智慧城市中信息安全的典型应用解析

作为中国信息安全领军企业的网御星云一直积极支持智慧城市建设，并于近日发布了智慧城市综合解决方案，其从行业需求特点、基础网络环境、实际管理应用等角度出发，深度分析并探讨了智慧城市建设中所要面对的种种安全问题。该方案一经发出就获得中国信息协会颁发的2013智慧城市典型案例奖。现将该案例全文收录，可供各位读者参考。

“智慧XX(城市名，下略)”项目作为全市电子政务统一的基础资源平台，能够支持电子政务全局型应用、行业型应用和各种资源型应用;可以实现应用集成、资源共享与基础数据的融合;并具备统一运维管理和安全保障体系，具有高效率、标准遵循、高可靠性、可扩展性、灵活性和先进性等特点。

“智慧XX”基础平台的总体构架结构示意图如下图所示，共为四层和两体系：主机托管层(Hosting)、基础设施服务层(IaaS)、平台服务层(PaaS)、应用软件服务层(SaaS)、信息安全体系和运营管理体系。

“智慧XX”基础平台项目的安全体系建设参考等级保护三级基本要求，以“适度安全”为指导思想，搭建符合业务运行基本安全需求的安全体系，同时也为将来通过等保测评打好基础。争取做到即考虑安全实效、又坚固投资成本，即要减少安全疏漏、又要避免贪大求全。

本方案安全部分主要设计思想是：

· 先需求后框架。

· 先整体后局部。

· 先近期后远期。

在本项目中，安全通讯网络包括：互联网出口网络、外联网、各单位接入专线、核心交换、计算存储网络等通讯网络环境;安全区域边界包括互联网出口边界、外联网边界、各单位接入专线边界、计算存储区边界;计算环境包括云计算平台的服务器区和存储区。

根据安全域划分的原则，”智慧XX”基础平台外网的安全域划分为四大区域：外联区、各单位接入区、计算存储区、网络核心区。外联区分为互联网接入区和外网区，计算存储区分为服务器区、存储区和安全管理运营中心区。具体如下图所示：

根据安全需求分析和安全平台的框架以及安全域的划分，”智慧XX”基础平台安全保障体系的建设可以从网络安全、计算环境安全、应用系统安全、管理系统安全四个方面入手，针对特定的安全需求部署对症下药的安全系统。

根据安全需求分析，网络安全存在很多风险，针对来自外部和内部的网络安全威胁，”智慧XX”基础平台的网络安全防护的重点是边界安全防护和数据传输安全防护。边界安全防护主要分为外联边界防护和内部安全域边界防护。外联边界分为上下级(省及县)机构互联边界、本市各单位专线边界、互联网边界。外网边界的主要安全风险是来自外部的攻击和违规越权操作，针对这些风险，应在外联边界采取访问控制、检测、过滤、审计等手段，降低风险。内部安全域防护主要是云计算平台、安全管理中心、外联边界、终端区域之间数据交互的安全防护，主要采取访问控制和过滤的手段。数据传输安全的防护重点防护移动办公访问的加密和身份鉴别。

“智慧XX”基础平台的计算环境安全防护重点针对终端和服务器的安全风险进行防护，需要对终端的使用行为进行规范，同时对系统脆弱性进行弥补。还要具备在发生了被入侵或者违规行为后具备修复、检测和记录的能力。所采取的主要技术手段为：终端行为的管理、终端防病毒、数据库审计和入侵行为检测，以保障计算环境的相对安全。

“智慧XX”基础平台的应用安全重点针对系统应用层的风险进行防护，通过对应用系统漏洞、脆弱性的发现、检测、弥补和记录来来降低风险。具体建议采用上网行为审计、Web防护、漏洞发现、系统健康检查、统一身份鉴别接口进行设计来对抗应用层的威胁。

如此庞杂的安全系统还需要一个统一安全运营管理系统才能更有效地发挥作用。因此需要部署统一的安全运营中心。

通过上述安全防护体系的建设，“智慧XX”基础平台具备了可以满足XX市智慧城市建设要求的安全体系，同时为下一步通过等级保护测评打下了基础。