第一篇:宜昌市新型智慧城建设经验分享
宜昌市新型智慧城建设经验分享 宋文豹 宜昌市常务副市长
一、宜昌新型智慧城市建设总体特征
在这里,与大家分享宜昌坚持走一体化路子,建设新型智慧城市的做法和成就。总书记今年4月19日,在全国网络安全与信息化工作座谈会上正式提出了新型智慧城市的概念,并就其建设主要内容及其方式作了深刻阐述。19日,在中共中央政治局就实施网络强国战略进行第36次集体学习时再次强调,我们要深刻认识互联网在国家管理和社会治理中的作用,以推行电子政务,建设新型智慧城市等为抓手,以数据集中和共享为途径,建设全国一体化的国家大数据中心,推进技术融合、业务融合、素质融合,实现跨层次、跨地域、跨系统、跨部门、跨业务的协同管理和服务。
宜昌在智慧城市建设中,最基本的特征就是坚持走一体化的路子,注重统筹整合,打通信息壁垒,以数据为主轴线,构建全市统一的信息资源共享体系。在智慧城市建设之初,我们就瞄准信息孤岛这个关键的老大难,稳扎稳打,步步为营,久久为功,实现了智慧城市从1.0、智慧政务到2.0智慧治理,再到3.0智慧民生的跨越,从城市到乡村的统筹协调发展收到了明显成效。
二、宜昌新型智慧城市建设具体特征 概括起来讲就是四个一体化。
第一,构建一体化的基础支撑体系,关键是体制、机制的创新。在体制创新方面,宜昌市委市政府专门做出建设智慧宜昌的决定,成立了市委书记任组长的全市智慧城市领导小组,组建了智慧城市建设办公室。这个办公室在机构上单列,由市政府直属,并赋予它在智慧城市建设中的规划、建设、管理的绝对权威。
在机制创新方面,我们出台了《宜昌市信息化建设项目管理办法》。建立了“643”统筹协调机制,凡是部门新建业务系统,必须统一规划、建设,并部署在三峡云计算中心,在财政资金投资的智慧城市项目实施六统一,统一规划、统一立项、统一采购、统一监理、统一验收、统一拨款。对于部分使用财政性资金,实行规划管理、基础支撑、安全规范、资源共享四个统筹。对非财政性资金建设的全局性重大基础设施、涉众性重大运营项目事前开展规划的一致性、方案的科学性、资源共享性三个服务。
在基础支撑创新方面,我们实施了“四个宜昌”,一是实施宽带宜昌。2014年我们在湖北省率先实现光纤“村村通”,目前正大力推进城乡光纤“户户通”,预计2018年可全覆盖。二是实施无线宜昌工程,2015年实现4G全区域覆盖。今天去中心城区公共场所实现免费WIFI全覆盖。三是实施云上宜昌工程,采取PPP模式投资建设、扶持华中、面向全国的三项云计算中心,计算能力达到4万亿次,存储能力已超过5PB。宜昌城市运营平台项目,在第三届中国国际云计算技术和运用展览会上及论坛上荣获了2014年至2015云计算优秀解决方案产品奖。四是网安宜昌工程,从完善制度、技术防范、人才培养等方面建立了网络安全体系,并采用服务外包方式,聘请国内一流专业公司常年驻场开展安全服务。
第二,构建一体化的智慧政务体系。宜昌智慧城市建设以智慧政务为起点,我们以秦始皇统一度量衡的决心和力度,用大统一的理念整合各部门现有的信息网络资源,建设了覆盖市、县、乡、村四级的第三大智慧政务平台,形成了区域一体化的智慧政务体系。
一是建立了统一的网上办公平台。宜昌早在2017年就启动了电子政务建设,目前我们的电子政务专网已覆盖到村,全市4.36万名公务员全部实现在一个平台上办公或移动办公。我们的在线办公系统在全国率先实现从公文起草到归入档案馆,全生命周期网上运行,实现了内网、外网相协调,纵向、横向全覆盖,公务办公无纸化。二是建立了统一的政务服务平台。我们的行政审批和政务服务系统、政务信息公开系统等全部部署到村一级,通过一号申请,一窗受理,一网通办,真正实现了办事不出村,不出社区。我们在全国首创工商登记“一点通”自主服务系统,率先实现了工商营业执照全流程网上办理,实现了零纸张、零界面、零费用。
三是建立了统一的网站服务平台。我们建立了全市统一的集约化政府网站、群技术支撑平台和服务团队,统一的网上办事大厅和政民互动平台以及统一的双微管理服务平台形成了一体化建设管理政府网站群。
第三,构建一体化的智慧治理体系。我们从2010年开始,着实构建以大数据为轴线的智慧治理体系。经历不懈探索和实践,形成了在全国具有推广意义的社会治理宜昌模式,相关经验做法被写入了十八届三中全会和五中全会决议。2014年全国平安城市建设宣传会,专门推荐了宜昌大平台、大数据、大应用的社会治理经验。一是建设大平台,我们按照街巷定界,规模适度,无缝覆盖,动态调整的原则,把城居按照300户左右划分为1421个网格,农村以村民小组为基础划分9579个网格,全市共划分11000个网格,在全国率先实现了城乡网格全覆盖,构建了以网格化治理为基础的全方位、动态式、便捷化的社会治理大平台。
二是采集大数据,将人、房、事、物、组织等这些社会治理要素全部纳入网格化治理范畴,每个网格配备一名网格员,每个网格员配备一台移动终端“社区E通”。网格员通过“社区E通”,实施采集动态跟寻网络内的基础信息,传输到语音平台,构建动态更新,连通共享的全市社会治理数据库。目前已经有29个部门数据实施交换共享。每天有100多万条数据实时更新,全市数据总量已达到4.5PB,29亿多条。三是开展大应用,建立部门联动、力量下沉、服务到人的社会治理机制,实施34个部门在造351项工作流程。变过去的串联式治理为现在的并列式治理,为准确掌握社情及时开展社会治理奠定了坚实基础,我市综治、公安、工商、消防、工会、民政、民宗、城建、城管、教育、残联人士等,16个部门智慧水平处于全省全国领先水平。先后在宜昌召开宣传会推广宜昌经验。依托智慧医疗打造的“互联网+分级诊疗”的新模式,受到国务院通报表彰,宜昌因此获得国务院2016年“免督察”待遇及多项政策激励。
第四,构建一体化智慧民生体系。我们始终坚持以人民为中心的发展理念,运用信息化手段打通服务群众的最后一公里,打造了一套全生命周期感知服务、全人群覆盖服务、全天候即时服务的惠民体系。一是提供全生命周期感知服务,我们将各部门的信息资源集成到三峡云平台,从而成为部门深入千家万户的一个公共服务平台。依托这个大系统对于实现人从出生、入园、入学、入伍、就业、结婚、生育、养老一直到死亡、殡葬的全程跟踪和管理服务。在宜昌,社区网格员每天早上会根据大数据平台自动推出到“社区E通”上的孕检、新生儿和年满65岁、80岁等居民的信息。开展主动上门走相关优生优育知识宣传普及、代上户口、代上医保、待办老年优抚等服务。二是提供全人群覆盖服务,我们以信息惠民公共服务平台为基础,后台支撑,构建了网上一页通、手机一点通、电视一屏通、电话一号通、社区一站通、市民一卡通“六个一通”的信息惠民服务体系。在农村打造了电视、电脑、手机三屏合一,具有电子政务、电子学务、电子村务、电子商务,“四务通”平台,让不同人群都能选择适合自己的方式,享受制度化服务。三是提供全天候即时服务,开发建设一体化的市民应用APP“宜昌市民e家”,集成与居民个人相关的社会保障、水电气费、交通违章等13类信息及一半是120急救、信稿信箱、城管投诉、工程投诉等15项综合服务功能。并且可以根据市民需求,定制专属的帐单推送等服务。同时全面推行社区为行政部门代理事务。各个为居民群众代办事宜的的双代服务,打造一刻钟便民服务圈。
智慧城市建设是一个只有起点没有终点的远程,特别是今天我们听到很多领导、教授,讲的这些观点和政策以及这些考评体系,我们很受启发,也感觉还有很多不足。虽然我们做了一些工作,但是我觉得这些对我们启发很大,我们回去以后通过这个学习还有很多我们在这些创新,应用这方面很多创新的一些东西,我们愿意跟我们今天来的所有企业和没有来的所有企业,还有一些创新的平台,我们可以深入合作,为推动我们宜昌的智慧城市建设再上一个新的水平。谢谢大家。
第二篇:新型智慧城市网络安全体系建设方案
新型智慧城市网络安全体系
建设方案
I
目录 总体规划方案......................................................................................1
1.1 指导思想...................................................................................1 1.2 发展原则...................................................................................1 1.3 建设目标...................................................................................2 1.4 建设内容...................................................................................5
1.4.1 概念设计...........................................................................5 1.4.2 总体架构...........................................................................6 1.4.3 网络架构...........................................................................7 1.4.4 数据架构...........................................................................8 网络安全体系详细技术方案............................................................12
2.1 网络安全体系技术方案.........................................................12
2.1.1 方案背景.........................................................................12 2.1.2 发展现状.........................................................................13 2.1.3 建设目标.........................................................................14 2.1.4 总体架构.........................................................................16 2.1.5 建设内容.........................................................................17
I
2.2 标准体系.................................................................................65
