【文章內(nèi)容簡介】 ，影響的就不是單個(gè)業(yè)務(wù)系統(tǒng)，而是運(yùn)行在整個(gè)云平臺(tái)上的多個(gè)業(yè)務(wù)系統(tǒng)。（4）平臺(tái)層風(fēng)險(xiǎn)在智慧城市體系中，平臺(tái)層是各類業(yè)務(wù)系統(tǒng)的承載，它的核心一般是基于共享數(shù)據(jù)庫的城市管理中心平臺(tái)，它基于云計(jì)算技術(shù)和中間件技術(shù)，對城市收集到的數(shù)據(jù)進(jìn)行存儲(chǔ)、處理和轉(zhuǎn)發(fā)，通過分布式計(jì)算和虛擬化技術(shù)滿足智慧城市未來更加豐富應(yīng)用的需求。按照基礎(chǔ)功能來劃分，構(gòu)成智慧城市中的平臺(tái)主要可分為虛擬化的云平臺(tái)以及匯聚在云平臺(tái)上的數(shù)據(jù)。虛擬化云平臺(tái)為公共信息平臺(tái)提供硬件資源管理服務(wù)，是城市運(yùn)營中心的基礎(chǔ)設(shè)施，其上可進(jìn)一步承載眾多的智慧業(yè)務(wù)系統(tǒng)。而云平臺(tái)上的數(shù)據(jù)是實(shí)現(xiàn)城市不同部門異構(gòu)系統(tǒng)間的資源共享和業(yè)務(wù)協(xié)同的基礎(chǔ)。這兩者在智慧城市中又具有完全不同的風(fēng)險(xiǎn)特性。其風(fēng)險(xiǎn)分別如下：1）云平臺(tái)風(fēng)險(xiǎn)智慧城市平臺(tái)最典型的一個(gè)特色就是云化。云化的平臺(tái)以虛擬化技術(shù)為基礎(chǔ)，包含了云計(jì)算、云存儲(chǔ)等云服務(wù)功能。它的信息安全與傳統(tǒng)的信息安全領(lǐng)域截然不同，屬于新技術(shù)發(fā)展背景下的新興安全領(lǐng)域。在云平臺(tái)中，傳統(tǒng)的網(wǎng)絡(luò)安全、主機(jī)安全、數(shù)據(jù)安全依舊存在并呈現(xiàn)出新的特點(diǎn)，同時(shí)還存在諸如虛擬器的安全、租戶模式帶來的風(fēng)險(xiǎn)等。2）基礎(chǔ)軟件的漏洞云平臺(tái)的基礎(chǔ)主要是虛擬機(jī)軟件。因此，云平臺(tái)的安全問題，首先必須要考慮到虛擬機(jī)系統(tǒng)的健壯性。作為一個(gè)應(yīng)用軟件，它本身所存在的安全隱患一直為人所討論。由于虛擬機(jī)是運(yùn)行在硬件的宿主機(jī)之上的，因此宿主機(jī)可對虛擬機(jī)的運(yùn)行情況進(jìn)行檢測，甚至是做出一些改變，比如啟動(dòng)、關(guān)閉、停止、重啟虛擬機(jī)軟件；監(jiān)控虛擬機(jī)的資源使用情況，包括CPU、內(nèi)存、硬盤等；可以改變虛擬機(jī)的資源配置，包括CPU數(shù)量、內(nèi)存大小、磁盤的大小及網(wǎng)絡(luò)接口；甚至監(jiān)控到虛擬機(jī)內(nèi)運(yùn)行的應(yīng)用程序，進(jìn)而了解到虛擬機(jī)內(nèi)部運(yùn)行的客戶業(yè)務(wù)；反過來，運(yùn)行在虛擬機(jī)里的程序，可能利用一些設(shè)置或者底層的技術(shù)來訪問宿主機(jī)，進(jìn)而造成更大的安全隱患。