智慧城市的整體安全方案
“智慧城市”是一項(xiàng)長期工程,對(duì)應(yīng)的安全配套建設(shè)方案也應(yīng)該考慮到中長期的建設(shè)需求。針對(duì)這一狀況,天融信的安全設(shè)計(jì)方案采用雙運(yùn)營商、雙鏈路、雙機(jī)冗余模式,并結(jié)合業(yè)務(wù)應(yīng)用系統(tǒng)的三層技術(shù)架構(gòu),同時(shí)借鑒縱深防御的設(shè)計(jì)思想,通過雙層防火墻部署結(jié)構(gòu)來實(shí)現(xiàn)內(nèi)部核心網(wǎng)絡(luò)的隔離與縱深防御?傮w安全域根據(jù)業(yè)務(wù)需求劃分為互聯(lián)網(wǎng)接入?yún)^(qū)、DMZ區(qū)、市級(jí)外聯(lián)單位接入?yún)^(qū)、核心交換區(qū)、內(nèi)部用戶接入?yún)^(qū)、核心服務(wù)器區(qū)、虛擬桌面服務(wù)區(qū)和安全管理區(qū)等。
以下是天融信針對(duì)智慧城市的實(shí)際需求提出的安全域規(guī)劃設(shè)計(jì)拓?fù)鋱D,從中不難看出,方案既充分考慮等級(jí)保護(hù)三級(jí)建設(shè)要求,又兼顧業(yè)務(wù)應(yīng)用安全建設(shè)需求,值得借鑒。
智慧城市安全方案的部署說明
在智慧城市安全方案實(shí)施方面,天融信建議針對(duì)建設(shè)初期和中后期不同的需求,通過在安全域、互聯(lián)網(wǎng)接入?yún)^(qū)和DMZ區(qū),部署防火墻、IPS、入侵檢測(cè)、VPN等安全設(shè)備,滿足不同時(shí)期的安全需求。同時(shí),通過部署安全平臺(tái)、審計(jì)及掃描系統(tǒng),提高智慧城市日常治理、應(yīng)急處突能力。
1.在重要的安全域之間通過防火墻進(jìn)行邏輯隔離與訪問控制。初期建設(shè)根據(jù)安全風(fēng)險(xiǎn)因素重點(diǎn)考慮互聯(lián)網(wǎng)邊界、城域網(wǎng)邊界、虛擬桌面區(qū)邊界和內(nèi)聯(lián)單位接入邊界;中長期安全建設(shè)進(jìn)一步考慮安全管理區(qū)邊界和核心服務(wù)器區(qū)域邊界,部署防火墻進(jìn)行邏輯隔離與訪問控制。
2.互聯(lián)網(wǎng)接入?yún)^(qū)域近期由于互聯(lián)網(wǎng)接入壓力不大,初期建設(shè)可考慮單運(yùn)營商、單鏈路、單機(jī)部署,并采用高性能的防火墻設(shè)備,集成IPS、VPN、防病毒等功能模塊?紤]到未來互聯(lián)網(wǎng)接入線路的擴(kuò)充壓力,互聯(lián)網(wǎng)接入?yún)^(qū)建議部署獨(dú)立的互聯(lián)網(wǎng)防火墻、入侵防御系統(tǒng)、VPN等設(shè)備,對(duì)來自互聯(lián)網(wǎng)的攻擊與威脅進(jìn)行有效防護(hù)。
3.設(shè)立獨(dú)立的DMZ區(qū)域,并部署WEB應(yīng)用防火墻。初期建設(shè)DMZ區(qū)域安全防護(hù)主要有互聯(lián)網(wǎng)邊界防火墻提供邊界防護(hù)和攻擊防護(hù)。
4.在安全運(yùn)維管理區(qū)域部署安全審計(jì)系統(tǒng)(SOC)、風(fēng)險(xiǎn)評(píng)估系統(tǒng)(漏洞掃描)和防病毒服務(wù)器,對(duì)全網(wǎng)主機(jī)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等進(jìn)行集中安全管理。
5.中長期安全建設(shè)建議在核心交換區(qū)部署入侵檢測(cè)系統(tǒng),在核心服務(wù)器區(qū)域部署網(wǎng)絡(luò)(數(shù)據(jù)庫)審計(jì)系統(tǒng),初期安全建設(shè)中暫不考慮。
天融信方案的特點(diǎn)與優(yōu)勢(shì)
智慧城市的安全建設(shè)須依靠完備而系統(tǒng)的解決方案來驅(qū)動(dòng),天融信領(lǐng)先的安全技術(shù)和強(qiáng)大的產(chǎn)品研發(fā)能力,是智慧城市信息安全保障的基礎(chǔ)。在天融信提供的智慧城市安全建設(shè)方案中,既考慮當(dāng)前需要,又結(jié)合中長期發(fā)展需求,技術(shù)方案成熟穩(wěn)定,同時(shí)將成本控制在合理范圍之內(nèi)。
