咸宁市网站建设,在线做网站需要什么,wordpress ftp主机,商城网站素材来源#xff1a;安全内参2020年5月12日#xff0c;IMT-2020(5G)推进组安全工作组发布了《5G智慧城市安全需求与架构白皮书》#xff0c;本文节选自该白皮书#xff0c;主要概述了5G 智慧城市安全参考框架。该框架是参考GB/T 37971-2019《信息安全技术 智慧城市安全体系框架… 来源安全内参2020年5月12日IMT-2020(5G)推进组安全工作组发布了《5G智慧城市安全需求与架构白皮书》本文节选自该白皮书主要概述了5G 智慧城市安全参考框架。该框架是参考GB/T 37971-2019《信息安全技术 智慧城市安全体系框架》并结合 5G 智慧城市架构而提出的。文章主要内容包括5G 智慧城市安全角色、5G 智慧城市安全架构和5G 智慧城市安全技术。01 5G 智慧城市安全角色 1、智慧城市安全管理者 智慧城市安全管理者的职责包括但不限于制定智慧城市安全总体方针、规划、框架建立智慧城市安全管理组织架构和机制统筹协调智慧城市安全管理与监督工作检查、评估智慧城市安全建设与运营工作定期审核、改进智慧城市安全管理制度和流程为智慧城市安全的其他角色提供指导和必要支持。 2、智慧城市安全运营者智慧城市安全运营者的职责包括但不限于负责智慧城市安全建设、运行与维护管理部署有效的智慧城市安全防护措施检测智慧城市安全风险分析智慧城市安全态势发现智慧城市安全事件和脆弱性防范、阻断网络攻击并负责智慧城市安全风险与安全事件的应急处置和管理。 3、智慧城市安全服务提供者 智慧城市安全服务提供者的职责包括但不限于设计开发安全产品与应用并提供维护技术服务为智慧城市安全运行提供信息安全基础服务部署安全技术措施协助智慧城市安全运行者进行安全工程建设、运维及应急处置和管理提供安全产品、服务及技术服务支持。 4、智慧城市安全服务使用者 智慧城市安全服务使用者的职责包括但不限于合理使用智慧城市服务提供者提供的智慧应用和服务并反馈合理的安全需求负责所拥有信息数据资产和智慧城市业务的安全管理定期安排对网络、信息系统和设备进行安全评估根据评估结果进行整改和修复。 02 5G 智慧城市安全架构GB/T 37971-2019《信息安全技术 智慧城市安全体系框架》提出了智慧城市安全体系框架。参考该架构结合 5G 智慧城市架构提出 5G 智慧城市安全参考框架如下图所示。 5G 智慧城市安全体系框架图中包括终端安全、边缘计算层安全、网络层安全、行业平台/技术中台层安全、应用层安全以及跨各层的安全运营管理。 03 5G 智慧城市安全技术1、终端层安全 对于终端来说主要从底层软硬件和上层应用 APP/数据两个方面保障通信安全。例如终端内置特殊的安全芯片作为终端标识、通信加密秘钥和安全可信根的载体另外通过调试接口物理关闭、物理写保护等措施防范针对终端的底层物理攻击。同时通过安全启动、完整性校验等措施确保终端的系统固件和操作系统安全。为了保障终端通信业务的安全可以对通信数据进行端到端的加密例如保密通话防止终端的通信数据被窃听或篡改避免因为通信数据内容的泄密篡改对智慧城市的业务应用带来破坏或者重大的安全事故。另外对终端的应用 APP 软件实施漏洞扫描、安全加固等措施避免因为应用软件的漏洞导致终端被入侵破坏。 2、边缘计算层安全 对于 MEC 安全来说除了站点物理层面的安保设施例如监控摄像头、门禁密码锁首先要做好 MEC 软硬件系统的边界防护在 UPF设备的对外接口处例如连接 Internet 的 N6 接口部署防火墙等边界隔离防护措施避免来自于外部网络对 MEC 的入侵和破坏。确保 MEC 云基础设施的安全是 MEC 自身安全的重要组成部分例如通过 VDC、VPC 资源隔离Hypervisor 安全监控防虚机逃逸操作系统数据库漏洞扫描、安全加固等方面的措施保障 MEC 云基础设施的安全。 另外在 MEC 边缘计算云的部署应用中可能涉及到各种应用 APP以及业务能力 API 的开放对接。需要通过安全扫描加固等措施保障应用 APP 的安全避免因为 APP 的安全漏洞隐患给整个 MEC 带来损失破坏。同时可以通过 API 通信接口加密例如 TLS 加密和接口安全认证等措施保障 API 接口调用的安全避免通过API 对接的渠道入侵破坏应用 APP 以及整个 MEC。 