序論：寫作是一種深度的自我表達。它要求我們深入探索自己的思想和情感，挖掘那些隱藏在內心深處的真相，好投稿為您帶來了一篇關于智慧城市中網(wǎng)絡安全架構設計研究范文，愿它們成為您寫作過程中的靈感催化劑，助力您的創(chuàng)作。

摘要：近年來智慧城市建設開展得如火如荼，智慧城市應用不斷融入居民生活的方方面面。智慧城市作為城市新的發(fā)展模式，保證智慧城市中的信息系統(tǒng)安全，建設智慧城市相適應的安全保障體系尤為重要。本文從分析現(xiàn)今智慧城市中常見的網(wǎng)絡安全問題入手，從智慧城市的重點需求中提出適應需求的網(wǎng)絡安全架構設計。

關鍵詞：智慧城市；網(wǎng)絡安全架構

智慧城市作為城市發(fā)展的新理念，是推動政府職能轉變、推進社會管理創(chuàng)新的新方法。智慧城市以物聯(lián)網(wǎng)、云計算、大數(shù)據(jù)、5G技術為核心，通過對城市數(shù)據(jù)感知、檢測、分析，能對城市生活中的各類需求作出迅速、靈活、準確的反應，能為市民營造綠色、和諧環(huán)境，提供泛在、便捷、高效服務。智慧城市建設離不開信息系統(tǒng)，如何保障物理城市和網(wǎng)絡環(huán)境下的智慧服務之間的虛實共存，確保其間流動的數(shù)據(jù)信息安全、信息系統(tǒng)安全、服務平臺安全健康發(fā)展。構建滿足智慧城市網(wǎng)絡安全要求是建設智慧城市安全基線的重要組成。

1智慧城市網(wǎng)絡安全現(xiàn)狀及安全問題

城市中常見的網(wǎng)絡威脅包括：網(wǎng)絡監(jiān)聽、口令攻擊、拒絕服務攻擊（DoS）、漏洞攻擊、僵尸網(wǎng)絡、網(wǎng)絡釣魚、網(wǎng)絡欺騙和網(wǎng)站安全威脅等。

（1）數(shù)據(jù)共享亟待解決“數(shù)據(jù)孤島”問題

智慧城市以信息技術和產(chǎn)業(yè)為建設基礎，依托信息網(wǎng)絡，以實現(xiàn)政府管理現(xiàn)代化、城市服務便捷高效為目的。在提高政府和社會各類單位數(shù)字化的水平過程中，城市數(shù)據(jù)不斷產(chǎn)生、匯聚，大數(shù)據(jù)的產(chǎn)生帶來分析使用價值。為提高數(shù)據(jù)資源的利用率，數(shù)據(jù)資源共享成為社會服務中的迫切需求。傳統(tǒng)的安全保障技術（如信息加密、監(jiān)控審計、漏洞掃描以及防火墻等）多作用于邏輯隔離或邏輯封閉的網(wǎng)絡信息系統(tǒng)[1]。運用于當前云平臺、物聯(lián)網(wǎng)等應用服務時無法迅速處理協(xié)同化。傳統(tǒng)的數(shù)據(jù)邊界隔離的安全保護策略讓“數(shù)據(jù)孤島”不斷產(chǎn)生。開放式環(huán)境下，城市數(shù)據(jù)信息不斷受到網(wǎng)絡安全的威脅，智慧城市建設的目標需要原本隔離的安全邊界破除后走向融合，構建新的安全防護。

（2）拓展的應用服務帶來的權限問題

隨著智慧城市的信息化系統(tǒng)的應用不斷拓展，智能設備接入數(shù)量快速增長，應用服務更加全面的同時服務生態(tài)更加復雜，參與其間服務的角色多元化，眾多的應用服務使用者和服務提供者給信息系統(tǒng)管理者帶來了復雜的權限問題。確保智慧城市中所有參與者能夠安全、合規(guī)地訪問被授權的業(yè)務應用和資源數(shù)據(jù)成為網(wǎng)絡安全的重要部分?，F(xiàn)存的網(wǎng)絡安全問題有：一是政府或企業(yè)在數(shù)據(jù)收集問題上沒有嚴格按照“數(shù)據(jù)收集最小化”的原則，數(shù)據(jù)管理方的人員因數(shù)據(jù)價值的吸引過度收集用戶數(shù)據(jù)，甚至違規(guī)獲取、分析數(shù)據(jù)，并將數(shù)據(jù)在沒有脫敏處理的情況下泄露；二是外部來訪人員借助網(wǎng)絡攻擊技術獲取訪問權限竊取或破壞數(shù)據(jù)造成數(shù)據(jù)安全問題。
（3）傳統(tǒng)的安全架構對網(wǎng)絡威脅的識別能力不足

