智慧城市信息安全保障方案

1. 智慧城市信息安全建设背景

1.1 概述

智慧城市已成为我国城市发展的新理念和新模式,其核心的驱动力是通过深度的城市信息化来满足城市发展转型和管理方式转变的需求,通过推进实体基础设施和信息基础设施相互融合、构建城市智能基础设施为基础,以物联网、云计算、大数据、移动互联网等新一代信息通信技术在城市经济社会发展各领域的运用为主线,以开发、整合和利用城市信息资源为核心,通过智慧的应用和解决方案,实现城市管理的精细化、公共服务的便捷化、生活环境的宜居化。2013年中国电子技术标准化研究院发布的《中国智慧城市标准化白皮书》中,从技术层面将智慧城市分成了四个层次要素和三个支撑体系,技术体系结构如下图所示:


其中最顶层的是服务对象,具体包括了社会公众、企业用户和政府管理决策用户,最底层是外围的自然环境,是整个体系结构的数据采集源,从下到上分别为物联感知层、网络通信层、数据及服务支撑层、智慧应用层。物联感知层主要通过深层感知全方位的获取城市系统数据,是实现智慧城市的基本条件;网络通信层是数据传输的通道,通过广泛互联将孤立的数据关联起来,把数据变成有用的信息,是智慧城市的重要神经网络;数据及服务支撑层通过高度共享、智能分析将信息变成知识,是提供智慧服务的基本保障;智慧应用层把这些知识与信息技术融合起来应用到各行各业形成智慧的服务,是智慧城市的最终体现。下层对其上层提供数据和服务支撑,上层对其下层具有依赖关系。


三个纵向支撑体系为标准规范体系、安全保障体系、建设管理体系,对于四个横向层次要素具有约束关系。标准规范体系指导和规范城市的整体建设,确保智慧城市建设的开发性、柔性和可扩展性;安全保障体系以提升城市基础信息网络、核心要害信息及系统的安全可控水平,为智慧城市建设提供可靠的信息安全保障环境,也是本书后面章节要重点讲述的内容;建设管理体系是智慧城市建设顺利推进的重要保障,包括建设、运行和运营管理三个方面,确保城市信息化建设能有效促进城市基础设施智能化、公共服务均等化、社会管理高效化、生态环境可持续以及产业体系现代化,以全面保障智慧城市规划的有效实施。

1.2 智慧城市建设与信息安全的关系

慧城市是城市信息化发展的必然趋势,是城市可持续发展的内在需求,其核心即是信息化技术与城市发展的深度融合,提供各种智慧化的信息服务,实现改善城市人居的环境质量、优化城市管理和生产生活方式、提升城市居民的幸福感受。信息化技术是手段,也是重要的工具,因此智慧城市的发展,离不开信息化技术的发展与应用。然而古往今来,很多技术都是“双刃剑”,一方面可以造福社会、造福人民,另一方面也可以被一些人用来损害社会公共利益和民众利益,信息化的发展,新技术的运用,同样面临着安全的问题,这就需要正确处理网络安全和信息化发展的关系。

长期以来,对网络安全与信息化发展的关系,存在一些争论,我们也确实看到,一些应用上去了,安全问题会随之而来;一些新技术出来了,传统的网络安全技术防线和管理规定就会失效。习近平总书记在中央网络安全和信息化领导小组的第一次会议中,就对这个问题作出了非常深刻的阐述,明确指出网络安全是事关国家安全的重大战略问题,并作出了两个重要论断——“没有网络安全就没有国家安全,没有信息化就没有现代化”,廓清了过去存在的模糊认识。我们应该认识到,没有网络安全,信息化发展越快,造成的危害就可能越大,而没有信息化发展,经济社会发展将会滞后,网络安全也没有保障,已有的安全甚至会丧失。因此网络安全和信息化是相辅相成的,网络安全和信息化是一体两翼,驱动之双轮,必须统一谋划,统一部署,统一推进,统一实施,做到“以安全保发展、以发展促安全”,才能实现信息化的健康发展。网络安全是信息化推进过程中会必然出现的问题,只能在发展的过程中用发展的方式加以解决,要努力实现技术创新和体制机制创新,不断形成维护网络安全的新思路、新方法、新举措。

在智慧城市的建设过程中,物联网、云计算、大数据、移动互联网等新技术的广泛运用,既面临新的发展机遇,也面临网络安全的巨大挑战。在智慧城市建设中,要利用最先进的信息技术全面感知城市的要素和运行状态,要建立人与物、物与物之间的信息交互及过程,要通过海量信息收集及存储分析来挖掘系统间的联系规律等,势必导致智慧城市中存在着大量的信息系统以及这些系统中拥有海量的有价值信息,这些信息无疑是城市乃至国家的重要战略资源。如何确保这些数据、信息的安全,是智慧城市建设中务必要谨慎对待的重大问题。同时智慧城市建设应如实评估城市自身优劣势以及面临的机遇和挑战,围绕关键资产和领域,在技术支撑下实现经济增长和社会进步的目标,信息安全更是其中不可或缺的重要内容。

智慧城市的健康发展,需要信息安全的保驾护航,信息安全需要再智慧城市的建设过程中,发挥好以下三点作用:

第一,信息安全在智慧城市建设中要发挥好保障作用。信息安全随着信息的生存而生存,信息安全涉及到信息系统的每一个细节,信息安全要对信息系统的三维空间提供全方位保障。从信息安全标准到信息安全策略,从技术实现到管理措施,从建设周期到运行维护,都必须有实现信息安全的元素。如果智慧城市的信息系统建设中缺少或者部分的具备信息安全保障措施,都是不合规的,也是不允许的。

第二,信息安全在智慧城市建设中要发挥好把关作用。智慧城市信息系统建设要从顶层规划开始,经过多层设计及建设、验收、运维等若干流程,应形成一系列方案,这些方案通常要通过专家评审,评审通过了才能进入实施。如果没有对方案进行全面深入细致的信息安全审查,极有可能给安全建设带来漏洞,给信息安全带来隐患。所以,信息安全必须对信息系统各种方案进行把关,确保理论上不出差错,只有经过审查认为方案可行,才能进入到下一个环节。

第三,信息安全在智慧城市建设中要发挥好认证作用。信息系统建成了,能不能投入运行,信息安全必须对信息系统进行全面的评测和认证,这是因为智慧城市信息系统中运用了一系列高新技术,建设难度和复杂程度都远远超过了传统意义上的信息系统,各城有各城的特点,任何一个承建单位都要在建设中创新、在创新中建设,因此建设的层次和水平会有差异,不安全因素也会多种多样,只有用适合智慧城市信息系统的评测技术与方法进行评测,才能评得到位评得客观,也只有通过评测并颁发认证文件,系统才可以投入运行。如果信息系统没有经过评测认证,信息系统就不能投入运行,这是纪律,必须执行。

2 智慧城市信息安全现状及面临的风险


2.1 智慧城市信息安全建设现状

随着2012年住房和城乡建设部发布《关于开展国家智慧城市试点工作的通知》,标志着我国智慧城市试点工作的正式启动,我国智慧城市建设全面铺开,截至2015年,已有近500个城市宣布建设智慧城市,其中住建部明确批复的智慧城市试点城市就达到了290个,且随着时间的推移,数量将会继续增加。但是目前绝大多数智慧城市没有健康发展,普遍存在缺乏顶层设计和统筹规划、网络安全隐患和风险突出等问题,特别是信息安全问题已成为影响智慧城市建设与发展的一大困扰。由于智慧城市复杂、开放、互联的特点,同时智慧城市区别于传统信息系统的服务方式、网络架构、数据资源等技术因素,加之受制于智慧城市主体建设的连带效应,导致了国内智慧城市在信息安全上突显以下几类现状。

2.1.1 智慧城市建设“繁荣且混乱”,信息安全被“冷落”

不少地方在缺乏对真实需求的判断和对真正建设路径的把握的情况下就盲目开展建设,重建设投入,追求“高、大、快、上”,缺乏统筹规划和综合协调,导致各地智慧城市建设看似繁荣,实则内部管理职责混乱,缺乏应用成效。同时由于智慧城市信息安全保障体系,智慧城市信息安全评价体系,智慧城市组织规划等仍处于萌芽状态,导致各地已建成的智慧城市雏形几乎都对信息安全没有全面加以考虑,继续“坚持着”系统建设与安全建设不同步的劣根性,等到出现安全事件或者需要合规检查了,才象征性的进行一些安全建设,“先建设、后安全”的现象依然普遍存在。

2.1.2 智慧城市整体信息安全顶层设计未得到足够重视

智慧城市顶层设计及统筹布局的能力是决定智慧城市建设成败的关键,而在其顶层设计中不考虑信息安全,是导致智慧城市安全隐患频出的问题关键所在。制定科学、有针对性的智慧城市信息安全设计和规划,是影响智慧城市整体发展的关键因素。目前的大部分智慧城市建设过程中,仅仅偏重于基础设施建设、技术框架搭建、通信网络布局等方面的前期规划,很少将信息安全问题纳入到信息系统设计的各个环节,缺失信息安全架构底层的安全保障,缺少对信息安全未来发展的整体性、长期性、全局性问题的思考和行动计划,出现安全问题也是采取“不断救火”的处理方式。

2.1.3 新技术的广泛应用带来了更多挑战和威胁

云计算、移动互联网、物联网、大数据等新一代信息与通信技术在智慧城市中的广泛应用,使智慧城市信息系统从孤立向全面的互联互通、数据共享以及物理世界发展,使城市具备更透切的感知、更全面的互连、更深入的智能,这些特性决定了智慧城市信息安全的重点将不再仅仅是对传统数据中心的保护,而是涉及到多层次多范围的系统性工程,这给安全的保障建设带来了挑战,需要更全面、更系统性的安全解决方案。同时这些新技术的应用也带来了新的安全风险点,如物联网使得智能终端成为了新的攻击点,云计算模式引入了不可控的第三方,移动互联网的接入打破了传统的安全边界,大数据加大了个人隐私信息泄露的风险,城市在“智慧”的同时如果不同步针对这些新技术提供新的信息安全解决方案,那一旦出现问题,其后果很可能是灾难性的。

2.1.4 智慧城市信息安全核心技术缺失

虽然在国家的政策支持和扶持下,我国已经开始逐步摆脱IBM、Oracle和EMC等业界巨头在智慧城市建设领域的地位,包括“BAT”、联想、浪潮、华为等国内企业,已经在这一领域慢慢赶了上来,并在国内的智慧城市建设市场占据了一席之地,但是距离“IOE”等企业还是有一定的差距,需要国内企业的奋起直追。同时在核心技术的基础上,应用层的信息安全技术仍略显不足,在信息终端、数据监控、设备监控、存储安全等领域,技术创新的脚步仍然跟不上核心技术的高速发展。

2.2 智慧城市信息安全面临的风险

信息安全是智慧城市健康发展的基石。智慧城市发展尽管面临着各种亟待解决的问题,网络与信息安全问题始终是智慧城市建设的战略重点和人们关注的核心焦点。智慧城市建设高度集成了物联网、云计算、大数据等众多新形态的信息技术,这些都是实现城市职能智能化的基础,是一项复杂的大型系统工程,从物联感知层、网络通信层、数据及服务支撑层、智慧应用层以及用户的接入环境,都存在安全风险和脆弱性,这里既有传统网络时代的安全风险,也有新技术新模式带来的新的安全威胁。智慧城市涉及到城市的方方面面,一旦在网络安全防护上不能得到有效保证,可能造成城市管理职能出现混乱、隐私信息泄露、应急决策失误、各类事故频发乃至局部社会动荡的局面。因此,防范信息安全风险是智慧城市建设中极为重要的一环。下面我们就从智慧城市建设的几个层面,来分析下智慧城市建设面临的信息安全风险。

2.2.1 基础设施层面

智慧城市的发展建设过程中,越来越多的城市基础设施会与互联网打通,传统的较为封闭的工业控制系统,也会尝试着互联网化,这样一来,传统的信息安全威胁将扩展到城市基础设施,可以籍互联网侵害城市基础设施的安全。现在信息安全界越来越强调“本质安全”,即要求尽可能地采用自主可控的基础软硬件,尤其是信息化关键核心技术和信息基础设施,对信息安全具有决定性作用,如果它们不是自主可控的,要想保障信息安全往往是不现实的,就好比在别人的墙基上砌房子,再大再漂亮也可能经不起风雨,甚至会不堪一击。在智慧城市建设过程中,基础设施的安全可控是智慧城市发展的内在要求和方向,在基础设施的核心技术上,我们需要有所突破。

2.2.2 物联感知层面

在智慧城市的体系框架中,物联感知层处于最底层,也是最基础的层面,负责收集各种基础数据,核心是物联网技术在城市范围内的大规模运用,因此物联感知层面临的主要安全风险,即物联网技术带来的安全问题。物联网在我国的发展速度有目共睹,但有关物联网信息安全的研究相对滞后,同时由于其复杂的接入场景,使得信息安全最容易受到威胁。目前全球物联网状况尚处于概念、论证与试验阶段,许多关键技术、制定标准规范与研究应用等都还处于初级阶段,统一标准的物联网安全体系的问题目前还没提上议事日程。物联网作为互联网基础上的延伸和扩展,面临的威胁主要有两个方面,一方面互联网存在的信息安全问题,物联网同样也存在;另一方面物联网是基于互联网基础之上的新技术,由于其自身的特点问题,如RFID技术带来的安全问题,传感网安全传输问题等。

2.2.3 网络通信层面

智慧城市的网络通信层是以“融合、移动、协调、宽带、泛在”为特征的智慧一体化网络,促进电信网、互联网、广播电视网的三网融合,满足智慧城市广泛互联的需要。因此网络通信层面临的安全风险,主要为三网融合后面临的安全挑战。在三网融合的环境下,网络协议的传统安全风险将会不断扩大,特别是广电网 IP 化和电信网 IP 化推广之后,关于网络协议的安全接入问题将不断引起用户的关注。随着广电和电信在业务运营方面的开放,原来相对封闭的状态被打破,这些缺陷极有可能显现出来,一个网络中的安全威胁将延伸到另一个网络中,从而出现全网的安全威胁,流行于互联网的黑客、病毒、木马等将会转移到电信网、广电网,产生巨大的危害。同时由于信息系统遇到风险的可能性会增加,网络流量监控和异常行为检测将更加困难,且三网融合后,用户的移动终端也会逐渐成为个人信息处理中心,存储着用户大量的隐私信息,但由于其受终端系统、电力供应、计算能力的限制,自身的防御能力相对较弱,正在成为黑客的主要攻击点,用户通信安全和个人隐私都受到极大的威胁。

2.2.4 数据及服务支撑层面

数据及服务支撑层是智慧城市整个技术架构中最核心的一层,本层实现城市级信息资源的聚合、共享、共用,并为上层的各类智慧应用服务提供支撑,而本层最为关键的支撑技术,就是云计算技术。云计算作为一种基于互联网的新型服务模式和计算模式,在智慧城市中发挥着重要的基础支撑作用,为解决智慧城市建设中大规模分布式数据管理、面向服务应用集成、快速资源部署等问题提供了有力的支撑手段。然而从市场到用户都堪称完美的云计算,其最大的弊端,也许就是其独特理念架构所带来的信息安全威胁和隐忧。因此数据及服务支撑层面临的主要安全风险,即为采用云计算模式带来的安全风险,以及海量数据集中融合后所面临的大数据安全问题。