2.2.1 方案背景.........................................................................65 2.2.2 发展现状.........................................................................67 2.2.3 需求分析.........................................................................71 2.2.4 指导思想.........................................................................76 2.2.5 基本原则.........................................................................77 2.2.6 智慧城市标准规范体系.................................................78 2.2.7 智慧城市评价体系.......................................................102
II 总体规划方案
1.1 指导思想
全面贯彻落实国家关于智慧城市、大数据、“互联网+”等政策部署,紧抓创建国家新型智慧城市的战略契机,以我市经济社会发展的实际需求为导向,以改革创新为动力,以释放数据红利为核心,以信息惠民为宗旨,以产业振兴为基础,以善政法治为保障,以数据流引领技术流、物质流、资金流、人才流,为我市创建成为智能泛在的“互联网+城市”中部标杆、高效幸福的信息惠民重点示范、健康繁荣的新兴产业特色集群奠定坚实基础。
1.2 发展原则
整合共享,数据兴市。充分重视数据资源的重要性,推进现有数据资源的深度整合与应用,以互联互通、信息共享为目标,突破部门界限和体制障碍,加强政府部门之间、政府与社会间的数据共享,逐步有序推动数据的社会化开发利用,激发数据创新活力,提升数据创新能力,充分释放数据红利。
产城融合,信息强市。促进大数据产业、智能制造产业、智慧城市建设和传统产业的改造协同发展,推进信息技术应用与经济社会发展的深度契合。积极提升信息化建设成效,充分发挥信息流对技术流、物质流、资金流、人才流的驱动作用,以现代信息技术驱动装备制造业、高新技术产业发展,推动现代服务业发展。
需求导向,智慧融市。以经济社会各领域的发展需求为导向,推进智慧化建设与全市改革发展的深度融合,促进全市各部门、各行业协调发展,面向公众生活、工作等多元化需求,突出重点,分步实施,有序推进智慧城市建设,提高城市整体运行效率和管理服务水平,优化城市资源配置,提升资源利用效率。
多元协同,创新立市。引导大众创业、万众创新,推动机制创新与智慧城市建设本质需求的深度吻合。通过创新应用、示范先行,带动产业和技术发展,促进形成技术创新、应用创新、商业模式创新、体制机制创新、开放合作创新、创业创新要素集聚的发展格局。充分发挥政府在规划设计、政策扶持、标准规范、试点示范等方面的引导作用,创新与沈阳经济社会发展相适应的投融资机制,充分调动市场积极性,广泛吸引社会资金投入信息化建设。
1.3 建设目标
以科学发展观为统领,以坚持走中国特色新型工业化、信息化、城镇化、农业现代化、绿色化道路,深入推动信息化和工业化深度融合、促进社会信息化持续推进等精神为指导,立足我市发展实际,大胆开拓创新;具有科学性和前瞻性、实效性;有亮点,突出我市区位优势。通过2年努力,迈入全省新型智慧城市先进行列,到2021年建成全国一流新型智慧城市。
——实现多元普惠的民生服务。构建以人为本、惠及全民的民生服务新体系,智慧应用的建设使民众在城市多个维度都能够分享提升市民满意度和生活品质,按照国家信息惠民示范城市创建工作的要求,市民卡“一卡通”覆盖率100%。电子健康档案和社区卫生服务全覆盖,医疗服务信息共享及医疗服务便捷度明显提升。为市民提供更高效、便捷的一站式服务,实现市民办事“一号申请、一窗受理、一网通办”,为不同群体提供协同性、综合性、针对性服务,线上为市民提供“足不出户网上办事”窗口,并能够采集基础数据支撑委办局工作。所有校园实现数字资源全覆盖。提供多样化、高质量的就业、养老、文化体育服务。交通拥堵明显改善,实现品质交通,绿色出行。
——实现智慧高效的城市管理。以乌兰浩特经济社会各领域的发展需求为导向,推进智慧化建设与乌兰浩特全市改革发展的深度融合,促进全市各部门、各行业协调发展,面向公众生活、工作等多元化需求,突出重点,分步实施,有序推进智慧城市建设,以数据为基,实现决策有据,行动有方,提高城市整体运行效率和管理服务水平,优化城市资源配置,提升资源利用效率,构建城市管理的新模式。
——实现融合创新的产业经济。互联网与实体经济融合发展,城市产业转型提质增效,推进智慧城市建设与产业发展相结合,城市产业支撑和吸纳就业能力显著提升。完善数据资源、数据技术、数据应用一体化的大数据全产业链,大数据相关产业规模达到200亿元,带动智慧产业规模达到800亿元。培育一批以智能制造为主的国际知名
品牌,打造中部地区智能制造谷。智能装备制造产值达两千亿级,汽车及零部件、食品医药、新材料分别达到千亿级,新一代信息技术产值过500亿。
——实现集约统筹的基础设施。建设完善全市基础设施,为智慧城市的互联互通、信息共享奠定良好的发展基础。提升城市宽带网络性能,实现无线城市覆盖,深化政务网络建设,统筹规划部署物联感知网络,统筹规划、集约建设,利旧建新,降低成本投入,缓解财政压力。
——实现安全可控的防护体系。强化网络与信息安全管理。按照“谁主管,谁负责;谁运营,谁负责”的原则,夯实网络与信息安全基础。各党政机关网站和重要信息系统应按照同步规划、同步建设、同步运行的要求,参照国家有关标准规范,从业务需求出发,建立以网页防篡改、域名防劫持、网站防攻击以及密码技术、身份认证、访问控制、安全审计等为主要措施的网站安全防护体系。积极落实信息安全等级保护制度,开展相应等级的安全审查、安全等级测评、风险评估和管理,做好信息系统定级备案、整改和监督检查。使得乌兰浩特智慧城市建设能够全时安全,溯源反制。
图1新型智慧城市建设目标
1.4 建设内容
1.4.1 概念设计
图2新型智慧城市概念设计图
1.4.2 总体架构
服务渠道智慧应用智慧城市门户网站手机应用APP网上办事大厅市民一卡通城市服务热线交互式宣传屏智慧管理电子政务智能交通智慧产业智慧旅游智慧园区智慧农业智慧民生智慧教育智慧医疗智慧环保智慧社区智慧社保智慧金融智慧安全天网工程智慧公安应急指挥数字城管公共资源平台公共应用支撑平台身份认证位置服务基础信息资源地理信息系统人口信息库企业信息库数据交换共享平台资源目录数据交换主题数据库信息安全管理平台运维保障平台高速泛在通讯网络云计算数据中心无线移动网络计算资源存储资源数据库资源基础设施固定网络骨干传输网全面覆盖的感知网络视音频感知环境感知信号感知位置感知ID感知
图3新型智慧城市总体架构图
新型智慧城市建设将围绕“开放共享、智慧创新”,充分整合现有数据、系统、服务等资源,强化基础设施建设,打造“大数据中心”和“智能处理中心”,重点推进信息惠民、在线政府、城市治理、产业经济四大领域建设。
设施基础包括物联网、通信网、云设施、信息安全设施等,旨在通过设施建设为数据资源治理、各类新型智慧城市应用等提供基础保障。
大数据中心即通过融合基础库、主题库、融合库,对数据进行初步处理,提高数据质量,保障数据安全,为数据资源的开发利用做好一级整备。智能处理中心通过对初步处理过的数据进行分析挖掘、业
务建模等深度开发利用,形成知识和决策辅助信息,实现从数据到智慧的价值转换。
领域应用主要包括信息惠民、在线政府、城市治理、产业发展四个方面,通过深化现有领域应用,强化跨行业、跨部门的智慧融合,促进业务的快速反应和政务的高效协同,提升政府的智慧治理能力,打造精细精准的城市治理体系,促进城市经济融合创新发展。1.4.3 网络架构
图4 我市新型智慧城市网络架构示意图
1.4.4 数据架构
1.4.4.1 智慧城市数据架构
图5 我市新型智慧城市数据架构
1.4.4.2 非结构化数据规划
1、地理空间数据规划
建设好的地理空间框架应该是智慧城市建设的重要基础设施,通过物联网的互联性和智慧化的功能,把所有东西立体化、虚拟化,这是地理空间框架作为基础设施的基本目标。
图6 地理空间数据规划
“地理空间框架”应包括空间数据集、管理服务平台、支撑环境、以及若干示范应用4个部分。为将地理空间数据更好的利用到政务、民生和产业上,在前期对地理空间数据架构的规划上需考虑以下四点:
1)充分利用空间数据集的海量异构源数据,建立智慧城市的数据中心,通过数据中心的功能仓库和集成管理等几方面的提升,实现包括二维、三维、元数据信息的各类数据存储,为智慧城市提供直观的展现平台,为物联化、互联化、智能化提供基础和决策支持。
2)管理服务平台的转化,从数字城市地理空间框架的管理平台向智慧城市的集成运营平台转化,为提供基础数据和各类专题数据的数据支撑,同时利用平台的快速搭建配置应用系统,零编程,模块化的特点来为新型智慧城市提供支撑。
3)支撑环境的拓展,地理空间框架的环境应该向云的模式拓展。4)作为智慧城市的智慧国土、智慧交通、智慧规划、智慧旅游、智慧医疗等行业的各个方面,地理空间框架有较大的应用基础,属于能体现应用特点的尖端技术,能够成为智慧城市应用发展的必要支撑。
2、视频类数据规划
视频类数据包括交通道路视频信息、公共安全视频信息、社区监控视频信息等。视频类数据为城市智慧交通、智慧城管、智慧公共安全等提供了海量的数据支撑。对视频类数据的规划和地理空间数据类似,需要建立统一的数据中心、管理平台向集成运营平台转化、支撑环境的云化。
视频数据有几大特点:①采集设备多②实时性要求高③非结构化数据流④传输和存储数据量大。针对视频数据的特点,有必要制定采集设备维护和管理的制度、数据传输方案、记录和存储策略、数据定期整理的规则,而且对非结构化视频数据的有效智能感知和识别,是智慧城市视频类数据能否真正智能的关键。
1.4.4.3 结构化数据规划
1、公共数据库规划
依托公共基础数据库的建设,实现数据共享并形成自然资源与空间地理信息数据库、人口基础数据库、法人基础数据库、宏观经济数据库、城市基础空间数据库、建筑物基础数据库、政务信息资源共享数据库等公共基础数据库。
数据中心是各类数据资源、信息资源的汇聚地。数据中心采用通用标识编码技术对城市内的人口数据、法人数据、地理数据、房屋数据、经济数据、设施设备数据、网格数据等各类需要标准化的数据统一用一套方法建立通用标识编码标准,形成“全信息链”数据库。在此基础上再构架一体化云应用平台,实现各种业务系统在该平台上的高效构建和集成。
2、核心数据规划
在智慧城市的建设中,应充分考虑核心数据的安全,避免数据丢失和被窃取,保证核心数据的安全。对于核心数据应该按机密、重要程度进行分类,采用分级的安全策略。对于机密程度和重要性都非常高的数据,可采用网络物理隔离、强密钥的身份验证机制、多重安全保障体系、及时可靠的容灾备份方案来保障数据安全。网络安全体系详细技术方案
2.1 网络安全体系技术方案
2.1.1 方案背景 2.1.1.1 政策背景
在国家信息安全政策方面,我国早在党的十六届四中全会就已经将信息安全作为国家安全的重要组成部分,提出了要“确保国家的政治安全、经济安全、文化安全和信息安全”的目标。2003年中发办《国家信息化领导小组关于加强信息安全保障工作的意见》提出要加强我国信息安全保障工作的总体要求和主要原则,现在已经成为了我国当前信息安全保障工作的纲领性文件。2004年起,公安部相继发布《关于信息安全等级保护工作的实施意见》、《信息安全等级保护管理办法》及《关于开展全国重要信息系统安全等级保护定级工作的通知》,旨在指导信息安全等级保护工作的开展。近几年随着我国信息化工作的进一步深化发展,“斯诺登”等信息安全事件的“表现”也加强了我国对信息安全保障工作的重视。2017年中央网络安全和信息化领导小组成立,中共中央总书记、国家主席、中央军委主席习近平任组长并主持工作,做出了“没有网络安全,就没有国家安全;没有信息化,就没有现代化”的重要讲话。以终端安全、主机安全、系统安全、数据安全及管理安全等为主要内容的信息系统安全等级保护制度在全国全面并强制的推广,覆盖了政府、企业等全行业的信息
