崔煒榮

（安康學(xué)院 信息化建設(shè)與管理處，陜西 安康 725000）

1 引言

自2010年IBM正式提出智慧城市愿景以來，經(jīng)過十多年的探索與實踐，智慧城市建設(shè)已經(jīng)進入了3.0時代。物聯(lián)網(wǎng)、云計算、大數(shù)據(jù)以及人工智能技術(shù)的廣泛應(yīng)用，正在以前所未有的速度將物理世界中的“城市”數(shù)字化并加速線下和線上空間的融合，構(gòu)建起一個龐大且復(fù)雜的信息物理（CPS）系統(tǒng)，使得城市的治理運營方式、人民的生活方式都產(chǎn)生了巨大的變革，也為現(xiàn)代城市的可持續(xù)發(fā)展提供了有效的路徑。

伴隨著智慧城市快速發(fā)展的是不斷增加的網(wǎng)絡(luò)安全風(fēng)險。首先是智慧城市建設(shè)的復(fù)雜性使之面臨著更加多樣的網(wǎng)絡(luò)安全威脅；其次是數(shù)字空間和現(xiàn)實世界的高度融合使得智慧城市中的網(wǎng)絡(luò)安全威脅能夠外溢到現(xiàn)實世界。如何通過構(gòu)建科學(xué)合理的網(wǎng)絡(luò)安全保障機制有效降低網(wǎng)絡(luò)安全風(fēng)險，是智慧城市是否能夠進一步發(fā)展所亟須解決的關(guān)鍵性問題。

新加坡是世界智慧城市建設(shè)的領(lǐng)導(dǎo)者。在IMD 2021年發(fā)布的全球智慧城市排名中，新加坡在全球118個智慧城市中排名第一[1]。新加坡將網(wǎng)絡(luò)安全視為其智慧城市建設(shè)的支柱，其完整、系統(tǒng)、科學(xué)、有效的網(wǎng)絡(luò)安全保障機制對我國智慧城市建設(shè)有著較強的參考和借鑒意義。

2014年，中共中央國務(wù)院印發(fā)《國家新型城鎮(zhèn)化規(guī)劃（2014—2020）》，明確提出推進智慧城市建設(shè)。截至2018年，我國100%的副省級城市、89%的地級城市、47%的縣級城市，總計超過500個城市在政府工作報告或“十三五”規(guī)劃中明確提出或正在建設(shè)智慧城市[2]。安康市2016年發(fā)布的“十三五”規(guī)劃中正式提出推進“智慧安康”建設(shè)[3]，并于2018年以“智慧治理服務(wù)平臺”為抓手開始建設(shè)實踐。

較之發(fā)達(dá)地區(qū)，“智慧安康”建設(shè)起步晚、基礎(chǔ)弱，但這也為貫徹安全與建設(shè)“同步規(guī)劃、同步建設(shè)、同步使用”的原則創(chuàng)造了條件。如何在建設(shè)的過程中同時構(gòu)建合理有效的本地化網(wǎng)絡(luò)安全保障機制，是體現(xiàn)后發(fā)優(yōu)勢、實現(xiàn)“智慧安康”建設(shè)超越性、可持續(xù)發(fā)展的關(guān)鍵問題。借鑒全球智慧城市網(wǎng)絡(luò)安全保障“優(yōu)等生”的新加坡的成功經(jīng)驗?zāi)軌驇椭玫鼗卮疬@一問題。

2 新加坡智慧城市網(wǎng)絡(luò)安全保障機制考察

新加坡是世界上首次提出“政府信息化”的國家之一[4]。2006年公布的“智能國家2015”計劃標(biāo)志著其智慧城市建設(shè)正式拉開帷幕。2014年，新加坡發(fā)布“智慧國家2025”計劃，標(biāo)志其智慧城市建設(shè)由“智能化”轉(zhuǎn)向“智慧化”。整個建設(shè)過程中，新加坡一直把網(wǎng)絡(luò)安全放在首要議程上，一是制定了清晰的網(wǎng)絡(luò)安全長期戰(zhàn)略和中期規(guī)劃，二是成立了專門的網(wǎng)絡(luò)安全局，三是制定了以《網(wǎng)絡(luò)安全法》《個人數(shù)據(jù)保護法》以及《計算機濫用法》領(lǐng)銜的完備的法律法規(guī)框架，四是依據(jù)網(wǎng)絡(luò)安全戰(zhàn)略和規(guī)劃，針對關(guān)鍵基礎(chǔ)設(shè)施保護、終端設(shè)備安全防護、網(wǎng)絡(luò)安全生態(tài)建設(shè)、網(wǎng)絡(luò)安全人才培育、全民安全素養(yǎng)提升等領(lǐng)域?qū)嵤┝艘幌盗凶坑谐尚У捻椖俊?/p>

