本文作者孫建平華為數(shù)據(jù)通信產(chǎn)品線解決方案部部長
新型智慧城市建設是數(shù)字中國的重要內容,是智慧社會的核心載體,是提升城市服務效能和政府治理能力的有效路徑。“十四五”規(guī)劃綱要明確提出要分級分類推進新型智慧城市建設。隨著云計算、大數(shù)據(jù)、IPv6+、物聯(lián)網(wǎng)為代表的新一代信息技術迅猛發(fā)展,正助推城市數(shù)字化轉型,掀起新一輪智慧城市建設熱潮。
城市數(shù)字化轉型安全邊界被打破
城市數(shù)字化轉型典型特征是無線化、移動化和業(yè)務云化,越來越多的物聯(lián)終端自由接入,越來越多的應用遷移上云,為政務業(yè)務系統(tǒng)帶來更多不確定因素:
- 打破訪問邊界:移動辦公、移動執(zhí)法、社區(qū)服務等新業(yè)務場景推出方便了市民、商家、公務員,打破原有系統(tǒng)的訪問邊界;
- 打破物聯(lián)邊界:作為城市信息采集的最佳節(jié)點,物聯(lián)感知設備采集海量數(shù)據(jù),為決策提供客觀依據(jù),打破原有系統(tǒng)的物聯(lián)邊界;
- 打破業(yè)務邊界:業(yè)務系統(tǒng)部署由本地遷移至云端,資源的共享利用也從本地物理機擴展至云端,打破原有系統(tǒng)的業(yè)務邊界;
城市數(shù)字化轉型服務對象由原有服務公務員拓展為服務民眾、商家;部署模式由原有固定網(wǎng)絡接入拓展為無線化和移動化訪問;業(yè)務模式由原來面向辦公自動化和政務信息化改革,逐步擴展為社會精細化治理,總的來說,為新型智慧城市帶來無處不在的聯(lián)接。而泛在物聯(lián)接入、移動化接入和業(yè)務上云,打破原有系統(tǒng)安全邊界,為網(wǎng)絡安全帶來極大挑戰(zhàn)。
威脅變化層出不窮防御模式亟待重新定義
網(wǎng)絡安全的本質是攻防對抗,攻在暗,守在明,并非是一場公平的較量。
對攻擊方而言,目標明確,主動出擊,可采用多種攻擊方式相結合,甚至開發(fā)針對性攻擊工具,直擊業(yè)務系統(tǒng)最薄弱環(huán)節(jié);
對防守方而言,卻顯得十分被動,誰發(fā)起攻擊,什么時候攻擊,如何攻擊等信息很難事先了解,只能從上至下全面布防。
傳統(tǒng)智慧城市安全防護方案多為條塊化,終端、網(wǎng)絡、云、應用等場景化安全方案各自為戰(zhàn),互相之間不兼容、不聯(lián)動,猶如散兵游勇,缺乏宏觀戰(zhàn)略把控和整體布控。
同時,隨著服務對象、部署方式和業(yè)務模式轉變,新型智慧城市存在諸多安全新問題:接入對象不同、接入位置不確定、接入終端規(guī)模大等問題,將導致城市網(wǎng)絡空間暴露面不斷被放大;物聯(lián)感知網(wǎng)中的終端設備分布在城市郊區(qū),廠家不同、標準各異、安全可信度不一,存在被黑客利用的風險;城市數(shù)據(jù)融合上云,傳統(tǒng)安全手段無法有效應對云化和大數(shù)據(jù)環(huán)境下的安全防護。
攻防雙方開始備戰(zhàn)已然失衡,若面對更復雜和高階的安全威脅、原有的固定安全邊界不在等不穩(wěn)定因素的影響,漏檢、誤檢將難以避免,整體安全防線岌岌可危,防御模式亟待重新定義。
云網(wǎng)安一體化方案為智慧城市保駕護航
新型智慧城市的安全建設不僅要做到與信息化“同步規(guī)劃、同步建設、同步運行”,同時也需要與云計算技術、新型網(wǎng)絡技術做到深度融合。安全設計需要對云、對網(wǎng)絡有更加深刻的認識和理解,才能避免信息化和安全“兩張皮”的問題。
2021年6月18日,華為在縣域城市智能體峰會2021期間,舉辦“云網(wǎng)安一體,護航智慧城市”媒體發(fā)布會,與來自張家港大數(shù)據(jù)管理局的嘉賓聯(lián)合發(fā)布《智慧城市云網(wǎng)安一體技術白皮書》,本方案的發(fā)布對智慧城市網(wǎng)絡集約化建設和安全運營具有重要的參考價值和實踐引領作用。
華為云網(wǎng)安一體解決方案旨在打造智能化的未來網(wǎng)絡安全架構,實現(xiàn)風險實時檢測、威脅主動研判,智能全局防控。云網(wǎng)安一體解決方案整體目標架構分為執(zhí)行層、管控層、分析層三個層次。
執(zhí)行層:
指參與業(yè)務交互的物理設備及運行在物理設備之上的應用軟件,由終端、網(wǎng)絡、云三個部分組成,每個部分均包含各自的安全設備。執(zhí)行層在整體架構中負責收集轉發(fā)資產(chǎn)、狀態(tài)、流信息、日志等安全相關信息,并上送給安全大腦,接受從控制器下發(fā)的授權策略和阻斷策略,對終端、用戶、流量進行相應的處置。
管控層:
由終端管理、網(wǎng)絡控制器、安全控制器、云管理平臺組成。向下對執(zhí)行層進行管理控制,向上和安全大數(shù)據(jù)平臺進行協(xié)同,提供溯源等信息,管控層從分析層接受授權、阻斷、查詢策略并下發(fā)給執(zhí)行層,是實現(xiàn)自動化阻斷和溯源的關鍵部件。
分析層:
由網(wǎng)絡安全態(tài)勢感知平臺、云安全分析平臺和安全大腦組成。在整體架構中通過智能算法對所有信息進行綜合分析和研判,并將全網(wǎng)安全態(tài)勢進行統(tǒng)一呈現(xiàn),對于需要處置的事件下發(fā)給控制器進行處理,是云網(wǎng)安一體架構的核心。
智慧城市云網(wǎng)安一體解決方案包括零信任安全、云網(wǎng)安協(xié)同、網(wǎng)絡安全服務三大領先能力:
零信任安全:
采用業(yè)界最新的零信任理念,以身份和授權為抓手,構建終端、用戶、網(wǎng)絡、應用四維零信任,高效管控業(yè)務風險。
終端側針對辦公終端和物聯(lián)網(wǎng)終端,采用終端標識,終端可信準入驗證,實現(xiàn)終端零信任;用戶側對訪問的主體進行統(tǒng)一的身份標識、高可信身份驗證,實現(xiàn)身份零信任;網(wǎng)絡側采用深度包檢測技術,結合沙箱、蜜罐等主動安全技術,進行全面的威脅檢測與防御,實現(xiàn)流量的零信任;應用側采取單一應用訪問入口的方式,為所有的應用進行集中管控;同時,持續(xù)對終端、用戶和訪問行為可信任程度進行評估,動態(tài)調整每次用戶訪問不同應用的最低授權,實現(xiàn)訪問的零信任。在四維零信任機制下,實現(xiàn)業(yè)務層面端到端可信可控。
云網(wǎng)安協(xié)同:
- 云網(wǎng)安協(xié)同解決方案通過收集網(wǎng)絡流量、安全日志、漏洞掃描日志、主機安全等安全威脅事件信息,進行統(tǒng)一綜合研判,提升安全分析精準率,實現(xiàn)精準溯源,對于違規(guī)的主體立即就近阻斷,實現(xiàn)云網(wǎng)安一體防護和一體運營。
- 云網(wǎng)安協(xié)同方案能對所有可能的攻擊經(jīng)進行全面分析,采集更全;云端智能大數(shù)據(jù)分析實現(xiàn)威脅告警準確率大于90%,分析更準;云網(wǎng)端安一起提供更詳細攻擊信息,溯源更準;可實現(xiàn)威脅分鐘級閉環(huán),處置更快。
網(wǎng)絡安全服務:
為了解決安全運維業(yè)務中的運維工作量大,運維難度高、實際防御效果差的問題,華為創(chuàng)新性地提出華為乾坤安全云服務的業(yè)務模式,通過云邊融合的創(chuàng)新架構,打造簡單高效、安全可靠的云化安全服務。
乾指云端,在云端提供全面安全能力按需訂閱,云端專家+自動化智能精準分析,全天候無憂運維服務。坤指本地,在政府各委辦局單位、學校、醫(yī)院和重點企業(yè)等接入邊緣部署天關盒子,作為安全防御節(jié)點,既對進出流量進行反病毒、IPS等深度安全檢測,同時上送安全日志及取證數(shù)據(jù)至安全云服務平臺,并執(zhí)行安全云服務平臺下發(fā)的防護策略。云端安全運維專家,提供安全威脅會診,明確的安全事件直接由云端自動化處置,可疑事件經(jīng)過云端精確判斷給出處置建議。
在運營層面,建議由政府統(tǒng)籌統(tǒng)建部門(如,大數(shù)據(jù)局)牽頭,聯(lián)合華為、本地智慧城市運營公司、合作伙伴和運營商多方共建。以運營為支點,面向全市政府部門和企事業(yè)單位推廣安全等保建設和運營服務,實現(xiàn)安全合規(guī)建設和安全監(jiān)管訴求標準化,降低城市安全整體投資,構筑安全新范式。
華為云網(wǎng)安一體解決方案,采用零信任理念、一體化架構、云服務運營,為城市物聯(lián)網(wǎng)、政務園區(qū)網(wǎng)、政務外網(wǎng)和政務云提供端到端一體化安全保障。在未來,華為將攜手新型智慧城市相關建設單位開展云網(wǎng)安一體聯(lián)合創(chuàng)新,致力于打造城市數(shù)字化底座,為智慧城市建設保駕護航。
掃描二維碼下載《智慧城市云網(wǎng)安一體技術白皮書》
