安全能力开放和安全服务前景展望
(1)信息安全能力开放成为一种全新的业务模式和安全趋势。物联网业务信息安全问题涉及两个领域,一个是内部业务平台的信息安全保障,即解决企业信息化的信息安全问题;另一个是把第三方用户纳入到信息安全保障范围的信息安全服务,即在怎样为用户提供具有安全保障的业务服务之外,向用户或第三方信息服务提供商开放针对用户和业务的安全服务。
两个领域的内涵和外延不同,对安全体系的建设的要求也不同。内部业务平台的信息安全保障从传统的信息安全角度出发,解决业务平台本身的安全问题;而信息安全服务,在考虑用户服务的业务平台本身安全的同时,还需要考虑用户信息业务服务所处环境的安全保障、不同服务提供商提供的信息业务服务的信息安全保障。
从信息安全服务的角度分析,信息安全服务把信息安全从一个内部成本模式转变为一种具有服务能力的业务模式,带来的变革不仅是技术领域的革命,还在于赢利模式建立过程中带来思维方式的突破,以及业务模式和服务模式的建立。
从运营商推动移动信息安全服务体系的优势来说,运营商作为信息业务基础设施提供商,用户对移动运营商的依赖天然形成,面对信息安全问题,首先想到的是移动运营商。因此,用户选择信息安全服务提供商时,运营商具有天然的优势和品牌认知价值,更能获得用户的认可。
(2)信息安全能力开放业务的价值和意义。建立信息安全能力开放体系对运营商而言具有双重意义,首先,可以为内部信息系统安全提供支撑服务,形成运营商对移动信息安全的核心管控能力,降低运营商内部信息系统信息安全风险,减少信息安全风险暴露带来的损失;其次,对外向用户和移动互联网服务提供商提供信息安全保障的能力,实现信息安全运营服务,具体如下。
·信息安全能力库可以对外开放安全能力API,可以为物联网业务提供商和用户提供业务安全服务;
·信息安全基础能力运营服务,可以与物联网服务提供商、大中型企业合作,提供保障网络和业务运营的安全基础能力服务。
建立信息安全能力开放体系,开放运营商信息安全能力,为用户和物联网提供商提供基础的信息安全服务,具有深远的社会价值和经济价值。运营商通过信息安全问题的管控能力建设提供关键的核心能力,通过开放的信息安全能力体系建设带动整个产业链的价值提升,通过信息安全能力库的开放共享有利于快速提高整个行业的安全保障能力和水平,为物联网信息化建设提供基础的保障和支撑。
物联网开放平台安全需求
物联网开放平台致力搭建开放、共赢的平台,为各种跨平台物联网应用提供简便的云端接入、存储和展现。在开放平台的业务运营和发展中,同样面临着安全能力开放和服务化的安全需求。
首先,物联网业务传感器大部分都是无人值守并且长期持续工作的,开放平台需要对传感器的安全性进行即时监测。
·对传感器自身的健康程度进检测并及时告警;
·保证传感器与业务系统间信息交互的安全性。
其次,在接入方面,开放平台需要统一的接入机制和协议,将多个行业和多个厂家的传感器终端统一接入运营商的网络及业务平台,实现传感终端的统一认证和管理。
同时,物联网业务提供者希望专注于业务应用的开发,关注业务数据和业务流程的处理,期望简单、快速的业务开发环境,不希望分散精力处理不同能力中心间的交互、安全保障等。因此,开放平台需要将安全功能进行能力化,以及将安全防护手段进行服务化。在此基础上,开放平台可实现:
·构建安全能力开放平台,基于开放API,降低开发门槛,提升业务安全;
·建设安全服务平台,提供网络、应用环境安全防护,保障运营安全。
构建安全能力开放平台
安全能力开放平台作为物联网开放平台PaaS层的一部分,针对物联网开放平台所承载物联网业务提供安全能力API接口,并实现对接口调用的安全管控,方便物联网应用快速、便捷、安全地开发和部署,助力物联网应用的发展。
构建安全服务平台
安全服务平台作为物联网开放云平台IaaS层的一部分,针对物联网开放平台网络及所承载物联网业务提供Web漏洞检测、抗DDOS、Web应用防护(WAF)、网络入侵检测、Web服务器日志分析等安全服务,保证物联网开放平台及业务的安全运营。其中,对于物联网应用开发者:
·进行Web漏洞检测、抗DDOS、WAF和Web服务器日志分析等安全服务订购;
·配置安全防护的资产信息;
·查看或订阅安全服务报告。
对于安全运维人员:
·通过平台采集分析能力监控可发现安全告警;
·对用户服务报告进行审核,并对服务计量;
·用户订购服务可自动开通和退订,用户服务可请求帮助;
·对安全资源的配置维护管理。
基于物联网开放平台中,安全组网部署设备作为安全服务能力层,实现对安全设备策略的统一管理,安全事件/告警信息的统一收集、分析、关联,实现安全能力服务化。