一种多级异构跨区域的全实时安全管控方法与流程

本发明涉及公安移动警务技术领域，尤其涉及一种多级异构跨区域的全实时安全管控方法。

背景技术：

原公安移动警务业务需要接入公安网进行业务访问时，对于业务安全级别未分类，所以对所有接入对象均采用统一的安全策略，接入速度慢，访问效率低下，阻碍了公安移动警务的业务开展。

技术实现要素：

有鉴于此，本发明提供了一种多级异构跨区域的全实时安全管控方法，所述管控方法不仅能够提高应用接入速度和访问效率，还能够避免所有应用访问均接入公安信息网的情况，降低公安网的接入压力和风险。

一方面，本发明提供一种多级异构跨区域的全实时安全管控方法，移动警务终端通过公共通信网络和安全接入通道实现与公安信息网的通信连接，其特征在于，在公共通信网络与安全接入通道之间建立前置服务区，用于对共性基础服务应用和非敏感业务应用进行前置部署。

如上所述的方面和任一可能的实现方式，进一步提供一种实现方式，对共性基础服务应用的前置部署具体是通过部署即时通讯和消息推送服务器、用于终端安全管控的前置服务器以及定位接入服务器来实现；

前置服务器用于接收终端安全管控后台推送的终端黑名单，并能够对终端进行远程数据抹除和锁定；

即时通讯和消息推送服务器用于实现所有拨通或未拨通公安信息网的移动警务终端之间的即时通讯业务以及向移动警务终端推送消息；

定位接入服务器定时接受移动警务终端的定位信息，并按需回传到公安信息网，提供定位服务。

如上所述的方面和任一可能的实现方式，进一步提供一种实现方式，非敏感业务服务应用的前置部署用于提供警员信息采集和比对业务的服务。

如上所述的方面和任一可能的实现方式，进一步提供一种实现方式，所述前置服务区还用于对移动警务终端的通信请求进行分类；当移动终端的通信请求不需要与公安信息网进行资源交互时，通信数据经三码绑定认证、sm2加密和网关认证后实现与所述前置服务区的通信；当移动终端的通信请求需要与公安信息网进行资源交互时，则建立基于sm4的加密隧道，通信数据经三码绑定认证、sm2加密、网关认证和vpn安全接入网关与公安信息网通信连接的同时，经加密隧道传输数据。

如上所述的方面和任一可能的实现方式，进一步提供一种实现方式，所述移动警务终端接入公安信息网的通信链路采用安全机制，所述安全机制包括身份认证设计、信息安全设计、防攻击设计以及应用安全设计。

另一方面，本发明提供一种多级异构跨区域的全实时安全管控系统，包括移动警务终端、通信网络、安全接入通道和公安信息网，所述移动警务终端通过所述通信网络和所述安全接入通道与所述公安信息网通信连接；其特征在于，所述通信网络和所述安全接入通道之间设有前置服务区；

所述前置服务区包括：

接入管理设备，用于实现移动警务终端的通信接入并对接入的通信进行判断和分类，按照判断和分类的结果执行操作；

共性基础服务应用设备，根据所述接入管理模块判断和分类的结果，在需要执行即时通讯和消息推送时与所述接入管理模块配合，实现移动警务终端之间的即时通讯业务以及向移动警务终端推送消息；

和通信设备，用于实现所述通信网络和所述安全接入通道之间的数据交换；

所述接入管理模块和所述共性基础服务应用模块分别与所述通信模块连接。

如上所述的方面和任一可能的实现方式，进一步提供一种实现方式，所述接入管理设备包括用于终端安全管控的前置服务器和采集机，所述前置服务器和所述采集机分别与所述通信模块连接。

如上所述的方面和任一可能的实现方式，进一步提供一种实现方式，所述共性基础服务应用设备包括即时通讯服务器和消息推送服务器；所述即时通讯服务器用于实现所有拨通或未拨通公安信息网的移动警务终端之间的即时通讯业务；所述消息推送服务器用于实现向所有拨通或未拨通公安信息网的移动警务终端上，推送移动警务app应用或管理员发送的消息。

与现有技术相比，本发明可以获得包括以下技术效果：共性基础服务应用和非敏感业务应用前置部署，提高了应用接入速度和访问效率；对业务进行了分类，避免了所有应用访问均需接入公安信息网的情况，降低了公安网的接入压力和风险；通过业务需求采用多级跨域接入，加强了安全纵深，针对不同的业务接入需求提供不同层次的安全保障。

当然，实施本发明的任一产品并不一定需要同时达到以上所述的所有技术效果。

【附图说明】

为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。

图1是本发明一个实施例提供的移动警务安全接入体系框架图；

图2是本发明一个实施例提供的多级异构跨区域的全实时安全管控方法框图；

图3是本发明一个实施例提供的无需与公安网资源交互的应用模式通信框图；

图4是本发明一个实施例提供的需要与公安网资源交互的应用模式通信框图。

【具体实施方式】

为了更好的理解本发明的技术方案，下面结合附图对本发明实施例进行详细描述。

应当明确，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

在本发明实施例中使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本发明。在本发明实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。

