智慧城市云网安一体技术白皮书

■.目Contents录01.前言02.智慧城市网络安全趋势和挑战Qi2.1智慧城市安全发展趋势022.2智慧城市安全挑战-------------------------------------------------------------------------------------0403.智慧城市云网安一体解决方案总体架构063.1设计目标063.2方案架构0704.智慧城市云网安一体解决方案io4.1零信任安全104.1.1零信任安全方案概述---------------------------------------------------------------------------------114.1.2零信任安全方案架构---------------------------------------------------------------------------------124.1.3智慧城市零信任接入方案应用-------------------------------------------------------------------------154.2云网安协同204.2.1云网安协同方案概述---------------------------------------------------------------------------------204.2.2云网安协同方案架构---------------------------------------------------------------------------------204.2.3智慧城市云网安一体化纵深防御-----------------------------------------------------------------------224.3网络安全服务274.3.1网络安全服务方案概述-------------------------------------------------------------------------------274.3.2网络安全服务方案架构-------------------------------------------------------------------------------294.3.3智慧城市安全运营服务-------------------------------------------------------------------------------3205.总结和展望3606.术语&縮略语37智慧城市网络安全趋势和挑战智慧城市网络安全趋势和挑战随着智慧城市的数字化转型逐步进入深水区，在“云大物智移“等新型ICT（InformationandCommunicationsTechnology,信息和通信技术）基础设施的支撑下，智慧城市迎来了前所未有的跨越式发展。新技术的普遍应用往往也会给城市发展带来新的安全问题，近年来，由外hPAPT

（AdvancedPersistentThreat,高级持续性威胁）攻击或内部违规事件导致的大规模数据泄露等恶性安全事件时有发生，传统基于网络边界的防护思路已经无法满足新形势下的网络安全需求，存在诸多的局限性，例如：•为了加强数据共享，所有城市数据都要上云，且数据需要全面融合，传统安全手段无法有效应对云化和大数据环境下的安全防护O•为了充分感知物理世界，产生更多更准确的數据，城市内会部署越来越多的传感终端，移动办公溜动执法/社区服务等业务也带来了移动政务的诸多新场景。相比于传统的的固定政务服务，移动化和物联化的场景会带来接入对象不同、接入位置不确定、接入终端规模大等问题，导致城市网络空间暴露面被不断放大。・传统的智慧城市安全防护方案是在不同位置（端，网，云）部署不同的安全设备，堆砌安全产品，互相之间不兼容、不联动，无法适应业务上云后的路径变化，防护效果差，防护效率低。•政府各委办局单位自行建设安全体系，存在投入大、项目散、不规范、无运营、效果差等问题。面对智慧城市数字化带来的诸多新安全问题，安全不仅要做到与信息化"同步规划、同步建设、同步运行“,同时安全技术也需要与云计算技术、新型网络技术做到更深度的融合，形成云网安一体的架构。安全设计需要对云，对网络有更加深刻的认识和理解，才能避免信息化和安全“两张皮“的问题。云网安一体架构，颠覆了传统的安全防护思路，旨在打造智能化的未来网络安全架构，实现风险持续检测、威胁主动硏判，智能全局防控。该架构充分融入了零信任的思想理念，旨在构建统一管理、统一数据、统一分析和统一控制的安全架构，实现云网边端安的一体化协同联动。基于零信任理念的云网安一体安全架构正在逐渐被广大头部客户所接受，并加速推进落地，也在逐渐成为业界的共识。智慧城市网络安全趋势和挑战智慧城市安全发展趋势在数字化转型的大背景下，国际知名咨询机构Gartner^出了全球领先的"信任与风险双轮驱动”的CARTA（ContinuousAdaptiveRiskandTrustAssessment,持续自适应风险与信任评估）模型，该模型包含信任与风险两部分。/\指通过零信任理念，形成以身份为基石，以多维环境（终端、网络、用户行为等）动态S感知为抓手，重构业务访问流程，实现持续动态精细化访问控制，最大程度减少入侵暴\信任!露面和防护盲点问题，保护核心数据资产安全。参考NIST（NationalInstituteofStandardsandTechnology,美国国家标准技术研究院）的IPDRR（Identify,Protect,Detect,RespondandRecover,识别、保护、检测、响应、恢复）安全框架，构建自适应的云网安协同的安全防护架构，IPDRR安全框架从事前、事中'事后的时间轴维度，定义了一组持续闭环，不断改进的闭环流程，实现风险的闭环管理，从而保护互联互通的网络空间安全。通过信任与风险协同联动，相互配合，最终实现“网随云动、安随网动、自适应业务变化”的云网安—体的自适应安全体系。零信任和云网安协同作为云网安一体架构的核心设计理念，充分融入了安全体系化、智能化、自动化的思路，其重要性已经被越来越多的政府、企业所接受，甚至上升到国家战略层面。从国际看，零信任已成为美国等国家的安全战略随着网络技术的高速发展和普及，国家、企业和个人面临的信息安全威胁日趋严峻，国际上围绕信息的获取、使用和控制的斗争愈演愈烈，网络空间成为各国捍卫国家安全的全新疆域，全球各国都投入了极大的人力、财力、物力以保障国家的网络安全。以美国为例，美国将网络安全提升到国家战略层面。