隨著“數(shù)字中國”建設(shè)不斷深化和“互聯(lián)網(wǎng)+政務(wù)服務(wù)”持續(xù)推進(jìn)，真正實(shí)現(xiàn)了“讓群眾和企業(yè)少跑腿，讓數(shù)據(jù)多跑路”。與此同時(shí)，政務(wù)服務(wù)效率提升的背后，數(shù)據(jù)安全、網(wǎng)絡(luò)安全重要性日益凸顯。

?

特別是現(xiàn)如今各級(jí)政務(wù)部門終端接入政務(wù)外網(wǎng)同時(shí)連接互聯(lián)網(wǎng)的場景（以下簡稱“一機(jī)兩用”）激增，進(jìn)一步催生出保障政務(wù)外網(wǎng)安全、終端安全管理與高效智能運(yùn)維的巨大需求。政務(wù)外網(wǎng)的現(xiàn)狀與需求如何？什么樣的解決方案更有效？首批實(shí)戰(zhàn)案例是怎么做的？

政務(wù)外網(wǎng)現(xiàn)狀與需求

● 法律法規(guī)與技術(shù)規(guī)范要求不斷提高

近年來，多部門聯(lián)合打出組合拳，陸續(xù)發(fā)布一系列政策法規(guī)和指導(dǎo)文件，對(duì)網(wǎng)絡(luò)與信息安全提出了更高要求。

《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GB/T 22239-2019）、《政務(wù)外網(wǎng)終端一機(jī)兩用安全管控技術(shù)指南GW0015-2022》……

對(duì)于各級(jí)政務(wù)部門、政務(wù)外網(wǎng)建設(shè)運(yùn)維管理單位來說，如何滿足法律法規(guī)與技術(shù)規(guī)范要求已經(jīng)成為當(dāng)務(wù)之急。

● 終端安全問題亟待解決

伴隨著“一機(jī)兩用”場景需求日益劇增，隨之而來暴露的終端安全問題日益增多。

政務(wù)外網(wǎng)未與互聯(lián)網(wǎng)隔離，邊界安全嚴(yán)峻。2019年8月份，外網(wǎng)辦開展政務(wù)外網(wǎng)邊界安全檢查專項(xiàng)工作，有60%的地方外網(wǎng)終端在未符合安全規(guī)范的要求下“一機(jī)兩用”。

終端感染木馬病毒或被控，導(dǎo)致數(shù)據(jù)外泄。2020年全年面向地方政務(wù)外網(wǎng)發(fā)布了103期網(wǎng)絡(luò)安全通報(bào)，其中80%的安全事件是由于終端感染木馬病毒或被控，導(dǎo)致在政務(wù)外網(wǎng)進(jìn)行橫向滲透攻擊或病毒傳播。

終端安全問題已成為政務(wù)外網(wǎng)廣域網(wǎng)中占比最高的安全問題，影響政務(wù)外網(wǎng)全網(wǎng)安全，亟待解決。

● 傳統(tǒng)方案缺保障、技術(shù)路線未統(tǒng)一

當(dāng)前，部分政務(wù)部門已完成終端安全建設(shè)，但終端安全技術(shù)路線未統(tǒng)一，安全效果強(qiáng)弱不一，無法保障安全與使用相結(jié)合。同時(shí)，傳統(tǒng)防護(hù)方式針對(duì)終端側(cè)數(shù)據(jù)落地缺乏保障，基本對(duì)內(nèi)部完全信任不設(shè)防，對(duì)導(dǎo)入導(dǎo)出等泄露政務(wù)外網(wǎng)敏感數(shù)據(jù)的行為缺乏有效管控，數(shù)據(jù)泄密事件頻發(fā)。

