薛藝澤 鄢金端 王元虎 公安部第一研究所

引言

在中共中央、國務(wù)院印發(fā)的《關(guān)于加強和完善城鄉(xiāng)社區(qū)治理的意見》（中發(fā)[2017]13號）中提出要積極回應群眾的平安需求，對加強城鄉(xiāng)社區(qū)治安防控網(wǎng)建設(shè)、深化城鄉(xiāng)社區(qū)警務(wù)戰(zhàn)略、全面提高社區(qū)治安綜合治理水平提出了明確的要求。在《中華人民共和國國民經(jīng)濟和社會發(fā)展第十四個五年規(guī)劃和2035年遠景目標綱要》中強調(diào)，推進智慧社區(qū)建設(shè)，依托社區(qū)數(shù)字化平臺和線下社區(qū)服務(wù)機構(gòu)，建設(shè)便民惠民智慧服務(wù)圈，提供線上線下融合的社區(qū)生活服務(wù)、社區(qū)治理及公共服務(wù)、智能小區(qū)等服務(wù)。公安部在《關(guān)于印發(fā)<全國公安機關(guān)加快社會治安防控體系建設(shè)行動計劃>的通知》（公通字[2019]14號）中要求研究建立以智能安防小區(qū)建設(shè)為中心的智慧社區(qū)警務(wù)體系，試點建設(shè)一批智能安防小區(qū)和村莊。

近年來，北京、天津、上海、浙江、廣東等省市積極響應中央號召，充分運用物聯(lián)網(wǎng)、大數(shù)據(jù)等新興科技，立足居民住宅小區(qū)，開展了智慧社區(qū)建設(shè)，在小區(qū)安全防范、實有人口管理、便民利民服務(wù)等方面進行了探索實踐，取得了良好效果。其中，北京市于2020年4月印發(fā)了《北京市公安局全面推進智慧社區(qū)建設(shè)實施方案》的通知，從組織領(lǐng)導、技術(shù)方案等方面進行了頂層設(shè)計和統(tǒng)籌規(guī)劃。

在智慧社區(qū)如火如荼建設(shè)浪潮中，因缺乏成熟的國家標準和行業(yè)標準支撐，各地建設(shè)方案多種多樣、良莠不齊。經(jīng)大量實地走訪調(diào)研和交流，筆者發(fā)現(xiàn)目前在智慧社區(qū)建設(shè)中主要存在安全措施弱和數(shù)據(jù)共享難兩個突出問題。

一、存在主要問題

（一）安全防護手段差、數(shù)據(jù)泄露風險大

敏感信息未得到有效保護。智慧社區(qū)建設(shè)中的靜態(tài)數(shù)據(jù)，如居民的證件號碼、住址等與人員身份信息強相關(guān)的數(shù)據(jù)，在采集、傳輸、應用中未采用有效保護手段，容易導致社區(qū)居民信息的泄露。

數(shù)據(jù)源接入缺少有效控制手段。智慧社區(qū)建設(shè)中的數(shù)據(jù)源主要來自于IP化非智能終端，如產(chǎn)生門禁記錄數(shù)據(jù)的門禁控制器、記錄車輛進出信息的車輛管理閘機控制端等，這些設(shè)備不像PC機一樣易于操作和管理。對這些設(shè)備的管理缺少安全措施，無法保證數(shù)據(jù)源信息的真實性。

數(shù)據(jù)上傳缺乏完整性保護。智慧社區(qū)建設(shè)中的數(shù)據(jù)在傳輸過程中沒有完整性保護措施，容易受到篡改，接收方也無法確認數(shù)據(jù)是否經(jīng)過篡改。

（二）建設(shè)標準不統(tǒng)一、數(shù)據(jù)共享率不高

目前各個智慧社區(qū)的建設(shè)企業(yè)對采集的數(shù)據(jù)單獨運行、單獨管理；因各個企業(yè)在技術(shù)框架、邏輯架構(gòu)、數(shù)據(jù)項和數(shù)據(jù)格式等方面未形成統(tǒng)一，形成一個個數(shù)據(jù)孤島，導致數(shù)據(jù)無法識別、無法共享，數(shù)據(jù)的應用價值大打折扣。

