摘要：網(wǎng)絡(luò)安全為智慧徐州信息資源樞紐工程提供了電子政務(wù)局域網(wǎng)接入方式所必須的網(wǎng)絡(luò)安全防護(hù)手段，部分應(yīng)用采用虛擬專網(wǎng)（VPN）的技術(shù)手段，保障共享交換數(shù)據(jù)的安全可靠傳輸。網(wǎng)絡(luò)安全建設(shè)能夠保護(hù)智慧徐州信息資源樞紐工程的關(guān)鍵應(yīng)用和加密數(shù)據(jù)，增強(qiáng)數(shù)據(jù)傳輸效率，并支持迅速創(chuàng)建新的安全應(yīng)用環(huán)境來(lái)滿足新的應(yīng)用流程需求。

關(guān)鍵詞：智慧城市；智慧徐州；網(wǎng)絡(luò)安全；安全防范

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2015）27-0037-03

Abstract： Network security for the wisdom of Xuzhou Information Resource Hub Project provides e-government LAN access to network security means that part of the application using virtual private network （VPN） technology， security exchange and sharing of the safe and reliable transmission of data. The construction of network security can protect the key application and encryption data of Xuzhou Information Resource Hub Project， enhance the efficiency of data transmission， and support the rapid creation of new security environment to meet the new application process requirements.

Key words： smart city； Xuzhou； network security； security

隨著信息技術(shù)的迅速發(fā)展，世界各地有競(jìng)爭(zhēng)力的城市已迎來(lái)了數(shù)字向智慧城市邁進(jìn)的大潮。智慧城市建設(shè)注重城市物理基礎(chǔ)設(shè)施與IT基礎(chǔ)設(shè)施之間進(jìn)行完美結(jié)合，旨在改變政府、企業(yè)和市民交互的方式，提高明確性、效率、靈活性和響應(yīng)速度，促進(jìn)城市內(nèi)外部信息產(chǎn)生、交流、釋放和傳遞向有序化、高效化發(fā)展，關(guān)注提高城市經(jīng)濟(jì)和社會(huì)活動(dòng)的綜合競(jìng)爭(zhēng)力，越來(lái)越受到中國(guó)各個(gè)城市領(lǐng)導(dǎo)者的認(rèn)同和肯定。

徐州市在“十二五”伊始，深刻認(rèn)識(shí)到智慧徐州建設(shè)在提升綜合競(jìng)爭(zhēng)力、加快轉(zhuǎn)變經(jīng)濟(jì)發(fā)展方式、加強(qiáng)社會(huì)建設(shè)與管理，解決發(fā)展深層次問(wèn)題等方面的重要作用，將“智慧徐州”建設(shè)納入了未來(lái)城市發(fā)展的戰(zhàn)略主題，希望通過(guò)智慧徐州建設(shè)，以信息資源整合、共享、利用為抓手，健全公共服務(wù)，增進(jìn)民生幸福，科技創(chuàng)新驅(qū)動(dòng)產(chǎn)業(yè)轉(zhuǎn)型升級(jí)，智能手段創(chuàng)新城市管理模式，采約建設(shè)實(shí)現(xiàn)信息基礎(chǔ)全面領(lǐng)先，為把我市建設(shè)成“同類城市中環(huán)境最為秀美、文化事業(yè)最為繁榮、富民強(qiáng)市最為協(xié)調(diào)的江南名城”提供有力支撐。

網(wǎng)絡(luò)系統(tǒng)作為智慧徐州信息資源樞紐工程及各部門接入的承載，需通過(guò)網(wǎng)絡(luò)系統(tǒng)進(jìn)行數(shù)據(jù)傳輸，規(guī)劃一張合理的、高效的、安全的網(wǎng)絡(luò)系統(tǒng)能夠有效地保障智慧徐州信息資源樞紐工程能夠安全、穩(wěn)定、高速地運(yùn)行。

1 網(wǎng)絡(luò)安全建設(shè)

由于智慧徐州信息資源樞紐工程的信息資源的高度集中，帶來(lái)的安全事件后果與風(fēng)險(xiǎn)也較傳統(tǒng)應(yīng)用高出很多，因此在建設(shè)中安全系統(tǒng)建設(shè)將作為一項(xiàng)重要工作加以實(shí)施。網(wǎng)絡(luò)安全建設(shè)應(yīng)包括以下幾方面：

