陸洪波，馮翌新，楊波

（公安部第一研究所物聯(lián)網(wǎng)部，北京100048）

0 引言

2019 年3 月，公安部在廣東召開全國公安大數(shù)據(jù)智能化建設(shè)應(yīng)用推進(jìn)會，會議要求各地認(rèn)真貫徹中央和部黨委關(guān)于大數(shù)據(jù)智能化建設(shè)的決策部署，緊緊圍繞新中國70 周年大慶安保維穩(wěn)工作，緊密結(jié)合當(dāng)前工作中存在的突出問題和薄弱環(huán)節(jié)，深入推進(jìn)全國公安大數(shù)據(jù)智能化建設(shè)應(yīng)用，著力提升新時代公安工作的能力水平。會上，公安部發(fā)布了總覽表、云計算平臺、大數(shù)據(jù)處理、大數(shù)據(jù)安全、新一代公安信息網(wǎng)等五方面關(guān)鍵性公安大數(shù)據(jù)規(guī)范性文件，用于指導(dǎo)建設(shè)。

六月，公安部在蘭州組織安全技術(shù)培訓(xùn)班，新發(fā)布公安大數(shù)據(jù)安全總體技術(shù)框架、安全訪問平臺技術(shù)設(shè)計要求、零信任體系技術(shù)設(shè)計要求、安全防護(hù)體系技術(shù)設(shè)計要求等四項安全標(biāo)準(zhǔn)，這四項標(biāo)準(zhǔn)對三月發(fā)布的文件進(jìn)行了完善和補(bǔ)充，是各地安全體系建設(shè)的基本依據(jù)。以上文件和培訓(xùn)內(nèi)容既涵蓋宏觀的頂層規(guī)劃，又有具體可操作的技術(shù)細(xì)節(jié)，讓各地公安對大數(shù)據(jù)智能化建設(shè)的新任務(wù)、新要求有了更深刻的認(rèn)識。

1 總體框架

在《公安大數(shù)據(jù)安全總體技術(shù)框架》標(biāo)準(zhǔn)規(guī)范中，按照“分層解耦、異構(gòu)兼容”的思想將安全基礎(chǔ)設(shè)施能力解耦，形成了總體框架如圖1 所示。

圖1 總體框架

總體框架包括安全管理中心、實體安全、安全服務(wù)和安全基礎(chǔ)資源四部分，共同形成公安大數(shù)據(jù)智能化立體化縱深防御體系。

這個總體框架是一個全新的安全體系架構(gòu)，體現(xiàn)的是通過“三化”對“六維”進(jìn)行保護(hù)的思想?！叭敝纲Y源化、服務(wù)化、智能化。“六維”指云平臺、數(shù)據(jù)、應(yīng)用、網(wǎng)絡(luò)、邊界、終端六個維度的實體，是安全保護(hù)對象。

資源化指的是實現(xiàn)從安全設(shè)備到安全資源的轉(zhuǎn)變。資源化之后，安全也將類似計算、存儲等基礎(chǔ)設(shè)施，變成一種彈性按需的資源。例如，傳統(tǒng)防火墻，演變?yōu)橛赏ㄓ梅?wù)器虛擬產(chǎn)生的虛擬防火墻。安全資源化的理念，就形成了我們總體框架的最底層：安全基礎(chǔ)資源。

服務(wù)化指的是安全資源將通過標(biāo)準(zhǔn)服務(wù)的形式對六維實體提供保護(hù)。例如，傳統(tǒng)直接由防火墻提供的安全保護(hù)，演變?yōu)橐环N叫做“安全防護(hù)”的服務(wù)。在六維實體層面，將通過調(diào)用這些安全服務(wù)來實現(xiàn)安全保護(hù)。安全服務(wù)化的理念，就形成了我們總體框架自下至上的第二層：安全服務(wù)。

這里需要注意的是，安全的資源化和服務(wù)化，意味著傳統(tǒng)的安全產(chǎn)品要進(jìn)行升級改造或是全新研制。因此，各地在進(jìn)行安全體系建設(shè)的時候，應(yīng)注意結(jié)合產(chǎn)品成熟度來制定演進(jìn)路線。

在安全資源化和服務(wù)化之后，六維實體就能夠通過調(diào)用安全服務(wù)得到安全保護(hù)。這就形成了我們總體框架自下至上的第三層：實體安全。

但截止目前，這種安全保護(hù)還處在一個被動和靜態(tài)層面。因此，我們進(jìn)一步引入智能化的概念，以實現(xiàn)主動和動態(tài)安全保護(hù)。智能化指的是，通過在終端上部署環(huán)境感知客戶端等措施，動態(tài)感知實體的安全狀態(tài)變化，并將風(fēng)險信息送至安全管理中心，安全管理中心通過策略控制等組件，控制安全服務(wù)的管理平臺主動向?qū)嶓w提供相應(yīng)級別的安全保護(hù)。安全智能化的理念，就形成了我們總體框架自下至上的第四層：安全管理中心。

