原文刊载于《网络空间安全》2018年第六期
1 引言
在目前城市信息化日新月异,城市治理越来越离不开信息化支撑的前提下,国家网信办的成立,《网络安全法》颁布实施都在为我国网络信息安全的建设提供纲领性指南,不过从最近看的不少智慧城市信息化建设过程中的网络信息安全解决方案而言,智慧城市的网络信息安全在需求解读、宏观概念、整体架构、落实措施层面存在不少缺憾,大多仍在独立的信息化系统的网络信息安全或者企业级的信息化网络信息安全保障的角度出发,除了放之四海皆准的集成产品思路的网络信息安全保护措施,缺少了智慧城市复杂的信息化环境、引入的先进的信息化技术、面对的物理网络空间界限融合的局面所做的分析、解读、构建。
本文试图从智慧城市网络信息安全与传统信息化安全演进路径中的同与不同出发,在传统网络信息安全保障信息化思路的前提下,对智慧城市建设过程中面对的新的基础设施,新的开发部署运维模式,新技术带来的挑战出发,结合网络信息安全领域目前产品和服务领域的创新技术、产品、模式的演进,给出一些粗浅的建议,为智慧城市网络信息安全的保障体系添砖加瓦。首先,智慧城市网络信息安全的分类,可以从基础设施的安全,业务架构的安全,数据的安全的需求出发,分析面对的场景和需求,其次,给出智慧城市网络信息安全保障的解决方案,建设智慧城市网络信息安全的安全基础设施。
2 智慧城市网络信息安全的基本需求
2.1 基础设施的安全
智慧城市是由信息化系统构建而成,信息化系统的基础设施安全是以技术安全为中心的安全产品集成体系,这也是单一项目的网络信息安全与企业级网络信息安全的基础,网络信息安全的从业人员大多擅长该领域的安全集成,这是智慧城市网络信息安全解决方案一般都能覆盖的领域。
信息系统的基础设施安全可以从物理环境的安全谈起,电力、空调、消防、机房、门禁等都在此范畴内,进一步关注网络边界的保护,信息系统的安全域或安全组管理,通过策略实现逻辑隔离,在企业级安全保障体系中,或内部化的信息系统中,一般还要关注终端的安全保障措施,避免终端侧的安全风险影响的信息系统的安全,系统安全从信息系统承载的基础运行环境,硬件、操作系统、中间件、数据库、以及web系统本身的安全,这些安全关注的要点在于漏洞的检测、管理和补丁,避免恶意软件的入侵、黑客的攻击、以及内部人员的非法使用。
传统基础设施的安全挑战在于,涉及到云计算的普及,智慧城市进入私有云时代,分布式的条块化信息系统的建设模式,逐渐演变为基础设施统一,应用架构统一,最终实现数据统一的模式,在基础设施统一阶段,从IAAS云服务入手,计算、存储、网络资源首先会统一到城市的IDC计算中心,原有的条快化分布式信息系统面对云架构体系的更新调整,基础设施面对新的安全需求,安全域、安全组需要重新划分,安全隔离的设备也面临虚拟化的挑战,安全策略的配置和部署在虚拟资源的环境下,需要进一步考虑部署、实施的结构以及保障措施和手段,而传统的硬件、服务器、安全域的集成式架构安全等原有的安全措施、防护手段在新的环境下几无勇武之地。CSA提出SDP安全定义边界的概念,就重新定义了传统结构安全的规则,而SDN、NFV等新的网络、基础架构技术的引入,将安全的配置与编程进一步模糊了边界,验证了google提出的SRE概念,当运维工作日益软件工程化后,安全也势必进入软件工程化的范畴。
智慧城市中,除了传统意义上的基础设施安全之外,还包括能力基础设施的安全问题,例如身份能力、计算能力,存储能力,支付能力,安全能力等,这些能力作为信息系统的有机组成部分,安全的保障可以参考下文业务架构的安全,基础的软硬件部分纳入基础设施安全范畴。。
2.2 业务架构的安全
具体到业务应用的网络信息安全保障,软件安全越来越进入到人们关注的视野,从需求、设计、开发、测试到部署、运行,软件开发过程的安全管理和安全集成是必须重点关注的环节,在需求阶段,需要考虑软件运行的场景,承载的环境,考虑需要规避的安全风险,引入安全控制的措施,在设计阶段,需要对软件的逻辑结构、具体算法进行逻辑测试,避免异常带来的安全风险,需要在身份管理、权限控制、数据过程、业务逻辑等层面增加安全集成的手段,例如通过密码机制实现强身份认证和数据的机密性与完整性,在云计算的微服务场景下,需要考虑第三方服务的API集成实现安全集成。在编码阶段,需要通过代码走读和审查,以及安全测试,发现编码阶段的问题,随着开源软件的普及,商业软件中集成第三方组件、代码日益增多,需要对引入的代码和组件进行代码的审查,避免引入恶意代码和漏洞,测试过程中,引入模糊测试和渗透测试,实现对发布的软件的系统化安全测试,发现未知漏洞。从攻防的角度,实现对安全性的检验。