相比傳統(tǒng)的防護(hù)方式，零信任等主流技術(shù)成為統(tǒng)一全國政務(wù)部門的終端安全建設(shè)的新路徑。

聯(lián)軟零信任+政務(wù)外網(wǎng)終端“一機(jī)兩用”解決方案

基于零信任的技術(shù)架構(gòu)建設(shè)政務(wù)外網(wǎng)終端一機(jī)兩用安全管控體系，到底該怎么做呢？

作為Forrester《零信任最佳實(shí)踐》白皮書主要參編單位之一、國內(nèi)率先落地基于“零信任安全”產(chǎn)品的廠商之一，聯(lián)軟科技充分利用自身在零信任安全領(lǐng)域的深厚技術(shù)實(shí)力及豐富的落地實(shí)踐經(jīng)驗(yàn)，結(jié)合多年在端點(diǎn)安全管控方案的積累，為各級(jí)政務(wù)提供先進(jìn)、合規(guī)的政務(wù)外網(wǎng)一機(jī)兩用解決方案，解決政務(wù)外網(wǎng)應(yīng)用和終端安全防護(hù)難題。

● 聯(lián)軟政務(wù)外網(wǎng)終端一機(jī)兩用解決方案

基于SDP架構(gòu)的端到端零信任訪問控制，由零信任管理平臺(tái)、零信任安全網(wǎng)關(guān)、零信任客戶端三部分組成。通過一套管理后臺(tái)，實(shí)現(xiàn)PC、移動(dòng)終端統(tǒng)一管控，幫助各級(jí)政務(wù)外網(wǎng)建設(shè)運(yùn)維管理單位，建設(shè)基于零信任理念的終端控制設(shè)施，有效解決政務(wù)外網(wǎng)終端管理的多項(xiàng)網(wǎng)絡(luò)安全問題。

按照“全盤統(tǒng)籌、多級(jí)部署、分層管控、屬地管理”的原則，根據(jù)政務(wù)外網(wǎng)業(yè)務(wù)是否集中部署的場景，聯(lián)軟推出兩種政務(wù)外網(wǎng)終端“一機(jī)兩用”安全管控方案：

方案一：統(tǒng)一管控（業(yè)務(wù)集中部署，集約建設(shè)，云內(nèi)部署）

對(duì)于政務(wù)外網(wǎng)業(yè)務(wù)集中部署在本層級(jí)政務(wù)云的場景，采用統(tǒng)一管控模式構(gòu)建政務(wù)外網(wǎng)終端“一機(jī)兩用”安全管理框架，構(gòu)建基于零信任理念的政務(wù)外網(wǎng)終端管控設(shè)施。具體如下圖所示：

統(tǒng)一管控模式管理框架包括：在城域網(wǎng)邊界實(shí)施統(tǒng)一準(zhǔn)入、安全隔離及應(yīng)用支撐，在廣域網(wǎng)邊界實(shí)施終端安全檢測；負(fù)責(zé)終端安全防護(hù)，包括終端準(zhǔn)入控制、終端安全隔離和終端安全防護(hù)。

方案二：自行管控（業(yè)務(wù)非集中部署政務(wù)部門自建）

對(duì)于政務(wù)外網(wǎng)業(yè)務(wù)分散部署在政務(wù)部門局域網(wǎng)內(nèi)的場景，采用自行管控模式構(gòu)建政務(wù)外網(wǎng)終端“一機(jī)兩用”安全管理框架。

自行管控模式管理框架包括：負(fù)責(zé)終端安全防護(hù)，包括終端準(zhǔn)入控制、終端安全隔離和終端安全防護(hù)；在城域網(wǎng)邊界實(shí)施終端檢測、應(yīng)用支撐和安全集中監(jiān)控，在廣域網(wǎng)邊界實(shí)施終端安全檢測；將終端管控相關(guān)管理數(shù)據(jù)同步給所在層級(jí)的政務(wù)外網(wǎng)建設(shè)運(yùn)維管理單位。

