陸洪波，馮翌新，楊波

（公安部第一研究所物聯(lián)網(wǎng)部，北京100048）

0 引言

2019 年3 月，公安部在廣東召開全國公安大數(shù)據(jù)智能化建設應用推進會，會議要求各地認真貫徹中央和部黨委關于大數(shù)據(jù)智能化建設的決策部署，緊緊圍繞新中國70 周年大慶安保維穩(wěn)工作，緊密結合當前工作中存在的突出問題和薄弱環(huán)節(jié)，深入推進全國公安大數(shù)據(jù)智能化建設應用，著力提升新時代公安工作的能力水平。會上，公安部發(fā)布了總覽表、云計算平臺、大數(shù)據(jù)處理、大數(shù)據(jù)安全、新一代公安信息網(wǎng)等五方面關鍵性公安大數(shù)據(jù)規(guī)范性文件，用于指導建設。

六月，公安部在蘭州組織安全技術培訓班，新發(fā)布公安大數(shù)據(jù)安全總體技術框架、安全訪問平臺技術設計要求、零信任體系技術設計要求、安全防護體系技術設計要求等四項安全標準，這四項標準對三月發(fā)布的文件進行了完善和補充，是各地安全體系建設的基本依據(jù)。以上文件和培訓內(nèi)容既涵蓋宏觀的頂層規(guī)劃，又有具體可操作的技術細節(jié)，讓各地公安對大數(shù)據(jù)智能化建設的新任務、新要求有了更深刻的認識。

1 總體框架

在《公安大數(shù)據(jù)安全總體技術框架》標準規(guī)范中，按照“分層解耦、異構兼容”的思想將安全基礎設施能力解耦，形成了總體框架如圖1 所示。

圖1 總體框架

總體框架包括安全管理中心、實體安全、安全服務和安全基礎資源四部分，共同形成公安大數(shù)據(jù)智能化立體化縱深防御體系。

這個總體框架是一個全新的安全體系架構，體現(xiàn)的是通過“三化”對“六維”進行保護的思想?！叭敝纲Y源化、服務化、智能化?！傲S”指云平臺、數(shù)據(jù)、應用、網(wǎng)絡、邊界、終端六個維度的實體，是安全保護對象。

資源化指的是實現(xiàn)從安全設備到安全資源的轉變。資源化之后，安全也將類似計算、存儲等基礎設施，變成一種彈性按需的資源。例如，傳統(tǒng)防火墻，演變?yōu)橛赏ㄓ梅掌魈摂M產(chǎn)生的虛擬防火墻。安全資源化的理念，就形成了我們總體框架的最底層：安全基礎資源。

服務化指的是安全資源將通過標準服務的形式對六維實體提供保護。例如，傳統(tǒng)直接由防火墻提供的安全保護，演變?yōu)橐环N叫做“安全防護”的服務。在六維實體層面，將通過調(diào)用這些安全服務來實現(xiàn)安全保護。安全服務化的理念，就形成了我們總體框架自下至上的第二層：安全服務。

這里需要注意的是，安全的資源化和服務化，意味著傳統(tǒng)的安全產(chǎn)品要進行升級改造或是全新研制。因此，各地在進行安全體系建設的時候，應注意結合產(chǎn)品成熟度來制定演進路線。

在安全資源化和服務化之后，六維實體就能夠通過調(diào)用安全服務得到安全保護。這就形成了我們總體框架自下至上的第三層：實體安全。

但截止目前，這種安全保護還處在一個被動和靜態(tài)層面。因此，我們進一步引入智能化的概念，以實現(xiàn)主動和動態(tài)安全保護。智能化指的是，通過在終端上部署環(huán)境感知客戶端等措施，動態(tài)感知實體的安全狀態(tài)變化，并將風險信息送至安全管理中心，安全管理中心通過策略控制等組件，控制安全服務的管理平臺主動向實體提供相應級別的安全保護。安全智能化的理念，就形成了我們總體框架自下至上的第四層：安全管理中心。

2 建設內(nèi)容

在總體框架的基礎上再細化，就形成了公安大數(shù)據(jù)安全體系詳細設計架構。具體包括如下內(nèi)容：

●安全基礎資源方面，主要提供專用硬件安全資源和軟件安全資源等，形成公安大數(shù)據(jù)安全的安全基礎資源；

●安全服務方面，由安全防護和零信任兩大體系協(xié)同防護、能力互補，通過服務管理進行支撐并實現(xiàn)統(tǒng)一調(diào)度。零信任體系通過認證服務、權限管理服務、環(huán)境感知服務、業(yè)務審批服務、業(yè)務審計服務實現(xiàn)基于屬性的動態(tài)訪問控制；安全防護體系通過安全識別服務、安全保護服務、安全檢測服務、安全響應服務實現(xiàn)安全風險的閉環(huán)處置；通過按需、彈性調(diào)用安全服務，實現(xiàn)對實體的安全防護；

●實體安全方面，通過部署安全能力,對云平臺、數(shù)據(jù)、應用、邊界、網(wǎng)絡、終端進行防護，構建的立體化縱深安全防御，確保公安大數(shù)據(jù)安全；

●安全管理中心方面，以安全大數(shù)據(jù)為支撐匯集全網(wǎng)安全數(shù)據(jù)，形成公安大數(shù)據(jù)綜合安全管控能力，包括資產(chǎn)管理、基線配置、策略控制、態(tài)勢感知，確保公安大數(shù)據(jù)全程可知、可管、可控、可查。