业务应用安全在智慧城市场景下的挑战在于智慧城市业务开发、部署、运维架构和业务环境的终端技术能力普及带来的变革背景下,信息安全如何能够的与时俱进的满足需求。
首先,在智慧城市的生态体系中,多家应用软件开发商的生态集成模式,对应用开发的过程管理更加复杂,开发过程的安全管理,在devops以及敏捷模式下,也面临新的挑战,传统的安全软件开发过程管理SDL以及软件安全成熟度模型如何新的形势,确实是一个不小的课题。
传统的条块模式下的信息系统建设,各行其是,解决的是某个领域的业务的信息化问题,信息系统之间,缺少必要的关联与互动。各系统的开发、部署、运维架构同样各自为政,未能实现开放、协同、统一。现阶段的智慧城市建设,考虑到了基础设施资源统一的问题,实现云计算、云存储、基础运维的统一,进一步考虑到用户的身份统一,数据统一,建立统一的数据仓库,实现数据的整合。然而,理想的状况是在云计算背景下,引入DEVOPS的持续发布,持续集成概念,通过微服务实现业务逻辑的抽象,实现业务系统间的整合与互动,从而实现业务逻辑的整合,服务的整合,能力的整合。这一步对既有系统是非常大的挑战,却是发展的必然趋势,在开发、部署、运维技术和管理模式的进步下,对安全保障的挑战也会随之而来,如何保障持续发布、持续集成的安全,如何把安全能力微服务化,作为业务系统生态体系中的一环,是业务架构安全的参考方向,devsecops提出了方向,距离智慧城市信息安全架构的落地,仍有不小的距离。
其次,移动互联网的普及,对业务的边界的拓展超出了传统边界防御的范畴,移动应用的安全被提到了前所未有的高度,android系统生态体系的安全性本身由于开发和安全机制设计的不合理,带来了更大的安全挑战,目前基于android应用的安全保护手段也在不断发展和演进,从防止java代码的逆向到安全虚拟机的机制,不一而足,本质上是为了解决android没有解决的问题——用户手机成为业务系统安全入侵的突破口。下一个阶段,随着物联网IOT概念的崛起,无人值守终端设备遍布城市,物联网终端面临的安全性挑战远大于移动互联网安全,而智慧城市的数据采集与指令执行,通过无人终端执行,对物理世界造成实质性的影响,一旦出现安全问题,不仅仅是应用系统瘫痪的问题,可能是人命关天的通天劫难。边缘计算的崛起,进一步把决策体系前移,类似于人类植物神经的功能反射性自动化的执行,脱离了大脑的控制,超越了分布式,实现了离散式的信息化系统,对安全的挑战难度会上升一个数量级。
2.3 业务架构的安全
网络信息安全本质上是保障信息的安全,CIA作为信息安全的三要素,贯穿到信息的生命周期的过程,有意义的数据是为信息,大数据时代,数据的意义已经不是单纯的一种转换模式,信息安全已经不仅保护信息,要保护到原始数据的范畴。数据库安全是传统数据安全保障的重要范畴,数据库防火墙,数据库加密,数据库的身份认证与权限管理,数据库的备份与恢复,都是传统的数据安全保障范畴,另外数据在终端与系统间的生命周期流转过程,无论是终端的生成、处理、存储还是网间的传输,都存在数据的真实性、完整性、数据源的可信性问题,基于密钥机制的数字信封、数字签名,TLS/SSL协议等都是保护数据安全的解决方案,终端侧的数据防泄漏的解决方案,应用端数据保护的产品和机制避免业务数据的泄露。
传统数据保护方案偏重于关系数据库的结构化数据保护,而智慧城市应用的复杂性,基于移动互联网、物联网的位置、行为等实时流量数据充斥大量非结构数据,而大数据平台对数据流、非关系数据库数据、列数据的清洗、脱敏、归一化处理,超出原有数据处理的平台与范围,非结构数据的全生命周期的安全性保护,同样需要重点予以关注。