•美国国防部创新委员会（DefenseInnovationBoard,D旧）的零信任之路：“国防部应将零信任实施作为最高优先事项，目前的安全瞄是不可貼的“=•美国国防部创新委员会D旧的零信眛构建议：“管理者应制定并阐明国防部网络安全战略，包括零信任顾”O・美国国防部信息系统局（DefenseInformationSystemsAgency,DISA）的战略规划2019-2020：“将零信聞刨乍为技术路线图中的优先方向”O鼠智慧城市网络安全趋势和挑战•美国国家标准与技术研究所（NationalInstituteofStandardsandTechnology,NIST）的零信任架构：“为美国联邦机构的信息系统落地零信眛构提供标准和指南“0•美国总统拜登签发了业界期待已久的行政命令（ExecutiveOrder,EO）,下令强制推行零信任，旨在采用“大胆的举措“提升美国政府网络安全现代化、软件供应链安全、事件检测和响应以及对威胁的整体抵御能力。从国内看，中国将零信任列为“关键网络安全技术”，并逐步推广近期委内瑞拉电网、美伊网络战、Wannacry勒索病毒、护网行动等事件，正推动我国网络空间安全产业跑步进入2.0时代，从"合规、内生威胁模型“跨到了“对抗、夕卜部威胁模型"o零信任越来越受到政府、企业的广泛重视。・2019年9月工信部发布的《关于促进网络安全产业发展的指导意见》指出，2025年网络安全规模超过2000亿，零信任列为关键网络安全技术。.2019年信通院发布的《中国网络安全产业白皮书》指出，零信任在国内已经从概念阶段走向推广落地阶段。从产业看，国家信息中心等部委头部客户开始关注体系化安全建设，将云网安联动作为关键技术国家各大部委和行业标准组织，为了更好地牵引产业发展，构建良好的安全生态，牵头制定了多个国家标准或行业标准，围绕网络融合、平台融合和数据融合的趋势，明确提出云网融合、网安一体的要求：•GA部《GADSJ300-2020GM数据安全总体技术框架》明确指出“支持与云管理平台、网络管理系统进行协同联动“，实现云平台、网络和安全的协同联动。•国家信息中心《信息安全技术政务网络安全监测平台技术规范》明确指出“平台支持与防护类产品或平台的联动，对形成的处置任务实施相应动作,，实现安全持续监测，并联动网络设备，进行威胁快速阻断的威胁自动处置。•智慧城市产业生态圈（SCIE/WP1-2019智慧城市网络安全白皮书》明确指出“全面的网络安全处置方案，应在控制器层可以实现对网络（交换机、路由器等网络设备）、安全（防火墙、IPS（ln_trusionPreventionSystem,入侵防御系统）等网络安全设备）以及第三方（终端安全软件、探针等）上安全能力的统一调度管理，可以提供给用户一体、可视、全局的体验“O智慧城市网络安全趋势和挑战智慧城市安全挑战智慧化发展是当前及未来城市建设及转型发展的主旋律，是“善政、惠民、兴业“等城市发展需求的必然选择，然而安全问题一直伴随着信息技术的发展，特别是智慧城市这个复杂而庞大的系统工程，更是面临诸多的安全风险与挑战。一旦智慧城市的信息安全防护不当，就可能造成城市管理局部混乱、个人隐私遭到恶意泄露、政府管理应急决策失误，甚至引发社会局部动荡。因此，有效管控与防范安全风险是智慧城市建设中非常重要的一环。而智慧城市建设本身就是一个信息系统和数据资源不断融合共享利用的过程，如何确保这些城市数据资源在共享使用过程中的安全性是城市管理者必须要面对的挑战。传统安全防御理念通过在边界部署大量安全设备而构建的“马奇诺防线“看似坚固，实则却带来了诸如入侵暴露面增加、管理复杂、响应效率低、无法联动应对APT高级威胁等问题；同时，对原有防护体系的过度信任也极易引发"千里之堤溃于蚁穴”0智慧城市面临的主要安全风险与挑战,主要包含如下几点:数据全面汇聚、如何保证数据安全使用？智慧城市有市民、企业、政务三个门户，包含智慧交警、智慧医疗等多个应用，每一种业务被黑客攻击，都可能造成整个智慧城市的瘫痪。智慧城市中涉及大量的城市公共数据及市民个人信息的共享使用o城市公共数据，例如地理信息、水文信息、房屋信息等。市民个人信息，例如大量市民户籍、医疗、社保、住房等各种个人隐私相关数据，如果保护不到位，很容易发生严重的数据泄露，给企业带来损失，给个人的生活带来困难，产生不良社会影响O重要性高，影响大业务错综复杂2.2海量互联终端接入，如何保障可信接入？终端数量大在智慧城市中，物联网设备众多，在将摄像头、路灯、红绿灯、各种仪表连接到网络的同时，这些物联网设备理论上也都有被攻击的风险。数以千计的移动办公终端、数以万计的摄像机等各种终端，海量物联网设备感染病毒形成的僵尸网络，发起DDoS（DistributedDenialofService,分布式拒绝服务）攻击规模将越来越大，影响将越来越严重。智慧城市网络安全趋势和挑战从手机、电脑到摄像机、视频会议终端、传感器等，受制于软件漏洞，_旦联网会被黑客所利用，这些设备的数据可能被非授权获取，或被非法篡改，也可能因攻击而失效或瘫痪。□□□□物联终端类型多网络互联互通，如何保证联接的安全?网络边界多智慧城市业务承载在电子政务外网上，政务外网与视频专网、政务专网、互联网有多个边界，安全围栏需要严防死守，一旦被攻破，将会影响整个业务的运营。政务外网覆盖广，影响范围从区县到整个城市，攻击面大，攻击途径也更多，例如智慧交通、智慧园区场景，安全漏洞一旦被利用，会导致关键基础设施不可用，严重影响城市的管理和运行，对日常生活影响巨大，甚至引发灾难。覆盖范围广网络规模越来越大，系统越来越复杂，安全运维如何简化？伴随着信息化的发展，网络规模越来越大，接入对象越来越不可控，信息系统数量越来越多，安全体系建设越来越复杂，面对无比复杂的信息化环境，有没有一种技术或手段，能够快速简化安全运维，提升运维效率，成为摆在安全运维人员面前的关键问题。面对上述网络安全挑战和问题，各政府信息化部门需要基于一体化的思路，构建体系化的安全防御架构，将网、云、端内嵌“安全传感器"，实现安全状态可知；关键节点布设“安全执行器“，实现安全策略执行；统一部署"安全控制器"，实现安全策略编排和下发；依托“安全大脑“，形成全网一体监测感知、精准高效安全管控、迅疾顺畅响应处置的云网安一体的动态防御安全体系O智慧城市云网安一体解决方案总体架构智慧城市云网安一体解决方案总体架构智慧城市传统烟囱式的安全防护架构存在很多问题，烟囱林立极大增加了错误配置的可能，并且产生了太多不准确或者低风险的告警，导致安全防护效率低下。为了有效应对智慧城市面临的安全风险，华为认为，智慧城市的安全防护应该是一体化的，像一个系统一样工作，需要具备以下特征：•通过搜集尽可能多的信息来增强检测能力，提升安全事件识别的准确性。•通过动态检测来实时识别风险，加强对核心资源的保护。•当攻击发生时，系统可以立即通过所有渠道（如终端、网络、云等）进行阻断来防止进一步的扩散。•攻击发生后，可以综合所有信息进行快速地溯源，及时消除或有效遏制本次攻击威胁。・对于不具备安全运维能力的接入单位，提供专业的安全运营运维服务支撑。设计目标基于上述云网安一体系统的特征，智慧城市云网安一体解决方案有如下5个设计目标：1.全面收集终端、网络、边界、云（平台，应用，数据等）的资产/状态/日志/流量信息，进行综合分析和研判，威胁告警准确率大于90%,安全态势全域统一呈现。为了提升安全事件分析的准确性，需要收集尽可能多的信息，特别是终端（含服务器）的信息，流量的信息，安全日志的信息。这些信息分别散落在不同的网络位置，必须要扌巴端、网、云、安进行统一纳管并收集，设置唯一的安全大脑，以获得更精准的分析结果。