公安大數(shù)據(jù)智能化安全體系建設(shè)綜述

陸洪波，馮翌新，楊波

（公安部第一研究所物聯(lián)網(wǎng)部，北京100048）

0 引言

2019 年3 月，公安部在廣東召開(kāi)全國(guó)公安大數(shù)據(jù)智能化建設(shè)應(yīng)用推進(jìn)會(huì)，會(huì)議要求各地認(rèn)真貫徹中央和部黨委關(guān)于大數(shù)據(jù)智能化建設(shè)的決策部署，緊緊圍繞新中國(guó)70 周年大慶安保維穩(wěn)工作，緊密結(jié)合當(dāng)前工作中存在的突出問(wèn)題和薄弱環(huán)節(jié)，深入推進(jìn)全國(guó)公安大數(shù)據(jù)智能化建設(shè)應(yīng)用，著力提升新時(shí)代公安工作的能力水平。會(huì)上，公安部發(fā)布了總覽表、云計(jì)算平臺(tái)、大數(shù)據(jù)處理、大數(shù)據(jù)安全、新一代公安信息網(wǎng)等五方面關(guān)鍵性公安大數(shù)據(jù)規(guī)范性文件，用于指導(dǎo)建設(shè)。

六月，公安部在蘭州組織安全技術(shù)培訓(xùn)班，新發(fā)布公安大數(shù)據(jù)安全總體技術(shù)框架、安全訪問(wèn)平臺(tái)技術(shù)設(shè)計(jì)要求、零信任體系技術(shù)設(shè)計(jì)要求、安全防護(hù)體系技術(shù)設(shè)計(jì)要求等四項(xiàng)安全標(biāo)準(zhǔn)，這四項(xiàng)標(biāo)準(zhǔn)對(duì)三月發(fā)布的文件進(jìn)行了完善和補(bǔ)充，是各地安全體系建設(shè)的基本依據(jù)。以上文件和培訓(xùn)內(nèi)容既涵蓋宏觀的頂層規(guī)劃，又有具體可操作的技術(shù)細(xì)節(jié)，讓各地公安對(duì)大數(shù)據(jù)智能化建設(shè)的新任務(wù)、新要求有了更深刻的認(rèn)識(shí)。

1 總體框架

在《公安大數(shù)據(jù)安全總體技術(shù)框架》標(biāo)準(zhǔn)規(guī)范中，按照“分層解耦、異構(gòu)兼容”的思想將安全基礎(chǔ)設(shè)施能力解耦，形成了總體框架如圖1 所示。

圖1 總體框架

總體框架包括安全管理中心、實(shí)體安全、安全服務(wù)和安全基礎(chǔ)資源四部分，共同形成公安大數(shù)據(jù)智能化立體化縱深防御體系。

這個(gè)總體框架是一個(gè)全新的安全體系架構(gòu)，體現(xiàn)的是通過(guò)“三化”對(duì)“六維”進(jìn)行保護(hù)的思想。“三化”指資源化、服務(wù)化、智能化?！傲S”指云平臺(tái)、數(shù)據(jù)、應(yīng)用、網(wǎng)絡(luò)、邊界、終端六個(gè)維度的實(shí)體，是安全保護(hù)對(duì)象。

資源化指的是實(shí)現(xiàn)從安全設(shè)備到安全資源的轉(zhuǎn)變。資源化之后，安全也將類(lèi)似計(jì)算、存儲(chǔ)等基礎(chǔ)設(shè)施，變成一種彈性按需的資源。例如，傳統(tǒng)防火墻，演變?yōu)橛赏ㄓ梅?wù)器虛擬產(chǎn)生的虛擬防火墻。安全資源化的理念，就形成了我們總體框架的最底層：安全基礎(chǔ)資源。

服務(wù)化指的是安全資源將通過(guò)標(biāo)準(zhǔn)服務(wù)的形式對(duì)六維實(shí)體提供保護(hù)。例如，傳統(tǒng)直接由防火墻提供的安全保護(hù)，演變?yōu)橐环N叫做“安全防護(hù)”的服務(wù)。在六維實(shí)體層面，將通過(guò)調(diào)用這些安全服務(wù)來(lái)實(shí)現(xiàn)安全保護(hù)。安全服務(wù)化的理念，就形成了我們總體框架自下至上的第二層：安全服務(wù)。