图1是本发明一个实施例提供的移动警务安全接入体系框架图。如图1所示，移动警务安全接入体系包括移动警务终端、通信网络、安全接入通道和公安信息网。移动警务终端、公共通信网络、安全接入通道和公安信息网依次通信连接。

本发明的多级异构跨区域的全实时安全管控方法，在通信网络模块额外建立一个前置服务区，该前置服务区用于对应用进行分类，将支撑一线的警务应用分为日常应用、实战应用和通用工具三大类。日常应用，包括政务微信、移动oa、公安新闻、法律法规、移动对讲等；实战应用，包括公安大数据、人脸识别、警综一标三实、移动接处警、移动巡逻盘查系统、案件审批等；通用工具，包括pgis手机地图、nfc、搜狗输入法、wps、谷歌浏览器等。将涵盖这三大类的共性基础服务应用和非敏感业务应用进行前置部署，部署到该前置服务区；并由前置服务区对这三大类信息进行判断，判断其是否需要接入到公安信息网，对需要和不需要接入的信息做不同的安全处理，在保障安全的前提下，极大的提高了业务便利，还避免了所有应用访问均需接入公安信息网的情况，降低了公安网的接入压力和风险。

下面对重要模块进行说明：

1)移动警务终端：移动警务终端需要配有安全tf卡卡槽实现硬件证书的加解密外，还需要进行安全加固，实现统一的安全管控策略，包括移动警务终端系统和外接软硬件资源的访问控制等，从而保护移动警务终端敏感数据的安全和降低被攻击的风险。

2)移动通信网络：移动通信网络包括运营商提供的公安专用无线虚拟网络(如虚拟拨号专用网络vpdn、访问节点网络apn等)，以及在机房侧与移动警务安全接入通道前端相连的专线。同时运营商在发放sim卡时进行实名制登记，对用户姓名和手机号码进行绑定。

3)前置服务区：

如图2所示，前置服务区包括接入管理模块、共性基础服务应用模块和通信模块。接入管理模块包括终端安全前置服务器和采集机；共性基础服务应用包括即时通讯和消息推送；通信模块包括建立在前置服务区域公众移动通信网之间的防火墙和三层交换机。三层交换机用于数据交换，其分别与防火墙、共性基础应用以及安全接入通道通信连接。

在前置服务区部署共性基础服务应用和非敏感业务服务应用；共性基础服务应用的部署通过部署终端安全管控前置服务器、即时通讯和消息推送服务器以及定位接入服务器等来实现。非敏感业务服务应用通过采集机进行警员信息的采集。

终端安全管控前置服务器用于接收终端安全管控后台推送的终端黑名单以及进行终端数据抹除和锁定，可在移动警务终端丢失等特殊情况下，远程对移动警务终端内数据进行抹除和对终端进行锁定，确保公安信息网的敏感数据信息不被泄露。这里对终端的锁定，包括对终端所有通话信息、短信信息、位置信息以及网络通信信息等所有信息的锁定和提取。

即时通讯服务器部署在前置服务区，可实现所有拨通或未拨通公安信息网的移动警务终端之间的即时通讯业务，即为民警提供了便利，又减轻了安全接入通道的承载压力，确保重要警种业务应用的平稳运行。

消息推送服务器部署在前置服务区，可以实现在所有拨通或未拨通公安信息网的移动警务终端上，推送移动警务app应用或管理员发送的消息，确保了消息推送的及时性和可达性。

定位接入服务器定时接受移动警务终端的定位信息，并按需回传到公安信息网的位置服务系统，提供各类定位服务。

非敏感业务服务提供警员信息采集和比对等业务服务，为身份认证设计提供基础信息。

4)安全接入体系设计：

移动警务安全接入通道为移动警务应用系统提供一个全方位、多层次的安全服务体系，支撑移动警务应用安全、可靠地运行。安全接入体系的设计立足于在满足移动警务终端的接入控制、网络的安全认证与接入、网络访问控制、安全传输到接入安全管理等单一方面安全需求的基础上，提供一个多层次、全方位的移动警务安全接入保障体系。

移动警务安全接入通道的安全问题可归结为移动警务信息空中传输的安全问题和移动信息落地后的安全问题。对于前者的安全设计，主要通过保障终端安全接入控制、传输链路加密等安全措施实现；而落地之后的安全设计主要涵盖访问控制、日志分析、安全管理等，因此移动警务安全接入通道的安全体系设计主要包括身份认证设计、信息安全设计、防攻击设计以及应用安全设计。具体描述如下：

4.1)前置服务区安全设计：

前置服务区部署在安全接入通道前端的三层交换机上，通过防火墙和vpn安全通道实现与互联网隔离；前置服务区部署的应用服务对移动警务终端进行基于证书的身份认证；前置服务区内各应用系统与移动警务终端间的数据通信，采用国密算法sm4进行加密传输；前置服务区的各应用系统进行安全加固，以提高服务器自身的安全防御能力，达到保障服务器的运行安全、数据安全及安全管理的目标。

