【正文】 我市智慧城市建設(shè)過(guò)程中應(yīng)加強(qiáng)智慧城市整體的安全防護(hù)能力，確保智慧城市的安全性、可靠性和一致性，保證所承載業(yè)務(wù)系統(tǒng)的暢通和安全以及數(shù)據(jù)和個(gè)人隱私的安全，要重點(diǎn)保護(hù)數(shù)據(jù)安全和個(gè)人隱私，圍繞數(shù)據(jù)從采集、傳輸、存儲(chǔ)、分發(fā)和訪問(wèn)等全生命周期進(jìn)行有針對(duì)性的防護(hù)，要做好身份管理和權(quán)限訪問(wèn)控制。（2）智慧城市建設(shè)主管單位：智慧城市建設(shè)主管單位是負(fù)責(zé)智慧城市安全建設(shè)的責(zé)任單位，負(fù)責(zé)智慧城市的建設(shè)和日常管理工作，負(fù)責(zé)監(jiān)督、檢查和指導(dǎo)智慧城市運(yùn)營(yíng)維護(hù)工作，并負(fù)責(zé)對(duì)接入的政府單位進(jìn)行技術(shù)指導(dǎo)，制定各項(xiàng)安全管理制度，定期進(jìn)行檢查。各數(shù)據(jù)提供單位是各數(shù)據(jù)安全的責(zé)任單位。（4）智慧城市運(yùn)行維護(hù)單位：智慧城市運(yùn)行維護(hù)單位由智慧城市建設(shè)主管單位指定，按照智慧城市建設(shè)管理單位的要求，具體負(fù)責(zé)智慧城市的運(yùn)行維護(hù)工作，負(fù)責(zé)依照國(guó)家信息安全等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)、政務(wù)外網(wǎng)相關(guān)技術(shù)要求，進(jìn)行智慧城市的運(yùn)行維護(hù)和安全保護(hù)的技術(shù)實(shí)施等具體工作。根據(jù)智慧城市建設(shè)管理單位的委托，對(duì)智慧城市的安全進(jìn)行測(cè)評(píng)?！耙粋€(gè)中心”是指具備集中化、度量化、可視化的基于云計(jì)算技術(shù)、大數(shù)據(jù)分析技術(shù)與物聯(lián)網(wǎng)技術(shù)等新興技術(shù)的信息安全持續(xù)監(jiān)控與安全事件集中處理的可視化度量中心。 建設(shè)內(nèi)容 系統(tǒng)規(guī)劃從我市智慧城市業(yè)務(wù)系統(tǒng)信息安全保障、信息安全運(yùn)營(yíng)等方面入手，統(tǒng)籌規(guī)劃我市智慧城市信息安全工作，保障我市智慧城市的業(yè)務(wù)、民生和經(jīng)濟(jì)的協(xié)調(diào)和可持續(xù)發(fā)展。智慧城市的數(shù)據(jù)共享網(wǎng)絡(luò)是一張邏輯上的網(wǎng)絡(luò)，通常會(huì)連接智慧城市數(shù)據(jù)中心局域網(wǎng)絡(luò)、政府部門(mén)專網(wǎng)、視頻資源網(wǎng)、電子政務(wù)外網(wǎng)及互聯(lián)網(wǎng)5個(gè)網(wǎng)絡(luò)。智慧城市與電子政務(wù)外網(wǎng)之間，以智慧城市數(shù)據(jù)中心的邊界接入路由器為邊界。各部門(mén)托管在智慧城市云數(shù)據(jù)中心的業(yè)務(wù)系統(tǒng)，按照云計(jì)算服務(wù)安全指南的意見(jiàn)，由智慧城市運(yùn)維單位與托管單位簽訂服務(wù)等級(jí)協(xié)議，明確雙方安全責(zé)任?！