对于面向垂直行业客户、部署在企业园区的 MEC 场景来说可以在 MEC 和企业网络的边界处尤其是企业网络侧部署防火墙、入侵检测系统和网络流量探针等安全设施一方面确保企业内部信息系统和外部网络之间的安全隔离另外一方面通过隔离和流量监控等手段确保企业数据不出园区。 3、网络层安全 从网络本身的组成来说智慧城市的网络层安全主要包含 RAN 基站空口安全、承载网安全、5GC 安全以及 5G 切片安全等几个部分◆ 基站空口侧安全 对于 5G UE 终端到基站之间的空口来说面临的安全威胁主要有三类。第一类是空口的用户数据窃听篡改为了应对此安全威胁可以开启 SUCI 加密以及空口 PDCP 层面数据包的加密功能。第二类是来自于 UE 的空口DDOS 攻击为了防范这种攻击可以部署DDOS 检测防御系统在出现 DDOS 大流量攻击的时候基站可以做一些限流控制。第三类是伪基站或者其它攻击源对空口的恶意干扰例如通过伪基站发送垃圾短信、通过特殊信号源实施频谱干扰。为此可以在全网部署统一的伪基站检测系统和频谱干扰检测系统做到第一时间发现定位网络中的空口干扰源。 ◆ 承载网安全 对于承载网的安全主要从以下几方面来考虑实施。在网络本身的规划设计上做好HA 高可用设计避免单点故障例如承载网双平面保护倒换。其次可以考虑部署 IPSEC 安全加密保障网络数据报文的机密性和完整性避免业务流量非法监听或者网络重放攻击。 在承载网的协议控制面上可以配置 MD5 认证或者 SSL 加密等安全措施避免可能的路由协议攻击例如 BGP 路由劫持攻击。另外通过 VLAN、FlexE、VPN 等技术措施实施承载网的逻辑或物理隔离不同业务或者不同运营商的 5G 流量通过相互间隔离的管道来承载。 ◆ 5GC 核心网安全 对于 5GC 核心网来说需要从四个方面考虑核心网业务的安全保障措施分别是 5GC 电信云数据中心的边界安全、电信云 I 层云化基础设施的安全、5GC 网元自身的安全以及 5GC 电信云数据中心的容灾备份。 为了避免来自外部的入侵对 5GC 核心网造成破坏可以在 5GC 电信云数据中心出口边界处集中部署防火墙、沙箱、WAF、IPS、抗 DDOS 等安全设施防御从数据中心外部过来的各种可能的安全威胁。 5G 核心网的一个重要特征是功能网元的虚拟化云化数据中心云化基础设施的安全是 5GC 安全的重要基础和前提。可以通过 VDC、VPC资源隔离Hypervisor 安全监控防虚机逃逸操作系统数据库漏洞扫描、安全加固等方面的措施保障 5GC 云基础设施的安全。5GC 安全的主要目标是确保 5G 核心网网元的安全稳定运行除了周边及配套系统的安全措施核心网网元自身也可以部署一些安全功能来保障网元的安全。例如在网元系统上安装运行内生的安全组件监控网元的运行状况防范可能的病毒木马。同时还可以通过白名单ACL、网络微分段、关闭不使用的端口等最小化安全手段对核心网网元的通信进行细粒度的隔离防护减少网元的安全暴露面规避安全风险。 另外对于 5GC 建议规划和部署异地灾备数据中心确保在遇到火灾、地震或者大规模入侵破坏安全事故的情况下5G 核心网的业务能在第一时间恢复保障 5G 网络业务的连续性减少灾难带来的损失。 ◆ 5G 切片安全 对 5G 网络切片安全来说首先要确保切片间的隔离一个切片出问题不能影响到其它切片。切片隔离可以分为物理隔离和逻辑隔离对安全等级和资源保障要求高的重点行业应用可以部署物理隔离例如在核心网侧不同切片部署在不同物理服务器上。对于安全性要求不是太高的非敏感业务可以采用切片逻辑隔离例如核心网的虚机隔离。另一方面切片安全需保证切片的安全接入和安全使用例如只有通过切片使用者政府机构工矿企业以及 5G 网络运营商的双重认证和授权才能接入到对应的网络切片确保切片的合法接入以及切片资源的合法使用。另外还可以通过端到端的数据加密保障切片业务的机密性和完整性。 4、行业平台/技术中台层安全 对于行业平台和技术中台的安全稳定运行来说主要保障措施体现在数据安全、通信接口安全、云基础设施的安全以及平台系统的容灾备份等方面。为了避免行业应用平台和 IT 中台的数据被泄露篡改保障数据的机密性、完整性和可用性可以部署一些数据安全方面的措施例如数据加密存储、数据匿名化处理、数据安全删除以及数据的定期备份等。 行业平台/技术中台层的通信接口安全主要是平台/中台系统与上下游相关的其它部件系统或者网元之间的各种API 调用、信息采集传递、操作指令传送的安全。