電子政務外網是數字政府建設的重要基石，然而，各級政務部門終端接入政務外網時存在“一機兩用”的情況，導致政務外網終端感染僵木蠕、政務外網被跳板攻擊等安全事件。如何防范化解政務外網終端安全風險，保障政務外網整體安全性成為亟待解決的問題。

國家電子政務外網管理中心牽頭制定了《政務外網終端一機兩用安全管控技術指南》并于 2022年7月印發(fā)實施。為更好統籌政務外網終端安全管控體系建設，全面推動政務外網終端“一機兩用”落地，2023 年，國家電子政務外網管理中心組織 18 家省、市級政務外網建設運維管理單位開展標準試點試用工作。

作為國家《政務外網終端以及兩用安全管控技術指南》主要技術支撐單位，在過去的一年多時間里，聯軟已經助力多個省市大數據中心建設并實施一機兩用項目，其中，完成驗收的某省政務大數據中心一機兩用項目案例，入選國家電子政務外網管理中心評選匯編的《政務外網終端“一機兩用”試點工作最佳實踐案例》，以作示范為全國范圍內的“一機兩用”工作提供參考。

業(yè)務挑戰(zhàn)

政務工作涵蓋眾多部門和崗位，每個部門或崗位因其特定任務需求，往往需要不同類型的終端設備來支撐，這導致了政務終端接入的廣泛性，不同區(qū)域、不同種類的設備通過各種方式接入電子政務外網，極大地擴展了網絡暴露面。另一方面，由于缺乏對不同類型設備接入的統一身份認證，讓終端安全管理變得困難。

盡管該省市大數據中心已經采取了一系列管理措施來應對設備接入問題，但諸如私接路由器、無認證接入網絡、終端準入控制不嚴等現象仍然難以杜絕。由于網絡結構的復雜性，當運維人員檢測到安全威脅時，往往難以迅速準確定位問題源頭，這不僅導致數據泄露后難以追蹤，也使得安全責任難以明確落實，問題解決效率低下。因此，如何強化電子政務外網終端的安全管控，已成為了該省數字政府安全建設的重要課題。

解決方案

該省政務大數據中心參照《政務外網終端一機兩用安全管控技術指南》標準要求，建設以準入控制、網絡隔離、動態(tài)鑒權、數據防護為核心的零信任政務外網應用安全訪問體系，規(guī)范省及地市電子政務外網PC端、移動端的訪問控制，確保訪問終端、人員身份、業(yè)務應用的安全基線，保障用戶和終端身份可信、應用訪問行為合規(guī)可控、訪問網絡安全可靠，確保政務外網應用和數據安全。

▲政務外網終端“一機兩用”安全管控建設方案

零信任管理平臺模塊：零信任管理平臺部署于政務外網數據中心安全管理區(qū)，通過集群部署保證業(yè)務的高可靠性，包含零信任接入控制和終端安全防護組件。對所有接入終端的安全策略統一配置管理，主要實現安全策略下發(fā)、動態(tài)信任評估、用戶行為審計、用戶權限管控、應用代理發(fā)布、惡意代碼防范、非法外聯控制、安全基線檢查、數據安全防護、終端資產管理、終端安全防護等功能，保障接入的終端設備安全可信，政務應用和數據的安全防護，禁止非法終端接入。

零信任安全網關模塊：在政務外網城域網60對匯聚節(jié)點路由器分別旁路部署兩臺零信任安全網關，并組成雙機熱備保證高可靠，路由器通過策略路由將流量牽引到零信任安全網關，實現本地辦公終端零信任接入及安全防護。

一體化客戶端：在政務外網接入終端上部署終端一體化客戶端，用一個客戶端一次認證完成局域網網絡準入、零信任SPA認證、零信任認證流程，同時提供終端安全管控能力。不僅大大降低終端資源消耗，而且大大提高終端用戶體驗和管理效率。

方案效果

通過部署零信任管理平臺、零信任安全網關以及一體化客戶端，該省大數據中心實現了對政務外網所有終端準入的全面安全控制，確保了終端網絡接入的安全性。這一舉措使得大數據中心對接入政務外網的終端實施有效的安全管控，實現 “一機兩用”省市協同，全面提升政務外網終端、應用、流量、網絡、身份、基礎設施六個方面的防護能力，建全了覆蓋終端側、網絡側、應用側的端到端的應用訪問安全保障能力和安全運營能力。

??終端入網可信

終端在訪問政務外網應用時，遵循基于零信任設計思想的SDP（軟件定義邊界）架構，通過單包校驗、建立加密連接等方式，實現政務外網應用的安全訪問。

??網絡隔離，防止跨網攻擊

終端訪問部署在電子政務外網應用的同時禁止終端對互聯網的連接，實現同一臺終端無法同時訪問兩張網絡，減少攻擊者從互聯網滲透至電子政務外網的風險，進行應用訪問時，建立終端到應用的加密隧道，確保訪問過程中的機密性。

??應用安全，最小權限訪問

通過零信任網關對應用進行反向代理，使應用在網絡中默認隱藏，僅面向有權限訪問的用戶和終端開放，并做最小權限訪問，當訪問過程中發(fā)現高危行為，通過零信任網關及時阻斷，保障應用安全。

??安全運營能力增強，臺賬清晰，威脅溯源

終端臺賬資產更清晰，借助身份認證體系，“一機兩用”方案自動關聯人與設備，生成明確資產臺賬。威脅溯源能力增強，利用水印信息和身份認證，發(fā)現威脅后可迅速定位設備并通知用戶，實現及時處置，防止威脅擴散。