“多桿合一”的智慧路燈桿以道路桿件為載體集成掛載多種設(shè)備，實(shí)現(xiàn)了資源集約化與景觀美化。它通過運(yùn)用先進(jìn)的信息通信和物聯(lián)網(wǎng)技術(shù)，為城市運(yùn)行提供智慧照明、無(wú)線通信、交通管理、城市監(jiān)控、公共廣播、信息發(fā)布、智能充電、環(huán)境監(jiān)測(cè)等等多種高效服務(wù)，是智慧城市不可或缺的新型基礎(chǔ)設(shè)施，是數(shù)字化時(shí)代的融合基礎(chǔ)設(shè)施。

目前，智慧路燈桿在我國(guó)處于探索與實(shí)踐并重的初始階段，市場(chǎng)規(guī)模、建設(shè)數(shù)量增長(zhǎng)態(tài)勢(shì)良好，據(jù)“燈桿智慧說”統(tǒng)計(jì)，截止目前全國(guó)建設(shè)完成的智慧路燈桿數(shù)量已經(jīng)超過10萬(wàn)根。在初始階段，大家往往更關(guān)注配套政策、產(chǎn)業(yè)標(biāo)準(zhǔn)、建設(shè)推廣、運(yùn)維管理、盈利模式等，在各類政策、標(biāo)準(zhǔn)密集發(fā)布推動(dòng)下，產(chǎn)業(yè)發(fā)展逐步進(jìn)入快車道。但與如火如荼的建設(shè)相比，大家對(duì)智慧路燈桿系統(tǒng)信息安全的關(guān)注度尚顯不足甚至缺失。

智慧路燈桿作為城市運(yùn)行數(shù)據(jù)存儲(chǔ)、處理的末端設(shè)施，承載著重要數(shù)據(jù)，聯(lián)接多個(gè)傳感類、控制類設(shè)備，若其自身缺乏安全防護(hù)，面臨非法入侵、惡意控制、數(shù)據(jù)泄露等安全風(fēng)險(xiǎn)，由于其分布在城市道路的各處，將成為智慧城市網(wǎng)絡(luò)安全的一個(gè)致命軟肋！因此，智慧路燈桿安全必須引起足夠的重視，將安全建設(shè)納入智慧路燈桿建設(shè)的必要范疇。

智慧路燈桿前端設(shè)備安全痛點(diǎn)

智慧路燈桿系統(tǒng)通信系統(tǒng)架構(gòu)主要由三大部分組成：智慧路燈桿前端設(shè)備、路由匯聚設(shè)備和機(jī)房控制中心。

圖一 智慧路燈桿通信系統(tǒng)架構(gòu)

觀察智慧路燈桿安全體系，機(jī)房控制中心往往堆疊著最全、最成熟的安全解決方案，滿足相應(yīng)的等保要求，涉及物理安全防護(hù)、邊界防護(hù)、終端安全防護(hù)、安全審計(jì)等等；匯聚層同樣有相應(yīng)的安全要求及解決方案，涉及到綜合機(jī)房安全防護(hù)、邊界防護(hù)以及傳輸安全防護(hù)等等，尤其在傳輸安全方面，通常會(huì)有專網(wǎng)或?qū)＞€為數(shù)據(jù)安全傳輸保駕護(hù)航。

然而，可以明顯看到，以上傳統(tǒng)安全解決方案并沒有效覆蓋智慧路燈桿前端設(shè)備，這些身處末端、掛載著多種設(shè)備、承載著城市運(yùn)行重要信息的智慧路燈桿前端設(shè)備，其自身安全卻被忽視了，存在著安全防護(hù)空白，帶來(lái)了如下安全痛點(diǎn)：

