天津市公安局和平分局智慧平安社区密码保障体系解决方案
一、基本信息
1、项目简介
天津市公安局和平区分局建设的和平区智慧平安社区系统包含公安视频图像信息应用平台和社区人车聚类分析平台两个应用,方案按照本系统的网络安全保护等级三级,依据GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》和《公安机关商用密码应用指南(2020年版)》,遵循“三同步一评估”的要求,从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等4个层面,以及管理制度、人员管理、建设运行和应急处置等4个方面,全面设计了和平区智慧平安社区系统密码应用建设方案。
本方案严格遵循商用密码应用安全性评估相关标准规范,在满足总体性、科学性、完备性、可行性原则的基础上,从身份鉴别、数据传输机密性与完整性保护、数据存储机密性与完整性保护、密钥安全管理等层面出发,采用SM1/2/3/4系列密码算法和安全合规的VPN安全网关、服务器密码机、签名验签服务器、智能密码钥匙(USBKey)、数字证书等密码产品和密码技术,保证符合GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》中对于等保三级信息系统的密码应用要求。
2、方案背景、目的意义
智慧平安社区建设,事关巩固党的执政根基,事关基层社会治理体系和治理能力现代化,事关广大人民群众的切身利益。《国民经济和社会发展十四个五年规划和2035年远景目标纲要》就推进智慧平安社区建设提出明确要求。科技部、住建部、公安部等部委也发布相应政策规划及标准建设,明确提出要在2022年实现全国城镇地区智慧平安社区全覆盖的目标。
为落实好天津市智慧平安社区的建设要求,天津市公安局和平区分局开展2022年和平区智慧平安社区建设项目,对和平区大部分小区进行智慧平安社区建设。在智慧平安社区建设过程中,为响应国家对于公共安全视频监控建设联网应用工作的要求,依据GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》,从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等4个层面,以及密钥管理、安全管理等方面,开展了智慧平安社区密码保障体系建设工作。
3、方案解决难点、堵点问题
1)智慧终端数量多、种类杂,身份真实性如何保障?
和平区智慧社区平台主要包括前端点位建设、后端存储及各类系统扩容,前端点位包括人脸抓拍相机、车辆抓拍相机、人车抓拍相机、一体化人车抓拍相机及其配套设施建设,后端存储主要是前端接入授权,结构化数据存储系统,云存储系统,解析系统,后端聚类系统、网络安全以及密保系统进行扩容建设,满足新增小区的建设需求。面对所涉及大量前端监控设备、后端存储系统、解析系统等设备,以及多个应用终端和平台用户,如何实现各类设备和用户的身份真实性鉴别,是密码保障体系建设的难点。
2)网络结构复杂,交叉互联互通,通信机密是否可靠?
智慧平安社区网络结构复杂,横跨互联网、政务外网、公安视频专网等多个安全区,各安全区域之间的通信链路没有采用有效的技术手段进行保护,视频码流、控制指令交换等重要的业务数据的传输通道处于裸露状态,如何保障通信数据的机密性是本项目需要解决的难点问题。
3)如何保障海量机密隐私数据不被泄露和非法篡改?
智慧平安社区平台汇聚大量人员信息、重点场所信息、预警事件信息等重要隐私和业务数据,一旦发生公共场所监控视频外泄,不仅涉嫌侵犯视频中所涉人员的隐私权,而且可能给公共安全带来威胁,如何保证海量业务数据不被泄露,不被非法篡改,是智慧平安社区商用密码保障体系建设要解决的关键问题。
二、实施情况
1、方案架构
天津市公安局和平分局智慧平安社区平台主要面向管理员用户和业务用户,业务用户覆盖范围包括天津市公安局和平分局、天津市公安局和平分局下属单位,通过建立统一视频图片处理平台,规范各类视频、图片等信息的管理过程,构建完整的视频图片综合应用平台。
按照天津市公安局智慧平安社区平台建设标准,本方案在满足总体性、科学性、完备性、可行性的基础上,通过采用北京数字认证股份有限公司(以下简称“数字认证”)自主研发的IPSec VPN安全网关、SSL VPN安全网关、服务器密码机、签名验签服务器、智能密码钥匙(USBKey)的密码产品和数字证书(包括个人数字证书、设备证书、通配符SSL证书)等密码服务,以满足本平台的密码应用需求。
(密码应用架构图)
(密码应用部署示意图)
2、实施路线、应用场景
和平区智慧平安社区平台结合相关规范与自身实际业务需求,采用合规的密码算法、密码技术、密码产品与服务,基于本方案的密码应用服务建立准确、高效、可追溯的智慧平安社区,同时也通过使用密码技术保护社区居民的个人信息及人脸特征等重要数据。
本方案对和平区智慧平安社区平台进行统一密码应用安全保护,完成密码应用从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等层面的全面设计,以满足GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》对等保三级信息系统的密码应用要求。如下图所示:
(密码应用技术框架)
在物理和环境安全方面,部署符合GM/T 0036-2014《采用非接触卡的门禁系统密码应用指南》国密电子门禁系统,使用SM4算法进行密钥分散,实现门禁卡的“一卡一密”,并基于SM4算法对人员身份进行鉴别;通过调用密码模块使用HMAC-SM3技术对电子门禁系统进出记录数据进行完整性保护,并在门禁记录数据调用时进行完整性校验对比;对视频监控记录数据进行HMAC-SM3运算后存储,进行完整性验证时,通过音视频管理终端调用内置PCI-E密码卡进行HMAC校验。
在网络和通信安全方面,本平台主要涉及三条通信信道,采取的密码应用防护措施如下:1)面向业务用户的通信信道,在中心机房网络交换区部署SSL VPN安全网关,建立业务终端与和平区智慧平安社区平台之间的SSL安全传输通道;2)面向运维管理通道,统一管理区部署SSL VPN安全网关,建立运维终端与和平区智慧平安社区平台之间的SSL安全传输通道;3)面向前端到中心端的数据传输通道,网络交换区部署高性能的IPSec VPN安全网关,前端所有社区分别部署IPSec VPN安全网关,建立前端社区与和平区智慧平安社区平台之间的IPSec安全传输通道,并在SSL VPN网关、IPSEC VPN安全网关内配置具有电子认证服务许可资质的第三方CA机构签发的签名加密双证书。
在设备和计算安全方面,运维用户登录堡垒机时,使用智能密码钥匙配合账号口令实现双因子认证,智能密码钥匙内置具有电子认证服务许可资质的第三方CA机构签发的SM2数字证书,堡垒机调用签名验签服务器进行验签,实现对登录的用户进行身份鉴别,通过SSL VPN安全网关代理转发TLS1.2协议访问堡垒机,通过SSH2.0协议访问被运维设备。
在应用和数据安全方面,在本平台通过部署签名验签服务器,业务用户统一配发智能密码钥匙,并通过具有电子认证服务许可资质的第三方CA机构将SM2数字证书签发到智能密码钥匙中,身份鉴别采用个人数字证书+用户名+口令的方式实现,本平台调用签名验签服务器进行验签,实现对授权访问用户的安全身份鉴别,防止非授权人员登录;平台通过调用服务器密码机,采用SM4算法对身份鉴别数据、重要用户信息和重要业务数据进行加密后存储,实现重要数据存储机密性保护;采用HMAC-SM3算法对身份鉴别数据、重要用户信息和重要业务数据进行存储完整性保护,并在相关数据调用时进行完整性校验对比。
3、技术先进性及创新点
1)建设了统一的数字证书应用体系
构建统一的数字证书应用体系,为所服务的相关实体签发数字证书,将用户身份、监控设备,与数字证书绑定,实现对网上信息传递真实身份的识别与鉴别。
2)构建了全覆盖的网络安全通信体系
本次密码保障体系建设为和平区2018、2019、2020、2021及本期新建的全部智慧社区装备搭建了网络安全通信体系。在小区前端视频监控摄像头汇聚处抱杆箱旁路部署IPSec VPN安全网关,IPSec VPN安全网关采用透明部署模式。IPSec VPN安全网关和终端设备间采用国密认证机制,实现双向身份认证,确认授权使用设备的合法身份,保证数据传输的真实性。
3)制定了多类数据安全应用体系
天津市和平区智慧平安社区密码保障体系针对智慧平安社区所产生的数据的不同类型,采取不同的措施进行数据安全保护。针对平台中重要数据,采用SM4算法进行存储机密性保护,实现了数据库中重要数据的机密性保护,采用HMCA-SM3实现对重要数据的完整性保护;针对平台存储中的图片、视频数据,在图片存储服务器中配置密码卡,通过视频安全密钥服务系统对图片数据使用SM4算法和HAMC-SM3算法实现机密性和完整性保护。通过不同数据采用不同的数据安全防护体系,实现对重要数据的防窃取和防篡改。
三、实施效果
1、经济效益和社会效益、已经取得的商业应用成果
传统的视频监控系统安全防护措施无法从根本上解决目前的安全风险。同时,这些措施的建设也会增加智慧平安社区平台的建设成本。本项目通过构建安全、合规的密码保障体系对智慧平安社区平台进行加固,搭建稳定运行、安全可靠的视频监控系统,可以有效避免视频监控信息安全事件。
本项目通过数字签名、加解密等商用密码技术,从根本上解决了视频监控的安全性问题,有效地保护个人信息和商业秘密不被泄露,提升社区群众的安全感和对政府的信任度。
2、方案在行业推广的价值、复制条件、推广范围
目前已经建设的视频监控系统普遍缺少针对性的信息安全防护措施,尤其在前端摄像机在收到图像信息之后进行编解码、码流传输、图像数据存储、视频信令交换等过程,面临着截获、篡改、恶意破坏、违规接入等安全风险。
天津市和平区智慧社区平台密码保障体系的成功建设和应用,说明了采用国产商用密码技术手段能够有效降低公安视频专网的安全风险,在视频监控领域具有很强的推广价值,为视频监控系统安全建设与发展指明了方向。
四、项目总结
在本方案设计阶段,通过与合作单位的密切配合和沟通,将密码技术与视频技术融合,以国产视频监控编解码标准与信令控制标准为基础,通过数字签名、加解密等基于国产密码算法的密码技术,从根本上解决了视频监控的安全性问题和具体实现方法,又确保了视频监控体系建立可靠,进而保障智慧平安社区平台的稳定运行。
联系人:王艺杰
联系方式:13212118021