智慧城市网络信息安全评价方法.docx
《智慧城市网络信息安全评价方法.docx》由会员分享,可在线阅读,更多相关《智慧城市网络信息安全评价方法.docx(55页珍藏版)》请在冰豆网上搜索。
智慧城市网络信息安全评价方法
信息安全技术
智慧城市网络安全评价方法
Informationsecuritytechnology
Cybersecurityevaluationmethodforsmartcity
目次
前言...........................................................................III
引言............................................................................IV
1范围...............................................................................1
2规范性引用文件.....................................................................1
3术语和定义.........................................................................1
4评价原则、方法及流程...............................................................1
4.1设计原则.......................................................................1
4.2评价原则.......................................................................2
4.3评价方法.......................................................................2
4.4评价流程.......................................................................2
5智慧城市网络安全风险分析...........................................................3
5.1物联感知层安全风险.............................................................3
5.2网络通信层安全风险.............................................................3
5.3数据与服务支撑层安全风险.......................................................3
5.4智慧应用层安全风险.............................................................4
6智慧城市网络安全评价指标体系.......................................................4
6.1评价指标体系框架...............................................................4
6.2框架描述.......................................................................5
6.3评价指标.......................................................................5
7评价指标释义.......................................................................7
7.1智慧城市网络安全管理...........................................................7
7.2智慧城市系统与数据安全........................................................11
7.3智慧城市网络安全运维..........................................................21
8数据采集方法......................................................................27
8.1资料审阅......................................................................27
8.2人员访谈......................................................................27
8.3问卷调查......................................................................28
