国家标准 GB/T37971一2019 信息安全技术智慧城市安全体系框架 Informationseeuritytechnology一Frameworkofsmarteitysecuritysystem 2019-08-30发布 2020-03-01实施国家市场监督管理总局发布币国国家标准化管理委员会国家标准
GB/37971一2019 目次前言引言范围 2 规范性引用文件术语和定义缩略语智慧城市安全概述 5.1智慧城市面临的安全风险 5.2智慧城市安全保护对象 5.3智慧城市安全目标 5.4智慧城市安全体系框架 5.5智慧城市安全角色 5.6智慧城市安全要素智慧城市安全战略智慧城市安全管理 7.1决策规划 7.2组织管理 7.3协调监督 7.4评价改进智慧城市安全技术 8 智慧城市安全建设与运营 9.1工程实施 9.2监测预警 9.3应急处置 9.4灾难恢复 10 智慧城市安全基础 0.1基础设施 10.2基础服务附录A资料性附录智慧城市安全风险分析 15 附录B资料性附录)智慧城市安全技术要求 19 附录C资料性附录智慧城市安全技术功能参考文献
GB/37971一2019 前言本标准按照GB/T1.1一2009给出的规则起草请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口本标准起草单位:国家信息中心、电子技术标准化研究院、北京天融信网络安全技术有限公司、北京国恩网络科技有限责任公司、杭州安恒信息技术有限公司、蓝盾信息安全技术有限公司、电子科技网络信息安全有限公司、启迪国信科技有限公司、电信科学技术研究院有限公司、中电长城网际系统应用有限公司,东软集团股份有限公司,华为技术有限公司、陕西省信息化工程研究院、普天信息技术有限公司.北京赛博兴安科技有限公司、北京知道创宇信息技术有限公司、山西百信信息技术有限公司浙江省经济信息中心,陕西省网络与信息安全测评中心、互联网络信息中心、河南山谷网安科技股份有限公司、深信服科技股份有限公司、成都亚信网络安全产业技术研究院有限公司,北京京航计算通讯研究所、北京奇安信科技有限公司、北京创原天地科技有限公司、北京启明星辰信息安全技术有限公司.平安保险(集团)股份有眼公司本标准主要起草人;张大江毕眺字,昌欣、韩晓露、李阳,王惠做、拖科略、李娜、冈京哀华,毕银、武传坤,周俊、石金、黄敏,雷晓锋、张勇、汤琦、刘汪祥,周晨松、许博希、陆宝华、陆希、叶润国,翟胜军吴前锋、何山、王勃艳、傅瑜、左洪强、陈杨国、曾志峰、郭颖、朱晓鑫、李怡、杨向东、尚高峰、徐业礼、罗翔、刘东红、,陈光杰、肖青海、张明敏、王峥、安高峰、蔡伟
GB/T37971一2019 引言智慧城市是运用物联网、云计算、大数据、空间地理信息集成等新一代信息技术,促进城市规划、建设、管理和服务智慧化的新理念和新模式,是新一代信息技术创新应用与城市转型发展深度融合的产物,是推动政府职能转变,推进社会管理创新的新手段和新方法,是城市走向绿色、低碳、可持续发展的本质需求本标准以信息通信技术(ICT)为视角,在参考信息保障技术框架(1ATF)、信息安全管理体系 ISMS)、防护/检测/响应/恢复(PDRR)和预警/保护/检测/响应/恢复/反击(wPDRRC)的安全模型、网际空间安全指南关键基础设施网络安全框架、新型智慧城市评价指标体系、智慧城市技术参考框架以及我国信息安全领域标准的基础上,针对智慧城市保护对象和安全目标,从安全角色和安全要素的视角提出了体现智慧城市特点、具有可操作性的安全体系框架 IN
GB/37971一2019 信息安全技术智慧城市安全体系框架范围本标准给出了智慧城市安全体系框架,包括智慧城市的安全保护对象、安全要素、安全角色及其相互关系本标准适用于智慧城市安全的规划、管理、建设、验收和运营,也可为其他智慧城市安全相关标准的制定提供依据和参考规范性引用文件下列文件对于本文件的应用是必不可少的凡是注日期的引用文件,仅注日期的版本适用于本文件凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件 GB/T25069一2010信息安全技术术语 GB/T292462017信息技术安全技术信息安全管理体系概述和词汇 GB/T346782017智慧城市技术参考模型 GB/T370432018智慧城市术语术语和定义 GB/T250692010,GB/T29246-2017和GB/T37043一2018界定的以及下列术语和定义适用于本文件 3 智慧城市安全 smartcitysecurity 在智慧城市中对信息的保密性、,完整性和可用性的保持,以及依此提供的应用与服务的安全 3.2 关键信息基础设施criticalinformationinfrastructure 公共通信和信息服务,能源、交通、水利,金融、公共服务电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的信息设施 3.3 智慧城市安全角色smarteityseeurityrole 参与智慧城市安全活动的相关方 3.4 智慧城市安全决策者smartcitysecuritydecisionmaker 负责智慧城市安全战略规划和关键策略决策的实体 3.5 智慧城市安全管理者smartcityseeurityadministrator 负责智慧城市信息安全组织建设、机制建设,以及协调监督的实体 3.6 智慧城市安全建设者smarteitysecurityimplementor 负责智慧城市信息安全工程实施,部署智慧城市安全技术防护措施的实体
