智慧城安全体系框架

1、智慧城市安全体系框架3/131智慧城市安全体系框架智慧城市安全体系框架以安全保障措施为视角，从智慧城市安全战略 保障、智慧城市安全技术保障、智慧城市安全管理保障、智慧城市安全建 设运营保障和智慧城市安全基础支撐五个方面给出了智慧城市安全要素， 如图1所示。智慧城市安全战略保障法律法规 政策文件标准规范J智艺城市安全技术保隍决策规划数抵内客安全组织管理协调监君评价改逬智慧城市安全 管理保陲智茶层应用安全成用飲件安全| |应用系统安全” |线烯安全11 Web安全| 技术功能要素数据与服务融合层安全计算与存储层安全合安全计貰基础设範安幻|枚件安全|存储安全网络通信层安全|网恪设爸安全|网培伎缺支全

2、| |通倍线路安全|物联感知层安全!知设爸安全.丿入安全执行设爸安全智鶯城市安全基础支挣基础安全技术支撐防护检测响应基础安全服务支撑智頤城市安全 建设运营保隍、图1智慧城市安全体系框架a）智慧城市安全战略保障智慧城市安全战略保障要素包括国家法律法规、政策文件及标准规 范。通过智慧城市安全战略保障可以指导和约束智慧城市的安全管理、技 术与建设运营活动。b）智慧城市安全管理保障智慧城市安全管理保障是实现智慧城市协调管理、协同运作、信息融 合和开放共享的关键。木标准参考了信息安全管理体系并结合智慧城市特 征，梳理出智慧城市安全管理要素，包括决策规划、组织管理、协调监 督、评价改进。C）智慧城市安全技

3、术保障智慧城市安全技术保障以建立城市纵深防御体系为目标，从物联感知 层、网络通信层、计算与存储层、数据及服务融合层以及智慧应用层五个 层次采用多种安全防御手段实现对系统的防护、检测、响应和恢复，以应 对智慧城市安全技术风险。智慧城市安全技术保障的功能要素包括防护、 检测、响应和恢复。物联感知层安全涉及了关键信息基础设施领域，例如，天气、水、 电、气、交通、建筑等重要控制系统中感知设备和执行设备的安 全。感知设备安全是保证智慧城市应用于实现基础设施、环境、设 备和人员的识别和信息采集与监控的设备，保证信息采集安 全，实时为上层提供准确感知数据。执行设备安全是保证应用于智慧城市的基础设施、环境、设

4、备 和人员等要素管理和控制过程的执行设备按照既定的指令提供 正常的功能。网络通信层安全包含了互联网、电信网、卫星通信网络以及多网融 合的网络设施和通信传输的安全，还包含了智慧城市用户网络接入 安全。计算与存储层安全包括计算资源安全、软件资源安全以及存储安全。计算资源安全是指可提供数据计算能力物理的计算机、服务器 设备和虚拟化安全。软件资源安全是指可为上层数据和应用提供公共服务能力的基 础软件，包括操作系统、数据库系统、中间件和资源管理软件 等的安全。存储资源安全是指可提供物理和虚拟的数据存储和数据保护能 力的服务器安全。数据及服务融合层安全包含了数据内容安全、数据融合安全和服务 融合安全。数据

5、内容安全是指不同行业数据信息内容本身的安全。数据融合安全是指数据融合过程中从数据采集与汇聚、数据整 合与处理、数据挖掘与分析、数据管理与治理过程的安全。服务融合安全是指支撐智慧城市应用的基础技术服务在融合过 程中包括服务聚集、服务管理、服务整合和服务使用的安全。智慧应用层安全包含了智慧城市中多领域和产业的应用系统的安 全、应用软件、网站安全、应用开发安全等。d）智慧城市安全建设运营保障智慧城市安全建设运营保障是指对智慧城市关键信息基础设施中系统 和网络、城市信息资产、智慧城市公共基础信息平台以及业务安全工程建 设以及运行状态的监测与维护。确保在智慧城市建设运营过程中智慧城市 基础设施、智慧城市

6、信息平台、应用系统及其运行环境和状态发生变化 时，为维持智慧城市各项业务正常运行所采取的一系列响应和恢复活动。 智慧城市安全体系框架智慧城市安全建设运营保障要素包含建设实施、应急预案演练、监测预 警、应急处置和灾难恢复。e）智慧城市安全基础支撐智慧城市安全基础支撐是由智慧城市的安全技术支撐和智慧城市安全 服务支撐。安全技术支撐包括密码管理、身份管理和时间同步等。安全服 务支撑包括产品和服务的资质认证、安全评估、检测以及咨询服务支撐 等。2智慧城市安全战略保障2.1要素2.1.1法律法规智慧城市安全规划、建设、验收和运营活动应遵循国家法律法规的要 求。2.1.2政策文件智慧城市安全规划、建设、验

7、收和运营活动应以智慧城市相关的政策 文件为指导。2.1.3标准规范智慧城市安全标准规范可以作为政府和管理部门提供管理、监督指导 规范，也可以为安全规划、建设、验收和运营提供技术规范和要求准则。2.2功能要求智慧城市的战略保障应满足下列要求：a）依据国家法律法规的基木要求，对智慧城市安全规划、建设、验收 和运营的相关方的安全活动进行约束、规范、监督和责任界定。b）以国家政策文件为指导，制定安全总体规划，制定详细的策略规程 和制度，实施安全建设，开展智慧城市安全验收和安全运营活动。C）按照法律法规和政策文件规定，协调解决跨部门、跨行业时，智慧 城市安全规划、建设、验收和运营过程中的矛盾。d）能通过