公安大數(shù)據(jù)智能化安全體系的建設內(nèi)容就是要依據(jù)上述詳細設計架構，采購安全基礎資源，建成安全管理中心，提供安全服務，實現(xiàn)實體安全防護。

3 建設要點

綜合來看，在公安大數(shù)據(jù)智能化安全體系建設方面，有三方面建設要點。一是要嚴格遵照部標準開展安全體系建設。二是要立足本地現(xiàn)狀開展安全體系建設。三是要結合產(chǎn)業(yè)成熟度開展安全體系建設。

（1）嚴格遵照部標準開展建設

嚴格遵照部標準開展安全體系建設，統(tǒng)一安全策略，是各地落實公安大數(shù)據(jù)智能化建設“六統(tǒng)一”原則的重要舉措。

在公安大數(shù)據(jù)智能化安全體系建設方面，公安部計劃推出總體類、技術類、工程類、管理類四類標準。目前，已正式發(fā)布總體類標準1 項、工程類標準3 項，分別對安全總體技術框架、安全訪問平臺技術設計、零信任體系技術設計和安全防護體系技術設計進行了闡述。舉例來說，標準明確規(guī)定，安全訪問平臺由用戶訪問安全通道和數(shù)據(jù)交換安全通道組成，內(nèi)部又分為安全防護區(qū)、用戶接入?yún)^(qū)、應用前置區(qū)、接口訪問區(qū)、安全檢測區(qū)、數(shù)據(jù)交換服務區(qū)、安全管理區(qū)等，每個區(qū)應配備的安全組件也有詳細說明。因此，各地在開展公安大數(shù)據(jù)智能化安全體系建設的時候，這些規(guī)定動作必須完成。但是，可以根據(jù)自身情況，按照最小集分步建設。安全體系建設方面，近期的目標是實現(xiàn)公安網(wǎng)用戶安全可控訪問數(shù)據(jù)中心。

（2）立足本地現(xiàn)狀開展建設

前面提到，安全體系建設應嚴格遵照部標準。但是，雖然部標準提出了全面的安全能力要求，具體的安全能力的實現(xiàn)方式、部署規(guī)模、演進路線等卻沒有明確要求，這些方面可以立足本地現(xiàn)狀開展建設。

在安全能力的實現(xiàn)方式方面，在安全訪問平臺的組件部署方式、安全運維網(wǎng)絡選擇等環(huán)節(jié)，都可以做個性化建設。例如，安全訪問平臺的組件部署，即可以獨立部署，又可以使用數(shù)據(jù)中心的云資源部署，而獨立部署又可以分為單機、集群或自建云等多種方式。安全運維方面，可以采用物理帶外網(wǎng)絡運維，也可以采用邏輯帶外網(wǎng)絡運維，上述條件都不具備時則只能帶內(nèi)運維。

在安全能力部署規(guī)模方面，在用戶訪問平臺部署規(guī)模、終端安全部署規(guī)模等環(huán)節(jié)，都可以做個性化建設。例如，用戶訪問平臺的用戶接入?yún)^(qū)、應用前置區(qū)、安全檢測區(qū)的部署規(guī)模，都應該跟數(shù)據(jù)中心的業(yè)務應用量、用戶訪問量等關鍵要素掛鉤。

在安全能力的演進路線方面，公安部目前只明確要求盡快建好用戶訪問安全通道，在數(shù)據(jù)交換安全通道、零信任體系、安全防護體系、安全管理中心等環(huán)節(jié)的建設順序上尚未有明確安排，各地可根據(jù)自身需要做個性化設計。

另外，省級公安機關和直轄市公安機關在安全體系的建設上也不一樣。省級公安機關還要考慮省市分級建設的問題。

（3）結合產(chǎn)業(yè)成熟度開展建設

前面提到，在安全能力演進路線方面，各地可根據(jù)自身需要做個性化設計。具體的個性化設計，除考慮業(yè)務需求外，還要和產(chǎn)業(yè)成熟度相匹配。

產(chǎn)業(yè)成熟度體現(xiàn)在三方面，一是部安全標準的推進進度，二是安全產(chǎn)品的推進速度，三是安全測試體系的建設進度。在部安全標準方面，目前僅僅發(fā)布四項標準，在安全服務接口、安全大數(shù)據(jù)、安全管理中心等環(huán)節(jié)還有大量工程和技術標準尚未發(fā)布。標準沒有發(fā)布，意味著這些環(huán)節(jié)的建設工作缺乏依據(jù)，無法有效推進。因此，各地必須緊密跟蹤部標的發(fā)布進程。在安全產(chǎn)品的推進速度方面，目前主要是安全訪問平臺和零信任體系的部分產(chǎn)品已經(jīng)研發(fā)完成，公安部正在組織內(nèi)部測試。在第三方安全測試體系建設方面，相對就更慢一些，公安部目前只是有這方面規(guī)劃，但從測試內(nèi)容到測試方法等各方面都遠未成型。

結合上述情況，各地應妥善制定安全體系建設實施計劃，合理利用，確保既能保護實體安全，又不會盲目投資造成浪費。

4 結語

2019 年6 月，公安部在蘭州大數(shù)據(jù)安全培訓班上要求各地盡快上報安全方案，全國公安大數(shù)據(jù)智能化安全體系建設正在起步。這是一次安全體系的重大變革，必將產(chǎn)生深遠影響。各地公安機關都應做好充分準備，迎接挑戰(zhàn)，全面提升大數(shù)據(jù)環(huán)境下的安全能力，為公安大數(shù)據(jù)智能化建設保駕護航。