本文作者:華為資料通訊產品線解決方案部部長孫建平
新型智慧城市建設是數字中國的重要內容,是智慧社會的核心載體,是提升城市服務效能和政府治理能力的有效路徑。“十四五”規劃綱要明確提出要分級分類推進新型智慧城市建設。隨著雲計算、大資料、IPv6+、物聯網為代表的新一代資訊科技迅猛發展,正助推城市數字化轉型,掀起新一輪智慧城市建設熱潮。
城市數字化轉型,安全邊界被打破
城市數字化轉型典型特徵是無線化、移動化和業務雲化,越來越多的物聯終端自由接入,越來越多的應用遷移上雲,為政務業務系統帶來更多不確定因素:
l 打破訪問邊界:移動辦公、移動執法、社群服務等新業務場景推出方便了市民、商家、公務員,打破原有系統的訪問邊界;
l 打破物聯邊界:作為城市資訊採集的最佳節點,物聯感知裝置採集海量資料,為決策提供客觀依據,打破原有系統的物聯邊界;
l 打破業務邊界:業務系統部署由本地遷移至雲端,資源的共享利用也從本地物理機擴充套件至雲端,打破原有系統的業務邊界;
城市數字化轉型服務物件由原有服務公務員拓展為服務民眾、商家;部署模式由原有固定網路接入拓展為無線化和移動化訪問;業務模式由原來面向辦公自動化和政務資訊化改革,逐步擴充套件為社會精細化治理,總的來說,為新型智慧城市帶來無處不在的聯接。而泛在物聯接入、移動化接入和業務上雲,打破原有系統安全邊界,為網路安全帶來極大挑戰。
威脅變化層出不窮,防禦模式亟待重新定義
網路安全的本質是攻防對抗,攻在暗,守在明,並非是一場公平的較量。
對攻擊方而言,目標明確,主動出擊,可採用多種攻擊方式相結合,甚至開發針對性攻擊工具,直擊業務系統最薄弱環節;
對防守方而言,卻顯得十分被動,誰發起攻擊,什麼時候攻擊,如何攻擊等資訊很難事先了解,只能從上至下全面佈防。
傳統智慧城市安全防護方案多為條塊化,終端、網路、雲、應用等場景化安全方案各自為戰,互相之間不相容、不聯動,猶如散兵遊勇,缺乏宏觀戰略把控和整體布控。
同時,隨著服務物件、部署方式和業務模式轉變,新型智慧城市存在諸多安全新問題:接入物件不同、接入位置不確定、接入終端規模大等問題,將導致城市網路空間暴露面不斷被放大;物聯感知網中的終端裝置分佈在城市郊區,廠家不同、標準各異、安全可信度不一,存在被駭客利用的風險;城市資料融合上雲,傳統安全手段無法有效應對雲化和大資料環境下的安全防護。
攻防雙方開始備戰已然失衡,若面對更復雜和高階的安全威脅、原有的固定安全邊界不在等不穩定因素的影響,漏檢、誤檢將難以避免,整體安全防線岌岌可危,防禦模式亟待重新定義。
雲網安一體化方案,為智慧城市保駕護航
新型智慧城市的安全建設不僅要做到與資訊化“同步規劃、同步建設、同步執行”,同時也需要與雲計算技術、新型網路技術做到深度融合。安全設計需要對雲、對網路有更加深刻的認識和理解,才能避免資訊化和安全“兩張皮”的問題。
2021年6月18日,華為在縣域城市智慧體峰會2021期間,舉辦“雲網安一體,護航智慧城市”媒體釋出會,與來自張家港大資料管理局的嘉賓聯合釋出《智慧城市雲網安一體技術白皮書》,本方案的釋出對智慧城市網路集約化建設和安全運營具有重要的參考價值和實踐引領作用。
華為雲網安一體解決方案旨在打造智慧化的未來網路安全架構,實現風險實時檢測、威脅主動研判,智慧全域性防控。雲網安一體解決方案整體目標架構分為執行層、管控層、分析層三個層次。
執行層:
指參與業務互動的物理裝置及執行在物理裝置之上的應用軟體,由終端、網路、雲三個部分組成,每個部分均包含各自的安全裝置。執行層在整體架構中負責收集轉發資產、狀態、流資訊、日誌等安全相關資訊,並上送給安全大腦,接受從控制器下發的授權策略和阻斷策略,對終端、使用者、流量進行相應的處置。
管控層:
由終端管理、網路控制器、安全控制器、雲管理平臺組成。向下對執行層進行管理控制,向上和安全大資料平臺進行協同,提供溯源等資訊,管控層從分析層接受授權、阻斷、查詢策略並下發給執行層,是實現自動化阻斷和溯源的關鍵部件。
分析層:
由網路安全態勢感知平臺、雲安全分析平臺和安全大腦組成。在整體架構中透過智慧演算法對所有資訊進行綜合分析和研判,並將全網安全態勢進行統一呈現,對於需要處置的事件下發給控制器進行處理,是雲網安一體架構的核心。
智慧城市雲網安一體解決方案包括零信任安全、雲網安協同、網路安全服務三大領先能力:
零信任安全:
採用業界最新的零信任理念,以身份和授權為抓手,構建終端、使用者、網路、應用四維零信任,高效管控業務風險。
終端側針對辦公終端和物聯網終端,採用終端標識,終端可信准入驗證,實現終端零信任;使用者側對訪問的主體進行統一的身份標識、高可信身份驗證,實現身份零信任;網路側採用深度包檢測技術,結合沙箱、蜜罐等主動安全技術,進行全面的威脅檢測與防禦,實現流量的零信任;應用側採取單一應用訪問入口的方式,為所有的應用進行集中管控;同時,持續對終端、使用者和訪問行為可信任程度進行評估,動態調整每次使用者訪問不同應用的最低授權,實現訪問的零信任。在四維零信任機制下,實現業務層面端到端可信可控。
雲網安協同:
雲網安協同解決方案透過收集網路流量、安全日誌、漏洞掃描日誌、主機安全等安全威脅事件資訊,進行統一綜合研判,提升安全分析精準率,實現精準溯源,對於違規的主體立即就近阻斷,實現雲網安一體防護和一體運營。
雲網安協同方案能對所有可能的攻擊經進行全面分析,採集更全;雲端智慧大資料分析實現威脅告警準確率大於90%,分析更準;雲網端安一起提供更詳細攻擊資訊,溯源更準;可實現威脅分鐘級閉環,處置更快。
網路安全服務:
為了解決安全運維業務中的運維工作量大,運維難度高、實際防禦效果差的問題,華為創新性地提出華為乾坤安全雲服務的業務模式,透過雲邊融合的創新架構,打造簡單高效、安全可靠的雲化安全服務。
乾指雲端,在雲端提供全面安全能力按需訂閱,雲端專家+自動化智慧精準分析,全天候無憂運維服務。坤指本地,在政府各委辦局單位、學校、醫院和重點企業等接入邊緣部署天關盒子,作為安全防禦節點,既對進出流量進行反病毒、IPS等深度安全檢測,同時上送安全日誌及取證資料至安全雲服務平臺,並執行安全雲服務平臺下發的防護策略。雲端安全運維專家,提供安全威脅會診,明確的安全事件直接由雲端自動化處置,可疑事件經過雲端精確判斷給出處置建議。
在運營層面,建議由政府統籌統建部門(如,大資料局)牽頭,聯合華為、本地智慧城市運營公司、合作伙伴和運營商多方共建。以運營為支點,面向全市政府部門和企事業單位推廣安全等保建設和運營服務,實現安全合規建設和安全監管訴求標準化,降低城市安全整體投資,構築安全新正規化。
華為雲網安一體解決方案,採用零信任理念、一體化架構、雲服務運營,為城市物聯網、政務園區網、政務外網和政務雲提供端到端一體化安全保障。在未來,華為將攜手新型智慧城市相關建設單位開展雲網安一體聯合創新,致力於打造城市數字化底座,為智慧城市建設保駕護航。
