CSA案例集 | 天融信某省公安大數據智能化安全建設采購項目
一、方案背景
某省公安廳大數據安全整體解決方案,以“一切資源化、資源目錄化、目錄全局化、全局標準化”為設計理念,以“分層解耦,異構兼容”為設計思路,以“安全、合規、可信”為實現目標,提升科學實用的體系化安全防護能力,規范化安全管理能力,綜合化安全運維能力,實現全網安全態勢敏銳感知,安全威脅快速檢測與處置確保大數據全程可知可控,可管可查,變靜態為動態,變被動為主動,為某省公安廳公安大數據智能化建設保駕護航。
二、方案概述和應用場景
本案以數據安全為中心,以安全基礎設施為支撐,以安全大數據智能分析為抓手,從“云、數據、應用、網、邊界、端”六維構建縱深,實現統一安全管理,構建“安全、可信、合規”的大數據智能化安全立體縱深防御體系,形成科學實用的規范化安全管理能力、體系化安全防護能力、綜合化安全運維能力,變靜態為動態,變被動為主動,為公安大數據智能化建設提供堅實保障。本次重點建設跨域安全訪問與數據交換平臺。
本案緊密結合新一代公安信息網網絡架構設計和大數據、云平臺、智能應用設計開展大數據智能化工程安全體系設計,確保框架先進性;運用國際通用安全架構指導大數據智能化安全體系設計,確保理念先行;深入結合可信技術、大數據技術開展大數據智能化安全系統設計。
圖1 總體架構圖
本案建設以滿足“安全、可信、合規”總體建設目標為前提,提出了“統一規劃、統一標準、急用先行、分步實施”的總體原則,采用如下核心組件進行建設。
1.審計中心
審計中心具有超強的審計洞察和可擴展性,可支持各類信息(日志信息、威脅信息等)的處理與分析,通過采集關鍵節點服務日志信息,以大數據技術驅動過程行為數據分析,采用機器學習方法進行安全分析,能夠檢測高級、隱藏和內部威脅的行為分析技術,不需要使用簽名或規則。且在殺傷鏈上能關聯數據,進行有針對性的發現。
2.審批中心
審批中心負責審批工作的信息化、流程化和規范化,實現任務的上傳下達、工作督辦監督體系、規范數據查詢和偵控手段審批流程。審批中心提供業務流程同步,實現接入系統信息管理、權限同步,可通過短信發送申請信息或審批信息,還能實現與安全代理、認證、權限、審計及應用系統的聯動。
3.安全管理中心
安全管理中心基于大數據基礎架構平臺開發,使用ETL組件進行數據預處理,根據行業數據治理標準規范和行業規范安全數據治理需求,實現數據治理功能,能夠提供對各種采集數據進行數據解析、標準化、豐富化、歸一化、過濾、補全、清洗等處理,保障數據的完整性、可用性,支持通過編寫配置文件實現非編程方式的日志數據解析。
4.可信接入代理
可信接入代理支持可信接入、訪問控制、NAT、應用層檢測、流量監控、日志記錄、告警等功能,主要用于為不可信任的外網用戶提供可信接入,為內網資源提供可信任安全屏障。可信接入代理在為用戶提供可信接入時,可輕松適應某些資源具有大量的IP地址信息,且IP地址不固定的應用場景。
5.可信API代理
可信API代理通過流量控制、攻擊防御、傳輸加密等多種API相關安全防護技術,為業務提供API接口的統一代理、訪問認證、數據加密、安全防護、應用審計等能力,對API進行全生命周期的權限管理,全面解決企業API接口服務面臨的安全問題。
6.可信代理控制服務
可信代理控制服務可針對業務應用及API服務的訪問控制需求,采用了用戶認證授權、身份權限管理、風險感知、UEBA等多項技術,集中解決應用訪問場景的安全問題等。同時,可信代理控制服務也是零信任體系安全解決方案中的重要組成部分,聯動各個平臺的控制中心。
7.數據安全交換系統