安全领域。网络安全作为我国城市信息化的重要组成部分,自然要参照相关的信息安全政策。2.1.1.2 社会背景
智慧城市中移动互联网、物联网、云计算等新型应用领域和应用场景的不断涌现,对电子认证服务需求日趋多样化、个性化。在智慧城市建设中需要以用户为中心,围绕用户需求,加强技术研发,研究创新服务模式,提高服务质量,改善用户体验,提升服务便捷性和产品易用性,保护用户隐私和传输信息的安全性。因此,智慧城市建设在满足服务功能的基础上,需进一步提高信息安全基础设施服务,保证智慧城市服务功能的安全。2.1.2 发展现状
新型新型智慧城市是在城市化与信息化融合等背景下,围绕改善民生、增强企业竞争力、促进城市可持续发展等关注点,综合利用物联网、云计算等信息技术手段,结合城市现有信息化基础,融合先进的城市运营服务理念,建立广泛覆盖和深度互联的城市信息网络,对城市的资源、环境、基础设施、产业等多方面要素进行全面感知,并整合构建协同共享的城市信息平台,对信息进行智能处理利用,从而为城市运行和资源配置提供智能响应控制,为政府社会管理和公共服务提供智能决策依据及手段,为企业和个人提供智能信息资源及开放式信息应用平台的综合性区域信息化发展过程。
2.1.3 建设目标
从智慧城市业务系统信息安全保障、信息安全运营等方面入手,统筹规划智慧城市信息安全工作,保障智慧城市业务、民生和经济的协调和可持续发展。
1、我市智慧城市的建设需要符合国家等级保护和国家电子政务外网安全等级保护的基本要求,满足适度安全原则以及标准化、可控性、完备性和最小影响,数据分级保护的原则。
2、信息安全涉及到智慧城市的各个层面,单一的安全解决方案不能满足智慧城市的中信息安全的需要。只有通过构建统一的智慧城市信息安全保障体系,较为全面覆盖物理层风险、感知终端的风险、网络传输的风险、数据风险、应用风险以及管理运维的风险,才能够有效地保障智慧城市的信息安全。结合相关的规定及建设与运维智慧城市信息安全系统的经验,我市智慧城市信息安全保障体系建设将按照“一个中心、三个能力”原则进行“一个中心、三个体系”的规划建设,将根据我市智慧城市的各组成单元的特点,针对性的提供安全保障措施,同时对各组成单元共享的组成部分或者管控要素提供统一的安全手段,达到统一管控、节约投入、共享资源的目标,又考虑各业务模块的特点,满足个性化的安全保护需求,并通过采用系统的、量化的、有效的手段对信息安全管理现状进行测量和评价,从而发现
潜在的安全控制弱点,切实推动安全管理规范的落地,持续提升组织的信息安全管理水平。
3、我市智慧城市建设过程中应重点遵循分域保护原则:智慧城市应根据所承载的业务系统实际需要,将智慧城市数据中心网络划分为公用网络区、互联网访问区、安全接入区等不同的安全区域,实施不同的安全策略进行边界防护。在所管辖的网络边界范围内,管理好统一的互联网出入口、安全接入平台并做好各单位局域网接入边界的访问控制,及网络管理系统、安全管理系统等自身业务系统的安全保障。对不同安全等级网络的互联及各用户局域网的接入,应采取有效的边界访问控制策略,对非授权访问、异常流量、病毒木马、网络攻击等行为进行控制和监测,保证网络和业务的安全。
4、我市智慧城市建设过程中应加强智慧城市整体的安全防护能力,确保智慧城市的安全性、可靠性和一致性,保证所承载业务系统的畅通和安全以及数据和个人隐私的安全,要重点保护数据安全和个人隐私,围绕数据从采集、传输、存储、分发和访问等全生命周期进行有针对性的防护,要做好身份管理和权限访问控制。
5、我市智慧城市的建设过程中涉及到各类角色和职责如下:(1)智慧城市主管部门:智慧城市主管部门是智慧城市管理工作的负责单位,并对智慧城市建设管理单位的安全规范进行审核并提出相关意见。
(2)智慧城市建设主管单位:智慧城市建设主管单位是负责智慧城市安全建设的责任单位,负责智慧城市的建设和日常管理工作,负责监督、检查和指导智慧城市运营维护工作,并负责对接入的政府单位进行技术指导,制定各项安全管理制度,定期进行检查。
(3)智慧城市数据提供单位:我市智慧城市数据提供单位为各涉及智慧城市数据提供的委办局。各数据提供单位是各数据安全的责任单位。负责监督、检查和指导智慧城市数据分级、数据脱密和数据全生命周期管理(采集、处理、存储、分发、访问)工作。
(4)智慧城市运行维护单位:智慧城市运行维护单位由智慧城市建设主管单位指定,按照智慧城市建设管理单位的要求,具体负责智慧城市的运行维护工作,负责依照国家信息安全等级保护的管理规范和技术标准、政务外网相关技术要求,进行智慧城市的运行维护和安全保护的技术实施等具体工作。
(5)信息安全测评机构:第三方测评机构。根据智慧城市建设管理单位的委托,对智慧城市的安全进行测评。2.1.4 总体架构
信息安全保障体系围绕“一个中心,三大体系”进行建设,为智慧城市项目建设、运行维护和安全运营提供全方位安全保障。“一个中心”是指具备集中化、度量化、可视化的基于云计算技术、大数据分析技术与物联网技术等新兴技术的信息安全持续监控与安全事件
集中处理的可视化度量中心。“三大体系”指安全技术体系、安全管理体系、安全服务体系,如图所示。
2.1.5 建设内容 2.1.5.1 系统规划
从我市智慧城市业务系统信息安全保障、信息安全运营等方面入手,统筹规划我市智慧城市信息安全工作,保障我市智慧城市的业务、民生和经济的协调和可持续发展。
智慧城市的边界依据其管辖范围来确定管理边界。智慧城市的数据共享网络是一张逻辑上的网络,通常会连接智慧城市数据中心局域网络、政府部门专网、视频资源网、电子政务外网及互联网5个网络。
智慧城市数据中心局域网络与各政府部门专网之间,以智慧城市放在政府部门接入单位内的接入路由器为边界。智慧城市与电子政务外网之间,以智慧城市数据中心的边界接入路由器为边界。智慧城市数据中心与互联网或其他公众通信网络之间,以接入设备或者安全网关设备为边界。各部门托管在智慧城市云数据中心的业务系统,按照云计算服务安全指南的意见,由智慧城市运维单位与托管单位签订服务等级协议,明确双方安全责任。
信息安全保障体系围绕“一个中心,三大体系”进行建设,为智慧城市项目建设、运行维护和安全运营提供全方位安全保障。“一个中心”是指具备集中化、度量化、可视化的基于云计算技术、大数据分析技术与物联网技术等新兴技术的信息安全持续监控与安全事件集中处理的可视化度量中心。“三大体系”指安全技术体系、安全管理体系、安全服务体系。
本期项目服务的范围考虑整体项目涉及的所有的数据安全、网络安全等。网络安全体系主要建设六大中心及十大平台。
六大中心包括:
容灾恢复中心、监控应急中心、密钥管理中心、安全管理中心、安全评测中心。
十大平台包括:
安全域和网络访问控制平台,统一监控与审计平台,防病毒、补丁与终端管理平台,统一监控与审计平台,统一安全管理平台,统一认证与授权管理平台,数据备份与容灾平台,设备安全配置与加固平台,统一应用安全平台,安全运维管理平台。2.1.5.2 系统设计
1、信息安全面临的挑战
一般说来智慧城市的总体层次可分成物理层、感知层、网络层、平台层和应用层,对应的安全方面分别有物理层风险、感知终端的风险、网络传输的风险、平台及数据风险、应用风险以及管理运维的风险。
(1)物理层风险
物理层安全风险主要指物理基础设施的安全风险。但是,物理基础设施不仅仅限于机房、物理设备等范畴,在传统的信息安全领域,物理安全可分为人员的、物质的、自然的。在智慧城市中,物理层安全又体现出截然不同的特性。
1)移动化的终端
移动化是智慧城市最典型的特征,整个智慧城市由大量的、可移动的终端设备组成,例如智能终端、手机、平板等,这些设备不可能放到一个固定的机房中进行保护。因为移动化,它们自身的防护能力
较弱,很容易被不法分子偷窃和获得。同时,这些智能终端容易被病毒感染,尤其是各种伪装成应用的病毒,对智能终端有着极大的破坏性。更严重的是,智能终端都是通过无线接入,将整个传输通道暴露在机房之外,也失去了传统的机房对网线这种传输防护的手段了。
2)物联化的感知介质
智慧城市最常见的物联网基础设施就是各种感知器,如摄像头等。物联网首要特点是物联,即分布式的、分散的物联,因此它们的感知终端就是要散布在不同的地方。这些感知器自身的防护能力较弱,很容易被破坏或者控制,同时因为暴露在机房之外,受到攻击和物理、自然破坏的几率也大大增加。关键是,对这些破坏行为和攻击行为又很难有效地进行监控,这是智慧城市所面临的一个巨大的、普遍存在的风险。
3)云化的基础平台
智慧城市中云技术的发展使得基础设施安全有了一个巨大的变化,那就是传统的物理边界被模糊化了。所谓的模糊化,更多的理解为虚拟化、云化。由于云技术的普及,导致原本存在于物理机房的物理边界被模糊了。设备的接入和管理、温控等等都已经不再按照传统的物理边界来进行,而是变成了虚拟化的云平台。这个平台的物理安全已经不是用户来承担,更多的是由云服务运营商来承担,责任不同带来的安全防护和管理措施也会发生变化。除了要使用传统的方式对
数据中心进行防护外,还要考虑到云平台的逻辑安全隔离问题等等。这里面有着传统的安全没有考虑的新的安全问题,除了基础设施平台完全不同之外,还存在如数据安全、大数据的分析需求等。
4)复杂化的人员安全
物理安全有一个重要的组成就是人员的安全。这里的人员安全并不是指人员管理的安全,而是指人员的身体安全,如健康、生命安全等。智慧城市中人员安全存在着一定的复杂性,传统人员的安全保障可以在办公室、机房为操作人员提供健康、绿色的工作环境,免受物理伤害、辐射伤害等,在突发灾难发生时首先保障人身安全。但是,在智慧城市体系中,人员安全不仅仅是存在于办公室和机房了,还随着移动化的网络遍布整个城市网点,这就带来了人员安全的复杂性。如何规范智慧城市各种负责环境下的人员安全,给出合理的安全保障建议和管理手段,是一个巨大的安全挑战。
(2)感知层的风险
感知层与物理层紧密连接,同时又为智慧城市提供主要的感知数据来源。在当前的智慧城市体系中,感知层往往都是和物联网联系在一起的,因为物联网的技术本身就是智慧城市感知层的基础技术。
智慧城市感知层包括感知终端和感知网。其中,感知终端主要指个各种手持设备、FRID标签、传感器、智能监视设备、智能家电设备、GPS和遥感等。我们一般提及感知终端的安全,还包括与感知终
端相连接的网络部分,即感知网。感知网将某一类的感知终端汇聚在一起,并通过一个或者若干个节点与智慧城市的网络进行连接,上传各种数据或者获取必要的指令,因此我们可以把感知网当成是只有某一类感知终端存在的局域网。感知网中的对外节点一般可以称之为感知节点或者叫做感知网关。
在每一个局域性的感知网络中,除去之前所说的物理安全,如偷盗、物理破坏方面的风险外,还存在更多的复杂安全风险,主要表现在: 1)感知终端的脆弱性
当前,物联网的传感终端已经诞生了诸如智能卡、传感器、红外感应器、摄像头、GPS、北斗等多种感知终端设备,有的设备还具备一定的智能属性。但是,这些感知终端因为大都暴露在没有物理防护的外部环境下,给人为控制、入侵和仿造这些设备带来了一定的便利性。通过一定的技术手段就可以破解智能终端的防御机制,进而可以控制、屏蔽这些终端,甚至是伪造终端数据,带来显而易见的安全问题。这些年来,针对智能卡的破解和伪造、摄像头的入侵等事件就是典型代表,而感知终端技术的参差不齐也在一定程度上增大了终端安全的脆弱性。
2)感知网络的脆弱性