2.1 新加坡的網(wǎng)絡(luò)安全戰(zhàn)略與規(guī)劃

新加坡的網(wǎng)絡(luò)安全戰(zhàn)略制定可追溯至2005年出臺的信息安全總體規(guī)劃，該規(guī)劃明確了保護國家信息通信安全的三大支柱——公共部門、私營部門和個人。2008年，新加坡出臺了Infocomm Security Master Plan II 2008—2012，致力于將新加坡打造成“安全和可信任中心”。2013年出臺的國家網(wǎng)絡(luò)安全總體規(guī)劃著重提出在網(wǎng)絡(luò)安全領(lǐng)域加強公私合作伙伴關(guān)系建設(shè)并加強與東盟的合作。2016年，網(wǎng)絡(luò)安全上升至新加坡國家戰(zhàn)略層面，其頒布了第一份網(wǎng)絡(luò)安全戰(zhàn)略（以下簡稱戰(zhàn)略2016），將彈性基礎(chǔ)設(shè)施建設(shè)、安全信息空間建設(shè)、網(wǎng)絡(luò)安全生態(tài)建設(shè)和國際合作列為保護國家網(wǎng)絡(luò)安全的4大支柱[5]。2021年，新加坡又發(fā)布了網(wǎng)絡(luò)安全戰(zhàn)略（以下簡稱戰(zhàn)略2021），采用了更加積極的態(tài)度來應(yīng)對新形勢下的網(wǎng)絡(luò)安全威脅。由此可以看到，15年間，隨著信息技術(shù)的飛速發(fā)展和網(wǎng)絡(luò)安全形勢的不斷變化，新加坡政府也在與時間賽跑，及時修訂網(wǎng)絡(luò)安全戰(zhàn)略，體現(xiàn)出其對新技術(shù)、新形勢較高的敏感性和危機意識。2.1.1 新加坡網(wǎng)絡(luò)安全戰(zhàn)略2021

戰(zhàn)略2021是新加坡在新的網(wǎng)絡(luò)安全形勢下對戰(zhàn)略2016的一次修訂。在戰(zhàn)略2021中，新加坡認(rèn)為網(wǎng)絡(luò)安全形勢主要發(fā)生了四個方面的變化。一是諸如邊緣計算、云計算、物聯(lián)網(wǎng)、量子計算等新技術(shù)的發(fā)展和應(yīng)用帶來了新的安全風(fēng)險。二是物理世界與數(shù)字世界的不斷融合也使得網(wǎng)絡(luò)空間安全和現(xiàn)實世界安全的聯(lián)動性進一步加深。三是新冠肺炎的大流行加劇了個人和企業(yè)對數(shù)字化基礎(chǔ)設(shè)施和服務(wù)的依賴，也因此暴露出更多的安全漏洞。四是數(shù)字領(lǐng)域已經(jīng)成為國際競爭的新舞臺，數(shù)字技術(shù)已經(jīng)成為國際間權(quán)力分配的關(guān)鍵要素，各國關(guān)于關(guān)鍵數(shù)字技術(shù)領(lǐng)域的研發(fā)競爭進一步加強[6]。

為了應(yīng)對這一變化，戰(zhàn)略2021里制定了5大戰(zhàn)略目標(biāo)。一是加強對數(shù)字基礎(chǔ)設(shè)施的保護，增強其安全性和彈性。特別強調(diào)了其彈性，即確保數(shù)字基礎(chǔ)設(shè)施具備較強的災(zāi)后恢復(fù)能力。二是創(chuàng)建更加清潔和健康的數(shù)字環(huán)境，構(gòu)建安全網(wǎng)絡(luò)空間。三是加強國際合作，構(gòu)建開放、安全、穩(wěn)定、可互操作的國際網(wǎng)絡(luò)空間。四是建設(shè)一個以研究和創(chuàng)新為基礎(chǔ)的網(wǎng)絡(luò)安全生態(tài)系統(tǒng)。五是建設(shè)高質(zhì)量網(wǎng)絡(luò)安全人才培養(yǎng)體系，培育有質(zhì)有量的網(wǎng)絡(luò)安全人才隊伍。五個方面中，四和五作為網(wǎng)絡(luò)安全基礎(chǔ)使能要素，一、二、三為戰(zhàn)略支柱?？傮w而言，戰(zhàn)略2021采用了比戰(zhàn)略2016更加積極的立場來應(yīng)對網(wǎng)絡(luò)威脅，表現(xiàn)在進一步擴大了網(wǎng)絡(luò)安全的保護范圍、尋求與行業(yè)和其他組織建立更深入的伙伴關(guān)系，更加強調(diào)網(wǎng)絡(luò)安全人力資源和生態(tài)的發(fā)展。

2.1.2 新加坡安全網(wǎng)絡(luò)空間總體規(guī)劃2020

構(gòu)建更加安全的網(wǎng)絡(luò)空間是新加坡網(wǎng)絡(luò)安全戰(zhàn)略的第二大支柱，其目標(biāo)的實現(xiàn)需要政府、企業(yè)、社會團體、個人多方共同參與，相互協(xié)作。為了達(dá)成這一共識，幫助相關(guān)各方更好地理解自己在網(wǎng)絡(luò)安全保障方面的責(zé)任和義務(wù)，新加坡發(fā)布了新加坡安全網(wǎng)絡(luò)空間總體規(guī)劃（以下簡稱規(guī)劃2020）[7]。

規(guī)劃2020強調(diào)，每一個生活在共享數(shù)字空間的人都可以發(fā)揮積極的作用來提升網(wǎng)絡(luò)安全。其提出的三個主要戰(zhàn)略要點包括保護核心數(shù)字基礎(chǔ)設(shè)施、保護數(shù)字空間活動、提升用戶素養(yǎng)。其中，第一個要點主要聚焦保護新加坡的互聯(lián)網(wǎng)架構(gòu)、保護用戶設(shè)備和終端以及保護企業(yè)應(yīng)用。第二個要點主要聚焦在國家層面上實現(xiàn)對網(wǎng)絡(luò)空間惡意行為的識別和分析，以及幫助企業(yè)避免網(wǎng)絡(luò)威脅。第三個要點主要聚焦增強人們網(wǎng)絡(luò)安全意識以及培養(yǎng)良好的網(wǎng)絡(luò)安全習(xí)慣。通過上述戰(zhàn)略要點的實施，新加坡期望在國家層面能夠主動探測并防御大部分的網(wǎng)絡(luò)威脅，同時國內(nèi)的企業(yè)和個人能夠培養(yǎng)良好的習(xí)慣并采取積極的手段有效保護自身免受網(wǎng)絡(luò)侵害。