傳統(tǒng)的網(wǎng)絡安全方案是“特征匹配”這種防御方案往往會滯后病毒和不斷發(fā)展的黑客技術?！疤卣髌ヅ洹笨梢酝ㄟ^病毒庫的“規(guī)則集”來識別病毒，病毒庫就是一個防御病毒的事后經(jīng)驗庫，因為是網(wǎng)絡防御的事后總結，所以這種網(wǎng)絡架構下的防御顯得過時。網(wǎng)絡安全管理員無法從眾多告警報告中快速反應配置防御方案，只有系統(tǒng)被攻破，數(shù)據(jù)信息被破壞才能察覺并作出相應的補救。但是智慧城市信息系統(tǒng)的業(yè)務平臺和應用服務需要穩(wěn)定高效地運行，這就需及時發(fā)現(xiàn)網(wǎng)絡攻擊，并在最短的時間內進行應急處置和追蹤溯源，最大程度降低網(wǎng)絡攻擊的影響保證基礎平臺和應用服務的安全運行。

（4）網(wǎng)絡安全風險導致物理環(huán)境故障

智慧城市建設中的底層物聯(lián)感知層，讓城市的建筑、家居、公共設施和人成為了密不可分的整體。城市基礎設施建設數(shù)字化建設和智慧家居的設備和一切傳感器終端，構造了智慧城市智慧運行的基礎。關于智慧城市信息化系統(tǒng)的網(wǎng)絡安全威脅不僅會造成數(shù)據(jù)信息、應用服務的丟失、損毀和終端。更嚴重的會讓城市的基礎設施（水、電、暖等）在網(wǎng)絡攻擊中造成硬件故障，導致物理環(huán)境下的實質性影響。

2智慧城市建設中面臨的網(wǎng)絡安全重點問題

（1）傳統(tǒng)網(wǎng)絡安全防御架構協(xié)同聯(lián)動性差

傳統(tǒng)的網(wǎng)絡安全架構都會在外網(wǎng)的邊界部署防火墻、入侵檢測系統(tǒng)和入侵防御系統(tǒng)、VPN網(wǎng)關等安全設施把網(wǎng)絡劃分成不同的區(qū)域，實現(xiàn)外網(wǎng)和內網(wǎng)之間的邏輯隔離，形成以邊界防護為核心的安全防御體系。對于傳統(tǒng)的安全防御架構，內部核心區(qū)的安全防護相對較弱。因為邊界防御造成的安全區(qū)域相互隔離，安全設備的協(xié)同反應，聯(lián)合應對能力差。邊界隔離區(qū)的防護一旦突破，內部核心數(shù)據(jù)區(qū)就可以任意獲取，邊界保護內部資源的功能喪失。在面對新型攻擊、位置威脅的網(wǎng)絡攻擊下，傳統(tǒng)的網(wǎng)絡安全架構應對也比較乏力。

（2）海量終端接入智慧服務平臺，設備的安全管控難

智慧城市提供的泛在、便捷、高效服務離不開海量終端設備的接入，接入設備不但實現(xiàn)了城市基礎數(shù)據(jù)的采集，還提供各類服務的基礎。目前在智慧城市建設中的基礎設施建設，越來越多的終端接入智慧服務平臺，終端設備的管控難度不斷提升。很多用來采集信息的智能傳感器（攝像頭、溫度、壓力、流量傳感器、門禁設備等）因為缺乏安全措施防護，很容易受到網(wǎng)絡攻擊，造成數(shù)據(jù)信息泄露的事件不斷發(fā)生。導致相當一部分的終端設備，用戶數(shù)據(jù)泄露不時發(fā)生。通過技術手段解決終端的安全接入，優(yōu)化用戶體驗感，實現(xiàn)了用戶在無感的情況下對終端的安全防控和監(jiān)管。

