你們單位的電腦是不是既可以訪問政務(wù)外網(wǎng)，又能訪問互聯(lián)網(wǎng)？如果是的話，你就要小心“一機兩用”帶來的安全風(fēng)險了：

攻防演練中，員工的電腦在訪問互聯(lián)網(wǎng)時被紅方攻破，成為紅方黑進(jìn)政務(wù)外網(wǎng)的跳板，導(dǎo)致單位領(lǐng)導(dǎo)被問責(zé)；

日常辦公中，員工復(fù)制業(yè)務(wù)應(yīng)用中的敏感數(shù)據(jù)，投喂給免費的AI大模型，導(dǎo)致機密數(shù)據(jù)泄露；

員工離職時，私自將源代碼、客戶資料、設(shè)計圖紙等數(shù)據(jù)拷貝到U盤中，用于非法牟利…..

這些情況絕非危言聳聽，政務(wù)終端“一機兩用”的安全風(fēng)險遠(yuǎn)比想象中嚴(yán)峻。2020年，在統(tǒng)計面向地方政務(wù)外網(wǎng)發(fā)布的103起網(wǎng)絡(luò)安全通報中顯示，80%的安全事件是由于終端感染木馬病毒或被控從而在政務(wù)外網(wǎng)進(jìn)行橫向滲透攻擊。毫不夸張的說，“一機兩用”搞不好，安全事件少不了。

為了保證政務(wù)外網(wǎng)安全，國家連出重拳，先后頒布了《政務(wù)外網(wǎng)終端一機兩用安全管控技術(shù)指南》、《政務(wù)移動辦公系統(tǒng)安全技術(shù)規(guī)范》等規(guī)章制度，對“一機兩用”提出了明確的安全要求。

但是，想要切實落地監(jiān)管要求，保證“一機兩用”的安全性，卻需要解決一系列的技術(shù)挑戰(zhàn)。

“一機兩用”的技術(shù)挑戰(zhàn)

做好政務(wù)外網(wǎng)終端“一機兩用”的安全管控，需要從安全隔離、身份認(rèn)證、終端安全、傳輸加密、訪問控制五個方向同時發(fā)力。

1.安全隔離

政務(wù)外網(wǎng)終端在“一機兩用”的情況下，必須具備全面的安全隔離能力：

應(yīng)采用沙箱技術(shù)，確保終端訪問政務(wù)外網(wǎng)敏感應(yīng)用系統(tǒng)下載的數(shù)據(jù)只能落入沙箱加密隔離存放，且數(shù)據(jù)使用和外發(fā)行為受控，防止終端數(shù)據(jù)泄露，且沙箱所使用密碼技術(shù)應(yīng)滿足國家密碼應(yīng)用的標(biāo)準(zhǔn)要求；

應(yīng)支持會話隔離，確保每個終端訪問政務(wù)外網(wǎng)時采用唯一會話，可通過添加有效期內(nèi)唯一的會話狀態(tài)信息來實現(xiàn)；

應(yīng)支持網(wǎng)絡(luò)隔離，確保終端獲得準(zhǔn)入授權(quán)后通過安全隧道訪問政務(wù)外網(wǎng)，不能同時訪問互聯(lián)網(wǎng)或與互聯(lián)網(wǎng)連通的其他網(wǎng)絡(luò)。

2.身份認(rèn)證

終端接入政務(wù)外網(wǎng)之前，須完成對用戶、設(shè)備的身份認(rèn)證，非授權(quán)的用戶、設(shè)備不允許接入政務(wù)外網(wǎng)：

接入政務(wù)外網(wǎng)的用戶終端應(yīng)具備唯一標(biāo)識，唯一標(biāo)識的信息應(yīng)至少包括使用者信息和終端設(shè)備信息，并實現(xiàn)用戶與終端實名綁定，以便后續(xù)審計溯源；