● 核心功能

準(zhǔn)入控制：政務(wù)外網(wǎng)終端準(zhǔn)入控制包括SPA認(rèn)證、SDP身份認(rèn)證、環(huán)境檢查、訪問控制等。對(duì)接入政務(wù)外網(wǎng)的用戶終端，實(shí)現(xiàn)接入認(rèn)證和安全檢查，確保接入的人員身份合法，接入的終端具備安全防護(hù)能力，不能攜帶病毒訪問政務(wù)外網(wǎng)，確保只有合法合規(guī)的終端才能接入訪問相應(yīng)權(quán)限范圍內(nèi)的業(yè)務(wù)。

網(wǎng)絡(luò)隔離：聯(lián)軟的“一機(jī)兩用”政務(wù)外網(wǎng)終端管控方案，打破“一機(jī)多用”現(xiàn)狀，對(duì)接入政務(wù)外網(wǎng)終端實(shí)現(xiàn)網(wǎng)絡(luò)隔離，實(shí)現(xiàn)同一臺(tái)終端無法同時(shí)訪問兩張網(wǎng)絡(luò)，如終端在訪問互聯(lián)網(wǎng)時(shí)，無法訪問政務(wù)外網(wǎng)。當(dāng)此終端訪問政務(wù)外網(wǎng)時(shí)，無法訪問互聯(lián)網(wǎng)。

數(shù)據(jù)隔離：在網(wǎng)絡(luò)隔離的基礎(chǔ)上，建設(shè)數(shù)據(jù)隔離機(jī)制，保護(hù)政務(wù)外網(wǎng)上的數(shù)據(jù)不能輕易外泄至互聯(lián)網(wǎng)，通過安全技術(shù)手段與本地?cái)?shù)據(jù)隔離，避免木馬蠕蟲等惡意代碼傳入政務(wù)外網(wǎng)。

追蹤溯源：考慮到用戶拍照等泄密行為，對(duì)于重要的業(yè)務(wù)數(shù)據(jù)或特殊政務(wù)外網(wǎng)業(yè)務(wù)系統(tǒng)，可采用屏幕水印技術(shù)，防止拍照后無法溯源，同時(shí)也可對(duì)終端用戶啟動(dòng)心理震懾作用。支持多種專利水印技術(shù)，可支持移動(dòng)終端和PC終端屏幕顯示。

應(yīng)用代理：通過應(yīng)用代理的方式，對(duì)業(yè)務(wù)系統(tǒng)的真實(shí)地址和端口進(jìn)行防護(hù)和隱藏，縮小應(yīng)用攻擊面，防止政務(wù)應(yīng)用被掃描攻擊、DDos攻擊、注入攻擊?？蛻舳嗽讷@取到用戶的請求以后，將采用加密技術(shù)對(duì)數(shù)據(jù)包進(jìn)行加密封裝確保鑒別信息、業(yè)務(wù)數(shù)據(jù)在傳輸過程中的安全。

業(yè)務(wù)發(fā)布導(dǎo)航：針對(duì)普通公共業(yè)務(wù)，采用全范圍發(fā)布上線原則，上線后對(duì)全部用戶開放，安裝了客戶端且完成準(zhǔn)入認(rèn)證的用戶可正常訪問。針對(duì)敏感業(yè)務(wù)，采用受限訪問控制的方式，僅允許特定終端進(jìn)行訪問，可通過發(fā)布策略進(jìn)行權(quán)限管控。

動(dòng)態(tài)監(jiān)測：系統(tǒng)與安全運(yùn)維中心對(duì)接，將一機(jī)兩用系統(tǒng)納入安全運(yùn)維體系，實(shí)現(xiàn)安全的統(tǒng)一運(yùn)維及管理。一機(jī)兩用管理平臺(tái)建成后，提供標(biāo)準(zhǔn)接口，與安全運(yùn)維中心進(jìn)行對(duì)接與信息同步，零信任管理平臺(tái)提供接口供安全運(yùn)維平臺(tái)等系統(tǒng)調(diào)用，提供風(fēng)險(xiǎn)評(píng)分輸入、控制指令等。

