智慧城市安全体系框架

智慧城市安全体系框架智慧城市安全体系框架以安全保障措施为视角，从智慧城市安全战略保障、智慧城市安全技术保障、智慧城市安全管理保障、智慧城市安全建设运营保障和智慧城市安全基础支撑五个方面给出了智慧城市安全要素，如图1所示。智慧城市安全体系框架智慧城市安全战略保障智慧城市安全战略保障要素包括国家法律法规、政策文件及标准规范。通过智慧城市安全战略保障可以指导和约束智慧城市的安全管理、技术与建设运营活动。智慧城市安全管理保障智慧城市安全管理保障是实现智慧城市协调管理、协同运作、信息融合和开放共享的关键。本标准参考了信息安全管理体系并结合智慧城市特征，梳理出智慧城市安全管理要素，包括决策规划、组织管理、协调监督、评价改进。智慧城市安全技术保障智慧城市安全技术保障以建立城市纵深防御体系为目标，从物联感知层、网络通信层、计算与存储层、数据及服务融合层以及智慧应用层五个层次采用多种安全防御手段实现对系统的防护、检测、响应和恢复，以应对智慧城市安全技术风险。智慧城市安全技术保障的功能要素包括防护、检测、响应和恢复。物联感知层安全涉及了关键信息基础设施领域，例如，天气、水、电、气、交通、建筑等重要控制系统中感知设备和执行设备的安全。感知设备安全是保证智慧城市应用于实现基础设施、环境、设备和人员的识别和信息采集与监控的设备，保证信息采集安全，实时为上层提供准确感知数据。执行设备安全是保证应用于智慧城市的基础设施、环境、设备和人员等要素管理和控制过程的执行设备按照既定的指令提供正常的功能。网络通信层安全包含了互联网、电信网、卫星通信网络以及多网融合的网络设施和通信传输的安全，还包含了智慧城市用户网络接入安全。计算与存储层安全包括计算资源安全、软件资源安全以及存储安全。计算资源安全是指可提供数据计算能力物理的计算机、服务器设备和虚拟化安全。软件资源安全是指可为上层数据和应用提供公共服务能力的基础软件，包括操作系统、数据库系统、中间件和资源管理软件等的安全。存储资源安全是指可提供物理和虚拟的数据存储和数据保护能力的服务器安全。数据及服务融合层安全包含了数据内容安全、数据融合安全和服务融合安全。数据内容安全是指不同行业数据信息内容本身的安全。数据融合安全是指数据融合过程中从数据采集与汇聚、数据整合与处理、数据挖掘与分析、数据管理与治理过程的安全。服务融合安全是指支撑智慧城市应用的基础技术服务在融合过程中包括服务聚集、服务管理、服务整合和服务使用的安全。智慧应用层安全包含了智慧城市中多领域和产业的应用系统的安全、应用软件、网站安全、应用开发安全等。智慧城市安全建设运营保障智慧城市安全建设运营保障是指对智慧城市关键信息基础设施中系统和网络、城市信息资产、智慧城市公共基础信息平台以及业务安全工程建设以及运行状态的监测与维护。确保在智慧城市建设运营过程中智慧城市基础设施、智慧城市信息平台、应用系统及其运行环境和状态发生变化时，制定智慧城市网络安全风险接受准则，识别风险和控制优先次序，指导对保护对象进行风险评估。风险接受准则中宜包含具体保护对象名称和组成单元、保护对象的价值以及智慧城市运转的关键程度、必要的保护措施、与保护对象相关的组织和人员、安全风险等级、发生安全事件的影响、安全事件处理的规程、法律要求与责任等。依据风险评估准则，定期组织开展智慧城市安全风险评估活动。应确定评估范围、目标、工具、方法、类别和内容等，形成评估报告。应能深度、系统地分析城市基础网络和信息系统的威胁。应能通过风险评估分析识别风险项，划分风险等级。应能根据评估结果，采取针对性的和必要的措施，将风险降低到城市可接受的水平，达到控制风险的目的。依据智慧城市安全总体规划与目标，制定涵盖智慧城市安全建设、管理、验收与运营的策略与规程，提出符合全局发展的、系统性的设计要求，并在相关角色和人员中发布和传达，以指导智慧城市建设、验收和运营，推动智慧城市安全措施的实施。建立智慧城市安全管理组织机构，组建智慧城市安全领导小组，按照安全角色和职责配置人员，明确智慧城市安全管理责任人，制定岗位责任制度。指定智慧城市安全规划、建设、验收和运营相关部门负责人，明确重要岗位责任，制定智慧城市安全相关角色的重要岗位人员的招聘、录用、调岗、离岗、考核、选拨等管理制度，明确责任和要求。智慧城市安全相关部门负责人、智慧城市安全相关角色的重要岗位人员在录用前应进行背景调查，以符合相关的法律、法规和道德要求，录用时签订保密协议。对造成重大智慧城市安全事件和严重影响的人员给予处罚或处分，并进行书面记录。制定具体的智慧城市安全管理制度与规程，例如，智慧城市技术相关的安全（系统、网络、数据、应用等）策略与制度、工程建设安全策略与流程、系统开发策略与制度、病毒防护等策略与制度、智慧城市安全追责制度等。建立智慧城市安全协调管理和监督机制，指定跨部门协调管理的负责部门和负责人，负责跨部门、跨领域、跨组织的沟通协调工作。储备安全专业人才，对相关人员制定之针对性的智慧城市安全培训计划，并对培训计划和内容定期审核更新，包括专业技术技能、安全管理和运营、安全意识培训，对培训结果进行考核、评价、记录和归档。针对已发生的安全事件加强宣传教育，对教育结果进行考核、评价、记录和归档。落实在智慧城市安全建设、验收和运营方面重大项目的资金支持。定期或在智慧城市安全规划和策略变更时，及时审核并更新智慧城市安全管理的制度和流程。建立智慧城市安全检查、评估、认证和调查取证机制，落实智慧城市安全重点领域的安全检查活动，按照“谁主管，谁负责”、“谁运营，谁负责”落实安全责任制原则，落实岗位责任制，评估安全相关部门和负责人。参考GB/TCCCCC.1—CCCC《智慧城市评价模型及基础评价指标体系第1部分：总体框架》等相关标准和GB/T33356—2016国家新型智慧城市评价指标，开展定期评估和智慧城市安全建设评价工作，检查各项指标达成情况，并对评价结果进行统计分析。参考GB/T22239—201X《信息安全技术信息系统安全等级保护基本要求》等相关标准开展安全要求实施的测评和验收工作。对不符合智慧城市安全评估标准的指标进行调查分析，给