政府服务数字化已经不是什么新鲜事了,从日常出行、核酸采集、电子牌照、社区服务、医疗卫生、人力资源等,“互联网+政府服务”已经在无形中深入到人们的生活中。越来越多的政务人员需要连接政务外网络进行事务,连接政务外网络的终端日益增加,从互联网跨网攻击到政务外网络的攻击行为和事件频繁发生。
如何在考虑用户终端使用体验的同时,妥善管理政务终端“一机两用”的安全,这让许多政务网络管理员感到痛心!1.政务外网络终端存在很大的安全隐患1.调查表明,大量政务外网络终端存在“跨网接入”现象。大量的政务外网络终端可以同时连接政务外网络和互联网,这意味着用户在访问政务外网络时也可以访问互联网。在这种情况下,用户终端很容易成为网络攻击的跳板,将互联网威胁引入政务外部网络,带来许多隐患。
2、传统解决方案难以解决政务外网络终端接入互联网过程中存在的安全风险,对政务外网络终端的“单机两用”进行严格的安全管控,终端在同一时间内不允许互联网和政务外网络同时接入分时网络,或者以安全隔离的方式访问互联网和政务外网络。
现有的传统解决方案包括网络接入系统、违规检测设备、VPN及统一配置终端杀毒软件等,由于缺乏建设标准和建设依据,各单位政务外网终端类型、网络接入模式及建设方案不同,最终无法实现安全性与用户易用性的平衡,甚至出现了严重影响终端使用的问题。传统的解决方案是非常被动的,因为在NAT场景中快速识别、隔离和跟踪终端是困难的,无法从根本上确保数据安全。2.政务外网终端+零信任复杂的难题,可以轻松解决政务外网终端的安全隐患,零信任可以整体解决终端环境检查、权限管理等问题。作为国内率先探索零信任应用的企业之一,基于零信任技术,相信通过一个平台可以满足多场景的安全建设,在简单解决政务外网终端的安全问题的同时,也解决了过去的零信任着陆困难问题。政务外网终端认证接入、合规检查、全面构建跨网接入、违规外展、NAT终端跟踪、终端数据保护等安全能力。
1、接入终端环境检测首先,零信任对接入政务外网的终端进行全周期、进程级的环境安全检测,如系统补丁更新情况、是否运行杀毒软件、接入业务流程是否可靠等发现问题,立即切断警告,确保只有合规、安全的终端才能接入政务外网。
2、在非法外接检测和拦截运行期间,零信任客户端实时开始对互联网应用进行探测,一旦发现终端存在非法外接或非指定互联网出口的上网行为,立即发出警报,即使在NAT环境下也可以实现违规外接终端的定位。有效监督管理违法行为外展行为。
3、终端沙箱跨网接入隔离针对备受关注的“一机两用”安全管控问题,我们在提供两种不同解决方案的分时网“一机两用”下,同一时间只允许一个网络安全使用。通过零信任客户端提供的驱动程序级网络隔离技术(不能改变本地路由并绕过它们)限制终端同时只允许访问非政府网络或互联网。
一机双网-“一机两用”可安全访问两个网络。零信任使政务外网终端在安全沙箱内访问政务外网,在安全沙箱外访问互联网,实现政务外网和互联网接入的安全隔离,一个终端可以进行多场景、多门户的安全访问,确保安全,你可以平衡你的经验。
另外,终端访问政务业务系统时,零信任基于沙箱技术的文件级加密能力,对自动下载的数据/文件进行加密、隔离等,并根据策略限制截屏画面,限制复制。通过增加屏幕水印等多种方式确保数据安全。4、NAT场景中的可追溯性威胁检测、阻断后,如何“人”可追溯性零信任设备将所有流量作为身份标记推送到态势识别中,实现流量的“身份化”。即使在NAT环境下,一旦检测到异常,就可以立即使安全感知管理平台SIP或整个网络行为管理AC联动,通过ID标记快速、正确地定位、跟踪和审计。
有了这几大核心支持,零信任实践如神助。但是,这些还不够充分,除了磨练全终端安全技术外,在设计零信任方案之初,考虑到零信任部署的着陆问题,具有更轻、更易着陆、超稳定的特性,使用户成为零信任架构的“重”,消除对“难着陆”的疑虑1.更轻的一套平台可满足多场景零信任安全建设的需求;2.易着陆配置简单,一体化交付,对现有网络的变更小;3.支持超稳定百万级同步访问,支持架构扩展,可持续“增长”。本着坚定的信念,本着零信任的理念,构建一个安全、稳定、可控的政务外网络安全环境,从整体上解决终端数据安全问题,实现操作简单、自由访问和安全并存,共同构建更加强大的政务网络终端安全。
文章评论