可視化展示：系統(tǒng)將根據(jù)各接入節(jié)點(diǎn)及終端情況匯總分析，并通過大屏方式展示分析結(jié)果。屏幕將從多個(gè)維度進(jìn)行展示：接入終端、區(qū)域標(biāo)記、接入用戶、安全風(fēng)險(xiǎn)、接入審計(jì)、系統(tǒng)運(yùn)營、安全分析等。

分級(jí)分權(quán)管理：構(gòu)建分級(jí)權(quán)限管理體系，通過統(tǒng)一管理平臺(tái)，設(shè)置下級(jí)管理員權(quán)限，對(duì)不同的地區(qū)、部門的終端進(jìn)行分級(jí)管理，減輕政務(wù)外網(wǎng)運(yùn)維管理單位的管理壓力。支持終端準(zhǔn)入控制系統(tǒng)分權(quán)管理，支持安全管理員、系統(tǒng)管理員、審計(jì)管理員三個(gè)角色負(fù)責(zé)不同系統(tǒng)權(quán)限管控。

移動(dòng)安全：采用“零信任”安全架構(gòu)設(shè)計(jì)理念，為移動(dòng)終端用戶提供業(yè)務(wù)應(yīng)用的安全訪問，通過數(shù)據(jù)隔離、加密隧道以及加密存儲(chǔ)等機(jī)制保障業(yè)務(wù)App的運(yùn)行安全與數(shù)據(jù)安全。

EPP安全：通過安全基線管理、終端補(bǔ)丁管理、終端軟件管理等方式，增強(qiáng)終端安全能力；采用一套管理后臺(tái)實(shí)現(xiàn)準(zhǔn)入認(rèn)證、網(wǎng)絡(luò)隔離、數(shù)據(jù)隔離和終端安全防護(hù)，避免影響終端辦公效率，同時(shí)避免出現(xiàn)終端煙囪式建設(shè)帶來的相關(guān)問題，如兼容難、功能重復(fù)等。

● 方案效果

終端一體化防護(hù)

聯(lián)軟政務(wù)外網(wǎng)終端一機(jī)兩用解決方案通過一套管理后臺(tái)可實(shí)現(xiàn)終端準(zhǔn)入、安全隔離、終端安全防護(hù)一體化管控，減少“一機(jī)兩用”安全風(fēng)險(xiǎn)，防止終端數(shù)據(jù)泄露，降低終端資源占用，提高用戶體驗(yàn)，實(shí)現(xiàn)高效運(yùn)維，提高ROI降低TCO，一臺(tái)終端多網(wǎng)訪問，降低建設(shè)費(fèi)用。

遵循政務(wù)外網(wǎng)統(tǒng)一規(guī)范建設(shè)

滿足統(tǒng)一電子政務(wù)外網(wǎng)終端安全接入“一機(jī)兩用”場景的安全建設(shè)規(guī)范，基于安全規(guī)范中的零信任理念產(chǎn)品，建設(shè)統(tǒng)一的政務(wù)外網(wǎng)安全接入規(guī)范。

增強(qiáng)政務(wù)外網(wǎng)終端及業(yè)務(wù)安全

確保數(shù)據(jù)傳輸安全，避免內(nèi)網(wǎng)全面暴露；同一終端同一時(shí)間只能訪問一張網(wǎng)，實(shí)現(xiàn)網(wǎng)絡(luò)隔離；終端數(shù)據(jù)沙盒保護(hù)，使用受控，確保政務(wù)數(shù)據(jù)安全；支持安卓、鴻蒙等移動(dòng)端操作系統(tǒng)，促進(jìn)“一機(jī)兩用”移動(dòng)化；支持UOS、麒麟等國產(chǎn)化終端，適應(yīng)信創(chuàng)本質(zhì)安全管控需求。

重點(diǎn)政務(wù)應(yīng)用保護(hù)

