DB37-T 4550-2022智慧城市網(wǎng)絡(luò)安全建設(shè)和評(píng)估指南-（高清版）

ICS35.040CCSICS35.040CCSL80山 東 省 地 方 標(biāo) 準(zhǔn)DB37/T4550—2022智慧城市網(wǎng)絡(luò)安全建設(shè)和評(píng)估指南Smartcitycybersecurityconstructionandevaluationguidelines20222022102120221121山東省市場(chǎng)監(jiān)督管理局目次前 言 III范圍 1規(guī)性用1術(shù)和略語(yǔ) 1語(yǔ)定義 1略語(yǔ) 2安管理 2全理2全3全理3員全4全設(shè)5據(jù)全6動(dòng)用全7鍵息礎(chǔ)施全管理 7維7應(yīng)響應(yīng) 10網(wǎng)安供商務(wù)商運(yùn)商11安技術(shù) 12據(jù)心理12聯(lián)知智終安全 12域界通網(wǎng)安全 13計(jì)安全 14算存安全 15據(jù)16務(wù)接安全 17慧用17全18保及碼術(shù)21安評(píng)指體系 21附錄A資性基零信架的慧市絡(luò)安防應(yīng)場(chǎng)景 22附錄B資性網(wǎng)安全測(cè)評(píng)應(yīng)場(chǎng)景 23附錄C資性數(shù)防泄安應(yīng)場(chǎng)景 24附錄D資性跨數(shù)據(jù)換全用25附錄E資性抗擊安接應(yīng)場(chǎng)景 27附錄F資性數(shù)安全理臺(tái)用29附錄G資性量密碼用31附錄H資性智城市絡(luò)全價(jià)32參考文獻(xiàn) 41前言本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請(qǐng)注意本文件的某些內(nèi)容可能涉及專(zhuān)利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專(zhuān)利的責(zé)任。本文件由中共山東省委網(wǎng)絡(luò)安全和信息化委員會(huì)辦公室提出、歸口并組織實(shí)施智慧城市網(wǎng)絡(luò)安全建設(shè)和評(píng)估指南范圍本文件提供了智慧城市網(wǎng)絡(luò)安全建設(shè)和評(píng)估的指導(dǎo)。本文件適用于山東省內(nèi)市、縣（區(qū)）的智慧城市網(wǎng)絡(luò)安全建設(shè)與評(píng)估，數(shù)字政府、數(shù)字園區(qū)、數(shù)據(jù)中心的網(wǎng)絡(luò)安全建設(shè)運(yùn)行和評(píng)估參考使用。下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T20984—2022信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估方法GB/Z20986信息安全技術(shù)信息安全事件分類(lèi)分級(jí)指南GB/T22239—2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求GB/T31167信息安全技術(shù)云計(jì)算服務(wù)安全指南GB/T31168信息安全技術(shù)云計(jì)算服務(wù)安全能力要求GB/T32400—2015信息技術(shù)云計(jì)算概覽與詞匯（ISO/IEC17788:2014,IDT）GB/T36951—2018信息安全技術(shù)物聯(lián)網(wǎng)感知終端應(yīng)用安全技術(shù)要求GB/T39786—2021信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求GA/T1781—2021公共安全社會(huì)視頻資源安全聯(lián)網(wǎng)設(shè)備技術(shù)要求GB/T32400—2015、GB/T36951—2018界定的及下列術(shù)語(yǔ)和定義適用于本文件。3.1.1關(guān)鍵信息基礎(chǔ)設(shè)施criticalinformationinfrastructure公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能?chē)?yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的網(wǎng)絡(luò)設(shè)施和信息系統(tǒng)。3.1.2零信任架構(gòu)zerotrustarchitecture基于零信任理念，圍繞其組件關(guān)系、工作流規(guī)劃與訪問(wèn)策略構(gòu)建而成的一種企業(yè)網(wǎng)絡(luò)安全架構(gòu)。3.1.3數(shù)據(jù)安全datasecurity通過(guò)管理和技術(shù)措施，確保數(shù)據(jù)有效保護(hù)和合規(guī)使用的狀態(tài)。[來(lái)源：GB/T37988—2019，3.1]3.1.4感知終端sensingterminal能對(duì)物或環(huán)境進(jìn)行信息采集和/或執(zhí)行操作，并能聯(lián)網(wǎng)進(jìn)行通信的裝置。[來(lái)源：GB/T36951—2018，3.1.2]3.1.5云計(jì)算cloudcomputing一種通過(guò)網(wǎng)絡(luò)將可伸縮、彈性的共享物理和虛擬資源池以按需自服務(wù)的方式供應(yīng)和管理的模式模式。[來(lái)源：GB/T32400—2015，3.2.5]3.1.6云平臺(tái)cloudplatform云服務(wù)商提供的云計(jì)算（3.1.5）基礎(chǔ)設(shè)施及其上的服務(wù)軟件的集合。3.1.7安全審計(jì)securityaudit對(duì)事件進(jìn)行記錄和分析，并針對(duì)特定事件采取相應(yīng)比較的動(dòng)作。[來(lái)源：GB/T20945—2013，3.2]3.1.8安全策略securitypolicy用于治理組織及其系統(tǒng)內(nèi)在安全上如何管理、保護(hù)和分發(fā)資產(chǎn)（包括敏感信息）的一組規(guī)則、指導(dǎo)和實(shí)踐，特別是那些對(duì)系統(tǒng)安全及相關(guān)元素具有影響的資產(chǎn)。信息技術(shù)應(yīng)用創(chuàng)新informationtechnologyapplicationinnovation通過(guò)行業(yè)應(yīng)用構(gòu)建國(guó)產(chǎn)化信息技術(shù)軟硬件底層架構(gòu)體系和全周期生態(tài)體系。注：簡(jiǎn)稱(chēng)信創(chuàng)。3.2縮略語(yǔ)信息技術(shù)應(yīng)用創(chuàng)新informationtechnologyapplicationinnovation通過(guò)行業(yè)應(yīng)用構(gòu)建國(guó)產(chǎn)化信息技術(shù)軟硬件底層架構(gòu)體系和全周期生態(tài)體系。注：簡(jiǎn)稱(chēng)信創(chuàng)。3.2縮略語(yǔ)下列縮略語(yǔ)適用于本文件。AP：訪問(wèn)接入點(diǎn)（AccessPoint）API：應(yīng)用程序接口（ApplicationProgramInterface）APP：移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序（Application）CA：證書(shū)頒發(fā)機(jī)構(gòu)（CertificateAuthority）DDoS：分布式拒絕服務(wù)攻擊（DistributedDenialofService）IP：網(wǎng)絡(luò)協(xié)議（InternetProtocol）IT：互聯(lián)網(wǎng)技術(shù)（InternetTechnology）MAC：媒體訪問(wèn)控制（MediaAccessControl）VPN：虛擬專(zhuān)用網(wǎng)絡(luò)（VirtualPrivateNetwork）Web：網(wǎng)站（Website）4安全管理崗位設(shè)置主要包括：（宜成立指導(dǎo)和管理智慧城市網(wǎng)絡(luò)安全工作的委員會(huì)或領(lǐng)導(dǎo)小組，其最高領(lǐng)導(dǎo)由地方黨政主要宜設(shè)立智慧城市網(wǎng)絡(luò)安全管理工作的職能部門(mén)，負(fù)責(zé)智慧城市網(wǎng)絡(luò)安全日常管理工作，設(shè)立安全管理、關(guān)鍵信息基礎(chǔ)設(shè)施安全、重要信息系統(tǒng)安全、關(guān)鍵數(shù)據(jù)資源安全等各個(gè)方面的負(fù)人員配備主要包括：授權(quán)和審批主要包括：針對(duì)系統(tǒng)變更、重要操作、物理訪問(wèn)和系統(tǒng)接入等事項(xiàng)建立審批程序，按照審批程序執(zhí)行審審核和檢查主要包括：建立并實(shí)施智慧城市網(wǎng)絡(luò)安全考核及監(jiān)督問(wèn)責(zé)機(jī)制，定期進(jìn)行智慧城市網(wǎng)絡(luò)安全檢查及考核，檢查內(nèi)容包括智慧城市現(xiàn)有安全技術(shù)措施的有效性、安全配置與安全策略的一致性、安a)匯總安全檢查數(shù)據(jù)，形成安全檢查報(bào)告，并對(duì)安全檢查結(jié)果進(jìn)行通報(bào)。安全規(guī)劃主要包括：智慧城市網(wǎng)絡(luò)安全建設(shè)與各信息系統(tǒng)建設(shè)同步規(guī)劃、同步設(shè)計(jì)、同步實(shí)施，基于零信任架構(gòu)A；5GB/T22239—2019GB/T20984—2022GB/T39786—2021制定智慧城市基本安全措施，并依據(jù)等級(jí)保護(hù)測(cè)評(píng)、信息安全風(fēng)險(xiǎn)評(píng)估和商用密碼應(yīng)用安全安全策略主要包括：構(gòu)建智慧城市網(wǎng)絡(luò)安全管理制度體系，包含智慧城市網(wǎng)絡(luò)安全方針策略、安全管理制度和工制定智慧城市網(wǎng)絡(luò)安全戰(zhàn)略方針和安全策略，闡明智慧城市網(wǎng)絡(luò)安全戰(zhàn)略目標(biāo)、范圍、原則和安全框架等，重點(diǎn)加強(qiáng)智慧城市關(guān)鍵信息基礎(chǔ)設(shè)施、重要信息系統(tǒng)和關(guān)鍵數(shù)據(jù)資源的安全；組建智慧城市網(wǎng)絡(luò)安全研究隊(duì)伍和智庫(kù)機(jī)構(gòu)或委托相關(guān)智慧城市網(wǎng)絡(luò)安全研究機(jī)構(gòu)開(kāi)展智慧管理制度主要包括：結(jié)合智慧城市網(wǎng)絡(luò)安全管理實(shí)踐，主導(dǎo)或參與智慧城市網(wǎng)絡(luò)安全國(guó)家、行業(yè)、地方、團(tuán)體標(biāo)工作機(jī)制主要包括：建立智慧城市網(wǎng)絡(luò)安全通報(bào)機(jī)制，明確通報(bào)范圍、通報(bào)流程等，各通報(bào)成員單位通過(guò)智慧城市安全監(jiān)測(cè)、預(yù)警、通報(bào)和信息共享的安全監(jiān)測(cè)中心通報(bào)智慧城市網(wǎng)絡(luò)安全信息，通報(bào)成員80%每年至少開(kāi)展一次智慧城市網(wǎng)絡(luò)安全檢查、網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)、密碼應(yīng)用安全性評(píng)估，建立智慧城市網(wǎng)絡(luò)安全應(yīng)急處置機(jī)制，制定應(yīng)急預(yù)案，定期開(kāi)展應(yīng)急演練，處置網(wǎng)絡(luò)安全事件；建立智慧城市網(wǎng)絡(luò)安全人才培養(yǎng)機(jī)制，定期發(fā)布智慧城市網(wǎng)絡(luò)安全人才培養(yǎng)規(guī)劃，并推動(dòng)落實(shí)規(guī)劃，定期了解各高校、企業(yè)智慧城市網(wǎng)絡(luò)安全人才供給與需求，推動(dòng)促進(jìn)智慧城市網(wǎng)絡(luò)運(yùn)行記錄主要包括：按照智慧城市網(wǎng)絡(luò)安全管理制度開(kāi)展智慧城市網(wǎng)絡(luò)安全工作，重點(diǎn)推動(dòng)國(guó)家網(wǎng)絡(luò)安全審查、人員管理主要包括：對(duì)智慧城市安全管理機(jī)構(gòu)相關(guān)錄用人員身份、安全背景、專(zhuān)業(yè)資格等進(jìn)行審查，并對(duì)其智慧加強(qiáng)外部人員對(duì)物理訪問(wèn)受控區(qū)域的訪問(wèn)管理，在履行相關(guān)申請(qǐng)手續(xù)后由專(zhuān)人陪同訪問(wèn)，并加強(qiáng)智慧城市信息系統(tǒng)外包開(kāi)發(fā)等外部人員對(duì)受控網(wǎng)絡(luò)的訪問(wèn)管理，在履行相關(guān)申請(qǐng)手續(xù)后外部人員離開(kāi)物理訪問(wèn)受控區(qū)域或不需要對(duì)受控網(wǎng)絡(luò)訪問(wèn)后，及時(shí)清除外部人員的訪問(wèn)權(quán)限。