智慧城市系统-技术白皮书

智慧城市系统-技术白皮书（精选6篇）

篇1：智慧城市系统-技术白皮书

应用防火墙系统

技术白皮书

Legendsec SecWAF 3600 Web Application Firewall

Technology Whitepaper

(LS-SP-T-WAF 1.0)

网御神州科技（北京）有限公司

网神 SecWAF 3600

网神 SecWAF 3600 应用防火墙系统技术白皮书

版权说明

本文的内容是网神 SecWAF 3600 应用防火墙系统技术白皮书。文中的资料、说明等相关内容的版权归网御神州科技（北京）有限公司所有和保留。本文中的任何部分未经网御神州科技（北京）有限公司（以下简称“网御神州”）许可，不得转印、影印或复印、发行。

2006-2010© 版权所有

网御神州科技（北京）有限公司

商标声明

本手册中所谈及的网御神州产品的名称是网御神州的商标。手册中涉及的其他公司的注册商标属各商标注册人所有，恕不逐一列明。

联系信息

北京海淀区上地开拓路 7 号先锋大厦二段 1 层

2Section 1F , Xianfeng Building , No.7 Kaituo Road , Shangdi Information Industray Base, Haidian District , Beijing 客服热线（Customer Service Hotline）：400-610-8220

010-87002000 传真（Fax）：010-62972896 邮编（Post Code）：100085

网御神州科技（北京）有限公司/ 22 网神 SecWAF 3600 应用防火墙系统技术白皮书

目录 前言........................................................................................................5 2 系统简介....................................................................................................5 3 系统组成及特点.........................................................................................6

3.1 3.2 3.3 系统组成...........................................................................................6 系统功能特点....................................................................................7 主要技术功能....................................................................................8

第三代内核驱动防篡改技术.....................................................8 Web站点安全运行保障...........................................................9 部署结构灵活..........................................................................9 安全可靠增量发布...................................................................9 日志事件报警........................................................................10 操作管理安全、方便..............................................................10 网站动态自适应攻击防护......................................................10 3.3.1 3.3.2 3.3.3 3.3.4 3.3.5 3.3.6 3.3.7 4 主要技术实现...........................................................................................11 4.1 4.2 实现原理.........................................................................................11 核心优势描述..................................................................................13 基于内核驱动保护技术..........................................................13 动态网页脚本保护.................................................................14 连续篡改攻击保护.................................................................14 全方位兼容的安全自动增量发布............................................14 服务器安全运行可靠性管理...................................................15 4.2.1 4.2.2 4.2.3 4.2.4 4.2.5 网御神州科技（北京）有限公司/ 22 网神 SecWAF 3600 应用防火墙系统技术白皮书

4.2.6 4.2.7 4.2.8 4.2.9 部署实施操作简单.................................................................15 不影响原有网络结构..............................................................15 安全传输...............................................................................16 支持多虚拟目录.....................................................................16 4.2.10 支持多终端............................................................................16 4.2.11 支持日志导出查询.................................................................16 4.2.12 动态防护模块的实现..............................................................16 5 部署结构..................................................................................................18

网御神州科技（北京）有限公司/ 22 网神 SecWAF 3600 应用防火墙系统技术白皮书

声明

1.文中所提到的产品规格及资讯仅供参考，有关内容可能会随时更新，网神恕不另行通知。2.网神保留在没有任何通知或提示的情况下对资料内容进行修改的权利。

网御神州科技（北京）有限公司/ 22 网神 SecWAF 3600 应用防火墙系统技术白皮书 前言

网神SecWAF 3600应用防火墙系统（以下简称SecWAF）是北京网御神州科技有限公司（以下简称：网御神州）精心研发专门针对网站篡改攻击的一款防护产品，SecWAF的主要功能是通过微软文件底层驱动技术对Web 站点目录提供全方位的保护以及通过URL攻击过滤进行动态防护，防止黑客、病毒等对目录中的网页、电子文档、图片、数据库等任何类型的文件进行非法篡改和破坏。SecWAF保护网站安全运行，维护政府和企业形象，保障互联网业务的正常运营，彻底解决了网站的非法修改的问题，是高效、安全、易用的新一代的网页防篡改系统。

本手册适合的对象：《网神SecWAF 3600应用防火墙系统技术白皮书》适用于希望了解本产品技术特性和使用的相关人员。本手册共五章，第一章 前言，第二章 系统简介，第三章 系统组成及特点，第四章 主要技术实现，第五章 部署结构。系统简介

近几年我国信息化发展迅猛，各行各业根据自身需要大都进行了网站建设，用于信息发布、网上电子商务、网上办公、信息查询等等，网站在实际应用中发挥着重要作用。尤其是我国电子政务、电子商务的大力开展，网站建设得到了空前发展，与此同时随着网民数量的快速增长，通过网站来了解新闻、在线处理业务、查询关键信息等对网站的发展也起到了关键性的促进作用，网站的社会舆论效益逐步显现，已经引起了社会的广泛关注。然而不幸的是，黑客强烈的表现欲望，国内外各种非法组织的不法企图，商业竞争对手的恶意攻击，不满情绪离职员工的泄愤等等各种原因都将导致网页被“变脸”。网页篡改攻击事件具有以下特点：篡改网站页面传播速度快、阅读人群多，复制容易，事后消除影响难，预先检查和实时防范较难，网络环境复杂难以追查责任。另外，攻击工具泛滥且向智能自动化趋势发展，据不完全统计，我国98%以上的站点都受到过不同程度的黑客攻击，攻击形式繁多，网站的安全防范日益成为大家关注的焦点，尤其是政府、金融类网站最易成为攻击目标。

网御神州科技（北京）有限公司/ 22 网神 SecWAF 3600 应用防火墙系统技术白皮书

网神SecWAF 3600应用防火墙系统由北京网御神州科技有限公司根据长期对Web站点进行安全研究成果自主研发的高可靠性、高安全性以及高易用性的软件系统。主要用于保护站点内容安全，防止黑客非法篡改网页，保护公众形象。该系统也是国内唯一通过国家严格检测的第三代网页防篡改技术，网页防篡改技术在近几年当中根据黑客攻击技术的发展也得到了较快的发展，第三代网页防篡改技术较之以前的技术有几个特点，响应速度快、判断准确、部署灵活等特点，集成度较高，不依赖于原有web系统架构、部署也不影响网站整体结构。经过广大用户实践表明，SecWAF 已经成为信息化建设中网站安全建设最佳解决方案。SecWAF 适用领域：政府门户、电子商务、金融证券、企业门户、教育高校等各行各业网站；

网页防篡改技术的发展经过几年的发展已经进入了第三代技术，多因子检测时代，较前两代技术，第三代技术在安全性以及效率方面更为可靠。

图2-1技术发展路线图 系统组成及特点

3.1 系统组成

SecWAF系统包含三个部分：监控客户端、管理中心服务器和管理客户端，各部分功能如下：

网御神州科技（北京）有限公司/ 22 网神 SecWAF 3600 应用防火墙系统技术白皮书

1.监控客户端（Monitor Client）安装在Web站点服务器上，安装完后即后台自动运行，无界面，主要用于监控站点攻击状态，执行管理中心所配置的策略，有效阻止各类篡改攻击；

2.管理中心服务器（Center Server）建议部署在独立PC服务器上，若所管理的web服务器数量较少，也可以同时部署在管理客户端；主要用于用户管理，策略下发，日志监控，以及发布各监控客户端安全策略；此程序以后台服务模式运行，无程序界面。3.管理控制台(Console)部署在网管员任意一台计算机，主要用于登录管理中心服务器，进行管理；

图3-1 系统结构示意图

各组件之间通信采取完全加密传输，包括数据传输，用户认证等，确保通信的保密性；

说明：备份可信端程序用于网站内容发布及更新，程序与监控客户端（Monitor Client）一样，根据策略进行角色定义。3.2 系统功能特点

所有的Web网站都需要进行页面内容的保护，防止非授权人员随意篡改内容，对于一些更新快、容量大、权威性的网站就更需如此。外部网站因需要被公众访问而暴露于因特网上，因此最容易成为黑客的攻击目标。虽然目网御神州科技（北京）有限公司/ 22 网神 SecWAF 3600 应用防火墙系统技术白皮书

前已有防火墙、入侵检测等安全防范手段，但现代操作系统和业务应用系统的复杂性和多样性导致系统漏洞层出不穷、防不胜防，黑客入侵和篡改页面的事件时有发生。SecWAF 通过服务器文件访问底层驱动技术，对保护的对象（静态网页、动态执行脚本、文件夹）实时监测其属性，一旦发现更改立刻阻断非法篡改操作，阻止网页文件被修改，并实时通知管理客户端。此外，在系统遭受极限攻击发生文件篡改现象，系统也会自动从可信端进行有效文件恢复，彻底地保证了网页内容不被篡改。

