薛艺泽 鄢金端 王元虎 公安部第一研究所

引言

在中共中央、国务院印发的《关于加强和完善城乡社区治理的意见》（中发[2017]13号）中提出要积极回应群众的平安需求，对加强城乡社区治安防控网建设、深化城乡社区警务战略、全面提高社区治安综合治理水平提出了明确的要求。在《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》中强调，推进智慧社区建设，依托社区数字化平台和线下社区服务机构，建设便民惠民智慧服务圈，提供线上线下融合的社区生活服务、社区治理及公共服务、智能小区等服务。公安部在《关于印发<全国公安机关加快社会治安防控体系建设行动计划>的通知》（公通字[2019]14号）中要求研究建立以智能安防小区建设为中心的智慧社区警务体系，试点建设一批智能安防小区和村庄。

近年来，北京、天津、上海、浙江、广东等省市积极响应中央号召，充分运用物联网、大数据等新兴科技，立足居民住宅小区，开展了智慧社区建设，在小区安全防范、实有人口管理、便民利民服务等方面进行了探索实践，取得了良好效果。其中，北京市于2020年4月印发了《北京市公安局全面推进智慧社区建设实施方案》的通知，从组织领导、技术方案等方面进行了顶层设计和统筹规划。

在智慧社区如火如荼建设浪潮中，因缺乏成熟的国家标准和行业标准支撑，各地建设方案多种多样、良莠不齐。经大量实地走访调研和交流，笔者发现目前在智慧社区建设中主要存在安全措施弱和数据共享难两个突出问题。

一、存在主要问题

（一）安全防护手段差、数据泄露风险大

敏感信息未得到有效保护。智慧社区建设中的静态数据，如居民的证件号码、住址等与人员身份信息强相关的数据，在采集、传输、应用中未采用有效保护手段，容易导致社区居民信息的泄露。

数据源接入缺少有效控制手段。智慧社区建设中的数据源主要来自于IP化非智能终端，如产生门禁记录数据的门禁控制器、记录车辆进出信息的车辆管理闸机控制端等，这些设备不像PC机一样易于操作和管理。对这些设备的管理缺少安全措施，无法保证数据源信息的真实性。

数据上传缺乏完整性保护。智慧社区建设中的数据在传输过程中没有完整性保护措施，容易受到篡改，接收方也无法确认数据是否经过篡改。

（二）建设标准不统一、数据共享率不高

目前各个智慧社区的建设企业对采集的数据单独运行、单独管理；因各个企业在技术框架、逻辑架构、数据项和数据格式等方面未形成统一，形成一个个数据孤岛，导致数据无法识别、无法共享，数据的应用价值大打折扣。

随着智慧社区建设逐步深入，各级政府和部门都对智慧城市建设中采集的数据提出了共享的需求和要求。2020年11月，习近平总书记对平安中国建设作出重要指示，要求各有关部门要认真贯彻党的十九届五中全会精神，坚持共建共治共享方向，深入推进市域社会治理现代化，不断增强人民群众获得感、幸福感和安全感。

本文基于智慧社区建设中存在的问题和实际业务需求，提出了一套兼容实现数据安全保护和共享共用的解决方案。

二、解决方案

（一）原则

在智慧社区建设中必须要同时兼顾数据安全和共享两个方面，不能顾此失彼，导致事倍功半。智慧社区建设中的数据涉及居民基础信息和出行轨迹信息等，属于居民的个人隐私，若建设中得不到安全保障导致数据泄露，则会造成无法估量的社会影响和经济损失。若建设中的数据无法进行集中汇聚并实现共享，智慧社区建设的用户方未享受数据红利，则大量财政资金利用率不高且投资不可持续。

（二）总体思路

智慧社区建设的总体思路如图1所示。前端感知设备，例如视频监控、智慧门禁、人脸识别设备、车辆识别设备、烟雾传感器等，从小区侧通过安全通道将采集的实时数据上传到汇聚转发平台。汇聚转发平台将采集到的基础信息脱敏处理后下发给前端感知设备；汇聚转发平台根据不同应用的权限，在认证鉴权成功后将本应用权限范围内的数据转发给应用，不同应用获得不同数据，例如高权限应用会获得全量原始数据，低权限应用获得部分脱敏后的数据。

