呂 欣 韓曉露 李 陽(yáng)

1(國(guó)家信息中心博士后工作站 北京 100045)2 (北京交通大學(xué)電子信息工程學(xué)院 北京 100044)

?

智慧城市網(wǎng)絡(luò)安全保障評(píng)價(jià)體系研究

呂 欣1韓曉露2李 陽(yáng)1

1(國(guó)家信息中心博士后工作站 北京 100045)2(北京交通大學(xué)電子信息工程學(xué)院 北京 100044)

(lux@cei.gov.cn)

近年來(lái)，我國(guó)智慧城市建設(shè)取得了積極進(jìn)展，但也暴露出網(wǎng)絡(luò)安全隱患，需要建立智慧城市網(wǎng)絡(luò)安全保障體系，使基礎(chǔ)網(wǎng)絡(luò)和要害信息系統(tǒng)安全可控，重要信息資源安全得到切實(shí)保障，居民、企業(yè)和政府的信息得到有效保護(hù).認(rèn)真分析了智慧城市面臨的網(wǎng)絡(luò)安全威脅，基于系統(tǒng)工程方法，提出智慧城市網(wǎng)絡(luò)安全保障的參考架構(gòu)，并采用目標(biāo)層次展開(kāi)法，從戰(zhàn)略規(guī)劃、管理組織保障、業(yè)務(wù)運(yùn)行保障和安全技術(shù)保障4個(gè)方面構(gòu)建了一個(gè)較為全面、實(shí)用的智慧城市網(wǎng)絡(luò)安全保障評(píng)價(jià)指標(biāo)體系，并研究了智慧城市網(wǎng)絡(luò)安全保障評(píng)價(jià)過(guò)程模型，為提升智慧城市網(wǎng)絡(luò)安全管理、確保智慧城市網(wǎng)絡(luò)安全長(zhǎng)效性提供方法參考.

智慧城市；網(wǎng)絡(luò)安全威脅；網(wǎng)絡(luò)安全保障；網(wǎng)絡(luò)安全評(píng)價(jià)；評(píng)價(jià)指標(biāo)

1 智慧城市網(wǎng)絡(luò)安全面臨的威脅

為今后一個(gè)時(shí)期指導(dǎo)我國(guó)城鎮(zhèn)化健康發(fā)展，中共中央、國(guó)務(wù)院印發(fā)《國(guó)家新型城鎮(zhèn)化規(guī)劃(2014—2020年)》(中發(fā)[2014]4號(hào)文件)[1].為確保智慧城市建設(shè)健康有序推進(jìn)，國(guó)家發(fā)改委、工信部、科技部、公安部、財(cái)政部、國(guó)土部、住建部、交通部8部委又印發(fā)《關(guān)于促進(jìn)智慧城市健康發(fā)展的指導(dǎo)意見(jiàn)》(發(fā)改高技[2014]1770號(hào)文件)，該指導(dǎo)意見(jiàn)指出智慧城市是運(yùn)用物聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)、空間地理信息集成等新一代信息技術(shù)，促進(jìn)城市規(guī)劃、建設(shè)、管理和服務(wù)智慧化的新理念和新模式.建設(shè)智慧城市對(duì)加快工業(yè)化、信息化、城鎮(zhèn)化、農(nóng)業(yè)現(xiàn)代化融合，提升城市可持續(xù)發(fā)展能力具有重要意義.近年來(lái)，我國(guó)智慧城市建設(shè)取得了積極進(jìn)展，但也暴露出網(wǎng)絡(luò)安全隱患和風(fēng)險(xiǎn)突出等問(wèn)題[2].

智慧城市網(wǎng)絡(luò)分為感知層、網(wǎng)絡(luò)層、數(shù)據(jù)層、平臺(tái)層以及應(yīng)用層，每一個(gè)層級(jí)都面臨著潛在的安全威脅，網(wǎng)絡(luò)安全成為最棘手的問(wèn)題.