在信息收集的时候，需要遵循的原则是：尽可能搜集全面，但同时要考虑成本，例如流量探针的设置，要考虑在流量集中的位置进行部署；或者复用网络/安全设备自身的能力，减少独立探针的部署数量。在信息收集之后，还需要有精准的智能算法对信息进行综合分析和研判，最终实现威胁告警准确率的提升。并在完成分析之后，将全网的态势信息统一进行呈现。智慧城市云网安一体解决方案总体架构2.从多个锥度对风险进行动态评估和评分，基于评分结果进行动态授权。为了尽可能对核心资源进行保护，在初次认证通过之后，需要对终端和用户的风险进行实时地评估，评估的维度要包含终端风险、网络流量异常和用户违规行为（例如用户访问位置的突然变化）等信息。基于多维的评估结果，对用户风险进行评分，当评分低于一定的阈值后，结合用户的身份对用户进行动态权限调整，实行降级、阻断等操作。3.自动找到精准的遏制位置，实现威胁判定后分钟級的阻断，防止扩散。当识别到严重威胁时，需要立即自动或者手动确认后对威胁进行遏制，以避免威胁进一步扩散到其他位置。进行遏制的位置会有多种选择，如果位置选择过高，威胁会继续扩散同区域内的其他资产，因此必须选择尽可能接近攻击源且在可控制范围内的设备。如果通过手工对接入位置进行排查，一般需要查找多台网络/安全设备的日志/表项才能够找到，还有可能涉及跨部门的协同，往往需要天级或者小时级，效率低下。所以，可通过在安全大脑，终端/网络/安全伝控制器，终端/网络/安全/云设备之间进行信息协同，实现自动识别，达到分钟级地查找和阻断。4.能够通过IP（InternetProtocol,互联网协议）地址快速溯源。在对威胁进行遏制后，需要继续找到真正的攻击源或者感染源。在规划良好，静态分配IP地址的场景下，通过IP地址很容易找到感染的主体。但在动态分配IP地址场景下，特别是无线化后，人员流动频繁的场所，例如会议室无线场景，移动执法场景，通过IP地址很难直接找到主体。在安全大脑和网络控制器的信息协同下，可以快速找到感染的主体，进行下一步处理，彻底消除当前的威胁。5.通过云螞服务化的方式为各委办局/企业提供专业安全代雄服务。在智慧城市场景中，接入单位众多，各接入单位安全运维能力参差不齐，如果不能进行有效地运维，安全解决方案能力会大打折扣，需要有一种方式能够提供高效的安全运维，云端服务化是一个很好的方向。在接入单位的网络岀口部署代理设备，将可疑的威胁信息实时传递到云服务平台，经过云端分析后，提供实时的处理意见；部分威胁还可以通过向代理设备直接下发阻断策略信息来进行处置，可以大大降低运维成本，从而全方位提高安全防护效率，确保安全防护效果。風方案架构基于上文所述的5个设计目标，华为智慧城市云网安一体的整体目标架构分为执行层，管控层，分析层三个层次，如图3-1所示。智慧城市云网安一体解决方案总体架构分析层管控层执行层•通报预警建工单•威胁溯源分析•可信状态变更•威胁阻断策略•云平台同步阻断指令，并处置.网络/安全设备执行阻断策略•主机隔离.主机溯源取证•威胁研判结果•环境可信打分•云平台安全日志•租户安全日志.租户信息.资产信息,漏洞信息•网络流量•安全日志，终端合规状态•准入日志，资产信息云管理平台;云管理平台;终端管理网络控制器I安全控制器/*I\可信代理控制I\'物联/办公/智能云控制数据图3-1智慧城市云网安一体解决方案架构智慧城市云网安一体解决方案总体架构其中各个层次的说明如表3-1所示。层次说明执行层执行层是指参与业务交互的物理设备及运行在物理设备之上的应用软件，由终端、网络、云三个部分组成，每个部分均包含各自的安全设备，如防火墙、探针、IPS、可信接入网关、rTBAPI（ApplicationProgrammingInterface,应用编程接口）网关等。•终端包括物联终端、办公终端、智能终端（如手机）等几种类型。•网络通常由广域网和园区/物联接入网组成，上下级网络通过广域骨干网完成连接。•云包括云平台、云内的应用、数据、云数据中心网络几个部分。执行层在整体架构中负责收集转发用户流量，收集资产/状态/流信息/日志信息，并上送给安全大脑，接受从控制器下发的授权策略和阻断策略，对终端/用户/流量进行相应的处置。管控层管控层由终端管理、网络/安全控制器、云管理平台组成。•终端管理负责收集终端资产、终端状态、终端安全日志，并对终端进行安全处置。•网络/安全控制器通过南向NETCONF（NetworkConfigurationProtocol,网络配置协议）/SNMP（SimpleNetworkManagementProtocol,简单网络管理协议）等接口，统一管理控制物理和虚拟网络，完成网络配置的自动化下发。同时北向与安全大数据平台对接，完成安全威胁的自动化闭环。•云管理平台负责右业务的部署，以及虚拟网络、虚拟机创建等服务。管控层在架构中，向下对执行层进行管理控制，向上和安全大数据平台进行协同，提供溯源等信息，管控层从分析层接受授权/阻断/查询策略并下发给执行层，是实现自动化阻断和溯源的关键部件。分析层分析层由网络安全态势感知平台、云安全分析平台和安全大脑组成。•网络安全态势感知平台收集终端和网络的信息，并进行分析，实现网络侧的态势感知。•云安全分析平台负责收集云平台、应用、数据的安全信息，完成云自身安全威胁分析。•安全大脑负责统一收集网络安全态势感知平台，多个云的云安全分析平台的事件信息，并进行关联分析和威胁统一呈现。在实际部署中，安全大脑可能和网络安全态势感知平台或者云安全分析平台合一O分析层在整体架构中通过智能算法对所有信息进行综合分析和研判，并将全网的安全态势进行统一呈现，对于需要处置的事件下发给控制器进行处理，是云网安一体架构的核心。表3-1智慧城市云网安一体解决方案架构说明智慧城市云网安一体解决方案智慧城市云网安一体解决方案基于云网安一体解决方案架构，通过各个层次之间的配合和协同，可以较好地实现云网安一体的设计目标。在云网安一体架构下，目前华为提出的智慧城市云网安一体解决方案包括：零信任安全、云网安协同、网络安全服务，下面将进行逐一介绍。U零信任安全智慧城市数据资源在个人、政府、企业之间的流通中不断创造新的价值，实现数据驱动产业创新发展。数据共享和流通成为刚性业务需求，原来相互隔离的业务网络将打破安全边界走向融合，因此，传统的基于边界隔离的安全保护方法已不能满足数据流动下的安全防护需求。同时，智慧城市数字平台作为惠及民生的基础工程，通过深化“政务服务"改革、“互联网+政务服务"等，为广大企业和市民提供便捷、高效、多样化的业务服务。随着城市数字平台的不断发展，整体业务环境将更加开放，业务生态将更加复杂，参与提供数据服务和应用服务的角色也将更加多元，众多的用户访问和服务提供带来了复杂的身份和权限管理问题，如何确保所有人员合法合规地访问被授权的业务应用和数据资源，成为政府数字转型的现实难题。为了实现《信息安全技术智慧城市建设信息安全保障指南》中所提的智慧城市安全需求：11智慧城市建设信息安全保障应实现攻击者进不去，非授权者重要信息拿不到，窃取保密信息看不懂，系统和信息篡改不了,系统工作瘫不成，攻击行为赖不掉“，政府行业在针对身份管理、防入侵、防泄漏等安全技术能力上进行不断的创新实践。