信息安全技术智慧城市安全体系框架(GB-T 37971-2019).docx
《信息安全技术智慧城市安全体系框架(GB-T 37971-2019).docx》由会员分享,可在线阅读,更多相关《信息安全技术智慧城市安全体系框架(GB-T 37971-2019).docx(27页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、ICS 35.040L 80中华人民共和国国家标准GB/T XXXXXXXXX信息安全技术 智慧城市安全体系框架Information security technology - Framework of smart city security system点击此处添加与国际标准一致性程度的标识本稿完成日期:2018年2月5日XXXX - XX - XX发布XXXX - XX - XX实施GB/T XXXXXXXXX目次目次I前言III引言IV信息安全技术 智慧城市安全体系框架11 范围12 规范性引用文件13 术语和定义14 缩略语25 智慧城市安全体系框架25.1 智慧城市面临的安全风险2
2、5.2 智慧城市安全保护对象25.3 智慧城市安全目标35.4 智慧城市安全框架35.5 智慧城市安全角色45.6 智慧城市安全要素56 智慧城市安全战略67 智慧城市安全管理67.1 决策规划67.2 组织管理67.3 协调监督77.4 评价改进78 智慧城市安全技术79 智慧城市安全建设与运营89.1 工程实施89.2 监测预警99.3 应急处置99.4 灾难恢复910 智慧城市安全基础支撑910.1 基础支撑设施910.2 基础支撑服务10附录A (资料性附录) 智慧城市安全风险分析11A.1 智慧城市安全战略风险11A.2 智慧城市安全管理风险11A.3 智慧城市安全技术风险11A.3
3、.1 物联感知层11A.3.2 网络通信层12A.3.3 计算与存储层13A.3.4 数据及服务融合层13A.3.5 智慧应用层14A.4 智慧城市安全建设与运营风险分析14附录B (资料性附录) 智慧城市安全技术要求16B.1 物联感知层16B.2 网络通信层16B.3 计算与存储层17B.3.1 计算资源安全17B.3.2 软件资源安全17B.3.3 存储资源安全17B.4 数据及服务融合层18B.4.1 数据内容安全18B.4.2 数据及服务融合安全18B.5 智慧应用层安全18附录C (资料性附录) 智慧城市安全技术功能20C.1 概述20C.2 防护21C.3 检测21C.4 响应2
4、1C.5 恢复21参考文献22前言本标准按照GB/T 1.1-2009给出的规则起草。请注意本文件的某些内容可能涉及专利,本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本标准主要起草单位:北京匡恩网络科技有限责任公司、国家信息中心、中国电子技术标准化研究院、北京天融信网络安全技术有限公司、杭州安恒信息技术有限公司、蓝盾信息安全技术有限公司、中国电子科技网络信息安全有限公司、启迪国信科技有限公司、大唐电信科技产业集团(电信科学技术研究院)、东软集团股份有限公司、华为技术有限公司、陕西信息化工程研究院、普天信息技术有限公司、北京赛博
5、兴安科技有限公司、北京知道创宇信息技术有限公司、山西百信信息技术有限公司、浙江省经济信息中心、陕西省网络与信息安全测评中心、中国互联网络信息中心、河南山谷网安科技股份有限公司、深信服电子科技有限公司、西安未来国际信息股份有限公司、爱立示信息科技有限公司、北京京航计算通讯研究所、北京奇安信科技有限公司、北京创原天地科技有限公司、启明星辰信息技术有限公司、平安科技(深圳)有限公司。本标准主要起草人:张大江、毕晓宇、吕欣、韩晓露、李阳、王惠莅、范科峰、李娜、毕钰、武传坤、周俊、石金、黄敏、雷晓锋、张勇、汤琦、刘汪洋、周晨松、许博希、陆宝华、陆希、翟胜军、吴前锋、何山、王勃艳、傅瑜、左洪强、陈杨国、曾