隨著智慧社區(qū)建設(shè)逐步深入，各級政府和部門都對智慧城市建設(shè)中采集的數(shù)據(jù)提出了共享的需求和要求。2020年11月，習近平總書記對平安中國建設(shè)作出重要指示，要求各有關(guān)部門要認真貫徹黨的十九屆五中全會精神，堅持共建共治共享方向，深入推進市域社會治理現(xiàn)代化，不斷增強人民群眾獲得感、幸福感和安全感。

本文基于智慧社區(qū)建設(shè)中存在的問題和實際業(yè)務(wù)需求，提出了一套兼容實現(xiàn)數(shù)據(jù)安全保護和共享共用的解決方案。

二、解決方案

（一）原則

在智慧社區(qū)建設(shè)中必須要同時兼顧數(shù)據(jù)安全和共享兩個方面，不能顧此失彼，導致事倍功半。智慧社區(qū)建設(shè)中的數(shù)據(jù)涉及居民基礎(chǔ)信息和出行軌跡信息等，屬于居民的個人隱私，若建設(shè)中得不到安全保障導致數(shù)據(jù)泄露，則會造成無法估量的社會影響和經(jīng)濟損失。若建設(shè)中的數(shù)據(jù)無法進行集中匯聚并實現(xiàn)共享，智慧社區(qū)建設(shè)的用戶方未享受數(shù)據(jù)紅利，則大量財政資金利用率不高且投資不可持續(xù)。

（二）總體思路

智慧社區(qū)建設(shè)的總體思路如圖1所示。前端感知設(shè)備，例如視頻監(jiān)控、智慧門禁、人臉識別設(shè)備、車輛識別設(shè)備、煙霧傳感器等，從小區(qū)側(cè)通過安全通道將采集的實時數(shù)據(jù)上傳到匯聚轉(zhuǎn)發(fā)平臺。匯聚轉(zhuǎn)發(fā)平臺將采集到的基礎(chǔ)信息脫敏處理后下發(fā)給前端感知設(shè)備；匯聚轉(zhuǎn)發(fā)平臺根據(jù)不同應用的權(quán)限，在認證鑒權(quán)成功后將本應用權(quán)限范圍內(nèi)的數(shù)據(jù)轉(zhuǎn)發(fā)給應用，不同應用獲得不同數(shù)據(jù)，例如高權(quán)限應用會獲得全量原始數(shù)據(jù)，低權(quán)限應用獲得部分脫敏后的數(shù)據(jù)。

（三）數(shù)據(jù)安全體系

智慧社區(qū)的數(shù)據(jù)安全體系主要涵蓋采集、匯聚、傳輸、轉(zhuǎn)發(fā)、使用五個環(huán)節(jié)。

1. 采集

數(shù)據(jù)采集是基礎(chǔ)，保證數(shù)據(jù)源的安全可靠尤為重要。

（1）靜態(tài)數(shù)據(jù)需在政府部門提供的采集程序統(tǒng)一界面中進行錄入，錄入終端與采集程序之間需采用SSL（Secure Socket Layer）VPN（Virtual Private Network）對采集鏈路進行加密保護，且采集的靜態(tài)數(shù)據(jù)首次落地必須嚴格控制在政府部門，嚴禁企業(yè)采集靜態(tài)數(shù)據(jù)。SSL VPN是解決錄入用戶訪問后臺采集程序中敏感數(shù)據(jù)最簡單最安全的解決方法，任何安裝瀏覽器的機器都可以使用。靜態(tài)數(shù)據(jù)是指居民登記的自身以及關(guān)聯(lián)的房屋、車輛等信息，主要包括居民信息、車輛信息和設(shè)備信息。

（2）對前端感知設(shè)備進行認證授權(quán)確保數(shù)據(jù)源的可信性。在小區(qū)側(cè)需通過專用設(shè)備，例如安全接入網(wǎng)關(guān)，對小區(qū)前端設(shè)備通過IP地址綁定、設(shè)備指紋認證等方法進行合法性認證，確保接入的都是合法的前端感知設(shè)備，嚴禁非法前端感知設(shè)備的接入。

（3）對前端感知設(shè)備自身物理安全進行防護，對存儲的數(shù)據(jù)進行加密保護，確保數(shù)據(jù)安全。萬一存儲的信息被讀取也無法解密解析保證信息的安全，設(shè)備本身存儲的信息應為不影響業(yè)務(wù)前提下的最小數(shù)據(jù)集，將風險降低到最低。