GB/T37971一2019 3.7 智慧城市安全运营者 smartcitysecurityoperator 负责智慧城市安全事件的监测、预警、响应和恢复的实体 3.8 arleiy ovider 智慧城市服务提供者 smar servicepro 通过利用各种技术提供智慧城市产品和服务的实体 3.9 智慧城市服务使用者 rteity Smart SerViceuser 使用智慧城市产品和服务的实体注:智慧城市服务使用者包括政府部门、团体机构,企事业单位和个人缩略语下列缩略语适用于本文件 API;应用程序编程接口(ApplicationProgramminglnterface APT:高级持续性威胁(AdvancedPersistentThreat) CT;信息通信技术(Informat tonCommunicationsTechnology web:全球广域网(worldwideweb 5 智慧城市安全概述 5.1智慧城市面临的安全风险智慧城市涵盖多个行业和多种信息系统,要素复杂、应用多样、相互作用、不断演化,具有设备泛在、数据异构、系统异构、应用异构、海量数据、数据汇聚与融合、数据跨域共享、高度协调运作等特征这些特征使得智慧城市较之传统的信息系统面临更为复杂的安全风险智慧城市安全的风险分析参见附录其中,A.3分析了智慧城市在物联感知层、网络通信层、计算与存储层、数据及服务融合层和智慧应用层所面临的安全技术风险 5.2智慧城市安全保护对象智慧城市安全保护对象分为硬件设备、信息系统、数据资产和应用与服务硬件设备是智慧城市中具有独立工作能力的信息采集或处理设备,包括为智慧城市提供感知数据的终端设备、控制调节设备,通信设备信息展示设备、,服务终端等信息系统涉及关键信息基础设施以及为智慧城市提供智慧应用服务的系统与网络,包括城市公共 ,交通、教育、科研,水利,工业制造、医疗卫生、社会保通信了广播电视传输等基糊信息网络 ,能源、金融、障、公用事业等领域的信息系统,国家机关的信息系统,以及互联网应用系统等智慧城市中的信息系统共享资源和能力(服务器、终端设备、网络、数据、,应用等),通过信息系统的持续、有效运行为各类用户提供应用与服务数据资产是智慧城市网络收集、存储、传输、处理和产生的各种电子数据应用与服务是智慧城市服务提供者提供的应用程序和技术服务,包括智慧城市公共支撑与服务平台、各应用系统为智慧城市或其他应用系统提供的数据共享服务,以及智慧城市信息系统的数据服务和计算服务等
GB/37971一2019 5.3智慧城市安全目标围绕智慧城市安全保护对象,智慧城市安全决策者、智慧城市安全管理者、智慧城市安全建设者、智慧城市安全运营者、智慧城市服务提供者和智慧城市服务使用者等安全角色相互协作,实现以下安全目标保证智慧城市信息系统安全运行,尤其是保证关键信息基础设施的可用性和可靠性 a 保证政府部门企事业单位、社会组织及个人的数据的真实性、保密性、完整性和可用性 b 保证智慧城市应用和服务的可用性、可靠性和可核查性; 保证智慧城市数据资产的真实性、保密性,完整性、可用性和可靠性 d 保证智慧城市整体安全的合理性.鲁棒性和可扩展性 e 5.4智慧城市安全体系框架智慧城市安全体系框架是实现智慧城市安全目标的参考模型,由智慧城市的安全保护对象、安全要素、安全角色及其相互关系组成,如图1所示其中,安全要素包含安全战略、安全管理、安全技术,安全建设、安全运营和安全基础等方面在智慧城市安全体系框架中,智慧城市安全角色履行各自职责、协同配合,满足安全要素的要求以保证智慧城市安全智慧城市各安全角色的活动都受智慧城市安全战略指导和约束智慧城市安全决策者和智慧城市安全管理者为智慧城市服务提供者、智慧城市安全建设者、智慧城市安全运营者提供指导和支持智慧城市安全建设者实施安全工程建设,监督智慧城市安全工程实施与安全措施部署过程,检查、评估,认证智慧城市服务提供者提供的应用和服务,对发现的安全风险与问题,及时向智慧城市安全决策者反馈智慧城市安全运营者通过技术手段监测智慧城市信息安全风险和威胁,向智慧城市管理者上报,并采取应急处置措施智慧城市服务提供者为智慧城市安全建设和运营提供产品与服务,同时还提供安全维护与技术支持智慧城市服务使用者与智慧城市服务提供者进行交互,直接或间接影响智慧城市业务的安全配置、规程监测监督、审核和追溯,需要遵循安全管理规则、提升安全意识和接受安全培训
GB/T37971一2019 智慧城市安全战略法律法规政策文件标准规粘导写药乘导写与约束事写药束智楚城市安全决策者 w放城市安全建设用教体酒 g Web 系及配来购米院海州缘" 应用及裂务定防护管河织立系统测教据内容装招雕服务融必婴受源支持指导数掘资产智慧城市安全运背者支独智慧城市安全管理者开算贾园存贷资安全运行维护红建设外系统资源安至事祥区药人员管理 [值化丽符合抛出教要求需求通信网络系饮海费面开展N 恢复调沟酒 3 安全事上报各管用硬件设备应TT应处理于系使子系线智慧城市服务提供者牛量夹来机制改 H直蓝返改班信发安全支撑智慧城市服务提供者智其城应安全棚密远书、身份管理等基础设施认证、评、检洲、查、设计基础服务智慧城市安全体系框架 5.5智慧城市安全角色 5.5.1智慧城市安全决策者智慧城市安全决策者的职责包括但不限于制定智慧城市安全总体方针; aa b 制定智慧城市安全总体规划; c 制定智慧城市安全总体框架; d 建立智慧城市安全管理协调组织; 承诺必要的资源与资金支持 5.5.2智慧城市安全管理者智慧城市安全管理者的职责包括但不限于针对智慧城市的异构,共享、跨域服务等特点完善智慧城市安全管理组织架构 aa b 制定智慧城市安全管理机制制定智慧城市安全人才培养和安全意识教育计划 c d 统筹协调智慧城市安全管理与监督工作; 检查、评估智慧城市安全建设与运营工作; e fD 定期审核、改进智慧城市安全管理制度和流程;
GB/37971一2019 向智慧城市安全决策者报告智慧城市安全事件 g h)为智慧城市安全建设者、智慧城市安全运营者和智慧城市服务提供者提供指导和必要支持 5.5.3智慧城市安全建设者智慧城市安全建设者的职责包括但不限于实施智慧城市信息安全工程建设; a b 部署有效的智慧城市安全防护措施; 测试智慧城市信息工程建设安全建设方案; d 定期对智慧城市安全建设方案进行评审和改进定期组织并配合主管部门的安全审查 5.5.4智慧城市安全运营者智慧城市安全运营者的职责包括但不限于负责智慧城市安全运行与维护管理 a b 监测智慧城市安全风险,分析安全态势; 发现智慧城市安全事件和脆弱性,防范、阻断网络攻击; c d 共享智慧城市安全威胁信息,及时通报智慧城市安全事件制定、评估并修订智慧城市安全事件应急预案; 定期开展智慧城市安全应急演练活动; 应急处置智慧城市安全风险与安全事件 g 及时向上级管理部门报告安全威胁信息与安全事件; h 实现对恶意行为的取证和追踪溯源; j保证灾后城市信息系统快速恢复正常运转状态; k 有效控制智慧城市安全事件造成的负面影响 5.5.5智慧城市服务提供者智慧城市服务提供者的安全职责包括但不限于设计开发安全产品与应用,并提供维护技术服务 aa 为智慧城市安全运行提供信息安全基础服务; b 按照智慧城市安全管理策略部署安全技术措施,包括数据安全共享、跨域安全服务等， c 协助智慧城市安全建设者进行工程建设,提供安全产品、服务及技术服务支持; d 协助智慧城市安全运营者完成应急恢复及调查取证,提供安全产品服务及技术服务支持 5.5.6智慧城市服务使用者智慧城市服务使用者的安全职责包括但不限于合理使用智慧城市服务提供者提供的智慧应用和服务; a 向智慧城市服务提供者反馈合理的安全需求; 负责所拥有的信息数据资产的安全管理,支持智慧城市业务安全配置、规程、监测、监督,审核、追溯及互操作等安全管理; 定期安排具有安全评估资质的机构,对网络、信息系统和设备进行系统性安全评估,根据评估结果进行整改和安全修复; 接受安全培训和指导
