安徽省地方標(biāo)準編制說明

2022年12月12日

標(biāo)準名稱智慧社區(qū)網(wǎng)絡(luò)安全建設(shè)要求

安徽省市場監(jiān)督管理局關(guān)于下達《區(qū)域性地震安全性評價技術(shù)規(guī)范》等298

任務(wù)來源

項地方標(biāo)準計劃的通知（皖市監(jiān)函［20211357號）

負責(zé)起草單位合肥市公安局

單位地址合肥市廬陽區(qū)壽春路290號

參加起草單位

標(biāo)準起草人

序號姓名單位職務(wù)職稱電話

編制情況

1編制過程簡介

1.1成立編寫組：2021年9月，根據(jù)安徽省市場監(jiān)督管理局關(guān)于下達《區(qū)域性地震安全性評

價技術(shù)規(guī)范》等298項地方標(biāo)準計劃的通知(皖市監(jiān)函［20211357號)下達任務(wù)，合肥市公安局、

合肥天帷信息安全技術(shù)有限公司、安徽省質(zhì)量和標(biāo)準化研究院、天融信科技集團股份有限公司等

單位召開了標(biāo)準編寫工作會，組建了標(biāo)準編寫組，明確了各單位分工。

L2收集資料和調(diào)研：編制小組成立后，收集了《GB/T1.1-2020標(biāo)準化工作導(dǎo)則第1部

分：標(biāo)準化文件的結(jié)構(gòu)和起草規(guī)則》《信息安全技術(shù)智慧城市安全體系框架(GB/T37971—2019)》

《信息安全技術(shù)個人信息安全規(guī)范(GB/T35273—2020)》《信息安全技術(shù)信息系統(tǒng)安全等級保護

基本要求(GB/T22239-2019)》《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求(GB/T39786-2021)》

《關(guān)于加強政法機關(guān)信息技術(shù)產(chǎn)品使用安全管理的意見(中政委(2014)34號)》等資料。

1.3編寫草案：2021年9月2022年10月，經(jīng)過資料收集、調(diào)研和8輪次的研討，編制出標(biāo)

準草案，并完成相關(guān)參與單位內(nèi)部意見征詢。

L4編制研討會：2022年10月20FI,編制組召開研討會，對各個章節(jié)進行認真審查，對存

在的不足限期修改完善，形成了專家預(yù)審稿。

1.5預(yù)審會：2022年11月30日，編制組組織專家召開預(yù)審會，對標(biāo)準存在的不足提出了針

對性意見，對標(biāo)準框架進行了調(diào)整修訂。

1.6預(yù)審修訂建議研討會：2022年12月8日，編制紐組織專家對修訂后的標(biāo)準框架進行了

討論，并形成修訂建議。

2制定標(biāo)準的必要性和意義

制定《智慧社區(qū)網(wǎng)絡(luò)安全建設(shè)要求》，作為和人民群眾日常生活、隱私保護、生命財產(chǎn)密切關(guān)

聯(lián)的智慧社區(qū)業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)安全監(jiān)管，目前處于無序狀態(tài)，網(wǎng)絡(luò)安全監(jiān)管缺失，且國內(nèi)外缺乏

相關(guān)標(biāo)準，本標(biāo)準的制定將對智慧社區(qū)網(wǎng)絡(luò)安全建設(shè)工作起到指導(dǎo)和引領(lǐng)作用。

3制定標(biāo)準的原則和依據(jù)，與現(xiàn)行法律法規(guī)、標(biāo)準的關(guān)系，特別是強制性標(biāo)準的協(xié)調(diào)性

本標(biāo)準制定依據(jù)現(xiàn)行國家標(biāo)準、現(xiàn)行法規(guī)，吸取了我省智慧社區(qū)建設(shè)工作實際經(jīng)驗；本標(biāo)準

所有內(nèi)容符合強制性國家標(biāo)準、行業(yè)標(biāo)準及地方標(biāo)準，若與其相抵觸時，以國家標(biāo)準、行業(yè)標(biāo)準、

