基于三重区域防护的移动警务安全体系研究

◆查南星

（浙江信电技术股份有限公司 浙江 315000）

移动警务作为一种新的应用模式，使公安信息能够覆盖凡是移动通信网络通达的任何地方，达到公安部“3A”（任何地点Anywhere、任何时间Anytime 和任何方式Anytype）要求，使得一线民警能够通过移动警务终端设备实时查询内网数据、快速采集外部信息、现场处置公安业务等，满足公安人员随时随地办公的需求，有效地提高公安的工作效率和实战能力。移动警务一经推广使用，便得到了广泛的应用。

随着移动警务不断深入，各种应用场景接入不断涌现，迫切需要移动警务提供更高的安全服务，以适应“大整合、高共享、深应用”的公安信息化发展大势，因此，公安对移动警务提出了更高的安全要求。

本文主要着力于研究移动警务安全体系，基于“一个中心，三重防护”的安全架构设计，构建移动警务的安全体系，保障移动警务安全的同时也促进公安移动信息化的健康发展。。

1 安全体系技术框架

按照分区分域建设的原则，移动警务的“一个中心，三重防护”安全体系框架如图1 所示。

安全计算环境：移动警务实现安全保护的核心。主要满足终端、服务器、操作系统、应用系统、数据库系统等安全需求。

安全区域边界：检查进/出安全计算环境的数据流，实现边界的访问控制功能，只有合法的信息数据才可以经过边界到达计算环境/流出计算环境，禁止非法的数据流进出。

安全网络通信：通过部署网络安全设备，配置安全防护策略对通信双方的可信性进行鉴别验证，对传输的数据通过采用加密，确保数据在传输过程中的完整性。

安全管控中心：主要是实现对安全计算环境、安全区域边界和安全网络通信的安全性进行集中的安全配置管理，对所有的操作以及产生的数据流信息等实施全程审计跟踪和快速响应。

2 关键技术点设计

构建移动警务安全，主要从安全计算环境、安全区域边界、安全网络通信和安全管控中心四个方面关键点进行规划设计。

2.1 安全计算环境

（1）主机安全

主机安全防护具备用户认证、访问控制、外设控制、网络控制和行为审计等安全功能。优先选用国产化硬件、国产化操作系统及符合我国可信计算标准的主机设备。

采用终端安全管理系统并结合统一身份认证系统，实现基于数字证书的双因素认证，进行用户登录鉴权，系统登录使用USBKey 数字证书为SM 系列国密算法密码设备，符合国家密码管理相关要求。终端安全管理系统由安全管控中心制定策略，进行全网终端的流量监控、行为审计、非法外联监控、应用程序黑白名单控制、外设管控、桌面安全加固等安全管控。

（2）移动终端安全

移动警务终端具有以下特征：数量多、种类复杂、移动化、终端使用环境复杂、操作者身份和操作行为不确定等。对移动终端安全防护，主要有：

①终端准入机制，实现业务访问准入、达到入网安全合规要求。保护移动警务不受非法设备接入引起的各种威胁，在有效管理用户和终端接入网络行为的同时，也达到规范终端的目的。终端准入采用两重安全措施：

“一次拨号，两次认证”授权接入：基于电信运营商“手机号码+IMSI”身份认证，手机号码开户运营商实名制认证；基于移动警务统一身份认证系统“手机号码+IMSI+用户名口令”第二次身份认证，且口令以密文方式传递，一卡一密。

“人卡机”多位一体认证授权接入。即移动终端、加密卡、手机SIM 卡和终端使用者身份一致，才被允许接入。

②终端数据加密存储，移动终端配置密码模块，加密私钥加密保存在密码模块内，所有加解密操作终端密码模块内完成。密码模块提供加解密接口，为终端数据加密存储提供服务。

③终端用户身份鉴权，支持如指纹识别、人像识别等人机认证功能。

④终端安全加固，从系统层对终端控制，采用终端安全加固措施，保证终端计算环境、资源和网络访问的安全。从终端硬件、操作系统等方面进行安全增强，终端预置安全监控组件，并接受后台管控。

按照公安部GA/T 1466.1-2018《智能手机型移动警务终端 第1 部分：技术要求》，终端安全防护采用内核可信增强、访问控制、网络控制、外设控制、应用控制、位置控制、远程控制、可信安全保密措施，实现防root、防刷机、数据防泄漏、强制访问控制、存储数据加密等安全功能，关键安全代码可信计算及安全管控相关组件，必须自主可控。

⑤移动终端优先选用具备国产化核心部件、国产化操作系统、符合我国可信计算设计的移动终端。

（3）应用安全

应用安全防护具备源代码安全审查、用户统一认证、应用加密传输、关键业务保护以及行为监测等安全功能。

应用在开发过程中，应保证代码的安全；部署前，对源代码进行安全审计，尽可能识别全部潜在的bug 和漏洞，保证应用的安全性，避免因漏洞造成不必要的损失。

采用统一的身份认证系统，身份认证为多因素认证，可以实现对用户身份的统一管理和多种方式组合的强身份认证。多因素身份认证包括静态口令、动态口令、数字证书、指纹、人像等身份安全机制。

