基于等級保護2.0標準體系的智慧城市網絡安全建設與 研究

李炯彬

Construction and Research on Cybersecurity of Smart City Based on the Baseline for Protection of Cybersecurity 2.0

Li Jiongbin? （Shenzhen Academy of Metrology and Quality Inspection）

Abstract： Smart city is a new concept and new model based on information and communication technology to fully perceive， analyze， integrate and process massive data resources in smart city information system， and realize the interconnection of various data resources. In recent years， with the rapid development of 5G technology， AI technology， cloud computing， mobile internet and internet of things， the previous cybersecurity architecture is facing more and more challenges. Facing the severe cybersecurity situation， this paper explores the content of smart city cyber security construction based on the baseline for protection of cybersecurity.

Key words： smart city，? cybersecurity，? cyber security protection 2.0

0 引言

智慧城市是依據新的網絡通信技術，通過各種信息化和數字化建設，及時對城市運營管理中的各類需求做出智能化響應和決策支持，以優化城市資源的調度，提升城市的運行效率，提高市民的生活質量。

伴隨著“互聯網+”戰略的推進以及國家“十三五”規劃創新、協調、綠色、開放、共享發展理念的提出，我國智慧城市建設正在加快推進。據統計，截至2015年9月，全國95%的副省級以上城市以及76%的地級以上城市，總計約500多個城市提出或在建智慧城市。由于物聯網、云計算、大數據、移動互聯網等新一代信息與通信技術在智慧城市中的廣泛應用，使智慧城市信息系統從孤立向全面互聯互通數據共享以及萬物互聯的方向發展。數字經濟時代，智慧城市的建設過程中要利用先進的物聯網感知技術，全面感知城市的要素和運行狀態，要建立人與人、人與物、物與物之間的信息交互及過程，要通過海量數據收集及存儲分析來挖掘系統間、人與物之間、人與人之間的聯系規律等，勢必導致智慧城市中存在著大量的信息系統以及這些系統中擁有海量的有價值信息，這些信息無疑是城市乃至國家的重要戰略資源。如何確保這些數據、信息的安全，是智慧城市建設中務必要謹慎對待的重大問題。其次越來越多的城市基礎設施與互聯網打通，傳統的較為封閉的工業控制系統，在數字化轉型的過程中也會嘗試著互聯網化，這樣一來，傳統的信息安全威脅將擴展到城市基礎設施，可以借助互聯網侵害城市基礎設施的安全，導致智慧城市所面臨的網絡安全風險，不再僅僅是信息泄露、信息系統無法使用等“小”問題，而是會對現實世界造成直接的、實質性的影響，如設備運行異常（交通癱瘓、城市運行停滯）、設備運行停滯（停水、停電、停氣、停供暖）、設備損壞（零部件損壞甚至火災事故）、環境污染甚至人員傷亡等。

智慧城市的建設必然會引來海量的數據資源，這些數據資源通過網絡通信基礎設施實現數據共享、萬物互聯，安全的網絡架構在其中扮演著尤為重要的角色。

2007年，公安部等四部門印發了《信息安全等級保護管理辦法》（以下簡稱“等保1.0”），為信息安全建設提供了框架標準的具體要求。2019年5月，《信息安全技術網絡安全等級保護基本要求》（以下簡稱“等保2.0”）正式發布，給智慧城市建設帶來了全新的安全規范和要求。

1 等保2.0提出的新要求

等保2.0新規相較于等保1.0而言，有著顯著的新變化，主要體現在以下4個方面：（1）覆蓋對象的變化。新規范中的對象不僅包含傳統對象，更與時俱進地添加了新興事物主體，例如大數據平臺、物聯網、移動互聯等。（2）安全要求的改變。安全擴展的邊界更側重于考慮如大數據技術、互聯網技術等便捷性技術所同步產生的安全隱患。（3）分類結構的變化。等保2.0定義了技術部分和管理部分兩塊內容，技術部分側重于物理環境、通信網絡、網絡邊界、計算方面和整體框架;管理部分則包括安全管理制度、安全管理機構、管理人員、建設跟蹤和持續運維。（4）強調云端連接安全。不僅要求既往基礎設施與公有云的安全，更增加了虛擬化等私有云的安全內容，甚至涉及了云服務商資質和云計算環境等制度性強制審核要求。

2 智慧城市網絡安全的建設原則

我國網絡通信技術在安防、交通、金融等多個領域的規模化商用，且與人工智能、物聯網、云計算、移動互聯、大數據等新一代網絡通信技術的協同合作，為智慧城市的建設發展提供有力的技術支撐，通過感知互聯、交互共享的能力，使智慧城市得到更快發展。針對智慧城市項目網絡安全部分進行充分的頂層設計，制定全新安全框架，主要體現在3個重點方面。

