方案背景

某省公安廳大數(shù)據(jù)安全整體解決方案，以“一切資源化、資源目錄化、目錄全局化、全局標(biāo)準(zhǔn)化”為設(shè)計(jì)理念，以“分層解耦，異構(gòu)兼容”為設(shè)計(jì)思路，以“安全 、合規(guī) 、可信”為實(shí)現(xiàn)目標(biāo)，提升科學(xué)實(shí)用的體系化安全防護(hù)能力，規(guī)范化安全管理能力，綜合化安全運(yùn)維能力，實(shí)現(xiàn)全網(wǎng)安全態(tài)勢(shì)敏銳感知，安全威脅快速檢測(cè)與處置確保大數(shù)據(jù)全程可知可控，可管可查，變靜態(tài)為動(dòng)態(tài)，變被動(dòng)為主動(dòng)，為某省公安廳公安大數(shù)據(jù)智能化 建設(shè)保駕護(hù)航。

方案概述和應(yīng)用場(chǎng)景

本案以數(shù)據(jù)安全為中心，以安全基礎(chǔ)設(shè)施為支撐，以安全大數(shù)據(jù)智能分析為抓手，從“云、數(shù)據(jù)、應(yīng)用、網(wǎng)、邊界、端”六維構(gòu)建縱深，實(shí)現(xiàn)統(tǒng)一安全管理，構(gòu)建“安全、可信、合規(guī) ”的大數(shù)據(jù)智能化安全立體縱深防御體系，形成科學(xué)實(shí)用的規(guī)范化安全管理能力、體系化安全防護(hù)能力、綜合化安全運(yùn)維能力，變靜態(tài)為動(dòng)態(tài)，變被動(dòng)為主動(dòng)，為公安大 數(shù)據(jù)智能化建設(shè)提供堅(jiān)實(shí)保障。本次重點(diǎn)建設(shè)跨域安全訪問(wèn)與數(shù)據(jù)交換平臺(tái)。

本案緊密結(jié)合新一代公安信息網(wǎng)網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)和大數(shù)據(jù)、云平臺(tái)、智能應(yīng)用設(shè)計(jì)開(kāi)展大數(shù)據(jù)智能化工程安全體系設(shè)計(jì)，確保框架先進(jìn)性；運(yùn)用國(guó)際通用安全架構(gòu)指導(dǎo)大數(shù)據(jù)智能化安全體系設(shè)計(jì)，確保理念先行；深入結(jié)合可信技術(shù)、大數(shù)據(jù)技術(shù)開(kāi)展大數(shù)據(jù)智能化 安全系統(tǒng)設(shè)計(jì)。

本案建設(shè)以滿足“安全 、可信 、合規(guī) ”總體建設(shè)目標(biāo)為前提，提出了“統(tǒng)一規(guī)劃、統(tǒng)一 標(biāo)準(zhǔn)、急用先行、分步實(shí)施”的總體原則，采用如下核心組件進(jìn)行建設(shè)。

審計(jì)中心具有超強(qiáng)的審計(jì)洞察和可擴(kuò)展性，可支持各類信息（日志信息、威脅信息等）的處理與分析，通過(guò)采集關(guān)鍵節(jié)點(diǎn)服務(wù)日志信息，以大數(shù)據(jù)技術(shù)驅(qū)動(dòng)過(guò)程行為數(shù)據(jù)分析，采用機(jī)器學(xué)習(xí)方法進(jìn)行安全分析，能夠檢測(cè)高級(jí)、隱藏和內(nèi)部威脅的行為分析技術(shù)，不 需要使用簽名或規(guī)則。且在殺傷鏈上能關(guān)聯(lián)數(shù)據(jù)，進(jìn)行有針對(duì)性的發(fā)現(xiàn)。

審批中心
審批中心負(fù)責(zé)審批工作的信息化、流程化和規(guī)范化，實(shí)現(xiàn)任務(wù)的上傳下達(dá)、工作督辦監(jiān)督體系、規(guī)范數(shù)據(jù)查詢和偵控手段審批流程。審批中心提供業(yè)務(wù)流程同步，實(shí)現(xiàn)接入系統(tǒng)信息管理、權(quán)限同步，可通過(guò)短信發(fā)送申請(qǐng)信息或?qū)徟畔?#xff0c;還能實(shí)現(xiàn)與安全代理、 認(rèn)證、權(quán)限、審計(jì)及應(yīng)用系統(tǒng)的聯(lián)動(dòng)。