2. 匯聚

（1）通過小區(qū)前端感知設(shè)備與后端匯聚轉(zhuǎn)發(fā)平臺的雙向認證確保數(shù)據(jù)傳輸?shù)目尚判?。在?shù)據(jù)傳輸中，一方面確保前端感知設(shè)備的真實性，同時確保前端感知設(shè)備的數(shù)據(jù)傳輸?shù)胶戏ǖ臄?shù)據(jù)接收方。

（2）通過采用會話密鑰機制建立IPSecVPN隧道，確保數(shù)據(jù)傳輸?shù)谋Ｃ苄?。IPSec（Internet Protocol Security）是用于在公網(wǎng)上為兩個私有網(wǎng)絡(luò)（小區(qū)側(cè)的局域網(wǎng)和數(shù)據(jù)接收方的局域網(wǎng)）提供安全加密通信通道。會話密鑰機制會在每次建立數(shù)據(jù)通信鏈路時采用不同的動態(tài)密鑰確保安全。

（3）通過采用數(shù)據(jù)摘要機制，確保數(shù)據(jù)傳輸?shù)耐暾?。通過對通信交互中的所有數(shù)據(jù)提取指紋信息以實現(xiàn)數(shù)據(jù)完整性校驗。

（4）數(shù)據(jù)分級分類。對匯聚的數(shù)據(jù)按照與人身份信息關(guān)聯(lián)的緊密程度劃分成不同的等級；根據(jù)數(shù)據(jù)類型，劃分為視頻數(shù)據(jù)、圖像數(shù)據(jù)、結(jié)構(gòu)化數(shù)據(jù)等，不同的數(shù)據(jù)類型采用不同的分析技術(shù)方法進行處理。

3. 存儲

（1）數(shù)據(jù)存儲策略。針對在公網(wǎng)上的匯聚平臺，數(shù)據(jù)處理后必須即刻刪除。數(shù)據(jù)應該存儲在應用平臺的特定區(qū)域且加強安全防護。原始數(shù)據(jù)應該存儲在高安全域，針對某些敏感數(shù)據(jù)需要加密存儲。

（2）數(shù)據(jù)存儲平臺應加強自身的安全防護。存儲平臺需根據(jù)業(yè)務(wù)不同按照GB/T 25070-2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護安全設(shè)計技術(shù)要求》進行建設(shè)。

4. 轉(zhuǎn)發(fā)

（1）數(shù)據(jù)轉(zhuǎn)發(fā)的可控性。在數(shù)據(jù)轉(zhuǎn)發(fā)時，需要對數(shù)據(jù)接收方進行用戶鑒權(quán)，并且根據(jù)接收方的數(shù)據(jù)權(quán)限轉(zhuǎn)發(fā)權(quán)限范圍內(nèi)的數(shù)據(jù)，確保數(shù)據(jù)轉(zhuǎn)發(fā)給真正需要的用戶。

（2）數(shù)據(jù)轉(zhuǎn)發(fā)的保密性。數(shù)據(jù)在轉(zhuǎn)發(fā)時需采用加密傳輸方式，必要時采用點對點專線，確保穩(wěn)定性和保密性。另外涉及到的跨網(wǎng)/跨域的數(shù)據(jù)轉(zhuǎn)發(fā)，需要嚴格遵守跨網(wǎng)/跨域邊界安全要求。

5. 使用

數(shù)據(jù)使用的基本原則是“夠用不濫用”。一方面要確保滿足數(shù)據(jù)使用方的業(yè)務(wù)需求，另一方面要防止數(shù)據(jù)流入非法用戶或非權(quán)限范圍內(nèi)的用戶。

（1）數(shù)據(jù)使用的可控性。數(shù)據(jù)使用前，首先需要對數(shù)據(jù)使用方進行用戶鑒權(quán)，并且只能使用自己權(quán)限范圍內(nèi)的數(shù)據(jù)，確保合適范圍內(nèi)的數(shù)據(jù)給合適的數(shù)據(jù)使用方。

（2）不同權(quán)限用戶使用不同的數(shù)據(jù)集合。高權(quán)限用戶，例如政府部門、國家安全部門等可以使用全量原始數(shù)據(jù)；低權(quán)限用戶，例如小區(qū)物業(yè)、承建企業(yè)等可以使用子集脫敏數(shù)據(jù)。

