政務服務數字化早已不是新鮮事兒,小到日常出行、核酸采集、電子證照,大到社區服務、醫療健康、人事資源,“互聯網+政務服務”已無形中深入百姓生活。
越來越多的政務人員需要接入政務外網進行辦公,接入政務外網的終端與日俱增,從互聯網跨網攻擊到政務外網的攻擊行為和事件時有發生。
如何在兼顧用戶終端使用體驗的同時,做好政務終端“一機兩用”的安全管控?
不少政務網絡管理者感嘆:難!
一、政務外網終端安全隱患大
1、大量政務外網終端存在“跨網訪問”現象
據調查顯示,大量政務外網終端能夠同時連接政務外網和互聯網,意味著用戶在訪問政務外網時,也可以訪問互聯網。這種情況下,用戶終端極易成為網絡攻擊的跳板,將互聯網威脅引入政務外網中,帶來重重隱患。
2、傳統解決方案難應對
解決政務外網終端接入互聯網過程中存在安全風險的關鍵,在于對政務外網終端的“一機兩用”進行嚴格的安全管控,確保終端同一時間內不允許同時訪問互聯網和政務外網(分時上網),或者以安全隔離的方式訪問互聯網和政務外網。
現有的傳統解決方案包括網絡準入系統、違規外聯檢測設備、VPN及統一部署終端殺毒軟件等,由于缺乏建設標準和建設依據,各單位政務外網終端類型、網絡訪問模式及建設方案不同,最終導致無法實現安全與用戶易用性的平衡,甚至出現嚴重影響終端使用的問題。
傳統解決方案很難在NAT場景下快速識別終端、阻斷、溯源,更無法從根本上確保數據安全,因此十分被動。
二、政務外網終端+零信任:復雜難題,簡單解決
針對政務外網終端的安全隱患,通過零信任便可整體解決終端環境檢測、權限管理等問題。作為國內率先探索零信任應用的企業之一,深信服基于零信任技術,通過一套平臺即可滿足多場景安全建設,既輕松解決政務外網終端安全性問題,也解決了過去零信任難落地問題,全方位構建政務外網終端的認證準入、合規檢查、跨網訪問、違規外聯、NAT終端溯源、終端數據保護等安全能力。
1、接入終端環境檢測
首先,零信任對接入政務外網的終端進行全周期、進程級的環境安全檢測,如系統補丁更新情況、是否運行殺毒軟件、訪問業務的進程是否可信等,一旦發現問題,立即阻斷并告警,確保只有合規、安全的終端才能接入政務外網。
2、非法外聯檢測與阻斷
運行期間,零信任客戶端實時向互聯網應用發起探測,一旦探測到終端存在非法外聯或非指定互聯網出口上網行為時,立即進行告警,NAT環境下也能實現違規外聯終端定位,有效監管違規外聯行為。
3、終端沙箱跨網訪問隔離
針對備受關注的“一機兩用”安全管控問題,我們提供兩種不同的解決方案:
①分時上網:“一機兩用”下同一時間只允許一個網絡的安全使用。通過零信任客戶端提供的驅動級網絡隔離技術(無法通過修改本機路由繞過)限定終端在同一時間只允許訪問政務外網或互聯網。
②一機雙網:“一機兩用”下可以同時安全訪問兩個網絡。零信任可限定政務外網終端在安全沙箱內訪問政務外網,在安全沙箱外訪問互聯網,實現政務外網和互聯網訪問的安全隔離,可通過一個終端進行多場景、多門戶的安全接入,既能確保安全,又能平衡體驗。
此外,在終端訪問政務業務系統時,深信服零信任基于沙箱技術的文件級加密能力,自動對下載的數據/文件進行加密、隔離等,并通過策略限制截屏錄屏、限制拷貝、增加屏幕水印等多種方式確保數據安全。
4、NAT場景下的溯源
威脅檢出、阻斷后,如何溯源到“人”?零信任設備將所有流量打上身份標簽并推送給態勢感知,實現流量“身份化”。即使在NAT環境下,一旦檢測出異常,即可立即聯動安全感知管理平臺SIP或全網行為管理AC,通過身份標簽快速精準定位、溯源及審計。
有了這幾大核心技術支撐,零信任實踐如有神助。
但這些還不夠,除打磨全終端安全技術外,深信服在零信任方案設計之初,便考慮到零信任部署落地問題,以更輕量、易落地、超穩定的特性,解除用戶對于零信任架構“重”,落地“難”的疑慮:
1.更輕量:一套平臺即可滿足多場景零信任安全建設需求;
2.易落地:部署簡單,一體化交付、對現網改動小;
3.超穩定:支持百萬級并發接入,支持架構拓展,可持續“生長”。
深信服以零信任理念,構筑安全、穩定、可控可管的政務外網安全環境,從整體上解決終端數據安全問題,以簡馭繁,讓自由訪問與安全兼得,共同構建更堅實的政務網絡終端安全。