1) 感知層威脅

智慧城市網(wǎng)絡(luò)中的道路、橋梁、樓宇、車(chē)輛、居住社區(qū)等都有許多感知設(shè)備和終端節(jié)點(diǎn)采集信息.在智慧城市的感知層，接入終端的多樣化、泛在化加大了智慧城市系統(tǒng)的接入風(fēng)險(xiǎn)，許多感知設(shè)備的存儲(chǔ)密碼和感知數(shù)據(jù)容易被不法分子獲得.目前，針對(duì)智慧城市信息感知層感知設(shè)備的攻擊越來(lái)越多，如通信資源耗盡、拒絕轉(zhuǎn)發(fā)或選擇性轉(zhuǎn)發(fā)攻擊、多重身份降低容錯(cuò)能力攻擊、惡意節(jié)點(diǎn)干擾攻擊、數(shù)據(jù)注入型或篡改型攻擊、蟲(chóng)洞攻擊、去同步攻擊、重放資源占用攻擊等等，這些攻擊都可能使得智慧城市信息感知層感知設(shè)備被控制或無(wú)法工作[3].

2) 網(wǎng)絡(luò)層威脅

智慧城市建設(shè)以無(wú)線(xiàn)通信網(wǎng)絡(luò)、互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、廣電網(wǎng)、衛(wèi)星通信網(wǎng)等多網(wǎng)融合為基礎(chǔ)，在智慧城市網(wǎng)絡(luò)層攻擊多種多樣，如對(duì)防火墻的攻擊、對(duì)網(wǎng)絡(luò)訪(fǎng)問(wèn)控制的攻擊、對(duì)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的攻擊、對(duì)路由認(rèn)證選擇的攻擊、對(duì)接入交換機(jī)與服務(wù)器的攻擊[4]、對(duì)網(wǎng)絡(luò)加密信息傳輸?shù)墓?、?duì)網(wǎng)絡(luò)資源的非法占用、拒絕服務(wù)攻擊等，這些攻擊都可能使智慧城市網(wǎng)絡(luò)層的網(wǎng)絡(luò)無(wú)法正常運(yùn)行，使網(wǎng)絡(luò)服務(wù)中斷甚至陷于癱瘓狀態(tài).

3) 數(shù)據(jù)層威脅

智慧城市網(wǎng)絡(luò)中的數(shù)據(jù)包括城市基礎(chǔ)設(shè)施數(shù)據(jù)、人口數(shù)據(jù)、經(jīng)濟(jì)數(shù)據(jù)、公共服務(wù)數(shù)據(jù)、空間地理信息等，分布式存儲(chǔ)在各個(gè)政務(wù)云、行業(yè)云、公共云等數(shù)據(jù)存儲(chǔ)系統(tǒng)中.智慧城市數(shù)據(jù)層的威脅包括未經(jīng)授權(quán)的數(shù)據(jù)訪(fǎng)問(wèn)、濫用數(shù)據(jù)權(quán)限、非法提升數(shù)據(jù)訪(fǎng)問(wèn)權(quán)限、利用操作系統(tǒng)漏洞和安裝在數(shù)據(jù)庫(kù)服務(wù)器上的其他服務(wù)中的漏洞進(jìn)行數(shù)據(jù)破壞或拒絕服務(wù)攻擊、數(shù)據(jù)資源管理缺陷、欺騙服務(wù)器執(zhí)行惡意操作命令等等.

4) 平臺(tái)層威脅

智慧城市網(wǎng)絡(luò)中的平臺(tái)主要是各城市數(shù)據(jù)中心的云計(jì)算平臺(tái)、大數(shù)據(jù)挖掘與分析平臺(tái)和各業(yè)務(wù)支撐系統(tǒng)，面臨的主要安全威脅包括對(duì)重要數(shù)據(jù)中心的攻擊，對(duì)于云計(jì)算平臺(tái)、大數(shù)據(jù)挖掘和分析平臺(tái)中由于訪(fǎng)問(wèn)權(quán)限控制以及密鑰生成等管理方面的不足造成的密鑰破解、數(shù)據(jù)泄露對(duì)云上用戶(hù)的賬號(hào)、服務(wù)和通信的劫持、各業(yè)務(wù)系統(tǒng)中不安全的接口以及不安全的第三方插件、對(duì)云服務(wù)供應(yīng)商的安全控制措施和訪(fǎng)問(wèn)記錄難以審計(jì)，以及云安全事件取證困難等等.