感知网络的传输大都是通过无线网络进行的,因此就存在针对无线网络传输的监听、干扰问题。这一类问题在传统的信息安全风险中屡见不鲜。一旦无线传输通道被监听,就有可能破坏系统数据的机密性;被干扰则会带来系统数据的可用性风险。而现状是,大部分的感知网络并没有使用防止监听的机制和协议,很多甚至都是明文传输。同时,感知网络的网关也容易被恶意人员控制。在物联网的体系中,感知网关一般都是带有IP地址的,相当于一台PC或者服务器。在信息安全领域有一个说法,这个世界上没有安全的服务器,只有被入侵或者即将被入侵的服务器。入侵一台设备的方法是很多的,利用弱点扫描并发起攻击是最常见的方式。至于“零日漏洞”的方法则具有更大的成功率。网关被控制,往往也意味着这个感知网络被控制,利用感知网关可以进行许多的高风险的有害行为,诸如伪造并发起大量数据的DDos攻击;屏蔽该网络使得感知网络失效;监听该网络获取敏感的数据等等。
3)管理的复杂性
物联网的快速发展使得感知技术也呈现出多样的格局。因为感知终端的形态大小、处理能力、存储方式和厂家技术的差异,使得感知技术缺乏统一的标准。众所周知的,多样性带来的最大风险就是管理风险。至今为止,尚未存在一个系统或者方法能够有效的管理、分类和监控所有的感知终端,只能是在某一类终端的某一个型号范围内进行局部的管理。但是,智慧城市就是各种不同感知终端的结合,单单
针对一类终端或者某一型号终端的管理,根本无法解决问题。很显然的,不能有效地管理终端,就带来了诸如信息的统一性、信息的共享、设备的定位和检测以及快速响应等一系列的问题。
4)感知信息的敏感性
智慧城市需要感知广泛而多样的数据,这是毋庸置疑的。但是,这并不意味着所有的数据都可以被感知,或者可以被共享出来。2017年著名的斯诺登事件就将这个风险暴露无遗。为了国家安全,美国的情报机构可直接进入众多的网络服务器中,获取到大量的个人数据从而便于国家的安全监控。众多著名的公司如苹果、思科等公司都卷入其中,事件持续发酵,进而影响扩散到了国际上,也促使很多国家和地区反思自己的安全保障。而智慧城市要做的事情有些类似,它需要收集各种智慧业务的基础数据,除了个人数据之外,还有涉及到国计民生的国家数据、公共数据。这些数据一方面面临是否可以被收集的合法性问题,另一方面也面临能够被共享的法律问题。目前这方面的法律条文还是一片空白。
(3)网络传输层的风险
智慧城市的网络结构一般都是由新一代的有线网络、移动网络、WIFI网络及卫星通讯网络组成。新一代网络通信技术的应用是智慧城市的典型特征,它实现了有线无线的一体化,将各类音、视、消息及数据信息统一的传输和管理,达到了无边界互联互通的效果。
1)更复杂的数据传输加密
在传输链路上对数据进行加密,是保障数据不被窃听和篡改的最有效手段。无论是在感知网络内的加密,还是网络传输层的加密,以及用户端到服务端的应用传输加密,都是基于这种思路而实施的。但是感知层的技术标准不统一,加密协议也是多种多样,有的感知器与节点之间甚至根本就没有采用加密手段,这造成了巨大的泄密隐患。而在网络传输层和应用层,广泛使用的使用SSL VPN使得这里的数据传输保密性要好很多。
2)更广泛化存在的通讯协议漏洞
智慧城市的网络结构中包含了有线网络、移动网络、WIFI网络及卫星通讯网络,每一种网络都有自己的网络通信和传输协议。在传统的有线网络传输中就已经暴露出了通讯协议的漏洞问题,诸如OpenSSL“心脏出血”漏洞等。网络通信协议本身的不健全是一个巨大而难以避免的安全隐患,智慧城市的这个隐患尤其突出。智慧城市所采用的3G尤其是4G通讯技术,GPS、北斗等卫星定位网络,以及红外传输、蓝牙传输、WIFI等短距离的传输协议中,都隐藏着因为协议缺陷而存在的风险隐患。如:目前WLAN安全机制存在天然缺陷,造成IP的盗用和滥用;LTE安全机制仍有未解决问题,造成用户身份和数据的泄露;目前几乎所有的移动终端上使用的OMA-DM协议存在漏洞,可能导致被黑客安装恶意程序或存取机密信息等等。在这种
情况下,信息安全的“短板理论”就极为突出了。广泛存在的协议漏洞极易造成通信网络的信息安全风险,一旦某个协议再度爆发漏洞和缺陷,由于互联互通的效果,使得整个网络中原本不存在协议漏洞的网络也会被波及,进而影响到整个智慧城市的网络通信安全。
3)更大规模的攻击行为
智慧城市有一个特点就是数据量巨大,这也催生了大数据分析这个需求。而对于网络传输层来说,也意味着要具备更大的带宽才能够支撑这种规模的数据传输,但这也为网络入侵和攻击行为提供了温床土壤。与此同时,这几年来越发流行的APT攻击行为在智慧城市中也是极为常见。APT攻击具有极强的隐蔽性,且潜伏期长、持续性和目标性强等特点。这种新型攻击主要针对重要的基础设施和单位进行,包括城市公共业务、电力、金融、国防等关系到国计民生或者国家核心利益的网络基础设施。由于智慧城市融合大量城市重要资源,非常容易成为这些攻击者的目标。加之智慧城市天然的网络优势,更容易滋生这种高可持续性的攻击行为。
4)更差异化的网络认证
网络传输中的认证机制一直都是网络传输安全的重点,智慧城市的网络传输也不例外。网络中需要认证的对象主要是接入终端、用户、系统及应用等,这些认证大都和不同的智慧业务关联在一起,也就是说,每一种业务都必须有一种特殊的认证方式。当前,智慧城市大都
是采用云资源平台的方式汇聚各类服务业务,云平台本身对租户也需要另外一层的用户认证,它的优先级甚至在业务认证之前。因此,对于云平台中的用户认证,除了第一层的租户认证之外,还需要根据不同的租户业务提供不同的认证及访问控制方式,也就是差异化的认证服务。这需要智慧城市的云平台认证体系能够在认证网关、3A平台、自助服务等系统中支持类似的认证方式。但是,云平台的运营商本身可能在自身的平台运行机制上存在漏洞,从而产生新的安全风险,这是一个比较现实的问题。而且一旦出现漏洞,影响的就不是单个业务系统,而是运行在整个云平台上的多个业务系统。
(4)平台层风险
在智慧城市体系中,平台层是各类业务系统的承载,它的核心一般是基于共享数据库的城市管理中心平台,它基于云计算技术和中间件技术,对城市收集到的数据进行存储、处理和转发,通过分布式计算和虚拟化技术满足智慧城市未来更加丰富应用的需求。按照基础功能来划分,构成智慧城市中的平台主要可分为虚拟化的云平台以及汇聚在云平台上的数据。虚拟化云平台为公共信息平台提供硬件资源管理服务,是城市运营中心的基础设施,其上可进一步承载众多的智慧业务系统。而云平台上的数据是实现城市不同部门异构系统间的资源共享和业务协同的基础。这两者在智慧城市中又具有完全不同的风险特性。其风险分别如下:
1)云平台风险
智慧城市平台最典型的一个特色就是云化。云化的平台以虚拟化技术为基础,包含了云计算、云存储等云服务功能。它的信息安全与传统的信息安全领域截然不同,属于新技术发展背景下的新兴安全领域。在云平台中,传统的网络安全、主机安全、数据安全依旧存在并呈现出新的特点,同时还存在诸如虚拟器的安全、租户模式带来的风险等。
2)基础软件的漏洞
云平台的基础主要是虚拟机软件。因此,云平台的安全问题,首先必须要考虑到虚拟机系统的健壮性。作为一个应用软件,它本身所存在的安全隐患一直为人所讨论。由于虚拟机是运行在硬件的宿主机之上的,因此宿主机可对虚拟机的运行情况进行检测,甚至是做出一些改变,比如启动、关闭、停止、重启虚拟机软件;监控虚拟机的资源使用情况,包括CPU、内存、硬盘等;可以改变虚拟机的资源配置,包括CPU数量、内存大小、磁盘的大小及网络接口;甚至监控到虚拟机内运行的应用程序,进而了解到虚拟机内部运行的客户业务;反过来,运行在虚拟机里的程序,可能利用一些设置或者底层的技术来访问宿主机,进而造成更大的安全隐患。比如VMWare 虚拟机可以通过设置共享文件夹的方式,把宿主机上的文件夹或驱动器映射成虚拟机 的一个磁盘,这样就可以让虚拟机与宿主机实现数据互访,结果导致严重的泄密问题,给病毒传播提供了便利。
3)传统防护手段的失效
尽管通过虚拟化技术将单个的物理服务器虚拟化成多个虚拟的服务器,但云平台中网络元素没有改变,依旧存在需要防护的系统、应用及用户等,也需要利用防火墙等传统安全技术进行区域划分和隔离,需要控制网络边界的访问,执行用户接入的认证以及行为审计等。但是,虚拟的服务器构成的网络,尤其是虚拟服务器之间的交互,有一部分是绕开了外部防火墙、路由器、交换机等网络设备,自然也就绕开了这一类的安全控制和审计,从而带来一定的不受控制的风险。这样,传统的安全防护手段就要在部署或者技术实现方式上做出改变了。
4)云服务带来安全责任主体的变化
云平台的安全责任主体有了很大的不同。负责云平台安全的主体已经不是传统的用户,而是云服务提供商。云服务提供商需要考虑如何构建一个安全的云平台环境,保障云数据中心、云网络和数据的健全,从而给云用户提供足以支撑业务要求的安全环境。云服务在市场上流行的模式有三种,分别是IaaS(基础设施即服务)、PaaS(平台既服务)以及SaaS(软件即服务)。其中SaaS模式下的用户信息安全基本依靠云服务商,IaaS和PaaS模式下用户还能够进行一定的安全管
理。但是,云平台服务商毕竟不是用户,他对云用户的业务并不关心或者并不精通,因此只能提供普适性的整体安全防护,如统一的边界防护、身份认证和身份管理等等,并不能提供差异化的、针对用户业务的权限管理、部署特定的安全手段等,这需要用户和运营商进行协调处置,目前还没有统一的标准。更严重的是,原本由用户掌握的资源,因为安全责任主体的变化,使得云平台服务商可以掌握用户的数据,云服务商就有了对数据访问权限。服务商内部存在的有意或者无意的泄露行为都可能对用户的信息安全造成严重的威胁。比如,将用户的数据私自拷贝、占有甚至商业出售;监控用户的业务趋势,进行统计性的分析从而获取极有价值的商业情报等。对于这些风险,用户没有丝毫的技术防护手段,租户的数据泄露风险自然也是极为严重。
5)多租户的安全隐患
云平台中的租户是多租户,每一个租户都是云平台的一个“房客”,花钱购买一个空间的“租住”权利。租户除了要承担上文所说的租户数据泄露风险外,还面临租户之间可能的信息泄露问题。比如,内部的虚拟机之间的交互不通过外部交换机,走的是云网络,自然就无从判断访问的合法性问题。那么内部租户之间的通信如何管理和审计,如果一个租户进行非法的入侵和攻击行为,就没有相应的手段进行防护了,它在自己的虚拟环境上开启一个漏扫系统,就可能发现整个平台中其他虚拟机的漏洞进而进行利用,造成了严重的影响。
(5)数据风险 1)数据集中与风险集中
云平台带来的一个现象就是数据集中。数据集中固然有很多的共享、分析、访问的优势,但是也同样的带来了风险的集中。云平台中汇聚了大量的主机、网络设备、应用及相关的数据,并且可访问的方式也变的多样,存在诸如有线网络、移动网络、WIFI及卫星网络等多种方式,可以被DDos等攻击手段利用的渠道也是十分丰富,DDos的威力也是大大增强,这在客观上容易引起攻击目标的焦点汇聚,造成了风险的提升。而且,被攻破后其可能的风险严重级别远不是以前传统网络模式可比。这即是云平台数据的安全特性,也是整个智慧城市的安全特性。同时,集中化的数据使得数据的可用性、完整性的需求尤其突出,对灾备系统的要求也更加严格。毕竟牵一发而动全身,数据恢复机制一旦有了问题,影响的不是一两个服务,而是整个云平台的所有服务。
2)剩余数据风险
在云平台中,除了租户之间访问风险,云服务上主动泄密风险外,云服务的提供商对租户的管理也存在安全隐患。当用户撤销和终止服务的时候,云服务商是否将用户的数据进行了清理和删除,能否保障有效的删除而不被恢复,是否直接将原租户的空间派发给了下一个租
户,使得下一个租户“意外”地继承了上一个租户的数据?时至今日,这些风险都缺乏关键的技术手段来支撑。
