城市安全运营中心是联动市、区县网络安全工作的总枢纽、是市域各单位获取安全能力的总资源池、是市域一体化安全运营的总工作站。一是统筹安全服务能力。让安全能力集约化、服务化、SaaS （Software as a Service）化，形成本地化安全资源与服务目录。对全市单位进行开放，各单位可以自主化、定制化使用安全资源能力；二是统筹安全服务团队。整合市场上优秀的数据安全产品与优秀厂商的安全服务，将不同服务商提供的碎片化的安全服务整合成“城市主导、联合运营”的一体化安全运营服务机制。各厂商安全服务成员统一纳入安全运营中心统一服务团队，将生态服务商整合成一个有机整体，达到持续优化、动态运营的效果；三是统一安全运营服务机制，建立安全运营服务规范与标准化流程。各服务商团队采用同一个标准参与、同一个标准考核、同一套流程开展服务，共同维护智慧城市数据安全；四是统一数据安全策略管理，以数据为中心来制定安全策略，以分类分级结果为基础，通过安全策略管理中心下发对应策略实行不同级别的数据安全防护。数据安全策略包括敏感数据发现策略、脱敏策略、加密策略、水印策略、访问控制策略等。

数据安全运营中心包括态势感知、威胁情报、资产管理、数据地图、统一分析、联合处置、集中审计、安全检测、7*24 值守、事件展示大屏等功能。安全运营中心落地建设完成后，将不断升级智慧化分析能力，实现人机协同网络安全分析和防御的先进能力，同时以动态化的方式对智慧城市相关安全体系实现监督管理。

2. 智慧城市数据安全应急响应

通过数据安全处理周期安全防护，强化日常数据安全运营工作，不断完善数据安全管理体系，智慧城市应通过安全应急响应工作对安全问题进行闭环。安全应急响应流程分为准备阶段、检测阶段、抑制阶段、根除阶段、恢复阶段、跟踪阶段。

准备阶段：组建应急响应组织，熟练掌握应急响应制度，系统性识别运行维护服务对象及运行维护活动中可能出现的风险，定义应急事件级别，制定预案，开展培训和演练。这其中要求智慧城市参与真实网络攻防演练，全面评估目标所在网络的整体安全防护能力。
检测阶段：进行日常监测，及时发现应急事件并有效预整，进行核实和评估以规定的策略和程序启动预案，并保持对应急事件的跟踪。
抑制阶段：采取必要的应急调度手段,基于预案开展故障排查与诊断，对故障进行有效、快速的处理降低影响，停止进一步损失，及时通报应急事件。针对大型城市数据泄露事件，应急处置同时应上报上级机关和国家网络安全主管单位，防止数据进一步泄露危害国家安全。
根除阶段：进一步分析信息安全事件，找出事件根因并彻底消除。包括漏洞修复，人员培训，制度更新等。
恢复阶段：对系统数据损失进行容灾备份恢复，恢复系统的运行过程，把受影响系统、设备、软件和应用服务还原到它们正常工作状态。
跟进阶段：总结经验持续监控，在日常运营中持续改进，提升系统安全防护能力及人员应急响应能力。

图 8 数据安全应急响应流程

3. 智慧城市数据安全风险监测

（1）场景化数据安全风险监测

对敏感数据的流转场景，如敏感信息未脱敏、无认证访问行为、参数篡改访问、低权访问高权业务、批量且高频地访问敏感信息和高频外发等进行监测和审计，若违反预设监测模型的场景发生异常访问行为则进行告警及通报。

（2）深度数据安全风险分析

基于异常行为规则和敏感信息访问规则，结合 UEBA (User and Entity Behavior Analytics ) 技术，实现用户异常行为及敏感信息访问分析、异常访问分析和操作行为分析。结合前序、后续页面操作提升证据的准确性，可协助定位安全事件，发现共享数据泄露源，协助用户进行业务止损。

4. 智慧城市数据安全风险评估

开展数据安全评估，涵盖数据安全合规评估、重要数据风险评估、个人信息保护影响等，明确评估事项、评估团队和评估实施流程。对新业务上线、业务重大变更、处理重要数据、处理敏感个人信息等满足条件的事项开展相应数据安全评估，发现数据安全风险，制定有针对性的数据安全改进方案及整体提升计划。