5) 應(yīng)用層威脅

智慧城市的智慧應(yīng)用包括智慧政務(wù)、智慧教育、智慧醫(yī)療、智慧社會(huì)保障、智慧文化體系、智慧交通、智慧能源、智慧環(huán)保、智慧國(guó)土、智慧應(yīng)急、智慧物流、智慧社區(qū)、智慧家居、智慧支付、智慧金融[5]及其他智慧產(chǎn)業(yè)應(yīng)用等等.在智慧城市應(yīng)用層面臨多種安全威脅，包括業(yè)務(wù)應(yīng)用中機(jī)密信息泄露、重要信息泄露、個(gè)人隱私數(shù)據(jù)泄露、敏感數(shù)據(jù)竊取、交易抵賴(lài)以及破壞數(shù)據(jù)融合的攻擊、篡改數(shù)據(jù)的重編程攻擊、錯(cuò)亂定位服務(wù)的攻擊、破壞隱藏位置目標(biāo)攻擊[3]等.

2 智慧城市網(wǎng)絡(luò)安全保障體系架構(gòu)

建立智慧城市網(wǎng)絡(luò)安全保障體系是使城市的基礎(chǔ)網(wǎng)絡(luò)和要害信息系統(tǒng)安全可控，重要信息資源安全得到切實(shí)保障，居民、企業(yè)和政府的信息得到有效保護(hù).

智慧城市網(wǎng)絡(luò)安全保障體系可基于系統(tǒng)科學(xué)構(gòu)建，從保障目標(biāo)(S)、保障對(duì)象(O)、保障措施(E)維度對(duì)智慧城市網(wǎng)絡(luò)安全進(jìn)行全方位的安全保障，其與時(shí)間緯度(T)以及面臨的大數(shù)據(jù)安全威脅(D)一起構(gòu)成智慧城市網(wǎng)絡(luò)安全狀態(tài)空間.根據(jù)這些狀態(tài)變量抽取出智慧城市網(wǎng)絡(luò)安全的評(píng)價(jià)指標(biāo)，通過(guò)對(duì)指標(biāo)不同時(shí)間的取值和變化可以評(píng)價(jià)智慧城市網(wǎng)絡(luò)安全保障工作的開(kāi)展情況，為智慧城市網(wǎng)絡(luò)安全態(tài)勢(shì)判斷和宏觀決策提供支持，為加強(qiáng)智慧城市的網(wǎng)絡(luò)安全管理工作提供支持.智慧城市網(wǎng)絡(luò)安全保障體系架構(gòu)的立體模型如圖1所示:

圖1 智慧城市網(wǎng)絡(luò)安全保障參考架構(gòu)

2.1 保障目標(biāo)

智慧城市網(wǎng)絡(luò)安全保障的目標(biāo)就是要保證智慧城市的智慧應(yīng)用，例如智慧政府、智慧公共服務(wù)、智慧城市管理、各智慧產(chǎn)業(yè)應(yīng)用等在智慧城市基礎(chǔ)網(wǎng)絡(luò)和要害信息系統(tǒng)上正常運(yùn)行，確保智慧城市重要信息資源的保密性、完整性、可用性、真實(shí)性、可控性、不可抵賴(lài)性，使個(gè)人信息得到保護(hù)，滿(mǎn)足國(guó)家對(duì)智慧城市網(wǎng)絡(luò)安全保障工作的要求.

2.2 保障對(duì)象

智慧城市網(wǎng)絡(luò)安全保障對(duì)象包括智慧城市基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)、重要信息資源和信息安全組織.

智慧城市基礎(chǔ)網(wǎng)絡(luò)主要包括承擔(dān)公共通信、廣播電視傳輸?shù)奈锫?lián)網(wǎng)、電信網(wǎng)、互聯(lián)網(wǎng)、廣播電視網(wǎng)、衛(wèi)星通信網(wǎng)等信息網(wǎng)絡(luò).重要信息系統(tǒng)包括關(guān)系國(guó)家安全、城市安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定的信息系統(tǒng).對(duì)智慧城市基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)的保障主要是讓其具有更強(qiáng)的感知能力、更高的通信處理能力和更快的響應(yīng)速度，使智慧城市網(wǎng)絡(luò)運(yùn)行更加高效和安全.

智慧城市重要信息資源是關(guān)系到國(guó)家安全、城市安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定的數(shù)據(jù)與信息，包括涉密數(shù)據(jù)與信息和敏感數(shù)據(jù)與信息數(shù)據(jù)，是可衡量?jī)r(jià)值的數(shù)據(jù).

智慧城市重要信息資源是智慧城市網(wǎng)絡(luò)安全保障的重要對(duì)象，只有保護(hù)好這些重要的信息資源，智慧城市才能在保障和改善民生服務(wù)、創(chuàng)新社會(huì)管理方面發(fā)揮出更大的作用.