1.1 安全的網(wǎng)絡(luò)結(jié)構(gòu)

安全的網(wǎng)絡(luò)結(jié)構(gòu)應(yīng)該能夠滿足為了保證主要的網(wǎng)絡(luò)設(shè)備在進(jìn)行業(yè)務(wù)處理時(shí)能夠有足夠的冗余空間，來(lái)滿足處理高峰業(yè)務(wù)時(shí)期帶來(lái)的需求；確保網(wǎng)絡(luò)各部分的帶寬能夠滿足高峰業(yè)務(wù)時(shí)期的需要；安全的訪問(wèn)路徑則通過(guò)路由控制可以在終端與服務(wù)器之間建立；按照提出需求的業(yè)務(wù)的重要性進(jìn)行排序來(lái)指定分配帶寬優(yōu)先級(jí)別，如果網(wǎng)絡(luò)發(fā)生擁堵，則優(yōu)先保護(hù)重要的主機(jī)；能夠繪制出當(dāng)前網(wǎng)絡(luò)運(yùn)行情況的拓?fù)浣Y(jié)構(gòu)圖；參考不同部門之間的工作職能和涉及相關(guān)信息的重要程度等因素，來(lái)劃分成不同的子網(wǎng)和網(wǎng)段，與此同時(shí)在以方便管理和控制的前提下，進(jìn)行地址分配；重要網(wǎng)段部署不能處在網(wǎng)絡(luò)的邊界處而且不能與外部信息系統(tǒng)直接連接，應(yīng)該采取安全的技術(shù)隔離手段將重要網(wǎng)段與其他網(wǎng)段進(jìn)行必要的隔離。

1.2 訪問(wèn)控制安全

當(dāng)在網(wǎng)絡(luò)邊界對(duì)控制設(shè)備進(jìn)行訪問(wèn)時(shí)，能夠啟動(dòng)訪問(wèn)控制功能；對(duì)實(shí)現(xiàn)過(guò)濾信息內(nèi)容的功能，并且能對(duì)應(yīng)用層的各種網(wǎng)絡(luò)協(xié)議實(shí)現(xiàn)命令級(jí)的控制；能自動(dòng)根據(jù)會(huì)話的狀態(tài)信息為傳輸?shù)臄?shù)據(jù)流提供較為明確的允許或者拒絕訪問(wèn)的能力，將控制粒度設(shè)為端口級(jí)；能夠及時(shí)限制網(wǎng)絡(luò)的最大流量數(shù)和網(wǎng)絡(luò)的連接數(shù)量；當(dāng)會(huì)話結(jié)束或非活躍狀態(tài)的會(huì)話處于一段時(shí)間后將終止網(wǎng)絡(luò)的連接；要采取有效的技術(shù)手段防止對(duì)重要的網(wǎng)段地址欺騙；能在遵守系統(tǒng)和用戶之間的訪問(wèn)規(guī)則條件下，來(lái)決定用戶對(duì)受控系統(tǒng)進(jìn)行資源的訪問(wèn)是否被允許或拒絕，同時(shí)將單個(gè)用戶設(shè)置為控制粒度；具有撥號(hào)訪問(wèn)權(quán)限的用戶數(shù)量受到限制。

在關(guān)鍵的位置部署網(wǎng)關(guān)設(shè)備是實(shí)現(xiàn)訪問(wèn)控制安全的最有效途徑，政務(wù)網(wǎng)接入邊界安全網(wǎng)關(guān)：為內(nèi)部區(qū)域提供邊界防護(hù)、訪問(wèn)控制和攻擊過(guò)濾。

1.3 審計(jì)安全

安全審計(jì)方面應(yīng)包括能夠?qū)W(wǎng)絡(luò)系統(tǒng)中設(shè)備的用戶行為、網(wǎng)絡(luò)流量、運(yùn)行狀況等進(jìn)行相關(guān)的記錄；并且能夠分析所記錄的數(shù)據(jù)，生成相關(guān)的報(bào)表；為避免審計(jì)記錄受到未預(yù)期的修改、覆蓋或刪除等操作，應(yīng)當(dāng)安全保護(hù)審計(jì)記錄。通過(guò)防火墻可以實(shí)現(xiàn)網(wǎng)絡(luò)審計(jì)的功能。

