1 范圍

      本標準給出了智慧城市安全體系框架，包括智慧城市的安全保護對象、安全要素、安全角色及其相互關系。

      本標準適用于智慧城市安全的規劃、管理、建設、驗收和運營，也可為其他智慧城市安全相關標準的制定提供依據和參考。

2 規范性引用文件

      下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB/T 25069-2010 信息安全技術 術語

      GB/T 29246-2017 信息技術 安全技術 信息安全管理體系 概述和詞匯

      GB/T 34678-2017 智慧城市 技術參考模型

      GB/T 37043-2018 智慧城市 術語

3 術語和定義

      GB/T 25069-2010、GB/T 29246-2017和GB/T 37043-2018界定的以及下列術語和定義適用于本文件。

3.1

      智慧城市安全 smart city security

      在智慧城市中對信息的保密性、完整性和可用性的保持，以及依此提供的應用與服務的安全。

3.2

      關鍵信息基礎設施 critical information infrastructure

      公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的信息設施。

3.3

      智慧城市安全角色 smart city security role

      參與智慧城市安全活動的相關方。

3.4

      智慧城市安全決策者 smart city security decision maker

      負責智慧城市安全戰略規劃和關鍵策略決策的實體。

3.5

      智慧城市安全管理者 smart city security administrator

      負責智慧城市信息安全組織建設、機制建設，以及協調監督的實體。

3.6

      智慧城市安全建設者 smart city security implementor

      負責智慧城市信息安全工程實施，部署智慧城市安全技術防護措施的實體。

3.7

      智慧城市安全運營者 smart city security operator

      負責智慧城市安全事件的監測、預警、響應和恢復的實體。

3.8

      智慧城市服務提供者 smart city service provider

      通過利用各種技術提供智慧城市產品和服務的實體。

3.9

      智慧城市服務使用者 smart city service user

      使用智慧城市產品和服務的實體。

      注：智慧城市服務使用者包括政府部門、團體機構、企事業單位和個人。

4 縮略語

      下列縮略語適用于本文件。

      API：應用程序編程接口（Application Programming Interface）

      APT：高級持續性威脅（Advanced Persistent Threat）

      ICT：信息通信技術（Information Communications Technology）

      Web：全球廣域網（World Wide Web）

5 智慧城市安全概述

5.1 智慧城市面臨的安全風險

      智慧城市涵蓋多個行業和多種信息系統，要素復雜、應用多樣、相互作用、不斷演化，具有設備泛在、數據異構、系統異構、應用異構、海量數據、數據匯聚與融合、數據跨域共享、高度協調運作等特征。這些特征使得智慧城市較之傳統的信息系統面臨更為復雜的安全風險。智慧城市安全的風險分析參見附錄A。其中，A．3分析了智慧城市在物聯感知層、網絡通信層、計算與存儲層、數據及服務融合層和智慧應用層所面臨的安全技術風險。

5.2 智慧城市安全保護對象

      智慧城市安全保護對象分為硬件設備、信息系統、數據資產和應用與服務。

      硬件設備是智慧城市中具有獨立工作能力的信息采集或處理設備，包括為智慧城市提供感知數據的終端設備、控制調節設備、通信設備、信息展示設備、服務終端等。

      信息系統涉及關鍵信息基礎設施以及為智慧城市提供智慧應用服務的系統與網絡，包括城市公共通信、廣播電視傳輸等基礎信息網絡，能源、金融、交通、教育、科研、水利、工業制造、醫療衛生、社會保障、公用事業等領域的信息系統，國家機關的信息系統，以及互聯網應用系統等。智慧城市中的信息系統共享資源和能力（服務器、終端設備、網絡、數據、應用等），通過信息系統的持續、有效運行為各類用戶提供應用與服務。

      數據資產是智慧城市網絡收集、存儲、傳輸、處理和產生的各種電子數據。

      應用與服務是智慧城市服務提供者提供的應用程序和技術服務，包括智慧城市公共支撐與服務平臺、各應用系統為智慧城市或其他應用系統提供的數據共享服務，以及智慧城市信息系統的數據服務和計算服務等。

5.3 智慧城市安全目標

      圍繞智慧城市安全保護對象，智慧城市安全決策者、智慧城市安全管理者、智慧城市安全建設者、智慧城市安全運營者、智慧城市服務提供者和智慧城市服務使用者等安全角色相互協作，實現以下安全目標：

      a）保證智慧城市信息系統安全運行，尤其是保證關鍵信息基礎設施的可用性和可靠性；

      b）保證政府部門、企事業單位、社會組織及個人的數據的真實性、保密性、完整性和可用性；

      c）保證智慧城市應用和服務的可用性、可靠性和可核查性；

      d）保證智慧城市數據資產的真實性、保密性、完整性、可用性和可靠性；

      e）保證智慧城市整體安全的合理性、魯棒性和可擴展性。

5.4 智慧城市安全體系框架

      智慧城市安全體系框架是實現智慧城市安全目標的參考模型，由智慧城市的安全保護對象、安全要素、安全角色及其相互關系組成，如圖1所示。其中，安全要素包含安全戰略、安全管理、安全技術、安全建設、安全運營和安全基礎等方面。在智慧城市安全體系框架中，智慧城市安全角色履行各自職責、協同配合，滿足安全要素的要求以保證智慧城市安全。

      智慧城市各安全角色的活動都受智慧城市安全戰略指導和約束。

      智慧城市安全決策者和智慧城市安全管理者為智慧城市服務提供者、智慧城市安全建設者、智慧城市安全運營者提供指導和支持。

      智慧城市安全建設者實施安全工程建設，監督智慧城市安全工程實施與安全措施部署過程，檢查、評估、認證智慧城市服務提供者提供的應用和服務，對發現的安全風險與問題，及時向智慧城市安全決策者反饋。

      智慧城市安全運營者通過技術手段監測智慧城市信息安全風險和威脅，向智慧城市管理者上報，并采取應急處置措施。

      智慧城市服務提供者為智慧城市安全建設和運營提供產品與服務，同時還提供安全維護與技術支持。

      智慧城市服務使用者與智慧城市服務提供者進行交互，直接或間接影響智慧城市業務的安全配置、規程、監測、監督、審核和追溯，需要遵循安全管理規則、提升安全意識和接受安全培訓。

以上為標準部分內容，如需看標準全文，請到相關授權網站購買標準正版。