2024智慧城市网络安全建设和评估指南（2022年） (1).docx

智慧城市网络安全建设和评估指南Smart city cybersecurity construction and evaluation guidelines目 次前 言 III1 范围 12 规范性引用文件 13 术语和缩略语 13.1 术语和定义 13.2 缩略语 24 安全管理 24.1 安全管理机构 24.2 安全规划 34.3 安全管理制度 34.4 人员安全管理 44.5 安全建设管理 54.6 数据安全管理 64.7 移动应用安全管理 74.8 关键信息基础设施安全管理 74.9 运维管理 74.10 应急响应 104.11 网络安全供应商、服务商、运营商资质 115 安全技术 125.1 数据中心物理安全 125.2 物联感知与智能终端安全 125.3 区域边界与通信网络安全 135.4 云计算安全 145.5 计算和存储安全 155.6 数据安全 165.7 服务与接口安全 175.8 智慧应用安全 175.9 安全运营 185.10 保密及密码技术安全 216 安全评价指标体系 21附 录 A （资料性）基于零信任架构的智慧城市网络安全防护应用场景 22附 录 B （资料性）网络安全检测与评估应用场景 23附 录 C （资料性）数据防泄漏安全应用场景 24附 录 D （资料性）跨网数据交换安全应用场景 25附 录 E （资料性）抗攻击安全接入应用场景 27附 录 F （资料性）数据安全治理中台应用场景 29附 录 G （资料性）量子密码应用场景 31I附 录 H （资料性）智慧城市网络安全评价指标 32II1智慧城市网络安全建设和评估指南1 范围本文件提供了智慧城市网络安全建设和评估的指导。

本文件适用于智慧城市网络安全建设与评估，数字政府、数字园区、数据中心的网络安全建设运行和评估参考使用2 规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件GB/T 20984—2022 信息安全技术 信息安全风险评估方法GB/Z 20986 信息安全技术 信息安全事件分类分级指南GB/T 22239—2019 信息安全技术 网络安全等级保护基本要求GB/T 31167 信息安全技术 云计算服务安全指南GB/T 31168 信息安全技术 云计算服务安全能力要求GB/T 32400—2015 信息技术 云计算 概览与词汇（ISO/IEC 17788:2014,IDT） GB/T 36951—2018 信息安全技术 物联网感知终端应用安全技术要求GB/Z 38649—2020 信息安全技术 智慧城市建设信息安全保障指南 GB/T 39786—2021 信息安全技术 信息系统密码应用基本要求 GA/T 1781—2021 公共安全社会视频资源安全联网设备技术要求3 术语和缩略语3.1 术语和定义GB/T 32400—2015、GB/T 36951—2018界定的及下列术语和定义适用于本文件。

3.1.1关键信息基础设施 critical information infrastructure公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的网络设施和信息系统3.1.2零信任架构 zero trust architecture基于零信任理念，围绕其组件关系、工作流规划与访问策略构建而成的一种企业网络安全架构3.1.3数据安全 data security通过管理和技术措施，确保数据有效保护和合规使用的状态[来源：GB/T 37988—2019，3.1]3.1.4感知终端 sensing terminal能对物或环境进行信息采集和/或执行操作，并能联网进行通信的装置[来源：GB/T 36951—2018，3.1.2]3.1.5云计算 cloud computing一种通过网络将可伸缩、弹性的共享物理和虚拟资源池以按需自服务的方式供应和管理的模式模式[来源：GB/T 32400—2015，3.2.5]3.1.6云平台 cloud platform云服务商提供的云计算（3.1.5）基础设施及其上的服务软件的集合。

3.1.7安全审计 security audit对事件进行记录和分析，并针对特定事件采取相应比较的动作[来源：GB/T 20945—2013，3.2]3.1.8安全策略 security policy用于治理组织及其系统内在安全上如何管理、保护和分发资产（包括敏感信息）的一组规则、指导和实践，特别是那些对系统安全及相关元素具有影响的资产3.1.9信息技术应用创新 information technology application innovation通过行业应用构建国产化信息技术软硬件底层架构体系和全周期生态体系注： 简称信创3.2 缩略语下列缩略语适用于本文件AP：访问接入点（Access Point）API：应用程序接口（Application Program Interface） APP：移动互联网应用程序（Application）CA：证书颁发机构（Certificate Authority）DDoS：分布式拒绝服务攻击（Distributed Denial of Service） IP：网络协议（Internet Protocol）IT：互联网技术（Internet Technology） MAC：媒体访问控制（Media Access Control）VPN：虚拟专用网络（Virtual Private Network） Web：网站（Website）4 安全管理4.1 安全管理机构4.1.1 岗位设置21岗位设置主要包括：a) 智慧城市网络安全工作责任见《党委（党组）网络安全工作责任制实施办法》；b) 宜成立指导和管理智慧城市网络安全工作的委员会或领导小组，其最高领导由地方党政主要负责人或分管领导担任；c) 宜设立智慧城市网络安全管理工作的职能部门，负责智慧城市网络安全日常管理工作，设立安全管理、关键信息基础设施安全、重要信息系统安全、关键数据资源安全等各个方面的负责人岗位，并明确各岗位职责。