GB/T37971一2019 5.6智慧城市安全要素智慧城市安全战略是智慧城市安全运行及网络安全治理的基础,指导和约束了智慧城市安全管理、技术,建设与运营活动智慧城市安全战略主要包括法律法规、政策文件及标准规范智慧城市安全管理是智慧城市安全规划、管理、建设与运营有序进行的前提,为智慧城市安全技术防护提供策略,组织实能智慧城市建设与运霄智慧城市安全管理主要包括决策规划、组织管理、,协副监督和评价改进智慧城市安全技术是为建立智慧城市纵深防御体系,由智慧城市服务提供者研究、开发和设计的智慧产品和应用,在物联感知层,网络通信层、计算与存储层、数据及服务融合层以及智慧应用层五个层次分别部署安全技术防御措施,为智慧城市管理提供技术支持,为智慧城市建设与运营提供产品和服务动态应对智慧城市安全风险,确保智慧城市在信息安全保护方面能够较快恢复到原有状态,保持系统结构和功能的能力智慧城市安全建设与运营主要包括智慧城市信息安全工程实施和智慧城市安全运营智慧城市信息安全工程实施是指按照智慧城市安全总体规划和管理要求,实施智慧城市信息系统的开发,采购、集成、组建、配置及测试智慧城市安全运营是指按照智慧城市安全总体规划和管理要求,对智慧城市信息系统运行状态的维护,监测,对安全事件的报告,应急处置、恢复,确保并维持智慧城市的各项业务安全有序地运行智慧城市安全基础为智慧城市安全体系运行提供基础设施和基础服务智慧城市安全基础设施包括密钥与证书管理、身份管理、监测预警与通报、容灾备份和时间同步等方面的设施智慧城市基础服务包括产品和服务的资质认证、安全评估、安全检测安全审查以及咨询服务等智慧城市安全战略智慧城市安全管理、安全技术,安全建设与运营和安全基础应符合法律法规、政策文件和标准规范的要求智慧城市安全战略应包括但不限于以下要素智慧城市安全治理体系目的是对智慧城市安全活动参与方的责任进行界定,并对其活动进 a 行约束、规范及监督 b 对智慧城市安全管理、安全技术,安全建设与运营和安全基础的政策指导 c 智慧城市安全标准规划目的是研究、制定并实施具有区域特征、行业特性的智慧城市安全标准智慧城市安全管理 7.1决策规划智慧城市安全决策者应根据智慧城市面临的安全风险,制定符合智慧城市发展的安全总体规划和策略,明确安全工作机制、安全目标和安全职责智慧城市安全决策规划包括但不限于以下要素: 安全总体要求,包括安全目标,安全保护对象等 a b 安全治理要求; 关键安全指标与优先级; c 安全管理,建设和运营的规划与策略; d 安全管理协调机制安全建设资源规划;
GB/37971一2019 安全规划策略与规程的评审和更新 g 7.2组织管理智慧城市安全管理者应落实智慧城市安全规划与策略,完善组织架构,制定安全管理制度,开展安全意识教育和安全技术培训工作,对智慧城市安全建设项目给予管理和技术资源支持智慧城市安全组织管理包括但不限于以下要素安全工作小组按照安全管理角色设立岗位、配置人员,制定有效安全管理模式 a b 安全管理、建设和运营工作的责任部门重要岗位负责人和岗位职责 c 安全管理、建设与运营的策略机制 d 安全管理制度与规程实施细则,包括但不限于智慧城市技术相关的安全(系统、网络、数据、应用等)策略与制度、工程建设安全策略与流程、系统开发策略与制度、病毒防护策略与制度、智慧城市安全追责制度等安全相关角色的重要岗位人员的招聘、录用、调岗,离岗、考核,选拔等管理制度 e f 安全相关角色的重要岗位人员的责任与权限要求安全专业人才计划和培训计划 g 7.3协调监督智慧城市安全管理者应围绕智慧城市安全规划目标,以国家法律法规、政策文件和标准规范为指导,制定智慧城市安全协调策略与机制.统筹协调智慧城市安全工作并监督智慧城市安全相关活动智慧城市安全协调监督包括但不限于以下要素协调管理的负责部门、负责人及岗位职责; aa 安全协调管理和监督机制 b 与智慧城市安全建设与运营相关方的沟通机制; c 智慧城市安全建设与运营活动的合规检查机制; d e 重大安全事件处罚制度 7.4评价改进智慧城市安全管理者应根据评估检查等安全活动,向主管部门报告智慧城市安全管理、建设与运营过程中发现的安全风险与安全事件,有利于总体规划和策略持续改进智慧城市安全评价改进应包括但不限于以下要素安全检查,评估、认证和调查取证机制及实施细则 a 安全建设评估和评价工作检查各项指标达成情况,并对评价结果进行统计分析,对不符合智 b 慧城市安全评估标准的指标进行调查分析,给出定性或定量的分析评估报告定期审核对智慧城市安全管理制度进行修订 o 持续改进总结智慧城市安全管理、建设、验收和运营过程中的经验和教训,结合检测和评估 d 过程中发现的风险,对智慧城市安全总体规划提出改进建议,持续提升智慧城市安全管理能力 8 智慧城市安全技术根据GB/T34678一2017,智慧城市安全设计,建设和运营应包括但不限于以下技术要素: 物联感知层 a 感知设备和执行设备的监测和防护;
