近年公安信息化建设取得了快速发展，全国公安部门在多级公安信息网连通的基础上，逐步形成部、省、市、区县、派出所五级的纵向网络结构。另外，随着现代信息技术与公安工作深入逐步融合，网络承载了多警种、多部门的业务流程，实现了公安工作的信息化、通信多媒体化以及业务信息的共享功能。

在对外提供数据服务的过程中，公安网的数据发挥了非常重要的作用，公安网边界接入平台开始建设以来，各部委、互联网、电子政务外网、公安视频传输网等实现了数据交互服务。链路接入对象随公安实际业务需求也不断增加，亟需采取相应措施，满足安全性、合规性要求。

为此，依据《信息安全技术 网络安全等级保护基本要求》GB/T 22239-2019、《公安信息通信网边界接入平台安全规范( 试行)》、《公安视频图像信息系统安全技术要求》等信息安全相关法律法规和公安行业标准要求，规划通过公安信息通信边界接入平台，统一接入各类资源，拓展公安机关对公共资源的综合应用，增强立体化综合防控效能。有效弥补公安自建资源不足、布控盲点等问题，达到充分利用社会资源的目标。


需求分析
01 网络安全互联互通需求
鉴于公安系统的多种业务应用特性，充分发挥公安信息通信网中海量数据的作用，实现跨部门业务协同、移动办公等应用，面向外部单位接入公安信息网时，打破孤岛壁垒，保证网络安全互联互通，实现视频、图像和数据的安全传输，确保业务系统正常运营。

02 网络边界安全隔离需求
根据公安信息通信网络边界防护要求，采用边界安全隔离设备，建立边界安全隔离与交换平台，设置独立的安全交换区等防护手段，实现外部专网、移动办公以及互联网安全接入，保障网络边界隔离交换安全。

03 业务数据安全交换需求
构建安全可靠的接入体系，实现跨部门工作协同，通过边界接入平台，进行安全的数据交换，满足外部信息资源共享和业务协同要求。防止信息在收集和存储时被窃取、篡改、丢失，以及攻击和病毒感染，解决各类资源接入时的安全性、合规性要求，规避数据交换传输风险。


解决方案
严格遵循《信息安全技术 网络安全等级保护基本要求》GB/T 22239-2019、《公安信息通信网边界接入平台安全规范（试行）》、《公安视频图像信息系统安全技术要求》的规范要求。设计公安信息通信网络安全边界接入平台，分别建设路由接入区、边界保护区、安全隔离区以及安全检测与管理区，综合保证公安信息网接入安全。总体架构如下图所示：

结合公安信息通信网的现状和整体设计情况，进行安全规划和建设，划分为路由接入区、边界保护区、应用服务区、安全隔离区、安全监测与管理区，建设满足等级保护三级要求。

基于安盟华御数据交换平台、安盟华御视频交换平台、安盟华御高性能防火墙、安盟华御入侵检测系统、安盟华御日志审计系统等安盟华御品牌信息安全产品，构建公安信息通信新一代网络边界接入平台，实现公安信息通信网与外部网络的文件/ 数据库和音视频等数据安全交换，保障公安信息通信网与外部网络的边界安全隔离与业务安全流转。



方案说明
公安信息通信网边界接入平台中，安全隔离与信息交换平台按照业务类型分为：安盟华御数据交换平台和视频交换平台两种类型，分别面向文件和数据库、服务与数据、音视频数据业务应用。平台由前/ 后置服务器和单向光闸（或网闸）组成，建立可信连接并进行数据传输，同时按照策略进行源身份权限鉴别、安全审计，病毒、木马文件格式等安全检查，隔离病毒传播与攻击。


01 文件和数据库交换应用
部署安盟华御数据交换单向导入平台，实现文件和数据库数据的单向导入功能。
在文件和数据库交互业务中，也可以部署网闸实现数据的安全传输。



02 服务与数据交换应用
部署安盟华御数据交换平台，完成基于Webservice接口的数据抽取与转发、设备认证、格式检查、内容过滤、安全审计等安全功能。


03 音视频数据交换应用
部署安盟华御视频交换平台，实现与音视频系统对接和设备认证、格式检查等安全功能，且符合边界接入技术规范要求，保障基于RTSP、RTMP、H.323 等协议的音视频传输。




