我国智慧城市信息安全的现状与思考（五）

       3. 智慧城市的业务安全评估。由于传统的风险评估方法是以信息系统及相关资产为评估对象，很难发现业务层面的问题，而智慧城市是交通、医疗、电力等各类智慧应用的组合，政府企业和用户关心的也是业务的安全运行。面对如此庞大的应用群体，同时鉴于智慧城市功能的跨行业、跨部门的特点，且无标准遵循，必须结合特定对象定义智慧城市安全评估。在此背景下，采取基于EA 模型的业务安全评估方法从安全需求分析与映射、现场测试和业务影响评估三个方面对智慧城市进行安全评估是比较贴切的方法。首先识别智慧城市业务价值链，将关键业务映射到智慧城市智慧应用的行政管理层、应用层、数据层和物理层，从而确定各层次的评估范围。其次从智慧城市建设的信息安全合规性安全需求、智慧业务规则安全需求和风险控制安全需求三个方面对智慧城市进行安全需求分析，以此来确定安全评估内容。随后根据分析导出的评估内容进行现场测试和检查，最后根据分析发现的局部性的业务安全问题来综合评估对智慧城市整体的业务安全影响。通过该方法能够发现传统面向资产的评估方法很难发现的业务层面的问题，能够满足智慧城市保障业务安全运行的安全需求，提高了智慧城市评估工作的有效性和针对性。
       当然以上只是智能城市安全评估中的几个方式的思考，智慧城市的安全不能使用一个特定的模式来评估，也不能完全按照标准去执行，需根据其特定的时期和安全需求去针对性的进行动态的评估。进行智慧城市信息安全风险评估，就是要防范和化解信息安全风险，或者将风险控制在可接受的水平，从而为最大限度的保障智慧城市网络和信息安全提供科学依据。信息安全风险评估的成果也给未来建立智慧城市信息安全保障体系提供了最佳行业实践的素材，是基础也是前提。

                                                                                 来源：中国信息安全网