https://www.qianxin.com 2022 中国数字城市 网络安全运营现状分析报告 T H E 发布机构： R E P O R T 奇安信区域发展中心 奇安信行业安全研究中心 奇安星城网络安全运营服务 （长沙） 有限公司 2022.7 主要观点 目前，国内外已有的各类网络安全建设与运营分析模型，基本上都是企业级的， 并不适用于城市级安全分析，无法满足复杂、异构、跨行业、多源大数据环境下 的数字城市网络安全建设与运营需求。 本报告结合奇安信集团区域发展中心实践经验，吸纳以往各类“成熟度”模 型设计方法，首次系统性给出了“数字城市网络安全运营成熟度模型”，模型共 有五个维度，二十五项指标。 针对国内 40 座典型城市的调研显示，半数以上城市的网络安全运营成熟度均 处于较低水平，仅能达到“基础”和“入门”级别。暂无城市能够达到最高等级“专 业”级。这也意味着，中国的数字城市网络安全运营工作还有很长的路要走。 从成熟度模型的五个维度来分析，可以看出：“战略和规划”是国内几乎所 有城市的能力短板，没有一座城市能在这个维度上达到最高的专业级；而在“流 程和监管”方面，有半数的城市可以达到“精通”和“专业”水平，这也是近年来， 国内各地持续不断加强网络安全监管力度所取得的重要成果。 总体来看，数字城市的网络安全运营能力发展非常不平衡。不同类型城市之 间的成熟度差距非常之大。中心城市比国家中心城市落后很多，而非中心城市又 比中心城市落后很多。 摘 要 本报告通过“战略和规划”、“流程和监管”、“技术和服务”、“人才和经验”、 “合规建设”等五个维度，对城市数字安全运营水平进行评估，并根据不同维度的建 设情况将城市数字安全运营成熟度水平由低到高分为“基础”、“入门”、“进阶”、 “精通”、“专业”这五个等级。 在本次报告调研的 40 座城市中，仅能达到“基础”级别的城市约占 22.5%，“入 门”级别为 30.0%。达到“进阶”和“精通”级别的城市分别为 30.0% 和 17.5%。暂 无城市能够达到最高等级“专业”级。 从评价数字城市网络安全运营成熟度的五个维度来看，“流程和监管”的整体水 平相对最高，40 座城市的平均评分达到 3.6 分，对应“进阶”级别。而“战略和规划”、 “技术和服务”、“人才和经验”、“合规建设”这几个方面，全国各城市的总平均 分只能达到 2.7~2.9 分。 所有的国家中心城市都已经完全摆脱了最低评级“基础”级，而达到“精通”和“进 阶”这两个级别的城市都超过了四成，为 42.9%。但仍有个别城市仅仅达到入门级别， 这还是十分让人担忧的。 相比于国家中心城市，中心城市的评级分布比较平均，除了 5.3% 的城市为“基础” 级之外，达到 “入门”、“进阶”和“精通”级别的城市分别占比为 37.5%、25.0% 和 31.2%。仅仅达到“基础”和“入门”级别的城市占比超过四成。这说明，中心城 市的网络安全运营成熟度水平与国家中心城市相比要落后很多。 非中心城市的成熟度水平较国家中心城市、中心城市都要低得多。47.1% 的城市， 仅仅能达到最低评级“基础”级别。仅有 29.4% 的城市能够达到中等水平的“进阶”级别。 没有任何被调研的城市能够达到“进阶”以上的级别。 目录 CONTENTS 研究背景········································ 01 一、快速发展的城市数字化进程······························· 01 二、危机四伏的数字城市安全环境····························· 01 三、怎样评估数字城市的网络安全····························· 02 四、调研样本的选取与调研的方法····························· 05 第一章 数字城市网络安全运营成熟度模型· ··············· 07 第二章 数字城市网络安全运营成熟度现状分析············· 09 第三章 数字城市网络安全运营成熟度指标分析············· 12 第四章 不同类型城市网络安全运营成熟度对比············· 17 一、不同类型城市网络安全运营成熟度评级分析·· ················· 17 二、不同类型城市网络安全运营成熟度指标分析·· ················· 19 第五章 长沙市网络安全运营工作与经验简介· ············· 25 一、安全监测建设· ········································ 25 二、安全体系建设 ·· ······································· 27 三、安全制度建设· ········································ 29 四、应急实战演练· ········································ 29 五、网络安全检查· ········································ 30 附录 1 成熟度模型中的不同维度······················· 