探究智慧城市建設中的網絡安全建設

摘要：網絡安全為智慧徐州信息資源樞紐工程提供了電子政務局域網接入方式所必須的網絡安全防護手段，部分應用采用虛擬專網（VPN）的技術手段，保障共享交換數據的安全可靠傳輸。網絡安全建設能夠保護智慧徐州信息資源樞紐工程的關鍵應用和加密數據，增強數據傳輸效率，并支持迅速創(chuàng)建新的安全應用環(huán)境來滿足新的應用流程需求。

關鍵詞：智慧城市；智慧徐州；網絡安全；安全防范

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2015）27-0037-03

Abstract： Network security for the wisdom of Xuzhou Information Resource Hub Project provides e-government LAN access to network security means that part of the application using virtual private network （VPN） technology， security exchange and sharing of the safe and reliable transmission of data. The construction of network security can protect the key application and encryption data of Xuzhou Information Resource Hub Project， enhance the efficiency of data transmission， and support the rapid creation of new security environment to meet the new application process requirements.

Key words： smart city； Xuzhou； network security； security

隨著信息技術的迅速發(fā)展，世界各地有競爭力的城市已迎來了數字向智慧城市邁進的大潮。智慧城市建設注重城市物理基礎設施與IT基礎設施之間進行完美結合，旨在改變政府、企業(yè)和市民交互的方式，提高明確性、效率、靈活性和響應速度，促進城市內外部信息產生、交流、釋放和傳遞向有序化、高效化發(fā)展，關注提高城市經濟和社會活動的綜合競爭力，越來越受到中國各個城市領導者的認同和肯定。

徐州市在“十二五”伊始，深刻認識到智慧徐州建設在提升綜合競爭力、加快轉變經濟發(fā)展方式、加強社會建設與管理，解決發(fā)展深層次問題等方面的重要作用，將“智慧徐州”建設納入了未來城市發(fā)展的戰(zhàn)略主題，希望通過智慧徐州建設，以信息資源整合、共享、利用為抓手，健全公共服務，增進民生幸福，科技創(chuàng)新驅動產業(yè)轉型升級，智能手段創(chuàng)新城市管理模式，采約建設實現信息基礎全面領先，為把我市建設成“同類城市中環(huán)境最為秀美、文化事業(yè)最為繁榮、富民強市最為協調的江南名城”提供有力支撐。

網絡系統作為智慧徐州信息資源樞紐工程及各部門接入的承載，需通過網絡系統進行數據傳輸，規(guī)劃一張合理的、高效的、安全的網絡系統能夠有效地保障智慧徐州信息資源樞紐工程能夠安全、穩(wěn)定、高速地運行。

1 網絡安全建設

由于智慧徐州信息資源樞紐工程的信息資源的高度集中，帶來的安全事件后果與風險也較傳統應用高出很多，因此在建設中安全系統建設將作為一項重要工作加以實施。網絡安全建設應包括以下幾方面：

1.1 安全的網絡結構

安全的網絡結構應該能夠滿足為了保證主要的網絡設備在進行業(yè)務處理時能夠有足夠的冗余空間，來滿足處理高峰業(yè)務時期帶來的需求；確保網絡各部分的帶寬能夠滿足高峰業(yè)務時期的需要；安全的訪問路徑則通過路由控制可以在終端與服務器之間建立；按照提出需求的業(yè)務的重要性進行排序來指定分配帶寬優(yōu)先級別，如果網絡發(fā)生擁堵，則優(yōu)先保護重要的主機；能夠繪制出當前網絡運行情況的拓撲結構圖；參考不同部門之間的工作職能和涉及相關信息的重要程度等因素，來劃分成不同的子網和網段，與此同時在以方便管理和控制的前提下，進行地址分配；重要網段部署不能處在網絡的邊界處而且不能與外部信息系統直接連接，應該采取安全的技術隔離手段將重要網段與其他網段進行必要的隔離。