耙粋€(gè)中心”是指具備集中化、度量化、可視化的基于云計(jì)算技術(shù)、大數(shù)據(jù)分析技術(shù)與物聯(lián)網(wǎng)技術(shù)等新興技術(shù)的信息安全持續(xù)監(jiān)控與安全事件集中處理的可視化度量中心。本期項(xiàng)目服務(wù)的范圍考慮整體項(xiàng)目涉及的所有的數(shù)據(jù)安全、網(wǎng)絡(luò)安全等。六大中心包括：容災(zāi)恢復(fù)中心、監(jiān)控應(yīng)急中心、密鑰管理中心、安全管理中心、安全評(píng)測(cè)中心。 系統(tǒng)設(shè)計(jì)信息安全面臨的挑戰(zhàn)一般說(shuō)來(lái)智慧城市的總體層次可分成物理層、感知層、網(wǎng)絡(luò)層、平臺(tái)層和應(yīng)用層，對(duì)應(yīng)的安全方面分別有物理層風(fēng)險(xiǎn)、感知終端的風(fēng)險(xiǎn)、網(wǎng)絡(luò)傳輸?shù)娘L(fēng)險(xiǎn)、平臺(tái)及數(shù)據(jù)風(fēng)險(xiǎn)、應(yīng)用風(fēng)險(xiǎn)以及管理運(yùn)維的風(fēng)險(xiǎn)。但是，物理基礎(chǔ)設(shè)施不僅僅限于機(jī)房、物理設(shè)備等范疇，在傳統(tǒng)的信息安全領(lǐng)域，物理安全可分為人員的、物質(zhì)的、自然的。1）移動(dòng)化的終端移動(dòng)化是智慧城市最典型的特征，整個(gè)智慧城市由大量的、可移動(dòng)的終端設(shè)備組成，例如智能終端、手機(jī)、平板等，這些設(shè)備不可能放到一個(gè)固定的機(jī)房中進(jìn)行保護(hù)。同時(shí)，這些智能終端容易被病毒感染，尤其是各種偽裝成應(yīng)用的病毒，對(duì)智能終端有著極大的破壞性。2）物聯(lián)化的感知介質(zhì)智慧城市最常見(jiàn)的物聯(lián)網(wǎng)基礎(chǔ)設(shè)施就是各種感知器，如攝像頭等。這些感知器自身的防護(hù)能力較弱，很容易被破壞或者控制，同時(shí)因?yàn)楸┞对跈C(jī)房之外，受到攻擊和物理、自然破壞的幾率也大大增加。3）云化的基礎(chǔ)平臺(tái)智慧城市中云技術(shù)的發(fā)展使得基礎(chǔ)設(shè)施安全有了一個(gè)巨大的變化，那就是傳統(tǒng)的物理邊界被模糊化了。由于云技術(shù)的普及，導(dǎo)致原本存在于物理機(jī)房的物理邊界被模糊了。這個(gè)平臺(tái)的物理安全已經(jīng)不是用戶來(lái)承擔(dān)，更多的是由云服務(wù)運(yùn)營(yíng)商來(lái)承擔(dān)，責(zé)任不同帶來(lái)的安全防護(hù)和管理措施也會(huì)發(fā)生變化。這里面有著傳統(tǒng)的安全沒(méi)有考慮的新的安全問(wèn)題，除了基礎(chǔ)設(shè)施平臺(tái)完全不同之外，還存在如數(shù)據(jù)安全、大數(shù)據(jù)的分析需求等。這里的人員安全并不是指人員管理的安全，而是指人員的身體安全，如健康、生命安全等。但是，在智慧城市體系中，人員安全不僅僅是存在于辦公室和機(jī)房了，還隨著移動(dòng)化的網(wǎng)絡(luò)遍布整個(gè)城市網(wǎng)點(diǎn)，這就帶來(lái)了人員安全的復(fù)雜性。（2）感知層的風(fēng)險(xiǎn)感知層與物理層緊密連接，同時(shí)又為智慧城市提供主要的感知數(shù)據(jù)來(lái)源。智慧城市感知層包括感知終端和感知網(wǎng)。我們一般提及感知終端的安全，還包括與感知終端相連接的網(wǎng)絡(luò)部分，即感知網(wǎng)。