2.2 新加坡網(wǎng)絡(luò)安全組織機構(gòu)

新加坡政府與網(wǎng)絡(luò)安全相關(guān)的組織機構(gòu)主要包括國家通信安全委員會（National Infocomm Security Committee，NISC）、個人數(shù)據(jù)保護委員會（Personal Data Protection Commission，PDPC）、網(wǎng)絡(luò)安全局（Cyber Security Agency，CSA）以及新加坡警察部隊（Singapore Police Force，SPF）。概括而言，NISC和PDPC主要負(fù)責(zé)政策和法律制定和監(jiān)督，CSA負(fù)責(zé)相對具體的網(wǎng)絡(luò)安全保障措施的制定和實施，SPF主要聚焦于打擊網(wǎng)絡(luò)違法行為[8]101。

2.2.1 NISC和PDPC

NISC成立于2000年，是一個跨部門的網(wǎng)絡(luò)安全政策制定機構(gòu)，由新加坡通信及信息部、國防部、內(nèi)政部和信息通信發(fā)展管理局等多個政府部門組成。前文所述的4份網(wǎng)絡(luò)安全戰(zhàn)略都是在NICS指導(dǎo)下制定的。

2012年，新加坡出臺了《個人數(shù)據(jù)保護法》（Personal Data Protection Act，PDPA）。為了更好地管理和執(zhí)行PDPA，新加坡通信和信息部于2013年建立了PDPC。PDPC的主要職責(zé)在于提升新加坡的數(shù)據(jù)保護意識，提供有關(guān)數(shù)據(jù)保護的咨詢、建議、技術(shù)、管理及其他專業(yè)業(yè)務(wù)，代表政府處理有關(guān)數(shù)據(jù)保護的國際事務(wù)，依據(jù)PDPA對未盡到個人數(shù)據(jù)保護義務(wù)或侵犯個人數(shù)據(jù)的機構(gòu)進行處罰等[8]103。

2.2.2 CSA

2015年CSA成立，這是新加坡加強網(wǎng)絡(luò)安全保障工作的標(biāo)志性舉措。CSA是總理辦公室下屬的國家機構(gòu)，隸屬于新加坡通信及信息部。CSA接管了原屬于內(nèi)政部的新加坡信息通信技術(shù)安全局（Singapore Infocomm Technology Security Authority，SITSA） 和原屬于通信發(fā)展局的新加坡計算機應(yīng)急響應(yīng)小組（Singapore Computer Emergency Response Team，Sing CERT）兩個機構(gòu)。

CSA的主要職責(zé)是網(wǎng)絡(luò)安全方面的戰(zhàn)略和政策制定、具體措施實施及行業(yè)發(fā)展促進。其重點工作目標(biāo)在于加強新加坡關(guān)鍵部門的網(wǎng)絡(luò)安全，確保有效的協(xié)調(diào)行動以應(yīng)對網(wǎng)絡(luò)攻擊以及培育高質(zhì)量的網(wǎng)絡(luò)安全生態(tài)系統(tǒng)[8]103。

2.3 新加坡的網(wǎng)絡(luò)安全法律框架

新加坡保障網(wǎng)絡(luò)安全的三大法律分別為《網(wǎng)絡(luò)安全法》（Cybersecurity Act，CS Act）、《個人數(shù)據(jù)保護法》（Personal Data Protection Act，PDPA） 以及《計算機濫用法》（Computer Misuse Act，CMA）。其中CS Act建立了新加坡保護關(guān)鍵信息基礎(chǔ)設(shè)施的總體框架，PDPA建立了私營企業(yè)對個人數(shù)據(jù)的收集、使用、發(fā)布及其他操作應(yīng)遵守的隱私保護底線，CMA規(guī)定了針對網(wǎng)絡(luò)相關(guān)犯罪行為者的執(zhí)法和處罰框架[9]。

2.3.1 網(wǎng)絡(luò)安全法

新加坡《網(wǎng)絡(luò)安全法》正式發(fā)布于2018年，具體由CSA負(fù)責(zé)監(jiān)管和執(zhí)行。該法案的主要內(nèi)容包括4個方面：

一是加強對關(guān)鍵信息基礎(chǔ)設(shè)施（CII）的保護。法案提供了CII認(rèn)定的框架，明確了CII所有者主動保護CII免受網(wǎng)絡(luò)攻擊的義務(wù)。

二是授權(quán)CSA預(yù)防和應(yīng)對網(wǎng)絡(luò)安全威脅和事件，并且CSA可以根據(jù)網(wǎng)絡(luò)安全威脅或事件的嚴(yán)重程度來調(diào)整可行使的權(quán)力。

三是建立網(wǎng)絡(luò)安全信息共享框架。法案規(guī)定了CII所有者安全事故報告、風(fēng)險評估、審查結(jié)果報告及重要事項變更報告的義務(wù)，同時賦予了CSA官員一系列的信息獲取權(quán)，用以共享網(wǎng)絡(luò)安全信息。

