智慧旅游建设的风险与保障体系研究.docx

智慧旅游建设的风险与保障体系研究文 李霞智慧的基因正在不断复制到社会的各个领 域，旅游也不例外。智慧旅游实质上是将物联 网技术、云计算技术、高性能信息处理技术运 用到旅游行业。智慧旅游的建设，为游客提供 更便捷、智能化的旅游体验 ；为行业管理提供 更高效、智能化的信息平台 ；促进旅游资源深 度开发，打造新型旅游文化产品。但同时又要 面对与智慧城市建设同样需要面对的互联网、 物联网开放带来的数据安全、社会伦理、现行 相关法律法规不适应的新挑战和新风险。智慧旅游建设的风险分析智慧旅游建设过程中面临的挑战和风险并 不是建设智慧旅游时才出现，安全问题是 IT 应 用与生俱来的，只不过由于智慧旅游的建设使 得这种挑战和风险更加具体。总体来说，这些 风险主要包括 ：建设风险、技术风险和保障体 系不完善等。（一）建设风险智慧旅游建设是一项复杂的社会系统工程， 通过这项工程，不但能够推进城市的技术创新 和应用，也是旅游产业结构升级的有效途径， 更是推动社会化变革和改善民生的切入点，同 时面临的风险也绝不仅仅是网络、数据或是说 信息的安全问题。第一，智慧旅游建设所需要的国家统一的 规范标准不完善，阻碍了旅游产业的智慧化。 第二，旅游是跨区域、多部门、跨行业的一种 行为。多部门协调机制的不完善，影响智慧旅 游的推进。第三，智慧旅游的“更全面的互联 互通”，目标是要实现各个城市甚至是全国的旅 游基础设施甚至旅游自然资源的“互联互通”， 这样就为某些跨国大公司借助技术手段掌控全球范围内的各种资源提供了方便，如果处理不 好可能给我国的旅游信息安全带来严重的影响。 第四，由于推进智慧旅游类引发的社会伦理问 题。或者说在技术至上的诱惑下，执意追求科 学技术发展而极少考虑由此带来的社会问题。 第五，智慧旅游与之匹配的网络安全监管法律 问题。例如，旅游信息采集的合法性问题、公 众隐私问题等。第六，以目前人类掌握的技术 还不能解决智慧旅游的所有技术问题。1、 标准差异化风险 智慧旅游的建设，目前还没有全国统一的规划和技术标准，所涉及到旅游相关信息的国 家标准、地方标准、行业标准的资源规范体系 不完善，各地各自为阵地进行建设，特别是中 小城市、旅游资源不丰富的城市，单独制订智 慧旅游的架构和标准，一是无法与其他城市互 联互通，二是浪费资金和资源。势必容易导致 形成区域性信息孤岛，无法实现全国范围内的 互联互通，就无法实现真正意义上的智慧旅游。 这些城市可通过与其他旅游资源丰富的城市或 者上级城市进行对接的方式，既方便游客使用 智慧旅游相关管理系统，又避免各自为战、重 复建设。造成人力、物力、财力的浪费，保证 各地智慧旅游建设符合国家的整体方向和要求。“重硬轻软”、“重应用系统，轻信息资源” 是目前包括旅游在内的相当一部分政府部门、企 业信息化建设的现实写照。各系统自成体系，信 息资源分散、信息共享困难、应用水平低下，形 成彼此隔离的信息孤岛式的信息系统，严重影响 各应用系统信息资源的有效、高效利用和共享。因此，智慧旅游建设总体规划从构建大旅 游格局出发，从旅游信息化整体和全局出发， 重点规划和建设一批战略性、宏观性、基础性和公益性的旅游信息资源基础数据库 ；并整合 和改造现有的各种旅游信息资源，清理、确认 和制订数据库标准与规范，为有效地开发利用 旅游信息资源打好基础 ；制定旅游行业数据标 准，准确、实时、共享、全面的旅游信息资源数据， 是实现智慧旅游规划理念的基础。在全市甚至 全国范围内建立有效的旅游资源共享机制，分 级管理旅游数据资源。近期，国家旅游局在中国旅游业“十二五” 发展规划信息化专项规划中明确提出 ：“加快 制定涉及旅游信息资源的各类国家标准、行业 标准、地方标准与企业标准，形成相互衔接、 彼此互补，覆盖旅游目的地、旅游产品、旅游 服务、旅游监管、旅游者权益等旅游各环节和 各要素的信息资源标准规范体系。选择部分条 件相对成熟、资源相对丰富的省市、目的地和 企业开展旅游信息资源标准规范试点建设，逐 步探索并积累旅游信息资源标准规范在不同领 域的建设经验，发挥试点工作的示范效应，加 大成功经验在全国范围的宣传和推广力度。