薛藝澤 鄢金端 王元虎 公安部第一研究所

引言

在中共中央、國(guó)務(wù)院印發(fā)的《關(guān)于加強(qiáng)和完善城鄉(xiāng)社區(qū)治理的意見》（中發(fā)[2017]13號(hào)）中提出要積極回應(yīng)群眾的平安需求，對(duì)加強(qiáng)城鄉(xiāng)社區(qū)治安防控網(wǎng)建設(shè)、深化城鄉(xiāng)社區(qū)警務(wù)戰(zhàn)略、全面提高社區(qū)治安綜合治理水平提出了明確的要求。在《中華人民共和國(guó)國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展第十四個(gè)五年規(guī)劃和2035年遠(yuǎn)景目標(biāo)綱要》中強(qiáng)調(diào)，推進(jìn)智慧社區(qū)建設(shè)，依托社區(qū)數(shù)字化平臺(tái)和線下社區(qū)服務(wù)機(jī)構(gòu)，建設(shè)便民惠民智慧服務(wù)圈，提供線上線下融合的社區(qū)生活服務(wù)、社區(qū)治理及公共服務(wù)、智能小區(qū)等服務(wù)。公安部在《關(guān)于印發(fā)<全國(guó)公安機(jī)關(guān)加快社會(huì)治安防控體系建設(shè)行動(dòng)計(jì)劃>的通知》（公通字[2019]14號(hào)）中要求研究建立以智能安防小區(qū)建設(shè)為中心的智慧社區(qū)警務(wù)體系，試點(diǎn)建設(shè)一批智能安防小區(qū)和村莊。

近年來，北京、天津、上海、浙江、廣東等省市積極響應(yīng)中央號(hào)召，充分運(yùn)用物聯(lián)網(wǎng)、大數(shù)據(jù)等新興科技，立足居民住宅小區(qū)，開展了智慧社區(qū)建設(shè)，在小區(qū)安全防范、實(shí)有人口管理、便民利民服務(wù)等方面進(jìn)行了探索實(shí)踐，取得了良好效果。其中，北京市于2020年4月印發(fā)了《北京市公安局全面推進(jìn)智慧社區(qū)建設(shè)實(shí)施方案》的通知，從組織領(lǐng)導(dǎo)、技術(shù)方案等方面進(jìn)行了頂層設(shè)計(jì)和統(tǒng)籌規(guī)劃。

在智慧社區(qū)如火如荼建設(shè)浪潮中，因缺乏成熟的國(guó)家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)支撐，各地建設(shè)方案多種多樣、良莠不齊。經(jīng)大量實(shí)地走訪調(diào)研和交流，筆者發(fā)現(xiàn)目前在智慧社區(qū)建設(shè)中主要存在安全措施弱和數(shù)據(jù)共享難兩個(gè)突出問題。

一、存在主要問題

（一）安全防護(hù)手段差、數(shù)據(jù)泄露風(fēng)險(xiǎn)大

敏感信息未得到有效保護(hù)。智慧社區(qū)建設(shè)中的靜態(tài)數(shù)據(jù)，如居民的證件號(hào)碼、住址等與人員身份信息強(qiáng)相關(guān)的數(shù)據(jù)，在采集、傳輸、應(yīng)用中未采用有效保護(hù)手段，容易導(dǎo)致社區(qū)居民信息的泄露。

數(shù)據(jù)源接入缺少有效控制手段。智慧社區(qū)建設(shè)中的數(shù)據(jù)源主要來自于IP化非智能終端，如產(chǎn)生門禁記錄數(shù)據(jù)的門禁控制器、記錄車輛進(jìn)出信息的車輛管理閘機(jī)控制端等，這些設(shè)備不像PC機(jī)一樣易于操作和管理。對(duì)這些設(shè)備的管理缺少安全措施，無法保證數(shù)據(jù)源信息的真實(shí)性。

數(shù)據(jù)上傳缺乏完整性保護(hù)。智慧社區(qū)建設(shè)中的數(shù)據(jù)在傳輸過程中沒有完整性保護(hù)措施，容易受到篡改，接收方也無法確認(rèn)數(shù)據(jù)是否經(jīng)過篡改。

