本文作者孫建平華為數(shù)據(jù)通信產(chǎn)品線解決方案部部長(zhǎng)
新型智慧城市建設(shè)是數(shù)字中國(guó)的重要內(nèi)容,是智慧社會(huì)的核心載體,是提升城市服務(wù)效能和政府治理能力的有效路徑。“十四五”規(guī)劃綱要明確提出要分級(jí)分類推進(jìn)新型智慧城市建設(shè)。隨著云計(jì)算、大數(shù)據(jù)、IPv6+、物聯(lián)網(wǎng)為代表的新一代信息技術(shù)迅猛發(fā)展,正助推城市數(shù)字化轉(zhuǎn)型,掀起新一輪智慧城市建設(shè)熱潮。
城市數(shù)字化轉(zhuǎn)型安全邊界被打破
城市數(shù)字化轉(zhuǎn)型典型特征是無線化、移動(dòng)化和業(yè)務(wù)云化,越來越多的物聯(lián)終端自由接入,越來越多的應(yīng)用遷移上云,為政務(wù)業(yè)務(wù)系統(tǒng)帶來更多不確定因素:
- 打破訪問邊界:移動(dòng)辦公、移動(dòng)執(zhí)法、社區(qū)服務(wù)等新業(yè)務(wù)場(chǎng)景推出方便了市民、商家、公務(wù)員,打破原有系統(tǒng)的訪問邊界;
- 打破物聯(lián)邊界:作為城市信息采集的最佳節(jié)點(diǎn),物聯(lián)感知設(shè)備采集海量數(shù)據(jù),為決策提供客觀依據(jù),打破原有系統(tǒng)的物聯(lián)邊界;
- 打破業(yè)務(wù)邊界:業(yè)務(wù)系統(tǒng)部署由本地遷移至云端,資源的共享利用也從本地物理機(jī)擴(kuò)展至云端,打破原有系統(tǒng)的業(yè)務(wù)邊界;
城市數(shù)字化轉(zhuǎn)型服務(wù)對(duì)象由原有服務(wù)公務(wù)員拓展為服務(wù)民眾、商家;部署模式由原有固定網(wǎng)絡(luò)接入拓展為無線化和移動(dòng)化訪問;業(yè)務(wù)模式由原來面向辦公自動(dòng)化和政務(wù)信息化改革,逐步擴(kuò)展為社會(huì)精細(xì)化治理,總的來說,為新型智慧城市帶來無處不在的聯(lián)接。而泛在物聯(lián)接入、移動(dòng)化接入和業(yè)務(wù)上云,打破原有系統(tǒng)安全邊界,為網(wǎng)絡(luò)安全帶來極大挑戰(zhàn)。
威脅變化層出不窮防御模式亟待重新定義
網(wǎng)絡(luò)安全的本質(zhì)是攻防對(duì)抗,攻在暗,守在明,并非是一場(chǎng)公平的較量。
對(duì)攻擊方而言,目標(biāo)明確,主動(dòng)出擊,可采用多種攻擊方式相結(jié)合,甚至開發(fā)針對(duì)性攻擊工具,直擊業(yè)務(wù)系統(tǒng)最薄弱環(huán)節(jié);
對(duì)防守方而言,卻顯得十分被動(dòng),誰發(fā)起攻擊,什么時(shí)候攻擊,如何攻擊等信息很難事先了解,只能從上至下全面布防。
傳統(tǒng)智慧城市安全防護(hù)方案多為條塊化,終端、網(wǎng)絡(luò)、云、應(yīng)用等場(chǎng)景化安全方案各自為戰(zhàn),互相之間不兼容、不聯(lián)動(dòng),猶如散兵游勇,缺乏宏觀戰(zhàn)略把控和整體布控。
同時(shí),隨著服務(wù)對(duì)象、部署方式和業(yè)務(wù)模式轉(zhuǎn)變,新型智慧城市存在諸多安全新問題:接入對(duì)象不同、接入位置不確定、接入終端規(guī)模大等問題,將導(dǎo)致城市網(wǎng)絡(luò)空間暴露面不斷被放大;物聯(lián)感知網(wǎng)中的終端設(shè)備分布在城市郊區(qū),廠家不同、標(biāo)準(zhǔn)各異、安全可信度不一,存在被黑客利用的風(fēng)險(xiǎn);城市數(shù)據(jù)融合上云,傳統(tǒng)安全手段無法有效應(yīng)對(duì)云化和大數(shù)據(jù)環(huán)境下的安全防護(hù)。
