随着数字政府建设提速,各级政务部门终端接入政务外网存在“一机两用”的情况,导致政务外网终端感染僵木蠕、政务外网被跳板攻击等安全事件。
站在“数字化+政务服务”浪潮的潮头,如何借助数字化这把利剑,实现政务服务转型升级的同时保障政务外网安全,成为各政务部门不得不思考的问题。
国家电子政务外网管理中心针对政务终端“一机两用”的情况,于2022年7月1日发布了《政务外网终端一机两用安全管控技术指南》(GW0015-2022),对各级政务部门政务外网一机两用安全管控提出了明确要求。
联软科技作为《政务外网终端一机两用安全管控技术指南》参与起草的网络安全厂商中排名第一的起草单位,推出高度匹配该技术指南的政务外网终端一机两用SDP解决方案。
联软政务外网终端一机两用SDP解决方案,基于SDP架构的端到端零信任访问控制,方案由零信任管理平台+零信任安全网关+零信任客户端三部分组成。
通过一套管理后台,帮助各级政务部门建设基于零信任理念的终端控制设施,有效解决政务外网终端管理的多项网络安全问题。
方案满足了各级政务部门终端“一机两用”情况下安全访问政务外网的业务诉求,实现了政务外网终端一体化安全防护,有效保护政务外网的整体安全。
作为保障政务外网整体安全性,防范化解政务外网终端安全风险的重要方式,以联软政务外网终端一机两用SDP解决方案为代表的一机两用解决方案,都有哪些典型的落地应用场景呢?
政务部门接入服务场景方案,主要针对各政务部门局域网未进行终端安全建设,但存在终端安全管理和访问政务外网运维管理单位公共业务的需求。本级终端准入控制系统可提供终端安全接入管控和公共业务访问服务,用于对所属层级政务部门内一机两用终端在接入政务外网时进行终端安全管理。
政务部门业务上线保护服务场景主要针对政务部门还未建设基于零信任的终端准入控制设施对政务部门专属业务和公共业务进行保护,由政务外网运维管理单位零信任准入控制设施为所属政务部门的安全接入访问业务提供服务,保护其公共业务和专属业务的安全访问。
联软根据各政务部门不同的业务需求和现状,针对政务部门业务上线保护服务场景设计了两个不同的方案。
方案一考虑少量不便于迁移的业务,这部分业务仍然部署在政务部门数据中心内部。而方案二则提供服务器等资源,使政务部门业务部署在政务外网运维管理单位公共区数据中心。
在业务效率以及运维复杂度方面,由于方案一准入控制系统和业务系统部署在不同数据中心,运维复杂,开销大,影响数据传输效率。而方案二业务系统部署在公共区数据中心对接方便,并下放管理权限进行分级管理,开销小,数据传输效率高。
本方案主要针对电子政务外网运维管理单位局域网进行终端安全建设和其用户访问政务外网公共业务需求。运管单位准入控制系统提供终端安全接入管控和安全接入访问的能力,可对运管单位一机两用终端在接入政务外网时进行终端安全管理,通过零信任安全网关代理实现业务安全访问。
专网接入终端准入服务场景方案主要针对各政务部门专网暂未进行终端安全建设,但存在下属单位用户终端安全管理和访问电子政务外网运维管理单位公共业务和专属业务的需求。
需要运管单位临时借用电子政务运维管理单位准入控制系统设施为政务部门提供专网接入用户终端的安全接入管控和业务访问服务,为暂未完成终端安全准入建设的政务部门提供少量自建业务系统的安全准入访问控制管理。用于对政务部门内一机两用终端通过政务部门专网在接入政务外网时进行终端安全管理。
基于终端安全准入控制系统要求政务部门自建原则,只提供少量业务系统保护和少量终端的接入安全控制管理。
针对已建设终端准入控制设施或准备建设终端准入控制设施的政务部门或运管单位,本级用户需要访问上级和平级业务,如部级用户需要访问中央级和省级业务场景需求来设计。
该方案主要围绕上级业务发布管理、下级用户访问上级应用如何管理和控制、不同厂商系统如何实现兼容适配、下级用户如何跨层级访问上级业务四个维度考虑设计构建。
通过同一套SDP零信任架构,同一套零信任管理平台、同一种零信任安全网关、PC/移动零信任客户端,解决政务外网互联网出口与5G专网接入终端准入的安全问题,包括5G专网移动终端的零信任接入,移动远程办公(网格员)零信任接入。
在联软政务外网一机两用SDP解决方案6大落地应用场景具体流程中,终端准入系统基于零信任理念,规范所有单位终端接入政务外网访问政务外网公共业务前需先认证,后授权,接入成功后默认进入政务外网网络模式,仅允许接入终端访问授权的业务,禁止访问非授权业务和互联网,支持用户灵活切换网络模式,切换互联网模式后禁止访问政务外网公共业务。
在用户体验方面,访问准入控制系统和4A系统对接,实现用户身份统一认证和业务单点登录。
零信任安全网关可拦截阻断未安装客户端的未认证用户或者恶意攻击者,保护业务端口安全隐藏。用户仅授权访问权限范围内的政务外网业务,且网络隔离及数据隔离生效,保障政务外网整体安全性。
此外,用户在访问中的所有行为审计数据,都将上报平台并进行行为分析,一旦用户行为异常将予以下线用户/设备的处置。
在网络隔离方面,用户默认进入“政务外网”模式,无法访问互联网。当用户需要访问互联网时,通过终端准入客户端进行网络切换。
在数据隔离方面,对于政务外网下载的数据,仅允许下载到安全沙箱当中,同时水印等数据防护机制将全程保障数据安全。
当下,以联软政务外网一机两用SDP解决方案为代表的一机两用解决方案,引起各方关注。联软方案率先应用于G省Z市政务服务数据管理局中,进一步彰显了联软在数字政府领域安全解决方案的影响力。
强大的安全新方案护航数字政务,为客户实现终端安全防护一体化管控,保障了政务外网终端及业务安全,帮助客户实现降本增效,建设运维成本仅为传统方案的1/7,节省了约数千万元人民币。
伴随着智慧城市改革试点的持续推进,相信诸如G省Z市政数局这样的样板点将会越来越多。
作为准入领军者、端点安全领导者、零信任领航者,联软始终致力于为客户提供安全、高效、便捷的网络安全服务。联软科技深耕网络安全行业近20年,累计保护端点数15,000, 000+,已服务于3000+行业客户,证券期货行业市场占比超70%,全国性商业银行覆盖超50%。
在互联网+政务、数字化时代浪潮下,联软科技将为各级政务构建更强大更全面的网络安全防护能力,驱动政务外网安全防护体系升级,推动数字政府建设加快落实落地,助力更多政务部门、政务外网建设运维管理单位实现数字化轻松转型和顺利进阶。