GB/T37971一2019 感知设备和执行设备的身份鉴别 2 3 感知设备和执行设备的访问控制 4) 感知设备信息采集安全; 5 执行设备的指令信息安全 b)通信网络层互联网、电信网广插电视网、三网融合的公共网络和专用网络的网络设施安全 1 22 通信传输安全 3 网络接人安全; 终端安全计算与存储层 c 智慧城市计算资源、软件资源及存储资源设备的威胁监测和防护措施 1 物理或虚拟计算资源的安全 2 3 物理或虚拟存储资源的安全; 为上层数据和应用提供公共服务能力的基础软件安全,包括但不限于操作系统、数据库系 4 统、中间件和资源管理软件的安全 d 数据及融合服务层 1) 数据内容、数据与服务融合资源的防护措施; 2 智慧城市基础信息,共享交换信息、应用领域信息和互联网信息的存储安全 33 数据融合过程安全,包括数据采集与汇聚,数据融合与处理、数据挖掘分析,以及数据治理; 4 智慧应用服务融合过程安全包括服务聚集,服务管理,服务整合和服务使用智慧应用层应用软件、智能终端、网站等的防护措施; 2 智慧应用的可靠性和可扩展性对于智慧城市技术参考模型中各层的安全技术要求参见附录B 智慧城市技术参考模型中各层与安全功能的对应关系参见附录C 智慧城市安全建设与运营 g.1工程实施智慧城市安全建设者应围绕智慧城市安全目标,按照总体规划和规程,开展智慧城市安全工程实施工作,符合法律法规和标准要求,确保智慧城市信息安全工程与信息化工程同步建设,保证智慧城市信息系统和相关组件在采购、开发、组装、集成、调试,试运行以及运行过程满足安全要求,保证智慧城市安全工程建设过程操作规范、可追溯,所提供的安全服务水平可评估智慧城市安全工程实施应包括但不限于以下要素安全工程实施、供应链保障、人员安全管理及合规性管理的策略和制度 a 安全管理的责任部门和责任人 b 安全保护对象、目标、等级、定级依据以及智慧城市安全建设方案的论证,审定和报备 d 安全需求分析和安全措施供应链中相关方的责任与义务 o 政府部门信息安全防护要求专业的智慧城市安全建设安全支撑服务团队、安全服务机制、人员安全管理制度 8 h 安全监督、审核与风险评估
GB/37971一2019 关键系统、设备、组件等的配置信息的保存记录产品和服务的备案机制确保采用通过国家相关部门安全审查和资质认证的产品和服务 j k 项目实施进度和质量控制 D 安全工程实施的测试验收、交付以及等级测评 9.2监测预警智慧城市安全运营者应围绕智慧城市安全目标,依据法律法规、政策文件和相关安全标准,建立智慧城市安全监测预警体系,监测智慧城市信息系统运行状态,发现智慧城市信息系统的脆弱性和安全风险,收集分析智慧城市安全事件信息,对安全风险及时报告和通报,按需发布智慧城市安全监测预警信息智慧城市安全监测预警应包括但不限于以下要素按照《国家网络安全事件应急预案》的规定进行预警分级、监测预警、预警研判及预警响应发布与解除; b)网络和设备的监测监控; 公共信息支撑平台等基础设施的监测监控; c 安全威胁信息交换系统和信息共享机制 d 安全漏洞和恶意代码识别、修补和防范机制; e fD 安全事件报告与通报机制; 安全态势感知 8 9.3应急处置智慧城市安全运营者应按照法律法规、政策文件和安全标准的要求,制定智慧城市安全事件应急预案,对不同级别的事件,明确启动条件,处理流程,恢复流程部署安全保护措施,预防智慧城市安全事件的发生在发生安全事件时,及时采取应急处置措施,向主管部门报告智慧城市重大安全事件智慧城市应急处置应包括但不限于以下要素安全事件应急预案及其有效性评估; aa b 应急处置机制; 应急演练 c 安全事件教育培训 d) 应急指挥体系 e 9.4灾难恢复在智慧城市安全事件发生后,智慧城市安全运营者应根据安全事件的影响程度和业务的优先级,采取措施确保智慧城市信息系统业务流程按照规划目标恢复智慧城市安全灾难恢复应包括但不限于以下要素灾难恢复演练 a 业务信息、重要系统和数据资源的容灾备份 b 灾难恢复策略和流程 c d)安全事件处理与恢复实现快速协同处理,降低或控制城市信息安全事件的影响,及时恢复智慧城市信息系统正常的运转状态 10智慧城市安全基础 10.1基础设施智慧城市服务提供者应提供实现密码管理、证书管理、身份鉴别、监测预警与通报、容灾备份,时间
GB/T37971一2019 同步等技术的基础设施,为智慧城市安全管理、技术,建设和运营提供基础设施智慧城市安全基础设施应包括但不限于以下要素符合国家密码管理机构规定的密码管理制度 a b 密码技术相关的基础设施国家密码管理主管部门批准使用的密码算法和产品身份鉴别和信任服务机制 d 用户信息管理和用户隐私保护机制智慧城市数字证书系统管理证书申请、签发使用,更新、存储、延期、恢复、撤销等活动授时系统保证关键信息基础设施系统时间安全、,时钟精度以及时间同步的完整性 g 基础设施的安全管理 h 10.2基础服务智慧城市服务提供者应按照法律法规、政策文件和标准规范的相关要求,为智慧城市安全管理、建设和运营提供基础服务活动支撑智慧城市安全基础服务应包括但不限于以下要素信息系统的安全检测和认证 a b) 信息安全产品和信息安全服务的检测和认证信息安全产品和信息安全服务的准人与审查 c 安全评估、设计和咨询 d 0
GB/37971一2019 附录 A 资料性附录智慧城市安全风险分析智慧城市安全战略风险 A.1 智慧城市安全战略风险包括但不限于缺乏智慧城市安全管理、建设和运营等相关法规的责任认定和机制约束 a b 智慧城市安全保护目标不清,定位不明已有规划与智慧城市信息化建设和经济发展脱离,缺乏对城市文化的发扬和传承缺乏智慧城市安全相关标准参考,例如,国家安全,关键信息基础设施安全等方面缺乏国家标准指导 A.2智慧城市安全管理风险智慧城市安全管理风险包括但不限于战略规划在智慧城市信息化建设过程中,缺乏智慧城市安全顶层设计、总体规划与策略规程 b 协同管理 I)在智慧城市信息化建设过程中,缺少安全角色与职责的定义; 在跨部门协调处理过程中存在阻力,管理职责不清或无人负责; 22 缺少统一协训管理机制,在破除信息壁垒、建立数据共享平台,实现跨部门和跨区城的数 33 据交互过程中无章可循智慧城市的网络环境比单一的信息系统更加复杂传统的城市安全管理模式和防护手段已经滞后,缺乏完善的管理制度缺乏对组织、人员和安全活动的监督管理机制,无法对智慧城市安全管理活动过程进行监控; 缺乏统一的安全评估机制和有效的策略改进机制安全意识智慧城市安全各角色,如决策者、管理者、建设与运营者、服务提供者及服务使用者缺乏信息安全保护意识; 智慧城市重要业务领域组织内部,操作人员缺乏安全意识和安全技术技能,存在人为操作错误及安全疏忽导致的安全事件; 缺少安全事件的宣传教育活动,相关人员缺乏对已经发生的安全事件的深刻理解 d 安全检查智慧城市关键信息基础设施和网络设备缺乏严格的认证和准人机制如果采用了未经严格准人认证的设备,这些设备可能被恶意植人后门或漏洞,将导致严重的安全隐患甚至整个网络被控制关键信息基础设施中的网络和重要信息系统的设施的核心技术和关键产品技术安全可控率低,存在安全隐患一旦被攻击者利用,将导致国家机密信息泄漏和网络中断或瘫痪等 1