安全意識(shí)教育和培訓(xùn)主要包括：建立智慧城市關(guān)鍵信息基礎(chǔ)設(shè)施的安全從業(yè)人員網(wǎng)絡(luò)安全教育、培訓(xùn)和考核制度，定期開(kāi)展基于崗位的網(wǎng)絡(luò)安全教育培訓(xùn)和技能考核，教育培訓(xùn)內(nèi)容包括智慧城市網(wǎng)絡(luò)安全相關(guān)制度、網(wǎng)絡(luò)安全保護(hù)技術(shù)、商用密碼應(yīng)用、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)意識(shí)、重要信息系統(tǒng)和關(guān)鍵數(shù)據(jù)資源安全智慧城市關(guān)鍵信息基礎(chǔ)設(shè)施的安全從業(yè)人員宜持證上崗，并定期進(jìn)行考核，考核不通過(guò)者不產(chǎn)品采購(gòu)主要包括：指定或授權(quán)專(zhuān)門(mén)的部門(mén)負(fù)責(zé)智慧城市相關(guān)網(wǎng)絡(luò)安全產(chǎn)品的采購(gòu)，采購(gòu)過(guò)程中所需密碼產(chǎn)品與軟件開(kāi)發(fā)主要包括：確保開(kāi)發(fā)環(huán)境與實(shí)際運(yùn)行環(huán)境物理分開(kāi)，開(kāi)發(fā)人員和測(cè)試人員分離，測(cè)試數(shù)據(jù)和測(cè)試結(jié)果受智慧城市信息系統(tǒng)外包開(kāi)發(fā)的，與開(kāi)發(fā)單位簽訂相應(yīng)的保密協(xié)議，同時(shí)審查軟件中可能存在測(cè)試驗(yàn)收主要包括：委托有資質(zhì)的第三方測(cè)評(píng)機(jī)構(gòu)對(duì)智慧城市信息系統(tǒng)進(jìn)行等級(jí)保護(hù)測(cè)評(píng)、商用密碼應(yīng)用安全性B；驗(yàn)收時(shí)提交智慧城市信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)報(bào)告、信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告和商用密碼應(yīng)用安全性評(píng)估報(bào)告，當(dāng)智慧城市信息系統(tǒng)發(fā)生重大變化及面臨重大風(fēng)險(xiǎn)時(shí)重新進(jìn)行等級(jí)保護(hù)測(cè)在測(cè)試驗(yàn)收前根據(jù)設(shè)計(jì)方案或合同等制定測(cè)試驗(yàn)收方案，在測(cè)試驗(yàn)收過(guò)程中詳細(xì)記錄測(cè)試驗(yàn)數(shù)據(jù)分類(lèi)分級(jí)主要包括：GB/Z38649—2020E）采取不同的安全措施，不同級(jí)別的數(shù)據(jù)被同時(shí)處理、應(yīng)用時(shí)，按照其中最高級(jí)別來(lái)實(shí)施保護(hù)；依據(jù)數(shù)據(jù)分類(lèi)分級(jí)，建立數(shù)據(jù)備份策略，依據(jù)策略進(jìn)行備份，并對(duì)備份進(jìn)行測(cè)試以確保備份可用；數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估主要包括：定期進(jìn)行風(fēng)險(xiǎn)自評(píng)估，分析由于基礎(chǔ)信息網(wǎng)絡(luò)、重要信息系統(tǒng)及關(guān)鍵信息基礎(chǔ)設(shè)施與管理因素變化而新出現(xiàn)的安全威脅，對(duì)自身進(jìn)行數(shù)據(jù)安全風(fēng)險(xiǎn)識(shí)別和評(píng)價(jià)，動(dòng)態(tài)調(diào)整安全策略，適數(shù)據(jù)關(guān)聯(lián)與溯源主要包括：不同應(yīng)用之間進(jìn)行數(shù)據(jù)關(guān)聯(lián)性保護(hù)，防止產(chǎn)生數(shù)據(jù)泄露，數(shù)據(jù)防泄漏安全應(yīng)用場(chǎng)景見(jiàn)附錄C；在響應(yīng)同一應(yīng)用或同一用戶(hù)的多個(gè)數(shù)據(jù)訪問(wèn)請(qǐng)求時(shí)，做好數(shù)據(jù)關(guān)聯(lián)性防護(hù)，防止不同的數(shù)據(jù)通過(guò)數(shù)據(jù)溯源追蹤、管理數(shù)據(jù)之間的衍生依賴(lài)關(guān)系，對(duì)敏感數(shù)據(jù)的衍生數(shù)據(jù)進(jìn)行安全保護(hù)，對(duì)敏感數(shù)據(jù)應(yīng)用周期的各個(gè)環(huán)節(jié)的操作進(jìn)行標(biāo)記和定位，在發(fā)生數(shù)據(jù)安全問(wèn)題時(shí)，利用數(shù)據(jù)數(shù)據(jù)交換與共享主要包括：制定智慧城市數(shù)據(jù)交互、融合和共享安全策略，明確交互、融合和共享的范圍、要求等，跨D；數(shù)據(jù)審查主要包括：建立數(shù)據(jù)審查制度，對(duì)影響或者可能影響數(shù)據(jù)安全的數(shù)據(jù)處理活動(dòng)進(jìn)行安全審查，并形成數(shù)定期對(duì)數(shù)據(jù)采集、傳輸、共享、融合等數(shù)據(jù)處理行為進(jìn)行審查和分析，審查重要數(shù)據(jù)被竊APPAPP安全管理主要包括：APPAPPAPPAPP安全認(rèn)證主要包括：APP運(yùn)營(yíng)方宜開(kāi)展APP安全檢測(cè)和安全認(rèn)證工作，規(guī)范APP收集、使用用戶(hù)信息的相關(guān)行為；APP。關(guān)鍵信息基礎(chǔ)設(shè)施安全管理主要包括：開(kāi)展智慧城市關(guān)鍵信息基礎(chǔ)設(shè)施的識(shí)別認(rèn)定，并當(dāng)智慧城市關(guān)鍵信息基礎(chǔ)設(shè)施發(fā)生較大變建立健全智慧城市關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)制度和責(zé)任制，保障人力、財(cái)力、物力投入，智慧城市關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者的主要負(fù)責(zé)人對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)負(fù)總責(zé)，領(lǐng)導(dǎo)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)和重大網(wǎng)絡(luò)安全事件處置工作，組織研究解決重大網(wǎng)絡(luò)安全問(wèn)題；智慧城市關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)措施與智慧城市關(guān)鍵信息基礎(chǔ)設(shè)施同步規(guī)劃、同步建智慧城市關(guān)鍵信息基礎(chǔ)設(shè)施按GB/T22239—2019、GB/T39786—2021進(jìn)行定期的安全檢智慧城市關(guān)鍵信息基礎(chǔ)設(shè)施發(fā)生重大網(wǎng)絡(luò)安全事件或者發(fā)現(xiàn)重大網(wǎng)絡(luò)安全威脅時(shí)，及時(shí)向相推動(dòng)智慧城市關(guān)鍵信息基礎(chǔ)設(shè)施相關(guān)的關(guān)鍵IT設(shè)備（主要是操作系統(tǒng)、數(shù)據(jù)庫(kù)、服務(wù)器、）IT智慧城市關(guān)鍵信息基礎(chǔ)設(shè)施優(yōu)先采購(gòu)安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù)，采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)可能環(huán)境管理主要包括：建立機(jī)房安全管理制度，對(duì)有關(guān)機(jī)房物理訪問(wèn)，物品帶進(jìn)、帶出機(jī)房和機(jī)房環(huán)境安全等方面指定專(zhuān)門(mén)的部門(mén)或人員定期對(duì)智慧城市的機(jī)房供配電、空調(diào)、溫濕度控制等設(shè)施進(jìn)行維護(hù)管理；指定部門(mén)負(fù)責(zé)機(jī)房安全，并配備機(jī)房安全管理人員，對(duì)機(jī)房的出入、服務(wù)器的開(kāi)機(jī)或關(guān)機(jī)等資產(chǎn)管理主要包括：建立資產(chǎn)安全管理制度，明確智慧城市信息系統(tǒng)資產(chǎn)管理的責(zé)任人員或責(zé)任部門(mén)，并規(guī)范資存儲(chǔ)介質(zhì)管理主要包括：建立存儲(chǔ)介質(zhì)安全管理制度，對(duì)存儲(chǔ)介質(zhì)的采購(gòu)、存放環(huán)境、使用、權(quán)屬、維護(hù)和銷(xiāo)毀等全對(duì)介質(zhì)在物理傳輸過(guò)程中的人員選擇、打包、交付等情況進(jìn)行全要素控制，對(duì)介質(zhì)歸檔和查對(duì)存儲(chǔ)介質(zhì)的使用過(guò)程、送出維修以及銷(xiāo)毀等進(jìn)行嚴(yán)格的管理，對(duì)帶出工作環(huán)境的存儲(chǔ)介質(zhì)進(jìn)行內(nèi)容加密和監(jiān)控管理，對(duì)送出維修或銷(xiāo)毀的介質(zhì)中存有敏感數(shù)據(jù)的需要有專(zhuān)人全程陪同；對(duì)重要介質(zhì)中的敏感數(shù)據(jù)和軟件采取加密存儲(chǔ)，并根據(jù)所承載數(shù)據(jù)和軟件的重要程度對(duì)介質(zhì)設(shè)備管理主要包括：對(duì)智慧城市信息系統(tǒng)相關(guān)的各種設(shè)備（包括備品備件）、線路等指定專(zhuān)門(mén)的部門(mén)或人員定期建立基于申報(bào)、審批和專(zhuān)人負(fù)責(zé)的設(shè)備安全管理制度，對(duì)信息系統(tǒng)的各種軟硬件設(shè)備的選建立配套設(shè)施、軟硬件維護(hù)方面的管理制度，對(duì)其維護(hù)進(jìn)行有效的管理，包括明確維護(hù)人員對(duì)終端計(jì)算機(jī)、工作站、便攜機(jī)、系統(tǒng)和網(wǎng)絡(luò)等設(shè)備的操作和使用進(jìn)行規(guī)范化管理，按操作漏洞管理主要包括：IT對(duì)漏洞進(jìn)行監(jiān)測(cè)，支持統(tǒng)一管理安全掃描策略，對(duì)內(nèi)部網(wǎng)絡(luò)設(shè)備、服務(wù)器、操作系統(tǒng)、應(yīng)用IT對(duì)漏洞進(jìn)行分析，針對(duì)發(fā)現(xiàn)的漏洞結(jié)合資產(chǎn)信息和情報(bào)信息進(jìn)行分析判斷、計(jì)算風(fēng)險(xiǎn)、給出風(fēng)險(xiǎn)管理主要包括：開(kāi)展基礎(chǔ)信息網(wǎng)絡(luò)及關(guān)鍵信息基礎(chǔ)設(shè)施風(fēng)險(xiǎn)識(shí)別工作，并及時(shí)處置相關(guān)風(fēng)險(xiǎn)，并依照通報(bào)機(jī)對(duì)數(shù)據(jù)風(fēng)險(xiǎn)進(jìn)行分析，對(duì)數(shù)據(jù)風(fēng)險(xiǎn)異常行為分析和異常告警，對(duì)數(shù)據(jù)流動(dòng)、數(shù)據(jù)訪問(wèn)的異常對(duì)數(shù)據(jù)進(jìn)行溯源取證，在發(fā)生數(shù)據(jù)泄露、數(shù)據(jù)濫用等異常數(shù)據(jù)流動(dòng)時(shí)，進(jìn)行深入分析溯源，網(wǎng)絡(luò)安全管理主要包括：建立網(wǎng)絡(luò)安全管理制度，對(duì)網(wǎng)絡(luò)安全配置、日志保存時(shí)間、安全策略、升級(jí)與打補(bǔ)丁、口令指定專(zhuān)人對(duì)網(wǎng)絡(luò)進(jìn)行管理，負(fù)責(zé)運(yùn)行日志、網(wǎng)絡(luò)監(jiān)控記錄的日常維護(hù)和報(bào)警信息分析和處理工作；根據(jù)廠家提供的軟件升級(jí)版本對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