感知網(wǎng)中的對(duì)外節(jié)點(diǎn)一般可以稱之為感知節(jié)點(diǎn)或者叫做感知網(wǎng)關(guān)。但是，這些感知終端因?yàn)榇蠖急┞对跊](méi)有物理防護(hù)的外部環(huán)境下，給人為控制、入侵和仿造這些設(shè)備帶來(lái)了一定的便利性。這些年來(lái)，針對(duì)智能卡的破解和偽造、攝像頭的入侵等事件就是典型代表，而感知終端技術(shù)的參差不齊也在一定程度上增大了終端安全的脆弱性。這一類問(wèn)題在傳統(tǒng)的信息安全風(fēng)險(xiǎn)中屢見(jiàn)不鮮。而現(xiàn)狀是，大部分的感知網(wǎng)絡(luò)并沒(méi)有使用防止監(jiān)聽(tīng)的機(jī)制和協(xié)議，很多甚至都是明文傳輸。在物聯(lián)網(wǎng)的體系中，感知網(wǎng)關(guān)一般都是帶有IP地址的，相當(dāng)于一臺(tái)PC或者服務(wù)器。入侵一臺(tái)設(shè)備的方法是很多的，利用弱點(diǎn)掃描并發(fā)起攻擊是最常見(jiàn)的方式。網(wǎng)關(guān)被控制，往往也意味著這個(gè)感知網(wǎng)絡(luò)被控制，利用感知網(wǎng)關(guān)可以進(jìn)行許多的高風(fēng)險(xiǎn)的有害行為，諸如偽造并發(fā)起大量數(shù)據(jù)的DDos攻擊；屏蔽該網(wǎng)絡(luò)使得感知網(wǎng)絡(luò)失效；監(jiān)聽(tīng)該網(wǎng)絡(luò)獲取敏感的數(shù)據(jù)等等。因?yàn)楦兄K端的形態(tài)大小、處理能力、存儲(chǔ)方式和廠家技術(shù)的差異，使得感知技術(shù)缺乏統(tǒng)一的標(biāo)準(zhǔn)。至今為止，尚未存在一個(gè)系統(tǒng)或者方法能夠有效的管理、分類和監(jiān)控所有的感知終端，只能是在某一類終端的某一個(gè)型號(hào)范圍內(nèi)進(jìn)行局部的管理。很顯然的，不能有效地管理終端，就帶來(lái)了諸如信息的統(tǒng)一性、信息的共享、設(shè)備的定位和檢測(cè)以及快速響應(yīng)等一系列的問(wèn)題。但是，這并不意味著所有的數(shù)據(jù)都可以被感知，或者可以被共享出來(lái)。為了國(guó)家安全，美國(guó)的情報(bào)機(jī)構(gòu)可直接進(jìn)入眾多的網(wǎng)絡(luò)服務(wù)器中，獲取到大量的個(gè)人數(shù)據(jù)從而便于國(guó)家的安全監(jiān)控。而智慧城市要做的事情有些類似，它需要收集各種智慧業(yè)務(wù)的基礎(chǔ)數(shù)據(jù)，除了個(gè)人數(shù)據(jù)之外，還有涉及到國(guó)計(jì)民生的國(guó)家數(shù)據(jù)、公共數(shù)據(jù)。目前這方面的法律條文還是一片空白。新一代網(wǎng)絡(luò)通信技術(shù)的應(yīng)用是智慧城市的典型特征，它實(shí)現(xiàn)了有線無(wú)線的一體化，將各類音、視、消息及數(shù)據(jù)信息統(tǒng)一的傳輸和管理，達(dá)到了無(wú)邊界互聯(lián)互通的效果。無(wú)論是在感知網(wǎng)絡(luò)內(nèi)的加密，還是網(wǎng)絡(luò)傳輸層的加密，以及用戶端到服務(wù)端的應(yīng)用傳輸加密，都是基于這種思路而實(shí)施的。而在網(wǎng)絡(luò)傳輸層和應(yīng)用層，廣泛使用的使用SSL VPN使得這里的數(shù)據(jù)傳輸保密性要好很多。