司法警务通三模式多场景安全管控与应用平台

根据《司法行政移动执法系统技术规范》SF/T0049­—2020制定

目录

1  前言、范围与适用

2  建设背景、需求分析与方案特色

3  总体技术框架   

4  组网与安全接入 

5  终端双模式三场景工作系统与模式切换设计       

6  终端安全监控组件设计              

7  系统安全设计       

8  平台功能设计          

9  功能简表

 1  前言、范围与适用

前言

本方案是根据《司法行政移动执法系统技术规范》SF/T0049­—2020版(以下简称司法部49号规范)核心要求，结合多年来智慧监狱智慧戒毒警务通系统建设实践，同时考虑到建设单位实际情况、个性需求和行业发展，而提炼总结的；本方案采取的是《司法行政移动执法系统体系框架Ⅱ型》架构，专门针对于司法体系内监狱和戒毒所等涉及到监所管理的单位。

同时为保持与建设单位的实际情况想结合，满足业主的个性需求，紧跟行业日新月异的发展，本方案会根据不同警务通终端性能、不同操作系统的接口开发能力，提供多种满足司法部49号规范安全需求和核心功能的方式和方法。

范围

本方案核心内容包括：监狱戒毒所警务通系统的总体框架、系统组网、双模式三场景终端系统、模式切换策略、终端安全监控组件、系统安全设计、平台功能等部分。

适用

本方案是根据《司法行政移动执法系统体系框架Ⅱ型》制定的，适用于司法体系内监狱和戒毒所单位，涉及监所内外，行政办公等模式与场景。

手机选型，本方案同时支持华为，荣耀的全系列单系统手机。

2  建设背景、需求分析与方案特色

建设背景

监狱是司法部重要部门，由于行业的特殊性，监狱单位的监管区域形成了一个极为独立的区域。全国司法行政信息化工作会议中，先后出台了《“数字法治智慧司法”信息化体系建设指导意见》和《“数字法治智慧司法”信息化体系建设实施方案》，全面加快“智慧监狱”建设，立足推动监狱管理由“智能化”向“移动化”“智慧化”的转变，司法部印发了《关于加快推进“智慧监狱”建设的实施意见》和《“智慧监狱”技术标准》，其中对警务通系统建设提出明确的要求，并专门法移动执法印发了《司法行政移动执法系统技术规范》SF/T0049­—2020(以下简称司法部49号规范)。

为落实《司法行政移动执法系统技术规范》和《“智慧监狱”技术标准》的有关规范，我司提出了《司法警务通终端双模式三场景安全管控与应用平台》的建设方案，该系统的建设将会有助于移动执法和移动办公、优化一线民警的现场执法模式、拓展一线民警的工作广度、减轻执法难度、规避执法风险、严格依法行政等。

需求分析

司法警务通系统建设的需求，具有一般移动执法办公系统的共性需求，又具有鲜明的特点。司法警务通主要应用场景是监狱和戒毒所（为方便介绍，以下以监狱单位为例）。监狱担负着改造犯人的重任，有行政办公区域，又有监管区域。监管区域必须是一个“封闭的，独立的” 区域，对信息安全有特殊的要求，必须严格区分监区周界内外对信息安全的不同要求。监管区域的信息安全，是以周界为划分的，监管区域内的有些信息数据尤其是音视频资料，是杜绝带出监区的；有些信息数据又是严禁带入监区的；另外监区内外的通讯也有极为严格的要求。同时监狱单位又有行政办公区域，行政办公人员使用的警务通终端，信息敏感，安全要求很高，不能泄露出去，但是电话通讯管控的要求与生活模式一样，可以接听和回拨任何电话。这就是监狱移动警务通系统建设的信息安全的特殊性。