2.2.5 智慧应用层面

在智慧城市应用层,各种智慧类应用体将为社会公众、企业用户和政府管理者提供各种信息化应用和服务,而随着人们对信息获取的依赖程度不断提高,随时随地的接入并享受这些智能服务将成为必需,手机等移动智能终端将代替电脑成为接入这些智慧类应用的主要载体,移动终端的接入带来了诸多新的安全风险。其次随着三网的融合、信息的共享、业务的协同,给管理者带来了巨大的挑战。

3 智慧城市信息安全建设方案设计思路


3.1 建立智慧城市信息安全技术体系,实现信息化发展的自主可控

建立智慧城市信息安全技术体系是指参照国家信息系统等级保护的要求,通过构建统一的信息安全保障平台,实现统一入口、统一身份认证,建立科学实用的智慧城市全程访问控制机制,覆盖智慧城市各横向层次,同时对不同的横向层次根据其特性加强信息安全保障水平。

采取积极措施,组织和动员各方力量,密切跟踪世界先进技术的发展,加强关键信息安全技术的研究开发,提高自主创新能力,实现关键信息安全技术的自主可控,彻底摆脱核心技术和产品依赖进口的被动局面,为智慧城市的信息安全提供技术保障和支撑。同时要不断开发适应信息安全新形势的新技术与产品,实现不同层次的身份鉴别、访问控制、数据完整性、数据保密性和抗抵赖等安全功能,从物理、网络、主机、应用、终端和数据几个层面建立起强健的智慧城市信息安全技术保障体系。

3.2 建立健全智慧城市信息安全组织与管理体制,加强信息安全工作的组织保障

建立智慧城市信息安全组织与管理体系是指建立和健全信息安全组织体系和管理体系,完善安全运行管理机制,明确各职能部门的职责和分工,保障智慧城市的正常运行。智慧城市建设要有一个能够统筹协调各个有关职能部门的高层机构来统一领导信息安全保障工作。各个职能部门要形成一个分工明确、责任落实、相互衔接、有机配合的组织管理体系,各级智慧城市政府要形成响应管理体系,同时明确信息安全保障工作的责任人,强化对相关管理人员和操作人员的管理培训。

建立健全智慧城市信息安全管理体系,制定符合整个城市的安全方针、安全策略以及整体的安全战略规划,参考国际先进安全管理经验和标准体系,形成一整套对智慧城市信息安全有效管理的规定,完善信息安全管理与控制的流程,将高层人员参与、安全绩效考核、人员信息安全意识与技能培训等纳入信息安全管理保障体系,加强涉密信息的监督管理工作,对网上发布的信息进行监控,及时发现泄密事件,将危害控制在最小的范围内,使保密制度得到有效的执行和落实。信息安全管理体系要能够做到集中智慧城市各个方面的网络安全情况,及时正确的做出决策,有效的组织协调各个职能部门,采取有针对性的安全保障措施,保障智慧城市信息安全。

智慧城市相关的基础网络和重要信息系统运营、使用单位应根据自身情况,制定包括安全责任制度、 定期检查制度、评估改进制度、安全外包制度、事故报告制度等在内的日常信息安全规章制度,积极开展等级保护和风险评估工作,对网络与信息系统安全的潜在威胁、薄弱环节和防护措施进行分析评估,从而提高整体信息安全保护能力,保证智慧城市信息系统的安全运行。

3.3 建立智慧城市信息安全运维体系,实现中心级战略支撑

智慧城市的运维保障体系,是一个高度复杂化、异构化、体系化的复合系统,在其组成上可参考ITIL体系,将IT运维保障服务过程分为服务提供流程与服务支持流程两个类型,将智慧城市IT服务提供流程视作战术层面,将服务支持流程视作执行层面,共同为智慧城市运维保障战略提供必要流程与功能支撑。

3.4 建立智慧城市信息安全合规体系,规避信息安全法律风险

建设智慧城市完备的安全合规体系,强化合规性,符合等级保护、ISO27001等标准、制度的要求、基线要求,保障智慧城市业务运营的合规、有效运行。

4 智慧城市信息安全技术保障体系建设

在智慧城市信息化建设过程中,传统的信息安全技术,仍是重要的组成部分,具有不可替代的作用,传统的分级分域、重点防护策略,依然适用于智慧城市信息安全技术体系建设。同时将新技术、新应用的防护技术逐步融合进来,进一步完善智慧城市信息安全建设。智慧城市信息系统的安全域,虽包含被视作无安全边界的云计算环境,但从整体网络拓扑来看,其分层仍属清晰,如下图所示:

 智慧城市安全域分层


上图所示的五个安全域层面,是根据纵深防御体系的分层原则划分的,同时也与智慧城市技术体系的四层结构对应,应用接入层不仅包括了物联设备的接入,同样包括了智慧城市信息系统各方使用人员的终端接入。云资源接入层作为网络通信层的边界,与云计算层共同组成智慧城市技术体系的数据及服务支撑层,同时从应用角度可以分几个大的层面,分别为云计算安全,大数据安全,移动互联网安全,工业系统安全,物联网安全。

4.1 云计算安全保障

4.1.1 云平台安全防护

4.1.1.1 云平台基础环境安全巡检

云平台部署完成后,对云平台的基础环境进行安全检查,具体包括,安全扫描,基线检查等工作,确保云平台的基础安全保障,为云租户更快的上云提供基础。

4.1.1.2 云平台安全管理体系建设

按照信息安全等级保护中安全管理部分的要求,参考ISO 27000系列标准的控制域和控制项,结合客户自身的特点、行业最佳实践和监管要求,为客户量身定制一套符合其状况的安全管理体系,具体包括以下几个方面:

1. 制定安全策略,并根据策略完善相关制度体系;

2. 建立信息安全管理体系(ISMS),提升总体安全管理水平;

3. 参照行业监管机构的相关规定和指引,并结合ISO 27000体系文件,实现ISMS落地实施;

4. 建立安全运维管理体系;

5. 结合信息安全建设规划进行实施;

6. 结合安全域划分进行实施;

7. 结合等级保护相关内容进行实施。

信息安全管理体系的主要任务是了解信息安全现状,确定安全方针和目标,汇总现有制度体系,分析各项差异性,设计适合客户的信息科技风险状况、技术水平以及管理体系,并辅助实施。

4.1.1.3 云平台边界安全设计

1、流量攻击防护

在云出口处部署抗DDoS系统,可有效防护来自互联网的各种DDoS攻击,防护类型包括CC、SYN flood、UDP flood、DNS Query Flood以及NTP Reply Flood等所有DDoS攻击方式,保障云平台出口免遭各类大流量攻击的流量资源挤占,防护云内各类系统应用免于遭受拒绝服务攻击。

2、网络攻击防护

在云出口处需要采用防火墙,对网络中的各类异常行为、网络攻击、协议攻击、应用攻击等行为进行识别、防御以及第一层网络访问控制,保护云内网络与系统安全。

访问控制

(1)安全网关

在云边界处进行各类会话、服务的访问控制,采用下一代防火墙的应用层监控、统计和控制过滤功能。该功能能够对FTP、HTTP、P2P应用、IM以及VoIP语音数据等应用进行识别,并根据安全策略配置规则,保证应用的正常通信或对其进行指定的操作,如监控、流量统计、流量控制和阻断等,有效控制访问云中应用的会话类型。

(2)VPN网关

云内的一些高保密性在线应用系统在维护或者日常使用中,需要采用数据安全传输策略,加密保护通信会话数据。在云出口处需要采用VPN网关,该网关支持采用IPSEC VPN、SSL VPN、 L2TP VPN 等加密方式,满足各类云内系统访问、维护等会话加密需求,保障会话的机密性、完整性、抗抵赖性。

2、异常检测与防御

云平台将会面临众多异常行为,如系统漏洞、病毒等攻击行为,应采用IDS类产品对网络出口中的各类异常应用进行检测和告警,或采用IPS产品对此类攻击进行有效防御。异常行为攻击检测和防御包括病毒过滤,入侵防御,内容过滤等功能,可以防范病毒,间谍软件,蠕虫,木马等网络的攻击,其中病毒库,攻击库,URL库可以通过网络实时更新,确保对新爆发的病毒、攻击、新的URL做到及时响应。

3、云平台计算环境安全设计

(1)云内安全域隔离

云计算环境内会有大量不同安全等级的资产,不划分安全域将会存在安全风险,跨域非法访问、病毒感染、跳板攻击、数据泄露等威胁,需要对不同的资产、应用类型进行安全域划分,采用安全网关,对如政务系统域、数据库域、政务外网域进行隔离与划分,并在不同安全域间采用访问控制、病毒检测、攻击行为防御、协议类型限制等策略,保护各安全域间的内网安全。

(2)云堡垒机

云平台以及云内的各类系统,需要进行日常维护,而云平台服务器数量都比较庞大,而且其数据的敏感性比较高,不同云租户之间既存在一定的业务数据交互需要,又存在着相互隔离的需求。为了保障云内大量资源的维护规范和风险控制,需要采用高可用性的云堡垒,可为对云平台的维护操作等进行风险控制和会话审计,云堡垒机具备对系统输入输出审计功能,为云内部运维提供完全的审计信息,通过账号管理、身份认证、资源授权、实时监控、操作还原、自定义策略、日志等操作增强审计信息的粒度。

(3)云内威胁情报分析

在云平台内部存在大量高价值应用与数据,而面临高级持续性攻击行为进行的数据窃取、系统攻击的风险也较大。云内需要采用云威胁情报分析系统,该系统可以通过对网络中的流量进行深度解析,发现其中的攻击事件。

利用网络流量分析技术,异常访问定位技术、邮件社工分析技术、基于WEB的特征检测技术、恶意文件分析技术、动态行为分析技术及云端的高级分析技术来分析检测发现APT攻击,及时保护云内数据、系统安全。

(4)云综合日志审计

在云平台内部有大量资产,包括各类服务器、 防火墙、网关、IDS、IPS、漏洞扫描系统、防病毒系统、终端管理系统等,这些复杂的IT资源及其安全防御设施在运行过程中不断产生大量的安全日志和事件,形成了大量“信息孤岛”,需要采用云综合日志审计系统,采集各类日志,进行集中存储、分析、安全风险审计,实现所监控的信息资产的实时监控、信息资产与客户管理、解析规则与关联规则的定义与分发、日志信息的统计与报表、海量日志的存储与快速检索以及平台的管理。

通过各种事件的归一化处理,实现高性能的海量事件存储和检索优化功能,提供高速的事件检索能力、事后的合规性统计分析处理,可对数据进行二次挖掘分析。

4.1.2 云租户安全防护

云安全资源池建设内容具体包括云安全产品资源池,以及安全服务资源调用,云安全产品资源池主要通过镜像资源的方式,为用户提供安全产品的下载,部署和使用,安全服务的调用主要与安恒现有云端SaaS安全服务进行对接,保障用户可以以最方便快捷的方式,申请和使用安恒的云端安全服务。

4.1.2.1 云安全产品资源池搭建



云平台上搭建安恒云安全产品资源池,通过现有云平台为安全资源池提供底层物理资源支持,在资源池内部署云上安全产品,具体云上安全产品主要分为云防御产品类别和云审计产品类别,用户可通过安全运营平台,通过镜像或软件下载的方式将相关产品部署到自己的云业务环境内,同时借助云安全运营平台进行安全管理和策略的下发,形成云租户私人定制化的安全产品解决方案。

目前安恒全线产品都已具备云上部署的能力,具体可部署的产品及功能如下:

1、云安全防护系统(云web防火墙)

云端web系统的防护可以由安恒的玄武盾(云WAF)提供整体安全防护服务,同时,由于各个单位用户,在防护要求以及业务自身特性方面会有特殊需求,可以通过云端部署web防护系统来实现对网站及其它web业务的细粒度防护。

云租户使用方式:通过申请license授权的方式实现安全产品的使用和扩容。

2、云堡垒机

云端信息系统的环境比较复杂,系统部署上线后,可能需要服务器权限进行调试,运维人员需要服务器权限进行日常的维护等,因此在运维过程中,应做好相关人员账号管理、认证、授权和审计工作。

安恒信息的云堡垒机具备成熟的云环境适应能力,主要包括:

● 可基于云租户实现数据、管理的彻底隔离;
     

● 支持短信、usbkey、动态口令等认证模式,方便实现双因子认证;
     

● 支持基于云租户生成独立的运维分析报表。

云租户使用方式:license授权申请方式

3、网站卫士防篡改系统

当云主机中部署的网站网页被非法篡改后,造成的后果是无法估量的。安恒信息明御网站卫士网页防篡改系统支持云环境,是专注于网站内容安全的网页防篡改系统,核心包括Web防攻击和文件防篡改功能,产品易安装,占用系统资源低于5%,支持各类的Web服务器,操作系统,数据库,各类网页格式。可以为网站提供不间断的监控与保护,有效的保障网站的完整性和真实性。

云租户使用方式:通过申请license授权的方式实现安全产品的使用和扩容。

4、云数据库审计

与传统数据库相比,云端数据库面临的风险和威胁要更多。对云端数据库进行风险评估,及时发现数据库存在的漏洞及风险,识别可疑、违规访问行为,在事后对违规行为进行快速审计,是云端数据库安全的重点需求。

安恒信息明御数据库审计系统是专业级的数据库安全审计设备,支持对主流的六种数据库(Oracle、DB2、SQLserver、mysql、sybase、informix)、国产数据库(达梦、人大金仓等)、teradata数据仓库、cache等共十二种种数据库的审计,能够完整按照各种数据库协议结构完全还原出操作的细节,并给出详尽的操作返回结果,以可视化的方式将所有的访问都呈现在管理者的面前,极大提高用户敏感数据的安全,避免数据泄露篡改的可能。

云租户使用方式:通过申请license授权的方式实现安全产品的使用和扩容。

5、云日志审计系统

安恒“飞天镜”SaaS服务可以为用户提供云端的安全审计服务,同时用户也可以根据自身实际情况,在云内部署一套云日志审计系统,在保留原始日志,满足合规要求的同时,实现对云内业务系统及相关应用的审计。

云租户使用方式:通过申请license授权的方式实现安全产品的使用和扩容。

6、等保工具

通过在资源池内部署云等保工具,可以为用户提供合规检查工具,通过模块申请和授权的方式进行购买和使用,包括基线检查,安全扫描,合规测评,安全考核等模块,可单模块购买也可直接成套购买,进行灵活的选择和使用。

云租户使用方式:通过申请模块和license授权的方式实现安全产品的使用和扩容。

7、其他

目前安恒全线产品都可实现云端部署,用户可以结合自身需求,向厂商或服务提供商进行咨询,安全资源池是开放式的资源池,可兼容其他厂商的产品镜像及软件(只需按照资源池要求的格式),结合多个厂商的安全产品,可以更好的为用户提供安全产品及服务。

4.1.2.2 云安全SaaS服务接口对接

通过云平台对外接口,与安恒云端服务平台进行对接,可直接申请云端安全服务,包括云安全防护,云安全监测,态势感知,云安全审计等SAAS服务,以及应急响应,安全加固,云上合规等常规安全服务,用户只需填写相关域名,IP,审计内容等服务需求,有安恒云安全服务团队进行安全服务的交付工作,为用户提供保姆式的安全保障工作。


目前安恒所具备的云端SaaS服务有以下几项:

