政务服务数字化早已不是新鲜事儿, 小到日常出行、核酸采集、电子证照, 大到社区服务、医疗健康、人事资源,「互联网+政务服务」已无形中深入百姓生活。
政务服务数字化早已不是新鲜事儿, 小到日常出行、核酸采集、电子证照, 大到社区服务、医疗健康、人事资源,「互联网+政务服务」已无形中深入百姓生活。
越来越多的政务人员需要接入政务外网进行办公, 接入政务外网的终端与日俱增, 从互联网跨网攻击到政务外网的攻击行为和事件时有发生。
如何在兼顾用户终端使用体验的同时, 做好政务终端「一机两用」的安全管控?
不少政务网络管理者感叹:难!
一、政务外网终端安全隐患大
1、大量政务外网终端存在「跨网访问」现象
据调查显示, 大量政务外网终端能够同时连接政务外网和互联网, 意味着用户在访问政务外网时, 也可以访问互联网。这种情况下, 用户终端极易成为网络攻击的跳板, 将互联网威胁引入政务外网中, 带来重重隐患。
2、传统解决方案难应对
解决政务外网终端接入互联网过程中存在安全风险的关键, 在于对政务外网终端的「一机两用」进行严格的安全管控, 确保终端同一时间内不允许同时访问互联网和政务外网 (分时上网), 或者以安全隔离的方式访问互联网和政务外网。
现有的传统解决方案包括网络准入系统、违规外联检测设备、VPN 及统一部署终端杀毒软件等, 由于缺乏建设标准和建设依据, 各单位政务外网终端类型、网络访问模式及建设方案不同, 最终导致无法实现安全与用户易用性的平衡, 甚至出现严重影响终端使用的问题。
传统解决方案很难在 NAT 场景下快速识别终端、阻断、溯源, 更无法从根本上确保数据安全, 因此十分被动。
二、政务外网终端+零信任:复杂难题, 简单解决
针对政务外网终端的安全隐患, 通过零信任便可整体解决终端环境检测、权限管理等问题。作为国内率先探索零信任应用的企业之一, 深信服基于零信任技术, 通过一套平台即可满足多场景安全建设, 既轻松解决政务外网终端安全性问题, 也解决了过去零信任难落地问题, 全方位构建政务外网终端的认证准入、合规检查、跨网访问、违规外联、NAT 终端溯源、终端数据保护等安全能力。
1、接入终端环境检测
首先, 零信任对接入政务外网的终端进行全周期、进程级的环境安全检测, 如系统补丁更新情况、是否运行杀毒软件、访问业务的进程是否可信等, 一旦发现问题, 立即阻断并告警, 确保只有合规、安全的终端才能接入政务外网。
2、非法外联检测与阻断
运行期间, 零信任客户端实时向互联网应用发起探测, 一旦探测到终端存在非法外联或非指定互联网出口上网行为时, 立即进行告警,NAT 环境下也能实现违规外联终端定位, 有效监管违规外联行为。
3、终端沙箱跨网访问隔离
针对备受关注的「一机两用」安全管控问题, 我们提供两种不同的解决方案:
①分时上网:「一机两用」下同一时间只允许一个网络的安全使用。通过零信任客户端提供的驱动级网络隔离技术 (无法通过修改本机路由绕过) 限定终端在同一时间只允许访问政务外网或互联网。
②一机双网:「一机两用」下可以同时安全访问两个网络。零信任可限定政务外网终端在安全沙箱内访问政务外网, 在安全沙箱外访问互联网, 实现政务外网和互联网访问的安全隔离, 可通过一个终端进行多场景、多门户的安全接入, 既能确保安全, 又能平衡体验。
此外, 在终端访问政务业务系统时, 深信服零信任基于沙箱技术的文件级加密能力, 自动对下载的数据/文件进行加密、隔离等, 并通过策略限制截屏录屏、限制拷贝、增加屏幕水印等多种方式确保数据安全。
4、NAT 场景下的溯源
威胁检出、阻断后, 如何溯源到「人」? 零信任设备将所有流量打上身份标签并推送给态势感知, 实现流量「身份化」。即使在 NAT 环境下, 一旦检测出异常, 即可立即联动安全感知管理平台 SIP 或全网行为管理 AC, 通过身份标签快速精准定位、溯源及审计。
有了这几大核心技术支撑, 零信任实践如有神助。
但这些还不够, 除打磨全终端安全技术外, 深信服在零信任方案设计之初, 便考虑到零信任部署落地问题, 以更轻量、易落地、超稳定的特性, 解除用户对于零信任架构「重」, 落地「难」的疑虑:
1. 更轻量:一套平台即可满足多场景零信任安全建设需求;
2. 易落地:部署简单, 一体化交付、对现网改动小;
3. 超稳定:支持百万级并发接入, 支持架构拓展, 可持续「生长」。
深信服以零信任理念, 构筑安全、稳定、可控可管的政务外网安全环境, 从整体上解决终端数据安全问题, 以简驭繁, 让自由访问与安全兼得, 共同构建更坚实的政务网络终端安全。
来源:互联网
