智慧城市網絡安全標準化研究及進展

王惠蒞 范科峰 上官曉麗

(中國電子技術標準化研究院 北京 100007)

?

智慧城市網絡安全標準化研究及進展

王惠蒞 范科峰 上官曉麗

(中國電子技術標準化研究院 北京 100007)

(wanghuili@cesi.cn)

智慧城市的安全風險是成為智慧城市發展需要考慮的重要問題.介紹了我國智慧城市網絡安全相關政策、ISOIEC JTC1 SG1的相關成果、ITU-T FG SSC提出的智慧城市信息安全系統架構、智慧美國的概況以及我國全國信息安全標準化技術委員會關于智慧城市網絡安全的標準化情況，并提出我國智慧城市網絡安全標準化工作思路.

智慧城市網絡安全；風險管理；隱私保護；云計算安全；安全與保障

自2010年以來，智慧城市作為當今城市發展的新理念、新模式，引起了國內外政府部門、產業界和科研機構等相關單位的積極探索和研究.多個國家和地區根據本地城市發展的實際情況，發布了相關政策指導當地智慧城市的建設.紐約、倫敦、巴黎、東京、首爾等城市相繼提出智慧城市戰略舉措，我國已有北京、上海、杭州、銀川等200多個城市提出了智慧城市相關規劃，并開展了智慧城市的建設工作，主要應用領域包括智慧政務、智能交通、智能電網、智慧水務、智慧醫療、平安城市等.在智慧城市建設和運營過程中，采用了云計算、大數據、物聯網、移動互聯網等新技術、新應用，網絡安全問題較為復雜和突出，如何較好地解決智慧城市中的網絡安全問題，并使得網絡安全能夠促進智慧城市的發展，是目前亟需解決的重要問題.

1 智慧城市網絡安全相關政策

我國政府以及各地市政府在開展智慧城市的建設過程中，都非常重視智慧城市網絡安全保障情況，先后發布了多個指導文件，這些文件不僅指出了智慧城市建設中需要關注的網絡安全問題，層層遞進，逐步落實相關措施，并對今后網絡安全風險防控及相關安全問題提出要求.

2014年，國務院印發了《國家新型城鎮化規劃(2014—2020年)》，提出“推進智慧城市建設.增強城市要害信息系統和關鍵信息資源的安全保障能力.”

2014年8月國家發展改革委、工業和信息化部、科學技術部、公安部等八部委聯合發布了《關于印發促進智慧城市健康發展的指導意見的通知》(發改高技[2014]1770號)，提出“可管可控，確保安全.落實國家信息安全等級保護制度，強化網絡和信息安全管理，落實責任機制，健全網絡和信息安全標準體系，加大依法管理網絡和保護個人信息的力度，加強要害信息系統和信息基礎設施安全保障，確保安全可控”的基本原則，以及“網絡安全長效化.城市網絡安全保障體系和管理制度基本建立，基礎網絡和要害信息系統安全可控，重要信息資源安全得到切實保障，居民、企業和政府的信息得到有效保護”的目標，有力地指導了各地智慧城市建設.

2015年10月，國家標準委、中央網信辦、國家發改委聯合發布《關于開展智慧城市標準體系和評價指標體系建設及應用實施的指導意見》，提出了試行的智慧城市標準體系框架，以及4個網絡安全能力類保障指標：1)網絡安全管理，網絡安全管理機制健全性以及重要信息系統設計、實施、運行全過程的網絡安全保障水平.2)監測、預警與應急.網絡管理、態勢監測和預警、應急處理和信任服務能力.3)信息系統安全可控.重要信息系統和涉密信息系統的安全防護水平.4)要害數據安全.重要信息使用管理和安全評價機制及安全性以及個人信息保護水平.

2015年10月，中共中央十八屆五中全會審議通過《中共中央關于制定國民經濟和社會發展第十三個五年規劃的建議》，建立風險識別和預警機制，以可控方式和節奏主動釋放風險，重點提高財政、金融、能源、礦產資源、水資源、糧食、生態環保、安全生產、網絡安全等方面風險防控能力.

2 智慧城市網絡安全標準化情況

目前，國際標準化組織(ISO)、國際電工委員會(IEC)、國際電信聯盟(ITU)、英國標準研究院(BSI)、美國國家標準技術研究院(NIST)等標準化組織正在開展智慧城市標準化工作[1].但是，在智慧城市網絡安全標準方面尚處于研究階段.