地方標(biāo)準為準。

原則：本標(biāo)準應(yīng)具備先進性、科學(xué)性、可行性、實用性和可操作性。

依據(jù)：

GB/T1.1-2020標(biāo)準化工作導(dǎo)則第1部分：標(biāo)準化文件的結(jié)構(gòu)和起草規(guī)則

GB/T25069信息安全技術(shù)術(shù)語

GB/T37971—2019信息安全技術(shù)智慧城市安全體系框架

GB/T35273—2020信息安全技術(shù)個人信息安全規(guī)范

GB/T22239—2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求

GB/T29245—2012信息安全技術(shù)政府部門信息安全管理基本要求

GB/T37988—2019信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型

GB/T41479—2022信息安全技術(shù)網(wǎng)絡(luò)數(shù)據(jù)處理安全要求

GB/Z38649—2020信息安全技術(shù)智慧城市建設(shè)信息安全保障指南

YD/T3473-2019智慧城市敏感信息定義及分類

DB34/T3506—2019智慧社區(qū)建設(shè)指南

DB34/T3432—2019智慧城市網(wǎng)格化綜合管理巡查規(guī)范

DB34/T3820-2021智慧社區(qū)公共安全數(shù)據(jù)采集規(guī)范等資料。

4主要條款的說明，主要技術(shù)指標(biāo)、參數(shù)、試驗驗證的論述

智慧社區(qū)網(wǎng)絡(luò)安全建設(shè)要求，依據(jù)《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求(GB/T

22239-2019)》、《信息安全技術(shù)個人信息安全規(guī)范(GB/T35273—2020)》、《信息安全技術(shù)數(shù)據(jù)

安全能力成熟度模型(GB/T37988—2019)》等標(biāo)準要求。

智慧社區(qū)網(wǎng)絡(luò)安全建設(shè)分類，依據(jù)《智慧社區(qū)建設(shè)指南》(DB34/T3506-2019),將智慧社

區(qū)網(wǎng)絡(luò)安全建設(shè)以智慧社區(qū)覆蓋的基礎(chǔ)設(shè)施、數(shù)據(jù)資源、應(yīng)用平臺的重點建設(shè)對象作為網(wǎng)絡(luò)安全

保護對象，從基本要求以及應(yīng)用平臺、數(shù)據(jù)安全、基礎(chǔ)設(shè)施安全三個方面提出安全要求，用以指

導(dǎo)運營單位、開發(fā)單位、實施單位等智慧社區(qū)建設(shè)單位開展網(wǎng)絡(luò)安全建設(shè)工作。所有安全要求的

設(shè)置基于重要分類對象面臨的對網(wǎng)絡(luò)安全管理和技術(shù)風(fēng)險提出，本標(biāo)準不涉及具體的參數(shù)及實驗,

相關(guān)風(fēng)險在管理和技術(shù)方面具有對應(yīng)的解決方案和措施，具備可操作性。

以下針對標(biāo)準核心部分的原文進行技術(shù)指標(biāo)、參數(shù)、實驗驗證的論述，如下：

4基本要求

智慧社區(qū)網(wǎng)絡(luò)安全建設(shè)應(yīng)在制度建設(shè)、管理運行、人員管理、資產(chǎn)管理等方面遵循以下安全

要求。

4論述：本章基本要求參考了GB/T22239安全管理領(lǐng)域的主要方面提出智慧社區(qū)安全建設(shè)要

求。

4.1制度建設(shè)

制度建設(shè)應(yīng)滿足以下要求：

a）應(yīng)明確網(wǎng)絡(luò)安全建設(shè)的責(zé)任主體，建立網(wǎng)絡(luò)安全組織機構(gòu)，明確網(wǎng)絡(luò)安全責(zé)任人；

b）應(yīng)建立完整、統(tǒng)一的運維操作規(guī)范體系；

c）系統(tǒng)的運維操作規(guī)范體系應(yīng)至少涵蓋主機、接口、資產(chǎn)、日志、備份、組織等方面要求,

同時應(yīng)涵蓋安全策略要求：

d）應(yīng)對安全事件的進行處置分析，在統(tǒng)?的應(yīng)急預(yù)案框架下制定不同安全事件的應(yīng)急預(yù)案:

e）應(yīng)按照應(yīng)急預(yù)案定期開展應(yīng)急演練，通過演練發(fā)現(xiàn)信息系統(tǒng)和應(yīng)急預(yù)案中存在的問題，