（三）数据安全体系

智慧社区的数据安全体系主要涵盖采集、汇聚、传输、转发、使用五个环节。

1. 采集

数据采集是基础，保证数据源的安全可靠尤为重要。

（1）静态数据需在政府部门提供的采集程序统一界面中进行录入，录入终端与采集程序之间需采用SSL（Secure Socket Layer）VPN（Virtual Private Network）对采集链路进行加密保护，且采集的静态数据首次落地必须严格控制在政府部门，严禁企业采集静态数据。SSL VPN是解决录入用户访问后台采集程序中敏感数据最简单最安全的解决方法，任何安装浏览器的机器都可以使用。静态数据是指居民登记的自身以及关联的房屋、车辆等信息，主要包括居民信息、车辆信息和设备信息。

（2）对前端感知设备进行认证授权确保数据源的可信性。在小区侧需通过专用设备，例如安全接入网关，对小区前端设备通过IP地址绑定、设备指纹认证等方法进行合法性认证，确保接入的都是合法的前端感知设备，严禁非法前端感知设备的接入。

（3）对前端感知设备自身物理安全进行防护，对存储的数据进行加密保护，确保数据安全。万一存储的信息被读取也无法解密解析保证信息的安全，设备本身存储的信息应为不影响业务前提下的最小数据集，将风险降低到最低。

2. 汇聚

（1）通过小区前端感知设备与后端汇聚转发平台的双向认证确保数据传输的可信性。在数据传输中，一方面确保前端感知设备的真实性，同时确保前端感知设备的数据传输到合法的数据接收方。

（2）通过采用会话密钥机制建立IPSecVPN隧道，确保数据传输的保密性。IPSec（Internet Protocol Security）是用于在公网上为两个私有网络（小区侧的局域网和数据接收方的局域网）提供安全加密通信通道。会话密钥机制会在每次建立数据通信链路时采用不同的动态密钥确保安全。

（3）通过采用数据摘要机制，确保数据传输的完整性。通过对通信交互中的所有数据提取指纹信息以实现数据完整性校验。

（4）数据分级分类。对汇聚的数据按照与人身份信息关联的紧密程度划分成不同的等级；根据数据类型，划分为视频数据、图像数据、结构化数据等，不同的数据类型采用不同的分析技术方法进行处理。

3. 存储

（1）数据存储策略。针对在公网上的汇聚平台，数据处理后必须即刻删除。数据应该存储在应用平台的特定区域且加强安全防护。原始数据应该存储在高安全域，针对某些敏感数据需要加密存储。

（2）数据存储平台应加强自身的安全防护。存储平台需根据业务不同按照GB/T 25070-2019《信息安全技术 网络安全等级保护安全设计技术要求》进行建设。

4. 转发

（1）数据转发的可控性。在数据转发时，需要对数据接收方进行用户鉴权，并且根据接收方的数据权限转发权限范围内的数据，确保数据转发给真正需要的用户。

（2）数据转发的保密性。数据在转发时需采用加密传输方式，必要时采用点对点专线，确保稳定性和保密性。另外涉及到的跨网/跨域的数据转发，需要严格遵守跨网/跨域边界安全要求。

5. 使用

数据使用的基本原则是“够用不滥用”。一方面要确保满足数据使用方的业务需求，另一方面要防止数据流入非法用户或非权限范围内的用户。

（1）数据使用的可控性。数据使用前，首先需要对数据使用方进行用户鉴权，并且只能使用自己权限范围内的数据，确保合适范围内的数据给合适的数据使用方。

（2）不同权限用户使用不同的数据集合。高权限用户，例如政府部门、国家安全部门等可以使用全量原始数据；低权限用户，例如小区物业、承建企业等可以使用子集脱敏数据。

（四）数据共享

1. 前提条件

智慧社区建设要加强顶层设计、统筹规划，这样才能实现数据共享。

（1）规定小区前端感知设备种类的最小配置。智慧社区前端感知设备，从是否智能来说，既有智慧门禁、车辆识别设备和人脸识别设备等智能设备，又有烟雾探测器和水压探测器等物联网设备。从数据类型上来说，既有视频监控类设备，又有图像识别类设备和状态监测类设备等。要实现数据共享首先要规定必选的前端感知设备类型来确定最小数据源，各小区可根据自身情况增加更多的设备类型。