从 基础性、基准性、标识性、稳定性的原则出发， 对旅游基础信息所包含的内容、范畴进行定义， 形成全国统一的旅游基础信息资源标准规范。 建立以元数据为核心，逻辑上集中、物理上分散，可统一管理和服务的旅游基础信息资源目录， 建设国家级旅游基础信息资源数据库，为旅游 行业信息资源开发以及产品服务创新提供重要 的数据基础。结合旅游行业特点，建立准确及时、 高效可信的旅游基础信息采集渠道和管理办法， 遵循“一数一源”的原则，明确各级单位信息 采集和更新权责，以“谁采集谁更新”为原则， 保证基础信息的准确、完整和及时更新 ；积极 探索与相关部门基层信息采集的共同需要和特 殊需要，对通过信息共享方式从其他行政机关 获取信息的成功模式予以鼓励和推广。”等就是 要从国家统一规划的层面，建立健全旅游信息 资源建设的标准体系，从而降低各地在进行智 慧旅游建设中的标准差异化风险。2、 协调机制风险 旅游是跨区域、多部门、跨行业的一种行为。智慧旅游建设是整合游客、景区、政府及 旅游企业等多个部门的信息资源。同级旅游相 关管理部门之间联动不够，信息资源比较分散， 没有统一平台实现信息共享 ；上下级管理部门 信息传达存在滞后性，使得旅游目的地、旅游 企业和经营者、旅游者在信息处理等环节面临 诸多不便。没有健全的协调机制，成为智慧旅 游建设的一大障碍。3、 数据安全风险 信息网络的全球化随之带来信息网络安全问题的全球化，任何与网络相连接的信息系统 都必须面对世界范围内的网络攻击、数据窃取、 身份假冒等问题。目前网络钓鱼、木马、漏洞 攻击和恶意地址等形式的网上犯罪层出不穷， 变得无处不在。面对这种形势，网络安全做的 比较好的系统或单位会采用“防火墙”+“IPS/ IDS”+“防病毒”+“反垃圾邮件”+“内网安 全防御”+“数据 / 应用级别容灾”的安全策略。 但这种安全配置是比较奢侈的，并不是一般的 单位或系统能够承载的。而且这种单纯以防杀 为主的观念随着智慧旅游的建设推广而变得落 伍了。智慧旅游的技术内涵，是将物联网、云计 算、下一代通信网络、高性能信息处理、智能 数据挖掘等技术应用于游客感知、行业管理、 旅游产业发展等方面，使旅游物理资源和信息 资源得到高度系统化整合和深度开发，是旅游 实体基础设施与信息基础设施的有效结合。这 种结合使得这种风险互相交织延伸，不但存在 信息网络和信息系统的安全，同时也存在旅游 信息资源数据的安全。当然对于数据安全问题 要辩证的分析，不能说国外提供的系统就一定 有恶意，国内自己开发的系统就一定安全。技 术落后和系统缺陷导致的安全问题与刻意的漏 洞同样严重。关键是要建立起系统和全局的观 念，因为智慧旅游所涉及的政府和企业，没有 一个单一实体或决策方，可以承担所有的责 任包括安全。所以必须共同处理与安全和可 靠性相关的问题。通过技术、管理、制度手 段逐步完善数据安全防护体系，来消除安全 风险。绝对安全与把握机遇永远是一对矛盾， 对于智慧旅游，如果等到我国掌握了核心技 术，自己能够做的时候，机会可能早已错过， 付出的代价会更大。4、 社会伦理风险 由于计算机和信息技术的使用所引起的许多问题越来越普遍，所产生的无数涉及社会伦 理方面的问题已逐渐被学术界注意，因而“计算机伦理学”得以产生。某种社会实践所带来 的社会伦理问题一般都有要在这种实践进行一 段时间后，并在其带来的危害渐渐变得清晰时 才会成为人们的关注点。计算机和信息技术的飞速发展，特别是智 慧旅游的推出，使得旅行者更依赖现代信息技 术，基于位置与身份识别、智能终端等的推广 和使用，旅行者的行踪随时被跟踪定位。当我 们享受着智慧旅游带来的便捷和智能，得意于 能够感知万事万物的时候，同时也在被别人感 知着，甚至监视着，这种情况是否每个人都可 以接受呢？所以要充分认识到智慧旅游不只是 技术和业务系统，更重要、更深层的是社会伦 理标准的建立。