移動警務信息資源跨網絡邊界安全共享策略研究

韓秀德 陳昌前

1. 鄭州信大捷安信息技術股份有限公司 2. 公安部第一研究所

引言

在國家“互聯網+政務服務”戰略部署下，國務院《“互聯網+政務服務”技術體系建設指南》、公安部《公安發展“十三五”規劃（2016-2020）》、《關于大力推進基礎信息化建設的意見》、《關于推進公安信息化發展若干問題的意見》、《全國公安移動警務建設總體技術方案（2016版）》等文件，指導全國新一代移動警務平臺、“互聯網+警務”體系和互聯網應用建設，全面支撐“信息便民、信息惠警、警民互動”等社會治理和民生服務，為實現專業化、智能化、精準化互聯網應用，創新政務模式和警務工作機制，打造數字城市、智慧警務等提供可靠技術支撐。

在保證各級公安機關開展行業專網與互聯網間的信息交互應用的同時，應保護關鍵信息技術設施免受攻擊、侵入、干擾和破環，促進安全與應用協調發展。需要研究應用在跨不同網絡區域、綜合利用各類信息資源時的安全防護機制和相關技術要求。

一、業務需求分析

（一）跨網絡邊界信息資源共享需求

1. 內部網絡信息資源公開共享需求

當前公安、稅務、交通等政務窗口單位陸續以APP應用、微信公眾號、互聯網Web門戶等形式開展了各類信息便民服務。以民生警務為例，主要功能如圖1所示。

目前主要包括警務公開、信息查詢、業務辦理、數據采集、身份核驗等類型的功能。

2. 外部網絡信息資源利用

需要獲取移動互聯網、視頻專網、政務外網等專網以外數據和服務，已完善應用功能、豐富信息內容、提升用戶體驗。

3. 內外網用戶信息互動

在互聯網環境中需要“警民互動”、“政民互動”的方式來實現高效的政務服務，以進一步提高社會治理效率、民眾滿意度。“警民互動”的功能需求如圖2所示。

“警民互動”需要基于即時消息、微信“客服”等功能，能夠通過手機APP、微信公眾號等方式，實現警民之間的有效互動。

（二）互聯網信息資源共享技術發展

信息資源共享技術發展過程從上世紀90年代初至今經歷了應用集成（EAI）、面向服務（SOA）、服務總線（ESB）和微服務（MicroServices）幾個階段。

1. 企業應用集成（Enterprise Application Integration,EAI）

企業應用集成形成于1990年代初期，通常基于JCA、JMS、Web服務以及XML等技術，整合內部的 ERP、CRM、SCM、數據庫、數據倉庫，實現異構系統、應用和數據源無縫共享和交換數據。

2. 面向服務的體系結構（Service Oriented Architecture，SOA）

面向服務的體系結構形成于2000年代初期，采用中立的方式定義接口，獨立于實現服務的硬件平臺、操作系統和編程語言，是一種粗粒度、松耦合服務架構，將應用程序的不同功能單元（稱為服務）通過這些服務之間定義良好的接口和契約聯系起來。

3. 企業服務總線（EnterpriseServiceBus，ESB）

企業服務總線形成于2010年前后，從面向服務體系架構（Service-OrientedArchitecture，SOA）發展而來，是傳統中間件技術與XML、Web服務等技術結合的產物。采用“總線”這一種模式來管理和簡化應用之間的集成拓撲結構。

4. 微服務架構模式（Microservices）

2015年后，隨著云計算和虛擬化環境中部署的服務越來越多、模塊越來越細，逐漸開始將整個Web應用組織為一系列小的Web服務。這些小的Web服務可以獨立地編譯及部署，并通過各自暴露的API接口相互通訊。

（三）信息共享產生的安全需求分析

通過構建警用移動信息網綜合利用公安信息網、移動互聯網、視頻專網等網絡信息資源，開展信息便民、信息惠警和警民互動應用時，應充分考慮所產生的安全風險并符合國家網絡信息安全政策的要求。