數據安全交換系統具體包括前后置、單向光閘三部分。前置代理系統是雙網信息交換中面向低安全級別網絡的信息采集及推送系統,前置代理系統的作用主要是以各種形式采集外網中需要傳輸到內網的數據,通過安全處理及分流,傳輸到內部網絡。
三、優勢特點和應用價值
根據公安大數據“一切資源化、資源目錄化、目錄全局化、全局標準化”的原則,通過本案的建設,做到全網安全態勢敏銳感知,安全威脅快速檢測與處置,確保大數據全程可知、可控、可管、可查,為公安大數據智能化建設提供嚴密安全保障。
1.方案價值
1)符合新一代公安信息網標準規范要求
通過“新一代公安信息網項目”成功落地,項目實踐證明產品完全滿足公安部相關標準規范要求。
2)以安全管理中心為中樞構建全局化安全防護服務體系
通過為公安客戶構建事前主動防御、事中持續檢測與響應、事后迅速恢復的全局化安全防護體系。
3)建立起行業建設標準
通過本案的實施,樹立起新一代公網網的建設標準,打造一個中心(即安全管理中心)、兩大體系(即零信任體系和安全防護體系)的安全支撐能力。
2.方案優勢
1)高性能無瓶頸
本案重點對核心產品(可信API代理)和數據交換通道的性能重點做了優化設計。
由于可信API代理負責對業務應用API接口的訪問控制,承載較多的業務并發訪問壓力,極容易成為整個安全訪問平臺的瓶頸。通過在可信API代理設備前部署負載均衡,通過輪詢、隨機等多負載均衡算法將業務訪問壓力均衡分攤到兩臺可信API代理設備上,并可在不影響正常業務情況下靈活擴展多臺可信API代理設備。
數據交換通道性能設計最大通道帶寬可達20Gbps,單個文件可支持30G大小進行無丟包交換。
2)國產化適配
本案涉及的國產硬件適配能力,充分保護用戶已有建設投資,最大化保護IT投資成本。
3)各產品互兼容性高
本案的產品和方案均以構建強大的擴容能力、廣泛的產品技術兼容性為設計原則,不僅新產品建設完美兼容,還與原有業務系統、身份認證充分融合,發揮利舊原則,建設好新一代公安網。
四、經驗總結
本項目基于公安大數據相關規范對公安應用業務的流程再造與優化,改造過程中勢必會對當前業務造成一定的影響,為了盡量減少規避影響范圍,建議從業務穩定性、安全性等角度綜合考慮:
項目實施期間,如何保證原業務的穩定運行。為了解決這個問題,需要提前做好前期準備,包括原業務系統的備份、安排在非業務辦理時間進行業務部署割接;在業務割接過程前設計好應急保證措施,當遇到無法排除的故障時應該及時回退到部署前狀態。
新部署的安全訪問平臺增加了可信接入代理、可信API代理等多個驗證功能執行點,如何保障部署后業務訪問體驗不受影響。通過對新安全訪問平臺的訪問流程進行梳理后發現新通道的瓶頸在可信API代理網關系統上本案選用了業界最高性能的專用硬件平臺,將可信API代理的性能提高至40G 左右,同時在兩臺可信API代理網關之前部署了負載均衡系統來保證該平臺的穩定性及連續性。
本項目中設計了多類安全產品的部署聯調,如何能夠保證在規定時間內完成本工作內容。本項目中設計的核心產品包括可信接入代理、可信API代理和可信代理控制服務,為了保證系統的快速聯調部署,通過三大核心部件的快速部署,確保實施周期。
五、其他
通過建設本案,實現了統一的身份認證管理的精細化、動態化的授權能力。這部分需求的目的是解決人或者接入設備的身份安全,確保所有接入人員和設備的身份是安全可信的。由于大數據中心的數據涉及大量的國家安全、社會安全、個人隱私等敏感信息,所以對權限的要求非常嚴格,必須采用能夠根據數據的敏感程度和重要程度進行細粒度的授權,并結合人員的行為分析和訪問的環境狀態動態授權,在不影響業務效率的前提下,確保數據訪問權限最小化原則,避免因為權限不當導致的數據泄露。該省公安廳通過建設省級大數據智能化平臺建設,樹立起新一代公網網的建設標準。