图3是本发明一个实施例提供的无需与公安网资源交互的应用模式通信框图；图4是本发明一个实施例提供的需要与公安网资源交互的应用模式通信框图。图4是本发明一个实施例提供的需要与公安网资源交互的应用模式通信框图。如图3所示，当移动终端不需要与公安信息网进行资源交互的时候，不需要经加密隧道进行加密，只需三码绑定认证和sm2加密再经网关认证即可实现与前置服务区共性基础应用的通信；如图4所示，当移动终端需要与公安信息网进行资源交互时，则自前置服务区起建立基于sm4的加密隧道，并经vpn安全接入网关与公安信息网通信连接。

4.2)身份认证设计：

为保证外部移动警务终端安全、可信接入，移动警务安全接入系统为各类移动警务终端提供身份认证功能，通过身份认证系统签发的移动警务数字证书，实现外部移动警务终端和移动警务安全接入系统间的相互身份认证，未经过身份认证的移动警务终端不可接入。并辅以对智能手机类移动警务终端的终端序列号、安全加密tf卡和sim卡的三卡绑定功能，以及笔记本类终端的usb-key和上网卡的绑定，增强对用户和终端的身份认证。

同时，针对部署在前置服务区的消息推送服务器、即时通讯服务器、安全管控前置服务器、定位接入服务器和非敏感业务服务器，通过应用层证书认证实现对移动警务终端的身份认证。

4.3)信息安全设计：

信息安全主要包括信息完整性安全和信息保密传输安全，信息安全设计通过数据完整性、信息保密和抗抵赖等安全服务，使用国家保密局批准认可的sm4算法硬加密机制，保证移动应用系统中信息内容在存取、处理和传输中保持其机密性、完整性和可用性，确保信息系统主体的可控性和可审计性等特征。

4.4)防攻击设计：

防攻击设计，主要考虑防病毒、防黑客攻击等方面安全问题，采取防火墙、网络扫描、实时监控预警等技术手段来实现。

防病毒措施主要包括配置服务器防病毒系统、客户端防病毒系统等。采用防火墙技术，对进出网络的信息进行过滤，管理进、出网络的访问行为，封堵某些禁止的业务，记录通过防火墙的信息内容和活动，对网络攻击的检测和告警，防止非法攻击对网络平台的损害。

4.5)应用安全设计：

应用安全通过用户身份认证和权限管理的办法来实现，包括用户和用户组的管理、单点登录、身份验证、数据访问权限等。不同用户能够使用的系统模块和功能不同，不同级别的用户具有不同的功能权限，通过访问控制机制来控制用户的访问和操作。同时还要与统一的ca认证相结合，通过数字证书的安全手段对用户的身份进行鉴别。

用户身份认证：和统一的ca认证系统进行对接，对进入系统的用户通过多种方式进行安全认证，包括和ca服务器连接进行ca认证、和ip地址捆绑、用户名密码认证等，对不同的用户开放不同权限，包括功能、数据、区域的使用、管理、可视、可编辑等不同的权限。

用户权限管理：按照组织机构层次，对平台用户进行数据权限和功能权限的分级授权、分级角色定义、权限回收、权限查询等功能。可以将某个业务数据权限、地域范围级别权限、功能权限分配给某个角色，一旦某个用户被授予该角色的权限，此用户即可访问该权限控制的数据或功能。

日志管理机制：实现系统使用情况的日志记录，实现系统的安全审计功能，提高系统的可管理性；系统对重要的操作都自动进行日志记录，管理人员对日志记录进行查询、管理、统计和分析；提供用户访问系统记录，包括用户名、用户ip、登录时间、记录时间、操作内容。

以上对本申请实施例所提供的一种多级异构跨区域的全实时安全管控方法，进行了详细介绍。以上实施例的说明只是用于帮助理解本申请的方法及其核心思想；同时，对于本领域的一般技术人员，依据本申请的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本申请的限制。

如在说明书及权利要求书当中使用了某些词汇来指称特定组件。本领域技术人员应可理解，硬件制造商可能会用不同名词来称呼同一个组件。本说明书及权利要求书并不以名称的差异来作为区分组件的方式，而是以组件在功能上的差异来作为区分的准则。如在通篇说明书及权利要求书当中所提及的“包含”、“包括”为一开放式用语，故应解释成“包含/包括但不限定于”。“大致”是指在可接收的误差范围内，本领域技术人员能够在一定误差范围内解决所述技术问题，基本达到所述技术效果。说明书后续描述为实施本申请的较佳实施方式，然所述描述乃以说明本申请的一般原则为目的，并非用以限定本申请的范围。本申请的保护范围当视所附权利要求书所界定者为准。

还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的商品或者系统不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种商品或者系统所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的商品或者系统中还存在另外的相同要素。

应当理解，本文中使用的术语“和/或”仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，a和/或b，可以表示：单独存在a，同时存在a和b，单独存在b这三种情况。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系。

上述说明示出并描述了本申请的若干优选实施例，但如前所述，应当理解本申请并非局限于本文所披露的形式，不应看作是对其他实施例的排除，而可用于各种其他组合、修改和环境，并能够在本文所述申请构想范围内，通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本申请的精神和范围，则都应在本申请所附权利要求书的保护范围内。