并進行改進。

4.1論述：智慧社區(qū)網(wǎng)絡(luò)安全建設(shè)涉及建設(shè)單位、運營單位等方方面面，應(yīng)建立相應(yīng)的安全

管理組織，必須有相應(yīng)的管理制度體系作為支撐，且需要針對管理制度體系在運維操作、應(yīng)急處

置方面提出基本要求，降低智慧社區(qū)在運行維護過程中可能出現(xiàn)的誤操作、日常管理不到位、應(yīng)

急處置管理不到位的風(fēng)險。相關(guān)的要求有成熟的最佳實踐作為支撐，具備可操作性。

4.2運行管理

運行管理應(yīng)滿足以下要求：

a）應(yīng)依據(jù)GB/T22240確定系統(tǒng)網(wǎng)絡(luò)安全等級保護級別，制定對應(yīng)等級的網(wǎng)絡(luò)安全運行管理

方案；

b）應(yīng)識別網(wǎng)絡(luò)安全建設(shè)過程風(fēng)險點，評估風(fēng)險等級，并制定風(fēng)險處置計劃降低網(wǎng)絡(luò)安全建

設(shè)過程中的各類風(fēng)險：

c）應(yīng)在系統(tǒng)上線前進行安全性測試，確保系統(tǒng)存在的漏洞和后門被及時的發(fā)現(xiàn)和修復(fù)；

d）應(yīng)對停用或報廢的存儲介質(zhì)（包括磁帶、磁盤、打印結(jié)果和文檔）采用物理損毀、消磁

等恰當(dāng)?shù)姆绞竭M行信息清除或銷毀處理，防止介質(zhì)內(nèi)的敏感信息泄露。

4.2論述：智慧社區(qū)安全管理必須具有明確的全生命周期的安全建設(shè)方案、實施、測試、銷

毀的管理要求，本節(jié)針對組織層面提出要求，并在規(guī)劃階段、設(shè)計方案、上線測試、銷毀的全生

命周期提出主要的安全要求，滿足《網(wǎng)絡(luò)安全法》“三同步”的要求，降低在生命周期各個階段

可能存在的安全風(fēng)險，相關(guān)要求具備可操作性。

4.3人員管理

人員管理應(yīng)滿足以下要求：

a）對于重要崗位人員應(yīng)進行背景調(diào)查，簽署保密協(xié)議：

b）離崗或轉(zhuǎn)崗時應(yīng)及時回收物品和系統(tǒng)權(quán)限；

c）應(yīng)進行人員職責(zé)、素質(zhì)、技能等方面培訓(xùn)，保證人員具有與其崗位職責(zé)相適應(yīng)的技術(shù)能

力和管理能力，以減少人為因素給系統(tǒng)帶來的安全風(fēng)險。

4.3論述：智慧社區(qū)的管理人員在上崗、離崗或轉(zhuǎn)崗，以及技能意識方面，存在人員接觸敏

感信息導(dǎo)致信息泄露，未及時回收賬號權(quán)限和物品導(dǎo)致非授權(quán)訪問，以及人員能力不足導(dǎo)致誤操

作、無法及時處置的風(fēng)險，針對這些風(fēng)險在本節(jié)提出安全管理要求，相關(guān)要求具備可操作性。

4.4資產(chǎn)管理

資產(chǎn)管理應(yīng)滿足以下要求：

a）系統(tǒng)所有資產(chǎn)應(yīng)設(shè)置清晰不易去除的標(biāo)識；