从移动警务系统共性需求分析， 监狱移动警务系统的信息安全范围主要是涉及到移动终端使用，数据采集与存储，传输网络，系统组网等诸多方面。

从监所区域管理的特性需求分析，主要是警务通终端使用中，随着位置的变化，对信息安全和通讯安全的管控要求不同。监管区域内的音视频是不能流出监管区域的，相应监管区域外的资料是不能带入，监管区域内的通讯也受到严格限制，要做到监区内外的不同工作模式的隔离。同时在监管区域之外，也要实现办公行政场景与生活模式的隔离。所以，必须建立安全隔离的工作模式与场景，满足移动终端带入带出监管区域的安全要求。在建立安全可靠的工作模式的基础上，必须实现模式切换。在司法警务通系统的实践中，最大的风险来自“模式切换”策略没有落实到位，导致了在监管区域使用生活模式的违规现象，司法部为此对有关监狱单位通报批评并责令整改。所以，切实有效的模式切换机制建设，也是信息安全的重要组成部分。

方案特色

本方案对单系统手机终端进行定制开发，建立安全可靠的双模式三场景的工作系统，和进出监管区域过程中的强制性模式切换，是本方案的两大特色。

3  总体技术框架

本方案专为具有“监所管理”的监狱和戒毒所而设计的，按照司法部49号规范的要求，采取该规范所要求的《司法行政移动执法系统体系框架Ⅱ型》总体技术架构。

总体架构包括三层结构：终端设备层、网络支撑层和移动应用层。警务通终端支持执法模式和非执法模式，执法模式在电子政务外网或监狱/戒毒内网工作，非执法模式在互联网工作。有些特殊情况下，客户要求警务通终端只有一种模式即执法模式，则执法终端在电子政务外网或监狱/戒毒内网工作，禁止连接互联网。  

终端设备层：主要是指通用执法终端，具有执法模式和非执法模式，其中执法模式又具有三种场景，故成为“双模式三场景”警务通终端。各个模式与场景之间，按照定制的策略实现切换。可以通过双系统手机或者单系统手机，对警务通终端操作系统进行深度定制开发，形成双模式三场景工作模式，接下来的章节重点介绍单系统的方式实现双模式三场景的方案。切换策略按需定制，支持手动切换，门禁切换，无感知强制切换等多种方式组合，通过技术手段确保终端在监管区域内保持执勤模式，杜绝非执勤模式在监管区域内使用的情形。

网络支撑层：网络支撑层为司法行政移动执法终端提供网络支撑服务。在非执法模式下，终端由移动网络连接到互联网；在执法模式下，终端由虚拟无线专用网络或移动执法无线专网连接到监狱/戒毒内网，可由虚拟无线专用网络或移动执法无线专网连接到电子政务外网。网络支撑层一般由运营商提供，采取VPDN等方式，安全管控平台支持网络管控功能，实现与运营商提供的安全接入方式绑定。

移动应用层：支持司法行政移动执法终端的移动应用，包括办公移动应用、司法移动应用、行政移动应用、管理移动应用和大数据移动应用等。移动应用的分发、管理均由管控平台控制。安全管控平台在确保多种安全措施的前提下，通过白名单机制，提供一个开放性应用市场，终端可以安装安全管控平台推送的白名单APP，并提供防卸载，静默安装/卸载，保活等功能。该开放性应用市场，省却了与应用APP对接的环节，为终端作为一个信息平台，支持诸多的业务系统奠定了基础，真正实现移动执法办公功能。

4  组网与安全接入

本方案采取的平台组网技术和终端的移动安全接入体系是依据司法部49号规范技术要求制定的。在实践中，平台组网和安全接入一般是监狱信息化项目，警务终端安全管控后台系统和移动终端在该网络架构上运行；安全接入系统主要是指警务通终端通过移动网络（虚拟专网等）， 安全认证，访问控制，网络隔离等措施，接入监狱内网（电子政务外网）。警务通终端安全管控平台有关的管控措施，主要有终端工作模式定制，接入方式的绑定，访问IP/域名的控制，传输加密等措施。