随着近年零信任安全框架在我国金融等行业落地推广，并取得较好的效果，零信任安全架构和安全方案也成为政府行业关注焦点，并在智慧城市安全建设中试点落地，逐步推广。智慧城市云网安一体解决方案4.1.1零信任安全方案概述为了更好地理解数字时代的信任，需要先了解“Trust"这个词本身的含义。所谓信任，是两个实体之间建立的一个彼此连接关系，这个关系要求彼此能够按照预期的方式做事。在这个过程中，需要监视在彼此交互期间双方是否在约定的预期范围内活动。如果发生风险性的偏差，就需要纠正此类偏差甚至是中断彼此的信任关系。在这里需要强调的是，信任并不是绝对的，而是一个相对的概念，并且是一个动态变化的关系。在了解了Trust的概念之后，就比较容易了解网络安全概念中所谓的ZeroTrust（零信任）。零信任网络是指，所有初始安全状态的不同实体之间，不管是内部还是外部，都没有可信任的连接。只有对实体、系统和上下文的身份进行评估之后，才能动态扩展对网络功能的最低权限访问。因此，网络安全领域的零信任其实是一种端到端的实体（用户/应用）鉴别、授权、访问控制框架，不再让实体基于其它部件建立信任关系。在实体“鉴别、授权“过程中，可以根据终端环境与用户行为感知结果等，不断调整信任评估结果，以实现实体间的"持续可信"与“自适应安全“，提高安全性。需要注意的是，零信任本身不解决除了“实体鉴别、授权、访问控制”之外的安全问题，并不能代替其他安全防御技术。零信任的通用安全架构如图4-1所示。图4-1零信任通用安全架构零信任通用安全架构中关键组件的功能如下所述，每个组件数量不限于一个。智慧城市云网安一体解决方案策略分析(PolicyEngine,PE)通过对终端设备属性、可信环境信息、用户访问行为、网络安全流量事件等信息的汇聚，对用户安全性进行动态信任评估，并根据评估结果，进行风险联动通报和安全指令下发。对实体进行集中策略管理与授权，为访问主体颁发身份凭证。与策略分析PE进行联动，接受风险通报和安全指令下发，根据风险对用户进行对应的权限判定。与零信任策略执行点联动，下发动态访问控制策略。策略管理(PolicyAdministratorPA)Hi策略执行点(PolicyEnforcementPoint,PEP)与策略管理PA联动，执行动态访问控制策略，实现细粒度的访问控制。4.1.2零信任安全方案架构华为智慧城市零信任安全解决方案以“身份"为中心，实时感知实体的安全环境变化，持续通过多维（终端风险、网络流量、用户行为日志等）的环境风险评估，动态调整实体的信任等级，并据此进行实时地访问授权变更，保障用户访问业务全流程安全可控。智慧城市零信任安全访问方案架构如图4-2所示。根据终端用户类型和接入方式的不同，华为智慧城市零信任安全访问方案可以分为三种场景：移动终端VPN（VirtualPrivateNetwork,虚拟专用网）接入零信任访问控制、政务终端接入零信任访问控制和智慧杆零信任接入控制。智慧城市云网安一体解决方案政务办公终端用户图4-2智慧城市零信任安全访问方案架构智慧城市零信任安全访问方案的关键部件功能说明，如表4-1所示。关键部件功能说明可信环境感知提供风险汇聚能力，并且根据汇聚的风险做信任评估、联动通报和安全指令下发。可信接入代理为用户访问应用提供代理转发,并与可信代理控制服务协同实现用户访问应用的动态访问控制。可信API代理为应用或服务间的API调用提供代理转发，并与可信代理控制服务协同实现应用或服务间的动态访问控制。可信代理控制服务与认证管理服务、权限管理服务、环境感知服务联动，为可信接入代理、可信API代理提供实时权限判定服务。表4-1智慧城市零信任安全访问方案关键部件功能说明智慧城市云网安一体解决方案政务终端接入零信任访问和移动终端VPN接入零信任访问两种场景的业务流程相似，主要包含如下步骤：1.用户接入网络。•政务终端接入零信任访问场景：用户登录安装了一体化管理工具的终端，一体化管理工具对终端做安全准入和安全基线筛查，保证终端设备可信，并将终端属性信息（包括位置属性、类型属性等）,同步给环境感知服务。•移动终端VPN接入零信任访问场景：用户登录终端应用APP（Application,应用）,应用APP内集成一体化终端管理工具SDK（SoftwareDevelopmentKit,软件开发工具包）和SSL（SecureSocketsLayer,安全套接层）VPN拨号工具，通过VPN拨号认证连接到政务外网，通过终端管理工具实现终端基线筛查、用户行为策略管控（文件转发、截屏、复制等）。2.用户访问应用URL（UniversalResourceLocator,万用资源地址）,通过DNS（DomainNameSystem,域名系统）重定向到可信接入代理，可信接入代理进行用户Token信息检查。若检查不通过，则重定向到认证服务界面进行认证O3.用户身份认证通过后获得用户Token信息，并将认证日志信息发送给环境感知服务。4.终端用户经过可信接入代理访问应用后台，可信接入代理携带用户Token信息，通过可信代理控制服务进行应用级鉴权，并获取鉴权结果。同时发送应用鉴权日志到环境感知服务，可信代理控制服务返回鉴权结果，发送给可信接入代理。5.可信接入代理根据鉴权结果，对访问流量进行放行或阻断。若鉴权结果为不通过，则进行阻断；若鉴权结果为通过，可信接入代理转发访问请求至应用后台，应用后台通过可信控制服务获取应用Token信息。6.应用后台携带用户Token信息和应用Token信息，通过可信API代理向可信代理控制控制服务发起API鉴权，并获取鉴权结果。同时，发送API鉴权日志到环境感知服务，可信代理控制服务返回鉴权结果，发送给可信API代理。7.可信API代理根据鉴权结果，对API服务访问进行放行或阻断。若鉴权结果为不通过，则进行阻断；若鉴权结果为通过，可信API代理转发请求至访问应用后置服务，应用后置服务调用数据，完成用户对应用服务的访问。8.环境感知服务综合用户行为风险、终端风险及网络流量安全事件等风险情况进行综合评估，并下发安全指令至可信代理控制服务O9.可信代理控制服务收到安全指令，动态调整用户的访问权限，并下发访问控制策略到可信接入代理和可信API代理，进行访问控制策略调整。瓦智慧城市云网安一体解决方案智慧杆零信任接入控制的业务流程相对简单，包含如下三个步骤：1.终端设备通过MAC（MediaAccessControl,媒体接入控制）认证方式在可信接入代理实现接入，获取访问网络的访问权限。2.可信环境感知系统持续扫描智慧杆物联设备的指纹信息和流量协议特征信息，以及由可信接入代理上报的物联终端的流量访问关系和流量带宽等信息。基于多维度的信息进行综合研判分析，识别终端异常仿冒私接、异常访问。3.可信环境感知的检测结果同步给可信代理控制服务，由可信代理控制服务给可信接入代理下发阻断策略，隔离该异常物联终端的接入。4.1.3智慧城市零信任接入方案应用下面介绍智慧城市零信任接入方案的两种应用，党政通零信任远程办公和智慧杆物联零信任接入。党政通零信任远程办公近年来，政府主动适应万物互联时代趋势，把推进政府数字化转型作为深化政府服务改革、构建高质量发展体制机制、打造营商环境的着力点，掀起一场政府治理革命。