北京智慧平安社区
  • 2021.12.01
  • 946
  • 北京天融信网络安全技术有限公司

一、案例背景:

2012年9月,北京市社会办、市经信委、市民政局共同印发了《关于在全市推进智慧平安社区建设的实施意见》和《北京市智慧平安社区指导标准(试行》,标志着北京市智慧平安社区和便民服务终端网络建设两项重点任务的顶层设计工作的完成,智慧平安社区试点建设工作的全面启动,并提出了智慧平安社区的建设目标:近期目标:力争到“十二五”期末,在全市建设1500个左右智慧平安社区。利用物联网、云计算、移动互联网、信息智能终端等新一代信息技术,通过对各类与社区居民生活密切相关信息的自动感知、及时传送、及时发布和信息资源的整合共享,实现对社区居民“吃、住、行、游、购、娱、健”生活七大要素的数字化、网络化、智能化、互动化和协同化,让“五化”成为居民工作、生活的主要方式。未来将社区建设成为政务高效、服务便捷、管理睿智、生活智能、环境宜居的社区生活新业态,实现5A模式“智慧家园、幸福生活”,使“任何人、在任何时候、任何地点、通过任何方式、能得到任何服务” 。
 

智慧平安社区建设技术条件已经十分成熟,目前在全国已有很多的智慧平安社区试点,北京市作为首都,在智慧小区的建设上采用了新的技术手段和运营模式使社区生活变得更加智能,在建设速度和建设规模上也尤为突出。截至到目前,智慧平安社区建设在北京市已经初具成效,但建设过程中面对的各类信息安全问题也越来越凸显,面对智慧平安社区建设面临的诸多问题,北京市公安局人口管理和基层工作总队要求实现对智慧平安社区敏感数据的统一管理、按需分发原则。总结的需求如下:
 

  • 数据的安全采集

在智慧平安社区建设中,门禁系统、巡更系统、车辆管理系统、监控系统、其他各类智能设备等对小区的监控数据,各自通过互联网、物联网、社区内网等方式将数据发送到各自的服务器。北京市公安局人口管理和基层工作总队负责管理和集中社区数据,便于警员对智慧平安社区的管理工作以及其他委办局的数据分析要求。小区建设的各类系统的数据源多数是IP化非智能设备,产生的数据将直接上传。服务器端目前没有对数据源的可靠性进行认证。
 

  • 数据安全汇集

北京市目前有上万个小区,智慧平安社区建设中,尚不存在北京市统一管理智慧平安社区数据的平台,因此针对智慧平安社区数据采集的互联网转发平台将会为公安网、政务网、企业提供数据订阅服务。从每个智慧平安社区采集的数据到互联网转发平台之间需要对原始数据进行加密保护,防止互联网信息泄露,同时也要保证其数据的完整性,即没有遭受到破坏。与此同时,在服务端也要确保智慧平安社区合法身份,避免非法分子冒用社区信息上传数据。
 

  • 数据的安全存储

从智慧平安社区采集过来的敏感数据,如人脸信息,车辆信息等,需要集中保存,这就对数据的存储安全性要求较高,一旦泄露,造成的损失巨大,影响巨大。安全不是事后诸葛亮,而是事前控制,通过网络防护措施及有效高强度认证手段对黑客攻击者做到“进不来”。数据的使用需要经过严格授权,未经授权的非法用户对数据“拿不走”。数据除了加密保护处理外,还需要进行脱敏处理,即便被越权获取,也能保证对方“看不懂”。
 

  • 数据的安全转发

智慧平安社区数据采集上来后,由互联网转发平台统一分发处理,对数据的使用者主要分为两类:

1. 公安网

转发到公安网内,交由不同数据平台进行大数据分析。该过程需要符合公安网数据安全接入标准。

2. 智慧平安社区厂商

智慧平安社区厂商运维智慧平安社区应用,必须要订阅社区数据。转发平台下发数据前需要对数据进行脱敏,防止敏感信息在智慧平安社区厂商泄露。其次智慧平安社区厂家订阅的数据同样有加密保护、完整性保护。确保下发的数据也是可靠的。
 

二、案例概述:

北京市智慧平安社区物联网安全建设的整体架构,纵向分为市、区、派出所、小区四级架构,从网络横向划分,分为三层,即互联网、小区局域网、政务外网以及其他专网作为接入层网络,公安视频专网作为汇聚层网络,公安信息网作为应用核心层的网络,通过各层网络的信息通讯,支撑智慧平安社区的系统应用。
 

