芯盾時(shí)代再度中標(biāo)中國電信某省公司電子政務(wù)外網(wǎng)零信任安全系統(tǒng)，針對客戶面臨的終端安全、訪問控制和網(wǎng)絡(luò)暴露面等問題，構(gòu)建一體化“零信任”動(dòng)態(tài)訪問控制體系，最大限度縮小攻擊暴露面、降低安全管理成本、增強(qiáng)對應(yīng)用系統(tǒng)的訪問保護(hù)。

項(xiàng)目背景

隨著“互聯(lián)網(wǎng)+政務(wù)服務(wù)”的不斷深化和持續(xù)推進(jìn)，政務(wù)服務(wù)效率得到了有效提升。各級政務(wù)部門終端要同時(shí)連接政務(wù)外網(wǎng)和互聯(lián)網(wǎng)（簡稱“一機(jī)兩用”），人為的在政務(wù)外網(wǎng)與互聯(lián)網(wǎng)上搭建了一個(gè)傳輸平臺，暴露出了政務(wù)外網(wǎng)安全、終端安全和運(yùn)維管理等方面的問題。

終端威脅：通常政務(wù)外網(wǎng)“一機(jī)兩用”的終端能夠同時(shí)連接政務(wù)外網(wǎng)和互聯(lián)網(wǎng)，這就意味著用戶在訪問政務(wù)外網(wǎng)時(shí)，也可以訪問互聯(lián)網(wǎng)；政務(wù)外網(wǎng)終端極易感染病毒和木馬從而將威脅引入到政務(wù)外網(wǎng)中，帶來嚴(yán)重的安全隱患

數(shù)據(jù)泄露：政務(wù)外網(wǎng)“一機(jī)兩用”終端上互聯(lián)網(wǎng)與政務(wù)外網(wǎng)是互通的，可能會有政務(wù)外網(wǎng)訪問人員將政務(wù)網(wǎng)的數(shù)據(jù)和內(nèi)容發(fā)布到互聯(lián)網(wǎng)中帶來數(shù)據(jù)外泄的風(fēng)險(xiǎn)，因此政府敏感信息外泄的事件也時(shí)有發(fā)生，造成的損失不可估量。

芯盾時(shí)代同中國電信已建立深厚的合作關(guān)系，基于以上項(xiàng)目背景，芯盾時(shí)代采用零信任業(yè)務(wù)安全解決方案，為中國電信某省公司構(gòu)建零信任統(tǒng)一用戶認(rèn)證平臺。其中由用戶身份與訪問管理（IAM）提供統(tǒng)一身份管理、單點(diǎn)登錄、統(tǒng)一數(shù)據(jù)管理、數(shù)據(jù)同步等能力；零信任業(yè)務(wù)安全平臺（SDP）提供安全傳輸、應(yīng)用代理、動(dòng)態(tài)訪問控制等能力，并實(shí)現(xiàn)業(yè)務(wù)全流程的實(shí)時(shí)身份風(fēng)險(xiǎn)防控，滿足客戶不同業(yè)務(wù)場景、模式下的動(dòng)態(tài)訪問控制。

建設(shè)目標(biāo)

a)終端安全隔離：SDP支持網(wǎng)絡(luò)隔離，根據(jù)業(yè)務(wù)應(yīng)用網(wǎng)絡(luò)專線進(jìn)行劃區(qū)域訪問，確保終端獲得準(zhǔn)入授權(quán)后通過安全隧道訪問政務(wù)外網(wǎng)，不能同時(shí)訪問其他網(wǎng)絡(luò)。同時(shí)，芯盾時(shí)代采用沙箱技術(shù)，對用戶在訪問敏感應(yīng)用系統(tǒng)下載的數(shù)據(jù)只能進(jìn)入沙箱加密隔離存放，控制數(shù)據(jù)使用和外發(fā)行為，進(jìn)而防止終端數(shù)據(jù)泄露，沙箱所使用密碼技術(shù)滿足國家密碼應(yīng)用的標(biāo)準(zhǔn)要求。

b)身份認(rèn)證：從身份、設(shè)備、行為等多維感知用戶終端環(huán)境，確保接入的終端設(shè)備均為可信設(shè)備，對接入政務(wù)外網(wǎng)的用戶終端生成唯一標(biāo)識，將用戶身份與終端進(jìn)行實(shí)名綁定，支持多種身份認(rèn)證方式，用戶終端接入政務(wù)外網(wǎng)進(jìn)行身份認(rèn)證滿足了等保要求，實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)的單點(diǎn)登錄，讓員工“一次認(rèn)證，全網(wǎng)通行”。

c)資源訪問控制：基于用戶身份和設(shè)備身份對訪問者做應(yīng)用資源級權(quán)限控制，能夠按照重要程度，為不同應(yīng)用、應(yīng)用中的不同頁面配置不同的安全策略，從應(yīng)用側(cè)出發(fā)，實(shí)現(xiàn)訪問權(quán)限的精細(xì)化管控，減少過度授權(quán)帶來的安全風(fēng)險(xiǎn)。

d)終端檢測：SDP采用SPA單包授權(quán)技術(shù)，默認(rèn)拒絕一切連接，不響應(yīng)未經(jīng)過驗(yàn)證設(shè)備和用戶的訪問請求，使攻擊者無法找到服務(wù)地址和端口。SPA單包授權(quán)技術(shù)與應(yīng)用訪問代理配合，實(shí)現(xiàn)網(wǎng)關(guān)自身和應(yīng)用資源的雙重隱藏，讓企業(yè)“網(wǎng)絡(luò)隱身”。

目前，該項(xiàng)目已經(jīng)成功上線，有效提升了電子政務(wù)外網(wǎng)的業(yè)務(wù)安全和數(shù)據(jù)安全等。未來，芯盾時(shí)代持續(xù)更新迭代零信任安全體系，將“以人為核心的業(yè)務(wù)安全理念”與企業(yè)業(yè)務(wù)系統(tǒng)深入融合，不斷提升企業(yè)業(yè)務(wù)系統(tǒng)的可用性和安全性，為客戶提供智能、安全、可信的業(yè)務(wù)安全防護(hù)。