8、在智慧城市安全规划、建设、管理、验收和运营实践过程中 的经验，促进相关法律法规、政策文件和相关标准的制定、更新或 修订工作。e）以法律法规、政策文件和国家标准为指导，开展具有区域特征、行 业特性的智慧城市安全标准规范和指南工作等。f）按照智慧城市相关信息安全标准，开展智慧城市安全项目的规划、 建设，验收和运营活动，研究、开发设计智慧城市安全相关的产品 和服务。3智慧城市安全管理保障3.1要素3.1.1决策规划相关方应以国家法律法规、政策文件和标准规范为指导，基于风险评 估活动识别城市安全风险，制定符合智慧城市发展的总体规划和策略，规 划安全组织架构，并在相关人员中充分传达。应识别关键信息基础设

9、施、 数据资产和智慧城市安全应用服务方而的重大风险，判断安全事件发生的 概率以及可能造成的损失，制定智慧城市安全风险应对策略和机制。总体 规划涉及安全风险评估、安全管理、安全技术与产品和安全建设运营等方 而。3.1.2组织管理相关方应围绕智慧城市安全规划的目标和策略，制定安全管理制度并 组织实施，进行安全组织建设和人员管理，组织开展安全意识培训和技术 培训活动，对智慧城市安全建设项目给予资源支持。3.1.3协调监督相关方应统筹协调智慧城市安全工作，处理各部门之间的矛盾，充分 沟通，监督智慧城市安全活动，制定相关监督、检查和评估机制，围绕智 慧城市安全规划目标，以国家法律法规、政策文件和标准规范

10、为指导，定 期组织开展安全评估、测试工作，对智慧城市安全相关角色、责任及活动 开展监督和检查工作。3. 1.4评价改进相关方应通过智慧城市安全建设和运营的经验，向决策者上报安全事 件，促进总体规划和策略的改进。3.2功能要求智慧城市安全管理基于风险的安全管理模式，应参考GB/T 22080- 2013信息技术安全技术信息安全管理体系要求和GB/T 22081 2008信息技术安全技术信息安全管理实用规则提出相关要求，确保 智慧城市具有可持续的安全管理能力，有助于智慧城市安全风险管理和控 制。智慧城市安全管理应满足下列要求：a）制定智慧城市安全总体规划，设计安全总体框架，明确智慧城市安 全保障对

11、象和智慧城市安全目标，分发至智慧城市安全相关角色与 人员。b）制定智慧城市网络安全风险接受准则，识别风险和控制优先次序， 指导对保护对象进行风险评估。风险接受准则中宜包含具体保护对 象名称和组成单元、保护对象的价值以及智慧城市运转的关键程 度、必要的保护措施、与保护对象相关的组织和人员、安全风险等 级、发生安全事件的影响、安全事件处理的规程、法律要求与责任 等。C）依据风险评估准则，定期组织开展智慧城市安全风险评估活动。应确定评估范围、目标、工具、方法、类别和内容等，形成评估报 告。应能深度、系统地分析城市基础网络和信息系统的威胁。应能通过风险评估分析识别风险项，划分风险等级。应能根据评估结果

12、，采取针对性的和必要的措施，将风险降低到城 市可接受的水平，达到控制风险的目的。d）依据智慧城市安全总体规划与目标，制定涵盖智慧城市安全建设、 管理、验收与运营的策略与规程，提出符合全局发展的、系统性的 设计要求，并在相关角色和人员中发布和传达，以指导智慧城市建 设、验收和运营，推动智慧城市安全措施的实施。建立智慧城市安全管理组织机构，组建智慧城市安全领导小组，按 照安全角色和职责配置人员，明确智慧城市安全管理责任人，制定 岗位责任制度。指定智慧城市安全规划、建设、验收和运营相关部门负责人，明确 重要岗位责任，制定智慧城市安全相关角色的重要岗位人员的招 聘、录用、调岗、离岗、考核、选拨等管理制

13、度，明确责任和要 求。智慧城市安全相关部门负责人、智慧城市安全相关角色的重要岗位 人员在录用前应进行背景调查，以符合相关的法律、法规和道德要 求，录用时签订保密协议。对造成重大智慧城市安全事件和严重影响的人员给予处罚或处分， 并进行书面记录。e）制定具体的智慧城市安全管理制度与规程，例如，智慧城市技术相 关的安全（系统、网络、数据、应用等）策略与制度、工程建设安 全策略与流程、系统开发策略与制度、病毒防护等策略与制度、智 慧城市安全追责制度等。f）建立智慧城市安全协调管理和监督机制，指定跨部门协调管理的负 责部门和负责人，负责跨部门、跨领域、跨组织的沟通协调工作。g）储备安全专业人才，对相关人

14、员制定之针对性的智慧城市安全培训 计划，并对培训计划和内容定期审核更新，包括专业技术技能、安 全管理和运营、安全意识培训，对培训结果进行考核、评价、记录 和归档。h）针对己发生的安全事件加强宣传教育，对教育结果进行考核、评 价、记录和归档。i）落实在智慧城市安全建设、验收和运营方而重大项目的资金支持。J）定期或在智慧城市安全规划和策略变更时，及时审核并更新智慧城 市安全管理的制度和流程。k）建立智慧城市安全检查、评估、认证和调查取证机制，落实智慧城 市安全重点领域的安全检查活动，按照“谁主管，谁负责”、“谁 运营，谁负责”落实安全责任制原则，落实岗位责任制，评估安全 相关部门和负责人。参考GB/T CCCCC. 1-CCCC智慧城市评价模型及基础评价指标体 系第1部分：总体框架等相关标准和GB/T 333562016国家新 型智慧城市评价指标，开展定期评估和智慧城市安全建设评价工 作，检查各项指标达成情况，并对评价结果进行统计分析。参考GB/T22239