比如VMWare 虛擬機(jī)可以通過設(shè)置共享文件夾的方式，把宿主機(jī)上的文件夾或驅(qū)動(dòng)器映射成虛擬機(jī)的一個(gè)磁盤，這樣就可以讓虛擬機(jī)與宿主機(jī)實(shí)現(xiàn)數(shù)據(jù)互訪，結(jié)果導(dǎo)致嚴(yán)重的泄密問題，給病毒傳播提供了便利。3）傳統(tǒng)防護(hù)手段的失效盡管通過虛擬化技術(shù)將單個(gè)的物理服務(wù)器虛擬化成多個(gè)虛擬的服務(wù)器，但云平臺(tái)中網(wǎng)絡(luò)元素沒有改變，依舊存在需要防護(hù)的系統(tǒng)、應(yīng)用及用戶等，也需要利用防火墻等傳統(tǒng)安全技術(shù)進(jìn)行區(qū)域劃分和隔離，需要控制網(wǎng)絡(luò)邊界的訪問，執(zhí)行用戶接入的認(rèn)證以及行為審計(jì)等。但是，虛擬的服務(wù)器構(gòu)成的網(wǎng)絡(luò)，尤其是虛擬服務(wù)器之間的交互，有一部分是繞開了外部防火墻、路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備，自然也就繞開了這一類的安全控制和審計(jì)，從而帶來一定的不受控制的風(fēng)險(xiǎn)。這樣，傳統(tǒng)的安全防護(hù)手段就要在部署或者技術(shù)實(shí)現(xiàn)方式上做出改變了。4）云服務(wù)帶來安全責(zé)任主體的變化云平臺(tái)的安全責(zé)任主體有了很大的不同。負(fù)責(zé)云平臺(tái)安全的主體已經(jīng)不是傳統(tǒng)的用戶，而是云服務(wù)提供商。云服務(wù)提供商需要考慮如何構(gòu)建一個(gè)安全的云平臺(tái)環(huán)境，保障云數(shù)據(jù)中心、云網(wǎng)絡(luò)和數(shù)據(jù)的健全，從而給云用戶提供足以支撐業(yè)務(wù)要求的安全環(huán)境。云服務(wù)在市場上流行的模式有三種，分別是IaaS(基礎(chǔ)設(shè)施即服務(wù))、PaaS(平臺(tái)既服務(wù))以及SaaS(軟件即服務(wù))。其中SaaS模式下的用戶信息安全基本依靠云服務(wù)商，IaaS和PaaS模式下用戶還能夠進(jìn)行一定的安全管理。但是，云平臺(tái)服務(wù)商畢竟不是用戶，他對云用戶的業(yè)務(wù)并不關(guān)心或者并不精通，因此只能提供普適性的整體安全防護(hù)，如統(tǒng)一的邊界防護(hù)、身份認(rèn)證和身份管理等等，并不能提供差異化的、針對用戶業(yè)務(wù)的權(quán)限管理、部署特定的安全手段等，這需要用戶和運(yùn)營商進(jìn)行協(xié)調(diào)處置，目前還沒有統(tǒng)一的標(biāo)準(zhǔn)。更嚴(yán)重的是，原本由用戶掌握的資源，因?yàn)榘踩?zé)任主體的變化，使得云平臺(tái)服務(wù)商可以掌握用戶的數(shù)據(jù)，云服務(wù)商就有了對數(shù)據(jù)訪問權(quán)限。服務(wù)商內(nèi)部存在的有意或者無意的泄露行為都可能對用戶的信息安全造成嚴(yán)重的威脅。比如，將用戶的數(shù)據(jù)私自拷貝、占有甚至商業(yè)出售；監(jiān)控用戶的業(yè)務(wù)趨勢，進(jìn)行統(tǒng)計(jì)性的分析從而獲取極有價(jià)值的商業(yè)情報(bào)等。對于這些風(fēng)險(xiǎn)，用戶沒有絲毫的技術(shù)防護(hù)手段，租戶的數(shù)據(jù)泄露風(fēng)險(xiǎn)自然也是極為嚴(yán)重。