本文作者孫建平華為數(shù)據(jù)通信產(chǎn)品線解決方案部部長

　　城市數(shù)字化轉(zhuǎn)型典型特征是無線化、移動化和業(yè)務(wù)云化，越來越多的物聯(lián)終端自由接入，越來越多的應(yīng)用遷移上云，為政務(wù)業(yè)務(wù)系統(tǒng)帶來更多不確定因素：

　　城市數(shù)字化轉(zhuǎn)型服務(wù)對象由原有服務(wù)公務(wù)員拓展為服務(wù)民眾、商家；部署模式由原有固定網(wǎng)絡(luò)接入拓展為無線化和移動化訪問；業(yè)務(wù)模式由原來面向辦公自動化和政務(wù)信息化改革，逐步擴(kuò)展為社會精細(xì)化治理，總的來說，為新型智慧城市帶來無處不在的聯(lián)接。而泛在物聯(lián)接入、移動化接入和業(yè)務(wù)上云，打破原有系統(tǒng)安全邊界，為網(wǎng)絡(luò)安全帶來極大挑戰(zhàn)。

　　網(wǎng)絡(luò)安全的本質(zhì)是攻防對抗，攻在暗，守在明，并非是一場公平的較量。

　　對攻擊方而言，目標(biāo)明確，主動出擊，可采用多種攻擊方式相結(jié)合，甚至開發(fā)針對性攻擊工具，直擊業(yè)務(wù)系統(tǒng)最薄弱環(huán)節(jié)；

　　對防守方而言，卻顯得十分被動，誰發(fā)起攻擊，什么時候攻擊，如何攻擊等信息很難事先了解，只能從上至下全面布防。

　　傳統(tǒng)智慧城市安全防護(hù)方案多為條塊化，終端、網(wǎng)絡(luò)、云、應(yīng)用等場景化安全方案各自為戰(zhàn)，互相之間不兼容、不聯(lián)動，猶如散兵游勇，缺乏宏觀戰(zhàn)略把控和整體布控。

　　同時，隨著服務(wù)對象、部署方式和業(yè)務(wù)模式轉(zhuǎn)變，新型智慧城市存在諸多安全新問題：接入對象不同、接入位置不確定、接入終端規(guī)模大等問題，將導(dǎo)致城市網(wǎng)絡(luò)空間暴露面不斷被放大；物聯(lián)感知網(wǎng)中的終端設(shè)備分布在城市郊區(qū)，廠家不同、標(biāo)準(zhǔn)各異、安全可信度不一，存在被黑客利用的風(fēng)險；城市數(shù)據(jù)融合上云，傳統(tǒng)安全手段無法有效應(yīng)對云化和大數(shù)據(jù)環(huán)境下的安全防護(hù)。

　　攻防雙方開始備戰(zhàn)已然失衡，若面對更復(fù)雜和高階的安全威脅、原有的固定安全邊界不在等不穩(wěn)定因素的影響，漏檢、誤檢將難以避免，整體安全防線岌岌可危，防御模式亟待重新定義。

　　新型智慧城市的安全建設(shè)不僅要做到與信息化“同步規(guī)劃、同步建設(shè)、同步運(yùn)行”，同時也需要與云計(jì)算技術(shù)、新型網(wǎng)絡(luò)技術(shù)做到深度融合。安全設(shè)計(jì)需要對云、對網(wǎng)絡(luò)有更加深刻的認(rèn)識和理解，才能避免信息化和安全“兩張皮”的問題。

　　2021年6月18日，華為在縣域城市智能體峰會2021期間，舉辦“云網(wǎng)安一體，護(hù)航智慧城市”媒體發(fā)布會，與來自張家港大數(shù)據(jù)管理局的嘉賓聯(lián)合發(fā)布《智慧城市云網(wǎng)安一體技術(shù)白皮書》，本方案的發(fā)布對智慧城市網(wǎng)絡(luò)集約化建設(shè)和安全運(yùn)營具有重要的參考價值和實(shí)踐引領(lǐng)作用。

　　華為云網(wǎng)安一體解決方案旨在打造智能化的未來網(wǎng)絡(luò)安全架構(gòu)，實(shí)現(xiàn)風(fēng)險實(shí)時檢測、威脅主動研判，智能全局防控。云網(wǎng)安一體解決方案整體目標(biāo)架構(gòu)分為執(zhí)行層、管控層、分析層三個層次。

　　指參與業(yè)務(wù)交互的物理設(shè)備及運(yùn)行在物理設(shè)備之上的應(yīng)用軟件，由終端、網(wǎng)絡(luò)、云三個部分組成，每個部分均包含各自的安全設(shè)備。執(zhí)行層在整體架構(gòu)中負(fù)責(zé)收集轉(zhuǎn)發(fā)資產(chǎn)、狀態(tài)、流信息、日志等安全相關(guān)信息，并上送給安全大腦，接受從控制器下發(fā)的授權(quán)策略和阻斷策略，對終端、用戶、流量進(jìn)行相應(yīng)的處置。

