通過分析智慧城市建設(shè)過程中面臨的風險研究，發(fā)現(xiàn)項目建設(shè)過程中的風險，提出風險評估的方法，采取相關(guān)措施對風險進行控制，期望能夠?qū)χ腔鄢鞘薪ㄔO(shè)項目的風險管理水平和效率有所促進。

自IBM于2009提出“智慧地球”理念以來，國內(nèi)外已經(jīng)有眾多城市以網(wǎng)絡(luò)為基礎(chǔ)，打造數(shù)字化、泛在互聯(lián)的新型智慧型城市。在智慧城市的建設(shè)和研究過程中，將新興的物聯(lián)網(wǎng)、云計算、超級計算，以及基礎(chǔ)通信網(wǎng)絡(luò)、軟件服務(wù)化、數(shù)據(jù)共享、整合、挖掘與分析等技術(shù)全面應(yīng)用。同時也對信息安全帶來了全角度的沖擊。

建設(shè)智慧城市必將面臨各種風險，本文主要研究和討論智慧城市工程信息系統(tǒng)的風險和評估方法。并且為建設(shè)智慧城市信息安全提供設(shè)計思路。

目前信息安全風險評估的方法主要有層次分析法、神經(jīng)網(wǎng)絡(luò)方法和模糊理論等;信息安全要求是通過對安全風險的系統(tǒng)評估予以識別的。風險評估是依據(jù)有關(guān)信息安全技術(shù)與管理標準，對信息系統(tǒng)及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行評價的過程。

建設(shè)智慧城市面臨的信息安全風險

智慧城市主要由三部分組成，底層為基礎(chǔ)設(shè)施平臺，主要包括互聯(lián)網(wǎng)絡(luò)和感知網(wǎng)絡(luò);數(shù)據(jù)共享平臺主要包括基礎(chǔ)信息資源庫，例如人口信息、地理信息等;應(yīng)用服務(wù)平臺是面向公眾、企業(yè)及政府的綜合服務(wù)門戶平臺。

信息安全風險是認為或自然的威脅利用信息系統(tǒng)及其管理體系中存在的脆弱性導致安全事件的發(fā)生及其對組織造成的影響。智慧城市面臨的信息安全風險主要有物理破壞、人為破壞、設(shè)備故障、內(nèi)部與外部攻擊、數(shù)據(jù)誤用、數(shù)據(jù)丟失以及應(yīng)用程序錯誤等風險。智慧城市服務(wù)面廣、影響廣泛，面對大眾，其持續(xù)服務(wù)能力和流暢服務(wù)能力直接關(guān)系到智慧城市建設(shè)的成敗。而這兩個服務(wù)能力又取決于管理者和建設(shè)者對以上風險的認知和處理程度。

信息安全風險識別的基本依據(jù)就是客觀世界的因果關(guān)聯(lián)性和可認識性。在建設(shè)智慧城市的過程中，信息系統(tǒng)必將面臨各種安全風險。明確識別風險，評估風險，并合理的管理風險，是參與智慧城市項目建設(shè)中每個人的責任和義務(wù)。

風險識別主要有兩種方法，一種是從主觀信息源出發(fā)的識別方法。主要利用頭腦風暴法，德爾菲方法(Delphi method)和情景分析法(Scenarios analysis)。前兩種方法在我國使用的較多，情景分析法是一種定性預(yù)測方法，對預(yù)測對象可能出現(xiàn)的情況或引起的后果做出預(yù)測的方法，操作過程復雜，目前在我國的具體應(yīng)用較少。另外一種風險識別的方法是從客觀信息源出發(fā)的識別方法。主要利用核對表法、流程圖法、數(shù)據(jù)或結(jié)果實驗法、工作結(jié)構(gòu)分解分析法和財務(wù)報表法等。

信息安全風險管理是識別并評估風險、將風險降低至可接受級別、執(zhí)行適當機制來維護這種級別的過程。沒有絕對安全的環(huán)境，每種環(huán)境都會存在某種程度的脆弱性，都會面臨一定的威脅。問題的關(guān)鍵在于識別威脅，估計它們實際發(fā)生的可能性以及可能造成的破壞，并采取恰當?shù)拇胧⑾到y(tǒng)環(huán)境的總體風險降低至組織機構(gòu)認為可以接受的級別。

終端面臨安全風險

用戶訪問智慧城市信息數(shù)據(jù)的終端雖然不屬于智能城市建設(shè)的范疇，但面對大量的用戶終端，智慧城市工程相關(guān)管理和技術(shù)人員必須要考慮智慧城市系統(tǒng)對用戶終端的影響。