（3）智慧城市信息化系統(tǒng)安全運維保障不足

智慧城市建設過程中會有很多配套的信息系統(tǒng)項目同步建設，在信息系統(tǒng)項目建設中，信息系統(tǒng)安全管理存在于項目的整個生命周期。其中項目正式發(fā)布上線后保障軟件系統(tǒng)正常、穩(wěn)定運行的安全運維尤為重要?，F(xiàn)在的智慧城市的網(wǎng)絡安全運維常常外包給第三方，因為第三方?jīng)]有直接參與項目，對具體的安全架構并不是很了解。主要完成定期查殺、系統(tǒng)更新、補丁加載、安全策略升級等常規(guī)工作。但面對重大安全漏洞的檢測和重大安全事件的應急處置能力都比較薄弱，難以滿足智慧城市中網(wǎng)絡安全的要求。第三方的運維，安全管理和安全技術不能協(xié)調發(fā)展，運維安全管理手段滯后，安全管理制度難以體現(xiàn)在日常運維工作中，安全管理制度落地缺乏跟蹤和反饋。

3智慧城市中網(wǎng)絡安全架構設計

3.1智慧城市建設中問題的應對建議

（1）面對“傳統(tǒng)安全構架中邊界防御思路缺乏協(xié)同”的問題，要以智慧城市建設的安全管理規(guī)劃為中心，以智慧城市的頂層設計為指導，構建全域安全訪問服務邊緣架構，實現(xiàn)網(wǎng)絡全域的可擴展、靈活的，提供整個網(wǎng)絡協(xié)同反應的主動防御架構。

（2）對于傳統(tǒng)的網(wǎng)絡安全機構對智能終端設備的安全控制能力低的問題。不單是設備的安全標準規(guī)范欠缺的問題，更凸顯了網(wǎng)絡安全防護薄弱。終端設備的安全合規(guī)是基礎，亟須建設按照信息系統(tǒng)全生命周期設計的安全保護架構，保障智慧城市的物聯(lián)感知層安全可控。

（3）智慧城市的信息系統(tǒng)項目在交付驗收之后，軟件系統(tǒng)的運維就是保證信息系統(tǒng)安全穩(wěn)定的關鍵。而面對網(wǎng)絡攻擊，往往出現(xiàn)安全運維能力不足的問題。我們在建立全網(wǎng)主動防御安全架構的同時，完善安全管理制度，充分利用網(wǎng)絡運維新技術實現(xiàn)全網(wǎng)絡安全感知，建立安全威脅的預警機制。同時加強網(wǎng)絡安全員的專業(yè)技能培訓，提高網(wǎng)絡運維人員的解決問題的能力。

3.2智慧城市的安全架構設計

智慧城市的整體安全方案需要建立一個安全運維中心進行智慧城市信息系統(tǒng)的統(tǒng)一安全運營，抵御網(wǎng)絡各式攻擊。以下分四個部分實現(xiàn)智慧城市的網(wǎng)絡安全架構的建設。

（1）提高軟件產(chǎn)品自身安全性

智慧城市的信息系統(tǒng)項目依靠各類相關的軟件產(chǎn)品實現(xiàn)城市服務。以智慧城市信息系統(tǒng)在受到網(wǎng)絡攻擊時，系統(tǒng)可保持的狀態(tài)并在適應攻擊下保障系統(tǒng)運行，服務不間斷為目標。通過所有依托信息系統(tǒng)的軟件產(chǎn)品自身的安全性的提高，減少軟件開發(fā)過程中的漏洞，加強軟件產(chǎn)品控制管理和變更管理，實現(xiàn)智慧城市的基礎組件內生安全，建立智慧城市內部的具備韌性的安全體系。