這里需要注意的是，安全的資源化和服務(wù)化，意味著傳統(tǒng)的安全產(chǎn)品要進(jìn)行升級(jí)改造或是全新研制。因此，各地在進(jìn)行安全體系建設(shè)的時(shí)候，應(yīng)注意結(jié)合產(chǎn)品成熟度來(lái)制定演進(jìn)路線。

在安全資源化和服務(wù)化之后，六維實(shí)體就能夠通過(guò)調(diào)用安全服務(wù)得到安全保護(hù)。這就形成了我們總體框架自下至上的第三層：實(shí)體安全。

但截止目前，這種安全保護(hù)還處在一個(gè)被動(dòng)和靜態(tài)層面。因此，我們進(jìn)一步引入智能化的概念，以實(shí)現(xiàn)主動(dòng)和動(dòng)態(tài)安全保護(hù)。智能化指的是，通過(guò)在終端上部署環(huán)境感知客戶(hù)端等措施，動(dòng)態(tài)感知實(shí)體的安全狀態(tài)變化，并將風(fēng)險(xiǎn)信息送至安全管理中心，安全管理中心通過(guò)策略控制等組件，控制安全服務(wù)的管理平臺(tái)主動(dòng)向?qū)嶓w提供相應(yīng)級(jí)別的安全保護(hù)。安全智能化的理念，就形成了我們總體框架自下至上的第四層：安全管理中心。

2 建設(shè)內(nèi)容

在總體框架的基礎(chǔ)上再細(xì)化，就形成了公安大數(shù)據(jù)安全體系詳細(xì)設(shè)計(jì)架構(gòu)。具體包括如下內(nèi)容：

●安全基礎(chǔ)資源方面，主要提供專(zhuān)用硬件安全資源和軟件安全資源等，形成公安大數(shù)據(jù)安全的安全基礎(chǔ)資源；

●安全服務(wù)方面，由安全防護(hù)和零信任兩大體系協(xié)同防護(hù)、能力互補(bǔ)，通過(guò)服務(wù)管理進(jìn)行支撐并實(shí)現(xiàn)統(tǒng)一調(diào)度。零信任體系通過(guò)認(rèn)證服務(wù)、權(quán)限管理服務(wù)、環(huán)境感知服務(wù)、業(yè)務(wù)審批服務(wù)、業(yè)務(wù)審計(jì)服務(wù)實(shí)現(xiàn)基于屬性的動(dòng)態(tài)訪問(wèn)控制；安全防護(hù)體系通過(guò)安全識(shí)別服務(wù)、安全保護(hù)服務(wù)、安全檢測(cè)服務(wù)、安全響應(yīng)服務(wù)實(shí)現(xiàn)安全風(fēng)險(xiǎn)的閉環(huán)處置；通過(guò)按需、彈性調(diào)用安全服務(wù)，實(shí)現(xiàn)對(duì)實(shí)體的安全防護(hù)；

●實(shí)體安全方面，通過(guò)部署安全能力,對(duì)云平臺(tái)、數(shù)據(jù)、應(yīng)用、邊界、網(wǎng)絡(luò)、終端進(jìn)行防護(hù)，構(gòu)建的立體化縱深安全防御，確保公安大數(shù)據(jù)安全；

●安全管理中心方面，以安全大數(shù)據(jù)為支撐匯集全網(wǎng)安全數(shù)據(jù)，形成公安大數(shù)據(jù)綜合安全管控能力，包括資產(chǎn)管理、基線配置、策略控制、態(tài)勢(shì)感知，確保公安大數(shù)據(jù)全程可知、可管、可控、可查。

公安大數(shù)據(jù)智能化安全體系的建設(shè)內(nèi)容就是要依據(jù)上述詳細(xì)設(shè)計(jì)架構(gòu)，采購(gòu)安全基礎(chǔ)資源，建成安全管理中心，提供安全服務(wù)，實(shí)現(xiàn)實(shí)體安全防護(hù)。