在傳統(tǒng)的有線網(wǎng)絡(luò)傳輸中就已經(jīng)暴露出了通訊協(xié)議的漏洞問(wèn)題，諸如OpenSSL“心臟出血”漏洞等。智慧城市所采用的3G尤其是4G通訊技術(shù)，GPS、北斗等衛(wèi)星定位網(wǎng)絡(luò)，以及紅外傳輸、藍(lán)牙傳輸、WIFI等短距離的傳輸協(xié)議中，都隱藏著因?yàn)閰f(xié)議缺陷而存在的風(fēng)險(xiǎn)隱患。在這種情況下，信息安全的“短板理論”就極為突出了。3）更大規(guī)模的攻擊行為智慧城市有一個(gè)特點(diǎn)就是數(shù)據(jù)量巨大，這也催生了大數(shù)據(jù)分析這個(gè)需求。與此同時(shí)，這幾年來(lái)越發(fā)流行的APT攻擊行為在智慧城市中也是極為常見(jiàn)。這種新型攻擊主要針對(duì)重要的基礎(chǔ)設(shè)施和單位進(jìn)行，包括城市公共業(yè)務(wù)、電力、金融、國(guó)防等關(guān)系到國(guó)計(jì)民生或者國(guó)家核心利益的網(wǎng)絡(luò)基礎(chǔ)設(shè)施。加之智慧城市天然的網(wǎng)絡(luò)優(yōu)勢(shì)，更容易滋生這種高可持續(xù)性的攻擊行為。網(wǎng)絡(luò)中需要認(rèn)證的對(duì)象主要是接入終端、用戶、系統(tǒng)及應(yīng)用等，這些認(rèn)證大都和不同的智慧業(yè)務(wù)關(guān)聯(lián)在一起，也就是說(shuō)，每一種業(yè)務(wù)都必須有一種特殊的認(rèn)證方式。因此，對(duì)于云平臺(tái)中的用戶認(rèn)證，除了第一層的租戶認(rèn)證之外，還需要根據(jù)不同的租戶業(yè)務(wù)提供不同的認(rèn)證及訪問(wèn)控制方式，也就是差異化的認(rèn)證服務(wù)。但是，云平臺(tái)的運(yùn)營(yíng)商本身可能在自身的平臺(tái)運(yùn)行機(jī)制上存在漏洞，從而產(chǎn)生新的安全風(fēng)險(xiǎn)，這是一個(gè)比較現(xiàn)實(shí)的問(wèn)題。（4）平臺(tái)層風(fēng)險(xiǎn)在智慧城市體系中，平臺(tái)層是各類業(yè)務(wù)系統(tǒng)的承載，它的核心一般是基于共享數(shù)據(jù)庫(kù)的城市管理中心平臺(tái)，它基于云計(jì)算技術(shù)和中間件技術(shù)，對(duì)城市收集到的數(shù)據(jù)進(jìn)行存儲(chǔ)、處理和轉(zhuǎn)發(fā)，通過(guò)分布式計(jì)算和虛擬化技術(shù)滿足智慧城市未來(lái)更加豐富應(yīng)用的需求。虛擬化云平臺(tái)為公共信息平臺(tái)提供硬件資源管理服務(wù)，是城市運(yùn)營(yíng)中心的基礎(chǔ)設(shè)施，其上可進(jìn)一步承載眾多的智慧業(yè)務(wù)系統(tǒng)。這兩者在智慧城市中又具有完全不同的風(fēng)險(xiǎn)特性。云化的平臺(tái)以虛擬化技術(shù)為基礎(chǔ)，包含了云計(jì)算、云存儲(chǔ)等云服務(wù)功能。在云平臺(tái)中，傳統(tǒng)的網(wǎng)絡(luò)安全、主機(jī)安全、數(shù)據(jù)安全依舊存在并呈現(xiàn)出新的特點(diǎn)，同時(shí)還存在諸如虛擬器的安全、租戶模式帶來(lái)的風(fēng)險(xiǎn)等。因此，云平臺(tái)的安全問(wèn)題，首先必須要考慮到虛擬機(jī)系統(tǒng)的健壯性。