2020年7月,奇安信中標“智慧大理”云計算中心安全加固采購項目。該項目的意義,不僅在于涵蓋了態勢感知與安全運營、云安全管理平臺、上網行為管理、下一代防火墻、EDR等多達12款產品,更在于它顛覆了過去“事后補救”的局部整改建設模式,轉變為“事前防控”型建設思路。尤其是通過基于內生安全框架的四大工程兩大任務(4+2模塊),將安全能力內置到業務系統當中,使之成為內生安全框架落地的一個標桿典范。

“智慧大理”:數字時代的城市名片

蒼山之麓,洱海之濱!大理,如今不僅成為網紅打卡的旅游勝地,更被評為中國首批十大魅力城市之一。

在當今數字化轉型、智慧城市建設的浪潮之下,大理再次走到時代的前列。早在2013年10月,“智慧大理”項目正式啟動,并成功申報為“國家智慧城市試點”和“國家信息消費城市試點”。在2017年亞太智慧城市發展高峰論壇評選中,大理榮獲“中國智慧城市創新獎”。

經過多年來的積極實踐與探索,“智慧大理”取得顯著的成效,其建設涵蓋了平安大理、智慧社區、智慧旅游、智慧城管、智慧教育、智慧交通、智慧環保、智慧醫療等項目。真正將大理建設成了百姓生活幸福、環境優美和諧、適宜投資居住、城市管理睿智的國際化旅游城市,成為數字時代亮麗的城市名片。

據“智慧大理”承辦方和運營方大理市信息化發展有限責任公司負責人表示,目前項目在多個方面取得豐碩成果。例如通過建立云計算中心,避免了重復建設各類小機房,大量節約各部門的信息化建設、運維成本。而依托云計算中心建成全市統一的視頻監控云平臺,顯著提升城市管理能力。將大理各部門分散、獨立、零亂的信息資源進行整合,形成統一的政務信息資源庫和應用服務平臺,實現信息資源高度共享和深入應用。

在服務社會方面,“智慧大理”更是做到了便民、惠民、利民。帶上一張市民卡,就能完成金融支付、公交乘車、占道停車繳費、食堂、醫院就診、新農合、圖書館、門禁、公共事業繳費、旅游年卡、出租房門禁管理、校訊通等各種應用。“到家邊的鄉鎮衛生院就診,就能享受市級醫院待遇,省時又高效。”

此外,投資1.1億建成的大理洱海流域生態環境智慧監管系統,更為科學治理洱海、保護洱海提供保障。智慧旅游可以一站式了解大理景區、旅游路線、度假等信息,一個手機玩遍大理。

資料圖:“智慧大理”之洱海流域生態環境智慧監管系統

高度重視安全風險確立責任“一把手”制

近年來,智慧城市體系作為城市運轉的核心,其重要基礎網絡、信息系統的網絡安全防護成為重中之重。尤其“智慧大理”是一個集成了金融、民生、醫療、交通等領域協同合作、關鍵業務高度互聯的融合平臺,一旦遭到網絡攻擊,極有可能對城市運轉形成嚴重影響。為此,客戶上上下下都對網絡安全給予極高的重視。

今年上半年,大理州召開新型基礎設施建設工作推進視頻會議,強調為了適應大理新基建的要求,“智慧大理”的安全保障必須面向“十四五”,面向新基建,要有頂層設計,有體系有規劃。同時,隨著等保2.0的發布,《網絡安全法》最新要求,以及大理網信辦和公安部門的整改要求,包括云南省《生物多樣性公約》會議等要求,從政策層面對網絡安全投入提供了強大的制度后盾。

因此,盡管存在著資金緊張、人才短缺等困難,但從業務建設之初,大理市委、市政府,以及承辦方大理信息化發展有限公司,就確定了安全責任一把手制度,響應“安全是發展的前提”的要求,配好剎車再上路,將安全放在最優先的地位。

作為“智慧大理”的承辦方和運維方,大理市信息化發展有限責任公司對網絡安全建設的復雜性和艱巨性有著深刻體會。該負責人表示,“等保2.0從國家標準層面為網絡安全提供了指導作用和推動作用。但對于‘智慧大理’而言,網絡安全不僅要符合合規需求,更要和信息化、業務系統實現深度融合,滿足現在和未來業務升級的安全需求。因此,我們在選擇合作伙伴時,不僅要方案符合等保要求,更需要從信息化角度明確目標,從頂層設計、全局規劃等方面,建立適應業務發展的安全防護體系。”

落實內生安全框架將安全能力“理清楚”、“建起來”

事實上,“智慧大理”對于網絡安全建設的思考和需求,是全國各個信息化項目的縮影。作為國內網絡安全的重要企業,奇安信很早就意識到,要改變困擾網絡安全“四缺”的問題,就需要破舊立新,將安全建設模式從“局部整改外掛式”走向“深度融合體系化”,在數字化環境內部建立無處不在的網絡安全“免疫力”,實現內生安全。

從2019年開始,奇安信專門成立了工作組,與20多個一線部門緊密協同,用系統工程的思想,構建了一個能夠適應形勢變化的網絡安全框架,來支撐內生安全體系建設。今年3月,面向新基建的內生安全框架正式推出,與此同時,基于該框架的“十工五任”手冊也正式出爐。

圖:內生安全框架(新一代企業網絡安全框架)