根據(jù)CATR 2013年3月4日的研究數(shù)據(jù)顯示，預(yù)計2013年中國3G用戶將增長1.5-1.8億戶，用戶規(guī)模突破3億戶。也就是說會有很大量用戶通過3G智能終端獲取信息。智慧城市的信息數(shù)據(jù)，也將通過3G移動互聯(lián)網(wǎng)送至用戶的智能手機上。會存在黑客利用智慧城市信息服務(wù)平臺攻擊用戶智能終端的情況。

另外一部分用戶將使用個人計算機機通過互聯(lián)網(wǎng)訪問智慧城市信息數(shù)據(jù)。同樣黑客也有機會利用智慧城市信息服務(wù)平臺攻擊用戶的個人計算機。

最后，由于智能電視、網(wǎng)絡(luò)機頂盒的出現(xiàn)，還將會有部分用戶通過電視機訪問智慧城市的信息數(shù)據(jù)，黑客也有攻擊智能電視機網(wǎng)絡(luò)機頂盒等電視機接入設(shè)備。

智慧城市工程的建設(shè)，要應(yīng)對網(wǎng)絡(luò)犯罪和黑客攻擊，維護移動互聯(lián)網(wǎng)安全，需要將移動網(wǎng)絡(luò)、后臺服務(wù)以及個體終端結(jié)合起來，從全局角度提出一個完整的綜合性解決方案，這就對普通用戶、移動運營商、網(wǎng)絡(luò)安全供應(yīng)商、手機制造商、第三方軟件開發(fā)商以及網(wǎng)絡(luò)信息提供商都提出了更高的要求。同時，還需要政府監(jiān)管部門完善響應(yīng)的監(jiān)管體系，加強相關(guān)法律法規(guī)的建設(shè)。

信息安全風險評估

信息安全風險評估是依據(jù)有關(guān)信息安全技術(shù)與管理標準，對信息系統(tǒng)及其由處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行評價的過程。要評估資產(chǎn)面臨的威脅以及威脅利用脆弱性導致安全事件的可能性，并結(jié)合安全事件所涉及的資產(chǎn)價值來判斷安全事件一旦發(fā)生對組織造成的影響，并提出有針對性的抵御威脅的防護對策和整改措施。進行信息安全風險評估，就是要防范和化解信息安全風險，或者將風險控制在可接受的水平，從而為最大限度的保障網(wǎng)絡(luò)和信息安全提供科學依據(jù)。

通過風險評估后，就可以針對信息系統(tǒng)中的高危風險進行風險管理。風險評估目前主要有定量風險分析方法和定性風險分析方法。國內(nèi)外研究人員又在此基礎(chǔ)上提出了層次分析法(AHP)，故障樹分析法和基于模糊數(shù)學的分析方法。另外就是基于科研機構(gòu)頒布的標準或指南的信息安全風險評估方法，比較傳統(tǒng)的方法有BS7799標準、CC標準、ISO13335信息和通信技術(shù)安全管理指南和NIST相關(guān)標準等。這些標準或指南對信息安全風險評估具有很好的指導作用，且大多數(shù)是基于定性的風險評估，對評估者的能力要求高，評估具有很大的主觀性。

對于智慧城市工程的信息系統(tǒng)，可以采用多種不同的方法對信息系統(tǒng)進行綜合風險評估，將不同風險評估方法得出的結(jié)果系統(tǒng)分析，實施全方位、多角度的風險管理。只有通過對信息系統(tǒng)的安全風險評估才能對智慧城市工程存在的風險進行合理、科學和有效的管理。

在建設(shè)智慧城市工程的過程中，信息安全風險評估以及風險管理勢在必行。在規(guī)劃設(shè)計階段根據(jù)實際投資和項目情況，以國家相關(guān)標準為基礎(chǔ)進行規(guī)劃設(shè)計，并參照《信息系統(tǒng)安全等級保護基本要求》(GB/T22239-2008)對信息系統(tǒng)進行安全保護。正確識別和評估安全風險要始終貫穿到工程項目建設(shè)的每一個環(huán)節(jié)中。在項目建設(shè)初期從多角度、全方位識別風險，不留風險盲區(qū);在項目建設(shè)過程中，通過風險評估的結(jié)論，將風險降低到可以接受的程度;在后期的使用維護過程中，始終使用PDCA方法，不斷的去識別、評估和降低安全風險。動態(tài)將風險識別和風險評估方法貫徹到智慧城市工程的每一個階段，確保實現(xiàn)安全可靠的智慧型政府、智慧型民生和智慧型產(chǎn)業(yè)。