李嬋嬋 王新猛 季敏惠 楊一濤

1.南京森林警察學(xué)院 2. 江蘇省公安廳

引言

警務(wù)云計算環(huán)境中的眾多用戶共享云設(shè)施，雖然該環(huán)境有眾多內(nèi)部網(wǎng)絡(luò)安全管理要素，但其仍面臨安全威脅，如數(shù)據(jù)的丟失和泄露、云計算資源的濫用或非法使用等?？偟膩碚f，警務(wù)云的安全性問題主要涉及數(shù)據(jù)隱私、系統(tǒng)安全、網(wǎng)絡(luò)盜竊、攻擊云本身、云服務(wù)資料外泄等。

針對警務(wù)云面臨的安全威脅，為提升江蘇警務(wù)云基礎(chǔ)保障環(huán)境安全防護能力，開展面向公共安全行業(yè)的大數(shù)據(jù)、云計算等安全防護關(guān)鍵技術(shù)研究及應(yīng)用示范，探索并建設(shè)多層次、跨節(jié)點、廣域網(wǎng)分布式的一體化云上安全資源池，選擇區(qū)、市開展綜合示范，構(gòu)建符合智慧警務(wù)特點和行業(yè)特征的安全防護管理服務(wù)體系，對平臺中各類云主機、物理機、存儲、網(wǎng)絡(luò)以及大數(shù)據(jù)資源進行全方位、立體化的安全防護，并采用大數(shù)據(jù)智能分析技術(shù)，快速發(fā)現(xiàn)和響應(yīng)云安全風(fēng)險，實現(xiàn)云上資源的智能監(jiān)測、安全運營、安全審計、態(tài)勢感知，為云上資源服務(wù)提供安全穩(wěn)定的運行環(huán)境。

本文針對江蘇省警務(wù)云安全防護體系，對該體系中IaaS、PaaS、DaaS、SaaS這四層云平臺的網(wǎng)絡(luò)安全實現(xiàn)技術(shù)細(xì)節(jié)做研究，并設(shè)計一種警務(wù)云縱深安全防護架構(gòu)。本文將從整體設(shè)計架構(gòu)，實現(xiàn)多層次、跨網(wǎng)絡(luò)和廣域網(wǎng)三種特性所用的技術(shù)架構(gòu)等方面進行詳細(xì)說明。

一、整體設(shè)計架構(gòu)

警務(wù)云具有結(jié)構(gòu)復(fù)雜和多用戶的特點，需要處理跨網(wǎng)絡(luò)、大規(guī)模、高動態(tài)、海量數(shù)據(jù)，還要滿足省級警務(wù)云平臺與各市級警務(wù)云平臺的安全對接，即滿足廣域網(wǎng)一體化的安全防護，對云上安全提出新要求的同時，對平臺的整體安全性也提出了新的要求，傳統(tǒng)的網(wǎng)絡(luò)安全保障方法已無法滿足新的需求。本文提出的警務(wù)云縱深安全防護體系充分考慮到上述因素，從IaaS、PaaS、DaaS、SaaS層進行綜合考慮，設(shè)計多層次的安全保障方法，并針對云環(huán)境的特點，對多層次網(wǎng)絡(luò)安全保障方法進行優(yōu)化，使其滿足當(dāng)前云環(huán)境的多層次、跨網(wǎng)絡(luò)、廣域網(wǎng)安全需求。

（一）總體架構(gòu)

從邏輯上講，警務(wù)云的構(gòu)成可以分為：物理環(huán)境、網(wǎng)絡(luò)系統(tǒng)、主機系統(tǒng)、虛擬化、軟件平臺、數(shù)據(jù)和應(yīng)用七類防護對象，提供并實施針對性的安全防護措施?；诰瘎?wù)云提供的多層不同的服務(wù)模式為基礎(chǔ)，以專網(wǎng)為依托，建設(shè)多層次、跨網(wǎng)絡(luò)、跨廣域網(wǎng)的全省一體化的警務(wù)云縱深安全防護體系。