今年4月,奇安信助理總裁陳明、銷售經理李揚以及奇安信云南省技術總監方楚臣、安全顧問魯成等一行團隊向“智慧大理”的領導進行了方案匯報。通過“十工五任”手冊的介紹,包括內生安全框架具備的“1+1>2”的涌現效應,讓眾人耳目一新,特別是面向新基建,面向十四五規劃,非常符合“智慧大理”網絡安全建設的定位和目標。

雙方一致認為,“智慧大理”的信息化與網絡安全極其重要與復雜,必須以頂層設計思想、結構化的思維、體系化的方法才能做到“化繁為簡”。為此,奇安信結合“智慧大理”的現狀和需求,創新提出了四大工程兩大任務的內生安全框架,即4+2模塊。其中四個工程包括:面向網絡安全架構的縱深防御體系、面向云的數據中心安全防護、面向實戰化的全局態勢感知體系、面向大數據應用的數據安全防護;二大任務包括:實戰化安全運行能力建設、安全人員能力支撐。

一直困擾“智慧大理”的是安全預算與安全人員投入不足,而4+2模塊的內生安全框架是在大理十四五與新基建這個契機上指導“智慧大理”的規劃工作,幫助“智慧大理”明確目標、方向和任務,使后期項目建設有足夠的資源和政策推動力。

內生安全框架能在“智慧大理”順利落地,陳明歸納了五個核心要素。一是模式的轉變,網絡安全應避免“以偏概全”的傳統模式,轉而以全覆蓋、層次化思路進行規劃設計。二是體系化規劃、設計和建設,需要以系統工程方法論來指導網絡安全體系的規劃、設計和建設工作。三是疊加演進提升,以圍繞網絡的縱深防御體系為基礎,進一步圍繞數據確定防御重點。四是實戰化的運行,通過將人防和技防相融合,圍繞人員開展面向實戰的安全運行,持續運行保障業務。最后是打破“緊平衡”規劃出預置的可擴展的能力,預留出必要的應急資源,應對重大不確定性風險。

構筑安全管理新格局助力“智慧大理”“跑得贏”

實踐是檢驗真理的唯一標準。安全系統建起來之后,接下來最重要的就是要“跑得贏”。在“智慧大理”項目中,4+2模塊的內生安全框架在管理和運營方面的優勢,體現的淋漓盡致。

首先是安全產品服務化,讓“智慧大理”實現合規和高效兩者兼得。項目方通過SecFV安全功能虛擬化,提供豐富的安全防護手段,讓客戶無需擔憂上云安全問題。同時從東西向、南北向、主機層、應用層等全方位進行新等保技術對標,形成全面安全防護能力,并保障安全合規。

圖:云安全管理平臺產品架構圖

其次是安全能力一體化,推動“智慧大理”真正實現智慧易管。通過SDS軟件定義安全,為客戶打造可編排、易管理的云安全管理平臺。讓客戶通過云安全態勢感知、天眼聯動等監測手段,讓云安全防護更及時、高效。依托集中管理多個分布式部署的安全資源池,讓多云融合場景下的安全防護無憂。

最后是實現了安全運營自動化,幫助客戶實現增值共贏。通過BPM業務流程管理實現自服務、訂單審批、計量計費等,將安全資源服務化,為云服務商提供業務增值,從而構建安全生態合作,為“智慧大理”提供開放的、豐富的、可持續輸出的安全能力。

在整個項目中,奇安信的頂層設計、框架落地和全產品線優勢得到充分體現。例如云安全管理平臺結合了奇安信領先的云端防護能力和大數據未知威脅檢測能力,從而構建一套真正屬于“智慧大理”的安全防護框架。而先進的信息安全防御體系下可以構建“智慧大理”態勢感知與保障平臺,如新一代檢測技術、云計算安全技術、大數據安全分析技術等。在安全能力一體化方面,通過云安全態勢感知、天眼、天擎聯動等監測手段,讓云安全防護更及時、高效。

“如此復雜的產品線,快速整合實施的難度無疑是超出想象的。”陳明感嘆道。“得益于公司大規模的設備生產供貨能力,以及覆蓋全國各省、自治區、直轄市的備品備件保障,強大的項目實施隊伍,完善的項目實施計劃,豐富實施經驗的隊伍,確保了龐大復雜的產品線,得到很好的整合和落地。”

樹立內生安全落地標桿成就“智慧大理”城市名片

陳明表示,內生安全在“智慧大理”的成功落地,具有幾方面標桿意義。首先是它以保護客戶大數據與關鍵業務為核心,超越了傳統廠商的等保方案;其次是涉及云安全、態勢感知、縱深防御體系的架構安全、數據安全、邊界安全產品實踐,充分體現了內生安全框架思想;第三是通過人+機器的組合,實現了安全運營的閉環;最后是該項目對內生安全在全國各省電子政務云的推廣,起到標桿示范作用。

未來,“智慧大理”規劃建設還將全面落地“十工五任”中的其他項目,包括新一代身份安全、終端及接入環境安全、數據安全防護、內部威脅安全管控等多個體系。這些安全體系將在現有4+2模式上基礎上,覆蓋更加全面、縱深和立體,讓“智慧大理”真正具備內生安全的能力,成為數字時代古城大理的一張時尚城市名片!

標簽: 數字時代