8.4实地考察......................................................................28
8.5数据挖掘与分析................................................................28
8.6工具扫描......................................................................28
9指标量化及合成方法................................................................28
9.1指标量化方法..................................................................28
9.2一级指标的合成方法............................................................28
9.3安全保障综合指数的合成方法....................................................29
10综合评价结果.....................................................................29
参考文献.........................................................................30
引言
为贯彻落实《促进智慧城市健康发展的指导意见》、《关于加强智慧城市网络安全管理工作的若干意见》的要求,加强智慧城市网络安全管理工作的统筹协调,强化网络安全保障,以安全保发展,以发展促安全,增强智慧城市网络基础设施、重要信息系统、关键数据资源及服务的安全保障能力,促进智慧城市健康可持续发展,制定智慧城市网络安全评价指标体系,从智慧城市网络安全管理、智慧城市系统与数据安全和智慧城市网络安全运维方面评价智慧城市网络安全情况。
信息安全技术智慧城市网络安全评价方法
1范围
本标准规定了智慧城市网络安全规划、设计、建设和运营阶段适用的网络安全评价指标体系,确立了智慧城市网络安全评价方法,适用于智慧城市网络安全保障体系建设和安全监督管理,也适用于智慧城市网络安全的评估和评价。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。
凡是注日期的引用文件,仅注日期的版本适用于本文件。
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T25069-2010信息安全技术术语
GB/T31495.1-2015信息安全技术信息安全保障指标体系及评价方法第1部分:
概念和模型GB/T31495.2-2015信息安全技术信息安全保障指标体系及评价方法第2部分:
指标体系GB/T33356-2016新型智慧城市评价指标
GB/T31167-2014信息安全技术云计算服务安全指南GB/T31168-2014信息安全技术云计算服务安全能力要求GB/T20988-2007信息安全技术信息系统灾难恢复规范GB/TAAAA-AAAA智慧城市技术参考模型
GB/TBBBB-BBBB智慧城市评价模型及基础评价指标体系第1部分:
总体框架
GB/TCCCC-CCCC智慧城市评价模型及基础评价指标体系第2部分:
分项评价指标制定总体要
求
GB/TDDDD-DDDD智慧城市建设信息安全保障指南(草案)
3术语和定义
GB/T25069-2010中界定的以及下列术语和定义适用于本文件。
3.1
智慧城市smartcity
运用物联网、云计算、大数据、空间地理信息集成等新一代信息技术,促进城市规划、建设、管理
和服务智慧化的新理念和新模式。
[GB/TDDDD-DDDD,定义3.1]
4评价原则、方法及流程
4.1设计原则
参考《GB/TBBBB-BBBB智慧城市评价模型及基础评价指标体系第1部分:
总体框架》和《GB/TCCCC-CCCC智慧城市评价模型及基础评价指标体系第2部分:
分项评价指标制定总体要求》
4.1.1科学性
评价模型设计和指标选取应能够体现智慧城市网络安全的主要内容,反映智慧城市发展面临的主要安全风险。
4.1.2导向性
评价模型设计和指标选取应考虑智慧城市建设的循序渐进,应包含体现智慧城市发展安全愿景的指标,引导智慧城市安全发展。
4.1.3代表性
评价指标选取应能较全面反映网络安全方面的总体水平。
4.1.4可采集性
评价指标应具有广泛适用的数据获取来源,并便于采集。
4.1.5可考核性
评价指标应明确每个指标的含义与适用范围。
4.2评价原则
4.2.1全生命周期原则
智慧城市评价可应用于智慧城市全生命周期中的各阶段,包括规划设计、实施及验收、运行及维护、变更或调整等阶段。
4.2.2按需选用原则
评价指标可根据具体的建设运行情况和评价方式需求进行选取或裁减。
4.2.3主客观结合原则
应将城市建设客观情况与城市居民、企业、政府管理者的主观感受进行结合,以客观指标为主、主观指标为辅,综合评价智慧城市安全建设成效。
4.3评价方法
应确定合理的评估方式、计算方法、指标权重值。
对指标赋予权重时,应重点参考智慧城市的发展规划、发展目标及重点发展领域,综合考虑不同城市对同一评价指标的重视程度,确定具体城市的评价指标权重值,本标准中列出参考值。
4.4评价流程
智慧城市网络安全评价是为了验证智慧城市网络安全保障的有效性而开展的一系列评价活动。
