基于等级保护2.0标准体系的智慧城市网络安全建设与 研究

李炯彬

Construction and Research on Cybersecurity of Smart City Based on the Baseline for Protection of Cybersecurity 2.0

Li Jiongbin  （Shenzhen Academy of Metrology and Quality Inspection）

Abstract： Smart city is a new concept and new model based on information and communication technology to fully perceive， analyze， integrate and process massive data resources in smart city information system， and realize the interconnection of various data resources. In recent years， with the rapid development of 5G technology， AI technology， cloud computing， mobile internet and internet of things， the previous cybersecurity architecture is facing more and more challenges. Facing the severe cybersecurity situation， this paper explores the content of smart city cyber security construction based on the baseline for protection of cybersecurity.

Key words： smart city，  cybersecurity，  cyber security protection 2.0

0 引言

智慧城市是依據新的网络通信技术，通过各种信息化和数字化建设，及时对城市运营管理中的各类需求做出智能化响应和决策支持，以优化城市资源的调度，提升城市的运行效率，提高市民的生活质量。

伴随着“互联网+”战略的推进以及国家“十三五”规划创新、协调、绿色、开放、共享发展理念的提出，我国智慧城市建设正在加快推进。据统计，截至2015年9月，全国95%的副省级以上城市以及76%的地级以上城市，总计约500多个城市提出或在建智慧城市。由于物联网、云计算、大数据、移动互联网等新一代信息与通信技术在智慧城市中的广泛应用，使智慧城市信息系统从孤立向全面互联互通数据共享以及万物互联的方向发展。数字经济时代，智慧城市的建设过程中要利用先进的物联网感知技术，全面感知城市的要素和运行状态，要建立人与人、人与物、物与物之间的信息交互及过程，要通过海量数据收集及存储分析来挖掘系统间、人与物之间、人与人之间的联系规律等，势必导致智慧城市中存在着大量的信息系统以及这些系统中拥有海量的有价值信息，这些信息无疑是城市乃至国家的重要战略资源。如何确保这些数据、信息的安全，是智慧城市建设中务必要谨慎对待的重大问题。其次越来越多的城市基础设施与互联网打通，传统的较为封闭的工业控制系统，在数字化转型的过程中也会尝试着互联网化，这样一来，传统的信息安全威胁将扩展到城市基础设施，可以借助互联网侵害城市基础设施的安全，导致智慧城市所面临的网络安全风险，不再仅仅是信息泄露、信息系统无法使用等“小”问题，而是会对现实世界造成直接的、实质性的影响，如设备运行异常（交通瘫痪、城市运行停滞）、设备运行停滞（停水、停电、停气、停供暖）、设备损坏（零部件损坏甚至火灾事故）、环境污染甚至人员伤亡等。

智慧城市的建设必然会引来海量的数据资源，这些数据资源通过网络通信基础设施实现数据共享、万物互联，安全的网络架构在其中扮演着尤为重要的角色。

2007年，公安部等四部门印发了《信息安全等级保护管理办法》（以下简称“等保1.0”），为信息安全建设提供了框架标准的具体要求。2019年5月，《信息安全技术网络安全等级保护基本要求》（以下简称“等保2.0”）正式发布，给智慧城市建设带来了全新的安全规范和要求。

1 等保2.0提出的新要求

等保2.0新规相较于等保1.0而言，有着显著的新变化，主要体现在以下4个方面：（1）覆盖对象的变化。新规范中的对象不仅包含传统对象，更与时俱进地添加了新兴事物主体，例如大数据平台、物联网、移动互联等。（2）安全要求的改变。安全扩展的边界更侧重于考虑如大数据技术、互联网技术等便捷性技术所同步产生的安全隐患。（3）分类结构的变化。等保2.0定义了技术部分和管理部分两块内容，技术部分侧重于物理环境、通信网络、网络边界、计算方面和整体框架;管理部分则包括安全管理制度、安全管理机构、管理人员、建设跟踪和持续运维。（4）强调云端连接安全。不仅要求既往基础设施与公有云的安全，更增加了虚拟化等私有云的安全内容，甚至涉及了云服务商资质和云计算环境等制度性强制审核要求。

2 智慧城市网络安全的建设原则

我国网络通信技术在安防、交通、金融等多个领域的规模化商用，且与人工智能、物联网、云计算、移动互联、大数据等新一代网络通信技术的协同合作，为智慧城市的建设发展提供有力的技术支撑，通过感知互联、交互共享的能力，使智慧城市得到更快发展。针对智慧城市项目网络安全部分进行充分的顶层设计，制定全新安全框架，主要体现在3个重点方面。