4.1.2 人员配备人员配备主要包括：a) 配备一定数量的智慧城市信息系统管理员、信息安全管理员和信息系统安全审计员等；b) 信息系统管理员、信息安全管理员和信息系统安全审计员等专职安全人员不可兼任4.1.3 授权和审批授权和审批主要包括：a) 根据不同岗位的职责明确授权审批事项、审批人等；b) 针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序，按照审批程序执行审批过程，对重要活动建立逐级审批制度；c) 定期审查审批事项，及时更新需授权和审批的项目、审批人等信息；d) 记录审批过程并保存审批文档备查4.1.4 审核和检查审核和检查主要包括：a) 制定安全审核和安全检查制度，定期按照程序进行安全审核和安全检查活动；b) 建立并实施智慧城市网络安全考核及监督问责机制，定期进行智慧城市网络安全检查及考核，检查内容包括智慧城市现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等；a) 汇总安全检查数据，形成安全检查报告，并对安全检查结果进行通报4.2 安全规划安全规划主要包括：a) 宜对智慧城市的安全建设进行总体规划，制定智慧城市近期和远期的安全建设工作计划；b) 智慧城市网络安全建设与各信息系统建设同步规划、同步设计、同步实施，基于零信任架构的智慧城市网络安全防护应用场景见附录 A；c) 宜控制智慧城市网络安全建设投资在智慧城市信息化建设投资中所占的比例在 5 %以上；d) 智慧城市中信息系统按 GB/T 22239—2019 和 GB/T 20984—2022 定期开展等级保护测评和信息安全风险评估，按 GB/T 39786—2021 定期开展商用密码应用安全性评估；e) 制定智慧城市基本安全措施，并依据等级保护测评、信息安全风险评估和商用密码应用安全性评估的结果补充和调整安全措施；f) 组织相关部门和安全专家对智慧城市安全建设总体规划的合理性和正确性进行论证和评审。

4.3 安全管理制度4.3.1 安全策略安全策略主要包括：a) 构建智慧城市网络安全管理制度体系，包含智慧城市网络安全方针策略、安全管理制度和工作机制等；b) 制定智慧城市网络安全战略方针和安全策略，阐明智慧城市网络安全战略目标、范围、原则和安全框架等，重点加强智慧城市关键信息基础设施、重要信息系统和关键数据资源的安全；c) 组建智慧城市网络安全研究队伍和智库机构或委托相关智慧城市网络安全研究机构开展智慧城市网络安全战略、策略、规划、制度体系等研究制定工作4.3.2 管理制度管理制度主要包括：a) 针对智慧城市网络安全管理活动中各类管理内容建立智慧城市网络安全管理制度；b) 制度正式发布并进行版本控制，并定期进行专家论证、评审和修订；c) 结合智慧城市网络安全管理实践，主导或参与智慧城市网络安全国家、行业、地方、团体标准，推动智慧城市网络安全标准的宣贯培训；d) 建立健全网络安全评价考核制度，并推动落实4.3.3 工作机制工作机制主要包括：a) 建立智慧城市网络安全通报机制，明确通报范围、通报流程等，各通报成员单位通过智慧城市安全监测、预警、通报和信息共享的安全监测中心通报智慧城市网络安全信息，通报成员单位覆盖智慧城市关键信息基础设施保护工作部门 80%以上；b) 建立智慧城市网络安全检查机制，明确检查流程、管理责任等；c) 每年至少开展一次智慧城市网络安全检查、网络安全等级保护测评、密码应用安全性评估，对其中发现的问题及时整改，处理相关风险；d) 建立失泄密监管机制，及时发现泄密隐患，上报处置；e) 建立智慧城市网络安全应急处置机制，制定应急预案，定期开展应急演练，处置网络安全事件；f) 建立智慧城市网络安全人才培养机制，定期发布智慧城市网络安全人才培养规划，并推动落实规划，定期了解各高校、企业智慧城市网络安全人才供给与需求，推动促进智慧城市网络安全人才的交流与合作。

4.3.4 运行记录运行记录主要包括：a) 制定智慧城市网络安全法律法规年度宣贯计划；b) 按照智慧城市网络安全管理制度开展智慧城市网络安全工作，重点推动国家网络安全审查、网络安全认证等的实施，并形成完整的资料文档4.4 人员安全管理4.4.1 人员管理人员管理主要包括：a) 对智慧城市安全管理机构相关录用人员身份、安全背景、专业资格等进行审查，并对其智慧城市网络安全技术技能进行考核；b) 与被录用人员签署保密协议；c) 及时终止离岗人员的所有访问权限。