5）多租戶的安全隱患云平臺(tái)中的租戶是多租戶，每一個(gè)租戶都是云平臺(tái)的一個(gè)“房客”，花錢購買一個(gè)空間的“租住”權(quán)利。租戶除了要承擔(dān)上文所說的租戶數(shù)據(jù)泄露風(fēng)險(xiǎn)外，還面臨租戶之間可能的信息泄露問題。比如，內(nèi)部的虛擬機(jī)之間的交互不通過外部交換機(jī)，走的是云網(wǎng)絡(luò)，自然就無從判斷訪問的合法性問題。那么內(nèi)部租戶之間的通信如何管理和審計(jì)，如果一個(gè)租戶進(jìn)行非法的入侵和攻擊行為，就沒有相應(yīng)的手段進(jìn)行防護(hù)了，它在自己的虛擬環(huán)境上開啟一個(gè)漏掃系統(tǒng)，就可能發(fā)現(xiàn)整個(gè)平臺(tái)中其他虛擬機(jī)的漏洞進(jìn)而進(jìn)行利用，造成了嚴(yán)重的影響。（5）數(shù)據(jù)風(fēng)險(xiǎn)1）數(shù)據(jù)集中與風(fēng)險(xiǎn)集中云平臺(tái)帶來的一個(gè)現(xiàn)象就是數(shù)據(jù)集中。數(shù)據(jù)集中固然有很多的共享、分析、訪問的優(yōu)勢，但是也同樣的帶來了風(fēng)險(xiǎn)的集中。云平臺(tái)中匯聚了大量的主機(jī)、網(wǎng)絡(luò)設(shè)備、應(yīng)用及相關(guān)的數(shù)據(jù)，并且可訪問的方式也變的多樣，存在諸如有線網(wǎng)絡(luò)、移動(dòng)網(wǎng)絡(luò)、WIFI及衛(wèi)星網(wǎng)絡(luò)等多種方式，可以被DDos等攻擊手段利用的渠道也是十分豐富，DDos的威力也是大大增強(qiáng)，這在客觀上容易引起攻擊目標(biāo)的焦點(diǎn)匯聚，造成了風(fēng)險(xiǎn)的提升。而且，被攻破后其可能的風(fēng)險(xiǎn)嚴(yán)重級別遠(yuǎn)不是以前傳統(tǒng)網(wǎng)絡(luò)模式可比。這即是云平臺(tái)數(shù)據(jù)的安全特性，也是整個(gè)智慧城市的安全特性。同時(shí)，集中化的數(shù)據(jù)使得數(shù)據(jù)的可用性、完整性的需求尤其突出，對災(zāi)備系統(tǒng)的要求也更加嚴(yán)格。畢竟?fàn)恳话l(fā)而動(dòng)全身，數(shù)據(jù)恢復(fù)機(jī)制一旦有了問題，影響的不是一兩個(gè)服務(wù)，而是整個(gè)云平臺(tái)的所有服務(wù)。2）剩余數(shù)據(jù)風(fēng)險(xiǎn)在云平臺(tái)中，除了租戶之間訪問風(fēng)險(xiǎn)，云服務(wù)上主動(dòng)泄密風(fēng)險(xiǎn)外，云服務(wù)的提供商對租戶的管理也存在安全隱患。當(dāng)用戶撤銷和終止服務(wù)的時(shí)候，云服務(wù)商是否將用戶的數(shù)據(jù)進(jìn)行了清理和刪除，能否保障有效的刪除而不被恢復(fù)，是否直接將原租戶的空間派發(fā)給了下一個(gè)租戶，使得下一個(gè)租戶“意外”地繼承了上一個(gè)租戶的數(shù)據(jù)？時(shí)至今日，這些風(fēng)險(xiǎn)都缺乏關(guān)鍵的技術(shù)手段來支撐。3）大數(shù)據(jù)與hadoop云平臺(tái)下的數(shù)據(jù)是海量的。