網(wǎng)絡(luò)的審計(jì)安全主要內(nèi)容有：為能夠有效記錄網(wǎng)絡(luò)設(shè)備、各區(qū)域服務(wù)器系統(tǒng)和安全設(shè)備等這些設(shè)備以及經(jīng)過(guò)這些設(shè)備的所有訪問(wèn)行為，應(yīng)在這些設(shè)備上開啟相應(yīng)的審計(jì)功能，由安全管理員定期對(duì)日志信息和活動(dòng)狀態(tài)進(jìn)行分析，并發(fā)現(xiàn)深層次的安全問(wèn)題。

1.4 檢查邊界的完整性

為對(duì)私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的非授權(quán)設(shè)備行為進(jìn)行安全檢查，邊界完整性檢查要求能夠準(zhǔn)確定出其位置，并進(jìn)行有效的阻斷。

實(shí)現(xiàn)邊界完整性檢查的相關(guān)技術(shù)：

1）制定嚴(yán)格的檢查策略，將服務(wù)器區(qū)域在網(wǎng)絡(luò)設(shè)備上劃分為具有獨(dú)立功能的VLAN，同時(shí)禁止除來(lái)自網(wǎng)絡(luò)入侵防御系統(tǒng)以外的其他VLAN的訪問(wèn)；

2）為提升系統(tǒng)自身的安全訪問(wèn)控制能力，應(yīng)對(duì)安全加固服務(wù)器系統(tǒng)采取相應(yīng)措施。

1.5 入侵防范

網(wǎng)絡(luò)的入侵防范應(yīng)能在網(wǎng)絡(luò)邊界處監(jiān)視到木馬后門攻擊、拒絕服務(wù)攻擊、IP碎片攻擊、端口掃描、強(qiáng)力攻擊、網(wǎng)絡(luò)蠕蟲攻擊和緩沖區(qū)溢出攻擊等攻擊行為。當(dāng)攻擊行為被檢測(cè)到時(shí)，應(yīng)能記錄攻擊的時(shí)間、源IP、目的和類型，如果發(fā)生較為嚴(yán)重的入侵事件，應(yīng)及時(shí)提供警報(bào)信息。通過(guò)前置防火墻實(shí)現(xiàn)入侵防御的功能。

1.6 惡意代碼防范

在網(wǎng)絡(luò)邊界處檢測(cè)和清除惡意代碼，對(duì)惡意代碼數(shù)據(jù)庫(kù)的升級(jí)和系統(tǒng)檢測(cè)的更新等，是惡意代碼防范的范疇。目前，主要是通過(guò)網(wǎng)絡(luò)邊界的安全網(wǎng)關(guān)系統(tǒng)防病毒模塊來(lái)檢測(cè)和清除系統(tǒng)漏洞類、蠕蟲類、木馬類、webcgi類、拒絕服務(wù)類等一系列惡意代碼進(jìn)行來(lái)實(shí)現(xiàn)惡意代碼防范的技術(shù)。

1.7 網(wǎng)絡(luò)設(shè)備的安全防護(hù)

網(wǎng)絡(luò)設(shè)備的安全防護(hù)要求能夠限制網(wǎng)絡(luò)設(shè)備管理員的登錄地址；在網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識(shí)唯一的伯伯下，要能鑒別出登錄用戶的身份；主要網(wǎng)絡(luò)設(shè)備對(duì)同一用戶進(jìn)行身份時(shí)鑒別時(shí)，應(yīng)當(dāng)選擇幾種組合的鑒別技術(shù)來(lái)鑒別，避免只使用一種鑒別技術(shù)；鑒別身份的信息應(yīng)不易被冒用，網(wǎng)絡(luò)口令應(yīng)定期更換而且要有一定的復(fù)雜度，不易破解；當(dāng)?shù)卿浭r(shí)，能自動(dòng)采取限制登錄次數(shù)、結(jié)束會(huì)話和當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)自動(dòng)退出等相應(yīng)措施；當(dāng)網(wǎng)絡(luò)設(shè)備被用戶遠(yuǎn)程管理時(shí)，能夠有防止網(wǎng)絡(luò)傳輸過(guò)程的鑒別信息被竊聽的相關(guān)措施。

