GB/T 37971-2019
标准分类号
关联标准
出版信息
相关单位信息
标准简介
标准编号:GB/T 37971-2019
标准名称:信息安全技术 智慧城市安全体系框架
英文名称:Information security technolog -Framework of smart city security system
标准格式:PDF
发布时间:2019-08-30
实施时间:2020-03-01
标准大小:2675K
标准介绍:智慧城市是运用物联网、云计算、大数据、空间地理信息集成等新一代信息技术,促进城市规划、建设、管理和服务智慧化的新理念和新模式,是新一代信息技术创新应用与城市转型发展深度融合的产物,是推动政府职能转变、推进社会管理创新的新手段和新方法,是城市走向绿色、低碳、可持续发展的本质需求
本标准以信息通信技术(ICT)为视角,在参考信息保障技术框架(IATF)、信息安全管理体系(ISMS)、防护/检测/响应/恢复(PDRR)和预警/保护/检测/响应/恢复/反击( WPDRRO)的安全模型网际空间安全指南、关键基础设施网络安全框架、新型智慧城市评价指标体系、智慧城市技术参考框架以及我国信息安全领域标准的基础上,针对智慧城市保护对象和安全目标,从安全角色和安全要素的视角提出了体现智慧城市特点、具有可操作性的安全体系框架。
1范围
本标准给出了智慧城市安全体系框架,包括智慧城市的安全保护对象、安全要素、安全角色及其相互关系。
本标准适用于智慧城市安全的规划、管理、建设、验收和运营,也可为其他智慧城市安全相关标准的制定提供依据和参考
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T25069—2010信息安全技术术语
GB/T29246—2017信息技术安全技术信息安全管理体系概述和词汇
GB/T34678—2017智慧城市技术参考模型
GB/T37043-2018智慧城市术语
标准图片预览
标准内容
ICS35.040
中华人民共和国国家标准
GB/T37971—2019
信息安全技术
智慧城市安全体系框架
Information security technologyFramework of smart city security system2019-08-30发布
国家市场监督管理总局
中国国家标准化管理委员会
2020-03-01实施
规范性引用文件
术语和定义
缩略语
智慧城市安全概述
智慧城市面临的安全风险
智慧城市安全保护对象
智慧城市安全目标
智慧城市安全体系框架
智慧城市安全角色
智慧城市安全要素
6智慧城市安全战略
智慧城市安全管理
决策规划
组织管理
协调监督
评价改进
8智慧城市安全技术
智慧城市安全建设与运营
工程实施
监测预警
应急处置
灾难恢复
智慧城市安全基础
基础设施
基础服务
附录A(资料性附录)智慧城市安全风险分析·附录B(资料性附录)
智慧城市安全技术要求
附录C(资料性附录)
智慧城市安全技术功能
参考文献
GB/T37971—2019
本标准按照GB/T1.1一2009给出的规则起草。GB/T37971—2019
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本标准起草单位:国家信息中心、中国电子技术标准化研究院,北京天融信网络安全技术有限公司、北京匡恩网络科技有限责任公司、杭州安恒信息技术有限公司、蓝盾信息安全技术有限公司、中国电子科技网络信息安全有限公司、启迪国信科技有限公司、电信科学技术研究院有限公司、中电长城网际系统应用有限公司、东软集团股份有限公司、华为技术有限公司、陕西省信息化工程研究院、普天信息技术有限公司、北京赛博兴安科技有限公司、北京知道创宇信息技术有限公司、山西百信信息技术有限公司、浙江省经济信息中心、陕西省网络与信息安全测评中心、中国互联网络信息中心、河南山谷网安科技股份有限公司、深信服科技股份有限公司、成都亚信网络安全产业技术研究院有限公司、北京京航计算通讯研究所、北京奇安信科技有限公司、北京创原天地科技有限公司、北京启明星辰信息安全技术有限公司、中国平安保险(集团)股份有限公司本标准主要起草人:张大江、毕晓宇、吕欣、韩晓露、李阳、王惠莅、范科峰、李娜、闵京华,毕钰、武传坤、周俊、石金、黄敏、雷晓锋、张勇、汤琦、刘汪洋、周晨松、许博希、陆宝华、陆希、叶润国、翟胜军、吴前锋、何山、王勃艳、傅瑜、左洪强、陈杨国、曾志峰、郭颖、朱晓鑫、李怡、杨向东、尚高峰、徐业礼、罗翔、刘东红、陈光杰、肖青海、张明敏、王峰、安高峰、蔡伟GB/T37971—2019