1、玄武盾云端防护服务


玄武盾是安恒在云端建设Web防御计算资源,集成业内领先的云Web应用防火墙,打造云端Web安全云防御中心。客户只需将站点的域名解析转移至安恒信息,玄武盾云防御系统将采用丰富灵活的Web防御策略,阻挡掉各类恶意攻击行为,然后将正常的请求转发至用户的Web服务器端进行正常业务处理。玄武盾云防御系统不仅实现原有硬件Web应用防火墙才能提供的防御功能,而且还大大降低了客户应对网络攻击的人员、精力、资源投入。


2、网站检测及态势感知服务


先知安全态势感知平台能够实现对云环境内在线系统自动发现,并将检测发现的在线系统定期进行风险评估,实时进行安全事件监测,并由安恒专家团队对安全风险进行验证确认,对发现的安全事件进行预警、实时告警,提供前沿安全技术与专业团队有机结合的一体化服务。


3、飞天镜云端审计服务


再各类在线应用系统上线后,每天、每月的访问流量分析、访问者IP分析、访问的文件类型等数据的分析对管理来说非常重要。另外,在线应用系统作为对外的服务窗口,会面临各种各样的用户群体,包括正常的访问者、恶意探测者、恶意攻击者等。


飞天镜可对恶意攻击形成有效反制效果,当发现某些异常的访问行为时,对访问行为进行深度审计,记录服务器返回的内容,便于取证式分析,以及作为案件的取证材料。


飞天镜云安全追踪系统对所有的Web请求进行审计分析记录,不仅可以提供详细的访问日志分析,还可以图表的形势展现在线服务的业务访问情况。通过对访问记录的深度分析,可以发掘出一些潜在的威胁情况,对于攻击防护遗漏的请求,仍然可以起到追根索源的目的。


4、其他


由于目前其他安全服务如应急响应,安全巡检,渗透测试等相关服务都是需要自然人参与,因此不具备SaaS服务的特性,用户可根据自己实际需求,通过云安全运营平台提出服务申请,或工单申请,由厂商或服务商派团队进行现场服务。


4.1.3 云安全运营



云安全运营平台是真个云安全保障体系的核心,云安全运营平台是用户进行安全资源的申请,下载,计费以及统一管理的主要支撑,可以有效实现各个云租户权限的分离以及安全资产的按需部署,运营平台与云产品资源池,及云安全服务资源池,联动工作,为资源池提供平台支撑,同时也是云平台及云租户安全运营的主要支撑。

4.1.3.1 云平台安全管理

云平台安全管理模块,主要是针对对云平台提供防护的安全产品进行统一管理和分析的模块,该模块主要实现对云内虚拟安全设备如防火墙,VPN,堡垒机等的全方位管理,提供了丰富的拓扑、设备配置、故障告警、性能、安全、报表等网络安全管理功能。实现了对云平台上安全资源集中、统一、全面的监控与管理。使安全㢆过程标准化、流程化、规范化,极大地提高故障应急处理能力,降低人工操作和管理带来的风险,提升信息系统的管理效率和服务水平。

同时,该模块也是云平台层面安全运营的主要模块,该模块可以通过与相关产品及服务联动工作,系统作为安全管理运营中心的技术支撑平台,结合安全服务的最佳实践,以安全资产管理为基础,以风险管理为核心,以事件管理为主线,通过深度数据挖掘、事件关联等技术,辅以有效的网络管理与监视,安全报警响应,工单处理等功能,对云平台各类安全事件进行集中管理和智能分析,最终实现对企业安全风险态势的统一监控分析和预警处理,并对云平台某一阶段的安全运行情况进行展示和报告的输出,为管理人员进行策略的调整和安全的加固提供依据。

4.1.3.2 云租户安全管理

云租户安全管理模块主要为云平台上各个租户提供SaaS方式的运营中心服务云平台上各个单位的租户可以依靠各自的运营中心,对自己业务环境内的安全产品进行统一的管理和安全资产的梳理,并对自己云内业务环境的安全状况进行掌握。

根据大平台管理者授予的权限,每个云租户只能看到本单位的业务运行环情况,也只能管理自己单位云安全产品,用户可根据自己的自己的分析报告及安全弱点,进行产品和服务的申购。

4.1.3.3 运营平台用户管理

用户管理模块,主要为云平台各租户提供认证,授权及资源审批管理,具体功能如下:

用户认证

主要为每个租户提供平台的账号,对每个租户进行严格的身份验证,采用双因子认证方式进入运营平台,对平台所覆盖的安全资产进行管理和运营,同时,每个认证账号也是资源申请的唯一账号,每个账号可以下设子账号,分别进行管理和监控等工作。

权限管理及访问控制

该功能主要针对每个租户进行细粒度的访问控制和授权设置,确保每个用户只能登陆自己的运营界面,只能管理自己的云端安全产品。

资源审批

每个云租户可以根据自身的需求在云产品资源池及服务资源池当中申请所需的安全资源,平台管理者可以根据相关申请的合理性进行审批和备案,确保每个用户的资源利用合理以及计费准确。

4.1.3.4 云安全服务申请

云安全服务申请模块主要为云平台管理者及每一个云租户提供相关的SaaS安全服务以及常规安全服务,SaaS安全服务可以通过内置的资源申请工单直接上传至平台管理者,管理者审批通过后,由厂商直接根据云租户提供的服务需求和信息进行SaaS服务的提供,常规服务在通过审批和费用上交后,由厂商及服务商安全团队在现场进行服务。

4.1.3.5 镜像资源市场

镜像资源市场,是给云租户提供的云安全产品申购市场,相关安全产品都以镜像的方式放在云安全资源池当中,云租户可以根据自己的需求,进行镜像的下载和部署,在使用时只需向平台管理者申请购买license授权,即可快速部署和实施,同时,市场当中,每款安全产品都配备响应的安装操作手册,使用手册和FAQ等文档工具,确保用户可以快速掌握相关安全产品的适用。

4.1.3.6 计费和支付

计费平台建议通过线上计费,线下结算的方式进行工作,线上根据每个租户所申请和交付的资源数量以及授权数量进行计费,在用户通过采购流程上交相关使用费用以后,交付使用。

4.1.3.7 监管与检查

运营平台同时可以作为云平台管理者的监管及检查的工具,可以定期对每个云租户的业务环境进行安全扫描和基线检查,对于不满足安全要求的租户进行通报和整改建议,并实时跟踪和监督整改情况,确保形成信息管理安全工作的闭环。

4.2 大数据环境下的隐私保护机制和评估

4.2.1 隐私保护框架模型

在给出隐私保护评估策略之前,首先要梳理清楚隐私保护的任务,也就是用一个框架模型来描述隐私保护的场景。这个场景中包含四个实体:隐私主体(所有者)、数据采集者、隐私侵犯者和隐私保护机构。

隐私保护模型


1. 隐私主体:指作为隐私所有者的个人或团体,对隐私具有所有权和处分权。

2. 数据采集者:指隐私主体在接受各种服务过程中,与之进行交互的团体或个人,例如医院、银行、网站等,其出于业务的需要而面对隐私主体的私密信息进行收集。

3. 隐私侵犯者:指对隐私主体的私密信息进行非法或不道德的获取、存储和使用的团体或个人。数据采集者未经隐私主体同意对其私密信息进行非法或不道德的使用时,也有构成隐私侵犯者。

4. 隐私保护机构:指保护隐私主体的私密信息不为他人侵犯的团体或个人、软件技术等,其可能是政府部门、也可能是行业协会、第三方隐私保护机构,还可能是认证程序、隐私保护软件等。

4.2.2 隐私保护的任务与措施

4.2.2.1 隐私保护的核心任务

隐私保护任务的主要内容是让隐私保护模型中各个实体都受到应有的处置或承担应有的责任。

● 隐私主体:了解自身应享有的权利,知道隐私保护的相关法律规定。
          

● 数据采集者: 有专门的技术措施、管理制度及资质合规的人员防范隐私侵犯行为的发生
          

● 隐私保护者:响应隐私主体的投诉,对数据采集者及其商业合作方进行监督和评审,处罚隐私侵犯者。

4.2.2.2 隐私保护的技术措施

信息系统中,为了确保信息的真实性、完整性和不可否认性,应遵守以下三个原则:所有电子化的信息,应根据所有者属性加密,使其能够安全的存储、传输和访问;保障信息系统中隐私信息的真实性、完整性和可用性;信息的访问和共享过程应该通过签名和认证。可以采取以下几种保护措施来保障信息系统中的隐私保护:

5. 数据匿名化  

在信息系统使用中、研究机构的数据分析工作中、各种消费服务中的信息传递,要保护用户隐私信息的安全。公开发布数据时,去掉身份信息,对数据进行泛化处理,保留数据的整体分布规律。

6. 加密和数字签名

对数据库加密,对数据字段加密,并管理加密密钥,保护信息系统中用户隐私信息的安全。信息系统的使用者创建或更改数据时,要进行数字签名,保证信息数据的不可否认性。

7. 身份认证和访问控制

根据角色级别、用户类型及其对信息系统的重要性来选择是否进行身份认证,对不同的用户选择恰当的身份认证手段。访问控制策略要有时间维度和空间维度的限制,具有访问权限的用户,只有在规定范围的时间和空间内,才可以访问信息系统。

8. 网络通信的安全保障

网络安全设备(防火墙,入侵检测系统等)可以监控网络的数据流、对危险的网络行为进行报警,自动检测并处理安全事件,降低使用风险,确保医疗业务数据通信的安全性。

9. 安全审计  

对每项服务所涉及到的系统、用户、工作人员、信息数据的行为进行记录,帮助安全人员审计信息系统的可靠性和安全性。

10. 信息资产的物理安全

信息资产的安全保护分为硬件和软件两个方面。硬件方面,首先确保信息资产处在安全、适合工作的物理环境当中,其次要确保能源供应,并做到冗余备份。软件方面,确保系统软件的可靠性和安全性以及入网端点设备接口启用情况、注册表关键值、系统运行进程等情况的安全性。

4.2.3 隐私保护评估策略

在隐私保护框架模型中,隐私保护机构负有对数据采集者的隐私保护工作进行评估的责任。全面的隐私保护评估,应包括对数据采集者及其商业合作伙伴的评估。评估的内容从业务维度看应涵盖数据采集者业务活动的各个环节,从时间维度来看,应覆盖隐私数据全生命周期,同时从体系模型的维度看还应包括对管理制度和流程、人员隐私保护的意识和技能、隐私防护的技术措施等方面。这三个维度互相独立,梳理隐私保护评估策略,只能在处理上区分优先次序。BS10012标准规范中的规定,完整覆盖了个人信息生命周期的每一个阶段。从个人信息生命周期的采集/访问、存储、处理、传输/分发、销毁等方面。按照BS100012中的规定,对每个阶段都给出了一些评估指标:


隐私保护评估指标


11. 隐私数据的收集/访问


需要注意的是在隐私数据的收集访问阶段,对信息系统中隐私数据的访问,应有完善的访问权限管理,满足最少授权原则。还应该有系统认证管理实现对用户的访问授权,应按照事先设计的角色权限模型,对系统用户授权。

12. 隐私数据的存储和留存

涉及隐私的数据,应该以加密形式存储,以防止非授权访问获得直接可读的数据。可考虑将数据中属于隐私内容的部分剥离出去,非隐私数据和隐私数据分开存储。

隐私数据的留存是否恰当,直接影响隐私保护的效果。对隐私数据的留存,应该有非常严格的限制,除因工作需要,非常有必要留存隐私数据,也应该在充分评估的基础上给予批准。隐私数据不应在信息终端留存。应工作需要,可以在终端进行缓存,退出应用程序后,缓存的隐私数据应被彻底清除。

13. 隐私数据的处理/管理阶段

处理/管理阶段的隐私保护工作,涉及到现有信息系统的设计、改造,信息资产管理、身份管理、数据泄露防护措施等。

14. 隐私数据的传输/分享

跨应用系统或跨组织机构之间共享的数据,应尽量避免包含隐私内容,也就是说共享的数据尽量经过脱敏过程。的确有需要包含隐私内容的数据,数据传输与分享的过程之前,需要经过必要的认证环节,数据在传输过程中,须以加密的形式进行。

15. 隐私数据的删除与销毁

隐私数据的删除与销毁主要包括:用户终端上的退出应用程序后的数据彻底删除、存储隐私数据的介质应按涉密存储介质进行统一销毁。

除此以外,还应包括的评估内容有:

16. 隐私数据访问行为的审计

记录所有对隐私数据的访问行为,对访问日志进行审计。同时对访问行为做深度分析,确定没有异常访问。

17. 隐私保护的合规验证

根据隐私保护的相关法规中具体要求,对隐私保护工作定期进行合规性的综合评估。

4.3 工业系统安全

4.3.1 工业系统安全保障方案概述

SCADA、DCS、PLC等工业控制系统早期都运行在相对独立、封闭的网络中,运行独特的工业控制协议,这些协议包括:OPC、Profinet、Ethernet/IP、Modbus、CAN等。这些通讯协议在设计之初,对安全方面考虑较少,随着工业以太网的逐步推广与应用,工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件,以各种方式与互联网等公共网络连接,传统IT信息网中的安全威胁已逐步渗透到生产控制网络中,工业控制系统信息安全问题日益突出。目前单纯从自动控制设备及工控协议优化的角度来提高工业控制系统安全性并不现实,需要针对目前工业控协议的脆弱性以及安全防护关键点进行风险分析,并部署相应的安全防护技术措施和安全产品,辅之以工控网安全管理和运维手段的提升,来进一步提高工业控制系统整体安全水平。

4.3.1.1 工控系统之物理安全

应增设机房环境监控系统,对机房环境、设备状态、人员出入、设备使用等情况进行记录,对系统故障和恶意行为进行报警,从而保障机房设备和信息系统的安全。该系统需要满足《等级保护》以下项目要求:



4.3.1.2 工控系统之网络安全

工控网络安全监控系统应包括策略配置平台和日志报警平台,与工业防火墙协同使用,以达到实时部署安全策略、监控工业防火墙的工作状态,以及实时获取工控网络安全事件的日志和报警。

工控内外网隔离设备,通过物理隔离的手段,使内外网络永远不会直接连接,可采用专门的隔离模块,内外网主机系统之间无法进行基于网络协议的数据交换,从而从硬件层面保证了内外网络的安全隔离。既保证了数据的安全传输,又将中央主控室网络和管网子站隔离,防止在出现异常流量时网络间的相互影响。

工业防火墙需专门针对工控系统网络安全需求,应在传统防火墙的功能基础上提供包括MODBUS、IEC104、DNP3、PROFINET/IP等多种工控协议的深度解析,为石化、油气、电力、钢铁、核能、水利、飞机制造、轨道交通和环境保护等行业的工业控制系统网络安全提供全面、深入地保护。

以上三种设备需要满足《等级保护》以下项目要求:



4.3.1.3 工控系统之主机安全

为了保护主机安全,应增设终端防护应用程序白名单系统,该系统应具有高安全性、高稳定性、易于设置等特性。只允许白名单内受信任的程序执行,可以很好地适应工业应用的单一性操作,并将木马、病毒等非法程序隔离在外。系统针对程序、动态库、远程注入、驱动、脚本、注册表、重点目录、外设、网络连接等多个维度进行全方位监控,确保非法程序无路可寻。该系统需要满足《等级保护》以下项目要求:



4.3.1.4 工控系统之应用安全

为了保护应用安全,应增设运维安全审计系统。该系统可对运维人员的操作权限进行控制和操作行为审计,解决运维人员权限难以控制的混乱局面,又可对违规操作行为进行控制和审计,并且由于运维操作本身不会产生大规模的流量,不会成为性能的瓶颈。该系统需要满足《等级保护》以下项目要求:



 4.3.1.5 工控系统之数据安全

在网络中部署安全审计系统,可有效监控数据库访问行为,准确掌握数据库系统的安全状态,及时发现违反数据库安全策略的事件并实时告警、记录,便于进行安全事件定位分析,事后追查取证,从而保障数据库安全。通过监测及采集数据库系统中的安全事件、用户登录行为、用户操作行为、及所有对数据库的使用情况等各类信息,经过规范化、过滤、还原、归并和告警分析等处理后,以统一格式的日志形式进行集中存储和管理,结合丰富的日志汇总、分析、统计、排名等关联分析功能,实现对数据库系统安全状况的全面审计。该系统需要满足《等级保护》以下项目要求:


 

4.3.2 工业控制系统APT防护

4.3.2.1 防护策略

应把信息安全融入到工业控制系统的整体设计 之中,在综合考虑工业控制系统的业务重要性、数据机密性、潜在的安全威胁、人员安全管理规范以及相关的技术标准等多种因素的基础上,划分不同的工业控制系统安全域、明确相应的信息安全责任人及其职责。不同的安全域应根据安全域内系统重要性的差异而采用不同级别的安全防护策略及人员安全管理的制度、规范。在安全域之间,可通过工业防火墙、隔离网闸等网关类安全设备实现工业控制系统与其他信息系统间的有效隔离,并通过系统准入控制机制,确保系统访问者的可信身份及使用设备的安全性,并通过严格的访问控制策略及操作行为的监管与审计机制确保安全域间 信息交换的安全性。

“道高一尺,魔高一丈”,工业控制系统所面临的安全威胁也在不断地变化之中,自然 其安全防护体系也必须与时俱进、及时优化。对此,可通过安全的供应链管理选择安全可信 的系统(或设备),加强上线前对系统(或设备)的安全检测、脆弱性评估与安全加固、运 维时的实时异常行为检测、审计以及通过定期或不定期的安全风险评估对安全防护策略持续 优化的动态过程,形成一套基于工业控制系统全生命周期的安全管控体系。

针对APT渗透攻击的特点,我们提出从以下几方面来进行工控安全防护。

1、程攻击、阻断C&C通道

在工业控制系统运行的各个环节和 参与者中,人往往是其中最薄弱的环节,故非常有必要通过周期性的安全培训课程 努力提高员工的安全意识。另外,也应该加强从技术上阻断攻击者通过社会工程突 破防线后建立 C&C 通道的行为,建议部署值得信赖的网络入侵防御系统。

2、工业控制系统组件漏洞与后门检测与防护

工业控制系统行业使用的任何工业控制系统组件均应假定为不安全或存在恶意的,上线前必需经过严格的漏洞、后门检测以及配置核查,尽可能避免工业控制系统中存在的各种已知或未知的安全缺陷。其中针对未知安全缺陷(后门或系统未声明功能)的检 测相对困难,目前多采用系统代码的静态分析方法或基于系统虚拟执行的动态分析方法 相结合的方式。

3、异常行为的检测与审计

上述列举出的 APT 突破防线和完成任务阶段采用的各种新技术和方法,以及其他已 经出现或者即将出现的新技术和方法,直观上均表现为一种异常行为。建议部署工控审 计系统,全面采集工业控制系统相关网络设备的原始流量以及各终端和服务器上的日志;结合基于行为的业务审计模型对采集到的信息进行综合分析,识别发现业务中可能存在 的异常流量与异常操作行为,发现 APT 攻击的一些蛛丝马迹,甚至可能还原整个APT攻击场景。

鉴于工业控制系统业务场景比较稳定、操作行为比较规范的实际情况,在实施异常行为审计的同时,也可以考虑引入基于白环境的异常检测模型,对工业控制系统中 的异常操作行为进行实时检测与发现。

4.3.2.2 防护系统建设

1、深度协议解析

安恒APT攻击(网络战)预警平台通过对流量进行深度解析,发现流量中的恶意攻击,提供了全面的检测和预警的能力。

安恒APT攻击(网络战)预警平台能够在网络中出现攻击时主动发现攻击,并进行预警。利用各种检测手段发现其中的恶意攻击及0day攻击。 目前解析的协议包括HTTP、SMTP、POP、FTP等。

安恒APT攻击(网络战)预警平台能检测和预警一系列的攻击,无论是已知的或未知的,并能够阻止那些最常见的攻击。如:基于web的恶意攻击、基于文件的恶意攻击、基于特征的恶意攻击等。

2、WEB应用攻击检测

安恒APT攻击(网络战)预警平台通过对Web流量和应用进行深度检测,提供了全面的入侵防御能力。

安恒APT攻击(网络战)预警平台能在攻击到达Web服务器之前进行检测,并进行实时的攻击预警。安恒APT攻击(网络战)预警平台能解码所有进入的请求,检查这些请求是否合法或合乎规定;仅允许正确的格式或RFC遵从的请求通过。已知的恶意请求将被阻断,非法植入到Header、Form 和URL中的脚本将被阻止。APT攻击(网络战)预警平台还能进行Web地址翻译、请求限制、URL格式定义及Cookie安全。

安恒APT攻击(网络战)预警平台能检测一系列的攻击,无论是已知的或未知的。能够阻止那些的攻击如跨站点脚本攻击、缓冲区溢出攻击、恶意浏览、SQL注入等。

3、邮件攻击检测

安恒APT攻击(网络战)预警平台对邮件协议进行深度分析,记录并分析每个邮件,并对其中的附件进行分析并检测,发现其中的安全问题。

通过对附件进行对已知攻击特征的扫描、未知攻击漏洞的扫描和动态分析的方式进行测试,发现其中的攻击。

4、0day攻击检测

安恒通过长期的研究,总结并提权各类0day攻击的特点。在网络流量中分析关心的文件。通过快速检测算法,对目标文件进行检测,发现其中的0day攻击样本。

通过检测目标文件中的shellcode以及脚本类文件中的攻击特征,并结合动态分析技术可以有效检测0day攻击行为。

5、流量分析检测

APT通常会结合人工渗透攻击,在人工渗透攻击中经常使用扫描或病毒扩散的过程。这些过程中,通常会产生大量的恶意流量。利用这些恶意流量特征,能检测攻击行为。

目前检测基于多个维度,如:

● 基于时间的检测
      

● 基于ip的检测
      

● 基于端口的检测

● 基于协议的检测

6、攻击路径分析

APT在发起攻击的过程中往往会利用多种攻击手段,明御APT攻击(网络战)预警平台会通过对攻击者的所有行为进行关联,分析一段时间内所有利用的攻击手段,最终完整还原出APT攻击路径,并以图形化的方式展示出来,便于用户及时对APT攻击进行跟踪分析。

4.4 物联网安全

智慧城市的搭建少不了对于周围物理环境的感知,在目前的智慧城市发展过程中更加需要通过各类传感器来获取和监控城市中各类物理环境的变化。我们为了捕获这些模拟信号的变化就少不了使用一些可以将自然界模拟信号转变为可以被计算机处理的数字信号,然后通过上层复杂的应用程序和城市居民对智慧城市的需求来打造和运营整个智慧城市。

当然,随着物联网技术的成熟,传感器在单一器件上的功能丰富,我们就不得不面对更为复杂和多变的传感器组成结构,由于单个传感器的健壮发展,所组成网络的功能也大幅提升,相对应的问题也接踵而来。

这其中我们必须要面对的信息安全挑战和问题就是一个绕不开的门坎,这往往也限制了智慧城市发挥其强大惠民性与便利性的能力也让城市居民的信息处在岌岌可危的边缘。在信息安全方面,除了对可能产生的问题要予以重视之外,还需要对整个智慧城市的安全需求有更深更广的挖掘,从而满足智慧城市监管者对于整个信息系统的管理要求。

智慧城市、物联网与信息安全这三个领域的互相融合将会为我们的居民到来什么?从物联网应用于智慧城市、信息安全助力智慧城市中的物联网到通用性方案与建议入手,从不同的角度,从物联网和智慧城市的发展历程中找寻出信息安全必不可少的理由。

4.4.1 物联网安全建议措施

加强框架和互通性

虽然一些标准化组织在为行业标准不断努力着,其中最显着的是AllSeen联盟和开放互连协会,如今这两个曾今对立的组织已经合并组建一个新的标准化组织-OCF(Open Connectivity Foundation)开放互联基金会。

大多数互联能力需要建立识别,认证和加密能力,除此之外需要延伸远程设备管理能力,设备升级和对多种供应商和多种网络解决方案提供框架长期支持服务。

执行“安全第一”的开发流程

为了确保成本和复杂度是最小的情况下,安全从流程一开始就应该被考虑设计进来,这其中也包含硬件、软件和服务。

因此,至关重要的是设备和系统设计者维护一个非常清晰的用户愿景并且这些设备在家中像人们想象的那样运行和被支持。为了实现这一目标,关键在于有一个清晰的安全需求并通过开放、免费和无限制的方式分享出来。

生命周期管理

最常用的方式是创建的系统都有资源去实现远程控制,并且非常稳健,在打补丁或者升级后的系统可以确保系统能够延伸出应对威胁的新能力。更进一步的要求是可以初始化健壮的防御能力,并且这种防御能力可以被镜像保存起来,假设在某些时候,用某些办法,这些防御手段会被破坏,因此这里要求一种机制来确保发生这类假设时,防御能力可以被重置、重新获得控制并弥补该问题。

启用附加服务

安全不应该被看做是一种成本,而应该被视为一种必要的机制去启用一系列高价值的可延伸的服务,这些服务要求特殊硬件和固件在该系统内相连接。

4.4.2 安恒物联网可信测评评分方案

设计一个安全的物联网解决方案取决于一系列的安全注意事项。其中最重要的考虑使用一个安全的物联网框架去构建你的生态系统。使用安全的框架,确保开发人员不会忽视安全性,并可以实现快速开发应用的要求。理想的情况是一个框架本身就包含了安全框架,这样的默认情况下,开发商便可以不必再为安全组件担忧。这可以释放开发人员和架构师的压力,把重点放在特性和功能上,无需在安全问题上投入更多精力。

评价标准分为四个不同的部分。这些部分是物联网系统的典型组成部分。每个部分都有特定的安全问题也有相关的考虑点,框架评估标准也罗列出了这些考虑点。这些部分是:

● 边界产品

● 网关

● 云计算平台

● 移动

定义

边界代码实际是在真实的物联网设备上运行的。很多时候,边界组成是资源受限或是在隔离的环境中运行。一个网关设备往往是被用作聚合或是桥接边界设备的。边缘或网关,往往会带有某种云组成的,往往是一个Web服务进行通信。该组件可以在公司数据中心或公共云计算环境中部署。云组件常常支持复杂的用户界面,分析能力,并提供访问数据汇总后端。最后,很多物联网的生态系统包括移动应用程序组件,允许用户通过智能手机或平板电脑生态系统相互作用的。

4.4.2.1 边缘

边缘是实际的物理设备对构成的IoT的生态系统。注意,在很多部署中的边缘是异质的,这意味着它是由任意数量的类型的不同的硬件,操作系统,网络或通信能力和资源的设备的。一个理想的框架将提供跨平台的组件,使边缘代码可以在任何地方从裸机被部署到一个嵌入式操作系统,向移动操作系统,以一个完全成熟的台式计算机,等等。

4.4.2.2 网关

网关往往会支持弱边缘设备,或允许边缘设备的桥接网络,云组件。网关可以作为一个通信聚集和控制瓶颈,并且可以允许在不安全之间一个简单的界面,但可信,本地网络,和不可信的公共互联网的安全连接。很多时候,网关将支持从边缘设备,并在许多生态系统的网关范围有限或专有协议和边缘可能会代名词,与边缘而这些中间商进入通信物联网生态系统的通讯传感器。网关可以,或可以不具有任何种类的用户界面,其可呈现优点和限制到设备。通常网关比边缘设备更大的资源的可用性和运行完整的操作系统堆栈。因为它作为一个聚集点,网关具有在生态系统中一个非常安全敏感的作用。

4.4.2.3 云

一个物联网生态系统的云组件是指生态系统的核心数据汇总和管理部分。云组分通常将包括一个数据存储层(如数据库),分析和报告,生态系统管理,网络接口,以及其它组分如电子邮件,备份等的浊成分可以是或可以不是托管于公共云基础设施。是云组件访问通常受到限制,尤其是对配套基础设施。云组件进行显著风险,因为它是聚合的对生态系统中的大部分数据的中央点,通常包括一个指令和控制(C2)组件,它允许为其它组件包括更新和扩展的输送和分配的操作。至关重要的是,云计算组件包含广泛而有效的安全控制,因为它是最物联网生态系统的基石。

4.4.2.4 移动

在物联网的部署移动界面的能力和一体化的不同而不同。一些移动应用程序仅提供有限的数据从特定边缘设备的报告,国家允许用于边缘组件的操作,还有一些提供全方位视图分析和云计算管理能力。特别的关心和照顾,应支付给移动部件在物联网生态系统,因为它们通常被部署超出了设备管理的界限,可以授予特权改变,掺假或公开敏感信息,可能有能力驱动边缘设备,是便携式和很容易陷入恶意手中。移动部件可能许多相同的风险,云组件,但往往给少保的考虑,并从可以放在云组件的坚固的物理和访问安全控制豁免。

4.4.2.5 测试方式

安恒通过安全咨询,基于物联网的风险评估,渗透测试来实现物联网的安全测评,依照相关标准,进行合规性检查,并严格按照安恒自定义的检查及基线模板进行测试,检查内容包括边界,网关,云平台,移动等内容,最终形成立体的全面的基于物联网安全标准的基线,从而实现对现有物联网基础设施及通信设施的安全监测及测评服务,从而协助智慧城市物联网层面能够顺利,快速整改,与整个安全体系的安全强度保持一致。

1.2  移动互联网安全保障方案

根据调查,截至2014年,我国移动智能终端用户规模已达10.6亿,全国平均每部移动设备上安装34个应用,设备平均每天打开应用20款,中国的移动互联网发展已经进入全民时代。随着传统互联网技术、移动通信技术和整个IT产业的快速进步,移动互联网技术得到迅猛发展,各行各业大步跨入信息时代大平台。特别是近年来,网络技术朝着越来越宽带化的方向延伸,基于移动互联网的移动电子商务、移动即时通信、移动社交、手机支 付等各种新型的业务开始渗入人们的日常生活。移动终端正在从简单的通话工具变为一个综合信息处理平台,其智能化移动办公的特点广受追捧。据报告显示,在大数据的时代,囊括超过80%上网人群的移动互联网已经成为网络 空间中最重要的一个组成部分。与此同时,移动互联网上终端用户身份的认证、用户敏感信息的保护、移动互联网的安全监管等安全问题愈加突显,成为关注的热点。不仅如此,全球对信息系统的安全性要求越来越高,信息安全作为非传统安全因素,已与各国的政治、国防、经济、文化等方面的安全共同成为国家安全的重要组成部分。

