密码整改及建设方案

天津市公安和平分局智慧平安社区融入密码基因
2023-02-07 11:20:48

在疫情期间管理一个小区,需要多少人手?通常在物业的配合下,需要十余位社区工作人员反复走访入户、电话寻访上千位居民信息,登记并解决居民需求,涉疫小区还要追溯小区出入口历史来往人员车辆情况,工作量庞杂繁重。如果恰巧又赶上岁末年初,进入了火灾警情的高发期呢?那么,显然还需投入更多人力完成出租房屋人员管理、消防通道占压检查、占道经营监测、消融雪监测、夜晚照明监测等工作……

然而,在天津市和平区近百个小区里,社区工作人员数量并没有增加,却依然出色地完成了上述社区日常抗疫防控和安全治理工作,并得到了居民们的交口称赞和广泛认可。怎么做到的?其答案就在于天津市公安局和平分局将众多小区改造成智慧平安社区,把视频通信、云计算、大数据、AI等数字智能技术应用到社区管理中,通过数字化手段让社区工作人员办事效率倍增,并且准确性、时效性、完成度大幅提升。

值得关注的是,在数字化为社区便民服务增加“安全感”的过程中,密码的价值不容小觑。

设计之初融入密码基因
赋能智慧平安社区安全底座

智慧平安社区是2022年天津20项民心工程之一。经过一年的建设,天津市公安局和平区分局对和平区内91个小区进行智慧平安社区升级改造,一方面提升了小区智能防范水平,另一方面也让社区管理有深度更有温度。在增强社区群众安全感满意度的同时,还为疫情防控指挥调度、流调溯源工作提供了强力智能支撑。

在建设伊始,天津市公安局和平分局就意识到,通过智慧平安社区系统来辅助小区安全治理固然重要,但首先必须确保智慧平安社区系统和自身应用的安全。以平安视频图像信息应用平台和社区人车聚类分析平台两大应用为例,小区通过摄像头每天都会上传海量视频图像数据,这其中就包含了成千上万名小区居民的个人信息、人脸识别特征、小区进出车辆信息等隐私数据,一旦视频监控联网系统被不法分子侵入,这些隐私数据都将面临被泄露、被篡改的风险,人民群众损失不可估量。显而易见,要想保障智慧平安社区平台的稳定运行,势必做先做好“安全功课”。

正因如此,天津市公安局和平分局在设计规划的最初阶段,就决定在和平区智慧平安社区建设项目中明确密码应用的设计及建设方案,以《公安机关商用密码应用指南》为依据,依托GB 35114-2017《公共安全视频监控联网信息安全技术要求》和GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》两大标准,从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等4个层面,开展智慧平安社区密码保障体系建设工作。

三大难关亟待破解

密码保障体系建设说易行难,经过周密梳理,有三大难关亟待破解:

难关一:智慧终端数量多、种类丰富,身份真实性难保障

在和平区的智慧社区系统中,涉及到海量不同的前端监控、后端存储系统、解析系统等设备。仅前端监控就包括了人脸抓拍、车辆抓拍、人车抓拍、一体化人车抓拍等不同视频设备,数量多种类丰富。平台每天更是有众多用户需要接入访问,这些设备和使用人员的身份真实性鉴别,是密码保障体系建设的难点。

难关二:网络结构复杂,交叉互联互通,通信机密性难保障

智慧平安社区网络结构复杂,横跨互联网、政务外网、公安视频专网等多个安全区,各安全区域之间的通信链路必须采用有效的技术手段进行保护,避免视频码流、控制指令交换等重要的业务数据传输通道处于裸露状态,因此保障通信数据的机密性刻不容缓。

难关三:海量机密隐私数据不被泄露和非法篡改难保障

智慧平安社区平台汇聚大量人员信息、重点场所信息、预警事件信息等重要隐私和业务数据,一旦发生公共场所监控视频外泄,不仅涉嫌侵犯视频中所涉人员的隐私权,而且可能给公共安全带来威胁,如何保证海量业务数据不被泄露和篡改,是密码保障体系建设要解决的关键问题。

面对这些难关,最终天津市公安局和平分局选择了密码技术底蕴深厚和密码应用实施经验丰富的密码厂商,为智慧平安社区的密码保障体系建设保驾护航。

四层防护“密而不漏”
“三体合一”技术领先 

按照天津市公安局智慧平安社区平台建设标准,在满足总体性、科学性、完备性、可行性的基础上,采用符合商密要求的 IPSec VPN 安全网关、SSL VPN 安全网关、服务器密码机、签名验签服务器、智能密码钥匙(USBKey)等密码产品和数字证书等密码服务与系统深度融合,从四个层面满足了智慧社区系统的密码应用需求。

在物理和环境层面,采用SM4算法实现进出机房的人员进行身份鉴别,采用HMAC-SM3算法实现人员进出的记录和视频监控记录进行完整性保护;

在网络和通信层面,通过在系统中心机房和社区部署IPSec VPN安全网关搭建 IPsec 通道,保证视频传输信道通信双方的身份鉴别和通信数据的机密性和完整性;
在设备和计算机层面,一方面通过堡垒机采用双因子认证,完成运维人员身份鉴别,另一方面让运维人员通过数字证书USBkey与中心机房的SSL VPN安全网关建立加密通道,实现远程管理通道安全。

在应用和数据方面,通过服务器密码机的加解密服务,实现对重要数据存储的机密性和完整性保护。同时部署视频密钥管理系统,配合视频图像存储服务器中安装的PCI-E密码卡,完成对视图数据存储的机密性和完整性保护。

通过搭建“密而不漏”的密码保障体系,为天津市公安局和平分局实现了“三体合一”的建设效果,即统一的数字证书应用体系、全覆盖的网络安全通信体系、多类数据安全应用体系融合于一体,在国内处于领先地位,并具有很高的参考价值。

密码将平安带入社区

曾几何时,无处不在的摄像头在给社区群众带来安全感的同时,也带来了一丝顾虑,群众将保护隐私数据的希望寄托在有公信力的政府机构身上。在信息安全更加严峻的新形势下,天津市和平区智慧社区平台密码保障体系的建设最终实现了“不该进的进不来、不该看的看不懂、不该改的改不了”,构筑一道视频专网安全防线,不仅为公安安全业务顺利开展提供有力支撑,大力提升了智慧社区信息安全防护水平,更是提升了社区群众的安全感和对政府的信任度。

未来,将有越来越多的智慧平安社区出现,与人们共同打造便民惠民智慧服务圈,安全、舒适、便捷的现代化生活环境令生活更加美好!


北京数字认证股份有限公司天津分公司  高博