0 (991) 2819290 周一~周五, 10:00 - 19:00

智慧城市密码应用安全解决方案(简化)

日期: 2017-12-06 10:38:11 作者: 点击数:   返回

智慧城市密码应用安全解决方案

1      智慧城市信息安全体系建设背景

在智慧城市的建设规划中,智慧城市的信息安全问题是一个十分重要的、可能会影响智慧城市进一步发展的制约因素。因此,智慧城市的建设需要参照20148月八部委提出的《关于促进智慧城市健康发展的指导意见》中关于对于智慧城市的信息安全的要求,以“可管可控,确保安全”的原则,落实国家信息安全等级保护制度,强化网络和信息安全管理,落实责任机制,健全网络和信息安全标准体系,加大依法管理网络和保护个人信息的力度,加强要害信息系统和信息基础设施安全保障,确保安全可控。

根据《国家智慧城市创建任务书》、《关于印发市智慧城市建设工作方案的通知》(乌政办[2014]129号)、《市智慧城市创建行动方案》等文件,市智慧城市建设即将展开。为确保信息安全总体实现可信、可靠、可控,本文是市智慧城市信息安全建设规划。

智慧城市信息系统还具有与传统信息系统不一样的特点,在智慧城市建设时需要充分考虑这些特点所带来的特有的信息安全威胁,主要包括:

?  恶意的网络攻击

?  城市管理信息泄密

?  个人信息泄密

?  业务连续性和灾难恢复方面的安全威胁等

智慧城市建设除了会带来通常的信息安全问题,还可能带来严重的社会稳定、经济利益甚至于国家安全的威胁,因此必须加倍重视与小心务实应对。

2      智慧城市信息安全体系建设目标

重点规划近期(2016年-2018年)智慧城市信息安全建设,展望中远期(2019年-2020年)信息安全的发展。

近期建设目标将达到信息系统安全等级保护基本要求中要求的三级防护标准,实现分层的信息系统安全防护:

1)              物理安全防护目标

实现物理设备放置于安全的场所;物理设备具有明确的访问控制措施;物理设备可防盗窃防破坏;物理设备可防止各种自然和为自然的环境因素破坏;物理设备应具有稳定且冗余的供电设备,满足主要设备在断电情况下的正常运行要求

2)              网络安全防护目标

网络需具备安全的结构;网络有明确的访问控制措施,实现对数据包的出入控制;网络具有安全审计手段和日志记录功能;网络具有明确的边界并可进行边界完整性检查,对未授权用户和设备访问网络的行为进行阻断;网络部署有效的入侵防范设备,对网络的入侵进行防护和报警;在网络层面,能够对恶意代码进行检测和清除;能够对路由器、交换机和防火墙等网络基础设备进行防护;

3)              主机安全防护目标

能够对登录系统的用户进行安全的身份标识和鉴别;具有访问控制功能,依据安全策略控制用户对资源的访问;主机具有安全审计手段和日志记录功能,能够根据记录数据进行分析,并生成审计报表;主机能够在用户退出后将剩余信息清除;主机部署有效的入侵防范系统,对入侵主机的行为进行防护和报警;主机能够对恶意代码进行检测和清除;能够对主机本地的各种软硬件资源进行有效的控制。

4)              应用安全防护目标

应用具有有效的机制对登录用户进行身份标识和鉴别;能够提供访问控制功能,依据安全策略控制用户对文件、数据库表等客体的访问;具有安全审计功能,能够根据记录数据进行分析,并生成审计报表;能够确保应用释放的存储空间内的剩余信息完全清除;应用通信数据可以保证完整性保密性;应用收发数据具有抗抵赖机制;应用具有软件容错能力;可对应用使用的系统资源进行有效控制。

5)              数据安全安全防护目标

数据可保证完整性和保密性;数据具有有效的备份恢复机制,保证数据安全;保存数据的云存储系统具有云安全防护措施。

3      智慧城市信息安全体系总体架构

3.1    设计基本原则

1、全面考虑,重点部署,分步实施原则

信息安全建设是融合技术、管理和运营于一体的系统工程,需要通盘考虑;同时,尽量结合实际突出重点,充分考虑可扩展性和可持续性,从急用优先、夯实基础、建设完整体系等方面作好安全工作。

2、规范性、先进性、可扩展性、完整性原则

信息安全建设涵盖的对象较多,必须保证本方案安全防护工作的有效性和规范性,具体各项工作严格按照国家有关标准实施。同时,网络安全基础构架和安全技术措施必须有较强的可扩展性,为将来安全体系的建立和完善创造条件。

