如今,安徽省某全国百强县数据资源局信息处的运维工程师们,每天只需登录“政务外网安全小助手”管理平台,全县10000多台终端即可尽收眼底——在线情况、安全状态、归属部门、使用人、待处理告警等信息一目了然、全面可控。
这样的高效管控,源于客户选择了盈高科技基于零信任安全理念为核心打造的统一安全接入与 “一机两用”合规解决方案,帮助他们直面并解决了一系列网络安全与监管难题。
l 直面核心挑战:“一机两用”带来的跨网访问与监管难题
政务外网终端安全建设并非凭空而来,我们不妨看一组数据:
2019年,专项检查发现高达60%的地方外网终端存在“一机两用”情况,边界安全形势严峻。
2020年,80%的政务外网安全事件源于终端问题,木马病毒通过终端横向渗透,严重威胁全网安全。
2021年,政府机构遭受勒索病毒攻击的规模占全行业的14%,攻击呈现多样化、高频化趋势。
为此,国家信息中心于2022年7月正式发布《政务外网终端一机两用安全管控技术指南》。
而在“一机两用”建设正式落地前,许多地方的政务外网都面临着以下典型挑战:
1. 跨网访问严重:尽管政策明确要求“严禁设备直连两网”、“采用严格逻辑隔离”,但因建设不统一,部分单位私建互联网出口,导致终端同时访问两网,极易将互联网威胁引入政务外网。
2. 安全事件难以监管及追责:失陷主机发起攻击后,因NAT转发导致无法溯源到具体责任人;违规外联行为隐蔽,难以发现和定责。最终,大数据局往往成为安全事件的“兜底”方,长期处于被动局面。
l 解决之道:基于零信任架构的统一安全接入与“一机两用”方案
面对挑战,该县数据资源局客户积极前往浙江进行调研,这次考察让他们接触到了盈高“零信任”安全理念下的统一安全接入与“一机两用”合规解决方案,迎来了双方合作的契机。
统一安全接入与“一机两用”标准解决方案示意图
在杜绝“一机两用”方面,此方案具备令人安心的双重保险机制:
1、网络隔离机制:方案采用ASM(准入控制)+ ZTP(零信任网关)双系统架构。终端所有网络流量被指向零信任虚拟网卡,通过加密隧道连接至零信任网关。网关只允许访问政务外网资源,访问互联网则需退出零信任连接,从技术上确保终端在同一时间只能访问一张网络,实现“办公不上网,上网不办公”的硬性合规。
2、准入控制阻断:当用户试图修改本地路由表以直连互联网时,不经过零信任网关的流量会被ASM准入系统直接阻断,形成了“一机两用”访问的双重保险,彻底杜绝违规跨网行为。
l 方案六大能力凸显“一机两用”方案优势,助力客户政务外网合规建设
第一,全域资产管控,台账清晰可溯,“网中网”治理显成效
通过基于流量的网络资产测绘技术,系统自动识别、分类、统计全网十大类800多种资产,助力客户实现区县、乡镇、村三级统一管控,资产电子化台账清晰,终端定位迅捷准确。
同时搭载资产上报入口,方便用户及时上报网内资产,管理员如实审核,实现过程的电子便捷化。
更重要的是,方案利用准入技术在NAT环境下的超细颗粒度管控,以及NAT边界自动发现功能,推动了该县“网中网”环境的整治工作,不合规环境下终端接入拦截成功率100%,NAT环境整改完成90%,并在持续整改中,解决了“网中网现象频发”的问题。
第二,网络动态切换,真正做到“一机两用”安全隔离
通过盈高科技的ASM准入和ZTP零信任系统组合,终端在同一时间只能访问一张网络,实现了“办公不上网,上网不办公”的效果。严格实现了国家政策要求的网络隔离,满足《技术指南》规范,解决了“一机两用”这一最根本的合规难题。
第三,实名入网与三权绑定,实现责任到人
创新对接“皖政通”实现扫码入网,达成“用户-设备-IP”三权绑定,支持手机扫码、短信认证等多种认证方式,针对不同环境提供自适应身份认证,全面落实终端实名制管理规范。
第四,持续“安全体检”,杀毒软件/漏洞风险实时检测
通过30多种终端安全检查项,对终端进行持续不断的安全体检,智能修复系统漏洞、人为错误配置等,实现杀毒软件安装率100%、漏洞修复率95%以上,全面落实统一全县一套终端安全接入规范。
第五,智能“外联”探测,统一互联出口
基于驱动层的智能违规外联探测技术,智能检测私搭互联网出口、私接外部网络、私接无线网卡等违规外联的行为,并能通过自动阻断、告警、通知等处置方式进行自动化处置,实现全县范围内统一互联网出口。
第六,全面适配国产化,统一纳管无忧
实现网内国产化终端100%适配,兼容多种国产操作系统及国产硬件,能对国产化终端进行统一的软件管理、补丁管理、安全检查、远程协助等多种操作,攻克了国产终端在“一机两用”场景下的管控难题。
l 成果显著:从被动兜底到主动掌控,合规与效能双提升
项目实施后,该全国百强县政务外网的网络与终端安全管理取得了显著成效。
1. 合规达标:零信任“一机两用”方案从根本上解决了终端跨网访问问题,完全满足国家合规要求。
2. 管控有效:杀毒软件安装率100%,NAT环境减少90%并持续整改中,“网中网”得到有效遏制,违规外联可发现、可阻断、可追溯。
3. 运维增效:资产清晰、定位快速,运维人员从“救火队”变为“管理员”,大数据局摆脱了被动“兜底”的局面。
该全国百强县数据资源局的实践表明,政务外网的安全建设并非一定要追求“高大上”的技术炫技,更重要的是贴合业务实际,将复杂的安全机制转化为运维人员易用的管理工具。
盈高以零信任为基石的统一安全接入与“一机两用”方案,成功将国家政策、客户痛点与先进技术相结合,为全国政务外网提供了一套可复制、可推广的宝贵范本。