32 一、战略和规划··········································· 32 二、流程和监管··········································· 34 三、技术和服务··········································· 36 四、人才和经验··········································· 38 五、合规建设· ··········································· 40 附录 2 成熟度模型中的指标评分······················· 43 附录 3 成熟度模型中的评分计算······················· 46 附录 4 奇安信区域发展中心· ························· 49 附录 5 奇安信行业安全研究中心······················· 50 附录 6 奇安星城网络安全运营服务（长沙）有限公司········ 51 附录 7 数字城市网络安全运营中心（天枢）· ············· 53 中国数字城市 2 0 网络安全运营现状分析报告 2 2 研究背景 一、快速发展的城市数字化进程 数字经济的发展推动了现代城市持续不断的数字化转型。市政、交通、金融、 医疗、教育，以及与生产、民生相关的各类行业和领域的发展，对数字化的依赖 程度都在持续提高。调研显示，在某些比较发达的城市，十四五期间平均每年计 划 专 门 投 入 城 市 数 字 化 建 设 的 资 金 规 模， 已 经 超 过 了 其 前 一 年（2021 年）GDP 总额的 5‰，最高可达 8.7‰，这还不包括各行各业企业及民间资本的投入。对于 很多城市来说，数字化建设已经成为城市加速发展的基石。 二、危机四伏的数字城市安全环境 城市数字化进程的高速发展，使得网络安全问题的影响不断凸显。以勒索、 挖矿、APT 等为代表的新型网络攻击活动的持续活跃，引发了全球每年数以千计 的重大网络安全事件，工厂停工、城市停摆的新闻屡见不鲜。数字化的城市正面 临着网络安全的重重危机。 2021 年 2 月，美国佛罗里达州水处理系统遭黑客攻击，攻击者试图将氢氧化 钠的浓度从百万分之 100 更改为百万分之 11100。操作员及时发现了异常才及时 阻止了“灾难”。 2021 年 5 月，挪威公司 Volue 遭到勒索攻击，挪威国内 200 座城市的供水 01 与水处理设施的应用程序被黑客关闭，影响范围覆盖全国约 85% 的居民。 2021 年 5 月，美国最大的燃油管道商 Colonial Pipeline 遭到勒索软件攻击， 导致该公司暂停了所有的管道作业网络，并关闭了一条主要的燃料传输管道。美 国交通部被迫采取紧急措施，放宽了 17 个州的公路运油限制，以免各地燃油短缺。 2021 年 7 月，伊朗铁路系统遭遇网络攻击，攻击者在全国各地车站的显示屏 上大肆发布关于火车延误或取消的虚假信息。 2021 年 10 月，伊朗国有天然气分销企业 NIOPDC 疑似遭到网络攻击，全国 各地的加油站出现软件故障，无法正确计费收款，加油泵屏幕与油价广告牌上还 莫名显示出涉政异常内容。NIOPDC 公司因此临时关闭了加油站运营，司机排长 队等待加油。 2022 年初发生的俄乌冲突进一步加剧了人们对数字城市的安全担忧。在物理 战场之外，包括俄乌在内的多方势力在网络空间这个看不见硝烟的第二战场上激 烈较量，对城市的安全运营造成了前所未有的冲击。未来数字城市，如何才能应 对网络战的冲击，国内城市运营是否有能力应对真实网络战环境的严峻挑战？ 三、怎样评估数字城市的网络安全 在数字城市中，信息化网络将各行各业、各级单位、甚至是城市中的每一个 个体都联结在了一起。但整个城市的网络安全建设水平，并不能简单的等同于每 一个联网个体网络安全建设水平的简单加和，因为城市中的任何一个重要信息系 统或关键信息基础设施被攻破，都有可能给整个城市带来灾难性的后果。数字城 市的网络安全建设，不仅需要科学的顶层规划、有效的基础建设、更需要实战化 的安全运营能力。 02 中国数字城市 2 0 网络安全运营现状分析报告 2 2 目前，国内以长沙、广州、德阳、宜宾、宜昌和宿州等为代表的很多城市已 经开始进行系统性的城市级网络安全规划与建设工作，并已经取得了很多阶段性 成果。但是，我们应该以何种方式、何种标准来评估一座城市整体的网络安全建 设与运营水平，目前在全球范围内，仍没有统一的共识和可信的参考分析模型。 这就使得很多城市在数字化建设过程中，在网络安全问题上无所适从，重新陷入 零敲碎打的补丁式建设，难以发挥实效。 以往，有很多研究机构曾经对企业的数字化建设、网络安全建设、网络安全 运营等工作的成熟度提出了有效的参考模型。 2012 年，美国能源部门首次提出 “网络安全能力成熟度参考模型 C2M2”， 该模型提供了描述性的而非说明性的指导。模型内容以较高的抽象级别表示，因 此可以由不同类型、结构、规模和行业的组织来解释。 2020 年 8 月，赛迪顾问发布《2019 中国安全运营中心调研分析报告》，首 次提出