（二）平臺構(gòu)成

警務(wù)云計算平臺分層架構(gòu)自下而上由IaaS層、PaaS層、DaaS層、SaaS層等組成。簡而言之，IaaS層主要包含硬件基礎(chǔ)設(shè)施層和基礎(chǔ)設(shè)施管理兩大部分，PaaS層主要由平臺支撐軟件層構(gòu)成，DaaS層為各類應(yīng)用提供數(shù)據(jù)資源服務(wù)，SaaS層主要提供各類應(yīng)用服務(wù)。

1. IaaS層

IaaS層構(gòu)成了各部門和各種警務(wù)應(yīng)用系統(tǒng)共享使用的硬件資源池，主要包括存儲資源、計算資源和網(wǎng)絡(luò)資源。為了能有效調(diào)度及共享使用資源池中的物理資源，需要使用虛擬化軟件對大量的存儲服務(wù)器、物理計算服務(wù)器以及網(wǎng)絡(luò)資源進行虛擬化；同時，為了能給應(yīng)用系統(tǒng)提供動態(tài)和彈性擴展的資源分配能力，還需要使用基礎(chǔ)設(shè)施管理軟件對各種物理資源和虛擬化資源進行統(tǒng)一管理、調(diào)度分配和使用監(jiān)控。

2. PaaS層

PaaS層主要提供完成云計算和云存儲所必需的各種平臺支撐系統(tǒng)軟件，主要包括云存儲系統(tǒng)和云計算系統(tǒng)兩大部分。

云存儲系統(tǒng)需要為之提供結(jié)構(gòu)化數(shù)據(jù)的存儲與快速查詢能力，以及非結(jié)構(gòu)化和半結(jié)構(gòu)化數(shù)據(jù)的存儲與處理能力。PaaS層中，云存儲系統(tǒng)首先需要提供關(guān)系數(shù)據(jù)庫系統(tǒng)（如MySQL、SQL Server等），同時提供分布式文件系統(tǒng)存儲海量數(shù)據(jù)，如開源的Hadoop系統(tǒng)中的HDFS，它是面向海量數(shù)據(jù)存儲較為完善、廣為接受和使用的分布式文件系統(tǒng)。

云計算系統(tǒng)主要用于進行海量數(shù)據(jù)的并行處理，實現(xiàn)各種海量警務(wù)數(shù)據(jù)的分析和挖掘。開源的Hadoop是目前最為成熟的海量數(shù)據(jù)并行處理軟件，它提供了MapReduce、Spark等并行計算框架。

3. DaaS層

該層包括各類共享數(shù)據(jù)資源服務(wù)、云搜索等云應(yīng)用數(shù)據(jù)服務(wù)。

4. SaaS層

SaaS層主要包含各類警務(wù)云計算應(yīng)用系統(tǒng)所公用的服務(wù)資源及警務(wù)云計算應(yīng)用系統(tǒng)。警務(wù)云計算應(yīng)用系統(tǒng)所公用的服務(wù)資源主要包括為各個系統(tǒng)所使用的門戶服務(wù)、消息服務(wù)、查詢服務(wù)、數(shù)據(jù)抽取集成服務(wù)、數(shù)據(jù)挖掘和統(tǒng)計分析服務(wù)、安全服務(wù)，以及統(tǒng)一數(shù)據(jù)資源訪問等公用服務(wù)模塊和程序等。

