联软科技政务外网终端一机两用安全管控平台_零信任访问控制系统

联软科技政务外网终端一机两用安全管控平台

联软科技政务外网终端一机两用安全管控平台用户终端主要是指“一机多用” 终端，用户终端上需部署零信任客户端，实现接入认证及入网安全检查、网络隔离、数据安全隔离。部署在各级单位业务前置，主要实现接入鉴别、访问控制和网络隐身等，通过将业务隐藏在零信任安全网关之后，可以有效收敛各级单位业务暴露面，减少被入侵的风险。

立即咨询

首页 > 产品中心 > 终端安全 > 联软科技政务外网终端一机两用安全管控平台

政务外网终端一机两用安全风险与挑战 icon

SDP零信任是业界政务终端安全防护共识 icon

SDP：software defined perimeter（软件定义边界），通过SDP 架构隐藏核心网络资产与设施，使之不直接暴露在互联网下，使得网络资产与设施免受外来安全威胁。零信任：Never trust, always verify（从不信任，始终验证），在获取访问权限之前，必须首先验证试图连接到组织系统的任何人和所有事物。基于零信任理念，SDP 在网络层围绕 IT 资源建立虚拟边界。SDP 对请求用户进行身份验证，并在允许访问内部网络之前验证正在使用的设备的状态。在用户的设备尝试访问的资源之间建立单个网络连接，根据授权等级访问；在访问过程中，持续验证访问身份和流量安全检测。

零信任终端准入体系方案：3层架构+3大场景 icon

基于SDP架构的端到端零信任访问控制 icon

零信任客户端：用户终端主要是指“一机多用” 终端，用户终端上需部署零信任客户端，实现接入认证及入网安全检查、网络隔离、数据安全隔离。零信任安全网关：部署在各级单位业务前置，主要实现接入鉴别、访问控制和网络隐身等，通过将业务隐藏在零信任安全网关之后，可以有效收敛各级单位业务暴露面，减少被入侵的风险。零信任管理平台：实现SDP零信任的认证，与终端agent和及可信接入代理配和实现SDP准入功能，零信任管理平台可以自己提供认证功能，也可以与现网认证系统对接，支持应用管理，对应用进行发布和管理。

SPA“敲门机制”隐藏网络端口和服务 icon

SPA单包认证方案设计 icon

1. 客户端agent向零信任管理平台触发SPA认证

2. 零信任管理平台解析SPA报文，获取用户名、密码信息，向现网身份认证系统触发用户身份校验

3. SPA认证通过，放开认证门户端口，终端自动跳转到认证门户页面减少控制器暴露面：防止零信任管理平台端口被扫描攻击、DDos攻击、注入攻击

缩小控制器攻击面：只有合法身份的终端才具备访问认证门户的权限

SDP认证方案设计

1. 客户端agent向零信任管理平台触发用户认证

2. 零信任管理平台向现网身份认证系统触发用户身份校验

3. 针对身份合法的用户，零信任管理平台向代理网关下发可信资产列表（源IP、可访问的端口列表、DeviceID）、应用访问列表

4. 零信任管理平台向客户端agent下发访问资源列表；安全代理网关的IP、端口减少网关暴露面：防止零信任安全网关端口被扫描攻击、DDos攻击、注入攻击

缩小网关攻击面：只有合法身份的用户及终端，并拿到零信任管理平台的授权才有权访问零信任安全网关

应用代理方案设计

1. 客户端根据零信任管理平台授权的应用列表、代理网关的开放的IP、端口，与代理网关建立HTTPS加密隧道

2. 零信任安全网关对收到HTTPS隧道报文后，对报文解封装，并访问对应的应用

3. 通过安全隔离装置确保终端跨网访问的安全

单网通方案设计

1. 不同网络相互隔离，政务外网或专网和互联网不能同时访问，防止终端设备成为攻击跳板，保护业务访问安全。

2. 终端侧安装Agent后，客户PC端默认可以访问互联网，无需进行认证。

3. 需要访问政务外网或专网时，客户需要手动切换到政务外网或专网，触发到零信任管理平台进行认证，认证通过后，将用户可以访问的应用发布到Agent。

4. Agent访问政务外网或专网应用，可信接入代理根据策略，放通访问。网络隔离：防止互联网攻击以终端为跳板，攻击政务外网或专网

无端模式设计

0. 在SAAS平台注册企业信息，企业公网入口，发布应用

1. 终端通过浏览器访问应用，跳转到SAAS认证平台，打开认证服务 2. SAAS认证平台组装SPA报文，向零信任管理平台发起SPA认证

3. 零信任管理平台解析SPA报文，获取用户名、密码信息，向现网身份认证系统触发用户身份校验

4. SPA通过后，通知零信任安全网关开放网络权限

5. SAAS认证平台重定向到任务应用界面，携带MS2加密会话

6. 无端模式客户端建立https隧道，访问政务应用减少控制器暴露面：防止零信任管理平台端口被扫描攻击、DDos攻击、注入攻击

访客场景下零信任准入：不安装任何客户端软件（如访客、特权终端等）前提下，实现零信任接入认证

在网络隔离情况下，实现跨网访问 icon

1. 确保网络隔离情况下，实现终端跨网访问，如互联网终端跨网访问政务外网、专网。

2. 终端访问终结在安全代理网关，不能直接跨网访问；

3. 终端访问数据包发送到安全代理网关，而这时网关运行有一个代理服务器，数据实际上被被重定向到代理服务器的代理端口（如 8080），即由本地代理服务器向外请求所需数据，隔离装置启用透传模式，业务响应请求反馈执行结果给客户端。WEB使用API通道标准接口，TCP/UDP代理使用指定协议通道网络隔离：在确保互联网、政务外网、专网隔离情况下，实现终端跨网访问，并利用隔离装置实现协议隔离、格式检查等。