四是建立了網(wǎng)絡(luò)安全服務(wù)的授權(quán)框架。主要包括網(wǎng)絡(luò)安全服務(wù)的范圍，網(wǎng)絡(luò)安全牌照的頒發(fā)、取得條件、續(xù)期、終止的流程，以及無照服務(wù)受到的處罰等。

2.3.2 個人數(shù)據(jù)保護法

PDPA頒布于2012年，并于2020年進行了修訂。該法案由PDPC進行監(jiān)管和執(zhí)行，從加強問責(zé)、加強執(zhí)法、加強消費者自主權(quán)和鼓勵企業(yè)創(chuàng)新四大方面著手，在提升新加坡個人數(shù)據(jù)價值的同時降低安全風(fēng)險。

PDPA要求所有收集個人數(shù)據(jù)的機構(gòu)都要采取數(shù)據(jù)保護措施。這些措施包括任命數(shù)據(jù)保護官監(jiān)督本機構(gòu)PDPA的執(zhí)行情況，采取合理的措施防止個人數(shù)據(jù)泄露，及時將數(shù)據(jù)泄露事件通知給PDPC和受害者。對于違反PDPA的機構(gòu)，由PDPC組織調(diào)查并進行強制性處罰。2020年新修訂的PDPA進一步加強了處罰的力度。為了在保護個人數(shù)據(jù)的同時也能夠促進創(chuàng)新，新法案規(guī)定只要進行了風(fēng)險評估且符合機構(gòu)的“合法利益”，如防止詐欺和改良產(chǎn)品等，機構(gòu)無須獲取個人同意，即可收集、使用或披露個人數(shù)據(jù)。

2.3.3 計算機濫用法

在傳統(tǒng)法律無法適用于日益復(fù)雜的計算機網(wǎng)絡(luò)環(huán)境的背景下，新加坡于1993年頒布了CMA，用于打擊日益增長的網(wǎng)絡(luò)犯罪行為。2013年至2019年，CMA被重新命名為《計算機濫用和網(wǎng)絡(luò)安全法》（Computer Misuse and Cybersecurity Act，CMCA）并進行了修訂。2018年《網(wǎng)絡(luò)安全法》實施后，該法案恢復(fù)了最初的名稱CMA。CMA的重點在于對網(wǎng)絡(luò)犯罪的調(diào)查和起訴。它將對計算機未經(jīng)授權(quán)的訪問、數(shù)據(jù)修改以及網(wǎng)絡(luò)攻擊等行為定義為犯罪，規(guī)定了相關(guān)的處罰措施，允許采取措施來應(yīng)對可能危及國家利益或安全的網(wǎng)絡(luò)威脅。

2.4 新加坡智慧城市網(wǎng)絡(luò)安全保障的具體措施

基于清晰的戰(zhàn)略規(guī)劃、完備的組織架構(gòu)和法律框架，新加坡近年來在信息基礎(chǔ)設(shè)施保護、安全網(wǎng)絡(luò)空間建設(shè)、國際合作、生態(tài)建設(shè)及人才培養(yǎng)方面采取了一系列行之有效的具體措施。

2.4.1 保護關(guān)鍵信息基礎(chǔ)設(shè)施

新加坡定義了11個關(guān)鍵領(lǐng)域的CII，分別為航空、銀行和金融、能源、政府、醫(yī)療保健、信息通信、陸地運輸、海事、媒體、應(yīng)急服務(wù)以及供水。為防止上述領(lǐng)域CII受到網(wǎng)絡(luò)威脅，新加坡建立了三級管理體系。CSA負(fù)責(zé)監(jiān)控和監(jiān)管CII機構(gòu)，提升其網(wǎng)絡(luò)安全態(tài)勢感知和防范能力。每個CII機構(gòu)設(shè)安全專員，負(fù)責(zé)配合CSA監(jiān)管和指導(dǎo)CII的安全運營。CII所有者具體負(fù)責(zé)管理其網(wǎng)絡(luò)安全風(fēng)險，在一線抵御網(wǎng)絡(luò)攻擊和響應(yīng)網(wǎng)絡(luò)安全事件。

為及早發(fā)現(xiàn)CII的漏洞，新加坡近年來接連實施了政府漏洞賞金計劃（Government Bug Bounty Programme，GBBP），漏洞披露計劃（Vulnerability Disclosure Programme，VDP） 和漏洞獎勵計劃（Vulnerability Rewards Program，VRP）[10]。通過GBBP、VDP和VRP的實施，鼓勵民眾發(fā)現(xiàn)和上報CII漏洞，形成網(wǎng)絡(luò)安全自上而下和自下而上的雙向保障機制。

2.4.2 建設(shè)安全網(wǎng)絡(luò)空間

在個人數(shù)據(jù)保護方面，新加坡實施了“更好的數(shù)據(jù)驅(qū)動業(yè)務(wù)”（Better Data Driven Business，BDDB）計劃。BDDB通過提供免費的工具和指導(dǎo)幫助中小企業(yè)在應(yīng)用和挖掘數(shù)據(jù)的同時保護客戶的個人數(shù)據(jù)[11]。為了降低人工智能技術(shù)帶來的個人隱私泄露風(fēng)險和決策風(fēng)險，新加坡正在引導(dǎo)行業(yè)開發(fā)和部署可信AI系統(tǒng)，推出了人工智能模型治理框架（Model AI Governance Framework）以及配套的自評估指南和案例集。該框架的兩條原則指出，人工智能作出的決策應(yīng)該是“可解釋的、透明的和公平的”；人工智能的設(shè)計和部署應(yīng)保護用戶的利益，包括隱私和安全。此外，新加坡也開發(fā)了人工智能治理測試框架，幫助企業(yè)驗證自己的AI模型是否滿足人工智能模型治理框架的規(guī)范[12]。