智慧城市的網(wǎng)絡(luò)安全組織主要負(fù)責(zé)智慧城市網(wǎng)絡(luò)安全的規(guī)劃、建設(shè)、管理和維護(hù)，該組織的建立將使得智慧城市網(wǎng)絡(luò)安全機(jī)制得到良好的部署和保障.智慧城市網(wǎng)絡(luò)安全組織主要是保護(hù)其在網(wǎng)絡(luò)空間的權(quán)利，讓其履行相應(yīng)的義務(wù).

2.3 保障措施

為達(dá)到智慧城市網(wǎng)絡(luò)安全保障目標(biāo)所采用的保障措施的集合，包括戰(zhàn)略保障、管理組織保障、業(yè)務(wù)運(yùn)行保障和技術(shù)保障等，智慧城市網(wǎng)絡(luò)安全保障層次模型如圖2所示：

智慧城市網(wǎng)絡(luò)安全的戰(zhàn)略安全保障要從完善網(wǎng)絡(luò)安全法律法規(guī)、健全網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，做好網(wǎng)絡(luò)安全保障的策略規(guī)劃等方面著手，做好智慧城市網(wǎng)絡(luò)安全戰(zhàn)略層面的整體規(guī)劃和頂層設(shè)計(jì)，要加強(qiáng)網(wǎng)絡(luò)安全管理組織保障規(guī)劃、業(yè)務(wù)運(yùn)行保障規(guī)劃和技術(shù)保障規(guī)劃以及有關(guān)專(zhuān)項(xiàng)規(guī)劃的總體部署.

智慧城市網(wǎng)絡(luò)安全的管理組織保障主要是從智慧城市網(wǎng)絡(luò)安全的組織建設(shè)、崗位設(shè)置、人才儲(chǔ)備、宣傳培訓(xùn)、基礎(chǔ)設(shè)施建設(shè)資金、重要信息數(shù)據(jù)的監(jiān)管方面著手，積極推進(jìn)網(wǎng)絡(luò)安全責(zé)任落實(shí)制度，強(qiáng)調(diào)職責(zé)分工和操作權(quán)限約束，提高管理人員、工作人員、公眾等安全素養(yǎng)，規(guī)范運(yùn)行監(jiān)督，堅(jiān)持管理和技術(shù)兩手抓，實(shí)現(xiàn)軟硬兼顧的安全措施保障.

智慧城市網(wǎng)絡(luò)安全的業(yè)務(wù)運(yùn)行保障包括網(wǎng)絡(luò)安全的態(tài)勢(shì)預(yù)警、保護(hù)、檢測(cè)、應(yīng)急響應(yīng)、恢復(fù)以及風(fēng)險(xiǎn)評(píng)估和控制.要著力加強(qiáng)網(wǎng)絡(luò)安全的態(tài)勢(shì)預(yù)警，包括漏洞預(yù)警、行為預(yù)警、攻擊趨勢(shì)預(yù)警、安全事件預(yù)警等；加強(qiáng)對(duì)基礎(chǔ)網(wǎng)絡(luò)、重要信息系統(tǒng)、重要信息資源、應(yīng)用業(yè)務(wù)有效運(yùn)行的安全防護(hù)，確保安全可控；加強(qiáng)對(duì)網(wǎng)絡(luò)安全入侵實(shí)時(shí)檢測(cè)和發(fā)現(xiàn)攻擊行為；對(duì)危及網(wǎng)絡(luò)安全的事件和行為作出應(yīng)急響應(yīng)，將損失降到最低；及時(shí)恢復(fù)基礎(chǔ)網(wǎng)絡(luò)、重要信息系統(tǒng)、重要信息資源、應(yīng)用業(yè)務(wù)，確保正常運(yùn)行和對(duì)外提供服務(wù)；加強(qiáng)對(duì)智慧城市的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)進(jìn)行識(shí)別、評(píng)估、管理和跟蹤，充分防范和化解智慧城市網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，將風(fēng)險(xiǎn)控制在可接受的范圍內(nèi).