二、多層次安全防護設(shè)計

為保障云環(huán)境的網(wǎng)絡(luò)安全，并滿足不同用戶的個性化需求，其安全防護體系必須從IaaS、PaaS、DaaS、SaaS 層進行綜合考慮，需要包含多層次的安全保障方法。對于IaaS服務(wù)，需保證底層資源池的安全，包括物理安全、主機安全、虛擬化安全、網(wǎng)絡(luò)安全以及資源池內(nèi)部的接口安全。對于PaaS服務(wù)，不僅僅要保證IaaS服務(wù)中資源池層面的安全，還需保證對外提供PaaS服務(wù)接口的安全。對于DaaS服務(wù)，不僅要保證數(shù)據(jù)安全，還要保證隱私敏感數(shù)據(jù)不被進行竊取和濫用。對于SaaS服務(wù)，除了下層IaaS和PaaS服務(wù)的安全能力之外，還需要保證SaaS服務(wù)相關(guān)應(yīng)用的安全。

（一）IaaS層的安全防護設(shè)計

IaaS層安全防護涉及虛擬化資源隔離、虛擬網(wǎng)絡(luò)隔離、虛擬網(wǎng)絡(luò)威脅、鏡像安全和宿主機安全。

1. 虛擬化資源隔離

云平臺虛擬資源的安全隔離是云安全的基本要求。警務(wù)云平臺內(nèi)部虛擬機需要通過CPU虛擬化、內(nèi)存虛擬化、存儲虛擬化等技術(shù)來實現(xiàn)不同虛擬機之間的資源隔離。

2. 虛擬網(wǎng)絡(luò)隔離

不同的虛擬主機之間可通過安全組來進行安全隔離，每個安全組可以設(shè)定一組訪問規(guī)則，當(dāng)虛擬機加入安全組后，即受到該訪問規(guī)則組的保護。同一個安全組中的虛擬機之間可以相互通信，而不同的安全組之間的虛擬機默認(rèn)不允許進行通信，需要配置相關(guān)訪問控制規(guī)則才可建立通信關(guān)系。

3. 虛擬網(wǎng)絡(luò)威脅

采用：（1）二層網(wǎng)絡(luò)威脅防護方案：虛擬網(wǎng)絡(luò)安全策略實現(xiàn)防止用戶虛擬機IP和MAC地址仿冒、防止用戶虛擬機DHCP Server仿冒機制；（2）四層到七層虛擬網(wǎng)絡(luò)威脅防護方案：通過SDN（軟件定義網(wǎng)絡(luò)）+NFV（網(wǎng)絡(luò)功能虛擬化）的方案實現(xiàn)虛擬網(wǎng)絡(luò)內(nèi)安全防護。

4. 鏡像安全

警務(wù)云所有的計算節(jié)點、管理節(jié)點均使用SUSE Linux操作系統(tǒng)，因此需對平臺的底層操作系統(tǒng)進行統(tǒng)一加固，包括系統(tǒng)服務(wù)層面加固、文件目錄控制、賬號口令加固、認(rèn)證授權(quán)及訪問控制以及設(shè)置系統(tǒng)安全基線。在內(nèi)核層面加固，通過修改操作系統(tǒng)內(nèi)核配置項參數(shù)，屏蔽掉Linux系統(tǒng)一些默認(rèn)開啟的功能，同時避免惡意用戶修改系統(tǒng)設(shè)置。

5. 宿主機與虛擬機安全

針對宿主機進行系統(tǒng)安全的加固，涉及系統(tǒng)運行監(jiān)測、系統(tǒng)關(guān)鍵進程保護、惡意代碼防護和入侵防護。

（二）PaaS層的安全防護設(shè)計

平臺服務(wù)層安全防護主要是為開發(fā)服務(wù)、授權(quán)服務(wù)、認(rèn)證服務(wù)、API網(wǎng)關(guān)、傳輸交換等平臺組件提供安全防護支撐。其安全防護措施主要包括多級租戶數(shù)據(jù)隔離、大數(shù)據(jù)集群安全、平臺管理系統(tǒng)安全、身份鑒別和授權(quán)管理、RDS服務(wù)安全等。