业务上线管理：政数局统一发布公共应用，委办局通过二级账户发布自有应用 icon

1) 由市政数局进行统一规划与管理，安全代理网关旁路部署于市级城域网汇聚设备，管理中心部署于安全运营管理区。 2) 模式一（市政数局公共业务发布）：对于全市政府部门需要发布的公共业务，由市政数局通过一级管理员账号进行业务发布并备案。 3) 模式二（委办局自有业务发布）：对于委办局自有业务，可赋予不同委办局二级账号。 4) 部分区县、委办局单位没有业务系统，或省、市单位对用户权限颗粒度只需细化到网段级或端口级，直接发布网段资源即可，不需要发布业务系统。

统一身份认证对接方案设计 icon

委办局威胁NAT溯源方案设计 icon

设计思路： 1. NAT场景下通过Device ID信息来标识设备，终端侧访问的应用的报文TCP Option中带上Device ID。

2. 零信任安全网关进行代理应用访问时，在报文TCP Option 中带上Device ID。

3. 探针进行流量采集时保留Device ID的标记，上送 Metadata和IPS日志时保留Device ID信息，这样威胁事件生成后携带Device ID信息。

4. 第三方态势感知根据Device ID信息可以定位到某台设备。精准溯源基于终端deviceID重塑威胁识别体系，实现端点侧威胁的精准溯源

终端安全沙箱核心管控功能设计 icon

通过数字水印，实现终端泄密溯源 icon

一套管理后台，一个客户端，十大安全能力，实现PC终端安全一体化纵深防护 icon

一套零信任架构，解决互联网出口与5G接入移动终端零信任问题 icon

将零信任终端准入纳入安全运维体系，实现安全的统一运维及管理 icon

技术指南要求实现网安端协同防御，守护政务业务安全边界 icon

价值优势：更全面的安全-数据隔离+网络隔离+边缘二合一网关+精准溯源 icon

1个客户端实现终端一体化防护，相比业界3个客户端更简单；

终端沙箱隔离保护敏感数据，方案单用户5个沙箱，业界仅1个；

安全网关边缘部署，威胁在边缘闭环不扩散到政务外网；

终端唯一Device ID，多次NAT仍可精准溯源识别威胁终端；

满足国家XC要求，安全更有保障；

价值优势：更高效的管理-系统融合，一套系统实现控固移终端一体化管控 icon

实现固定终端和移动终端的SDP系统融合，统一零信任管理平台和零信任安全网关；

相比业界固移2套系统，1套系统部署运维更简单

价值优势：更高效的管理-分级授权，二级账户权限下沉到委办局内部管理 icon

身份认证授权/终端管理体系独立；

政数局可定义二级账户权限范围，二级账户按授权范围管理；

有意愿的委办局管理员可垂直管理，镇区管理员对剩余委办局终端进行横向管理；

价值优势：网安协同，政务外网IPv6+升级演进无忧 icon

SDP安全代理网关支持SRv6、FlexE 网络切片、IFIT、APN6等IPv6+全量能力；

SDP安全代理网关支持下沉边缘部署，不影响政务外网IPv6+升级改造，满足国家政策要求；

价值优势：严格国家标准建设终端零信任方案保护现网安全前期投资不受损 icon

价值优势：方案部件数量、部署位置、功能完全匹配指南 icon

行业用户群体

成功案例：广东中山市落地全国首个政务外网一机两用样板点 icon

成功案例：安徽省一体化平台运维终端政务外网一机两用建设情况 icon

产品推荐查看更多>>

联软科技酒店行业信息安全综合解决方案

联软科技酒店行业信息安全综合解决方案访客准入管理，外协人员准入管理；基于802.1x/EoU等有线、无线准入控制；终端识别、安全检查、安全隔离、安全修复，终端识别支持用户名、终端软硬件ID与交换机端口信息绑定；网络安全布防，幻影设备，主动诱捕；举例：公司员工上网一定要输入个人的账号密码、电脑要装有公司的XX软件，更新了补丁才能访问网络。

桌面管理

IT资产管理

软件管理

终端安全管理

立即咨询查看详情

天锐绿盾终端安全管理系统

天锐绿盾终端安全管理系统，采用“三重密钥”：天锐分配全球唯一密钥、用户自己设置密钥、每个文件随机密钥；自主开发的数据库，速度极快、升级维护方便、兼容性、安全性高；采用“多采集服务器”技术，理论上可以支持无限终端用户数。

速度极快

兼容性

安全性高

无限终端

立即咨询查看详情