（四）智慧城市公共领域攻击防范

1. 网络攻击防范

网络安全是智慧城市建设的基础保障，没有网络安全，就没有数据安全。智慧城市网络安全建设按照网络安全等级保护、关键信息基础设施安全保护要求，构建符合网络安全等级保护三级及以上要求的安全防护体系，增强各数据平台到智慧城市大数据平台的不同系统之间的安全防护能力，确保智慧城市信息基础设施和公共支撑体系符合国家及行业相关安全要求。

图 9 智慧城市网络安全整体架构

合理规划安全域：智慧城市网络边界防护是构建智慧城市网络安全纵深防御体系中的重要环节，防范非授权的访问、阻断非法入侵以及对恶意代码的检测和防护等技术防护措施是保障智慧城市网络安全防护的基石。在智慧城市网络安全建设时，需要合理划分逻辑区域，基于“零信任安全”一体化全程可信防护架构，对不同区域边界采取安全防护措施，包括边界安全防护、网络访问控制、入侵防范、恶意代码防范、异常流量清洗与防护等，实现在源头对非信任用户进行网络访问隔离，构建无法抵赖、无法篡改、动态访问控制的网络安全边界。

部署安全防护设备：在网络层面各公共领域访问流量应通过各项安全设备的识别防护，包括安全策略防火墙、IPS、WAF、抗 DDoS、邮件网关等设备，可有效应对网络攻击、恶意代码、爬虫、DDoS 攻击、钓鱼邮件、APT 攻击等；服务器应部署服务器系统安全产品识别进程异常、病毒木马、勒索攻击、恶意操作等风险；运维办公主机应安装杀毒软件和零信任系统，防止从运维或访客通道传播病毒或恶意代码。

主从冗余网络系统：为提高智慧城市网络可用性，应部署冗余网络链路，当发生网络故障时可自动切换为高可用网络链路；数据存储应搭配冗余备份功能，当发生数据丢失时可快速恢复数据。

全链路日志分析：通过数据探针，在智慧城市系统各链路中监控网络、应用日志。对日志的统一监控和分析有利于及时、完整地还原网络安全事件，可以有效对安全攻击进行拦截和溯源。

2. 供应链应用安全

智慧城市信息系统涉及功能较多，技术较为复杂。在智慧城市业务发展及能力生态的建设中，由于涉及到众多的应用主体，为避免应用产品的恶意

漏洞以及供应链攻击所带来的损失。缓解整个智慧城市数据产品生命周期的威胁。本文提出通过可监控和有效验证的数据应用安全方案。依照风险治理思路，在软件应用安全治理方面，需要做到如下五个方面：

（1）外防输入，做好软件引入及供应链产品的专项安全检查

智慧城市的软件引入要做到严进宽用，按照当前引入时间为起始点，去除带有漏洞的软件版本，严格控制外部引入风险，认定后可认为引入的软件是安全的，可供内部使用，直至曝出漏洞，对软件进行标记风险状态，进入下一个循环。

（2）内控扩散，将安全管控融入智慧城市安全管理中

结合智慧城市管理建立供应商灰白黑名单机制，防范带有漏洞的软件版本引入系统。针对曝出漏洞但未完成治理的软件或系统进行标记，严格安全管控。同时智慧城市各子系统之间应做好逻辑隔离，防止恶意软件在系统之间扩散。

（3）存量治理，结合智慧城市安全管理理清依赖，有序治理

智慧城市依赖系统较多，建设过程中会引入存量系统。因存量系统较多，按照风险有限的原则，统筹考虑系统间的依赖关系，制定基础平台优先治理、互联网应用重点治理等差异化的治理策略，分批次有序开展治理。

（4）持续监测，建立风险预警机制，保障供应链安全可控

智慧城市交付运行后，供应商应在智慧城市的生命周期内提供安全保障服务，对产品漏洞及时修复；最终智慧城市也应根据供应商所提供管理手册将供应链产品纳入企业资产管理定期对资产进行安全评估，结合漏洞预警，对受影响的产品进行加固和修复。

（5）重视自研，建立软件研发框架，保障自研产品安全

在智慧城市信息系统的开发生命周期中，漏洞的引入不止有依赖的开源组件、供应商等，还有开发人员编写的源代码漏洞。依照软件的开发和构建过程，智慧城市信息系统需要从研发流程管控方面提升安全能力。系统开发过程中，不规范的安全编码也会引入漏洞风险，如SQL 语拼接所导致的SQL 注入漏洞。