海量的數(shù)據(jù)有兩個(gè)重大的影響，就是存儲(chǔ)和分析。海量數(shù)據(jù)的存儲(chǔ)與傳統(tǒng)的數(shù)據(jù)存儲(chǔ)不同，因?yàn)椴捎昧薶adoop的技術(shù)，它是分布式存儲(chǔ)的，對數(shù)據(jù)災(zāi)備提出了新的要求，即數(shù)據(jù)備份方式也必須是能夠滿足分布式的網(wǎng)絡(luò)結(jié)構(gòu)。同時(shí)，海量數(shù)據(jù)的訪問、分析和計(jì)算是智慧城市的關(guān)鍵技術(shù)之一。目前，hadoop是大數(shù)據(jù)分析的主要工具，但是hadoop集群環(huán)境中存在大量的分布式節(jié)點(diǎn)，針對這些節(jié)點(diǎn)的有效防護(hù)有別于傳統(tǒng)的安全防護(hù)手段。傳統(tǒng)的安全防護(hù)都是針對一個(gè)物理設(shè)備或特定網(wǎng)絡(luò)的，而分布式網(wǎng)絡(luò)環(huán)境必然要求分布式防護(hù)手段，但是針對每一個(gè)節(jié)點(diǎn)進(jìn)行防護(hù)又會(huì)在無形中增加信息安全的建設(shè)成本。要知道，成本和可用性的沖突是信息安全永恒的話題。再者，hadoop當(dāng)初誕生的主要目的還是對大量的非結(jié)構(gòu)化數(shù)據(jù)的存取訪問，并沒有針對安全進(jìn)行制定完善的協(xié)議，比如缺乏節(jié)點(diǎn)之間的加密機(jī)制等。這個(gè)風(fēng)險(xiǎn)目前在智慧城市中還不明顯，但卻是一個(gè)不容忽視的隱患。4）數(shù)據(jù)加密對存儲(chǔ)數(shù)據(jù)進(jìn)行加密及對數(shù)據(jù)使用進(jìn)行審計(jì)，這已經(jīng)是業(yè)內(nèi)針對數(shù)據(jù)保密的共識(shí)之一，大數(shù)據(jù)也不例外。傳輸過程中的加密僅僅是防竊聽和篡改，但是云中存儲(chǔ)的數(shù)據(jù)才是安全防護(hù)的重點(diǎn)。在傳統(tǒng)的防護(hù)體系中，加密的數(shù)據(jù)是在自家的服務(wù)器和數(shù)據(jù)中心中，被盜取的風(fēng)險(xiǎn)很低（如果物理安全手段和網(wǎng)絡(luò)安全手段奏效的話），但是在云時(shí)代，加密的數(shù)據(jù)是存放在云服務(wù)提供商的云平臺(tái)中。加密機(jī)制是用戶自己定義還是使用云服務(wù)提供商的固有機(jī)制是一個(gè)難題，因?yàn)檫@會(huì)影響到密鑰和加密算法的安全管理。5）綜合關(guān)聯(lián)審計(jì)在數(shù)據(jù)審計(jì)方面，除了數(shù)據(jù)量巨大增強(qiáng)了數(shù)據(jù)審計(jì)的難度之外，大量的非結(jié)構(gòu)化數(shù)據(jù)及智慧城市下匯聚的多樣的數(shù)據(jù)類型，都對審計(jì)技術(shù)和人員提出了更高的要求。當(dāng)前針對數(shù)據(jù)審計(jì)有一個(gè)新的趨勢，那就是多維度的關(guān)聯(lián)分析，無論是針對各類合規(guī)法案還是APT攻擊的深度挖掘，都要求審計(jì)系統(tǒng)能夠演化出新的模型，能夠在海量數(shù)據(jù)及大數(shù)據(jù)的環(huán)境下綜合分析和關(guān)聯(lián)形式多樣的數(shù)據(jù)，準(zhǔn)確的定位審計(jì)目標(biāo)。