我们是不是要信任智慧城市？

我们需要确保我们正在谈论正确的事情，发出正确的指令，我们可以相信它们告诉我们的事情，并且它们会遵循我们的指令，在这一过程中，没有任何人能够干预”。这让我们开始思考我们是否可以信任智慧城市。

数十年后，我们将生活在一个由数百亿设备组成的世界中，这些设备将交互协作，为我们提供个性化的自主服务。我们周围无处不在的物体和事物被称为物联网（IoT）。城市可能是最先受益于物联网的个体，但依赖机器的决策系统将对整个社会的信任体系产生深远影响。信任智慧城市意味着对智慧城市设施能够安全、可靠和负责任地运行有信心和信念。为了理解信任如何应用于智慧城市，我们引入了信任和风险的正式定义，并提出了三个风险因素，这些因素反映了在部署智慧城市技术时必须考虑的一系列问题。在这些风险因素的基础上，我们提出了一个威胁分析矩阵，以确定智慧城市应对这些风险的能力。我们也将以对智慧城市战争的未来的一些想法作结。

介绍

城市环境正变得越来越互联和复杂。在未来的几十年里，我们将被数十亿传感器、设备和机器包围，被物联网（IOT）包围。受益于物联网的城市和城市地区通常被称为智慧城市（SC）：

“智慧城市是一座创新型城市，它利用信息、通信技术和其他手段来提高人们的生活质量、城市运作和服务效率以及竞争力，同时确保满足当代人和子孙后代在经济、社会和环境方面的需求。”

智慧城市的思想也可以应用到其他领域，例如智能军事设施、智能化合物和智能校园。开发智慧城市应用程序的目的是改进城市人口流动的管理，并能够让城市对挑战作出实时反应。然而，在城市环境中部署分布式传感器网络存在安全风险。一个风险是，敌方有能力入侵民用基础设施，并利用它们对付我们。因此，了解这些物联网技术将如何应用于城市环境、它们的操作行为、公民将如何与这些传感器网络互动以及它们大规模部署在城市环境中的安全影响是至关重要的。

城市可能是最先受益于物联网的，但周围环绕着数十亿个传感器、设备和机器，这对安全、信任和隐私有着深远的影响。一个城市使用的技术越多，就越容易受到网络攻击，所以最智慧的城市城市面临的风险也是最大的。虽然安全性、隐私和信任都是物联网的关键问题，但我们主要的关注都集中在信任上。

信任的必要性早已得到确认，“......决策制定中的关键是，我们必须能够相信这些设备在“说”什么，并控制它们所做的事情。我们需要确保我们正在谈论正确的事情，发出正确的指令，我们可以相信它们告诉我们的事情，并且它们会遵循我们的指令，在这一过程中，没有任何人能够干预”。这让我们开始思考我们是否可以信任智慧城市。

本文的组织如下。在第二节中，我们介绍了信任的正式定义及其与风险的反向关系。为了了解信任如何应用于智慧城市，我们在第三节中引入了三个风险因素。第四节介绍了一个威胁分析矩阵，该矩阵是了解智能城市面临风险的下一步措施。最后，我们对未来智能城市的网络攻击的一些想法作了一些总结性的讨论。

信任与风险

信任有几种定义。信任是相信一个实体能够在特定环境中安全和可靠地行事。信任是指一方在特定情况下愿意依赖某人或某事，并产生相对的安全感，即使有可能产生消极后果。换句话说，信任是一个比信息安全更广泛的概念，它包括主观标准和经验。信任包含的概念如下：