1.2 訪問控制安全

當在網絡邊界對控制設備進行訪問時，能夠啟動訪問控制功能；對實現過濾信息內容的功能，并且能對應用層的各種網絡協議實現命令級的控制；能自動根據會話的狀態(tài)信息為傳輸的數據流提供較為明確的允許或者拒絕訪問的能力，將控制粒度設為端口級；能夠及時限制網絡的最大流量數和網絡的連接數量；當會話結束或非活躍狀態(tài)的會話處于一段時間后將終止網絡的連接；要采取有效的技術手段防止對重要的網段地址欺騙；能在遵守系統和用戶之間的訪問規(guī)則條件下，來決定用戶對受控系統進行資源的訪問是否被允許或拒絕，同時將單個用戶設置為控制粒度；具有撥號訪問權限的用戶數量受到限制。

在關鍵的位置部署網關設備是實現訪問控制安全的最有效途徑，政務網接入邊界安全網關：為內部區(qū)域提供邊界防護、訪問控制和攻擊過濾。

1.3 審計安全

安全審計方面應包括能夠對網絡系統中設備的用戶行為、網絡流量、運行狀況等進行相關的記錄；并且能夠分析所記錄的數據，生成相關的報表；為避免審計記錄受到未預期的修改、覆蓋或刪除等操作，應當安全保護審計記錄。通過防火墻可以實現網絡審計的功能。

網絡的審計安全主要內容有：為能夠有效記錄網絡設備、各區(qū)域服務器系統和安全設備等這些設備以及經過這些設備的所有訪問行為，應在這些設備上開啟相應的審計功能，由安全管理員定期對日志信息和活動狀態(tài)進行分析，并發(fā)現深層次的安全問題。

1.4 檢查邊界的完整性

為對私自聯到內部網絡的非授權設備行為進行安全檢查，邊界完整性檢查要求能夠準確定出其位置，并進行有效的阻斷。

實現邊界完整性檢查的相關技術：

1）制定嚴格的檢查策略，將服務器區(qū)域在網絡設備上劃分為具有獨立功能的VLAN，同時禁止除來自網絡入侵防御系統以外的其他VLAN的訪問；

2）為提升系統自身的安全訪問控制能力，應對安全加固服務器系統采取相應措施。

1.5 入侵防范

網絡的入侵防范應能在網絡邊界處監(jiān)視到木馬后門攻擊、拒絕服務攻擊、IP碎片攻擊、端口掃描、強力攻擊、網絡蠕蟲攻擊和緩沖區(qū)溢出攻擊等攻擊行為。當攻擊行為被檢測到時，應能記錄攻擊的時間、源IP、目的和類型，如果發(fā)生較為嚴重的入侵事件，應及時提供警報信息。通過前置防火墻實現入侵防御的功能。

1.6 惡意代碼防范

在網絡邊界處檢測和清除惡意代碼，對惡意代碼數據庫的升級和系統檢測的更新等，是惡意代碼防范的范疇。目前，主要是通過網絡邊界的安全網關系統防病毒模塊來檢測和清除系統漏洞類、蠕蟲類、木馬類、webcgi類、拒絕服務類等一系列惡意代碼進行來實現惡意代碼防范的技術。

1.7 網絡設備的安全防護

網絡設備的安全防護要求能夠限制網絡設備管理員的登錄地址；在網絡設備用戶的標識唯一的伯伯下，要能鑒別出登錄用戶的身份；主要網絡設備對同一用戶進行身份時鑒別時，應當選擇幾種組合的鑒別技術來鑒別，避免只使用一種鑒別技術；鑒別身份的信息應不易被冒用，網絡口令應定期更換而且要有一定的復雜度，不易破解；當登錄失敗時，能自動采取限制登錄次數、結束會話和當網絡登錄連接超時自動退出等相應措施；當網絡設備被用戶遠程管理時，能夠有防止網絡傳輸過程的鑒別信息被竊聽的相關措施。