b）系統(tǒng)所有資產(chǎn)應(yīng)明確其所有權(quán)、使用權(quán)、運維權(quán)；

c）系統(tǒng)所有資產(chǎn)應(yīng)建立管理臺賬，臺賬應(yīng)至少覆蓋設(shè)備使用之日起的全生命周期；

d）系統(tǒng)所有資產(chǎn)臺賬應(yīng)具有明確的資產(chǎn)狀態(tài)標(biāo)記。

4.4論述：智慧社區(qū)在資產(chǎn)管理方面存在標(biāo)識不到位、職責(zé)不明確等方面的風(fēng)險，針對這些

風(fēng)險在本節(jié)提出安全管理要求，相關(guān)要求具備可操作性（具體的資產(chǎn)運維操作方面的要求覆蓋在

4.1的安全要求中，不單獨提出）。

6網(wǎng)絡(luò)基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全建設(shè)要求

6.1網(wǎng)絡(luò)基礎(chǔ)設(shè)施分類

根據(jù)網(wǎng)絡(luò)基礎(chǔ)設(shè)施應(yīng)用場景，可分為網(wǎng)絡(luò)通信設(shè)施（如光纖、電纜、路由器、交換機等）、計

算存儲設(shè)施（如數(shù)據(jù)中心、計算節(jié)點等）、感知終端設(shè)施（如傳感器、安防監(jiān)控、智能機器人等）、

用戶終端設(shè)施（如專用計算機、移動通訊設(shè)備等）。

6.1論述：智慧社區(qū)網(wǎng)絡(luò)基礎(chǔ)設(shè)施按照應(yīng)用場景分類的方法基本覆蓋了當(dāng)前智慧社區(qū)主要的

基礎(chǔ)設(shè)施類型。

6.2網(wǎng)絡(luò)通信設(shè)施網(wǎng)絡(luò)安全建設(shè)要求

網(wǎng)絡(luò)通信設(shè)施網(wǎng)絡(luò)安全建設(shè)要求包括：

a）應(yīng)通過技術(shù)手段監(jiān)測通信線纜狀態(tài)，發(fā)生物理破壞時進行告警；

b）應(yīng)明確網(wǎng)絡(luò)架構(gòu)具體組網(wǎng)方式，光纖應(yīng)部署至房間，提供穩(wěn)定的帶寬需求；

c）應(yīng)單獨進行無線網(wǎng)絡(luò)組網(wǎng)，并在網(wǎng)絡(luò)邊界處部署安全網(wǎng)關(guān)。

6.2論述：智慧社區(qū)網(wǎng)絡(luò)基礎(chǔ)設(shè)施在通信設(shè)施方面針對光纖、電纜、網(wǎng)絡(luò)設(shè)備面臨的物理破

壞、性能瓶頸、無線網(wǎng)絡(luò)接入的風(fēng)險，提出安全要求，相關(guān)要求具備可操作性。

6.3計算存儲設(shè)施網(wǎng)絡(luò)安全建設(shè)要求

計算存儲設(shè)施網(wǎng)絡(luò)安全建設(shè)要求包括：

a）數(shù)據(jù)中心應(yīng)滿足GB/T22239相應(yīng)等級的安全要求；

b）數(shù)據(jù)中心應(yīng)具備災(zāi)難恢復(fù)能力，制定業(yè)務(wù)連續(xù)性計劃保障業(yè)務(wù)連續(xù)性。

