办公电脑既可以访问政务外网,又能访问互联网,工作方便了,但"一机两用"带来的安全风险也多了:
-
攻防演练中,员工的电脑在访问互联网时被红方攻破,成为红方黑进政务外网的跳板,导致单位领导被问责;
-
日常办公中,员工复制业务应用中的敏感数据,投喂给免费的AI大模型,导致机密数据泄露;
-
员工离职时,私自将源代码、客户资料、设计图纸等数据拷贝到U盘中,用于非法牟利.....
2020年,在统计面向地方政务外网发布的103起网络安全通报中显示,80%的安全事件是由于终端感染木马病毒或被控从而在政务外网进行横向渗透攻击。毫不夸张的说,"一机两用"搞不好,安全事件少不了。
为了保证政务外网安全,国家先后颁布了《政务外网终端一机两用安全管控技术指南》、《政务移动办公系统安全技术规范》等规章制度,对"一机两用"提出了明确的安全要求。
想要切实落地监管要求,保证"一机两用"的安全性,还需要解决一系列的技术挑战。
"一机两用"的技术挑战
做好政务外网终端"一机两用"的安全管控,需要从安全隔离、身份认证、终端安全、传输加密、访问控制五个方向同时发力。
1.安全隔离
政务外网终端在"一机两用"的情况下,必须具备全面的安全隔离能力:
-
应采用沙箱技术,确保终端访问政务外网敏感应用系统下载的数据只能落入沙箱加密隔离存放,且数据使用和外发行为受控,防止终端数据泄露,且沙箱所使用密码技术应满足国家密码应用的标准要求;
-
应支持会话隔离,确保每个终端访问政务外网时采用唯一会话,可通过添加有效期内唯一的会话状态信息来实现;
-
应支持网络隔离,确保终端获得准入授权后通过安全隧道访问政务外网,不能同时访问互联网或与互联网连通的其他网络。
2.身份认证
终端接入政务外网之前,须完成对用户、设备的身份认证,非授权的用户、设备不允许接入政务外网:
-
接入政务外网的用户终端应具备唯一标识,唯一标识的信息应至少包括使用者信息和终端设备信息,并实现用户与终端实名绑定,以便后续审计溯源;
-
应采用口令认证、密码技术、生物技术或MAC地址认证等鉴别技术对用户进行认证;
-
登录用户的身份鉴别信息应具有复杂度要求并定期更换。
3.终端安全检查
终端接入政务外网之前,应全面检查终端的安全情况,不符合要求的终端不允许接入政务外网:
-
应检查终端是否安装运行了防病毒软件;
-
应检查终端是否存在弱口令账户;
-
应检查终端是否运行了恶意进程或软件;
-
应检查终端是否存在未修复的高危漏洞。
4.传输加密
终端接入通过身份认证和安全检查后,应采用密码技术保证通信传输安全:
-
应采用密码技术保证数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等;
-
应当支持国密算法,并满足国家密码应用的标准要求。
5.资源访问控制
终端接入政务外网后,应实现应用访问控制,应当满足以下要求:
-
终端接入政务外网时,应实现基于用户的资源访问控制,并实现最小授权;
-
可对终端环境进行持续检测和评估,根据评估情况动态调整其权限。
政务外网"一机两用"零信任解决方案
面对"一机两用"的安全挑战,桌面云等传统解决方案要么安全性不足、运维管理难,要么改造难度大、扩容不方便,难以一站式解决政务外网终端"一机两用"的安全挑战。
芯盾时代基于用户身份与访问管理平台(IAM)、零信任安全网关(SDP)等产品,芯盾时代推出了政务外网"一机两用"零信任解决方案,帮助各级政务部门一站式解决网络隔离、身份认证、终端安全、加密传输、访问控制5大安全难题,让线上政务更安全。
与传统解决方案相比,芯盾时代政务外网"一机两用"零信任解决方案具备"轻量化、高弹性、全可控、更安全"的特点,能够帮助各级政务部门在业务应用低改造、甚至0改造的情况下,一站式实现以下功能:
1.三种安全隔离,安全"一机两用"
芯盾时代SDP客户端中内置安全沙箱,能够在终端设备中构建与本地空间完全隔离的安全工作空间,实现"数据不落地",并实施禁止复制、禁止截屏、禁止打印、外发审批等行为管控,阻断数据外发。借助安全沙箱,政务部门确保每个终端访问政务外网时采用唯一会话,实现会话隔离。
芯盾时代SDP具备"网络隔离"功能,当用户登录客户端访问政务外网时,禁止终端设备访问互联网,避免终端设备上网时感染病毒,成为攻击政务外网的"跳板"。
2.识别设备身份,强化身份认证
凭借设备指纹技术,政务部门能够通过SDP客户端精准标识设备身份,发现非常用设备登录、多用户通过同一设备登录等风险行为,限制单个用户最多使用的设备数量,还能够在攻防演练中开启设备审批功能,禁止不可信设备接入系统。
芯盾时代IAM具备全面的身份管理能力,能够统一管理业务应用的身份信息。借助身份认证App,政务部门能够一站式实施全局多因素认证,为员工提供短信验证码、动态口令、App扫码、指纹识别、人脸识别等多种认证方式,提升身份认证的安全性和便捷性。借助统一应用门户和单点登录功能,员工能够通过统一门户直接访问权限内的业务应用,实现"一次认证、全网通行"。
借助IAM,政务部门可以实施全局统一的密码策略,通过限制密码字符构成与长度、强制定期改密等方式提升密码安全性,消除弱口令带来的安全风险。
3.监测安全态势,保障终端安全
凭借终端威胁态势感知技术,芯盾时代SDP客户端能够识别政务外网终端设备是否安装了杀毒软件,是否存在远程控制软件、模拟器、程序双开、攻击框架、Root/越狱等风险,是否加入指定域控,是否安装了操作系统补丁。在访问过程中,客户端持续监测终端安全态势、用户操作行为,为安全控制中心提供终端侧的风险信息。
4.数据加密传输,支持国密算法
芯盾时代SDP采用应用代理和SPA单包授权技术,由网关统一代理业务应用访问流量,同时对所有连接网关的设备进行预认证,不通过认证不开放端口,实现业务应用和网关双重"隐身",减少遭受网络攻击的风险。
通过认证后,芯盾时代SDP能在客户端与网关之间建立加密隧道,保证数据通过互联网安全传输。加密隧道采用国密算法,让数据传输更加安全可控。
5.动态访问控制,阻断非法访问
芯盾时代IAM具备全面的身份管理能力,支持RBAC、ABAC、ACL等多种权限管理模型,权限管理能力细至URL,帮助企业落实"最小化授权",精准管控数据资源的访问权限,杜绝越权访问。
借助芯盾时代SDP的动态访问控制能力,企业能够结合登录时间、设备状态等上下文信息,灵活设置访问控制策略,自适应执行阻断、二次认证、权限收敛等控制策略,保证访问的安全性。
芯盾时代政务外网"一机两用"零信任解决方案拥有完全自主知识产权,符合《政务外网终端一机两用安全管控技术指南》、《政务移动办公系统安全技术规范》的要求,满足网络安全等级保护、密码应用安全性评测的相关要求,能够支撑各级政务部门的信创建设。