本文件规定了智慧城市中零信任的总体架构设计要求、技术要求、网络架构以及系统流程。本文件适用于指导智慧城市管理人员及智慧城市建设的研发人员、设计人员、实施人员开展智慧城市零信任系统的开发、规划、设计、集成和部署。

　　传统的基于边界的网络安全架构假设内部的人和设备是可以信任的，同时认为通过防火墙、IPS、WAF等边界安全产品已满足业务系统的边界安全防护需求。智慧城市对于数据的全生命周期管理以及云环境下内部应用系统访问的方式，导致传统基于边界的安全防护措施已不能满足要求，为保证智慧城市业务及数据安全，在智慧城市业务系统的设计中引入零信任技术架构，通过零信任安全机制来消减城市数字化转型所面临的各种安全威胁，为城市数字化转型过程中应用系统的安全设计和安全能力落地提供一个可参考的依据。

　　随着云计算、大数据、物联网、移动互联等新兴IT技术应用到智慧城市场景中，给城市各职能部门的基础设施安全建设带来了极大的复杂性，基础设施的安全边界正在逐渐模糊并且瓦解。云计算、移动互联网、物联网、大数据、人工智能等新兴技术带来的各类智慧应用，一方面提高了城市各职能部门为市民服务的办事效率，另一方面传统的基于边界的网络安全架构和解决方案在包含大量敏感数据的智慧应用安全方面存在以下难点和痛点：

　　a） 移动终端不可控：城市各职能部门移动办公比重越来越高，在用户手机丢失或维修场景下，智慧城市数字化应用及其数据存在泄露风险。

　　b） 网络安全形势日益严峻：以数据和服务为攻击目标的APT攻击能够突破传统网络边界。

　　c） 网络结构复杂：智慧城市中云计算、大数据、物联网、移动互联等新兴技术使IT基础架构发生根本性变化，增加了安全防护难度，数据流动超出了传统边界，使得从外部网络、设备访问政府数据具备了可能，单一、静态的信任评估无法满足复杂需求。

　　d） 网络规则管理成本高：智慧城市丰富的终端接入使得网络节点数量爆发式增长，新的业务场景不断涌现，传统网络规则的管理成本将大幅增加。

　　e） 信息泄密：政府工作人员通过互联网接入智慧城市网络时存在信息泄露、窃听、篡改风险。

　　f）横向攻击无法防御：传统网络安全基于区域的信任无法识别区域内部的横向攻击。

　　g） 边界防护与智慧城市业务耦合度低：边界防护模型无法与智慧城市的业务紧密关联，传统的边界防护对业务的控制只能控制到端口，无法分析访问行为。