6、志峰、郭颖、朱晓鑫、李怡、杨向东、尚高峰、陈光杰、肖青海、张明敏、王峥、安高峰、蔡伟。引言智慧城市是运用物联网、云计算、大数据、空间地理信息集成等新一代信息技术,促进城市规划、建设、管理和服务智慧化的新理念和新模式,是新一代信息技术创新应用与城市转型发展深度融合的产物,是推动政府职能转变、推进社会管理创新的新手段和新方法,是城市走向绿色、低碳、可持续发展的本质需求。本标准以ICT为视角,在参考信息保障技术框架(IATF)、信息安全管理体系(ISMS)、网络安全模型(PDRR)、信息系统安全保障体系建设模型(WPDRRC)、网际空间安全指南、关键基础设施网络安全框架、新型智慧城市评价指标体系、智
7、慧城市技术参考框架以及我国信息安全领域标准的基础上,针对智慧城市保护对象和安全目标,从安全角色和安全要素的视角提出了体现智慧城市特点、具有可操作性的安全体系框架。本标准可以在智慧城市规划、建设、验收和运营各阶段提供信息安全参考。 22信息安全技术 智慧城市安全体系框架1 范围本标准给出了智慧城市安全体系框架,提出了智慧城市的安全保护对象、安全要素、安全角色及其相互关系。本标准适用于智慧城市安全的规划、管理、建设、验收和运营,也可为其他智慧城市安全相关标准的制定提供依据和参考。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的
8、引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 22080-2016信息技术安全技术信息安全管理体系要求(ISO/IEC 27001:2013,IDT)GB/T 22081-2016信息技术安全技术信息安全管理实践指南(ISO/IEC 27002:2013,IDT)GB/T 25069-2010信息安全技术术语GB/T 34678-2017智慧城市技术参考模型3 术语和定义GB/T 22080-2016、GB/T 22081-2016、GB/T 25069-2010和GB/T 34678-2017界定的术语和定义适用于本文件。3.1智慧城市安全smart city securi
9、ty智慧城市安全包括设备、信息系统、网络、数据、平台以及应用服务等方面,目的是保证智慧城市应用与服务的安全性、可用性和可靠性。3.2关键信息基础设施critical information infrastructure公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的信息设施。3.3智慧城市安全角色smart city security role参与智慧城市安全活动的相关方。3.4智慧城市安全决策者smart city security decision maker负责智慧城市安
10、全战略规划和关键策略决策的实体。3.5智慧城市安全管理者smart city security administrator负责智慧城市信息安全组织建设、机制建设,以及协调监督的实体。3.6智慧城市安全建设者smart city security implementor负责智慧城市信息安全工程实施,部署智慧城市安全技术防护措施的实体。3.7智慧城市安全运营者smart city security operator负责智慧城市安全事件的监测、预警、响应和恢复的实体。3.8智慧城市服务提供者smart city service provider通过利用各种技术提供智慧城市产品和服务的实体。3.9智慧
11、城市服务使用者smart city service user使用智慧城市产品和服务的实体,可以是政府部门、团体机构、企事业单位和个人。4 缩略语下列缩略语适用于本文件。API:应用程序编程接口(Application Programming Interface)APT:高级持续性威胁(Advanced Persistent Threat)ICT:信息通信技术(Information Communications Technology)Web:全球广域网(World Wide Web)5 智慧城市安全概述5.1 智慧城市面临的安全风险智慧城市涵盖多个行业和多种信息系统,要素复杂、应用多样、相互作
