規公安赌信息化建设成果与应用摘要:介绍天津市公安局建设新一代移动警务平台创新警务应用过程中采用的关键技术、组成架构、工作原理和突出成果, 并总结新一代移动警务对当前警务模式变革的影响。平台采用身份认证、访问控制、应用防护、网络防护、数据保 护、设备管控、国产密码、可信防护、集中管控等多项关键技术组成应用跨区域安全防护体系保障基础设施安全,采 用统一认证授权、移动服务总线、应用开发与发布管理、应用监测等关键技术组成应用管理和运行支撑平台,并提供 丰富的基础共性应用和应用组件,构建良性移动应用生态体系,支撑全局各类应用的快速开发、部署对接、上线运行 和迭代完善,创新警务应用模式,引领警务模式变革。
关额:新細噺黯模^¥咖跨区^^聊雄獅生态
引言按照《公安发展“十三五"规划(2016-2020 )》和 《关于大力推进基础信息化建设的意见》,公安部制定下发 了《全国公安移动警务建设总体技术方案》[2016版] (2016年6月发布,以下简称《总体方案》),用于指导各 地公安构建基于4G网络下的新一代移动警务系统建设。同 年11月,公安部确定了 11个省、自治区、直辖市为新一代 公安警务试点示范单位,天津市被选为试点单位之一,并对 天津市新一代移动警务平台的建设工作提出了具体的建设要 求:以应急指挥调度为重点,实现可视化指挥、一体化调 度、智能化应用等核心功能,探索应急指挥联动机制。自被确定为示范试点建设单位以来,天津市局科技信
息娜动瞥务专班在市局党委的统一领导下,积极开展项目 整体建设方案的设计与论证,并按照公安部2016版总体技 术方案和本地基础信息化建设顶层架构要求,建设了新一移动警务平台,纽一年多的时间,已誠了完善的基础设 施环境、强大的应用支撑系统、丰富的移动应用和有效的安 全保障体系,并适配了十膽移动警务终端。
一、平台技术方案(—)技术体系框架天津新一代移动警务平台总体技术体系框架由基础设 施、应用支撑、移动应用、移动终端、安全防护、集中管 控、标准规范七个部分构成,为公安信息化移动业务提供技 术支撑,如图1所示。
〇丨丨〇6 6〇1111〇丨〇97 2018年第4期17基础共性应用/组件应用支撑
息网,构建与公安信息网、视频专网、移动互联网等网络的 资源共享通道,实现全国互联互通,为跨区域的资源共享和 业务协同提供网络基础。网络拓扑结构如图2所示。新一代移动警务平台包括移动终端、无线链路建设、 移动互«刚險子平台、联刚踐子平台、移动安^接入子 平台和公安信息刚艮务子平台。1 ■移动终端移动终端在使用上包括公众移动终端和移动警务终端 两部分,并根据使用场景和应用群体不同进行分类。2■无线接入链路移动警务平台的无线接入链路共有两条,一条是基于 公众访问的移动互联网链路;另外一条是基于运营商为移动 警务终端接入提供的APN/VPDN辅助保护链路。3. 移动互联剛E务子平台当前移动互联网服务子平台的建设基于互联网公有云 实现,待‘‘津云”建设完成后,可快速迁移。平台包括防护 控制区、应用服务区和管控区三部分功能,防护控制区包括 防火墙、防护墙、WAF防火墙、IPS入侵防护系统、应用行 为管理系统等,并根据实际安全需求,适当增加相应安全设 备;应用服务区包括应用支撑管理I艮务器、用户实名认证M 务器及其他相关移动应用服务器;管控区设备主要包括网络 探针、数据探针和安全管麵务器。4. 联剛艮务子平台联网服务子平台包括接入控制区、应用服务区、管控 区、联网控制区、视频专网隔离交换区、移动互联网隔离交 换区等功能区。接入控制区主要是在联网服务子平台中提供 接入控制、应用安全代理、身份鉴别等安全服务;应用服务 区通过公安移动信息网数据中心“小云”,提供基于移动瞥 务公共应用的应用支撑服务器群组、移动应用服务器群及相 应的数据库服务器;管控区实现对联刚路区内应用、网络 及终端访问的监测审计、安全管理、系统管理等功能,主要 设备包括网络探针、数据探针和安全管樹艮务器等;联网控 制区由部、直辖市公安联网服务子平台之间建立联网通道, 实现移动瞥务平台互联;视频专网隔离交换区实现移动警务 平台和视频专网的安全隔离和数据交换,主要边界隔离设备 包括访问控制系统、安全隔离网闸、防火墙等;移动互联网 隔离交换区部署在联刚艮务区和移动互联刚B务子平台之 间,通过部署双单向隔离网闸和配套的访问控制系统实现安 全隔离和数据交换。5. 