随着“数字中国”建设不断深化和“互联网+政务服务”持续推进,真正实现了“让群众和企业少跑腿,让数据多跑路”。与此同时,政务服务效率提升的背后,数据安全、网络安全重要性日益凸显。
特别是现如今各级政务部门终端接入政务外网同时连接互联网的场景(以下简称“一机两用”)激增,进一步催生出保障政务外网安全、终端安全管理与高效智能运维的巨大需求。政务外网的现状与需求如何?什么样的解决方案更有效?首批实战案例是怎么做的?
● 法律法规与技术规范要求不断提高
近年来,多部门联合打出组合拳,陆续发布一系列政策法规和指导文件,对网络与信息安全提出了更高要求。
《网络安全法》、《数据安全法》、《网络安全等级保护基本要求》(GB/T 22239-2019)、《政务外网终端一机两用安全管控技术指南GW0015-2022》……
对于各级政务部门、政务外网建设运维管理单位来说,如何满足法律法规与技术规范要求已经成为当务之急。
● 终端安全问题亟待解决
伴随着“一机两用”场景需求日益剧增,随之而来暴露的终端安全问题日益增多。
政务外网未与互联网隔离,边界安全严峻。2019年8月份,外网办开展政务外网边界安全检查专项工作,有60%的地方外网终端在未符合安全规范的要求下“一机两用”。
终端感染木马病毒或被控,导致数据外泄。2020年全年面向地方政务外网发布了103期网络安全通报,其中80%的安全事件是由于终端感染木马病毒或被控,导致在政务外网进行横向渗透攻击或病毒传播。
终端安全问题已成为政务外网广域网中占比最高的安全问题,影响政务外网全网安全,亟待解决。
● 传统方案缺保障、技术路线未统一
当前,部分政务部门已完成终端安全建设,但终端安全技术路线未统一,安全效果强弱不一,无法保障安全与使用相结合。同时,传统防护方式针对终端侧数据落地缺乏保障,基本对内部完全信任不设防,对导入导出等泄露政务外网敏感数据的行为缺乏有效管控,数据泄密事件频发。
相比传统的防护方式,零信任等主流技术成为统一全国政务部门的终端安全建设的新路径。
基于零信任的技术架构建设政务外网终端一机两用安全管控体系,到底该怎么做呢?
作为Forrester《零信任最佳实践》白皮书主要参编单位之一、国内率先落地基于“零信任安全”产品的厂商之一,联软科技充分利用自身在零信任安全领域的深厚技术实力及丰富的落地实践经验,结合多年在端点安全管控方案的积累,为各级政务提供先进、合规的政务外网一机两用解决方案,解决政务外网应用和终端安全防护难题。
● 联软政务外网终端一机两用解决方案
基于SDP架构的端到端零信任访问控制,由零信任管理平台、零信任安全网关、零信任客户端三部分组成。通过一套管理后台,实现PC、移动终端统一管控,帮助各级政务外网建设运维管理单位,建设基于零信任理念的终端控制设施,有效解决政务外网终端管理的多项网络安全问题。
按照“全盘统筹、多级部署、分层管控、属地管理”的原则,根据政务外网业务是否集中部署的场景,联软推出两种政务外网终端“一机两用”安全管控方案:
方案一:统一管控(业务集中部署,集约建设,云内部署)
对于政务外网业务集中部署在本层级政务云的场景,采用统一管控模式构建政务外网终端“一机两用”安全管理框架,构建基于零信任理念的政务外网终端管控设施。具体如下图所示:
统一管控模式管理框架包括:在城域网边界实施统一准入、安全隔离及应用支撑,在广域网边界实施终端安全检测;负责终端安全防护,包括终端准入控制、终端安全隔离和终端安全防护。
方案二:自行管控(业务非集中部署政务部门自建)
对于政务外网业务分散部署在政务部门局域网内的场景,采用自行管控模式构建政务外网终端“一机两用”安全管理框架。
自行管控模式管理框架包括:负责终端安全防护,包括终端准入控制、终端安全隔离和终端安全防护;在城域网边界实施终端检测、应用支撑和安全集中监控,在广域网边界实施终端安全检测;将终端管控相关管理数据同步给所在层级的政务外网建设运维管理单位。
● 核心功能
准入控制:政务外网终端准入控制包括SPA认证、SDP身份认证、环境检查、访问控制等。对接入政务外网的用户终端,实现接入认证和安全检查,确保接入的人员身份合法,接入的终端具备安全防护能力,不能携带病毒访问政务外网,确保只有合法合规的终端才能接入访问相应权限范围内的业务。
网络隔离:联软的“一机两用”政务外网终端管控方案,打破“一机多用”现状,对接入政务外网终端实现网络隔离,实现同一台终端无法同时访问两张网络,如终端在访问互联网时,无法访问政务外网。当此终端访问政务外网时,无法访问互联网。
数据隔离:在网络隔离的基础上,建设数据隔离机制,保护政务外网上的数据不能轻易外泄至互联网,通过安全技术手段与本地数据隔离,避免木马蠕虫等恶意代码传入政务外网。