智慧城市是运用物联网、云计算、大数据、空间地理信息集成等新一代信息技术,促进城市规划、建设、管理和服务智慧化的新理念和新模式,是新一代信息技术创新应用与城市转型发展深度融合的产物,是推动政府职能转变、推进社会管理创新的新手段和新方法,是城市走向绿色、低碳,可持续发展的本质需求
本标准以信息通信技术(ICT)为视角,在参考信息保障技术框架(IATF)、信息安全管理体系(ISMS)、防护/检测/响应/恢复(PDRR)和预警/保护/检测/响应/恢复/反击(WPDRRC)的安全模型、网际空间安全指南、关键基础设施网络安全框架、新型智慧城市评价指标体系、智慧城市技术参考框架以及我国信息安全领域标准的基础上,针对智慧城市保护对象和安全目标,从安全角色和安全要素的视角提出了体现智慧城市特点、具有可操作性的安全体系框架。IV
1范围
智慧城市安全体系框架
信息安全技术
GB/T37971—2019
本标准给出了智慧城市安全体系框架,包括智慧城市的安全保护对象、安全要素、安全角色及其相互关系。
本标准适用于智慧城市安全的规划、管理、建设、验收和运营,也可为其他智慧城市安全相关标准的制定提供依据和参考
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T25069—2010信息安全技术术语GB/T29246一2017信息技术安全技术信息安全管理体系概述和词汇GB/T34678—2017
智慧城市技术参考模型
3智慧城市术语
GB/T37043—2018
3术语和定义
GB/T25069一2010,GB/T292462017和GB/T370432018界定的以及下列术语和定义适用于本文件。
智慧城市安全smartcitysecurity在智慧城市中对信息的保密性,完整性和可用性的保持,以及依此提供的应用与服务的安全3.2
critical information infrastructure关键信息基础设施
公共通信和信息服务、能源、交通,水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的信息设施。3.3
智慧城市安全角色
smart city security role
参与智慧城市安全活动的相关方。3.4
智慧城市安全决策者smartcitysecuritydecisionmaker负责智慧城市安全战略规划和关键策略决策的实体3.5
智慧城市安全管理者smartcity securityadministraton负责智慧城市信息安全组织建设、机制建设,以及协调监督的实体。3.6
智慧城市安全建设者
smart city security implementor负责智慧城市信息安全工程实施,部署智慧城市安全技术防护措施的实体。1
GB/T37971—2019
智慧城市安全运营者smartcitysecurityoperator负责智慧城市安全事件的监测,预警,响应和恢复的实体3.8
智慧城市服务提供者smartcityserviceprovider通过利用各种技术提供智慧城市产品和服务的实体3.9
智慧城市服务使用者
smart city service user
使用智慧城市产品和服务的实体。注:智慧城市服务使用者包括政府部门、团体机构、企事业单位和个人。4缩略语
下列缩略语适用于本文件。
API:应用程序编程接口(ApplicationProgrammingInterface)APT:高级持续性威胁(AdvancedPersistentThreat)ICT:信息通信技术(InformationCommunicationsTechnology)Web:全球广域网(WorldWideWeb)5智慧城市安全概述
5.1智慧城市面临的安全风险
智慧城市涵盖多个行业和多种信息系统,要素复杂、应用多样、相互作用、不断演化,具有设备泛在、数据异构,系统异构、应用异构、海量数据、数据汇聚与融合、数据跨域共享、高度协调运作等特征。这些特征使得智慧城市较之传统的信息系统面临更为复杂的安全风险。智慧城市安全的风险分析参见附录A。其中,A.3分析了智慧城市在物联感知层、网络通信层、计算与存储层、数据及服务融合层和智慧应用层所面临的安全技术风险。
