公安大数据智能化安全体系建设综述

陆洪波，冯翌新，杨波

（公安部第一研究所物联网部，北京100048）

0 引言

2019 年3 月，公安部在广东召开全国公安大数据智能化建设应用推进会，会议要求各地认真贯彻中央和部党委关于大数据智能化建设的决策部署，紧紧围绕新中国70 周年大庆安保维稳工作，紧密结合当前工作中存在的突出问题和薄弱环节，深入推进全国公安大数据智能化建设应用，着力提升新时代公安工作的能力水平。会上，公安部发布了总览表、云计算平台、大数据处理、大数据安全、新一代公安信息网等五方面关键性公安大数据规范性文件，用于指导建设。

六月，公安部在兰州组织安全技术培训班，新发布公安大数据安全总体技术框架、安全访问平台技术设计要求、零信任体系技术设计要求、安全防护体系技术设计要求等四项安全标准，这四项标准对三月发布的文件进行了完善和补充，是各地安全体系建设的基本依据。以上文件和培训内容既涵盖宏观的顶层规划，又有具体可操作的技术细节，让各地公安对大数据智能化建设的新任务、新要求有了更深刻的认识。

1 总体框架

在《公安大数据安全总体技术框架》标准规范中，按照“分层解耦、异构兼容”的思想将安全基础设施能力解耦，形成了总体框架如图1 所示。

图1 总体框架

总体框架包括安全管理中心、实体安全、安全服务和安全基础资源四部分，共同形成公安大数据智能化立体化纵深防御体系。

这个总体框架是一个全新的安全体系架构，体现的是通过“三化”对“六维”进行保护的思想。“三化”指资源化、服务化、智能化。“六维”指云平台、数据、应用、网络、边界、终端六个维度的实体，是安全保护对象。

资源化指的是实现从安全设备到安全资源的转变。资源化之后，安全也将类似计算、存储等基础设施，变成一种弹性按需的资源。例如，传统防火墙，演变为由通用服务器虚拟产生的虚拟防火墙。安全资源化的理念，就形成了我们总体框架的最底层：安全基础资源。

服务化指的是安全资源将通过标准服务的形式对六维实体提供保护。例如，传统直接由防火墙提供的安全保护，演变为一种叫做“安全防护”的服务。在六维实体层面，将通过调用这些安全服务来实现安全保护。安全服务化的理念，就形成了我们总体框架自下至上的第二层：安全服务。

这里需要注意的是，安全的资源化和服务化，意味着传统的安全产品要进行升级改造或是全新研制。因此，各地在进行安全体系建设的时候，应注意结合产品成熟度来制定演进路线。

在安全资源化和服务化之后，六维实体就能够通过调用安全服务得到安全保护。这就形成了我们总体框架自下至上的第三层：实体安全。

但截止目前，这种安全保护还处在一个被动和静态层面。因此，我们进一步引入智能化的概念，以实现主动和动态安全保护。智能化指的是，通过在终端上部署环境感知客户端等措施，动态感知实体的安全状态变化，并将风险信息送至安全管理中心，安全管理中心通过策略控制等组件，控制安全服务的管理平台主动向实体提供相应级别的安全保护。安全智能化的理念，就形成了我们总体框架自下至上的第四层：安全管理中心。

2 建设内容

在总体框架的基础上再细化，就形成了公安大数据安全体系详细设计架构。具体包括如下内容：

●安全基础资源方面，主要提供专用硬件安全资源和软件安全资源等，形成公安大数据安全的安全基础资源；

●安全服务方面，由安全防护和零信任两大体系协同防护、能力互补，通过服务管理进行支撑并实现统一调度。零信任体系通过认证服务、权限管理服务、环境感知服务、业务审批服务、业务审计服务实现基于属性的动态访问控制；安全防护体系通过安全识别服务、安全保护服务、安全检测服务、安全响应服务实现安全风险的闭环处置；通过按需、弹性调用安全服务，实现对实体的安全防护；

●实体安全方面，通过部署安全能力,对云平台、数据、应用、边界、网络、终端进行防护，构建的立体化纵深安全防御，确保公安大数据安全；

●安全管理中心方面，以安全大数据为支撑汇集全网安全数据，形成公安大数据综合安全管控能力，包括资产管理、基线配置、策略控制、态势感知，确保公安大数据全程可知、可管、可控、可查。

