全球数治｜智慧城市的信任内涵与风险因素

说起智慧城市，大多数人首先想到的是高科技应用场景、高效城市管理、流畅便捷的生活体验、无处不在的大数据，等等。诚然，新技术变革推动智慧城市发展，为城市赋能，令人振奋。但是，智慧城市也面临着不容小觑的风险，因此我们要做好应对。美国佐治亚理工学院信息与通信实验室的首席科学家玛格丽特·洛佩尔（Margaret L. Loper）在《小型战争期刊》（Small Wars Journal）上发表文章《信任智慧城市：风险因素及其影响》（Trusting Smart Cities: Risk Factors and Implications），从剖析“信任”的内涵入手，提出智慧城市面临的三大风险（非技术因素、技术因素、复杂性），并讨论了化解智慧城市风险需要考虑的问题。该文或可帮助人们更加全面地认知智慧城市这一新生事物，重视风险管理，补齐城市规划短板。

玛格丽特·洛佩尔首先描述了未来智慧城市的特质。她认为，城市不断进化，变得越来越互联和复杂。不远的将来，城市居民将被数以百亿计的传感器等机器设备包围，即物联网（IoT）。一个可持续发展的智慧城市受益于物联网并不断创新，利用信息和通信等技术手段提高人们的生活质量，提升城市竞争力。建设智慧城市的目标之一是改善城市运行管理，并能对突发状况做出实时反应。然而，在城市中部署分布式传感器很难避免安全风险，特别是针对城市基础设施的网络攻击，将对人们的安全、信任和隐私产生严重影响。一个城市使用的网络设备越多，就越容易受到网络攻击。最智慧的城市往往也面临着最高的风险。

玛格丽特·洛佩尔强调，人们只有对智慧城市建立信任，才能做出正确决策。其中关键在于人们能够信任支撑智慧城市的网络和机器设备，并控制它们的运行，确保它们会遵循指令且不受干扰。问题在于，人们如何才能信任智慧城市？玛格丽特·洛佩尔试图回答这个问题。她首先剖析了“信任”的内涵。

玛格丽特·洛佩尔认为，“信任”是相信一个实体有能力在特定环境下可靠安全地行事，同时也意味着一方在特定情况下，愿意依赖某人或某物，并产生相对安全感，即便可能产生负面后果。换言之，对智慧城市的信任是一个比信息安全更宽泛的概念，纳入了感知、记忆、语境等主观标准。信任的主观性来自于一个人参与交易的意愿，以及对交易结果相对安全的预期。当交易的价值很高，或者交易对系统安全有关键影响时，风险就产生了。风险和信任之间存在着反向关系，即低价值的交易常常与高风险和低信任水平相关联，反之亦然。

为了进一步阐释信任与风险的反向关系作用于智慧城市的机理，玛格丽特·洛佩尔又提出了三个关键风险因素：非技术性因素、技术性因素和复杂性。非技术性因素是指人们参与到智慧城市运行的各方面，如管理、培训、安全管控等。技术因素则集中在智慧城市的硬件和软件系统上。复杂性则是指智慧城市并非孤立存在，而是由不同系统组成的一个复杂且多维互联的事物，由此也会衍生出风险。

首先来看非技术因素。玛格丽特·洛佩尔认为，智慧城市意味着公共服务提供方式的根本性转型和升级，运行流程和管理人员的重要性因此愈加凸显。非技术因素包括管理、培训和教育、安全管控这三方面：

一、管理。智慧城市的安全运行取决于对系统和基础设施的有效管理，而不仅仅在于系统本身功能如何强大。智慧城市技术部署是一项非常复杂的工作，管理不当会导致技术驱动的公共项目陷入失败。

二、培训和教育。智慧城市需要配备大量训练有素的安全专家。然而，世界各国几乎都面临不小的安全人才缺口。吸引人才对薪酬相对偏低的公共部门来说是一个挑战，同时这还需要在常规系统建设之外追加人员培训投资，或导致智慧城市建设成本上升。