（2）统一网络架构、数据流向。包括数据采集、数据传输汇聚以及业务应用的网络都需要做到统一。针对同一数据类型，要规定统一的数据流向，针对数据的处理系统也需统一。

（3）统一必要的数据项、数据格式、字典表。在采集静态数据和动态数据时，例如居民姓名、国籍、证件类型、证件号码、手机号码、居住地址；车辆号码、使用人姓名、车辆颜色、车辆品牌；设备名称、设备编码、设备类型、安装地址、经纬度值等都需要做详细的规定。

2. 实现路径

（1）数据集中汇聚。智慧社区的前端智能感知设备分布在各个小区，但采集的数据需统一汇聚、集中存储。

（2）分级分类。根据一定的规则，将数据划分为不同的安全级别；根据属性，将数据划分为不同的类别。只有实现了分级分类才能针对不同的用户提供不同安全级别和类型的数据。

（3）用户鉴权脱敏处理。每次数据使用时对用户进行认证、对数据权限进行鉴权。根据用户类别使用不同数据集合，高权限用户使用全量原始数据；低权限用户使用脱敏后的数据。

三、实际应用

本文提到的解决方案目前已应用到北京市智慧平安小区建设中。

数据安全主要通过安全接入网关实现，目前已部署1200余台。如图2所示。

安全接入网关主要功能包括：数据传输保护、身份认证、前端设备接入认证、应用流量识别、前端设备行为监控。

1. 数据传输保护

安全接入网关应能与中心侧平台（互联网转发子系统）采用国密算法建立IPSec加密通道对数据进行加密保护，确保数据传输安全。

2. 身份认证

安全接入网关应能与中心侧平台实现双向认证，确保数据安全无误发送到政府侧的中心平台。

3. 前端设备接入认证

安全接入网关应能对小区智慧门禁等设备实现特征识别和绑定，根据数据特点等形成设备指纹，通过对设备指纹认证，防止假冒设备上传数据，确保设备真实可靠。

4. 应用流量识别

安全接入网关应能支持通过安全管理平台查看网关设备，接入设备状态、链路状态、流量情况及设备安全态势等网络安全状态。安全接入网关应具备网络传输数据解析和恶意代码检测分析功能，有效防范病毒、蠕虫传播。

5. 前端设备行为监控

安全接入网关应具备资产识别的能力，自动发现接入网络的IP设备并对网络流量进行分析判断出连接的智能终端设备的种类。安全接入网关应具备给中心侧的管理平台上报前端设备的运行状态、在线状态等信息，形成对前端设备的有效监测。

数据共享主要通过互联网转发子系统实现，目前已覆盖市级层面和大多数区级层面，已汇聚2000多个小区1亿多条数据。如图3所示。

互联网转发子系统主要功能包括：数据集中汇聚、数据分级分类、数据用户鉴权、数据脱敏、数据转发共享等。

1. 数据集中汇聚

数据主要包括居民、车辆、小区前端设备的登记信息等静态数据，小区前端设备（视频监控、人脸识别设备、车辆识别设备、智慧门禁等）自动产生的动态数据。

2. 数据分级分类

能够根据数据分级分类管理规则，将智慧社区数据进行标定。

3. 数据用户鉴权

对用户的数据权限进行识别，高权限用户使用全量原始数据，低权限用户使用脱敏后的数据。

4. 数据脱敏

根据不同的业务场景、不同用户，采用不同的脱敏规则，来满足不同的应用，实现数据“够用不滥用”。

5. 数据转发共享

根据不同用户的数据权限和应用需求，将不同的数据集合转发给不同的用户，确保“有数据可用”。

四、结语

本文针对目前智慧社区建设中存在的问题进行分析，首次提出了同时兼顾数据安全和数据共享的思路架构，然后构建了采集、汇聚、存储、转发、使用五位一体的安全机制，并提出了数据共享的前提条件和实现路径思路，并简要描述了实际应用场景。本文提出的思路可以应用到智慧社区建设中，以及在开放环境中采集数据和应用数据的场景下，具备较强的社会效益和经济效益。