5.2智慧城市安全保护对象
智慧城市安全保护对象分为硬件设备、信息系统、数据资产和应用与服务。硬件设备是智慧城市中具有独立工作能力的信息采集或处理设备,包括为智慧城市提供感知数据的终端设备、控制调节设备、通信设备、信息展示设备、服务终端等。信息系统涉及关键信息基础设施以及为智慧城市提供智慧应用服务的系统与网络,包括城市公共通信、广播电视传输等基础信息网络,能源、金融、交通、教育、科研、水利、工业制造、医疗卫生、社会保障、公用事业等领域的信息系统,国家机关的信息系统,以及互联网应用系统等。智慧城市中的信息系统共享资源和能力(服务器,终端设备,网络,数据,应用等),通过信息系统的持续,有效运行为各类用户提供应用与服务。
数据资产是智慧城市网络收集,存储、传输、处理和产生的各种电子数据。应用与服务是智慧城市服务提供者提供的应用程序和技术服务,包括智慧城市公共支撑与服务平台,各应用系统为智慧城市或其他应用系统提供的数据共享服务,以及智慧城市信息系统的数据服务和计算服务等。
5.3智慧城市安全目标
GB/T37971—2019
围绕智慧城市安全保护对象,智慧城市安全决策者、智慧城市安全管理者、智慧城市安全建设者、智慧城市安全运营者,智慧城市服务提供者和智慧城市服务使用者等安全角色相互协作,实现以下安全目标:
保证智慧城市信息系统安全运行,尤其是保证关键信息基础设施的可用性和可靠性;a
保证政府部门、企事业单位、社会组织及个人的数据的真实性、保密性、完整性和可用性;保证智慧城市应用和服务的可用性、可靠性和可核查性;c)
保证智慧城市数据资产的真实性、保密性、完整性、可用性和可靠性;d)
保证智慧城市整体安全的合理性、鲁棒性和可扩展性。e)
5.4智慧城市安全体系框架
智慧城市安全体系框架是实现智慧城市安全目标的参考模型,由智慧城市的安全保护对象,安全要素,安全角色及其相互关系组成,如图1所示。其中,安全要素包含安全战略,安全管理,安全技术,安全建设,安全运营和安全基础等方面。在智慧城市安全体系框架中,智慧城市安全角色履行各自职责,协同配合,满足安全要素的要求以保证智慧城市安全智慧城市各安全角色的活动都受智慧城市安全战略指导和药束。智慧城市安全决策者和智慧城市安全管理者为智慧城市服务提供者、智慧城市安全建设者、智慧城市安全运营者提供指导和支持。智慧城市安全建设者实施安全工程建设,监督智慧城市安全工程实施与安全措施部署过程,检查评估、认证智慧城市服务提供者提供的应用和服务,对发现的安全风险与问题,及时向智慧城市安全决策者反馈。
智慧城市安全运营者通过技术手段监测智慧城市信息安全风险和威胁,向智慧城市管理者上报,并采取应急处置措施。
智慧城市服务提供者为智慧城市安全建设和运营提供产品与服务,同时还提供安全维护与技术支持。
智慧城市服务使用者与智慧城市服务提供者进行交互,直接或间接影响智慧城市业务的安全配置、规程,监测、监督,审核和追溯,需要遵循安全管理规则、提升安全意识和接受安全培训3
GB/T37971—2019
法律法规
「指导与药束
智慧城市安全决策者
总体方针制
决感体规划制定
维总体形果制您
城市安全管理
必要资源支持
智慧城市安全管理者
智慧城市
安全基础
组织建设
制度建立
人员管理
教育培训
统筹资源
协训沟通
监督管理
稳查评估
事件上报
机制改进
慧城市安全技术
借思上报
智慧城市安全战略
政策文件
二指导与约束
应用及服务
服务融合
数据资产
计算资调存储资源软件资源
票统资湖
网络设施通信传端接入
通信网络
患如设备
子蒸统1
硬件设备
热行设客
智款城市服务提供者
整城市安全保护对您
安全支撑
智慧城市服务提供者
密钥与证书、身份管理等基础设施防护免费标准bzxz.net
组织实施
标准规范
指导与约束
智慧城市安全建设者
系统及部件采购
集成、组装及安
全保障措施部署
系统测试
智整城市安全运营者
安全运行维护
应款处
安全志势感如
安全事件监控
信息共享通报
应急预案刺定
开展应急演
安全事件上报
应急有应处理
收证与追测
灾难灰难恢复重
恢复点细改进
认证、评估、检测、审查、设计等基础服务智慧城市安全体系框架
智慧城市安全角色
智慧城市安全决策者
智慧城市安全决策者的职责包括但不限于:a)