網絡設備安全防護的技術實現主要是通過提供網絡設備安全加固服務，根據前面的網絡結構分析，系統采用若干臺核心交換機、匯聚交換機和接入交換機，實現各個安全區(qū)域的連接。

對于網絡設備，應進行相應的安全加固：

1）將樓層接入交換機的接口安全特性開啟，并將MAC進行綁定。

2）關閉不必要的服務，包括關閉CDP、Finger服務、NTP服務、BOOTp服務（路由器適用）等。

3）登錄要求和帳號管理，包括采用enable secret設置密碼、采用認證、采用多用戶分權管理等。

4）SNMP協議設置和日志審計，包括設置SNMP讀寫密碼、更改SNMP協議端口、限制SNMP發(fā)起連接源地址、開啟日志審計功能。

5）其它安全要求，包括禁止從網絡啟動和自動從網絡下載初始配置文件、禁止未使用或空閑的端口、啟用源地址路由檢查（路由器適用）等。

2 網絡安全防護

邊界防護：在智慧徐州信息資源樞紐工程的邊界設立一定的安全防護措施，具體到智慧徐州信息資源樞紐工程中邊界，就是在平臺的物理網絡之間，智慧徐州信息資源樞紐工程的產品和邊界安全防護技術主要采用交換機接入、前置防火墻及網閘。

區(qū)域防護：比邊界防護更小的范圍是區(qū)域防護，指在一個區(qū)域設立的安全防護措施，具體到智慧徐州信息資源樞紐工程中，區(qū)域是比較小的網段或者網絡，智慧徐州信息資源樞紐工程的區(qū)域防護技術和產品采用接入防火墻。

節(jié)點防護：節(jié)點防護主要是指系統健壯性的保護，查堵系統的漏洞，它已經具體到其中某一臺主機或服務器的防護措施，建議智慧徐州信息資源樞紐工程中的產品和節(jié)點防護技術都應采用病毒防范系統、信息安全檢查工具和網絡安全評估分析系統等。

3 網絡高可用

在智慧徐州信息資源樞紐工程網絡建設中，網絡設備本身以及設備之間的連接都具非常高的可靠性。為了保障智慧徐州信息資源樞紐工程網絡的穩(wěn)定性，在智慧徐州信息資源樞紐工程核心網絡部分，核心交換機、接入防火墻等設備全部采用冗余配置，包括引擎、交換網、電源等。所有的連接線路全部采用雙歸屬的方式，包括與電子政務局域網互聯，與服務器接入交換機互聯。在數據應用區(qū)，服務器通過雙網卡與服務器接入交換機互聯，保障了服務器連接的高可靠性。

4 數據安全

4.1 數據安全建設

數據的安全是整個安全建設中非常重要的一部分內容。數據的安全建設主要涉及數據的完整性、數據的保密性以及數據的備份和恢復。對于系統管理、鑒別信息和重要業(yè)務的相關數據在存儲過程中進行檢測，如檢測到數據完整性有錯誤時采取必要的恢復措施，并且能對這些數據采用加密措施，以保證數據傳輸的保密性。

對于資源共享平臺系統的數據安全及備份恢復要求如下：

1）對于鑒別信息數據存儲的保密性要求，均可以通過加強物理安全及網絡安全，并實施操作系統級數據庫加固的方式進行保護；

2）對于備份及恢復要求，配置了備份服務器和虛擬帶庫對各系統重要數據進行定期備份；

3）需要通過制定并嚴格執(zhí)行備份與恢復管理制度和備份與恢復流程，加強各系統備份恢復能力。

4.2 數據安全加密傳輸（VPN）

針對數據傳輸的安全性，部分接入部門到智慧徐州信息資源樞紐工程的數據進行VPN加密傳輸。接入部門和平臺兩端之間運行IPSec 或SSL VPN協議，保證數據在傳輸過程中的端到端安全性。