2 建設(shè)內(nèi)容

在總體框架的基礎(chǔ)上再細(xì)化，就形成了公安大數(shù)據(jù)安全體系詳細(xì)設(shè)計架構(gòu)。具體包括如下內(nèi)容：

●安全基礎(chǔ)資源方面，主要提供專用硬件安全資源和軟件安全資源等，形成公安大數(shù)據(jù)安全的安全基礎(chǔ)資源；

●安全服務(wù)方面，由安全防護(hù)和零信任兩大體系協(xié)同防護(hù)、能力互補(bǔ)，通過服務(wù)管理進(jìn)行支撐并實現(xiàn)統(tǒng)一調(diào)度。零信任體系通過認(rèn)證服務(wù)、權(quán)限管理服務(wù)、環(huán)境感知服務(wù)、業(yè)務(wù)審批服務(wù)、業(yè)務(wù)審計服務(wù)實現(xiàn)基于屬性的動態(tài)訪問控制；安全防護(hù)體系通過安全識別服務(wù)、安全保護(hù)服務(wù)、安全檢測服務(wù)、安全響應(yīng)服務(wù)實現(xiàn)安全風(fēng)險的閉環(huán)處置；通過按需、彈性調(diào)用安全服務(wù)，實現(xiàn)對實體的安全防護(hù)；

●實體安全方面，通過部署安全能力,對云平臺、數(shù)據(jù)、應(yīng)用、邊界、網(wǎng)絡(luò)、終端進(jìn)行防護(hù)，構(gòu)建的立體化縱深安全防御，確保公安大數(shù)據(jù)安全；

●安全管理中心方面，以安全大數(shù)據(jù)為支撐匯集全網(wǎng)安全數(shù)據(jù)，形成公安大數(shù)據(jù)綜合安全管控能力，包括資產(chǎn)管理、基線配置、策略控制、態(tài)勢感知，確保公安大數(shù)據(jù)全程可知、可管、可控、可查。

公安大數(shù)據(jù)智能化安全體系的建設(shè)內(nèi)容就是要依據(jù)上述詳細(xì)設(shè)計架構(gòu)，采購安全基礎(chǔ)資源，建成安全管理中心，提供安全服務(wù)，實現(xiàn)實體安全防護(hù)。

3 建設(shè)要點

綜合來看，在公安大數(shù)據(jù)智能化安全體系建設(shè)方面，有三方面建設(shè)要點。一是要嚴(yán)格遵照部標(biāo)準(zhǔn)開展安全體系建設(shè)。二是要立足本地現(xiàn)狀開展安全體系建設(shè)。三是要結(jié)合產(chǎn)業(yè)成熟度開展安全體系建設(shè)。

（1）嚴(yán)格遵照部標(biāo)準(zhǔn)開展建設(shè)

嚴(yán)格遵照部標(biāo)準(zhǔn)開展安全體系建設(shè)，統(tǒng)一安全策略，是各地落實公安大數(shù)據(jù)智能化建設(shè)“六統(tǒng)一”原則的重要舉措。

在公安大數(shù)據(jù)智能化安全體系建設(shè)方面，公安部計劃推出總體類、技術(shù)類、工程類、管理類四類標(biāo)準(zhǔn)。目前，已正式發(fā)布總體類標(biāo)準(zhǔn)1 項、工程類標(biāo)準(zhǔn)3 項，分別對安全總體技術(shù)框架、安全訪問平臺技術(shù)設(shè)計、零信任體系技術(shù)設(shè)計和安全防護(hù)體系技術(shù)設(shè)計進(jìn)行了闡述。舉例來說，標(biāo)準(zhǔn)明確規(guī)定，安全訪問平臺由用戶訪問安全通道和數(shù)據(jù)交換安全通道組成，內(nèi)部又分為安全防護(hù)區(qū)、用戶接入?yún)^(qū)、應(yīng)用前置區(qū)、接口訪問區(qū)、安全檢測區(qū)、數(shù)據(jù)交換服務(wù)區(qū)、安全管理區(qū)等，每個區(qū)應(yīng)配備的安全組件也有詳細(xì)說明。因此，各地在開展公安大數(shù)據(jù)智能化安全體系建設(shè)的時候，這些規(guī)定動作必須完成。但是，可以根據(jù)自身情況，按照最小集分步建設(shè)。安全體系建設(shè)方面，近期的目標(biāo)是實現(xiàn)公安網(wǎng)用戶安全可控訪問數(shù)據(jù)中心。