攻防雙方開始備戰(zhàn)已然失衡,若面對(duì)更復(fù)雜和高階的安全威脅、原有的固定安全邊界不在等不穩(wěn)定因素的影響,漏檢、誤檢將難以避免,整體安全防線岌岌可危,防御模式亟待重新定義。
云網(wǎng)安一體化方案為智慧城市保駕護(hù)航
新型智慧城市的安全建設(shè)不僅要做到與信息化“同步規(guī)劃、同步建設(shè)、同步運(yùn)行”,同時(shí)也需要與云計(jì)算技術(shù)、新型網(wǎng)絡(luò)技術(shù)做到深度融合。安全設(shè)計(jì)需要對(duì)云、對(duì)網(wǎng)絡(luò)有更加深刻的認(rèn)識(shí)和理解,才能避免信息化和安全“兩張皮”的問題。
2021年6月18日,華為在縣域城市智能體峰會(huì)2021期間,舉辦“云網(wǎng)安一體,護(hù)航智慧城市”媒體發(fā)布會(huì),與來自張家港大數(shù)據(jù)管理局的嘉賓聯(lián)合發(fā)布《智慧城市云網(wǎng)安一體技術(shù)白皮書》,本方案的發(fā)布對(duì)智慧城市網(wǎng)絡(luò)集約化建設(shè)和安全運(yùn)營(yíng)具有重要的參考價(jià)值和實(shí)踐引領(lǐng)作用。
華為云網(wǎng)安一體解決方案旨在打造智能化的未來網(wǎng)絡(luò)安全架構(gòu),實(shí)現(xiàn)風(fēng)險(xiǎn)實(shí)時(shí)檢測(cè)、威脅主動(dòng)研判,智能全局防控。云網(wǎng)安一體解決方案整體目標(biāo)架構(gòu)分為執(zhí)行層、管控層、分析層三個(gè)層次。
執(zhí)行層:
指參與業(yè)務(wù)交互的物理設(shè)備及運(yùn)行在物理設(shè)備之上的應(yīng)用軟件,由終端、網(wǎng)絡(luò)、云三個(gè)部分組成,每個(gè)部分均包含各自的安全設(shè)備。執(zhí)行層在整體架構(gòu)中負(fù)責(zé)收集轉(zhuǎn)發(fā)資產(chǎn)、狀態(tài)、流信息、日志等安全相關(guān)信息,并上送給安全大腦,接受從控制器下發(fā)的授權(quán)策略和阻斷策略,對(duì)終端、用戶、流量進(jìn)行相應(yīng)的處置。
管控層:
由終端管理、網(wǎng)絡(luò)控制器、安全控制器、云管理平臺(tái)組成。向下對(duì)執(zhí)行層進(jìn)行管理控制,向上和安全大數(shù)據(jù)平臺(tái)進(jìn)行協(xié)同,提供溯源等信息,管控層從分析層接受授權(quán)、阻斷、查詢策略并下發(fā)給執(zhí)行層,是實(shí)現(xiàn)自動(dòng)化阻斷和溯源的關(guān)鍵部件。
分析層:
由網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)、云安全分析平臺(tái)和安全大腦組成。在整體架構(gòu)中通過智能算法對(duì)所有信息進(jìn)行綜合分析和研判,并將全網(wǎng)安全態(tài)勢(shì)進(jìn)行統(tǒng)一呈現(xiàn),對(duì)于需要處置的事件下發(fā)給控制器進(jìn)行處理,是云網(wǎng)安一體架構(gòu)的核心。
智慧城市云網(wǎng)安一體解決方案包括零信任安全、云網(wǎng)安協(xié)同、網(wǎng)絡(luò)安全服務(wù)三大領(lǐng)先能力:
零信任安全:
采用業(yè)界最新的零信任理念,以身份和授權(quán)為抓手,構(gòu)建終端、用戶、網(wǎng)絡(luò)、應(yīng)用四維零信任,高效管控業(yè)務(wù)風(fēng)險(xiǎn)。
