1、构建安全可信的移动警务专网何申中国移动通信有限公司研究院2023年3月2目录010302政策与需求分析云网融合关键技术应用与服务3政策及合规要求中央高度重视信息安全自主可控的发展，重大会议以及演讲中多次强调网络安全问题。习近平总书记提出:“没有网络安全就没有国家安全，没有信息化就没有现代化”。构建安全可控的信息技术体系，是我国网络信息安全领域的一项重大任务。国家战略政策法规中华人民共和国网络安全法法律层面关键信息基础设施安全保护条例（征求意见稿）网络安全等级保护条例（征求意见稿）法规层面关键信息基础设施安全保护标准体系关键信息基础设施网络安全框架关键信息基础设施网络安全保护基本要求关键信息基础

2、设施安全控制措施关键信息基础设施安全检查评估指南关键信息基础设施安全保障指标体系网络安全等级保护标准体系（等保2.0）计算机信息系统安全保护等级划分准则 网络安全等级保护基本要求 网络安全等级保护实施指南 网络安全等级保护安全设计技术要求 网络安全等级保护测评要求 网络安全等级保护测评过程指南 标准层面4网络空间安全的国际态势对我国公安信息化产生了深远影响，新型技术与警务应用场景深度融合驱动应用创新。多技术融合、多元终端的泛在接入成为常态，催生了大量新的应用场景，同时带来安全方面的新挑战：由于终端设备内存和计算资源有限，大多数安全工具针对基于嵌入式系统的终端设备需进行功能裁剪及定制化开发，成本

3、高且安全防御能力低，一旦被攻击，将导致业务中断、隐私泄露，影响整个国民经济和社会稳定。随着公安移动警务的快速发展和移动警务应用的不断深入，必然会对安全体系提出更高的需求，如何保障端到端的安全可信是个难题。随着数据处理能力向公安各分支边缘侧下沉，需将安全服务能力拓展至用户边缘设备，并提供统一云边协同联动机制，实现安全能力主动免疫，为各分支提供定制化安全服务和安全策略，为用户近源侧提供安全保障。终端多样性与泛在化，尤其物联网终端缺乏安全计算环境关键行业对通信专网具有更高安全可信需求业务快速部署和灵活多样，需要安全能力近源提供移动终端安全如何提升警务专网如何可信安全能力如何分发信息化建设促使移动性接

4、入增多，业务安全边界模糊5打造安全可信的服务体系云网融合关键技术应用与服务基础设施安全可信安全网络设备可信组网安全能力及服务量子加密5G专网执法证据存证算网一体化的安全基础设施中国移提出新一代云边协同网络安全服务架构，以可信计算技术构建云和边协同的安全运行环境基础，使网络安全由传统各自为战的单点防御变成基于云边协同的网状联合防御系统，让网络不再仅仅是数据的传输通道，更是安全可信任的通道，为军警信息化建设提供安全的移动专网服务。文件流转追踪高保密通话与消息切片边缘计算SDN/SD-WAN安全能力引擎量子密钥.信任区块链CA用户身份体系安全网元内生能力云化中心能力协议承载机制协同更多应用.6目录0

5、10302政策与需求分析云网融合关键技术应用与服务7恶意应用下载URL机器学习样本批量下载钓鱼网址检测样本检测短网址检测安全接入设备双体系可信架构安全云平台安全数据传输可信应用软件可信密码模块可信Bootloader计算部件可信平台控制模块可信软件基Trust OS宿主OS 主动免疫安全可信策略管控根据等保2.0中对可信计算的要求，率先在接入设备植入国产TPCM可信芯片，构建国产自主可信计算3.0双体系结构，创新性地实现了可信技术在终端的落地实施，通过可信启动、可信度量等手段实现设备、平台的自身可信，行为可预知。关键技术1：主动免疫、内生安全8关键技术2：云边一体化可信防护，增强主动免疫能力构

