方案背景

某省公安廳大數據安全整體解決方案，以“一切資源化、資源目錄化、目錄全局化、全局標準化”為設計理念，以“分層解耦，異構兼容”為設計思路，以“安全 、合規 、可信”為實現目標，提升科學實用的體系化安全防護能力，規范化安全管理能力，綜合化安全運維能力，實現全網安全態勢敏銳感知，安全威脅快速檢測與處置確保大數據全程可知可控，可管可查，變靜態為動態，變被動為主動，為某省公安廳公安大數據智能化 建設保駕護航。

方案概述和應用場景

本案以數據安全為中心，以安全基礎設施為支撐，以安全大數據智能分析為抓手，從“云、數據、應用、網、邊界、端”六維構建縱深，實現統一安全管理，構建“安全、可信、合規 ”的大數據智能化安全立體縱深防御體系，形成科學實用的規范化安全管理能力、體系化安全防護能力、綜合化安全運維能力，變靜態為動態，變被動為主動，為公安大 數據智能化建設提供堅實保障。本次重點建設跨域安全訪問與數據交換平臺。

本案緊密結合新一代公安信息網網絡架構設計和大數據、云平臺、智能應用設計開展大數據智能化工程安全體系設計，確保框架先進性；運用國際通用安全架構指導大數據智能化安全體系設計，確保理念先行；深入結合可信技術、大數據技術開展大數據智能化 安全系統設計。

本案建設以滿足“安全 、可信 、合規 ”總體建設目標為前提，提出了“統一規劃、統一 標準、急用先行、分步實施”的總體原則，采用如下核心組件進行建設。

審計中心具有超強的審計洞察和可擴展性，可支持各類信息（日志信息、威脅信息等）的處理與分析，通過采集關鍵節點服務日志信息，以大數據技術驅動過程行為數據分析，采用機器學習方法進行安全分析，能夠檢測高級、隱藏和內部威脅的行為分析技術，不 需要使用簽名或規則。且在殺傷鏈上能關聯數據，進行有針對性的發現。

審批中心
審批中心負責審批工作的信息化、流程化和規范化，實現任務的上傳下達、工作督辦監督體系、規范數據查詢和偵控手段審批流程。審批中心提供業務流程同步，實現接入系統信息管理、權限同步，可通過短信發送申請信息或審批信息，還能實現與安全代理、 認證、權限、審計及應用系統的聯動。

安全管理中心

安全管理中心基于大數據基礎架構平臺開發，使用ETL組件進行數據預處理，根據行業數據治理標準規范和行業規范安全數據治理需求，實現數據治理功能，能夠提供對各種采集數據進行數據解析、標準化、豐富化、歸一化、過濾 、補全 、清洗等處理，保障數 據的完整性、可用性，支持通過編寫配置文件實現非編程方式的日志數據解析。
可信接入代理

可信接入代理支持可信接入、訪問控制、NAT、應用層檢測、流量監控、日志記錄、告警等功能，主要用于為不可信任的外網用戶提供可信接入，為內網資源提供可信任安全屏障。可信接入代理在為用戶提供可信接入時，可輕松適應某些資源具有大量的IP地 址信息，且IP地址不固定的應用場景。

可信 API 代理
可信API代理通過流量控制、攻擊防御、傳輸加密等多種API相關安全防護技術，為業務提供API接口的統一代理、訪問認證、數據加密、安全防護、應用審計等能力，對AP I 進行全生命周期的權限管理，全面解決企業API接口服務面臨的安全問題。

可信代理控制服務

可信代理控制服務可針對業務應用及API服務的訪問控制需求，采用了用戶認證授權、身份權限管理、風險感知、UEBA等多項技術，集中解決應用訪問場景的安全問題等。同時 ，可信代理控制服務也是零信任體系安全解決方案中的重要組成部分，聯動各個平 臺的控制中心。