追踪溯源:考虑到用户拍照等泄密行为,对于重要的业务数据或特殊政务外网业务系统,可采用屏幕水印技术,防止拍照后无法溯源,同时也可对终端用户启动心理震慑作用。支持多种专利水印技术,可支持移动终端和PC终端屏幕显示。
应用代理:通过应用代理的方式,对业务系统的真实地址和端口进行防护和隐藏,缩小应用攻击面,防止政务应用被扫描攻击、DDos攻击、注入攻击。客户端在获取到用户的请求以后,将采用加密技术对数据包进行加密封装确保鉴别信息、业务数据在传输过程中的安全。
业务发布导航:针对普通公共业务,采用全范围发布上线原则,上线后对全部用户开放,安装了客户端且完成准入认证的用户可正常访问。针对敏感业务,采用受限访问控制的方式,仅允许特定终端进行访问,可通过发布策略进行权限管控。
动态监测:系统与安全运维中心对接,将一机两用系统纳入安全运维体系,实现安全的统一运维及管理。一机两用管理平台建成后,提供标准接口,与安全运维中心进行对接与信息同步,零信任管理平台提供接口供安全运维平台等系统调用,提供风险评分输入、控制指令等。
可视化展示:系统将根据各接入节点及终端情况汇总分析,并通过大屏方式展示分析结果。屏幕将从多个维度进行展示:接入终端、区域标记、接入用户、安全风险、接入审计、系统运营、安全分析等。
分级分权管理:构建分级权限管理体系,通过统一管理平台,设置下级管理员权限,对不同的地区、部门的终端进行分级管理,减轻政务外网运维管理单位的管理压力。支持终端准入控制系统分权管理,支持安全管理员、系统管理员、审计管理员三个角色负责不同系统权限管控。
移动安全:采用“零信任”安全架构设计理念,为移动终端用户提供业务应用的安全访问,通过数据隔离、加密隧道以及加密存储等机制保障业务App的运行安全与数据安全。
EPP安全:通过安全基线管理、终端补丁管理、终端软件管理等方式,增强终端安全能力;采用一套管理后台实现准入认证、网络隔离、数据隔离和终端安全防护,避免影响终端办公效率,同时避免出现终端烟囱式建设带来的相关问题,如兼容难、功能重复等。
● 方案效果
终端一体化防护
联软政务外网终端一机两用解决方案通过一套管理后台可实现终端准入、安全隔离、终端安全防护一体化管控,减少“一机两用”安全风险,防止终端数据泄露,降低终端资源占用,提高用户体验,实现高效运维,提高ROI降低TCO,一台终端多网访问,降低建设费用。
遵循政务外网统一规范建设
满足统一电子政务外网终端安全接入“一机两用”场景的安全建设规范,基于安全规范中的零信任理念产品,建设统一的政务外网安全接入规范。
增强政务外网终端及业务安全
确保数据传输安全,避免内网全面暴露;同一终端同一时间只能访问一张网,实现网络隔离;终端数据沙盒保护,使用受控,确保政务数据安全;支持安卓、鸿蒙等移动端操作系统,促进“一机两用”移动化;支持UOS、麒麟等国产化终端,适应信创本质安全管控需求。
重点政务应用保护
保护政务外网应用隐藏在零信任安全网关之后,缩小暴露面,支持重要应用基于角色的发布管理,确保重点政务应用的安全。
大幅提升政务业务效率
终端一次接入认证,集成身份认证设施,可协助用户实现一次认证访问业务。支持跨层级或跨部门终端访问业务场景。与IAM对接,避免重复认证;公共或自有业务集中发布和管理,便于用户检索浏览到相应业务;用户行为、业务访问记录分析,为政务管理提供决策依据;针对异常行为精准溯源阻断下线。
为政务终端一体化管理提供高扩展
系统采用微服务架构,可扩展移动端安全管理、终端安全管理等功能模块,为政务终端通过一套管理后台实现一体化管理提供支撑,支持云部署、集群等高可用部署,并可与第三方安全网关对接,提升整体方案优势。
作为政务部门“新神器”,联软“政务外网终端一机两用解决方案”近期已在某市政务服务数据管理局中大显身手!
该政数局面对政务外网终端安全准入、终端一机两用安全管控等问题,运用联软政务外网一机两用解决方案,通过一套管理后台,实现终端安全防护一体化管控,保障了政务外网终端及业务安全,提高用户体验,降低管理复杂度,实现了高效运维,降本增效。
设备成本及运维成本仅为传统方案的1/7,节省了约数千万元人民币。
目前,联软的零信任架构解决方案已在银行、金融、医疗等各行各业得到成功应用。联软深耕网络信息安全19年,累计保护端点数15,000, 000+,已服务于50+家世界500强,105+家中国500 强,3000+行业客户,12年+服务于中国最顶尖的六大交易所,证券期货行业市场占比超70%,全国性商业银行覆盖超50%。
作为准入领军者、端点安全领导者、零信任领航者,联软始终致力于为客户提供安全、高效、便捷的网络安全服务。未来,联软科技将助力更多政务部门、政务外网建设运维管理单位在互联网+政务、数字化大背景下的轻松转型和顺利进阶,为网络安全的行业注入更多科技力量。
☎专家热线:400-6288-116、13715045160
与联软共创政务外网终端安全管控新未来!