（二）建設(shè)標(biāo)準(zhǔn)不統(tǒng)一、數(shù)據(jù)共享率不高

目前各個(gè)智慧社區(qū)的建設(shè)企業(yè)對(duì)采集的數(shù)據(jù)單獨(dú)運(yùn)行、單獨(dú)管理；因各個(gè)企業(yè)在技術(shù)框架、邏輯架構(gòu)、數(shù)據(jù)項(xiàng)和數(shù)據(jù)格式等方面未形成統(tǒng)一，形成一個(gè)個(gè)數(shù)據(jù)孤島，導(dǎo)致數(shù)據(jù)無法識(shí)別、無法共享，數(shù)據(jù)的應(yīng)用價(jià)值大打折扣。

隨著智慧社區(qū)建設(shè)逐步深入，各級(jí)政府和部門都對(duì)智慧城市建設(shè)中采集的數(shù)據(jù)提出了共享的需求和要求。2020年11月，習(xí)近平總書記對(duì)平安中國(guó)建設(shè)作出重要指示，要求各有關(guān)部門要認(rèn)真貫徹黨的十九屆五中全會(huì)精神，堅(jiān)持共建共治共享方向，深入推進(jìn)市域社會(huì)治理現(xiàn)代化，不斷增強(qiáng)人民群眾獲得感、幸福感和安全感。

本文基于智慧社區(qū)建設(shè)中存在的問題和實(shí)際業(yè)務(wù)需求，提出了一套兼容實(shí)現(xiàn)數(shù)據(jù)安全保護(hù)和共享共用的解決方案。

二、解決方案

（一）原則

在智慧社區(qū)建設(shè)中必須要同時(shí)兼顧數(shù)據(jù)安全和共享兩個(gè)方面，不能顧此失彼，導(dǎo)致事倍功半。智慧社區(qū)建設(shè)中的數(shù)據(jù)涉及居民基礎(chǔ)信息和出行軌跡信息等，屬于居民的個(gè)人隱私，若建設(shè)中得不到安全保障導(dǎo)致數(shù)據(jù)泄露，則會(huì)造成無法估量的社會(huì)影響和經(jīng)濟(jì)損失。若建設(shè)中的數(shù)據(jù)無法進(jìn)行集中匯聚并實(shí)現(xiàn)共享，智慧社區(qū)建設(shè)的用戶方未享受數(shù)據(jù)紅利，則大量財(cái)政資金利用率不高且投資不可持續(xù)。

（二）總體思路

智慧社區(qū)建設(shè)的總體思路如圖1所示。前端感知設(shè)備，例如視頻監(jiān)控、智慧門禁、人臉識(shí)別設(shè)備、車輛識(shí)別設(shè)備、煙霧傳感器等，從小區(qū)側(cè)通過安全通道將采集的實(shí)時(shí)數(shù)據(jù)上傳到匯聚轉(zhuǎn)發(fā)平臺(tái)。匯聚轉(zhuǎn)發(fā)平臺(tái)將采集到的基礎(chǔ)信息脫敏處理后下發(fā)給前端感知設(shè)備；匯聚轉(zhuǎn)發(fā)平臺(tái)根據(jù)不同應(yīng)用的權(quán)限，在認(rèn)證鑒權(quán)成功后將本應(yīng)用權(quán)限范圍內(nèi)的數(shù)據(jù)轉(zhuǎn)發(fā)給應(yīng)用，不同應(yīng)用獲得不同數(shù)據(jù)，例如高權(quán)限應(yīng)用會(huì)獲得全量原始數(shù)據(jù)，低權(quán)限應(yīng)用獲得部分脫敏后的數(shù)據(jù)。