该系统对于各类网站的安全，特别保证我国电子政务网站和企业门户网站内容的完整性及对外形象，有着重要意义。尤其是我国即将迎来60周年国庆、世博会等全球瞩目期间，各行各业的网站遭受不法份子的破坏以及国外黑客攻击的几率大大增加；各类金融银行、证券机构积极开展网上金融业务，如遭受篡改，不仅仅是形象受损信誉度降低，还会带来巨大的经济损失；尤其是在国家发生一些重大热点社会事件的时候，常常伴有大量相关网站遭受篡改并且发布虚假消息，带来严重的社会影响，而消除这些影响的经济和时间代价将巨大。因此，网页防篡改系统已经成为各行各业门户必备的一项有效安全措施。SecWAF系统具备多项核心技术，简单归纳如下：          技术先进，采用第三代防篡改技术，安全、稳定、可靠； 采取先进的多重防护技术，杜绝篡改；

完全基于内核级事件触发机制，对服务器资源占用极少，效率远高于同类产品； 汲取广大网管员建议，操作及其简便，大大提高工作人员效率； 对服务器安全性能实时监控，确保服务器安全稳定运行；

对Web服务运行状态进行安全监控，保证Web服务不受异常事件干扰； 不限制网站发布服务器类型，实现高可用性和高扩展性；

支持所有主流操作系统，与Web发布服务类型无关，与CMS系统无缝结合； 支持保护Web服务器配置文件，杜绝网站指向遭到修改；

3.3 主要技术功能

3.3.1 第三代内核驱动防篡改技术

 基于内核驱动级文件保护技术，支持各类网页格式，包含各类动态页面脚本；

网御神州科技（北京）有限公司/ 22 网神 SecWAF 3600 应用防火墙系统技术白皮书

     内核级事件触发技术，大大减少系统额外开支； 完全防护技术，支持大规模连续篡改攻击防护；

系统后台自动运行，支持断线状态下阻止篡改；

内核出站校验技术完全杜绝被篡改内容被外界浏览；

支持单独文件、文件夹及多级文件夹目录内容篡改保护；

3.3.2 Web站点安全运行保障

     保护Web服务器的相关重要配置文件不被篡改； 服务器性能监控阀值报警，预知攻击发生；

服务器系统服务运行状态监控，可提供服务异常响应，终止、重启等联动操作； 服务器进程黑白名单许可控制，防止挂马攻击或后门程序运行；

支持服务器多种远程管理功能，紧急情况下便于管理，如远程接管、远程唤醒、远程关机、远程用户注销等；

 支持监测服务器当前系统防火墙，防病毒的使用情况和版本，提高监测服务器的综合防护能力；

3.3.3 部署结构灵活

   支持多站点、跨平台分布式部署，统一集中管理功能； 支持大规模虚拟机、双机热备网站系统部署架构；

支持服务器冗余及负载均衡分布部署，支持web服务端、发布端一对多，多对多等各类灵活网站架构；

3.3.4 安全可靠增量发布

   支持网页文件自动上传功能和增量发布，无需人工干涉；

支持异地文件快速同步功能和断点续传功能，极大的增加网站可维护性；

支持网页自动同步新增、修改、删除、下载等功能；

网御神州科技（北京）有限公司/ 22 网神 SecWAF 3600 应用防火墙系统技术白皮书

3.3.5 日志事件报警

    自动检测文件攻击记录，并实时记入日志，支持导出excel报表；

支持服务运行状态记录，并实时记入日志，支持导出excel报表；

支持多种告警方式，日志告警、邮件告警或定制其他告警方式； 自身操作审计日志记录，详细记录操作管理员的操作管理行为；

3.3.6 操作管理安全、方便

      支持多用户分权管理功能，方便操作；

系统C/S结构，确保高可靠性；

支持多个策略管理，策略设置支持即时生效，无需重启；

数据传输采用加密传输，安全可靠；

支持网页格式类型分类，便于分类管理；

系统全中文界面，操作、配置方便，网络管理人员仅需十分钟即可熟练完成系统初始配置，大大提高工作效率；

3.3.7 网站动态自适应攻击防护

        支持SQL注入攻击防护；

支持跨站脚本攻击防护；

支持对系统文件的访问防护；

支持特殊字符构成的URL利用防护；

支持对危险系统路径的访问防护；

支持构造危险的Cookie攻击防护；

各类攻击的变种防护；

支持自定义检测库；

网御神州科技（北京）有限公司/ 22 网神 SecWAF 3600 应用防火墙系统技术白皮书 主要技术实现

4.1 实现原理

我们将篡改监测的核心程序通过内核文件底层驱动内嵌到操作系统中，通过事件触发方式进行自动监测，对文件夹的所有文件内容（包含html、asp、jsp、php、jpeg、gif、bmp、psd、png、flash 等各类文件类型）对照其多个属性，经过内置散列快速算法，实时进行监测，若发现变更，实时阻断篡改行为。通过非协议方式，纯内核安全出站校验方式检查出站内容的完整性可靠性，使得公众无法看到被篡改页面，其运行性能和检测实时性都达到最高水准。

图4-２内核文件防护技术原理图

在整个系统功能设计在不同的层面实现各种功能，确保系统的有效运行。

网御神州科技（北京）有限公司/ 22 网神 SecWAF 3600 应用防火墙系统技术白皮书

图4-3 功能设计分层示意图

快速同步通道处理，主要用于网站内容更新及修复网页文件用途，在多服务器负载均衡应用时快速同步通道技术将显得尤为重要，确保网站的内容最迅速的更新至外网web服务器上。同步过程当中主要应用到文件加密传输技术、完整性交验、文件检索、快速传输技术等多项重要技术。

图4-4发布同步原理图

为了保证网站遭受各类攻击均不影响网站的正常运行和内容发布，SecWAF 在内部实现了一套完整的内容恢复机制，将参照以下示意图步骤进行同步和恢复。该功能将大大增强网站文件的真实可靠性。

网御神州科技（北京）有限公司/ 22 网神 SecWAF 3600 应用防火墙系统技术白皮书

图4-5 校验实现原理图

当发生网页遭受到意外恶意破坏时，系统将自动启用文件安全性校验模块，主要对比网页文件指纹ID，将包含文件内容、大小、创建修改时间、作者、关键词、所属权限等等。如校验发现文件属性发生变化，则从可信备份端进行实时恢复，确保文件的真实可靠性。

4.2 核心优势描述

4.2.1 基于内核驱动保护技术

内核事件触发保护机制，确保系统资源不被浪费，不同于其他防篡改软件的Web事件触发机制，SecWAF的页面防篡改模块采用的是与操作系统底层文件驱动级保护技术，与操作系统紧密结合的。即使服务器遭受黑客攻击取得操作管理员权限也无法对被保护内容实施保护，这样做完全杜绝了普通Web内嵌防篡改软件可能发生的计算校验占用系统资源过多，断线篡改后无法恢复等一系列风险。

网御神州科技（北京）有限公司/ 22 网神 SecWAF 3600 应用防火墙系统技术白皮书

4.2.2 动态网页脚本保护

目前的网站越来越多地使用动态技术（例如：ASP、JSP、PHP）来输出网页。动态网页由网页脚本和内容组成：网页脚本以文件形式存在于Web 服务器上；网页内容则取自于数据库。一般来说，数据库处在内部网中，没有外部地址，而且可以只接受来自内部指定地址的访问，因此一般不会受到攻击。而存在于Web 服务器上的动态网页脚本则与静态网页一样，容易受到攻击。

采用文件驱动级技术的系统，可以直接从Web 服务器上得到动态网页脚本，不受变化的内容影响，因而能够像静态网页一样保护动态网页脚本。

4.2.3 连续篡改攻击保护

对于大规模连续的篡改，SecWAF防篡改系统检测到首个非法操作后就会实时阻断其后续其他的篡改操作。系统针对来源和操作行为，提前终止其后续篡改操作请求。系统在底层完成这些防护措施并不会将这些大规模连续篡改请求发送到上层应用，极大的降低了应用程序的处理负担，有效的提高了应有工作效率。而普通的Web内嵌事件触发型防篡改软件在发生大规模连续篡改时，需要每次通过应用层插件计算校验匹配，由于不能阻止篡改发生，这些软件需要不停的重复恢复原始网页内容，极大的占用系统资源和网络资源，并可能造成显示错误页给访问用户。

4.2.4 全方位兼容的安全自动增量发布

SecWAF集成了页面自动发布功能。该服务器采用先进的算法将可信备份路径下的网页内容快速发布到相应文件夹，减少人工干预，并且支持传统的FTP、网络共享等，本系统支持高速上传功能，同样也支持网页备份到指定文件夹的功能，方便维护人员对网站进行日常维护。SecWAF可以无缝的和所有内容管理系统相结合并且不需要做任何修改，大大方便与用户管理和部署。