安全管理中心

安全管理中心基于大數(shù)據(jù)基礎(chǔ)架構(gòu)平臺(tái)開(kāi)發(fā)，使用ETL組件進(jìn)行數(shù)據(jù)預(yù)處理，根據(jù)行業(yè)數(shù)據(jù)治理標(biāo)準(zhǔn)規(guī)范和行業(yè)規(guī)范安全數(shù)據(jù)治理需求，實(shí)現(xiàn)數(shù)據(jù)治理功能，能夠提供對(duì)各種采集數(shù)據(jù)進(jìn)行數(shù)據(jù)解析、標(biāo)準(zhǔn)化、豐富化、歸一化、過(guò)濾 、補(bǔ)全 、清洗等處理，保障數(shù) 據(jù)的完整性、可用性，支持通過(guò)編寫配置文件實(shí)現(xiàn)非編程方式的日志數(shù)據(jù)解析。
可信接入代理

可信接入代理支持可信接入、訪問(wèn)控制、NAT、應(yīng)用層檢測(cè)、流量監(jiān)控、日志記錄、告警等功能，主要用于為不可信任的外網(wǎng)用戶提供可信接入，為內(nèi)網(wǎng)資源提供可信任安全屏障。可信接入代理在為用戶提供可信接入時(shí)，可輕松適應(yīng)某些資源具有大量的IP地 址信息，且IP地址不固定的應(yīng)用場(chǎng)景。

可信 API 代理
可信API代理通過(guò)流量控制、攻擊防御、傳輸加密等多種API相關(guān)安全防護(hù)技術(shù)，為業(yè)務(wù)提供API接口的統(tǒng)一代理、訪問(wèn)認(rèn)證、數(shù)據(jù)加密、安全防護(hù)、應(yīng)用審計(jì)等能力，對(duì)AP I 進(jìn)行全生命周期的權(quán)限管理，全面解決企業(yè)API接口服務(wù)面臨的安全問(wèn)題。

可信代理控制服務(wù)

可信代理控制服務(wù)可針對(duì)業(yè)務(wù)應(yīng)用及API服務(wù)的訪問(wèn)控制需求，采用了用戶認(rèn)證授權(quán)、身份權(quán)限管理、風(fēng)險(xiǎn)感知、UEBA等多項(xiàng)技術(shù)，集中解決應(yīng)用訪問(wèn)場(chǎng)景的安全問(wèn)題等。同時(shí) ，可信代理控制服務(wù)也是零信任體系安全解決方案中的重要組成部分，聯(lián)動(dòng)各個(gè)平 臺(tái)的控制中心。

數(shù)據(jù)安全交換系統(tǒng)

數(shù)據(jù)安全交換系統(tǒng)具體包括前后置、單向光閘三部分。前置代理系統(tǒng)是雙網(wǎng)信息交換中面向低安全級(jí)別網(wǎng)絡(luò)的信息采集及推送系統(tǒng)，前置代理系統(tǒng)的作用主要是以各種形式采 集外網(wǎng)中需要傳輸?shù)絻?nèi)網(wǎng)的數(shù)據(jù)，通過(guò)安全處理及分流，傳輸?shù)絻?nèi)部網(wǎng)絡(luò)。

優(yōu)勢(shì)特點(diǎn)和應(yīng)用價(jià)值：

根據(jù)公安大數(shù)據(jù)“一切資源化、資源目錄化、目錄全局化、全局標(biāo)準(zhǔn)化”的原則，通過(guò)本案的建設(shè)，做到全網(wǎng)安全態(tài)勢(shì)敏銳感知，安全威脅快速檢測(cè)與處置，確保大數(shù)據(jù)全程 可知、可控、可管、可查，為公安大數(shù)據(jù)智能化建設(shè)提供嚴(yán)密安全保障。

方案價(jià)值

符合新一代公安信息網(wǎng)標(biāo)準(zhǔn)規(guī)范要求通過(guò) “新一代公安信息網(wǎng)項(xiàng)目”成功落地，項(xiàng)目實(shí)踐證明產(chǎn)品完全滿足公安部相關(guān)標(biāo)準(zhǔn) 規(guī)范要求。

以安全管理中心為中樞構(gòu)建全局化安全防護(hù)服務(wù)體系通過(guò)為公安客戶構(gòu)建事前主動(dòng)防御、事中持續(xù)檢測(cè)與響應(yīng)、事后迅速恢復(fù)的全局化安全 防護(hù)體系。

建立起行業(yè)建設(shè)標(biāo)準(zhǔn)通過(guò)本案的實(shí)施，樹(shù)立起新一代公網(wǎng)網(wǎng)的建設(shè)標(biāo)準(zhǔn)，打造一個(gè)中心（即安全管理中心）、 兩大體系（即零信任體系和安全防護(hù)體系）的安全支撐能力。

方案優(yōu)勢(shì)

高性能無(wú)瓶頸

• 本案重點(diǎn)對(duì)核心產(chǎn)品(可信API代理)和數(shù)據(jù)交換通道的性能重點(diǎn)做了優(yōu)化設(shè)計(jì)。