GB/T37971一2019 A.3智慧城市安全技术风险 A.3.1物联感知层物联感知层安全风险包括但不限于: 感知设备数量巨大,分类众多,缺乏统一的安全标识和身份鉴别管理机制攻击者可通过恶意 a 放置假冒的设备冒充合法的设备接人网络,非达接收和发送信息,导致网络信息泄漏 b 攻击者可利用物联感知层设备防御能力有限的特点,非法俘获感知设备,更换或破坏软硬件,非法控制节点信息接收和发送,篡改和未在节点信息对智慧城市信息系统甚至互联网进行攻击攻击者可通过技术手段对感知设备进行监听,获取智慧城市敏感信息 c 小物联感知层中采用的无线通信技术容易导致信息泄漏,攻击者可以利用这些漏洞对信息进行窃取和非法篡改感知设备加密运算和存储能力有限,防御能力有限,容易成为攻击者的目标,实施拒绝服务攻击,使设备丧失运行能力攻击者可通过无线电波干扰使得感知设备无法正常工作 f 在工业控制领域中的信息系统和网络设备生命周期较长,软件较少更新或不能及时安装补丁 g h 由于关键信息基础设施系统的安全架构具有脆弱性,攻击者可挖掘控制器的安全防护薄弱点进行攻击,最终导致整个系统的瘫痰攻击者对关键信息基础设施中的设备进行越权访问和非法远程访问攻击者篡改关键信息基础设施中对执行设备的控制指令,将导致信息流的中断或设备故障,引 j 发重大安全事故 k 攻击者可利用关键信息基础设施系统中的设备存在的漏洞和后门,对执行设备非法控制或攻击 A.3.2网络通信层网络通信层安全风险包括但不限于智慧城市业务系统开放融合的需求使得关联系统之间的边界模糊化,由物理隔离方式转变为 a 逻辑隔离方式,攻击者非法访问网络通信设备,监听重要数据信息; b 网络通信设备本身存在安全漏洞,攻击者可以通过利用这些安全漏洞对网络发起攻击网络通信设备防护能力和计算能力有限,易被攻击者利用发起拒绝服务攻击; d 网络传输协议存在设计缺陷和漏洞,容易被攻击者挖掘利用,导致数据信息被窃听,劫持或篡改网络深度融合使互联网病毒更容易转移和扩散,攻击这实施网络安全攻击的影响力和破坏力度更强; 大多网络只部署了基础防护措施,但安全态势感知和防护能力不足,攻击者可利用新型威胁发 f) 起网络攻击; 关键信息基础设施网络如果不能保证时间同步,可能直接影响到关键业务运行,使得攻击者有机会利用中间人攻击或拒绝服务等攻击,对网络中关键信息进行拦截、删除,或导致系统瘫痪业务中断,甚至发生意外事故; 关键信息基础设施系统中,网络设备硬件缺少物理保护,环境控制以及物理访问控制,容易导 h 致设备损坏,数据和设备被窃取 i 关键信息基础设施系统中,网络设备配置没有存储或备份,网络安全架构安全性相对薄弱 i 关键信息基础设施系统中,没有明确的网络边界或者缺乏正确的边界防护策略,导致攻击和病毒扩散关键信息基础设施系统中,网络设备物理端口缺少防护,移动介质中的病毒等可导致对整个系 k 统的攻击关键信息基础设施系统中网络设备缺少安全配置,缺少加密口令,易导致攻击者可以实施非授 I 12
GB/37971一2019 权连接对设备进行控制,破坏和监视网络系统中的操作和行为; 关键信息基础设胞系统中,多采用专用控制与通信协议,这些协议无安全设计考虑,攻击者可 m 以进行非法访问、数据被篡改以及发起重放攻击 A.3.3计算与存储层计算与存储层的安全风险包括但不限于计算资源基础设施安全缺乏物理安全防护; a 攻击者可以通过非法远程访问窃取云端数据; b) 服务程序和平台组件可能因错误配置导致业务中断或者数据被破坏和泄漏 c 云平台界面和API接口可能因错误配置导致业务中断或者数据被破坏和泄漏 d 虚拟化环境中一个安全风险点可能导致整个虚拟环境的安全风险; e 智慧城市公共信息服务平台发现风险能力和安全维护能力不足; 平台软件的开发和交付未经第三方检测认证,易引人恶意代码导致安全风险 g h 智慧城市公共信息服务平台的安全态势感知能力和应对新型威胁防护能力不足; 城市数据集中存储在几个数据库中,攻击者对数据库的非法访问容易导致数据泄漏数据库管理系统软件需求规范或设计中的 k ]无意逻辑错误可能产生设计弱点或缺陷,恶意用户恶意攻击者可通过修改数据库审计策略,使数据库审计功能停用或失效、审计记录丢失或被算改,也有可能通过审计数据存储失效来阻止未来审计记录被存储,从而掩盖用户的操作 m关键信息基础设施中的系统平台缺乏正确的密码管理机制,存在不使用密码或使用弱口令现象; 关键信息基础设施中的系统平台不安装或升级系统补丁、人侵检测软件、防病毒软件,导致服 n 务器被攻击,数据被窃取、修改或删除; 关键信息基础设施系统中的系统平台可能存在后门,容易被攻击者利用对控制系统进行攻击; o 关键信息基础设施系统中,互联网安全风险容易引人生产网络云平台,攻击者可通过钓鱼网站 p 和恶意软件获取重要敏感信息 A.3.4数据及服务融合层数据及服务融合层的安全风险包括但不限于政府部门的数据开放程度不够,不轻易共享给其他业务部门;各部门或行业数据与服务不开 a 放,各自为政,形成了信息孤岛; 数据来源真实性、时效性和准确性缺少安全保证 b 非结构化数据信息化程度不足,数据本身缺乏有效性; c d 存在跨信息系统甚至跨行业、跨区域的非授权访问数据共享前缺少脱敏处理,易导致数据的恶意关联和信息泄漏 e 数据来源广泛以及数据的多样性使得数据量巨大且数据结构复杂,远超越单个行业或企业的管理能力,数据处理和融合以及数据维护的工作量大,传统信息安全审计规则应用有限,很难进行统一监控审计; 缺乏对数据有效的安全监管,存在数据滥用现象,数据控制权界限模糊 g h) 多行业多业务交叉,多业务服务的逻辑风险叠加,逻辑错误可能导致业务服务瘫痪 i 业务系统架构不同、数据格式不同以及服务业务运行环境不同,缺乏标准的服务接口和应用管理在大数据场景下变得越来越难以操作,易导致个人信息泄露 kk 关键信息基础设施系统中,攻击者可通过木马病毒等获取国家重要敏感信息 A.3.5智慧应用层智慧应用层安全风险包括但不限于 13
