中孚零信任体系为政务数据资源集中管理筑牢安全屏障

在现实世界中，每个人都有不同的证件，不同的场合需要出具不同的证件。在数字世界也一样，每个用户都有多种不同认证级别的数字身份，根据不同的应用场景使用不同的身份证书用于身份认证，如业务系统可以根据用户申请访问的数据性质，要求用户提供对应认证级别的身份证书。

随着智慧城市等新基建战略的提出，依托于政务外网的城市数字大脑、政务大数据中心等基础设施近年来在各省市快速部署发展，当前网络安全形势日益复杂，智慧政务的网络安全建设的重要性日益凸显。为保障智慧政务的可持续发展，构建以网络安全监测为核心，涵盖预警通报、响应处置、监测评估和预警保障等环节的全周期网络安全保障体系成为新型数字政府建设的重要任务。

根据国家网络安全建设相关要求，某行政区针对电子政务外网进行了基于零信任理念的安全防护和运行管理的建设，实现了设备的安全接入、环境的持续感知，身份的动态评估和访问授权，从技术、管理、服务等方面进一步提升了政务系统的安全管控能力和应急响应能力，提高了政务外网的安全防护和保障能力。

如何规范和促进政务数据资源的归集共享，提高行政效率和服务效能，推进数字政府建设，结合我国《密码法》对关键信息基础设施必须采用商用密码进行保护的要求，常规的五种实施建议是：

01

依据零信任原则实现身份认证和身份管理。

02

办公电脑/服务器须拥有有可信数字身份(身份证书)。

03

注重网络流量安全，加密所有http流量。

04

所有应用软件、政务服务设备的远程升级软件都必须有数字签名。

05

为了防止数据被滥用，把重要数据加密存放、数字签名加时间戳签名。

以上举措当然能够较为有效地对政务数据进行初步安全防护，但如何从系统理念、架构设计入手，对政务系统的政务外网网络进行更严密的安全防护，需要更成熟完善的新型安全防护解决方案。从现阶段国家政策及政务办公系统的安全需求出发，中孚零信任整体解决方案结合零信任理念和政务外网安全现状，设计了政务外网网络的安全防护和运行管理平台建设架构。

有效防范多重风险挑战

中孚零信任护航政务数据安全新未来

方案首先对政务系统总体框架进行了阐述，结合网络安全责任制、网络安全保障体系、网络安全保障能力、网络安全监管等方面的建设要求和零信任的理念，从采集防护、安全控制、安全运营大脑及服务支撑体系等方面进行了建设描述，最终构建出基于零信任的网络安全防护架构。该架构提高了整体网络的可信接入和威胁感知能力，并可提供及时的响应机制，保障政务外网网络的安全可靠运行。

方案具有普适性，可广泛应用于电子政务、电子商务、移动办公和智慧城市等多个领域，为包括内部人员、合作伙伴在内的所有用户提供便捷、安全、可信的接入通道，安全认证机制、环境感知和动态评估及访问控制机制，从而保护系统的核心数据资产。

01

基于零信任架构设计的安全移动办公接入功能，真正实现了用户身份及权限的实时认证和动态调整，保障了数据的“完整性、机密性”传输，针对疫情常态化下的移动办公情景，打造了用户安全无感接入、资源一站式访问，随时随地便捷办公环境。

02

方案基于零信任理念设计开发，关键安全产品不依赖CPU、操作系统，可有效解决传统的安全边界防护设备自身的漏洞问题，免疫现在所有的基于软件的网络攻击行为，包括所有的软件0-day漏洞攻击行为。同时产品基于符合国家密码要求的商用密码应用，实现对网络的密码防护，满足零信任安全防护和密码测评的需求。

03

安全管理与运行监管平台支持异构数据采集，兼容多种设备，还支持信创体系下的安全管理与监管，通过判定基线的精准化实现告警的精准化，从“上帝视角”多维度看待问题，探测隐藏风险事件，实现对网络运行环境的持续感知和风险评估，并结合接入控制设备实现动态授权。本平台通过工单系统实现运维事件闭环监控，全程监控管理，实现安全的可管、可控、可视、可调度、可持续，带来所见即所得的安全价值。

04

基于零信任理念构建环境感知能力、持续认证能力、动态访问控制能力、业务资源隐藏和安全访问能力。零信任政务网的安全防护与运行监管平台实现对大数据中心政务外网传输数据监测，从中发现网络安全、数据安全问题，并借助智能分析技术，形成持续监测、联动响应的运营闭环。同时，本平台对政务外网进行主动风险评估、网络安全全面感知、监测预警、分析研判和安全协同，构建政务外网一体化联防联控。

   

提升安全保障能力

树立政务数据集中运营模式新标杆

经过3个月的部署、调试、测试、优化，近日，基于“零信任”的政务外网网络安全运行管理平台已正式上线。该平台增强了对访问主体的身份、网络环境、终端状态的动态验证和智能限制，提升了电子政务外网安全水平，从技术、管理、服务等各方面进一步提升了政务系统地安全管控能力和应急响应能力，切实为政务数字建设筑牢安全防线。

01

全面提升政务外网网络的安全保障能力及可控水平

基于零信任的安全防护和运行管理平台，融合了EDP/UEBA/NGFW等下一代安全设备的能力，可结合安全威胁情报，依据上下文数据进行用户行为深度分析，包括资产和漏洞分析、威胁和攻击分析、用户行为和业务行为分析等，根据时间情景知识库中以往事件的响应案例，进行自响应处置安全事件。以平台为依托，规范安全工作机制流程，健全组织机构和管理制度，提高人员的安全能力，打造以平台为核心，人员机制为辅的智能化、自动化安全平台，提高主动安全防御能力，让安全工作更有效率，让安全工作变得更方便，提高整体运营能力。

02

对于政务外网网络基于零信任的安全防护建设有重大示范效果

建设安全防护和运行管理平台为电子政务外网业务系统提供统一的安全管理服务和安全监管能力支撑，从云、管、端、应用等不同的关键节点提供全方位的安全保障支撑，实现系统安全防护的可管、可控、可视、可调度、可持续，为山东省乃至全国安全保障建设提供良好的示范效果。