移动安全接入IS务子平台移动安全接入服务子平台包括安全接入控制区、公安图1天津新一代移动警务技术体系框架(1 )基础设施:主要包括基础网络、主机系统和 PKI密码碰等;(2) 应用支撑:主要包括应用管理支撑和应用运行支撑;(3) 移^应用:主要包括移^专业应用、移^综合应 用、移动互联网应用及基础共性应用等;(4) 移动终端:主要包括手持式、便携式、车载、物 联网及其他扩展终端;(5) 安全防护:主要包括终端安全、应用安全、数据 安全、网络安全、密码服务与可信计算等;(6) 集中管控:主要包括资产管理、终端管控、应用 管控、数据管控、网络管控、及集中管控等;(7) 标准规范:主要包括总体技术标准、安全技术标 准、网络技术标准、终端技术标准、应用技术标准和数据技 术雛等。(二)平台网络拓扑天津市公安局新一代移动警务平台基于3G/4G公众移
动通信网络,按照“统一平台接入、统一集中管控、统一标 准规范”的原则,针对公安信息移动化、智能化、融合化的 核心需求,实现部、直辖市两级统一接入。建设公安移动信
_中管控
圍匿
据全| 络仝 数
旮
|
网古
安全防护
18 I警親涿3 2018年第4期数据资源授权访问 觸OIJ _运行检测服务总线应用监测图3天津新一代移动警务应用跨区域安全防护技术主要采用了以下关键安全技术措施:(1 )身份标识:以数字身份证书为基础,辅以口令密 码、生物特征、物理特征等标识与鉴别技术,对平台中涉及 的人员、机构、设备、应用等访问对象进行标识与鉴别;(2) 访问控制:基于多级安全模型和基于角色的控制 模型,严格控制各类主体的访问权限,对应用、设备等客体 进行分类管理,实现强制访问控制;(3) 应用保护:对应用的开发过程、应用代码、应用 通信等应用全生命周期进行安全保护i(4) 数据保护:对数据的通信传输和存储处理,采用 加密校验的方式,保证数据的完整性和保密性;(5) 设备管控:对移动终端、服务器主机等设备,采
图4天津新一代移动警务应用支撑关键技术平台通过建设全生命周期的应用管理支撑、运行服务 支撑和基础服务组件(SDK )等技术支撑体系,以及配套 晰顧范体系、监控管理体系,规范獅警务应用管理, 规范应用开发、发布与运行全过程,实现应用统_认证授 权,对数据与资源细粒度访问控制,防止数据泄漏和资源非
集中管控中心移动瞽务PKI移动警务-应用跨区域安全防护移动应用支#
信息网隔离交换区和应用代理^务区。其中,安全接入控制 区保齡法终端的接入,实娜动终端的认证接入' 端到端 信道加密等安全服务,公安信息网隔离交换区实现移动安全 接入M务子平台和公安信息刚險子平台之间的B/S模式访 问、C/S模式访问、视频模式访问的安全隔离和数据交换。6.公安信息晒&务子平台公安信息刚艮务子平台基于“警务云”建设,配套移 动警务平台提供集中管控区和应則艮务区。集中管控区实现 对移动互联刚6务子平台、联刚換子平台和移动安全接入 月艮务子平台中安全管控的集中管理,主要包括数据探针、安 全认证管理系统和集中管控中心服务器;应朋艮务区主要用 来部署为移动警务终端和公众用户终端提供移动应用服务的 应用服务器群组。二、关键技术分析(—)应用跨区域关键安全防护技术移动警务应用跨区域安全防护的组成框架、安全防护 机制、隔离交换模式、信息资灌务和关键安全技术措施等 如图3所示。用终端管控、系统安全增强和可信安全防护等措施,实现设 备管控;(6) 网络保护:采用认证接入、传输加密、边界防 护、边界隔离等措施对物理链路和网络传输进行保护;(7) 密码技术:在身份认证、访问控制、数据保护、 应用保护、网络防护等各个关键路径和过程中,均采用国产 密?^:作为信息较基础;(8 )可信防护:按照中心,三重防护"的防护 机制,对终端、服务器等计算环境、网络区域边界关键设备 以及通信网络进行可信安全防护;(9 )集中管控:按照中心,三重防护、纵深防 御”的思路,通过集中管控中心,对互联刚B务子平台、联 刚艮务子平台和安全接入及公安网服务子平台三个关键区 域,进行集中运维和安全管理。(二)移动应用支鉄键技术 天津基于“统一开放”平台模式建设移动警务应用支 撑平台,支持公安网业务向移动应用的扩展延伸,支持各警 种不同业务系统和移动应用的接入。基于公安网和移动专用 网,随时随地从业务管理到数据应用获得服务支撑。在保证 公安网络和应用安全的前提下,充分借鉴当前移动互联网的 最先进的狱,雜既较又开放的獅警务应用统一管理 平台。整合公安所有的移动终端和应用软件,将其纳入到统 —的移动警务应用安全管理的框架体系中。
規彼離信息化建设麟与应用
安全保障体系
运维管理体系
〇叱6 6〇1111〇丨〇97 2018年第4期19