12、用、不断演化,具有设备泛在、数据异构、系统异构、应用异构、海量数据、数据汇聚与融合、数据跨域共享、高度协调运作等特征。这些特征使得智慧城市较之传统的信息系统面临更为复杂的安全风险。智慧城市安全的风险分析参见附录A。其中,A.3分析了智慧城市在物联感知层、网络通信层、计算与存储层、数据及服务融合层、和智慧应用层所面临的安全技术风险。5.2 智慧城市安全保护对象智慧城市安全保护对象分为硬件设备、信息系统、数据资产和应用与服务。硬件设备是智慧城市中具有独立工作能力的信息采集或处理设备,包括为智慧城市提供感知数据的终端设备、控制调节设备、通信设备、信息展示设备、服务终端等。信息系统涉及关键信息基础设施
13、以及为智慧城市提供智慧应用服务的系统与网络,包括城市公共通信、广播电视传输等基础信息网络,能源、金融、交通、教育、科研、水利、工业制造、医疗卫生、社会保障、公用事业等领域的信息系统,国家机关的信息系统,以及互联网应用系统等。智慧城市中的信息系统共享资源和能力(服务器、终端设备、网络、数据、应用等),通过信息系统的持续、有效运行为各类用户提供应用与服务。数据资产是智慧城市网络收集、存储、传输、处理和产生的各种电子数据。应用与服务是智慧城市服务提供者提供的应用程序和技术服务,包括智慧城市公共支撑与服务平台、各应用系统为智慧城市或其他应用系统提供的数据共享服务,以及智慧城市信息系统的数据服务和计算服
14、务等。5.3 智慧城市安全目标围绕智慧城市安全保护对象,智慧城市安全决策者、智慧城市安全管理者、智慧城市安全建设者、智慧城市安全运营者、智慧城市服务提供者和智慧城市服务使用者等安全角色相互协作,实现以下安全目标:a) 保证智慧城市信息系统安全运行,尤其是保证关键信息基础设施的可用性和可靠性;b) 保证政府部门、企事业单位、社会组织及个人的数据的真实性、保密性、完整性和可用性;c) 保证智慧城市应用和服务的可用性、可靠性和可核查性;d) 保证智慧城市数据资产的真实性、保密性、完整性、可用性和可靠性;e) 保证智慧城市整体安全的合理性、鲁棒性和可扩展性。5.4 智慧城市安全体系框架智慧城市安全体系
15、框架是实现智慧城市安全目标的安全参考模型,包含安全战略、安全管理、安全技术、安全建设、安全运营和安全基础支撑等安全要素,如图1所示。在智慧城市体系框架中,智慧城市安全角色履行各自职责、协同配合,满足安全要素的要求以保证智慧城市安全。智慧城市各安全角色的活动都受智慧城市安全战略指导和约束。智慧城市安全决策者和智慧城市安全管理者为智慧城市服务提供者、智慧城市安全建设者、智慧城市安全运营者提供指导和支持。智慧城市安全建设者实施安全工程建设,监督智慧城市安全工程实施与安全措施部署过程,检查、评估、认证智慧城市服务提供者提供的应用和服务,对发现的安全风险与问题,及时向智慧城市安全决策者反馈。智慧城市安全
16、运营者通过技术手段监测智慧城市信息安全风险和威胁,向智慧城市管理者上报,并采取应急处置措施。智慧城市服务提供者为智慧城市安全建设和运营提供产品与服务,同时还提供安全维护与技术支持。智慧城市服务使用者与智慧城市服务提供者进行交互,直接或间接影响智慧城市业务的安全配置、规程、监测、监督、审核和追溯,需要遵循安全管理规则、提升安全意识和接受安全培训。图1 智慧城市安全体系框架5.5 智慧城市安全角色5.5.1 智慧城市安全决策者智慧城市安全决策者的职责包括但不限于:a) 制定智慧城市安全总体方针;b) 制定智慧城市安全总体规划;c) 制定智慧城市安全总体框架;d) 建立智慧城市安全管理协调组织;e)
17、 承诺必要的资源与资金支持。5.5.2 智慧城市安全管理者智慧城市安全管理者的职责包括但不限于:a) 针对智慧城市的异构、共享、跨域服务等特点完善智慧城市安全管理组织架构;b) 制定智慧城市安全管理机制;c) 制定智慧城市安全人才培养和安全意识教育计划;d) 统筹协调智慧城市安全管理与监督工作;e) 检查、评估智慧城市安全建设与运营工作;f) 定期审核、改进智慧城市安全管理制度和流程;g) 向智慧城市安全决策者报告智慧城市安全事件;h) 为智慧城市安全建设者、智慧城市安全运营者和智慧城市服务提供者提供指导和必要支持。5.5.3 智慧城市安全建设者智慧城市安全建设者的职责包括但不限于:a) 实施