3)大数据与hadoop 云平台下的数据是海量的。海量的数据有两个重大的影响,就是存储和分析。海量数据的存储与传统的数据存储不同,因为采用了hadoop的技术,它是分布式存储的,对数据灾备提出了新的要求,即数据备份方式也必须是能够满足分布式的网络结构。同时,海量数据的访问、分析和计算是智慧城市的关键技术之一。目前,hadoop是大数据分析的主要工具,但是hadoop集群环境中存在大量的分布式节点,针对这些节点的有效防护有别于传统的安全防护手段。传统的安全防护都是针对一个物理设备或特定网络的,而分布式网络环境必然要求分布式防护手段,但是针对每一个节点进行防护又会在无形中增加信息安全的建设成本。要知道,成本和可用性的冲突是信息安全永恒的话题。再者,hadoop当初诞生的主要目的还是对大量的非结构化数据的存取访问,并没有针对安全进行制定完善的协议,比如缺乏节点之间的加密机制等。这个风险目前在智慧城市中还不明显,但却是一个不容忽视的隐患。
4)数据加密
对存储数据进行加密及对数据使用进行审计,这已经是业内针对数据保密的共识之一,大数据也不例外。传输过程中的加密仅仅是防
窃听和篡改,但是云中存储的数据才是安全防护的重点。在传统的防护体系中,加密的数据是在自家的服务器和数据中心中,被盗取的风险很低(如果物理安全手段和网络安全手段奏效的话),但是在云时代,加密的数据是存放在云服务提供商的云平台中。加密机制是用户自己定义还是使用云服务提供商的固有机制是一个难题,因为这会影响到密钥和加密算法的安全管理。
5)综合关联审计
在数据审计方面,除了数据量巨大增强了数据审计的难度之外,大量的非结构化数据及智慧城市下汇聚的多样的数据类型,都对审计技术和人员提出了更高的要求。当前针对数据审计有一个新的趋势,那就是多维度的关联分析,无论是针对各类合规法案还是APT攻击的深度挖掘,都要求审计系统能够演化出新的模型,能够在海量数据及大数据的环境下综合分析和关联形式多样的数据,准确的定位审计目标。
(6)业务及应用风险
平台层之上的应用层实现各种智慧应用,如电子政务、平安城市、智能交通、应急指挥等。各种智慧应用的主要目的是方便、快捷地为市民服务,构建服务型新型网络体系。它是智慧城市与用户、市民直接接触的层次,主要由大量的系统和应用组成,这些应用在实现、设计、使用的过程中不可避免的会面临各种安全风险,尤其是移动化将
系统从传统的“PC-服务器”模式扩展到“移动终端-服务器-PC”模式之后,应用风险变得尤其复杂。
1)设计风险
在传统安全领域,应用系统在设计、开发的过程中会存在脆弱性,这是公认存在的。比如,因为编码规范问题导致的应用缺陷;采用的编程语言因为固有逻辑带来的反编译风险;流程逻辑的脆弱性;编程人员故意留下的程序后门等。在智慧城市中这些风险非但不会消失,反而会因为各种智慧业务的增多而随之增多。尤其是在移动应用大规模的普及和使用之后,这种风险迅速的扩散到了全智慧城市的各个角落,跨域个人、企业、政府的所有领域。移动APP的开发不存在技术门槛,更加便利也更加不规范,更容易被二次打包带来更大的风险。智慧城市的“互联”优势使得这种设计风险的扩散也更加便利。
2)认证风险
智慧城市把众多应用系统整合在一起,各系统之间需要相互协作、互通和共享数据,这也是智慧城市体系的特性之一。在这种背景下,用户与应用、应用与应用之间就存在所谓的认证和身份鉴别需求。判断用户是否具备访问应用的权限及多个应用之间是否具备数据互访的资格等问题,在智慧城市的体系下更加的突出。传统的认证方法需要根据智慧城市的特点来调整,即需要实现网络认证和应用认证的统一,也需要梳理明确智慧业务和应用本身的访问权限范畴。而在现在34 的市场上,智慧城市也属于一种新型的业务模型,对于智慧业务的权限范畴至今没有统一的标准可以参照,只能根据城市的实际需求和建设方的经验能力来不断摸索。
3)可用性风险
当前,各类智慧业务和应用普遍采用了诸如人工智能、智能学习、智能识别等新型分析技术,借助于4G等新型网络和Web技术实现了便捷的访问和运转。这要求智慧业务的后台能够支撑复杂的分析算法,具备较强的分析计算能力,并且还需要快速有效的响应来自于网络上的请求。越是如此,智慧业务越容易被诸如DDos攻击和APT攻击干扰,影响系统的稳定运行。而大量的运行在Web上的应用就更容易被攻击了,诸如SQL诸如、跨站脚本攻击等日渐火热的爆发现状也在一定程度上说明了这一点。
(7)管理及运维风险
安全管理和安全运维一直都是信息安全领域的核心地带。“三分技术,七分管理”,有效的管理和运维所带来的安全效益甚至比技术手段更显著。在传统的信息安全中,信息安全管理存在众多的国际和国内的相关标准,比如国际上的ISO27001管理体系,国内的信息系统安全等级保护等。这些标准为信息安全管理提供了指导和依据,当前政府、企业各行业的信息安全工作的开展大都依次而行。传统的信息安全管理大都在安全制度、安全机构、人员安全及安全运行方面做
出了明确的要求,按照时间的维度上,它大体可分为两大类。第一类是管理类,就是在一个信息系统的规划、建设、运行过程中,为了使得各种安全技术手段有效的运转,发挥更大的作用,需要施加各种安全管理的措施,诸如制度、规章、工作方法、安全意识培训和考核等,保障其安全体系的有效运作。另一类是运维类,是系统在建立之后,如何主动和被动的针对安全风险做出有效的预防和处理的工作。以安全技术手段为基础,管理和运维相结合,是当今信息安全保障领域的主流思想。在智慧城市中,安全管理和安全运维是一个崭新的领域,具体体现在:
1)法规的缺失
管理都必须是有法可依。但是截至目前为止,还没有一种标准来规范智慧城市下的安全管理和运维应该如何进行。因为智慧城市的产业市场本身还处于刚起步、不断摸索和完善的阶段,政府和行业都没有形成一致性的认知,甚至各类基础性的技术标准远未达到统一,信息安全管理自然也不可能先于这些智慧城市的基础建筑而先行固化。不仅仅是技术方面的法规,还有法律方面的缺失。前文我们在感知层风险中分析了感知信息的敏感性。这个敏感性既可以指个人信息,也可以指企业信息和政府信息。在智慧城市中,缺乏足够的法律来规定,哪些个人信息可以公开或者在智慧城市的网络中流转,哪些企业或者政府的信息可以公开发布或者不能公开共享。2017年3月25日晚19时,浙江杭州市政府向公众发布,自3月26日零时起,杭州将正式
实施无偿摇号与有偿竞价相结合的限牌措施。突如其来的官方消息,让此前沸沸扬扬的“限牌”传言板上钉钉。而在25日下午,在杭州市政府发布限牌令之前,一份与当天发布会材料如出一辙的“新闻通稿”就已经在网络流传,引发了公众对政府消息被泄的质疑。在智慧城市的环境下,诸如“杭州限牌”事件一定不会是个例,需要明确的法律条文来进行约束和限制。个人信息、企业信息和政府信息都需要得到足够的保护,否则会危机智慧城市的信任体系。
2)管理目标复杂
智慧城市将企业、政府、市民统一收纳在内,这是它的使用者,也是智慧城市的服务对象;将云计算技术、无线通信技术、卫星定位技术、物联网技术等新兴技术集于一身,这是它的实现者 ;将智慧交通、智慧医疗、智慧教育等各类智慧业务包含在内,这是它具体业务的承载者。人、技术、业务运行这三要素,正是信息安全管理中的三个重点目标。美国国家安全局所推出的信息安全保障技术框架(IATF)中,就认为信息安全保障中需要做好深度防御,也就是要将人、技术、运行三个层面控制好。智慧城市下的管理目标和内容,比之前任何一类的系统、部门都要复杂的多。传统上企业的安全针对外部的黑客进行防御,对内部的员工进行规范。但是在智慧城市中,就需要规范全城市的市民,防御全网络的黑客了。这种“全城参与”的模式前所未有,在管理上自然也不可能简而化之。单说一个人员方面,不同的人员肯定具备不同的安全素养和知识能力,智慧城市理论上将
全城市的市民包含在内,若是安全管理的手段也要落实到每个市民身上,这个工作量没有任何人和组织能够承担得起。
3)责任部门不明确
没有管理的法规制度,加上管理目标复杂,也使得到目前为止的智慧城市,还没有明确统一的责任单位。谁来负责智慧城市的信息安全管理?以前的企业和政府一般都会有一个类似信息中心、信息处的部门负责信息安全,处理管理、运维及应急响应的工作。但是在智慧城市的体系中,业务系统的关联方太多,一个智慧业务就能将人与企业、人与政府、企业与企业、企业与政府串联起来,这个时候靠一个信息中心或者信息处来管理整个智慧城市的信息安全显然就无以为继了。首先是管不住,其次出了问题也指挥不了。因此,一个拥有较强的管理能力和管理权限的专业安全组织是必不可少的。
4)运维经验匮乏
智慧城市既然是一个新兴的事物,必然没有现成的例子作为参考。安全运维有一个有名的模型是PDCA,就是“计划-执行-检查-改进”这个戴明环,它的灵魂思想是通过不断的实践找到一个切实有效的运维模式,一环套一环从而构成信息安全管理体系和运维体系的核心。很显然,这个思想在现阶段的成效就很难体现了。这种匮乏具体可体现在安全规划、安全评估、应急响应等经验的匮乏上。
5)安全管理体系的变化
传统安全领域,一般都参考ISO/IEC 27001信息安全管理体系对信息安全管理给出建议,供负责在其组织启动、实施或维护安全的人员使用。网络安全行业内,业内人士对ISO27001认证趋之若鹜,这其中有两个关键性的驱动因素:一是日益严峻的信息安全威胁,二是它的确具备了建设信息安全管理体系的权威指导性。在2013版本的ISO27001:2013中详细规定了在组织中建立、实施、维护和持续改进信息安全管理系统的具体要求,并相对于2005版进行了极大的改动,2013版对企业的信息资产管理、风险管控、业务连续性、产品合规性、开发流程等制定了更严格的要求。纵观它所涉及到的14个领域113个控制项,几乎每一项都会因为智慧城市的环境而有着巨大的不同。如何根据最新的管理指导建设智慧城市的安全管理体系,是摆在所有智慧城市规划者和建设者面前的一个巨大挑战。ISO/IEC 27001信息安全管理体系能否有效的指导智慧城市的安全管理体系的建设和运转,也是一个现实的问题。
(8)信息安全体系设计
整个安全框架分为三部分,包括安全管理、安全技术和安全运行,三者既有机结合,又相互支撑,它们之间的关系是“安全组织与人员遵循安全管理制度,利用安全技术进行操作来保障安全运行”。
等级保护基本要求把整体的信息安全分为技术和管理两个领域,其中管理领域对应到本安全框架的管理和运作两个部分。等保基本要
求中技术领域包括了物理、网络、系统、应用、数据五个层面,对应本研究体系中:计算环境安全、区域边界安全、通信网络安全、安全管理中心和物理安全。
(9)安全管理 1)制定安全方针
形成智慧城市最高层次的安全方针文件,阐明安全工作的使命和意愿,定义信息安全的总体目标,规定信息安全责任和职责,建立信息安全工作运行模式。
2)设计安全管理策略
形成智慧城市高层次的安全策略文件,说明安全工作的主要策略,包括安全组织、业务系统分级策略、数据信息分级策略、安全域互连策略、信息流控制策略等。在安全方针的指导下,设计智慧城市完整的安全策略与制度体系,包括确定智慧城市信息安全的组织和安全管理职责,制定内部与外部人员安全管理策略与制度,制定机房及办公区等物理环境的安全管理策略与制度,制定智慧城市介质、设备等的安全管理策略与制度,制定智慧城市运行安全管理策略与制度,制定智慧城市安全事件处置和应急管理策略与制度。将上述各个方面的安全管理策略进行整理、汇总,形成信息系统的整体安全管理策略与制度体系。
(10)安全运行机制
结合安全管理策略制度体系,建立起整体安全运行机制,包括: 1)根据系统建设安全相关的管理制度,明确系统定级备案、方案设计、产品采购使用、软件开发、工程实施、验收交付、等级测评、安全服务等内容的相关规程与流程,明确组织、人员的角色、具体管理内容和控制方法。
2)明确环境(包括主机房、辅机房、办公环境等)安全管理的相关规程与流程,明确相关组织、人员的角色、具体管理内容和控制方法。加强对人员出入、来访人员的控制,对有关物理访问、物品进出和环境安全等方面作出规定。对重要区域设置门禁、保安等控制措施。明确资产(包括介质、设备、设施、数据和信息等)安全管理的责任部门或责任人,对资产进行分类、标识,编制与信息系统相关的软件资产、硬件资产等资产清单等。