三、安全管控。城市需要应对极端威胁、确保安全，其中关键之一是对设备和系统进行严格测试。目前，城市大都重视智慧系统和平台建设，却对安全测试重视不足。例如，在美国华盛顿特区、纽约等城市已安装了约20万个交通控制传感器，但由于通信加密不到位，这些传感器采集的信息可以轻而易举地在1500英尺外被截获。如果在部署设备时提前进行了充分的安全测试，这个漏洞完全可以避免。

其次是技术因素，包括软件开发、网络攻击、设备和数据造假这三方面：

一、软件开发。利用传感器和数据网络的优势，实现创建更透明、更灵敏城市的目标，需要配置尽可能完备的软件。然而，完全不出错的软件目前还未被开发出来。鉴于智慧城市要依靠软件系统来运行关键基础设施和服务，人们很难在明知软件可能存在漏洞的情况下还完全信任智慧城市。

二、网络攻击。由于物联网设备与现实世界互动密切，因此带来一系列安全挑战。对关键基础设施系统的网络攻击数量不断增加。智能城市使用无线传感器控制交通信号灯、水处理系统等几乎全部公共设施，可能受到攻击的面非常巨大。城市越智慧，计算机系统就越多，系统间的集成也相应增加，对系统收集数据的访问随之更加开放。这会造成大量潜在的攻击漏洞。

三、设备和数据造假。除了来自外部的网络攻击，系统和设备本身也可能通过人为编程进行有意欺骗。大众汽车公司就曾被曝出对他们的软件进行编程，使其在排放测试中作弊。将更多控制权和决策权下放给设备，可能引起更多欺骗行为。智慧城市使用的传感器也可能被黑客攻击，用以提供虚假数据。因此不能盲目信任所有来自系统的数据，验证、管理物联网设备迫在眉睫。

第三个风险来自复杂性。智慧城市并非孤立存在，而是各种系统的复杂多维互联。当众多子系统相互关联构成一个整体性智慧城市时，它将表现出不同于任何子系统的复杂特性，并可能导致两类风险：级联效应和常态意外。

一、级联效应。级联效应具体是指由于某个行为影响到一个系统而产生的不可避免且无法预料的连锁事件。由于系统之间相互依存的复杂性，级联效应可能对智慧城市构成巨大威胁。当城市同时运行着数种支撑关键服务的系统和设备，就很难辨别哪些已暴露于风险之中，以及系统将如何反应。网络攻击者很有可能通过对一个看似不太关键的软件漏洞或系统节点发动攻击，引发连锁反应，造成巨大破坏。

二、常态意外。根据常态意外理论，复杂系统中的事故几乎是不可避免的。一些无意的、看似毫不相关的事件累积起来，就可能产生灾难性后果。系统发生常态意外多与三个要素有关：系统是复杂的，系统是紧密耦合的，系统有可能造成灾害。系统和基础设施的连接和集成构成了智慧城市的基础。智慧城市可以连接数以亿计的传感器和各种设备，其数量甚至可能比城市人口总量还多。人类终将无法监测和控制所有机器。系统的巨大规模和复杂性更易导致常态意外发生，特别是海陆交通、化工厂、生物实验室、核电站等。

在厘清风险后，玛格丽特·洛佩尔对智慧城市可能经受的安全威胁予以定性划分。她提出，智慧城市面临的威胁可以被描述为迫在眉睫的、非持续的、可容忍的和不可容忍的，再对应非技术因素、技术因素、复杂性这三个风险分类，形成以下矩阵图。及时确定安全威胁性质，做好预案，有助减少问题产生。

智慧城市的安全影响

最后，玛格丽特·洛佩尔坦言，每项新技术和创新都会带来挑战。世界各地的城市都面临着不容忽视的网络安全问题，但人们还没有充分意识到其中的风险。物联网将人们的生活与网络的运行紧密相连，这恰恰给犯罪分子、极端分子和敌对势力提供了发动攻击的对象。尤其是针对核电站、化工设施、生物实验室等的网络攻击，实际就等同于对城市使用大规模杀伤性武器。智慧城市的公共服务和基础设施遭受网络攻击只是时间问题，必须提前做好防范。同时，智慧城市亟需在技术、组织、政策三个维度上深刻创新，才可能化解安全威胁，让人类真正信任智慧城市。