目前国内大多数终端用户使用的依旧是安卓系统, 2014年,谷歌Play商店中拥有143万款应用,且每年已30%的速度递增,安卓应用市场的发展潜力巨大。但是,在智能终端和安卓应用繁荣壮大的同时,其信息安全问题也呼之欲出,由于移动互联带来了数据的爆炸式增长,运营商通过各项服务和终端设备直接或间接绑定了数以亿计的用户数,且运营商缺乏对这些用户的安全准入机制,安卓系统本身的安全脆弱性,用户对移动网络不透明,对下载的软件鉴权不严格,大量用户未经严格的认证机制即可接入网络。据赛门铁克调研,安卓App中有17%是恶意App,每不到6个安卓App中就存在一个恶意软件,安卓恶意App的泛滥程度可见一斑。还有诸如手机隐私信息被窃取、病毒软件的传播、信息内容篡改、诈骗电话短信等安全事件层出不穷。

因此安恒针对移动互联网的防护方案主要从安全接入和终端APP安全问题进行着手,分别采用软件+服务的一种方式,有效解决移动互联网安全接入问题

4.4.3 “密信”移动互联网接入保障


4.4.3.1 欺诈行为特征库

基于我公司已建设的信息安全大数据管控平台,以密信为感知节点,通过用户对诈骗短信、诈骗电话的在线标记、举报,从而产生海量通讯诈骗大数据,再对这些大数据进行挖掘、行为关联分析,然后再将大数据与警方、银行、电商、互联网平台等共享,并利用云计算技术和关联分析引擎建立一个规模巨大的“欺诈行为特征库”,包含银行账号、电话号码、短信、案例等。通过大数据智能化技术反电信欺诈,包括进行实施拦截、风险预警、关联排查以及数据串并,可有效打击电信欺诈。

采用大数据挖掘分析平台,在欺诈行为预警,骚扰电话及信息阻断的及时程度,诈骗电话及信息识别准确能力方面都有大幅度提高,摒弃传统“事后诸葛亮”的防护方式,将安全防护由被动变为主动,实时防护能力更强。

4.4.3.2.2.3.2点对点加密通信

本产品是一款可通讯的信息安全软件,通过传输过程加密、本地加密以及云端加密三种方式为用户提供全面的信息安全服务。

采用国密算法建立加密通道并对数据进行加密后发送,实现点对点的加密通信。此外,支持将手机中存储的图片、视频、聊天记录存储至可设置密码的密箱之中。当信息过多,手机存储空间无法满足需求时,为用户提供安全的网盘,可将手机的信息加密存储至云端。

不同于一般的第三方安全防护应用,产品自身就嵌入了加密的系统性设置,并把功能与智能终端整合起来,用户使用时只要开启相关功能就可以,在不增加用户操作量的情况下,增加了通信的安全性,加密通信在数据传输和使用阶段也提供了有效的防护手段,与数据加密存储,备份,等功能相结合,可提供基于整个数据生命周期的安全防护。

4.4.3.3.2.3.3大数据风险防控

产品结合大数据风控服务,实时监测和统计用户设备的风险,包括设备风险,系统风险,运行环境风险,实时攻击风险,第三方APP提权风险等多维度的风险,根据风险的权重,得出用户设备的风险指数,基于风险指数和状况,向用户展现实时的风险,并提供安全建议。

通过对用户行为的大数据分析,判断并收集欺诈骚扰电话、恶意网址/IP等,当用户不知情访问时,进行主动拦截主动拒绝。

4.4.3.4.2.3.4云计算安全技术

产品与云计算技术进行深度结合,可以对应用程序和用户数据进行安全分析及安全保护。

用户可将应用安装包上传到云端,由云安全中心对应用安装包进行自动安全检测分析,判断安装包是否存在恶意行为。当用户在手机上安装应用时,本产品会到云端验证APP的证书,判断APP是否是官方正式版的应用,避免用户安装非正版应用造成损失。

云端体验技术可以给用户更好的应用体验,应用可直接在云端运行,避免重复下载和卸载应用,为用户节省大量时间,流量成本,也可大大减少未知应用所带来的安全威胁。

由于移动终端的存储空间有限,云盘被广泛使用,用户存储到云端的数据需要进行深度保护。通过独有的加密密箱技术,只有用户自定义密码方能恢复及打开加密文件。

4.4.4 移动APP安全测试


4.4.4.1 移动终端的总体安全要求

移动终端作为移动业务对用户的惟一体现形式以及存储用户个人信息的载体,应配合移动网络保证移动业务的安全,实现移动网络与移动终端之间通信通道的安全可靠,同时保证用户个人信息的机密性、完整性。

为了达到以上安全目的,移动终端提供措施保证系统参数、系统数据、用户数据、秘钥信息、证书、应用程序等的完整性、机密性、终端关键器件的完整性、可靠性以及用户身份的真实性。因此在进行移动终端应用开发、设计时应充分考虑和提供一系列安全策略,主要如下:

● 应提供措施对系统程序、应用程序、终端关键器件进行一致性检验;
     

● 应能够基于角色,为用户提供受控和受限的资源及对象的访问、操作权限;
     

● 能够在不同角色用户访问移动终端之前,对用户的身份进行认证,识别用户所对应的角色,然后根据用户的角色对用户进行授权;
     

● 应提供措施对秘钥、证书、系统参数、用户数据等进行有效的安全管理,保证存储数据的机密性、完整性、可靠性;
     

● 移动终端应可对各个物理接口进行接入安全控制;
     

● 应保证系统程序、不同的应用程序及其所使用数据在物理及逻辑上的隔离;
     

● 应提供记录安全相关事件的手段,以帮助管理及抵抗潜在的攻击;
     

● 移动终端中的关键器件应具有抵抗防篡改等物理攻击的能力,或使通过此类攻击获得有效信息十分困难,以提高移动终端的自身安全防护能力;
     

● 应具有完善的系统操作权限管理能力;
     

● 应能够安全的接入网络;
     

● 应能够与智能卡安全的进行信息交互;
     

● 应能够识别不同的应用并启动对应的安全策略。

4.4.4.2 移动APP安全测试服务流程

移动APP安全测试是通过各种方法全面发现APP程序自身的安全漏洞,以人工检测为主,各类扫描工具为辅,在保证整个安全检测过程在可以控制和调整的范围之内尽可能地获取程序的安全隐患。

移动APP安全测试服务的主要流程如下:



 一、APP程序整体分析

APP程序整体分析是指测试前尽可能多地获取关于程序的相关信息,运行方式可以是在真实设备中也可以是在模拟器中来完成,收集的信息包括:程序的工作流程,网络的传输方式,文件的存储方式等等。通过对以上信息的收集,发现可利用的安全漏洞,为进一步对检测程序安全提供基础。

二、评估漏洞

若无法直接获取到源代码,则尝试对程序进行反编译,通过对反编译出来的代码进行分析,获取程序对权限,敏感信息的处理方式,根据代码的处理方式,评估是否可能存在漏洞。

三、调试漏洞

通过将程序在模拟器或真实设备中,并结合前面收集的信息,动态调试程序可能存在的漏洞。

4.4.4.3 安全测试种类

安恒信息在移动端主流操作系统进行了深入的安全研究,包括iOS系统和Android系统。

Android系统APP程序的安全测试包括如下内容:

1)使用工具对APP程序进行自动化扫描,对吸费、暗跑流量等恶意行为进行识别;

2)对apk文件进行反编译分析,测试apk文件是否被植入恶意代码等。

iOS系统APP程序的安全测试包括如下内容:

1)使用工具对APP程序进行全面渗透测试;

2)对APP程序进行黑盒测试,检测不安全存储及内部通讯组件漏洞;

3)从APP客户端到服务器端进行安全检测。

4.4.4.4 安全测试周期

APP程序安全测试周期分为如下几个阶段:

一、项目启动

本阶段在前期商务合同洽谈之后正式开始,主要进行信息收集、APP程序获取、技术沟通等。

二、安全测试

本阶段开始,对APP程序进行各种全面的测试,包括工具扫描、反编译、动态调试等。

三、结果分析

在前一阶段的基础上,由移动安全专家对测试结果进行分析,并得出初步结论。

四、报告编写

在完成上述各阶段工作之后,根据测试人员针对测试过程中取得的数据,编写安全测试报告,并由质量管理人员进行报告审核。

4.4.4.5 安全测试工具

安恒信息在移动APP程序的安全测试过程中,至少会使用到如下工具:


● AndroidCheck

安恒自主研发测试工具集,支持白盒的辅助测试,支持黑盒模式对反编译代码的测试,测试内容如下:

● 注释


● 自动完成
     

● Debug模式
     

● 设备ID
     

● 外部存储
     

● 加密算法
     

● JAVASCRIPT
     

● 地理位置
     

● Logcat输出
     

● SharedPreference检查
     

● SQLite数据库操作
     

● Toast输出检查
     

● 未加密的HTTP传输

5 智慧城市信息安全管理体系建设


5.1 信息安全等级保护

信息安全等级保护是我国信息安全保障的一项基本制度和方法,开展信息安全等级保护工作是促进信息化发展,保障国家信息安全的重要举措,也是我国多年来信息安全工作的经验总结。它将信息系统按其重要程度以及受到破坏后对相应客体(即公民、法人和其他组织)合法权益、社会秩序、公共利益和国家安全侵害的严重程度,将信息系统由低到高分为5级。每一保护级别的信息系统需要满足本级的基本安全要求,落实相关安全措施,以获得相应级别的安全保护能力,对抗各类安全威胁。在智慧城市重要信息系统的安全保障建设中,实施信息安全等级保护,能够有效的提高智慧城市信息系统安全建设的整体水平,有利于智慧城市信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设相协调;有利于为智慧城市信息系统安全建设和管理提供系统性的指导和服务,有效控制信息安全建设成本;有利于优化信息安全资源配置,对智慧城市信息系统实施分等级保护,重点保障基础信息网络和关系国家安全、经济命脉和社会稳定等方面的重要信息系统安全;有利于明确国家、法人和其他组织、公民的信息安全责任,加强信息安全管理。

在智慧城市建设过程中,实行信息安全等级保护,本质上就是要明确重点、确保重点。首先是要明确重点,对于政府而言,这个重点就是那些关系到国家安全、经济命脉、社会稳定的基础网络和重要信息系统,对于地方企业而言,也应根据实际确定自己的保护重点。其次,在系统定级的基础上,还要综合平衡信息安全风险和建设成本,进一步确定重点保护部位,将优先的资源用到最急需、最核心的地方,根据安全等级进行建设和管理,确保核心系统的安全。最后,实行等级保护要坚持从实际出发,我国的信息化发展不平衡,城市之间差异较大,不同部门、不同城市地区信息化所处的发展阶段不同,智慧城市开展的业务服务也不同,面临的信息安全风险和信息安全需求也不一样。因此,在信息安全保障中要从实际安全需求出发,不能片面追求“绝对安全”,搞不计成本的安全,也不能搞一刀切,全国一个模式。必须区分轻重缓急,根据不同等级、不同类别、不同阶段,突出重点,将有限的资源用到最急需保障的地方,解决当面智慧城市建设中面临的主要威胁和存在的问题,有效体现“适度安全、重点保护”的目的。

信息安全等级保护主要有三个内容,信息系统分级保护,对系统中的产品分级管理,系统中发生的安全事件进行分等级响应和处置。对于我们主要开展的智慧城市信息系统等级保护建设来讲,有一套规定的流程,就是我们通常所说的定级、备案、安全建设整改、测评。为推动和规范我国信息安全等级保护工作,全国信息安全标准化技术委员会和公安部信息系统安全标准化委员会以及其他单位组织制定了信息安全等级保护工作需要的一系列标准,形成了信息安全等级保护标准体系,为开展等级保护工作提供了标准保障。信息安全等级保护标准体系框架如下图所示:



信息安全等级保护标准体系框架


我们在开展智慧城市信息系统安全等级保护建设实施过程中,应该依据上述标准文件,有计划的开展信息安全等级保护工作。在对智慧城市重要业务信息系统进行信息安全等级保护建设工作的前期准备阶段,应首先了解并掌握GB 17859-1999《计算机信息系统安全保护等级划分准则》和GB/T 25080-2010《信息系统安全等级保护实施指南》两部标准。前者是强制性国家标准,是等保和其他各项标准制定的基础。后者为等保建设工作提供了方法指导,阐述了在系统建设、运维和废止等各个生命周期阶段中如何按照信息安全等级保护政策、标准要求实施等级保护工作。

在智慧城市信息系统的等保定级阶段,应参照GB/T 22240-2008《信息系统安全等级保护定级指南》。此标准规定了定级的依据、对象、流程、方法及等级变更等内容,指导开展信息系统定级工作。

在智慧城市信息系统的等保安全建设/整改阶段,应参照以下几部标准,以帮助详尽的挖掘信息安全需求。首先是GB/T 22239-2008《信息系统安全等级保护基本要求》,此标准是在GB 17859-1999《计算机信息系统安全保护等级划分准则》以及各类技术类标准、管理类标准和产品类标准基础上制订的,给出了各级信息系统应当具备的安全防护能力,并从技术和管理两个方面提出了相应的措施。其次是GB/T 25070-2010《信息系统等级保护安全设计技术要求》,此标准提出了信息系统等级保护安全设计的技术要求,包括安全计算环境、安全区域边界、安全通信网络、安全管理中心等各方面的要求。另外还有GB/T 20271-2006《信息系统通用安全技术要求》,此标准主要从信息系统安全保护等级划分的角度,说明为实现GB 17859-1999《计算机信息系统安全保护等级划分准则》中每一个安全保护等级的安全功能要求应采取的安全技术措施,以及各安全保护等级的安全功能在具体实现上的差异。同时,还可参考管理方面的两部标准。GB/T 20269-2006《信息系统安全管理要求》对信息和信息系统的安全保护提出了分等级安全管理的要求,阐述了安全管理要求及强度,并将管理要求落实到信息安全等级保护所规定的五个等级上。GB/T 20282-2006《信息系统安全工程管理要求》规定了信息安全工程的管理要求,是对信息安全工程中所涉及的需求方、实施方案与第三方工程实施的指导性文件。

在智慧城市信息系统的等保测评阶段,应参照GB/T 28448-2012《信息系统安全等级保护测评要求》和GB/T 28449-2012《信息系统安全等级保护测评过程指南》这两部标准指导等级测评工作的实施。前者阐述了等级测评的原则、测评内容、测评强度、单元测试、整体测评、测评结论的产生方法等内容;后者阐述了信息系统等级测评的过程,包括测评准备、方案编制、现场测评、分析与报告编制等各个活动的工作任务、分析方法和工作结果等。

随着新一代信息技术的发展,一些新技术、新应用在智慧城市的建设中发挥了越来越重要的重要,比如云计算、物联网和移动互联网,而且这些技术慢慢延生到了我们重要的信息基础设施当中,在这种新技术带来便利和好处的同时,也对我们的安全保障工作提出了一些新的需求,原来的等级保护相关标准制度针对这些新技术的运用也或多或少存在着一定的缺陷。面对这些问题,全国信息安全标准化技术委员会联合公安部,邀请了业内主流安全厂商、云服务等厂商,对等级保护的基本要求和测评要求这个两个核心标准进行修订,同时在修订这两个标准的同时,针对云计算、物联网和移动互联网等新的技术领域进行专项细化和完善,推出了相应的扩展标准要求,作为原标准的补充。比如针对云计算有云平台等级保护基本要求、设计要求、测评要求,三个标准一体化推进。基本要求是基础,设计要求是到达它的一条途径,测评要求帮助大家来确认安全建设的结果。