从需求出发对数据的分级定义和分级保护是传统信息安全首先关注的问题,大数据时代的数据保护需要考虑安全成本的问题,不可能所有的数据采用统一的保护措施和手段,数据的分级安全保护同样是重中之重,不过,数据的保护除了从传统意义上的业务需求出发之外,还需要关注通过数据关联分析可能带来的风险,对原始数据的敏感性需要结合技术角度辨别需要的安全级别,避免通过关联分析出现泄密的事件。用户数据的保护,包括用户的属性和行为信息,都属于极度敏感的范围,欧洲《通用数据保护条例》对个人数据的保护进一步细化到知情权、修改权、遗忘权、转移权、控制权等一些里具体化权利,中国的《网络安全法》虽然未明确权利保障的手段和措施,但也给出了相关权利的声明,因此,智慧城市中关于用户信息保护的要求,势必是重中之重。
3 智慧城市网络信息安全的基础设施建设与运营
3.1 安全基础设施
智慧城市的网络信息安全体系构建,不能局限与单一的信息化系统安全保障体系的设计,也不能局限在企业级网络信息安全保障体系构建的范畴内,从信息化的复杂度,应用场景和规模来看,智慧城市作为一个生态体系,需要宏观层面构建网络信息安全保障体系。把网络信息安全需要作为一系列能力,纳入智慧城市基础设施建设的范畴,是智慧城市网络信息安全建设的核心理念。
而关键的安全基础设施能力,可以抽象为预防、检测、监控、处置能力。
预防的基础设施比较典型的可以从PKI/CA谈起,PKI作为公钥基础设施的缩写,在80年代随着公钥技术的发展,已经通过CA机制建立了体系化的方案和手段,实现应用系统的密钥应用与管理,作为一种完备的密钥管理机制在身份的认证与管理,数据的机密性完整性保护等各种预防性安全措施中应用广泛,在常见的openstack结构中,通过barbican项目可以直接应用于身份、镜像等一些列安全应用,当然,由于PKI/CA机制设计与80年代,在新的技术框架和体系结构中面临一些新的挑战,以及存在不少不足,例如,CA仅在密钥的管理层面提供了解决方案,在于应用层面就缺少了统一和规范,导致了一系列的应用安全问题,说到这里,顺便吐嘈一下,android应用于应用签名的证书机制就非常糟糕,遗患无穷。同时,作为中心化的系统,第三方机构的权威性也带来一些场景适用性问题,而同样具有非对称密钥的区块链机制,有效的解决了密钥的管理和应用层面的问题,整个协议和机制,良好的规避了PKI中的一些问题,结合PKI是个比较好的密钥基础设施解决方案。
身份管理和认证是另一个比较关键的基础设施,openid与oauth在互联网业务与应用的普及,以及SAML等身份协议,fido等安全联盟的推进,身份的统一管理和认证,以及统一登录有一系列的解决方案。身份基础设施面对的关键问题是残留系统对身份协议的支持不足的问题,需要在工程实施层面,对残留应用进行大量的定制化开发和改造。涉及到智慧城市的范畴,人、物、系统的身份校验与管理是智慧城市首当其冲的基础设施,智慧城市中网络、系统、业务层面的各种自定义账号,加上社保、公交、银行、身份证等一些列物理身份的捆绑与连接层出不穷,公安部三所的eid,一所的互联网身份证,也在不同应用场景中对统一身份进行探索,以期实现身份的统一。身份的统一不仅是ID的统一,认证技术手段的统一,也包括应用、验证协议的统一,身份信息安全、隐私保护的机制统一。彭特兰教授在《智慧社会》的IIS概念是比较早提出的关于个人身份的所有权、应用权问题,随着欧盟《通用数据保护法案》GDPR出台,身份数据的所有权、使用权、隐私权等一系列权利法案,势必有比较大的影响,中国的《网络安全法》虽然没有像GDPR如此的详细,却也在目标和权利主张上异曲同工,身份管理和认证的基础设施,势必是智慧城市的关键一环。
检测机制主要在于漏洞的挖掘、扫描,病毒等恶意软件的检测,攻击的检测,异常的检测,包含了传统意义上的模糊测试、扫描器、渗透测试等范畴,主要的目标在于及时发现问题与风险,既包括已知风险,又要包括未知的风险,而未知风险的检测和测试,也是目前安全技术领域创新的重点,从模糊测试,机器学习、深度学习等模式检测,均是提高对未知风险的防御。把各种产品和服务整合起来,通过统一的界面和服务接口,包装成检测能力,向业务系统开放,既避免单一产品带来的技术局限性,又避免产品操作的复杂性带来的学习曲线上升,以及单一项目安全成本的飙升,是目前可行的优化解决方案。
