1智慧城市安全体系框架
智慧城市安全体系框架以安全保障措施为视角,从智慧城市安全战略保障、智慧城市安全技术
保障、智慧城市安全管理保障、智慧城市安全建设运营保障和智慧城市安全基础支撑五个方面给出
了智慧城市安全要素,如图1所示。
智慧城市安全战略保障
法律法规政策文件标准规范
智慧城市安全技术保障
智慧城市安全
管理保障
智慧层应用安全
应用软件安全应用系统安全
...
终端安全Web安全技术功能要素
智慧城市安全
建设运营保障
数据与服务融合层安全
决策规划
数据内容安全
数据融合安全
防护
建设实施
应急预案演练
服务融合安全
...
组织管理
计算基础设施安全
计算与存储层安全
软件安全
检测
存储安全
...
监测预警
响应
协调监督
网络设备安全
网络通信层安全
网络传输安全
...
通信线路安全终端接入安全
应急处置
评价改进
物联感知层安全
感知设备安全
恢复
灾难恢复
...执行设备安全
智慧城市安全基础支撑
基础安全技术支撑基础安全服务支撑
图1智慧城市安全体系框架
a)智慧城市安全战略保障
智慧城市安全战略保障要素包括国家法律法规、政策文件及标准规范。通过智慧城市安全战略
保障可以指导和约束智慧城市的安全管理、技术与建设运营活动.
b)智慧城市安全管理保障
智慧城市安全管理保障是实现智慧城市协调管理、协同运作、信息融合和开放共享的关键.本
标准参考了信息安全管理体系并结合智慧城市特征,梳理出智慧城市安全管理要素,包括决策规
划、组织管理、协调监督、评价改进。
c)智慧城市安全技术保障
智慧城市安全技术保障以建立城市纵深防御体系为目标,从物联感知层、网络通信层、计算与
存储层、数据及服务融合层以及智慧应用层五个层次采用多种安全防御手段实现对系统的防护、检
测、响应和恢复,以应对智慧城市安全技术风险。智慧城市安全技术保障的功能要素包括防护、检
测、响应和恢复。
——物联感知层安全涉及了关键信息基础设施领域,例如,天气、水、电、气、交通、建筑等
重要控制系统中感知设备和执行设备的安全.
•感知设备安全是保证智慧城市应用于实现基础设施、环境、设备和人员的识别和信息
采集与监控的设备,保证信息采集安全,实时为上层提供准确感知数据。
•执行设备安全是保证应用于智慧城市的基础设施、环境、设备和人员等要素管理和控
制过程的执行设备按照既定的指令提供正常的功能。
——网络通信层安全包含了互联网、电信网、卫星通信网络以及多网融合的网络设施和通信传
输的安全,还包含了智慧城市用户网络接入安全.
——计算与存储层安全包括计算资源安全、软件资源安全以及存储安全。
•
•
计算资源安全是指可提供数据计算能力物理的计算机、服务器设备和虚拟化安全。
软件资源安全是指可为上层数据和应用提供公共服务能力的基础软件,包括操作系
统、数据库系统、中间件和资源管理软件等的安全。
•存储资源安全是指可提供物理和虚拟的数据存储和数据保护能力的服务器安全。
——数据及服务融合层安全包含了数据内容安全、数据融合安全和服务融合安全。
•
•
数据内容安全是指不同行业数据信息内容本身的安全。
数据融合安全是指数据融合过程中从数据采集与汇聚、数据整合与处理、数据挖掘与
分析、数据管理与治理过程的安全.