網(wǎng)絡(luò)設(shè)備安全防護(hù)的技術(shù)實(shí)現(xiàn)主要是通過(guò)提供網(wǎng)絡(luò)設(shè)備安全加固服務(wù)，根據(jù)前面的網(wǎng)絡(luò)結(jié)構(gòu)分析，系統(tǒng)采用若干臺(tái)核心交換機(jī)、匯聚交換機(jī)和接入交換機(jī)，實(shí)現(xiàn)各個(gè)安全區(qū)域的連接。

對(duì)于網(wǎng)絡(luò)設(shè)備，應(yīng)進(jìn)行相應(yīng)的安全加固：

1）將樓層接入交換機(jī)的接口安全特性開啟，并將MAC進(jìn)行綁定。

2）關(guān)閉不必要的服務(wù)，包括關(guān)閉CDP、Finger服務(wù)、NTP服務(wù)、BOOTp服務(wù)（路由器適用）等。

3）登錄要求和帳號(hào)管理，包括采用enable secret設(shè)置密碼、采用認(rèn)證、采用多用戶分權(quán)管理等。

4）SNMP協(xié)議設(shè)置和日志審計(jì)，包括設(shè)置SNMP讀寫密碼、更改SNMP協(xié)議端口、限制SNMP發(fā)起連接源地址、開啟日志審計(jì)功能。

5）其它安全要求，包括禁止從網(wǎng)絡(luò)啟動(dòng)和自動(dòng)從網(wǎng)絡(luò)下載初始配置文件、禁止未使用或空閑的端口、啟用源地址路由檢查（路由器適用）等。

2 網(wǎng)絡(luò)安全防護(hù)

邊界防護(hù)：在智慧徐州信息資源樞紐工程的邊界設(shè)立一定的安全防護(hù)措施，具體到智慧徐州信息資源樞紐工程中邊界，就是在平臺(tái)的物理網(wǎng)絡(luò)之間，智慧徐州信息資源樞紐工程的產(chǎn)品和邊界安全防護(hù)技術(shù)主要采用交換機(jī)接入、前置防火墻及網(wǎng)閘。

區(qū)域防護(hù)：比邊界防護(hù)更小的范圍是區(qū)域防護(hù)，指在一個(gè)區(qū)域設(shè)立的安全防護(hù)措施，具體到智慧徐州信息資源樞紐工程中，區(qū)域是比較小的網(wǎng)段或者網(wǎng)絡(luò)，智慧徐州信息資源樞紐工程的區(qū)域防護(hù)技術(shù)和產(chǎn)品采用接入防火墻。

節(jié)點(diǎn)防護(hù)：節(jié)點(diǎn)防護(hù)主要是指系統(tǒng)健壯性的保護(hù)，查堵系統(tǒng)的漏洞，它已經(jīng)具體到其中某一臺(tái)主機(jī)或服務(wù)器的防護(hù)措施，建議智慧徐州信息資源樞紐工程中的產(chǎn)品和節(jié)點(diǎn)防護(hù)技術(shù)都應(yīng)采用病毒防范系統(tǒng)、信息安全檢查工具和網(wǎng)絡(luò)安全評(píng)估分析系統(tǒng)等。

3 網(wǎng)絡(luò)高可用

在智慧徐州信息資源樞紐工程網(wǎng)絡(luò)建設(shè)中，網(wǎng)絡(luò)設(shè)備本身以及設(shè)備之間的連接都具非常高的可靠性。為了保障智慧徐州信息資源樞紐工程網(wǎng)絡(luò)的穩(wěn)定性，在智慧徐州信息資源樞紐工程核心網(wǎng)絡(luò)部分，核心交換機(jī)、接入防火墻等設(shè)備全部采用冗余配置，包括引擎、交換網(wǎng)、電源等。所有的連接線路全部采用雙歸屬的方式，包括與電子政務(wù)局域網(wǎng)互聯(lián)，與服務(wù)器接入交換機(jī)互聯(lián)。在數(shù)據(jù)應(yīng)用區(qū)，服務(wù)器通過(guò)雙網(wǎng)卡與服務(wù)器接入交換機(jī)互聯(lián)，保障了服務(wù)器連接的高可靠性。

