1、2023年第4期(上)/总第628期69学术研讨基于GB/T 34680的智慧城市网络安全评价指标体系构建研究 王法中1*王 磊2 王曙光1 许立前1(1.山东省标准化研究院;2.中国网络安全审查技术与认证中心)摘 要:为推进智慧城市网络安全评价工作,本文根据GB/T 34680.1-2017的要求及其他部分的起草思路,研究构建智慧城市网路安全评价指标体系。构建的评价指标体系包含二级评价指标要素4个、二级指标12个,其中核心指标6个,扩展指标6个。构建的指标体系适用于智慧城市网络安全的评价,可一定程度上助推智慧城市网络安全评价工作的顺利开展。关键词:智慧城市,网络安全,评价指标体系,构建DOI
2、编码:10.3969/j.issn.1002-5944.2023.07.009Study on the Evaluation Index System Construction of Smart City Network Security Based on GB/T 34680WANG Fazhong1*WANG Lei2 WANG Shuguang1 XU Liqian1(1.Shandong Institute of Standardization;2.China Cybersecurity Review Technology and Certifi cation Center)Abstr
3、act:In order to promote the smart city network security evaluation work,the paper conduces research on the construction of smart city network security evaluation index system according to the requirements of GB/T 34680.1-2017 and ideas of other parts.The evaluation index system is established,which
4、includes 4 fi rst-level indexes and 12 second-level indexes,among which,6 are core indexes and 6 are extended indexes.The index system is suitable for the evaluation of smart city network security,and can promote the development of smart city network security evaluation.Keywords:smart city,network s
5、ecurity,evaluation index system,construction智慧城市是新一代信息技术创新应用与城市转型发展深度融合的产物,助推了政府职能转变及管理手段和管理方法的创新。为推进智慧城市评价工作,国家发布实施了GB/T 34680智慧城市评价模型及基础评价指标体系标准,本文基于该标准规定的智慧城市基础评价指标,分项评价指标设立原则、设立要求、二级指标评价要素及说明,构建智慧城市网络安全评价指标体系并规定指标的性质。1 相关术语和定义1.1 智慧城市GB/T 37043-2018智慧城市 术语将“智慧城市”定义为:运用信息通信技术,有效整合各类城市管理系统,实现城市各系统
6、间的信息资源共享和业务协同,推动城市管理和服务智慧化,提升城市运行管理和公共服务水平,提高城市居民幸福感和满意度,实现可持续发展的一种创新型城市1。2023年第4期(上)/总第628期70王法中,王磊,王曙光等:基于GB/T 34680的智慧城市网络安全评价指标体系构建研究1.2 网络安全GB/T 22239-2019信息安全技术 网络安全等级保护基本要求将“网络安全”定义为:通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠的运行状态,以及保障网络数据的完整性、保密性、可用性的能力2。2 GB/T 34680 标准简介GB/T 34680智慧城市评
7、价模型及基础评价指标体系标准分为多个部分,目前已发布实施4个部分。GB/T 34680.1-2017 智慧城市评价模型及基础评价指标体系 第1部分 总体框架及分项评价指标制定要求,该部分规定了智慧城市评价指标体系的总体框架、一级评价指标、二级评价指标要素及分项指标设立要求等内容3;GB/T 34680.2-2021智慧城市评价模型及基础评价指标体系 第2部分 信息基础设施,该部分规定了信息基础设施的评价指标,适用于智慧城市信息基础设施的评价4;GB/T 34680.3-2017 智慧城市评价模型及基础评价指标体系 第3部分 信息资源,该部分规定了信息资源的评价指标,适用于智慧城市信息资源的评价
8、5;GB/T 34680.4-2018智慧城市评价模型及基础评价指标体系 第4部分 建设管理,该部分规定了建设管理的评价指标,适用于智慧城市建设管理的评价6。智慧城市评价模型及基础评价指标体系 第5部分 交通规定了交通领域的评价指标、指标权重及应用说明等内容,于2022年10月12日发布,将于2023年5月1日开始实施7。智慧城市评价模型及基础评价指标体系 第6部分 公共服务 目前正起草。其他分项目前尚未正式立项。3 智慧城市评价指标体系总体框架根据GB/T 34680.1-2017的规定,智慧城市评价指标体系包含能力类和成效类两种指标,包含信息资源、网络安全、创新能力、机制保障、基础设施、公