在公民網(wǎng)絡(luò)安全素養(yǎng)提升方面，新加坡除了積極開展以網(wǎng)絡(luò)安全為主題的各類公眾教育活動外，還針對不同公民群體的特點推出了個性化的網(wǎng)絡(luò)安全素養(yǎng)提升計劃。例如，面向老年人的SG Cyber Safe Seniors Programme和面向?qū)W生的SG Cyber Safe Students Programme[13]。

在公私合作打擊網(wǎng)絡(luò)犯罪方面，新加坡于2017年成立了公私網(wǎng)絡(luò)犯罪利益相關(guān)者聯(lián)盟（Alliance of Public Private Cybercrime Stakeholders，APPACT）。經(jīng)過4年的發(fā)展，目前APPCAT已經(jīng)發(fā)展為一個由59個成員組成，橫跨銀行、電子商務(wù)和社交媒體平臺在內(nèi)的9個行業(yè)，產(chǎn)生了許多成功的合作典范[14]。

在促進企業(yè)自身網(wǎng)絡(luò)安全建設(shè)方面，新加坡正在推出名為“網(wǎng)絡(luò)安全信任標(biāo)志”（SG Cyber Safe Trustmark）的自愿認(rèn)證。獲得該標(biāo)志的企業(yè)被認(rèn)為已經(jīng)實施了與其風(fēng)險狀況相對應(yīng)的良好網(wǎng)絡(luò)安全措施，從而能夠獲得更多的用戶信賴。對于沒有IT設(shè)施的小微企業(yè)，新加坡也推出了名為“網(wǎng)絡(luò)衛(wèi)生標(biāo)志”（Mark of Cyber Hygiene）的自愿認(rèn)證[15]。

2.4.3 開展網(wǎng)絡(luò)安全國際合作

新加坡一直致力于開展網(wǎng)絡(luò)安全國際合作以營造良好的外部網(wǎng)絡(luò)安全環(huán)境。2016年以來，新加坡每年舉辦國際網(wǎng)絡(luò)周（Singapore International Cyber Week，SICW）及東盟網(wǎng)絡(luò)安全部長級會議（ASEAN Ministerial Conference on Cybersecurity，AMCC），以此為窗口不斷加強與周邊地區(qū)和國際社會的溝通和交流[16]。

為了滿足東盟成員網(wǎng)絡(luò)安全能力建設(shè)的需求，新加坡成立了東盟—新加坡卓越網(wǎng)絡(luò)安全中心（ASEAN-Singapore Cybersecurity Centre of Excellence，ASCCE）。ASCCE高薪聘請了頂級網(wǎng)絡(luò)安全專家和培訓(xùn)人員，為東盟成員國、東盟對話伙伴和國際合作伙伴設(shè)計和提供網(wǎng)絡(luò)安全能力建設(shè)項目[17]。

近年來，新加坡也致力于建設(shè)區(qū)域計算機網(wǎng)絡(luò)應(yīng)急響應(yīng)（CERT）機制，其主導(dǎo)推進的ASEAN CERT機制正在積極地探索實施中。此外，其倡議的東盟信息交換機制在2021年1月舉行的首屆東盟數(shù)字部長會議上被批準(zhǔn)。作為該信息交流機制的一部分，新加坡將每年舉辦東盟網(wǎng)絡(luò)事件演練，以加強國際社會共同防范跨境網(wǎng)絡(luò)威脅的能力[18]。

2.4.4 培育網(wǎng)絡(luò)安全生態(tài)

一個由政府、工業(yè)界和學(xué)術(shù)界密切合作的網(wǎng)絡(luò)安全生態(tài)系統(tǒng)是網(wǎng)絡(luò)安全保障水平可持續(xù)發(fā)展的引擎。為此，新加坡從資助研究、鼓勵創(chuàng)新創(chuàng)業(yè)以及加強產(chǎn)品認(rèn)證和評估入手，不斷促進網(wǎng)絡(luò)安全生態(tài)的健康發(fā)展。

在促進研究方面，新加坡于2013年起開始實施國家網(wǎng)絡(luò)安全研究和發(fā)展計劃（The National Cybersecurity R&D Programme，NCRP），通過資助和促進多方合作研究來提升網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全保障能力[19]。

在鼓勵創(chuàng)新創(chuàng)業(yè)方面，新加坡在71街區(qū)創(chuàng)建了名為ICE71（Innovation Cybersecurity Ecosystem at Block 71）的網(wǎng)絡(luò)安全創(chuàng)業(yè)中心。ICE71匯集了網(wǎng)絡(luò)安全方面的創(chuàng)業(yè)者、專家、組織和投資者，并通過與高校研究機構(gòu)、大型本地企業(yè)以及國際企業(yè)的合作，為網(wǎng)絡(luò)安全初創(chuàng)企業(yè)提供全面的服務(wù)[20]。

在加強產(chǎn)品的安全認(rèn)證和評估方面，新加坡政府與南陽理工大學(xué)合作成立了國家綜合評估中心（National Integrated Centre for Evaluation，NICE）。NICE通過對高端研究團隊、測試技術(shù)和測試設(shè)備的復(fù)用，在網(wǎng)絡(luò)安全產(chǎn)品評估認(rèn)證、測評技術(shù)研發(fā)以及測評人才培養(yǎng)方面起到了積極的作用[21]。