站在技术与社会互动的角度来 看，智慧旅游的成败关键不在于信息技术的先 进程度，而是公众接受度和由此所带来的一系 列社会伦理道德问题的解决之道。5、 信息安全主体法律问题分析 我国信息安全法律框架体系的构建，基本属于“渗透性”模式，即国家没有制定专门性 的网络信息安全法，而是将涉及信息安全的立 法内容渗透、融入相关的法律、行政法规和部 门规章中。但已有的法律法规缺乏系统性，条 款多而分散，法律位阶普遍较低，法律效力相 对不足，法律和规章之间内容交叉和抵触现象 较多，而且存在着大量立法上的空白。在影响 信息安全管理的同时，造成事实上的立法资源 的浪费。随着智慧旅游的推广应用更加凸显了 这些问题的严重性，从智慧旅游的特征分析来 看，我国网络信息安全法律法规有些条款必须 加以修改，以保护国家、地方政府及旅游企业 的主权和利益 ；我国网络信息安全监管体制必 须加以调整，以适应和完成智慧旅游推广应用 工作的需要。最根本的是要完善我国的网络信 息安全主体法律，虽然我国出台了中华人民 共和国电子签名法，是我国第一部信息化法律， 也是第一部信息安全法律，但其只规范了信息 安全领域内的一个非常具体的问题。在目前制 定的有关信息安全的法律法规中，侧重于维护 国家安全和公共秩序的较多，很少考虑公民的个人权益。最为突出的是个人信息保 护法迟迟未能进入立法程序，社会反 映强烈，甚至成为社会大众对信息安全 立法工作不满的焦点。因此我国有必要 抓紧出台综合性的信息安全法。要把信 息安全立法问题提高到事关国家安危、 社会稳定、产业发展的高度和信息化全 局来考虑，尽快制定一部信息安全的基 本法律，在与我国各级管理体系协调一 致的前提下，明确专门的权威部门或政 府部门对信息安全实施统一和谐监管。智慧旅游建设不可避免要涉及电 子商务建设。在线交易是智慧旅游体系 中非常重要的一个系统，在线交易的难 以实现，除支付安全问题外，网络信用 问题也是原因之一。网络经济作为一种 “虚拟经济”更加需要信用环境的保障。 网络交易的诚信问题包括两个方面，一 方面是卖方发布虚假信息，即商家的信 用问题 ；另一方面是买方订购后无故取 消，即买家的信用问题，因此在线交易 对交易双方都存在道德风险。但是当支付环节或网络诚信出现问题时，目前的 法律缺乏对网上交易行为的相应规范和 保障。在缺乏法律保障情况下，旅游者 并不完全信赖网络交易方式，大多采用 线上查询、线下交易的方式。而旅游企 业对网上恶意预订也无能为力，同时对 政府的监管也造成不利。法律建设的 缺位使得使用旅游信息系统的各方都 心存顾虑，这极大地影响了智慧旅游的 建设进程。6、 实现智慧旅游的技术风险 智慧旅游是一种将物联网、云计算、下一代通信网络、高性能信息处理、 智能数据挖掘等技术应用于游客感知、 行业管理、旅游产业发展等方面，使旅 游物理资源和信息资源得到高度系统化 整合和深度开发，并服务于游客、旅游 企业、政府管理部门等面向未来的全新 的旅游形态。智慧旅游建设是融合了先进的通 信与信息技术，整合互联网、移动互联 网、物联网等网络资源以及热线、网站 等信息服务资源，进行技术深度应用挖 掘。以现有的技术路线实现全球化的智 慧旅游是还存在着一定的困难。目前的 技术只能实现一定范围内的静态的连接 和数据处理，对动态变化的数据的采集 处理和管理几乎无能为力的。一是没有 能力管理无穷多的设备。目前的物联网 都是“闭环”系统，其主要技术瓶颈就 是当传感器数量增加到一定程度时，系 统将无法正常运行。二是没有能力处理 无限增加的采集信息。尽管已经有成熟 的具有强大功能的各种数据库，但是它 只是一个企业级数据管理系统，而面对 社会级动态变化的数据这远远不够的。 若智慧城市的感应器达到上亿个以上， 而且每天在不断地增加，每个感应器每 一分钟中采集一条记录，那么什么样的 数据库能应付呢？三是目前没有解决物联网 IP 地址不够的问题。严格地说物联网一定 是采用下一代互联网的协议（IPV6）, 这是必要 条件。在目前采用的互联网协议（IPV4）条件下， 我国 IP 地址资源不够用是最大的问题。