3 建設(shè)要點(diǎn)

綜合來(lái)看，在公安大數(shù)據(jù)智能化安全體系建設(shè)方面，有三方面建設(shè)要點(diǎn)。一是要嚴(yán)格遵照部標(biāo)準(zhǔn)開(kāi)展安全體系建設(shè)。二是要立足本地現(xiàn)狀開(kāi)展安全體系建設(shè)。三是要結(jié)合產(chǎn)業(yè)成熟度開(kāi)展安全體系建設(shè)。

（1）嚴(yán)格遵照部標(biāo)準(zhǔn)開(kāi)展建設(shè)

嚴(yán)格遵照部標(biāo)準(zhǔn)開(kāi)展安全體系建設(shè)，統(tǒng)一安全策略，是各地落實(shí)公安大數(shù)據(jù)智能化建設(shè)“六統(tǒng)一”原則的重要舉措。

在公安大數(shù)據(jù)智能化安全體系建設(shè)方面，公安部計(jì)劃推出總體類(lèi)、技術(shù)類(lèi)、工程類(lèi)、管理類(lèi)四類(lèi)標(biāo)準(zhǔn)。目前，已正式發(fā)布總體類(lèi)標(biāo)準(zhǔn)1 項(xiàng)、工程類(lèi)標(biāo)準(zhǔn)3 項(xiàng)，分別對(duì)安全總體技術(shù)框架、安全訪問(wèn)平臺(tái)技術(shù)設(shè)計(jì)、零信任體系技術(shù)設(shè)計(jì)和安全防護(hù)體系技術(shù)設(shè)計(jì)進(jìn)行了闡述。舉例來(lái)說(shuō)，標(biāo)準(zhǔn)明確規(guī)定，安全訪問(wèn)平臺(tái)由用戶(hù)訪問(wèn)安全通道和數(shù)據(jù)交換安全通道組成，內(nèi)部又分為安全防護(hù)區(qū)、用戶(hù)接入?yún)^(qū)、應(yīng)用前置區(qū)、接口訪問(wèn)區(qū)、安全檢測(cè)區(qū)、數(shù)據(jù)交換服務(wù)區(qū)、安全管理區(qū)等，每個(gè)區(qū)應(yīng)配備的安全組件也有詳細(xì)說(shuō)明。因此，各地在開(kāi)展公安大數(shù)據(jù)智能化安全體系建設(shè)的時(shí)候，這些規(guī)定動(dòng)作必須完成。但是，可以根據(jù)自身情況，按照最小集分步建設(shè)。安全體系建設(shè)方面，近期的目標(biāo)是實(shí)現(xiàn)公安網(wǎng)用戶(hù)安全可控訪問(wèn)數(shù)據(jù)中心。

（2）立足本地現(xiàn)狀開(kāi)展建設(shè)

前面提到，安全體系建設(shè)應(yīng)嚴(yán)格遵照部標(biāo)準(zhǔn)。但是，雖然部標(biāo)準(zhǔn)提出了全面的安全能力要求，具體的安全能力的實(shí)現(xiàn)方式、部署規(guī)模、演進(jìn)路線等卻沒(méi)有明確要求，這些方面可以立足本地現(xiàn)狀開(kāi)展建設(shè)。

在安全能力的實(shí)現(xiàn)方式方面，在安全訪問(wèn)平臺(tái)的組件部署方式、安全運(yùn)維網(wǎng)絡(luò)選擇等環(huán)節(jié)，都可以做個(gè)性化建設(shè)。例如，安全訪問(wèn)平臺(tái)的組件部署，即可以獨(dú)立部署，又可以使用數(shù)據(jù)中心的云資源部署，而獨(dú)立部署又可以分為單機(jī)、集群或自建云等多種方式。安全運(yùn)維方面，可以采用物理帶外網(wǎng)絡(luò)運(yùn)維，也可以采用邏輯帶外網(wǎng)絡(luò)運(yùn)維，上述條件都不具備時(shí)則只能帶內(nèi)運(yùn)維。