4.1  平台网络结构和内容

①  移动执法专网（监狱/戒毒内网）：各监狱/戒毒所自建或统一筹建的本地移动执法网络；

②  司法行政移动执法专网接入区：完成对接入移动执法专网的司法行政移动执法终端的审计、认证，以及电子政务外网与监狱/戒毒移动执法专网的数据隔离共享；

③  电子政务外网：通过电子政务骨干网实现全国互联；

④  移动执法无线专网或虚拟无线专用网络：通过移动执法无线专网或虚拟无线专用网络将司法行政移动执法终端连接到司法行政移动执法专网接入区，也可通过虚拟无线专用网络将司法行政移动执法终端连接到电子政务外网。

4.2  移动终端安全接入体系架构

司法行政移动执法系统网络接入安全体系通过终端安全管控、信道加密、认证接入、接入前置设备、网闸双向隔离、接入控制设备和访问控制，构建包括司法行政移动执法终端、移动执法无线专网或虚拟无线专用网络、司法行政移动执法专网接入区、安全边界和司法行政移动执法专网的网络接入安全体系架构。

终端接入常见的方式，有些单位是租用运营商VPDN，有些单位是监狱通过加密WIFI，有些戒毒所直接通过双向物理隔离网闸和防火墙接入单位机房。网络接入安全体系架构如图所示。

 5  终端双模式三场景工作系统与模式切换设计

司法部49号规范对终端的硬件和工作模式做出了全面的规范和严格的要求。结合监狱单位特定的工作场景，警务终端的工作区域分别为监管区域、办公区域和生活区域，不同的区域对终端信息安全的要求不同，连接的网络不同，安装使用的APP也不同，这是监狱警务通系统的显著特征。基于此，《司法行政移动执法系统技术规范》要求警务终端必须支持双模式多场景，不同模式之间随着终端所在的区域变化，按照预设的策略实现切换。

司法警务通终端有多种选型，无论是选择双系统终端，还是单系统终端，都需要经过安全管控，对系统底层进行深度开发，才能满足双模式多场景的要求。单系统手机，首先通过安全管控措施把终端分为两个模式，一个为生活模式，另一个为执法模式；其次执法模式再分为三场景，分别是执勤场景、行政场景和押运场景。本方以单系统终端定制双模式三场景的系统为例。

5.1  终端操作系统双模式设计 

对单系统手机操作系统，首先分离一个安全域，定义为执法模式，相应另一个域定义为非执法模式。 非执法模式，管控系统不做处理，保持原来普通手机的功能，可以上互联网，可以安装非工作的任意APP，不受警务通后台系统的管控。非执法模式，也叫做生活模式。

执法模式，绑定预设的上网方式，只能登陆监狱内网或者电子政务外网，禁止连接互联网；只能访问特定的白名单IP，只能安装管控系统推送的应用APP，只有通过用户认证、设备验证等安全措施后才能登陆该模式，手机与后台数据加密传输，数据存储在服务器端，终端本地不保留涉密数据。执法模式，终端受到后台严格的管控，终端模组，通讯等受到后台控制。

执法模式与非执法模式，进程相互隔离，互不可见；网络相互隔离，不能同时在线；分别有独立的、差异化的人机交互界面，包括但不限于系统桌面、状态栏、快捷面板、安装应用界面等。

5.2  执法模式分为三场景设计 

执法模式，根据应用场景不同划分、又定制为三种场景：在监管区域内，定义为执勤场景；在办公区域内，定义为行政场景；在押运过程中，定义为押运场景。

监管区域内，终端为执勤场景，对终端实行最为严格的管控，在执法模式的安全管控的基础上，会自动关闭、禁用很多手机的功能，如第二卡槽断电，关闭热点，关闭WIFI，关闭USB的传输功能，禁用蓝牙配对连接，电话仅能打白名单电话，限制相机，录音的功能，录像录音只能用于音视频取证，取证音视频资料自动上传后台，本地自动删除。在终端进入监管区域时，会自动切入执勤场景，并自动扫描所有进程，非白名单应用APP一律被禁用杀死。在终端退出执勤场景时，自动关闭执勤场景白名单进程，返回生活模式，自动切换网络。实现网络、应用进程的隔离。