行更新，并在更新前對(duì)現(xiàn)有的重要文件進(jìn)行備份；系統(tǒng)安全管理主要包括：建立系統(tǒng)安全管理制度，對(duì)系統(tǒng)安全策略、安全配置、日志管理和日常操作流程等方面作出安裝系統(tǒng)的最新補(bǔ)丁程序，在安裝系統(tǒng)補(bǔ)丁前，首先在測(cè)試環(huán)境中測(cè)試通過(guò)，并對(duì)重要文件指定專(zhuān)人對(duì)系統(tǒng)進(jìn)行管理，劃分系統(tǒng)管理員角色，明確各個(gè)角色的權(quán)限、責(zé)任和風(fēng)險(xiǎn)并相互制約；依據(jù)操作手冊(cè)對(duì)系統(tǒng)進(jìn)行維護(hù)，詳細(xì)記錄操作日志，包括重要的日常操作、運(yùn)行維護(hù)記錄、惡意代碼防范管理主要包括：定期檢查信息系統(tǒng)內(nèi)各種產(chǎn)品的惡意代碼庫(kù)的升級(jí)情況并進(jìn)行記錄，對(duì)主機(jī)防病毒產(chǎn)品、防病毒網(wǎng)關(guān)和郵件防病毒網(wǎng)關(guān)上截獲的危險(xiǎn)病毒或惡意代碼進(jìn)行及時(shí)分析處理，并形成書(shū)面的密碼應(yīng)用管理主要包括：智慧城市信息系統(tǒng)采用符合國(guó)家密碼管理規(guī)定的密碼技術(shù)進(jìn)行保護(hù)，使用國(guó)家密碼管理主管按照密碼相關(guān)國(guó)家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)，進(jìn)行密鑰生命周期管理，包括密鑰產(chǎn)生、分發(fā)、存儲(chǔ)、GB/T39786—2021；智慧城市信息系統(tǒng)定期開(kāi)展商用密碼應(yīng)用安全性評(píng)估，及時(shí)提交通過(guò)測(cè)評(píng)的商用密碼應(yīng)用安安全態(tài)勢(shì)感知主要包括：對(duì)智慧城市基礎(chǔ)信息網(wǎng)絡(luò)及關(guān)鍵信息基礎(chǔ)設(shè)施涉及資產(chǎn)態(tài)勢(shì)、數(shù)據(jù)安全態(tài)勢(shì)、脆弱性態(tài)勢(shì)、安全服務(wù)管理主要包括：通過(guò)服務(wù)接口實(shí)現(xiàn)對(duì)通用防護(hù)、身份管理、認(rèn)證管理、權(quán)限管理、密碼管理、安全審計(jì)等安服務(wù)外包安全主要包括：運(yùn)維合規(guī)管理主要包括：對(duì)用戶(hù)的運(yùn)維操作行為與審批記錄進(jìn)行對(duì)比分析和異常行為分析，及時(shí)發(fā)現(xiàn)運(yùn)維操作安全風(fēng)應(yīng)急預(yù)案主要包括：宜在統(tǒng)一的應(yīng)急預(yù)案框架下制定不同事件的應(yīng)急預(yù)案，應(yīng)急預(yù)案框架包括啟動(dòng)應(yīng)急預(yù)案的條應(yīng)急演練主要包括：宜定期對(duì)應(yīng)急預(yù)案進(jìn)行演練，每年不少于一次，根據(jù)不同的應(yīng)急恢復(fù)內(nèi)容，確定演練的周期；事件處置主要包括：制定安全事件報(bào)告和處置管理制度，明確安全事件的類(lèi)型，規(guī)定安全事件的現(xiàn)場(chǎng)處理、事件根據(jù)國(guó)家相關(guān)管理部門(mén)對(duì)計(jì)算機(jī)安全事件等級(jí)劃分方法和安全事件對(duì)本系統(tǒng)產(chǎn)生的影響，對(duì)制定安全事件報(bào)告和響應(yīng)處理程序，確定事件的報(bào)告流程，響應(yīng)和處置的范圍、程度，以及開(kāi)展智慧城市基礎(chǔ)信息網(wǎng)絡(luò)及關(guān)鍵信息基礎(chǔ)設(shè)施7×24h對(duì)特定的攻擊、漏洞、病毒或違規(guī)行為等發(fā)起預(yù)警通報(bào)。一次完整通報(bào)包括：通報(bào)名稱(chēng)、通對(duì)事件進(jìn)行分析研判，基于安全大數(shù)據(jù)，利用數(shù)據(jù)分析、攻防經(jīng)驗(yàn)等技術(shù)，完成安全事件的對(duì)事件進(jìn)行響應(yīng)處置，依據(jù)安全策略，按照不同安全事件級(jí)別進(jìn)行應(yīng)急響應(yīng)處置，遏制安全恢復(fù)改進(jìn)主要包括：進(jìn)行調(diào)查取證，匯聚安全事件相關(guān)信息形成調(diào)查記錄，通過(guò)設(shè)備環(huán)境、用戶(hù)身份、操作行對(duì)事件進(jìn)行總結(jié)報(bào)告，在安全事件處置結(jié)束后，進(jìn)行總結(jié)、分析和研判事件的原因和存在問(wèn)網(wǎng)絡(luò)安全供應(yīng)商、服務(wù)商、運(yùn)營(yíng)商資質(zhì)主要包括：供應(yīng)商、服務(wù)商、運(yùn)營(yíng)商宜具備成熟的質(zhì)量管理體系、信息安全管理體系和信息技術(shù)服務(wù)管宜符合GB50174—2017、GB50462—2015、GB/T22239—2019、GB/T39786—2021的規(guī)定。終端安全接入主要包括：MAC感知終端通信安全主要包括：GA/T1781—2021感知終端數(shù)據(jù)安全主要包括：宜能夠提供密碼技術(shù)或其他保護(hù)措施，用來(lái)驗(yàn)證真實(shí)性證據(jù)和產(chǎn)生證據(jù)的感知設(shè)備身份是否一致；感知終端安全防護(hù)主要包括：具有執(zhí)行能力的感知設(shè)備宜能夠?qū)ο逻_(dá)指令的對(duì)象進(jìn)行身份鑒別和對(duì)下達(dá)指令的合法性進(jìn)行驗(yàn)證；區(qū)域邊界接入安全主要包括：E；宜對(duì)接入智慧城市網(wǎng)絡(luò)的設(shè)備和終端進(jìn)行入網(wǎng)注冊(cè)、接入認(rèn)證、入網(wǎng)合規(guī)檢查，并進(jìn)行統(tǒng)一管理；宜采取入侵防范措施，檢測(cè)非授權(quán)無(wú)線接入設(shè)備和非授權(quán)移動(dòng)終端的接入行為，檢測(cè)對(duì)無(wú)線傳輸安全主要包括：實(shí)體身份鑒別主要包括：網(wǎng)絡(luò)設(shè)備的登錄宜具有登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登當(dāng)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理時(shí)，采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng)、篡改訪問(wèn)控制主要包括：安全審計(jì)主要包括：對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶(hù)行為等進(jìn)行日志記錄，對(duì)日志記錄進(jìn)行6采集、記錄、分析網(wǎng)絡(luò)流量，為發(fā)現(xiàn)網(wǎng)絡(luò)攻擊行為、網(wǎng)絡(luò)違規(guī)行為、網(wǎng)絡(luò)異常提供數(shù)據(jù)支支持基于IP/入侵檢測(cè)主要包括：在網(wǎng)絡(luò)邊界處監(jiān)視端口掃描、強(qiáng)力攻擊、APP攻擊、木馬后門(mén)攻擊、拒絕服務(wù)攻擊、緩沖區(qū)IPIP云平臺(tái)安全主要包括：GB/T31167GB/T31168對(duì)云租戶(hù)采取運(yùn)行監(jiān)督和審核采取追責(zé)措施，確保租戶(hù)不會(huì)利用云平臺(tái)來(lái)運(yùn)行惡意的程序以云租戶(hù)安全主要包括：WebAPIDDos云租戶(hù)應(yīng)用脆弱性防護(hù)支持應(yīng)用漏洞掃描、應(yīng)用漏洞修復(fù)、應(yīng)用安全基線核查、應(yīng)用代碼安云資源安全主要包括：虛擬存儲(chǔ)系統(tǒng)支持在不中斷正常存儲(chǔ)服務(wù)的前提下實(shí)現(xiàn)對(duì)存儲(chǔ)容量和存儲(chǔ)服務(wù)進(jìn)行任意擴(kuò)展，透明的添加和更替存儲(chǔ)設(shè)備，并具有自動(dòng)發(fā)現(xiàn)、安裝、檢測(cè)和管理不同類(lèi)型存儲(chǔ)設(shè)備的能力；在多租戶(hù)的云計(jì)算環(huán)境下，實(shí)現(xiàn)不同租戶(hù)之間數(shù)據(jù)和配置的安全隔離，保證每個(gè)租戶(hù)數(shù)據(jù)的虛擬存儲(chǔ)系統(tǒng)支持按照數(shù)據(jù)的安全級(jí)別建立容錯(cuò)和容災(zāi)機(jī)制，以克服系統(tǒng)的誤操作、單點(diǎn)失物力資源安全主要包括：物理網(wǎng)絡(luò)上宜根據(jù)業(yè)務(wù)安全需要?jiǎng)澐职踩?，劃分結(jié)果支持虛擬化資源的按需、彈性分配，通過(guò)路由、虛擬局域網(wǎng)、訪問(wèn)控制列表等策略，對(duì)不同安全域進(jìn)行隔離，確保彼此之間不同物理網(wǎng)絡(luò)上宜進(jìn)行網(wǎng)絡(luò)訪問(wèn)控制，安全域之間的訪問(wèn)控制策略宜能夠防止非授權(quán)設(shè)備私自連物理網(wǎng)絡(luò)上宜進(jìn)行網(wǎng)絡(luò)威脅檢測(cè)，宜能夠及時(shí)檢測(cè)、分析，并阻斷物理網(wǎng)絡(luò)中存在的安全威脅；物理主機(jī)操作系統(tǒng)宜采取基線核查、漏洞掃描、主機(jī)入侵檢測(cè)、安全加固等措施，提高物理身份鑒別主要包括：對(duì)登錄進(jìn)入智慧城市計(jì)算環(huán)境的用戶(hù)進(jìn)行身份標(biāo)識(shí)和鑒別，身份標(biāo)識(shí)具有唯一性，身份鑒別當(dāng)遠(yuǎn)程利用智慧城市計(jì)算環(huán)境時(shí)，采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸中被竊聽(tīng)，當(dāng)遠(yuǎn)程訪問(wèn)控制主要包括：對(duì)登錄進(jìn)入智慧城市計(jì)算環(huán)境的用戶(hù)分配帳戶(hù)和權(quán)限，授權(quán)管理用戶(hù)所需的最小權(quán)限，實(shí)現(xiàn)安全審計(jì)主要包括：惡意代碼防范主要包括：宜采用免受惡意代碼攻擊的技術(shù)措施或主動(dòng)免疫可信驗(yàn)證機(jī)制及時(shí)識(shí)別入侵和病毒行為，并大數(shù)據(jù)安全主要包括：F；重要數(shù)據(jù)保護(hù)主要包括：宜根據(jù)數(shù)據(jù)的敏感程度，將數(shù)據(jù)進(jìn)行分級(jí)管理，支持根據(jù)數(shù)據(jù)內(nèi)容設(shè)定敏感級(jí)別，數(shù)據(jù)級(jí)別個(gè)人信息保護(hù)主要包括：宜按照GB/T35273—2020加強(qiáng)智慧城市個(gè)人信息的保護(hù)，智慧城市相關(guān)信息系統(tǒng)和服務(wù)僅服務(wù)安全主要包括：云數(shù)據(jù)庫(kù)服務(wù)宜具備訪問(wèn)控制及隔離、云數(shù)據(jù)庫(kù)攻擊防護(hù)、云數(shù)據(jù)庫(kù)安全審計(jì)和敏感數(shù)據(jù)保計(jì)算服務(wù)宜提供安全訪問(wèn)控制能力，對(duì)重要數(shù)據(jù)支持計(jì)算過(guò)程解密存儲(chǔ)時(shí)調(diào)用加密服務(wù)進(jìn)行容器服務(wù)具備鏡像安全機(jī)制、資源隔離、訪問(wèn)控制、漏洞掃描、容器防逃逸、安全加固配置功能；密鑰管理服務(wù)宜對(duì)用戶(hù)密鑰生命周期統(tǒng)一管理、支持密鑰自動(dòng)定期輪換、支持用戶(hù)對(duì)自身密接口安全主要包括：智慧城市宜實(shí)現(xiàn)基于CA的統(tǒng)一認(rèn)證和授權(quán)機(jī)制，通過(guò)統(tǒng)一的認(rèn)證和授權(quán)接口，實(shí)現(xiàn)對(duì)用戶(hù)宜統(tǒng)一智慧城市安全監(jiān)控接口，通過(guò)此接口獲取智慧城市信息系統(tǒng)的安全狀態(tài)，分析智慧城代碼安全主要包括：邏輯安全主要包括：宜制定功能、安全測(cè)試驗(yàn)收方案，并依據(jù)測(cè)試驗(yàn)收方案，實(shí)施測(cè)試驗(yàn)收，形成測(cè)試驗(yàn)收?qǐng)?bào)性能安全主要包括：應(yīng)用的并發(fā)用戶(hù)數(shù)、相應(yīng)時(shí)間、系統(tǒng)吞吐量指標(biāo)宜達(dá)到智慧城市預(yù)設(shè)數(shù)量人員訪問(wèn)、使用的要求；宜制定性能測(cè)試驗(yàn)收方案，并依據(jù)測(cè)試驗(yàn)收方案，實(shí)施測(cè)試驗(yàn)收，形成測(cè)試驗(yàn)收?qǐng)?bào)告，測(cè)試態(tài)勢(shì)感知主要包括：宜從國(guó)家層面、省市大地域?qū)用?