1. 大數(shù)據(jù)集群安全與多級租戶數(shù)據(jù)隔離

通過建設(shè)Hadoop集群安全審計功能，采集省廳警務(wù)云計算平臺中HDFS、Hive、Storm、HBase、Redis等日志數(shù)據(jù)，提供組件監(jiān)控、多用戶訪問監(jiān)控、節(jié)點監(jiān)控等云安全服務(wù)。同時，通過建設(shè)MPPDB集群安全審計功能，提供數(shù)據(jù)庫漏洞檢測、實時行為監(jiān)控、細(xì)粒度協(xié)議解析與雙向?qū)徲?、?yīng)用三層關(guān)聯(lián)審計等云審計服務(wù)。

2. 平臺管理系統(tǒng)安全

通過建設(shè)大數(shù)據(jù)集群運維管理功能，提供大數(shù)據(jù)組件與節(jié)點的集中管理和智能運維等云安全管理服務(wù)。

3. 身份鑒別和授權(quán)管理

通過建設(shè)大數(shù)據(jù)平臺安全管理功能，實現(xiàn)不同用戶的身份鑒別和授權(quán)管理。

4. RDS服務(wù)安全

通過建設(shè)RDS服務(wù)安全功能，為關(guān)系型數(shù)據(jù)庫提供網(wǎng)絡(luò)隔離、訪問控制、傳輸加密、自動備份和快照、數(shù)據(jù)復(fù)制、數(shù)據(jù)刪除等云安全服務(wù)。

5. 接口服務(wù)安全

包括虛擬化軟件內(nèi)部接口、對外服務(wù)接口的安全防護。針對云平臺對外提供的接口定期進行安全評估，防止被黑客攻擊。定期對云平臺對外接口進行滲透測試和漏洞評估，確保接口的安全。

（三）數(shù)據(jù)服務(wù)（DaaS）層的安全防護設(shè)計

數(shù)據(jù)服務(wù)層的安全，主要從警務(wù)數(shù)據(jù)產(chǎn)生、采集、存儲、傳輸、使用、共享、銷毀等數(shù)據(jù)生命周期關(guān)鍵環(huán)節(jié)梳理數(shù)據(jù)安全防護需要具備的技術(shù)手段和工具，以確保警務(wù)云平臺對外提供的數(shù)據(jù)服務(wù)安全可靠。

1. 數(shù)據(jù)服務(wù)訪問控制

數(shù)據(jù)服務(wù)訪問控制指的是在應(yīng)用服務(wù)訪問數(shù)據(jù)服務(wù)的過程中，驗證應(yīng)用服務(wù)身份的真實性和合法性，識別訪問請求權(quán)限，確保沒有超出授權(quán)使用范圍。根據(jù)最小權(quán)限原則，通過授權(quán)中心為應(yīng)用服務(wù)分配數(shù)據(jù)服務(wù)訪問權(quán)限；通過可信API代理訪問數(shù)據(jù)服務(wù)，可信API代理協(xié)同安全基礎(chǔ)設(shè)施的認(rèn)證服務(wù)對應(yīng)用服務(wù)進行身份認(rèn)證，確保應(yīng)用服務(wù)身份的合法性；通過安全基礎(chǔ)設(shè)施的授權(quán)服務(wù)鑒別應(yīng)用服務(wù)訪問權(quán)限。

2. 數(shù)據(jù)授權(quán)和鑒權(quán)

數(shù)據(jù)授權(quán)即根據(jù)用戶屬性、數(shù)據(jù)屬性、數(shù)據(jù)操作行為配置數(shù)據(jù)訪問權(quán)限策略。通過安全基礎(chǔ)設(shè)施的授權(quán)服務(wù)，基于用戶級別、數(shù)據(jù)級別配置數(shù)據(jù)訪問權(quán)限策略，數(shù)據(jù)訪問權(quán)限策略包含業(yè)務(wù)范圍界定、數(shù)據(jù)訪問頻度、時間范圍界定等，根據(jù)主體的環(huán)境屬性及安全狀態(tài)動態(tài)調(diào)整訪問權(quán)限。