网御神州科技（北京）有限公司/ 22 网神 SecWAF 3600 应用防火墙系统技术白皮书

4.2.5 服务器安全运行可靠性管理

SecWAF系统可以监控服务器当前的运行状态，监视其cpu、内存、网络流量等性能。通过设置的阀值及时向用户提供报警信息，使用户能够及时响应意外事件，并通过设置进程的黑白名单来保障服务器被植入后门木马等程序。提供管理人员远程维护管理等功能。包括： 1)保护web服务器自身配置； 2)服务器cpu使用阀值报警； 3)服务器内存使用阀值报警；

4)监控服务运行状态，并提供应用服务发生异常后的停止，重启等联动操作； 5)服务器进程黑白名单设置，实现防止后门木马程序的运行；

6)支持服务器多种远程管理功能，远程接管、远程唤醒、远程关机、远程用户注销等； 7)可以实时监测服务器当前服务、进程、系统日志； 8)可以服务器当前系统防火墙，防病毒的使用情况和版本。

4.2.6 部署实施操作简单

具备基本windows操作系统使用人员，仅需要10分钟时间，即可按照使用说明书部署完整套网神Web应用防火墙系统，部署完毕后，进行简单配置即可运行；若在系统组建之间有防火墙或其他访问控制设备，建议与网管人员配合在防火墙上配置相应规则，实现安全通信，可以自由设定相应的端口，避免在Web服务器上开启其他端口。

4.2.7 不影响原有网络结构

该系统的架构采用C/S 方式，安全可靠，Center Server端和Console端可以安装在任意指定的系统上，管理告警客户端本地无存储数据，日志只在需要时进行导出excel 进行查询，可大大降低了用户投资；

网御神州科技（北京）有限公司/ 22 网神 SecWAF 3600 应用防火墙系统技术白皮书

4.2.8 安全传输

合法网页的安全传输是系统安全的一个重要环节，SecWAF使用了高安全强度的工业标准的128位加密技术，保证了信息传输过程中完整性和私密性，且用户登录认证且采用加密传输，防止传输过程中用户信息泄露。

4.2.9 支持多虚拟目录

SecWAF能够自动、实时监控多个子文件夹内容，各子文件夹包含多个网站可同时进行监测，网页文件支持数以万计，且对系统性能没有任何影响。

4.2.10 支持多终端

SecWAF支持同服务器端程序对多个web被监控服务器端网站进行维护，用户可以在任意时刻任意进行扩展，只需要购买相应的Monitor端License即可。

4.2.11 支持日志导出查询

系统支持对网站维护工作的查询与审计功能。为了便于用户及时了解管理员及操作员所做的日常维护工作。SecWAF除了对篡改记录进行记录外，还记录了操作日志，方便用户导出查询和统计。包括：

1.对受保护网页文件和目录进行添加、删除、修改的日志； 2.监控策略的开启和关闭的日志； 3.管理员的登录日志；

4.对监控策略进行更改的日志；

5.对管理员进行增加，删除和属性修改的操作日志； 6.对功能配置参数的修改日志。

4.2.12 动态防护模块的实现

动态防护模块通过嵌入web发布服务软件，对各类URL请求进行攻击代码过滤，可以抵挡网御神州科技（北京）有限公司/ 22 网神 SecWAF 3600 应用防火墙系统技术白皮书

各类SQL注入、跨站、构造类代码攻击，防止对后台数据库进行猜解、破坏、挂马等攻击。

网御神州科技（北京）有限公司

/ 22

网神 SecWAF 3600 应用防火墙系统技术白皮书 部署结构

SecWAF 部署方式较为灵活，监控代理客户端（Monitor Client），管理中心服务器（Center Server）和管理客户端(Console)三部分，可以部署在三个不同的系统上，也可以部署在同一台系统上，用户根据需要灵活进行设计，以下介绍三种典型部署结构：

第一种部署方式见图“网神Web应用防火墙系统典型部署示意图-1”：这种部署为常见部署方式，常见于政府网站和大型企事业单位，WEB服务器位于内部网中，在防火墙DMZ区（非军事化区），第一步：在DMZ区任意一台服务器（可以是防病毒服务器或者防火墙管理服务器）安装管理中心服务器（Center Server，IP地址为：172.16.1.100）部分，并设定外部管理连接端口（默认为5366）；第二步：将监控端（Monitor Client）安装于多个WEB服务器（172.16.1.X）上，并制定管理中心服务器地址（如172.16.1.100），并设定管理端口（默认为5367）；第三步，在内部管理区域，任意pc安装管理客户端(Console)部分； 若要保证通信，还需要在防火墙上配置管理中心服务器（Center Server，IP地址为：172.16.1.100）端口（默认为5366），需将端口镜像到WEB外部。

第二种部署方式见图“网神Web应用防火墙系统典型部署示意图-2”，这类部署主要突出网御神州科技（北京）有限公司/ 22 网神 SecWAF 3600 应用防火墙系统技术白皮书

了该系统部署的灵活性，将Center Server部分也同时部署在WEB站点上，在没有额外可用服务器的情况下，节省了服务器资源，保护了用户投资。但我们建议此时需要及时修改初始维护密码，并保持器一定的复杂度。

网御神州科技（北京）有限公司/ 22

网神 SecWAF 3600 应用防火墙系统技术白皮书

第三种部署方式见图“网神Web应用防火墙系统典型部署示意图-3”也常见于政府网站和大型企事业单位，WEB服务器位于IDC托管中心的防火墙DMZ区（非军事化区），第一步：在DMZ区数据库服务器（也可以是防病毒服务器或者防火墙管理服务器）安装管理中心服务器（Center Server，IP地址为：172.16.1.100）部分，并设定外部管理连接端口（默认为5366）；第二步：将监控端（Monitor Client）安装于多个WEB服务器（172.16.1.X）上，并制定管理中心服务器地址（如172.16.1.100），并设定管理端口（默认为5367）；第三步，在内网管理区域，任意pc安装管理客户端(Console)部分； 若要保证通信，还需要在防火墙上配置管理中心服务器（Center Server，IP地址为：172.16.1.100）端口（默认为5366）镜像到外部，便于Console登陆管理。（因WEB站点为了外部Internet访问，已经做IP地址转换，无需做额外配置）。

网御神州科技（北京）有限公司/ 22 网神 SecWAF 3600 应用防火墙系统技术白皮书

注：若将Center Server部分安装在内网时，则需要首先将管理中心Center Server端口（默认为5366）也需要镜像到外网部分，IP地址也需要做相应地址转换（NAT）；然后在 IDC托管中心的防火墙上将监控端（Monitor Client）的端口5367及IP地址镜像到外部，并指定远程管理的外部NAT转换后的地址。该部署比较复杂，需要网管员积极配合。

网御神州科技（北京）有限公司/ 22

篇2：智慧城市系统-技术白皮书

技术白皮书

思福迪·2014

Logbase运维安全管理系统技术白皮书

版权说明

© 版权所有 2005-2014，思福迪信息技术有限公司

本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属思福迪公司所有，受到有关产权及版权法保护。任何个人、机构未经思福迪公司的书面授权许可，不得以任何方式复制或引用本文件的任何片断。

商标信息

Safetybase、LogBase均是思福迪公司注册商标，受商标法保护。

读者对象

本文档适合于各行业信息部门主管、运维相关技术人员、服务人员、内部信息系统审计人员等。

约定说明

SOM：Logbase运维安全管理系统的简称，某些场合也被称为堡垒机； RDP：Windows远程桌面的缩写； SSO：单点登录系统的简称杭州思福迪信息技术有限公司

/ 32

Logbase运维安全管理系统技术白皮书

获得帮助

安全相关资料可以访问公司网站：http:// 获取更详尽的思福迪网络安全专业服务信息、商务信息，您可通过如下方式和我们联系：

北 京

地址：北京市朝阳区小营路19号中基财富嘉园C座1802室

邮编：100101 电话：010-82031028 传真：010-82031020

杭 州

地址：杭州市文一西路75号3号楼6楼

邮编：310012 电话：0571-88923222 传真：0571-88923887 上 海

地址：上海市普陀区兰溪路1018号聚为商务中心B座416室

邮编：200333 电话：021-60494373 传真：021-61700648 南 京

地址：南京市中山东路532-2号金蝶科技园A1栋502室内

邮编：210006 杭州思福迪信息技术有限公司

/ 32

Logbase运维安全管理系统技术白皮书

电话：025-84496243 传真：025-84496243 广 东

地址：广东省广州市天河区龙口西路67号贤人阁801

邮编：510635 电话：020-38095086 传真：020-38095076 西 安

地址：西安市高新区科技路50号金桥国际广场

邮编：710075 电话：029-89183271 传真：029-89183271 杭州思福迪信息技术有限公司/ 32

Logbase运维安全管理系统技术白皮书

目 录

版权说明........................................................................................................................2 商标信息........................................................................................................................2 获得帮助........................................................................................................................3

一、前言........................................................................................................................7

二、产品应用需求........................................................................................................8

标准及法规遵从...................................................................................................................8 第三方IT支持监管............................................................................................................10 远程运维安全管理.............................................................................................................10

三、产品概述..............................................................................................................11