智慧城市網(wǎng)絡(luò)安全的技術(shù)保障包括確保城市基礎(chǔ)設(shè)施物理安全、基礎(chǔ)網(wǎng)絡(luò)和要害信息系統(tǒng)安全和智慧城市大數(shù)據(jù)安全.確保城市基礎(chǔ)設(shè)施物理安全即為保證城市基礎(chǔ)設(shè)施的安全可靠運(yùn)行，降低或阻止人為或自然因素對(duì)設(shè)施、設(shè)備安全可靠運(yùn)行帶來(lái)的安全風(fēng)險(xiǎn)，對(duì)設(shè)施設(shè)備所采取的適當(dāng)安全措施，滿(mǎn)足相應(yīng)的防盜防毀、防雷電、防火、防水災(zāi)、防蟲(chóng)鼠、防地震、靜電保護(hù)、防電磁輻射等物理安全技術(shù)要求[6].確?；A(chǔ)網(wǎng)絡(luò)和要害信息系統(tǒng)安全是采用身份鑒別、網(wǎng)絡(luò)授權(quán)、數(shù)據(jù)保護(hù)、網(wǎng)絡(luò)監(jiān)測(cè)等有效的技術(shù)措施，保護(hù)信息通信網(wǎng)絡(luò)中的硬件、軟件及其數(shù)據(jù)不受偶然或惡意原因而遭到破壞、更改、泄露，保障系統(tǒng)連續(xù)可靠地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷，把風(fēng)險(xiǎn)降到最低限度.確保智慧城市大數(shù)據(jù)安全是采用數(shù)據(jù)采集安全技術(shù)、數(shù)據(jù)存儲(chǔ)安全技術(shù)、數(shù)據(jù)挖掘安全技術(shù)、數(shù)據(jù)發(fā)布與應(yīng)用安全技術(shù)、隱私數(shù)據(jù)保護(hù)安全技術(shù)等[7]，確保智慧城市各種智慧應(yīng)用中的重要信息資源在海量數(shù)據(jù)處理的全生命周期安全得到切實(shí)保障.

3 智慧城市網(wǎng)絡(luò)安全保障評(píng)價(jià)體系

美國(guó)早在20世紀(jì)80年代就開(kāi)始從事信息安全方面的研究，國(guó)防部基于軍事計(jì)算機(jī)系統(tǒng)的保密需要，制定了可信計(jì)算機(jī)系統(tǒng)安全評(píng)價(jià)準(zhǔn)則(TCSEC)，該準(zhǔn)則是第1個(gè)被廣泛認(rèn)可的信息安全標(biāo)準(zhǔn).20世紀(jì)90年代歐洲和加拿大又分別提出了信息技術(shù)安全評(píng)價(jià)準(zhǔn)則(ITSEC)和可信計(jì)算機(jī)產(chǎn)品評(píng)估準(zhǔn)則(CTCPEC).1993年美國(guó)提出系統(tǒng)安全工程能力成熟度模型(SSE-CMM)，較早地建立了信息安全評(píng)價(jià)保障指標(biāo)體系，1999年，美、加、英、法、德、荷等國(guó)又共同提出信息技術(shù)安全評(píng)價(jià)公共標(biāo)準(zhǔn)(CC)[8].

我國(guó)于1999年制定了強(qiáng)制性國(guó)家標(biāo)準(zhǔn)——計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則(GB17859—1999),將計(jì)算機(jī)信息系統(tǒng)的安全性由低到高進(jìn)行了劃分.國(guó)家信息中心2015年制定了信息安全保障指標(biāo)體系及評(píng)價(jià)方法，給出了信息安全保障及信息安全保障評(píng)價(jià)的概念和模型、指標(biāo)體系和指標(biāo)測(cè)量過(guò)程以及評(píng)價(jià)工作實(shí)施所應(yīng)遵照?qǐng)?zhí)行的要求、流程和方法[9-11].

智慧城市網(wǎng)絡(luò)安全保障評(píng)價(jià)體系建立的目的是全面評(píng)價(jià)智慧城市網(wǎng)絡(luò)安全戰(zhàn)略保障的完備性、管理組織的有效性、業(yè)務(wù)運(yùn)營(yíng)保障能力的成熟性、技術(shù)保障的有效性，以利于決策人員作出正確的處理方法，不斷改進(jìn)保障措施，確保智慧城市網(wǎng)絡(luò)安全的長(zhǎng)效性.智慧城市網(wǎng)絡(luò)安全保障評(píng)價(jià)指標(biāo)是根據(jù)智慧城市網(wǎng)絡(luò)安全保障的層次對(duì)所評(píng)價(jià)對(duì)象和內(nèi)容進(jìn)行逐層分解得到.智慧城市網(wǎng)絡(luò)安全保障評(píng)價(jià)指標(biāo)體系共有3個(gè)層級(jí)，其中一級(jí)指標(biāo)和二級(jí)指標(biāo)構(gòu)成指標(biāo)體系框架如圖3所示，一級(jí)指標(biāo)4項(xiàng)和二級(jí)指標(biāo)20項(xiàng)相對(duì)固定，三級(jí)指標(biāo)為底層指標(biāo)約50項(xiàng)，相對(duì)靈活，可以對(duì)它進(jìn)行擴(kuò)展或者刪節(jié)，添加其他指標(biāo)，細(xì)化評(píng)估.