（三）數(shù)據(jù)安全體系

智慧社區(qū)的數(shù)據(jù)安全體系主要涵蓋采集、匯聚、傳輸、轉(zhuǎn)發(fā)、使用五個(gè)環(huán)節(jié)。

1. 采集

數(shù)據(jù)采集是基礎(chǔ)，保證數(shù)據(jù)源的安全可靠尤為重要。

（1）靜態(tài)數(shù)據(jù)需在政府部門提供的采集程序統(tǒng)一界面中進(jìn)行錄入，錄入終端與采集程序之間需采用SSL（Secure Socket Layer）VPN（Virtual Private Network）對(duì)采集鏈路進(jìn)行加密保護(hù)，且采集的靜態(tài)數(shù)據(jù)首次落地必須嚴(yán)格控制在政府部門，嚴(yán)禁企業(yè)采集靜態(tài)數(shù)據(jù)。SSL VPN是解決錄入用戶訪問后臺(tái)采集程序中敏感數(shù)據(jù)最簡(jiǎn)單最安全的解決方法，任何安裝瀏覽器的機(jī)器都可以使用。靜態(tài)數(shù)據(jù)是指居民登記的自身以及關(guān)聯(lián)的房屋、車輛等信息，主要包括居民信息、車輛信息和設(shè)備信息。

（2）對(duì)前端感知設(shè)備進(jìn)行認(rèn)證授權(quán)確保數(shù)據(jù)源的可信性。在小區(qū)側(cè)需通過專用設(shè)備，例如安全接入網(wǎng)關(guān)，對(duì)小區(qū)前端設(shè)備通過IP地址綁定、設(shè)備指紋認(rèn)證等方法進(jìn)行合法性認(rèn)證，確保接入的都是合法的前端感知設(shè)備，嚴(yán)禁非法前端感知設(shè)備的接入。

（3）對(duì)前端感知設(shè)備自身物理安全進(jìn)行防護(hù)，對(duì)存儲(chǔ)的數(shù)據(jù)進(jìn)行加密保護(hù)，確保數(shù)據(jù)安全。萬一存儲(chǔ)的信息被讀取也無法解密解析保證信息的安全，設(shè)備本身存儲(chǔ)的信息應(yīng)為不影響業(yè)務(wù)前提下的最小數(shù)據(jù)集，將風(fēng)險(xiǎn)降低到最低。

2. 匯聚

（1）通過小區(qū)前端感知設(shè)備與后端匯聚轉(zhuǎn)發(fā)平臺(tái)的雙向認(rèn)證確保數(shù)據(jù)傳輸?shù)目尚判浴Ｔ跀?shù)據(jù)傳輸中，一方面確保前端感知設(shè)備的真實(shí)性，同時(shí)確保前端感知設(shè)備的數(shù)據(jù)傳輸?shù)胶戏ǖ臄?shù)據(jù)接收方。

（2）通過采用會(huì)話密鑰機(jī)制建立IPSecVPN隧道，確保數(shù)據(jù)傳輸?shù)谋Ｃ苄?。IPSec（Internet Protocol Security）是用于在公網(wǎng)上為兩個(gè)私有網(wǎng)絡(luò)（小區(qū)側(cè)的局域網(wǎng)和數(shù)據(jù)接收方的局域網(wǎng)）提供安全加密通信通道。會(huì)話密鑰機(jī)制會(huì)在每次建立數(shù)據(jù)通信鏈路時(shí)采用不同的動(dòng)態(tài)密鑰確保安全。

（3）通過采用數(shù)據(jù)摘要機(jī)制，確保數(shù)據(jù)傳輸?shù)耐暾?。通過對(duì)通信交互中的所有數(shù)據(jù)提取指紋信息以實(shí)現(xiàn)數(shù)據(jù)完整性校驗(yàn)。

（4）數(shù)據(jù)分級(jí)分類。對(duì)匯聚的數(shù)據(jù)按照與人身份信息關(guān)聯(lián)的緊密程度劃分成不同的等級(jí)；根據(jù)數(shù)據(jù)類型，劃分為視頻數(shù)據(jù)、圖像數(shù)據(jù)、結(jié)構(gòu)化數(shù)據(jù)等，不同的數(shù)據(jù)類型采用不同的分析技術(shù)方法進(jìn)行處理。

3. 存儲(chǔ)

（1）數(shù)據(jù)存儲(chǔ)策略。針對(duì)在公網(wǎng)上的匯聚平臺(tái)，數(shù)據(jù)處理后必須即刻刪除。數(shù)據(jù)應(yīng)該存儲(chǔ)在應(yīng)用平臺(tái)的特定區(qū)域且加強(qiáng)安全防護(hù)。原始數(shù)據(jù)應(yīng)該存儲(chǔ)在高安全域，針對(duì)某些敏感數(shù)據(jù)需要加密存儲(chǔ)。