典型应用
新一代公安信息网跨网接入
公安信息网中一级网由公安部区域节点、公安部区域节点间链路、公安部区域节点到省级节点链路、公安部区域节点到重点市级节点链路组成。二级网由省级节点、市级节点和重点市级节点以及省市节点之间链路组成。

安全边界接入平台部署在数据汇聚节点和用户汇聚节点之间，数据汇聚节点和用户汇聚节点通过边界接入平台进行对接，实现安全可信合规的数据访问。电子政务外网、各部委专线网络以及互联网业务系统，通过边界接入平台与数据中心进行数据交换及用户访问。




公安治安防控体系资源接入
治安防控体系资源与互联网、电子政务外网间的数据通道，存在各类安全风险，设计接入终端、边界保护、应用保护、安全隔离、监控审计等区域防护，组成安全边界接入平台，进行综合安全防护，保证网络安全。



路由接入区：依托互联网、电子政务外网，通过采用安全产品与商用密码技术等，实现安全连接。

边界保护区：提供安全互联、接入控制、身份鉴别、授权管理、恶意代码防范、入侵检测、安全审计等安全支撑。

应用服务区：该区域构成了基于互联网信息交互系统的安全应用，既是安全保护对象，又是基于互联网实施信息交互的主体。

安全隔离区：提供应用服务区与防控云间隔离、信息单向传输。

安全监测与管理区：提供安全管控与运维管理、安全审计、业务监控和级联监控等功能。



公安出入境管理口岸接入
口岸自助查验通道安全边界接入系统，依据《信息安全技术 网络安全等级保护基本要求》GB/T 22239-2019、《公安信息通信网边界接入平台安全规范（试行）》、《公安视频图像信息系统安全技术要求》的规范要求，构建路由接入区、边界保护区、应用服务区、安全隔离区、安全监测与管理区等五个不同的安全区域，构成分区域、分层次的纵深安全防御体系。


01 单向导入系统和单向导出系统，充分保证核心的安全隔离与单向传输。另外，系统互为备份确保业务不中断。

02 内网交换机、应用服务区交换机、防病毒网关、入侵防御系统、防火墙和接入路由器全部采用双机部署，防止节点单点故障。

03 集中监管系统、集控探针设备和应用安全监测系统旁路部署。

04 方案中主要业务服务器冗余部署，监测运行状态，保障服务器间在线运行业务不中断。

05 在单向导出核心的单向光闸处，部署一台备份倒查服务器，备份倒查服务器内置光接收器，连接备份倒查服务器进行数据备份，将所有通过单向导出链路导出的数据全部备份，以便事后倒查。


方案价值
安全网络连接
在保障公安信息通信网和外部网络安全隔离的同时，实现数据的实时传输和安全可控接入。支持主动交换、被动交换和混合交换等各种方式，兼容公安行业客户各类业务系统，确保公安行业用户跨网业务及数据安全稳定高效交换。

满足合规要求
满足《网络安全法》、《信息安全技术 网络安全等级保护基本要求》GB/T 22239-2019、《公安信息通信网边界接入平台安全规范（试行）》、《公安视频图像信息系统安全技术要求》等法律法规要求和公安行业标准规范要求。

安全隔离防护
采用专有的安全通道，以摆渡的传输方式，从物理上断开内/ 外网连接, 保证数据在安全隔离的防护下进行实时、可控传输。配合身份核验、负载均衡等技术，形成完整可靠的安全隔离防护体系。

高效传输效率
安盟华御安全产品采用高性能服务器架构进行数据处理，避免数据传输过程中的延迟与卡顿，采用私有协议加密传输，结合安全策略对数据进行检查和过滤，有效防止非法信息传输，保证数据高效安全传输。

深耕行业需求痛点
公安系统业务繁多，普遍存在资产梳理难、事件响应慢等痛点，本方案可在保障跨网安全隔离和信息交换的同时，结合安全管理平台（态势感知平台）等产品有效实现资产梳理、弱密码整改、协同响应等功能，切实解决用户痛点。

贴合实际保障业务
安盟信息新一代边界安全解决方案，基于多年来对公安业务的强适配和对接经验积淀。依托业务协同应用，针对外部专网、移动办公、互联网等不同链路的业务系统（如移动办公办案、庭审直播、视频会议）接入公安信息通信网，进行场景化设计，更切合公安业务实际需求，便于获得技术认可和业务场景快速应用。