惡意控制：

黑客組織非法入侵智慧路燈桿，惡意控制信號(hào)燈、路燈等掛載設(shè)備，影響燈桿正常使用，還可能威脅公共安全。

內(nèi)容篡改：

惡意篡改戶外掛載燈桿信息屏的音頻、視頻發(fā)布內(nèi)容，播放虛假、不良或反動(dòng)的信息，造成惡劣的社會(huì)影響。

信息泄露：

智慧路燈桿系統(tǒng)采集到的城市運(yùn)行數(shù)據(jù)可能遭遇泄露、外流，存在被非法利用、惡意篡改的風(fēng)險(xiǎn)，可能危害公共安全或造成財(cái)產(chǎn)損失。

植入病毒：

智慧路燈桿系統(tǒng)遭遇黑客入侵后可能被植入病毒（如挖礦病毒）。一方面影響每支桿自身正常高效的工作，另一方面病毒存在交叉感染風(fēng)險(xiǎn)，會(huì)快速在智慧路燈桿甚至智慧城市物聯(lián)網(wǎng)網(wǎng)絡(luò)中傳播開來(lái)。

智慧路燈桿前端設(shè)備芯片里的一些固件總會(huì)存在或多或少的安全漏洞，對(duì)于一些專業(yè)人員，只需要花費(fèi)少量時(shí)間、執(zhí)行若干行代碼，即可隨意控制智慧路燈桿前端設(shè)備，這樣的安全隱患就在我們身邊，必須引起足夠的重視和加以借鑒。

智慧路燈桿前端設(shè)備的特點(diǎn)

要解決前端設(shè)備的安全問題，首先需理清前端設(shè)備有哪些特點(diǎn)，方能對(duì)癥下藥。

1. 需要接入網(wǎng)絡(luò)——聯(lián)網(wǎng)

智慧路燈桿前端設(shè)備采集到的城市運(yùn)行數(shù)據(jù)需要傳回控制中心管理平臺(tái)進(jìn)行分析處理。運(yùn)營(yíng)者也需要向其下發(fā)內(nèi)容，如控制指令或廣告包等。

2. 缺乏安全防護(hù)——裸奔

由于硬件資源有限、操作系統(tǒng)不兼容等諸多原因，前端設(shè)備自身往往缺乏安全防護(hù)能力，通常難以在設(shè)備上安裝殺毒、準(zhǔn)入等第三方安全控件。

3. 存在安全漏洞——漏洞

設(shè)備可能存在潛在的系統(tǒng)漏洞，容易成為“僵木蠕”攻擊的目標(biāo)。常見弱口令、高危端口使用等現(xiàn)象。日常通過U盤或遠(yuǎn)程運(yùn)維時(shí)，易感染病毒、木馬。

4. 難以統(tǒng)一管理——分散

智慧路燈桿前端設(shè)備數(shù)量多，物理位置分散，難以統(tǒng)一部署安全防護(hù)策略，使用傳統(tǒng)安全解決方案則運(yùn)維負(fù)擔(dān)較重。燈桿遭遇威脅攻擊時(shí)無(wú)法及時(shí)發(fā)現(xiàn)問題、定位及處理。

以上特點(diǎn)使得智慧路燈桿前端設(shè)備暴露于危險(xiǎn)的網(wǎng)絡(luò)環(huán)境下，隨時(shí)可能遭受威脅攻擊。要實(shí)現(xiàn)針對(duì)前端設(shè)備的安全防護(hù)，就務(wù)必充分考慮其自身特點(diǎn)，選擇適合、可行的解決方案。

物聯(lián)網(wǎng)感知層網(wǎng)關(guān)安全技術(shù)要求

實(shí)際上，國(guó)家早已針對(duì)智慧路燈桿前端設(shè)備這類物聯(lián)網(wǎng)感知層設(shè)備的安全防護(hù)提出過要求，即國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù) 物聯(lián)網(wǎng)感知層網(wǎng)關(guān)安全技術(shù)要求》。該標(biāo)準(zhǔn)針對(duì)智慧路燈桿智盒網(wǎng)關(guān)這樣的感知層網(wǎng)關(guān)提出安全要求，作為前端設(shè)備中起著上傳下達(dá)樞紐作用的重要節(jié)點(diǎn)，做好智盒網(wǎng)關(guān)的安全防護(hù)，便能較好地填補(bǔ)前端設(shè)備的防護(hù)空白。