4.3 數據交換過程的安全保障

平臺數據交換過程的安全保障主要指信息在交換過程中不能被非法篡改、不能被非法訪問、數據交換后不能抵賴等功能。

平臺業(yè)務系統在傳遞消息的過程中可以指定是否采用消息內容的校驗，校驗方法是由發(fā)送消息的業(yè)務系統提供消息的原始長度和根據某種約定的驗證碼生成規(guī)則（比如 MD5 校驗規(guī)則）生成的驗證碼。

4.4 數據交換接口安全設計

平臺提供的消息傳輸接口支持不同的安全標準。對于對安全性要求比較高的業(yè)務系統來說，在調用平臺的Web Service接口時使用HTTPS 協議，保證了傳輸層面的安全；而對于安全性不那么重要，只想通過很少的改動使用平臺功能的業(yè)務系統來說，可以簡單的通過HTTP方式調用平臺的Web Service接口進行消息的傳輸。

5 安全管理體系建設

在智慧徐州信息資源樞紐工程安全保障體系建設中，應該建立相應的安全管理體系，而不是僅靠技術手段來防范所有的安全隱患。安全建設的核心是安全管理。在安全策略的指導下，安全技術和安全產品的保障下，一個安全組織日常的安全保障工作才能簡明高效。

完整的安全管理體系主要包括：安全策略、安全組織和安全制度的建立。為了加強對客戶網絡的安全管理，確保重點設施的安全，應該加強安全管理體系的建設。

5.1 安全策略

安全策略是管理體系的核心，在對信息系統進行細致的調查、評估之后，結合智慧徐州信息資源樞紐工程的流程，制定出符合智慧徐州信息資源樞紐工程實際情況的安全策略體系。應包括安全方針、主策略和子策略和智慧徐州信息資源樞紐工程日常管理所需要的制度。

安全方針是整個體系的主導，是安全策略體系基本結構的最高層，它指明了安全策略所要達到的最高安全目標及其管理和適用范圍。

在安全方針的指導下，主策略定義了智慧徐州信息資源樞紐工程安全組織體系及其崗位職責，明確了子策略的管理和實施要求，它是子策略的上層策略，子策略內容的制定和執(zhí)行不能與主策略相違背。安全策略體系的最低層是子策略，也是用于指導組成安全保障體系的各項安全措施正確實施的指導方針。

5.2 安全組織

由于智慧徐州信息資源樞紐工程信息化程度非常高，信息安全對于整個智慧徐州信息資源樞紐工程系統的安全建設非常重要。因此，需要建立具有適當管理權的信息安全管理委員會來批準信息安全方針、分配安全職責并協調組織內部信息安全的實施。建立和組織外部安全專家的聯系，以跟蹤行業(yè)趨勢，監(jiān)督安全標準和評估方法，并在處理安全事故時提供適當的聯絡渠道。

5.3 安全制度

智慧徐州信息資源樞紐工程對于安全性要求非常高，因此安全制度的建立要求也很嚴格。由管理層負責制定切實可行的日常安全保密制度、審計制度、機房管理、操作規(guī)程管理、系統管理等，明確定義日常安全審計的例行制度、實施日程安排與計劃、報告的形式及內容、達到的目標等。

智慧徐州信息資源樞紐工程建成后，需要針對各系統制定完善的動作體系，保證系統的安全運行。

參考文獻：

[1] 吳小坤，吳信訓.智慧城市建設中的信息技術隱患與現實危機[J].科學發(fā)展，2013（10）：50-54.

[2] 婁歡，竇孝晨，黃志華，等.智慧城市頂層設計的信息安全管理研究[J].中國管理信息化，2015（5）：214-215.

[3] 趙軍.信息安全體系下的東營智慧城市建設研究[J].中國安防，2014（9）：84-89.

[4] 尹振鶴.淺析網絡管理技術[J].科技視界，2013（8）：104.

[5] 鄒鈺.淺談網絡安全策略[J] .科學之友，2011（4）：155.