3)明确配套设施、软硬件设备管理、维护的责任部门或责任人,对信息系统的各种软硬件设备采购、发放、领用、维护和维修等过程进行控制,对介质的存放、使用、维护和销毁等方面作出规定,加强对涉外维修、敏感数据销毁等过程的监督控制等。
4)明确网络、系统日常运行维护的责任部门或责任人,对运行管理中的日常操作、账号管理、安全配置、日志管理、补丁升级、口令更新等过程进行控制和管理,制订相应的管理规定和操作规程并落实执行等。
5)按照统一的安全策略、安全管理要求,统一管理数据的安全,进行安全机制的配置与管理,对设备安全配置、恶意代码、补丁升级、安全审计等进行管理,对与安全有关的信息进行汇集与分析,对安全机制进行集中管理等。
6)要识别需要定期备份的重要业务信息、系统数据及软件系统等,制定数据的备份策略和恢复策略,建立备份与恢复管理相关的安全管理制度。
7)确定风险偏好,明确风险管理的规程、流程和角色。定期进行风险评估,并根据制定相应风险处置计划。
8)对智慧城市数据中心安全状态实时监测,实现对物理环境、通信线路、主机、网络设备、用户行为和业务应用等的监测和报警,及时发现设备故障、病毒入侵、黑客攻击、误用和误操作等安全事件,以便及时对安全事件进行响应与处置。
9)按照国家有关标准规定,确定信息安全事件的等级,再结合信息系统安全保护等级,制定信息安全事件分级应急处置预案,明确应急处置策略,落实应急指挥部门、执行部门和技术支撑部门,建立应急协调机制,落实安全事件报告制度等。
10)建立岗位和人员管理制度,根据职责分工,分别设置安全管理机构和岗位,明确每个岗位的职责与任务,落实安全管理责任制。
建立安全教育和培训制度,对信息系统运维人员、管理人员、使用人员等定期进行培训和考核,提高相关人员的安全意识和操作水平等。
(11)安全技术
安全体系中的安全技术包括:网络安全、计算环境安全、安全管理中心和物理安全。
1)网络安全
对智慧城市数据中心进行安全区域划分,各区域边界进行安全隔离和防护。
互联网出入口安全防护区是智慧城市接入互联网的网络区域,互联网出口应部署防火墙、IPS、防DDoS攻击设备及流量控制设备等,或具有上述功能的综合网关类设备,保证自身业务和全网的安全。
安全接入平台区:通过IPSec VPN、3A认证、数字证书、VPDN等技术手段,将移动PC终端或各类智能移动终端通过3G网络或互联网等公众网络安全接入智慧城市公用网络区。平台应具有对各类移动智能终端的实时管理等安全保障功能,通过终端身份认证、加密传输等安全手段将移动终端接入到相应的应用系统,保证数据和应用系统的使用安全。
网络管理区:根据网络业务及安全自身的需要,将网络管理系统、安全管理系统、电子认证服务等信息系统部署在管理区,并设置与之
相适应的访问控制策略。应建立安全管理系统(SOC),对安全防护设备的日志进行采集和综合关联分析,提出安全整改建议。对于安全事件和网络攻击等应能实时告警,有条件的相关设备应能联动,防止网络攻击等事件的进一步扩大,积极有效的保护政务外网的安全。
公用网络区:智慧城市的大数据共享和交换平台、中间件能力平台等各业务平台部署在公用网络区,收集的数据集中在这里进行处理,需要保证数据的全生命周期安全。此外,该区域还提供智慧城市的公共网络服务,包括门户网站、DNS服务等。要求互联网用户不能直接访问这个区域的数据和信息系统。
区域边界的安全主要包括边界访问控制、边界入侵与恶意代码防范、网络设备防护等方面。
边界访问控制:对于各类边界最基本的安全需求就是访问控制,对进出安全区域边界的数据信息进行控制,阻止非授权及越权访问。
边界入侵防范:主动阻断针对信息系统的各种攻击,如病毒、木马、间谍软件、可疑代码、端口扫描等,实现对网络层以及业务系统的安全防护。
边界恶意代码防范:在网络边界防范恶意代码的威胁,如蠕虫、木马以及携带有恶意代码的邮件等。
网络域间互联要求包括数据中心与接入局域网的互联要求、数据中心与互联网的互联要求以及与3G等公众网络互联要求。
2)计算环境安全 身份认证与访问控制
建设一个统一的用户身份管理系统供各应用系统使用,实现一次身份认证,访问所有集成的应用系统。账号数据统一保存、集中管理。
建设统一认证系统,实现网络准入、身份认证、用户授权、单点令牌等管理维护。针对智能设备、传统PC端,统一认证接入、统一策略管理、统一平台维护。
虚拟化及系统安全
对虚拟主机和宿主机都进行一次性的安全加固,主要解决系统漏洞及配置脆弱性问题。部署主机防病毒系统,检测系统病毒;部署漏扫系统或者工具,周期性检测安全漏洞;部署堡垒机系统,用于管理运维人员对主机的访问和审计。
部署虚拟化管理平台,对虚拟机资源的分配、使用、收回进行管理,同时可发现非法的虚拟机系统接入,在多个方面保障虚拟化的安全性。
——虚拟平台安全保障:Hypervisor的代码采取安全保护措施,以降低Hypervisor本身受攻击的可能性;虚拟平台内置动态安全防火墙,确保系统在虚拟化平台上迁移时,安全策略能够动态迁移;具有Infrastructure Services的动态安全保障能力,支持安全策略自
动适应网络重新配置或升级。系统可以给不同的用户设置不同的操作权限,从而让不同的用户拥有不同的操作员身份和不同的权力,对资源运营管理系统进行相应的操作和维护。控制节点支持高可靠性的HA,可以避免控制节点的单点故障。
——虚拟资源安全管理与监控告警:对虚拟机的创建、运行、删除、迁移等行为进行管理,保障该过程操作的安全合法性,尤其是保障租户资源在删除和重新利用的安全性上。提供用户资源监控功能,实时查看资源的监控信息。系统可以按照资源类型、业务系统等维度对资源监控信息进行展示,也可以通过图表、统计报表等形式对资源监控信息进行展示。
——虚拟机安全保障:系统支持对虚拟机的隔离,保证多个虚拟机同时运行,并且虚拟机之间互不影响。当一台虚拟机发生故障时,不会影响其他的虚拟机运行,继续稳定的对外提供服务;支持虚拟机热迁移,迁移期间保证虚拟机上业务的连续性。支持虚拟机看门狗功能,通过看门狗检测到虚拟机操作系统调度不正常时可以对虚拟机进行复位,使虚拟机尽快恢复正常。支持在检测的虚拟机异常时虚拟机进行复位,使虚拟机尽快恢复正常。控制节点支持集群,在控制节点出现单点故障时能够及时切换,减少系统中断时间。具备虚拟机快照功能,可以捕获虚拟机某一状况下的整体情况(包括内存状况、设置状况和磁盘状况),支持磁盘快照和内存快照。系统崩溃或系统异常,可以通过使用恢复到快照来保持磁盘文件系统和系统存储。能够
对虚拟机进行文件级和卷级的统一备份(全备份或增量备份),且能与第三方备份软件无缝兼容,保障数据可用性;当虚拟机发生故障后,在同一台主机上重启该虚拟机。如果故障虚拟机在同一主机上重启失败后,将在其它主机上重启。系统对集群中主机运行状态进行实时监控,当监控到集群中的主机发生故障时,将该主机上的虚拟机按迁移策略在集群的其它主机上重启,以减少业务损失。在虚拟系统恢复快照操作中,通过完整性校验机制来保证快照功能的正确性。
——网络可用性保障。支持在物理端口故障时,下联的虚拟交换机可自动识别并进行多路径自动切换;支持网口的检测和网口bond功能,提高网络的可靠性;在虚拟网络底层使用OVS时,虚拟网络对应的物理网络支持冗余配置。如果一个网口出现异常,能够自动检测到该异常,并进行物理网口的倒换,从而保证虚拟机网络的高可用性,虚拟机感知不到下层物理网络的故障。
—— 数据安全保障
a.虚拟化平台将数据库数据存储于髙可用的磁阵上,对于数据存储盘,在磁阵上做RAID 1。同时需要对数据做镜像备份或做快照。通过磁阵自有可靠特性保证数据库数据的安全。
b.定时对数据库做备份,保留一定量的数据副本,支持数据副本存储于磁阵。如果有条件,支持将数据备份到另外的磁阵上,实现双磁阵备份。定时备份时间可以灵活设置,比如如果有条件,可以将
第三篇:智慧产业新城助推新型城镇化建设
北科建集团:智慧新城助推新型城镇化建设
作为中关村软件园、中关村生命科学园等知名项目的缔造者,北京科技园建设集团(简称北科建)科技地产的理念和模式早已为业内所熟悉。随着新型城镇化的到来,北科建的商业模式和战略也发生重大的变化。
在以往的政府园区投资职能过程中,北科建着重于园区的策划、产业定位、土地开发、产业招商以及企业孵化等方面。“在新型城镇化下,大家都在探索城镇化实施的路径,”北科建集团总经理郭莹辉说:“产业园区的开发与运营是新型城镇化的一种重要支撑力量。”
北科建集团正在以产城融合的科技地产模式,按照智慧产业新城的架构在全国多地布局。在国家新型城镇化加速推动和智慧城市迅速发展的背景下,北科建集团按照科技地产产城融合的理念,正在构建科技新城的升级产品—智慧产业新城,将产业功能与城市功能进行融合和完善,助推新型城镇化建设。
目前,北科建集团已经与IBM签署了合作协议。一方面,在北科建现有的科技地产项目的后续开发中,将增加智慧园区的相关功能;另一方面,北科建与IB M将共同策划和开发北科建新获取的智慧产业新城项目;同时,IBM将发挥资源优势、技术优势和管理优势,为北科建集团推荐的入园企业提供创业辅导、技术辅导、企业融资和企业高管到IBM总部实训等服务,以帮助入园企业快速成长。
郭莹辉表示:“国家的科技园区已经发生了大的逆转,从原来的产业园区逐步向产业新城升级。我们提出的智慧产业新城拥有非常大的空间,而且产业也不是某一特定的高新技术产业,我们内部把它的特征定义为多元产业集聚融合。”
郭莹辉用三句话来概括园区升级的核心理念:多元产业聚集融合、公共资源均衡配置、社会管理智能高效。相比科技园区和科技新城,智慧产业新城规模将更大,不再是单一产业聚集功能,而是多元产业聚集融合、共同发展,并配备相应的教育、医疗等城市配套功能,为入驻企业提供给更加完善的生活性服务和生产性服务,加速企业发展,降低创新成本;同时在园区管理方面,更多从城市的角度出发,通过智慧城市的手段,实现园区管理水平和服务质量提升。
第四篇:盐城智慧城建设大数据产业发展
盐城市智慧城市建设(大数据产业发展)
专项资金管理办法
第一章
总
则
第一条
为进一步加快城南大数据产业发展,市财政设立智慧城市建设(大数据产业发展)专项资金,对城南创建国家级大数据产业基地给予支持和引导。进一步规范财政专项资金管理,严格资金申报、拨付、使用、监管流程,切实提高财政专项资金使用绩效,根据《盐城市市级财政专项资金管理办法》(盐政发〔2013〕245号)等有关规定,制定本办法。
第二条
本办法适用于管理和使用专项资金的财政部门、业务主管部门、项目实施单位。
第二章
预算及使用管理
第三条
本办法所称专项资金,是指财政预算安排的智慧城市建设(大数据产业发展)专项资金,专项用于培育发展大数据产业,支持城南创建国家级大数据产业基地。本专项资金管理办法的执行期为2017年-2020年。到时确需延期的,应当在执行期届满的当年9月底前,按规定程序重新申请设立。
第四条
专项资金在执行期间需要变更使用范围或者资金规模的,应由市经信委提出正式申请,由市级财政部门审核后报市政府审批。
第五条
专项资金纳入预算管理。市财政局年初会同市经信委根据市委、市政府支持智慧城市建设和大数据产业发展要求编制全年专项资金预算。
第六条
市经信委会同市财政局编制专项资金使用计划,按《盐城市市级财政专项资金管理办法》的规定程序报市政府审批。经市政府批准后,联合发文下达。
第七条 专项资金使用单位应当实行专项核算,严格执行专项资金支出预算,按批准的项目计划内容组织实施。
第八条 专项资金扶持项目在执行过程中因特殊原因需要变更时,需报市经信委和市财政局同意。对因故撤销的项目,项目企业或单位认真做出经费决算逐级报市经信委和市财政局核批,剩余资金如数退回市财政。