本次项目重点建设智慧平安社区物联网接入安全监测能力,通过支持国密算法的SSLVPN技术,结合物联网相关技术平台等,采集并汇聚物联网关流量等数据,按需调度和监测接入的设备网络安全风险、业务活跃度等情况,开展攻击行为安全监测。具体到技术层面,将人员、时间、操作、习惯、应用、网络、介质、主机等多个环节的精细管理,为用户构建可信的安全环境。以现有安全基础设施、等级保护技术措施为基础,作为物联网安全的基础环境保障。并针对性的将数据分类分级、物联网标识、数据加密、双向访问控制、数据融合处理、物联网平台数据脱敏、数据容灾备份等多种物联网安全技术措施与现有安全防护手段相结合,构建全方位的物联网安全接入防护体系。并在此基础上建立统一的物联网安全管控体系,在物联网接入的全生命周期各阶段实现终端及环境可定义。还结合领先的大数据分析技术,建立物联网接入安全监测能力与物联网接入安全大数据分析能力,形成多源接入安全数据汇聚、清洗、存算中心,使之具备威胁关联分析、攻击交叉验证等能力,关联权威威胁情报库,融合沉淀相关领域IP、域名、攻击事件等基础数据资源体系,形成权威数据资源池,实现物联网安全态势感知,提供从业务到安全的全方位挖掘分析能力。
 

三、安全技术应用情况:

天融信“以安全接入为核心”的技术路线确立了明确的物联网安全防护体系进化目标。从被动到主动、从静态到动态、从单点到整体、从粗放到精准,使得物联网安全防护体系能够在物联网全业务场景、全生命周期、全应用过程中发挥作用,实现主动的数据发现、识别及分级分类,在数据演变过程中动态的发挥防护作用。改变传统网络安全以保护数据运行环境为目标的情况,回归网络安全保护的根本目标——物联网接入的安全,实现基于安全标识、三重准入、双向安全访问控制、入侵防御等多种方式的物联网安全精准管控能力。如下图所示:
 


 

基于天融信多年来在网络安全领域的经验及物联网安全技术的不断创新,天融信在国内率先提出了“以物联网安全接入的安全建设”理念。“以物联网安全接入的安全建设”是以当前等级保护2.0为基础,将等保环境作为物联网安全防护的基础,根据物联网安全需求的不同,采用对应安全等级的等保运行环境。将物联网安全管理规范、控制过程、技防措施等与等保环境相结合,是对等级保护的有力补充。
 

区别于传统的网络安全,“以物联网安全接入的安全建设”强调的是以“安全接入”为核心,结合当前网络安全法律法规、物联网安全管理要求及行业相关制度,进行物联网关键数据的采集、准入、传输、存储、识别、分类、分级。进而通过物联网安全数据治理过程,从组织、管理、业务、风险、措施、运维、响应等多方面进行统一的治理评估、规划设计,建立其完善的物联网安全组织及管理体系,以此为基础指导物联网安全技术措施的有效落地,通过实施全生命周期的物联网安全防护手段,并最终通过建立以数据资产为对象的物联网安全风险检测、统一管控的平台,最终达到整体物联网安全可管、可控的目标。具体涉及到安全技术如下图所示:
 


 

四、客户反馈效果:

本项目中以建设具备实施监测、精准定位、高校管理能力的物联网接入安全监测能力与物联网接入安全大数据分析能力为目标,并针对不同业务系统实现数据资产管理、数据资产监控、物联网安全态势、数据流动监控,知识库管理的标准类型,并依据业务特征形成业务数据资产库、物联网安全事件库、物联网安全风险评估库、物联网安全知识库、备案信息库、投诉信息库、检查信息库、通告信息库、事件信息库等内容。

通过以上的建设内容,大大降低了物联网业务场景中的各类安全风险,使物联网安全风险保持在可控的范围之内,对业务人员的运维和管理的效率,也提升了一个量级,在项目过程中,我司及相关项目组成员主动担当、全力配合,完成了项目安排的各项工作,确保了项目工作的平稳高效展开。对此,客户单位对我司以及项目组成员都给予了很高的评价。

 

本网站使用Cookies以使您获得最佳的体验。为了继续浏览本网站,您需同意我们对Cookies的使用。想要了解更多有关于Cookies的信息,或不希望当您使用网站时出现cookies,请阅读我们的Cookies声明隐私声明
全 部 接 受
拒 绝