6、建具有主动免疫的云边智能安全可信架构，通过可信接入网关提供靠近用户侧的网络可信接入能力，提供安全可信的网络传输环境，建立集中化智能安全可信管控平台，从全局视角提供可信监测、可信策略管理、可信预警及决策，实现云边一体化安全可信防护体系，增强网络安全服务能力。全局可信管理可信安全管理中心定制化安全服务安全日志、可信状态、可信告警上报可信网关边缘云可信服务器安全策略下发虚拟机可信应用服务可信网元可信执行层可信检测分析可信策略管理可信告警处置安全能力开放移动云可信服务器虚拟机可信应用服务9关键技术3：安全服务下沉，安全边界扩展至用户网络边缘 接入接入网关对终端进行身份认证和持续信任评估，对终端的网络安

7、全态势及时监控和处置，将恶意终端阻止在系统之外。接入网关对进出网关的流量进行实时分析和识别、对恶意流量进行过滤拦截和上报，在用户网络边缘实时感知和处置安全威胁。接入网关与云端安全服务协同，及时反馈安全信息，动态更新安全策略，将安全服务和处置能力扩展至用户侧的网络边界。接入网关自身系统进行可信加固，具备主动免疫机制，确保自身计算环境可信和安全服务执行符合预期。网络接入网关安全情报上报、安全策略反馈安全情报安全情报上报、安全策略反馈安全边界终端认证与信任评估流量分析与过滤可信计算环境安全策略执行安全情报上报接入网关终端认证与信任评估流量分析与过滤可信计算环境安全策略执行安全情报上报智能分析与决策安

8、全策略管理安全服务安全管理平台安全策略更新安全策略更新10关键技术4：安全情报智能协同，安全服务灵活定制公开CVE列表第三方私有库业界安全事件清洗转换感知分析收集共享购买支撑反馈更新安全保障算法库资产库风险库查询反馈更新外部环境过期风险算法适用性策略下发数据收集 通过可信端和智慧安全云的端云联动，构建实时威胁感知，情报综合分析和智能决策，安全威胁及时闭环处置，实现了事前预测、事中分析、事后审计溯源的安全纵深防御体系，支持云端部署、本地部署等多种接入方式为垂直行业赋能。特色：知识库通过AI算法自进化 安全策略与威胁情报同步进化 开放接口，可对接多种知识库 威胁情报综合分析，及时安全态势感知 能力

9、开放，提供安全增值服务11目录010302政策与需求分析云网融合关键技术应用与服务12利用区块链防篡改能力，保障警务证据的真实可信在执法记录、民生安防、交通监控等警务场景中，需要大量使用视频监控设备。利用区块链的存证能力，将拍摄的视频图像的指纹数据进行上链存证，能够显著提升视频图像作为执法证据的公信力。区块链视频指纹上链指纹验证视频网关视频文件存储计算文件指纹交通监控存储服务器民生安防执法记录视频图像查验防篡改可溯源可验证13第三方系统利用数字水印能力，实现警务数据追踪溯源借助数据水印技术，通过对多种格式的警务数据进行标记，使数据内生溯源能力，有效实现数据追踪溯源，降低数据共享过程中的安全风险

10、。业务系统内部人员重要数据文件外部专家数据水印系统模块内部终端数据上传水印嵌入数据分发追踪溯源涉密文件水印文件发布水印文件水印数据库文件水印提取水印结构化数据水印提取水印数据库数据水印数据库数据水印支持多种场景和算法可抵抗多种攻击不影响数据使用14量子VoLTE高清密话，保障警务语音通话安全保密通话对于确保警务场景下话音传输的安全性具有重要意义。量子VoLTE加密通话系统将量子密码与4G VoLTE技术相结合，可实现高清语音加密通话，满足警务人员高安全等级通话的需要。量子加密呼叫量子会话密钥协商量子加密通话量子密话结束中国移动4G/5G网络 安全介质量子VoLTE加密手机 安全介质量子VoLTE加密手机VoLTE AS 量子加密网络量子密码安全服务中心 量子加密手机 量子加密业务一话一密端到端加密量子真随机高清语音15IP承载网安连宝设备管控流量WIFI2G正常连接4GInternet安全云平台上网管控及审计所携卡开通4G服务上网终端上网安全管控解决方案利用安全接入解决方案接入公安政务网，实时对接入终端进行安全管控，实现高保密安全通信，通过云平台对安全接入设备进行上网策略配置和审计，在满足用户4G网络接入的同时，实现对用户可访问网站的合理管控及上网行为的审计，实现细粒度管控。精细化访问管控，保障安全入网细粒度管控用户无感知高安全高保密