公安大数据智能化安全体系的建设内容就是要依据上述详细设计架构，采购安全基础资源，建成安全管理中心，提供安全服务，实现实体安全防护。

3 建设要点

综合来看，在公安大数据智能化安全体系建设方面，有三方面建设要点。一是要严格遵照部标准开展安全体系建设。二是要立足本地现状开展安全体系建设。三是要结合产业成熟度开展安全体系建设。

（1）严格遵照部标准开展建设

严格遵照部标准开展安全体系建设，统一安全策略，是各地落实公安大数据智能化建设“六统一”原则的重要举措。

在公安大数据智能化安全体系建设方面，公安部计划推出总体类、技术类、工程类、管理类四类标准。目前，已正式发布总体类标准1 项、工程类标准3 项，分别对安全总体技术框架、安全访问平台技术设计、零信任体系技术设计和安全防护体系技术设计进行了阐述。举例来说，标准明确规定，安全访问平台由用户访问安全通道和数据交换安全通道组成，内部又分为安全防护区、用户接入区、应用前置区、接口访问区、安全检测区、数据交换服务区、安全管理区等，每个区应配备的安全组件也有详细说明。因此，各地在开展公安大数据智能化安全体系建设的时候，这些规定动作必须完成。但是，可以根据自身情况，按照最小集分步建设。安全体系建设方面，近期的目标是实现公安网用户安全可控访问数据中心。

（2）立足本地现状开展建设

前面提到，安全体系建设应严格遵照部标准。但是，虽然部标准提出了全面的安全能力要求，具体的安全能力的实现方式、部署规模、演进路线等却没有明确要求，这些方面可以立足本地现状开展建设。

在安全能力的实现方式方面，在安全访问平台的组件部署方式、安全运维网络选择等环节，都可以做个性化建设。例如，安全访问平台的组件部署，即可以独立部署，又可以使用数据中心的云资源部署，而独立部署又可以分为单机、集群或自建云等多种方式。安全运维方面，可以采用物理带外网络运维，也可以采用逻辑带外网络运维，上述条件都不具备时则只能带内运维。

在安全能力部署规模方面，在用户访问平台部署规模、终端安全部署规模等环节，都可以做个性化建设。例如，用户访问平台的用户接入区、应用前置区、安全检测区的部署规模，都应该跟数据中心的业务应用量、用户访问量等关键要素挂钩。

在安全能力的演进路线方面，公安部目前只明确要求尽快建好用户访问安全通道，在数据交换安全通道、零信任体系、安全防护体系、安全管理中心等环节的建设顺序上尚未有明确安排，各地可根据自身需要做个性化设计。

另外，省级公安机关和直辖市公安机关在安全体系的建设上也不一样。省级公安机关还要考虑省市分级建设的问题。

（3）结合产业成熟度开展建设

前面提到，在安全能力演进路线方面，各地可根据自身需要做个性化设计。具体的个性化设计，除考虑业务需求外，还要和产业成熟度相匹配。

产业成熟度体现在三方面，一是部安全标准的推进进度，二是安全产品的推进速度，三是安全测试体系的建设进度。在部安全标准方面，目前仅仅发布四项标准，在安全服务接口、安全大数据、安全管理中心等环节还有大量工程和技术标准尚未发布。标准没有发布，意味着这些环节的建设工作缺乏依据，无法有效推进。因此，各地必须紧密跟踪部标的发布进程。在安全产品的推进速度方面，目前主要是安全访问平台和零信任体系的部分产品已经研发完成，公安部正在组织内部测试。在第三方安全测试体系建设方面，相对就更慢一些，公安部目前只是有这方面规划，但从测试内容到测试方法等各方面都远未成型。

结合上述情况，各地应妥善制定安全体系建设实施计划，合理利用，确保既能保护实体安全，又不会盲目投资造成浪费。

4 结语

2019 年6 月，公安部在兰州大数据安全培训班上要求各地尽快上报安全方案，全国公安大数据智能化安全体系建设正在起步。这是一次安全体系的重大变革，必将产生深远影响。各地公安机关都应做好充分准备，迎接挑战，全面提升大数据环境下的安全能力，为公安大数据智能化建设保驾护航。