智慧城市網(wǎng)絡(luò)安全保障評(píng)價(jià)指標(biāo)過(guò)程模型如圖4所示，包括評(píng)價(jià)準(zhǔn)備、方案編制、數(shù)據(jù)預(yù)處理、數(shù)據(jù)分析和評(píng)價(jià)結(jié)果輸出5個(gè)階段.評(píng)價(jià)準(zhǔn)備階段主要是為評(píng)價(jià)工作的順利開(kāi)展進(jìn)行準(zhǔn)備，包括選取評(píng)價(jià)范圍、明確評(píng)價(jià)目的、組建評(píng)價(jià)專(zhuān)家隊(duì)伍、開(kāi)展數(shù)據(jù)文檔準(zhǔn)備工作等.方案編制階段主要是完成評(píng)價(jià)項(xiàng)目方案的制定，包括安全級(jí)別的規(guī)定、評(píng)價(jià)指標(biāo)的篩選、安全指標(biāo)權(quán)重的確定、評(píng)價(jià)任務(wù)分工的布置、完成評(píng)價(jià)方案編制等.數(shù)據(jù)預(yù)處理階段主要是為數(shù)據(jù)分析做好準(zhǔn)備，確保數(shù)據(jù)標(biāo)準(zhǔn)化、完整性、和可處理，包括數(shù)據(jù)收集、數(shù)據(jù)清洗、數(shù)據(jù)集成和轉(zhuǎn)換以及數(shù)據(jù)驗(yàn)證.數(shù)據(jù)分析階段主要是針對(duì)對(duì)智慧城市網(wǎng)絡(luò)安全評(píng)價(jià)的目標(biāo)逐一進(jìn)行安全態(tài)勢(shì)分析和綜合分析，包括信息融合層的數(shù)據(jù)分析[12]、網(wǎng)絡(luò)節(jié)點(diǎn)的安全態(tài)勢(shì)、局域網(wǎng)安全態(tài)勢(shì)分析、城域網(wǎng)安全態(tài)勢(shì)分析以及城市網(wǎng)絡(luò)安全綜合分析.最后評(píng)價(jià)結(jié)果輸出階段主要是智能推理與專(zhuān)家評(píng)估打分結(jié)合輔助決策，進(jìn)行單項(xiàng)指標(biāo)計(jì)算及校驗(yàn)、復(fù)合指標(biāo)綜合計(jì)算，最后輸出科學(xué)、合理的評(píng)價(jià)結(jié)果.

4 總 結(jié)

本文認(rèn)真分析了智慧城市面臨的網(wǎng)絡(luò)安全威脅，基于系統(tǒng)工程方法，提出智慧城市網(wǎng)絡(luò)安全保障的參考架構(gòu)，并采用目標(biāo)層次展開(kāi)法、從戰(zhàn)略規(guī)劃、管理組織保障、業(yè)務(wù)運(yùn)行保障和安全技術(shù)保障4個(gè)方面構(gòu)建了一個(gè)較為全面、實(shí)用的智慧城市網(wǎng)絡(luò)安全保障評(píng)價(jià)指標(biāo)體系，并研究了智慧城市網(wǎng)絡(luò)安全保障評(píng)過(guò)程模型，為提升智慧城市網(wǎng)絡(luò)安全管理，確保智慧城市網(wǎng)絡(luò)安全長(zhǎng)效性提供方法參考.