2.1 扩大覆盖范围，延展新场景

智慧城市信息系统在原有基础上进行了分类扩展，增加了特定的技术领域。智慧城市的基础架构包含5层，依次为：物联感知层、网络通信层、计算存储层、数据与服务融合层、智慧应用层，除基础架构外，还包含建设管理体系、运维管理体系和安全保障体系，见图2。

2.2 分类结构细化，保证标准性

依据等保2.0中的基本要求、设计要求和测评要求产生了相应的分类结构。相应的分类结构下综合考虑安全、流程、制度和人员的相关要求，通过合规性检查加强管理规范，配置安全设备阻断内外攻击，设定防御策略保护数据，定期灾难演练提升应急处理能力，从而形成安全通信网络、安全区域边界防护、安全计算环境防护和安全管理中心的一体化防护体系架构。

2.3 内嵌可信计算，全流程管理

等保2.0增加了可信计算技术的要求，在1～4级中都提出了可信建模空间。基于可信根设备的系统引导程序、系统程序和应用程序等对数据流进行传递，涵盖应用程序的所有采集和执行环节，并将审计记录发送到安全管理中心，方便智慧城市信息系统的管理人员动态感知环节中关联细节。强化智慧城市自主可控的可信应用，从而实现网络内的全闭环、实时安全动态监控。

3 智慧城市建设内容

智慧城市信息系统按照等保2.0标准的合规要求，以“安全管理平台”为中心，建立“安全计算环境、安全区域边界、安全网络通信”的三重防护体系，设计内外网信息交互的安全可信互联模型，确保整改后安全的应用交互和数据传输。

3.1 安全管理平台

安全管理平台负责针对整体系统提出安全管理方面的技术控制要求，并通过相应手段实现安全的集中化管理。智慧城市经过授权的安全管理平台，以此作为整体安全管理系统的中枢神经。同时，利用云存储的数据资源上传到云端进行备份，也催生云端互联的应用实践。为了保证云平台的安全可靠，安全管理平台不仅囊括了传统的数据中心及网络基础设施，还重点加强了对网络结构、隔离设备和虚拟化终端的在线评估，做到日常运维管理与实时监控一体化。

3.2 安全计算环境

通过安全计算环境的控制节点，规定了智慧城市信息系统所需要达到安全要求的各个维度。在不同的视角维度，相应地设定了相关的目标要求。例如，在智慧城市運用的身份鉴别中，部署了两种组合的鉴别技术对用户身份进行鉴别，以达到身份认证的维度要求;在安全审计维度，对物理机、宿主机、虚拟机、数据库系统等进行计算安全控制。通过发挥网络计算环境中的安全框架，首先满足所有计算实体完整性的有效度量优势，同时也保证了用户终端在域间数据计算交互中的动态安全管控。

3.3 安全区域边界

为更好地打造智慧城市信息系统的安全区域边界，使用了区块隔离的方法来达到网络边界的有效控制和防御，边界间增加了包括附加的防毒墙和入侵检测等设备。不同区域划清边界，通过应用服务、中间件、镜像文件和用户隐私鉴别等手段来跨越边界和数据互联。区域内的业务尽量采用虚拟化控制策略来防止非授权情况下的接入，安装虚拟机防火墙防止病毒越界蔓延，以保证出现问题后风险最小化的控制原则。

3.4 安全网络通信

加强在网络层次的安全防护和通信建立，通过人员、制度和流程的有机结合，构建对重要业务活动的管理。安全网络通信保证了各应用的安全链接，通过内外网隔离和服务器隔离（demilitarized zone，DMZ）等通信物理来保障数据通信的加密。尤其针对云计算和互联网业务，如邮箱、官网预约和掌上智慧城市等应用，实施了网络通信上的网页应用安全防护。

4 结语

通过分析等保2.0评估标准，帮助智慧城市建立基于可信计算的防护体系，提高数据完整性、数据保密性、数据备份恢复、剩余信息保护以及个人信息保护等方面，加强对数据安全和个人隐私的网络安全保护。面对移动互联网等革新技术应用给智慧城市带来的安全冲击，通过落实各项安全措施，可以更好地为智慧城市信息化发展保驾护航。

参考文献

[1] 全国信息技术标准化技术委员会. 智慧城市 技术参考模型：GB/T 34678—2017[S]. 北京：中国标准出版社，2017.

[2] 范渊. 网络安全是智慧城市健康发展的基石[J]. 信息安全研究， 2019， 5（4）：285-286.