办公区域内，终端为行政场景，终端受到较为严格的管控，在执法模式的管控基础上，只能使用该场景的白名单APP，由于该模式依然连接内网，依然关闭热点、关闭WIFI、关闭USB的传输功能、禁用蓝牙配对；电话不管控，可以接听回拨任何电话。行政场景一般是使用OA等涉密等级不高的业务和数据。行政场景与执勤场景一样，网络、应用进程与生活模式是隔离的。

押运过程中，终端为押运场景，终端既要使用执法模式的有关应用系统，又离开了监管区域。开启押解场景，需要指挥中心对终端进行授权，并配置好时间、路线等安全策略，才能开启。

5.3  终端双模式三场景工作系统的对比

在习惯上，执勤场景又称呼为执勤模式，行政场景又称呼为行政模式，押运场景又称呼为押运模式；非执法模式又称呼为生活模式。

5.4   终端模式切换设计

终端处于不同的工作模式/场景，受到不同的安全管控，各个场景均具有记忆功能，重启等操作均无法退出。在终端使用位置发生变化时，各个场景按照预设的策略实现模式切换。总体模式切换策略如图所示。

①  生活模式与行政场景，随时可以手动相互切换；

②  进入监管区域，通过门禁融合切入执勤场景，或者通过电子围栏，强制切入执勤场景；

③  离开监区区域，通过门禁融合切入生活模式，或者通过电子围栏强制切入生活模式；

④  押运场景，需要后台授权才可以切换。

5.5  门禁融合模式切换

通过干警通道进入监区时，在AB门通道之间，刷手机开启十字闸门禁，同时手机自动切换到执勤场景。

离开监区，同样在AB门通道之间，刷手机开启十字闸门禁，同时手机自动切换到生活模式。

终端模式切换与门禁开启相互关联，需要与门禁系统对接，终端刷门禁读卡器一个动作，同时触发开门与模式切换两个动作。

5.6  强制模式切换

在进入监区过程中，门禁切换是常见方式，但是也有安全隐患：例如在干警通道“出门时”折返，把终端刷成生活模式后折返进入监区，这样就出现了在监区使用生活模式的违规现象；例如在车辆通道，偶尔也有干警出入时终端没有刷卡切入工作模式，违规在监管区域使用生活模式的可能。司法部也高度关注在监管区域违规使用生活模式的现象。为此，强制模式切换可以起到很好的预防作用。

在监管区域、周界内外部署若干蓝牙网关或者其他信号发射设备，持续发射蓝牙信号；终端根据蓝牙信号MAC地址不同，能判断当前终端所处的位置信息，并强制的切换到对应的模式状态。终端安全策略确保终端蓝牙保持常开，无法关闭。

5.7  其他模式切换策略

①  地理围栏模式切换，通过位置信息判断位置，实现模式切换。

②  时间围栏模式切换，通过在后台设置不同时间的模式状态策略，推送到终端，终端通过判断时间实现模式切换。

③  后台切换，终端在线时，可以通过后台发送指令实现模式切换。

6  终端安全监控组件设计

6.1  终端安全监控组件的简介

①  安全监控组件是终端安全管控的核心组成部分，需要终端生产厂商开放底层权限方可使用。本方案可以适配华为和荣耀全系列终端，包括单系统和双系统终端。

②  由于不同品牌的终端，开放的接口能力不一样，安全监控组件的管控能力也有所不同。本方案都是本着司法部49号规范的指导意见设计的。 

③  本方案终端安全管控能力，是基于Android 13以下版本（含Android 13），以及HarmonyOS 4.0以下版本（含HarmonyOS 4.0）设计的。

6.2  终端安全监控组件的运行

终端安全管控与应用平台分为手机端和服务器端，安全监控组件运行于执法终端，与服务后台构成一个封闭的终端管控平台，实现安全管控的功能。

安全监控组件，随终端启动而自动运行，不能被强行终止、修改和卸载。负责终端注册、终端登录、管控策略解析执行及结果上报、终端信息采集上报、安全事件监测上报和模式切换上报等。

