智慧城市信息安全威胁治理.pptx

启明星辰集团2021年OBG华南大区营销拓展

智慧城市安全威胁治理汇报人：张华志时间：2021.3.26

01智慧园区架构目录02安全威胁治理03建设要点总结04商机与案例

智慧园区架构PARTONE

三元架构管端云管网：传输网络端：内部终端/外部访问端云：基础设施（软硬件/平台）

业务分层网端ToC个人访客ToB企业用户ToG政府与监管部门应用层数据存储数据加工与治理感知层指标敏感特定数据服务类数据基线智能摄像头智能传感器智能电杆元数据社区平台地理信息系统分析决策系统综合监控系统问题上报系统展示层应急处置系统加工存储支撑展示交通平台政企平台环保平台公众服务入口综合管理门户政企通报入口公众访问决策处置网络层4G/5G无线WIFI互联网企业通报专网基础支撑层基础设施公众访问企业通报决策处置公众访问企业通报分布式中心云环境云数用政企数据环境数据交通数据硬件设备社区数据软件/系统云边缘计算GPUAI芯片分布式计算中心算上传车载雷达访

端的种类端外部接入终端（如摄像头）内部终端（PC，门禁）外部访问终端（如手机端）

算的种类算手机终端（支付宝人脸识别）外部接入终端（环保摄像头）外部PC端（如ETC站）边缘计算服务器（中兴MEC）车载芯片智慧电杆（工控迷你板卡）边缘计算IDC

网的种类网3G/4G/5G卫星链路互联网专线WiFi蓝牙ZigBee

云的内涵云服务器操作系统虚拟化软件虚拟机节点数据库中间件存储

数的类型数生产数据监控数据生产工艺、流程监管要求数据地方/国家经济指标隐私数据其他数据

用的范围用PC端应用手机端应用页面端应用

来者何人访监管侧内部用户公众用户关联方

安全威胁治理PARTTWO

七大方向威胁治理端算网云数用访

端安全威胁治理端算网云数用访

端的威胁场景端安全外部接入端资产接入混乱漏洞脆弱性恶意访问内部终端资产接入混乱漏洞脆弱性恶意访问恶意代码行为失控外部访问端见访问安全

端安全治理——资产识别资产识别手工登录自动扫描

口令安全强密码弱口令检测定期变更端安全治理——弱口令治理

接入准入指纹识别PKI-CA终端探针(PC/服务器)KM管理员CA管理员RA管理员最终用户或设备KMServerCAServerRAServer/目录服务器HSMKM数据库CA数据库RA数据库OCSPServerRootCAHSMHSM端安全治理——接入准入

漏洞检测手段漏洞扫描渗透测试代码审计（黑盒、白盒、灰盒等）检测报告评估修复手段1：本地修复，未雨绸缪手段2：前置防御利用安全设备的漏洞利用规则库进行自动化防御端安全治理——漏洞管理

访问控制是网络安全的基线。通过五元组、角色授权等手段，对访问进行允许或禁止。右图是一个简单的访问控制示意图此外，还需要对流量中的已知和未知的恶意流量进行检测与阻断。入侵检测与防护已知威胁监测（基于特征库）未知威胁监测（基于沙箱的APT检测）入侵防护边界防病毒端安全治理——访问控制、入侵防御检测

端安全治理——恶意代码检测恶意代码防护防毒墙终端防病毒沙箱蜜罐

端安全治理——行为管控审计内网随意上网下载堡垒机、数据库审计防泄密系统身份认证（4A）高风险运维准入访问控制终端管控私接设备访问控制与权限最小化、电子签章DLP防泄密数据隔离权限扩散终端行为审计/日志审计其他安全防护与检测手段（如IPS/FW/DLP）恶意操作上网行为管理

算的安全威胁治理威胁治理端算网云数用访

边缘计算类型边缘计算类型终端边缘计算芯片边缘计算主机边缘计算IDC边缘计算

“终端型边缘计算”安全治理案例：环保监控摄像头，以RBG色彩基线为基准，判断排污终端边缘计算安全资产识别终端准入增强口令漏洞管理访问控制

案例：无人驾驶场景的车载计算芯片芯片边缘计算安全算法安全代码安全交互安全“计算芯片型边缘计算”安全治理

“主机型边缘计算”安全治理ETC收费站终端防病毒操作账号多因素认证软件白名单日志留存与上传审计

“IDC型边缘计算”安全治理省监控中心区域分中心边缘计算节点运营商运营商运营商基站基站监控点位监控点位监控点位监控点位监控点位监控点位政府IDC或运营商IDC边缘计算节点

IDC传统安全拓扑网络层SSLVPN网关数据集群（基础支撑层）管理区FW边界FWFW/IPS移动堡垒机Web服务器防篡改发布服务器Web防火墙防病毒终端安全准入系统数据库审计感知层感知探针接入终端接入终端IPS/AV防火墙漏洞扫描系统安全管理平台SOC安全管理区核心交换上网行为管理联通电信链路负载专线应用负载应用负载数据隔离交换区域隔离交换区网闸生产网入侵检测4A系统云安全资源池DLP网关边界访问控制云流量清洗与监控应用准入网关数据库脱敏漏