政府行业-政务外网一机两用解决方案

英国beat365官方网站入口UniUEM系统,可协助用户通过一套管理后台解决政务外网应用和终端(PC终端+移动终端)安全防护难题。根据政务外网业务是否集中部署的场景,推出两种方案。

行业现状

Industry status

2020年,政务外网发布103起网络安全通报,其中80%安全事件是由政务外网终端“一机两用”引起,经主管部门专项调研60%的政务外网终端存在一机两用情形,黑客从互联网攻击终端后并以此为跳板侵入政务外网,造成整网破坏、数据泄密或利用钓鱼邮件等植入病毒木马;究其根因是政务外网未与互联网隔离,各级政务部门终端及边界安全技术路线不一,面对APT等攻击难溯源,难以有效阻止政务数据泄露扩散,也无法满足等保2.0、《政务外网终端一机两用安全管控技术指南》(GW0015-2022)等合规要求。

解决方案

Solution

英国beat365官方网站入口UniUEM系统,可协助用户通过一套管理后台解决政务外网应用和终端(PC终端+移动终端)安全防护难题。根据政务外网业务是否集中部署的场景,推出两种方案。

方案1:对于业务集中部署在政务云的场景,由政务外网建设运维管理单位在城域网边界采用统一管控模式构建基于零信任理念的政务外网终端管控设施。具体部署如图1。

1、部署方案:终端管控设施由零信任管理平台、零信任安全网关、零信任客户端三部分组成,零信任管理平台部署于政务外网数据中心,零信任安全网关原则部署于接入路由器(可依据网络情况调整部署位置),零信任客户端部署于接入政务外网局域网终端。

2、功能实现:

(1)实现政务外网终端准入控制,包括身份认证、终端安全检查、资源访问控制;

(2)实现终端安全隔离,包括网络隔离、会话隔离、数据隔离;

(3)对于敏感的业务数据访问,可通过单包认证、反向代理等技术隐藏网络端口和服务,减少应用暴漏面,防止扫描等攻击,且可采用沙箱技术实现政务外网终端数据隔离,防止终端数据泄露。

(4)零信任客户端支持Windows、Linux、中标麒麟、UOS、Android、IOS等操作系统;

(5)零信任管理平台和零信任安全网关支持高可用部署,支持物理部署和虚拟化部署;

(6)可以与统一身份认证、安全管理平台等第三方系统对接,支持IPV6可与现网兼容。

方案2:对于业务分散部署在政务部门局域网内的场景,采用自行管控模式构建政务外网终端安全管控设施。由政务部门自行开展终端安全管控设施建设。具体部署如图2。

由零信任管理平台、零信任安全网关、零信任客户端三部分,其中零信任安全管理平台部署于政务部门局域网数据中心,零信任安全网关部署于数据中心核心交换机,零信任客户端部署在需要访问政务部门业务的终端;功能实现同方案1。

客户价值

Customer value

终端一体化防护:通过一套管理后台可实现PC终端(含一机两用和终端安全防护)和移动终端一体化管控。

资源门户便捷访问:集成身份认证设施,实现一次认证访问权限范围内的政务资源门户。

攻击面收敛防攻击:通过单包机制隐藏网络端口和服务,缩小控制器及业务暴漏面,防扫描等攻击。

防跨网攻击:通过一机两用策略,防止互联网攻击以终端为跳板攻击政务外网。

数据防泄密:通过终端安全沙箱、数据传输加密、零信任暴漏面收敛等手段,防止政务数据外泄,并可通过水印溯源威慑拍照、截屏等数据扩散行为

支持跨层级或跨部门终端访问业务场景:提供标准化接口,兼容华为等第三方主流安全网关,可保证一个客户端、一次认证完成跨层级或跨部门重要应用访问。

分级管理:通过二级账户将终端管理权限下称到下级单位,减轻各级单位管理强度。

成功案例

Successful cases