，?duì)國(guó)計(jì)民生相關(guān)的關(guān)鍵信息基礎(chǔ)設(shè)施的安全態(tài)勢(shì)進(jìn)行整體宜建立面向大數(shù)據(jù)環(huán)境，系統(tǒng)化、標(biāo)準(zhǔn)化、適用不同應(yīng)用場(chǎng)景的網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型，突采集宜包括網(wǎng)絡(luò)的拓?fù)湫畔?、脆弱性信息和狀態(tài)信息等靜態(tài)的配置信息，和各種防護(hù)措施的宜融合獲取各類(lèi)網(wǎng)絡(luò)監(jiān)測(cè)數(shù)據(jù)，根據(jù)網(wǎng)絡(luò)安全特征屬性的領(lǐng)域知識(shí)和歷史數(shù)據(jù)，構(gòu)建數(shù)學(xué)模宜基于對(duì)當(dāng)前網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估和已有的歷史評(píng)估數(shù)據(jù)，對(duì)未來(lái)一段時(shí)間內(nèi)的網(wǎng)絡(luò)安全態(tài)勢(shì)宜利用大數(shù)據(jù)可視化技術(shù)，從宏觀呈現(xiàn)整體安全態(tài)勢(shì)，從多維度呈現(xiàn)專(zhuān)題安全態(tài)勢(shì)。具備可視化交互分析能力，從資產(chǎn)、用戶(hù)、運(yùn)行、弱點(diǎn)、威脅、風(fēng)險(xiǎn)等多個(gè)角度進(jìn)行多方位的態(tài)勢(shì)宜對(duì)智慧城市中的網(wǎng)絡(luò)、網(wǎng)絡(luò)設(shè)備、終端、服務(wù)器、安全產(chǎn)品、業(yè)務(wù)應(yīng)用系統(tǒng)進(jìn)行有效的安情報(bào)預(yù)警主要包括：宜及時(shí)報(bào)送網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警信息，為威脅預(yù)警、線索挖掘、應(yīng)急處置、安全評(píng)估、攻擊溯宜建立統(tǒng)一的威脅情報(bào)共享交換機(jī)制，實(shí)現(xiàn)威脅情報(bào)的及時(shí)共享，通過(guò)共享有關(guān)最新威脅和宜建立針對(duì)安全漏洞的早期預(yù)警機(jī)制，主動(dòng)挖掘和分析系統(tǒng)中存在的安全漏洞缺陷，并進(jìn)行宜建立針對(duì)安全威脅的中期預(yù)警，實(shí)時(shí)跟蹤網(wǎng)絡(luò)運(yùn)行情況，預(yù)測(cè)潛在的網(wǎng)絡(luò)威脅，識(shí)別高風(fēng)險(xiǎn)資產(chǎn)，按照規(guī)定和程序及時(shí)通報(bào)相關(guān)威脅，盡快采取應(yīng)對(duì)措施，主要針對(duì)已經(jīng)在其他地方宜建立對(duì)入侵攻擊的及時(shí)預(yù)警，實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)攻擊行為、異常訪問(wèn)行為，及時(shí)報(bào)警響應(yīng)，阻宜建立對(duì)異常行為的預(yù)警，通過(guò)監(jiān)測(cè)分析內(nèi)部網(wǎng)絡(luò)的用戶(hù)操作和網(wǎng)絡(luò)行為，及時(shí)發(fā)現(xiàn)違規(guī)操作、蓄意破壞、病毒傳播等異常情況，準(zhǔn)確追蹤定位威脅源頭，重點(diǎn)對(duì)發(fā)生在內(nèi)部網(wǎng)絡(luò)中的宜建立共享交換標(biāo)準(zhǔn)，遵循結(jié)構(gòu)威脅信息表達(dá)和可信自動(dòng)指標(biāo)信息交換相關(guān)標(biāo)準(zhǔn)，或根據(jù)實(shí)宜建立快速、可擴(kuò)展、自動(dòng)化的威脅共享模式，簡(jiǎn)化和加快共享過(guò)程，以及安全信息的補(bǔ)救。安全監(jiān)測(cè)主要包括：宜構(gòu)建具備持續(xù)性、主動(dòng)性、實(shí)時(shí)性的安全監(jiān)測(cè)機(jī)制，實(shí)現(xiàn)對(duì)智慧城市安全事件的全天候動(dòng)宜以網(wǎng)絡(luò)監(jiān)測(cè)為基礎(chǔ)，全面發(fā)現(xiàn)網(wǎng)絡(luò)邊界和關(guān)鍵區(qū)域的安全威脅；深入業(yè)務(wù)應(yīng)用監(jiān)測(cè)，精準(zhǔn)宜提供包括特征檢測(cè)及異常檢測(cè)等在內(nèi)的監(jiān)測(cè)技術(shù)手段，實(shí)現(xiàn)對(duì)各類(lèi)安全事件的全覆蓋監(jiān)測(cè)；宜提供對(duì)網(wǎng)絡(luò)攻擊事件的監(jiān)測(cè)能力，對(duì)網(wǎng)絡(luò)流量中的異常網(wǎng)絡(luò)行為和惡意通信進(jìn)行實(shí)時(shí)檢測(cè)和處理，識(shí)別網(wǎng)絡(luò)攻擊與異常線索信息，包括惡意文件檢測(cè)、攻擊向量檢測(cè)、協(xié)議頭異常線宜提供對(duì)網(wǎng)絡(luò)的脆弱性分析，對(duì)網(wǎng)絡(luò)中的設(shè)備、系統(tǒng)、應(yīng)用存在的脆弱性情況進(jìn)行分析，發(fā)宜提供對(duì)惡意程序的監(jiān)測(cè)，對(duì)網(wǎng)絡(luò)中的計(jì)算機(jī)/服務(wù)器中存在的惡意程序情況進(jìn)行分析，以宜提供對(duì)用戶(hù)違規(guī)操作行為的監(jiān)控，對(duì)終端、服務(wù)器、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)進(jìn)行配置性分宜能夠識(shí)別用戶(hù)異常行為，包括普通用戶(hù)異常行為分析、管理員異常行為分析，識(shí)別用戶(hù)是宜能夠識(shí)別數(shù)據(jù)安全風(fēng)險(xiǎn)，圍繞敏感數(shù)據(jù)全生命周期過(guò)程，從數(shù)據(jù)使用、存儲(chǔ)、流轉(zhuǎn)等環(huán)節(jié)宜實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)內(nèi)設(shè)備及系統(tǒng)運(yùn)行情況，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)可用性、連通性、健康度等相關(guān)問(wèn)題；GB/Z20986宜構(gòu)建安全事件應(yīng)急響應(yīng)預(yù)案，當(dāng)發(fā)生安全事件時(shí)自動(dòng)及時(shí)通知相關(guān)的安全負(fù)責(zé)人，并啟動(dòng)日志審計(jì)主要包括：宜支持廣泛的采集對(duì)象及豐富的日志數(shù)據(jù)類(lèi)型，能夠采集不同廠商的安全設(shè)備、網(wǎng)絡(luò)設(shè)備、宜支持對(duì)多源異構(gòu)數(shù)據(jù)的標(biāo)準(zhǔn)化治理，針對(duì)不同格式的日志信息解析提取關(guān)鍵信息完成日志信息的過(guò)濾、日志合并和日志格式的統(tǒng)一化規(guī)整，使規(guī)整后的日志簡(jiǎn)單易懂便于分析，統(tǒng)一宜提供集中可靠的日志存儲(chǔ)，將采集的所有原始日志、事件和告警信息統(tǒng)一存儲(chǔ)起來(lái)，建立宜提供快速的查詢(xún)審計(jì)能力，基于大量日志索引的日志檢索引擎，從數(shù)據(jù)存儲(chǔ)方式、索引建宜提供日志分析能力，支持常見(jiàn)流量協(xié)議及日志數(shù)據(jù)的解析還原，針對(duì)多源異構(gòu)設(shè)備日志，可基于規(guī)則進(jìn)行安全事件分析，分析出事件的類(lèi)型、級(jí)別、具體內(nèi)容等，并支持動(dòng)態(tài)規(guī)則定策略協(xié)同主要包括：宜對(duì)安全設(shè)備的可見(jiàn)性和集中管理，簡(jiǎn)化整個(gè)網(wǎng)絡(luò)的安全策略規(guī)則管理，并減少由于安全設(shè)宜依據(jù)等保，實(shí)現(xiàn)不同品牌、不同種類(lèi)的網(wǎng)絡(luò)訪問(wèn)控制設(shè)備配置的采集，對(duì)策略相關(guān)數(shù)據(jù)進(jìn)行提取，為上層計(jì)算模塊提供標(biāo)準(zhǔn)化數(shù)據(jù)，并且可以反向?qū)⑴渲媚_本下發(fā)至設(shè)備，最大限度宜能夠識(shí)別冗余、隱藏、重疊和沖突的規(guī)則，實(shí)現(xiàn)垃圾策略與風(fēng)險(xiǎn)策略的檢查，通過(guò)定期對(duì)安全防護(hù)主要包括：支持系統(tǒng)的弱口令檢查，基于各種主流數(shù)據(jù)庫(kù)口令生成規(guī)則實(shí)現(xiàn)口令匹配掃描，提供基于字宜支持?jǐn)?shù)據(jù)傳輸加密，采用符合國(guó)家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)的密碼技術(shù)保障業(yè)務(wù)數(shù)據(jù)安全，防止數(shù)據(jù)在通過(guò)不可信或者較低安全性的網(wǎng)絡(luò)進(jìn)行傳輸時(shí)，發(fā)生數(shù)據(jù)被竊取、偽造和篡改等安全風(fēng)宜確保智慧城市中重要數(shù)據(jù)采取了數(shù)據(jù)泄漏防護(hù)措施，實(shí)時(shí)保護(hù)端點(diǎn)或網(wǎng)絡(luò)中傳輸和外發(fā)數(shù)IP、MAC密鑰管理主要包括：。智慧城市涉及保密內(nèi)容及密碼技術(shù)、產(chǎn)品和服務(wù)宜遵從相關(guān)部門(mén)規(guī)定。智慧城市網(wǎng)絡(luò)安全評(píng)價(jià)指標(biāo)體系包括4個(gè)一級(jí)指標(biāo)、25個(gè)二級(jí)指標(biāo)、99個(gè)三級(jí)指標(biāo)，如圖1所示。一級(jí)指標(biāo)包括網(wǎng)絡(luò)安全責(zé)任制、網(wǎng)絡(luò)安全保障體系、網(wǎng)絡(luò)安全保障能力、網(wǎng)絡(luò)安全監(jiān)管，涵蓋了對(duì)智慧城市網(wǎng)絡(luò)安全進(jìn)行評(píng)價(jià)的四個(gè)方面。三級(jí)指標(biāo)包括指標(biāo)名稱(chēng)、評(píng)價(jià)內(nèi)容和評(píng)價(jià)方法，見(jiàn)附錄H。圖1智慧城市網(wǎng)絡(luò)安全評(píng)價(jià)指標(biāo)體系圖1智慧城市網(wǎng)絡(luò)安全評(píng)價(jià)指標(biāo)體系附錄A（資料性）基于零信任架構(gòu)的智慧城市網(wǎng)絡(luò)安全防護(hù)應(yīng)用場(chǎng)景智慧城市在網(wǎng)絡(luò)建設(shè)中，存在接入終端數(shù)據(jù)大，訪問(wèn)頻繁，采用早起的訪問(wèn)控制技術(shù)已無(wú)法滿(mǎn)足要求，需要采用一種新的網(wǎng)絡(luò)安全防護(hù)技術(shù)來(lái)對(duì)網(wǎng)絡(luò)進(jìn)行保護(hù)?；诹阈湃渭軜?gòu)的智慧城市網(wǎng)絡(luò)安全防護(hù)可以保護(hù)智慧城市物聯(lián)網(wǎng)應(yīng)用的安全，保障智慧城市物聯(lián)網(wǎng)所有接入設(shè)備的安全?；诹阈湃渭軜?gòu)的智慧城市網(wǎng)絡(luò)安全防護(hù)以構(gòu)建安全便捷的城市網(wǎng)絡(luò)為目的，以解決城市網(wǎng)絡(luò)建設(shè)中面臨的諸多安全問(wèn)題為目標(biāo)，在城市洞察、城市治理、產(chǎn)業(yè)發(fā)展、民生服務(wù)等領(lǐng)域提供智能化的產(chǎn)品和解決方案，全面應(yīng)用于智慧物業(yè)、智能停車(chē)、智能紅綠燈、智慧養(yǎng)老等系統(tǒng)，助力城市數(shù)字化A.1所示。