为降低开发过程中源代码漏洞的产生，提升源代码安全质量，可使用SAST (Static Application Security Testing，通常指静态源代码安全审计工具)在开发 IDE 工具和持续集成过程中，对源代码进行安全扫描，或者使用 IAST (Interactive Application Security Testing,通常指交互式安全测试工具)在系统运行时通过污点分析检出源代码漏洞。

3. 数据交换安全

根据数据二十条数据处理者依法依规在场内和场外采取开放、共享、交换、交易等方式流通数据，鼓励探索数据流通安全保障技术、标准、方案。

（1）零信任技术

智慧城市数据交换的设计基于零信任技术实现，既不信任网络内部和外部的任何访问主体，采用以身份为基础，持续评估访问主体的风险，以动态授予应用访问控制权限为核心，持续防护对接平台的双方安全。智慧城市零信任总体架构设计应遵循以下原则：

持续风险评估：以访问主体的身份、行为、网络环境、终端环境等因素进行持续风险评估，确保访问平台可信。
动态访问控制策略：建立基于风险评估的动态访问控制策略，主体访问过程中持续评估主体风险并对动态授权。
应用与接口最小化授权：建立基于应用功能和API 接口的细粒度授权体系，数据平台对访问者开放满足最小权限原则所需的应用功能和接口权限，收缩潜在攻击面。
功能与数据分离：数据平台应用分层解耦，将安全能力嵌入应用，建立对数据授权的可信访问控制，实现应用嵌入式安全及纵深防御。
数据风险识别：对数据传输过程中的公开数据、敏感数据、加密数据、攻击数据的风险进行识别，采用不同策略进行传输。采取安全算法对数据进行加密传输。

（2）区块链可信技术

智慧城市数据安全区块链通过将数据存储在去中心化的区块链网络中，实现了数据加密、去中心化存储、不可篡改三大功能，为数据安全提供了一套可靠的分布式解决方案，具备高效、可信和安全的特点，用于智慧城市如医疗、金融、交通等各个领域。

区块链可作为智慧城市数据安全的能力基础，对数据进行分布式治理，并对数据开放行为进行监测，异常行为告警，全方位保障数据共享应用过程中的风险可控。链上以协作节点为最小单位，为节点提供的原生的存证能力，节点间的数据依靠开放策略管理、风险审计、数据开放血缘、流通水印溯源关键技术，确保数据流通过程中的可信可证。

（3）隐私计算技术

图 10 区块链可信能力

隐私计算技术是一种在不暴露数据本身的情况下，对数据进行加密和计算操作的技术，旨在保护数据的隐私性。隐私计算技术的主要目的是使数据在计算过程中保持加密状态，从而确保数据隐私性和安全性。在智慧城市的建设中，隐私计算技术可以有效保护城市重要数据、个人隐私数据公开，提高数据安全性。例如，对于人脸识别、车牌识别等场景，可以采用同态加密、差分隐私、多方计算等技术，确保个人隐私不被泄露。

多种隐私计算能力以及区块链技术可以全方位支持数据公开安全，比如多方安全计算（MPC）、联邦学习（FL）、可信执行环境（TEE）等能力。在实际应用中，可信执行环境使用安全计算硬件，密文汇聚并进行加解密计算，使原文不被任何第三方获取。

图 11 可信计算环境

多方安全计算可以实现数据不出域的情况下，对公开数据进行隐私计算，将安全可信的结果提供给第三方。

图 12 多方安全计算

同时，对于单方数据查询需求，隐匿查询可以保证数据源无法确认查询方实际查询对象，查询方无法获取到自己查询对象之外的信息。

图 13 隐匿查询

为防范和化解智慧城市面临的各类数据安全风险，顺应未来智慧城市数据安全发展方向，保障和推动智慧城市高质量高速发展，白皮书从智慧城市顶层设计、数据处理周期安全、安全管理运营、公共领域攻击防范四个层面提出智慧城市数据安全解决方案，确保智慧城市重要数据资源的保密性、完整性、可用性、真实性、可控性、不可抵赖性，满足国家对新型智慧城市数据安全保障工作的要求。

本文摘编自中国移动发布的《智慧城市数据安全白皮书（2023年）》，全文下载：