总而言之,智慧城市信息系统的安全建设,等级保护依然是遵循的重要政策和标准。

5.2 组织机构及职责体系建设

为了更好的加强针对智慧城市的信息安全管理工作,应建立专门的智慧城市信息安全管理组织机构,进一步明确岗位角色和职责,建立覆盖智慧城市整体的安全考核方式,由市级领导机构考核并监督各管理机构的信息安全工作,并定期开展信息安全意识培训和演练,不断提高智慧城市的信息安全水平。参照目前国际上普遍采用的信息安全组织架构,智慧城市信息安全管理机构可分为信息安全决策机构、信息安全管理机构、信息安全执行机构、信息安全监管机构组成。架构如下图所示:


智慧城市信息安全组织架构

 18. 信息安全决策机构——智慧城市信息安全领导小组

智慧城市信息安全领导小组作为智慧城市的信息安全决策机构,是智慧城市信息安全管理工作的最高决定者,处于整个信息安全组织架构的顶端,主要由相关各部门领导或代表组成,需从全局的角度对于信息安全方面的工作进行部署和控制。

以一个城市范围的信息安全管理为例,智慧城市信息安全领导小组需要对信息安全工作开展中的重大事项进行决策,因此必须要有本市信息安全专职管理机构的代表;信息安全工作的需求来自于业务的开展,因此要考虑各业务子系统相关部门的代表的参与;信息安全决策工作中的一项重要课题是资源保障,因此往往需要分别拥有资金调配、人员调配和资源调配权力的机关部门的代表。一般来说需要有一定相关决定权或提案权的人员作为代表。

建议智慧城市信息安全领导小组成员为:行政机构分管领导,各业务相关机构领导,安全管理部门领导,信息安全工作监管部门领导

主要职责包括:

(1)确定智慧城市信息安全工作的战略和方向。

(2)决定智慧城市信息安全组织架构。

(3)总体调配信息安全工作的资源。

(4)负责通过和决定信息安全策略和标准。

(5)对于信息安全方面的重大项目进行业务批准。

(6)在协调安全工作中协调各部门关系。

19. 信息安全管理机构——智慧城市信息安全管理委员会

智慧城市信息安全领导小组下设智慧城市信息安全管理委员会作为信息安全管理机构,负责全局性的信息安全管理策略实施、制度落实和协调统筹,确保对安全管理和建设有一个明确的方向并得到决策机构的实际支持。

慧城市信息安全管理委员会是整个信息安全管理体系建立和维护的组织者和管理者,它既是信息安全决策机构的决策支持者,为决策机构提供必要的决策所需信息,又是信息安全工作的规则制定者和决策推行的管理者。信息安全管理机构是信息安全决策机构的执行组织,是信息安全执行机构的管理组织。

智慧城市信息安全管理委员会的职能主要包括:

(1)审批整个智慧城市范围内信息安全相关政策标准的制定、更新。

(2)信息安全项目的规划、评审和质量控制。

(3)向信息安全决策机构和监管机构定期通报整体信息安全情况。

(4)对信息安全工作的开展进行日常管理和监督。

(5)协调跨部门、跨业务系统的信息安全管理日常工作。

(6)对跨部门、跨业务系统与涉及违规违法的信息安全事件、案件进行协调处理。

20. 信息安全执行机构——智慧城市信息安全运维管理团队与应急委员会

在智慧城市信息安全管理委员会下设信息安全运维管理团队与应急响应委员会,作为智慧城市信息安全执行机构。信息安全执行机构主要职责有:

(1)贯彻执行上级部门有关网络及信息安全管理方面的方针、政策及各项工作要求,在各业务子系统落实网络及信息安全的各项工作。通过等级保护工作保持与公安机关的联系,接受和执行公安机关的监督和指导。

(2)负责建立信息安全策略体系,制定网络及信息安全工作制度及管理流程,起草、制定网络及信息安全的技术规范、标准及策略,聘请外部专家对网络及信息安全工作制度及管理流程进行评审,组织在智慧城市范围内的实施。

(3)组织、协调各业务系统部门实施网络及信息安全工作。对各业务系统开展必要的调研,有针对性落实其中的策略和制度。

(4)在智慧城市系统范围内开展信息安全知识共享,建立有针对信息安全的知识共享的技术平台,促进内部交流与学习。

(5)定期组织内部人员或聘请外部单位、邀请监管单位进行全面安全检查,检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等;汇总安全检查数据,形成安全检查报告,并对安全检查结果在安全组织内召开会议进行通报。

(6)对业务系统管理员以及重要的用户的行为进行审计,对智慧城市信息安全运维管理中心的各项监控、处理和维护工作进行审计,依靠安全运维管理中心平台以及各种安全审计产品对用户行为进行审计。

(8)对智慧城市全网内信息安全事件进行集中监控与深度分析。

(9)对智慧城市信息安全事件进行分类分级,制定不同的应急响应预案,对发生的安全事件启动应急响应机制与流程,会同各相关部门进行事件处置。

21. 信息安全监管机构

信息安全监管机构是针对智慧城市信息安全管理机构和执行机构的工作进行监管,其审查监督的结果直接向信息安全决策机构进行汇报,为信息安全组织改进工作提供支持。

应联合信息安全各主管职能部门作为信息安全监管机构,监管机构应包括公安、保密、通信管理等部门,检查、法院、司法等机关协助。

信息安全监管机构的主要职能是对智慧城市内信息安全工作的开展情况进行独立的审查和监督。其主要职责如下:

(1)监督各项信息安全策略、法律法规、标准与规范、指南与细则的执行情况,检验信息安全管理机构和执行机构是否按照其开展工作。

(2)检验信息安全管理机构和执行机构的工作效果,包括信息安全项目审查、信息安全服务效果审查,总体信息安全情况评估和信息系统安全性评价等工作。

以上四个机构组成了智慧城市信息安全的组织架构,同时在人员安全方面,对关键岗位要进行人员安全审查,必要时进行严格的政审、背景和资历调查,并对其业务能力进行综合考核;对于重要岗位的新入雇员要签订保密协议,作为雇佣合同的必要组成部分或者附件;承诺其对网络信息系统应尽的安全保密义务,保证在岗期间和离岗一段时间内,均不违反保密协议,不泄露系统秘密;在安全管理体系框架下,有针对性、分阶段地对不同岗位的工作人员进行必要的安全意识、安全管理体系和安全技能等方面的培训,并因地制宜地采取一些考核措施;建立技术人员离岗的安全管理制度,对离岗人员实施账号清理,权限回收、敏感信息、数据和设备的移交,并向其重申保密协议的内容。

5.3 安全策略和管理制度建设

有了智慧城市组织架构和管理人员,还需要根据整个城市的安全目标、方针和整体的安全战略规划,制定符合本地智慧城市现状和需求的安全策略,并通过一系列管理制度加以规范和落实。安全策略是信息安全保障体系的核心,是信息安全管理工作、技术工作和运维工作的目标和依据。安全策略是指导智慧城市所有信息安全工作的纲领性文件,是信息安全决策机构对信息安全工作的决策和意志的表述。安全策略的作用在于统一对信息安全工作的认识,规定信息安全的基本架构,明确信息安全的根本目标和原则。

在安全策略的设计上,应按照我国“谁主管谁负责,谁运营谁负责”的管理原则,设计安全管理中的分权制衡和最小特权机制,结合各地智慧城市信息系统业务特征、组织和安全管理需求,安全活动的总方向和总原则,参考国际先进标准体系(如ISO27000系列)和国内等级保护的相关政策。安全策略应具备以下特性:

(1)安全策略应紧紧围绕地区行业的发展战略,符合各地智慧城市实际的信息安全需求,能保障与促进信息化建设的顺利进行,避免理想化与不可操作性。

(2)安全策略中应明确阐述智慧城市所有信息化建设项目在规划设计、开发建设、运行维护和变更废弃等各阶段,应遵循的总体原则和要求。

(3)安全策略在经过智慧城市信息安全决策机构批准之后,应具备指导和规范信息安全工作的效力。

(4)安全策略中应规定其自身的时效性,当信息系统运行环境发生重大变化时,应及时对总体安全策略进行必要的调整,并将调整后的策略提交智慧城市信息安全决策机构批准。

(5)安全策略中应包括:《智慧城市信息安全总体策略》、《智慧城市信息安全组织管理框架》、《智慧城市信息安全应急预案》、《智慧城市业务连续性管理程序》等。

(6)设计策略应涵盖智慧城市安全管理的各个方面,包括安全管理制度、标准、流程和规范等,并具备以下五个特性:

● 指导性:安全策略体系文件应对智慧城市整体信息安全工作提供全局性的指导。

     

● 可行性:安全策略体系文件应能够适应智慧城市的现实情况和可预见的变化,在当前和未来的一段时间内切实可行。

     

● 动态性:安全策略体系文件应具有明确的时效性,不会长期一成不变。随着信息安全形势的动态变化和信息技术的不断发展,对策略体系文件进行不断的调整和修正。

     

● 可审核性:安全策略体系文件应可作为审核和评价智慧城市内部对信息安全策略遵守和执行情况的依据。

     

● 文档制度化:安全策略应使用清晰和完整的制度文档进行描述。


安全策略的落实依赖于具体的管理制度,智慧城市信息安全管理制度是在总体安全策略的指导下,对信息安全某一方面工作的目标和原则进行阐述和约束的文件。智慧城市相关的基础网络和重要信息系统运营、使用单位应根据总体安全策略,并集合自身实际业务安全需求,制定包括人员安全管理、资产管理、物理与环境安全管理、系统与网络管理、数据分级管理、信息安全事件管理、业务连续性管理、安全外包管理等在内的日常信息安全规章制度,从而提高网络信息安全管理机制及安全性及重要信息系统设计、实施、运行全流程的网络安全管理水平。具体来看,结合智慧城市的技术架构,智慧城市信息系统安全管理制度,可以包括:

22. 物联感知层设备安全管理制度

物联感知层设备安全是信息系统安全的基础。在信息安全管理体系建设中,结合风险评估结果,对建设和运维中设备安全实施管理,其主要目标是防止信息的泄露,损坏和被盗,使设备避免受物理和环境的威胁。结合整体性安全管理需求,对设备类型和型号进行调研,从防范物理威胁和人为威胁出发,实现安全控制。

23. 网络通信层安全管理制度

根据智慧城市信息系统的安全需求,结合智慧城市信息系统网络系统的体系架构、协议、传输数据信息特征,设计网络访问控制策略,网络连接和路由策略;针对病毒、木马、后门等恶意代码,设计恶意代码预防和控制策略;设计移动互联设备接入管理策略;设计通信加密和通信安全管理策略;设计网络安全隔离策略。根据以上策略制定对应的操作和管理制度,保护网络通信层中的信息和基础设施,防止对网路服务非授权的访问。

24. 数据与服务支撑层安全管理制度

调研智慧城市信息系统的生产业务数据类型及其重要性,制定数据定级策略对业务数据进行分级,针对不同级别的业务数据,设计关于机密性、完整性和可用性方面的安全措施,设计数据生成,数据使用、传输和备份恢复的安全策略,形成数据安全管理制度文档。

25. 智慧应用层安全管理制度

调研智慧城市各应用系统的具体情况,梳理整体性安全需求,对智慧城市各业务系统、核心业务系统进行分类,结合风险识别结果和其操作流程,制定身份鉴别策略、访问控制策略和监督管理策略,形成业务安全管理制度。同一子系统如果兼具多类特征,则对应多个业务安全管理制度。

5.4 安全培训和意识培养

安全培训作为一种知识传递和经验分享的手段,能有效的提升相关人员的安全意识和技能,也是各种安全防护措施得以实施的保障。针对智慧城市信息系统的相关管理人员和业务操作人员,应定期开展安全培训,提高全员的安全意识,培训内容可以包括政策法规、安全制度、安全意识、安全管理、安全技能等。安全培训工作需要分层次、分阶段、循序渐进的进行。分层次培训是指对不同层次的人员,如对管理人员、技术人员以及普通业务人员开展有针对性和不同侧重点的培训。分阶段是指在智慧城市项目建立、实施和运行的不同阶段,培训工作要有计划的分步实施。

针对管理人员培训,主要包括智慧城市领导小组和管理小组人员和业务专家等,主要目的是使他们了解国家相关部门对信息安全管理和建设的相关政策和标准,同时建立起一套具有针对性和使用性的安全管理办法。培训主要以信息安全政策法规标准解读和信息安全管理实践等,包括等级保护政策和标准、建立ISMS的基本方法和过程、风险管理等。

针对技术人员,主要包括安全维护人员、系统管理人员、软件开发人员等,主要目的是使他们了解智慧城市信息系统面临的安全威胁和挑战,以及如何进行全面有效的安全防护,培训以各种相关专业安全技术为主,比如密码技术、访问控制、审计监控等安全技术机制,网络、操作系统、数据库和应用软件等方面的基本安全原理和实践,信息安全攻防和软件安全开发相关的技术知识和实践等。协助信息安全管理人员进行系统的安全建设和维护保障。

针对普通业务人员,要加强信息安全知识的普及教育,进行相关信息安全意识的培训,强化其安全保密意识,并对本单位的信息安全制度进行宣贯,培养员工的安全责任感,比如信息安全概念、日常安全行为准则、密码使用规范、保密条例等内容。单位的整体安全水平不仅要看专职的安全管理与技术人员的能力,还要看全体员工的安全意识是否到位,这与持续的安全意识教育与培训是密不可分的。

5.5 风险评估

信息安全风险评估是信息安全管理体系中一种重要的评价方法和决策机制,在信息安全保障体系建设中具有不可替代的地位和重要作用。信息安全风险评估是信息安全保障的基础性工作,它既是明确安全需求、确定安全保障的科学方法和手段,又是信息安全建设和管理的重要保障,实施信息安全风险评估也是我国提高信息安全保障水平的一项重要举措。

针对智慧城市重要的业务信息系统,需要定期的开展风险评估工作。开展风险评估工作,就是从风险管理的角度,运用科学的方法和手段,系统的分析智慧城市基础网络和重要信息系统所面临的威胁及其存在的脆弱性,评估安全事件发生的概率以及安全事件一旦发生可能造成的损失,根据评估结果,提出有针对性的抵御威胁的防护对策和整改措施,并为防范和化解信息安全风险、将风险控制在可接受的水平、最大限度的保障网络和信息安全提供依据。所有的针对智慧城市信息安全的建设和管理都应该是基于信息安全风险评估的结果,根据风险评估结果结合实际需求情况,制定安全防护策略,采取合适的安全技术或管理措施,以最小的代价去最大程度的保障安全。参照国家标准《信息安全风险评估规范》GB/T 20984-2007,结合业界的实际工作经验,建议风险评估的整个实施过程以及相应的输出文档如下图所示:


信息安全风险评估实施流程


在确定评估范围阶段,应根据本次风险评估制定的目标,确定风险评估的范围,包括相关的信息资产、管理机构、业务流程等,通过业务调查确定评估的具体对象,并形成相关的记录文档。在资产识别阶段,对需要保护的资产进行识别和分类,依据资产在保密性、完整性和可用性上的安全需求进行赋值,确定每项资产的重要性等级,并确认已有的安全防护策略和措施,形成《安全现状分析报告》。在脆弱性评估阶段,针对每一项需要保护的资产,识别其可能被威胁利用的弱点,并对脆弱性的严重程度进行评估,可通过工具扫描、人工审计、渗透测试识别技术上的脆弱性,通过安全制度审计识别管理上的脆弱性,通过对已有安全策略的评估验证,识别策略上的脆弱性,并形成相关的脆弱性报告。在威胁识别阶段,针对保护资产的脆弱性,分析可能存在的威胁因素,并判断威胁出现的频率,形成《威胁分析报告》。在风险分析阶段,结合对相关资产、脆弱性、威胁的识别和评估后,采用合适的风险分析方法和工具,来分析威胁利用脆弱性导致安全事件发生的可能性,以及安全事件发生后对组织造成的损失,来综合评价风险状况,形成初步的《风险分析报告》。在风险管理阶段,根据风险评估的结果,有针对性的提出合适的安全控制措施,确定相关的风险控制策略,最终形成《风险评估与管理报告》提供给管理者,给管理者防范和化解信息安全风险提供真实的依据。