制定智慧城市安全总体方针;
制定智慧城市安全总体规划;
制定智慧城市安全总体框架;
建立智慧城市安全管理协调组织;承诺必要的资源与资金支持。
智慧城市安全管理者
智慧城市安全管理者的职责包括但不限于:a)
针对智慧城市的异构、共享、跨域服务等特点完善智慧城市安全管理组织架构;制定智慧城市安全管理机制;
制定智慧城市安全人才培养和安全意识教育计划;统筹协调智慧城市安全管理与监督工作;检查、评估智慧城市安全建设与运营工作;定期审核、改进智慧城市安全管理制度和流程;向智慧城市安全决策者报告智慧城市安全事件;g)
GB/T37971—2019
h)为智慧城市安全建设者、智慧城市安全运营者和智慧城市服务提供者提供指导和必要支持,5.5.3智慧城市安全建设者
智慧城市安全建设者的职责包括但不限于:a)
实施智慧城市信息安全工程建设:部署有效的智慧城市安全防护措施;b)
测试智慧城市信息工程建设安全建设方案d
定期对智慧城市安全建设方案进行评审和改进:e)
定期组织并配合主管部门的安全审查。智慧城市安全运营者
智慧城市安全运营者的职责包括但不限于:a)
负责智慧城市安全运行与维护管理:监测智慧城市安全风险,分析安全态势;b)
发现智慧城市安全事件和脆弱性,防范,阻断网络攻击:d)
共享智慧城市安全威胁信息,及时通报智慧城市安全事件;e)
制定、评估并修订智慧城市安全事件应急预案;定期开展智慧城市安全应急演练活动;应急处置智慧城市安全风险与安全事件:及时向上级管理部门报告安全威胁信息与安全事件;h)
实现对恶意行为的取证和追踪溯源:保证灾后城市信息系统快速恢复正常运转状态;有效控制智慧城市安全事件造成的负面影响。k)
5.5.5智慧城市服务提供者
智慧城市服务提供者的安全职责包括但不限于:设计开发安全产品与应用,并提供维护技术服务;a
为智慧城市安全运行提供信息安全基础服务;b)
按照智慧城市安全管理策略部署安全技术措施,包括数据安全共享、跨域安全服务等:协助智慧城市安全建设者进行工程建设,提供安全产品、服务及技术服务支持;d)
协助智慧城市安全运营者完成应急恢复及调查取证,提供安全产品、服务及技术服务支持。5.5.6智慧城市服务使用者
智慧城市服务使用者的安全职责包括但不限于:合理使用智慧城市服务提供者提供的智慧应用和服务:a)
向智慧城市服务提供者反馈合理的安全需求;b)
负责所拥有的信息数据资产的安全管理,支持智慧城市业务安全配置,规程,监测,监督,审核追溯及互操作等安全管理:
d)定期安排具有安全评估资质的机构,对网络、信息系统和设备进行系统性安全评估,根据评估结果进行整改和安全修复;
接受安全培训和指导。
GB/T37971—2019
5.6智慧城市安全要素
智慧城市安全战略是智慧城市安全运行及网络安全治理的基础,指导和约束了智慧城市安全管理技术、建设与运营活动。智慧城市安全战略主要包括法律法规、政策文件及标准规范。智慧城市安全管理是智慧城市安全规划、管理、建设与运营有序进行的前提,为智慧城市安全技术防护提供策略,组织实施智慧城市建设与运营。智慧城市安全管理主要包括决策规划、组织管理、协调监督和评价改进。
智慧城市安全技术是为建立智慧城市纵深防御体系,由智慧城市服务提供者研究、开发和设计的智慧产品和应用,在物联感知层、网络通信层,计算与存储层、数据及服务融合层以及智慧应用层五个层次分别部署安全技术防御措施,为智慧城市管理提供技术支持,为智慧城市建设与运营提供产品和服务,动态应对智慧城市安全风险,确保智慧城市在信息安全保护方面能够较快恢复到原有状态,保持系统结构和功能的能力。
智慧城市安全建设与运营主要包括智慧城市信息安全工程实施和智慧城市安全运营。智慧城市信息安全工程实施是指按照智慧城市安全总体规划和管理要求,实施智慧城市信息系统的开发,采购,集成、组建、配置及测试。智慧城市安全运营是指按照智慧城市安全总体规划和管理要求,对智慧城市信息系统运行状态的维护、监测,对安全事件的报告、应急处置、恢复,确保并维持智慧城市的各项业务安全有序地运行。
智慧城市安全基础为智慧城市安全体系运行提供基础设施和基础服务。智慧城市安全基础设施包括活密钥与证书管理,身份管理,监测预警与通报,容灾备份和时间同步等方面的设施。智慧城市基础服务包括产品和服务的资质认证、安全评估、安全检测、安全审查以及咨询服务等6智慧城市安全战略