應(yīng)采用口令認(rèn)證、密碼技術(shù)、生物技術(shù)或MAC地址認(rèn)證等鑒別技術(shù)對用戶進(jìn)行認(rèn)證；

登錄用戶的身份鑒別信息應(yīng)具有復(fù)雜度要求并定期更換。

3.終端安全檢查

終端接入政務(wù)外網(wǎng)之前，應(yīng)全面檢查終端的安全情況，不符合要求的終端不允許接入政務(wù)外網(wǎng)：

應(yīng)檢查終端是否安裝運行了防病毒軟件；

應(yīng)檢查終端是否存在弱口令賬戶；

應(yīng)檢查終端是否運行了惡意進(jìn)程或軟件；

應(yīng)檢查終端是否存在未修復(fù)的高危漏洞。

4.傳輸加密

終端接入通過身份認(rèn)證和安全檢查后，應(yīng)采用密碼技術(shù)保證通信傳輸安全：

應(yīng)采用密碼技術(shù)保證數(shù)據(jù)在傳輸過程中的保密性,包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)和重要個人信息等；

應(yīng)當(dāng)支持國密算法，并滿足國家密碼應(yīng)用的標(biāo)準(zhǔn)要求。

5.資源訪問控制

終端接入政務(wù)外網(wǎng)后，應(yīng)實現(xiàn)應(yīng)用訪問控制，應(yīng)當(dāng)滿足以下要求：

終端接入政務(wù)外網(wǎng)時，應(yīng)實現(xiàn)基于用戶的資源訪問控制，并實現(xiàn)最小授權(quán)；

可對終端環(huán)境進(jìn)行持續(xù)檢測和評估，根據(jù)評估情況動態(tài)調(diào)整其權(quán)限。

芯盾時代政務(wù)外網(wǎng)“一機兩用”零信任解決方案

面對以上安全挑戰(zhàn)，桌面云、VPN等傳統(tǒng)解決方案要么安全性不足、運維管理難，要么改造難度大、擴容不方便，難以一站式解決政務(wù)外網(wǎng)終端“一機兩用”的安全挑戰(zhàn)。

芯盾時代作為領(lǐng)先的零信任業(yè)務(wù)安全產(chǎn)品方案提供商，在終端安全領(lǐng)域擁有領(lǐng)先的技術(shù)和深厚的經(jīng)驗，賦予了零信任業(yè)務(wù)安全產(chǎn)品方案全面的終端安全能力。基于用戶身份與訪問管理平臺（IAM）、零信任安全網(wǎng)關(guān)（SDP）等產(chǎn)品，芯盾時代推出了政務(wù)外網(wǎng)“一機兩用”零信任解決方案，幫助各級政務(wù)部門一站式解決網(wǎng)絡(luò)隔離、身份認(rèn)證、終端安全、加密傳輸、訪問控制5大安全難題，讓線上政務(wù)更安全。

與傳統(tǒng)解決方案相比，芯盾時代政務(wù)外網(wǎng)“一機兩用”零信任解決方案具備“輕量化、高彈性、全可控、更安全”的特點，能夠幫助各級政務(wù)部門在業(yè)務(wù)應(yīng)用低改造、甚至0改造的情況下，一站式實現(xiàn)以下功能：

1.三種安全隔離，安全“一機兩用”

芯盾時代SDP客戶端中內(nèi)置安全沙箱，能夠在終端設(shè)備中構(gòu)建與本地空間完全隔離的安全工作空間，實現(xiàn)“數(shù)據(jù)不落地”，并實施禁止復(fù)制、禁止截屏、禁止打印、外發(fā)審批等行為管控，阻斷數(shù)據(jù)外發(fā)。借助安全沙箱，政務(wù)部門確保每個終端訪問政務(wù)外網(wǎng)時采用唯一會話，實現(xiàn)會話隔離。

芯盾時代SDP具備“網(wǎng)絡(luò)隔離”功能，當(dāng)用戶登錄客戶端訪問政務(wù)外網(wǎng)時，禁止終端設(shè)備訪問互聯(lián)網(wǎng)，避免終端設(shè)備上網(wǎng)時感染病毒，成為攻擊政務(wù)外網(wǎng)的“跳板”。

2.識別設(shè)備身份，強化身份認(rèn)證

憑借設(shè)備指紋技術(shù)，政務(wù)部門能夠通過SDP客戶端精準(zhǔn)標(biāo)識設(shè)備身份，發(fā)現(xiàn)非常用設(shè)備登錄、多用戶通過同一設(shè)備登錄等風(fēng)險行為，限制單個用戶最多使用的設(shè)備數(shù)量，還能夠在攻防演練中開啟設(shè)備審批功能，禁止不可信設(shè)備接入系統(tǒng)。