这方面的安全保障措施主要有通信接口加密例如 TLS 加密、接口认证等方面避免攻击者通过机机间的通信接口入侵和窃取敏感数据。 在云计算技术日益普及的今天智慧城市的行业平台和技术中台系统一般也是虚拟化部署构建在以通用服务器为核心的云化基础设施之上。为此需要部署相应的一些安全措施保障云基础设施底座的安全例如资源隔离、操作系统数据库安全扫描加固、Hypervisor安全监控等。对于智慧城市的行业平台/技术中台来说为了避免在遇到突发事故灾害情况下系统中断给智慧城市各行各业带来损失和破坏建议对关键的行业平台和技术中台规划部署容灾备份系统一些对国计民生、社会稳定有重要影响的系统甚至可以考虑异地灾备。 另外对广大行业客户这样的智慧城市服务使用者来说能购买、享受的服务除了智能便捷的信息管道和应用系统还包括与信息系统配套的安全服务毕竟安全是业务正常开展的重要前提和保障。对不同行业领域的各个企事业单位来说所需要的信息安全功能可能是类似甚至相同的。在智慧城市安全的建设和运营管理中可以规划建设公共的安全中台。通过这个安全能力服务平台使能智慧城市的垂直行业应用将一些常用的安全能力例如防火墙隔离保护数据加密云基础设施安全通过 API 的形式开放给上层业务系统和各个垂直行业客户既满足了智慧城市各领域的安全需求又实现了资源的集约高效利用。 5、应用层安全 对于智慧城市的应用层安全来说需要关注应用账号的身份和访问控制、数据安全、业务安全以及应用软件的安全加固等方面。通常每个应用系统会配置多个不同类别、不同权限等级的用户账号。尤其对智慧城市的一些应用来说同时面向行业与广大社会公众提供服务为了避免非法访问越权访问保障应用系统的安全需要对应用系统实施严格的身份管理和访问控制清晰地定义每个用户的角色例如系统管理员普通外部用户、认证方式例如双因素认证生物特征认证和访问权限做到基于角色的访问控制不同级别账号可用可见的操作命令和功能菜单不一样。另外在用户账号和身份数据的添加、修改、删除上进行严格规范的管理同时对账号的访问操作实施例行的监管和审计。智慧城市的应用软件系统可能涉及行业数据和用户隐私数据的处理为了确保数据不被泄露篡改保障行业和用户敏感数据的机密性、完整性和可用性需要部署一些数据安全方面的措施例如数据加密存储、数据匿名化处理、数据安全删除以及数据的定期备份等。 对智慧城市的应用层安全来说还需要防止业务本身被恶意滥用。这方面可以借鉴电信运营商和公安系统防范治理电信诈骗的一些思路通过基于 AI、大数据等先进技术的行为分析、流量分析和过滤筛查等手段监测防范利用智慧城市业务实施的各种诈骗、窃取等不法行为。 另外为了避免软件的缺陷漏洞被恶意利用还需要通过应用软件系统定期的漏洞扫描和安全加固措施保障智慧城市应用层的业务安全。 6、安全运营管理 安全三分靠技术七分靠管理。对于智慧城市运行的安全保障来说技术再先进手段再完备如果在运营管理层面没有严格的落实执行也很难起到安全保障应有的效果。另外一方面周密完善的安全运营管理和安全监控响应本身也是安全保障的重要手段。在信息系统安全保障工作中一般会通过安全运营中心SOC的组织管理形式统一落实安全的管理、监控、响应、恢复、审计等措施。 对 5G 智慧城市的安全保障体系来说在城市全局层面可以规划建设智能运营中心IOC。一方面IOC 面向业务和社会运转落地实施智慧城市的运营管理另外一方面IOC 也面向安全保障承接智慧城市SOC 的职责。通过 IOC智慧城市的管理者和运营者能够实时感知整个城市的安全态势状况对安全事件及时做出全局性的响应和处置。 除了面向城市全局的 IOC还可以面向智慧城市的各个行业平台规划建设平台的SOC。平台 SOC 由行业自身建设运营例如城市政府建设运营政务云平台的SOC交通管理部门建设运营智慧交通平台的 SOC。通过平台 SOC 的集中监控运营保障行业平台以及行业内客户应用的安全。另外5G 网络是 5G 智慧城市重要的信息动脉为了保障 5G 网络的安全稳定运行移动运营商也可以规划建设面向整个网络的 SOC。本文摘自中国信通院CAICT《5G智慧城市安全需求与架构白皮书》。未来智能实验室的主要工作包括建立AI智能系统智商评测体系开展世界人工智能智商评测开展互联网城市云脑研究计划构建互联网城市云脑技术和企业图谱为提升企业行业与城市的智能水平服务。 如果您对实验室的研究感兴趣欢迎加入未来智能实验室线上平台。扫描以下二维码或点击本文左下角“阅读原文”