圖A.1基于零信任架構(gòu)的智慧城市網(wǎng)絡(luò)安全防護(hù)總體架構(gòu)圖A.1基于零信任架構(gòu)的智慧城市網(wǎng)絡(luò)安全防護(hù)總體架構(gòu)零信任架構(gòu)的智慧城市網(wǎng)絡(luò)安全防護(hù)在基于國(guó)密算法的全網(wǎng)智能終端的身份體系上構(gòu)建基于零信任架構(gòu)的智能終端統(tǒng)一接入和授權(quán)管理平臺(tái)，對(duì)于接入網(wǎng)絡(luò)的智能終端，授予最小訪問(wèn)權(quán)限，并對(duì)全鏈路訪問(wèn)加密和監(jiān)控，確保訪問(wèn)合法性和可控性。對(duì)于網(wǎng)絡(luò)應(yīng)用嚴(yán)格控制之間的訪問(wèn)路徑，防御東西向攻擊，減小整個(gè)系統(tǒng)的攻擊面。同時(shí)采集海量的智能終端數(shù)據(jù)信息，構(gòu)建網(wǎng)絡(luò)天眼系統(tǒng)，智能化的持續(xù)評(píng)估和動(dòng)態(tài)感知城市安全風(fēng)險(xiǎn)，并通過(guò)和零信任安全接入網(wǎng)關(guān)的聯(lián)動(dòng)，隔離和阻斷網(wǎng)絡(luò)危險(xiǎn)源頭，確保智慧城市網(wǎng)絡(luò)的整體可用性和健壯性。附錄B（資料性）網(wǎng)絡(luò)安全檢測(cè)與評(píng)估應(yīng)用場(chǎng)景智慧城市在運(yùn)行過(guò)程中應(yīng)有效的識(shí)別網(wǎng)絡(luò)中的安全風(fēng)險(xiǎn)，構(gòu)建網(wǎng)絡(luò)信任體系、容災(zāi)備份體系、監(jiān)控審計(jì)體系、監(jiān)測(cè)與防護(hù)體系、網(wǎng)絡(luò)安全態(tài)勢(shì)感知體系、應(yīng)急指揮體系等，因此需要建立一個(gè)智慧城市網(wǎng)絡(luò)安全檢測(cè)與評(píng)估系統(tǒng)，協(xié)助山東省政府部門(mén)及智慧城市各相關(guān)方有效識(shí)別智慧城市網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，建立信息共享與通報(bào)預(yù)警機(jī)制、突發(fā)網(wǎng)絡(luò)安全事件應(yīng)急機(jī)制，加強(qiáng)智慧城市網(wǎng)絡(luò)安全建設(shè)，保障智慧城市網(wǎng)絡(luò)基礎(chǔ)設(shè)施、重要信息系統(tǒng)和關(guān)鍵數(shù)據(jù)資源的安全。智慧城市網(wǎng)絡(luò)安全檢測(cè)與評(píng)估系統(tǒng)的建設(shè)要依據(jù)山東省智慧城市網(wǎng)絡(luò)安全建設(shè)的管理和技術(shù)要求，面向物聯(lián)感知安全、網(wǎng)絡(luò)通信安全、計(jì)算環(huán)境安全、云平臺(tái)安全、數(shù)據(jù)安全、應(yīng)用服務(wù)安全等六大技術(shù)領(lǐng)域?qū)崿F(xiàn)安全和內(nèi)容的防護(hù)工作。系統(tǒng)要從智慧城市的基礎(chǔ)設(shè)施層到應(yīng)用服務(wù)層，實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)、服務(wù)設(shè)備、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)、數(shù)據(jù)、機(jī)房、通信、密鑰管理等服務(wù)和組件的分層安全防護(hù)工作?？傮w框架如圖B.1所示。圖B.1網(wǎng)絡(luò)安全檢測(cè)與評(píng)估總體架構(gòu)圖B.1網(wǎng)絡(luò)安全檢測(cè)與評(píng)估總體架構(gòu)智慧城市網(wǎng)絡(luò)安全檢測(cè)與評(píng)估系統(tǒng)可以基于安全數(shù)據(jù)高速采集技術(shù)、安全行為檢測(cè)分析技術(shù)、安全內(nèi)容檢測(cè)分析技術(shù)以及安全風(fēng)險(xiǎn)檢查和安全風(fēng)險(xiǎn)評(píng)估技術(shù)，實(shí)現(xiàn)系統(tǒng)應(yīng)用功能。系統(tǒng)通過(guò)綜合安全管理門(mén)戶(hù)，并依托安全防護(hù)體系的建設(shè)，實(shí)現(xiàn)了網(wǎng)絡(luò)流量還原檢測(cè)審計(jì)、數(shù)據(jù)泄漏風(fēng)險(xiǎn)檢測(cè)、接入設(shè)備安全檢查、應(yīng)用與數(shù)據(jù)庫(kù)安全檢查、內(nèi)容情報(bào)安全檢查、網(wǎng)絡(luò)風(fēng)險(xiǎn)安全評(píng)估等功能，并基于威脅情報(bào)分析與共享交換服務(wù)功能，實(shí)現(xiàn)更加精準(zhǔn)的攻擊與威脅的檢測(cè)發(fā)現(xiàn)。附錄C（資料性）數(shù)據(jù)防泄漏安全應(yīng)用場(chǎng)景智慧城市數(shù)據(jù)在采集、傳輸、存儲(chǔ)、交換過(guò)程中，會(huì)存在因非偶然或者惡意等方式的破壞、更改、泄漏，尤其是云數(shù)據(jù)資源一旦遭受破獲損失更大。因此在該場(chǎng)景下，需要一套數(shù)據(jù)防泄漏系統(tǒng)，保護(hù)智慧城市所產(chǎn)生的數(shù)據(jù)免遭數(shù)據(jù)丟失或泄漏。智慧城市數(shù)據(jù)泄漏防護(hù)系統(tǒng)應(yīng)采用統(tǒng)一的管理中心，統(tǒng)一的防護(hù)策略，以防止數(shù)據(jù)資產(chǎn)違規(guī)或非授權(quán)輸出為目標(biāo)，以數(shù)據(jù)全生命周期管理為理念，以泄露風(fēng)險(xiǎn)為驅(qū)動(dòng)，依據(jù)數(shù)據(jù)特點(diǎn)，靈活采用內(nèi)容智能識(shí)別、深層內(nèi)容分析、實(shí)時(shí)敏感數(shù)據(jù)發(fā)現(xiàn)、全方位審計(jì)、精準(zhǔn)攔截等技術(shù)手段，對(duì)智慧城市內(nèi)網(wǎng)絡(luò)、終端、存儲(chǔ)中的敏感數(shù)據(jù)進(jìn)行發(fā)現(xiàn)、監(jiān)控和保護(hù)。基于政務(wù)應(yīng)用場(chǎng)景，提供量身定制的產(chǎn)品服務(wù)，通過(guò)深度內(nèi)容分析和事務(wù)安全關(guān)聯(lián)分析來(lái)識(shí)別、監(jiān)視和保護(hù)靜止、移動(dòng)和使用中的數(shù)據(jù)，通過(guò)事前預(yù)警、事中保護(hù)、事后追溯的管理手段，防止存儲(chǔ)、網(wǎng)絡(luò)、終端、移動(dòng)計(jì)算、云計(jì)算等各種具體應(yīng)用場(chǎng)景下的數(shù)據(jù)泄露、擴(kuò)散?？傮w框架如圖C.1所示。C.1附錄D（資料性）跨網(wǎng)數(shù)據(jù)交換安全應(yīng)用場(chǎng)景D.1D.1D.2解決方案D.1D.2解決方案D.2.1電子政務(wù)數(shù)據(jù)交換安全解決方案電子政務(wù)數(shù)據(jù)交換依托一體化在線政務(wù)服務(wù)平臺(tái)，建設(shè)跨網(wǎng)數(shù)據(jù)安全交換平臺(tái)，實(shí)現(xiàn)各個(gè)網(wǎng)絡(luò)之間的文件交換、數(shù)據(jù)庫(kù)同步、請(qǐng)求命令與響應(yīng)數(shù)據(jù)交換、服務(wù)接口調(diào)用、數(shù)據(jù)可視化等，如圖D.2所示。D.2D.2.2不動(dòng)產(chǎn)“一網(wǎng)通辦”數(shù)據(jù)交換安全場(chǎng)景不動(dòng)產(chǎn)的“一網(wǎng)通辦”充分考慮信息安全等級(jí)保護(hù)工作相關(guān)要求，強(qiáng)化網(wǎng)絡(luò)邊界安全防護(hù)，確保政務(wù)外網(wǎng)不動(dòng)產(chǎn)登記審核、登簿、繕證業(yè)務(wù)數(shù)據(jù)與自然資源專(zhuān)網(wǎng)之間數(shù)據(jù)的共享，包括數(shù)據(jù)庫(kù)和接口數(shù)據(jù)。同時(shí)，完善安全監(jiān)控和響應(yīng)處理體系，實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)中的可疑事件及安全事件，并及時(shí)進(jìn)行處理。不動(dòng)產(chǎn)“一網(wǎng)通辦”跨網(wǎng)數(shù)據(jù)共享的安全解決方案如圖D.3所示。圖D.3不動(dòng)產(chǎn)“一網(wǎng)通辦”跨網(wǎng)數(shù)據(jù)共享的安全解決方案附錄E（資料性）抗攻擊安全接入應(yīng)用場(chǎng)景智慧城市網(wǎng)絡(luò)運(yùn)行中，在感知設(shè)備連接控制網(wǎng)絡(luò)、用戶(hù)終端接入系統(tǒng)網(wǎng)絡(luò)、運(yùn)維終端接入軟件系統(tǒng)等接入時(shí)，存在被惡意攻擊。因此，需要建立一套抗攻擊安全接入系統(tǒng)，采用在客戶(hù)端設(shè)備配備安全模塊，通過(guò)抗攻擊網(wǎng)關(guān)接入系統(tǒng)，避免操作系統(tǒng)及開(kāi)源組件遭受漏洞攻擊，并阻止外部惡意攻擊者利用上述安全威脅破壞安全邊界防護(hù)設(shè)備的安全性和有效性?？构舭踩尤胂到y(tǒng)，對(duì)系統(tǒng)進(jìn)行抗攻擊加固防護(hù)和二次加密，防止傳輸內(nèi)容被惡意攻擊者通過(guò)非法手段截取。典型應(yīng)用如圖E.1所示。圖E.1終端設(shè)備安全接入典型應(yīng)用圖E.1終端設(shè)備安全接入典型應(yīng)用E.2.2運(yùn)維安全接入運(yùn)維安全接入，在堡壘機(jī)前方部署抗攻擊網(wǎng)關(guān)，操作員通過(guò)抗攻擊接入終端訪問(wèn)堡壘機(jī)，可以保證訪問(wèn)堡壘機(jī)人員的可控性，有效避免因?yàn)楸緳C(jī)漏洞而被攻擊，保障系統(tǒng)的安全。典型應(yīng)用如圖E.2所示。圖E.2運(yùn)維安全接入典型應(yīng)用附錄F（資料性）數(shù)據(jù)安全治理中臺(tái)應(yīng)用場(chǎng)景智慧城市建設(shè)過(guò)程中需要考慮數(shù)據(jù)中心的安全，以及網(wǎng)絡(luò)中存在的異常流量、攻擊等，需要將數(shù)據(jù)進(jìn)行統(tǒng)一的匯總分析，因此需要建立一套數(shù)據(jù)安全治理中臺(tái)來(lái)滿(mǎn)足該需求。該中臺(tái)滿(mǎn)足如下情況：數(shù)據(jù)安全治理中臺(tái)應(yīng)對(duì)智慧城市數(shù)據(jù)中心的各類(lèi)數(shù)據(jù)進(jìn)行采集、分析，對(duì)智慧城市數(shù)據(jù)中心資產(chǎn)的安全狀況進(jìn)行分析、刻畫(huà)，全面摸清數(shù)據(jù)中心安全現(xiàn)狀，及時(shí)發(fā)現(xiàn)存在的各類(lèi)安全隱數(shù)據(jù)安全治理中臺(tái)應(yīng)對(duì)智慧城市數(shù)據(jù)中心網(wǎng)絡(luò)流量分析，感知網(wǎng)絡(luò)中的異常威脅數(shù)據(jù)，包括數(shù)據(jù)安全治理中臺(tái)應(yīng)結(jié)合云端威脅情報(bào)，感知智慧城市數(shù)據(jù)中心中各類(lèi)設(shè)備的安全狀態(tài)、漏洞弱點(diǎn)、異常威脅及非法接入等安全情況，基于自適應(yīng)安全架構(gòu)，針對(duì)設(shè)備安全態(tài)勢(shì)的預(yù)測(cè)、防護(hù)、監(jiān)控和響應(yīng)，從端點(diǎn)安全、邊界安全、數(shù)據(jù)安全和管理安全多個(gè)層面實(shí)現(xiàn)整體的數(shù)據(jù)安全治理中臺(tái)，以數(shù)據(jù)安全為中心，運(yùn)用大數(shù)據(jù)技術(shù)匯聚智慧城市全網(wǎng)安全數(shù)據(jù)，從“云、數(shù)據(jù)、應(yīng)用、網(wǎng)絡(luò)、邊界、端”六維構(gòu)建，實(shí)現(xiàn)統(tǒng)一安全管理，構(gòu)建安全、可信、合規(guī)的智慧城市大數(shù)據(jù)智能化安全立體縱深防御體系?？傮w框架如圖F.1所示。