2.1 ISO/IEC JTC1 SG1

由我國專家擔任召集人和秘書的ISO/IEC JTC1 SG1智慧城市研究組(現為ISO/IEC JTC1 WG10智慧城市工作組)，分別于2014年9月和2015年9月向JTC1提交了《智慧城市在ICT領域的標準化需求》的2份研究報告，在其研究報告中分析了智慧城市網絡安全的標準化需求，闡述了智慧城市網絡安全和隱私保護之間的關系，梳理了ISO/IEC JTC1 SC27正在開展的智慧城市網絡安全和隱私保護相關的標準現狀[2]，包括ISO/IEC 27002《信息安全管理最佳實踐》、ISO/IEC 29100:2011《隱私框架》和ISO/IEC 29101:2013 《隱私架構》等國際標準，提出了智慧城市網絡安全和隱私保護的標準化需求.例如：身份管理、數據流安全、風險評估、評價指標等.在智慧城市網絡安全風險評估方面，提出了風險管理中的風險評估框架,如圖1所示：

圖1 適用于智慧城市網絡安全的風險管理過程

2.2 ITU-T FG SSC

ITU-T FG SSC(Focus Group on Smart Sustainable Cities, FG SSC)智能可持續城市特別工作組，在智慧城市安全方面發布了研究報告《智慧可持續城市網際安全、數據保護和彈性》，提出構成智慧城市的組件包括智能電網、智能建筑和其他關鍵基礎設施、智能交通、在線醫療、公共安全以及無線通信和熱點；分析了智慧城市中的網絡安全威脅，包括：網絡基礎設施漏洞、云計算安全、物聯網的網絡威脅、數據漏洞；提出了智慧可持續城市的安全架構(如圖2所示)，并建議從智慧可持續城市中的安全管理、用戶認證、關鍵基礎設施保護以及隱私保護等方面加強安全保障[3].

圖2 智慧城市信息安全架構

圖3 智慧美國概覽

2.3 美國NIST和DHA

美國認為智慧美國是一個開放的、安全的、高度信賴和協作的信息物理系統.信息物理系統或者稱作智慧系統共同設計的相互作用網絡.與信息物理系統相關的技術包括：物聯網、工業互聯網、智慧城市、智能電網以及智能系統(例如智能交通、智慧建筑、智慧家居等).NIST工程實驗室正在開展信息物理系統方面的工作，包括3個工作組：信息物理系統工作組，正在制定信息物理系統框架；全球城市工作組致力于智慧城市環境下物聯網的部署；NIST的多個實驗室正在聯合研究和制定信息物理系統的標準，包括智能制造、網絡安全、智能電網等，并正在研制測試床，以測試信息物理系統的設備、系統、性能和標準[4]，如圖3所示.

美國國土安全部于2015年發布了《智慧城市的未來：信息物理基礎設施風險》，報告認為：信息物理系統正越來越多地應用到現有基礎設施和新建基礎設施中，采用和不斷增加對智能技術的依賴可能對智慧城市產生風險.報告重點對交通系統行業、電力行業以及水和污水處理系統方面的安全風險進行了分析.并指出應研究物理系統安全標準、第三方供應商安全管理、智慧城市分級標準、安全情報共享等，加強跨城市的協調和智慧城市安全風險評估工作.

2.4 全國信息安全標準化技術委員會

我國的智慧城市標準化工作在國家標準化管理委員會的統一組織下逐步推進.全國信息安全標準化技術委員會正在組織研究和制定智慧城市網絡安全相關標準，初步形成智慧城市網絡安全標準體系(其中體系框架詳見《關于開展智慧城市標準體系和評價指標體系建設及應用實施的指導意見》中“安全與保障”部分).目前已立項標準制定項目1項：《信息安全技術 智慧城市建設信息安全保障指南》，現為標準草案階段；立項標準研究項目1項：《信息安全技術 智慧城市信息與服務公共支撐平臺安全要求》.現正在組織開展智慧城市網絡安全評價指標體系、智慧城市網絡安全風險評估、智慧城市監測與預警等研究工作.

