标准规范下载简介
DB37T 4550-2022 智慧城市网络安全建设和评估指南.pdf智慧城市数据在采集、传输、存储、交换过程中,会存在因非偶然或者恶意等方式的破坏 泄漏,尤其是云数据资源一旦遭受破获损失更大。因此在该场景下,需要一套数据防泄漏系 护智慧城市所产生的数据免遭数据丢失或泄漏。
智慧城市数据泄漏防护系统应采用统一的管理中心,统一的防护策略,以防止数据资产违规或非 授权输出为目标,以数据全生命周期管理为理念,以泄露风险为驱动,依据数据特点,灵活采用内容 智能识别、深层内容分析、实时敏感数据发现、全方位审计、精准拦截等技术手段,对智慧城市内网 络、终端、存储中的敏感数据进行发现、监控和保护。基于政务应用场景,提供量身定制的产品服 务,通过深度内容分析和事务安全关联分析来识别、监视和保护静止、移动和使用中的数据,通过事 前预警、事中保护、事后追溯的管理手段,防止存储、网络、终端、移动计算、云计算等各种具体应 用场景下的数据泄露、扩散。总体框架如图C.1所示。
图C.1数据防泄漏总体架构
《水利水电工程初步设计报告编制规程》DB37/T45502022
附录D (资料性) 跨网数据交换安全应用场景
附录D (资料性) 跨网数据交换安全应用场景
为保护网络的安全性,智慧城市在网络建设过程中往往会采用多个安全网域的形式,不同网域之 间会存在数据传输的需求。建立一套跨网数据安全交换系统来实现为两个不同网络业务区服务器之间 的数据交换与共享,以实现两个不同网络内部的安全、数据传输的安全、数据内容的安全。系统架构 如图D.1所示。
D.2.1电子政务数据交换安全解决方案
图D.1跨网数据安全交换架构
电子政务数据交换依托一体化在线政务服务平台,建设跨网数据安全交换平台,实现各个网 的文件交换、数据库同步、请求命令与响应数据交换、服务接口调用、数据可视化等,如图D
图D.2电子政务数据交换应用场景
动产“一网通办”数据交
D.2.2不动产“一网通办”数据交换安全场景
DB37/T45502022
动产“一网通办”跨网数据共享的安全解决方
DB37/T45502022
附录E (资料性) 抗攻击安全接入应用场景
智慧城市网络运行中,在感知设备连接控制网络、用户终端接入系统网络、运维终端接入软件系 统等接入时,存在被恶意攻击。因此,需要建立一套抗攻击安全接入系统,采用在客户端设备配备安 全模块,通过抗攻击网关接入系统,避免操作系统及开源组件遭受漏洞攻击,并阻止外部恶意攻击者 利用上述安全威胁破坏安全边界防护设备的安全性和有效性,
E.2.1终端设备安全接入
抗攻击安全接入系统,对系统进行抗攻击加固防护和二次加密,防止传输内容被恶意 非法手段截取。典型应用如图E.1所示。
E.2. 2 运维安全接入
图E.1终端设备安全接入典型应用
运维安全接入,在堡垒机前方部署抗攻击网关,操作员通过抗攻击接入终端访问堡垒机,可以保 证访问堡垒机人员的可控性,有效避免因为堡垒机漏洞而被攻击,保障系统的安全。典型应用如图E.2 所示。
DB37/T45502022
图E.2运维安全接入典型应用
DB37/T45502022
附录F (资料性) 数据安全治理中台应用场景
智慧城市建设过程中需要考虑数据中心的安全,以及网络中存在的异常流量、攻击等,需要将数 据进行统一的汇总分析,因此需要建立一套数据安全治理中台来满足该需求。该中台满足如下情况: 数据安全治理中台应对智慧城市数据中心的各类数据进行采集、分析,对智慧城市数据中心 资产的安全状况进行分析、刻画,全面摸清数据中心安全现状,及时发现存在的各类安全隐 患,排查并督促整改重要网络安全隐惠、风险和突出问题; 数据安全治理中台应对智慧城市数据中心网络流量分析,感知网络中的异常威胁数据,包括 非法入侵攻击数据、终端异常行为数据、病毒传播时空感知数据等; C 数据安全治理中台应结合云端威胁情报,感知智慧城市数据中心中各类设备的安全状态、漏 洞弱点、异常威胁及非法接入等安全情况,基于自适应安全架构,针对设备安全态势的预 测、防护、监控和响应,从端点安全、边界安全、数据安全和管理安全多个层面实现整体的 安全能力,实现资产威胁可视化、达到资产安全可管可控