上海世 博会期间，仅给民用液化气罐使用 RFID 进行 跟踪定位就用去了 115 万个 IP 地址。而由 IPV4 切换到 IPV6 过程缓慢而艰难，因为标准不统一 和美国态度不积极是主要问题，美国互联网发 展的早，取得 IPv4 资源远远多于我国，我国的 IPv4 资源分配只占到了全球的 4.5%，且网民基 数和增长幅度很大。据中国互联网络信息中心（CNNIC） 预计 2011 年中国的 IP 地址将耗尽。 四是目前没有能力解决软件危机。在智慧的各 类系统里，庞大的软件代码有可能隐藏大量的 BUG，同时需求结构发生重大改变时，正在使 用的系统将面临重大危机，其系统修改调整的 成本有可能高于重新开发系统的成本。（二）核心技术风险分析 1、云计算的安全风险分析 从“云计算”的概念提出以来，关于其数64据安全性的质疑就一直不曾平息，这里的安全 性主要包括两个方面 ：一是用户的信息不会被泄露避免造成不必要的损失，二是在用户需要 时能够保证准确无误地获取这些信息。总结起 来，用户在选择云计算服务时主要关注的安全 风险有以下几方面。（1）云计算的数据安全 第一，数据传输安全。通常情况下，数据中心保存有大量的信息资源，这些信息资源通 常来源于不同的政府部门和企业，涉及公共基 础数据、政务信息和企业秘密等。在云计算模 式下，用户将数据通过网络传递到云计算服务 提供者进行处理时，面临着几个方面的问题 ： 一是如何确保自身的数据在网络传输过程中严 格加密不被窃取 ；二是如何保证云计算服务提 供者在得到数据后不泄密 ；三是如何保证访问 数据的用户经过严格的权限认证及访问行为合 法，同时，在任何时候都可以安全访问到自身 的数据。第二，数据存储安全。 用户使用云存储时所面临的主要安全风险包括数据泄漏、数据丢失等。与云计算相似， 云存储也是构建在共享架构之上，是云计算的 重要环节，包括数据的存储位置、数据的相互隔离、数据的灾难恢复等。由于云存储数据隔 离的措施还不够有效，对于数据的存储、访问、 通信、销毁等环节缺乏安全监控，存在一定的 安全隐患，导致数据存在丢失和泄漏的可能。 同时在数据丢失的情况下，也有可能面临因数 据无法及时恢复所带来的风险。在云计算模式下，云计算服务提供者在高 度整合的大容量存储空间上，开辟出一部分存 储空间提供给用户使用。但用户并不清楚自己 的数据被放置在哪台服务器上，甚至根本不了 解这台服务器的物理位置在哪里 ；云计算服务 提供者在存储资源所在国是否会存在信息安全 等问题，能否确保用户数据不被泄露 ；同时， 在这种数据存储资源共享的环境下，即使采用 了加密方式，云计算服务提供者是否能够保证 数据之间的有限隔离 ；另外，即使用户了解数 据存放的服务器的准确位置，也必须要求服务 提供者做出承诺，对所托管数据进行备份，以 防止出现重大事故时，用户的数据无法得到恢 复。针对用户面临的数据泄漏风险、数据丢失 风险等，云服务提供者需采取必要的数据隔离、 加密、备份、分权分级管理等措施，以保证云 存储服务的安全性。第三，数据审计安全。用户进行内部数 据管理时，为了保证数据的准确性往往会引入 第三方的认证机构进行审计或是认证。但是 在云计算环境下，云计算服务提供者如何在 确保不对其他用户的数据计算带来风险的同 时，又提供必要的信息支持，以便协助第三 方机构对数据的产生进行安全性和准确性的 审计，实现用户的合规性要求 ；另 外，用户 对云计算服务提供者的可持续性发展进行认 证的过程中，如何确保云计算服务提供者既 能提供有效的数据，又不损害其他用户的利 益，使得用户能够选择可以长期存在的、有 技术实力的云计算服务提供者进行业务交付， 也是安全方面的潜在风险。（2）云计算架构下的应用系统的安全隐患 部署在云计算架构下的应用系统存在安全隐患这是必然的。任何一种应用都是流程和逻辑的体现，而大部分应用是不能够准确无误地 再现流程和逻辑的，因此必然会存在着缺陷和 漏洞，这些缺陷和漏洞也就成为了最大的安全 隐患。可能更令人担忧的是这种应用上的隐患 与云计算基础架构本身的安全问题叠加，会带 来更加复杂的问题。