•服务融合安全是指支撑智慧城市应用的基础技术服务在融合过程中包括服务聚集、服
务管理、服务整合和服务使用的安全。
——智慧应用层安全包含了智慧城市中多领域和产业的应用系统的安全、应用软件、网站安
全、应用开发安全等.
d)智慧城市安全建设运营保障
智慧城市安全建设运营保障是指对智慧城市关键信息基础设施中系统和网络、城市信息资产、
智慧城市公共基础信息平台以及业务安全工程建设以及运行状态的监测与维护.确保在智慧城市建
设运营过程中智慧城市基础设施、智慧城市信息平台、应用系统及其运行环境和状态发生变化时,
为维持智慧城市各项业务正常运行所采取的一系列响应和恢复活动.智慧城市安全建设运营保障要
素包含建设实施、应急预案演练、监测预警、应急处置和灾难恢复。
e)智慧城市安全基础支撑
智慧城市安全基础支撑是由智慧城市的安全技术支撑和智慧城市安全服务支撑.安全技术支撑
包括密码管理、身份管理和时间同步等。安全服务支撑包括产品和服务的资质认证、安全评估、检
测以及咨询服务支撑等。
2智慧城市安全战略保障
2.1要素
2.1.1法律法规
智慧城市安全规划、建设、验收和运营活动应遵循国家法律法规的要求。
2.1.2政策文件
智慧城市安全规划、建设、验收和运营活动应以智慧城市相关的政策文件为指导。
2.1.3标准规范
智慧城市安全标准规范可以作为政府和管理部门提供管理、监督指导规范,也可以为安全规
划、建设、验收和运营提供技术规范和要求准则。
2.2功能要求
智慧城市的战略保障应满足下列要求:
a)依据国家法律法规的基本要求,对智慧城市安全规划、建设、验收和运营的相关方的安全
活动进行约束、规范、监督和责任界定.
b)以国家政策文件为指导,制定安全总体规划,制定详细的策略规程和制度,实施安全建
设,开展智慧城市安全验收和安全运营活动.
c)按照法律法规和政策文件规定,协调解决跨部门、跨行业时,智慧城市安全规划、建设、
验收和运营过程中的矛盾。
d)能通过在智慧城市安全规划、建设、管理、验收和运营实践过程中的经验,促进相关法律
法规、政策文件和相关标准的制定、更新或修订工作.
e)以法律法规、政策文件和国家标准为指导,开展具有区域特征、行业特性的智慧城市安全
标准规范和指南工作等。
f)按照智慧城市相关信息安全标准,开展智慧城市安全项目的规划、建设,验收和运营活
动,研究、开发设计智慧城市安全相关的产品和服务。
3智慧城市安全管理保障
3.1要素
3.1.1决策规划
相关方应以国家法律法规、政策文件和标准规范为指导,基于风险评估活动识别城市安全风
险,制定符合智慧城市发展的总体规划和策略,规划安全组织架构,并在相关人员中充分传达.应识
别关键信息基础设施、数据资产和智慧城市安全应用服务方面的重大风险,判断安全事件发生的概
率以及可能造成的损失,制定智慧城市安全风险应对策略和机制。总体规划涉及安全风险评估、安
全管理、安全技术与产品和安全建设运营等方面。
3.1.2组织管理
相关方应围绕智慧城市安全规划的目标和策略,制定安全管理制度并组织实施,进行安全组织
建设和人员管理,组织开展安全意识培训和技术培训活动,对智慧城市安全建设项目给予资源支持.
3.1.3协调监督
相关方应统筹协调智慧城市安全工作,处理各部门之间的矛盾,充分沟通,监督智慧城市安全
活动,制定相关监督、检查和评估机制,围绕智慧城市安全规划目标,以国家法律法规、政策文件
和标准规范为指导,定期组织开展安全评估、测试工作,对智慧城市安全相关角、责任及活动开
展监督和检查工作。
3.1.4评价改进
相关方应通过智慧城市安全建设和运营的经验,向决策者上报安全事件,促进总体规划和策略
的改进。
3.2功能要求
智慧城市安全管理基于风险的安全管理模式,应参考GB/T22080-2013《信息技术安全技术
信息安全管理体系要求》和GB/T22081-2008《信息技术安全技术信息安全管理实用规则》提出
相关要求,确保智慧城市具有可持续的安全管理能力,有助于智慧城市安全风险管理和控制。
智慧城市安全管理应满足下列要求:
a)制定智慧城市安全总体规划,设计安全总体框架,明确智慧城市安全保障对象和智慧城市
安全目标,分发至智慧城市安全相关角与人员。
b)制定智慧城市网络安全风险接受准则,识别风险和控制优先次序,指导对保护对象进行风
险评估。风险接受准则中宜包含具体保护对象名称和组成单元、保护对象的价值以及智慧
城市运转的关键程度、必要的保护措施、与保护对象相关的组织和人员、安全风险等级、
发生安全事件的影响、安全事件处理的规程、法律要求与责任等。
c)依据风险评估准则,定期组织开展智慧城市安全风险评估活动。
——应确定评估范围、目标、工具、方法、类别和内容等,形成评估报告.