由于虛擬機(jī)是運(yùn)行在硬件的宿主機(jī)之上的，因此宿主機(jī)可對(duì)虛擬機(jī)的運(yùn)行情況進(jìn)行檢測(cè)，甚至是做出一些改變，比如啟動(dòng)、關(guān)閉、停止、重啟虛擬機(jī)軟件；監(jiān)控虛擬機(jī)的資源使用情況，包括CPU、內(nèi)存、硬盤(pán)等；可以改變虛擬機(jī)的資源配置，包括CPU數(shù)量、內(nèi)存大小、磁盤(pán)的大小及網(wǎng)絡(luò)接口；甚至監(jiān)控到虛擬機(jī)內(nèi)運(yùn)行的應(yīng)用程序，進(jìn)而了解到虛擬機(jī)內(nèi)部運(yùn)行的客戶業(yè)務(wù)；反過(guò)來(lái)，運(yùn)行在虛擬機(jī)里的程序，可能利用一些設(shè)置或者底層的技術(shù)來(lái)訪問(wèn)宿主機(jī)，進(jìn)而造成更大的安全隱患。3）傳統(tǒng)防護(hù)手段的失效盡管通過(guò)虛擬化技術(shù)將單個(gè)的物理服務(wù)器虛擬化成多個(gè)虛擬的服務(wù)器，但云平臺(tái)中網(wǎng)絡(luò)元素沒(méi)有改變，依舊存在需要防護(hù)的系統(tǒng)、應(yīng)用及用戶等，也需要利用防火墻等傳統(tǒng)安全技術(shù)進(jìn)行區(qū)域劃分和隔離，需要控制網(wǎng)絡(luò)邊界的訪問(wèn)，執(zhí)行用戶接入的認(rèn)證以及行為審計(jì)等。這樣，傳統(tǒng)的安全防護(hù)手段就要在部署或者技術(shù)實(shí)現(xiàn)方式上做出改變了。負(fù)責(zé)云平臺(tái)安全的主體已經(jīng)不是傳統(tǒng)的用戶，而是云服務(wù)提供商。云服務(wù)在市場(chǎng)上流行的模式有三種，分別是IaaS(基礎(chǔ)設(shè)施即服務(wù))、PaaS(平臺(tái)既服務(wù))以及SaaS(軟件即服務(wù))。但是，云平臺(tái)服務(wù)商畢竟不是用戶，他對(duì)云用戶的業(yè)務(wù)并不關(guān)心或者并不精通，因此只能提供普適性的整體安全防護(hù)，如統(tǒng)一的邊界防護(hù)、身份認(rèn)證和身份管理等等，并不能提供差異化的、針對(duì)用戶業(yè)務(wù)的權(quán)限管理、部署特定的安全手段等，這需要用戶和運(yùn)營(yíng)商進(jìn)行協(xié)調(diào)處置，目前還沒(méi)有統(tǒng)一的標(biāo)準(zhǔn)。服務(wù)商內(nèi)部存在的有意或者無(wú)意的泄露行為都可能對(duì)用戶的信息安全造成嚴(yán)重的威脅。對(duì)于這些風(fēng)險(xiǎn)，用戶沒(méi)有絲毫的技術(shù)防護(hù)手段，租戶的數(shù)據(jù)泄露風(fēng)險(xiǎn)自然也是極為嚴(yán)重。租戶除了要承擔(dān)上文所說(shuō)的租戶數(shù)據(jù)泄露風(fēng)險(xiǎn)外，還面臨租戶之間可能的信息泄露問(wèn)題。那么內(nèi)部租戶之間的通信如何管理和審計(jì)，如果一個(gè)租戶進(jìn)行非法的入侵和攻擊行為，就沒(méi)有相應(yīng)的手段進(jìn)行防護(hù)了，它在自己的虛擬環(huán)境上開(kāi)啟一個(gè)漏掃系統(tǒng)，就可能發(fā)現(xiàn)整個(gè)平臺(tái)中其他虛擬機(jī)的漏洞進(jìn)而進(jìn)行利用，造成了嚴(yán)重的影響。