感知——通过感知产生对事物的认知；

记忆——过去的历史和经验；

特定语境——信任在某种情况下可能存在，但在另一种情况下可能会减少甚至根本不存在。

信任的主观性取决于人们是否愿意参与交易，以及交易结果的相对安全性。因此，存在依赖性的一个方面，这既包括由可能性产生的不确定性，也包括由消极后果产生的风险。

当交易的风险很高时，或者当该交易在系统的安全性方面具有关键作用时，风险就会出现。“在大多数考虑风险的信任系统中，用户必须明确地认识到风险与信任之间的关系，并承认这两种概念之间的反向关系，即低价值交易常常与高风险和低信任水平相关联，反之亦然，同样，风险和信任常常有反作用力，以确定用户对合作伙伴的接受程度。”

为了理解这种反向关系如何适用于智慧城市，我们定义了三个关键的风险因素：非技术性、技术性和复杂性。

非技术风险包括人类参与到智慧城市的各方面中，如管理、培训和教育以及进行管控和安全演练。

技术风险因素集中在智慧城市的技术方面，包括硬件和软件系统。这也包括信息物理系统（cyber-physical system）的概念，信息物理系统是一个控制物理实体的协同计算元素的系统。最后一个风险因素是复杂性。智慧城市不是一个独立的事物，它是一个由各种不同系统（人力和技术）组成的复杂的、多维联系的事物，它向客户提供服务并促进性能发展到最佳状态。这些系统的复杂性是有风险的，特别是当规模变得非常大的时候。下一节将更详细地介绍这些关键风险因素。

风险因素

在本节中，我们描述了属于这三个维度的风险的例子。

非技术因素

智慧城市代表了服务交付方式的根本性改变——它主要不是关于技术，而是关于服务转型和升级。这就突出了流程和人员的重要性，即如何使一个城市变得更智慧，以及由谁来管理它。这使我们开始考虑非技术性风险领域：管理、培训和最佳实践。

管理。先进的技术增加了复杂性和不确定性。风险越大，就越有必要采用有效的管理和政策工具来应对风险。智慧城市的表现将取决于对系统和基础设施的有效管理，而不仅仅是系统本身的表现。信息技术（IT）的部署是一项复杂的工作，如果不能管理与部署有关的高风险因素，就会导致技术驱动的公共部门项目彻底失败。这方面的一个例子就是《合理医疗费用法案》健康信息市场的灾难性推出。事实上，85％的IT项目由于创新的非技术方面的挑战而失败，而在很大程度上，这些挑战来自于政策、组织和管理相关的风险。

培训和教育。支持数字经济的基础设施正变得越来越复杂。企业和城市越来越多地在虚拟机上运行它们的计算系统，云服务已然成为一种标准的商业惯例。然而，尽管有大量技术流入，仍然严重缺乏一批训练有素的安全专家，而到2020年，这种短缺将达150万人。公共部门安全技能短缺情况往往更糟——由于私营部门工资薪酬较高，最有才能的人往往都被吸引走了。因此，随着城市变得更加智慧，吸引合格的人才并向他提供有竞争力的薪酬将是一个挑战。一种选择是培训现有的劳动力，同时努力吸引年轻一代进入技术领域（即增加潜在员工的渠道）。但是，这需要在正常设备采购以及这些系统的操作和维护之外进行投资。要获得安全和智能城市技术的培训预算，就必须教育领导者，并获得认同，但情况却会随着每次选举而改变。

最佳做法。城市需要加强安全措施，以应对极端威胁。有许多“最佳做法”清单为防范大多数安全威胁提供了有益指导。其中一个最佳做法就是严格测试设备和系统。城市可以测试系统的功能、对气候条件的抵抗能力等，但他们往往很少或没有执行网络安全测试。据Cerrudo报道，大约有20万个易受攻击和不安全的交通控制传感器被安装在华盛顿特区、纽约、西雅图、旧金山、伦敦、里昂和墨尔本等城市。由于一家公司未能对其通信进行加密，来自这些传感器的信息可能会在1500英尺之外被截获。这个安全漏洞可能已经使某人让交通信号灯保持为红色或绿色，调整电子限速标志，或调整匝道，让所有车辆一次性全部进入高速公路中。如果这些城市或软件供应商在设备部署期间和（或）通过例行安全检查进行了适当的安全测试，这一安全漏洞就可能被发现。不幸的是，“大多数产品供应商都在开发那些没有安全性的软件和硬件，而政府也没有对它们进行任何测试就将其发布了。”