3. 數(shù)據(jù)操作安全審計

但是，上述討論有一個邏輯問題，即一下子跳躍到超人這個最高階段，而從技術(shù)發(fā)展歷程看，超人是最后一個環(huán)節(jié)，此前需要經(jīng)歷初級、中級和高級階段。

在數(shù)據(jù)使用、共享環(huán)節(jié)，通過建立數(shù)據(jù)審計系統(tǒng)對數(shù)據(jù)訪問行為進行合規(guī)監(jiān)控，對具有合法身份的用戶、設(shè)備和應(yīng)用的訪問行為進行審計記錄，產(chǎn)生相關(guān)的審計日志，審計日志包括訪問主體、訪問的數(shù)據(jù)、訪問時間、訪問的行為類型（讀、寫）以及訪問的結(jié)果等內(nèi)容，審計日志存放在單獨的審計存儲空間內(nèi)，審計日志可作為行為監(jiān)控和事后溯源的重要依據(jù)。同時數(shù)據(jù)審計系統(tǒng)可對用戶、設(shè)備、應(yīng)用的審計日志進行收集、分析，實現(xiàn)對合法用戶利用警務(wù)數(shù)據(jù)從事非法侵權(quán)行為的監(jiān)測、識別和取證，對非法行為進行事后追究，情節(jié)嚴(yán)重的按照法律法規(guī)進行處理，做到“違規(guī)使用不可逃”，從而降低內(nèi)部警員越權(quán)使用的情況。支持對分布式文件系統(tǒng)、結(jié)構(gòu)化存儲系統(tǒng)、非關(guān)系型數(shù)據(jù)庫等組件進行審計。

4. 數(shù)據(jù)脫敏

數(shù)據(jù)脫敏是指對某些敏感信息通過脫敏規(guī)則進行數(shù)據(jù)的變形，實現(xiàn)敏感隱私數(shù)據(jù)的安全保護。通過通用防護中的數(shù)據(jù)脫敏服務(wù)對共享數(shù)據(jù)中包含的敏感數(shù)據(jù)進行轉(zhuǎn)換、掩蓋等處理，防止二次泄密，脫敏以后的數(shù)據(jù)級別低于脫敏前的級別。對共享數(shù)據(jù)進行脫敏處理，能夠有效防止敏感數(shù)據(jù)泄露。

5. 數(shù)據(jù)泄露檢測

在數(shù)據(jù)開放共享過程中，為防止因違規(guī)操作、誤操作等導(dǎo)致的不該共享開放的數(shù)據(jù)被泄漏，通過使用網(wǎng)絡(luò)數(shù)據(jù)防泄漏系統(tǒng)對外發(fā)的數(shù)據(jù)進行敏感性識別，以及時發(fā)現(xiàn)和攔截禁止共享開放的數(shù)據(jù)流出。通過基于正則表達(dá)式的檢測，實現(xiàn)對“規(guī)則字符串”過濾與檢查，支持PCRE等常見語法規(guī)則的正則表達(dá)式。通過數(shù)據(jù)標(biāo)識符識別敏感數(shù)據(jù)。通過機器學(xué)習(xí)的方式，利用中文語義識別防范，采用優(yōu)化的聚類和分類算法，捕獲敏感數(shù)據(jù)規(guī)律，構(gòu)建敏感數(shù)據(jù)模型并用來監(jiān)測可能因違規(guī)操作、誤操作導(dǎo)致不該共享的敏感數(shù)據(jù)流出警務(wù)云中心。

（四）SaaS層的安全防護設(shè)計

SaaS層是警務(wù)應(yīng)用的展示層，應(yīng)用安全主要是保障應(yīng)用自身和應(yīng)用使用的安全性，包含訪問控制、安全隔離、通信加密、攻擊防護及脆弱性管理的防護體系。