信息安全风险评估从开展的形式上划分,可分为自评估和检查评估两种形式。智慧城市业务信息系统的拥有、运营和使用单位,可发起对本单位信息系统的自评估。自评估应参照《信息安全风险评估规范》GB/T 20984-2007标准,制定评估方案、评估准则,通过上述流程进行实施。智慧城市信息安全监管机构或上级管理部门,可对智慧城市业务信息系统的拥有、运营和使用单位开展检查评估,对关键环节或重点内容实施抽样评估。信息安全风险评估应以自评估为主,自评估和检查评估相互结合,互为补充。

从风险评估的对象来看,应着重对重要业务的承载平台和业务应用系统两个方面进行信息安全风险评估。

针对重要的业务承载平台,需评估业务承载平台的基础IT设施的安全性,突出对物理环境、网络环境、服务器主机操作系统、数据通信安全的评估,包括是否采用了合适的加密技术、合理设计和配置了服务器和防火墙,内部运作系统和数据库是否安全等,以及是否制定了控制和管理修改信息系统的制度和控制程序,并能保证各种修改得到及时测试和审核。具体评估内容如下表所示:


业务承载平台评估项及评估内容


针对业务应用系统,需评估设计与开发业务应用的安全管理控制,应用的编码安全性、基本业务逻辑控制以及应用的安全功能、安全配置等。具体评估内容如下表所示:



6、智慧城市信息安全运维体系建设


智慧城市的运维保障体系,是一个高度复杂化、异构化、体系化的复合系统,在其组成上可参考ITIL体系,将IT运维保障服务过程分为服务提供流程与服务支持流程两个类型,将智慧城市IT服务提供流程视作战术层面,将服务支持流程视作执行层面,共同为智慧城市运维保障战略提供必要流程与功能支撑。

 IT服务管理


6.1 智慧城市IT运维服务提供流程

智慧城市IT运维服务提供流程包括服务级别管理、IT服务财务管理、IT服务持续性管理、可用性管理和能力管理,流程如下图所示:


 IT服务提供流程


 26. 服务级别管理(Service Level Management)

本流程通过对IT服务绩效的协商、监控、评价和报告等一整套相对固定的运营流程来维持和改进IT服务的质量,使之既符合业务需求同时又满足成本约束的要求;通过采取适当的行动来消除或改进不符合级别要求的IT服务。

在智慧城市IT运维保障体系中,涉及到多个不同的IT运维服务提供商,而不同的IT运维服务提供商又对自身的下级IT运维服务提供商提出他们的服务级别(SL)。因此,在智慧城市IT运维保障体系中,难点在于建立一套具有层次性的服务级别标准体系,以该标准作为衡量基准进行分级、分层的服务级别管理,对不同类型、不同性质、不同服务需求的不同智慧城市应用系统,提供相应的服务级别。

27. IT服务财务管理(Financial management of IT Services)

这项管理流程主要用来全面核算智慧城市IT服务运营成本,并按照向各智慧城市子系统拥有者、公共系统用户提供的服务项目进行分摊,同时为智慧城市管理层提供IT运维保障所必需的投资决策所需的详细资料;还用来对支持智慧城市IT服务运营的基础设施、IT资产和资源、智慧城市运行过程中产生的各类大数据产物等进行成本效益管理。

智慧城市IT服务财务管理的主要工作包括:预算、会计、收费和报表。但在工作实践中应考虑到该项工作中所涉及的机构、企业与个人数量极为庞大,智慧城市管理机构应集中力量对智慧城市运行与安全关键设施、智慧城市运行过程中各类数据资产的财务管理进行重点关注,各分支智慧城市子系统的IT服务财务管理工作交由其所有或管理方自行负责,智慧城市管理机构只需对其服务级别管理(SLM)效果进行考核即可。

28. IT服务持续性管理(IT Service Continuity Management)

智慧城市IT服务持续性管理,是指确保智慧城市系统发生大型灾难后,有足够的技术、财务和管理资源来确保智慧城市IT服务持续性的流程。

该项流程包括:对智慧城市发生各类大型灾难后灾难恢复设施的需求分析、灾难恢复计划的制定、计划的更新、演练的执行,以及必要时进行实际灾难恢复的流程等方面。

智慧城市IT服务持续性管理,主要通过确保智慧城市整体正常服务运营所需的IT技术和服务设施,能够在要求和约定的时间期限内得到恢复,为总体的智慧城市业务持续性管理提供支持。

需要注意的是,在智慧城市开放性、复杂性环境的特殊情况下,智慧城市安全运维管理中心有充分必要具备管理与技术能力,对分布于智慧城市各处、分属不同所有者的智慧城市业务子系统的IT服务持续性保障能力进行实时监测。

29. 可用性管理(Availability Management)

智慧城市IT可用性管理是在正确使用智慧城市基础设施与数据资源、方法及技术的前提下,保障智慧城市运转必需IT服务的可用性。智慧城市的正常运转,高度依赖IT系统,一旦IT系统发生可用性问题,则整个智慧城市将面临不同程度的灾难,因此智慧城市安全运维管理中必须尽可能避免或减小预期外当机、服务能力不足的时间。

智慧城市可用性管理,在深入探讨智慧城市庞大而近乎无限的计算资源的动态调配效率时,是为维持智慧城市的最佳营运状态所必要的。

该流程确保智慧城市IT服务的设计符合整体业务所需的可用性级别;而对各分支智慧城市业务子系统实际的可用性、可靠性以及可维护性进行测度和监控,则应交由各子系统拥有者或管理者自行保障,并强制其提交相应的报告,以确保有关协议目标的实现;该流程还能优化智慧城市IT基础设施的可用性并为改进服务绩效提供建议;也能确保减少某段时间内事故对IT可用性影响的频度和持续时间。

要注意的是,在智慧城市开放性、复杂性环境的特殊情况下,智慧城市安全运维管理中心有充分必要具备管理与技术能力,对分布于智慧城市各处、分属不同所有者的智慧城市业务子系统的可用性及可用性管理能力进行实时监测。

30. 能力管理(Capacity Management)

智慧城市IT服务能力管理的目的,主要是调整智慧城市整体营运的实际需求和智慧城市基础设施所能提供的IT资源的平衡。

换言之,智慧城市IT服务能力管理,是要确保智慧城市管理机构能在合适的时间与合适的地点,以合适的成本提供合适的资源用于顺利完成智慧城市业务应用系统的运行支撑。

这个流程用来分析智慧城市当前业务需求,预测将来的业务需求,并确保这些需求在制定智慧城市能力计划时得到充分的考虑;确保当前的智慧城市IT资源能够发挥最大的效能,提供最佳的服务绩效;确保智慧城市管理机构的IT投资按计划进行,避免不必要的资源浪费。

6.2 智慧城市IT服务支持流程

智慧城市IT服务支持流程包括服务中心、配置管理、事故管理、问题管理、变更管理、发布管理。流程框架如下图所示:

IT服务支持流程框架图


 31. 服务中心(Service Center)

智慧城市服务中心,是规模更大、业务更多的帮助台和呼叫中心,应归属于智慧城市安全运维中心。它是一种服务职能(Function),而非管理流程。智慧城市服务中心每天为智慧城市各子系统运维管理用户与智慧城市市民用户提供服务窗口。

用户对智慧城市IT服务存在的不满、疑问和建议等均反馈到服务中心;服务中心同时也应是智慧城市各子系统运维管理用户使用智慧城市基础设施资源与IT服务的登录点,因此服务中心运作的情况直接映射到IT服务品质的高低。

另外,智慧城市服务中心也要负责尽快地协助子系统运维管理用户或智慧城市市民用户尽快恢复服务的运作,提供部分容错能力,比如提供使用索引、修正,或针对某一意外事件的补救措施等。

但是智慧城市服务中心不负责意外事件的分析,这种深入分析属于问题管理和事故管理的范畴。

32. 配置管理(Configuration Management)

智慧城市的配置管理,指识别和确认智慧城市各级各类系统的配置项、记录并报告配置项状态和变更请求、检验配置项的正确性和完整性等活动构成的过程。

智慧城市配置管理的目的,在于维持一个巨大的配置管理数据库(CMDB)中每个IT基础设施建设的配置记录,同时与各智慧城市业务子系统自身的配置管理数据库(CMDB)保持数据同步;另外还应提供配置项目(CI)的报表,报表包括一些管理信息如问题记录、变动记录、版本信息、状态信息和关系信息等。

智慧城市的配置管理,相当于ITIL体系中的实体控制中心,应从属于安全运维管理中心,用来控制和协调智慧城市中各个IT基础架构组件,从而能够更好地支撑智慧城市服务中心的工作。

33. 事故管理(Incident Management)

事故(Incident)是指任何不符合标准操作,且已经引起或可能引起服务中断和服务质量下降的事件(Event)。

智慧城市事故管理的目的,就是在出现事故的时候能够尽可能快地恢复服务的正常运作,避免智慧城市关键设施支撑能力与智慧城市应用系统业务中断,以确保最佳的服务可用性级别。

智慧城市事故管理是处理IT日常运维管理中偶发的危机事件,并要从中恢复运转,如有一段时间无法提供服务,这需要将工作转移到另一套系统,而这并不应是平常会遇到的。因此发展一套在面临IT事故危机时能够恢复正常运转的计划和应急解决方案是非常有必要的。

34. 问题管理(Problem Management)

问题是导致一起或多起事故的潜在原因,智慧城市问题管理的目的是尽量减少智慧城市服务基础架构、人为错误和外部事件等缺陷或过失,对智慧城市子系统与市民用户造成影响,并防止它们重复发生,以维持一个稳定的IT服务环境。

问题管理一般有发现问题、记录问题、分类问题和分析问题几个过程,这需要持续维护一个巨大的智慧城市运维问题数据库,并实现错误控制的目的。

35. 变更管理(Change Management)

变更是指,对已批准构建或实施的或已在维护的硬件、软件、网络、应用系统、环境以及相关文档所做的增加、修改或移除。

智慧城市变更管理的目的,是要确保在智慧城市关键设施IT服务变动的过程中,能够用标准化的方法,有效地监控这些变动,以降低或消除因为变动所引起的问题。

这里的“变动”是指一些在智慧城市关键设施基础建设项目上的动作所造成一个新的状态;所有在智慧城市关键设施配置项目上的变动都必须纳入智慧城市变更管理的控制范围。变更管理不仅要求找到解决问题的方法,更需要变更IT基础设施,以从根本上解决问题或事故。

36. 发布管理(Release Management)

智慧城市发布管理流程从管理者全局的角度与高度监察整个智慧城市运维管理体系中IT服务的变化,并确保经过完整测试的正确软硬件或配置变更版本得到授权进入正式运作环境。

智慧城市发布管理设计和实施有效的程序来分发IT系统的变更,但由于智慧城市每时每刻所进行的变更发布数据极为庞大,即使是充分利用云计算技术所组建的安全运维中心也并不能完全保障所有软件模块的安全性和确认所有的最终软件库中软件是安全可靠的。因此智慧城市中的发布管理应完全交付至各关键设施运维管理机构与智慧城市应用子系统运维管理方,智慧城市安全运维管理中心应仅维护一个保存有关键设施配置基线的巨大数据库,随时与下级的发布管理者保持数据实时更新同步,同时结合变更管理,准确发布确切内容和首次发布计划。


主动式管理框架图


6.3 智慧城市安全状态监控

智慧城市安全状态监控,由智慧城市信息安全运维管理团队负责,通过安全运维管理中心集中实现与完成,由智慧城市安全态势感知体系与安全情报共享体系来共同实现。通过智慧城市计算资源及应用服务监控平台,以态势感知信息作为预警数据源,结合安全情报共享体系建立的威胁情报数据库进行检查,做到网络安全态势和威胁提前感知,网络威胁和漏洞第一时间发布预警,网络安全事件第一时间通报处置,网络安全保障工作信息化和数据化,构建网络安全态势感知、预警、通报、处置的闭环。具体可回顾前文相应章节内容,这里不再赘述。

6.4 智慧城市安全事件处置与应急响应

智慧城市环境下的安全事件处置与应急响应,仍可参考常规模式下的安全事件处置与应急响应预案,同时从以下几个方面进行有针对性的建设。

6.4.1 总体规划

为提高应对智慧城市信息系统在运行过程中出现的各种突发事件的应急处置能力,有效预防和最大程度地降低信息系统各类突发事件的危害和影响,保障信息系统安全、稳定运行,可以参考国家《信息安全事件分类分级指南》、《信息技术、安全技术、信息安全事件管理指南》、《国家突发公共事件总体应急预案》及有关法律、法规的规定,结合实际,制定智慧城市环境下的信息安全事件处置与应急响应预案。

智慧城市安全事件处置与应急响应预案应明确其所保障的信息系统包括智慧城市地域与数据服务辐射范围内的云计算中心、网络设备、计算机终端、移动终端、业务应用系统、各类工业控制系统及智慧城市数据等。

需明确智慧城市信息系统突发事件分为网络攻击事件、信息破坏事件、信息内容安全事件、网络故障事件、软件系统故障事件、灾难性事情、其他事件等八类事件:

37. 网络攻击事件

通过网络或其他技术手段,利用智慧城市信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对智慧城市信息系统实施攻击,并造成智慧城市信息系统异常或对智慧城市信息系统当前运行造成潜在危害的事件。

38. 信息破坏事件

通过网络或其他技术手段,造成智慧城市信息系统中的数据被篡改、假冒、泄漏等而导致的事件。

39. 信息内容安全事件

利用智慧城市信息网络发布、传播危害国家安全、社会稳定和公共利益的不良信息内容的事件。

40. 网络故障事件

因运营商、网络设备等原因造成大部分网络线路中断,用户无法登录智慧城市信息系统的事件。

41. 计算资源故障事件

因智慧城市信息系统计算资源如云计算中心等故障而导致的智慧城市信息系统无法运行的事件。

42. 软件故障事件

因智慧城市系统软件或应用软件故障而导致的信息系统无法运行的事件。

43. 灾害性事件

因不可抗力对智慧城市信息系统造成物理破坏而导致的事件。

44. 其他突发事件

不能归为以上七个基本分类,并可能造成智慧城市信息系统异常或对信息系统当前运行造成潜在危害的事件。

6.4.2 组织机构和工作职责

智慧城市信息安全应急委员会负责智慧城市信息系统应急处理工作,决定智慧城市信息系统应急处理工作的重大事项,组织实施、业务协调和发布智慧城市信息系统应急指令,制定与发布智慧城市信息系统应急故障级别、决策处理方案。