《信息安全技術 智慧城市建設信息安全保障指南》規范了智慧城市建設全過程的信息安全保障體系，包括智慧城市建設從規劃與需求分析、勘察設計、實施施工、檢測驗收、運營維護、監督檢查與評估到優化與持續改進的全過程信息安全保障的責任體制建設與技術規范指南.在全面落實已有信息化建設安全標準規范的基礎上，針對云計算、物聯網、移動互聯網、大數據等智慧城市信息技術，制定信息安全保障管理規范與技術規范框架，明確智慧城市建設信息資源交換整合、提升應用所涉及的安全域、信息設備產品、信息系統、數據資源以及運維檢測等方面的安全保障規范[5].

《信息安全技術 智慧城市信息與服務公共支撐平臺安全要求》則對智慧城市公共支撐與服務平臺的安全風險進行了分析，并提出了平臺數據資源部分安全、數據處理部分安全、服務管理部分和服務部分安全、服務接入部分安全和安全管理等方面的安全保障要求.

3 小 結

智慧城市的建設是基于城市全面實現數字化的城市基礎設施之后進一步建立的智能化城市管理和運營，從管理角度來看，目前我國智慧城市面臨法律法規制度尚不健全、標準尚不完善以及多部門協同工作機制尚待建立等問題.從技術角度來看，面臨傳感器安全、信息基礎設施安全、網絡通信安全、云服務安全、數據安全以及終端接入安全等諸多安全問題.

目前我國已發布網絡安全國家標準160余項，這些標準均可支撐智慧城市的安全建設，此外，通過對智慧城市的安全威脅分析，并結合國家對智慧城市安全工作的部署，依據智慧城市標準體系中“安全與保障”框架，建議重點研制：

1) 數據共享相關安全標準，解決數據互聯互通過程中面臨的數據泄露、完整性保護和數據非法使用等問題；

2) 關鍵信息基礎設施保護相關標準，加強對關鍵信息基礎設施的風險管控；

3) 智慧城市安全運營類標準，對智慧城市運維過程中的監測、預警、持續監控、系統安全態勢感知、應急響應等進行規范；

4) 智慧城市網絡安全評價指標體系，評估智慧城市的網絡安全防護能力和防護水平；

5) 智能產品安全，規范智慧城市信息與服務公共支撐平臺等產品的安全性.在研制標準過程中，應加強標準的測試驗證以及標準試點工作，以便標準更科學和可操作.

[1]袁媛, 楊瑛, 高林, 等. 中國智慧城市標準化白皮書[EB/OL]. [2016-02-20] http://www.cesi.ac.cn/cesi/xxzx/biaozhunhuayanjiu/2014/0102/11238.html

[2]ISO/IEC JTC1 SG1 Secretariat. SG 1 second phase report submitted to 2015 JTC 1 plenary[R]. 北京: 中國電子技術標準化研究院, 2015

[3]ISO/IEC JTC1 SG1 Secretariat. ITU-T/FG SSC technical report on ICT infrastructure for cyber security data protection resilience[R]. 北京: 中國電子技術標準化研究院, 2015

[4]Rhee S, Mulligen G. SmartAmerica overview[EB/OL].[2016-01-15]. http://www.nist.gov/el/smartamerica.cfm

[5]吳前鋒. 20141405-Z-469信息安全技術智慧城市建設信息安全保障指南(標準草案)[S]. 杭州: 浙江省經濟信息中心, 2015

王惠蒞

高級工程師，主要研究方向為云計算安全、智慧城市安全、大數據安全及隱私保護相關標準.

wanghuili@cesi.cn

范科峰

高級工程師，主要研究方向為網絡安全標準化.

fankf@cesi.cn

上官曉麗

碩士，高級工程師，主要研究方向為信息安全標準.

shanggxl@cesi.cn

Research and Progress of the Cyber Security Standardization of Smart City

Wang Huili, Fan Kefeng, and Shangguan Xiaoli

(ChinaElectronicsStandardizationInstitute,Beijing100007)

The security risks of smart city are the important problems with the development of smart city. The paper introduces cyber security policies of China, the report of ISOIEC JTC1 SG1, the security architecture of smart city proposed by ITU-T FG SSC, the overview of Smart America, and the work on cyber security standardization of smart city of TC260. The paper suggests how we develop the cyber security standards of smart city in China.

cyber security of smart city; risk management; privacy protection; cloud computing security;security and assurance

2016-04-18

TP309