1. Web安全攻擊防護設(shè)計

通過資源池生產(chǎn)云WAF組件，實現(xiàn)對Web應(yīng)用系統(tǒng)的深度應(yīng)用攻擊防護，抵御各類應(yīng)用層攻擊，如SQL注入、命令注入、Cookie注入、Cookie假冒、敏感信息泄露、惡意代碼等。Web安全防護架構(gòu)如圖2所示。

2. Web防篡改設(shè)計

在網(wǎng)站服務(wù)器上部署網(wǎng)頁防篡改系統(tǒng)，對網(wǎng)站加以防護，同時借助防篡改引擎，實現(xiàn)對篡改行為的監(jiān)測。網(wǎng)頁通常由靜態(tài)文件與動態(tài)文件組成。對靜態(tài)文件保護是在站點內(nèi)部通過防篡改模塊進行靜態(tài)頁面鎖定和靜態(tài)文件監(jiān)控，發(fā)現(xiàn)有對網(wǎng)頁進行修改、刪除等非法操作時，進行保護并告警；對動態(tài)文件的保護，一般通過在站點嵌入Web防攻擊模塊，通過設(shè)定IP、關(guān)鍵字、時間過濾規(guī)則，以攔截掃描、非法訪問請求等操作。Web防篡改原理如圖3所示。

3. 應(yīng)用安全審計設(shè)計

通過資源池生產(chǎn)Web審計單元對警務(wù)云平臺內(nèi)的應(yīng)用進行安全審計，對所有警務(wù)人員登錄使用警務(wù)云平臺業(yè)務(wù)應(yīng)用的使用情況進行日志記錄，并對警務(wù)云內(nèi)應(yīng)用系統(tǒng)日志記錄進行定期審查，以及時發(fā)現(xiàn)違規(guī)使用情況，同時提供對審計記錄數(shù)據(jù)進行統(tǒng)計、查詢、分析及生成審計報表的功能。

4. SaaS層脆弱性管理

通過安全資源池的Web漏洞掃描器，可對云上系統(tǒng)應(yīng)用進行Web漏洞掃描，檢測云上系統(tǒng)存在的應(yīng)用漏洞，及時發(fā)現(xiàn)云上應(yīng)用安全短板，提升云上系統(tǒng)安全能力；制定的安全基線準(zhǔn)則對應(yīng)用系統(tǒng)的安全配置進行核查并提供整改建議。通過資源池中的基線核查服務(wù)，對SaaS層警務(wù)云應(yīng)用系統(tǒng)進行自動化的基線核查。

三、跨網(wǎng)安全防護設(shè)計

警務(wù)云是一種跨網(wǎng)絡(luò)的云服務(wù)體系，從云平臺整個網(wǎng)絡(luò)架構(gòu)可以分為三個層面：跨數(shù)據(jù)中心網(wǎng)絡(luò)、數(shù)據(jù)中心網(wǎng)絡(luò)以及云接入網(wǎng)絡(luò)。網(wǎng)絡(luò)虛擬化可以靈活實現(xiàn)和公有域的網(wǎng)絡(luò)連接以及靈活的安全策略。如何實現(xiàn)不同網(wǎng)絡(luò)數(shù)據(jù)中心、數(shù)據(jù)中心內(nèi)部及接入網(wǎng)絡(luò)高效穩(wěn)定的基礎(chǔ)網(wǎng)絡(luò)環(huán)境，提高鏈路利用率和網(wǎng)絡(luò)的可靠性成為急需解決的關(guān)鍵技術(shù)之一。因此，針對云環(huán)境的特點，對多層次網(wǎng)絡(luò)安全保障方法進行優(yōu)化，使其滿足云環(huán)境的需求，是目前警務(wù)云網(wǎng)絡(luò)安全保障方法需要研究的重點。