　　由終端管理、網(wǎng)絡(luò)控制器、安全控制器、云管理平臺組成。向下對執(zhí)行層進(jìn)行管理控制，向上和安全大數(shù)據(jù)平臺進(jìn)行協(xié)同，提供溯源等信息，管控層從分析層接受授權(quán)、阻斷、查詢策略并下發(fā)給執(zhí)行層，是實(shí)現(xiàn)自動化阻斷和溯源的關(guān)鍵部件。

　　由網(wǎng)絡(luò)安全態(tài)勢感知平臺、云安全分析平臺和安全大腦組成。在整體架構(gòu)中通過智能算法對所有信息進(jìn)行綜合分析和研判，并將全網(wǎng)安全態(tài)勢進(jìn)行統(tǒng)一呈現(xiàn)，對于需要處置的事件下發(fā)給控制器進(jìn)行處理，是云網(wǎng)安一體架構(gòu)的核心。

　　智慧城市云網(wǎng)安一體解決方案包括零信任安全、云網(wǎng)安協(xié)同、網(wǎng)絡(luò)安全服務(wù)三大領(lǐng)先能力：

　　采用業(yè)界最新的零信任理念，以身份和授權(quán)為抓手，構(gòu)建終端、用戶、網(wǎng)絡(luò)、應(yīng)用四維零信任，高效管控業(yè)務(wù)風(fēng)險。

　　終端側(cè)針對辦公終端和物聯(lián)網(wǎng)終端，采用終端標(biāo)識，終端可信準(zhǔn)入驗(yàn)證，實(shí)現(xiàn)終端零信任；用戶側(cè)對訪問的主體進(jìn)行統(tǒng)一的身份標(biāo)識、高可信身份驗(yàn)證，實(shí)現(xiàn)身份零信任；網(wǎng)絡(luò)側(cè)采用深度包檢測技術(shù)，結(jié)合沙箱、蜜罐等主動安全技術(shù)，進(jìn)行全面的威脅檢測與防御，實(shí)現(xiàn)流量的零信任；應(yīng)用側(cè)采取單一應(yīng)用訪問入口的方式，為所有的應(yīng)用進(jìn)行集中管控；同時，持續(xù)對終端、用戶和訪問行為可信任程度進(jìn)行評估，動態(tài)調(diào)整每次用戶訪問不同應(yīng)用的最低授權(quán)，實(shí)現(xiàn)訪問的零信任。在四維零信任機(jī)制下，實(shí)現(xiàn)業(yè)務(wù)層面端到端可信可控。

　　為了解決安全運(yùn)維業(yè)務(wù)中的運(yùn)維工作量大，運(yùn)維難度高、實(shí)際防御效果差的問題，華為創(chuàng)新性地提出華為乾坤安全云服務(wù)的業(yè)務(wù)模式，通過云邊融合的創(chuàng)新架構(gòu)，打造簡單高效、安全可靠的云化安全服務(wù)。

　　乾指云端，在云端提供全面安全能力按需訂閱，云端專家+自動化智能精準(zhǔn)分析，全天候無憂運(yùn)維服務(wù)。坤指本地，在政府各委辦局單位、學(xué)校、醫(yī)院和重點(diǎn)企業(yè)等接入邊緣部署天關(guān)盒子，作為安全防御節(jié)點(diǎn)，既對進(jìn)出流量進(jìn)行反病毒、IPS等深度安全檢測，同時上送安全日志及取證數(shù)據(jù)至安全云服務(wù)平臺，并執(zhí)行安全云服務(wù)平臺下發(fā)的防護(hù)策略。云端安全運(yùn)維專家，提供安全威脅會診，明確的安全事件直接由云端自動化處置，可疑事件經(jīng)過云端精確判斷給出處置建議。

　　在運(yùn)營層面，建議由政府統(tǒng)籌統(tǒng)建部門（如，大數(shù)據(jù)局）牽頭，聯(lián)合華為、本地智慧城市運(yùn)營公司、合作伙伴和運(yùn)營商多方共建。以運(yùn)營為支點(diǎn)，面向全市政府部門和企事業(yè)單位推廣安全等保建設(shè)和運(yùn)營服務(wù)，實(shí)現(xiàn)安全合規(guī)建設(shè)和安全監(jiān)管訴求標(biāo)準(zhǔn)化，降低城市安全整體投資，構(gòu)筑安全新范式。

　　華為云網(wǎng)安一體解決方案，采用零信任理念、一體化架構(gòu)、云服務(wù)運(yùn)營，為城市物聯(lián)網(wǎng)、政務(wù)園區(qū)網(wǎng)、政務(wù)外網(wǎng)和政務(wù)云提供端到端一體化安全保障。在未來，華為將攜手新型智慧城市相關(guān)建設(shè)單位開展云網(wǎng)安一體聯(lián)合創(chuàng)新，致力于打造城市數(shù)字化底座，為智慧城市建設(shè)保駕護(hù)航。