（6）業(yè)務(wù)及應(yīng)用風(fēng)險(xiǎn)平臺(tái)層之上的應(yīng)用層實(shí)現(xiàn)各種智慧應(yīng)用，如電子政務(wù)、平安城市、智能交通、應(yīng)急指揮等。各種智慧應(yīng)用的主要目的是方便、快捷地為市民服務(wù)，構(gòu)建服務(wù)型新型網(wǎng)絡(luò)體系。它是智慧城市與用戶、市民直接接觸的層次，主要由大量的系統(tǒng)和應(yīng)用組成，這些應(yīng)用在實(shí)現(xiàn)、設(shè)計(jì)、使用的過程中不可避免的會(huì)面臨各種安全風(fēng)險(xiǎn)，尤其是移動(dòng)化將系統(tǒng)從傳統(tǒng)的“PC服務(wù)器”模式擴(kuò)展到“移動(dòng)終端服務(wù)器PC”模式之后，應(yīng)用風(fēng)險(xiǎn)變得尤其復(fù)雜。1）設(shè)計(jì)風(fēng)險(xiǎn)在傳統(tǒng)安全領(lǐng)域，應(yīng)用系統(tǒng)在設(shè)計(jì)、開發(fā)的過程中會(huì)存在脆弱性，這是公認(rèn)存在的。比如，因?yàn)榫幋a規(guī)范問題導(dǎo)致的應(yīng)用缺陷；采用的編程語言因?yàn)楣逃羞壿嫀淼姆淳幾g風(fēng)險(xiǎn)；流程邏輯的脆弱性；編程人員故意留下的程序后門等。在智慧城市中這些風(fēng)險(xiǎn)非但不會(huì)消失，反而會(huì)因?yàn)楦鞣N智慧業(yè)務(wù)的增多而隨之增多。尤其是在移動(dòng)應(yīng)用大規(guī)模的普及和使用之后，這種風(fēng)險(xiǎn)迅速的擴(kuò)散到了全智慧城市的各個(gè)角落，跨域個(gè)人、企業(yè)、政府的所有領(lǐng)域。移動(dòng)APP的開發(fā)不存在技術(shù)門檻，更加便利也更加不規(guī)范，更容易被二次打包帶來更大的風(fēng)險(xiǎn)。智慧城市的“互聯(lián)”優(yōu)勢使得這種設(shè)計(jì)風(fēng)險(xiǎn)的擴(kuò)散也更加便利。2）認(rèn)證風(fēng)險(xiǎn)智慧城市把眾多應(yīng)用系統(tǒng)整合在一起，各系統(tǒng)之間需要相互協(xié)作、互通和共享數(shù)據(jù)，這也是智慧城市體系的特性之一。在這種背景下，用戶與應(yīng)用、應(yīng)用與應(yīng)用之間就存在所謂的認(rèn)證和身份鑒別需求。判斷用戶是否具備訪問應(yīng)用的權(quán)限及多個(gè)應(yīng)用之間是否具備數(shù)據(jù)互訪的資格等問題，在智慧城市的體系下更加的突出。傳統(tǒng)的認(rèn)證方法需要根據(jù)智慧城市的特點(diǎn)來調(diào)整，即需要實(shí)現(xiàn)網(wǎng)絡(luò)認(rèn)證和應(yīng)用認(rèn)證的統(tǒng)一，也需要梳理明確智慧業(yè)務(wù)和應(yīng)用本身的訪問權(quán)限范疇。而在現(xiàn)在的市場上，智慧城市也屬于一種新型的業(yè)務(wù)模型，對于智慧業(yè)務(wù)的權(quán)限范疇至今沒有統(tǒng)一的標(biāo)準(zhǔn)可以參照，只能根據(jù)城市的實(shí)際需求和建設(shè)方的經(jīng)驗(yàn)?zāi)芰聿粩嗝鳌?）