[1]國(guó)務(wù)院. 中共中央、國(guó)務(wù)院印發(fā)《國(guó)家新型城鎮(zhèn)化規(guī)劃(2014—2020年)》的通知[R]. 北京: 國(guó)務(wù)院, 2014

[2]國(guó)家發(fā)展改革委等. 關(guān)于印發(fā)促進(jìn)智慧城市健康發(fā)展的指導(dǎo)意見(jiàn)的通知[R]. 北京: 國(guó)務(wù)院, 2014

[3]魏軍. “互聯(lián)網(wǎng)+”時(shí)代背景下智慧城市信息安全研究[EB/OL]. (2015-06-04) [2015-05-01]. http://www.cac.gov.cn/2015-06/04/c_1115513808.htm

[4]陳如明. 智慧城市的安全問(wèn)題應(yīng)對(duì)策略思考[J]. 移動(dòng)通信, 2012, 36(15): 77-80

[5]住房和城鄉(xiāng)建設(shè)部辦公廳. 住房城鄉(xiāng)建設(shè)部辦公廳關(guān)于開(kāi)展國(guó)家智慧城市試點(diǎn)工作的通知[R]. 北京: 住房和城鄉(xiāng)建設(shè)部辦公廳, 2012

[6]GB/T 21052—2007信息安全技術(shù) 信息系統(tǒng)物理安全技術(shù)要求[S]. 北京: 中華人民共和國(guó)質(zhì)量監(jiān)督檢驗(yàn)、檢疫總局/中國(guó)標(biāo)準(zhǔn)化管理委員會(huì), 2007

[7]呂欣, 韓曉露. 大數(shù)據(jù)安全和隱私保護(hù)技術(shù)架構(gòu)研究[J]. 信息安全研究, 2016, 2(3): 244-250

[8]李新明, 楊海濤, 李藝, 等. 復(fù)雜信息網(wǎng)絡(luò)安全概論[M]. 北京: 國(guó)防工業(yè)出版社, 2015

[9]GB/T 31495.1—2015信息安全技術(shù) 信息安全保障指標(biāo)體系及評(píng)價(jià)方法 第1部分: 概念和模型[S]. 北京: 中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局/中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì), 2015

[10]GB/T 31495.2—2015信息安全技術(shù) 信息安全保障指標(biāo)體系及評(píng)價(jià)方法 第2部分: 指標(biāo)體系[S]. 北京: 中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局/中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì), 2015

[11]GB/T 31495.3—2015信息安全技術(shù) 信息安全保障指標(biāo)體系及評(píng)價(jià)方法 第3部分: 實(shí)施指南[S]. 北京: 中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局/中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì), 2015

[12]楊露菁, 余華. 多源信息融合理論與應(yīng)用[M]. 北京: 北京郵電大學(xué)出版社, 2006

呂 欣

博士，國(guó)家信息中心副研究員，主要研究方向?yàn)榫W(wǎng)絡(luò)安全評(píng)價(jià)體系、網(wǎng)絡(luò)安全戰(zhàn)略、網(wǎng)絡(luò)空間安全體系結(jié)構(gòu).

lux@cei.gov.cn

韓曉露

博士研究生，高級(jí)工程師，主要研究方向?yàn)榇髷?shù)據(jù)與大數(shù)據(jù)安全、工業(yè)工程與信息化.

15111050@bjtu.edu.cn

李 陽(yáng)

博士，高級(jí)工程師，主要研究方向?yàn)榫W(wǎng)絡(luò)空間、信息安全、數(shù)據(jù)挖掘等.

liyang_cas@163.com

Research on the Evaluation System of Smart City Cyber Security Assurance

Lü Xin1, Han Xiaolu2, and Li Yang1

1(PostdoctoralScientificWorkstation,StateInformationCenter,Beijing100045)2(InstituteofElectronicandInformationEngineering,BeijingJiaotongUniversity,Beijing100044)

In recent years, the construction of China’s smart city has made positive progress, but also exposed the risks of cyber security. Smart city cyber security system needs to be established in order to guarantee the infrastructure network and key information system secure and controlled, critical information resource security effectively protected, residents information, business information and government information effectively protected. In this paper, cyber security threats faced by smart city are analyzed, and the reference architecture of smart city cyber security is proposed based on the system engineering approach. Besides, a comprehensive and practical evaluation system of smart city cyber security assurance is built from aspects of strategic planning, management organization security, business operation support and security technology through the method of target-level expansion. Moreover, the process model of smart city cyber security assurance is studied, to enhance cyber security management of smart city and to ensure smart city cyber security providing long-term method reference.

smart city; cyber security threat; cyber security assurance; cyber security evaluation; evaluation index

2016-05-04

國(guó)家社科基金重大項(xiàng)目(14ZDA089)

TP309