首頁 > 公文范文 > 關(guān)于智慧城市中網(wǎng)絡(luò)安全架構(gòu)設(shè)計研究
時間:2023-05-12 09:19:11
序論:寫作是一種深度的自我表達(dá)。它要求我們深入探索自己的思想和情感,挖掘那些隱藏在內(nèi)心深處的真相,好投稿為您帶來了一篇關(guān)于智慧城市中網(wǎng)絡(luò)安全架構(gòu)設(shè)計研究范文,愿它們成為您寫作過程中的靈感催化劑,助力您的創(chuàng)作。
摘要:近年來智慧城市建設(shè)開展得如火如荼,智慧城市應(yīng)用不斷融入居民生活的方方面面。智慧城市作為城市新的發(fā)展模式,保證智慧城市中的信息系統(tǒng)安全,建設(shè)智慧城市相適應(yīng)的安全保障體系尤為重要。本文從分析現(xiàn)今智慧城市中常見的網(wǎng)絡(luò)安全問題入手,從智慧城市的重點需求中提出適應(yīng)需求的網(wǎng)絡(luò)安全架構(gòu)設(shè)計。
關(guān)鍵詞:智慧城市;網(wǎng)絡(luò)安全架構(gòu)
智慧城市作為城市發(fā)展的新理念,是推動政府職能轉(zhuǎn)變、推進(jìn)社會管理創(chuàng)新的新方法。智慧城市以物聯(lián)網(wǎng)、云計算、大數(shù)據(jù)、5G技術(shù)為核心,通過對城市數(shù)據(jù)感知、檢測、分析,能對城市生活中的各類需求作出迅速、靈活、準(zhǔn)確的反應(yīng),能為市民營造綠色、和諧環(huán)境,提供泛在、便捷、高效服務(wù)。智慧城市建設(shè)離不開信息系統(tǒng),如何保障物理城市和網(wǎng)絡(luò)環(huán)境下的智慧服務(wù)之間的虛實共存,確保其間流動的數(shù)據(jù)信息安全、信息系統(tǒng)安全、服務(wù)平臺安全健康發(fā)展。構(gòu)建滿足智慧城市網(wǎng)絡(luò)安全要求是建設(shè)智慧城市安全基線的重要組成。
1智慧城市網(wǎng)絡(luò)安全現(xiàn)狀及安全問題
城市中常見的網(wǎng)絡(luò)威脅包括:網(wǎng)絡(luò)監(jiān)聽、口令攻擊、拒絕服務(wù)攻擊(DoS)、漏洞攻擊、僵尸網(wǎng)絡(luò)、網(wǎng)絡(luò)釣魚、網(wǎng)絡(luò)欺騙和網(wǎng)站安全威脅等。
(1)數(shù)據(jù)共享亟待解決“數(shù)據(jù)孤島”問題
智慧城市以信息技術(shù)和產(chǎn)業(yè)為建設(shè)基礎(chǔ),依托信息網(wǎng)絡(luò),以實現(xiàn)政府管理現(xiàn)代化、城市服務(wù)便捷高效為目的。在提高政府和社會各類單位數(shù)字化的水平過程中,城市數(shù)據(jù)不斷產(chǎn)生、匯聚,大數(shù)據(jù)的產(chǎn)生帶來分析使用價值。為提高數(shù)據(jù)資源的利用率,數(shù)據(jù)資源共享成為社會服務(wù)中的迫切需求。傳統(tǒng)的安全保障技術(shù)(如信息加密、監(jiān)控審計、漏洞掃描以及防火墻等)多作用于邏輯隔離或邏輯封閉的網(wǎng)絡(luò)信息系統(tǒng)[1]。運用于當(dāng)前云平臺、物聯(lián)網(wǎng)等應(yīng)用服務(wù)時無法迅速處理協(xié)同化。傳統(tǒng)的數(shù)據(jù)邊界隔離的安全保護(hù)策略讓“數(shù)據(jù)孤島”不斷產(chǎn)生。開放式環(huán)境下,城市數(shù)據(jù)信息不斷受到網(wǎng)絡(luò)安全的威脅,智慧城市建設(shè)的目標(biāo)需要原本隔離的安全邊界破除后走向融合,構(gòu)建新的安全防護(hù)。