終端側(cè)針對(duì)辦公終端和物聯(lián)網(wǎng)終端,采用終端標(biāo)識(shí),終端可信準(zhǔn)入驗(yàn)證,實(shí)現(xiàn)終端零信任;用戶側(cè)對(duì)訪問的主體進(jìn)行統(tǒng)一的身份標(biāo)識(shí)、高可信身份驗(yàn)證,實(shí)現(xiàn)身份零信任;網(wǎng)絡(luò)側(cè)采用深度包檢測(cè)技術(shù),結(jié)合沙箱、蜜罐等主動(dòng)安全技術(shù),進(jìn)行全面的威脅檢測(cè)與防御,實(shí)現(xiàn)流量的零信任;應(yīng)用側(cè)采取單一應(yīng)用訪問入口的方式,為所有的應(yīng)用進(jìn)行集中管控;同時(shí),持續(xù)對(duì)終端、用戶和訪問行為可信任程度進(jìn)行評(píng)估,動(dòng)態(tài)調(diào)整每次用戶訪問不同應(yīng)用的最低授權(quán),實(shí)現(xiàn)訪問的零信任。在四維零信任機(jī)制下,實(shí)現(xiàn)業(yè)務(wù)層面端到端可信可控。
云網(wǎng)安協(xié)同:
- 云網(wǎng)安協(xié)同解決方案通過收集網(wǎng)絡(luò)流量、安全日志、漏洞掃描日志、主機(jī)安全等安全威脅事件信息,進(jìn)行統(tǒng)一綜合研判,提升安全分析精準(zhǔn)率,實(shí)現(xiàn)精準(zhǔn)溯源,對(duì)于違規(guī)的主體立即就近阻斷,實(shí)現(xiàn)云網(wǎng)安一體防護(hù)和一體運(yùn)營(yíng)。
- 云網(wǎng)安協(xié)同方案能對(duì)所有可能的攻擊經(jīng)進(jìn)行全面分析,采集更全;云端智能大數(shù)據(jù)分析實(shí)現(xiàn)威脅告警準(zhǔn)確率大于90%,分析更準(zhǔn);云網(wǎng)端安一起提供更詳細(xì)攻擊信息,溯源更準(zhǔn);可實(shí)現(xiàn)威脅分鐘級(jí)閉環(huán),處置更快。
網(wǎng)絡(luò)安全服務(wù):
為了解決安全運(yùn)維業(yè)務(wù)中的運(yùn)維工作量大,運(yùn)維難度高、實(shí)際防御效果差的問題,華為創(chuàng)新性地提出華為乾坤安全云服務(wù)的業(yè)務(wù)模式,通過云邊融合的創(chuàng)新架構(gòu),打造簡(jiǎn)單高效、安全可靠的云化安全服務(wù)。
乾指云端,在云端提供全面安全能力按需訂閱,云端專家+自動(dòng)化智能精準(zhǔn)分析,全天候無憂運(yùn)維服務(wù)。坤指本地,在政府各委辦局單位、學(xué)校、醫(yī)院和重點(diǎn)企業(yè)等接入邊緣部署天關(guān)盒子,作為安全防御節(jié)點(diǎn),既對(duì)進(jìn)出流量進(jìn)行反病毒、IPS等深度安全檢測(cè),同時(shí)上送安全日志及取證數(shù)據(jù)至安全云服務(wù)平臺(tái),并執(zhí)行安全云服務(wù)平臺(tái)下發(fā)的防護(hù)策略。云端安全運(yùn)維專家,提供安全威脅會(huì)診,明確的安全事件直接由云端自動(dòng)化處置,可疑事件經(jīng)過云端精確判斷給出處置建議。
在運(yùn)營(yíng)層面,建議由政府統(tǒng)籌統(tǒng)建部門(如,大數(shù)據(jù)局)牽頭,聯(lián)合華為、本地智慧城市運(yùn)營(yíng)公司、合作伙伴和運(yùn)營(yíng)商多方共建。以運(yùn)營(yíng)為支點(diǎn),面向全市政府部門和企事業(yè)單位推廣安全等保建設(shè)和運(yùn)營(yíng)服務(wù),實(shí)現(xiàn)安全合規(guī)建設(shè)和安全監(jiān)管訴求標(biāo)準(zhǔn)化,降低城市安全整體投資,構(gòu)筑安全新范式。
華為云網(wǎng)安一體解決方案,采用零信任理念、一體化架構(gòu)、云服務(wù)運(yùn)營(yíng),為城市物聯(lián)網(wǎng)、政務(wù)園區(qū)網(wǎng)、政務(wù)外網(wǎng)和政務(wù)云提供端到端一體化安全保障。在未來,華為將攜手新型智慧城市相關(guān)建設(shè)單位開展云網(wǎng)安一體聯(lián)合創(chuàng)新,致力于打造城市數(shù)字化底座,為智慧城市建設(shè)保駕護(hù)航。
掃描二維碼下載《智慧城市云網(wǎng)安一體技術(shù)白皮書》