围绕打造“掌上办公、掌上办事"的整体建设规划，政府将建设统一的公共数据平台，推广掌上办公、掌上办事的应用，运用"互联网+督查”、"互联网+监管"等技术，有力地促进政府部门高效协同、服务转型升级，引领全社会数字化转型。该平台为政府提供了高效地沟通和办公，但由于业务包含政府管理服务的敏感信息，给信息安全管控增加了难度。所以，亟需设计一种新的安全架构方案，以应对这场景所带来的安全问题。华为联合ISV（IndependentSoftwareVendor,独立软件供应商）合作伙伴，基于政务办公场景推出了“党政通“应用，该应用提供政务沟通类、政务0A（OfficeAutomation,办公自动化）类、驾驶舱类等丰富的业务功能,目前已经作为各地政府建设智慧城市的必选能力O智慧城市的党政通应用上线推广使用,需要解决的安全问题如下：•用户静态身份认证和授权通过后，党政通应用即可访问所需的所有服务和数据，容易造成越权访问和数据泄漏。・用户使用党政通应用时通过截屏、复制、转发、打印等操作，容易造成政务敏感信息、文档、数据的泄露和滥用。"党政通"应用场景适应于政务固定办公终端基于Web访问，也适应于公务员使用移动终端基于APP进行访问。基于党政通应用场景的零信任远程办公解决方案如图4-3所示。智慧城市云网安一体解决方案日志上报、状态变更权限变更pQr认证授权中心0终端状态策略下发____流圖、可信接入代理应用后台可信API代理党政通业务系统可信环境感知系统可信代理控制服务用户鉴权应用鉴权「策略下发,=策略下发'-►控制消息通道一►普通通道-►VPN加密通道图4-3智慧城市“党政通”应用场景零信任方案部署示意图方案特点•多维度风险感知：基于环境感知中心，通过用户行为感知、终端环境感知、网络环境感知三个维度，动态持续检测党政通应用全业务流程和全场景的安全风险。•精细化动态授权：基于可信代理控制服务，通过动态授权机制及安全风险感知结果，对用户访问党政通业务系统的操作执行动态认证、动态授权的零信任访问控制策略。・按需终端行为管控：通过可信接入代理和终端管理工具，通过终端安全管理的用户行为管控策略，实现党政通应用在终端侧的信息安全强管控，保护政务信息不会通过终端泄漏O方案价值・基于多维环境感知、动态精细化授权访问能力，实现党政通应用的持久安全访问。•基于用户行为控制实现党政通应用的政务敏感信息强管控，确保政务敏感信息防截屏、转发、复制,终端丢失时远程锁定应用和数据擦除，保护客户业务隐私。數据中心智慧城市云网安一体解决方案•积木化的架构、关键部件高性能低时延，业务访问时延小于150ms,确保部署零信任安全访问平台后用户体验感知小，改造成本低。智慧杆物联零信任接入智慧城市的总体架构包括五个层面：感知层、通信和网络层、城市数据和控制层、城市应用层和支持系统层。智慧杆作为感知层的重要组成部分，通过深度整合城市各类资源，实现资源的共享、集约和统筹，降低城市建设成本，提升城市运维效率，为城市治理带来多重效益，推动城市的快速发展。但智慧杆物联网感知终端大部分处于无人值守的环境中，安全防护能力弱，很容易被恶意开箱，作为一个漏洞入口攻入政务云内。根据《GB/T37971-2019信息安全技术智慧城市安全体系框架》，常见的智慧杆安全风险，主要包含如下几点：・感知设备数量巨大，分类多，缺乏统一的安全标记和身份鉴别管理机制。攻击者可通过恶意放置假冒的设备，冒充合法的终端接入网络，非法发送和接收信息。•攻击者可利用物联感知层设备防御能力有限的特点，非法俘获感知设备，更换或者破坏软硬件，非法控制节点信息接收和发送，篡改节点信息。・关键信息基础网络设备缺少安全配置，缺少加密口令，导致攻击者容易实施非授权连接，对设备进行控制。•关键信息基础设施系统中，多采用专有控制与通信协议，而这些协议无安全设计考虑，攻击者可以进行非法访问。•大多网络只部署了基础防护措施，安全态势感知和防护能力不足，攻击者可利用新型威胁发起网络攻击。在国内智慧杆建设中，也出现过类似这样的安全事件，给社会造成恶劣影响，智慧杆实现物联安全零信任接入已经成为各地智慧城市安全建设的急迫需求之一。方案设计零信任本质是统一身份管理、细粒度授权、多维环境感知、动态访问策略调整，是对于传统边界防御和静态认证授权访问不足的创新。华为智慧杆物联零信任接入方案可实现城市物联终端的多重认证，动态检测是否有行为异常，并对异常行为进行快速处置。该方案由物联杆、物联回传网、物联网平台和网络/安全控制器等组成。整体解决方案如图4一4所示。智慧城市云网安一体解决方案政务云政务外网移动运营商网络汇聚交换机喜0回柬口9城市物联感知终端图4-4智慧杆物联零信任接入方案示意图网络/安全控制器禽物联网平台喜0圆®口旧j城市物联感知终端丄♦♦5HHS核心交换机丄♦♦智慧杆物联终端都为哑终端，无法安装认证客户端，使用MAC认证仅能满足基础安全准入。由于MAC认证容易被仿冒，非法用户拔掉合法哑终端，使用非法终端冒充合法哑终端的MAC地址接入网络，非法终端可以认证通过并进行非法访问和安全攻击。华为智慧杆物联零信任解决方案可通过指纹识别、协议特征校验等对终端信息进行判断或通过智能学习生成终端的流量基线对比，确保哑终端不被仿冒。以指纹识别为例，关键实现流程如图4-5所示。物联回传网智慧城市云网安一体解决方案②MAC认证接入摄像头PC终端PC终端仿冒一个摄像头的MAC认证us打印机ip电话PC终端图4一5终端指纹识别1.管理员在网络准入管控系统上配置协议特征合规检查，记录每个MAC设备对应的终端类型信息。2.终端设备通过MAC认证接入，获取访问网络的权限。3.仿冒终端，通过仿冒合法的MAC进行认证接入，网络准入管控系统扫描设备指纹信息，或者网络设备上报设备的协议指纹信息,通过被动特征指纹识别和主动探测协议识别发现终端类型。4.网络准入管控系统把发现的终端类型与原有设备类型特征库对比，发现仿冒设备。管理员可管理网络设备5.网络准入管控系统向网络设备上下发阻断，阻止该仿冒设备接入。智慧城市云网安一体解决方案威胁硏判分析＞威胁消减处理＞威胁溯源分析威胁态势呈现＞威胁消除恢复辎主体*P*阵阵/、\'早’,，、，、，、，,i-,I关键信息资产终端安全网络安全边界安全云平台安全应用安全数据安全图4-6云网安协同方案业务逻辑图對云网安协同4.2.1云网安协同方案概述智慧城市实际面临的很多高级攻击威胁跨越了烟囱式的安全基础设施，一种常见的攻击链条如下：1.攻击者发起基于电子邮件的攻击，其中包含链接到恶意内容的URL。2.园区终端用户打开恶意电子邮件，由B件中的内容被终端加载，攻击者利用漏洞植入恶意代码，获得用户凭据。3.攻击者通过暴力破解方式绕过广域网的边界防御，找到云数据中心存在漏洞的虚拟机，将木马文件植入到虚拟机中，再横向传播到其他系统，并最终窃取到敏感数据。现有割裂式的安全就像盲人摸象的故事一样，没有一个烟囱拥有完整的全貌，理想的安全防护是将这些烟囱式的安全整合为一个系统，通过云网安协同实现安全统一分析、威胁统一呈现，精准溯源和近源处置。4.2.2云网安协同方案架构华为云网安协同解决方案通过收集网络流量、安全日志、漏洞扫描日志、主机安全等尽可能全的安全威胁事件信息，进行统一综合研判，提升安全分析精准率，实现精准溯源，对于违规的主体立即就近阻断，实现云网安一体防护和一体运营。