6.3論述：智慧社區(qū)計算存儲設(shè)施方面針對數(shù)據(jù)中心各類資產(chǎn)存在的風(fēng)險，從總體上提出要

求滿足等級保護要求，此外單獨對數(shù)據(jù)中心的業(yè)務(wù)連續(xù)性提出要求，相關(guān)要求具備可操作性。

6.4感知終端設(shè)施網(wǎng)絡(luò)安全建設(shè)要求

感知終端設(shè)施網(wǎng)絡(luò)安全建設(shè)要求包括：

a）感知終端箱體應(yīng)具備必要的防雷、防水、防潮、防塵、溫濕度監(jiān)控等功能：

b）應(yīng)具備一定的防物理拆卸措施，且設(shè)置有明顯的不易去除的唯一性標(biāo)識：

c）應(yīng)能夠限制與設(shè)備通信的目標(biāo)地址，以避免對陌生地址的攻擊行為（非法攻擊、惡意掃

描、漏洞攻擊等）；

d）應(yīng)提供設(shè)備認證和集中管理能力，保證只有授權(quán)的設(shè)備可以接入，防止前端仿冒、替換

等非法接入行為，實現(xiàn)智能終端設(shè)備的集中管理；

e）應(yīng)限制移動存儲介質(zhì)的使用，并對各類智能終端的外設(shè)接口進行限制或移除。

6.4論述：智慧社區(qū)感知終端設(shè)施方面針對物理損壞、網(wǎng)絡(luò)攻擊、仿冒、替換、非授權(quán)接入

的風(fēng)險，提出相應(yīng)的安全要求，相關(guān)要求具備可操作性。

6.5用戶終端設(shè)施網(wǎng)絡(luò)安全建設(shè)要求

用戶終端設(shè)施網(wǎng)絡(luò)安全建設(shè)要求包括：

a）應(yīng)具備防水、防潮、防塵功能：

b）應(yīng)具備用戶身份鑒別、認證功能，防止用戶終端設(shè)備的非授權(quán)訪問；

c）采用人臉識別等生物特征進行身份鑒別的公用設(shè)備，應(yīng)不得提供批量導(dǎo)出、下載等功能,

采用必要的措施防范個人信息泄露。

6.5論述：智慧社區(qū)用戶終端設(shè)施方面針對物理損壞、非授權(quán)訪問的風(fēng)險，提出相應(yīng)的安全

要求，相關(guān)要求具備可操作性。

7數(shù)據(jù)資源

7.1數(shù)據(jù)資源分類

根據(jù)數(shù)據(jù)資源生存周期，將數(shù)據(jù)資源分為收集階段數(shù)據(jù)資源、存儲階段數(shù)據(jù)資源、使用階段

數(shù)據(jù)資源、傳輸階段數(shù)據(jù)資源、提供階段數(shù)據(jù)資源、銷毀階段數(shù)據(jù)資源。

7.1論述：智慧社區(qū)網(wǎng)數(shù)據(jù)資源按照數(shù)據(jù)資源的全生命周期的分類的方法覆蓋數(shù)據(jù)資源的所

有類型。

7.2收集階段數(shù)據(jù)資源

收集階段數(shù)據(jù)資源網(wǎng)絡(luò)安全建設(shè)要求包括：

a）應(yīng)遵循《中華人民共和國數(shù)據(jù)安全法》等相關(guān)法律法規(guī)及標(biāo)準要求，建立數(shù)據(jù)分類分級

管理制度，對數(shù)據(jù)全生命周期安全嚴格管理：

b）應(yīng)明確數(shù)據(jù)資產(chǎn)所有者以及最終責(zé)任人，數(shù)據(jù)管理責(zé)任人應(yīng)由數(shù)據(jù)資產(chǎn)所有者授權(quán)；

c）應(yīng)建立數(shù)據(jù)資源目錄，制定數(shù)據(jù)分類規(guī)則、數(shù)據(jù)管理策略，根據(jù)數(shù)據(jù)分類和管理策略對

數(shù)據(jù)進行分級保護：

d）對于個人信息數(shù)據(jù)采集，應(yīng)遵循《中華人民共和國個人信息保護法》等相關(guān)法律法規(guī)及

標(biāo)準要求，不得違背合法、正當(dāng)、必要、誠信及授權(quán)同意原則，授權(quán)同意應(yīng)為主動授權(quán)模式。

7.2論述：智慧社區(qū)數(shù)據(jù)資源收集階段應(yīng)考慮數(shù)據(jù)分類分級、數(shù)據(jù)管理職貢、數(shù)據(jù)保護策略

以及在個人信息保護方面的要求，相關(guān)要求具備可操作性。

7.3存儲階段數(shù)據(jù)資源

存儲階段數(shù)據(jù)資源網(wǎng)絡(luò)安全建設(shè)要求包括：

a）應(yīng)支持多種數(shù)據(jù)容災(zāi)備份方式，關(guān)鍵數(shù)據(jù)資源存儲應(yīng)采用國家密碼主管部門推薦的加密