(2)拓展的應(yīng)用服務(wù)帶來的權(quán)限問題
隨著智慧城市的信息化系統(tǒng)的應(yīng)用不斷拓展,智能設(shè)備接入數(shù)量快速增長,應(yīng)用服務(wù)更加全面的同時服務(wù)生態(tài)更加復(fù)雜,參與其間服務(wù)的角色多元化,眾多的應(yīng)用服務(wù)使用者和服務(wù)提供者給信息系統(tǒng)管理者帶來了復(fù)雜的權(quán)限問題。確保智慧城市中所有參與者能夠安全、合規(guī)地訪問被授權(quán)的業(yè)務(wù)應(yīng)用和資源數(shù)據(jù)成為網(wǎng)絡(luò)安全的重要部分。現(xiàn)存的網(wǎng)絡(luò)安全問題有:一是政府或企業(yè)在數(shù)據(jù)收集問題上沒有嚴(yán)格按照“數(shù)據(jù)收集最小化”的原則,數(shù)據(jù)管理方的人員因數(shù)據(jù)價值的吸引過度收集用戶數(shù)據(jù),甚至違規(guī)獲取、分析數(shù)據(jù),并將數(shù)據(jù)在沒有脫敏處理的情況下泄露;二是外部來訪人員借助網(wǎng)絡(luò)攻擊技術(shù)獲取訪問權(quán)限竊取或破壞數(shù)據(jù)造成數(shù)據(jù)安全問題。
(3)傳統(tǒng)的安全架構(gòu)對網(wǎng)絡(luò)威脅的識別能力不足
傳統(tǒng)的網(wǎng)絡(luò)安全方案是“特征匹配”這種防御方案往往會滯后病毒和不斷發(fā)展的黑客技術(shù)。“特征匹配”可以通過病毒庫的“規(guī)則集”來識別病毒,病毒庫就是一個防御病毒的事后經(jīng)驗庫,因為是網(wǎng)絡(luò)防御的事后總結(jié),所以這種網(wǎng)絡(luò)架構(gòu)下的防御顯得過時。網(wǎng)絡(luò)安全管理員無法從眾多告警報告中快速反應(yīng)配置防御方案,只有系統(tǒng)被攻破,數(shù)據(jù)信息被破壞才能察覺并作出相應(yīng)的補救。但是智慧城市信息系統(tǒng)的業(yè)務(wù)平臺和應(yīng)用服務(wù)需要穩(wěn)定高效地運行,這就需及時發(fā)現(xiàn)網(wǎng)絡(luò)攻擊,并在最短的時間內(nèi)進(jìn)行應(yīng)急處置和追蹤溯源,最大程度降低網(wǎng)絡(luò)攻擊的影響保證基礎(chǔ)平臺和應(yīng)用服務(wù)的安全運行。
(4)網(wǎng)絡(luò)安全風(fēng)險導(dǎo)致物理環(huán)境故障
智慧城市建設(shè)中的底層物聯(lián)感知層,讓城市的建筑、家居、公共設(shè)施和人成為了密不可分的整體。城市基礎(chǔ)設(shè)施建設(shè)數(shù)字化建設(shè)和智慧家居的設(shè)備和一切傳感器終端,構(gòu)造了智慧城市智慧運行的基礎(chǔ)。關(guān)于智慧城市信息化系統(tǒng)的網(wǎng)絡(luò)安全威脅不僅會造成數(shù)據(jù)信息、應(yīng)用服務(wù)的丟失、損毀和終端。更嚴(yán)重的會讓城市的基礎(chǔ)設(shè)施(水、電、暖等)在網(wǎng)絡(luò)攻擊中造成硬件故障,導(dǎo)致物理環(huán)境下的實質(zhì)性影響。
2智慧城市建設(shè)中面臨的網(wǎng)絡(luò)安全重點問題
(1)傳統(tǒng)網(wǎng)絡(luò)安全防御架構(gòu)協(xié)同聯(lián)動性差