（2）數(shù)據(jù)存儲(chǔ)平臺(tái)應(yīng)加強(qiáng)自身的安全防護(hù)。存儲(chǔ)平臺(tái)需根據(jù)業(yè)務(wù)不同按照GB/T 25070-2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》進(jìn)行建設(shè)。

4. 轉(zhuǎn)發(fā)

（1）數(shù)據(jù)轉(zhuǎn)發(fā)的可控性。在數(shù)據(jù)轉(zhuǎn)發(fā)時(shí)，需要對(duì)數(shù)據(jù)接收方進(jìn)行用戶鑒權(quán)，并且根據(jù)接收方的數(shù)據(jù)權(quán)限轉(zhuǎn)發(fā)權(quán)限范圍內(nèi)的數(shù)據(jù)，確保數(shù)據(jù)轉(zhuǎn)發(fā)給真正需要的用戶。

（2）數(shù)據(jù)轉(zhuǎn)發(fā)的保密性。數(shù)據(jù)在轉(zhuǎn)發(fā)時(shí)需采用加密傳輸方式，必要時(shí)采用點(diǎn)對(duì)點(diǎn)專線，確保穩(wěn)定性和保密性。另外涉及到的跨網(wǎng)/跨域的數(shù)據(jù)轉(zhuǎn)發(fā)，需要嚴(yán)格遵守跨網(wǎng)/跨域邊界安全要求。

5. 使用

數(shù)據(jù)使用的基本原則是“夠用不濫用”。一方面要確保滿足數(shù)據(jù)使用方的業(yè)務(wù)需求，另一方面要防止數(shù)據(jù)流入非法用戶或非權(quán)限范圍內(nèi)的用戶。

（1）數(shù)據(jù)使用的可控性。數(shù)據(jù)使用前，首先需要對(duì)數(shù)據(jù)使用方進(jìn)行用戶鑒權(quán)，并且只能使用自己權(quán)限范圍內(nèi)的數(shù)據(jù)，確保合適范圍內(nèi)的數(shù)據(jù)給合適的數(shù)據(jù)使用方。

（2）不同權(quán)限用戶使用不同的數(shù)據(jù)集合。高權(quán)限用戶，例如政府部門、國(guó)家安全部門等可以使用全量原始數(shù)據(jù)；低權(quán)限用戶，例如小區(qū)物業(yè)、承建企業(yè)等可以使用子集脫敏數(shù)據(jù)。

（四）數(shù)據(jù)共享

1. 前提條件

智慧社區(qū)建設(shè)要加強(qiáng)頂層設(shè)計(jì)、統(tǒng)籌規(guī)劃，這樣才能實(shí)現(xiàn)數(shù)據(jù)共享。

（1）規(guī)定小區(qū)前端感知設(shè)備種類的最小配置。智慧社區(qū)前端感知設(shè)備，從是否智能來說，既有智慧門禁、車輛識(shí)別設(shè)備和人臉識(shí)別設(shè)備等智能設(shè)備，又有煙霧探測(cè)器和水壓探測(cè)器等物聯(lián)網(wǎng)設(shè)備。從數(shù)據(jù)類型上來說，既有視頻監(jiān)控類設(shè)備，又有圖像識(shí)別類設(shè)備和狀態(tài)監(jiān)測(cè)類設(shè)備等。要實(shí)現(xiàn)數(shù)據(jù)共享首先要規(guī)定必選的前端感知設(shè)備類型來確定最小數(shù)據(jù)源，各小區(qū)可根據(jù)自身情況增加更多的設(shè)備類型。

（2）統(tǒng)一網(wǎng)絡(luò)架構(gòu)、數(shù)據(jù)流向。包括數(shù)據(jù)采集、數(shù)據(jù)傳輸匯聚以及業(yè)務(wù)應(yīng)用的網(wǎng)絡(luò)都需要做到統(tǒng)一。針對(duì)同一數(shù)據(jù)類型，要規(guī)定統(tǒng)一的數(shù)據(jù)流向，針對(duì)數(shù)據(jù)的處理系統(tǒng)也需統(tǒng)一。