在安全能力部署規(guī)模方面，在用戶(hù)訪問(wèn)平臺(tái)部署規(guī)模、終端安全部署規(guī)模等環(huán)節(jié)，都可以做個(gè)性化建設(shè)。例如，用戶(hù)訪問(wèn)平臺(tái)的用戶(hù)接入?yún)^(qū)、應(yīng)用前置區(qū)、安全檢測(cè)區(qū)的部署規(guī)模，都應(yīng)該跟數(shù)據(jù)中心的業(yè)務(wù)應(yīng)用量、用戶(hù)訪問(wèn)量等關(guān)鍵要素掛鉤。

在安全能力的演進(jìn)路線方面，公安部目前只明確要求盡快建好用戶(hù)訪問(wèn)安全通道，在數(shù)據(jù)交換安全通道、零信任體系、安全防護(hù)體系、安全管理中心等環(huán)節(jié)的建設(shè)順序上尚未有明確安排，各地可根據(jù)自身需要做個(gè)性化設(shè)計(jì)。

另外，省級(jí)公安機(jī)關(guān)和直轄市公安機(jī)關(guān)在安全體系的建設(shè)上也不一樣。省級(jí)公安機(jī)關(guān)還要考慮省市分級(jí)建設(shè)的問(wèn)題。

（3）結(jié)合產(chǎn)業(yè)成熟度開(kāi)展建設(shè)

前面提到，在安全能力演進(jìn)路線方面，各地可根據(jù)自身需要做個(gè)性化設(shè)計(jì)。具體的個(gè)性化設(shè)計(jì)，除考慮業(yè)務(wù)需求外，還要和產(chǎn)業(yè)成熟度相匹配。

產(chǎn)業(yè)成熟度體現(xiàn)在三方面，一是部安全標(biāo)準(zhǔn)的推進(jìn)進(jìn)度，二是安全產(chǎn)品的推進(jìn)速度，三是安全測(cè)試體系的建設(shè)進(jìn)度。在部安全標(biāo)準(zhǔn)方面，目前僅僅發(fā)布四項(xiàng)標(biāo)準(zhǔn)，在安全服務(wù)接口、安全大數(shù)據(jù)、安全管理中心等環(huán)節(jié)還有大量工程和技術(shù)標(biāo)準(zhǔn)尚未發(fā)布。標(biāo)準(zhǔn)沒(méi)有發(fā)布，意味著這些環(huán)節(jié)的建設(shè)工作缺乏依據(jù)，無(wú)法有效推進(jìn)。因此，各地必須緊密跟蹤部標(biāo)的發(fā)布進(jìn)程。在安全產(chǎn)品的推進(jìn)速度方面，目前主要是安全訪問(wèn)平臺(tái)和零信任體系的部分產(chǎn)品已經(jīng)研發(fā)完成，公安部正在組織內(nèi)部測(cè)試。在第三方安全測(cè)試體系建設(shè)方面，相對(duì)就更慢一些，公安部目前只是有這方面規(guī)劃，但從測(cè)試內(nèi)容到測(cè)試方法等各方面都遠(yuǎn)未成型。

結(jié)合上述情況，各地應(yīng)妥善制定安全體系建設(shè)實(shí)施計(jì)劃，合理利用，確保既能保護(hù)實(shí)體安全，又不會(huì)盲目投資造成浪費(fèi)。

4 結(jié)語(yǔ)

2019 年6 月，公安部在蘭州大數(shù)據(jù)安全培訓(xùn)班上要求各地盡快上報(bào)安全方案，全國(guó)公安大數(shù)據(jù)智能化安全體系建設(shè)正在起步。這是一次安全體系的重大變革，必將產(chǎn)生深遠(yuǎn)影響。各地公安機(jī)關(guān)都應(yīng)做好充分準(zhǔn)備，迎接挑戰(zhàn)，全面提升大數(shù)據(jù)環(huán)境下的安全能力，為公安大數(shù)據(jù)智能化建設(shè)保駕護(hù)航。