GB/T37971一2019 应用系统面临病毒、后门、木马、漏洞以及恶意软件安全风险,存在数据泄漏,被篡改以及远程 a 控制风险; 智能终端的漏洞,病毒和木马等会导致信息泄漏,甚至导致威胁通过网络向系统中扩散 b 多种智慧应用和网站的发展使得个人信息泄露风险极大 c d 攻击者可在智慧应用服务与智慧城市信息管理平台以及与公共基础数据库和公共服务数据库之间的应用接口进行数据窃取或恶意篡改网站人侵频发,重点网站中存在钓鱼网站,高危漏洞较多,存在内容篡改和数据泄露风险; ee D 用户账户弱口令和密码存在暴力破解风险智慧应用中用户身份鉴别逻辑复杂度和难度提升,信息被盗将导致用户的个人隐私信息泄漏 g 或数据失窃; h 网络监测和审计范围将扩展到大量的音视频数据内容,异常行为检测和判断更加困难;攻击者可将危害性的信息以音视频数据传播给公众,造成社会混乱和恐慌; 在关键信息基础设施的相关系统中,攻击者可利用互联网中的攻击,针对城市关键信息基础设施系统中的漏洞实施有针对性的病毒、木马、恶意代码等攻击; 关键信息基础设施系统面临着组织内部的攻击窃取系统数据 k 在关键信息基础设施的相关系统中,攻击者可通过钓鱼网站,垃圾邮件和恶意软件通过攻击脚本和协议发起攻击; 在关键信息基础设施的相关系统中,攻击者可通过损害系统文件、硬件驱动、关键控制过程、执行程序和控制设备发起攻击在关键信息基础设施的相关系统中,攻击者通过信息收集和网上欺诈等行为破坏关键信息基 m 础设施业务系统 A.4智慧城市安全建设与运营风险分析智慧城市建设与运营风险包括但不限于安全工程建设 a 1 在智慧城市安全的建设过程中,“重功能、轻安全”“先建设,后安全”现象普遍存在尤其是关键信息基础设施的安全建设方面,存在安全建设与信息化规划、建设、运行不同步这导致在维护和运戳过程中容易出现建设进程脱节,安全推护困难智慧城市信息化建设过程中包括工程项目设计、采购、系统集成与设置、人员安全与管理、安全制度建设以及第三方管理多个阶段,目前缺乏对各阶段的监督、核查与存档机制,安全事件发生无法追溯 b 智能终端和网络用户数量的增加、数据来源广泛、数据的多样性、数据结构的复杂化,数据难于维护缺乏城市整体风险态势感知和控制能力;多网络融合与多系统的交叉与迭代,业务逻辑处理的 e 复杂度增高,难于检测安全问题缺乏快速有效的安全事件处理和控制及溯源机制 d 缺乏系统的分级维护机制，一旦出现网络安全事件,可能会导致系统设计和流程更新、数据篡 e 改、业务中断等,难以应对和控制风险影响缺乏城市各部门之间联动的风险预警和应急处置机制;智慧城市中的信息系统超越了单个机构和组织的边界,成为社会化、协同化的开放系统,威胁信息可能在网络和系统之间进行信息传递和扩散 g 缺乏对城市安全建设的统筹规划以及完善的安全灾备机制严重自然环境灾害会导致智慧城市信息系统瘫痪,严重影响城市管理和业务运行 14
GB/37971一2019 附录 B 资料性附录智慧城市安全技术要求 B.1物联感知层本层主要包括对智慧城市信息系统中的感知设备和执行设备防护、检测,对上述设备安全风险和威胁的响应处置,保证感知设备信息采集安全以及执行设备的指令信息安全,恢复设备及业务系统安全运行本层的安全技术要求包括但不限于: 对感知设备、执行设备安全防护,防止未授权访问、人侵、窃取、损坏和干扰; a b 保证感知设备的采集数据、传输信息的实时性、机密性和完整性保证执行设备指令的实时性、完整性和可用性; c d 建立统一的标识安全管理和身份鉴别机制,保证感知设备的合法接人; 保证具有存储功能的感知设备的数据存储安全,保证数据的机密性、完整性和可用性; 支持感知设备和执行设备安全事件可记录、可追溯保证感知设备满足物理和环境安全,接人控制安全,访问控制、网络安全接人、资源控制、配置 g 更新、数据安全,恶意人侵和代码防范以及建设与运维管理等安全要求 B.2 网络通信层本层主要包括对智慧城市的互联网、电信网、广播电视网以及三网之间的融合的公共网络,以及些专用网络的网络设施、,通信传输以及终端接人等方面部署安全防护措施,检测其安全风险与威胁,并对其安全威胁响应处置,恢复智慧城市网络及系统安全运行本层的安全技术要求包括但不限于根据智慧城市业务重要性划分网络安全域,进行分区分级管理,对不同网络分区采取不同安全 aa 级别的隔离防护措施; 对智慧城市中不同网络或区域之间边界采取访问控制、安全审计、边界完整性检查、人侵防范、 b 恶意代码防范等防护措施,对网络日志进行管理分析;网络或区域之间边界包括但不限于智慧城市中各行业应用系统之间以及各行业应用系统与公共支撑信息系统之间; 保证跨部门、跨行业、跨系统传输数据的安全,保证数据的保密性、完整性、可用性; 支持对网络设备、通信线路、传输数据、协议和移动终端等的安全防护与检测,避免未授权访问、干扰、窃听和损坏,保证网络通信的连续性和可靠性; 建立对出境网络数据和流量的监 ,对需要出境的网络数据和流量进行安全评估,对咖分所机刷深层,复杂、隐蔽性监听等安全威胁建立有效的防御和处理机制; 规定智慧城市关键网络的访问控制规则和控制粒度;对涉及城市关键信息基础设施网络的访问、数据操作和传输按照相关标准予以控制; 各行业应用系统具备向智慧城市公共支撑与服务平台开放接口的功能保证智慧城市应用接口安全使用控制,分析和管理,安全地进行数据读取、修改,存储、删除; h 对网络整体运行状态、网络日志,安全风险和威胁信息进行统一管理除了基础的网络防御措施外,还具备全网络安全态势检测,分析和防御能力,以及新型和高级威胁检测、分析,预警和 15