（2）立足本地現(xiàn)狀開展建設(shè)

前面提到，安全體系建設(shè)應(yīng)嚴(yán)格遵照部標(biāo)準(zhǔn)。但是，雖然部標(biāo)準(zhǔn)提出了全面的安全能力要求，具體的安全能力的實現(xiàn)方式、部署規(guī)模、演進(jìn)路線等卻沒有明確要求，這些方面可以立足本地現(xiàn)狀開展建設(shè)。

在安全能力的實現(xiàn)方式方面，在安全訪問平臺的組件部署方式、安全運維網(wǎng)絡(luò)選擇等環(huán)節(jié)，都可以做個性化建設(shè)。例如，安全訪問平臺的組件部署，即可以獨立部署，又可以使用數(shù)據(jù)中心的云資源部署，而獨立部署又可以分為單機(jī)、集群或自建云等多種方式。安全運維方面，可以采用物理帶外網(wǎng)絡(luò)運維，也可以采用邏輯帶外網(wǎng)絡(luò)運維，上述條件都不具備時則只能帶內(nèi)運維。

在安全能力部署規(guī)模方面，在用戶訪問平臺部署規(guī)模、終端安全部署規(guī)模等環(huán)節(jié)，都可以做個性化建設(shè)。例如，用戶訪問平臺的用戶接入?yún)^(qū)、應(yīng)用前置區(qū)、安全檢測區(qū)的部署規(guī)模，都應(yīng)該跟數(shù)據(jù)中心的業(yè)務(wù)應(yīng)用量、用戶訪問量等關(guān)鍵要素掛鉤。

在安全能力的演進(jìn)路線方面，公安部目前只明確要求盡快建好用戶訪問安全通道，在數(shù)據(jù)交換安全通道、零信任體系、安全防護(hù)體系、安全管理中心等環(huán)節(jié)的建設(shè)順序上尚未有明確安排，各地可根據(jù)自身需要做個性化設(shè)計。

另外，省級公安機(jī)關(guān)和直轄市公安機(jī)關(guān)在安全體系的建設(shè)上也不一樣。省級公安機(jī)關(guān)還要考慮省市分級建設(shè)的問題。

（3）結(jié)合產(chǎn)業(yè)成熟度開展建設(shè)

前面提到，在安全能力演進(jìn)路線方面，各地可根據(jù)自身需要做個性化設(shè)計。具體的個性化設(shè)計，除考慮業(yè)務(wù)需求外，還要和產(chǎn)業(yè)成熟度相匹配。

產(chǎn)業(yè)成熟度體現(xiàn)在三方面，一是部安全標(biāo)準(zhǔn)的推進(jìn)進(jìn)度，二是安全產(chǎn)品的推進(jìn)速度，三是安全測試體系的建設(shè)進(jìn)度。在部安全標(biāo)準(zhǔn)方面，目前僅僅發(fā)布四項標(biāo)準(zhǔn)，在安全服務(wù)接口、安全大數(shù)據(jù)、安全管理中心等環(huán)節(jié)還有大量工程和技術(shù)標(biāo)準(zhǔn)尚未發(fā)布。標(biāo)準(zhǔn)沒有發(fā)布，意味著這些環(huán)節(jié)的建設(shè)工作缺乏依據(jù)，無法有效推進(jìn)。因此，各地必須緊密跟蹤部標(biāo)的發(fā)布進(jìn)程。在安全產(chǎn)品的推進(jìn)速度方面，目前主要是安全訪問平臺和零信任體系的部分產(chǎn)品已經(jīng)研發(fā)完成，公安部正在組織內(nèi)部測試。在第三方安全測試體系建設(shè)方面，相對就更慢一些，公安部目前只是有這方面規(guī)劃，但從測試內(nèi)容到測試方法等各方面都遠(yuǎn)未成型。

結(jié)合上述情況，各地應(yīng)妥善制定安全體系建設(shè)實施計劃，合理利用，確保既能保護(hù)實體安全，又不會盲目投資造成浪費。

4 結(jié)語

2019 年6 月，公安部在蘭州大數(shù)據(jù)安全培訓(xùn)班上要求各地盡快上報安全方案，全國公安大數(shù)據(jù)智能化安全體系建設(shè)正在起步。這是一次安全體系的重大變革，必將產(chǎn)生深遠(yuǎn)影響。各地公安機(jī)關(guān)都應(yīng)做好充分準(zhǔn)備，迎接挑戰(zhàn)，全面提升大數(shù)據(jù)環(huán)境下的安全能力，為公安大數(shù)據(jù)智能化建設(shè)保駕護(hù)航。