“大智移云” 天融信助力神州数码构建智慧城市信息安全保障体系

智慧城市通过新一代信息化技术，提升城市管理者对城市方方面面信息的感知能力、信息的分析和处理能力，从而进一步提供有针对性的新服务和新模式。神州数码的智慧城市战略，是以社会经济的繁荣为目标，以社会和谐稳定为前提，以民生和人民幸福为考核目标，通过以云计算、移动互联、物联网为代表的信息技术手段进行融合创新，推进中国新型城市化进程。全力打造以便利城市、健康城市、高效城市、平安城市、绿色城市为特征的智慧城市。围绕智慧城市的建设需求，神州数码在五大业务领域全面发力，为中国的智慧城市建设服务。

随着信息技术的不断发展，神州数码智慧城市融合服务平台（以下简称“智慧城市”）信息化建设近年来的逐步推进，信息化建设已经达到一定规模，服务器主机设备、大型网络设备、高端路由设备、多种网络和系统管理软件、专业数据备份软件、网络数据安全设备和软件大都配备完成，并建立了多项管理制度，安全运行保障的基础技术手段基本已经具备。

为了更好的保障智慧城市的安全运行，规范智慧城市组织在安全开发/测试阶段、业务安全上线阶段、安全运行维护阶段和监督检查阶段操作行为，确保智慧城市信息安全管理体系有效执行，天融信公司2014年初，完成了智慧城市信息安全保障体系咨询服务项目。

一、   体系框架

本项目设计的智慧城市的信息安全保障体系框架如下：

在此框架下，提出了智慧城市安全运营管理框架和安全运营技术框架：

智慧城市信息安全运营管理框架包括四个阶段：

• 安全开发/测试：应用系统软件的安全控制或安全性首先是通过系统的开发设计予以实现的，在设计阶段采取控制措施远比在实施过程中或者实施结束之后落实控制措施更有效。若在系统设计阶段未充分考虑系统的安全性，则系统本身就存在着先天不足。因此，应在应用系统的开发与测试阶段，正确识别、确认、准入、批准所有安全需求，并将之文档化。
• 业务安全上线：产品合法采购、合理部署及合规配置是提升智慧城市安全的基础，应确定系统上线的可行性与风险，还包括新系统上线后对现有系统和IT服务的影响。
• 安全运行维护：日常运维是信息系统生命周期管理的重要环节，规范化管理是信息系统安全保障的基础，进一步健全和完善各运行维护安全相关管理规定、办法和流程，从而提高系统运行维护质量、减少人为造成的操作不当，确保系统正常稳定运行。
• 监督检查阶段：为了提升信息安全管理能力，建立健全安全管理体系，提高整体的网络与信息安全水平，监督和促进安全管理工作的执行，达到整体信息安全水平提高的目的。

智慧城市信息安全运营技术框架包括：

以等级保护的“一个中心、三重防护”为核心指导思想，构建防护、检测、响应、恢复于一体的全面的安全运营技术框架。具体即体现为：以全面贯彻落实等级保护制度为核心，打造科学实用的信息安全防护能力、安全风险监测能力、应急响应能力和灾难恢复能力，从安全技术、安全运维二个维度构建安全技术体系，切实保障信息安全总体防护水平。

• 信息安全技术体系是为保障信息安全而采取的一系列技术措施的总和，内容主要包括网络安全、主机安全、应用安全、数据安全、基础设施等。
• 信息安全运维体系是为保障管理措施和技术措施有效实现信息安全而采取的一系列活动的总和，内容主要包括安全评估、安全加固、安全巡检、应急响应、安全培训等。

二、   用户收益

• 通过深入的安全评估全面发现智慧城市城市系统中存在的安全技术脆弱性，并提出针对性的安全加固建议。
• 结合等级保护要求和业务开展实际面临的安全威胁，规划出具有普遍意义可以指导后续智慧城市安全管理、安全建设的规范