系统架构.............................................................................................................................11 支持的运维协议与对象.....................................................................................................13

四、产品功能..............................................................................................................14

统一身份认证与SSO..........................................................................................................14 设备密码管理功能.............................................................................................................16 批量执行功能.....................................................................................................................18 细粒度访问授权.................................................................................................................18 关键访问操作二次审批.....................................................................................................20 违规访问告警与阻断.........................................................................................................21 实时操作过程监控.............................................................................................................22 历史记录查询.....................................................................................................................22 历史操作图形回放.............................................................................................................23 综合审计报告.....................................................................................................................24 审计数据存储管理.............................................................................................................25

五、产品特性..............................................................................................................26

协议覆盖全、易扩展.........................................................................................................26 灵活的访问方式.................................................................................................................26 协议深度支持.....................................................................................................................26 细粒度访问授权与控制.....................................................................................................27 支持批量执行功能.............................................................................................................27 大并发量处理能力.............................................................................................................27

杭州思福迪信息技术有限公司

/ 32

Logbase运维安全管理系统技术白皮书

流程化管理能力.................................................................................................................27 高度安全保障能力.............................................................................................................28 部署简单，使用方便.........................................................................................................28

六、部署方式..............................................................................................................29

单臂部署.............................................................................................................................29 双臂模式部署.....................................................................................................................30

七、应用效果..............................................................................................................31

八、规格指标..............................................................................错误！未定义书签。

九、总结......................................................................................................................32

杭州思福迪信息技术有限公司

/ 32

Logbase运维安全管理系统技术白皮书

一、前言

各种权威的网络安全调查结果均表明，在可统计的安全事件中，60%以上均与内部人员有关，这其中既包括恶意行为（越权访问、恶意破坏、数据窃取），也包括各种非主观故意引起的非恶意行为（误操作、权限滥用）。由此可见，规范内部人员的访问行为，特别是核心系统（主机、网络设备、安全设备、数据等）的维护行为势在必行。

传统的信息安全建设，往往侧重于对外部黑客攻击的防范，以及网络边界的访问控制，对信息系统安全威胁最大的内部人员行为却缺乏有效的管理。企业内部人员，特别是拥有信息系统较高访问权限的运维人员（如网管员、临时聘用人员、第三方代维人员、厂商工程师等），比外部入侵者更容易接触到信息系统的核心设备和敏感数据、内部人员恶意或非恶意的破坏行为更容易造成较大的破坏。

然而，由于现有管理手段的不完善，账号共享情况普遍存在，以及加密、图形协议的广泛应用，使得这些运维管理人员的日常操作，存在操作身份不明确、操作过程不透明、操作内容不可知、操作行为不可控、操作事故无法定位等安全风险。内部人员的操作行为几乎处于完全失控的状态，一旦发生事故，其后果的严重性将是无法预估的。因此，放任内部风险的存在决不可行。

此外，从遵守国家及本行业各项法律法规的角度考虑。随着《中华人民共和国计算机信息系统安全保护条例》的推广实施，对IT系统内部控制的要求越来越明确。如等保基本要求中明确提出，要对“内部维护人员登录主机、数据库所进行的所有操作行为”、“第三方人员的维护行为”进行审计和控制。

为满足用户对加强内部运维安全审计日益迫切的需要，思福迪公司依托自身强大的研发能力，丰富的行业经验，自主研发了新一代软硬件一体化运维安全专用审计系统——Logbase运维安全管理系统。该系统支持对企业内部人员的维护行为进行全面的管理、审计，消除了传统审计系统中的盲点，使企业对运维人员的操作过程，能做到事前防范、事中控制、事后审计的能力，是企业IT内控最有效的管理平台。

杭州思福迪信息技术有限公司

/ 32

Logbase运维安全管理系统技术白皮书

二、产品应用需求

标准及法规遵从需求

 重要的信息安全国际标准

 信息安全管理实施指南（ISO17799/BS7799-1）

2000年12月,国际标准化组织ISO正式发布了有关信息安全的国际标准ISO17799,这个标准包括信息系统安全管理和安全认证两大部分。ISO17799提供了一套综合的、由信息安全最佳措施组成的实施规则和管理要求,它广泛地涵盖了几乎所有的安全议题,非常适合于作为大、中、小组织的信息系统在大多数情况下所需的控制范围确定的参考基准。建立信息安全管理体系,能够提高组织自身的安全管理水平,将企业的安全风险控制在可接受的程度,减小信息安全遭到破坏带来的损失,保证业务的可持续运作。

ISO17799关于安全审计的内容包括：  10.10 监视

10.10.1 审计日志

10.10.2 监视系统的使用 10.10.3 保护日志信息

10.10.4 管理员和操作者日志 10.10.5 错误日志

 15.3 信息系统审计考虑因素

15.3.1 信息系统审核控制

15.3.2 信息系统审核工具的保护  国内信息安全标准

 计算机信息系统安全保护等级划分准则（GB17859）

计算机信息系统安全保护等级划分准则是我国计算机信息系统安全等级保护系列标准的核心，是我国实行计算机信息系统安全保护的重要基础，它将计算机信息系统安全性从低到高划分了五个等级：第一级用户自主保护级、第二级系统审计保护级、第三级安全标记保护级、第四级结构化保护级、第五级访问验证保护级；二级以上系统安全保护中增加了对安全审计的要求，从主机安全、网络安全、应用安全三个层面提出了安全审计的具体要求及应有措施，并逐级增强。（详见信息系统安全等级保护基本要求之6.1.2.3、6.1.3.3、6.1.4.3…） 国内重点行业信息安全法规

杭州思福迪信息技术有限公司

/ 32

Logbase运维安全管理系统技术白皮书

 商业银行信息科技风险管理指引

第二十五条：

（三）制定最高权限系统账户的审批、验证和监控流程，并确保最高权限用户的操作日志被记录和监察。

（五）在系统日志中记录不成功的登录、重要系统文件的访问、对用户账户的修改等有关重要事项，手动或自动监控系统出现的任何异常事件，定期汇报监控情况。

第二十六条：

（七）以书面或电子格式保存审计痕迹。

（八）要求用户管理员监控和审查未成功的登录和用户账户的修改。 证券期货业信息系统安全等级保护基本要求

其中对网络、主机和应用的安全审计有明确的要求。

第二级中针对主机安全审计要求 “审计范围应覆盖到服务器上的每个操作系统用户和数据库用户。系统不支持该要求的，应以系统运行安全和效率为前提，采用第三方安全审计产品实现审计要求。审计记录应至少保存6个月”。

第二级中针对应用安全审计要求“对应用系统重要安全事件进行审计，审计记录至少保存6个月”。

第二级系统运维管理中要求“至少每季度对运行日志和审计数据进行分析，以便及时发现异常行为”。

杭州思福迪信息技术有限公司

/ 32

Logbase运维安全管理系统技术白皮书

第三方IT支持监管需求

在IT管理过程中引入第三方支持服务已经成为一种趋势，如设备维护、故障处理、监控、安全评估、安全加固等等。然而，第三方人员管理本身已经成为一个突出问题，目前，由于第三方人员能够直接接触企业的核心数据，一纸保密协议并不能真正保护信息系统的安全性，企业目前只能充分信赖第三方人员。

通过Logbase运维安全管理系统能够规范第三方技术人员维护过程的规范性，确保所有的维护过程在有效的监管中进行。

远程运维安全管理需求

目前，企业的信息系统运维过程中存在一系列的安全隐患，如：

·多位系统维护人员共用一个系统账号，当出现安全事故时相互推诿，缺乏客观、可信的依据来确定事故责任人；

·维护人员可能只需要执行简单的规定操作，但却通常需要使用拥有更多权限的系统账户，而系统自身又无法进行细粒度的授权管理，无法进行指令级或文件级别的访问权限控制；

·服务器、网络设备、数据库等资产的数量日益增多，按照管理要求定期修改密码成为耗时费力的琐事，基层运维人员是否严格遵守制度，按时完成密码安全管理工作，管理人员无法方便得知；

·当系统因某些操作发生故障时，因为缺乏对操作过程的全程记录，无法还原事故现场，确定问题原因，而使得系统恢复时间大大延长；

Logbase运维安全管理系统能够实现运维操作与自然人的一一对应，并对每个对象进行指令级细粒度授权、对运维过程进行全程监控、简化运维用户使用，避免上述现象发生。

杭州思福迪信息技术有限公司

/ 32

Logbase运维安全管理系统技术白皮书

三、产品概述

Logbase运维安全管理系统(Logbase SOM)是新一代操作行为管理安全审计系统，它采用软硬件一体化设计，通过B/S方式(https)进行管理，其主要功能为实现对运维人员操作服务器、网络设备、数据库过程的授权、监控与审计，实现对IT运维过程的全面监管。

该产品采用先进的设计理念，支持对多种远程维护方式的支持，如字符终端方式(SSH、Telnet、Rlogin)、图形方式（RDP、X11、VNC、Radmin、PCAnywhere）、文件传输（FTP、SFTP）以及多种主流数据库的访问操作。

