安全保障体系的构建

7.3　安全保障体系的构建

构建数字城市的安全保障体系要遵循一定的原则和策略，力争以较少的投入获得较高的安全性，这也是研究数字城市安全保障体系的关键。

7.3.1　安全保障体系的构建原则

数字城市的安全保障体系属于典型的城市复杂信息系统安全防御控制体系，在规划和实施过程中应坚持如下原则:

(1)最小特权。最小特权是构建安全保障体系的最基本原则，其实质是指任何实体仅具有该主体需要完成其被指定任务的所必需的特权，此外没有更多的特权。最小特权原则可以尽量减少系统资源被破坏的可能。

(2)纵深防御。在数字城市建设中，通常要使用防火墙，实现内部网和外部网以及内部各个网之间的隔离，并满足不同程度需求的访问控制。但是绝不能把防火墙作为解决数字城市安全问题的唯一途径，必须采用多种机制的相互配合，如加强安全教育和安全管理、完善数字城市的法律法规等，做到多层次的纵深防御。

(3)阻塞点控制。阻塞点就是在网络系统对外连接通道上，可以在数字城市应用系统中，位于站点与互联网之间的防火墙就是一个阻塞点控制。任何一个从公网入侵站点的操作都必须首先通过防火墙这一关，系统管理员在网络运行过程中可以监视这些入侵操作并进行相应地处理。因此，在规划设计数字城市的网络系统时，不要出现在网络系统管理员控制之外的连接通道。

(4)最弱环节控制。数字城市系统的安全体系的强度取决于该系统最薄弱环节的安全性，攻击者总是找出系统中的弱点并实施攻击。系统管理人员应意识到整个数字城市系统中的防御弱点，采取措施进行加固或消除它们，同时要密切监测那些无法消除的缺陷的安全态势。城市安全保障体系应该为数字城市的运行提供全面的安全服务，尽可能不要出现死角。

(5)失效保护。失效保护是一种普遍的安全原则，其含义是当系统出现故障时，必须拒绝侵袭者的访问，更不能让其进入内部网络。当然，这样会导致合法用户也无法使用共享数据资源，这是确保整个数字城市系统安全必须付出的代价。

(6)全员参与。为了使安全机制更为有效，安全保障体系建设要求全社会的普遍参与，做到人人有责，集思广益来规划设计安全保障体系。一个城市安全系统的运行需要全体人员共同维护，需要多个职能管理部门的相互支持，绝不能单靠几个系统管理员来维护。

(7)多元化原则。数字城市安全保障体系建设，不能只从技术角度进行防御，还应考虑非技术因素。多元化的安全保障体系有利于实现数字城市的多层保护和相互支撑，如果保障体系内容过于单一，非法攻击者突破一个环节，就很容易造成全线崩溃。

数字城市在安全保障体系设计、实施和运行过程中，应按照信息系统安全工程的原则，以系统性、相关性、动态性和相对性为建设策略。

7.3.2　安全保障体系框架

从数字城市安全保障体系的建设策略来考虑，数字城市的安全保障体系应该强调系统性，仅靠技术手段是不够的，必须从技术体系、组织体系和管理体系三方面共同构建。

数字城市的安全保障体系框架如图7.1所示，其涉及的内容相当广泛，既有技术保障措施，又有社会环境的安全保障，这是数字城市安全保障体系建设的总目标。

图7.1　数字城市的安全保障体系框架

1.技术体系的内容和作用

技术体系是全面提供数字城市安全保护的技术保障体系，它涉及信息安全与网络安全等安全技术，基础设施建设、安全标准与规范、安全产业的发展等内容。

在数字城市系统中，将有许多应用系统是基于计算机网络而开发的，这种以开放系统互连通信和网络作为支撑平台的信息系统安全保障，可以依据ISO开放系统互连安全体系结构在技术上采取相应的措施。在ISO 7498—2中描述了开放系统互连安全的体系结构，它对网络环境下的信息安全体系结构具有指导意义。

在数字城市系统中，除了开放互连系统，还包括系统的物理保障和运行环境建设，也就是数字城市硬件基础设施的安全保障问题。数字城市的运行环境建设主要涉及计算机机房和场地的选取，场地条件应符合国家标准GB/T 2887—2000《电子计算机场地通用规范》的规定，机房建设可参照GB/T 9361—1988《计算站场地技术要求》。

数字城市系统的硬件设施主要有计算机、网络设备、传输介质和转换器、输入/输出设备等。如果不考虑操作系统，就计算机硬件本身而言，除了其固有的电磁辐射、电磁干扰、自然老化等设计缺陷以外，基本上不存在其他的安全问题。而网络设备除自然因素外，存在人为破坏问题，这需要从管理制度和法律法规上予以保障。

安全标准与规范是城市数字化建设健康发展的基本保障，应在国家安全标准的指导下，建立一套完整的数字城市标准体系，这样有利于实现数字城市的统一管理、数据交换和资源共享。同时，在信息安全产业的发展上，要开发具有自主知识产权的安全产品，为技术安全保障提供硬件支持。完整的数字城市安全保障技术体系如图7.2所示。

总之，技术体系是整个数字城市安全保障的基础，在数字城市基础设施及应用系统的规划设计时，从信息的存储、传输、处理到系统集成、网络设计各个环节都要采取相应的安全技术措施。

2.管理体系的内容和作用

管理体系是数字城市安全保障的灵魂，它由安全法律法规、安全管理制度、安全教育三部分组成。

安全法律法规是伴随着数字城市的产生而出现的一个新内容，目前还不完善。法律法规的制定要根据相关的国家法律法规对数字城市中的人及其行为进行规范和约束，是维护数字城市安全的最高行为准则。

图7.2　安全技术体系框架

安全管理制度是数字城市系统内部依据实际需要制定的一系列内部规章制度，主要内容包括:安全管理和执行机构的行为规范，管理岗位设定及其操作规范，岗位人员的素质要求及行为规范，内部关系与外部关系的行为规范等。

安全教育是提高相关人员的安全素质的主要形式，通过适当的培训来增强人员的安全意识，培训内容包括:法律法规培训、内部制度培训、岗位操作培训、业务素质与技能技巧培训等。

3.组织体系的内容和作用

数字城市的组织体系应由行政机构、技术咨询机构和人事机构来构成。行政机构的设置可分为决策层、管理层和执行层。决策层是数字城市的主体单位，决定城市安全重大事宜的领导机构。管理层是决策层的日常管理机关，根据决策机构的决定全面规划并协调各方面工作，实施安全保障方案，制定、修改安全策略，处理安全事故，设置与安全相关的岗位。执行层是在管理层协调下，具体负责某一个或几个特定安全事务的一个逻辑群体。

专家咨询机构应由信息化专家咨询委员会、法规、标准、资质认证等委员会、学会与产业协会组成，为数字城市安全保障提供技术咨询、解决方案设计、安全评估等工作，在数字城市的安全运行和维护过程中将起重要作用。

人事机构是根据管理机构设定的岗位，对岗上在职、待职和离职的员工进行素质教育、业绩考核和安全监督的机构。人事机构是安全管理的重要环节，特别是各级关键部位的人员，对城市的网络信息安全与保密起着重要作用。

从技术体系、管理体系和组织体系的作用看，它们之间相互支撑、相互影响，组成一个多元化的防御体系。任何一个体系的单独作用，都很难取得预期的安全保障作用。