傳統(tǒng)的網(wǎng)絡(luò)安全架構(gòu)都會在外網(wǎng)的邊界部署防火墻、入侵檢測系統(tǒng)和入侵防御系統(tǒng)、VPN網(wǎng)關(guān)等安全設(shè)施把網(wǎng)絡(luò)劃分成不同的區(qū)域,實現(xiàn)外網(wǎng)和內(nèi)網(wǎng)之間的邏輯隔離,形成以邊界防護(hù)為核心的安全防御體系。對于傳統(tǒng)的安全防御架構(gòu),內(nèi)部核心區(qū)的安全防護(hù)相對較弱。因為邊界防御造成的安全區(qū)域相互隔離,安全設(shè)備的協(xié)同反應(yīng),聯(lián)合應(yīng)對能力差。邊界隔離區(qū)的防護(hù)一旦突破,內(nèi)部核心數(shù)據(jù)區(qū)就可以任意獲取,邊界保護(hù)內(nèi)部資源的功能喪失。在面對新型攻擊、位置威脅的網(wǎng)絡(luò)攻擊下,傳統(tǒng)的網(wǎng)絡(luò)安全架構(gòu)應(yīng)對也比較乏力。
(2)海量終端接入智慧服務(wù)平臺,設(shè)備的安全管控難
智慧城市提供的泛在、便捷、高效服務(wù)離不開海量終端設(shè)備的接入,接入設(shè)備不但實現(xiàn)了城市基礎(chǔ)數(shù)據(jù)的采集,還提供各類服務(wù)的基礎(chǔ)。目前在智慧城市建設(shè)中的基礎(chǔ)設(shè)施建設(shè),越來越多的終端接入智慧服務(wù)平臺,終端設(shè)備的管控難度不斷提升。很多用來采集信息的智能傳感器(攝像頭、溫度、壓力、流量傳感器、門禁設(shè)備等)因為缺乏安全措施防護(hù),很容易受到網(wǎng)絡(luò)攻擊,造成數(shù)據(jù)信息泄露的事件不斷發(fā)生。導(dǎo)致相當(dāng)一部分的終端設(shè)備,用戶數(shù)據(jù)泄露不時發(fā)生。通過技術(shù)手段解決終端的安全接入,優(yōu)化用戶體驗感,實現(xiàn)了用戶在無感的情況下對終端的安全防控和監(jiān)管。
(3)智慧城市信息化系統(tǒng)安全運維保障不足
智慧城市建設(shè)過程中會有很多配套的信息系統(tǒng)項目同步建設(shè),在信息系統(tǒng)項目建設(shè)中,信息系統(tǒng)安全管理存在于項目的整個生命周期。其中項目正式發(fā)布上線后保障軟件系統(tǒng)正常、穩(wěn)定運行的安全運維尤為重要。現(xiàn)在的智慧城市的網(wǎng)絡(luò)安全運維常常外包給第三方,因為第三方?jīng)]有直接參與項目,對具體的安全架構(gòu)并不是很了解。主要完成定期查殺、系統(tǒng)更新、補丁加載、安全策略升級等常規(guī)工作。但面對重大安全漏洞的檢測和重大安全事件的應(yīng)急處置能力都比較薄弱,難以滿足智慧城市中網(wǎng)絡(luò)安全的要求。第三方的運維,安全管理和安全技術(shù)不能協(xié)調(diào)發(fā)展,運維安全管理手段滯后,安全管理制度難以體現(xiàn)在日常運維工作中,安全管理制度落地缺乏跟蹤和反饋。
3智慧城市中網(wǎng)絡(luò)安全架構(gòu)設(shè)計
3.1智慧城市建設(shè)中問題的應(yīng)對建議
(1)面對“傳統(tǒng)安全構(gòu)架中邊界防御思路缺乏協(xié)同”的問題,要以智慧城市建設(shè)的安全管理規(guī)劃為中心,以智慧城市的頂層設(shè)計為指導(dǎo),構(gòu)建全域安全訪問服務(wù)邊緣架構(gòu),實現(xiàn)網(wǎng)絡(luò)全域的可擴展、靈活的,提供整個網(wǎng)絡(luò)協(xié)同反應(yīng)的主動防御架構(gòu)。