芯盾時代IAM具備全面的身份管理能力，能夠統(tǒng)一管理業(yè)務(wù)應(yīng)用的身份信息。借助身份認(rèn)證App，政務(wù)部門能夠一站式實施全局多因素認(rèn)證，為員工提供短信驗證碼、動態(tài)口令、App掃碼、指紋識別、人臉識別等多種認(rèn)證方式，提升身份認(rèn)證的安全性和便捷性。借助統(tǒng)一應(yīng)用門戶和單點登錄功能，員工能夠通過統(tǒng)一門戶直接訪問權(quán)限內(nèi)的業(yè)務(wù)應(yīng)用，實現(xiàn)“一次認(rèn)證、全網(wǎng)通行”。

借助IAM，政務(wù)部門可以實施全局統(tǒng)一的密碼策略，通過限制密碼字符構(gòu)成與長度、強制定期改密等方式提升密碼安全性，消除弱口令帶來的安全風(fēng)險。

3.監(jiān)測安全態(tài)勢，保障終端安全

憑借終端威脅態(tài)勢感知技術(shù)，芯盾時代SDP客戶端能夠識別政務(wù)外網(wǎng)終端設(shè)備是否安裝了殺毒軟件，是否存在遠(yuǎn)程控制軟件、模擬器、程序雙開、攻擊框架、Root/越獄等風(fēng)險，是否加入指定域控，是否安裝了操作系統(tǒng)補丁。在訪問過程中，客戶端持續(xù)監(jiān)測終端安全態(tài)勢、用戶操作行為，為安全控制中心提供終端側(cè)的風(fēng)險信息。

4.數(shù)據(jù)加密傳輸，支持國密算法

芯盾時代SDP采用應(yīng)用代理和SPA單包授權(quán)技術(shù)，由網(wǎng)關(guān)統(tǒng)一代理業(yè)務(wù)應(yīng)用訪問流量，同時對所有連接網(wǎng)關(guān)的設(shè)備進(jìn)行預(yù)認(rèn)證，不通過認(rèn)證不開放端口，實現(xiàn)業(yè)務(wù)應(yīng)用和網(wǎng)關(guān)雙重“隱身”，減少遭受網(wǎng)絡(luò)攻擊的風(fēng)險。

通過認(rèn)證后，芯盾時代SDP能在客戶端與網(wǎng)關(guān)之間建立加密隧道，保證數(shù)據(jù)通過互聯(lián)網(wǎng)安全傳輸。加密隧道采用國密算法，讓數(shù)據(jù)傳輸更加安全可控。

5.動態(tài)訪問控制，阻斷非法訪問

芯盾時代IAM具備全面的身份管理能力，支持RBAC、ABAC、ACL等多種權(quán)限管理模型，權(quán)限管理能力細(xì)至URL，幫助企業(yè)落實“最小化授權(quán)”，精準(zhǔn)管控數(shù)據(jù)資源的訪問權(quán)限，杜絕越權(quán)訪問。

借助芯盾時代SDP的動態(tài)訪問控制能力，企業(yè)能夠結(jié)合登錄時間、設(shè)備狀態(tài)等上下文信息，靈活設(shè)置訪問控制策略，自適應(yīng)執(zhí)行阻斷、二次認(rèn)證、權(quán)限收斂等控制策略，保證訪問的安全性。

芯盾時代政務(wù)外網(wǎng)“一機兩用”零信任解決方案擁有完全自主知識產(chǎn)權(quán)，不但符合《政務(wù)外網(wǎng)終端一機兩用安全管控技術(shù)指南》、《政務(wù)移動辦公系統(tǒng)安全技術(shù)規(guī)范》的要求，還滿足網(wǎng)絡(luò)安全等級保護(hù)、密碼應(yīng)用安全性評測的相關(guān)要求，能夠支撐各級政務(wù)部門的信創(chuàng)建設(shè)。

政務(wù)終端安全不僅是技術(shù)問題，更是系統(tǒng)性風(fēng)險管理工程。芯盾時代政務(wù)外網(wǎng)"一機兩用"零信任解決方案能夠幫助各級政務(wù)部門輕、快、好、省的建立政務(wù)外網(wǎng)訪問體系，為數(shù)字政府建設(shè)提供安全保障。