算法進行加密；

b）應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保其收集的個人信息安全，防止信息泄露、毀損、

丟失。在發(fā)生或者可能發(fā)生個人信息泄露、毀損、丟失的情況時，應(yīng)當(dāng)立即采取補救措施，按照

規(guī)定及時告知用戶并向有關(guān)主管部門報告：

c）應(yīng)確保智慧社區(qū)所有數(shù)據(jù)資源的處理與存儲設(shè)備位于中國境內(nèi)。

7.3論述：智慧社區(qū)數(shù)據(jù)資源存儲階段存在數(shù)據(jù)泄露、丟失、以及合規(guī)方面的風(fēng)險，針對這

些風(fēng)險，本節(jié)提出相對應(yīng)的措施，相關(guān)要求具備可操作性。

7.4使用階段數(shù)據(jù)資源

使用階段數(shù)據(jù)資源網(wǎng)絡(luò)安全建設(shè)要求包括：

a）應(yīng)采取措施對重要數(shù)據(jù)資源處理進行訪問控制、安全審計等；

b）應(yīng)采用?定的技術(shù)手段（如敏感字段屏蔽等方式），實現(xiàn)對智慧社區(qū)敏感數(shù)據(jù)資源的數(shù)據(jù)

脫敏：

c）智慧社區(qū)運營單位開展轉(zhuǎn)換、匯聚、分析等數(shù)據(jù)加工活動，其加工過程可能危害國家安

全、公共安全、經(jīng)濟安全和社會穩(wěn)定的，應(yīng)立即停止加工活動：

d）智慧社區(qū)運營單位利用所掌握的數(shù)據(jù)資源，公開市場預(yù)測、統(tǒng)計等信息時，不應(yīng)危害國

家安全、公共安全、經(jīng)濟安全和社會穩(wěn)定。

7.4論述：智慧社區(qū)數(shù)據(jù)資源使用階段存在數(shù)據(jù)非授權(quán)訪問、敏感信息泄露、合規(guī)（境內(nèi)存

儲）方面的風(fēng)險，針對這些風(fēng)險，本節(jié)提出相對應(yīng)的措施，相關(guān)要求具備可操作性。

7.5傳輸階段數(shù)據(jù)資源

傳輸階段數(shù)據(jù)資源網(wǎng)絡(luò)安全建設(shè)要求包括：

a）應(yīng)根據(jù)數(shù)據(jù)資源的傳輸要求，采用適當(dāng)措施保證重要數(shù)據(jù)資源在傳輸過程中的完整性和

保密性；

b）在跨部門、跨行業(yè)、跨系統(tǒng)數(shù)據(jù)交互時，應(yīng)防止高等級安全的數(shù)據(jù)信息向低等級的區(qū)域

流動。

7.5論述：智慧社區(qū)數(shù)據(jù)資源傳輸階段存在數(shù)據(jù)泄露、篡改以及非授權(quán)訪問方面的風(fēng)險，針

對這些風(fēng)險，本節(jié)提出相對應(yīng)的措施，相關(guān)要求具備可操作性。

7.6提供階段數(shù)據(jù)資源

提供階段數(shù)據(jù)資源網(wǎng)絡(luò)安全建設(shè)要求包括：

a）對于數(shù)據(jù)跨境提供使用的，應(yīng)經(jīng)主管部門審查批準：

b）向他人提供數(shù)據(jù)前，應(yīng)進行安全影響分析和風(fēng)險評估，可能危害國家安全、公共安全、

經(jīng)濟安全和社會穩(wěn)定的，不應(yīng)向他人提供。

7.6論述：智慧社區(qū)數(shù)據(jù)資源提供階段存在跨境、敏感數(shù)據(jù)泄露方面的風(fēng)險，針對這些風(fēng)險,

本節(jié)提出相對應(yīng)的措施，相關(guān)要求具備可操作性。

7.7銷毀階段數(shù)據(jù)資源