2.4.5 培養(yǎng)網(wǎng)絡(luò)安全人才

網(wǎng)絡(luò)安全戰(zhàn)略的成功實施最終靠“人”。新加坡政府從引才、育才兩方面發(fā)力，不斷提升網(wǎng)絡(luò)安全人才的數(shù)量和質(zhì)量。

在引才方面，新加坡通過舉辦網(wǎng)絡(luò)安全訓(xùn)練營、比賽、研學(xué)旅行培養(yǎng)青少年的網(wǎng)絡(luò)安全興趣，通過學(xué)校教師和職業(yè)顧問的引導(dǎo)促進學(xué)生進行網(wǎng)絡(luò)安全方面的職業(yè)選擇；實施了新加坡網(wǎng)絡(luò)青年（SG Cyber Youth programme）計劃為年輕人提供學(xué)習(xí)網(wǎng)絡(luò)安全知識和技能的機會[22]；實施了新加坡網(wǎng)絡(luò)女性（SG Cyber Women programme）計劃鼓勵更多的女性投身網(wǎng)絡(luò)安全事業(yè)；實施了網(wǎng)絡(luò)安全助理和技術(shù)專家計劃（Cyber Security Associates and Technologists programme）幫助專業(yè)人士朝向網(wǎng)絡(luò)安全領(lǐng)域進行職業(yè)轉(zhuǎn)變[23-24]。

在育才方面，新加坡政府通過疏通職業(yè)上升通道、開發(fā)技能培訓(xùn)框架以及促進技能培訓(xùn)等措施，積極為網(wǎng)絡(luò)安全從業(yè)者的職業(yè)發(fā)展和能力提升提供助力。例如，CSA實施了網(wǎng)絡(luò)安全發(fā)展項目（Cyber Security Development Programme）為政府部門培養(yǎng)專門的網(wǎng)絡(luò)安全專家[25]。CSA專門成立了網(wǎng)絡(luò)安全學(xué)院，為政府和CII部門的網(wǎng)絡(luò)安全專業(yè)人員提供高級技能培訓(xùn)。

3 “智慧安康”建設(shè)和網(wǎng)絡(luò)安全保障工作的現(xiàn)狀及存在的問題

3.1 “智慧安康”建設(shè)現(xiàn)狀

2016年公布的《安康市國民經(jīng)濟和社會發(fā)展“十三五”規(guī)劃》首次明確提出推進“智慧安康”建設(shè)。5年以來，安康市以“信息共享、以點帶面”為原則，以5G建設(shè)、智慧服務(wù)治理平臺建設(shè)為抓手，以民生領(lǐng)域為試點實踐領(lǐng)域，不斷推進“智慧安康”建設(shè)穩(wěn)步前進[3]。

在網(wǎng)絡(luò)基礎(chǔ)建設(shè)方面，全市光纖網(wǎng)絡(luò)、4G網(wǎng)絡(luò)實現(xiàn)了全覆蓋，5G網(wǎng)絡(luò)建設(shè)不斷加速。

在數(shù)據(jù)層和服務(wù)層建設(shè)方面，2018年建成了包含數(shù)據(jù)共享交換平臺、智慧政務(wù)服務(wù)平臺、智慧黨務(wù)平臺、網(wǎng)站集約化建設(shè)平臺四大板塊的“安康智慧服務(wù)治理平臺”[26]。同年，安康大數(shù)據(jù)運營有限公司成立。公司在政務(wù)云、政務(wù)大數(shù)據(jù)以及智慧治理指揮中心建設(shè)方面發(fā)揮了積極的作用。

此外，智慧能源、智慧交通、智慧物流、智慧醫(yī)療也取得了一定的進展?？傮w而言，“智慧安康”建設(shè)仍處在初級建設(shè)階段，主要以數(shù)據(jù)和服務(wù)平臺為建設(shè)重點，在城市物聯(lián)網(wǎng)感知體系建設(shè)以及數(shù)據(jù)的融合和應(yīng)用方面的缺項較多。

3.2 “智慧安康”網(wǎng)絡(luò)安全保障工作的現(xiàn)狀及存在的問題

以新加坡網(wǎng)絡(luò)安全保障框架為參照，本文從頂層設(shè)計、組織體系、信息基礎(chǔ)設(shè)施保護、公民網(wǎng)絡(luò)安全素養(yǎng)、網(wǎng)絡(luò)安全人才培養(yǎng)以及本地化網(wǎng)絡(luò)安全生態(tài)六個方面考察了“智慧安康”網(wǎng)絡(luò)安全保障工作的現(xiàn)狀及存在的問題。

（1）頂層設(shè)計方面。主要依據(jù)是《中華人民共和國網(wǎng)絡(luò)安全法》以及配套的法規(guī)和實施細(xì)則，在具體的責(zé)任落實方面主要依據(jù)是《黨委（黨組）網(wǎng)絡(luò)安全工作責(zé)任制實施辦法》。目前尚沒有網(wǎng)絡(luò)安全方面的地方性法規(guī)和專項規(guī)劃。