18、智慧城市信息安全工程建设;b) 部署有效的智慧城市安全防护措施;c) 测试智慧城市信息工程建设安全建设方案;d) 定期对智慧城市安全建设方案进行评审和改进;e) 定期组织并配合主管部门的安全审查。5.5.4 智慧城市安全运营者智慧城市安全运营者的职责包括但不限于:a) 负责智慧城市安全运行与维护管理; b) 监测智慧城市安全风险,分析安全态势;c) 发现智慧城市安全事件和脆弱性,防范、阻断网络攻击;d) 共享智慧城市安全威胁信息,及时通报智慧城市安全事件;e) 制定、评估并修订智慧城市安全事件应急预案;f) 定期开展智慧城市安全应急演练活动;g) 应急处置智慧城市安全风险与安全事件;h) 及时
19、向上级管理部门报告安全威胁信息与安全事件;i) 实现对恶意行为的取证和追踪溯源;j) 保证灾后城市信息系统快速恢复正常运转状态;k) 有效控制智慧城市安全事件造成的负面影响。5.5.5 智慧城市服务提供者智慧城市服务提供者的安全职责包括但不限于:a) 设计开发安全产品与应用,并提供维护技术服务;b) 为智慧城市安全运行提供信息安全基础支撑服务;c) 按照智慧城市安全管理策略部署安全技术措施,包括数据安全共享、跨域安全服务等;d) 协助智慧城市安全建设者进行工程建设,提供安全产品、服务及技术服务支持;e) 协助智慧城市安全运营者完成应急恢复及调查取证,提供安全产品、服务及技术服务支持。5.5.6
20、 智慧城市服务使用者智慧城市服务使用者的安全职责包括但不限于:a) 合理使用智慧城市服务提供者提供的智慧应用和服务; b) 向智慧城市服务提供者反馈合理的安全需求;c) 负责所拥有的信息数据资产的安全管理,支持智慧城市业务安全配置、规程、监测、监督、审核、追溯及互操作等安全管理;d) 定期安排具有安全评估资质的机构,对网络、信息系统和设备进行系统性安全评估,根据评估结果进行整改和安全修复;e) 接受安全培训和指导。5.6 智慧城市安全要素智慧城市安全战略是智慧城市安全运行及网络安全治理的基础支撑,指导和约束了智慧城市安全管理、技术、建设与运营活动。智慧城市安全战略主要包括法律法规、政策文件及标
21、准规范。智慧城市安全管理是智慧城市安全规划、管理、建设与运营有序进行的前提,为智慧城市安全技术防护提供策略,组织实施智慧城市建设与运营。智慧城市安全管理主要包括决策规划、组织管理、协调监督和评价改进。智慧城市安全技术是为建立智慧城市纵深防御体系,由智慧城市服务提供者研究、开发和设计的智慧产品和应用,在物联感知层、网络通信层、计算与存储层、数据及服务融合层以及智慧应用层五个层次分别部署安全技术防御措施,为智慧城市管理提供技术支持,为智慧城市建设与运营提供产品和服务,动态应对智慧城市安全风险,确保智慧城市在信息安全保护方面能够较快恢复到原有状态,保持系统结构和功能的能力。智慧城市安全建设与运营主要
22、包括智慧城市信息安全工程实施和智慧城市安全运营。智慧城市信息安全工程实施是指按照智慧城市安全总体规划和管理要求,实施智慧城市信息系统的开发、采购、集成、组建、配置及测试。智慧城市安全运营是指按照智慧城市安全总体规划和管理要求,对智慧城市信息系统运行状态的维护、监测,对安全事件的报告、应急处置、恢复,确保并维持智慧城市的各项业务安全有序地运行。智慧城市安全基础支撑为智慧城市安全体系运行提供基础支撑设施和基础支撑服务。智慧城市基础支撑设施包括密钥与证书管理基础设施、身份管理基础设施、监测预警与通报基础设施、容灾备份基础设施和时间同步等基础设施。智慧城市基础支撑服务包括产品和服务的资质认证、安全评估
23、、安全检测、安全审查以及咨询服务等。6 智慧城市安全战略智慧城市安全管理、技术、建设与运营、和基础支撑应符合法律法规、政策文件和标准规范的要求。智慧城市安全战略应包括但不限于以下要素: a) 智慧城市安全治理体系。目的是对智慧城市安全活动参与方的责任进行界定,并对其活动进行约束、规范及监督;b) 对智慧城市安全管理、技术、建设与运营、和基础支撑的政策指导;c) 智慧城市安全标准规划。目的是研究、制定并实施具有区域特征、行业特性的智慧城市安全标准。7 智慧城市安全管理7.1 决策规划智慧城市安全决策者应根据智慧城市面临的安全风险,制定符合智慧城市发展的安全总体规划和策略,明确安全工作机制、安全目
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息安全技术智慧城市安全体系框架GB-T 37971-2019 信息 安全技术 智慧 城市 安全 体系 框架 GB 37971 2019
限制150内