系统架构

Logbase SOM采用模块化设计，主要由以下模块组成：行为控制模块、审计模块、管理模块、存储模块、用户管理接口模块，各模块间关系如下图所示：

图3.1系统架构图

杭州思福迪信息技术有限公司

/ 32

Logbase运维安全管理系统技术白皮书

行为控制模块 实现对网络、数据库、服务器维护过程的网络数据包代理转发、行为还原及记录、违规行为阻断功能； 管理模块 实现维护用户管理、主机资产管理、用户授权与访问权限管理，以及对审计记录的数据存储控制； 审计模块 实现行为安全审计功能，包括实时违规行为告警系统、历史记录检索系统以及报表系统； 用户界面 提供运维人员审计管理接口，以及运维用户的远程工具使用界面。

杭州思福迪信息技术有限公司

/ 32

Logbase运维安全管理系统技术白皮书

支持的运维协议与对象

杭州思福迪信息技术有限公司

/ 32

Logbase运维安全管理系统技术白皮书

四、产品功能

统一身份认证与SSO 在信息系统的运维操作过程中，经常会出现多名维护人员共用设备（系统）账号进行远程访问的情况，从而导致出现安全事件无法清晰地定位责任人。LogBase运维安全管理系统为每一个运维人员创建唯一的运维账号（主账号），运维账号是获取目标设备访问权利的唯一账号，进行运维操作时，所有设备账号（从账号）均与主账号进行关联，确保所有运维行为审计记录的一致性，从而准确定位事故责任人，弥补传统网络安全审计产品无法准确定位用户身份的缺陷，有效解决账号共用问题。

LogBase SOM支持多种身份认证方式：

 本地认证  Radius认证

 动态令牌(安盟、RSA) LDAP认证  AD域认证等  短信认证

Logbase SOM系统还支持SSO功能，运维人员一次登陆，即可访问所有目标资源，无需二次输入用户名、口令信息。

杭州思福迪信息技术有限公司

/ 32

Logbase运维安全管理系统技术白皮书

统一维护访问通道功能

Logbase SOM部署后，运维人员可以通过不同的方式对目标对象进行访问、维护：  WEB控件方式访问，所有协议均可通过WEB空间方式从WEB直接发起访问，访问过程支持IE、Firefox、chrome等多种浏览器；  支持通过WEB直接调用本地客户端方式进行访问；

 支持本地直接使用CS客户端直接访问，兼容管理员原有使用习惯

运维人员登录Logbase SOM系统时，系统会根据访问授权列表自动展示授权范围的主机，避免用户访问未经授权主机。

用户访问界面展示

此外，Logbase SOM还支持在运维过程中要求其他运维人员进行协同操作的功能，在协同操作模式下，2名运维人员可以共同操作同一个访问会话界面；

运维工作流管理

Logbase SOM系统内置了多个运维工作流程管理功能，IT部门能够通过运维工作流功能规范IT运维过程，工作流功能包含以下具体流程：

杭州思福迪信息技术有限公司

/ 32

Logbase运维安全管理系统技术白皮书

a)工作任务管理流程：

1.任务发起人通过系统下发工作任务；

2.任务接收人在个人消息中心实时接收工作任务信息； 3.任务接收人完成工作，在WEB界面中进行任务回复；

4.任务发起人接收到回复信息后，对任务执行情况进行确认，结束工作任务流程；

b)审计流程：

审计流程包含异常事件处理流程及报表审计流程两部分，审计人员可以查看相关异常事件及报表并添加相应的审计意见，否则该事件会一直处于未处理状态，以提醒审计人员对重点事件进行关注并审计。

自动改密计划界面展示

设备密码管理功能

LogBase SOM支持主机系统账号的密码维护托管功能，系统支持自动定期修改windows、Linux、Unix、cisco、huawei等设备的账号密码。

自动密码管理支持以下功能：  设定密码复杂度策略；

 针对不同设备制定不同改密计划；  设定改密计划的自动改密周期；

 支持随机不同密码、随机相同密码、手工指定密码等新密码设定策略；

杭州思福迪信息技术有限公司

/ 32

Logbase运维安全管理系统技术白皮书

 改密结果自动发送至指定密码管理员邮箱；  设定指定的改密对象，支持AD域账号改密；  手工下载部分或全部密码列表；

 自动改密结果确认功能，密码管理员必须人工确认已经下载或收到密码文件；否则改密计划自动停止执行，确保改密过程可靠性；

 改密结果高强度保护功能，必须经过专用密码查看器加密码以及设备序列号才能访问

密码策略配置界面展示

自动改密计划界面展示

杭州思福迪信息技术有限公司

/ 32

Logbase运维安全管理系统技术白皮书

批量执行功能

Logbase SOM系统支持自动化在多台机器上批量执行指令。通过批量执行功能，管理员可以方便实现对多台主机的升级、备份等工作任务。 支持通过SSH、Telnet、Rlogin执行系统命令；  支持MySQL批量指令执行；  支持MySQL over SSH模式；  可设定任务执行开始时间；  可设定执行的目标主机与系统账号；  执行过程与结果审核；

批处理管理界面展示

细粒度访问授权

LogBase SOM系统通过集中统一的访问控制和细粒度的命令级授权策略，确保每个运维用户拥有的权限是完成任务所需的最合理权限。

杭州思福迪信息技术有限公司

/ 32

Logbase运维安全管理系统技术白皮书

 基于向导式的配置过程；

 支持基于用户角色的访问控制（RBAC ,Role-Based Access Control）。管理员可根据用户、用户组、访问主机、目标系统账号、访问方式设置细粒度访问策略；  支持基于时间的访问控制；  支持基于访问者IP的访问控制；  基于指令（黑白名单）的访问控制；

除访问授权之外，Logbase运维管理系统还支持针对访问协议进行深层控制，比如：

 限制SSH协议使用SFTP  限制RDP访问使用剪贴板功能  限制RDP访问使用磁盘映射功能

 是否启用强制审批功能（访问和操作前必须经过管理员审批） 是否启用备注功能（访问前必须先填写维护内容）

向导式策略配置界面展示

杭州思福迪信息技术有限公司

/ 32

Logbase运维安全管理系统技术白皮书

访问策略界面展示

关键访问操作二次审批

Logbase系统支持根据需求对特殊访问与操作进行二次审批功能，该功能可以进一步加强对第三方人员访问或关键设备访问操作的控制力度，确保所有访问操作都在实时监控过程中进行。

二次审批功能支持以下两种方式：  对新建远程访问会话进行审批  对特殊指令执行进行审批

由于每次访问操作都需要管理员进行审批确认，该功能也可以代替部分客户使用的双人密码管理方式。

杭州思福迪信息技术有限公司

/ 32

Logbase运维安全管理系统技术白皮书

违规访问告警与阻断

LogBase SOM系统支持根据已设定的访问控制策略，自动检测日常运维过程中发生的越权访问、违规操作等安全事件，系统能够根据安全事件的类型、等级等条件进行自动的告警或阻断处理。

 阻断未经授权用户访问主机；

 阻断从异常客户端、异常时间段发起的访问行为；  阻断指令黑名单的操作行为；

 阻断方式支持：断开会话、忽略指令；

 告警方式支持：WEB界面告警、短信告警、邮件告警等。

违规处理配置界面展示

杭州思福迪信息技术有限公司

/ 32

Logbase运维安全管理系统技术白皮书

实时操作过程监控

对于所有远程访问目标主机的会话连接，Logbase审计系统均可实现操作过程同步监视，运维人员在远程主机上做的任何操作都会同步显示在审计人员的监控画面中，管理员可以随时手工中断违规操作会话。

 实时同步显示操作画面；

 支持vi、smit、setup等字符菜单操作同步显示；  随时手工阻断违规操作过程。

历史记录查询

Logbase 运维安全管理系统支持两种查询功能，快速查询（单一条件）和高级查询（多重组合条件），审计人员可以根据操作时间、源、目标IP地址、用户名（运维、主机）、操作指令等条件对历史数据进行查询，快速定位历史事件。

 快速审计查询支持在结果集中继续深入查询；  高级查询支持对将任意字段设为查询条件；

 支持大于、小于、等于、字符包含、不包含、时间区间、IP区间等多种逻辑判断符；

 支持任意多重条件组合查询；

 海量数据高速检索能力，检索结果即搜即得；

杭州思福迪信息技术有限公司

/ 32

Logbase运维安全管理系统技术白皮书

快速检索界面展示

高级查询界面展示

历史操作图形回放

Logbase运维安全管理系统能够以视频回放方式，可根据操作记录定位回放或完整重现维护人员对远程主机的整个操作过程，从而真正实现对操作内容的完全审计。

 完整回放整个操作过程；  根据特定操作进行定位回放；

 支持快速播放、拖动、暂停、重放等播放控制功能；  可下载记录文件进行离线播放；

杭州思福迪信息技术有限公司

/ 32

Logbase运维安全管理系统技术白皮书

综合审计报告

Logbase SOM系统拥有强大的报表功能，内置能够满足不用客户审计需求的安全审计报表模板，支持自动或手工方式生成运维审计报告，便于管理员全面分析运维的合规性。