GB/T37971一2019 防御能力,以防止APT攻击或0Day漏洞攻击等 B.3计算与存储层 B.3.1计算资源安全本层的安全技术要求包括但不限于确保智慧城市计算资源基础设施设于境内保证城市服务数据和服务平台的安全 a 根据智慧城市公共信息服务支撑平台承载的业务系统重要程度或安全保护等级进行区域划 b 分,并实现区域间访问控制安全防护,安全检测,以及智慧城市用户间的网络资源隔离,资源安全，支持采用异构计算资源统一管理和安全接人; c d 支持计算资源的数据与业务应用容灾备份; 支持安全审计活动对智慧城市基础计算业务过程的影响最小化 e fD 对于涉及关键信息基础设施领域的计算资源,所采购的重要网络产品和服务通过国家网络安全审查; 确保智慧城市计算资源具有业务处理冗余架构,保证系统的可用性及业务的连续性 8 B.3.2软件资源安全本层的安全技术要求包括但不限于 a 对智慧城市计算与存储软件统一安全管理,包括使用权限管理、脆弱性监测、漏洞扫描、病毒木马及恶意程序的检测与监控等 b -的身份鉴别和管理系统-归口各类用户身份信息限制不同类别用户对数据信息的访建设统- 问能力及范围,确保服务和数据不被非法使用和访问使用业界成熟的软件版本,软件供应商能提供有效的软件升级和维护服务 d 支持最小化安装原则,仅安装必要的组件和应用程序 e 支持智慧城市计算与存储层的软件数据备份功能 B.3.3存储资源安全本层的安全技术要求包括但不限于确保智慧城市存储资源基础设施设于境内,保证数据存储安全 a 5 确保智慧城市存储资源的高可靠性和高可用性; 建立智慧城市数据存储架构和安全控制机制,确保对智慧城市数据存储系统具有加密、容错及容灾能力; 采用虚拟化存储时满足不同租户间虚拟化存储空间的安全隔离,其他租户或者平台管理员非 d 授权不能访问租户存储空间存储资源管理平台支持恶意代码检测和处置的能力; 保证智慧城市中建立、使用和维护数据库的数据库管理系统的安全,包括各行业应用系统数据库安全、智慧城市基础数据库安全以及上述数据库的实例安全; 支持多种数据容灾备份方式,智慧城市关键数据存储采用高安全性的数据备份保护机制,提供日数据异地备份的能力智慧城市基础数据库提供用户授权,身份鉴别,访问控制、数据库审计、数据库备份与恢复、数 h 据加密、资源限制等多种安全控制措施确保数据安全; 确保建立智慧城市关键业务数据库管理系统的软硬件设备位于境内 16
GB/37971一2019 B.4数据及服务融合层 B.4.1数据内容安全本层的安全技术要求包括但不限于 a 支持数据安全治理,明确智慧城市数据所有者以及最终责任人,经数据所有者授权,指定负责数据授权管理的责任人制定数据分类规则、数据管理策略根据数据分类和管理策略对数据进行不同安全级别保护 b 制定数据访问策略,规定数据可被存放的地理区域及相关安全要求,明确数据可被访问的人员角色和操作权限,建立相关安全审计机制; 建立数据调查取证体系,可提供取证基础数据,保证取证数据在收集、保存、分析及解释过程中的安全; 由专门的业务部门负责数据的归档、更新、存储及使用的安全 e 涉及政府信息的数据应按照国家颁布的相关法规和条例执行; 在跨部门,跨行业、跨系统数据交互时,应采取措施对数据传输进行安全控制和合规性分析 g B.4.2数据及服务融合安全本层的安全技术要求包括但不限于 a 智慧城市公共基础数据库和共享信息数据库的数据提供方保证数据的有效性和可用性 b 保证智慧城市公共信息和基础数据服务的有效性和可用性提供智慧城市基础信息数据库的安全防护能力,能够满足数据机密性,完整性和可用性,并发控制、故障恢复的要求,并提供数据库审计功能; 明确智慧城市公共信息和基础数据以及关键数据资产的拥有者,对数据访问的权限进行有效控制; 提供数据和服务接口安全,允许采用密码技术保护数据和应用程序接口,对接口统一认证、配置,并进行安全控制允许相关方(各行业应用系统和第三方审计者等)接人数据服务AP接口读/"写、管理或审计 fD 数据,支持多种身份鉴别机制: 监管部门对数据服务提供商和运营商建立监督和检查机制,保证数据服务的安全可持续 g h)保证跨部门、跨行业,跨系统、跨区域之间数据交换和共享安全,根据数据交换和共享策略和合作协议部署保护措施,保证数据交换和共享的协议安全对敏感信息共享进行合规性审计,共享前对必要的敏感信息进行脱敏保护,并满足导人、导出、共享披露、隐私合规与操作监控安全,必要时签署保密协议明确权利和责任,防止相关信息的恶意业务关联 B,5智慧应用层安全本层主要包括对应用软件、智能终端、网站等部署防护措施,检测其安全威胁,对其安全风险和威胁响应进行处置,恢复智慧城市智慧应用服务功能本层的安全技术要求包括但不限于智慧城市的各项智慧应用设计和安全满足用户身份鉴别、自主访问控制、安全审计、用户数据 a 完整性等安全等级要求; b 保证各行业应用系统与智慧城市公共信息服务平台的应用程序接口的安全 17
GB/T37971一2019 保证智慧城市各种应用服务的业务信息以及各行业应用系统与城市公共信息服务平台之间应用协议安全; d 对政府门户网站、电子邮件、信息系统、终端计算机、存储介质等进行防护; 对涉及境外的产品和服务经过风险评估并满足安全控制要求; e fD 支持智慧城市应用服务监督监管和安全治理机制,保证业务应用系统和软件开发环境及数据环境的安全; g 为各项智慧应用建立统一的身份鉴别访问控制、安全评估和安全审计机制,保证有效的权限管理和安全事件可追溯 18
GB/37971一2019 录附 C 资料性附录智慧城市安全技术功能概述 C.1 智慧城市安全功能矩阵描述了智慧城市技术参考模型各层与安全功能的对应关系,如图C.1所示功能防护检测响应恢复安全层物理环境安全安全运行检查隔离与阻断冗余设计身份鉴别入侵防范物感知设备安全接入控制联升级与补访问控制数据可用性恶意代码软件容错感数据完整性数据保密性执行设备安全安全审计追查与溯x 知数据与系续备份介质安全架中管控 t+##6 安全运行检查物理与环境安全网网络设施隔离与阻断网络冗余设计入侵防范软件市线网络架构应用管控升级与补丁通信传输软件容错通信传输资源控制恶意代码边界防护两络设备防护追查与溯派数据容灾备份终入安全审计访问控制移动终端管控集中管控入侵防花物理与环境安全隔离与阳斯数据容灾备份算派身份鉴别数据保害性恶意代码升级与补T 软件容销访问控制数据完整性软件资源安全审计系统容灾备份网络架构镜像和快照追查与溯源软件容错存储资接口安全剩余信息保护资源控制身份鉴别安全审计数据内容安全隔离与阻断软件容错访问控制软件容错升级与补丁数据备份恢复剩余信息保护数报融合安全数据完整性追查与溯源系统容灾备份个人信息保护资源控制服务融合安全数据保密性身份签别应用软件安全审计隔离与阻斯软件容错访间控制软件容错数据备份恢复智能终端升级与补丁剩余信息保护数据完整性数据保密性应用备份恢复 w安全追查与溯源软件审核与检测个人信息保护图C.1 智慧城市安全技术功能矩阵物联感知层安全技术包括但不限于感知设备和执行设备的身份鉴别访问控制、环境与机房与介质等安全防护、物理环境监控和运行状态监控等网络通信层安全技术包括但不限于用户密码、身份鉴别、接人认证、安全域划分和边界访问控制、传输中内容保护和网络人侵防护,网络行为和协议数据报文的人侵检测与设备监控、网络链路冗余和设备冗余、互联网、电信网和广播电视网络通信协议安全以及管网管线等线路保护计算与存储层安全技术包括但不限于操作系统软件安全和服务器主机安全,包括:用户密码、数字证书和口令等身份鉴别和身份管理,系统配置和内容访问权限控制,文件加密和恶意代码人侵防护,系统完整性漏洞扫描和主机检测、本地和远程数据与日志的备份 19