數(shù)據(jù)集中固然有很多的共享、分析、訪問(wèn)的優(yōu)勢(shì)，但是也同樣的帶來(lái)了風(fēng)險(xiǎn)的集中。而且，被攻破后其可能的風(fēng)險(xiǎn)嚴(yán)重級(jí)別遠(yuǎn)不是以前傳統(tǒng)網(wǎng)絡(luò)模式可比。同時(shí)，集中化的數(shù)據(jù)使得數(shù)據(jù)的可用性、完整性的需求尤其突出，對(duì)災(zāi)備系統(tǒng)的要求也更加嚴(yán)格。2）剩余數(shù)據(jù)風(fēng)險(xiǎn)在云平臺(tái)中，除了租戶之間訪問(wèn)風(fēng)險(xiǎn)，云服務(wù)上主動(dòng)泄密風(fēng)險(xiǎn)外，云服務(wù)的提供商對(duì)租戶的管理也存在安全隱患。3）大數(shù)據(jù)與hadoop云平臺(tái)下的數(shù)據(jù)是海量的。海量數(shù)據(jù)的存儲(chǔ)與傳統(tǒng)的數(shù)據(jù)存儲(chǔ)不同，因?yàn)椴捎昧薶adoop的技術(shù)，它是分布式存儲(chǔ)的，對(duì)數(shù)據(jù)災(zāi)備提出了新的要求，即數(shù)據(jù)備份方式也必須是能夠滿足分布式的網(wǎng)絡(luò)結(jié)構(gòu)。目前，hadoop是大數(shù)據(jù)分析的主要工具，但是hadoop集群環(huán)境中存在大量的分布式節(jié)點(diǎn)，針對(duì)這些節(jié)點(diǎn)的有效防護(hù)有別于傳統(tǒng)的安全防護(hù)手段。要知道，成本和可用性的沖突是信息安全永恒的話題。這個(gè)風(fēng)險(xiǎn)目前在智慧城市中還不明顯，但卻是一個(gè)不容忽視的隱患。傳輸過(guò)程中的加密僅僅是防竊聽(tīng)和篡改，但是云中存儲(chǔ)的數(shù)據(jù)才是安全防護(hù)的重點(diǎn)。加密機(jī)制是用戶自己定義還是使用云服務(wù)提供商的固有機(jī)制是一個(gè)難題，因?yàn)檫@會(huì)影響到密鑰和加密算法的安全管理。當(dāng)前針對(duì)數(shù)據(jù)審計(jì)有一個(gè)新的趨勢(shì)，那就是多維度的關(guān)聯(lián)分析，無(wú)論是針對(duì)各類合規(guī)法案還是APT攻擊的深度挖掘，都要求審計(jì)系統(tǒng)能夠演化出新的模型，能夠在海量數(shù)據(jù)及大數(shù)據(jù)的環(huán)境下綜合分析和關(guān)聯(lián)形式多樣的數(shù)據(jù)，準(zhǔn)確的定位審計(jì)目標(biāo)。各種智慧應(yīng)用的主要目的是方便、快捷地為市民服務(wù)，構(gòu)建服務(wù)型新型網(wǎng)絡(luò)體系。1）設(shè)計(jì)風(fēng)險(xiǎn)在傳統(tǒng)安全領(lǐng)域，應(yīng)用系統(tǒng)在設(shè)計(jì)、開(kāi)發(fā)的過(guò)程中會(huì)存在脆弱性，這是公認(rèn)存在的。在智慧城市中這些風(fēng)險(xiǎn)非但不會(huì)消失，反而會(huì)因?yàn)楦鞣N智慧業(yè)務(wù)的增多而隨之增多。移動(dòng)APP的開(kāi)發(fā)不存在技術(shù)門(mén)檻，更加便利也更加不規(guī)范，更容易被二次打包帶來(lái)更大的風(fēng)險(xiǎn)。2）認(rèn)證風(fēng)險(xiǎn)智慧城市把眾多應(yīng)用系統(tǒng)整合在一起，各系統(tǒng)之間需要相互協(xié)作、互通和共享數(shù)據(jù)，這也是智慧城市體系的特性之一。