技术因素

技术是智能城市的助推器，它包括硬件系统和软件系统。技术风险的例子包括：信息安全、软件开发和信息物理系统的设计。

软件开发。利用传感器和数据网络创建对社会群体更透明和更敏感的城市是物联网的下一个前沿领域。要实现这一目标，关键在于我们是否能够正确地使用软件，Vint Cerf曾说过，“我们不知道如何编写没有错误的软件，为此我们已经尝试了70年。”如果智慧城市要依靠软件来运行关键基础设施和服务，那么我们怎么在知道它很可能存在漏洞的情况下还相信它呢？

发生在2003年8月14日的停电事故便是一例。在一个运行着100个关键服务系统的城市中，由于连锁反应或事件，一个软件漏洞产生了巨大的影响。停电影响了加拿大安大略省近1000万人和美国8个州的4500万人。而造成停电的主要原因就是警报系统的一个软件故障。

网络攻击。对关键基础设施系统的网络攻击数量正在增加。2014年，欧洲黑帽公司的安全研究人员演示了如何通过操纵智能电表和利用电力线通信技术中的加密问题来“黑进”部分城市。Cerrudo还介绍了另一起涉及国土安全部（DHS）的袭击事件。2014年，美国国土安全部承认，一家公用事业公司的控制系统网络遭到了“复杂的威胁参与者”的侵入，而黑客们只通过猜测联网系统上的密码就进行了侵入。最近的黑客甚至能够远程控制一辆在高速公路上行驶的吉普车。

智慧城市将使用无线传感器来控制从交通信号灯到水资源管理的一切事务；因此，对城市的攻击面是巨大的。在智慧城市中没有“内部网络”的概念。城市越智慧，计算机系统越多，系统之间的集成就越多，对所有这些系统收集的数据的访问也就越开放。同时这也带来了大量潜在的攻击漏洞。根据 2013年赛门铁克一项互联网安全威胁报告，22％的有针对性的攻击是针对政府和能源/公用事业公司，而身份泄露的24％的目标是政府和医疗机构。

物联网带来了一系列严重的安全挑战，因为许多物联网设备与现实世界有着密切的互动。由于计算和电力资源有限，设备的安全功能可能很差或根本就没有，更糟的是，它们还不能适当地保护自己。许多物联网设备可能是用完全过时的操作系统和库来构建的，而这些系统和库都还没有得到完全的修复，这进一步地加剧了这一问题。如果一个设备依赖于带有漏洞的开源软件（例如，使用OpenSSL版本的许多路由器容易受到Heartbleed病毒的影响），那么更新这些设备上的固件就会很困难。

信任数据和设备。另一个风险在于，设备可能会歪曲自身。换句话说，它们被有意编程去欺骗。一个例子是大众汽车公司被发现编程它们的软件使其在排放测试中进行欺骗。欺骗是指为了获得不公平优势而蓄意歪曲产品的行为，例如大众公司欺骗监管机构以通过排放测试，并欺骗消费者以销售更多车辆。将更多的控制和决策下放给设备，可能产生更多的欺骗行为。对于拥有成熟品牌的大型公司来说，在欺骗中被暴露的风险可能会阻止他们。但是，对于物联网和智慧城市初创公司来说风险要低得多，它们进行欺骗的可能性会更大。

与信任设备相关的是信任数据。对于智慧建筑和智慧城市最大的担忧之一是，设备中的传感器可能会被黑客攻击，并提供假数据，而假数据可以被用于各种恶作剧，例如造成信号失效，导致地铁关闭或将污染物排入供水系统。“当我们看到为智慧城市系统提供的数据被盲目信任，并能很容易被操纵的时候——这些系统很容易被黑客入侵，而且到处都存在着安全问题——就是当智慧城市成为一个傻瓜的时候”。验证、管理和信任物联网设备的需求已然非常紧迫。