客户端和服务端通信，传输的数据使用安全的SSL 传输技术。确保用户账号密码、动态密钥、应用数据传输的高安全性及稳定性。同时支持移动终端隧道控制策略，实现移动终端连接VPN以后，移动终端数据只能走VPN，不能访问网络，从而实现防止数据泄密。

部署Web 应用防火墙（WAF）等安全设备对应用安全进行防护。WAF 是针对HTTP/HTTPS 应用入侵行为进行防御的安全产品，其通过对HTTP/HTTPS 访问流量进行分析，能够发现恶意攻击并实时阻断，可实现对常见的SQL 注入攻击、XSS 攻击等攻击行为进行防护。

（4）数据安全防护

数据安全的防护主要是从完整性和保密性进行规范的，可以在应用系统开发过程中同步采取密码技术的相关功能实现。

对关键敏感数据设置标记，重要的数据对其本身设置相应的认证机制；数据授权管理，对数据的访问权限进行一定的限制；数据和文档加密存储；数据访问进行审计，审计结果记录在安全日志中；在通信上进行数据保密，采用国产商用密码算法，对数据加密传输。

（5）数据备份与恢复

重要数据除了本地的数据备份与恢复外，还必须异地实时备份，利用通信网络能将重要数据实时备份至备份场地，重要数据处理系统的热冗余，保证系统的高可用性

2.2 安全区域边界

移动警务的区域边界主要有：无线传输链路（运营商VPDN专线）、移动互联网（互联网）、公安信息网以及其他网络（如视频专网）。各区域边界安全规划如下：

（1）无线传输链路

具备终端拨号认证、用户身份认证、终端环境检测、应用授权访问等网络可信接入控制功能，其中用户身份认证方式可以采用动态口令认证、人机认证强关联、二代证识别认证、人像识别认证、数字证书认证中的一种或多种。

（2）移动互联网

具备防DDoS、网络控制、入侵检测、网络防御、WAF 防护、网页防篡改等边界防护功能。

（3）公安信息网

基于数字证书的接入认证、应用授权访问、网络隔离与数据安全交换等功能，确保接入公安信息网的终端设备可信和用户身份可信，防止非法设备接入公安信息网，保证公安信息网边界安全。

（4）其他网络（视频专网）

具备网络访问控制、SIP 协议控制、入侵检测、网络防御等边界防护功能。

2.3 安全网络通信

（1）与无线传输链路通信：使用VPDN/APN 接入方式，对数据加密传输功能，保证重要数据或业务操作的完整性和保密性。

（2）与移动互联网通信：应用在移动互联网进行通信时，采用HTTPS 协议加密传输功能，保证重要数据或业务操作的完整性和保密性。

（3）与公安内网通信：使用VPN 网关，基于IPSec、SSL等安全通信协议建立的VPN 安全传输通道。

（4）与公安其他网络通信（视频专网）：使用MPLS-VPN接入方式，对数据加密传输功能，保证重要数据或业务操作的完整性和保密性。

2.4 安全管控中心

汇集移动警务所有资产的日志信息，进行全方位日志审计、关联分析、事件预警与溯源，为运维人员、安全管理人员提供决策支撑，并针对安全及运维事件设定相应的管控策略下发到设备及时进行响应处理。从业务、运行环境、安全等多个视角对移动警务整体运行情况和安全情况进行基于全要素、全流程的态势感知和展现。

图2 安全管控中心组成

安全管控中心主要由资产管理、日志审计、关联分析、策略管理、统一运维、安全管理及系统管理七大部分组成。

（1）资产管理：对加密卡、终端、主机、网络、应用等资产进行集中管理，是日志审计、关联分析、统一运维和安全管理的基础。

（2）日志审计：汇聚所有设备采集上报的资产状态与事件日志，进行整体审计。

（3）关联分析：将各资产与系统上报的日志与数据信息进行综合分析，实现关联审计、事件线索相关性可视化、全局关联检索等多维分析建模，通过持续的数据挖掘，分析并发现潜在问题与风险。

（4）策略管理：对运维策略与安全策略进行统一配置与管理，为关联分析提供基线规则，为运维响应控制、安全响应控制提供控制策略。

（5）统一运维：为监测业务的开展情况和系统运行环境状态，保障移动警务的可用性，进行统一的运维管理，包含对业务和运行环境的监测预警、对运维策略的响应控制以及对整体运行健康程度的总体评估。

（6）安全管理：保障移动警务的安全性，进行统一的安全管理，包含对安全事件的监测预警、对安全策略的响应控制以及对整体安全风险的评估。

（7）系统管理：对系统的用户及分级权限进行统一管理，并记录自身的访问日志。

4 结束语

本文基于“一个中心，三重防护”的安全体系，建设移动警务的安全防护，在确保移动警务应用稳定的同时，也提高公安信息化的建设水平，促进移动警务应用蓬勃发展的同时也促进公安移动信息化的健康发展。