可用性風(fēng)險(xiǎn)當(dāng)前，各類智慧業(yè)務(wù)和應(yīng)用普遍采用了諸如人工智能、智能學(xué)習(xí)、智能識(shí)別等新型分析技術(shù)，借助于4G等新型網(wǎng)絡(luò)和Web技術(shù)實(shí)現(xiàn)了便捷的訪問和運(yùn)轉(zhuǎn)。這要求智慧業(yè)務(wù)的后臺(tái)能夠支撐復(fù)雜的分析算法，具備較強(qiáng)的分析計(jì)算能力，并且還需要快速有效的響應(yīng)來自于網(wǎng)絡(luò)上的請求。越是如此，智慧業(yè)務(wù)越容易被諸如DDos攻擊和APT攻擊干擾，影響系統(tǒng)的穩(wěn)定運(yùn)行。而大量的運(yùn)行在Web上的應(yīng)用就更容易被攻擊了，諸如SQL諸如、跨站腳本攻擊等日漸火熱的爆發(fā)現(xiàn)狀也在一定程度上說明了這一點(diǎn)。（7）管理及運(yùn)維風(fēng)險(xiǎn)安全管理和安全運(yùn)維一直都是信息安全領(lǐng)域的核心地帶。“三分技術(shù)，七分管理”，有效的管理和運(yùn)維所帶來的安全效益甚至比技術(shù)手段更顯著。在傳統(tǒng)的信息安全中，信息安全管理存在眾多的國際和國內(nèi)的相關(guān)標(biāo)準(zhǔn)，比如國際上的ISO27001管理體系，國內(nèi)的信息系統(tǒng)安全等級保護(hù)等。這些標(biāo)準(zhǔn)為信息安全管理提供了指導(dǎo)和依據(jù)，當(dāng)前政府、企業(yè)各行業(yè)的信息安全工作的開展大都依次而行。傳統(tǒng)的信息安全管理大都在安全制度、安全機(jī)構(gòu)、人員安全及安全運(yùn)行方面做出了明確的要求，按照時(shí)間的維度上，它大體可分為兩大類。第一類是管理類，就是在一個(gè)信息系統(tǒng)的規(guī)劃、建設(shè)、運(yùn)行過程中，為了使得各種安全技術(shù)手段有效的運(yùn)轉(zhuǎn)，發(fā)揮更大的作用，需要施加各種安全管理的措施，諸如制度、規(guī)章、工作方法、安全意識(shí)培訓(xùn)和考核等，保障其安全體系的有效運(yùn)作。另一類是運(yùn)維類，是系統(tǒng)在建立之后，如何主動(dòng)和被動(dòng)的針對安全風(fēng)險(xiǎn)做出有效的預(yù)防和處理的工作。以安全技術(shù)手段為基礎(chǔ)，管理和運(yùn)維相結(jié)合，是當(dāng)今信息安全保障領(lǐng)域的主流思想。在智慧城市中，安全管理和安全運(yùn)維是一個(gè)嶄新的領(lǐng)域，具體體現(xiàn)在：1）法規(guī)的缺失管理都必須是有法可依。但是截至目前為止，還沒有一種標(biāo)準(zhǔn)來規(guī)范智慧城市下的安全管理和運(yùn)維應(yīng)該如何進(jìn)行。因?yàn)橹腔鄢鞘械漠a(chǎn)業(yè)市場本身還處于剛起步、不斷摸索和完善的階段，政府和行業(yè)都沒有形成一致性的認(rèn)知，甚至各類基礎(chǔ)性的技術(shù)標(biāo)準(zhǔn)遠(yuǎn)未達(dá)到統(tǒng)一，信息安全管理自然也不可能先于這些智慧城市的基礎(chǔ)建筑而先行固化。不僅僅是技術(shù)方面的法規(guī)，還有法律方面的缺失。前文我們在感知層風(fēng)險(xiǎn)中分析了感知信息的敏感性。