判斷用戶是否具備訪問(wèn)應(yīng)用的權(quán)限及多個(gè)應(yīng)用之間是否具備數(shù)據(jù)互訪的資格等問(wèn)題，在智慧城市的體系下更加的突出。而在現(xiàn)在的市場(chǎng)上，智慧城市也屬于一種新型的業(yè)務(wù)模型，對(duì)于智慧業(yè)務(wù)的權(quán)限范疇至今沒(méi)有統(tǒng)一的標(biāo)準(zhǔn)可以參照，只能根據(jù)城市的實(shí)際需求和建設(shè)方的經(jīng)驗(yàn)?zāi)芰?lái)不斷摸索。這要求智慧業(yè)務(wù)的后臺(tái)能夠支撐復(fù)雜的分析算法，具備較強(qiáng)的分析計(jì)算能力，并且還需要快速有效的響應(yīng)來(lái)自于網(wǎng)絡(luò)上的請(qǐng)求。而大量的運(yùn)行在Web上的應(yīng)用就更容易被攻擊了，諸如SQL諸如、跨站腳本攻擊等日漸火熱的爆發(fā)現(xiàn)狀也在一定程度上說(shuō)明了這一點(diǎn)?！叭旨夹g(shù)，七分管理”，有效的管理和運(yùn)維所帶來(lái)的安全效益甚至比技術(shù)手段更顯著。這些標(biāo)準(zhǔn)為信息安全管理提供了指導(dǎo)和依據(jù)，當(dāng)前政府、企業(yè)各行業(yè)的信息安全工作的開(kāi)展大都依次而行。第一類是管理類，就是在一個(gè)信息系統(tǒng)的規(guī)劃、建設(shè)、運(yùn)行過(guò)程中，為了使得各種安全技術(shù)手段有效的運(yùn)轉(zhuǎn)，發(fā)揮更大的作用，需要施加各種安全管理的措施，諸如制度、規(guī)章、工作方法、安全意識(shí)培訓(xùn)和考核等，保障其安全體系的有效運(yùn)作。以安全技術(shù)手段為基礎(chǔ)，管理和運(yùn)維相結(jié)合，是當(dāng)今信息安全保障領(lǐng)域的主流思想。但是截至目前為止，還沒(méi)有一種標(biāo)準(zhǔn)來(lái)規(guī)范智慧城市下的安全管理和運(yùn)維應(yīng)該如何進(jìn)行。不僅僅是技術(shù)方面的法規(guī)，還有法律方面的缺失。這個(gè)敏感性既可以指?jìng)€(gè)人信息，也可以指企業(yè)信息和政府信息。2017年3月25日晚19時(shí)，浙江杭州市政府向公眾發(fā)布，自3月26日零時(shí)起，杭州將正式實(shí)施無(wú)償搖號(hào)與有償競(jìng)價(jià)相結(jié)合的限牌措施。而在25日下午，在杭州市政府發(fā)布限牌令之前，一份與當(dāng)天發(fā)布會(huì)材料如出一轍的“新聞通稿”就已經(jīng)在網(wǎng)絡(luò)流傳，引發(fā)了公眾對(duì)政府消息被泄的質(zhì)疑。個(gè)人信息、企業(yè)信息和政府信息都需要得到足夠的保護(hù)，否則會(huì)危機(jī)智慧城市的信任體系。人、技術(shù)、業(yè)務(wù)運(yùn)行這三要素，正是信息安全管理中的三個(gè)重點(diǎn)目標(biāo)。智慧城市下的管理目標(biāo)和內(nèi)容，比之前任何一類的系統(tǒng)、部門(mén)都要復(fù)雜的多。但是在智慧城市中，就需要規(guī)范全城市的市民，防御全網(wǎng)絡(luò)的黑客了。單說(shuō)一個(gè)人員方面，不同的人員肯定具備不同的安全素養(yǎng)和知識(shí)能力，智慧城市理論上將全城市的市民包含在內(nèi)，若是安全管理的手段也要落實(shí)到每個(gè)市民身上，這個(gè)工