智慧城市安全管理、安全技术,安全建设与运营和安全基础应符合法律法规,政策文件和标准规范的要求。智慧城市安全战略应包括但不限于以下要素:a)智慧城市安全治理体系。目的是对智慧城市安全活动参与方的责任进行界定,并对其活动进行约束、规范及监督。
对智慧城市安全管理、安全技术、安全建设与运营和安全基础的政策指导c)
智慧城市安全标准规划。自的是研究,制定并实施具有区域特征,行业特性的智慧城市安全标准。
7智慧城市安全管理
7.1决策规划
智慧城市安全决策者应根据智慧城市面临的安全风险,制定符合智慧城市发展的安全总体规划和策略,明确安全工作机制、安全目标和安全职责。智慧城市安全决策规划包括但不限于以下要素:a)安全总体要求,包括安全目标、安全保护对象等;b)安全治理要求;
关键安全指标与优先级;
安全管理、建设和运营的规划与策略;安全管理协调机制;
安全建设资源规划;
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国国家标准
GB/T37971—2019
信息安全技术
智慧城市安全体系框架
Information security technologyFramework of smart city security system2019-08-30发布
国家市场监督管理总局
中国国家标准化管理委员会
2020-03-01实施
规范性引用文件
术语和定义
缩略语
智慧城市安全概述
智慧城市面临的安全风险
智慧城市安全保护对象
智慧城市安全目标
智慧城市安全体系框架
智慧城市安全角色
智慧城市安全要素
6智慧城市安全战略
智慧城市安全管理
决策规划
组织管理
协调监督
评价改进
8智慧城市安全技术
智慧城市安全建设与运营
工程实施
监测预警
应急处置
灾难恢复
智慧城市安全基础
基础设施
基础服务
附录A(资料性附录)智慧城市安全风险分析·附录B(资料性附录)
智慧城市安全技术要求
附录C(资料性附录)
智慧城市安全技术功能
参考文献
GB/T37971—2019
本标准按照GB/T1.1一2009给出的规则起草。GB/T37971—2019
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本标准起草单位:国家信息中心、中国电子技术标准化研究院,北京天融信网络安全技术有限公司、北京匡恩网络科技有限责任公司、杭州安恒信息技术有限公司、蓝盾信息安全技术有限公司、中国电子科技网络信息安全有限公司、启迪国信科技有限公司、电信科学技术研究院有限公司、中电长城网际系统应用有限公司、东软集团股份有限公司、华为技术有限公司、陕西省信息化工程研究院、普天信息技术有限公司、北京赛博兴安科技有限公司、北京知道创宇信息技术有限公司、山西百信信息技术有限公司、浙江省经济信息中心、陕西省网络与信息安全测评中心、中国互联网络信息中心、河南山谷网安科技股份有限公司、深信服科技股份有限公司、成都亚信网络安全产业技术研究院有限公司、北京京航计算通讯研究所、北京奇安信科技有限公司、北京创原天地科技有限公司、北京启明星辰信息安全技术有限公司、中国平安保险(集团)股份有限公司本标准主要起草人:张大江、毕晓宇、吕欣、韩晓露、李阳、王惠莅、范科峰、李娜、闵京华,毕钰、武传坤、周俊、石金、黄敏、雷晓锋、张勇、汤琦、刘汪洋、周晨松、许博希、陆宝华、陆希、叶润国、翟胜军、吴前锋、何山、王勃艳、傅瑜、左洪强、陈杨国、曾志峰、郭颖、朱晓鑫、李怡、杨向东、尚高峰、徐业礼、罗翔、刘东红、陈光杰、肖青海、张明敏、王峰、安高峰、蔡伟GB/T37971—2019
智慧城市是运用物联网、云计算、大数据、空间地理信息集成等新一代信息技术,促进城市规划、建设、管理和服务智慧化的新理念和新模式,是新一代信息技术创新应用与城市转型发展深度融合的产物,是推动政府职能转变、推进社会管理创新的新手段和新方法,是城市走向绿色、低碳,可持续发展的本质需求
本标准以信息通信技术(ICT)为视角,在参考信息保障技术框架(IATF)、信息安全管理体系(ISMS)、防护/检测/响应/恢复(PDRR)和预警/保护/检测/响应/恢复/反击(WPDRRC)的安全模型、网际空间安全指南、关键基础设施网络安全框架、新型智慧城市评价指标体系、智慧城市技术参考框架以及我国信息安全领域标准的基础上,针对智慧城市保护对象和安全目标,从安全角色和安全要素的视角提出了体现智慧城市特点、具有可操作性的安全体系框架。IV