1. 共享帶來的安全風險

如果對信息共享技術體系和管理制度未做充分研究和規劃設計，可能會帶來一系列問題和風險，比如：

（1）內部網絡拓撲和重要服務的暴漏。通過網絡嗅探、掃描等方式，獲取內部信息系統網絡結構、重要主機設備和業務服務。

（2）重要數據的泄漏。通過技術手段攔截、竊取大量重要數據進行非法獲利或惡意破壞。

（3）非法越權訪問。通過低等級網絡越權訪問高等級網絡中的信息系統，干擾或破壞信息系統的正常運行。

（4）遭受網絡攻擊。病毒、木馬等惡意代碼利用信息共享服務暴漏的網絡、主機、服務等漏洞進行傳播，產生各類定時/不定時“炸彈”。

（5）其他干擾信息系統正常運行的問題。如分布式攻擊造成的設備超負荷宕機、惡意代碼造成的數據損壞、非法訪問造成的審計失效等各類問題。

2．國家網絡信息安全政策要求

在近期出臺或修訂的《中華人民共和國網絡安全法》、《信息安全等級保護管理辦法》等有關法律和政策文件中，國家鼓勵開發網絡數據安全保護和利用技術，以促進公共數據資源的開放共享，推動技術創新和社會經濟發展。并提出，不同安全級別的網絡與信息系統，需要實施分級保護，在我國電子政務以及重要行業及企業不同安全級別、不同業務網絡之間，需要實現安全隔離和安全、高效的信息交換。

二、關鍵技術研究

（一）信息資源共享安全防護機制

信息資源跨邊界共享安全防護機制模型如圖4所示，包括系統安全需求、應用安全架構、防御技術體系、安全運維管控、安全情報搜集、攻擊反制等幾個層次。

（1）安全防護應從應用設計開發階段就引入專家團隊對系統安全進行評估和設計。

（2）建設零信任網絡安全模型，淡化安全假設，全程傳遞身份票據，通過監控審計實現行為溯源。

（3）安全管理人員基于各種技術及時發現外部攻擊、分析內網行為。

（4）當發現攻擊威脅后及時上報管理部門，做出適當的追蹤與反制。

（5）安全體系的建立是長期的過程，有條件的單位應組建攻防藍軍、紅軍團隊，在被動攻擊和主動防護的過程中成長。

（二）信息資源共享服務層次結構

信息資源共享服務的層次結構如圖5所示。各類移動應用服務，通過應用支撐平臺中的信息資源共享服務訪問各類網絡信息資源，并通過平臺安全防護措施保障信息安全，通過集中管控進行集中運行維護和安全管理，通過技術標準規范來約束指導各個層面的設計。

（1）基礎設施層。主要指各類網絡、計算、存儲和PKI身份證書體系等基礎設施。

（2）信息資源層。建立在基礎設施層之上，主要來自于公安信息網、視頻等專網、公安移動信息網和互聯網，包括各類信息系統中的基礎數據、API業務組件和網絡服務。

（3）應用支撐層。信息資源服務子系統一般作為應用支撐系統的重要組成部分，在應用開發服務、應用發布管理、統一認證授權和運行監測評估等子系統的協作下，匯聚各類信息資源支撐上層應用。

（4）應用服務層。運行在服務器端的服務軟件，用于支持原生APP應用、H5 Web輕應用、混合模式及其他各類技術開發的移動終端應用。

（5）安全防護、集中管控與標準規范。安全防護體系保障應用的安全有序運行，并由集中管控系統對各類應用進行全流程運行維護和安全管控。

（三）信息資源共享服務功能結構

信息資源共享服務功能組成結構如圖6所示，各類應用服務可基于信息資源共享服務提供的服務，獲取資源目錄并直接調用網內信息資源，并經過數據資源服務和授權訪問服務跨網絡邊界訪問其他網絡中的信息資源。

信息資源共享管理服務與數據資源服務和授權訪問服務共同組成跨網絡邊界的信息共享服務系統。

1. 信息資源共享管理服務

信息資源共享管理服務是跨網絡邊界、跨區域的的信息資源管理門戶，包括：

（1）信息管理。對平臺中的基礎數據、業務組件、網絡服務等信息資源進行注冊、審核、發布、授權、發現、更新、下線等生命周期管理。

（2）服務管理。實現信息資源服務的目錄檢索與發現、智能路由選擇和服務調用，并能夠記錄全量過程日志。

（3）安全管理。可基于應用ID/口令密鑰、IP/MAC、數字證書等方式對應用服務進行統一身份認證；應采用國產密碼算法的傳輸的數據進行加密；可對實現關鍵字過濾和內容審查；應記錄全量日志以進行訪問審計；可采用流量、頻率等策略對風險行為進行熔斷、可與其他安全措施配合實現防攻擊。