（四）數(shù)據(jù)共享

1. 前提條件

智慧社區(qū)建設(shè)要加強頂層設(shè)計、統(tǒng)籌規(guī)劃，這樣才能實現(xiàn)數(shù)據(jù)共享。

（1）規(guī)定小區(qū)前端感知設(shè)備種類的最小配置。智慧社區(qū)前端感知設(shè)備，從是否智能來說，既有智慧門禁、車輛識別設(shè)備和人臉識別設(shè)備等智能設(shè)備，又有煙霧探測器和水壓探測器等物聯(lián)網(wǎng)設(shè)備。從數(shù)據(jù)類型上來說，既有視頻監(jiān)控類設(shè)備，又有圖像識別類設(shè)備和狀態(tài)監(jiān)測類設(shè)備等。要實現(xiàn)數(shù)據(jù)共享首先要規(guī)定必選的前端感知設(shè)備類型來確定最小數(shù)據(jù)源，各小區(qū)可根據(jù)自身情況增加更多的設(shè)備類型。

（2）統(tǒng)一網(wǎng)絡(luò)架構(gòu)、數(shù)據(jù)流向。包括數(shù)據(jù)采集、數(shù)據(jù)傳輸匯聚以及業(yè)務(wù)應用的網(wǎng)絡(luò)都需要做到統(tǒng)一。針對同一數(shù)據(jù)類型，要規(guī)定統(tǒng)一的數(shù)據(jù)流向，針對數(shù)據(jù)的處理系統(tǒng)也需統(tǒng)一。

（3）統(tǒng)一必要的數(shù)據(jù)項、數(shù)據(jù)格式、字典表。在采集靜態(tài)數(shù)據(jù)和動態(tài)數(shù)據(jù)時，例如居民姓名、國籍、證件類型、證件號碼、手機號碼、居住地址；車輛號碼、使用人姓名、車輛顏色、車輛品牌；設(shè)備名稱、設(shè)備編碼、設(shè)備類型、安裝地址、經(jīng)緯度值等都需要做詳細的規(guī)定。

2. 實現(xiàn)路徑

（1）數(shù)據(jù)集中匯聚。智慧社區(qū)的前端智能感知設(shè)備分布在各個小區(qū)，但采集的數(shù)據(jù)需統(tǒng)一匯聚、集中存儲。

（2）分級分類。根據(jù)一定的規(guī)則，將數(shù)據(jù)劃分為不同的安全級別；根據(jù)屬性，將數(shù)據(jù)劃分為不同的類別。只有實現(xiàn)了分級分類才能針對不同的用戶提供不同安全級別和類型的數(shù)據(jù)。

（3）用戶鑒權(quán)脫敏處理。每次數(shù)據(jù)使用時對用戶進行認證、對數(shù)據(jù)權(quán)限進行鑒權(quán)。根據(jù)用戶類別使用不同數(shù)據(jù)集合，高權(quán)限用戶使用全量原始數(shù)據(jù)；低權(quán)限用戶使用脫敏后的數(shù)據(jù)。

三、實際應用

本文提到的解決方案目前已應用到北京市智慧平安小區(qū)建設(shè)中。

數(shù)據(jù)安全主要通過安全接入網(wǎng)關(guān)實現(xiàn)，目前已部署1200余臺。如圖2所示。

安全接入網(wǎng)關(guān)主要功能包括：數(shù)據(jù)傳輸保護、身份認證、前端設(shè)備接入認證、應用流量識別、前端設(shè)備行為監(jiān)控。

1. 數(shù)據(jù)傳輸保護

安全接入網(wǎng)關(guān)應能與中心側(cè)平臺（互聯(lián)網(wǎng)轉(zhuǎn)發(fā)子系統(tǒng)）采用國密算法建立IPSec加密通道對數(shù)據(jù)進行加密保護，確保數(shù)據(jù)傳輸安全。