1范围
智慧城市安全体系框架
信息安全技术
GB/T37971—2019
本标准给出了智慧城市安全体系框架,包括智慧城市的安全保护对象、安全要素、安全角色及其相互关系。
本标准适用于智慧城市安全的规划、管理、建设、验收和运营,也可为其他智慧城市安全相关标准的制定提供依据和参考
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T25069—2010信息安全技术术语GB/T29246一2017信息技术安全技术信息安全管理体系概述和词汇GB/T34678—2017
智慧城市技术参考模型
3智慧城市术语
GB/T37043—2018
3术语和定义
GB/T25069一2010,GB/T292462017和GB/T370432018界定的以及下列术语和定义适用于本文件。
智慧城市安全smartcitysecurity在智慧城市中对信息的保密性,完整性和可用性的保持,以及依此提供的应用与服务的安全3.2
critical information infrastructure关键信息基础设施
公共通信和信息服务、能源、交通,水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的信息设施。3.3
智慧城市安全角色
smart city security role
参与智慧城市安全活动的相关方。3.4
智慧城市安全决策者smartcitysecuritydecisionmaker负责智慧城市安全战略规划和关键策略决策的实体3.5
智慧城市安全管理者smartcity securityadministraton负责智慧城市信息安全组织建设、机制建设,以及协调监督的实体。3.6
智慧城市安全建设者
smart city security implementor负责智慧城市信息安全工程实施,部署智慧城市安全技术防护措施的实体。1
GB/T37971—2019
智慧城市安全运营者smartcitysecurityoperator负责智慧城市安全事件的监测,预警,响应和恢复的实体3.8
智慧城市服务提供者smartcityserviceprovider通过利用各种技术提供智慧城市产品和服务的实体3.9
智慧城市服务使用者
smart city service user
使用智慧城市产品和服务的实体。注:智慧城市服务使用者包括政府部门、团体机构、企事业单位和个人。4缩略语
下列缩略语适用于本文件。
API:应用程序编程接口(ApplicationProgrammingInterface)APT:高级持续性威胁(AdvancedPersistentThreat)ICT:信息通信技术(InformationCommunicationsTechnology)Web:全球广域网(WorldWideWeb)5智慧城市安全概述
5.1智慧城市面临的安全风险
智慧城市涵盖多个行业和多种信息系统,要素复杂、应用多样、相互作用、不断演化,具有设备泛在、数据异构,系统异构、应用异构、海量数据、数据汇聚与融合、数据跨域共享、高度协调运作等特征。这些特征使得智慧城市较之传统的信息系统面临更为复杂的安全风险。智慧城市安全的风险分析参见附录A。其中,A.3分析了智慧城市在物联感知层、网络通信层、计算与存储层、数据及服务融合层和智慧应用层所面临的安全技术风险。
5.2智慧城市安全保护对象
智慧城市安全保护对象分为硬件设备、信息系统、数据资产和应用与服务。硬件设备是智慧城市中具有独立工作能力的信息采集或处理设备,包括为智慧城市提供感知数据的终端设备、控制调节设备、通信设备、信息展示设备、服务终端等。信息系统涉及关键信息基础设施以及为智慧城市提供智慧应用服务的系统与网络,包括城市公共通信、广播电视传输等基础信息网络,能源、金融、交通、教育、科研、水利、工业制造、医疗卫生、社会保障、公用事业等领域的信息系统,国家机关的信息系统,以及互联网应用系统等。智慧城市中的信息系统共享资源和能力(服务器,终端设备,网络,数据,应用等),通过信息系统的持续,有效运行为各类用户提供应用与服务。