1.安全域劃分清晰、合理。根據(jù)智慧城市、政務(wù)外網(wǎng)建設(shè)要求,結(jié)合用戶實(shí)際需求,劃分清晰合理的安全域,能從網(wǎng)絡(luò)安全架構(gòu)、安全策略設(shè)計(jì)、安全策略實(shí)施等方面提供基礎(chǔ)安全保障;
2.短、中長期安全建設(shè)規(guī)劃結(jié)合。從業(yè)務(wù)發(fā)展趨勢(shì)以及合規(guī)要求等方面出發(fā),提出中長期安全建設(shè)規(guī)劃建議,同時(shí)結(jié)合當(dāng)前業(yè)務(wù)現(xiàn)狀及網(wǎng)絡(luò)結(jié)構(gòu)現(xiàn)狀,提出近期的安全部署建議;
3.選型產(chǎn)品為成熟與先進(jìn)產(chǎn)品,并且品牌統(tǒng)一。所選產(chǎn)品為市場(chǎng)上知名品牌,且有較高的市場(chǎng)份額的成熟產(chǎn)品,一方面便于后期設(shè)備管理與維護(hù),同時(shí)品牌的統(tǒng)一也帶來更多維護(hù)成本的降低;
4.實(shí)現(xiàn)安全設(shè)備間的策略協(xié)同與統(tǒng)一管理。天融信的安全設(shè)備和安全管理平臺(tái)基于天融信公司自主的TOPSEC聯(lián)動(dòng)協(xié)議,實(shí)現(xiàn)安全設(shè)備之間、安全設(shè)備和安全管理平臺(tái)之間的整體策略協(xié)同、應(yīng)急響應(yīng)協(xié)同等。
“智慧寧東”也是“安全寧東”
“智慧寧東”一期是航天科技承建的寧夏智慧城市建設(shè)項(xiàng)目,目標(biāo)是建成國內(nèi)首創(chuàng)的開放式融合指揮中心與呼叫服務(wù)一體化設(shè)計(jì)、分體組合式指揮大廳。建成的指揮大廳將滿足寧東管委會(huì)對(duì)轄區(qū)日常監(jiān)控、應(yīng)急指揮、遠(yuǎn)程會(huì)商和專題匯報(bào)等管理工作,為寧東居民、企業(yè)提供政務(wù)、招商引資、投訴建議、應(yīng)急管理和民生服務(wù)的“一站式”服務(wù)。
天融信公司作為“智慧寧東”信息安全的支撐單位,全程參與了“智慧寧東”一期的安全建設(shè),部署了邊界防火墻設(shè)備、上網(wǎng)行為管理設(shè)備、風(fēng)險(xiǎn)評(píng)估(漏洞掃描)設(shè)備和安全管理系統(tǒng)(SOC)等設(shè)備。通過項(xiàng)目一期安全建設(shè),“智慧寧東”已初步建立起多層次的邊界訪問控制技術(shù)措施,天融信將通過二期工程繼續(xù)為“智慧寧東”保駕護(hù)航。
關(guān)于天融信
北京天融信科技股份有限公司(簡稱天融信),是中國領(lǐng)先的信息安全產(chǎn)品、解決方案與服務(wù)提供商。公司于1995年成立,總部設(shè)在北京,2015年新三板成功上市。天融信持續(xù)引領(lǐng)信息安全市場(chǎng)與技術(shù)發(fā)展潮流,致力于為用戶打造集網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全、接入安全與安全管理等一整套具有主動(dòng)發(fā)現(xiàn)、智能分析與動(dòng)態(tài)防御相融合的綜合安全解決方案。天融信從1996年率先推出填補(bǔ)國內(nèi)空白的自主知識(shí)產(chǎn)權(quán)防火墻產(chǎn)品,到自主研發(fā)的可編程ASIC安全芯片,到全球首發(fā)新一代可信并行計(jì)算安全平臺(tái),再到云時(shí)代超百G機(jī)架式“擎天”安全網(wǎng)關(guān)。天融信公司堅(jiān)持自主創(chuàng)新,完成了國內(nèi)安全產(chǎn)品跟隨、跟近甚至超越國際知名產(chǎn)品的過渡。2001年天融信率先推出“TOPSEC”聯(lián)動(dòng)協(xié)議標(biāo)準(zhǔn),2004年提出“可信網(wǎng)絡(luò)架構(gòu)(TNA)”,2008年提出構(gòu)建“可信網(wǎng)絡(luò)世界(TNW)”,2016年提出安全云服務(wù)戰(zhàn)略。無論安全技術(shù)還是安全理念,天融信始終引領(lǐng)和見證著中國信息安全的方向,成功打造中國信息安全產(chǎn)業(yè)著名品牌-TOPSEC。