 支持报表自定义扩展；

 支持柱状图、饼图、折线图等多种方式对统计数据进行展示；  支持按天、周、月自动周期性生成报表；  支持报表自动发送功能；

报表配置界面展示

杭州思福迪信息技术有限公司

/ 32

Logbase运维安全管理系统技术白皮书

审计数据存储管理

Logbase SOM系统支持自动化审计数据存储管理，管理员可以对审计数据进行手工备份、导出，也可以设定自动归档策略进行自动归档。

 手工归档、到处审计数据；

 存储空间不足时自动归档并删除最早数据；  支持通过FTP、SFTP自动上传归档文件；  周期性自动归档功能；

自动归档策略展示

杭州思福迪信息技术有限公司

/ 32

Logbase运维安全管理系统技术白皮书

五、产品特性

协议覆盖全、易扩展

Logbase运维安全管理系统支持各种主流操作协议包括字符型操作（Telnet、SSH、Rlogin）、图形化操作(RDP、VNC、X11)、文件传输（FTP/SFTP）、数据库访问操作等。通过配置应用扩展中心(ACC)，还可以灵活扩展其他操作协议及工具。

灵活的访问方式

Logbase SOM系统是兼容管理员使用习惯最好的运维管理产品，是唯一一款同时支持页面访问方式、菜单访问方式、客户端工具访问方式，WEB使用界面友好，能够最大程度适应不同用户的使用习惯。

同时，Logbase还支持多种协议的网络协同操作功能。

协议深度支持

Logbase SOM不仅能够对运维协议进行指令与图形操作记录，还能对多种协议进行深度支持，如：

 SSH CLONE SESSION支持，管理员可方便复制当前会话；  SSH客户端中可直接创建文件传输会话；  支持MySQL over SSH功能  RDP磁盘映射支持；

 RDP 键盘输入与窗口标题识别  RDP剪贴板支持等。

杭州思福迪信息技术有限公司

/ 32

Logbase运维安全管理系统技术白皮书

细粒度访问授权与控制

 Logbase SOM是业界唯一同时具备指令黑白名单、时间黑白名单、IP黑白名单的运维管理产品

 无论字符还是图形操作均可进行同步监控、阻断；

 重要会话与操作二次审批机制，大大增强了临时账号的安全性，阻断和忽略指令功能大大降低了误操作的风险。

支持批量执行功能

针对游戏运营商、云架构提供商等拥有大量服务器数量的客户，Logbase SOM系统支持批量执行功能，能够对大批量服务器自动执行批量指令或脚本，并能够对脚本的执行过程及结果进行跟踪及审计。

大并发量处理能力

 高并发会话处理能力，字符型操作会话并发超过1000，图形会话并发超过600，能够满足不同容量用户运维审计需求；  采用专利存储和检索技术，轻松处理海量审计数据；

流程化管理能力

Logbase SOM系统支持工单模式与消息中心功能。

在启用工单模式下，每次会话访问前都必须先输入本次访问的内容与目的，便于后期审计。

Logbase SOM系统内置消息中心功能，管理员员可以通过消息中心发布维护任务，或者接收系统关键事件提醒，方便管理人员对信息系统运维状态进行。

杭州思福迪信息技术有限公司

/ 32

Logbase运维安全管理系统技术白皮书

高度安全保障能力

Logbase SOM系统通过多种技术手段来保障自身与审计数据的安全性。如：        存储空间采用RAID磁盘阵列，有效保护数据安全； Linux安全优化内核，有效提升系统稳定性和可用性； 系统模块独立设计，互相不影响安全性； chroot运行环境，确保系统不受模块影响； 数据防篡改、防删除设计；

严格的访问权限、审计权限控制体系；

运维用户虚拟化，不在运维系统中建立实际系统账号。

部署简单，使用方便

无需在服务器、网络设备上安装代理程序，不需要改变原有网络架构，只需Logbase SOM系统与被管目标网络可达即可，保证了业务系统原有的安全性和整体架构，不会影响业务系统的性能和稳定。

杭州思福迪信息技术有限公司

/ 32

Logbase运维安全管理系统技术白皮书

六、部署方式

单臂部署

单臂部署示意图

如图所示，Logbase系统在部署时只需要为其分配一个独立IP地址即可，无需对网络拓扑结构进行任何调整。一般而言，Logbase SOM部署在服务器所在网段，同时SOM的IP地址通过网络设备发布到外部网络中供运维人员访问。部署Logbase运维审计系统后，内部服务器的维护端口只需开放给运维审计系统，无需再让运维人员直接访问。对运维人员，只需开放Logbase运维审计系统的访问端口，从而进一步加强内部服务器的安全性。

杭州思福迪信息技术有限公司

/ 32

Logbase运维安全管理系统技术白皮书

双臂模式部署

双臂部署示意图

在双臂模式下，Logbase SOM拥有内外两个IP地址，内部IP地址与服务器网段相通，外部服务器用于运维用户访问。该部署方案适用于服务器网段与客户端网段划分清晰的情况，此外采用该方案有利于实施网络控制ACL。

杭州思福迪信息技术有限公司

/ 32

Logbase运维安全管理系统技术白皮书

七、应用效果

杭州思福迪信息技术有限公司

/ 32

Logbase运维安全管理系统技术白皮书

八、总结

Logbase运维安全管理系统，能够对运维人员维护过程的全面跟踪、控制、记录、回放；支持细粒度配置运维人员的访问权限，实时阻断违规、越权的访问行为，同时提供维护人员操作的全过程的记录与报告；系统支持对加密与图形协议进行审计，消除了传统行为审计系统中的审计盲点，是IT系统内部控制最有力的支撑平台之一。

杭州思福迪信息技术有限公司

篇3：智慧城市系统-技术白皮书

当今中国正在经历着世界上最大规模的城镇化进程, “ 智慧城市”、“互联网+ 战略”、“大数据”等词汇不绝于耳, 但许多国内的智慧城市项目的主要关注点仍停留在技术基础设施层面。

在“2015 中欧城市可持续发展论坛”上, 英特尔 (中国) 有限公司、英国国家科学艺术基金会、联合国开发计划署、芯世界社会创新中心正式联合发布《重塑智慧城市》白皮书就提出了一个深刻的思考:技术只是一种手段, 单靠技术推动城市发展已经不可行, 智慧城市的建设需要重新审视, 那么究竟智慧城市是什么样呢?

新视角解读智慧城市

城市化在许多新兴经济体中被视作发展的必经之路。然而, 如果城市的最终目的是确保可持续性增长, 并让城市居民愉快和满足, 那就必须找到能够利用城市居民的技能和智慧的方法。

《重塑智慧城市》白皮书将智慧城市定义为以人为本的智慧城市, 或“智慧城市2.0”, 不仅仅是物联网等新一代信息技术的智能化应用, 而是超越技术层面、面向创新2.0 的以人为本的开放式城市创新生态系统, 目标是优化人的生活方式, 解决人们生活的后顾之忧, 激发人们的创新意识和能力, 提高市民的生活品质。

重塑的核心在于如何让科技与人文对接, 挖掘一个人文、艺术、社会学等各方面的基础, 通过科技的方式, 把这一切落到城市、落到社区。因此, “社会创新+”成为报告的核心理念, 而“互联网+”只是实现的一种手段。

智慧城市要结合新一代最好的技术, 即利用数据来配合市民、分析市民并做出针对性的行动, 同时还能让市民更紧密地参与其中, 共同塑造城市的运作模式。《重塑智慧城市》白皮书既承认数字技术在改善城市运作方面的巨大潜力, 也要避免过分简单化的习惯于“技术推动”的力量。未来成功的智慧城市不仅要利用技术基础设施中最好用的方面, 还要充分利用潜力无限的“协同技术”, 最重要的是利用市民, 他们才是所有技术的原动力。

分享以人为本智慧城市案例

全世界的国家和政府都在不断加大在智慧城市上的投资力度, 但智慧城市的倡导者经常面临质疑:太过于注重硬件设施, 而非注重人;太专注于推广新技术, 而非寻找解决紧迫问题的技术。

《重塑智慧城市》白皮书分享了以人为本的智慧城市案例, 探索技术的潜力, 帮助城市解决面临的棘手问题, 为人们提供借鉴和参考。如韩国首尔市政府发起“首尔分享型城市” (Sharing City Seoul) 活动, 帮助居民更好地利用所拥有的物品;北京市民如果遇到坏掉的路灯或者有凹坑, 可以利用“我爱北京”应用程序来上传该信息至市政府。

又如, 雅加达每年雨季都会发生严重的洪水, 人们通过Twitter将洪水信息以众包方式上传, 创建城市内洪水状况的实时地图;冰岛雷克雅未克市的市民可以通过Better Reykjavik网站对任何与城市改进有关的议题来提议、辩论并投票, 每个月市议会就网站上最受关注的议题展开辩论。