6.3  终端安全监控组件的能力

通过安全监控组件实现对终端的安全管控措施，包括终端硬件模组的管控，终端基本功能的管控，终端应用APP的管控，终端模式切换和电子围栏的管控，终端远程控制与配置的管控等，确保终端的数据安全、传输安全、应用安全。本方案提供了强大的管控能力，如下图。在项目实施过程中，可以按照用户需求配置各种安全管控策略。

7  系统安全设计

本方案是为华为和荣耀手机终端定制的满足司法行业应用的安全管控系统，提供纯软件系统服务，不涉及到终端选型，故本章节重点介绍软件系统、信息服务方面的安全内容设计。

7.1  操作系统安全

①  操作系统是终端自带的，根据司法部司法部49号规范对操作系统安全要求，华为品牌鸿蒙操作系统和荣耀品牌终端安装系统，均满足安全要求；

②  本方案提供的双模式三场景系统工作方式，符合司法部门监所管理的要求。

7.2  应用层安全

执勤模式和行政模式，只能安装、使用白名单应用，无法安装、使用其他的应用。同时对白名单应用具有防止卸载、保活等功能。

7.3  外设接口安全

在执勤场景和行政场景有用不着的外设和功能，均采取禁用措施；如果有些模组功能，可能被白名单业务系统应用到，在后台做开启关闭的开关，可以按需配置。

7.4  网络通讯安全

执法模式只能连接指定的网络，只能访问白名单IP，默认关闭WIFI、热点和共享等功能，与生活模式网络不能同时在线。

7.5  电话通讯安全

执勤场景支持电话白名单策略，在执勤场景和行政场景，禁用短信和彩信功能。

7.6  用户数据安全

①  执法模式本地不保持涉密数据，全部执法数据上传内网服务器；

②  各个生活模式与执法模式，网络不能同时在线，应用进程相互隔离，无法在两个模式之间传输涉密数据；

③  手机具备一整套安全有效的开机秘钥，登陆验证，非终端用户无法进入手机操作系统，无法获取手机数据；

④  数据通过VPDN加密传输，没有破解的可能性。

7.7  使用过程安全

①  终端注册启用到退役整个过程，都在安全管控之中，有终端，手机卡和用户绑定的策略，登陆需要三要素验证；

②  使用中有强制模式切换策略，确保监管区域内的模式状态安全；

③  违规使用，终端会自动被锁死禁用。

7.8  后台系统安全

后台系统部署在监狱内网，支持国产服务器操作系统和数据库，具有用户认证、访问控制，网络控制和行为审计等安全策略。

8 平台功能设计

在终端双模式三场景管控的基础上，通过安全监控组件对终端的模组、功能、应用等进行远程管控和配置，经过严格的安全设计，最终的目的是实现丰富的平台功能。管控策略离线依然有效，除非退役解除管控，否则无法脱离管控。平台功能设计，主要分为两类，一是手机安全管控部分，二是监狱在警务通应用方面的管理功能，基本覆盖了监狱警务通建设的主要需求。

8.1  终端管理功能

①  终端激活启用：在华为HEM平台获取签权后，激活管控程序，自动进入双模式三场景工作系统，登陆管控系统后终端开始启用； 

②  机卡人绑定与解绑：终端首次登录启用后，在管控后台实现终端设备硬件SN码、 手机卡串号、登陆用户名三要素的绑定；

③  终端资产管理功能：可查询终端型号、手机卡信息、启用时间、对应用户和组织信息、终端模式场景信息、是否在线、登录信息等；也可以远程读取终端的所有软件资产，包括软件包名、应用名称、版本号、是否系统应用等信息；

④  远程锁机禁用与解禁：若使用中违反安全策略，或者推送丢失找回指令后，终端设备会锁死，处于禁用状态，需解锁方可使用；

⑤  远程重启关机等操作：通过远程指令，对终端实现远程重启，关机等基本操作；

⑥  远程端口模组控制：终端常用的模组和功能，可以通过后台远程控制，实现开启/关闭、启用/禁用的功能；

⑦  丢失找回：若终端丢失，从后台可以锁死禁用终端，可以推送找回的有关消息在锁死界面，后台自动获取终端当前的位置信息； 

⑧  水印功能：在执法模式下的工作，支持水印功能，可以在后台系统编辑水印的内容；

⑨  禁止恢复出厂和系统升级：为了防止终端逃脱管控，禁止操作系统升级为普通消费者系统和禁止终端恢复出厂设置；

⑩  退役与解除激活：管控程序有效期限为10年，也是华为终端提供的最长授权期限。如果终端在这个时间内退役，可以通过管理员解除激活，卸载安全管控软件后恢复终端出厂设置。