能否实现应用系统和云计 算基础架构的安全逻辑分割也许是未来可以考 虑的方向之一，对于云计算安全问题的解决可 能会起到简化作用。（3）云计算服务提供模式的风险 云计算服务模式的安全面临着社会层面和技术层面两个方面挑战，获得安全的云计算服 务要分别从这两个方面着手。社会层面上，要 尽快建立相关的法律法规。当然法律法规的建 立并不能根本解决社会诚信和信用体系建立的 问题，但可以起到高效的推动和促进作用。没 有法律法规的保障，我个人认为云计算服务模 式的安全只能是一个美好的愿望。而从技术层 面上看，要针对云计算服务模式的特点，研究 专门的安全防护技术，开发有针对性的能够保 障云计算服务及应用的安全产品 ; 同时，还需要 针对法律法规的相关规定，为法律法规的实施 提供相应的技术支持，例如，纠纷出现时，取 证以及仲裁所需要的法证技术及产品等。（4）云计算服务的安全风险控制策略。 为了更好的消除这些潜在的安全风险，让更多用户享受到云计算服务的优点，在选择 云计算服务时，一方面要根据自身的业务需 要，将风险可控的业务模型提交到云计算服务 提供者，其他关键业务模型可以选择建立用户 私有云模型进行保障 ；另一方面需要和云计算 服务提供者建立规范的条款来规避风险，包括 选择较高信誉度的服务提供者、要求企业和云 计算服务提供者之间的数据传统通道进行加密 传输、要求云计算服务提供者承诺数据存储位 置的安全性以及和其他用户数据之间的加密隔 离，同时和服务提供者签订 SLA（service-level agreement）服务质量保证协议，明确服务提供 者要具备数据恢复的能力并定义清楚数据恢复 的时间限制等。2、物联网的安全风险分析 作为智慧旅游的技术支撑之一的物联网，被誉为信息产业的又一次革命。物联网承载着 将世间万物互联互通的使命。其规模越大，安 全风险也就越大。物联网不能重蹈互联网在信 息安全方面的覆辙。互联网只传输信息，不认 证信息，在信息传输的同时，也成为病毒、黑 客等恶意信息作案的工具。从这个方面讲，互 联网技术是不够完善的。这一问题，目前仍未 能从技术上很好地解决。假如物联网不能保障 信息安全，结果将不堪设想。因物联网除了面 对移动通信网络的传统网络安全问题之外，还 有与之不同的特殊安全问题。（1）与安全相关的技术特点 从物联网的概念和内涵可以看出，第一，物联网不仅仅是互联网的延伸，而是建立在特 有基础设施上的一系列独立的系统，但部分基 础设施仍然要依赖于现有的互联网。第二，物 联网将伴随新的业务共同发展，服务具有多元 性、互动性等特征。第三，物联网包括了多种 不同的通信方式，物与人通信，物与物通信等。综合分析它的技术特点主要有三个方面。 一是可跟踪性，也就是说任何时候都可以准确 地知道物品的位置及状态，甚至周围环境等。 二是可互动性，体现在两个层面，一方面人们 可以随时观察或掌握物品的情况 ；另一方面还 体现在可以通过物品来实现对人的监控和保护。（2）物联网存在的安全风险 事物总是一分为二的，任何新技术都是把双刃剑。物联网在安全方面遇到的问题更加突 出。一般来说，物联网有三个层面，分别为感 知层、网络层和应用层。物联网在传感层面的 两大核心技术是无线传感器网络（WSN）和射 频识别（RFID）技术。这两项技术都存在着无 线信道被攻击的巨大隐患。一是传感网络是一 个存在严重不确定性因素的环境。广泛存在的 传感智能节点本质上就是监测和控制网络上的 各种设备，它们监测网络的不同内容、提供各 种不同格式的事件数据来表征网络系统当前的 状态。然而，这些传感智能节点又是一个外来入侵的最佳场所。所以物联网感知层的数据非 常复杂，数据间存在着频繁的冲突与合作，具 有很强的冗余性和互补性，且是海量数据。它 具有很强的实时性特征，同时又是多源异构型 数据。因此，在网络技术、网络安全和其他相 关学科领域面前都将是一个新的课题、新的挑 战。二是当物联网感知层主要采用 RFID 技术时， 嵌入了 RFID 芯片的物品不仅能方便地被物品 主人所感知，同时其他人也能进行感知。