华为孙建平:云网安一体,为智慧城市保驾护航

动态 作者:华为数据通信 2021-09-17 23:29:11


本文作者

孙建平

华为数据通信产品线

解决方案部部长


新型智慧城市建设是数字中国的重要内容,是智慧社会的核心载体,是提升城市服务效能和政府治理能力的有效路径。“十四五”规划纲要明确提出要分级分类推进新型智慧城市建设。随着云计算、大数据、IPv6+、物联网为代表的新一代信息技术迅猛发展,正助推城市数字化转型,掀起新一轮智慧城市建设热潮。



城市数字化转型

安全边界被打破



城市数字化转型典型特征是无线化、移动化和业务云化,越来越多的物联终端自由接入,越来越多的应用迁移上云,为政务业务系统带来更多不确定因素:


l 打破访问边界移动办公、移动执法、社区服务等新业务场景推出方便了市民、商家、公务员,打破原有系统的访问边界;


l 打破物联边界作为城市信息采集的最佳节点,物联感知设备采集海量数据,为决策提供客观依据,打破原有系统的物联边界;


l 打破业务边界业务系统部署由本地迁移至云端,资源的共享利用也从本地物理机扩展至云端,打破原有系统的业务边界;


城市数字化转型服务对象由原有服务公务员拓展为服务民众、商家;部署模式由原有固定网络接入拓展为无线化和移动化访问;业务模式由原来面向办公自动化和政务信息化改革,逐步扩展为社会精细化治理,总的来说,为新型智慧城市带来无处不在的联接。而泛在物联接入、移动化接入和业务上云,打破原有系统安全边界,为网络安全带来极大挑战。



威胁变化层出不穷

防御模式亟待重新定义



网络安全的本质是攻防对抗,攻在暗,守在明,并非是一场公平的较量。


对攻击方而言,目标明确,主动出击,可采用多种攻击方式相结合,甚至开发针对性攻击工具,直击业务系统最薄弱环节;


对防守方而言,却显得十分被动,谁发起攻击,什么时候攻击,如何攻击等信息很难事先了解,只能从上至下全面布防。


传统智慧城市安全防护方案多为条块化,终端、网络、云、应用等场景化安全方案各自为战,互相之间不兼容、不联动,犹如散兵游勇,缺乏宏观战略把控和整体布控。


同时,随着服务对象、部署方式和业务模式转变,新型智慧城市存在诸多安全新问题:接入对象不同、接入位置不确定、接入终端规模大等问题,将导致城市网络空间暴露面不断被放大;物联感知网中的终端设备分布在城市郊区,厂家不同、标准各异、安全可信度不一,存在被黑客利用的风险;城市数据融合上云,传统安全手段无法有效应对云化和大数据环境下的安全防护。


攻防双方开始备战已然失衡,若面对更复杂和高阶的安全威胁、原有的固定安全边界不在等不稳定因素的影响,漏检、误检将难以避免,整体安全防线岌岌可危,防御模式亟待重新定义。


云网安一体化方案

为智慧城市保驾护航



新型智慧城市的安全建设不仅要做到与信息化“同步规划、同步建设、同步运行”,同时也需要与云计算技术、新型网络技术做到深度融合。安全设计需要对云、对网络有更加深刻的认识和理解,才能避免信息化和安全“两张皮”的问题。


2021年6月18日,华为在县域城市智能体峰会2021期间,举办“云网安一体,护航智慧城市”媒体发布会,与来自张家港大数据管理局的嘉宾联合发布《智慧城市云网安一体技术白皮书》,本方案的发布对智慧城市网络集约化建设和安全运营具有重要的参考价值和实践引领作用。


华为云网安一体解决方案旨在打造智能化的未来网络安全架构,实现风险实时检测、威胁主动研判,智能全局防控。云网安一体解决方案整体目标架构分为执行层、管控层、分析层三个层次。