参考GB/T31495.1-2015《信息安全技术信息安全保障指标体系及评价方法第1部分:
概念和模型》中的图2信息安全保障评价模型,我们提出了智慧城市网络安全评价流程,如图1所示:
图1说明了智慧城市网络安全评价的过程:
基于评价目标(即评价的信息需求)设计指标体系,从指标中提取具体的评价对象,通过测量模型和测量方法得出测量结果,经过对测量结果的研判,得到的评价结果用于支持评价目标的实现。
图1智慧城市网络安全评价流程
5智慧城市网络安全风险分析
5.1物联感知层安全风险
智慧城市的物联感知层主要是通过各种传感器及智能设备做为数据采集器实现数据的采集。
物联感知层所面临的安全风险主要是:
如果相关的传感器或只能设备被攻击或被控制,就有可能影响信息源的真实性、可靠性以及数据的保密性(隐私泄露)。
a)破坏、干扰或控制感知器工作状态。
b)窃取或篡改传感器(或智能终端)的敏感信息。
c)假冒传感器身份,提供虚假数据。
……
5.2网络通信层安全风险
智慧城市的网络通信层主要是完成智慧城市中各种数据的有效、安全的传输,实现人、物之间的数据互联与交换,其面临的安全风险主要是网络的可用性被破坏(比如拒绝服务攻击、网络设备被破坏)、传输数据的自身的安全性被破坏等。
a)破坏网络的可用性。
b)破坏传输数据的完整性、机密性与可用性。
c)伪装城市热点,实施钓鱼或欺诈。
d)网络渗透攻击。
……
5.3数据与服务支撑层安全风险
智慧城市的数据与服务支撑层的安全主要是保障数据的安全存储与授权使用,避免系统、数据或应服务等各种资源的非授权使用以及数据或服务可用性的破坏等安全威胁。
a)因故障、灾害或攻击造成的数据损坏。
b)非授权的数据访问及敏感信息泄露。
c)云存储及云平台,数据由第三方管理,有被违规处理的风险。
d)数据或支撑服务可用性的破坏等。
……
5.4智慧应用层安全风险
智慧城市的应用层主要面对用户提供各种有效的智慧应用服务,该层所面临的安全风险主要是人为因素。
a)内部人员的误操作或违规操作。
b)系统存在脆弱性(漏洞、弱口令等),有被黑客利用攻击获得系统的控制权或数据泄露。
c)拒绝服务攻击。
d)网站的内容篡改、挂马等。
e)外购应用系统存在后门,系统存在被控制或信息泄露的风险。
……
6智慧城市网络安全评价指标体系
6.1评价指标体系框架
如图2所示:
一级指标参考了GB/T33356-2016《新型智慧城市评价指标》,二级指标是依据智慧城市网络安全评价对象和内容对一级指标进行分解及细化,三级指标参考了GB/T31495.1-2015《信息安全技术信息安全保障指标体系及评价方法第1部分:
概念和模型》、GB/T31495.2-2015《信息安全技术信息安全保障指标体系及评价方法第2部分:
指标体系》以及《智慧城市建设信息安全保障指南(草案)》等标准。
分别从智慧城市网络安全管理情况、智慧城市系统与数据安全保障情况和智慧城市网络安全运维情况三个方面来综合考虑。
图2智慧城市网络安全指标体系框架
6.2框架描述
6.2.1智慧城市网络安全管理
●智慧城市网络安全战略、法规
指为了完成智慧城市网络安全保障的使命、功能、任务等,由地方网络安全主管部门制定的智慧城市网络安全中长期发展计划等文件的通称。
战略保障措施指标主要评价智慧城市网络安全规划的制定情况等。
法规指标主要评价智慧城市网络安全法规及标准的制定、宣贯和落实情况。
●智慧城市网络安全建设投资情况
指为了完成智慧城市网络安全保障,政府财政决算(或预算)中以及智慧城市安全建设中企业等建设方自筹资金用于网络安全建设方面的资金使用情况。
智慧城市网络安全建设投资情况主要评价智慧城市中网络安全建设投资情况。
●智慧城市网络安全管理机制
指为了完成智慧城市网络安全保障,建立政府职能部门为主的智慧城市安全管理机构,协调促进多部门配合联动,形成网络安全人才培训、网络安全监测、通报预警机制、应急处理机制以及重大网络安全事件责任追究制度,明确安全责任。
6.2.2智慧城市系统与数据安全
●智慧城市关键信息基础设施安全
指为了保障智慧城市关键信息基础设施安全,对涉及的党政部门、金融、交通、能源、电信、公共安全、公用事业等重点领域的关键信息基础设施的备案、并开展必要的安全防护、进行安全检查。
●智慧城市关键信息化支撑技术安全
智慧城市关键信息化支撑技术安全主要评价了智慧城市所使用的物联网基础设施、移动互联网接入和云平台的安全防护情况。
●智慧城市数据安全
指党政部门、金融、交通、能源、电信、公共安全、公用事业等领域的数据资源交互、融合和共享过程中的安全保障情况,以及个人信息保护情况。
6.2.3智慧城市网络安全运维
●智慧城市安全服务支撑指标
智慧城市安全服务支撑指标主要评价提供信息安全服务企业(或机构)的信息安全服务资质取得情况。
●智慧城市监测预警
智慧城市监测预警指标主要评价智慧城市网络安全整体的安全运行过程中的隐患发现能力、安全防护能力和综合保障能力。
●智慧城市应急保障能力
智慧城市应急保障能力指标主要评价智慧城市网络安全保障体系应对信息安全事件及灾难恢复的能力,包括对信息安全事件的应急响应能力和处置能力,以及发生安全事件后的恢复能力。
6.3评价指标
在6.1指标体系框架的约束下,表1给出了一套智慧城市网络安全保障指标,包含3个一级指标,9个二级指标和30个三级指标,指标权重可根据不同城市关注重点进行调整,此指标权重仅供参考。
表1智慧城市网络安全保障评价指标
一级指标及参考权重
二级指标
三级指标及参考权重
智慧城市网络安全管理
(0.4)