俏毀階段數(shù)據(jù)資源網(wǎng)絡(luò)安全建設(shè)要求包括：

a）對于網(wǎng)絡(luò)存儲的數(shù)據(jù)資源，應(yīng)建立硬銷毀和軟銷毀的數(shù)據(jù)銷毀方法和技術(shù)，如基于安全

策略、基于分布式雜湊算法等網(wǎng)絡(luò)數(shù)據(jù)分布式存儲的銷毀策略與機制；

b）應(yīng)配置必要的數(shù)據(jù)銷毀技術(shù)手段與管控措施，確保以不可逆方式銷毀敏感數(shù)據(jù)及其副本

內(nèi)容。

7.7論述：智慧社區(qū)數(shù)據(jù)資源銷毀階段存在因數(shù)據(jù)未徹底刪除泄露敏感數(shù)據(jù)方面的風(fēng)險，針

對這些風(fēng)險，本節(jié)提出相對應(yīng)的措施，相關(guān)要求具備可操作性。

8應(yīng)用平臺

8.1應(yīng)用平臺分類

根據(jù)智慧社區(qū)應(yīng)用功能，將智慧社區(qū)應(yīng)用平臺分為平臺層應(yīng)用、感知層應(yīng)用、網(wǎng)絡(luò)管理應(yīng)用、

用戶終端應(yīng)用。

8.1論述：根據(jù)智慧社區(qū)應(yīng)用平臺應(yīng)用功能，分為平臺層應(yīng)用、感知層應(yīng)用、網(wǎng)絡(luò)管理應(yīng)用、

用戶終端應(yīng)用，基本覆蓋了智慧社區(qū)應(yīng)用的所有類型。

8.2平臺層應(yīng)用網(wǎng)絡(luò)安全建設(shè)要求

平臺層應(yīng)用網(wǎng)絡(luò)安全建設(shè)要求包括：

a）應(yīng)按照GB/T22240確定網(wǎng)絡(luò)安全防護等級；

b）應(yīng)按照GB/T22239進行網(wǎng)絡(luò)安全防護和設(shè)計；

c）應(yīng)對接入或嵌入的第三方應(yīng)用開展技術(shù)檢測，確保其數(shù)據(jù)處理行為符合雙方約定的要求,

對審計發(fā)現(xiàn)超出雙方約定的行為及時停止接入；

d）利用個人信息和算法為用戶提供定向推送信息服務(wù)的，應(yīng)提供北定向推送信息服務(wù)的選

項：

e）應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保應(yīng)用平臺收集的個人信息安全，防止信息泄露、

毀損、丟失。在發(fā)生或者可能發(fā)生個人信息泄露、毀損、丟失的情況時，應(yīng)當(dāng)立即采取補救措施,

按照規(guī)定及時告知用戶并向有關(guān)主管部門報告；

f）應(yīng)對用戶個人敏感信息存儲和查看展示時采取脫敏等去標(biāo)識化措施。

8.2論述：智慧社區(qū)平臺層應(yīng)用首先應(yīng)滿足等保的對應(yīng)等級要求，其他在第三方應(yīng)用接入、

個人信息保護（個人信息泄露）存在一定的風(fēng)險，針對這些風(fēng)險本節(jié)提出對應(yīng)的安全措施，相關(guān)

要求具備可操作性。

8.3感知層應(yīng)用網(wǎng)絡(luò)安全建設(shè)要求

感知層應(yīng)用網(wǎng)絡(luò)安全建設(shè)要求包括：

a）應(yīng)提供設(shè)備接入認證功能，保證只有授權(quán)的設(shè)備可以接入；

b）應(yīng)提供訪問控制功能，能夠限制與設(shè)備通信的目標(biāo)地址，以避免對陌生地址的攻擊行為

（非法攻擊、惡意掃描、漏洞攻擊等）；

c）應(yīng)能夠鑒別感知終端數(shù)據(jù)的新鮮性和對歷史數(shù)據(jù)的修改，