监狱戒毒所单模式警务通安全管控平台

目录

1  范围与适用

2  建设背景、规范、原则

3  定制手机单工作模式

4  应用白名单

5  电话白名单

6  移动执法系统

7  通知通告系统

8  安全管控组件

9  安全接入与组网

10  手机选型

11  后台功能简介

12  下载功能与报价简表

1  范围与适用

范围：

本方案满足《司法行政移动执法系统技术规范》《智慧监狱技术规范》等标准要求，结合诸多监狱戒毒所警务通系统建设案例提炼而成，其主要内容包括了：

1.1  定制手机单模式工作系统，满足手机带入监区的要求；

1.2  应用白名单、电话白名单、IP白名单等管控功能，满足工作模式的基本应用通信功能；

1.3  移动执法取证与通知通告等工具，满足工作模式的基本执法功能；

1.4  安全管控组件，满足手机管控功能；

1.5  安全接入与后台的系统，满足手机安全接入监狱内网，后台分发应用与安全策略等管理功能。

适用：

本方案适用于监狱和戒毒所单位，监区内外执勤民警和行政人员均可使用。

2  建设背景、规范、原则

建设背景：

随着 “科技强警平安监狱”战略的实施，司法部明确指出，向科技要警力，执法阳光化，体现人文关怀。监狱戒毒所（以下以监狱为例）担负着改造犯人管理学员的重任，其监管区必须是一个“封闭的，独立的” 区域，对信息安全有特殊的要求，必须严格区分监区周界内外对信息安全的不同要求。其信息安全，是以周界为划分的，有的信息数据是杜绝带出监区的，而有的信息数据又是严禁带监入区的。（相比较而言，公安系统的数据安全是按照人的职务权限划分的），同时监狱也存在行政办公区域和人员，其对信息安全的要求又与监区内不一样。这就是监狱移动警务通系统建设的信息安全的特殊性。信息安全涉及到终端使用，数据采集与存储，传输网络，系统组网等诸多方面。同时，向科技要警力，执法阳光化，落实”互联网+警务“，实现执法的移动化，优化一线警察的现场执法模式，拓展一线警察的工作广度、减轻执法难度、规避执法风险、严格依法执勤执法的目的，建设移动警务执法系统也是必有趋势。

建设规范：

SF/T 0008  全国司法行政信息化总体技术规

SF/T 0028—2018  智慧监狱 技术规范

SF/T 0049—2020  司法行政移动执法系统技术规范

GB/T 25070  信息安全技术 网络安全等级保护安全设计技术要求

GB/T 34975—2017  信息安全技术 移动智能终端应用软件安全技术要求和测试评价方法

GB/T 34976  信息安全技术 移动智能终端操作系统安全技术要求和测试评价方法

GB/T 35282  信息安全技术 电子政务移动办公系统安全技术规范

建设原则： 

集成化：系统应用系统不是独立的系统，它实现PC系统在系统端应用延伸的集成。

标准化：系统应用系统从应用功能、内容组织、界面风格、上下互联、网络支撑、安全管理等各个方面，都必须遵照标准化原则，统一规划，规范建设。

部署方便：系统应用系统作为移动信息化的延伸，可快速部署和扩展，保持执法通的完整性和独立性，降低实施成本。

易操作性：系统应用平台保证在功能和人机交互界面上贴近用户使用习惯，功能模块和功能按钮说明定义清晰、命名直观，达到简单易用、提高工作效率的目的。

扩展性强：采用符合国际标准和适应国际发展潮流的移动化信息系统技术、可平滑扩展的系统硬件体系结构、开放式的系统软件平台、模块化的应用软件结构，确保系统在处理能力和业务功能方面可灵活扩充，并可与其它系统进行无缝集成。

安全性高：平台能提供有效的安全保障，具备完善的身份认证、访问控制、日志管理、系统审计、数据加密等安全保密机制，保证网络系统、主机系统和应用系统的安全，提供完整的安全保密。

3  定制手机单工作模式

3.1  定制手机单工作模式系统

3.1  手机经过深度定制开发，屏蔽和限制普通手机的诸多功能，把普通手机操作系统变成一个安全系统，以满足带人监区的要求。

3.2  手机在单工作模式下，结合司法业务的需求，定制独立的工作界面，仅能连接指定的网络，仅能访问白名单的IP，仅能使用白名单APP，仅能接拨指定的电话，USB仅充电功能，本地数据自动上传后台系统，本地不保存任何数据，本地缓存也按照预设机制删除，确保任何数据带不出监区。各模组外设的开启禁用在后台按需配置。单工作模式手机，不具备普通手机上网等功能。

3.3  手机在单工作模式下重启，开关机，恢复出厂设置等操作，终端始终保持原有的单工作模式，无法退回到普通手机状态。

3.4  单工作模式手机，可以设置电子围栏，可以设置单模式工作手机仅仅在单位内能使用，离开监狱戒毒所单位，工作手机自动锁死，无法使用。例如，单工作模式手机设置WIFI白名单，只能链接单位的加密WIFI，离开这个WIFI环境，手机自动锁死。

4  应用白名单

在单工作模式，支持应用白名单功能，只能安装后台推送的白名单APP，非白名单APP无法安装，无法使用，单工作模式会自动杀死非白名单APP的进程；

单工作模式下的白名单APP，支持远程安装，静默卸载，防卸载，防止休眠等功能。手机白名单的管理功能，在后台系统，如下图：

5  电话白名单

在单工作模式下，支持电话白名单功能，只能拨打和接听白名单电话。白名单的设置在管理后台，自动同步到手机终端。白名单可以分别设置工作白名单，亲情白名单。非白名单电话拨打手机，无法接听。在普通模式下，手机不少电话白名单控制。后台设置白名单如下图：