(2)對于傳統(tǒng)的網(wǎng)絡(luò)安全機構(gòu)對智能終端設(shè)備的安全控制能力低的問題。不單是設(shè)備的安全標(biāo)準(zhǔn)規(guī)范欠缺的問題,更凸顯了網(wǎng)絡(luò)安全防護(hù)薄弱。終端設(shè)備的安全合規(guī)是基礎(chǔ),亟須建設(shè)按照信息系統(tǒng)全生命周期設(shè)計的安全保護(hù)架構(gòu),保障智慧城市的物聯(lián)感知層安全可控。
(3)智慧城市的信息系統(tǒng)項目在交付驗收之后,軟件系統(tǒng)的運維就是保證信息系統(tǒng)安全穩(wěn)定的關(guān)鍵。而面對網(wǎng)絡(luò)攻擊,往往出現(xiàn)安全運維能力不足的問題。我們在建立全網(wǎng)主動防御安全架構(gòu)的同時,完善安全管理制度,充分利用網(wǎng)絡(luò)運維新技術(shù)實現(xiàn)全網(wǎng)絡(luò)安全感知,建立安全威脅的預(yù)警機制。同時加強網(wǎng)絡(luò)安全員的專業(yè)技能培訓(xùn),提高網(wǎng)絡(luò)運維人員的解決問題的能力。
3.2智慧城市的安全架構(gòu)設(shè)計
智慧城市的整體安全方案需要建立一個安全運維中心進(jìn)行智慧城市信息系統(tǒng)的統(tǒng)一安全運營,抵御網(wǎng)絡(luò)各式攻擊。以下分四個部分實現(xiàn)智慧城市的網(wǎng)絡(luò)安全架構(gòu)的建設(shè)。
(1)提高軟件產(chǎn)品自身安全性
智慧城市的信息系統(tǒng)項目依靠各類相關(guān)的軟件產(chǎn)品實現(xiàn)城市服務(wù)。以智慧城市信息系統(tǒng)在受到網(wǎng)絡(luò)攻擊時,系統(tǒng)可保持的狀態(tài)并在適應(yīng)攻擊下保障系統(tǒng)運行,服務(wù)不間斷為目標(biāo)。通過所有依托信息系統(tǒng)的軟件產(chǎn)品自身的安全性的提高,減少軟件開發(fā)過程中的漏洞,加強軟件產(chǎn)品控制管理和變更管理,實現(xiàn)智慧城市的基礎(chǔ)組件內(nèi)生安全,建立智慧城市內(nèi)部的具備韌性的安全體系。
(2)建立“零信任”網(wǎng)絡(luò)安全模型
基于“零信任”的新一代網(wǎng)絡(luò)安全技術(shù)架構(gòu),堅持“持續(xù)驗證,永不信任”的原則,采用個人身份訪問和動態(tài)環(huán)境風(fēng)險評估結(jié)合,實現(xiàn)業(yè)務(wù)資源訪問的最小權(quán)限控制[2]。基于“零信任”的安全模型不再以IP地址作為網(wǎng)絡(luò)訪問授權(quán)的依據(jù),將人、機、設(shè)備通過身份訪問控制技術(shù)實現(xiàn)統(tǒng)一管理。接入環(huán)境只有通過認(rèn)證和授權(quán)才能允許單次有效訪問。在認(rèn)證和授權(quán)的過程中需要通過多種因子的認(rèn)證來實現(xiàn)對終端設(shè)備的校驗。認(rèn)證校驗通過后會根據(jù)接入環(huán)境的安全參數(shù)進(jìn)行評估作出信任等級,根據(jù)信任等級授權(quán)[2]。對于取得連接的設(shè)備,“零信任”安全模型(SDP)并沒有停止監(jiān)控,SDP會持續(xù)監(jiān)測終端設(shè)備的接入環(huán)境和安全配置參數(shù)[3],動態(tài)調(diào)整連接設(shè)備的信任度和授權(quán)等級,確保接入設(shè)備的可信邊界,避免信息泄露。
(3)構(gòu)建以信息資源為核心的聯(lián)防安全體系