（2）組織體系方面。主要包括市委網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組、市委網(wǎng)信辦、市工信局、市公安局。其中，市委網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組是“智慧安康”網(wǎng)絡(luò)安全保障工作的領(lǐng)導(dǎo)和決策機構(gòu)，市委網(wǎng)信辦是全市網(wǎng)絡(luò)安全工作的歸口管理機構(gòu)，市工信局承擔(dān)全市網(wǎng)絡(luò)安全技術(shù)、設(shè)備和產(chǎn)品的監(jiān)督管理，對信息產(chǎn)業(yè)企業(yè)進行資格審核和檢查。市公安局主要負(fù)責(zé)網(wǎng)絡(luò)系統(tǒng)等級保護工作的監(jiān)督、檢查、指導(dǎo)和網(wǎng)絡(luò)安全相關(guān)的執(zhí)法。此外，政府、醫(yī)療、教育系統(tǒng)也都成立了相應(yīng)的網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組，具體負(fù)責(zé)落實本系統(tǒng)內(nèi)部的網(wǎng)絡(luò)安全責(zé)任。安康市雖然建立了以市委網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組為核心并覆蓋各行業(yè)、系統(tǒng)、部門的網(wǎng)狀網(wǎng)絡(luò)安全責(zé)任機構(gòu)，然而從人才儲備、專業(yè)能力、重視程度、防護意識和防護水平來看，從組織中心到基層一線衰減較快，導(dǎo)致網(wǎng)絡(luò)安全相關(guān)法律、政策和規(guī)章制度的執(zhí)行不同程度地存在打折扣現(xiàn)象。

（3）信息基礎(chǔ)設(shè)施保護方面。主要依靠網(wǎng)信辦、工信局、市公安局協(xié)調(diào)配合，檢查、督促、指導(dǎo)《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》的貫徹執(zhí)行。通過落實《黨委（黨組）網(wǎng)絡(luò)安全工作責(zé)任制實施辦法》，進一步加強了關(guān)鍵信息基礎(chǔ)設(shè)施責(zé)任單位的責(zé)任意識。通過定期的攻防演練和漏洞通報機制，幫助關(guān)鍵信息基礎(chǔ)設(shè)施責(zé)任單位及時發(fā)現(xiàn)和修復(fù)安全漏洞。然而，整體來看，關(guān)鍵信息基礎(chǔ)設(shè)施保護缺乏系統(tǒng)性和統(tǒng)籌性，“人防”短板依然突出。由于信息網(wǎng)絡(luò)專業(yè)人才緊缺，目前市內(nèi)各大系統(tǒng)的關(guān)鍵信息基礎(chǔ)設(shè)施保護過于依賴外部企業(yè)服務(wù)。這種情況進一步導(dǎo)致網(wǎng)絡(luò)安全保障工作的碎片化，破壞了網(wǎng)絡(luò)安全保障工作本身的整體性、系統(tǒng)性和統(tǒng)籌性，不利于形成快速及時的應(yīng)急響應(yīng)能力。此外，關(guān)鍵信息基礎(chǔ)設(shè)施的管理者和使用者的信息素養(yǎng)參差不齊，往往“技防有余，人防不足”。通過近幾次的攻防演練結(jié)果來看，弱口令問題是影響關(guān)鍵信息基礎(chǔ)保護的最大風(fēng)險來源。

（4）公民網(wǎng)絡(luò)安全素養(yǎng)方面。有實施量化標(biāo)準(zhǔn)的網(wǎng)絡(luò)安全宣教計劃，主要以國家網(wǎng)絡(luò)安全宣傳周為窗口，通過媒體宣傳以及網(wǎng)絡(luò)安全進校園、進社區(qū)等活動，集中開展公民網(wǎng)絡(luò)安全素養(yǎng)宣講活動，然而，網(wǎng)絡(luò)安全宣傳周時間窗口較短，對全民網(wǎng)絡(luò)安全素養(yǎng)提升的作用有限，缺乏針對不同人群，不能全覆蓋。

（5）網(wǎng)絡(luò)人才培養(yǎng)方面。主要是通過系統(tǒng)、行業(yè)內(nèi)部組織的培訓(xùn)，針對相關(guān)人員進行培訓(xùn)。此外，通過舉辦網(wǎng)絡(luò)安全競賽、攻防演練等方式來發(fā)現(xiàn)和培養(yǎng)網(wǎng)絡(luò)安全專業(yè)技術(shù)人員。然而，安康市仍然是網(wǎng)絡(luò)安全人才洼地，專業(yè)技術(shù)人員的匱乏是網(wǎng)絡(luò)安全保障工作水平提升的主要瓶頸。

（6）網(wǎng)絡(luò)安全生態(tài)方面。安康市雖然擁有地方本科院校和國家級高新技術(shù)產(chǎn)業(yè)開發(fā)區(qū)，但尚沒有形成有關(guān)網(wǎng)絡(luò)安全技術(shù)和服務(wù)的政學(xué)企產(chǎn)學(xué)研生態(tài)。本地高校在網(wǎng)絡(luò)安全人才培養(yǎng)、本地化網(wǎng)絡(luò)安全問題研究方面作用不明顯，本地企業(yè)的網(wǎng)絡(luò)安全保障服務(wù)能力也無法滿足現(xiàn)有的需求。