（3）統(tǒng)一必要的數(shù)據(jù)項(xiàng)、數(shù)據(jù)格式、字典表。在采集靜態(tài)數(shù)據(jù)和動(dòng)態(tài)數(shù)據(jù)時(shí)，例如居民姓名、國(guó)籍、證件類型、證件號(hào)碼、手機(jī)號(hào)碼、居住地址；車輛號(hào)碼、使用人姓名、車輛顏色、車輛品牌；設(shè)備名稱、設(shè)備編碼、設(shè)備類型、安裝地址、經(jīng)緯度值等都需要做詳細(xì)的規(guī)定。

2. 實(shí)現(xiàn)路徑

（1）數(shù)據(jù)集中匯聚。智慧社區(qū)的前端智能感知設(shè)備分布在各個(gè)小區(qū)，但采集的數(shù)據(jù)需統(tǒng)一匯聚、集中存儲(chǔ)。

（2）分級(jí)分類。根據(jù)一定的規(guī)則，將數(shù)據(jù)劃分為不同的安全級(jí)別；根據(jù)屬性，將數(shù)據(jù)劃分為不同的類別。只有實(shí)現(xiàn)了分級(jí)分類才能針對(duì)不同的用戶提供不同安全級(jí)別和類型的數(shù)據(jù)。

（3）用戶鑒權(quán)脫敏處理。每次數(shù)據(jù)使用時(shí)對(duì)用戶進(jìn)行認(rèn)證、對(duì)數(shù)據(jù)權(quán)限進(jìn)行鑒權(quán)。根據(jù)用戶類別使用不同數(shù)據(jù)集合，高權(quán)限用戶使用全量原始數(shù)據(jù)；低權(quán)限用戶使用脫敏后的數(shù)據(jù)。

三、實(shí)際應(yīng)用

本文提到的解決方案目前已應(yīng)用到北京市智慧平安小區(qū)建設(shè)中。

數(shù)據(jù)安全主要通過安全接入網(wǎng)關(guān)實(shí)現(xiàn)，目前已部署1200余臺(tái)。如圖2所示。

安全接入網(wǎng)關(guān)主要功能包括：數(shù)據(jù)傳輸保護(hù)、身份認(rèn)證、前端設(shè)備接入認(rèn)證、應(yīng)用流量識(shí)別、前端設(shè)備行為監(jiān)控。

1. 數(shù)據(jù)傳輸保護(hù)

安全接入網(wǎng)關(guān)應(yīng)能與中心側(cè)平臺(tái)（互聯(lián)網(wǎng)轉(zhuǎn)發(fā)子系統(tǒng)）采用國(guó)密算法建立IPSec加密通道對(duì)數(shù)據(jù)進(jìn)行加密保護(hù)，確保數(shù)據(jù)傳輸安全。

2. 身份認(rèn)證

安全接入網(wǎng)關(guān)應(yīng)能與中心側(cè)平臺(tái)實(shí)現(xiàn)雙向認(rèn)證，確保數(shù)據(jù)安全無誤發(fā)送到政府側(cè)的中心平臺(tái)。

3. 前端設(shè)備接入認(rèn)證

安全接入網(wǎng)關(guān)應(yīng)能對(duì)小區(qū)智慧門禁等設(shè)備實(shí)現(xiàn)特征識(shí)別和綁定，根據(jù)數(shù)據(jù)特點(diǎn)等形成設(shè)備指紋，通過對(duì)設(shè)備指紋認(rèn)證，防止假冒設(shè)備上傳數(shù)據(jù)，確保設(shè)備真實(shí)可靠。

4. 應(yīng)用流量識(shí)別

安全接入網(wǎng)關(guān)應(yīng)能支持通過安全管理平臺(tái)查看網(wǎng)關(guān)設(shè)備，接入設(shè)備狀態(tài)、鏈路狀態(tài)、流量情況及設(shè)備安全態(tài)勢(shì)等網(wǎng)絡(luò)安全狀態(tài)。安全接入網(wǎng)關(guān)應(yīng)具備網(wǎng)絡(luò)傳輸數(shù)據(jù)解析和惡意代碼檢測(cè)分析功能，有效防范病毒、蠕蟲傳播。