具體來(lái)說(shuō)，數(shù)據(jù)安全治理中臺(tái)，通過(guò)統(tǒng)一接入、統(tǒng)一解析，減少溝通成本和開(kāi)發(fā)成本，避免數(shù)據(jù)多次重復(fù)接入；通過(guò)數(shù)據(jù)統(tǒng)一處理、統(tǒng)一組織，減少存儲(chǔ)資源和計(jì)算資源冗余；通過(guò)數(shù)據(jù)統(tǒng)一治理，數(shù)據(jù)標(biāo)準(zhǔn)、業(yè)務(wù)規(guī)則統(tǒng)一，避免同樣的業(yè)務(wù)邏輯在各個(gè)系統(tǒng)計(jì)算口徑不一致；通過(guò)數(shù)據(jù)統(tǒng)一分析，挖掘數(shù)據(jù)關(guān)系，橫向拉通后多維分析數(shù)據(jù)問(wèn)題，打破數(shù)據(jù)孤島；通過(guò)服務(wù)統(tǒng)一管理，數(shù)據(jù)出口統(tǒng)一管理，既降低了數(shù)據(jù)安全管理難度，又屏蔽了異構(gòu)數(shù)據(jù)處理技術(shù)帶來(lái)的開(kāi)發(fā)成本。數(shù)據(jù)安全治理中臺(tái)的核心數(shù)據(jù)資產(chǎn)，是通過(guò)數(shù)據(jù)處理和組織，形成的原始庫(kù)、資源庫(kù)、主題庫(kù)、業(yè)務(wù)庫(kù)，以及人工錄入、積累或者機(jī)器學(xué)習(xí)等方式產(chǎn)生的基礎(chǔ)數(shù)據(jù)和知識(shí)庫(kù)。數(shù)據(jù)安全治理中臺(tái)通過(guò)全面收集網(wǎng)絡(luò)設(shè)備（路由器、交換機(jī)等）、網(wǎng)絡(luò)安全設(shè)備（防火墻、入侵檢測(cè)系統(tǒng)等）、應(yīng)用系統(tǒng)（郵件、OA等）等設(shè)備系統(tǒng)的運(yùn)行日志和安全事件日志，對(duì)日志進(jìn)行分類(lèi)歸并、關(guān)聯(lián)分析等操作把海量日志中有價(jià)值的信息提取出來(lái)，并且平臺(tái)提供統(tǒng)計(jì)、查詢(xún)及審計(jì)報(bào)表，為直觀的日志查詢(xún)、分析、展示提供強(qiáng)有力的數(shù)據(jù)支撐，便于管理員了解整個(gè)數(shù)據(jù)中心的安全態(tài)勢(shì)。數(shù)據(jù)安全治理中臺(tái)提供全維度、跨設(shè)備、細(xì)粒度的關(guān)聯(lián)分析，透過(guò)事件的表象真實(shí)地還原事件背后的信息，提供真正可信賴(lài)的事件追責(zé)依據(jù)和業(yè)務(wù)運(yùn)行的深度安全。同時(shí)提供集中化的統(tǒng)一管理平臺(tái)，將所有的日志信息收集到平臺(tái)中，實(shí)現(xiàn)信息資產(chǎn)的統(tǒng)一管理、監(jiān)控資產(chǎn)的運(yùn)行狀況，全面審計(jì)信息系統(tǒng)整體安全狀況。圖F.1數(shù)據(jù)安全治理中臺(tái)總體架構(gòu)附錄G（）量子密碼是一種新興的密碼體制，其安全性基于量子物理學(xué)基本原理，具有理論上的無(wú)條件安全性。隨著智慧城市網(wǎng)絡(luò)安全重要性的提升，在智慧城市網(wǎng)絡(luò)中采用量子密碼的形式對(duì)城市安全起到重要作用。主要應(yīng)用場(chǎng)景包括應(yīng)用于密鑰產(chǎn)生、數(shù)據(jù)加密和身份認(rèn)證等。密鑰管理中心負(fù)責(zé)對(duì)用戶(hù)密鑰生命周期統(tǒng)一管理，包括密鑰產(chǎn)生、分發(fā)、存儲(chǔ)、使用、更新、歸檔、撤銷(xiāo)、備份、恢復(fù)和銷(xiāo)毀，同時(shí)支持用戶(hù)對(duì)密鑰使用授權(quán)管理。密鑰管理中心支持多中心層級(jí)管理和分中心協(xié)同管理，用戶(hù)的密鑰可以在某一個(gè)中心上獨(dú)立生成并在所管理范圍內(nèi)安全使用，當(dāng)用戶(hù)跨中心使用密鑰時(shí)需要對(duì)密鑰進(jìn)行安全同步，為了保障密鑰跨中心同步不泄露，可以通過(guò)量子密鑰分配與中繼技術(shù)實(shí)現(xiàn)密鑰的在多中心間的安全同步?？傮w架構(gòu)如G.1所示。分中心4密鑰中心總中心分中心3分中心4密鑰中心總中心分中心3量子密鑰環(huán)網(wǎng)分中心2分中心1G.1H.1.2戰(zhàn)略規(guī)劃戰(zhàn)略規(guī)劃評(píng)價(jià)指標(biāo)見(jiàn)表H.2。H.1.2戰(zhàn)略規(guī)劃戰(zhàn)略規(guī)劃評(píng)價(jià)指標(biāo)見(jiàn)表H.2。H.2H.1.3組織管理組織管理評(píng)價(jià)指標(biāo)見(jiàn)表H.3。附錄H（資料性）智慧城市網(wǎng)絡(luò)安全評(píng)價(jià)指標(biāo)制度體系評(píng)價(jià)指標(biāo)見(jiàn)表H.1。表H.1制度體系評(píng)價(jià)指標(biāo)指標(biāo)名稱(chēng)評(píng)價(jià)內(nèi)容評(píng)價(jià)方法領(lǐng)導(dǎo)責(zé)任明確運(yùn)營(yíng)單位主要負(fù)責(zé)人是第一責(zé)任人，主管網(wǎng)絡(luò)安全的領(lǐng)導(dǎo)班子成員是直接責(zé)任人。調(diào)研市（區(qū)）是否組織會(huì)議或正式文件明確運(yùn)營(yíng)單位第一責(zé)任人與直接責(zé)任人。工作機(jī)構(gòu)a）明確負(fù)責(zé)網(wǎng)絡(luò)安全工作的部門(mén)及其職責(zé)。b）安全工作機(jī)構(gòu)人員配備情況。統(tǒng)計(jì)市（區(qū)）單位中通過(guò)正式制度文件明確負(fù)責(zé)網(wǎng)絡(luò)安全工作的部門(mén)及其職責(zé)的單位比率；統(tǒng)計(jì)市（區(qū)）單位中為網(wǎng)絡(luò)安全工作部門(mén)配備專(zhuān)職網(wǎng)絡(luò)安全人員的比率。制度建立正式印發(fā)網(wǎng)絡(luò)安全工作責(zé)任落實(shí)實(shí)施辦法或細(xì)則等,或以相關(guān)文件明確責(zé)任落實(shí)要求。調(diào)研市（區(qū)）單位是否正式印發(fā)網(wǎng)絡(luò)安全工作責(zé)任落實(shí)實(shí)施辦法或細(xì)則等,或以相關(guān)文件明確責(zé)任落實(shí)要求。工作機(jī)制網(wǎng)絡(luò)安全工作機(jī)制落實(shí)情況。調(diào)研市（區(qū)）單位領(lǐng)導(dǎo)班子主要負(fù)責(zé)人是否每年至少召集一次專(zhuān)題會(huì)議；調(diào)研網(wǎng)絡(luò)安全直接責(zé)任人是否至少每季度召集一次網(wǎng)絡(luò)安全聯(lián)席會(huì)議，聽(tīng)取網(wǎng)絡(luò)安全工作匯報(bào)，研究部署網(wǎng)絡(luò)安全工作。指標(biāo)名稱(chēng)評(píng)價(jià)內(nèi)容評(píng)價(jià)方法方針目標(biāo)網(wǎng)絡(luò)安全戰(zhàn)略方針、目標(biāo)明確情況。調(diào)研市（區(qū)）是否制定網(wǎng)絡(luò)安全工作的總體方案，明確戰(zhàn)略方針；調(diào)研市（區(qū)）是否明確網(wǎng)絡(luò)安全工作的主要目標(biāo)、基本要求、工作任務(wù)和保護(hù)措施。規(guī)劃制定及實(shí)施網(wǎng)絡(luò)安全規(guī)劃制定及實(shí)施情況。調(diào)研市（區(qū)）是否制定并發(fā)布了網(wǎng)絡(luò)安全規(guī)劃及實(shí)施方案。創(chuàng)新模式防護(hù)模式創(chuàng)新探索情況。調(diào)研市（區(qū)）是否提出創(chuàng)新防護(hù)模式及創(chuàng)新運(yùn)營(yíng)模式。H.1.5標(biāo)準(zhǔn)規(guī)范H.1.5標(biāo)準(zhǔn)規(guī)范標(biāo)準(zhǔn)規(guī)范評(píng)價(jià)指標(biāo)見(jiàn)表H.5。H.5網(wǎng)絡(luò)安全等級(jí)保護(hù)評(píng)價(jià)指標(biāo)見(jiàn)表H.6。表H.3組織管理評(píng)價(jià)指標(biāo)指標(biāo)名稱(chēng)評(píng)價(jià)內(nèi)容評(píng)價(jià)方法智力支撐a）明確智庫(kù)機(jī)構(gòu)建立情況。b）專(zhuān)家隊(duì)伍組建情況。a）調(diào)研市（區(qū)）是否建立網(wǎng)絡(luò)安全智庫(kù)機(jī)構(gòu)；b）調(diào)研市（區(qū)）是否組建網(wǎng)絡(luò)安全專(zhuān)家隊(duì)伍。宣傳教育安全人員的安全意識(shí)教育、安全技能培訓(xùn)和宣傳工作開(kāi)展情況。統(tǒng)計(jì)市（區(qū)）單位中組織開(kāi)展安全意識(shí)教育、安全技能培訓(xùn)和宣傳等活動(dòng)的比率。人員考核安全人員考核與獎(jiǎng)懲工作開(kāi)展情況。統(tǒng)計(jì)市（區(qū)）單位中開(kāi)展技術(shù)技能考核、安全考核與獎(jiǎng)懲工作的比率。服務(wù)人員管理a）保密協(xié)議簽署情況；b）離崗人員管理情況。調(diào)研市（區(qū)）協(xié)議的比率；調(diào)研市（區(qū)）人員比率。H.1.4安全投入安全投入評(píng)價(jià)指標(biāo)見(jiàn)表H.4。表H.4安全投入評(píng)價(jià)指標(biāo)指標(biāo)名稱(chēng)評(píng)價(jià)內(nèi)容評(píng)價(jià)方法新建項(xiàng)目網(wǎng)絡(luò)安全預(yù)算新建信息化項(xiàng)目的網(wǎng)絡(luò)安全預(yù)算情況。統(tǒng)計(jì)市（區(qū)）新建信息化項(xiàng)目網(wǎng)絡(luò)安全建設(shè)投資占比。網(wǎng)絡(luò)安全保障工作經(jīng)費(fèi)落實(shí)安全日常運(yùn)維、教育培訓(xùn)、安全防護(hù)加固、風(fēng)險(xiǎn)評(píng)估、升級(jí)運(yùn)維、應(yīng)急處置等網(wǎng)絡(luò)安全保障工作經(jīng)費(fèi)落實(shí)情況。統(tǒng)計(jì)市（區(qū)）采購(gòu)安全日常運(yùn)維服務(wù)的單位覆蓋率、采購(gòu)安全教育培訓(xùn)服務(wù)的單位覆蓋率、采購(gòu)安全防護(hù)加固服務(wù)的單位覆蓋率、采購(gòu)安全風(fēng)險(xiǎn)評(píng)估服務(wù)的單位覆蓋率、采購(gòu)安全升級(jí)運(yùn)維服務(wù)的單位覆蓋率、采購(gòu)安全應(yīng)急處置服務(wù)的單位覆蓋率。指標(biāo)名稱(chēng)評(píng)價(jià)內(nèi)容評(píng)價(jià)方法安全標(biāo)準(zhǔn)規(guī)范化a）安全運(yùn)行管理制度體系建設(shè)情況；b）安全標(biāo)準(zhǔn)規(guī)范、行業(yè)指引制定情況。統(tǒng)計(jì)市（區(qū)）單位中制定網(wǎng)絡(luò)安全管理制度的比率；調(diào)研市（區(qū)）是否制定并發(fā)布網(wǎng)絡(luò)安全標(biāo)準(zhǔn)規(guī)范、行業(yè)指引。安全標(biāo)準(zhǔn)規(guī)范執(zhí)行制定的安全標(biāo)準(zhǔn)規(guī)范執(zhí)行情況。調(diào)研市（區(qū)）單位中安全標(biāo)準(zhǔn)規(guī)范執(zhí)行落實(shí)比率。H.2.3數(shù)據(jù)安全保護(hù)數(shù)據(jù)安全保護(hù)評(píng)價(jià)指標(biāo)見(jiàn)表H.8。H.2.3數(shù)據(jù)安全保護(hù)數(shù)據(jù)安全保護(hù)評(píng)價(jià)指標(biāo)見(jiàn)表H.8。表H.8數(shù)據(jù)安全保護(hù)評(píng)價(jià)指標(biāo)表H.6網(wǎng)絡(luò)安全等級(jí)保護(hù)評(píng)價(jià)指標(biāo)指標(biāo)名稱(chēng)評(píng)價(jià)內(nèi)容評(píng)價(jià)方法定級(jí)備案按照等級(jí)保護(hù)要求開(kāi)展安全定級(jí)備案。統(tǒng)計(jì)市（區(qū)）單位中信息系統(tǒng)等級(jí)保護(hù)定級(jí)備案的比率。測(cè)評(píng)整改按照等級(jí)保護(hù)要求開(kāi)展安全等級(jí)保護(hù)測(cè)評(píng)與整改。按照等級(jí)保護(hù)要求開(kāi)展安全等級(jí)保護(hù)測(cè)評(píng)與整改。上線前測(cè)評(píng)系統(tǒng)上線前開(kāi)展安全測(cè)評(píng)及整改情況。統(tǒng)計(jì)市（區(qū)）單位中信息系統(tǒng)上線前開(kāi)展安全測(cè)評(píng)的比率。通用技術(shù)防護(hù)落實(shí)按照等級(jí)保護(hù)標(biāo)準(zhǔn)要求，落實(shí)分層分區(qū)防御、隔離管控等安全技術(shù)要求。