特别 是当这种被感知的信息通过无线网络平台进行 传输时，信息的安全性相当脆弱。而且在推进 物联网应用中还存在着许多困难。如物联网建 设标准的统一问题 ；知识产权保护问题 ；突破 法律边界的问题等。就物联网的感知层面临的 主要威胁有安全隐私、智能感知节点的自身安 全、各类网络攻击、信息安全等。（三）信息安全保障体系的建立信息系统的安全问题已经涉及到国家安 全、社会安全和经济安全，安全保障体系的建 设是网络和信息系统建设中非常关键的一步。 随着智慧城市建设的展开，特别是各应用项目 如智慧旅游的推进，网络和信息受到的安全挑 战越来越多。如何保障建设智慧城市过程中的 信息安全，是摆在政府和企业面前的一项的任 务。随着信息技术的发展与应用，信息安全的 所涵盖的内容不断增加，所涉及的范围不断扩 大，从最初的信息保密性发展到信息的完整性、 可用性、可控性和不可否认性，进而又发展为 “攻（攻击）、防（防范）、测（检测）、控（控 制）、管（管理）、评（评估）”等多方面的基础 理论和实施技术。伴随着智慧城市概念的提出，信息安全建 设的要求发生很大的变化，所以我们必须以发 展的眼光，积极探索新思路、新技术、新对策， 新机制。力争建立一个统筹兼顾、举措得力、 与智慧城市协调发展的新型的安全体系。信息安全已经不单是一个技术问题、一个 业务工作问题，也不仅是信息化本身的问题， 而是上升为事关国家经济安全、社会稳定的全 局性战略问题，关系到信息化的健康发展、关系到智慧城市建设的成败。是国家安全的重要 组成部分。必须从促进经济发展、维护社会稳 定、保障国家安全、加强精神文明建设的高度， 充分认识加强信息安全保障工作的极端重要性， 增强做好这项工作的紧迫感、责任感和自觉性。 多个部门通力合作是我国信息安全管理工作的 特色，也是许多问题的解决关键。从全局的角 度思考信息安全的根本所在主要表现在以下四 个方面 ：信息安全涵盖内容极为广泛，从物理安 全、网络安全、系统安全一直到应用安全、数 据安全、安全管理、安全组织等等。凡是影响 业务正常运行和业务连续性的都可以说是信息 安全问题。安全保障是个系统化工程，各要素之间 存在紧密联系，互相依赖，牵一发而动全身，典 型地符合木桶原理性质。安全保障是个长期性的工作，伴随着信 息系统整个生命周期，是一个不断实施、检查 和改进的过程。安全保障除了耗费人力财力，还会损失 易用性，降低效率。所以要考虑信息安全要求 和资金人力投入的平衡，控制安全的成本。智慧旅游是智慧城市建设的不可或缺的一部分，对于智慧旅游的信息安全保障体系的建 立与智慧城市是相同的，其出发点应该遵循“坚 持积极防御，综合防范的方针，全面提高信息 安全防护能力 ；重点保障基础信息网络和重要 信息系统安全 ；创建安全健康的网络环境，保 障和促进信息化发展，保护公众利益，维护国 家安全”的既定方针，确立信息安全保障体系 的总体思路。从发展与安全、成本与风险、防 护与反击、培训与自律、技术与管理等五个方 面综合考虑，制定安全策略。中国旅游业“十二五”发展规划信息化专 项规划中提出 ：“加强旅游信息化的安全保 障。构建信息安全基础环境，逐步建立以身份 认证、授权管理等为主要内容的旅游信息安全 保障体系。开展对重点领域、重点区域旅游信 息化系统的容灾体系建设，确保特殊情况下各 项关键业务的不间断运行。加强对旅游行业人 员的信息安全培训，提高信息安全意识和安全 防范水平。”因此，对于智慧旅游信息安全保障 体系建设，首先要加强态势的研判、预警、预 测和持续战略性研究 ；在管理与技术并重的思 路下，坚持自主可控的国际合作原则。因为信 息安全保障能力的提高，不能仅仅依靠一国之 力，需要世界范围的共同合作。但要以我为主，立足国情，跟踪国际国内信息化发展的 新情况，特别是智慧旅游建设带来的新 技术、新业务、新应用的具体开展情况。 其次要对信息安全的理念、法律制度、 管理体制机制大力创新。坚持开放合 作、综合治理的原则。信息安全保障体 系的建设同样离不开政府与企业、全社 会每个人的互动，这样才能在智慧城市 这个大系统中，逐步建立、完善和提高 信息安全保障能力以及响应的应急处理 能力。