為避免安全建設(shè)重復(fù)投入，設(shè)計支持跨網(wǎng)、跨不同的安全域（用戶域與數(shù)據(jù)域）、跨級（省、市）的安全資源池管理系統(tǒng)，對不同網(wǎng)絡(luò)、不同域進行統(tǒng)一安全防護。網(wǎng)絡(luò)內(nèi)單節(jié)點內(nèi)的安全防護直接參考多層防護模型（IaaS、PaaS、DaaS、SaaS）即可。節(jié)點跨業(yè)務(wù)網(wǎng)絡(luò)之間，利用資源池內(nèi)NFV安全組件實現(xiàn)跨網(wǎng)絡(luò)的安全防護。

將安全資源池節(jié)點旁掛在轉(zhuǎn)發(fā)系統(tǒng)上，并通過安全控制器來集中地分發(fā)服務(wù)鏈策略，引導(dǎo)轉(zhuǎn)發(fā)系統(tǒng)中流量的轉(zhuǎn)發(fā)。兩大核心模塊：策略模塊和流量編排模塊，策略模塊負(fù)責(zé)將業(yè)務(wù)所需的安全防護策略進行解析，然后轉(zhuǎn)換為路由表的路由條目進行存儲。對于每個轉(zhuǎn)發(fā)節(jié)點，策略編排設(shè)計了進口、出口和節(jié)點探測組件用來執(zhí)行安全服務(wù)鏈的轉(zhuǎn)發(fā)。

四、廣域網(wǎng)一體化安全防護設(shè)計

警務(wù)云安全防護還要滿足廣域網(wǎng)一體化的安全防護要求，需要規(guī)范建立省市警務(wù)云計算平臺設(shè)施層、網(wǎng)絡(luò)層、服務(wù)層、數(shù)據(jù)層和應(yīng)用層的安全防護體系，一方面，市級平臺要將本地安全防護建設(shè)情況、技術(shù)手段、管理策略等內(nèi)容，通過標(biāo)準(zhǔn)接口推送至省廳平臺；另一方面，省級平臺在線監(jiān)測全省平臺安全防護情況，綜合分析評估各地防護能力，指導(dǎo)各地提升安全防護水平，實現(xiàn)全省警務(wù)云計算平臺安全防護質(zhì)態(tài)一體化管理目標(biāo)。

本警務(wù)云縱深防護體系，將省廳和各地市不同網(wǎng)絡(luò)、不同數(shù)據(jù)中心的網(wǎng)絡(luò)，采用分布式安全資源池進行防護，同時滿足集約化的安全建設(shè)原則，采取建設(shè)統(tǒng)一的安全管理平臺對所有的安全資源池進行統(tǒng)一的管理，對全省的安全進行統(tǒng)一的監(jiān)控，對全省的警務(wù)云進行全網(wǎng)的態(tài)勢感知。

提供統(tǒng)一的安全門戶，實現(xiàn)對多套安全資源池做統(tǒng)一的運維管理，云安全管理平臺提供了云安全統(tǒng)一門戶的模塊，安全管理員通過統(tǒng)一門戶模塊可以按需選擇所屬DC（數(shù)據(jù)中心）的安全資源池，提升了使用體驗，并降低了建設(shè)成本。

五、結(jié)語

近年來，云計算在公安行業(yè)的應(yīng)用逐漸興起，在警務(wù)云日益普及的今天，警務(wù)云的安全問題也引起了各方重視，研究解決警務(wù)云縱深安全防護體系及關(guān)鍵技術(shù)在公安行業(yè)落地應(yīng)用具有非常重要的理論和實踐意義。本文提出并構(gòu)建的基于多層次、跨網(wǎng)絡(luò)、廣域網(wǎng)警務(wù)云縱深安全防護體系提升了江蘇警務(wù)云基礎(chǔ)保障環(huán)境安全防護能力，為案件信息、警務(wù)工作數(shù)據(jù)等警務(wù)信息，提供先進安全防護技術(shù)手段，提高警務(wù)云安全防護能力，提升群眾安全感、滿意度，并帶動了相關(guān)安全、云平臺產(chǎn)業(yè)的發(fā)展。