2.1 擴大覆蓋范圍，延展新場景

智慧城市信息系統在原有基礎上進行了分類擴展，增加了特定的技術領域。智慧城市的基礎架構包含5層，依次為：物聯感知層、網絡通信層、計算存儲層、數據與服務融合層、智慧應用層，除基礎架構外，還包含建設管理體系、運維管理體系和安全保障體系，見圖2。

2.2 分類結構細化，保證標準性

依據等保2.0中的基本要求、設計要求和測評要求產生了相應的分類結構。相應的分類結構下綜合考慮安全、流程、制度和人員的相關要求，通過合規性檢查加強管理規范，配置安全設備阻斷內外攻擊，設定防御策略保護數據，定期災難演練提升應急處理能力，從而形成安全通信網絡、安全區域邊界防護、安全計算環境防護和安全管理中心的一體化防護體系架構。

2.3 內嵌可信計算，全流程管理

等保2.0增加了可信計算技術的要求，在1～4級中都提出了可信建模空間。基于可信根設備的系統引導程序、系統程序和應用程序等對數據流進行傳遞，涵蓋應用程序的所有采集和執行環節，并將審計記錄發送到安全管理中心，方便智慧城市信息系統的管理人員動態感知環節中關聯細節。強化智慧城市自主可控的可信應用，從而實現網絡內的全閉環、實時安全動態監控。

3 智慧城市建設內容

智慧城市信息系統按照等保2.0標準的合規要求，以“安全管理平臺”為中心，建立“安全計算環境、安全區域邊界、安全網絡通信”的三重防護體系，設計內外網信息交互的安全可信互聯模型，確保整改后安全的應用交互和數據傳輸。

3.1 安全管理平臺

安全管理平臺負責針對整體系統提出安全管理方面的技術控制要求，并通過相應手段實現安全的集中化管理。智慧城市經過授權的安全管理平臺，以此作為整體安全管理系統的中樞神經。同時，利用云存儲的數據資源上傳到云端進行備份，也催生云端互聯的應用實踐。為了保證云平臺的安全可靠，安全管理平臺不僅囊括了傳統的數據中心及網絡基礎設施，還重點加強了對網絡結構、隔離設備和虛擬化終端的在線評估，做到日常運維管理與實時監控一體化。

3.2 安全計算環境

通過安全計算環境的控制節點，規定了智慧城市信息系統所需要達到安全要求的各個維度。在不同的視角維度，相應地設定了相關的目標要求。例如，在智慧城市運用的身份鑒別中，部署了兩種組合的鑒別技術對用戶身份進行鑒別，以達到身份認證的維度要求;在安全審計維度，對物理機、宿主機、虛擬機、數據庫系統等進行計算安全控制。通過發揮網絡計算環境中的安全框架，首先滿足所有計算實體完整性的有效度量優勢，同時也保證了用戶終端在域間數據計算交互中的動態安全管控。

3.3 安全區域邊界

為更好地打造智慧城市信息系統的安全區域邊界，使用了區塊隔離的方法來達到網絡邊界的有效控制和防御，邊界間增加了包括附加的防毒墻和入侵檢測等設備。不同區域劃清邊界，通過應用服務、中間件、鏡像文件和用戶隱私鑒別等手段來跨越邊界和數據互聯。區域內的業務盡量采用虛擬化控制策略來防止非授權情況下的接入，安裝虛擬機防火墻防止病毒越界蔓延，以保證出現問題后風險最小化的控制原則。

3.4 安全網絡通信

加強在網絡層次的安全防護和通信建立，通過人員、制度和流程的有機結合，構建對重要業務活動的管理。安全網絡通信保證了各應用的安全鏈接，通過內外網隔離和服務器隔離（demilitarized zone，DMZ）等通信物理來保障數據通信的加密。尤其針對云計算和互聯網業務，如郵箱、官網預約和掌上智慧城市等應用，實施了網絡通信上的網頁應用安全防護。

4 結語

通過分析等保2.0評估標準，幫助智慧城市建立基于可信計算的防護體系，提高數據完整性、數據保密性、數據備份恢復、剩余信息保護以及個人信息保護等方面，加強對數據安全和個人隱私的網絡安全保護。面對移動互聯網等革新技術應用給智慧城市帶來的安全沖擊，通過落實各項安全措施，可以更好地為智慧城市信息化發展保駕護航。

參考文獻

[1] 全國信息技術標準化技術委員會. 智慧城市 技術參考模型：GB/T 34678—2017[S]. 北京：中國標準出版社，2017.

[2] 范淵. 網絡安全是智慧城市健康發展的基石[J]. 信息安全研究， 2019， 5（4）：285-286.