芯盾時(shí)代再度中標(biāo)中國(guó)電信某省公司，增強(qiáng)電子政務(wù)外網(wǎng)的安全防線(xiàn)

芯盾時(shí)代再度中標(biāo)中國(guó)電信某省公司電子政務(wù)外網(wǎng)零信任安全系統(tǒng)，針對(duì)客戶(hù)面臨的終端安全、訪(fǎng)問(wèn)控制和網(wǎng)絡(luò)暴露面等問(wèn)題，構(gòu)建一體化“零信任”動(dòng)態(tài)訪(fǎng)問(wèn)控制體系，最大限度縮小攻擊暴露面、降低安全管理成本、增強(qiáng)對(duì)應(yīng)用系統(tǒng)的訪(fǎng)問(wèn)保護(hù)。

項(xiàng)目背景

隨著“互聯(lián)網(wǎng)+政務(wù)服務(wù)”的不斷深化和持續(xù)推進(jìn)，政務(wù)服務(wù)效率得到了有效提升。各級(jí)政務(wù)部門(mén)終端要同時(shí)連接政務(wù)外網(wǎng)和互聯(lián)網(wǎng)（簡(jiǎn)稱(chēng)“一機(jī)兩用”），人為的在政務(wù)外網(wǎng)與互聯(lián)網(wǎng)上搭建了一個(gè)傳輸平臺(tái)，暴露出了政務(wù)外網(wǎng)安全、終端安全和運(yùn)維管理等方面的問(wèn)題。

終端威脅：通常政務(wù)外網(wǎng)“一機(jī)兩用”的終端能夠同時(shí)連接政務(wù)外網(wǎng)和互聯(lián)網(wǎng)，這就意味著用戶(hù)在訪(fǎng)問(wèn)政務(wù)外網(wǎng)時(shí)，也可以訪(fǎng)問(wèn)互聯(lián)網(wǎng)；政務(wù)外網(wǎng)終端極易感染病毒和木馬從而將威脅引入到政務(wù)外網(wǎng)中，帶來(lái)嚴(yán)重的安全隱患

數(shù)據(jù)泄露：政務(wù)外網(wǎng)“一機(jī)兩用”終端上互聯(lián)網(wǎng)與政務(wù)外網(wǎng)是互通的，可能會(huì)有政務(wù)外網(wǎng)訪(fǎng)問(wèn)人員將政務(wù)網(wǎng)的數(shù)據(jù)和內(nèi)容發(fā)布到互聯(lián)網(wǎng)中帶來(lái)數(shù)據(jù)外泄的風(fēng)險(xiǎn)，因此政府敏感信息外泄的事件也時(shí)有發(fā)生，造成的損失不可估量。

芯盾時(shí)代同中國(guó)電信已建立深厚的合作關(guān)系，基于以上項(xiàng)目背景，芯盾時(shí)代采用零信任業(yè)務(wù)安全解決方案，為中國(guó)電信某省公司構(gòu)建零信任統(tǒng)一用戶(hù)認(rèn)證平臺(tái)。其中由用戶(hù)身份與訪(fǎng)問(wèn)管理（IAM）提供統(tǒng)一身份管理、單點(diǎn)登錄、統(tǒng)一數(shù)據(jù)管理、數(shù)據(jù)同步等能力；零信任業(yè)務(wù)安全平臺(tái)（SDP）提供安全傳輸、應(yīng)用代理、動(dòng)態(tài)訪(fǎng)問(wèn)控制等能力，并實(shí)現(xiàn)業(yè)務(wù)全流程的實(shí)時(shí)身份風(fēng)險(xiǎn)防控，滿(mǎn)足客戶(hù)不同業(yè)務(wù)場(chǎng)景、模式下的動(dòng)態(tài)訪(fǎng)問(wèn)控制。

建設(shè)目標(biāo)

a)終端安全隔離：SDP支持網(wǎng)絡(luò)隔離，根據(jù)業(yè)務(wù)應(yīng)用網(wǎng)絡(luò)專(zhuān)線(xiàn)進(jìn)行劃區(qū)域訪(fǎng)問(wèn)，確保終端獲得準(zhǔn)入授權(quán)后通過(guò)安全隧道訪(fǎng)問(wèn)政務(wù)外網(wǎng)，不能同時(shí)訪(fǎng)問(wèn)其他網(wǎng)絡(luò)。同時(shí)，芯盾時(shí)代采用沙箱技術(shù)，對(duì)用戶(hù)在訪(fǎng)問(wèn)敏感應(yīng)用系統(tǒng)下載的數(shù)據(jù)只能進(jìn)入沙箱加密隔離存放，控制數(shù)據(jù)使用和外發(fā)行為，進(jìn)而防止終端數(shù)據(jù)泄露，沙箱所使用密碼技術(shù)滿(mǎn)足國(guó)家密碼應(yīng)用的標(biāo)準(zhǔn)要求。

b)身份認(rèn)證：從身份、設(shè)備、行為等多維感知用戶(hù)終端環(huán)境，確保接入的終端設(shè)備均為可信設(shè)備，對(duì)接入政務(wù)外網(wǎng)的用戶(hù)終端生成唯一標(biāo)識(shí)，將用戶(hù)身份與終端進(jìn)行實(shí)名綁定，支持多種身份認(rèn)證方式，用戶(hù)終端接入政務(wù)外網(wǎng)進(jìn)行身份認(rèn)證滿(mǎn)足了等保要求，實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)的單點(diǎn)登錄，讓員工“一次認(rèn)證，全網(wǎng)通行”。

c)資源訪(fǎng)問(wèn)控制：基于用戶(hù)身份和設(shè)備身份對(duì)訪(fǎng)問(wèn)者做應(yīng)用資源級(jí)權(quán)限控制，能夠按照重要程度，為不同應(yīng)用、應(yīng)用中的不同頁(yè)面配置不同的安全策略，從應(yīng)用側(cè)出發(fā)，實(shí)現(xiàn)訪(fǎng)問(wèn)權(quán)限的精細(xì)化管控，減少過(guò)度授權(quán)帶來(lái)的安全風(fēng)險(xiǎn)。

d)終端檢測(cè)：SDP采用SPA單包授權(quán)技術(shù)，默認(rèn)拒絕一切連接，不響應(yīng)未經(jīng)過(guò)驗(yàn)證設(shè)備和用戶(hù)的訪(fǎng)問(wèn)請(qǐng)求，使攻擊者無(wú)法找到服務(wù)地址和端口。SPA單包授權(quán)技術(shù)與應(yīng)用訪(fǎng)問(wèn)代理配合，實(shí)現(xiàn)網(wǎng)關(guān)自身和應(yīng)用資源的雙重隱藏，讓企業(yè)“網(wǎng)絡(luò)隱身”。

目前，該項(xiàng)目已經(jīng)成功上線(xiàn)，有效提升了電子政務(wù)外網(wǎng)的業(yè)務(wù)安全和數(shù)據(jù)安全等。未來(lái)，芯盾時(shí)代持續(xù)更新迭代零信任安全體系，將“以人為核心的業(yè)務(wù)安全理念”與企業(yè)業(yè)務(wù)系統(tǒng)深入融合，不斷提升企業(yè)業(yè)務(wù)系統(tǒng)的可用性和安全性，為客戶(hù)提供智能、安全、可信的業(yè)務(wù)安全防護(hù)。