第三是要重视对信息安全的治理 工作，这是解决信息安全问题的一个重 要方法。面对信息安全繁杂而庞大的系 统，如果缺少理论层面上对信息安全保 障体系建设的全流程管理，仅仅是按照 线性的、彼此完全分割的方式考虑其总 体设计，会造成只有任务分解，没有综 合集成。这样就不能随着过程、环境 的变化而不断调整各类应急处理预案， 就无法完成信息安全保障体系的基本 任务。智慧旅游信息安全保障体系的建 立与管理是一个目标叠加的过程，是在不断发展变化的国际国内环境、法律法 规环境、体制机制环境和技术发展环境 中进行的，是一个动态的、闭环的风险 管理过程。要想真正取得效果，必须在 评估、防护、监管、响应到恢复各环节 上，从上到下地参与和重视，否则只能 流于形式与过程，起不到整整有效的安 全控制的目的和作用。要保持一个完善 的安全体系与管理机制，就要不断地发 展、不断地修正，这个过程要贯穿于信 息系统生命周期，并且随着每个阶段工 作重点的不同，要求也不同。智慧旅游的保障体系南京智慧旅游的顶层设计与实现 路径，必须要有科学合理的保障体系和 构架，特别需要构建能够体现权威领导 力和超强执行力的运作平台，战略层面 要登高望远，目标合理 ；实施层面要科 学有效，推进有序 ；组织层面要高层运 筹，协调一致。我们认为，以下几方面 是南京智慧旅游保障体系中的关键环 节，应该充分重视，力求完善。（一）规划引领，组织保障要强化规划的引领和指导作用，高 度重视规划对旅游产业转型升级和全面 科学发展的引领作用，进一步完善旅游 规划体系。根据中国旅游“十二五”发 展规划信息化专项规划，组织力量编制 智慧旅游发展的中长期战略和规划。认 真执行南京旅游产业十二五规划，树 立国际视野，着眼未来，以深化创新为 动力，以项目落实为抓手，大力应用包 括云计算、物联网等信息新技术在内各 种信息化手段，整合资源，优化空间布局， 全面推进旅游产业优化布局和提升能级。智慧旅游建设是智慧城市建设的 重要组成部门，是一项复杂的社会系统 工程，离不开高效和强有力的组织和领 导体系。组建由主要领导挂帅的智慧旅 游建设领导小组，其职能包括 ：一是研 究拟定智慧旅游发展战略、方针政策、 总体规划和发展计划。二是制订智慧旅 游地方标准和建设规范。三是加快建设 智慧旅游的相关综合立法工作，组织拟 定相应的政策、法规和规章。（二）加大政策扶持力度加强智慧旅游建设的统一领导和宏观决策， 建立有利于发挥信息化重要作用、分工合理、 责任明确的智慧旅游体制 ；加强智慧旅游主管 机构的组织建设，强化统筹协调职能，促进国 家与地方之间、各地方之间智慧旅游工作的协 同配合。积极开展各地各级智慧旅游专项规划 工作，并作为智慧旅游建设的基本纲领 ；加强 对规划实施的跟踪与评估，动态调整智慧旅游 发展目标，适应“十二五”期间旅游产业发展 大局需要。采取更加积极的扶持政策，加大旅游专项 投入 ；采取更加灵活的招商方式，营造更为宽 松的投资环境，引导更多的国内外资金投入旅 游业 ；加强对重点旅游企业的扶持 ；加大对旅 游人才的培训力度 ；加大为旅游业发展做出突 出贡献的单位和个人的奖励力度。1、旅游项目建设用地政策保障。 年度土地供应应适当增加旅游产业发展用地，对纳入城市旅游产业发展规划的重点旅游 项目用地给予优先支持。积极支持利用荒地、 荒坡、荒滩等开发旅游项目。支持农村集体经 济组织和村民利用集体建设用地开发旅游项目， 充分利用农村土地流转政策，合理利用农用土 地开发乡村旅游。2、金融政策保障。 对符合旅游市场准入条件和信贷原则的智慧旅游项目，要加大多种形式的融资授信支持。 进一步完善旅游企业融资担保等信用增强体系， 加大各类信用担保机构对智慧旅游项目的担保 力度。积极推进金融机构和旅游企业开展多种 方式的业务合作，探索开发适合旅游消费需要 的金融产品。为智慧旅游的建设与发展提供优 良的资金环境。3、智慧旅游建设中的企业税费政策保障。 