9、共服务、社会管理、生态宜居和产业体系9个一级指标,信息资源开放、信息资源共享等二级指标评价要素38个,评价指标体系总体框架如图1所示。4 智慧城市网络安全评价指标体系4.1 评价指标体系框架根据 GB/T 34680.1-2017的规定,网络安全评价指标属于智慧城市评价指标体系的一级指标,属于能力类指标。网络安全评价指标对应网络安全管图1 智慧城市评价指标体系总体框架2023年第4期(上)/总第628期71王法中,王磊,王曙光等:基于GB/T 34680的智慧城市网络安全评价指标体系构建研究理、监测预警与应急、信息系统安全可靠、要害数据安全4个二级指标评价要素。根据分项二级评价指标设立原则、设
10、立要求、二级评价指标要素及说明,确定12个二级评价指标,架构如图2所示。4.2 指标属性根据GB/T 34680.1-2017的规定,二级评价指标分为核心指标和扩展指标。网络安全评价指标包含核心指标6个,扩展指标6个,详见表1。表1 智慧城市网络安全评价指标一级指标二级指标评价要素二级指标指标属性(核心/扩展)网络安全网络安全管理管理机制健全性核心战略法规核心经费保障扩展监测、预警与应急网络态势感知能力核心网络安全预警扩展网络安全应急扩展信息系统安全可控信息系统国产化率核心信息系统防护水平扩展信息系统使用管理规范扩展要害数据安全个人信息安全规范核心数据生命周期管理安全核心数据安全评价扩展4.3
11、 指标释义构建的智慧城市网络安全评价指标包括4个二级评价指标要素,12个二级评价指标。二级指标分别释义如下:(1)管理机制健全性指标用于评价为了保障网络安全所建立的管理机制,包括管理制度制定落实情况、岗位设置情况、人员配备及管理情况、责任划分及落实、责任追究情况等。该指标属于核心指标。(2)战略法规指标用于评价为了保障网络安全使命和任务所制定的中长期规划、法规、标准和宣贯情况。该指标属于核心指标。(3)经费保障指标用于评价为了保障网络安全,网络建设和运维投入的经费、经费预算及落实情况等。该指标属于扩展指标。(4)网络态势感知能力指标用于评价从全局视角对安全威胁的发现识别、理解分析、响应处置的能
12、力。该指标属于核心指标。网络安全态势监测的实施、产品开发设计和提供服务应符合GB/T 36635-2018的要求8。(5)网络安全预警指标用于评价网络安全监测预警体系建立情况、预警分级、预警研判及响应发布的能力。该指标属于扩展指标。(6)网络安全应急指标用于评价依据相关政策文件,制定网络安全应急预案、培训、演练,部署应急安全保护措施等情况。该指标属于扩展指标。(7)信息系统国产化率指标主要评价信息系统国产化情况。该指标属于核心指标。该指标是国图2 智慧城市网络安全评价指标框架2023年第4期(上)/总第628期72王法中,王磊,王曙光等:基于GB/T 34680的智慧城市网络安全评价指标体系构
13、建研究产化信息系统数量与信息系统总数量的比率。(8)信息系统安全防护水平指标主要评价提供公共通信、广播电视传输等服务的基础信息网络以及能源、金融、交通等重点行业的信息系统备案、安全防护、安全监管等情况。该指标属于核心指标。(9)信息系统使用管理规范情况指标主要用于评价信息系统使用过程中角色分配、账号管理、身份鉴别、访问控制等措施制定及落实情况。该指标属于扩展指标。(10)个人信息安全规范情况指标主要评价个人信息的管理规范情况。该指标属于核心指标。个人信息安全应符合GB/T 34978-2017、GB/T 35273-2020的要求。(11)数据生命周期管理指标主要评价数据采集、存储、处理、分发
14、、删除等全生命周期安全管理的情况。数据的安全管理应符合GB/T 37973-2019的要求。该指标属于核心指标。(12)数据安全评价该指标主要用于评价数据安全评价指标制定、实施落实情况。该指标属于扩展指标。5 结 论本文基于GB/T 34680.1-2017的规定要求和相关说明,构建了网络安全评价指标体系。构建的评价指标体系包含网络安全管理,监测、预警与应急,信息系统安全可控,要害数据安全4个二级指标评价要素,包含管理机制健全性、战略法规等12个二级指标,对二级指标进行了具体释义并对指标的性质(核心/扩展)进行了规定。构建的指标体系适用于智慧城市网络安全的评价,填补目前我国尚没有专门针对智慧城
15、市网络安全评价相关标准的空白,助推我国智慧城市网络安全评价工作的顺利开展。参考文献12345678全国信息技术标准化技术委员会.智慧城市 术语:GB/T 37043-2018S.北京:中国标准出版社,2018.全国信息安全标准化技术委员会.信息安全技术 网络安全等级保护基本要求:GB/T 22239-2019S.北京:中国标准出版社,2019.全国信息技术标准化技术委员会.智慧城市评价模型及基础评价指标体系 第1部分 总体框架及分项评价指标制定要求:GB/T 34680.1-2017S.北京:中国标准出版社,2017.全国通信标准化技术委员会.智慧城市评价模型及基础评价指标体系 第2部分 信息
16、基础设施:GB/T 34680.2-2021S.北京:中国标准出版社,2021.全国信息技术标准化技术委员会.智慧城市评价模型及基础评价指标体系 第3部分 信息资源:GB/T 34680.3-2017S.北京:中国标准出版社,2017.全国智能建筑及居住区数字化标准化技术委员会.智慧城市评价模型及基础评价指标体系 第4部分 建设管理:GB/T 34680.4-2018S.北京:中国标准出版社,2018.全国信息技术标准化技术委员会.智慧城市评价模型及基础评价指标体系 第5部分 交通:GB/T 34680.5-2022S.北京:中国标准出版社,2022.全国信息安全标准化技术委员会.信息安全技术 网络安全监测基本要求及实施指南:GB/T 36635-2018S.北京:中国标准出版社,2018.作者简介王法中,通信作者,硕士研究生,高级工程师,研究方向为信息技术及信息安全标准化。王磊,工程师,研究方向为网络安全审查与认证。王曙光,硕士研究生,研究员,研究方向为信息技术及信息安全标准化。许立前,本科,工程师,研究方向为信息服务资质认证咨询、APP检测、标准化等。(责任编辑:袁文静)
