犐犆犛３５．０４０ 犔８０ 　 GB !"#$%&''()*+,-./012 犌犅／犣３８６４９—２０２０ m o c . 5 !"#$%& '()*+,!"#$-./0 b u 犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狋犲犮犺狀狅犾狅犵狔— 犌狌犻犱犲狅犳犻狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔犪狊狊狌狉犪狀犮犲犳狉犪犿犲狑狅狉犽犳狅狉狊犿犪狉狋犮犻狋犻犲狊 h t i g ２０２００４２８ 12 ２０２０１１０１ 34 '(3456789: '()*+78;<= 1 2 犌犅／犣３８６４９—２０２０ 目 　　 次 前言 ………………………………………………………………………………………………………… Ⅲ 引言 ………………………………………………………………………………………………………… Ⅳ １　 范围 ……………………………………………………………………………………………………… １ ２　 规范性引用文件 ………………………………………………………………………………………… １ ３　 术语和定义 ……………………………………………………………………………………………… １ ４　 缩略语 …………………………………………………………………………………………………… ２ ５　 概述 ……………………………………………………………………………………………………… ２ 　５．１　 智慧城市建设信息安全需求 ……………………………………………………………………… ２ 　５．２　 智慧城市建设安全保障过程 ……………………………………………………………………… ３ 　５．３　 智慧城市建设主要角色安全责任 ………………………………………………………………… ４ ６　 智慧城市建设安全保障机制 …………………………………………………………………………… ４ 　６．１　 责任人机制 ………………………………………………………………………………………… ４ 　６．２　 追溯查证机制 ……………………………………………………………………………………… ５ 　６．３　 监督检查机制 ……………………………………………………………………………………… ５ 　６．４　 应急预案演练与处理机制 ………………………………………………………………………… ５ 　６．５　 服务外包安全责任机制 …………………………………………………………………………… ５ 　６．６　 信息安全保障教育培训机制 ……………………………………………………………………… ６ ７　 智慧城市建设全过程安全保障管理 …………………………………………………………………… ６ 　７．１　 政策制定与审查监督 ……………………………………………………………………………… ６ 　７．２　 信息安全保障规划 ………………………………………………………………………………… ６ 　７．３　 信息安全保障需求分析 …………………………………………………………………………… ６ 　７．４　 信息系统安全保障设计 …………………………………………………………………………… ６ 　７．５　 信息系统实施安全保障 …………………………………………………………………………… ７ 　７．６　 信息系统运行维护安全保障 ……………………………………………………………………… ７ 　７．７　 信息安全保障优化与持续改进 …………………………………………………………………… ８ ８　 智慧城市建设信息安全保障技术 ……………………………………………………………………… ８ 　８．１　 计算环境安全保障技术 …………………………………………………………………………… ８ 　８．２　 区域边界安全保障技术 …………………………………………………………………………… ９ 　８．３　 通信网络安全保障技术 …………………………………………………………………………… ９ 　８．４　 应用安全保障技术 ………………………………………………………………………………… １０ 　８．５　 大数据安全保障技术 ……………………………………………………………………………… １０ 　８．６　 产品与系统安全接口 ……………………………………………………………………………… １１ 　８．７　 安全管理中心技术要求 …………………………………………………………………………… １１ 附录 Ａ （资料性附录）　 智慧城市整体框架与主要特征 ………………………………………………… １２ 附录 Ｂ （资料性附录）　 智慧城市风险评估方法和流程 ………………………………………………… １５ m o c . 5 b u h t i g = Ⅰ 犌犅／犣３８６４９—２０２０ 附录 Ｃ （资料性附录）　 智慧城市网络空间安全事件分类分级 ………………………………………… １６ 附录 Ｄ （资料性附录）　 信息安全建设内容编制指南 …………………………………………………… １８ 附录 Ｅ （资料性附录）　 信息分类分级管理 ……………………………………………………………… １９ 参考文献 …………………………………………………………………………………………………… ２３ m o c . 