移动警务信息资源跨网络边界安全共享技术浅谈摘要本文对新一代移动警务平台中跨不同安全等级的网络边界进行信息资源共享的技术体系进行研究和设计，针对目前公安机关信息化新型业务应用需求、信息共享技术及安全要求进行了业务需求分析，并结合国家和政府部门的有关法律法规、政策要求和技术标准，对信息资源安全共享服务系统进行了详细设计。

可满足各级公安机关在新一代移动警务平台中有效整合互联网、视频等专网和公安信息网的各类网络中的信息资源，构建新型应用支撑服务和生态体系，在保证信息安全和业务应用创新发展的同时，实现“信息多跑路、百姓少跑腿”、“增强人民群众获得感、幸福感、安全感”的信息便民、信息惠警和警民互动等应用，促进警务工作机制创新发展。

关键词信息资源共享；信息便民；信息惠警；网络安全；网络边界；网络隔离；应用支撑；应用生态；数据交换前言目前，我国政府各部门正处于深化改革阶段，需要通过信息化技术继续推动原有政务模式和工作机制的转变。

国务院《“互联网+政务服务”技术体系建设指南》，公安部《公安发展“十三五”规划（2016-2020）》、《关于大力推进基础信息化建设的意见》、《关于推进公安信息化发展若干问题的意见》、《全国公安移动警务建设总体技术方案（2016版）》等文件要求，指导全国新一代移动警务平台、“互联网+警务”体系和互联网应用建设，全面支撑互联网“信息便民、信息惠警、警民互动”等社会治理和民生服务，为实现专业化、智能化、精准化互联网应用，创新政务模式和警务工作机制，打造数字城市、智慧警务等提供可靠技术支撑。

为了保证各级公安机关开展行业专网与互联网间的信息交互应用，在实现警务公开、信息便民的同時保护关键信息技术设施免受攻击、侵入、干扰和破坏，促进安全与应用协调发展，需要进一步明确应用在跨不同网络区域、综合利用各类信息资源时的安全防护机制和相关技术要求。

1 业务需求分析1.1 跨网络边界信息资源共享需求（1）内部网络信息资源公开共享需求当前，各级政府机关的各业务部门，如公安、税务、交通等政务窗口单位陆续以APP应用、微信公众号、互联网Web门户等形式开展了交通管理、户政户籍、出入境护照和纳税人服务等信息便民服务。

广大社会公众越来越希望通过互联网应用办理各类业务，需要各级政府部门对互联网提供相关信息资源和应用服务。

（2）外部网络信息资源利用目前，公安专用的移动终端，通过移动安全接入平台接入并获取公安专网信息资源，但是却无法获取移动互联网、视频专网、政务外网的行业专网以外的数据和服务，造成应用功能、信息内容、用户体验等与当前互联网应用产生很大差距：（3）内外网用户信息互动在互联网环境中，公众便民应用中的办理的业务申请、社会治理和执法办案中的数据采集等信息，需要及时送达公安等政府部门的工作人员，便于进行快速的审批、分析等。

同时，工作人员的审批结果、处理意见也需要尽快反馈给互联网用户。

在此类业务处理过程中，需要“警民互动”、“政民互动”的方式，来实现高效的政务服务，以进一步提高社会治理效率、民众满意度。

1.2 互联网信息资源共享技术发展信息资源共享技术发展过程，从20世纪90年代初至今，经历了应用集成（EAI）、面向服务（SOA）、服务总线（ESB）和微服务（MicroServices）这几个阶段。

（1）企业应用集成（Enterprise Application Integration，EAI）形成于1990年代初期，是将基于各种不同平台、用不同方案建立的异构应用集成的一种方法和技术。

EAI通过建立底层结构，来联系横贯整个企业的异构系统、应用、数据源等，实现企业内部的ERP、CRM、SCM、数据库、数据仓库，以及其他重要的内部系统之间无缝地共享和交换数据。

（2）面向服务的体系结构（Service Oriented Architecture，SOA）形成于2000年代初期，是一种粗粒度、松耦合服务架构，服务之间通过简单、精确定义接口进行通讯，不涉及底层编程接口和通信模型。

各个服务功能按照指定的契约进行关联成为接口。

接口采用中立的描述方式如XML文档进行发布，并可独立于程序服务依赖的硬件平台、操作系统和编程语言。

（3）企业服务总线（EnterpriseServiceBus，ESB）形成于2000年代末期，从面向服务体系架构发展而来，是传统中间件技术与XML、Web服务等技术结合的产物。

ESB提供了网络中最基本的连接中枢，是构筑企业神经系统的必要元素。

ESB采用了“总线”模式来管理和简化应用之间的集成结构，支持应用之间通过消息、事件和服务等类型的互通。

1.3 微服务架构模式（Microservices）2015年后，随着云计算和虚拟化环境中部署的服务越来越多、模块越来越细，逐渐开始将整个Web应用组织为一系列小的Web服务。

这些小的Web服务可以独立地编译及部署，并通过各自暴露的API接口相互通讯。

1.4 信息共享产生的安全需求分析（1）共享带来的安全风险如果对信息共享技术体系和管理制度未做充分研究和规划设计，可能会带来一系列问题和风险，比如：①内部网络拓扑和重要服务的暴露。