8.2  网络通讯管理功能

①  WIFI 管理：支持WIFI热点白名单功能，只能连接白名单热点；支持WIFI的启用禁用、开启关闭功能。一般切入执法模式自动关闭WIFI；

②  移动数据与手机卡槽：切入执法模式，自动对终端卡槽2进行断电管控；后台可以强制开启或者关闭卡槽1的移动数据； 

③  VPDN/APN管理：支持VPDN/APN配置信息通过系统后台推送，终端自动配置和切换到接入网APN/VPDN，并且保证执法模式接入APN/VPDN配置不可修改，普通模式不可以设置APN/VPDN 

④  蓝牙管理：支持蓝牙常开/常闭功能设置，支持蓝牙开启/关闭设置。支持蓝牙配对白名单功能，仅白名单内的蓝牙设备，允许连接终端； 

⑤  访问IP白名单/域名白名单：在执法模式，支持设置IP白名单/域名白名单的功能，终端在执法模式只能访问白名单的IP白名单/域名白名单； 

⑥  热点：支持终端热点开启关闭功能，一般的配置是，每次切换执法模式，系统自动关闭终端热点，禁止热点分享功能；

⑦  USB管控：在执法模式下禁止接入任何外部设备，UBS接口仅保留充电功能，禁止通过USB网络分享功能； 

⑧  电话、短信（彩信）管理功能：系统支持电话白名单功能，在执勤场景，只能接听和拨打白名单电话号码。白名单可以是手机号，短号，固定电话号码。

8.3  应用管理功能

①  应用白名单：只能安装使用白名单APP，白名单可由终端管理员通过管理后台推送给终端，组织； 

②  应用黑名单：可以设置应用黑名单功能，黑名单APP无法打开运行；

③  防卸载：通过白名单安装的应用程序，无法手动卸载；

④  保活：白名单应用，可以设置保活功能； 

⑤  静默安装/卸载：白名单应用，可以后台推送下载后静默安装，也可以通过后台静默卸载。

8.4  模式切换管理功能

①  蓝牙电子围栏配置功能：支持模式切换的蓝牙Mac地址与对应状态，可以在后台系统配置管理； 

②  时间电子围栏配置功能：支持设置值班组，并且预设模式切换的时间；以此实现时间围栏功能； 

③  手动切换功能：由后台授权的终端，在开启手动切换功能后，用户可以通过桌面模式切换按键自行实现切换。  

8.5  执法、取证、消息功能

①  音频、视频、图片取证功能：终端在执法模式下，具备执法取证功能，取证资料保存在后台系统；

②  资源管理：实现便捷的执法取证信息快速的存储、查询检索功能； 

③  一键报警：实现一键报警，长按音量减加5秒，触发终端报警功能；

④  消息通知功能：应用平台提供消息通知功能，包括：消息编辑，消息推送、消息签收、消息阅读、消息记录管理等。

8.6  平台其他功能

①  单点登录：提供统一的认证服务、授权服务、集中管理用户信息、集中审计等功能，为用户提供统一的信息资源认证访问入口； 

②  后台系统管理：包括组织管理，人员管理、角色管理、权限管理等功能，包括增加、删除、编辑、多维度查询、批量导入、批量导出、排序等操作；

③  日志功能：提供详细的日志功能，包括终端登录操作日志，终端连接日志、终端下载日志和后台操作日志； 

④  终端所处模式和状态接口：终端所处模式、终端状态信息接口，可供第三方应用程序按需调用。

9  下载功能简表

请点击下载

平台简表和功能简介