6  移动执法系统

在单工作模式下，警用手机可以随时获取现场的照片、音频和视频，并把相关数据传到后台，自动删除本地数据，达到取证的目的；取证的数据，按照组织权限，在系统后台查看，查看人员无法修改删除取证数据。

7  通知通告系统

通过警务通后台系统，各种通知通报可以推送到单工作模式手机上； 收到推送消息后，在对应业务应用系统图标上显示收到的消息条数并声音提醒； 如果手机处于离线状态，通知通告回持续推送，直到手机收到为主；同时在后台系统，可以达到通知通告签收，阅读情况。在产生警情时，应急预案会自动推送到预设的警务手机上。

8  安全管控组件

对警务通终端进行全面安全管控，首先在警务通终端部署安全管控客户端，在后台服务器部署终端管理系统；后台管理系统可以通过安全客户端实现对前端移动设备的深度管控。从平台层、终端层、数据传输层、本地数据层等进行全方位的保护，提供全面的日志审计功能，提供终端丢失后的销毁功能，避免泄漏戒毒所涉密信息。并通过安全策略机制、白名单模式、访问设置等模式确保端到端的安全。警务通安全管控系统包括硬件管控、数据管理、应用管理、用户管理、日志审核等。

8.1  警务通终端硬件设备管控

通过后台系统和警务通前台客户端，对警务通终端的硬件设备实现管控，可以通过对以下硬件实现开启，关闭，断电、指定连接等功能：摄像头、语音、蓝牙、WIFI、NFC、SIM卡等硬件进行管控，在监区模式下，可根据需要对上述模组进行供电、断电、禁用，启用管控。

8.2  警务通终端数据安全管控

通过后台系统，对手持终端的使用安全进行管理，实现远程对警务通终端使用进行管理，只需通过移动警务系统后台，进行强行实现远程关机、重启、禁用等操作，警务通终端数据加密后，通过VPN传输都戒毒所专网后台系统。

8.3  警务通终端用户管理与安全认证

用户管理与绑定，警务通终端发放时必须保证四元信息绑定（警号、密码、SIM卡序列号、IMEI号），缺任何一项都不能使用。

机卡互锁：警务通与SIM卡互锁

 警务通支持密码多次错误锁死功能，锁死后需要单位信息科解锁方可使用。

8.4  警务通终端日志审计管理

警务手机在监区模式的任何操作将有日志可查询。保证在监区模式下设备、用户、SIM卡所有的操作都有记录可查询。记录设备/用户/SIM卡 刷卡切换时间、进入监区时间、离开监区时间、访问某个应用数据的时间等。

9  安全接入与组网

9.1  安全接入

司法行政移动执法系统网络接入安全体系通过终端加固、信道加密、认证接入、接入前置设备、网闸隔离、接入控制设备和访问控制，构建包括司法行政移动执法终端、移动执法无线专网或虚拟无专用网络、司法行政移动执法网接入区、安全边界和司法行政移动执法专网的网络接入安全体系架构。

终端接入常见的方式，有些单位是租用运营商VPDN，有些单位是监狱通过加密WIFI，有些戒毒所直接通过双向物理隔离网站和防火墙接入自有机房。

9.2  组网

司法行政移动执法系统组网从网络结构：

 ①  移动执法专网（监狱/戒毒内网）：各监狱/戒毒所自建或统一筹建的本地移动执法网络；

 ②  司法行政移动执法网接入区：完成对接入移动执法专网的司法行政移动执法终端的审计、认证，以及电子政务外网与监狱/戒毒移动执法专网的数据隔离共享；

③  电子政务外网：通过电子政务骨干网实现全国互联；

④  移动执法无线专网或虚拟无线专用网络：通过移动执法无线专网或虚拟无线专用网络将司法行政移动执法终端连接到司法行政移动执法网接入区，也可通过虚拟无线专用网络将司法行政移动执法终端连接到电子政务外网。

10  手机选型

终端的选型是警务通项目中最重要的选择之一，是用户体验的直接提现。满足司法警务通系统要求的警务通终端有很多，从品牌分类，主要有一线大品牌手机（通过OTA升级司法定制版本操作系统），和专用行业机之分；单工作模式终端，只能选择普通的单系统手机，升级为司法定制版本操作系统。本方案可以适配华为品牌、荣耀品牌手机，以及LOXO品牌行应定制机型。普通单系统手机，定制为单工作模式，完全满足监狱戒毒所的安全需求，业务需求，也满足司法部有关规定。

11  后台功能简介

后台系统部署在监狱机房，主要是系统管理员，监狱信息科，指挥中心使用。其主要功能有基础数据管理，用户管理、设备管控，应用管理，通知通报、交互信息管理、日志管理等等模块。后台系统的主要功能分为两类，一是手机管控部分，二是结合诸多的案例实践，总结了监狱戒毒所在警务通应用方面的痛点，开发了与“应用”相关的管理后台。基本覆盖了监狱戒毒所的全部需求。

后台设备管控界面和功能：

后台日志、网络、IIP等界面：

后台模式切换界面：

12  下载功能与报价简表

请点击下载

司法警务通产品架构与功能简介.xlsx

安全管控与应用平台--报价简表.xlsx