5. 前端設(shè)備行為監(jiān)控

安全接入網(wǎng)關(guān)應(yīng)具備資產(chǎn)識(shí)別的能力，自動(dòng)發(fā)現(xiàn)接入網(wǎng)絡(luò)的IP設(shè)備并對(duì)網(wǎng)絡(luò)流量進(jìn)行分析判斷出連接的智能終端設(shè)備的種類。安全接入網(wǎng)關(guān)應(yīng)具備給中心側(cè)的管理平臺(tái)上報(bào)前端設(shè)備的運(yùn)行狀態(tài)、在線狀態(tài)等信息，形成對(duì)前端設(shè)備的有效監(jiān)測(cè)。

數(shù)據(jù)共享主要通過互聯(lián)網(wǎng)轉(zhuǎn)發(fā)子系統(tǒng)實(shí)現(xiàn)，目前已覆蓋市級(jí)層面和大多數(shù)區(qū)級(jí)層面，已匯聚2000多個(gè)小區(qū)1億多條數(shù)據(jù)。如圖3所示。

互聯(lián)網(wǎng)轉(zhuǎn)發(fā)子系統(tǒng)主要功能包括：數(shù)據(jù)集中匯聚、數(shù)據(jù)分級(jí)分類、數(shù)據(jù)用戶鑒權(quán)、數(shù)據(jù)脫敏、數(shù)據(jù)轉(zhuǎn)發(fā)共享等。

1. 數(shù)據(jù)集中匯聚

數(shù)據(jù)主要包括居民、車輛、小區(qū)前端設(shè)備的登記信息等靜態(tài)數(shù)據(jù)，小區(qū)前端設(shè)備（視頻監(jiān)控、人臉識(shí)別設(shè)備、車輛識(shí)別設(shè)備、智慧門禁等）自動(dòng)產(chǎn)生的動(dòng)態(tài)數(shù)據(jù)。

2. 數(shù)據(jù)分級(jí)分類

能夠根據(jù)數(shù)據(jù)分級(jí)分類管理規(guī)則，將智慧社區(qū)數(shù)據(jù)進(jìn)行標(biāo)定。

3. 數(shù)據(jù)用戶鑒權(quán)

對(duì)用戶的數(shù)據(jù)權(quán)限進(jìn)行識(shí)別，高權(quán)限用戶使用全量原始數(shù)據(jù)，低權(quán)限用戶使用脫敏后的數(shù)據(jù)。

4. 數(shù)據(jù)脫敏

根據(jù)不同的業(yè)務(wù)場(chǎng)景、不同用戶，采用不同的脫敏規(guī)則，來滿足不同的應(yīng)用，實(shí)現(xiàn)數(shù)據(jù)“夠用不濫用”。

5. 數(shù)據(jù)轉(zhuǎn)發(fā)共享

根據(jù)不同用戶的數(shù)據(jù)權(quán)限和應(yīng)用需求，將不同的數(shù)據(jù)集合轉(zhuǎn)發(fā)給不同的用戶，確?！坝袛?shù)據(jù)可用”。

四、結(jié)語(yǔ)

本文針對(duì)目前智慧社區(qū)建設(shè)中存在的問題進(jìn)行分析，首次提出了同時(shí)兼顧數(shù)據(jù)安全和數(shù)據(jù)共享的思路架構(gòu)，然后構(gòu)建了采集、匯聚、存儲(chǔ)、轉(zhuǎn)發(fā)、使用五位一體的安全機(jī)制，并提出了數(shù)據(jù)共享的前提條件和實(shí)現(xiàn)路徑思路，并簡(jiǎn)要描述了實(shí)際應(yīng)用場(chǎng)景。本文提出的思路可以應(yīng)用到智慧社區(qū)建設(shè)中，以及在開放環(huán)境中采集數(shù)據(jù)和應(yīng)用數(shù)據(jù)的場(chǎng)景下，具備較強(qiáng)的社會(huì)效益和經(jīng)濟(jì)效益。