4 提升“智慧安康”網(wǎng)絡(luò)安全保障水平的建議

在國家對網(wǎng)絡(luò)安全高度重視的大環(huán)境下，在安康市委市政府的有力推動下，智慧城市建設(shè)和網(wǎng)絡(luò)安全保障工作近年來呈現(xiàn)出同步發(fā)展的良好態(tài)勢。然而，從頂層設(shè)計、資金投入、人才培養(yǎng)、素養(yǎng)提升以及生態(tài)發(fā)展等方面來看，安康市網(wǎng)絡(luò)安全保障水平仍然存在一定的滯后性，不利于“智慧安康”的可持續(xù)性發(fā)展，對比新加坡網(wǎng)絡(luò)安全保障工作的思路和做法，提出以下建議：

一是進一步加強網(wǎng)絡(luò)安全頂層設(shè)計和統(tǒng)籌協(xié)調(diào)。基于安康經(jīng)濟社會發(fā)展實際情況制定“智慧安康”網(wǎng)絡(luò)安全專項規(guī)劃，明確網(wǎng)絡(luò)安全保障工作推進方向，促進各行業(yè)、系統(tǒng)、單位網(wǎng)絡(luò)安全工作形成合力。結(jié)合國家法律法規(guī)和政策，制定本地化的網(wǎng)絡(luò)安全法規(guī)，進一步明晰政府、高校、企業(yè)、個人在網(wǎng)絡(luò)安全保障方面的責(zé)任和義務(wù)，建立更加清晰、通暢的溝通、協(xié)調(diào)和聯(lián)動機制，為網(wǎng)絡(luò)安全生態(tài)發(fā)展創(chuàng)造良好的政策環(huán)境。

二是加強智慧城市建設(shè)項目的統(tǒng)籌指導(dǎo)，設(shè)置網(wǎng)絡(luò)安全專項審查。成立由網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組領(lǐng)導(dǎo)下的網(wǎng)絡(luò)安全專家委員會，負(fù)責(zé)按照智慧城市建設(shè)項目的預(yù)算、目標(biāo)、運營風(fēng)險等要素實施分級安全專項審查，全面落實信息化建設(shè)與網(wǎng)絡(luò)安全“三同步”要求，確保建設(shè)和安全在設(shè)計環(huán)節(jié)同步規(guī)劃、建設(shè)環(huán)節(jié)同步實施、驗收環(huán)節(jié)同步投入。

三是系統(tǒng)性地實施針對不同人群的網(wǎng)絡(luò)安全素養(yǎng)提升工程。應(yīng)充分考慮到不同群體的差異性，制定有共通、有側(cè)重的培訓(xùn)計劃。計劃應(yīng)具備長期性，以覆蓋人次為基本的量化目標(biāo)，以知識手冊、宣教視頻為主要傳播載體，以線上與線下相結(jié)合為實施方式，政府設(shè)立專項預(yù)算用以保障工程的實施。

四是依托本地高校培養(yǎng)網(wǎng)絡(luò)安全人才。摸清本地網(wǎng)絡(luò)安全人才需求，制定網(wǎng)絡(luò)安全人才培養(yǎng)規(guī)劃。與本地高校、企業(yè)合作建設(shè)網(wǎng)絡(luò)安全人才培養(yǎng)基地，圍繞不同角色的安全技能需求開設(shè)培訓(xùn)專班。一是面向領(lǐng)導(dǎo)干部、企業(yè)負(fù)責(zé)人開展網(wǎng)絡(luò)信息安全素質(zhì)提升培訓(xùn)。二是面向政府部門和所有關(guān)鍵信息基礎(chǔ)設(shè)施部門的網(wǎng)絡(luò)安全專業(yè)人員開展網(wǎng)絡(luò)信息安全技能培訓(xùn)。三是面向有網(wǎng)絡(luò)安全就業(yè)需求的學(xué)生、社會人員為其提供職業(yè)培訓(xùn)。

五是培育本地化網(wǎng)絡(luò)安全服務(wù)市場，構(gòu)建網(wǎng)絡(luò)安全生態(tài)。以網(wǎng)絡(luò)安全等級保護測評服務(wù)、安全咨詢服務(wù)、安全審計服務(wù)和培訓(xùn)服務(wù)為切入點，吸引、支持和鼓勵外地網(wǎng)絡(luò)安全企業(yè)在安康開設(shè)分支機構(gòu)以及本地信息技術(shù)企業(yè)拓展網(wǎng)絡(luò)安全服務(wù)業(yè)務(wù)。優(yōu)化政策促進本地化網(wǎng)絡(luò)安全行業(yè)整體發(fā)展，形成服務(wù)有市場、就業(yè)有需求、研發(fā)有方向的人才培養(yǎng)和產(chǎn)學(xué)研良好生態(tài)。

5 結(jié)語

通過對新加坡的網(wǎng)絡(luò)安全保障機制的梳理和研究表明，網(wǎng)絡(luò)安全保障工作需要以法律、規(guī)劃為先導(dǎo)，以組織建設(shè)和資金投入為保障，以關(guān)鍵信息基礎(chǔ)設(shè)施保護為主要抓手，以人才培養(yǎng)和生態(tài)建設(shè)為動力引擎，還需要通過持續(xù)性的公民網(wǎng)絡(luò)安全素質(zhì)教育來提升社會整體的網(wǎng)絡(luò)安全“免疫”能力。以此為參照，安康市智慧城市網(wǎng)絡(luò)安全保障工作需要立足本地實際，進一步完善頂層設(shè)計，加強項目統(tǒng)籌指導(dǎo)，推進網(wǎng)絡(luò)安全素質(zhì)教育，促進人才培養(yǎng)和生態(tài)建設(shè)，從而為“智慧安康”的超越性和可持續(xù)性發(fā)展提供有力支撐。