联软科技政务外网终端一机两用安全管控平台_零信任访问控制系统

联软科技政务外网终端一机两用安全管控平台

联软科技政务外网终端一机两用安全管控平台用户终端主要是指“一机多用” 终端，用户终端上需部署零信任客户端，实现接入认证及入网安全检查、网络隔离、数据安全隔离。部署在各级单位业务前置，主要实现接入鉴别、访问控制和网络隐身等，通过将业务隐藏在零信任安全网关之后，可以有效收敛各级单位业务暴露面，减少被入侵的风险。

立即咨询

政务外网终端一机两用安全风险与挑战 icon

SDP零信任是业界政务终端安全防护共识 icon

SDP：software defined perimeter（软件定义边界），通过SDP 架构隐藏核心网络资产与设施，使之不直接暴露在互联网下，使得网络资产与设施免受外来安全威胁。零信任：Never trust, always verify（从不信任，始终验证），在获取访问权限之前，必须首先验证试图连接到组织系统的任何人和所有事物。基于零信任理念，SDP 在网络层围绕 IT 资源建立虚拟边界。SDP 对请求用户进行身份验证，并在允许访问内部网络之前验证正在使用的设备的状态。在用户的设备尝试访问的资源之间建立单个网络连接，根据授权等级访问；在访问过程中，持续验证访问身份和流量安全检测。

零信任终端准入体系方案：3层架构+3大场景 icon

基于SDP架构的端到端零信任访问控制 icon

零信任客户端：用户终端主要是指“一机多用” 终端，用户终端上需部署零信任客户端，实现接入认证及入网安全检查、网络隔离、数据安全隔离。零信任安全网关：部署在各级单位业务前置，主要实现接入鉴别、访问控制和网络隐身等，通过将业务隐藏在零信任安全网关之后，可以有效收敛各级单位业务暴露面，减少被入侵的风险。零信任管理平台：实现SDP零信任的认证，与终端agent和及可信接入代理配和实现SDP准入功能，零信任管理平台可以自己提供认证功能，也可以与现网认证系统对接，支持应用管理，对应用进行发布和管理。

SPA“敲门机制”隐藏网络端口和服务 icon

SPA单包认证方案设计 icon

1. 客户端agent向零信任管理平台触发SPA认证

2. 零信任管理平台解析SPA报文，获取用户名、密码信息，向现网身份认证系统触发用户身份校验

3. SPA认证通过，放开认证门户端口，终端自动跳转到认证门户页面减少控制器暴露面：防止零信任管理平台端口被扫描攻击、DDos攻击、注入攻击

缩小控制器攻击面：只有合法身份的终端才具备访问认证门户的权限

SDP认证方案设计

1. 客户端agent向零信任管理平台触发用户认证

2. 零信任管理平台向现网身份认证系统触发用户身份校验

3. 针对身份合法的用户，零信任管理平台向代理网关下发可信资产列表（源IP、可访问的端口列表、DeviceID）、应用访问列表

4. 零信任管理平台向客户端agent下发访问资源列表；安全代理网关的IP、端口减少网关暴露面：防止零信任安全网关端口被扫描攻击、DDos攻击、注入攻击

缩小网关攻击面：只有合法身份的用户及终端，并拿到零信任管理平台的授权才有权访问零信任安全网关

应用代理方案设计

1. 客户端根据零信任管理平台授权的应用列表、代理网关的开放的IP、端口，与代理网关建立HTTPS加密隧道

2. 零信任安全网关对收到HTTPS隧道报文后，对报文解封装，并访问对应的应用

3. 通过安全隔离装置确保终端跨网访问的安全

单网通方案设计

1. 不同网络相互隔离，政务外网或专网和互联网不能同时访问，防止终端设备成为攻击跳板，保护业务访问安全。

2. 终端侧安装Agent后，客户PC端默认可以访问互联网，无需进行认证。

3. 需要访问政务外网或专网时，客户需要手动切换到政务外网或专网，触发到零信任管理平台进行认证，认证通过后，将用户可以访问的应用发布到Agent。

4. Agent访问政务外网或专网应用，可信接入代理根据策略，放通访问。网络隔离：防止互联网攻击以终端为跳板，攻击政务外网或专网

无端模式设计

0. 在SAAS平台注册企业信息，企业公网入口，发布应用

1. 终端通过浏览器访问应用，跳转到SAAS认证平台，打开认证服务 2. SAAS认证平台组装SPA报文，向零信任管理平台发起SPA认证

3. 零信任管理平台解析SPA报文，获取用户名、密码信息，向现网身份认证系统触发用户身份校验

4. SPA通过后，通知零信任安全网关开放网络权限

5. SAAS认证平台重定向到任务应用界面，携带MS2加密会话

6. 无端模式客户端建立https隧道，访问政务应用减少控制器暴露面：防止零信任管理平台端口被扫描攻击、DDos攻击、注入攻击

访客场景下零信任准入：不安装任何客户端软件（如访客、特权终端等）前提下，实现零信任接入认证

在网络隔离情况下，实现跨网访问 icon

1. 确保网络隔离情况下，实现终端跨网访问，如互联网终端跨网访问政务外网、专网。

2. 终端访问终结在安全代理网关，不能直接跨网访问；

3. 终端访问数据包发送到安全代理网关，而这时网关运行有一个代理服务器，数据实际上被被重定向到代理服务器的代理端口（如 8080），即由本地代理服务器向外请求所需数据，隔离装置启用透传模式，业务响应请求反馈执行结果给客户端。WEB使用API通道标准接口，TCP/UDP代理使用指定协议通道网络隔离：在确保互联网、政务外网、专网隔离情况下，实现终端跨网访问，并利用隔离装置实现协议隔离、格式检查等。

业务上线管理：政数局统一发布公共应用，委办局通过二级账户发布自有应用 icon

1) 由市政数局进行统一规划与管理，安全代理网关旁路部署于市级城域网汇聚设备，管理中心部署于安全运营管理区。 2) 模式一（市政数局公共业务发布）：对于全市政府部门需要发布的公共业务，由市政数局通过一级管理员账号进行业务发布并备案。 3) 模式二（委办局自有业务发布）：对于委办局自有业务，可赋予不同委办局二级账号。 4) 部分区县、委办局单位没有业务系统，或省、市单位对用户权限颗粒度只需细化到网段级或端口级，直接发布网段资源即可，不需要发布业务系统。