標(biāo)準(zhǔn)主要包括六大部分，物理安全和安全保障要求部分較為基礎(chǔ)；感知終端接入認(rèn)證、數(shù)據(jù)保護(hù)、系統(tǒng)安全保護(hù)部分是基于智盒網(wǎng)關(guān)自身系統(tǒng)的安全要求，在網(wǎng)關(guān)層面便能實(shí)現(xiàn)；而網(wǎng)絡(luò)訪問控制部分實(shí)現(xiàn)方式較多，相對(duì)最難做，接下來(lái)我們將重點(diǎn)討論智慧路燈桿智盒網(wǎng)關(guān)的網(wǎng)絡(luò)訪問控制該如何做。

智慧路燈桿智盒網(wǎng)關(guān)網(wǎng)絡(luò)訪問控制

1、精簡(jiǎn)精準(zhǔn)的訪問控制

叁仟智盒網(wǎng)關(guān)網(wǎng)絡(luò)訪問控制需實(shí)現(xiàn)的具體內(nèi)容應(yīng)遵循國(guó)家標(biāo)準(zhǔn)安全技術(shù)要求，需要指出的是，相關(guān)防護(hù)手段應(yīng)該是精準(zhǔn)、精簡(jiǎn)、瘦身地，因?yàn)榍岸嗽O(shè)備是布局分散的邊緣物聯(lián)網(wǎng)終端，我們不可能為其附加笨重、復(fù)雜的防護(hù)手段，而應(yīng)該綜合考慮功能性與便捷性，化繁為簡(jiǎn)，實(shí)現(xiàn)小而美的精準(zhǔn)訪問控制。

2、分布式邊緣防護(hù)手段

對(duì)于天生物理位置分散的智慧路燈桿前端設(shè)備，分布式的邊緣防護(hù)手段明顯更合適。一方面更貼近被保護(hù)設(shè)備，另一方面更具針對(duì)性，能夠?qū)崿F(xiàn)精準(zhǔn)防護(hù)。傳統(tǒng)的集中式防護(hù)手段（往往就是在燈桿通信系統(tǒng)的接入層或匯聚層部署安全設(shè)備），存在幾個(gè)弊端：

• 安全設(shè)備性能需彈性增長(zhǎng)

• 前端設(shè)備跨網(wǎng)段，安全設(shè)備策略配置復(fù)雜

• 遠(yuǎn)距離安全防護(hù)，效果難保障

• 前端設(shè)備之間會(huì)存在交叉感染風(fēng)險(xiǎn)

因此，對(duì)智慧路燈桿前端設(shè)備的安全防護(hù)更需要的是分布式的方式，即貼身地、一對(duì)一地安全防護(hù)。

3、獨(dú)立的軟硬件環(huán)境

傳統(tǒng)的“寄生式”防護(hù)手段，如第三方廠家的殺毒或準(zhǔn)入軟件等，大多以純軟件的形式安裝部署在網(wǎng)關(guān)操作系統(tǒng)中。其最大的問題是與網(wǎng)關(guān)的軟硬件環(huán)境捆綁過于緊密，一方面會(huì)占用網(wǎng)關(guān)的硬件性能資源；另一方面，一旦有病毒等惡意代碼程序繞過防護(hù)手段，感染了網(wǎng)關(guān)，有可能通過反殺寄生在網(wǎng)關(guān)上的防護(hù)程序，從而取得網(wǎng)關(guān)的控制權(quán)，進(jìn)而發(fā)動(dòng)內(nèi)部網(wǎng)絡(luò)攻擊。