第九条 专项资金按规定形成国有资产的,应当及时办理决算验收,进行产权、财产物资移交,办理登记入账手续,并按规定纳入国有资产管理。
第十条 专项资金应及早安排使用,提高资金使用效率。第十一条
市财政局根据专项资金分配方案,按照财政国库管理制度规定下达、拨付专项资金。
区财政局收到资金(或指标文件)后,应当在1个月内将资金拨付至项目单位。按有关规定应根据项目实施进度拨付资金的,从其规定执行。
第十二条
项目单位收到专项资金后,应严格按照国家财务会计制度的规定,做好专项资金的会计核算工作。按照项目实施方案组织实施,严格专款专用。未经批准,不得变更项目内容或调整预算。
第三章
支持方式和项目申报
第十三条
专项资金的支持方式分为无偿补助、有偿使用和股权投资三种方式。无偿补助方式包括专项补助、以奖代补等方式。有偿使用和股权投资的支持方式按照《市级财政专项资金拨款改投资无偿改有偿试行办法》(盐政办发〔2014〕107号)执行,专项资金原则上安排存量部分不低于30%、增量部分不低于70%实行“一拨变双改”管理。
第十四条 原则上每年组织申报1次。市经信委联合市财政局印发专项资金申报指南,明确专项资金使用范围、使用方式及项目申报的具体要求,并通过市经信委网站进行发布。
第十五条
符合条件的企业、单位,均可按申报指南的要求,经城南新区经发局和财政局初审后,向市经信委和市财政局申报项目。
申报项目的企业、单位对申报材料的真实性、准确性和完整性负责。
第十六条
申报项目的企业、单位,一般应当符合以下条件:
(一)在城南新区注册、具有独立的法人资格且正常经营;
(二)企业的信用良好,无纳税、环保、安全生产、法院执行等较重以上失信行为;
(三)三年内无骗取、套取县级以上财政专项资金行为或未被取消申报资格的。
具体申报条件由市经信委会同市财政局在下发项目申报指南时一并发布。
第十七条 同一单位同一项目,在申请内涉及多项政策支持的,按照“就高不重复”的原则,只能享受一项扶持政策。
第十八条
专项资金申报和审核实行信用承诺制。申报企业或单位需根据申报的项目附报相应的申报材料以及信用承诺,并对其项目申报材料的真实性、准确性和完整性作出信用承诺。
区经信部门和财政部门按照本办法和申报指南等要求,组织项目申报,对项目进行审核,确保项目的真实性,并对专项资金申请使用全过程进行承诺,提交《市级财政专项资金申请使用全过程承诺责任书》。
第十九条
根据需要对相关项目进行实地核查。核查前应当根据专项资金补助政策和申报指南明确核查内容和要求及所需材料,提前通知申报单位,原则上一次性核查到位。核查工作不得影响申报单位的正常运转,并遵守廉政建设的相关要求。
第二十条
专项资金原则上采用因素法进行分配。第二十一条
必要时,市经信委会同市财政局组织竞争性专家评审。
(一)成立竞争性专家评审小组。评审小组由市经信委、市财政局等部门会同相关领域的专家组成。专家由市有关主管部门会同上述有关部门共同抽取。评审小组人数必须为5人以上单数。
(二)评审程序
1.书面评审。评审小组对项目申报材料进行审查,提出书面审查意见,确定进入公开答辩环节的项目名单。
2.公开答辩。采用演讲、现场答疑等方式对项目进行公开答辩,评审小组现场打分确定进行实地考察的项目名单。
3.实地考察。评审小组对项目进行实地考察,出具考察意见,提出拟扶持项目名单。
具体评审办法由市经信委会同市财政局研究制订。第二十二条 市经信委和市财政局经综合考评后,提出拟补助项目并公示。公示有异议的,要立即组织核查,确认后重新公示。经公示无异议的申报项目列为当年专项资金支持项目。
第四章 使用范围及分配办法
第二十三条 智慧城市建设(大数据产业发展)专项资金的使用方向及分配方式:
1.新设的大数据企业,经认定,大数据存储中心项目和大数据挖掘、分析、应用项目,两年内技术设备投资额分别超过3000万元、300万元的,按照其实际技术设备投资额的8%给予一次性奖励,最高不超过500万元。投资企业为世界500强、央企和上市公司(国内主板及创业板上市)的,可按照其实际技术设备投资额的12%、10%给予一次性奖励,最高不超过800万元。
2.市外大数据企业集团总部(含跨省区域性总部)将注册地及纳税地迁至城南大数据产业园,其实收资本不低于3000万元、固定资产投资不低于1亿元、技术设备投资不低于3000万元的,符合前款条件并按前款给予奖励外,另按照其实际技术设备投资额的5%给予一次性奖励,最高不超过300万元。
3.对市外企业落户城南大数据产业园、采取市场化运作、年流水在30亿元以上、跨省市的大型大数据应用平台类项目,在平台技术设备投资上和运营上等方面实行“一事一议”。
4.世界500强企业、国内100强企业和世界100强高校院所落户城南大数据产业园,新设立的大数据技术中心(研发中心、重点实验室),给予不超过50万元的一次性奖励,成功创建国家级、省级研发中心和重点实验室的,最高可分别给予500万元、200万元一次性奖励。
5.对投资(不含基建投资)超过1000万元的专业化公共研发技术服务平台,完成项目建设计划并通过认定的,按其实际技术设备投资额10%的给予一次性奖励,最高不超过500万元;鼓励开展大数据核心和关键技术攻关,对突破大数据应用和产业化瓶颈的技术研发项目,经认定,择优给予不超过其实际研发投入30%,且最高不超过300万元的奖励。
6.对承担或列入国家示范试点应用计划的重大大数据行业应用平台和项目,技术设备投资在500万元以上的,通过验收后,每个平台和项目可给予50万元奖励;对承担或列入省示范试点应用计划的重大大数据行业应用平台和项目,技术设备投资在500万元以上的,通过验收后,每个平台和项目可给予20万元奖励。
7.鼓励大数据研发机构、公共研发技术服务平台开展技术服务和成果转化,对年营业收入超100万元(服务收入占比60%以上)的专业平台机构,按其对市内单位提供技术服务收入的30%给予补助,最高不超过100万元。
8.鼓励各企业按照智慧盐城建设总体规划要求,利用各类资金在城南大数据产业园开展大数据应用项目建设,对列入市智慧盐城和大数据应用示范工程、完成项目建设计划并通过验收成效显著的,按其实际技术设备投资的10%给予一次性奖励,最高不超过150万元。
9.对市外落户于城南大数据产业园新设的亿元以上大数据产业发展基金,根据实际需要,经审批,可与城南智慧科技城配套出资,最高不超过2000万元,主要用于大数据产业园内产业类项目股权投资。
10.支持城南加快大数据专业园区载体建设,对新获得国家和省级认定的基地或园区品牌的,分别给予100万元和50万元的一次性奖励;对新获得国家、省级认定的园区公平服务平台,分别给予100万元、30万元一次性奖励。11.支持大数据产业园核心应用基础项目建设,优先安排市委、市政府确定落户在大数据产业园的智慧盐城项目(已有明确资金来源的项目除外)建设资金。
12.对市委市政府同意的其他项目予以支持。第二十四条 如按第二十三条确定的分配办法安排的资金超出当年财政预算时,可适当降低奖补标准。
第二十五条 专项资金不得用于一般工作经费等经常性开支,不得用于发放个人工资、奖金、福利和日常公用经费等一般性支出,不得用于非本专项资金用途以外的部门支出。对用于考核发放的奖金,须报经市政府审批。
第五章
管理职责、绩效管理和监督检查 第二十六条
专项资金的管理由市财政局、市经济和信息化委员会共同管理,按各自职责分工负责。
(一)市财政局应当履行以下职责:
1.负责专项资金管理和政策研究制定,会同市经信委建立健全专项资金具体管理办法;
2.编制专项资金预算;
3.组织专项资金支出预算的编制和执行; 4.参与专项资金项目管理;
5.审核专项资金使用计划,按规定拨付专项资金,监督专项资金的日常使用;
6.组织开展专项资金绩效管理工作;
7.组织专项资金执行期届满或者被撤销后的清算、资金回收等管理工作;
8.法律、法规、规章规定的其他职责。
(二)市经信委应当履行以下职责:
1.配合财政部门建立健全专项资金具体管理办法,编制专项资金绩效目标,制定管理流程,明确责任主体,规范资金管理;
2.根据产业发展需要,建立相关重点项目库,提出专项资金支持重点和预算建议,编制专项资金支出预算;
3.执行批复的专项资金支出预算,按季编制专项资金使用计划;
4.负责项目管理,会同财政部门组织具体项目申报、评审和分配,检查督促项目实施,包括项目合同签订、项目跟踪监管,监督专项资金的使用;
5.按绩效目标对专项资金进行绩效跟踪和绩效自评价; 6.负责执行期届满或被撤销专项资金的相关管理工作; 7.法律、法规、规章规定的其他职责。
第二十七条
市财政局根据专项资金绩效管理相关规定,对专项资金实行全过程绩效管理,包括绩效目标评审、绩效运行监控和绩效评价。
第二十八条
专项资金设立、预算编制环节,市经信委应当编制专项资金绩效计划,向财政部门报送绩效目标。财政部门组织对绩效目标进行评审,不按规定要求编制绩效目标的,不予进入预算编审流程;无绩效或低绩效的项目,不予列入预算或调减预算。第二十九条
专项资金执行过程中,市财政局会同市经信委对绩效目标的实现情况进行跟踪。市经信委要定期向市财政局如实分析报告项目资金绩效情况。项目实施、资金使用与绩效目标发生偏离的,要及时采取措施予以纠正。问题严重的,应暂停预算执行,或报经市政府批准后调整、收回专项资金。
第三十条
专项资金预算执行完毕后,市经信委对专项资金使用情况进行绩效自评价,财政部门视情况对专项资金组织开展绩效再评价。
第三十一条
专项资金执行期届满后,市财政局组织全面绩效评价,向市政府报告绩效评价结果。绩效评价结果按照财政信息公开规定在一定范围内公开,并作为下一预算安排和完善预算管理的重要依据。
第三十二条
市经信委和市财政局共同负责专项资金扶持项目的管理和督查,跟踪项目的进展情况,对专项资金使用绩效进行检查、评估。
市经信委和市财政局根据需要适时对项目进行现场检查,了解专项资金扶持项目的执行情况、项目资金的使用和财务管理情况、项目完成后的实际效果,确保专项资金专款专用,发挥资金的最佳效益。
第三十三条
项目单位应建立项目管理责任制,加强资金核算和管理,自觉接受财政、经信、审计等部门的监督检查。
第三十四条
项目单位应当按照《中华人民共和国档案法》、《江苏省档案管理条例》等规定,归档管理项目申报、执行和验收资料,以备核查。
第三十五条
违反本办法规定的行为,《中华人民共和国预算法》、《财政违法行为处罚处分条例》等法律、法规已有处罚规定的,按其规定进行处罚。
项目单位有下列行为之一的,由市经信委、市财政局按规定在相关信用信息平台提交信用记录并责令改正,调整有关会计账目,追回已下拨财政资金,限期追缴违法所得等;情节严重的,在三年内不再受理其申报专项资金;构成犯罪的,依法追究刑事责任。
(一)以虚报、冒领、伪造、关联交易等手段骗取专项资金的;
(二)未经批准调整专项资金使用范围或者预算的。第三十六条
对专项资金形成的国有资产未按规定纳入国有资产管理的,由财政部门责令限期改正,造成国有资产流失的,按有关法律、法规处理。
第三十七条
国家机关工作人员在专项资金管理活动中滥用职权、玩忽职守、徇私舞弊的,依法追究行政责任;构成犯罪的,依法追究刑事责任。
第三十八条 任何单位和个人有权对专项资金收支管理活动中发生的各种违法违纪行为进行投诉、检举和控告。
第六章
附
则
第三十九条
本办法所称“设备”,是指符合会计核算定义,使用期限在一年以上,单位价值在2万元以上的生产性设备或专用设备,不包括办公设备和运输设备。购进需要安装的,安装费用不计入补贴计算范围。自制设备,符合条件的按一半计算。技术投入和软件投入,取得的增值税发票税率为零的,不计入补贴范围。
第四十条 本办法自
起施行。其他有关文件与本办法不一致的,以本办法为准。
第四十一条
本办法由市财政局、市经信委负责解释。
第五篇:新型城市化建设经验与思考3
推进新型城市化建设 打造边区明星城
市