這個(gè)敏感性既可以指個(gè)人信息，也可以指企業(yè)信息和政府信息。在智慧城市中，缺乏足夠的法律來規(guī)定，哪些個(gè)人信息可以公開或者在智慧城市的網(wǎng)絡(luò)中流轉(zhuǎn)，哪些企業(yè)或者政府的信息可以公開發(fā)布或者不能公開共享。2017年3月25日晚19時(shí)，浙江杭州市政府向公眾發(fā)布，自3月26日零時(shí)起，杭州將正式實(shí)施無償搖號與有償競價(jià)相結(jié)合的限牌措施。突如其來的官方消息，讓此前沸沸揚(yáng)揚(yáng)的“限牌”傳言板上釘釘。而在25日下午，在杭州市政府發(fā)布限牌令之前，一份與當(dāng)天發(fā)布會(huì)材料如出一轍的“新聞通稿”就已經(jīng)在網(wǎng)絡(luò)流傳，引發(fā)了公眾對政府消息被泄的質(zhì)疑。在智慧城市的環(huán)境下，諸如“杭州限牌”事件一定不會(huì)是個(gè)例，需要明確的法律條文來進(jìn)行約束和限制。個(gè)人信息、企業(yè)信息和政府信息都需要得到足夠的保護(hù)，否則會(huì)危機(jī)智慧城市的信任體系。2）管理目標(biāo)復(fù)雜智慧城市將企業(yè)、政府、市民統(tǒng)一收納在內(nèi)，這是它的使用者，也是智慧城市的服務(wù)對象；將云計(jì)算技術(shù)、無線通信技術(shù)、衛(wèi)星定位技術(shù)、物聯(lián)網(wǎng)技術(shù)等新興技術(shù)集于一身，這是它的實(shí)現(xiàn)者 ；將智慧交通、智慧醫(yī)療、智慧教育等各類智慧業(yè)務(wù)包含在內(nèi)，這是它具體業(yè)務(wù)的承載者。人、技術(shù)、業(yè)務(wù)運(yùn)行這三要素，正是信息安全管理中的三個(gè)重點(diǎn)目標(biāo)。美國國家安全局所推出的信息安全保障技術(shù)框架（IATF）中，就認(rèn)為信息安全保障中需要做好深度防御，也就是要將人、技術(shù)、運(yùn)行三個(gè)層面控制好。智慧城市下的管理目標(biāo)和內(nèi)容，比之前任何一類的系統(tǒng)、部門都要復(fù)雜的多。傳統(tǒng)上企業(yè)的安全針對外部的黑客進(jìn)行防御，對內(nèi)部的員工進(jìn)行規(guī)范。但是在智慧城市中，就需要規(guī)范全城市的市民，防御全網(wǎng)絡(luò)的黑客了。這種“全城參與”的模式前所未有，在管理上自然也不可能簡而化之。單說一個(gè)人員方面，不同的人員肯定具備不同的安全素養(yǎng)和知識(shí)能力，智慧城市理論上將全城市的市民包含在內(nèi)，若是安全管理的手段也要落實(shí)到每個(gè)市民身上，這個(gè)工作量沒有任何人和組織能夠承擔(dān)得起。3）責(zé)任部門不明確沒有管理的法規(guī)制度，加上管理目標(biāo)復(fù)雜，也使得到目前為止的智慧城市，還沒有明確統(tǒng)一的責(zé)任單位。誰來負(fù)責(zé)智慧城市的信息安全管理？以前的企業(yè)和政府一般都會(huì)有一個(gè)類似信息中心、信息處的部門負(fù)責(zé)信息安全，處理管理、運(yùn)維及應(yīng)急響應(yīng)的工作。但是在智慧城市的體系中，業(yè)務(wù)系統(tǒng)的關(guān)聯(lián)方太多，一個(gè)智慧業(yè)務(wù)就能將人與企業(yè)、人與