方案背景

某省公安廳大數(shù)據(jù)安全整體解決方案，以“一切資源化、資源目錄化、目錄全局化、全局標(biāo)準(zhǔn)化”為設(shè)計理念，以“分層解耦，異構(gòu)兼容”為設(shè)計思路，以“安全 、合規(guī) 、可信”為實現(xiàn)目標(biāo)，提升科學(xué)實用的體系化安全防護(hù)能力，規(guī)范化安全管理能力，綜合化安全運維能力，實現(xiàn)全網(wǎng)安全態(tài)勢敏銳感知，安全威脅快速檢測與處置確保大數(shù)據(jù)全程可知可控，可管可查，變靜態(tài)為動態(tài)，變被動為主動，為某省公安廳公安大數(shù)據(jù)智能化 建設(shè)保駕護(hù)航。

方案概述和應(yīng)用場景

本案以數(shù)據(jù)安全為中心，以安全基礎(chǔ)設(shè)施為支撐，以安全大數(shù)據(jù)智能分析為抓手，從“云、數(shù)據(jù)、應(yīng)用、網(wǎng)、邊界、端”六維構(gòu)建縱深，實現(xiàn)統(tǒng)一安全管理，構(gòu)建“安全、可信、合規(guī) ”的大數(shù)據(jù)智能化安全立體縱深防御體系，形成科學(xué)實用的規(guī)范化安全管理能力、體系化安全防護(hù)能力、綜合化安全運維能力，變靜態(tài)為動態(tài)，變被動為主動，為公安大 數(shù)據(jù)智能化建設(shè)提供堅實保障。本次重點建設(shè)跨域安全訪問與數(shù)據(jù)交換平臺。

本案緊密結(jié)合新一代公安信息網(wǎng)網(wǎng)絡(luò)架構(gòu)設(shè)計和大數(shù)據(jù)、云平臺、智能應(yīng)用設(shè)計開展大數(shù)據(jù)智能化工程安全體系設(shè)計，確保框架先進(jìn)性；運用國際通用安全架構(gòu)指導(dǎo)大數(shù)據(jù)智能化安全體系設(shè)計，確保理念先行；深入結(jié)合可信技術(shù)、大數(shù)據(jù)技術(shù)開展大數(shù)據(jù)智能化 安全系統(tǒng)設(shè)計。

本案建設(shè)以滿足“安全 、可信 、合規(guī) ”總體建設(shè)目標(biāo)為前提，提出了“統(tǒng)一規(guī)劃、統(tǒng)一 標(biāo)準(zhǔn)、急用先行、分步實施”的總體原則，采用如下核心組件進(jìn)行建設(shè)。

審計中心具有超強的審計洞察和可擴(kuò)展性，可支持各類信息（日志信息、威脅信息等）的處理與分析，通過采集關(guān)鍵節(jié)點服務(wù)日志信息，以大數(shù)據(jù)技術(shù)驅(qū)動過程行為數(shù)據(jù)分析，采用機器學(xué)習(xí)方法進(jìn)行安全分析，能夠檢測高級、隱藏和內(nèi)部威脅的行為分析技術(shù)，不 需要使用簽名或規(guī)則。且在殺傷鏈上能關(guān)聯(lián)數(shù)據(jù)，進(jìn)行有針對性的發(fā)現(xiàn)。

審批中心
審批中心負(fù)責(zé)審批工作的信息化、流程化和規(guī)范化，實現(xiàn)任務(wù)的上傳下達(dá)、工作督辦監(jiān)督體系、規(guī)范數(shù)據(jù)查詢和偵控手段審批流程。審批中心提供業(yè)務(wù)流程同步，實現(xiàn)接入系統(tǒng)信息管理、權(quán)限同步，可通過短信發(fā)送申請信息或?qū)徟畔?#xff0c;還能實現(xiàn)與安全代理、 認(rèn)證、權(quán)限、審計及應(yīng)用系統(tǒng)的聯(lián)動。

