芯盾時代再度中標中國電信某省公司電子政務外網(wǎng)零信任安全系統(tǒng)，針對客戶面臨的終端安全、訪問控制和網(wǎng)絡暴露面等問題，構建一體化“零信任”動態(tài)訪問控制體系，最大限度縮小攻擊暴露面、降低安全管理成本、增強對應用系統(tǒng)的訪問保護。

項目背景

隨著“互聯(lián)網(wǎng)+政務服務”的不斷深化和持續(xù)推進，政務服務效率得到了有效提升。各級政務部門終端要同時連接政務外網(wǎng)和互聯(lián)網(wǎng)（簡稱“一機兩用”），人為的在政務外網(wǎng)與互聯(lián)網(wǎng)上搭建了一個傳輸平臺，暴露出了政務外網(wǎng)安全、終端安全和運維管理等方面的問題。

終端威脅：通常政務外網(wǎng)“一機兩用”的終端能夠同時連接政務外網(wǎng)和互聯(lián)網(wǎng)，這就意味著用戶在訪問政務外網(wǎng)時，也可以訪問互聯(lián)網(wǎng)；政務外網(wǎng)終端極易感染病毒和木馬從而將威脅引入到政務外網(wǎng)中，帶來嚴重的安全隱患

數(shù)據(jù)泄露：政務外網(wǎng)“一機兩用”終端上互聯(lián)網(wǎng)與政務外網(wǎng)是互通的，可能會有政務外網(wǎng)訪問人員將政務網(wǎng)的數(shù)據(jù)和內(nèi)容發(fā)布到互聯(lián)網(wǎng)中帶來數(shù)據(jù)外泄的風險，因此政府敏感信息外泄的事件也時有發(fā)生，造成的損失不可估量。

芯盾時代同中國電信已建立深厚的合作關系，基于以上項目背景，芯盾時代采用零信任業(yè)務安全解決方案，為中國電信某省公司構建零信任統(tǒng)一用戶認證平臺。其中由用戶身份與訪問管理（IAM）提供統(tǒng)一身份管理、單點登錄、統(tǒng)一數(shù)據(jù)管理、數(shù)據(jù)同步等能力；零信任業(yè)務安全平臺（SDP）提供安全傳輸、應用代理、動態(tài)訪問控制等能力，并實現(xiàn)業(yè)務全流程的實時身份風險防控，滿足客戶不同業(yè)務場景、模式下的動態(tài)訪問控制。

建設目標

a)終端安全隔離：SDP支持網(wǎng)絡隔離，根據(jù)業(yè)務應用網(wǎng)絡專線進行劃區(qū)域訪問，確保終端獲得準入授權后通過安全隧道訪問政務外網(wǎng)，不能同時訪問其他網(wǎng)絡。同時，芯盾時代采用沙箱技術，對用戶在訪問敏感應用系統(tǒng)下載的數(shù)據(jù)只能進入沙箱加密隔離存放，控制數(shù)據(jù)使用和外發(fā)行為，進而防止終端數(shù)據(jù)泄露，沙箱所使用密碼技術滿足國家密碼應用的標準要求。

b)身份認證：從身份、設備、行為等多維感知用戶終端環(huán)境，確保接入的終端設備均為可信設備，對接入政務外網(wǎng)的用戶終端生成唯一標識，將用戶身份與終端進行實名綁定，支持多種身份認證方式，用戶終端接入政務外網(wǎng)進行身份認證滿足了等保要求，實現(xiàn)業(yè)務系統(tǒng)的單點登錄，讓員工“一次認證，全網(wǎng)通行”。

c)資源訪問控制：基于用戶身份和設備身份對訪問者做應用資源級權限控制，能夠按照重要程度，為不同應用、應用中的不同頁面配置不同的安全策略，從應用側出發(fā)，實現(xiàn)訪問權限的精細化管控，減少過度授權帶來的安全風險。

d)終端檢測：SDP采用SPA單包授權技術，默認拒絕一切連接，不響應未經(jīng)過驗證設備和用戶的訪問請求，使攻擊者無法找到服務地址和端口。SPA單包授權技術與應用訪問代理配合，實現(xiàn)網(wǎng)關自身和應用資源的雙重隱藏，讓企業(yè)“網(wǎng)絡隱身”。

目前，該項目已經(jīng)成功上線，有效提升了電子政務外網(wǎng)的業(yè)務安全和數(shù)據(jù)安全等。未來，芯盾時代持續(xù)更新迭代零信任安全體系，將“以人為核心的業(yè)務安全理念”與企業(yè)業(yè)務系統(tǒng)深入融合，不斷提升企業(yè)業(yè)務系統(tǒng)的可用性和安全性，為客戶提供智能、安全、可信的業(yè)務安全防護。