一、 需求来源
业务需求: 政务外网终端同时连接政务外网和互联网,存在着"一机两用"场景;
安全需求: 政务外网终端极易成为网络攻击的跳板,将互联网安全风险引入到政务外网中, 极易带来跨网攻击、数据泄露等安全隐患,严重影响政务外网安全。
政策合规: 2022年7月,国家电子政务外网管理中心发布《GW0015-2022政务外网终端一机两用安全管控技术指南》建议实施基于零信任理念的一机两用方案,应实现网络隔离、会议隔离和数据隔离;
二、 解决方案
以联软科技UniSDP零信任访问控制系统为基础的《一机两用解决方案》,以"永不信任、持续验证"的零信任理念为核心,通过接入认证、网络隔离、数据隔离、应用代理、统一管控等手段,解决局域网、5G专网、互联网接入三个场景零信任安全接入,提供更全面的安全、更极致的体验、更高效的管理。该方案包括以下内容:
- 零信任终端:此处所说的用户终端主要是指"一机两用"终端,用户终端上需部署零信任客户端,实现接入认证及入网安全检查、网络隔离和异常行为检测。
- 零信任安全网关:主要实现接入鉴别、访问控制和网络隐身等,通过将业务隐藏在零信任安全网关之后,可以有效收敛各级政务部门业务暴漏面,减少被入侵的风险。
- 零信任管理平台:实现应用申请及发布管理、零信任客户端运维管理、评分动态授权等功能,以及终端安全策略集中管理和下发。
- 统一身份认证:各级政务部门需建立自身的统一身份认证系统,用于用户的准入认证,零信任体系与本部门已有统一身份认证体系进行对接。
- 安全运维中心:零信任管理平台与现网中的安全运维中心进行信息同步,包括但不限于网关信息及异构客户端信息的同步;零信任管理平台提供restful接口供安全运维平台等系统调用,提供风险评分输入、控制指令,指令包含用户下线,二次认证,权限降级等。
方案部署后
- ****更全面的安全:****对接入终端进行认证,确保接入人员身份合法,终端禁止同时访问电子政务网络和互联网,阻断跨网攻击,数据安全沙箱加密隔离存放;
- ****更极致的体验:****终端一次接入认证,可一键切换网络,提高用户体验,高性能零信任安全网关支持分布式集群部署,保证用户接入速率;
- ****更高效的管理:****通过一套管理后台,实现终端安全防护一体化管理,降低管理复杂度。
三、 业务价值与方案优势
- ****方案节省投资:****一套管理后台打造多种安全能力,一台网关实现多网业务代理转发,一台终端多网访问,降低系统建设费用,一套系统实现合规、安全、高效。
- ****保护重点业务:****隐藏真实地址与端口,缩小暴露面,重要应用基于角色的发布管理。
- ****保障业务安全:****确保网络安全、终端安全、数据安全,支持安卓、鸿蒙、UOS、麒麟等主流国产或非国产操作系统。
- ****威胁精准溯源:****基于终端DeviceID重塑威胁识别体系,将设备信息、用户信息在网络中"流转",实现端点侧威胁的精准溯源。
- ****提升业务效率:****终端一次接入认证,操作便捷,一键切换网络。
- ****高可用高扩展:****云部署、集群等高可用部署,可扩展移动终端安全管理、终端安全管理等功能模块。
四、 成功案例
国家信息中心、安徽省大数据中心、黑龙江省政务大数据中心、全国人大、中山市政务服务和数据管理局、汕头市政务服务和数据管理局、潮州市政务服务和数据管理局、湛江市政务服务和数据管理局、韶关市政务服务和数据管理局、清远市政务服务和数据管理局、吴川市政务服务数据管理局、黄冈市政务服务和大数据管理局等。