（2）建立“零信任”網(wǎng)絡安全模型

基于“零信任”的新一代網(wǎng)絡安全技術架構，堅持“持續(xù)驗證，永不信任”的原則，采用個人身份訪問和動態(tài)環(huán)境風險評估結合，實現(xiàn)業(yè)務資源訪問的最小權限控制[2]?；凇傲阈湃巍钡陌踩Ｐ筒辉僖訧P地址作為網(wǎng)絡訪問授權的依據(jù)，將人、機、設備通過身份訪問控制技術實現(xiàn)統(tǒng)一管理。接入環(huán)境只有通過認證和授權才能允許單次有效訪問。在認證和授權的過程中需要通過多種因子的認證來實現(xiàn)對終端設備的校驗。認證校驗通過后會根據(jù)接入環(huán)境的安全參數(shù)進行評估作出信任等級，根據(jù)信任等級授權[2]。對于取得連接的設備，“零信任”安全模型（SDP）并沒有停止監(jiān)控，SDP會持續(xù)監(jiān)測終端設備的接入環(huán)境和安全配置參數(shù)[3]，動態(tài)調整連接設備的信任度和授權等級，確保接入設備的可信邊界，避免信息泄露。

（3）構建以信息資源為核心的聯(lián)防安全體系

智慧城市的核心是信息資源，構建以保護信息資源為核心的安全防護體系，就是要建立覆蓋信息從產(chǎn)生到消亡整個生命周期的安全防護體系。加強信息采集、傳輸、交換、反饋等關鍵環(huán)節(jié)的保障建設，綜合利用數(shù)據(jù)加密、存儲加密、數(shù)字簽名、認證和奇偶校驗等技術[4]，實現(xiàn)信息在傳輸過程中的安全性。而構建協(xié)同的安全防護體系可以實現(xiàn)智慧城市安全監(jiān)控平臺的統(tǒng)一指揮，保證智慧服務云平臺、網(wǎng)絡接入設備對網(wǎng)絡安全威脅的及時預警，快速分析、統(tǒng)一部署，形成應對網(wǎng)絡攻擊的快速聯(lián)動閉環(huán)處理。

（4）建設智慧城市的安全運維“大腦”

建設智慧城市統(tǒng)一指揮的安全運維平臺，擔負智慧城市網(wǎng)絡安全的主體責任。安全運維平臺利用大數(shù)據(jù)技術，通過網(wǎng)絡日志收集所有網(wǎng)絡威脅的信息，分析網(wǎng)絡威脅的各類屬性，建立相應的知識庫，幫助城市在網(wǎng)絡安全方面實現(xiàn)智慧分析和決策。通過實時動態(tài)對網(wǎng)絡數(shù)據(jù)的監(jiān)控，分析網(wǎng)絡安全等級，并作出安全防御部署，從而讓網(wǎng)絡威脅得到快速處置。提升安全管理決策的科學性和精準性。

4結束語

本文從建設智慧城市過程中屢見不鮮的網(wǎng)絡安全現(xiàn)狀入手，通過對智慧城市中的網(wǎng)絡安全問題分析，總結了傳統(tǒng)安全架構在智慧城市建設中存在的主要問題，提出了針對這些問題智慧城市建設的網(wǎng)絡安全需求。以此需求為基礎，提出智慧城市從基礎軟件組件安全、內部訪問安全、信息安全和統(tǒng)一的安全運維指揮平臺的網(wǎng)絡安全架構的構想。本設計由粗到細（從軟件產(chǎn)品到數(shù)據(jù)信息），從局部到整體（從訪問機制到統(tǒng)一指揮決策平臺），以安全為基礎，方案可行和產(chǎn)品技術合規(guī)為目標，通過大數(shù)據(jù)、“零信任”訪問控制模型等技術減少核心數(shù)據(jù)的暴露率，避免惡意攻擊，增強智慧城市本身的韌性。

參考文獻：

[1]孫亮.網(wǎng)絡信息安全在智慧城市建設中的威脅與應對[J].江蘇通信，2018，34（06）：73.

[2]龐浩，何淵文.基于零信任的網(wǎng)絡安全架構研究與應用[J].廣東通信技術，2022，42（02）：64.

[3]陳本峰，李雨航，高巍，等.零信任網(wǎng)絡安全軟件定義邊界SDP技術架構指南書籍[M].電子工業(yè)出版社，2021：34-38.

[4]彭凌志.5G網(wǎng)絡下的智慧城市移動通信系統(tǒng)建設[J].信息通信，2020（06）：271-272.

作者:趙姍 李任斯 茹黃娜 單位:中共西安市委黨校