奇安信发布中国首个数字城市网络安全运营成熟度模型-大会新闻-2022北京网络安全大会(BCS)

奇安信发布中国首个数字城市网络安全运营成熟度模型

发布日期：2022-07-21　作者：北京网络安全大会

7月21日，BCS2022“数字城市安全峰会”期间，奇安信区域发展中心、奇安信行业安全研究中心、奇安星城网络安全运营服务（长沙）有限公司联合相关机构，正式发布了《2022中国数字城市网络安全运营现状分析报告》（简称《报告》）。

附报告原文下载：《2022中国数字城市安全运营现状分析报告》（点击文字下载）

《报告》首次提出了中国数字城市网络安全运营成熟度模型，通过“战略和规划”、“流程和监管”、“技术和服务”、“人才和经验”、“合规建设”等五个维度，对国内40座不同类型的城市（国家中心城市7座、中心城市16座、非中心城市17座）安全运营水平进行评估。结果显示，半数以上城市的网络安全运营成熟度均处基础和入门阶段，水平相对较低，暂无城市能够达到最高等级“专业”级。

危机四伏的数字城市安全环境

城市数字化进程的高速发展，使得网络安全问题的影响不断凸显。以勒索、挖矿、APT等为代表的新型网络攻击活动的持续活跃，引发了全球每年数以千计的重大网络安全事件，工厂停工、城市停摆的新闻屡见不鲜。数字化的城市正面临着网络安全的重重危机。

2021年2月，美国佛罗里达州水处理系统遭黑客攻击，攻击者试图将氢氧化钠的浓度从百万分之100更改为百万分之11100。操作员及时发现了异常才及时阻止了“灾难”。

2021年5月，美国最大的燃油管道商ColonialPipeline遭到勒索软件攻击，导致该公司暂停了所有的管道作业网络，并关闭了一条主要的燃料传输管道。美国交通部被迫采取紧急措施，放宽了17个州的公路运油限制，以免各地燃油短缺。

2021年7月，伊朗铁路系统遭遇网络攻击，攻击者在全国各地车站的显示屏上大肆发布关于火车延误或取消的虚假信息。

2022年初发生的俄乌冲突进一步加剧了人们对数字城市的安全担忧。在物理战场之外，包括俄乌在内的多方势力在网络空间这个看不见硝烟的第二战场上激烈较量，对城市的安全运营造成了前所未有的冲击。

奇安信集团副总裁张龙表示，目前国际环境日趋复杂，全球产业链供应链遭受冲击，网络空间安全面临的形势持续复杂多变。此外，随着数字化、网络化进程加快，城市资产暴露面不断扩大，安全漏洞、数据泄露、网络诈骗等风险持续增加。在此背景下，数字城市建设、运营和治理等方面的工作重心也发生了重大的变化，数字城市网络安全的构建需要满足城市自身数字化转型对网络安全保障的要求。

数字城市网络安全运营

存在明显短板

从评价数字城市网络安全运营成熟度的五个维度来看，“流程和监管”的整体水平相对最高，40座城市的平均评分达到3.6分（满分5分），对应“进阶”级别。而“战略和规划”、“技术和服务”、“人才和经验”、“合规建设”这几个方面，全国各城市的总平均分只能达到2.7~2.9分。

值得关注的是，在其他各个维度中，至少有5%以上的城市，可以达到“专业”等级，但在“战略和规划”方面，目前尚没有任何城市可以达到最高等级的“专业”水平，存在明显的短板。

具体而言，在“战略和规划”七个指标中，仅有两项的全国平均分在3分以上。这也意味着dous，国内城市在“战略和规划”方面，整体处于较低水平。平均分最高的是“重要发言”。从中可以看出，大多数城市的领导都非常重视网络安全工作，并在近两年做出过重要的发言或表态。

“监测范围”是得分最低的一项，全国平均分仅为2.4分。这一数字表明，国内绝大多数的城市只能达到对部分关键信息基础设施的安全监测与运营，而没有实现行业级的网络安全监测与运营能力，更不用说城市整体的网络安全监测与运营能力。

相较之下，在“流程和监管”方面，有半数的城市可以达到“精通”和“专业”水平，并且相关六项指标全国平均水平均在3分以上，其中，“主管部门”和“规范文档”的这两项平均分最高，为4.1分。这就说明，绝大多数城市的网络安全工作都有明确的主管部门，能够建立一批“城市级重要网络安全信息规范文档”，使得本市的网络安全工作能够有据可依、有序开展。

显然，这是近年来国内各地持续不断加强网络安全监管力度所取得的重要成果。