保護(hù)政務(wù)外網(wǎng)應(yīng)用隱藏在零信任安全網(wǎng)關(guān)之后，縮小暴露面，支持重要應(yīng)用基于角色的發(fā)布管理，確保重點(diǎn)政務(wù)應(yīng)用的安全。

大幅提升政務(wù)業(yè)務(wù)效率

終端一次接入認(rèn)證，集成身份認(rèn)證設(shè)施，可協(xié)助用戶實(shí)現(xiàn)一次認(rèn)證訪問業(yè)務(wù)。支持跨層級(jí)或跨部門終端訪問業(yè)務(wù)場景。與IAM對(duì)接，避免重復(fù)認(rèn)證；公共或自有業(yè)務(wù)集中發(fā)布和管理，便于用戶檢索瀏覽到相應(yīng)業(yè)務(wù)；用戶行為、業(yè)務(wù)訪問記錄分析，為政務(wù)管理提供決策依據(jù)；針對(duì)異常行為精準(zhǔn)溯源阻斷下線。

為政務(wù)終端一體化管理提供高擴(kuò)展

系統(tǒng)采用微服務(wù)架構(gòu)，可擴(kuò)展移動(dòng)端安全管理、終端安全管理等功能模塊，為政務(wù)終端通過一套管理后臺(tái)實(shí)現(xiàn)一體化管理提供支撐，支持云部署、集群等高可用部署，并可與第三方安全網(wǎng)關(guān)對(duì)接，提升整體方案優(yōu)勢。

首批實(shí)戰(zhàn)案例出爐!

作為政務(wù)部門“新神器”，聯(lián)軟“政務(wù)外網(wǎng)終端一機(jī)兩用解決方案”近期已在某市政務(wù)服務(wù)數(shù)據(jù)管理局中大顯身手！

該政數(shù)局面對(duì)政務(wù)外網(wǎng)終端安全準(zhǔn)入、終端一機(jī)兩用安全管控等問題，運(yùn)用聯(lián)軟政務(wù)外網(wǎng)一機(jī)兩用解決方案，通過一套管理后臺(tái)，實(shí)現(xiàn)終端安全防護(hù)一體化管控，保障了政務(wù)外網(wǎng)終端及業(yè)務(wù)安全，提高用戶體驗(yàn)，降低管理復(fù)雜度，實(shí)現(xiàn)了高效運(yùn)維，降本增效。

設(shè)備成本及運(yùn)維成本僅為傳統(tǒng)方案的1/7，節(jié)省了約數(shù)千萬元人民幣。

目前，聯(lián)軟的零信任架構(gòu)解決方案已在銀行、金融、醫(yī)療等各行各業(yè)得到成功應(yīng)用。聯(lián)軟深耕網(wǎng)絡(luò)信息安全19年，累計(jì)保護(hù)端點(diǎn)數(shù)15,000, 000+，已服務(wù)于50+家世界500強(qiáng)，105+家中國500 強(qiáng)，3000+行業(yè)客戶，12年+服務(wù)于中國最頂尖的六大交易所，證券期貨行業(yè)市場占比超70%，全國性商業(yè)銀行覆蓋超50%。

作為準(zhǔn)入領(lǐng)軍者、端點(diǎn)安全領(lǐng)導(dǎo)者、零信任領(lǐng)航者，聯(lián)軟始終致力于為客戶提供安全、高效、便捷的網(wǎng)絡(luò)安全服務(wù)。未來，聯(lián)軟科技將助力更多政務(wù)部門、政務(wù)外網(wǎng)建設(shè)運(yùn)維管理單位在互聯(lián)網(wǎng)+政務(wù)、數(shù)字化大背景下的輕松轉(zhuǎn)型和順利進(jìn)階，為網(wǎng)絡(luò)安全的行業(yè)注入更多科技力量。

?專家熱線：400-6288-116、13715045160

與聯(lián)軟共創(chuàng)政務(wù)外網(wǎng)終端安全管控新未來！