复杂性

智慧城市的核心系统并不是离散的，它是由各种不同系统组成的复杂的多维互联，这些系统能够提供独特的服务并促进其性能达到最佳状态。从这个角度来看，一个智慧城市可以被认为是一个复杂的系统。复杂的系统由相互连接的部分组成，这些部分作为一个整体显示一个或多个从单个部分来看并不明显的属性。智慧城市的复杂性可能导致两种类型的风险：级联效应和常态意外。

级联效应

级联效应由影响系统的行为所引起的不可避免且有时无法预料的一系列事件。由于系统之间存在的复杂性和操作上的相互依赖性，级联效应对智慧城市来说是一个真正的威胁。当城市运行数百种关键服务的系统和设备时，很难辨别哪些是处于风险之中的，以及系统将如何作出反应。因此，由于相互依赖和连锁反应，一个简单的软件漏洞或一次网络攻击就可能会产生巨大的影响。例如，如果没有交通控制系统，没有路灯，没有公共交通工具（如地铁），我们的日常通勤会出现什么情况？如果电力或用水供应不足，街道变得黑暗，没有摄像头，公民将如何应对？如果垃圾回收在夏季被中断，源源不断的垃圾堆积起来，并开始在街道上发臭怎么办？那些攻击者们都知道级联效应，并且知道可以通过对一个似乎不太关键的、小的、安全性较差的系统发动攻击来利用它，从而达到自己的目的，这就引发了连锁反应。

常态意外理论

常态意外理论是指根据其风险性描述复杂技术系统的框架，这些技术系统包括空中交通、海上交通、化工厂、水坝、DNA研究等，特别是核电站。根据该理论，复杂系统中的事故被认为是不可避免的，因为无意的和看起来似乎毫不相干的事件积累起来，并联合起来，就会产生灾难性后果和重大故障。在他的书中，Perrow给出了一些具体的例子，包括对DC-10飞机坠毁的描述，他引用了国家运输安全委员会的一份报告报告：

飞机失去控制是由三个因素造成的：左机翼外侧前缘缝翼的回缩，板条分歧预警系统的损坏，以及失速报警系统的损坏——所有的这些都是由发动机吊架组件的分离造成的。正常的飞机都不会使合格的机组人员失去对飞机的控制，但是在飞行的关键时刻，在它们的共同作用下，机组人员没有足够的机会意识到和防止飞机随后出现的失速。

Perrow指出了使系统容易发生常态意外的三个条件：该系统是复杂的，该系统是紧密耦合的，以及该系统有可能造成灾害。系统和基础设施的组合、连接和集成是一个城市智能化的基础。城市越智慧，计算机系统就会越多。各系统之间就需要进行更多的集成，这同时也意味着更有可能出现问题。智慧城市可以连接数百万（或更多）的人、机器、传感器和设备。随着越来越多的机器连接在一起，它们的数量将超过我们的人口数量，而人类将不可能监测和控制所有机器。因此，一些决策将被委托给系统中的机器。一旦人类加入到这个复杂的循环中，意外就会发生。这些系统的规模和复杂性就会导致常态意外的发生。

安全影响

既然现在已经定义了这些风险，下一步就是分析智慧城市应对现有威胁的情况。威胁可以表现为当前的（或即将发生的），某个时间的（不持久的），可容忍的（可以复原的）和不能容忍的（例如黑天鹅事件）。分析应该着眼于智慧城市所面临的威胁，将它们分为这四个类别中的一个，并对常设委员会在这三个风险领域应对这些威胁的能力进行评级。这种分析的矩阵如图1所示。这种分析将有助于智慧城市了解他们在今后所面临的安全问题，并能采取措施开始解决这些问题。