3、技术和管理并重原则

单独依赖技术或管理都不可能实现真正的信息安全,在考虑信息安全时,必须将各种安全技术与运行管理机制、人员思想教育、技术培训、安全规章制度建设相结合。

4、分级防护原则

依据国家相关规定和信息安全管理最佳实践,根据信息资产的重要性等级,对重要信息资产和系统划分不同的保护等级,执行差异化的安全保护措施。

5、适度性原则

对任何类型网络绝对安全难以达到,也不一定是必须的,安全方案需正确处理需求、风险与代价的关系,做到安全性与可用性相容,做到技术上可实现、经济上可执行,进行适度的安全建设。

6、经济性原则

信息安全建设在满足现有信息化需求的同时,不仅应考虑到当前的信息技术的发展,以及今后几年的新增需求,同时要保护在安全设备等方面的原有投资。注重整体性能的提高,更要注重投资保护。

3.2    总体架构图

图 5.1 智慧城市信息安全体系总体架构

3.3    总体架构说明

指挥城市基本架构从底层到上层共分为四层:终端层涵盖智慧城市网络中的各种终端设备,包括底层的城市基础设施即与基础设施相关的智能手机、电脑、摄像头、传感器、GPS、RFID等终端设备,作为智慧城市的用户接入和感知层;网络层包括固定光纤网络、2G/3G/4G/WIFI等无线网络、互联网和广播电视网,为智慧各个实体提供互联互通的能力;数据层包含智慧城市中的各种城市基础数据库,以及通过云服务整合数据后提供的数据共享、数据整合、统计分析和智能决策等大数据能力;应用层为智慧城市的具体上层应用,涵盖城市中各行各业的各个领域,应用层基于智慧城市基础设施和数据云开发。

智慧城市安全技术体系贯穿于智慧城市的各层之中,以数字证书作为身份认证的基础,以国密算法所为数据加解密的基础,为智慧城市提供物理设备安全防护、网络安全防护、主机安全防护、数据安全和应用安全功能。

智慧城市安全管理体系主要关注于智慧城市安全体系中配套的各种管理手段,不在本文的讨论范围。

4      智慧城市信息安全体系建设基本要求

4.1    身份认证基本要求

PKI(public key Infrastructure),即公钥基础设施,一个完整地PKI系统是由认证机构、密钥管理中心(KMC)、注册机构、目录服务、以及安全认证应用软件、证书应用服务等部分组成,其中认证机构(Certification Authority,CA)在PKI系统中居于核心地位。

智慧城市需建立完整的PKI体系,由市级CA作为智慧城市的根CA,下属各级单位可建设自己的分支CA。数字证书各单位可根据实际情况分级管理,需统一采用市级数字证书作为智慧城市各下属实体数字证书的根证书。

智慧城市中涉及对实体身份进行认证的场景,统一采用PKI体系中的X.509格式数字证书结合用户名/密码对作为实体身份的标识。用户身份采用用户证书进行标识,网络设备身份采用设备证书进行标识。

4.2    数据加解密基本要求

智慧城市中涉及对数据进行加解密的场景,需统一采用国家密码管理局发布的国密算法作为加解密的基础算法。对数据进行对称加解密的情况,采用SM1、SM4对称算法进行加解密;对数据进行非对称加解密或签名验签的情况,采用SM2非对称算法进行加解密;采用SM3算法作为加解密中进行辅助的哈希算法。

4.3    智慧城市信息系统网络安全建设基本要求

4.3.1  网络结构安全要求

1、              主要网络设备应做到冗余配置

2、      应保证网络各个部分的带宽满足业务高峰期需要;

3、      应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子安全域;

4、      安全域与公共网络和安全域之间采用防火墙进行隔离,关键安全域与其他网络间采用网闸进行物理隔离;

5、      网络设备中支持QOS配置,对重要的业务流分配较高优先级别,保证在网络发生拥堵的时候优先保护重要主机。

4.3.2 网络访问控制安全要求

1、              应在网络边界部署身份认证网关、网闸和防火墙等访问控制设备,启用访问控制功能;

2、              网络访问控制设备以数字证书作为实体身份的标识,用户身份采用用户证书进行标识,网络设备身份采用设备证书进行标识。

3、              访问控制设备可根据访问实体身份权限设置实体对网络的访问控制策略。

4、              访问控制设备可根据实体身份及访问权限,设置MAC访问控制列表和IP访问控制列表,为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级;

5、              访问控制设备可根据实体身份及访问权限,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制;

6、              可在会话处于非活跃一定时间或会话结束后终止网络连接;

7、              可限制网络最大流量数及网络连接数;

4.3.3 网络传输安全要求

终端接入网络采用SSL VPN技术进行加密传输;各单位网络间采用IP Sec VPN技术进行加密互通。

4.3.4 网络安全审计要求

网络中部署安全网络管理设备,对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录,能够提取路由器、交换机和防火墙等网络设备的日志记录,能够根据记录数据进行分析,并生成审计报表;