智慧城市网络安全
战略、法规
ZB01智慧城市网络安全战略
0.2
ZB02智慧城市网络安全法规及标准情况
0.15
智慧城市网络安全
建设投资
ZB03智慧城市网络安全建设投资情况
0.1
智慧城市网络安全管理机制
ZB04智慧城市网络安全组织协调机制
0.15
ZB05智慧城市网络安全通报机制
0.1
ZB06智慧城市网络安全应急处理机制
0.2
ZB07智慧城市网络安全人才培养机制
0.1
智慧城市系统与数据安全
(0.3)
智慧城市关键信息基础设施安全
ZB08智慧城市关键信息基础设施备案情
况
0.08
ZB09智慧城市关键信息基础设施安全防
护情况
0.1
ZB10智慧城市关键信息基础设施监管情
况
0.08
ZB11智慧城市关键IT设备国产化率
0.05
智慧城市关键信息化支撑技术安全
ZB12物联网基础设施安全部署情况
0.1
ZB13移动互联网安全接入情况
0.1
ZB14云平台安全服务能力情况
0.1
智慧城市数据安全
ZB15智慧城市数据交互、融合和共享安全保障
0.1
ZB16信息泄露
0.08
ZB17数据篡改
0.08
ZB18个人信息保护
0.08
ZB19智慧城市网络诈骗
0.05
智慧城市网络安全运维
(0.3)
智慧城市安全服务
支撑指标
ZB20智慧城市信息安全服务支撑
0.05
智慧城市监测预警
ZB21智慧城市网络安全可用性监测
0.1
ZB22智慧城市网络安全事件监测
0.1
ZB23智慧城市网络安全脆弱性监测
0.1
ZB24智慧城市网络安全预警
0.1
智慧城市应急保障能力
ZB25智慧城市网络安全事件处置
0.15
ZB26智慧城市关键业务及数据灾难恢复
0.05
ZB27智慧城市网络应急保障
0.15
ZB28智慧城市网络瘫痪
0.05
ZB29智慧城市非法控制
0.1
ZB30智慧城市安全事件溯源指标
0.05
7评价指标释义
7.1智慧城市网络安全管理
智慧城市网络安全管理指标评价智慧城市网络安全战略、法规,智慧城市网络安全建设投资、智慧城市网络安全管理机制建设情况,共有7项指标。
——ZB01智慧城市网络安全战略
智慧城市网络安全战略主要指地方信息安全主管部门制定的统领当地智慧城市网络安全发展全局的指导性文件。
信息安全网络安全战略指标主要评价是否:
a)明确智慧城市网络安全战略方针、战略目标。
b)制定发布智慧城市网络安全规划文件。
c)拥有战略研究队伍和智库机构。
当智慧城市网络安全战略建设满足一定要求时,表明智慧城市网络安全战略建设要求得到满足。
评价方法
指标名称
智慧城市网络安全战略
评价对象
智慧城市网络安全战略文件和发展规划以及智库机构设立情况
评价方法及内容
1.调研智慧城市网络安全规划文件的制定发布情况。
2.调研智慧城市网络安全研究队伍和智库机构的建设情况。
取值
要求:
(1)建立智慧城市网络安全政策规划发布机制,制定并以正式文件形式发布网络安全相关政策规划文件。
(2)建立、组建智慧城市网络安全研究队伍和智库机构。
满足2项要求,取值=3。
满足1项要求,取值=1。
否则,取值=0。
指标解释
当取值=3时,表明智慧城市网络安全战略发展要求得到满足。
当取值=1时,表明智慧城市网络安全战略发展要求未得到充分满足。
当取值=0时,表明智慧城市网络安全战略发展要求未得到满足。
——ZB02智慧城市网络安全法规及标准情况
智慧城市网络安全法规主要指网络安全相关的全国人大颁布的法律、国务院发布的实施条例及国务院令、各部委发布的部门规章、各省发布的地方法规等。
智慧城市网络安全标准主要指国家标准化管理委员会发布或管理的信息安全国家标准和信息安全行业标准。
法规及标准指标主要评价是否:
a)定期开展智慧城市网络安全相关法律法规及标准的宣贯活动情况。
b)
评价方法
指标名称
智慧城市网络安全法规及标准情况
评价对象
已发布的法规标准文件和法律法规及标准宣贯记录、遵从各项制度的落实情况
评价方法及内容
1.查看网络安全法律法规的会议记录。
2.查看相关制度及标准的遵从及执行情况。
取值
要求:
遵从国家网络安全审查、信息安全产品认证等相关制度,以及网络安全相关标准的情况。
当智慧城市网络安全法规及标准建设满足一定要求时,表明法规及标准建设要求得到满足。
(1)制定法律法规年度宣贯计划,按照计划开展网络安全法律法规宣贯工作,会议记录完整。
(2)按照国家网络安全审查、信息安全产品认证等相关制度,以及网络安全相关标准要求开展具体工作,并形成完整的资料文档。
满足3项要求,取值=3。
满足2项要求,取值=1。
不满足
(1),取值=0。
否则,取值=0。
指标解释
当取值=3时,表明法规及标准建设要求已得到满足。
当取值=1时,表明法规及标准建设要求未得到充分满足。
当取值=0时,表明法规及标准建设要求未得到满足。
——ZB03智慧城市网络安全建设投资情况
智慧城市网络安全建设投资指标主要评价智慧城市中网络安全建设投资情况。
智慧城市网络安全建设投资主要指财政决算(或预算)中以及智慧城市安全建设中企业等建设方自筹资金用于网络安全建设方面的资金。
当智慧城市网络安全投资占信息化投资的比值处于合理区间时,表明智慧城市网络安全建设投资要求得到满足。
评价方法
指标名称
智慧城市网络安全建设投资情况
评价对象
信息化建设投资报告
评价方法及内容
1.查看智慧城市信息化建设投资总额的数值。
2.查看智慧城市网络安全建设投资总额的数值。
取值
网络安全投资占比=(网络安全建设投资总额)÷(信息化建设投资总额)
×100%,结果比率宜在0.1
升级会员 