DB37/T45502022
数据安全治理中台总体架
DB37/T45502022
附录G (资料性) 量子密码应用场景
量子密码是一种新兴的密码体制,其安全性基于量子物理学基本原理,具有理论上的无条件 。随着智慧城市网络安全重要性的提升,在智慧城市网络中采用量子密码的形式对城市安全起 作用。主要应用场景包括应用于密钥产生、数据加密和身份认证等。
密钥管理中心负责对用户密钥生命周期统一管理,包括密钥产生、分发、存储、使用、更新、归 当、撤销、备份、恢复和销毁,同时支持用户对密钥使用授权管理。密钥管理中心支持多中心层级管 理和分中心协同管理,用户的密钥可以在某一个中心上独立生成并在所管理范围内安全使用,当用户 跨中心使用密钥时需要对密钥进行安全同步,为了保障密钥跨中心同步不泄露,可以通过量子密钥分 配与中继技术实现密钥的在多中心间的安全同步。总体架构如G.1所示。 每个密钥中心都可以通过量子密钥源产生用户所需的密钥,将密钥分发给用户的同时中心会对密 钥进行存储与备份管理,用户密钥在密钥管理中心的管理下受控使用。当用户从一个中心迁移到另一 个中心使用密钥时,被使用的用户密钥通过量子密钥分配和中继技术被同步到对应的密钥管理中心 通过一次一密的密钥保护技术,实现无条件安全的密钥同步。
图G.1多密钥管理中心密钥同步总体架构
H. 1. 1 制度体系
度体系评价指标见表H.1!
DB37/T45502022
附录H (资料性) 智慧城市网络安全评价指标
表H.1制度体系评价指标
战略规划评价指标见表H.2
表H.2战略规划评价指标
H. 1. 3 组织管理
组织管理评价指标见表H.3。
DB37/T45502022
表H.3组织管理评价指标
安全投入评价指标见表H.4。
表H.4安全投入评价指标
标准规范评价指标见表H.5。
表H.5标准规范评价指标
H.2网络安全保障体系
网络安全等级保护评价指标见表H.6。
DB37/T45502022
表H.6网络安全等级保护评价指标
1.2.2关键信息基础设施保护
关键信息基础设施保护评价指标见表H.7
表H.7关键信息基础设施保护评价指标
H.2.3数据安全保护
数据安全保护评价指标见表H.8
表H.8数据安全保护评价指标
H.2.4个人信息保护
个人信息保护评价指标见表H.9。
DB37/T45502022
表H.9个人信息保护评价指标
H. 2. 5 密码应用
密码应用评价指标见表H.10。
表H.10密码应用评价指标
H.2.6信创及供应链安全管理
信创及供应链安全管理评价指标见表H.11。
表H.11信创及供应链安全管理评价指标
1.3网络安全保障能力
H. 3. 1 资产管理
资产管理评价指标见表H.12。
DB37/T45502022
表H.12资产管理评价指标
H.3. 2 安全运组
安全运维评价指标见表H.13。
表H.13安全运维评价指标
安全监测评价指标见表H.14
表H.14安全监测评价指标
安全应急评价指标见表H.
DB37/T45502022
表H.15安全应急评价指标
安全检查评价指标见表H.16。
H.16安全检查评价指标
H.3. 6 安全审计
安全审计评价指标见表H.17。
表H.17安全审计评价指标
H.3.7业务连续性保障
业务连续性保障评价指标见表H.18。
表H.18业务连续性保障评价指标
服务支撑评价指标见表H.19.
DB37/T45502022
表H.19服务支撑评价指标
H.4.1网络环境安全
网络环境安全评价指标见表H.20
表H.20网络环境安全评价指标
安全漏洞评价指标见表H.
DB37/T45502022
表H.21安全漏洞评价指标
安全保密评价指标见表H.23。
SL/T 801-2020 水利一张图空间信息服务规范(清晰无水印)表H.23安全保密评价指标
专项工作评价指标见表H.24。
表H.24专项工作评价指标
H.4. 6 安全协同
安全协同评价指标见表H.25
DB37/T45502022
TB 10402-2019 铁路建设工程监理规范表H.25安全协同评价指标
DB37/T45502022