新型城市化是当今世界的发展趋势。关于新型城市化,目前没有统一的定义,从有关资料表明,它主要包括以下内容:城市人口比重超过农村人口;城市经济比重超过农村经济;城市规划科学、布局合理、功能齐全、特色鲜明、经济活跃、环境优美、秩序井然。从新型城市化的内涵来看,它是推动一个地区经济社会发展的重要途径。日前,地处湘、鄂、渝3省(市)交界之地的湖南龙山县政协工商联委员组、建设委员组部分政协委员对该县新型城市化工作进行了专题调查研究。
一、龙山县新型城市化建设取得的成绩
一是城镇基础设施进一步改善。自“十五”以来,全县投入约14.5亿元实施城市建设,新修改建了35条街道,新增街道面积31万平方米,全县乡镇累计新增街道面积45万平方米,主街道硬化率达90%以上。县城规划控制面积由“九五”末的44.24平方公里增至66.61平方公里,建成区面积达到12.6km2,全县城镇总人口达20.79万人,城镇化率达36.46%。在旅游产业开发方面累计投入资金近1.9亿元,2009年,实现旅游总收入9000多万元。餐饮、娱乐、休闲等服务业快速发展。仅2009年,县城第三产业完成税收近4000万元,城镇发展后劲不断增强。2004年,里耶镇被评为国家历史文化名镇;2009年,评为全国特色景观旅游名镇。2009年,乌龙山国家地质公园申报成功。贾市街上村,长潭长春村于2004年成为第一批州级历史文化名村。里耶古镇,乌龙山大峡谷、洛塔地质公园、八面山草场、洗车河、惹把拉等景区保护开发稳步推进。里耶—乌龙山风景名胜区已成为省级风景名胜区,正积极申报进入国家自然与文化双遗产名录。
二是城乡统筹步伐加快。目前,全县近两年约有8万农村人口进城入镇或到外地务工,年劳务收入突破7亿元,已成为农民增收的主要力量。加大了农村寄宿制学校和规范化校园、乡镇卫生院、敬老院以及城镇廉租房建设,推行了新型农村合作医疗和城镇医保,社会保障水平不断提高。积极实施社会主义新农村建设,完成了13个新农村示范村的村庄规划,实施了村庄道路硬化工程,进一步改善了农村生活环境。
三是城市经营与管理上台阶。近10年来,全县累计出让土地5000多宗,乡镇平均地价15—20万元/亩,最高地价达97万元/亩。县城平均地价60万元/亩,最高地价达200万元/亩。全县土地出让金共计达到2.5亿元,有效破解了城镇建设的资金难题。同时,组建了城市管理行政执法局,理顺了城镇管理体制,加强了城市“畅化、亮化、绿化、净化、美化”管理,城镇环境明显改善,品位不断提高。全县有27个单位获得省州园林式单位称号。2006年,县城再次获“省级文明卫生县城”称号,人居环境不断改善。
二、龙山县新型城市化建设存在的问题
由于主客观原因,龙山县新型城市化建设还存在以下问题:
1、规划滞后,实施较差。龙山县的小城镇建设规划是1998年请长沙市规划设计院设计制定的,后虽进行过调整,但在飞速发展的新形势下,落后的弊端已日益显现。如华塘新区的总规和详规、县城至石羔火车站的规划、县城环城路的规划、果利河治理规划、工业园区规划等都缺乏系统的总体规划和详细规划。原定规划实施也较差,随意性很大,如民族路原规划是直通沿河大道,但由于种种原因将玻璃厂卖给开发商修建了阳光丽景住宅区,致使民族路变成了断头路。又如岳麓大道原规划两侧修一些机关大院或大型商店、宾馆,因县财力紧缺,最后大多以小宗宅基地买给了个人,使本来可以成为一条上档次的豪华大街变成了一条“好吃街”。
2、建设混乱,见缝插针。由于规划把关不严,龙山县城镇建设是比较零乱的。农民的土地愿卖给谁就卖谁,土地所有者想怎么修就怎么修,有的开发商甚至还套购农民土地搞商品房开发。这些违反规划的建筑,有的擅自修十几层或二十层,有的占国道、街道、消防道既破坏了城市建设规划,又影响了城市整体形象。
3、管理不力,“四乱”严重。龙山县虽然成立了城市管理行政执法局,他们也做了大量的工作,但由于种种原因,城市管理仍然存在“四乱”问题。一是车辆乱停乱靠,从县城到乡镇都严重存在这个问题,堵车经常发生;二是垃圾乱扔乱倒,县城、乡镇都如此;三是道路乱开乱挖,好端端的街道、人行道到处都是高低不平的补丁;四是乱搭乱建,除县城的主街道外,其它街道和公路两侧临时建筑和棚子随处可见。
4、功能不全,生活不便。一是电力不足,每到枯水季节,乡镇经常停电,有时城里也停;二是饮水困难,大多数乡镇还没有自来水,县城自来水厂因容量不足,常年超负荷运行,水质浑浊,实难饮用,且经常停水;三是燃气不足,龙山县县城常住人口已超过3万户10万人,因燃气不足,现安装天然气的只8000余户,供气不足的现象经常出现;四是出行困难,县城没有开通公交车,虽有200辆的士车,但数量太少,且价格昂贵,居民出行很不方便,至于农村就更不用说了;五是缺乏停车场,客观造成车辆乱停乱靠;六是缺乏文化体育娱乐场所,如体育馆、青少年宫、图书馆、公园、广场等建设都不适应形势发展;七是公共卫生设施缺乏,从县城到乡镇没有几个象样的公共厕所,大多数乡镇没有垃圾围、垃圾场,也没有清洁工。
5、产业不旺,缺乏活力。龙山县城镇除一些常规产业外,没有几个新型的象样的产业,也没有几家象样的工厂,没有起到拉动经济增长,安置劳动力就业和增加财政收入的作用。商业也是小打小闹,没有形成批发市场,缺乏对外幅射和竞争力。
三、对龙山县新型城市化建设的几点建议
(一)抓认识,高起点谋划龙山县新型城市化建设。十多年来,龙山县城市化建设取得了巨大成绩,这是不可否认的事实。但在成绩面前,我们不能骄傲自满、固步自封、停滞不前。更应该看到存在的不足,看到周边的发展速度,我们要认识到自身的差距。因此全县上下必须解放思想,统一认识,以全新视角和有效的举措,围绕“五个统筹”,立足“一化三基”,着眼“两型社会”,加速推进独具龙山特色的新型城镇化。当前首要的问题就是要进一步理清建设发展的基本思路,坚持以规划为龙头,以基础设施建设为重点,以改善人居环境为核心,紧紧围绕县委“坚持六大原则、突出四个重点、加强四大建设”的发展思路,立足民安、华塘、里耶三个建设发展平台,依托交通干道沿线重点乡镇,突出抓好民安城区改造提质工程,深入推进“龙凤经济一体化”战略,强力攻坚里耶古城保护与开发,积极实施乡镇基础设施建设。从历史和现实以及未来发展趋势来看,龙山最大的亮点在县城,最强的优势在县城,未来经济最大的增长点在县城,最大的希望也在县城。因此,全县建设的重点是县城,要通过5—10年努力,将龙山县的城市发展成为湘鄂渝边区武陵山腹地的一个品位较高、功能齐全、产业发达、特色鲜明的中等城市。同时,要突出里耶攻坚战,建设好以红色旅游和交通枢纽为特色的茨岩塘明星重镇、以土家文化为特色的靛房明星重镇、以边区贸易为特色的桂塘明星重镇、以矿产品、农副产品加工为特色的红岩溪明星重镇等四大特色重镇。
(二)抓根本,加强规划编制与管理。鉴于边区城市发展的强劲势头,特别是以“铁公机”为主的边区交通环境的大改善,龙山在城市规划上要适当超前,规划不能局限于城区和重点镇,要对整个县域进行通盘谋划、整体规划。坚持一手抓规划编制,一手抓规划管理,并逐步将工作重点从抓编制转向抓管理。一是要构筑合理的城镇体系。城市的规划布局要形成以县城和里耶镇为重点,209国道和231省道(花龙公路)为轴,北部区和南部区为片的空间布局结构,以线串点,以点带面,城乡互动的发展格局。二是要精心组织县城总体规划。高标准、高起点编制华塘新区控制性详规及岳麓大道两厢城市设计,完成县城消防、绿化等相关专业规划。三是要切实抓好乡镇规划编制工作。要在近两年内完成所有乡镇的新一轮总体规划修编工作,同时要完成建制镇及重点乡所辖行政村村庄的规划编制。四是要逐步推行规划公示制度,突出并强化建筑的民族特色,加强建设项目的总平面图及技术指标的审查核定工作。在规划管理方面,严格维护规划权威性和法律效力,坚持“规划一张图、审批一支笔、建设一盘棋、管理一条龙”的工作方针,通过规划调控指导城市经营,有计划出让城市规划区土地,发挥土地资源的最大效益,保障城市建设健康有序发展。
(三)抓重点,做好城市扩容提质。按照适度超前、突出重点、城乡一体、配套完善的建设要求,进一步加大力度,推进城市建设步伐。
1、积极实施县城建设:一是实施以华塘新区开发为重点的“龙凤经济一体化”战略,完成以岳麓大道为主的新区道路网络及其配套设施建设,建设湘鄂渝边区加工贸易区及专业市场,完成湘鄂情大桥建设及酉水河沿河风光带和河堤建设,拉开华塘新城区的大骨架。二是完成以土城坝为中心的开发工程,加速环城大道建设;完善土城坝基础设施建设,开发大沙坝商住区,积极推进充分体现民族特色的人居环境试点建设。三是实施以边区商贸城为代表的旧城区改造工程;搞好时代大酒店周围区域开发,构建龙山商贸“金三角”。四是完成城市及重点乡镇污水处理设施建设项目,实施以果利河为重点的沿河风光带建设,启动果利
河防护大堤工程;实施河道沿线绿化工程,配套休闲娱乐等公用设施,治理河道污染,建设城区沿河风光带。五是完成边区医院等基础设施项目建设。
2、加强乡镇基础设施建设:一是城镇规划区和乡政府所在地的主要道路及街道全部实现硬化,同时,加快乡镇停车场和集贸市场建设;二是加大公厕、垃圾中转站、垃圾运输设备和垃圾无害化处理场的建设力度,乡镇配备清洁工;三是努力改善小城镇和乡集镇居民生活能源结构,大力推广柴改煤、沼气、液化气、天然气;四是加强乡镇供水设施建设,扩大供水范围,确保供水质量和供水安全;五是抓好有线电视、移动通讯、宽带等网络建设。
(四)抓难点,强化城市管理。围绕创建国家级文明卫生城市、省级文化旅游城市的目标,落实城市长效管理机制和措施,从理顺管理体制入手,建立“以块为主、条包块管、条块结合”管理体制,明确各级各有关部门的职责分工,逐步形成条、块、点相结合的管理网络。一是要加强建制镇环卫管理。搞好城镇街道、市场等重点区域环卫清扫及垃圾清运。二是要完善管理制度,加强管理队伍建设,不断完善城镇规划管理、市容环卫管理、市政工程设施管理、园林绿化管理等规章制度,理顺城市建设管理综合执法体制,向乡镇延伸管理执法队伍,推进城镇管理制度化、规范化。三是要加大综合整治力度。在县城和里耶镇逐步普及垃圾袋装化管理,实行定点定时投入。同时对乱贴乱画、乱停乱占、乱堆乱放等现象进行依法整治。对不规范户外牌匾及广告依法清理,拆除违章建筑,畅通消防通道。
(五)抓关键,科学经营城市。龙山要借鉴周边及外地城市的先进经验,在地方财政有限投入的情况下,加快建立市场化、多元化的城镇建设投融资体制。要引入经营城市的理念,改革城镇建设投融资体制,逐步放开城镇建设经营领域,将适宜通过市场化运作的领域和项目全面推向市场,实现投资主体多元化,真正形成“政府引导、社会参与、市场运作、业主负责”的投资格局。一是做活土地文章。积极稳妥的探索城镇经营新路子,把土地市场盘活,牢牢控制一级土地市场,逐步放开二级市场,通过经营城镇土地,聚集建设资金,利用城镇土地资源、有形资产、无形资产等进行城市建设融资。对城镇长期闲置、效益不高的存量土地采取竞价拍卖的方式让出土地使用权,拍卖收益全部用于城镇建设;对于城镇闲置资产如:停产企业的设备、厂房等,能用的用,能换的换,多途径筹集建设资金。三是市政公用设施(含道路、学校、医院、养老院)建设市场化。对城镇公益设施如公厕、路灯、广告权等,采用公开拍卖的方式,聚集城镇建设发展资金。引导个体资本、民间资本、外资参与城镇供水、排水、道路、绿化等项目建设。三是实施产业兴市。要坚持工业兴市、旅游兴市、流通兴市,构筑强有力的产业支撑。在县城,要加快建设并努力提升工业园区,以园拓业,以业兴城,把工业园区建设成为对外开放的新窗口,产业升级的新高地,城镇发展的新组团。与之同时,各乡镇要善于发现自己的优势,培育自己的优势,形成自己的特色,从经济发展的全局高度,提高对产业兴镇的认识,加强协调与配合,形成合力。切实改善产业发展的软硬环境,加强和完善交通网络体系、电力、通讯、公用设施、生态环境等基础设施的建设,为产业兴市提供载体。
点击咨询 