安全管理中心

安全管理中心基于大數(shù)據(jù)基礎(chǔ)架構(gòu)平臺開發(fā)，使用ETL組件進(jìn)行數(shù)據(jù)預(yù)處理，根據(jù)行業(yè)數(shù)據(jù)治理標(biāo)準(zhǔn)規(guī)范和行業(yè)規(guī)范安全數(shù)據(jù)治理需求，實現(xiàn)數(shù)據(jù)治理功能，能夠提供對各種采集數(shù)據(jù)進(jìn)行數(shù)據(jù)解析、標(biāo)準(zhǔn)化、豐富化、歸一化、過濾 、補全 、清洗等處理，保障數(shù) 據(jù)的完整性、可用性，支持通過編寫配置文件實現(xiàn)非編程方式的日志數(shù)據(jù)解析。
可信接入代理

可信接入代理支持可信接入、訪問控制、NAT、應(yīng)用層檢測、流量監(jiān)控、日志記錄、告警等功能，主要用于為不可信任的外網(wǎng)用戶提供可信接入，為內(nèi)網(wǎng)資源提供可信任安全屏障。可信接入代理在為用戶提供可信接入時，可輕松適應(yīng)某些資源具有大量的IP地 址信息，且IP地址不固定的應(yīng)用場景。

可信 API 代理
可信API代理通過流量控制、攻擊防御、傳輸加密等多種API相關(guān)安全防護(hù)技術(shù)，為業(yè)務(wù)提供API接口的統(tǒng)一代理、訪問認(rèn)證、數(shù)據(jù)加密、安全防護(hù)、應(yīng)用審計等能力，對AP I 進(jìn)行全生命周期的權(quán)限管理，全面解決企業(yè)API接口服務(wù)面臨的安全問題。

可信代理控制服務(wù)

可信代理控制服務(wù)可針對業(yè)務(wù)應(yīng)用及API服務(wù)的訪問控制需求，采用了用戶認(rèn)證授權(quán)、身份權(quán)限管理、風(fēng)險感知、UEBA等多項技術(shù)，集中解決應(yīng)用訪問場景的安全問題等。同時 ，可信代理控制服務(wù)也是零信任體系安全解決方案中的重要組成部分，聯(lián)動各個平 臺的控制中心。

數(shù)據(jù)安全交換系統(tǒng)

數(shù)據(jù)安全交換系統(tǒng)具體包括前后置、單向光閘三部分。前置代理系統(tǒng)是雙網(wǎng)信息交換中面向低安全級別網(wǎng)絡(luò)的信息采集及推送系統(tǒng)，前置代理系統(tǒng)的作用主要是以各種形式采 集外網(wǎng)中需要傳輸?shù)絻?nèi)網(wǎng)的數(shù)據(jù)，通過安全處理及分流，傳輸?shù)絻?nèi)部網(wǎng)絡(luò)。

優(yōu)勢特點和應(yīng)用價值：

根據(jù)公安大數(shù)據(jù)“一切資源化、資源目錄化、目錄全局化、全局標(biāo)準(zhǔn)化”的原則，通過本案的建設(shè)，做到全網(wǎng)安全態(tài)勢敏銳感知，安全威脅快速檢測與處置，確保大數(shù)據(jù)全程 可知、可控、可管、可查，為公安大數(shù)據(jù)智能化建設(shè)提供嚴(yán)密安全保障。

方案價值

符合新一代公安信息網(wǎng)標(biāo)準(zhǔn)規(guī)范要求通過 “新一代公安信息網(wǎng)項目”成功落地，項目實踐證明產(chǎn)品完全滿足公安部相關(guān)標(biāo)準(zhǔn) 規(guī)范要求。

以安全管理中心為中樞構(gòu)建全局化安全防護(hù)服務(wù)體系通過為公安客戶構(gòu)建事前主動防御、事中持續(xù)檢測與響應(yīng)、事后迅速恢復(fù)的全局化安全 防護(hù)體系。

建立起行業(yè)建設(shè)標(biāo)準(zhǔn)通過本案的實施，樹立起新一代公網(wǎng)網(wǎng)的建設(shè)標(biāo)準(zhǔn)，打造一個中心（即安全管理中心）、 兩大體系（即零信任體系和安全防護(hù)體系）的安全支撐能力。