云网安协同方案的业务逻辑，如图4-6所示。控制指令3探针信号智慧城市云网安协同业务逻辑的关系能力说明，如表4-2所示。智慧城市云网安一体解决方案表4-2关键能力说明关键能力说明威胁态势呈现收集云平台侧威胁、网络威胁、终端和网络资产/脆弱性结果、云平台资产/脆弱性结果，威胁统一呈现。威胁研判分析将网络、终端、云的日志和流量信息，进行综合威胁研判和关联分析，识别威胁攻击链。威胁消减处理根据威胁研判分析的结果分析攻击源，威胁近源阻断，阻断点可以在终端、网络/安全设备、云内。威胁溯源分析收集流量信息、网络日志信息、云内文件信息、云租户日志、攻击者身份等信息，威胁统一溯源分析。威胁消除恢复持续监测安全日志、流量等信息，当威胁确认消除后，威胁阻断策略撤销。智慧城市云网安协同方案有如下四个亮点:呉采集更全对所有可能的攻击路径进行全面分析，将云上云下的威胁信息共享，全面采集网络中的终端日志/合规状态、网元日志/事件、流量/文件信息等信息。云端智能大数据分析，支持线上线下联邦学习，实现威胁告警准确率大于90%o分析更准溯源更准云、网络、终端和安全一起提供更详细的攻击源信息，根据攻击路径，找到合适阻断攻击源的位置，并进行阻断。云网安协同，可实现威胁分钟级闭环，威胁快速遏制。处置更快智慧城市云网安一体解决方案4.2.3智慧城市云网安一体化纵深防御智慧城市一体化纵深防御安全架构是以等级保护为纲，审视党政机关全域安全的防护措施，通过建立健全"一个中心”管理下的“三重防护”纵深防御体系，适应城市业务发展的安全保障需求，实现持续安全运营，持续安全合规。以IPDRR为方法论，实现全域网络安全事前的攻击预测与风险管理，事中的监控预警与关联分析，以及事后的取证、溯源和修复，达到安全防御闭环。通过云网安一体协同实现整网安全有机运转，最终实现网络安全的智能化和自动化O图4-7智慧城市ICT基础设施演进架构传统城市网络烟囱林立，各专网之间通过边界隔离，数据无法有效整合，业务无法高效协同。随着"互联网+“、_网通办等业务快速发展，城市ICT基础设施正在全面融合，包括网络融合、平台融合和数据融合。融合是过程，开放才是目的，如何保障安全才是关键，基于纵深防御体系布局的思路，围绕智慧城市信息流进行端到端、全方位的安全整体设计，构建起以数据安全为核心的“数字防线“，依次为终端安全、网络安全、边界安全、云平台安全、应用安全和数据安全，各层防线之间密切配合、环环相扣、形成纵深防御合力，确保核心资产和资源安全。方案设计智慧城市的一体化纵深防御安全方案需要自上而下进行顶层设计，通过统一建设安全可控的安全基础设施,在满足国家网络安全等级保护标准的基础上，加强网络安全纵深防御和联动协防能力。通过建立有效应对APT攻击防御的全网协同的智能“自免疫“安全防御体系，实现对全网威胁的态势感知。基于大数据技术，覆盖APT攻击链全过程。覆盖全攻击链实现网络主动诱捕，布下天罗地网。通过对接入终端的准入控制、对网络流量、网络质量、网络应用协议等进行多维度流量识别和威胁检测分析，能够将威胁信息转化为防护策略，下发给网络和安全设备，规避数据在传输过程中被窃听、篡改风险，防止威胁的内部扩散。按照分析器、控制器、执行器划分，实现网络安全“智能检测”、“智能处置”和“智能运维”，从被动、单点防御到主动、整网防御，从人工运维到智能运维，做到云网安协同，构建智慧城市一体化纵深防御安全体系。边界静态防御，委办局各自为战,安全打补丁云网t端鼠智慧城市云网安一体解决方案智慧城市安全技术框架应用安全边界安全+网络安全基础设施安全图4-8智慧城市一体安全逻辑架构图智慧城市安全方案需要从网络基础设施层面开始进行安全的整体规划，保证根基的牢靠，构建一个具备能够抵抗黑客攻击的韧性的智慧城市信息化支撑底座，通过全网监控，对网络行为数据进行深度钻取，及早发现威胁，及时闭环处置。•首先，构建从终端安全、网络安全、边界安全、云安全、应用安全到数据安全的多道防线，实现层层设防，实现从边界防御到纵深防御的转变。•其次，面对威胁在内网的横向传播，将安全融入到网络，"网络+安全”全网协同防御，防止内部横向扩散，实现从单点防御到全网防御的转变。•最后，为应对大量的安全问题，需要执行一系列的处置动作，安全策略也变得纷繁复杂，基于业务的策略自适应，完成策略的动态调整和优化，实现从人工运维到智能运维的转变。云安全数据安全（以数据为核心）可信计算安全组件云原生安全智慧政务智慧应急智慧水务智慧环保安全能力和运营中心（协同、共治）智慧城市网络空间安全战略纲要智慧城市安全管理终端安全智慧城市安全管理智慧城市云网安一体解决方案电子政务外网互联网出口区业务办公区政务外网出口区视频专网J边界安►核心物联J边界安►

物联专网管理全运维区交换区入区全云数据中心区图4-9智慧城市一体安全分区分域架构图智慧城市的政务外网根据业务敏感性、重要性，可以划分核心交换区、互联网岀口区、物联网接入区、政务外网出口区、业务办公区、管理运维区、云数据中心区等区域。针对不同的区域，根据对应的安全风险，进行一体化的安全方案设计。根据安全防护需求，在不同的区域部署对应的安全设备，如图4-10所示。云数据中心区政务外网出口区互联网出口区Anti-DDoS核心交换区朋交斷E3=®=Ca汇聚交换机汇聚交换机汇聚交换机委办局接入区政务办公行政麻办公物联网接入物理服务器区管理运维区业务办公区Internet云平台物联网接入区UMA-APPSecomanager网络安全UMA智能系统dmeSightdm日志审计管控公共0A月艮务平台E3—♦—CaC3—i—CaCa—♦—CaWAFI1---------1-------------IC_3-C_3C_3图4-10智慧城市网络安全部署示意图智慧城市云网安一体解决方案下面对每个区域的部署做简要说明O・核心交换区核心交换区仅保留核心交换机，部署在核心机房中，汇聚各区域之间的用户流量，提供三层交换机流量转发功能。•互联网出口区互联网岀口指Internet的出口，互联网出口的主要功能是外部的互访，包括出差员工、合作伙伴/访客的访问。通过部署DDoS流量清洗系统，保障业务正常流量；部署VPN网关实现加密传输；部署沙箱实现恶意代码检测；部署防火墙实现安全隔离；部署上网行为管理系统规范员工上网行为，保障带宽合理使用。•物联网接入区物联网接入区指物联网、视频专网及无线接入区域，在此区域将无线基站、无线通讯终端、终端监控等接入至智慧城市网络。通过部署防火墙实现安全隔离；部署网络诱捕对攻击行为主动诱捕，形成威慑力；在汇聚交换机上部署流量探针实现异常流量检测，与管理运维区的网络安全智能系统形成整体，实现全网安全态势感知。・政务外网出口区电子政务外网是政府的业务专网，主要运行政务部门面向社会的专业性业务和不需要在内网上运行的业务。电子政务外网和互联网之间通过部署防火墙实现逻辑隔离。•业务办公区业务办公区边界部署两台防火墙，形成双机热备、高可靠性方案；在各接入汇聚交换机上部署流量探针实现异常流量检测。•管理运维区管理运维区负责全网安全统一运维和管理，部署多种安全产品，包括态势感知、安全控制器、堡垒机、日志审计、漏洞扫描等，保证网络整体的安全性和合规性。