实现智慧城市的四大方法

城市如何有效地通过数字技术激发市民的力量?《重塑智慧城市》白皮书给出能够实现的新方法———分享经济、众包数据、群体智慧和众筹。

分享经济通过网络和数字技术连接分散的人群, 更好地使用物品、技能和空间, 这对于那些资源贫乏, 特别是空间面积有限的城市很重要;众包数据可以让人们使用低成本的监测仪来测算并创建环境状况的众包地图, 市政府可以从社交媒体网站和智能手机的监测仪中获取众包数据, 作为城市物联网 (Internetof Things) 网络的补充;群体智慧让市民更容易参与到政策制定、规划和预算编制中, 有助于城市决策更智慧、更民主;人们互相之间在线连接后可以协同资助社区项目, 市政府可以利用众筹来进行支出决策, 从而更准确地反映出市民的需求和愿望。

未来的建议

《重塑智慧城市》白皮书认为, 协同科技有可能实现城市生活智能化、提升城市生活水平, 但当前许多有潜力的项目仍处于起步阶段且规模不大, 仍处于智慧城市战略的边缘位置, 需要发掘利用协同技术最行之有效的方法。

如建立市民创新实验室, 推动协调技术领域创新;使用开放数和开放平台, 带动集体智慧利用;人类行为和科学并重, 像投资硬件那样推行分享经济, 通过分享经济, 人们可以获得他们需要但偶尔使用的东西;投资技术与人才并重, 让雇员了解数据处理的基层知识;以及将协同技术的影响扩大到社会生活的方方面面, 将“自上而下”的市政府主导发展模式与“自下而上”的科技发展模式融合在一起, 博才两者精华。

关于叶重塑智慧城市曳

篇4：银江股份“智慧城市”白皮书

在中国城市化进程持续深入的同时,我们还面临着前所未有的挑战和压力:城市财政收入的下降,城市生活成本与工作成本的提高,工业化与信息化融合的变革,创造工作岗位的压力,民生问题需要解决,绿色生态城市的呼声,城市运营与服务水平亟待提高……。

一直以来,城市管理各个部门在努力通过运用信息技术手段提升城市管理与服务水平。但以职能划分为特征的城市信息化还处于自发零散、各自为战的局面,因而其实施的效果也相对有限。在面对加快城市产业转型、实现城市可持续发展、提升城市综合竞争力、推进政府服务升级等全局问题的解决上城市管理各个部门往往捉襟见肘,更无法适应未来城市迅猛扩张所带来的运营与服务需求。城市的管理者们迫切需要找到一种更具智慧的新方法,以更快、更好地实现从管理到服务,从治理到运营,从零碎分割的局部应用到协同一体的平台服务的三大跨越。

随着信息技术革命的深入,人类开始赋予自己所使用的劳动工具以感知和交换信息的能力,这一过程,可以称之为继工业化.信息化之后的“智能化”。

工业化实现了传统农业社会向现代工业社会的转变。工业生产量的快速增长,新兴部门的大量出现,新技术的广泛应用,劳动生产率的大幅提高,城镇化水平和国民消费层次的全面提升。

信息化实现了以物质生产占主导地位的社会向信息产业占主导地位社会的转变,培育、发展以信息化工具为代表的新的生产力并使之造福于社会。

现在全球有数以百计的城市政府正在宣称自己要建设一个智慧城市,IBM、思科,华为等大型IT企业,也无不加入这一战团。华为称他们的方案为“Smart city”,思科称之为“Intelligent Urbanization”,而IBM更进一步,他们提出了“智慧的地球”。

城市的基础设施正向智慧的方向发展,这是城市交通、建筑、能源、环境、医疗卫生、水资源、防灾系统等城市重要基础设施和由信息化带来的数据中心、个人电脑、移动电话、路由器、宽带等IT基础设施的统一。

智慧城市的未来图景究竟怎样?

场景一:智慧的交通

私人车辆出门语音输入目的地后,跟进路线的交通拥堵情况、最短路径、附近的停车场状况,并预定停车位,车牌可以感应直接记账,并与银行联网,发短信通知本次停车费用。

公交车辆一路无红灯,智能调节发车频率、智能提供公交换乘指引,智能报站,每个人都有一个能与公交或出租车相感应的、像遥控器的东西,想去哪,输入地名就可以知道有哪些路线,并且会告诉哪些车现在离你最近,出租车也一样会感应到呼叫者在哪个方位。

车子拥有自动驾驶功能,封闭路段可以做到自动导航自动驾驶,与司机形成双保险。在行驶过程中,智能车能感应到周围的危险,会发出声音,前方有车或人时,并会自动减速。

场景二:智慧的医疗

病人就医过程中,医生通过就诊卡可以了解覆盖个人生命全过程的全部体检结果、计划免疫记录、家族病史、既往痛史、各种检查和治疗记录、药物过敏史等信息的电子健康档案,彻底简化了就医程序,并实现了安全就医。

病人在社区卫生服务中心、乡镇卫生院等基层卫生机构就诊可享受完善的远程会诊等高质量医疗服务,基础药物的供应、配送和使用实现全过程监管。

病人、老人、婴儿随身携带的传感器设备,通过无线通讯等功能,可以监测到使用者主观和身体上的变化或波动,感知所处位置,并提醒使用者和医护人员进行适时自疗和医疗。

场景三:智慧的建筑

工作人员上班时,通过刷员工卡进入了智慧物联的建筑。通过读取这个卡片,根据管理权限,这栋建筑中的有关系统会非常智能地将这个员工办公室的空调、照明灯等打开;当他离开这栋建筑的时候,办公室的空调和灯等又会自动地关闭。在多个城市拥有多栋建筑物的同一家企业,可以根据自己企业内部能源管理的政策进行统一及跨城市的楼宇能源管理。

下班回家前先发条短信,浴缸里就能自动放好洗澡水;家中开关只需一个遥控板就可全部控制,再也不用冬天冒寒下床关灯;家里漏气或漏水,手机短信会自动报警……

场景四:智慧的教育

学校建设以校园资源、管理、服务三要素,依托数据中心及应用支撑平台,建设校园资源中心、校园管理中心、校园服务中心等应用系统,校园资源中心提供网络化管理和数字图书馆等,校园管理中心可以让管理者实时查看学校教学资源的分配和使用情况,校园服务中心提供一卡通等服务,营造智慧的科研环境、教学环境、培养环境和生活环境。

学生可以利用教育资源共享数据库,全面和有效地掌控与教育相关的数据、信息和应用;可以利用在线教学交互平台与老师进行互动,学习也不再拘泥于课堂,利用各种灵活、便携、易用的教育软件客户端,可以随时随地学习。

场景五:智慧的电力

电网公司通过建设智能电网,可以迅速感知电力故障的确切位置,并立即派遣维修人员去解决问题;可以感应可能发生的设备故障,防患于未然;可以迅速检测到发电量的需求变化,在用电需求较低时减少发电量;可以感知并管理老化设备的使用负荷,延长资产的使用寿命;可以更好地了解电力需求,使可再生能源的供应最大化。

居民用户通过家中的智能电表,可了解在任何时刻的电力费用,并且可以随时获取一天中任意时刻的用电价格并查看用电记录,根据了解到的信息改变其用电模式。用户还可以利用智能电表经无线或有线通讯协助检测波动和停电,储存关联信息,完成远程开启或关闭服务,也能远程支持使用后支付或提前支付等付费方式的转换;读取家中的智能水表、智能气表、智能热表等家用能源计量仪表的当前和历史数据。

场景六:智慧的环境

环境管理部门建立环境监测污染源监控、生态保护和核安全与辐射环境安全等实时在线系统,对污染严重的生态环境进行详查和动态监测,包括森林资源、草地资源、生物多样性、水土流失、农业面源污染和工业及生活污染等,实时收集大量准确数据,进行定量和定性的分析,对事件的影响程度和危害性做出正确估计,及时做出监测和预警。

篇5：智慧城市下的分布式光纤感温系统

光传感有限公司 林兆明

本人从事电讯业多年，近年来研发出“分布式光纤感温系统”技术，主要用于监测地下管道或缆线的安全。作为崭新的工业技术，在二○一二年申请了中港两地专利，目前新技术已应用于香港大型铁路网络及电力网络、澳门大型商场和酒店、印尼雅加达国际机场新3号航站楼，并在积极洽谈在香港和海外的重大项目。

基于“智慧城市”概念而创

海外有不少地方都在推崇【智慧城市】（smart city）的发展概念，即有效地监测城市中各种不同的基础设施及工业系统，从而减低碳的排放，并预防意外发生，让日常生活更健康、安全。分布式光纤感温系统就是基于这个概念而研发出来的，除了监测工业系统安全性能外，还应用在节能减排上。