（4）運維管理。可對服務進行集群部署、負載均衡等橫向擴展，以保證服務的高可用性。

2. 數據資源服務

數據資源服務包括兩種服務模式，一種模式提供數據庫、文件、消息隊列等數據類型跨邊界數據交換和“擺渡”，另一種模式提供跨網絡邊界、異構信息資源的結構化整合與訪問，對應用提供標準統一的數據請求服務。兩種模式都具有以下功能：

（1）管理功能。可與信息資源共享管理服務配合，對平臺中跨網數據資源服務的數據源和數據結構進行注冊、審核、發布、授權管理。

（2）服務功能。請求服務模式，實現數據資源的數據結構查詢、增刪改查操作、數據類型轉換、字典代碼翻譯，能夠適配關系數據庫、WebService及其他接口類型的數據源；數據“擺渡”模式，對跨網文件交換、數據庫同步和消息隊列服務進行服務注冊、審核、發布、授權管理。各種服務模式應能夠記錄數據訪問過程的全量日志。

（3）安全功能。請求服務模式，在統一認證授權服務的配合下，對應用服務進行統一身份認證和訪問鑒權；根據應用權限控制應用可操作的數據源、數據對象和屬性字段；可對操作條件、返回內容進行關鍵字過濾、內容替換和敏感內容隱藏，采用記錄數、訪問頻率等策略對風險行為進行熔斷。數據“擺渡”模式，基于SFTP、關系數據庫或消息隊列協議和統一身份認證鑒權，對應用服務進行身份認證和訪問鑒權；可對文件/記錄/消息格式進行檢查，限定特定格式的數據交換，可采用文件/記錄/消息的大小、頻率等策略對風險行為進行熔斷、可與其他安全措施配合實現防攻擊

3. 授權訪問服務

授權訪問服務用于跨邊界訪問各信息網絡中的業務組件和網絡服務，需要在網絡隔離、邊界保護的同時，實現用戶/應用的身份認證、信息的加密傳輸、數據的格式轉換、權限訪問控制和安全監控等。具有以下功能：

（1）管理功能。與數據資源服務模式類似。

（2）服務功能。實現跨網絡邊界的業務組件及網絡服務的代理訪問。能夠支持粗粒度的HTTP業務組件API的代理訪問。能夠與光閘、網閘、視頻網閘等隔離設備聯動實現應用協議剝離與封裝并支持TCP/UDP協議的端口映射轉換與代理訪問。能夠記錄數據訪問過程的全量日志。

（3）安全功能。可在安全接入控制設備及信息資源共享管理服務的配合下對應用服務進行統一身份認證和鑒權控制。對基于HTTP協議的API應用組件代理,可支持URL上下文地址轉換以支持端口復用和真實地址隱藏。對TCP/UDP網絡代理，可支持IP地址及端口進行映射轉換以隱藏真實網絡主機。

三、結論與展望

本文研究的信息資源跨網絡邊界安全共享技術，利用互聯網主流的信息資源共享技術，并結合我國不同等級信息網絡安全保護的政策要求。可以突破目前公安移動信息化存在的限制，有效利用公安信息網、移動互聯網、視頻專網等各類網絡資源，在實現公安信息網與其他網絡進行數據交換的同時，收緊公安信息網邊界、減少邊界數量，推動公安信息化應用向智能化、融合化方向發展。

當然，跨網絡邊界信息資源共享系統的有效運行，除了信息資源共享系統本身，還需要隔離交換設備、網絡邊界保護、集中安全管控和運維管理體系等配套的技術和管理措施。同時，移動互聯涉及的大數據、云計算、人工智能等信息技術處于不斷的發展變化中，公安移動信息化工作也處于不斷的探索和前進中，新的網絡安全威脅和應對技術也在不斷發展和完善。移動警務平臺跨網絡邊界的信息資源安全共享服務系統，也要與時俱進、并在實踐的驗證和檢驗中不斷發展和完善。