监控机制是把传统的周期性检测机制实时化以及持久化,利用探针检测,流量镜像,代理采集等数据集成手段,结合已知风险库和未知风险的训练模式,对系统各类行为的监控分析,及时发现风险和问题,包含传统意义上的防病毒、防火墙、WAF、入侵检测等产品和服务,通过已知规则和未知模式,实现安全的实施检测。基础设施的主要内容包括在云计算环境下基于SDN/NFV以及虚拟化机制,实现配置的开发和管理,以及对代理、探针、流量的大数据的采集、分析和应用。
处置主要是把应急服务纳入到基础设施的范畴,发现问题后的汇报机制、阻断机制、恢复机制、取证、反制、报告机制,结合自动化和可视化,实现安全的全程受控管理。检测、监控、处置不仅是安全产品的范畴,也包括了安全运营与管理,需要有工作流机制与工单系统的支撑,以利于安全能力服务的开放与共享。
安全的基础设施,首先要求具备能力集成和开放机制,实现对第三方的安全产品和安全能力的包装,从而实现对业务系统的开放,安全产品的各自为政或一定程度上的大一统,反而带来了集成与开放的复杂度,这也是互联网运营企业另起炉灶自建安全体系的根源,智慧城市的安全能力基础设施构建,需要从生态体系着手,制定相对包容开放的游戏规则,降低安全能力接入的门槛,同时,也需要安全产品厂商抛弃保守残缺的理念,避免一个产品通吃天下的不切实际的幻想,专注于自己的核心能力,打造开放的核心能力安全产品,以利于互补与共赢。
3.2 安全运营
安全基础设施的建设,离不开持续的运营,这也是目前网络信息安全领域发展的趋势,细化到具体的领域,包括安全态势感知,威胁情报共享体系,安全分析,应急服务,合规性的审查以及持续审计,只有持续的安全运营,才能形成安全的闭环管理以及安全保障体系的持续改进,而不仅是安全系统建设的交钥匙工程。对于企业级网络信息安全而言,安全态势感知、威胁情报共享体系、安全分析由于自建成本收益的问题一般通过公有云服务体系实现。
而对于智慧城市的量级而言,安全态势感知、威胁情报共享、安全分析,不仅是智慧城市的网络信息安全核心,更是智慧城市向企业输出安全能力,协助企业安全保障体系建设的优势所在,智慧城市作为众多信息化系统的整合生态体系,具备网络信息安全运营中心,实现网络信息安全的统一监控与管理,更是整个智慧城市重中之重,网络信息安全运营中心之于智慧城市就像免疫系统与人的关系,只有建设好免疫系统,方能保障智慧城市的平稳运行,不会遭受内外部的损害。
大数据时代不仅业务系统需要大数据,网络信息安全同样依赖大数据,大量实时数据的采集、清洗、归一、分析、建模、处理,方能实现对已知和未知威胁的防范与处置,通过知识库体系、规则库体系、特征库体系对已知威胁的防范,通过威胁情报体系的共享,通过实时数据的学习、建模、安全分析,实现对未知威胁的防范,通过对威胁的快速识别,发现,自动化的处置,降低威胁造成的影响,通过行为、痕迹的追踪,实现持续审计,取证以及反制措施的实施和部署,为后续的法律行动、合规性提供依据。
4 结束语
智慧城市网络信息安全的定位应着眼与智慧城市网络信息安全运营中心的基础设施建设,要作为智慧城市关键信息基础设施的核心一环,构建智慧城市的免疫系统,在保障智慧城市众多信息化应用系统安全的同时,关注网络空间威胁对物理空间安全的影响,避免网络信息安全风险对城市公共安全以及关键基础设施的损坏造成的重大经济损失。向智慧城市范畴内的企业网络信息安全建设输出能力,为国家网络空间安全助力。
本文因篇幅有限,仅对智慧城市传统网络信息安全产品和服务范畴面对新的应用场景和新的技术演进给出了相应的需求和解决方案思路,希望能对智慧城市网络信息安全体系的构建抛砖引玉,本文并未对相关细节展开分析与描述,难免挂一漏万,差错之处敬请指正。
参考文献
[1] 范渊.大数据时代的智慧城市与信息安全[D].待女子工业出版社, 2018.
[2] 京东法律研究院.欧盟数据宪章评述及实物指引[D].法律出版社, 2018.
[3] 刘驰.大数据致力于安全从理论到开源实践[D].机械工业出版社, 2017.
[4] 徐光侠.物联网及其安全技术解析[J].电子工业出版社, 2013.
[5] 陈兴蜀.云安全原理与实践[J].机械工业出版社,2017.