如果未采取网络防护措施或防护措施不完善，可通过网络嗅探、扫描等方式，获取内部信息系统网络结构、重要主机设备和业务服务。

②重要数据的泄漏。

如果未采取网络防护、系统增强、应用加固、数据保护等安全措施，可通过技术手段拦截、窃取大量重要数据或恶意破坏。

③非法越权访问。

不同安全等级的信息网络之间缺乏必要的防护措施，可造成低等级网络越权访问高等级网络中的信息系统，干扰或破坏信息系统的正常运行。

④遭受网络攻击。

病毒、木马等恶意代码，会利用信息共享服务暴露的网络、主机、服务等漏洞进行传播，产生各类定时/不定时“炸弹”。

⑤其他干扰信息系统正常运行的问题。

如造成分布式攻击造成的设备超负荷宕机、恶意代码造成的数据损坏、非法访问造成的审计失效等各类问题。

（2）国家网络信息安全政策要求在近期出台或修订的《中华人民共和国网络安全法》、《信息安全等级保护管理办法》等有关法律和政策文件中，国家鼓励开发网络数据安全保护和利用技术，以促进公共数据资源的开放共享，推动技术创新和社会经济发展。

并提出，不同安全级别的网络与信息系统，需要实施分级保护，在我国电子政务以及重要行业及企业不同安全级别、不同业务网络之间，需要实现安全隔离和安全、高效的信息交换。

2 系统关键技术2.1 信息资源共享服务层次结构信息资源共享服务的层次结构如下图所示。

（1）基础设施层。

主要指各类网络、计算、存储和PKI身份证书体系等基础设施。

（2）信息资源层。

建立在基础设施层之上，主要来自于公安信息网、视频等专网、公安移动信息网和互联网，包括各类信息系统中的基础数据、API业务组件和网络服务。

（3）应用支撑层。

在当前主流的信息系统业务模型中，信息资源服务子系统一般作为应用支撑系统的重要组成部分，在应用开发服务、应用发布管理、统一认证授权和运行监测评估等子系统的协作下，汇聚各类信息资源支撑上层应用。

（4）应用服务层。

运行在服务器端的服务软件，用于支持原生APP应用、H5 Web轻应用、混合模式及其他各类技术开发的移动终端应用。

（5）安全防护、集中管控与标准规范。

安全防护体系保障应用的安全有序运行，并由集中管控系统对各类应用进行全流程运行维护和安全管控，各个层次的建设均应符合统一的标准规范要求。

2.2 信息资源共享服务功能结构信息资源共享服务功的能组成结构如图2所示。

各类应用服务可基于信息资源共享服务，获取资源目录并直接调用网内信息资源，也可经过数据资源服务和授权访问服务跨边界访问其他网络中的信息资源。

（1）信息资源共享管理服务，主要实现跨网络边界、跨区域的信息资源管理门户，并实现以下功能：①信息管理。

对平台中的基础数据、业务组件、网络服务等信息资源进行注册、审核、发布、授权、发现、更新、下线等生命周期管理。

②服务管理。

实现信息资源服务的目录检索与发现、智能路由选择和服务调用，并能够记录全量过程日志。

③安全管理。

可基于应用ID/口令密钥、IP/MAC、数字证书等方式对应用服务进行统一身份认证；应采用国产密码算法的传输的数据进行加密；可对实现关键字过滤和内容审查；应记录全量日志以进行访问审计；可采用流量、频率等策略对风险行为进行熔断、可与其他安全措施配合实现防攻击。

④运维管理。

可对服务进行集群部署、负载均衡等横向扩展，以保证服务的高可用性。

⑤其他能力。

信息资源服务还应基于应用支撑其他子系统和平台中其他已有资源提供身份认证、权限管理、数据加密、签名验签等基础服务能力。

（2）数据资源服务和授权访问服务，包括三种服务模式，模式一提供数据库、文件、消息队列等结构化/非结构化数据的“摆渡交换”，模式二提供跨边界的结构化数据的实时请求服务，模式三提供跨边界的应用组件和网络传输的授权访问。

这几种模式都需要实现以下功能：①管理功能。

可与信息资源共享管理服务配合，对平台中跨网数据资源服务的数据源和数据结构进行注册、审核、发布、授权管理。

②服务功能。

实现各类数据资源的发现检索、服务调用和格式转换等。

各种服务模式应能够记录数据访问过程的全量日志。

③安全功能。

可在统一认证授权服务的配合下，对应用服务进行统一身份认证和访问鉴权；可对根据应用权限控制应用可操作的信息资源和属性对象；可对操作条件、返回内容进行关键字过滤、内容替换和敏感内容隐藏。

应记录全量日志以进行访问审计；可采用记录数、访问频率等策略对风险行为进行熔断、可与其他安全措施配合实现防攻击。

④运维管理。

可对服务进行集群部署、负载均衡等横向扩展，以保证服务的高可用性。

3 结论与展望本文研究的信息资源跨网络边界安全共享技術，利用互联网主流的信息资源共享技术，并结合我国不同等级信息网络安全保护的政策要求。

可以突破目前公安移动信息化存在的限制，有效利用公安信息网、移动互联网、视频专网等各类网络资源，可以在实现公安信息网与其他网络进行数据交换的同时，收紧公安信息网边界、减少边界数量，推动公安信息化应用向智能化、融合化方向发展。