ICS 35.040 CCS L 80 山 37 东 省 地 方 标 准 DB37/T 4550—2022 智慧城市网络安全建设和评估指南 Smart city cybersecurity construction and evaluation guidelines 2022 - 10 - 21 发布 2022 - 11 - 21 实施 山东省市场监督管理局 发布 DB37/T 4550—2022 目 前 次 言 ............................................................................. III 1 范围 ................................................................................ 1 2 规范性引用文件 ...................................................................... 1 3 术语和缩略语 ........................................................................ 1 3.1 术语和定义 ...................................................................... 1 3.2 缩略语 .......................................................................... 2 4 安全管理 ............................................................................ 2 4.1 安全管理机构 .................................................................... 2 4.2 安全规划 ........................................................................ 3 4.3 安全管理制度 .................................................................... 3 4.4 人员安全管理 .................................................................... 4 4.5 安全建设管理 .................................................................... 5 4.6 数据安全管理 .................................................................... 6 4.7 移动应用安全管理 ................................................................ 7 4.8 关键信息基础设施安全管理 ........................................................ 7 4.9 运维管理 ........................................................................ 7 4.10 应急响应 ...................................................................... 10 4.11 网络安全供应商、服务商、运营商资质 ............................................ 11 5 安全技术 ........................................................................... 12 5.1 数据中心物理安全 ............................................................... 5.2 物联感知与智能终端安全 ......................................................... 5.3 区域边界与通信网络安全 ......................................................... 5.4 云计算安全 ..................................................................... 5.5 计算和存储安全 ................................................................. 5.6 数据安全 ....................................................................... 5.7 服务与接口安全 ................................................................. 5.8 智慧应用安全 ................................................................... 5.9 安全运营 ....................................................................... 5.10 保密及密码技术安全 ............................................................ 12 12 13 14 15 16 17 17 18 21 6 安全评价指标体系 ................................................................... 21 附 录 A （资料性）基于零信任架构的智慧城市网络安全防护应用场景 ....................... 22 附 录 B （资料性）网络安全检测与评估应用场景 ......................................... 23 附 录 C （资料性）数据防泄漏安全应用场景 ............................................. 24 附 录 D （资料性）跨网数据交换安全应用场景 ........................................... 25 附 录 E （资料性）抗攻击安全接入应用场景 ............................................. 27 附 录 F （资料性）数据安全治理中台应用场景 ........................................... 29 附 录 G （资料性）量子密码应用场景 ................................................... 31 I DB37/T 4550—2022 附 录 H （资料性）智慧城市网络安全评价指标 ........................................... 32 参 考 文 献 .......................................................................... 41 II DB37/T 4550—2022 前 言 本文件按照GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中共山东省委网络安全和信息化委员会办公室提出、归口并组织实施 III DB37/T 4550—2022 智慧城市网络安全建设和评估指南 1 范围 本文件提供了智慧城市网络安全建设和评估的指导。 本文件适用于山东省内市、县（区）的智慧城市网络安全建设与评估，数字政府、数字园区、数 据中心的网络安全建设运行和评估参考使用。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文 件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适 用于本文件。 GB/T 20984—2022 信息安全技术 信息安全风险评估方法 GB/Z 20986 信息安全技术 信息安全事件分类分级指南 GB/T 22239—2019 信息安全技术 网络安全等级保护基本要求 GB/T 31167 信息安全技术 云计算服务安全指南 GB/T 31168 信息安全技术 云计算服务安全能力要求 GB/T 32400—2015 信息技术 云计算 概览与词汇（ISO/IEC 17788:2014,IDT） GB/T 36951—2018 信息安全技术 物联网感知终端应用安全技术要求 GB/T 39786—2021 信息安全技术 信息系统密码应用基本要求 GA/T 1781—2021 公共安全社会视频资源安全联网设备技术要求 3 术语和缩略语 3.1 术语和定义 GB/T 32400—2015、GB/T 36951—2018界定的及下列术语和定义适用于本文件。 3.1.1 关键信息基础设施 critical information infrastructure 公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及 其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的网络设 施和信息系统。 3.1.2 零信任架构 zero trust architecture 基于零信任理念，围绕其组件关系、工作流规划与访问策略构建而成的一种企业网络安全架构。 3.1.3 数据安全 data security 通过管理和技术措施，确保数据有效保护和合规使用的状态。 [来源：GB/T 37988—2019，3.1] 1 DB37/T 4550—2022 3.1.4 感知终端 sensing terminal 能