4.3.5 网络边界完整性要求

网络中部署网络边界管理设备(ACM),以设备数字证书作为设备接入网络的认证标识。能够对非授权设备私自联到内部网络的行为进行检查,准确定出位置,并对其进行有效阻断;能够对内部网络用户私自联到外部网络的行为进行检查,准确定出位置,并对其进行有效阻断。

4.3.6 网络入侵防范要求

网络中需部署入侵防范设备(IPS),对入侵网络的行为进行防范并报警。

4.3.7 网络恶意代码防范要求

网络中需部署恶意代码防范设备,对网络中的恶意代码进行检测和清除。

4.3.8 网络设备防护要求

网络设备中需安装安全防护系统,采用数字证书和用户名/密码组作为网络设备用户标识,可根据用户身份配置网络设备用户访问控制策略。

4.4    智慧城市信息系统主机安全建设基本要求

智慧城市信息系统中的主机上应安装终端安全防护系统,实现身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范和资源控制功能;主机上应安装恶意代码防范软件,防止主机收到恶意代码的攻击。部署入侵防范系统(IPS),对入侵主机的行为进行防范并报警。具体如下:

4.4.1 主机用户身份鉴别和访问控制安全要求

主机终端安全防护系统以用户数字证书和用户名/密码对作为用户身份的标识。应启用访问控制功能,依据安全策略控制用户对资源的访问;应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限; 应实现操作系统和数据库系统特权用户的权限分离;应对重要信息资源设置敏感标记并依据安全策略严格控制用户对有敏感标记重要信息资源的操作;

4.4.2 主机安全审计要求

主机终端安全防护系统应能对终端上的重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件进行审计。审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等;应能够根据记录数据进行分析,并生成审计报表;

4.4.3 主机剩余信息保护要求

主机终端安全防护系统应能保证操作系统和数据库系统用户的鉴别信息所在的存储空间,被释放或再分配给其他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中;应确保系统内的文件、目录和数据库记录等资源所在的存储空间,被释放或重新分配给其他用户前得到完全清除。

4.4.4 主机入侵防范要求

主机中需部署入侵防范系统(IPS),对入侵主机的行为进行防范并报警。应能够对重要程序的完整性进行检测,并在检测到完整性受到破坏后具有恢复的措施;

4.4.5 主机恶意代码防范要求

主机中需部署恶意代码防范系统,对主机中的恶意代码进行检测和清除。应及时更新防恶意代码软件版本和恶意代码库。

4.4.6 主机资源控制要求

主机终端安全防护系统应能对主机的CPU、硬盘、内存、网络等资源的使用情况进行监视;应限制单个用户对系统资源的最大或最小使用限度;应能够对系统的服务水平降低到预先规定的最小值进行检测和报警。

4.5    智慧城市信息系统数据安全建设基本要求

4.5.1 计算环境安全

1、身份认证与访问控制

统一的身份管理与授权是云安全的核心,核心是保障租户、用户及内部人员的访问控制。

(1)统一身份认证系统

建设一个统一的用户身份认证系统供各应用系统使用,即可实现一次身份认证,访问所有集成的应用系统,极大地提高了用户的工作效率。账号数据统一保存、集中管理,减少了管理维护出错的机率,增强了用户数据信息的一致性,同时也减轻了运维管理的负担,为企业的运营、维护提供了重要的技术支撑。

智慧城市数据中心需要建设统一认证系统,实现网络准入、身份认证、用户授权、单点令牌等全方位的管理维护。可扩展性的统一管理中心方便新增参数配置和第三方认证设备的集成。针对智能设备、传统PC端,统一认证接入、统一策略管理、统一平台维护。

其主要功能有:

门户

提供统一的认证平台,与专业的门户系统进行集成。通过集成统一的单点登陆,减少用户在不同业务系统登录过程中体验差异。

管理门户提供管理员操作的界面入口,包括组织管理、用户管理、角色管理、资源管理、系统管理、数据源管理及授权功能。

访问管理

统一访问管理,就是利用认证和服务相分离的思想,将多个应用系统中的身份认证模块剥离出来,提供一个统一的身份认证入口,使所有的应用系统都能够使用它来进行身份认证。

认证服务

认证服务的基本思想是通过认证访问者一个或者多个参数信息的真实性和有效性来达到认证的目的。从认证的机制上来说,身份认证的方式主要为密码方式和持证方式,传统的认证技术大多数都是基于密码的认证方式。

访问控制

用户访问具体业务系统时,访问控制管理器需要检查用户授权信息及资源访问策略信息,以保证合法用户才能访问业务系统。

接口

平台提供多种类型接口与周边系统进行通信。

认证类接口:为周边系统提供身份认证认证API接口。

同步接口:同步身份数据源、身份信息供应(账户、组织、角色、权限)。

(2)CA中心

基于CA数字证书认证系统提供的安全技术,可以通过安全证书方式,对网上的数据、信息发送方、接收方进行身份确认,以保证各方信息传递的安全性、完整性、可靠性和交易的不可抵赖性。