5 b u h t i g Ⅱ __ 犌犅／犣３８６４９—２０２０ 前 　　 言 　　 本指导性技术文件按照 ＧＢ／Ｔ１．１—２００９ 给出的规则起草 。 请注意本文件的某些内容可能涉及专利 。 本文件的发布机构不承担识别这些专利的责任 。 本指导性技术文件由全国信息安全标准化技术委员会（ＳＡＣ／ＴＣ２６０）提出并归口 。 本指导性技术文件起草单位 ：浙江省经济信息中心 、中国电子技术标准化研究院 、中国信息安全测 评中心 、国家信息中心 、中电长城网际系统应用有限公司 、中电海康集团有限公司 、阿里云计算有限公 司 、杭州安恒信息技术有限公司 、西南科技大学 、浙江省发展信息安全测评技术有限公司 、浙江省标准化 研究院 、浙江省电子产品检验所 、杭州云嘉云计算有限公司 、成都秦川物联网科技股份有限公司 、浙江安 科网络技术有限公司 、深信服科技股份有限公司 、浙江鑫诺检测技术有限公司 、杭州世平信息科技有限 公司 。 本指导性技术文件主要起草人 ：吴前锋 、上官晓丽 、王惠莅 、杜宇鸽 、许涛 、闵京华 、谢海江 、张向阳 、 黄洪 、赵一农 、范渊 、王勃艳 、张大江 、张君 、陈自力 、祝利锋 、周俊 、王世 、俞群爱 、李宁 、邵泽华 、张亮 、 齐同军 、刘松国 、黄晓芹 、史锋 、麦联韬 、方洪波 、赵宏凯 、黄晓芳 、涂万彬 。 m o c . 5 b u = h t i g Ⅲ 犌犅／犣３８６４９—２０２０ 引 　　 言 　　 智慧城市建设是一项复杂的大型系统工程 ，其信息安全问题显得尤为重要 。 智慧城市以海量信息 运作与创新理念为特征 ，互联网 、物联网 、云计算 、移动互联网等均为其重要支撑 ，因此其信息与网络乃 至应用终端的安全问题均比一般互联网的信息安全问题要多 ，包括隐私问题 、可信问题 、防伪 、业务拒绝 （ＤｏＳ）侵入与攻击问题等 。 系统的信息感知层 、接入与传送层 、应用层与终端层 、智能／智慧处理及协同 平台层等诸多层面存在安全风险 ；云平台多用户租用的包括知识产权与隐私权保护等问题 ，给其安全保 障带来新挑战 ；设备无人值守 、自适应管理与自断 、自通连接等状态 ，也增加了安全系统的设计与实施难 度 ；智能物体间进行互相识别 、互通与交流 ，需要可靠地确保其信息安全性乃至隐私权等 ；而且多元异构 互联 、分布计算等特性导致其安全体系一体化整合难度很大 ，复杂的社会管理环境等也带来诸多突发性 不安全因素 。 这些不安全因素可能会影响整个城市运行 ，对信息安全保障提出了更高的要求 。 为此 ，需 要针对智慧城市的特征 ，从信息安全管理和技术保障等视角 ，给出智慧城市建设全过程信息安全保障规 范 ，特制定本指导性技术文件 。 本指导性技术文件可用于智慧城市建设各相关单位 ，有助于信息安全主管部门为智慧城市建设相 关单位明确智慧城市建设全生命周期各阶段的信息安全保障要求与责任提供指导 ，以保障智慧城市建 设主体各方的权益 ，增强抵御风险和自主可控的能力 ，同时可为智慧城市管理 、工程技术及第三方服务 等相关人员提供管理和技术参考 。 m o h t i g Ⅳ " b u c . 5 犌犅／犣３８６４９—２０２０ 信息安全技术 智慧城市建设信息安全保障指南 １　 范围 本指导性技术文件提供了智慧城市建设全过程的信息安全保障指导 ，包括智慧城市建设从规划与 需求分析 、设计 、实施施工 、检测验收 、运营维护 、监督检查与评估到优化与持续改进的全过程信息安全 保障的管理机制与技术规范 。 本指导性技术文件适用于智慧城市规划 、管理 、建设 、运营 ，也可为其他智慧城市建设信息安全相关 标准的制定提供依据和参考 。 m o ２　 规范性引用文件 下列文件对于本文件的应用是必不可少的 。 凡是注日期的引用文件 ，仅注日期的版本适用于本文 件 。 凡是不注日期的引用文件 ，其最新版本（包括所有的修改单）适用于本文件 。 ＧＢ／Ｔ２２０８０—２０１６　 信息技术 　 安全技术 　 信息安全管理体系 　 要求 ＧＢ／Ｔ２２０８１—２０１６　 信息技术 　 安全技术 　 信息安全控制实践指南 ＧＢ／Ｔ２２２３９—２０１９　 信息安全技术 　 网络安全等级保护基本要求 ＧＢ／Ｔ２５０６９—２０１０　 信息安全技术 　 术语 ＧＢ／Ｔ２５０７０—２０１９　 信息安全技术 　 网络安全等级保护安全设计技术要求 ＧＢ／Ｔ３４６７８—２０１７　 智慧城市 　 技术参考模型 ＧＢ／Ｔ３６３３３—２０１８　 智慧城市 　 顶层设计指南 c . 5 b u ３　 术语和定义 h t i g = ＧＢ／Ｔ２２０８０—２０１６、ＧＢ／Ｔ２２０８１—２０１６、ＧＢ／Ｔ２２２３９—２０１９、ＧＢ／Ｔ２５０６９—２０１０、ＧＢ／Ｔ３４６７８— ２０１７ 和 ＧＢ／Ｔ３６３３３—２０１８ 界定的以及下列术语和定义适用于本文件 。 ３．１ 安全域 　狊犲犮狌狉犻狋狔犱狅犿犪犻狀 同一系统内有相同的安全保护需求 ，相互信任 ，并具有相同的安全访问控制和边界控制策略的子网 或网络 ，且相同的网络安全等级 ，共享一样的安全策略 。 广义可理解为具有相同业务安全要求的ＩＴ 系 统要素的集合 。 ３．２ 安全区域边界 　狊犲犮狌狉犲犪狉犲犪犫狅狌狀犱犪狉狔 对定级系统的安全计算环