統(tǒng)計(jì)市（區(qū)）落實(shí)分層分區(qū)防御覆蓋概率、隔離管控覆蓋率、互聯(lián)網(wǎng)出口安全管控覆蓋率。H.2.2關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)評(píng)價(jià)指標(biāo)見(jiàn)表H.7。表H.7關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)評(píng)價(jià)指標(biāo)指標(biāo)名稱(chēng)評(píng)價(jià)內(nèi)容評(píng)價(jià)方法關(guān)鍵信息基礎(chǔ)設(shè)施備案關(guān)鍵信息基礎(chǔ)設(shè)施按照行業(yè)主管部門(mén)要求開(kāi)展認(rèn)定備案。統(tǒng)計(jì)市（區(qū)）關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定備案的比率。關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施落實(shí)等級(jí)保護(hù)制度，通過(guò)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)；關(guān)鍵信息基礎(chǔ)設(shè)施同步運(yùn)行密碼保障體系，通過(guò)商用密碼應(yīng)用安全性評(píng)估；關(guān)鍵信息基礎(chǔ)設(shè)施及重要信息系統(tǒng)采用邊界防護(hù)、區(qū)域隔離、身份鑒別、訪問(wèn)控制以及數(shù)據(jù)容災(zāi)備份等安全防護(hù)措施。統(tǒng)計(jì)市（區(qū)）關(guān)鍵信息基礎(chǔ)設(shè)施通過(guò)等級(jí)保護(hù)測(cè)評(píng)的比率；統(tǒng)計(jì)市（區(qū)）關(guān)鍵信息基礎(chǔ)設(shè)施通過(guò)商用密碼應(yīng)用安全性評(píng)估的比率；統(tǒng)計(jì)市（區(qū)）落實(shí)關(guān)鍵信息基礎(chǔ)設(shè)施落實(shí)邊界防護(hù)、區(qū)域隔離、身份鑒別、訪問(wèn)控制以及數(shù)據(jù)容災(zāi)備份等措施比率。關(guān)鍵信息基礎(chǔ)設(shè)施安全檢查關(guān)鍵信息基礎(chǔ)設(shè)施安全檢查開(kāi)展情況。統(tǒng)計(jì)市（區(qū)）關(guān)鍵信息基礎(chǔ)設(shè)施安全檢查開(kāi)展的比率。指標(biāo)名稱(chēng)評(píng)價(jià)內(nèi)容評(píng)價(jià)方法數(shù)據(jù)分類(lèi)分級(jí)制定數(shù)據(jù)分類(lèi)分級(jí)標(biāo)準(zhǔn)規(guī)范、重要數(shù)據(jù)目錄，形成數(shù)據(jù)交互、融合和共享安全策略、范圍及要求等；按要求開(kāi)展數(shù)據(jù)資源普查，定期開(kāi)展自查核查，及時(shí)完成歷史數(shù)據(jù)清理與補(bǔ)登記工作。a）調(diào)研市（區(qū)）是否制定了數(shù)據(jù)分類(lèi)分級(jí)指引，是否建立了重要數(shù)據(jù)具體目錄、是否建立了國(guó)家核心數(shù)據(jù)具體目錄，是否明數(shù)據(jù)交互、融合和共享安全策略、范圍及要求；b）檢查市（區(qū)）單位是否已建立并能及時(shí)維護(hù)智慧城市數(shù)據(jù)資產(chǎn)底賬，核實(shí)數(shù)據(jù)資產(chǎn)分責(zé)確權(quán)登記及價(jià)值評(píng)估工作的覆蓋率和完成率。檢查上報(bào)數(shù)據(jù)資產(chǎn)目錄、重要數(shù)據(jù)目錄、核心數(shù)據(jù)目錄的準(zhǔn)確性。數(shù)據(jù)安全技術(shù)防護(hù)落實(shí)采取相應(yīng)的技術(shù)措施對(duì)重要數(shù)據(jù)安全進(jìn)行保護(hù)；對(duì)重要數(shù)據(jù)所采取安全保護(hù)措施的有效性進(jìn)行自我監(jiān)管。統(tǒng)計(jì)市（區(qū)）重要數(shù)據(jù)中采取加密、數(shù)據(jù)脫敏、數(shù)據(jù)防泄漏、數(shù)字水印、數(shù)據(jù)審計(jì)、數(shù)據(jù)訪問(wèn)控制等技術(shù)手段防護(hù)的比率；統(tǒng)計(jì)市（區(qū)）重要數(shù)據(jù)中采取分區(qū)管控、訪問(wèn)許可管理、內(nèi)部流動(dòng)監(jiān)管、互聯(lián)網(wǎng)泄漏監(jiān)控和數(shù)據(jù)溯源分析等技術(shù)手段部署和監(jiān)管活動(dòng)開(kāi)展比率。數(shù)據(jù)安全管理制度建設(shè)建立全流程數(shù)據(jù)安全管理制度；落實(shí)重要數(shù)據(jù)開(kāi)發(fā)共享安全監(jiān)督管理，保護(hù)數(shù)據(jù)的隱私；c）形成重要數(shù)據(jù)的出境安全管理制度。統(tǒng)計(jì)市（區(qū)）單位中建立全流程數(shù)據(jù)安全管理制度的比率；市（區(qū)）落實(shí)數(shù)據(jù)處理人員安全責(zé)任的比率；統(tǒng)計(jì)市（區(qū)）單位中建立重要數(shù)據(jù)開(kāi)發(fā)共享管理機(jī)制的比率；調(diào)研市（區(qū)）是否開(kāi)展數(shù)據(jù)泄露、售賣(mài)活動(dòng)的監(jiān)測(cè)；c）統(tǒng)計(jì)市（區(qū)）單位中落實(shí)重要數(shù)據(jù)出境安全管理制度的比率。數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估定期開(kāi)展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估。統(tǒng)計(jì)市（區(qū)）單位中定期開(kāi)展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估的比率。個(gè)人信息保護(hù)評(píng)價(jià)指標(biāo)見(jiàn)表H.9。表H.9個(gè)人信息保護(hù)評(píng)價(jià)指標(biāo)指標(biāo)名稱(chēng)評(píng)價(jià)內(nèi)容評(píng)價(jià)方法個(gè)人信息采集合規(guī)情況按照GB/T35273-2020要求，按照“權(quán)責(zé)一致原則、目的明確原則、選擇同意原則、最少夠用原則、公開(kāi)透明原則、確保安全原則、主體參與”原則加強(qiáng)個(gè)人信息的保護(hù)，禁止非授權(quán)訪問(wèn)和非法使用個(gè)人信息。統(tǒng)計(jì)市（區(qū)）符合“不超出履行法定職責(zé)所必需的范圍和限度，嚴(yán)格依照法律、行政法規(guī)規(guī)定的權(quán)限、程序處理個(gè)人信息”的單位覆蓋率；統(tǒng)計(jì)市（區(qū)）符合“履行法定職責(zé)處理個(gè)人信息時(shí)向個(gè)人告知并取得其同意”的單位覆蓋率；統(tǒng)計(jì)市（區(qū)）符合“處理的個(gè)人信息在中華人民共和國(guó)境內(nèi)存儲(chǔ)；確需向境外提供的，先進(jìn)行風(fēng)險(xiǎn)評(píng)估”的單位覆蓋率；統(tǒng)計(jì)市（區(qū)）建立個(gè)人信息去標(biāo)識(shí)化處理機(jī)制的單位覆蓋率；統(tǒng)計(jì)市（區(qū)）建立個(gè)人信息公開(kāi)披露機(jī)制的單位覆蓋率。個(gè)人信息保護(hù)責(zé)任落實(shí)成立個(gè)人信息保護(hù)的責(zé)任部門(mén)與負(fù)責(zé)人。統(tǒng)計(jì)市（區(qū)）單位中設(shè)置個(gè)人信息保護(hù)的責(zé)任部門(mén)與人員的比率。個(gè)人信息技術(shù)防護(hù)措施機(jī)制；形成個(gè)人信息安全存儲(chǔ)安全保障機(jī)制。統(tǒng)計(jì)市（區(qū)）共享傳輸個(gè)人信息時(shí)鏈路采取安全措施的比率；統(tǒng)計(jì)市（區(qū)）儲(chǔ)存?zhèn)€人信息時(shí)采取安全措施的比率。個(gè)人信息安全評(píng)估每年定期開(kāi)展個(gè)人信息安全影響評(píng)估檢查工作，形成評(píng)估檢查報(bào)告并記錄完整。統(tǒng)計(jì)市（區(qū)）單位中定期開(kāi)展個(gè)人信息安全影響評(píng)估的比率。密碼應(yīng)用評(píng)價(jià)指標(biāo)見(jiàn)表H.10。H.10H.2.6信創(chuàng)及供應(yīng)鏈安全管理密碼應(yīng)用評(píng)價(jià)指標(biāo)見(jiàn)表H.10。H.10H.2.6信創(chuàng)及供應(yīng)鏈安全管理信創(chuàng)及供應(yīng)鏈安全管理評(píng)價(jià)指標(biāo)見(jiàn)表H.11。H.11指標(biāo)名稱(chēng)評(píng)價(jià)內(nèi)容評(píng)價(jià)方法密碼技術(shù)、產(chǎn)品和服務(wù)合規(guī)信息系統(tǒng)所采用的密碼技術(shù)、產(chǎn)品和服務(wù)符合國(guó)家密碼管理部門(mén)的相關(guān)要求。調(diào)研市（區(qū)）信息系統(tǒng)是否統(tǒng)一建設(shè)了基于國(guó)密算法的密碼基礎(chǔ)設(shè)施。新建信息系統(tǒng)密碼應(yīng)用新建信息系統(tǒng)規(guī)劃、建設(shè)和運(yùn)行時(shí)，同步進(jìn)行信息系統(tǒng)密碼保障系統(tǒng)的規(guī)劃、建設(shè)和運(yùn)行。統(tǒng)計(jì)市（區(qū)）單位中新建信息系統(tǒng)通過(guò)密碼應(yīng)用安全性評(píng)估的比率。存量信息系統(tǒng)密碼應(yīng)用存量信息系統(tǒng)需開(kāi)展密碼應(yīng)用安全改造。統(tǒng)計(jì)市（區(qū)）單位中存量信息系統(tǒng)通過(guò)密碼應(yīng)用安全性評(píng)估的比率。密評(píng)定期開(kāi)展情況定期開(kāi)展密碼應(yīng)用安全性評(píng)估，向安全主管部門(mén)提交通過(guò)測(cè)評(píng)的商用密碼應(yīng)用安全性評(píng)估報(bào)告。統(tǒng)計(jì)市（區(qū)）單位中按要求定期開(kāi)展密碼應(yīng)用安全性評(píng)估的信息系統(tǒng)的比率。指標(biāo)名稱(chēng)評(píng)價(jià)內(nèi)容評(píng)價(jià)方法信息技術(shù)應(yīng)用創(chuàng)新優(yōu)先選用國(guó)產(chǎn)化安全可信的產(chǎn)品。統(tǒng)計(jì)市（區(qū)）國(guó)產(chǎn)化安全可信設(shè)備應(yīng)用比率。供應(yīng)鏈風(fēng)險(xiǎn)評(píng)估定期開(kāi)展供應(yīng)鏈風(fēng)險(xiǎn)評(píng)估。統(tǒng)計(jì)市（區(qū)）單位中開(kāi)展供應(yīng)鏈風(fēng)險(xiǎn)評(píng)估的比率。建立供應(yīng)鏈圖譜梳理信息技術(shù)產(chǎn)品和服務(wù)供應(yīng)鏈圖譜。統(tǒng)計(jì)市（區(qū)）單位中建立信息技術(shù)產(chǎn)品和服務(wù)供應(yīng)鏈圖譜的比率。采購(gòu)產(chǎn)品及服務(wù)安全管理采購(gòu)的產(chǎn)品及服務(wù)符合國(guó)家相關(guān)安全規(guī)定。統(tǒng)計(jì)市（區(qū)）采購(gòu)產(chǎn)品符合國(guó)家相關(guān)安全規(guī)定的產(chǎn)品占總產(chǎn)品的比率。H.3.3安全監(jiān)測(cè)H.3.3安全監(jiān)測(cè)安全監(jiān)測(cè)評(píng)價(jià)指標(biāo)見(jiàn)表H.14。H.14H.3.4應(yīng)急處理資產(chǎn)管理評(píng)價(jià)指標(biāo)見(jiàn)表H.12。表H.12資產(chǎn)管理評(píng)價(jià)指標(biāo)指標(biāo)名稱(chēng)評(píng)價(jià)內(nèi)容評(píng)價(jià)方法硬件資產(chǎn)清單硬件資產(chǎn)清單的準(zhǔn)確性、完整性。