为促进智慧旅游的发展，不但要针对旅游企业用水、用电、用气价格，营业税、所得税、 土地使用税，以及广告费、排污费尤其是智慧 旅游这个大系统的研发中相关费用，加大政策 支持力度。允许旅行社参与政府采购和服务外包。在鼓励社会资本进入旅游领域，积极引进 国内外战略投资者方面给予加大政策支持。（三）创新旅游产业发展机制 1、创新资源管理机制 坚持政府为主导，市场为导向，以资源的旅游功能最佳化和经济效益最大化为目标，积 极探索建立包括改革资源管理，优化资源配置， 强化资源保护，加大资金投入的旅游资源管理 机制改革的新路径。2、完善部门协调机制 一是建立重大旅游建设项目会商机制。提高旅游部门在重大旅游项目建设上的参与度和 决策力 ；二是成立城市旅游事业管理部门，充 分发挥其指导作用，进一步加强该管理部门的 职能和协调机制，统一规划、协调、指导城市 旅游产业加快发展。3、建立旅游产业政策引导机制 以旅游产业政策带动和指导相关产业整合，规范和引导市场，促进旅游企业集团化，并进 行政策扶持和倾斜，推进公共平台建设，提供 公共产品和创新保护，加强监管力度等。4、健全资源保护机制 健全旅游资源保护与管理制度，强化对全市重要旅游资源、的保护措施。对郊区县旅游资源要 重点保护，避免在郊区县加快工业化进程中所产生 的人为破坏。5、健全安全保障机制 旅游安全是旅游业的生命线。可以说没有安全也就没有旅游业。国务院 2009 年 12 月办法的关 于加快发展旅游业的意见着重强调建立健全旅游 安全保障机制。完善紧急救援体系和应急处置机制 建设，增强应急处理能力已是政府、旅游业及旅游 研究人员搞定一致的共识。（四）延长旅游产业链加强旅游与文化、商贸、交通、会展、体 育等产业的互动，大力推动文化娱乐、会展体育、 文博场馆等各种公益型、福利型单位向开放型、 经营型转变，加强社会资源与旅游业的优化配 置，实现城市公共设施向旅游产品的有效转化， 打造资源共享、设施公用、信息互通、功能互补的旅游大产业格局，提升城市对旅游 产业发展的支撑。（五）完善旅游相关法律法规建设在现有旅游行政规章的基础上， 加快推进城市智慧旅游综合立法工作， 规范、保障、引导旅游资源开发与保护、 旅游产业运行、旅游市场秩序维护、旅 游监管体制建立与运行以及公园 / 景区 日常管理。（六）扩大资金投入设立信息化发展专项基金，加大 对智慧旅游建设重点领域、重点项目 的投资力度，加强资金使用的统筹管 理与监督审核，提高智慧旅游资金的 使用效率 ；建立和完善与智慧旅游发 展相关的法律法规，围绕旅游市场整 体需要，加强对信息资源管理、信息 资源共享、公共信息服务、旅游电子 商务等领域的法律制度研究 ；加快制 定促进智慧旅游发展的激励政策，加 大政策扶持力度，鼓励各地方结合实际 开展各具特色的政策实践，形成推动智 慧旅游发展的政策环境。智慧旅游是一个庞大的系统，它 的建设需要大量资金。一方面，需要财政安排相应专项资金，用于智慧旅 游若干重点旅游建设项目、相关标准 建立和政府购买服务，重点企业培育、 人才引进和培养。另一方面，要充分 调动社会各方积极性，鼓励各部门、 企业和个人参与智慧旅游建设，采取 政府导向投入和市场机制运行方式筹 措资金。建立和完善多元化投入机制， 形成政府投资、外资和民间资本等多 渠道投融资体制，按照“政府主导、 企业运作”的基本原则，有效、有序 地推进智慧旅游建设。（七）加强人才培养和引进目 前，国 家、城市之间的竞 争， 归根结底是人才的竞争，谁先拥有高科 技技术人才、现代化管理人才，谁就能 在智慧旅游建设这场科技大冲浪中占据 优势，立于不败之地。制定和完善智慧旅游人才的培养 与引进政策 ；激励和引导有条件的高等 院校建立智慧旅游相关专业，培养专业 素质高、综合能力强、社会适应性强的 人才 ；积极探索与高等院校的人才定向 合作与培养模式，为各级智慧旅游机构 输送高层次人才 ；积极推动以政府为主导、以企业为主体、以大学为人才培养 基地、以研究机构为技术创新主要场所 的智慧旅游“四位一体”创新体系建设； 鼓励各级各类教育培训机构开展旅游行 业从业人员的信息化知识和信息化技能 培训。人才是