GB/T37971一2019 数据及服务融合层安全技术包括但不限于数据及服务接口防护,数据库访问、数据访问行为检测与审计以及数据备份等智慧应用层安全技术包括但不限于账户、密码和口令等身份鉴别和身份管理、应用系统内置和数据的访问权限控制.web及邮件等安全防护,数据库源代码和应用系统日志等监测监控、应用程序、数据库及日志的备份通过对智慧城市安全技术模型中的安全功能概括,可以总结为防护、检测、响应和恢复几项功能要素 C.2 防护利用现代密码技术对设备和用户进行身份鉴别,对网络、设备、数据和服务进行访问控制,采用防火墙等技术隔离外部人侵的边界防护,对关键信息基础设施、数据资产以及应用服务提供人侵防范和恶意代码防范措施 C3 检测采用渗透测试、,恶意代码检测、人侵检测、漏洞扫描、源代码检测、接口检测等技术手段对智慧城市信息系统、网络,设备、平台及应用等进行安全检测,发现其安全风险与威胁,排查脆弱性安全审计是通过技术手段对上述智慧城市信息系统、网络,设备、平台,数据及应用等的安全相关活动的信息进行识别、记录、存储和分析,以及对审计数据的存储、分析和查阅等 C.4响应采取相应措施，一方面保证智慧城市中各信息系统在安全事件发生前具有充分准备,并通过技术手段对某些特征的收集,分析、隔离、限制或禁止异常的网络活动,抑制安全事件的发生另一方面,在安全事件发生时,根据多方相关信息关联分析,明确攻击者、目标、手段等,及时对发现安全风险,安全威胁和弱点快速启动应急预案,及时采取处理措施,发布报警信息 C.5恢复采用多种容灾与备份机制,保证一旦发生安全事件,立即启动应急响应恢复机制实现系统还原,保证智慧城市关键业务以及各项应用和服务的连续性同时提供安全事件的评估、反馈信息及攻击行为的再现和研究 20
GB/37971一2019 考文参献 ofcommunities Indicatorsfor [1]Iso37120;2014Sustainable developmet cityservicesand qualityoflife Smart Reviewof tivitiesrele [2]IsO/TR37150:2014 comtmunityinrastructures existingact vanttometrics Version1.0,February [3]NSTFrameworkforImproving CriticalInfrastructureCybersecurity 12,2014 [4]PAs180:2014,SmartcitiesVocabulary,BSl [5]PAS181;2014,Smarteityframework forsmarteitiesand Guidetoestablishingstrategies communities,BST [6SSC-0100-rev-2,SmartSustainableCitiesAnalysisofDefinitions,ITU-TFGSSC,IS(OFo cus十,Volumme4,No.1,January2013 estions [7]SsC-0110,TechniealReporonStandardizationActivitiesandGapsforSSCandsugge toSG5,ITU-TFGSSC [8 SSC162:KeyperformanceindicatorsKPIs)definitionsforSmartSustainableCities,ITU- T/FGss

信息安全技术智慧城市安全体系框架GB/T37971-2019解读

随着智慧城市建设的不断推进，信息化技术在城市中的应用越来越广泛。智慧城市的发展需要一个强大的信息安全保障体系，以确保城市的公共安全和个人隐私的安全。因此，国家标准化管理委员会发布了《信息安全技术智慧城市安全体系框架》标准（以下简称GB/T37971-2019）。

GB/T37971-2019标准概述

GB/T37971-2019是一项针对智慧城市安全体系的标准，旨在为智慧城市提供统一的信息安全保障体系。该标准包括三部分：基础篇、应用篇和管理篇。

基础篇主要介绍智慧城市的基本概念、架构、特点和安全需求等。
应用篇主要介绍各类智慧城市应用场景下的安全需求和解决方案。
管理篇主要介绍智慧城市信息安全管理体系、组织与责任、风险管理、安全保障措施等方面。

GB/T37971-2019标准的重要性

GB/T37971-2019标准的出台，对于推动智慧城市建设具有重要意义。该标准能够为智慧城市提供一个统一的信息安全保障体系和规范，确保城市的公共安全和个人隐私得到充分保护。

此外，GB/T37971-2019标准还可以帮助企业制定更加完善的信息安全策略和管理体系，提高信息安全管理的水平和效率。

GB/T37971-2019标准的应用情况

目前，GB/T37971-2019标准已经被广泛应用于各大智慧城市建设中。例如，北京市政府就将该标准纳入了《北京市智慧城市建设规划（2016-2020年）》，并在实际工作中不断完善和推广。

此外，各大企业也开始将该标准应用到自己的信息安全管理中，如华为、腾讯等知名企业。这些企业通过借鉴GB/T37971-2019标准的内容和思路，建立了更加完善的信息安全保障体系，确保了企业信息资产的安全和稳定。

结论

GB/T37971-2019标准的出台，标志着我国智慧城市建设已经进入了一个全新的阶段。该标准的应用将有利于智慧城市的健康发展和信息安全保障，也将为企业的信息安全提供更加可靠的保障。

未来，我们相信随着技术的不断发展和标准的不断完善，GB/T37971-2019标准将会在智慧城市建设中发挥越来越重要的作用，为城市的公共安全和个人隐私提供更加强有力的保障。