智慧城市的核心是信息資源,構(gòu)建以保護(hù)信息資源為核心的安全防護(hù)體系,就是要建立覆蓋信息從產(chǎn)生到消亡整個生命周期的安全防護(hù)體系。加強信息采集、傳輸、交換、反饋等關(guān)鍵環(huán)節(jié)的保障建設(shè),綜合利用數(shù)據(jù)加密、存儲加密、數(shù)字簽名、認(rèn)證和奇偶校驗等技術(shù)[4],實現(xiàn)信息在傳輸過程中的安全性。而構(gòu)建協(xié)同的安全防護(hù)體系可以實現(xiàn)智慧城市安全監(jiān)控平臺的統(tǒng)一指揮,保證智慧服務(wù)云平臺、網(wǎng)絡(luò)接入設(shè)備對網(wǎng)絡(luò)安全威脅的及時預(yù)警,快速分析、統(tǒng)一部署,形成應(yīng)對網(wǎng)絡(luò)攻擊的快速聯(lián)動閉環(huán)處理。
(4)建設(shè)智慧城市的安全運維“大腦”
建設(shè)智慧城市統(tǒng)一指揮的安全運維平臺,擔(dān)負(fù)智慧城市網(wǎng)絡(luò)安全的主體責(zé)任。安全運維平臺利用大數(shù)據(jù)技術(shù),通過網(wǎng)絡(luò)日志收集所有網(wǎng)絡(luò)威脅的信息,分析網(wǎng)絡(luò)威脅的各類屬性,建立相應(yīng)的知識庫,幫助城市在網(wǎng)絡(luò)安全方面實現(xiàn)智慧分析和決策。通過實時動態(tài)對網(wǎng)絡(luò)數(shù)據(jù)的監(jiān)控,分析網(wǎng)絡(luò)安全等級,并作出安全防御部署,從而讓網(wǎng)絡(luò)威脅得到快速處置。提升安全管理決策的科學(xué)性和精準(zhǔn)性。
4結(jié)束語
本文從建設(shè)智慧城市過程中屢見不鮮的網(wǎng)絡(luò)安全現(xiàn)狀入手,通過對智慧城市中的網(wǎng)絡(luò)安全問題分析,總結(jié)了傳統(tǒng)安全架構(gòu)在智慧城市建設(shè)中存在的主要問題,提出了針對這些問題智慧城市建設(shè)的網(wǎng)絡(luò)安全需求。以此需求為基礎(chǔ),提出智慧城市從基礎(chǔ)軟件組件安全、內(nèi)部訪問安全、信息安全和統(tǒng)一的安全運維指揮平臺的網(wǎng)絡(luò)安全架構(gòu)的構(gòu)想。本設(shè)計由粗到細(xì)(從軟件產(chǎn)品到數(shù)據(jù)信息),從局部到整體(從訪問機制到統(tǒng)一指揮決策平臺),以安全為基礎(chǔ),方案可行和產(chǎn)品技術(shù)合規(guī)為目標(biāo),通過大數(shù)據(jù)、“零信任”訪問控制模型等技術(shù)減少核心數(shù)據(jù)的暴露率,避免惡意攻擊,增強智慧城市本身的韌性。
參考文獻(xiàn):
[1]孫亮.網(wǎng)絡(luò)信息安全在智慧城市建設(shè)中的威脅與應(yīng)對[J].江蘇通信,2018,34(06):73.
[2]龐浩,何淵文.基于零信任的網(wǎng)絡(luò)安全架構(gòu)研究與應(yīng)用[J].廣東通信技術(shù),2022,42(02):64.
[3]陳本峰,李雨航,高巍,等.零信任網(wǎng)絡(luò)安全軟件定義邊界SDP技術(shù)架構(gòu)指南書籍[M].電子工業(yè)出版社,2021:34-38.
[4]彭凌志.5G網(wǎng)絡(luò)下的智慧城市移動通信系統(tǒng)建設(shè)[J].信息通信,2020(06):271-272.
作者:趙姍 李任斯 茹黃娜 單位:中共西安市委黨校