应急委员会下设应急小组,负责直接具体执行应急委员会的决策指令,应急小组组长由分管信息技术工作的智慧城市行政领导担任,成员为智慧城市信息安全保障部门全体人员。

6.4.3 预防与预警机制

应急委员会应针对各种可能发生的各类智慧城市信息系统突发事件,建立和完善智慧城市整体安全态势的预告和预警机制.。

智慧城市的信息安全预警信息分为外部预警信息和内部预警信息两类。外部预警信息指智慧城市信息系统外突发的、可能需要通信保障与安全防范,或可能对智慧城市信息系统产生重大影响的事件警报。内部预警信息指智慧城市信息系统内的事故征兆或局部智慧城市信息系统或子系统突发事故,可能对其他或整个智慧城市信息系统网络造成重大影响的事件警报。

应急委员会应组织设置专门的技术与管理团队运维与分析通过智慧城市安全态势感知体系与安全情报共享体系获取的安全状况监测信息。在获得外部重大预警信息,或通过监测获得内部预警信息后,应对预警信息加以分析,按照早发现、早报告、早处置的原则,对可能演变为严重事件的情况,部署相应的应对措施,通知相关各企事业单位与政府部门做好预防和保障应急工作的各项准备工作,并及时报告智慧城市高层管理机构。

6.4.4 应急响应与处置机制

智慧城市运维人员或各业务子系统使用单位或人员发现信息系统突发事件后,应及时报告应急委员会。应急委员会及时组织相关人员查找故障原因,在短时间内(一般要在半小时以内)依据故障情形和修复时间进行初步判别,确定故障分类级别。

智慧城市信息系统突发事件发生后,根据突发事件严重程度,由应急委员会决定并指定特定小组或人员及时向新闻媒体发布相关信息,所指定的小组或人员应严格按照应急委员会规定及要求对外发布信息,其他部门或个人不得擅自接受新闻媒体采访或对外发布自己的看法和意见。

发生较高级别(级别由应急委员会制定)及其以上信息系统突发事件时,应急小组除向应急委员会报告外,应立即通知各智慧城市业务子系统负责人。各业务子系统应通过各种形式公告与告知服务对象,同时做好服务对象的解释和疏导工作,并尽可能通过电话、网络、短信等方式通知相关部门、企事业单位业务人员。

根据不同的事件以及事件的级别,采取相应措施进行应急处理。突发事件处理过程中,可以根据需要调整故障级别。

45. 网络攻击事件应急预案:

a. 当发现网络被非法入侵、网页内容被篡改,应用服务器的数据被非法拷贝、修改、删除,或有黑客正在进行攻击等现象时,使用者或管理者应断开网络,并立即报告应急小组。

b. 应急小组立即关闭相关服务器,封锁或删除被攻破的登陆帐号,阻断可疑用户进入网络的通道,并及时清理系统、恢复数据和程序,尽快将系统和网络恢复正常。

46. 信息破坏事件应急预案:

a. 当发现信息被篡改、假冒、泄漏等事件时,信息系统使用单位或个人应立即通知应急小组。

b. 如被篡改或被假冒的数据正在提交或发送过程中,应急小组应立即切断数据传输。

c. 应急小组通过跟踪应用程序、查看数据库安全审计记录和业务系统安全审计记录查找信息被破坏的原因和相关责任人。

d. 应急小组提出修正错误方案和措施,通知各智慧城市业务子系统进行处理。

47. 信息内容安全事件应急预案:

a. 当发现不良信息或网络病毒时,智慧城市业务系统使用人员应立即断开网络连接,终止不良信息或网络病毒传播,并报告应急小组。

b. 应急小组根据情况通告智慧城市范围内所有终端用户,隔离网络,指导各终端操作、使用人员进行杀毒处理、清除不良信息,直至网络处于安全状态。

48. 网络故障事件应急预案:

a. 发生网络故障事件后,智慧城市信息系统使用人员应及时报告应急小组。

b. 应急小组及时查清网络故障位置和原因,并予以解决。

c. 不能确定故障的解决时间或解决故障的期限并属较高级别及其以上的,应急小组应报告应急委员会。

计算资源故障应急预案:

d. 计算资源发生故障后,应急小组确定故障设备及故障原因,并通知相关运维服务提供商。

e. 根据计算资源修复和恢复系统所需时间,由应急委员会决定是否启用云数据备份还原机制。

f. 如启用云数据备份还原机制,在故障排除后,应急小组在确保不影响正常业务工作的前提下,利用业务空闲时期对数据资源进行紧急完全备份。如不启用备份设备,应急小组应积极配合相关运维服务提供商解决故障事件。

软件故障事件应急预案:

g. 发生智慧城市信息系统软件故障后,系统使用人员应立即保存数据,停止该信息系统的业务操作,并将情况报告应急小组,不得擅自进行处理。

h. 应急小组应立刻派出技术人员进行处理,必要情况下,通知各相关业务子系统停止业务操作,对业务系统数据进行检查与备份。

i. 应急小组组织有关人员在保持原始数据安全的情况下,导入备份数据或启用镜像服务站点,并同时对软件系统进行修复;修复系统成功后,利用备份数据恢复丢失的数据,并对修复期间新增数据进行同步。

49. 灾害性事件应急预案:

a. 一旦发生灾害性事件,应急小组每一位成员都应有责任在第一时间进入计算中心机房抢救服务器及存储设备。

b. 应急小组对中心机房内服务器及存储设备的损坏程序进行评估。如服务器损坏或存储设备损坏无法使用,立即联系相关厂商,进入维保服务程序。

c. 根据服务器或存储设备修复和恢复系统所需时间,由应急委员会决定是否启用备份设备。

其他突发事件应急预案:

d. 应急小组立刻派出技术人员进入现场,制定相应措施,根据实际情况灵活处理,并按要求报告应急委员会。

6.5 全方位安全态势感知

随着业务模式的日新月异,网络规模不断扩大,网络应用水平的不断提高,我们所面临的安全威胁也越来越复杂多样,单纯的防范措施已经无法阻止蓄意的攻击者,安全能力从“防范”为主转向“快速检测和响应能力”的构建,已成为当下安全建设的共识。通过建设整体、区域、系统、用户终端四级一体化的智慧城市网络安全态势感知体系,构建集中式的监控、管理、流程、服务、展示平台,及时、准确、全面反映与掌握智慧城市各信息系统的安全运行状态,保障各业务系统的正常运行,实现全天候全方位感知智慧城市网络安全态势,及时预测安全状况和发展趋势,提前预警安全威胁,为制定有预见性的应急预案提供基础。

安恒智慧城市安全态势感知系统(先知系统)在设计实现如下目标:

50. 强化主动监控,实现集中管理。以智慧系统可用性、安全性监控为主线,构建统一集成的智慧城市计算资源及应用服务监控平台,能够主动、及时地发现安全问题,并调度资源解决问题,形成智慧城市运维管理主动服务的新局面。

51. 帮助定位智慧城市安全事件原因,快速恢复智慧城市业务应用系统运行。建立集中的安全事件告警分析及展示平台,提供灵活、自动化的安全事件处理能力。当安全事件产生时,可以进行事件快速定位,发现安全事件原因,调度资源快速恢复智慧城市信息系统服务,从而缩短安全事件解决时间,降低安全管理成本,提高智慧城市信息系统整体可用性。

52. 掌握运行质量与效率,合理利用资源。建立智慧城市安全态势感知体系后,可以实时了解各智慧业务应用系统资源的可用性及服务质量情况,根据需要从整体角度考虑资源的使用与业务应用系统运维层面配置的优化。

53. 共享智慧业务应用系统运维经验,完善安全知识库。把运维过程中产生的丰富经验进行积累和总结,形成有效的安全知识库,建立安全知识的共享机制,提供信息共享和交流的平台,提高智慧业务应用系统运维人员的工作效率。

54. 统计分析和决策支持。通过提供各类安全分析报表、资源统计报表和态势分析报表,从各个侧面、各个角度反映智慧城市整体业务应用系统的运行情况、安全情况,为智慧城市业务应用系统优化、管理、升级、改造、扩容提供科学依据。

55. 全面直观的系统管理展示。通过一个统一的门户系统展示系统,有效的展示智慧城市支撑层面与业务系统群的运行情况、安全状况、威胁态势等,使领导、管理者、技术人员能迅速了解自己关心的问题。

6.6 安全情报共享

随着智慧城市整体架构的大数据化与云化,尤其是网络攻击行为的分布化、远程化与虚拟化,当前现有的攻击行为感知、通报、收集与分析体系已经不能适应当前多样而组织化的安全威胁形势。

由于安全攻防技术的日新月异,现网中不可避免会出现最新的0day漏洞,或是由于社会不利因素引发的系列突发型攻击行为,由于其爆发的周期短,一般系统管理人员尚未意识到其严重性,或难于进行加固防御,故很容易被黑客攻击。

安恒安全团队通过对这些威胁情报的搜集分析,并提取出攻击特征和漏洞指纹信息,风暴中心依据已有的指纹基础数据库,对这类特征和指纹进行快速匹配分析,可对现网中受影响的系统进行定向预警,并快速描绘出各系统及单位受影响的系统分布情况。协助智慧城市整个IT更快速,更有效的进行安全策略的调整。

7 智慧城市信息安全合规体系建设

7.1 智慧城市云上合规目标

随着我国网络建设的发展以及政策红利的不断释放,智慧城市的兴起已经是指日可待。由于其服务对象的普遍性、服务方式的多元性、结构的复杂性,一但出现安全问题而造成的损失和影响将直接危害社会秩序、国家安全。物联网、云计算、移动互联等新一代信息技术在智慧城市上的使用,使之较传统信息系统又有了长足的发展。传统的信息系统安全保护要求已经满足不了智慧城市的安全建设需求。

在众多智慧城市设计的领域内,云计算作为一种新兴计算形式,其高效的资源利用率、高度的环境适应性等特性与智慧城市的建设要求不谋而合,越来多的智慧城市服务建设转移到了“云”上。而今互联网网络安全事件不断频发,考虑到未来将要面对的更加纷繁复杂的城市网络服务,人们不经要思考这样一个问题-----如何去保证“云”计算安全这一基石的可靠性以及安全性?

在传统信息系统方面,虽然在1994年发布的《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)中就对信息系统安全相关做出了阐述,然而到了2007年才发布了《信息安全等级保护管理办法》(公通字[2007]43号)对信息系统等级保护作出详细指导与规定。历经十余年至今,逐渐形成了针对传统信息系统的等级保护安全合规体系。其中就信息系统按照重要程度进行了分等级保护,并制定与等级项适应的检查指标,同时授权由公安部门负责对各单位信息系统等级保护建设工作行使监督检查职权以保障信息系统等级保护制度得到执行。而在当前新云计算及时普遍应用的当下,依靠现有的安全保护类要求难以实现安全保障。

综上所述,建立起一套针对“云”的合规安全体系迫在眉睫,我们将它称为“云上合规安全保护体系”。

7.2 云上合规工具

安恒信息依据《信息安全 等级保护检查工具箱技术规范》,在深入分析与研究常见安全漏洞以及流行的攻击技术基础上,参考安恒信息安全团队攻防研究和风险评估的项目经验,并结合信息安全等级保护相关标准,总结归纳大量的安全漏洞信息和攻击方式后,研制了明鉴信息安全等级保护检查工具箱。

云平台作为一项基础设施,推荐使用等保工具箱自查版。等保工具箱能够帮助云平台进行信息系统安全检查评估,具有规范检查、工具调用、结果展示等功能,集成定制有专门的安全检查工具,为等级保护合规自检自查提供了专业检查知识和检查方法,并实现对获取数据的关联分析、统计比对、处理流转等功能,提高等级保护合规自检自查工作的常态化、标准化和规范化水平。

等保工具箱功能由“平台管理模块”,“自查功能模块”,“自查工具模块”,“任务执行模块”,四个模块组成。

等保工具箱是等级保护测评落地的最佳实践,具有以下产品特点:

1. 前瞻性、落地性

安恒信息结合多年在应用安全等领域的安全检查最佳实践,开发出使等级保护检查工作更加具有落地性的10款技术脆弱性检查工具。使信息系统运营和使用单位在自检自查过程中体现了权威性、专业性。

2. 便携性、易用性

工具箱及检查工具便于信息系统运营和使用单位远程或本地扫描,界面友好,平台采用“一键式”操作界面,易于操作使用,检查任务可以并行。

3. 专业性、标准性

工具箱检查指标库严格依据了等级保护政策、标准研发,是信息系统运营和使用单位开展网络安全自检自查的检查指标全集。检查指标严格依据有关国家网络安全政策和标准进行研发,可以由信息系统运营和使用单位自行选择和新增,形成检查模板,确保了检查数据的格式统一。

4. 规范性、扩展性

工具箱检查知识库封装专业检查知识和专业分析模型,确保检查工作的规范化,知识库是对大量网络安全工作(包括定级、备案、测评、建设整改、安全检查、灾备、应急和案事件处置)的实践经验和知识的提炼,对现场测评工作有明确和规范的引导作用,可以按照内置的分析模型对检查数据进行分类、统计、关联、分析和比对。可以根据检查工作的需要,对检查内容进行扩展,检查工具的升级维护采用“一键式”升级方式,易于维护。

5. 安全性、保密性

工具箱中的检查工具安全可靠,再检查执法过程中不会影响检查对象的稳定运行,不会影响检查对象所在网络的正常通讯。检查数据采用了国产密码算法加密,并具有检查数据的痕迹清除能力,确保检查数据的安全性和保密性。

等保工具箱无需部署环境,通过现场操作,对等保工具箱的软硬件设备安装、配置、诊断、管理、维护等方面进行现场使用培训。


 等保工具箱是等级保护测评落地的最佳实践,具有以下产品特点:

1. 前瞻性、落地性

安恒信息结合多年在应用安全等领域的安全检查最佳实践,开发出使等级保护检查工作更加具有落地性的10款技术脆弱性检查工具。使信息系统运营和使用单位在自检自查过程中体现了权威性、专业性。

2. 便携性、易用性

工具箱及检查工具便于信息系统运营和使用单位远程或本地扫描,界面友好,平台采用“一键式”操作界面,易于操作使用,检查任务可以并行。

3. 专业性、标准性

工具箱检查指标库严格依据了等级保护政策、标准研发,是信息系统运营和使用单位开展网络安全自检自查的检查指标全集。检查指标严格依据有关国家网络安全政策和标准进行研发,可以由信息系统运营和使用单位自行选择和新增,形成检查模板,确保了检查数据的格式统一。

4. 规范性、扩展性

工具箱检查知识库封装专业检查知识和专业分析模型,确保检查工作的规范化,知识库是对大量网络安全工作(包括定级、备案、测评、建设整改、安全检查、灾备、应急和案事件处置)的实践经验和知识的提炼,对现场测评工作有明确和规范的引导作用,可以按照内置的分析模型对检查数据进行分类、统计、关联、分析和比对。可以根据检查工作的需要,对检查内容进行扩展,检查工具的升级维护采用“一键式”升级方式,易于维护。

5. 安全性、保密性

工具箱中的检查工具安全可靠,再检查执法过程中不会影响检查对象的稳定运行,不会影响检查对象所在网络的正常通讯。检查数据采用了国产密码算法加密,并具有检查数据的痕迹清除能力,确保检查数据的安全性和保密性。

等保工具箱无需部署环境,通过现场操作,对等保工具箱的软硬件设备安装、配置、诊断、管理、维护等方面进行现场使用培训。

返回列表
杭州安恒信息技术有限公司 版权所有 © 2007-2017    浙ICP备09102757号 | 法律声明 | 隐私保护 |