方案優(yōu)勢

高性能無瓶頸

• 本案重點對核心產(chǎn)品(可信API代理)和數(shù)據(jù)交換通道的性能重點做了優(yōu)化設(shè)計。

• 由于可信API代理負(fù)責(zé)對業(yè)務(wù)應(yīng)用API接口的訪問控制，承載較多的業(yè)務(wù)并發(fā)訪問壓力 ，極容易成為整個安全訪問平臺的瓶頸。通過在可信API代理設(shè)備前部署負(fù)載均衡，通過輪詢、隨機等多負(fù)載均衡算法將業(yè)務(wù)訪問壓力均衡分?jǐn)偟絻膳_可信AP I 代理設(shè)備上，并可在不影響正常業(yè)務(wù)情況下靈活擴(kuò)展多臺可信API代理設(shè)備。

• 數(shù)據(jù)交換通道性能設(shè)計最大通道帶寬可達(dá)20GBPS，單個文件可支持30G大小進(jìn)行 無丟包交換。

國產(chǎn)化適配

• 本案涉及的國產(chǎn)硬件適配能力，充分保護(hù)用戶已有建設(shè)投資，最大化保護(hù)IT投資成 本。

• 各產(chǎn)品互兼容性高

• 本案的產(chǎn)品和方案均以構(gòu)建強大的擴(kuò)容能力、廣泛的產(chǎn)品技術(shù)兼容性為設(shè)計原則，不僅新產(chǎn)品建設(shè)完美兼容，還與原有業(yè)務(wù)系統(tǒng)、身份認(rèn)證充分融合，發(fā)揮利舊原則， 建設(shè)好新一代公安網(wǎng)。

經(jīng)驗總結(jié)：

本項目基于公安大數(shù)據(jù)相關(guān)規(guī)范對公安應(yīng)用業(yè)務(wù)的流程再造與優(yōu)化，改造過程中勢必會對當(dāng)前業(yè)務(wù)造成一定的影響，為了盡量減少規(guī)避影響范圍，建議從業(yè)務(wù)穩(wěn)定性、安全性 等角度綜合考慮：

項目實施期間，如何保證原業(yè)務(wù)的穩(wěn)定運行。為了解決這個問題，需要提前做好前期準(zhǔn)備，包括原業(yè)務(wù)系統(tǒng)的備份、安排在非業(yè)務(wù)辦理時間進(jìn)行業(yè)務(wù)部署割接；在業(yè)務(wù)割接過 程前設(shè)計好應(yīng)急保證措施，當(dāng)遇到無法排除的故障時應(yīng)該及時回退到部署前狀態(tài)。

新部署的安全訪問平臺增加了可信接入代理、可信API代理等多個驗證功能執(zhí)行點，如何保障部署后業(yè)務(wù)訪問體驗不受影響。通過對新安全訪問平臺的訪問流程進(jìn)行梳理后發(fā)現(xiàn)新通道的瓶頸在可信API代理網(wǎng)關(guān)系統(tǒng)上本案選用了業(yè)界最高性能的專用硬件平臺，將可信API代理的性能提高至40G 左右 ，同時在兩臺可信API代理網(wǎng)關(guān)之前部署了負(fù)載 均衡系統(tǒng)來保證該平臺的穩(wěn)定性及連續(xù)性。

本項目中設(shè)計了多類安全產(chǎn)品的部署聯(lián)調(diào)，如何能夠保證在規(guī)定時間內(nèi)完成本工作內(nèi)容。本項目中設(shè)計的核心產(chǎn)品包括可信接入代理、可信API代理和可信代理控制服務(wù)，為了 保證系統(tǒng)的快速聯(lián)調(diào)部署，通過三大核心部件的快速部署，確保實施周期。

本文在編寫過程中參考了 CSA 2021中國零信任全景圖 再次表示感謝

更多關(guān)于零信任材料
NIST 零信任架構(gòu) 中文版
產(chǎn)業(yè)互聯(lián)網(wǎng)聯(lián)盟 零信任實戰(zhàn)白皮書 2019
安全牛 現(xiàn)代企業(yè)零信任安全構(gòu)建應(yīng)用指南研究報告 2021

總結(jié)

以上是生活随笔為你收集整理的零信任在某省政务大数据智能项目的落地实践的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。