數據安全交換系統

數據安全交換系統具體包括前后置、單向光閘三部分。前置代理系統是雙網信息交換中面向低安全級別網絡的信息采集及推送系統，前置代理系統的作用主要是以各種形式采 集外網中需要傳輸到內網的數據，通過安全處理及分流，傳輸到內部網絡。

優勢特點和應用價值：

根據公安大數據“一切資源化、資源目錄化、目錄全局化、全局標準化”的原則，通過本案的建設，做到全網安全態勢敏銳感知，安全威脅快速檢測與處置，確保大數據全程 可知、可控、可管、可查，為公安大數據智能化建設提供嚴密安全保障。

方案價值

符合新一代公安信息網標準規范要求通過 “新一代公安信息網項目”成功落地，項目實踐證明產品完全滿足公安部相關標準 規范要求。

以安全管理中心為中樞構建全局化安全防護服務體系通過為公安客戶構建事前主動防御、事中持續檢測與響應、事后迅速恢復的全局化安全 防護體系。

建立起行業建設標準通過本案的實施，樹立起新一代公網網的建設標準，打造一個中心（即安全管理中心）、 兩大體系（即零信任體系和安全防護體系）的安全支撐能力。

方案優勢

高性能無瓶頸

• 本案重點對核心產品(可信API代理)和數據交換通道的性能重點做了優化設計。

• 由于可信API代理負責對業務應用API接口的訪問控制，承載較多的業務并發訪問壓力 ，極容易成為整個安全訪問平臺的瓶頸。通過在可信API代理設備前部署負載均衡，通過輪詢、隨機等多負載均衡算法將業務訪問壓力均衡分攤到兩臺可信AP I 代理設備上，并可在不影響正常業務情況下靈活擴展多臺可信API代理設備。

• 數據交換通道性能設計最大通道帶寬可達20GBPS，單個文件可支持30G大小進行 無丟包交換。

國產化適配

• 本案涉及的國產硬件適配能力，充分保護用戶已有建設投資，最大化保護IT投資成 本。

• 各產品互兼容性高

• 本案的產品和方案均以構建強大的擴容能力、廣泛的產品技術兼容性為設計原則，不僅新產品建設完美兼容，還與原有業務系統、身份認證充分融合，發揮利舊原則， 建設好新一代公安網。

經驗總結：

本項目基于公安大數據相關規范對公安應用業務的流程再造與優化，改造過程中勢必會對當前業務造成一定的影響，為了盡量減少規避影響范圍，建議從業務穩定性、安全性 等角度綜合考慮：

項目實施期間，如何保證原業務的穩定運行。為了解決這個問題，需要提前做好前期準備，包括原業務系統的備份、安排在非業務辦理時間進行業務部署割接；在業務割接過 程前設計好應急保證措施，當遇到無法排除的故障時應該及時回退到部署前狀態。

新部署的安全訪問平臺增加了可信接入代理、可信API代理等多個驗證功能執行點，如何保障部署后業務訪問體驗不受影響。通過對新安全訪問平臺的訪問流程進行梳理后發現新通道的瓶頸在可信API代理網關系統上本案選用了業界最高性能的專用硬件平臺，將可信API代理的性能提高至40G 左右 ，同時在兩臺可信API代理網關之前部署了負載 均衡系統來保證該平臺的穩定性及連續性。

本項目中設計了多類安全產品的部署聯調，如何能夠保證在規定時間內完成本工作內容。本項目中設計的核心產品包括可信接入代理、可信API代理和可信代理控制服務，為了 保證系統的快速聯調部署，通過三大核心部件的快速部署，確保實施周期。

本文在編寫過程中參考了 CSA 2021中國零信任全景圖 再次表示感謝

更多關于零信任材料
NIST 零信任架構 中文版
產業互聯網聯盟 零信任實戰白皮書 2019
安全牛 現代企業零信任安全構建應用指南研究報告 2021

總結

以上是生活随笔為你收集整理的零信任在某省政务大数据智能项目的落地实践的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。