・云数据中心区云数据中心区作为整个智慧城市系统的计算中心、数据存储与处理中心、应用中心，是网络及应用系统运行的核心枢纽。在此区域部署多台服务器、存储、云、虚拟化等内容，所以需要将云数据中心区单独列出，保证流量进入数据中心区域时可被监控、可被管理，保证数据中心区域的安全。智慧城市云网安一体解决方案方案特点智慧城市云网安一体纵深防御安全方案，通过构建基于软件定义安全的智能防护体系，从终端安全、网络安全、边界安全、云平台安全、应用安全、数据安全等层层深入，构筑纵深防御体系，建设一个具有韧性的智慧城市安全技术体系，做到安全风险可控，确保信息资产保密性、完整性和可用性，得到有效的保障。黑客进不来构建横向和纵向边界，确保只有合法流量进入网络，且网内划分不同的安全分区，分区之间均进行分区隔离；并针对不同的网络出口进行针对性的安全设计，确保只有可信用户、可信设备入网，访问业务。信息拿不走访问数据需要进行严格的权限控制，必须拥有合法的身份，并通过可信验证，才允许访问数据。数据看不到・数据分级分类、标签化：对数据进行分级分类，标签化治理，并基于数据进行精细化访问控制，实现应用级、功能级、接口级、数据级等粒度的访问控制，确保只有合法用户可以访问经授权的数据。•敏感数据加密：针对敏感数据进行加密，确保敏感数据不泄露。违规跑不掉•拿走了能发现：构建全网统一安全态势感知，采集汇聚全网安全数据，包括流量数据、安全日志、告警等，及时发现异常或违规行为，实现全网安全监测，及时发现恶意行为。・特权滥用能发现：构建全网统一安全审计服务，能够记录操作人员的所有操作记录，不管是图形化操作还是字符类型操作,第一时间发现违规越权行为O处置可联动构建分析层、管控层、执行层三层智能架构模型：分析层，作为架构的"安全大脑”，及时发现潜在威胁；管瞧，作为架构的“中枢神经“，负责蜂策略管理、业务编排，験收安全分析层下发的曜任务，编排成为执行层设备可执行的策略；执行层，作为架构的"四肢”和“五官”，主要负责安全防御动作的执行和安全事件的采集上报，通过三层架构相互协同，实现安全威胁的臓闭环和呻智慧城市云网安一体解决方案网络安全服务传统的网络安全建设中部署了大量网络安全设备，投资大，但面临网络安全建设防御效果不佳、缺少专业安全服务人员，运维困难的难题。当前网络安全的高效达成往往依赖于专业人员对安全产品的高效运维，缺少专业的安全运维，大量安全设备无法100%发挥作用，投资大却得不到预期的安全实效。一个好的安全解决方案，还需要有一个专业的安全运维团队进行持续运营。受限于专业安全人员的不足，部分安全产品上线后无人关注告警、不能及时调整安全防护策略，导致安全防护效果差强人意、安全事故频发。如何解决网络安全建设投资大、运维难、效果不理想的难题？对于没有安全运维团队，或者无专业安全应急分析能力的客户，华为推岀了乾坤安全云服务解决方案。它只需要在客户网络出口部署华为天美,将威胁信息传到华为乾坤安全云服务平台，就能享受到云端安全能力、专业的安全专家团队分析和应急响应服务能力，大大降低运维成本，快速提升安全方案实效，实现云网安一体的全局防御能力构筑。与城市治理一样，实现“本地有保安，云端有警察“的效果。安全云服务图4-11乾坤安全云服务示意图4.3.1网络安全服务方案概述华为乾坤云安全服务解决方案由部署在华为公有云上的华为“乾坤“安全云服务平台和部署在客户本地网络的华为"天关”防护节点构成。乾坤安全云服务通过云边融合的创新架构，在云端提供全面安全能力的按需订阅，云端专家+自动化智能的精准分析，7*24小时的无忧运维服务；华为天关作为本地防御节点，结合云端智能分析与安全专家能力为用户提供检测、防护、响应一体的云化安全服务。通过实现云端服务+本地设备联动，构建简单、高效、易用的云网安一体实践方案。具体方案架构如图4-12所示。智慧城市云网安一体解决方案华为乾坤安全云服务平台安全专家图4-12乾坤安全云服务架构模型图华为天关防护节点天关作为本地执行器/采集器，部署在客户本地的网络出口，WBCTtelPS（IntrusionPreventionSystem,入侵防御系统）、AV（AntiVirus,反病毒）、URL（UniversalResourceLocator,万用资源地址）和基于智能检测技术的未知威胁安全防护能力，并同乾坤安全云服务平台联动，作为服务的基础。云端平台作为安全能力中心/分析平台，结合天关上报的安全B志与取证数据，实现安全事件分析、防护策略的联动，为用户提供安全分析、事件闭环、安全预警、安全咨询等服务。华为乾坤安全云服务平台云上100+安全攻防专家、拥有丰富的“护网行动“经验，提供安全威胁会诊，精确判断给出处置建议。云端安全专家团队智慧城市云网安一体解决方案天关委办局/企业本地网1天关委办局/企业本地网2图4-13乾坤安全云服务技术架构图天关，负责边界检测和本地防御天关作为整体方案的防御节点和安全探针，利用自身强大的安全防御能力抵御大部分的网络攻击，将安全事件通过加密的方式传回云服务平台,实现云端再分析和安全服务O天关的安全防御能力主要来自于自身的内容安全引擎和智能检测引擎。・内容安全防御和检测它包括IPS、AV、云端威胁信息联动等多种安全能力，联动华为安全智能中心，华为安全智能中心从全球采集恶意样本，分析转化形成安全特征库，并应用于天关产品中，为用户的网络安全保驾护航，并将安全事件以日志形式上报给云服务平台。IPS专业安全团队密切跟踪全球知名安全组织和软件厂商发布的安全公告,同时和业界专业安全研究厂商合作，对这些威胁进行分析和验证，生成保护各种软件系统（操作系统、应用程序、数据库）漏洞的特征库；此外，通过部署的信息搜集系统，实时捕获最新的攻击、蠕虫病毒、木马等，提取威胁的签名，发现威胁的趋势。在最短时间内获取最新的签名，从而具备防御零日漏洞的能力。AV特征库团队通过部署的信息搜集系统搜集样本，同时和业界TOP安全公司合作，交换丰富恶意样本，定时生成病毒特征库。恶意域名签名库团队通过部署的沙箱环境和自动化的样本培植环境，自动获取C&C通信恶意域名，生成恶意域名特征库。4.3.2网络安全服务方案架构华为乾坤安全云服务，通过云端的乾坤安全云服务平台和部署在委办局、企业本地网络的天关设备实现客户网络安全的检测、分析、闭环托管服务，其技术架构如图4一13所示。加密传输t加密传输报表管理安全响应安全分析告警采集云端安全联动企业网络委办局/乾坤安全云服务平台智慧城市云网安一体解决方案所有特征库每周至少更新一次，必须更新的特征库可以达到每天至少_次，部分热点库（如文件信誉特征库）可以做到5分钟从云端更新一次。•智能检測作为传统内容安全的规则检测的补充，提供边缘侧的数据分析能力，使天关无需向云平台上报业务流量，通过本地智能检测算法进行安全检测，并将检测结果以日志形式上报给云服务平台，其核，歯测算法包括：-暴力破解算法：解决内网主机被黑客通过暴力破解方式入侵，主要针对SSH（SecureShellProtocol,安全外壳协议）、RDP（RemoteDesktopProtocol,远程桌面协议）协议。