具体地说，【智慧】的理念就是通过新一代信息技术的应用使人类能以更加精细和动态的方式管理生产和生活的状态，通过把传感器嵌入和装备到全球每个角落的供电系统、供水系统、油气管道输配系统、交通系统等生产生活系统的各种物体中，使其形成的物联网与英特网相联，实现人类社会与物理系统的整合，然后通过超级计算机和云计算将物联网整合起来。

关于【智慧城市】的具体定义则比较广泛。我认为，所谓的“智慧城市”应该是人、建筑物、系统、设施都体现智能型的统一，它们取代了之前非智能的工业方式。关注高敏光学感应系统，比如对分布式感温系统进行专业的研发、制造，用作确保能源供应，同时作出安全监测和预警，对于城市智能化管理来说会起到非常重大的启发和收获，其影响更是寓意深远。

分布式光纤感温系统介绍

分布式光纤感温系统(以下简称FODTS)的原理是应用拉曼效应(Raman-effect)来测温。该理论源于上世纪二十年代，是英国南安普顿大学的研究成果。FODTS 测温技术是基于光时域反射仪(Optical Time-Domain Reflectometer(OTDR))。同时，物理环境因素例如温度、压力及拉力，都能够改变玻璃纤维(二氧化硅)的内部结构，使该点光纤内的激光轴向运动发生变化。热力效应引致晶格振动，当光线接触振动中的分子晶格，便会造成散射，称为拉曼散射(Raman scattering)。在物理过程中，热力强度与光线的散射幅度成正比例。利用此光学原理，只要测量光线或散射光线延迟返回的时间，便可以准确地计算测温点位置(请参阅图一)。

FODTS系统可以自动探测沿光缆*所有测温点的实时温度，若测温点温度超过某个水平线，系统会实时发出警报及报告。FODTS系统的温度数据库附有位置及时间信息，发出的分析报告包含了这些内容，有助于用户实时找出发生问题的地点，并协助用户迅速作出决策和防范措施。FODTS系统在应用上具有灵活性，用户可以根据特别需要而设定数个分区为监察区域，每个区域可以根据特别的运行环境设定不同的报警水平线，每一个监察区域会因测温点的实时温度数据来显示不同颜色。FODTS系统的用户接口简单易用，能够实时显示系统测温点的概况，用户也可以选择将接口上的光纤路线置于监测区域的AutoCAD图上，便于实时得知问题发生的位置。此外，FODTS系统的图表都可以按照用户的要求进行定制，提高用户的决策效率。

综上信息简单来说，光纤可以有效传送管道温度的变化数据，作准确及时的监察。它可以通过温度的不同，有效判断出地下管道或缆线是否老化，在损坏前发出警报。它最为突出的特点便是监测地下管道或缆线的安全。老式的传感测温技术仅在被测管道上放置单个的传感器，全新的【分布式感温技术】是指传感机制沿着光缆全程被分布，而不是在一定数量的位置上被分布。分布式光纤感温系统的特点

分布式光纤感温系统的特点很多，重点可以概括为三大部分：安全预防、应用广泛、性价比高。

（一）安全预防

在我们生活的城市中，地下管道及电缆系统随处必备，一旦出现问题，情况可大可小。如果情况较大，后果则不堪设想。实时监测地下管道的老化及泄漏，意外将可避免。去年7月，台湾高雄发生的严重天然气管道爆裂，造成32人死亡，321人受伤的重大事故。这个事实告诉我们，城市地下埋藏的管道会随时成为致命炸。具备连续测温功能的FODTS系统是监测燃气管道及油管泄漏的最佳方案。FODTS系统负责监测整条管道的温度曲线数据，二十四小时不断监测，如管道中某一点出现裂缝或者破损，温度将发生变化，我们便可及时捕捉，并准确探测出问题管道的所在位置并及时抢修。以燃气管道泄漏为例，燃气管道渗出压缩气体，根据焦耳汤姆逊效应(Joule-Thompson effect)，压缩气体会于管道裂口附近形成低温区。FODTS系统会立即监测到管道温度数据出现异常变化，并可准确地计算发生气体泄漏的位置。从高雄事故分析，当管道开始漏气之初，该处的压力就会下降，管道裂口温度也会相应下跌六至七度。我们如果在温度开始下跌时及时抢修和补救，就可避免事故的发生。

（图二）应用于监测燃气管道泄漏的FODTS系统 与燃气管道泄漏相反，油管泄漏会于管道裂口造成温升效果。FODTS系统对以上应用例子均能够准确迅速地确认泄漏位置，大幅度降低泄漏事故的发生和成本损失。

FODTS系统还可以检测早期的电缆故障，防止电力系统的故障造成火灾的发生。电力上的输电电缆长期使用后，绝缘体会老化，散热会减慢，最终绝缘体损坏导致电缆产生故障。通过监控电缆温度曲线可以适度使用电缆及延长使用寿命，避免绝缘体损坏。FODTS系统可实时监测整条电缆上的热点，而内置的历史温度数据分析功能，可以显示电缆不同部位的温度实时变化情况，发现潜在的问题。同时，监测系统还可以辅助提高电缆载流容量至最佳水平，达到增加运营能效的目的。

（图三）FODTS系统可以在同一时间显示电缆几部分温升

商场及酒店的各种设施如空调系统、供水、照明、电梯电器及楼宇管理系统均需要电力系统的支持。电力系统的故障可能会引至火灾的发生，危及商场或酒店顾客的生命安全。FODTS系统可以为用户预先设定启动报警的温度水平线，当电力系统温度超过预设水平线，报警实时启动，提醒相关人员及时检查维修，尽快落实应急措施。

（二）用途广泛

FODTS系统用途十分广泛。它不仅可用于上述提到的监测地下油气管道的泄漏和电缆运行的故障及商场大厦内的电力系统，还可广泛应用于以下领域：①在通风冷温（HVAC)系统方面，监测隧道温度及通风管理。②在供水及污水排放系统方面，通过水温异常变化监测非法排污。③在地质及水利学方面，测量水温对研究生态有很高的重要性。

 通风冷温系统（HVAC）

隧道内的通风系统是为车站及车厢内的乘客提供新鲜的空气，通过监控隧道的温度，操作人员可以提升隧道内的空气流量，达到最佳水平。FODTS系统性价比高、不受隧道环境干扰，而且没有维修成本。系统提供24hx7的全天候温度监测，数据库可储存长达两年的数据供日后备用。并且FODTS系统可以和隧道的通风管理系统相结合，支持实时环境数据和按时间排序的温度趋势分析。

以下是隧道通风系统的示意图，通风系统由多个通风井（地面结构）组成，是气流的出入口。

（图四）应用于隧道温度监测的FODTS系统

 供水及污水排放系统

FODTS系统可应用于监测非法的污水排放。大量的污水未经处理流入下水道可以引起相当严重的环境及健康问题。FODTS系统的光缆置于下水道内科收集连续性的温度数据，详细显示由非法排污引发的水温异常变化。

（图五）应用FODTS系统监测非法污水排放

 地质及水力学系统

研究地质及水利作用过程中，测量温度占据重要一环。而大部分应用例子更是需要取得随时间及距离连续变化的温度数据。FODTS系统可以取得地质及水利地点，比如湖泊、地面及地下水流的温度数据。测量水温对研究生态作用有很高的重要性，沿河道铺设光缆测量水温，可取得精确及高分辨率的河道温度数据。应用举例：监测含水层和水生环境、计算蒸发损耗的能量平衡、记录对流过程等等。

（图六）沿河道铺设的FODTS光缆

（三）性价比高

目前，光纤感温系统的准确度可达正负一度，耐用二十年以上。造价方面，要具体视覆盖光纤的物料以及整个系统复杂程度而定，一般来说铺设一条1公里长管道的光缆大约价格为22万元，5000米长的管道则为26万元。1台主机的成本为20万，最多可以同时控制十二条管道，每条10公里长。维护成本每年每百米则只需10元，性价比显而易见了。

篇6：物联网技术与智慧城市的关系展望

中国信息协会副秘书长傅伯岩认为，邢台是一个工业门类比较齐全的城市，工业基础较好，邢台现在正面临一个转型升级的问题，信息化与工业化相融合，是转型升级的一种重要方式。不同于新型工业基地，邢台需要在现有产业基础上一步一步循序渐进地应用最新技术，比如物联网技术。

“我认为，当前邢台既有大的发展空间，也有大的发展动力。政府和企业对转型升级、信息化应用十分重视，这就形成了两化融合的合力。照着这个方向走下去，邢台产业发展的前景一定会更好。”傅伯岩说。

“智慧城市是一个比较高级的城市层次。”长期研究智慧城市建设的住建部城乡建设委员会及人居委员会专家夏建统表示，物联网是智慧城市的基础。对于邢台来说，建设智慧城市首先要有相对系统完整的物联网规划，包括物理层面和高科技手段管理层面，以及两者之间和谐的机制。一些大城市在智慧城市建设方面已经积累了一定经验，邢台应该用足用好自己的优势，广泛借鉴这些经验，少走弯路，加快建设进程。