数据资产是智慧城市网络收集,存储、传输、处理和产生的各种电子数据。应用与服务是智慧城市服务提供者提供的应用程序和技术服务,包括智慧城市公共支撑与服务平台,各应用系统为智慧城市或其他应用系统提供的数据共享服务,以及智慧城市信息系统的数据服务和计算服务等。
5.3智慧城市安全目标
GB/T37971—2019
围绕智慧城市安全保护对象,智慧城市安全决策者、智慧城市安全管理者、智慧城市安全建设者、智慧城市安全运营者,智慧城市服务提供者和智慧城市服务使用者等安全角色相互协作,实现以下安全目标:
保证智慧城市信息系统安全运行,尤其是保证关键信息基础设施的可用性和可靠性;a
保证政府部门、企事业单位、社会组织及个人的数据的真实性、保密性、完整性和可用性;保证智慧城市应用和服务的可用性、可靠性和可核查性;c)
保证智慧城市数据资产的真实性、保密性、完整性、可用性和可靠性;d)
保证智慧城市整体安全的合理性、鲁棒性和可扩展性。e)
5.4智慧城市安全体系框架
智慧城市安全体系框架是实现智慧城市安全目标的参考模型,由智慧城市的安全保护对象,安全要素,安全角色及其相互关系组成,如图1所示。其中,安全要素包含安全战略,安全管理,安全技术,安全建设,安全运营和安全基础等方面。在智慧城市安全体系框架中,智慧城市安全角色履行各自职责,协同配合,满足安全要素的要求以保证智慧城市安全智慧城市各安全角色的活动都受智慧城市安全战略指导和药束。智慧城市安全决策者和智慧城市安全管理者为智慧城市服务提供者、智慧城市安全建设者、智慧城市安全运营者提供指导和支持。智慧城市安全建设者实施安全工程建设,监督智慧城市安全工程实施与安全措施部署过程,检查评估、认证智慧城市服务提供者提供的应用和服务,对发现的安全风险与问题,及时向智慧城市安全决策者反馈。
智慧城市安全运营者通过技术手段监测智慧城市信息安全风险和威胁,向智慧城市管理者上报,并采取应急处置措施。
智慧城市服务提供者为智慧城市安全建设和运营提供产品与服务,同时还提供安全维护与技术支持。
智慧城市服务使用者与智慧城市服务提供者进行交互,直接或间接影响智慧城市业务的安全配置、规程,监测、监督,审核和追溯,需要遵循安全管理规则、提升安全意识和接受安全培训3
GB/T37971—2019
法律法规
「指导与药束
智慧城市安全决策者
总体方针制
决感体规划制定
维总体形果制您
城市安全管理
必要资源支持
智慧城市安全管理者
智慧城市
安全基础
组织建设
制度建立
人员管理
教育培训
统筹资源
协训沟通
监督管理
稳查评估
事件上报
机制改进
慧城市安全技术
借思上报
智慧城市安全战略
政策文件
二指导与约束
应用及服务
服务融合
数据资产
计算资调存储资源软件资源
票统资湖
网络设施通信传端接入
通信网络
患如设备
子蒸统1
硬件设备
热行设客
智款城市服务提供者
整城市安全保护对您
安全支撑
智慧城市服务提供者
密钥与证书、身份管理等基础设施防护免费标准bzxz.net
组织实施
标准规范
指导与约束
智慧城市安全建设者
系统及部件采购
集成、组装及安
全保障措施部署
系统测试
智整城市安全运营者
安全运行维护
应款处
安全志势感如
安全事件监控
信息共享通报
应急预案刺定
开展应急演
安全事件上报
应急有应处理
收证与追测
灾难灰难恢复重
恢复点细改进
认证、评估、检测、审查、设计等基础服务智慧城市安全体系框架
智慧城市安全角色
智慧城市安全决策者
智慧城市安全决策者的职责包括但不限于:a)
制定智慧城市安全总体方针;
制定智慧城市安全总体规划;
制定智慧城市安全总体框架;
建立智慧城市安全管理协调组织;承诺必要的资源与资金支持。
智慧城市安全管理者
智慧城市安全管理者的职责包括但不限于:a)
针对智慧城市的异构、共享、跨域服务等特点完善智慧城市安全管理组织架构;制定智慧城市安全管理机制;
制定智慧城市安全人才培养和安全意识教育计划;统筹协调智慧城市安全管理与监督工作;检查、评估智慧城市安全建设与运营工作;定期审核、改进智慧城市安全管理制度和流程;向智慧城市安全决策者报告智慧城市安全事件;g)
GB/T37971—2019
h)为智慧城市安全建设者、智慧城市安全运营者和智慧城市服务提供者提供指导和必要支持,5.5.3智慧城市安全建设者
智慧城市安全建设者的职责包括但不限于:a)
实施智慧城市信息安全工程建设:部署有效的智慧城市安全防护措施;b)
测试智慧城市信息工程建设安全建设方案d
定期对智慧城市安全建设方案进行评审和改进:e)