統(tǒng)計(jì)市（區(qū)）硬件資產(chǎn)設(shè)備類(lèi)型、運(yùn)行狀態(tài)、物理分布內(nèi)容準(zhǔn)確、完整的單位覆蓋率，明確硬件資產(chǎn)責(zé)任人的單位覆蓋率。信息系統(tǒng)清單信息系統(tǒng)清單內(nèi)容的準(zhǔn)確性、完整性。統(tǒng)計(jì)市（區(qū)）系統(tǒng)清單內(nèi)容準(zhǔn)確、完整的單位覆蓋率，明確信息系統(tǒng)資產(chǎn)責(zé)任人的單位覆蓋率，及時(shí)更新網(wǎng)絡(luò)拓?fù)浼癐P清單表的單位覆蓋率。服務(wù)端口清單信息系統(tǒng)服務(wù)端口清單的準(zhǔn)確性。統(tǒng)計(jì)市（區(qū)）建立信息系統(tǒng)服務(wù)端口及接口清單的單位覆蓋率。信息系統(tǒng)資源和運(yùn)行集中管理可對(duì)信息系統(tǒng)的資源和運(yùn)行進(jìn)行集中配置、控制和管理。調(diào)研市（區(qū)）是否對(duì)信息系統(tǒng)的資源和運(yùn)行進(jìn)行集中配置、控制和管理。安全運(yùn)維評(píng)價(jià)指標(biāo)見(jiàn)表H.13。表H.13安全運(yùn)維評(píng)價(jià)指標(biāo)指標(biāo)名稱(chēng)評(píng)價(jià)內(nèi)容評(píng)價(jià)方法系統(tǒng)日常運(yùn)維開(kāi)展系統(tǒng)日常運(yùn)維開(kāi)展情況。統(tǒng)計(jì)市（區(qū)）指定專(zhuān)人負(fù)責(zé)系統(tǒng)日常巡檢工作的部門(mén)覆蓋率、市（區(qū)）指定專(zhuān)人負(fù)責(zé)系統(tǒng)權(quán)限管理工作的單位覆蓋率、市（區(qū)）指定專(zhuān)人負(fù)責(zé)系統(tǒng)變更管理工作的單位覆蓋率、市（區(qū)）開(kāi)展安全設(shè)備維保、規(guī)則庫(kù)定期升級(jí)、安全策略定期更新等工作的單位覆蓋率。安全管理中心建設(shè)a）市（區(qū)）網(wǎng)絡(luò)安全管理中心建設(shè)情況。b）市（區(qū)）網(wǎng)絡(luò)安全管理中心與省平臺(tái)級(jí)聯(lián)對(duì)接情況。a）調(diào)研市（區(qū)）是否使用網(wǎng)絡(luò)安全管理中心。b）調(diào)研市（區(qū)）日志集中管理調(diào)研市（區(qū)）網(wǎng)絡(luò)安全管理中心是否與省平臺(tái)級(jí)聯(lián)對(duì)接。統(tǒng)計(jì)市（區(qū)）開(kāi)展全流量威脅監(jiān)測(cè)分析的單位覆蓋率。指標(biāo)名稱(chēng)評(píng)價(jià)內(nèi)容評(píng)價(jià)方法流量威脅監(jiān)測(cè)全流量威脅監(jiān)測(cè)分析開(kāi)展情況。統(tǒng)計(jì)市（區(qū)）開(kāi)展全流量威脅監(jiān)測(cè)分析的單位覆蓋率。異常行為監(jiān)測(cè)異常行為監(jiān)測(cè)開(kāi)展情況。統(tǒng)計(jì)市（區(qū)）開(kāi)展異常行為監(jiān)測(cè)的單位覆蓋率。失陷監(jiān)測(cè)失陷監(jiān)測(cè)開(kāi)展情況。統(tǒng)計(jì)市（區(qū)）開(kāi)展失陷監(jiān)測(cè)的單位覆蓋率。威脅情報(bào)分析威脅情報(bào)分析開(kāi)展情況。統(tǒng)計(jì)市（區(qū)）開(kāi)展威脅情報(bào)分析的單位覆蓋率。欺騙防御欺騙防御開(kāi)展情況。統(tǒng)計(jì)市（區(qū)）部署欺騙性防御技術(shù)的單位覆蓋率。網(wǎng)站防篡改網(wǎng)站防篡改開(kāi)展情況。統(tǒng)計(jì)市（區(qū)）開(kāi)展網(wǎng)站防篡改監(jiān)測(cè)的單位覆蓋率。數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)開(kāi)展情況。統(tǒng)計(jì)市（區(qū)）開(kāi)展數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)的單位覆蓋率。主機(jī)入侵檢測(cè)主機(jī)入侵檢測(cè)開(kāi)展情況。統(tǒng)計(jì)市（區(qū)）開(kāi)展主機(jī)入侵檢測(cè)的單位覆蓋率。辦公終端安全監(jiān)測(cè)辦公終端安全監(jiān)測(cè)開(kāi)展情況。統(tǒng)計(jì)市（區(qū)）開(kāi)展辦公終端安全巡檢的單位覆蓋率。H.3.6安全審計(jì)安全審計(jì)評(píng)價(jià)指標(biāo)見(jiàn)表H.17。H.3.6安全審計(jì)安全審計(jì)評(píng)價(jià)指標(biāo)見(jiàn)表H.17。H.17H.3.7業(yè)務(wù)連續(xù)性保障業(yè)務(wù)連續(xù)性保障評(píng)價(jià)指標(biāo)見(jiàn)表H.18。H.18安全應(yīng)急評(píng)價(jià)指標(biāo)見(jiàn)表H.15。表H.15安全應(yīng)急評(píng)價(jià)指標(biāo)指標(biāo)名稱(chēng)評(píng)價(jià)內(nèi)容評(píng)價(jià)方法應(yīng)急機(jī)制建立網(wǎng)絡(luò)安全應(yīng)急預(yù)案制定情況；c）開(kāi)展應(yīng)急演練情況。統(tǒng)計(jì)市（區(qū)）制定網(wǎng)絡(luò)安全應(yīng)急預(yù)案的單位覆蓋率；統(tǒng)計(jì)市（區(qū)）c）統(tǒng)計(jì)市（區(qū)）定期開(kāi)展應(yīng)急演練的單位覆蓋率。應(yīng)急事件處置網(wǎng)絡(luò)安全應(yīng)急事件處置情況。安全事件溯源取證情況。統(tǒng)計(jì)市（區(qū)）網(wǎng)絡(luò)安全應(yīng)急事件及時(shí)處置、報(bào)告的比率。統(tǒng)計(jì)市（區(qū)）安全事件溯源取證的比率。H.3.5安全檢查安全檢查評(píng)價(jià)指標(biāo)見(jiàn)表H.16。表H.16安全檢查評(píng)價(jià)指標(biāo)指標(biāo)名稱(chēng)評(píng)價(jià)內(nèi)容評(píng)價(jià)方法安全風(fēng)險(xiǎn)評(píng)估全面風(fēng)險(xiǎn)評(píng)估開(kāi)展情況。統(tǒng)計(jì)市（區(qū)）開(kāi)展網(wǎng)絡(luò)安全全面風(fēng)險(xiǎn)評(píng)估的單位覆蓋率。安全基線核查安全基線核查執(zhí)行情況。統(tǒng)計(jì)市（區(qū)）定期執(zhí)行網(wǎng)絡(luò)安全基線核查的單位覆蓋率。漏洞掃描漏洞掃描開(kāi)展情況。統(tǒng)計(jì)市（區(qū)）定期開(kāi)展網(wǎng)絡(luò)安全漏洞掃描的單位覆蓋率。滲透測(cè)試滲透測(cè)試開(kāi)展情況。統(tǒng)計(jì)市（區(qū)）定期開(kāi)展網(wǎng)絡(luò)安全滲透測(cè)試的單位覆蓋率。代碼審計(jì)系統(tǒng)代碼審計(jì)開(kāi)展情況。統(tǒng)計(jì)市（區(qū)）按要求開(kāi)展代碼審計(jì)的單位覆蓋率。安全漏洞隱患整改安全漏洞隱患整改情況。統(tǒng)計(jì)市（區(qū)）及時(shí)處置網(wǎng)絡(luò)安全風(fēng)險(xiǎn)隱患的單位覆蓋率。開(kāi)源軟件安全檢測(cè)開(kāi)展應(yīng)用系統(tǒng)開(kāi)源組件安全檢測(cè)情況。統(tǒng)計(jì)市（區(qū)）開(kāi)展應(yīng)用系統(tǒng)開(kāi)源組件安全檢測(cè)的單位覆蓋率。指標(biāo)名稱(chēng)評(píng)價(jià)內(nèi)容評(píng)價(jià)方法安全審計(jì)制度制定及執(zhí)行安全審計(jì)制度及審計(jì)計(jì)劃的制定及執(zhí)行情況。統(tǒng)計(jì)市（區(qū)）建立安全審計(jì)機(jī)制的單位覆蓋率。安全審計(jì)人員配備安全審計(jì)人員配備情況。統(tǒng)計(jì)市（區(qū)）配備專(zhuān)職安全審計(jì)人員或采購(gòu)審計(jì)服務(wù)的單位覆蓋率。安全策略及制度執(zhí)行審查安全策略及安全制度執(zhí)行審查開(kāi)展情況。統(tǒng)計(jì)市（區(qū)）定期開(kāi)展安全策略和安全制度執(zhí)行情況審查的單位覆蓋率。日志審計(jì)日志審計(jì)開(kāi)展情況。統(tǒng)計(jì)市（區(qū)）定期對(duì)日志進(jìn)行審計(jì)分析的單位覆蓋率，市（區(qū)）定期對(duì)運(yùn)維管理人員日常操作進(jìn)行跟蹤、分析和監(jiān)督檢查的單位覆蓋率。指標(biāo)名稱(chēng)評(píng)價(jià)內(nèi)容評(píng)價(jià)方法數(shù)據(jù)備份及恢復(fù)數(shù)據(jù)備份及恢復(fù)測(cè)試情況。統(tǒng)計(jì)市（區(qū)）根據(jù)數(shù)據(jù)、系統(tǒng)重要性制定并執(zhí)行備份策略的單位覆蓋率，市（區(qū)）定期開(kāi)展備份數(shù)據(jù)有效性測(cè)試的單位覆蓋率。業(yè)務(wù)影響分析業(yè)務(wù)影響分析開(kāi)展情況。統(tǒng)計(jì)市（區(qū)）定期開(kāi)展信息系統(tǒng)業(yè)務(wù)影響分析的單位覆蓋率。災(zāi)難恢復(fù)a）災(zāi)難恢復(fù)培訓(xùn)開(kāi)展情況；b）災(zāi)難恢復(fù)測(cè)試開(kāi)展情況。a）統(tǒng)計(jì)市（區(qū)）定期開(kāi)展災(zāi)難恢復(fù)培訓(xùn)的單位覆蓋率；b）統(tǒng)計(jì)市（區(qū)）定期開(kāi)展災(zāi)難恢復(fù)測(cè)試的單位覆蓋率。網(wǎng)絡(luò)環(huán)境安全評(píng)價(jià)指標(biāo)見(jiàn)表H.20。H.20H.4.2安全漏洞H.3.8服務(wù)支撐服務(wù)支撐評(píng)價(jià)指標(biāo)見(jiàn)表H.19。表H.19服務(wù)支撐評(píng)價(jià)指標(biāo)指標(biāo)名稱(chēng)評(píng)價(jià)內(nèi)容評(píng)價(jià)方法安全服務(wù)提供商/安全服務(wù)資源池的完善程度網(wǎng)絡(luò)安全咨詢(xún)、設(shè)計(jì)、集成、運(yùn)維、測(cè)試、風(fēng)險(xiǎn)評(píng)估（含等保、密評(píng)等）、應(yīng)急處置、攻防演練等安全服務(wù)提供商/安全服務(wù)資源池的完善程度。統(tǒng)計(jì)市（區(qū)）建立網(wǎng)絡(luò)安全咨詢(xún)服務(wù)能力的單位覆蓋率、市（區(qū)）建立網(wǎng)絡(luò)安全設(shè)計(jì)服務(wù)能力的單位覆蓋率、市（區(qū)）建立網(wǎng)絡(luò)安全集成服務(wù)能力的單位覆蓋率、市（區(qū)）建立網(wǎng)絡(luò)安全運(yùn)維服務(wù)能力的單位覆蓋率、市（區(qū)）建立網(wǎng)絡(luò)安全測(cè)評(píng)服務(wù)能力的單位覆蓋率、市（區(qū)）建立網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估服務(wù)能力的單位覆蓋率、市（區(qū)）建立網(wǎng)絡(luò)安全攻防演練服務(wù)能力的單位覆蓋率。安全服務(wù)提供商資質(zhì)情況安全服務(wù)商具備國(guó)家主管部門(mén)及權(quán)威機(jī)構(gòu)頒發(fā)的信息安全服務(wù)相關(guān)服務(wù)資質(zhì)。如：安全開(kāi)發(fā)類(lèi)服務(wù)資質(zhì)、應(yīng)急處理服務(wù)資質(zhì)、安全集成服務(wù)資質(zhì)、安全運(yùn)維服務(wù)資質(zhì)等。依據(jù)項(xiàng)目供應(yīng)商資質(zhì)要求，統(tǒng)計(jì)市（區(qū)）供應(yīng)商符合資質(zhì)要求的比率。安全服務(wù)商安全評(píng)價(jià)機(jī)制建立執(zhí)行安全服務(wù)商的安全評(píng)價(jià)機(jī)制建立及執(zhí)行情況。統(tǒng)計(jì)市（區(qū)）建立安全服務(wù)商安全評(píng)價(jià)機(jī)制的單位覆蓋率。產(chǎn)業(yè)協(xié)同、合作情況網(wǎng)絡(luò)安全產(chǎn)業(yè)協(xié)同、合作情況。統(tǒng)計(jì)市（區(qū)）數(shù)字政府網(wǎng)絡(luò)安全協(xié)會(huì)組織、培訓(xùn)教育基地、產(chǎn)業(yè)基