智慧城市的安全影响

结论

随着本土化和由ISIS引发的恐怖主义不断袭击全球各大城市，公共安全和安全正变得越来越具有挑战性。城市政府直面所有这些挑战，并在某种程度上利用智慧城市技术来解决这些挑战。

每一项新技术和创新都会带来挑战和问题。目前，世界各地的城市都面临着巨大的网络安全问题。这些问题可能直接影响到政府、居民以及在那里开展业务的企业和组织。城市网络安全是极为重要的，但我们还没有充分认识到的风险。

一个显而易见的问题是，我们是否夸大了城市面临的网络风险。毕竟，这不等同于真实的战争，或更糟糕的核战争，不是吗？我们通常认为战争是由人类在陆地上进行的。然而，在2009年，美国国防部长指示美国战略司令部司令建立美国网络司令部（USCYBERCOM）。“美国网络司令部将计划、协调、整合、同步和开展行动，以便指导特定国防部信息网络的运作和防御; 以及做好准备，并在接到指示时开展全面的军事网络空间行动，以便在所有领域采取行动，确保美国/盟国在网络空间的行动自由，并且保证我们的对手无法做到这些。”从军方的角度来看，网络的确是战争的一种形式。

2008年，保守的胡佛研究所称，在计算机恶意软件和僵尸网络中存在一种新的大规模杀伤性武器，并为其创造了“大规模杀伤性武器”（WMD）一词。作者“虽然我们希望‘网络大规模杀伤性武器’永远不会造成其他大规模杀伤性武器（如核武器、化学武器和生物武器）所能造成的生命损失，但我们仍然应该认识到，‘网络大规模杀伤性武器’有可能摧毁生计，甚至摧毁整个经济……”。他们认为网络攻击等同于大规模杀伤性武器，尽管他们的观点没有被一致认同，但这也引发了一场关于通过相关法律的讨论，以便更容易追踪僵尸网络所有者和垃圾邮件制造者，并迫使互联网注册者提供真实的注册信息。

当国防威胁降低局系统脆弱性和评估副主任，美国陆军少校Quan Hai T. Lu在写一篇关于新的大规模杀伤性武器挑战的期刊文章时，这个问题又浮出水面。他在文章指出中“物联网将人们的日常生活与互联网联系在一起。人与网络空间的这种相互联系让犯罪分子、极端主义分子和敌对国家以个人、私企和政府组织以及整个美国民间社会为目标，并在这个过程中激起了人们对未知事物的恐惧。简而言之，网络是一种新的大规模杀伤性武器的威胁，解决它将需要整合整个机构间的资源”。Lu认为，尽管所采用的方法和手段可能不同，但对化学设施、生物研究实验室、核电厂以及核指挥和控制节点所发动的网络攻击，实际上就相当于使用大规模杀伤性武器。

无论你是否认同新出现的风险等同于战争或大规模杀伤性武器，现在都必须采取行动，在这一转折点的开端，为了让我们的城市更加安全，就必须防范迫在眉睫的风险。做好准备是防止更大问题和混乱的关键。网络安全问题就在我们身边，而智慧城市将完完全全暴露在网络攻击之下。这是一个现实而直接的危险。对城市服务和基础设施进行网络攻击只是时间早晚的问题。一个城市使用的技术越多，就越容易受到网络攻击，所以最智慧的城市面临的风险往往也就越高。智慧城市创新需要技术，组织和政策的进步：

技术创新：改变和更新技术工具的机制，以改进服务，并创造条件更好地利用这些工具。

组织创新：一种为有效利用技术工具和条件而创造管理和组织能力的机制。

政策创新：处理体制和非技术城市问题的机制，并为建立一座智慧城市创造条件。

这不仅仅是技术解决方案，所有这些领域对解决风险至关重要，使我们能够信任智慧城市。