4 數(shù)據(jù)安全

4.1 數(shù)據(jù)安全建設(shè)

數(shù)據(jù)的安全是整個(gè)安全建設(shè)中非常重要的一部分內(nèi)容。數(shù)據(jù)的安全建設(shè)主要涉及數(shù)據(jù)的完整性、數(shù)據(jù)的保密性以及數(shù)據(jù)的備份和恢復(fù)。對(duì)于系統(tǒng)管理、鑒別信息和重要業(yè)務(wù)的相關(guān)數(shù)據(jù)在存儲(chǔ)過(guò)程中進(jìn)行檢測(cè)，如檢測(cè)到數(shù)據(jù)完整性有錯(cuò)誤時(shí)采取必要的恢復(fù)措施，并且能對(duì)這些數(shù)據(jù)采用加密措施，以保證數(shù)據(jù)傳輸?shù)谋Ｃ苄浴?/p>

對(duì)于資源共享平臺(tái)系統(tǒng)的數(shù)據(jù)安全及備份恢復(fù)要求如下：

1）對(duì)于鑒別信息數(shù)據(jù)存儲(chǔ)的保密性要求，均可以通過(guò)加強(qiáng)物理安全及網(wǎng)絡(luò)安全，并實(shí)施操作系統(tǒng)級(jí)數(shù)據(jù)庫(kù)加固的方式進(jìn)行保護(hù)；

2）對(duì)于備份及恢復(fù)要求，配置了備份服務(wù)器和虛擬帶庫(kù)對(duì)各系統(tǒng)重要數(shù)據(jù)進(jìn)行定期備份；

3）需要通過(guò)制定并嚴(yán)格執(zhí)行備份與恢復(fù)管理制度和備份與恢復(fù)流程，加強(qiáng)各系統(tǒng)備份恢復(fù)能力。

4.2 數(shù)據(jù)安全加密傳輸（VPN）

針對(duì)數(shù)據(jù)傳輸?shù)陌踩?，部分接入部門到智慧徐州信息資源樞紐工程的數(shù)據(jù)進(jìn)行VPN加密傳輸。接入部門和平臺(tái)兩端之間運(yùn)行IPSec 或SSL VPN協(xié)議，保證數(shù)據(jù)在傳輸過(guò)程中的端到端安全性。

4.3 數(shù)據(jù)交換過(guò)程的安全保障

平臺(tái)數(shù)據(jù)交換過(guò)程的安全保障主要指信息在交換過(guò)程中不能被非法篡改、不能被非法訪問(wèn)、數(shù)據(jù)交換后不能抵賴等功能。

平臺(tái)業(yè)務(wù)系統(tǒng)在傳遞消息的過(guò)程中可以指定是否采用消息內(nèi)容的校驗(yàn)，校驗(yàn)方法是由發(fā)送消息的業(yè)務(wù)系統(tǒng)提供消息的原始長(zhǎng)度和根據(jù)某種約定的驗(yàn)證碼生成規(guī)則（比如 MD5 校驗(yàn)規(guī)則）生成的驗(yàn)證碼。

4.4 數(shù)據(jù)交換接口安全設(shè)計(jì)

平臺(tái)提供的消息傳輸接口支持不同的安全標(biāo)準(zhǔn)。對(duì)于對(duì)安全性要求比較高的業(yè)務(wù)系統(tǒng)來(lái)說(shuō)，在調(diào)用平臺(tái)的Web Service接口時(shí)使用HTTPS 協(xié)議，保證了傳輸層面的安全；而對(duì)于安全性不那么重要，只想通過(guò)很少的改動(dòng)使用平臺(tái)功能的業(yè)務(wù)系統(tǒng)來(lái)說(shuō)，可以簡(jiǎn)單的通過(guò)HTTP方式調(diào)用平臺(tái)的Web Service接口進(jìn)行消息的傳輸。

5 安全管理體系建設(shè)