-C&C检测、DGA（DomainGenerationAlgorithm,域名生成算法）算法：内网主机被攻陷之后，一般会连接C&C服务器，通过对DGA、恶意C&C通信流量的检测，及早发现被攻陷主机。-ECA（EncryptedCommunicationAnalytics,加密流量检测）算法：恶意软件采用加密流量通信，使用ECA可以在不解密的情况下进行加密通讯检测。云服务平台，负责云端分析和安全闭环云服务平台作为整体方案的分析和服务中心，通过联动天关，采集天关上报的安全事件相关告警数据，对数据进行二次分析，排除误报并分析出精准的安全事件，对于授权给云端进行自动处置的客户直接闭环安全事件；对于未授权给云端进行自动处置的客户产生处置建议，并将处置建议通过短信和邮件的方式发送给客户，从而完成安全服务的闭环。•告警采集接收天关产生告警日志及必要取证数据,采用HTTPS（HypertextTransferProtocolSecure,超文本传输安全协议）方式与天关建立连接，保证数据传输安全，接收的数据经过处理，作为云服务平台后续安全分析的输入。•安全分析云服务平台通过算法结合人工的方式对告警数据进行分析，从而为客户产生精准的安全事件告警，机器预分析结合人工审核分析的模式，既保证了安全分析的效率，又解决了算法误报的问题，客户无需亲自分析天关产生的告警，即可得到精准的安全分析结果。•安全响应对于已经授权云端自动处置的客户，安全事件进入安全响应流程后，云端会自动生成对应的闭环策略（例如IP黑名单）,直接为客户处置可以通过天关处理的安全事件。对于未授权云端自动处置的客户，安全事件进入安全响应流程后，云端安全分析专家会提出处置建议和方法,通过短信或邮件的方式推送给客户，指导客户闭环安全事件。智慧城市云网安一体解决方案•云端安全联动作为云服务平台闭环策略下发的控制中心，安全响应产生的闭环策略通过云端安全联动功能下发到天关。・报表管理云服务平台根据每个客户天关设备上报的数据，经过云端的分析和处置后，生成安全服务周报和月报，为客户提供精准的安全服务信息，并将经过云端分析的、准确的防御信息展现给客户，包括防护的威胁事件、失陷主机、攻击源、恶意文件等。华为乾坤安全云服务方案提供了丰富的安全服务能力选项，可以支持按需订阅。在智慧城市的安全防护中可以针对不同的委办局，学校，机构，企业定制不同的安全服务，满足多样化的需求。乾坤安全云服务提供的功能，如表4-3所示。安全云服务功能描述定期生成周报月报基于安全防护事件，定期生成周报、月报，并通过邮件发送至用户邮箱。紧急安全通知基于安全防护事件，提取紧急通知，并同时通过短信、由B件两种方式通知用户。应用识别与管控识别6000+应用，访问控制精度到应用功能，例如：区分微信的文字和语音。应用识别与入侵检测、防病毒、内容过滤相结合，提高检测性能和准确率。攻击识别库实时更新为开通的安全功能提供实时的检测特征库升级，保障检测能力持续更新，包括IPS/AV/URL蜒库/恶意域名库等。监测、断网内网问题主机基于已知流量特征，监测发现内网问题主机并切断问题主机外联行为（如C&C、远控、对夕卜攻击等行为）O恶意网站访问拦截基于已知的恶意网站域名库，拦截网络内的恶意网站访问行为。阻拦已知的钓鱼邮件、恶意软件传输基于已知的文件特征与检测能力，阻拦钓鱼邮件、恶意软件（如病毒、木马）的传输行为。不良应用及网站访问行为过滤可实现基于IP、IP段、应用（类别）、网站（类别）规范网络中应用及网站访问行为。应用及网站访问可视化监测用户应用及网站访问行为，按周/月提供统计分析报表。安全事件可视化针对所有安全事件，按周/月提供统计分析报表。智慧城市云网安一体解决方案表4-3乾坤安全云服务功能项安全云服务功能描述安全事件分析利用智能分析技术，结合专家人工经验对防护节点检测到的安全事件进行分析确认，保障攻击拦截以及安全告警的准确性，及时优化攻击识别规则，提升现网防护效果。入侵防御准确检测并防御针对操作系统'应用、服务器等各种漏洞的攻击，支持零日攻击防护。防病毒支持流检测和病毒引擎全文检测双检测模式，流模式支持500万种病毒。攻击源自动阻拦对基于安全事件分析的结果产生外部高危（持续攻击、复合攻击）攻击源进行黑名单下发，直接阻拦其后续的攻击行为。重要安全信息推送将业内重大安全信息（如Wannacry勒索病毒泛滥、重大漏洞风险等事件）通过短信、邮件等多种方式推送给用户，帮助用户及时了解业内动态、感知风险。4.3.3智慧城市安全运营服务华为积极探索城市级安全服务化运营，通过多方共建的模式，大数据局主导，联合华为、大数据公司，运营商、本地服务公司等多方打造城市级安全服务商。以运营为支点，采用华为乾坤安全云服务为城市安全赋能，面向全市政府部门和企事业单位推广安全等保建设和运营服务，实现安全合规建设和安全监管诉求的标准化。政府集中采购产品和服务，运营商/集成商2B（T。Business,面向企业客户）业务配套推广，大数据公司统一运营，安全服务公司按需提供高阶技术支持服务。创新性的构筑了智慧城市安全新范式，降低城市安全整体投资，提升城市安全能力并减少安全事件损失，为城市的高质量发展保驾护航。方案设计方案背景•传统的安全运营方案停留在政务云安全运维，网信、网安监管场景无抓手，安全事件处理依赖外采安全服务。•安全建设由企事业单位自行建设，但存在投入大、项目散、不规范、无运营、效果差等痛点。•企事业单位机房建设薄弱，安全防护、运维能力缺失；网间威胁扩散无法及时遏制。・作为智慧城市的安全底座，大数据局需负责安全的前期统建及后期统管，但是大数据局无对应的安全运营团队。風智慧城市云网安一体解决方案委办局、学校、匯院、企业安全业务咨询安全业务推介安鮪规服务安全增值服务企业2B繼业务销售线下安全应急响应方服务图4-14智慧城市安全云服务实践方案图方案价值•按需订阅：通过安全云服务模式，满足不同委办局、企业的不同安全防护需求。方案设计•集中采购乾坤安全云服务+等保测评服务，大数据公司集中运营。安全服务公司由大数据公司成立子公司或者集中采购，提供日常安全服务，包括日常的合规检查，应•急响应服务等。•委办局和学校、医院、企业等无需单独采购安全产品和服务，由大数据公司统一提供。全域茹事件防控华为云乾坤安全云服务平台安全云服务运营威胁阻断指令下发安全日志"取证文件威胁阻断指令下发安全日志---,取证文件威胁阻断指令下发安全日志-取证文件函图图•防护提升：改善城市企事业单位安全水平，改善城市营商环境，推动城市高质量发展。智慧城市云网安一体解决方案•监管到位：安全运营数据集中，实时感知委办单位、企业单位等安全运营态势，按需通报履行监管职能。•决策支撑：为政府决策提供安全运营数据支撑，城市级网络安全可视化，提供持续建设指导。方案部署乾坤安全云服务解决方案部署主要包含两部分，乾坤安全云服务平台部署和天关部署，如图4一15所示,下面详细阐述。华为云安推辭台Internet三层配合网关类产品部署图4-15乾坤安全云服务方案部署图智慧城市云网安一体解决方案乾坤安全云服务平台部署华为乾坤安全云服务平台部署在华为公有云,安全专家常驻云上O・安全能力中心，提供平台能力，日志审计、态势感知、漏洞扫描等安全能力；基于智能技术对安全日志和取证文件关联分析，准确