• 由于可信API代理負(fù)責(zé)對(duì)業(yè)務(wù)應(yīng)用API接口的訪問(wèn)控制，承載較多的業(yè)務(wù)并發(fā)訪問(wèn)壓力 ，極容易成為整個(gè)安全訪問(wèn)平臺(tái)的瓶頸。通過(guò)在可信API代理設(shè)備前部署負(fù)載均衡，通過(guò)輪詢、隨機(jī)等多負(fù)載均衡算法將業(yè)務(wù)訪問(wèn)壓力均衡分?jǐn)偟絻膳_(tái)可信AP I 代理設(shè)備上，并可在不影響正常業(yè)務(wù)情況下靈活擴(kuò)展多臺(tái)可信API代理設(shè)備。

• 數(shù)據(jù)交換通道性能設(shè)計(jì)最大通道帶寬可達(dá)20GBPS，單個(gè)文件可支持30G大小進(jìn)行 無(wú)丟包交換。

國(guó)產(chǎn)化適配

• 本案涉及的國(guó)產(chǎn)硬件適配能力，充分保護(hù)用戶已有建設(shè)投資，最大化保護(hù)IT投資成 本。

• 各產(chǎn)品互兼容性高

• 本案的產(chǎn)品和方案均以構(gòu)建強(qiáng)大的擴(kuò)容能力、廣泛的產(chǎn)品技術(shù)兼容性為設(shè)計(jì)原則，不僅新產(chǎn)品建設(shè)完美兼容，還與原有業(yè)務(wù)系統(tǒng)、身份認(rèn)證充分融合，發(fā)揮利舊原則， 建設(shè)好新一代公安網(wǎng)。

經(jīng)驗(yàn)總結(jié)：

本項(xiàng)目基于公安大數(shù)據(jù)相關(guān)規(guī)范對(duì)公安應(yīng)用業(yè)務(wù)的流程再造與優(yōu)化，改造過(guò)程中勢(shì)必會(huì)對(duì)當(dāng)前業(yè)務(wù)造成一定的影響，為了盡量減少規(guī)避影響范圍，建議從業(yè)務(wù)穩(wěn)定性、安全性 等角度綜合考慮：

項(xiàng)目實(shí)施期間，如何保證原業(yè)務(wù)的穩(wěn)定運(yùn)行。為了解決這個(gè)問(wèn)題，需要提前做好前期準(zhǔn)備，包括原業(yè)務(wù)系統(tǒng)的備份、安排在非業(yè)務(wù)辦理時(shí)間進(jìn)行業(yè)務(wù)部署割接；在業(yè)務(wù)割接過(guò) 程前設(shè)計(jì)好應(yīng)急保證措施，當(dāng)遇到無(wú)法排除的故障時(shí)應(yīng)該及時(shí)回退到部署前狀態(tài)。

新部署的安全訪問(wèn)平臺(tái)增加了可信接入代理、可信API代理等多個(gè)驗(yàn)證功能執(zhí)行點(diǎn)，如何保障部署后業(yè)務(wù)訪問(wèn)體驗(yàn)不受影響。通過(guò)對(duì)新安全訪問(wèn)平臺(tái)的訪問(wèn)流程進(jìn)行梳理后發(fā)現(xiàn)新通道的瓶頸在可信API代理網(wǎng)關(guān)系統(tǒng)上本案選用了業(yè)界最高性能的專用硬件平臺(tái)，將可信API代理的性能提高至40G 左右 ，同時(shí)在兩臺(tái)可信API代理網(wǎng)關(guān)之前部署了負(fù)載 均衡系統(tǒng)來(lái)保證該平臺(tái)的穩(wěn)定性及連續(xù)性。

本項(xiàng)目中設(shè)計(jì)了多類安全產(chǎn)品的部署聯(lián)調(diào)，如何能夠保證在規(guī)定時(shí)間內(nèi)完成本工作內(nèi)容。本項(xiàng)目中設(shè)計(jì)的核心產(chǎn)品包括可信接入代理、可信API代理和可信代理控制服務(wù)，為了 保證系統(tǒng)的快速聯(lián)調(diào)部署，通過(guò)三大核心部件的快速部署，確保實(shí)施周期。

本文在編寫過(guò)程中參考了 CSA 2021中國(guó)零信任全景圖 再次表示感謝

更多關(guān)于零信任材料
NIST 零信任架構(gòu) 中文版
產(chǎn)業(yè)互聯(lián)網(wǎng)聯(lián)盟 零信任實(shí)戰(zhàn)白皮書 2019
安全牛 現(xiàn)代企業(yè)零信任安全構(gòu)建應(yīng)用指南研究報(bào)告 2021

總結(jié)

以上是生活随笔為你收集整理的零信任在某省政务大数据智能项目的落地实践的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。