在智慧徐州信息資源樞紐工程安全保障體系建設(shè)中，應(yīng)該建立相應(yīng)的安全管理體系，而不是僅靠技術(shù)手段來(lái)防范所有的安全隱患。安全建設(shè)的核心是安全管理。在安全策略的指導(dǎo)下，安全技術(shù)和安全產(chǎn)品的保障下，一個(gè)安全組織日常的安全保障工作才能簡(jiǎn)明高效。

完整的安全管理體系主要包括：安全策略、安全組織和安全制度的建立。為了加強(qiáng)對(duì)客戶網(wǎng)絡(luò)的安全管理，確保重點(diǎn)設(shè)施的安全，應(yīng)該加強(qiáng)安全管理體系的建設(shè)。

5.1 安全策略

安全策略是管理體系的核心，在對(duì)信息系統(tǒng)進(jìn)行細(xì)致的調(diào)查、評(píng)估之后，結(jié)合智慧徐州信息資源樞紐工程的流程，制定出符合智慧徐州信息資源樞紐工程實(shí)際情況的安全策略體系。應(yīng)包括安全方針、主策略和子策略和智慧徐州信息資源樞紐工程日常管理所需要的制度。

安全方針是整個(gè)體系的主導(dǎo)，是安全策略體系基本結(jié)構(gòu)的最高層，它指明了安全策略所要達(dá)到的最高安全目標(biāo)及其管理和適用范圍。

在安全方針的指導(dǎo)下，主策略定義了智慧徐州信息資源樞紐工程安全組織體系及其崗位職責(zé)，明確了子策略的管理和實(shí)施要求，它是子策略的上層策略，子策略內(nèi)容的制定和執(zhí)行不能與主策略相違背。安全策略體系的最低層是子策略，也是用于指導(dǎo)組成安全保障體系的各項(xiàng)安全措施正確實(shí)施的指導(dǎo)方針。

5.2 安全組織

由于智慧徐州信息資源樞紐工程信息化程度非常高，信息安全對(duì)于整個(gè)智慧徐州信息資源樞紐工程系統(tǒng)的安全建設(shè)非常重要。因此，需要建立具有適當(dāng)管理權(quán)的信息安全管理委員會(huì)來(lái)批準(zhǔn)信息安全方針、分配安全職責(zé)并協(xié)調(diào)組織內(nèi)部信息安全的實(shí)施。建立和組織外部安全專家的聯(lián)系，以跟蹤行業(yè)趨勢(shì)，監(jiān)督安全標(biāo)準(zhǔn)和評(píng)估方法，并在處理安全事故時(shí)提供適當(dāng)?shù)穆?lián)絡(luò)渠道。

5.3 安全制度

智慧徐州信息資源樞紐工程對(duì)于安全性要求非常高，因此安全制度的建立要求也很嚴(yán)格。由管理層負(fù)責(zé)制定切實(shí)可行的日常安全保密制度、審計(jì)制度、機(jī)房管理、操作規(guī)程管理、系統(tǒng)管理等，明確定義日常安全審計(jì)的例行制度、實(shí)施日程安排與計(jì)劃、報(bào)告的形式及內(nèi)容、達(dá)到的目標(biāo)等。

智慧徐州信息資源樞紐工程建成后，需要針對(duì)各系統(tǒng)制定完善的動(dòng)作體系，保證系統(tǒng)的安全運(yùn)行。

參考文獻(xiàn)：

[1] 吳小坤，吳信訓(xùn).智慧城市建設(shè)中的信息技術(shù)隱患與現(xiàn)實(shí)危機(jī)[J].科學(xué)發(fā)展，2013（10）：50-54.

[2] 婁歡，竇孝晨，黃志華，等.智慧城市頂層設(shè)計(jì)的信息安全管理研究[J].中國(guó)管理信息化，2015（5）：214-215.

[3] 趙軍.信息安全體系下的東營(yíng)智慧城市建設(shè)研究[J].中國(guó)安防，2014（9）：84-89.

[4] 尹振鶴.淺析網(wǎng)絡(luò)管理技術(shù)[J].科技視界，2013（8）：104.

[5] 鄒鈺.淺談網(wǎng)絡(luò)安全策略[J] .科學(xué)之友，2011（4）：155.