——应能深度、系统地分析城市基础网络和信息系统的威胁.
——应能通过风险评估分析识别风险项,划分风险等级。
——应能根据评估结果,采取针对性的和必要的措施,将风险降低到城市可接受的水平,达到
控制风险的目的。
d)依据智慧城市安全总体规划与目标,制定涵盖智慧城市安全建设、管理、验收与运营的策
略与规程,提出符合全局发展的、系统性的设计要求,并在相关角和人员中发布和传
达,以指导智慧城市建设、验收和运营,推动智慧城市安全措施的实施。
——建立智慧城市安全管理组织机构,组建智慧城市安全领导小组,按照安全角和职责配置
人员,明确智慧城市安全管理责任人,制定岗位责任制度。
——指定智慧城市安全规划、建设、验收和运营相关部门负责人,明确重要岗位责任,制定智
慧城市安全相关角的重要岗位人员的招聘、录用、调岗、离岗、考核、选拨等管理制
度,明确责任和要求。
——智慧城市安全相关部门负责人、智慧城市安全相关角的重要岗位人员在录用前应进行背
景调查,以符合相关的法律、法规和道德要求,录用时签订保密协议。
——对造成重大智慧城市安全事件和严重影响的人员给予处罚或处分,并进行书面记录。
e)制定具体的智慧城市安全管理制度与规程,例如,智慧城市技术相关的安全(系统、网
络、数据、应用等)策略与制度、工程建设安全策略与流程、系统开发策略与制度、病毒
防护等策略与制度、智慧城市安全追责制度等.
f)建立智慧城市安全协调管理和监督机制,指定跨部门协调管理的负责部门和负责人,负责
跨部门、跨领域、跨组织的沟通协调工作。
g)储备安全专业人才,对相关人员制定之针对性的智慧城市安全培训计划,并对培训计划和
内容定期审核更新,包括专业技术技能、安全管理和运营、安全意识培训,对培训结果进
行考核、评价、记录和归档.
h)针对已发生的安全事件加强宣传教育,对教育结果进行考核、评价、记录和归档。
i)落实在智慧城市安全建设、验收和运营方面重大项目的资金支持.
j)定期或在智慧城市安全规划和策略变更时,及时审核并更新智慧城市安全管理的制度和流
程.
k)建立智慧城市安全检查、评估、认证和调查取证机制,落实智慧城市安全重点领域的安全
检查活动,按照“谁主管,谁负责”、“谁运营,谁负责”落实安全责任制原则,落实岗
位责任制,评估安全相关部门和负责人。
——参考GB/TCCCCC。1—CCCC《智慧城市评价模型及基础评价指标体系第1部分:总体框
架》等相关标准和GB/T33356—2016国家新型智慧城市评价指标,开展定期评估和智慧城
市安全建设评价工作,检查各项指标达成情况,并对评价结果进行统计分析。
——参考GB/T22239—201X《信息安全技术信息系统安全等级保护基本要求》等相关标准
开展安全要求实施的测评和验收工作。
——对不符合智慧城市安全评估标准的指标进行调查分析,给出定性或定量的分析评估报告。
l)总结在智慧城市安全建设、管理、验收和运营汇总的经验和教训,结合检测和评估过程中
的不足,定期审核并修改智慧城市总体安全规划策略、规程与制度,根据分析结果确定优
化和改进措施,建立安全管理和服务优化与改进机制,持续提升智慧城市安全管理和服务
能力。
本文发布于:2022-07-28 17:10:42,感谢您对本站的认可!
本文链接:http://www.wtabcd.cn/falv/fa/82/43379.html
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系,我们将在24小时内删除。
留言与评论(共有 0 条评论) |