2. 身份認證

安全接入網(wǎng)關(guān)應能與中心側(cè)平臺實現(xiàn)雙向認證，確保數(shù)據(jù)安全無誤發(fā)送到政府側(cè)的中心平臺。

3. 前端設(shè)備接入認證

安全接入網(wǎng)關(guān)應能對小區(qū)智慧門禁等設(shè)備實現(xiàn)特征識別和綁定，根據(jù)數(shù)據(jù)特點等形成設(shè)備指紋，通過對設(shè)備指紋認證，防止假冒設(shè)備上傳數(shù)據(jù)，確保設(shè)備真實可靠。

4. 應用流量識別

安全接入網(wǎng)關(guān)應能支持通過安全管理平臺查看網(wǎng)關(guān)設(shè)備，接入設(shè)備狀態(tài)、鏈路狀態(tài)、流量情況及設(shè)備安全態(tài)勢等網(wǎng)絡(luò)安全狀態(tài)。安全接入網(wǎng)關(guān)應具備網(wǎng)絡(luò)傳輸數(shù)據(jù)解析和惡意代碼檢測分析功能，有效防范病毒、蠕蟲傳播。

5. 前端設(shè)備行為監(jiān)控

安全接入網(wǎng)關(guān)應具備資產(chǎn)識別的能力，自動發(fā)現(xiàn)接入網(wǎng)絡(luò)的IP設(shè)備并對網(wǎng)絡(luò)流量進行分析判斷出連接的智能終端設(shè)備的種類。安全接入網(wǎng)關(guān)應具備給中心側(cè)的管理平臺上報前端設(shè)備的運行狀態(tài)、在線狀態(tài)等信息，形成對前端設(shè)備的有效監(jiān)測。

數(shù)據(jù)共享主要通過互聯(lián)網(wǎng)轉(zhuǎn)發(fā)子系統(tǒng)實現(xiàn)，目前已覆蓋市級層面和大多數(shù)區(qū)級層面，已匯聚2000多個小區(qū)1億多條數(shù)據(jù)。如圖3所示。

互聯(lián)網(wǎng)轉(zhuǎn)發(fā)子系統(tǒng)主要功能包括：數(shù)據(jù)集中匯聚、數(shù)據(jù)分級分類、數(shù)據(jù)用戶鑒權(quán)、數(shù)據(jù)脫敏、數(shù)據(jù)轉(zhuǎn)發(fā)共享等。

1. 數(shù)據(jù)集中匯聚

數(shù)據(jù)主要包括居民、車輛、小區(qū)前端設(shè)備的登記信息等靜態(tài)數(shù)據(jù)，小區(qū)前端設(shè)備（視頻監(jiān)控、人臉識別設(shè)備、車輛識別設(shè)備、智慧門禁等）自動產(chǎn)生的動態(tài)數(shù)據(jù)。

2. 數(shù)據(jù)分級分類

能夠根據(jù)數(shù)據(jù)分級分類管理規(guī)則，將智慧社區(qū)數(shù)據(jù)進行標定。

3. 數(shù)據(jù)用戶鑒權(quán)

對用戶的數(shù)據(jù)權(quán)限進行識別，高權(quán)限用戶使用全量原始數(shù)據(jù)，低權(quán)限用戶使用脫敏后的數(shù)據(jù)。

4. 數(shù)據(jù)脫敏

根據(jù)不同的業(yè)務(wù)場景、不同用戶，采用不同的脫敏規(guī)則，來滿足不同的應用，實現(xiàn)數(shù)據(jù)“夠用不濫用”。

5. 數(shù)據(jù)轉(zhuǎn)發(fā)共享

根據(jù)不同用戶的數(shù)據(jù)權(quán)限和應用需求，將不同的數(shù)據(jù)集合轉(zhuǎn)發(fā)給不同的用戶，確?！坝袛?shù)據(jù)可用”。

四、結(jié)語

本文針對目前智慧社區(qū)建設(shè)中存在的問題進行分析，首次提出了同時兼顧數(shù)據(jù)安全和數(shù)據(jù)共享的思路架構(gòu)，然后構(gòu)建了采集、匯聚、存儲、轉(zhuǎn)發(fā)、使用五位一體的安全機制，并提出了數(shù)據(jù)共享的前提條件和實現(xiàn)路徑思路，并簡要描述了實際應用場景。本文提出的思路可以應用到智慧社區(qū)建設(shè)中，以及在開放環(huán)境中采集數(shù)據(jù)和應用數(shù)據(jù)的場景下，具備較強的社會效益和經(jīng)濟效益。