定期组织并配合主管部门的安全审查。智慧城市安全运营者
智慧城市安全运营者的职责包括但不限于:a)
负责智慧城市安全运行与维护管理:监测智慧城市安全风险,分析安全态势;b)
发现智慧城市安全事件和脆弱性,防范,阻断网络攻击:d)
共享智慧城市安全威胁信息,及时通报智慧城市安全事件;e)
制定、评估并修订智慧城市安全事件应急预案;定期开展智慧城市安全应急演练活动;应急处置智慧城市安全风险与安全事件:及时向上级管理部门报告安全威胁信息与安全事件;h)
实现对恶意行为的取证和追踪溯源:保证灾后城市信息系统快速恢复正常运转状态;有效控制智慧城市安全事件造成的负面影响。k)
5.5.5智慧城市服务提供者
智慧城市服务提供者的安全职责包括但不限于:设计开发安全产品与应用,并提供维护技术服务;a
为智慧城市安全运行提供信息安全基础服务;b)
按照智慧城市安全管理策略部署安全技术措施,包括数据安全共享、跨域安全服务等:协助智慧城市安全建设者进行工程建设,提供安全产品、服务及技术服务支持;d)
协助智慧城市安全运营者完成应急恢复及调查取证,提供安全产品、服务及技术服务支持。5.5.6智慧城市服务使用者
智慧城市服务使用者的安全职责包括但不限于:合理使用智慧城市服务提供者提供的智慧应用和服务:a)
向智慧城市服务提供者反馈合理的安全需求;b)
负责所拥有的信息数据资产的安全管理,支持智慧城市业务安全配置,规程,监测,监督,审核追溯及互操作等安全管理:
d)定期安排具有安全评估资质的机构,对网络、信息系统和设备进行系统性安全评估,根据评估结果进行整改和安全修复;
接受安全培训和指导。
GB/T37971—2019
5.6智慧城市安全要素
智慧城市安全战略是智慧城市安全运行及网络安全治理的基础,指导和约束了智慧城市安全管理技术、建设与运营活动。智慧城市安全战略主要包括法律法规、政策文件及标准规范。智慧城市安全管理是智慧城市安全规划、管理、建设与运营有序进行的前提,为智慧城市安全技术防护提供策略,组织实施智慧城市建设与运营。智慧城市安全管理主要包括决策规划、组织管理、协调监督和评价改进。
智慧城市安全技术是为建立智慧城市纵深防御体系,由智慧城市服务提供者研究、开发和设计的智慧产品和应用,在物联感知层、网络通信层,计算与存储层、数据及服务融合层以及智慧应用层五个层次分别部署安全技术防御措施,为智慧城市管理提供技术支持,为智慧城市建设与运营提供产品和服务,动态应对智慧城市安全风险,确保智慧城市在信息安全保护方面能够较快恢复到原有状态,保持系统结构和功能的能力。
智慧城市安全建设与运营主要包括智慧城市信息安全工程实施和智慧城市安全运营。智慧城市信息安全工程实施是指按照智慧城市安全总体规划和管理要求,实施智慧城市信息系统的开发,采购,集成、组建、配置及测试。智慧城市安全运营是指按照智慧城市安全总体规划和管理要求,对智慧城市信息系统运行状态的维护、监测,对安全事件的报告、应急处置、恢复,确保并维持智慧城市的各项业务安全有序地运行。
智慧城市安全基础为智慧城市安全体系运行提供基础设施和基础服务。智慧城市安全基础设施包括活密钥与证书管理,身份管理,监测预警与通报,容灾备份和时间同步等方面的设施。智慧城市基础服务包括产品和服务的资质认证、安全评估、安全检测、安全审查以及咨询服务等6智慧城市安全战略
智慧城市安全管理、安全技术,安全建设与运营和安全基础应符合法律法规,政策文件和标准规范的要求。智慧城市安全战略应包括但不限于以下要素:a)智慧城市安全治理体系。目的是对智慧城市安全活动参与方的责任进行界定,并对其活动进行约束、规范及监督。
对智慧城市安全管理、安全技术、安全建设与运营和安全基础的政策指导c)
智慧城市安全标准规划。自的是研究,制定并实施具有区域特征,行业特性的智慧城市安全标准。
7智慧城市安全管理
7.1决策规划
智慧城市安全决策者应根据智慧城市面临的安全风险,制定符合智慧城市发展的安全总体规划和策略,明确安全工作机制、安全目标和安全职责。智慧城市安全决策规划包括但不限于以下要素:a)安全总体要求,包括安全目标、安全保护对象等;b)安全治理要求;
关键安全指标与优先级;
安全管理、建设和运营的规划与策略;安全管理协调机制;
安全建设资源规划;
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。