执行层

指参与业务交互的物理设备及运行在物理设备之上的应用软件,由终端、网络、云三个部分组成,每个部分均包含各自的安全设备。执行层在整体架构中负责收集转发资产、状态、流信息、日志等安全相关信息,并上送给安全大脑,接受从控制器下发的授权策略和阻断策略,对终端、用户、流量进行相应的处置。


管控层

由终端管理、网络控制器、安全控制器、云管理平台组成。向下对执行层进行管理控制,向上和安全大数据平台进行协同,提供溯源等信息,管控层从分析层接受授权、阻断、查询策略并下发给执行层,是实现自动化阻断和溯源的关键部件。


分析层

由网络安全态势感知平台、云安全分析平台和安全大脑组成。在整体架构中通过智能算法对所有信息进行综合分析和研判,并将全网安全态势进行统一呈现,对于需要处置的事件下发给控制器进行处理,是云网安一体架构的核心。


 智慧城市云网安一体解决方案包括零信任安全、云网安协同、网络安全服务三大领先能力:


零信任安全:

采用业界最新的零信任理念,以身份和授权为抓手,构建终端、用户、网络、应用四维零信任,高效管控业务风险。


终端侧针对办公终端和物联网终端,采用终端标识,终端可信准入验证,实现终端零信任;用户侧对访问的主体进行统一的身份标识、高可信身份验证,实现身份零信任;网络侧采用深度包检测技术,结合沙箱、蜜罐等主动安全技术,进行全面的威胁检测与防御,实现流量的零信任;应用侧采取单一应用访问入口的方式,为所有的应用进行集中管控;同时,持续对终端、用户和访问行为可信任程度进行评估,动态调整每次用户访问不同应用的最低授权,实现访问的零信任。在四维零信任机制下,实现业务层面端到端可信可控。


云网安协同:

云网安协同解决方案通过收集网络流量、安全日志、漏洞扫描日志、主机安全等安全威胁事件信息,进行统一综合研判,提升安全分析精准率,实现精准溯源,对于违规的主体立即就近阻断,实现云网安一体防护和一体运营。


云网安协同方案能对所有可能的攻击经进行全面分析,采集更全;云端智能大数据分析实现威胁告警准确率大于90%,分析更准;云网端安一起提供更详细攻击信息,溯源更准;可实现威胁分钟级闭环,处置更快。


网络安全服务:

为了解决安全运维业务中的运维工作量大,运维难度高、实际防御效果差的问题,华为创新性地提出华为乾坤安全云服务的业务模式,通过云边融合的创新架构,打造简单高效、安全可靠的云化安全服务。


乾指云端,在云端提供全面安全能力按需订阅,云端专家+自动化智能精准分析,全天候无忧运维服务。坤指本地,在政府各委办局单位、学校、医院和重点企业等接入边缘部署天关盒子,作为安全防御节点,既对进出流量进行反病毒、IPS等深度安全检测,同时上送安全日志及取证数据至安全云服务平台,并执行安全云服务平台下发的防护策略。云端安全运维专家,提供安全威胁会诊,明确的安全事件直接由云端自动化处置,可疑事件经过云端精确判断给出处置建议。


在运营层面,建议由政府统筹统建部门(如,大数据局)牵头,联合华为、本地智慧城市运营公司、合作伙伴和运营商多方共建。以运营为支点,面向全市政府部门和企事业单位推广安全等保建设和运营服务,实现安全合规建设和安全监管诉求标准化,降低城市安全整体投资,构筑安全新范式。



华为云网安一体解决方案,采用零信任理念、一体化架构、云服务运营,为城市物联网、政务园区网、政务外网和政务云提供端到端一体化安全保障。在未来,华为将携手新型智慧城市相关建设单位开展云网安一体联合创新,致力于打造城市数字化底座,为智慧城市建设保驾护航。


扫描二维码下载《智慧城市云网安一体技术白皮书》




关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接