因此，為安全模塊提供獨(dú)立的軟硬件環(huán)境至關(guān)重要。不論它是以外置防護(hù)設(shè)備的形態(tài)出現(xiàn)，還是以嵌入式安全芯的形態(tài)出現(xiàn)，都應(yīng)為其配置獨(dú)立的計(jì)算環(huán)境，做到與智盒網(wǎng)關(guān)互不干擾，網(wǎng)關(guān)發(fā)生變化（軟件更新、配置更新、被攻陷等）時(shí)，安全模塊不受影響。

4.無(wú)IP網(wǎng)絡(luò)隱身部署模式

對(duì)于智慧路燈桿這類邊緣物聯(lián)網(wǎng)終端，安全模塊往往是直接部署在業(yè)務(wù)網(wǎng)絡(luò)上的，即串接在生產(chǎn)系統(tǒng)業(yè)務(wù)網(wǎng)絡(luò)的網(wǎng)線上，如果給每個(gè)安全模塊分配一個(gè)業(yè)務(wù)網(wǎng)絡(luò)IP地址，不僅會(huì)占用大量網(wǎng)絡(luò)資源，還需改變現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)。采用無(wú)IP部署模式，節(jié)約網(wǎng)絡(luò)資源，降低部署難度，同時(shí)安全模塊沒有IP即實(shí)現(xiàn)了網(wǎng)絡(luò)隱身，可免疫掃描攻擊，進(jìn)一步提高了安全防護(hù)等級(jí)。

5.集中式的統(tǒng)一管控平臺(tái)

統(tǒng)一管控平臺(tái)部署在機(jī)房控制中心，一方面覆蓋全網(wǎng)分布式邊緣防護(hù)設(shè)備（外置或安全芯），實(shí)現(xiàn)全面管控與分析；另一方面與機(jī)房中智慧路燈桿運(yùn)維管理平臺(tái)實(shí)現(xiàn)聯(lián)動(dòng)，綜合處理各類數(shù)據(jù)。統(tǒng)一管控平臺(tái)起著兩個(gè)作用：向下，能夠下發(fā)訪問控制策略，統(tǒng)一管理所有分布式防護(hù)設(shè)備；向上，能夠收集相關(guān)網(wǎng)絡(luò)行為日志，進(jìn)行分析、處理、展現(xiàn)等。統(tǒng)一管控平臺(tái)與分布式防護(hù)設(shè)備組成了一個(gè)整體，實(shí)現(xiàn)了對(duì)前端設(shè)備的全面安全防護(hù)。

分布式防護(hù)設(shè)備存在多種部署方式，應(yīng)對(duì)不同的場(chǎng)景。

• 以外置防護(hù)設(shè)備的形態(tài)串接于智盒網(wǎng)關(guān)后（針對(duì)有線場(chǎng)景）

• 以外置防護(hù)設(shè)備的形態(tài)串接于網(wǎng)關(guān)和無(wú)線路由器之間（針對(duì)部分無(wú)線場(chǎng)景）

• 以安全芯的形態(tài)集成到網(wǎng)關(guān)內(nèi)部（針對(duì)部分無(wú)線場(chǎng)景及無(wú)法放置外置設(shè)備的場(chǎng)景）

  
  

• 

最后，隨著智慧城市的蓬勃發(fā)展，智慧路燈桿等邊緣物聯(lián)網(wǎng)終端必然爆發(fā)式增長(zhǎng)，隨之而來(lái)的終端安全問題不容忽視。我們應(yīng)未雨綢繆，抓緊強(qiáng)化網(wǎng)絡(luò)中每個(gè)環(huán)節(jié)的安全能力，尤其需要加強(qiáng)前端設(shè)備這一薄弱環(huán)節(jié)的安全防護(hù)。通過應(yīng)用邊緣物聯(lián)網(wǎng)終端安全解決方案，有效感知網(wǎng)絡(luò)安全態(tài)勢(shì)、洞察潛在安全風(fēng)險(xiǎn)、抵御內(nèi)外網(wǎng)絡(luò)攻擊、防范敏感數(shù)據(jù)泄露、營(yíng)造清朗網(wǎng)絡(luò)空間，為“萬(wàn)物互聯(lián)”保駕護(hù)航！