股票代码:688225
打开微信“扫一扫”,开启安(ān)全数字世界之旅
截图或長(cháng)按保存至相册,使用(yòng)微信扫一扫
护航甘肃省人民(mín)政府電(diàn)子政務(wù),亚信安(ān)全SDP助力构建“零信任”安(ān)全防御體(tǐ)系
发布时间 :2021年05月31日
类型 :公(gōng)司新(xīn)闻
分(fēn)享:
伴随传统网络安(ān)全边界消失、外部网络攻击加剧,“零信任”作(zuò)為(wèi)一种有(yǒu)效的应对策略,已经成為(wèi)政企用(yòng)户突破安(ān)全攻防博弈瓶颈,推进网络安(ān)全创新(xīn)建设的“必选项”。在此背景下,甘肃省人民(mín)政府政務(wù)服務(wù)平台采用(yòng)亚信安(ān)全零信任访问控制系统(AIS-SDP),形成了以身份安(ān)全為(wèi)核心,对全域全流程进行安(ān)全业務(wù)访问,动态访问控制,持续信任度量的零信任身份安(ān)全管理(lǐ)體(tǐ)系,為(wèi)電(diàn)子政務(wù)业務(wù)运营提供了强有(yǒu)力支撑。
确保電(diàn)子政務(wù)安(ān)全,严把网络接入关
随着技(jì )术的发展,政務(wù)服務(wù)也在进一步深化数字化改革,致力于打造方便、高效、可(kě)靠的政務(wù)服務(wù)系统,為(wèi)实现“让数据多(duō)跑路,群众少跑腿”的目标而努力。但随着应用(yòng)系统的覆盖范围、数据交换范围与用(yòng)户群體(tǐ)的扩大,政務(wù)服務(wù)系统的访问控制与数据安(ān)全等问题,已成為(wèi)当前甘肃省人民(mín)政府電(diàn)子政務(wù)平台的关注重点。
数据交换安(ān)全
甘肃省提出依托一體(tǐ)化在線(xiàn)政務(wù)服務(wù)平台统一受理(lǐ)“跨省通办(bàn)”“省内通办(bàn)”数据共享需求,除现行法律法规另有(yǒu)规定或涉及國(guó)家秘密和安(ān)全等外,省直有(yǒu)关部门一律面向市州提供履行职责需要的数据共享服務(wù),这就需要对使用(yòng)数据的用(yòng)户提采用(yòng)先认证后访问的要求。
遠(yuǎn)程办(bàn)公(gōng)安(ān)全
遠(yuǎn)程接入用(yòng)户角色众多(duō),需要进行规范化、最小(xiǎo)化的访问权限设定,避免用(yòng)户权限过大,暴露过多(duō)内网业務(wù),带来核心业務(wù)被攻击的风险。因此,用(yòng)户接入内网后,需要对访问行為(wèi)进行安(ān)全审计,发现可(kě)疑、异常访问行為(wèi)需要进行及时阻断或者二次确认用(yòng)户身份。
运维管理(lǐ)安(ān)全
政務(wù)云的性质(zhì)就决定了依托在其上数据的高度敏感性,这些数据都存储在不同的资源上,且有(yǒu)着严格的使用(yòng)权限规定,相应的人员只能(néng)操作(zuò)相应权限的资源,不可(kě)以越权操作(zuò)。因此,需要将互联网运维入口保护在网络隐身环境中(zhōng),拒绝所有(yǒu)互联网请求,只允许注册运维管理(lǐ)员从已注册的终端上发起运维操作(zuò)。
以身份认证為(wèi)核心,改变传统访问方式
针对甘肃省人民(mín)政府電(diàn)子政務(wù)平台的安(ān)全保障需求,亚信安(ān)全提供了以AIS-SDP零信任访问控制系统為(wèi)核心的解决方案,為(wèi)甘肃政務(wù)网络构建了安(ān)全的遠(yuǎn)程办(bàn)公(gōng)环境。该系统采用(yòng)网络隐身技(jì )术全面防护业務(wù)服務(wù)和运维服務(wù),实现了只有(yǒu)“正确的人在正确地时间从正确地终端上才能(néng)访问”的效果,有(yǒu)效保障了从互联网上办(bàn)理(lǐ)业務(wù)的安(ān)全性和便捷性,在互联网上提供了专网级别的安(ān)全保障,极大丰富和拓展了政務(wù)服務(wù)时间范围和地域范围,為(wèi)政務(wù)服務(wù)业務(wù)办(bàn)理(lǐ)和运维提供了良好支撑。
以下是甘肃政務(wù)平台SDP项目建设实现的具(jù)體(tǐ)过程:
在互联网政務(wù)服務(wù)出口处和运维入口部署亚信安(ān)全AIS-SDP系统,通过SDP“先认证后连接”的安(ān)全机制,确保必须是合法用(yòng)户通过合法终端才能(néng)进入网络进行访问。
AIS-SDP采用(yòng)SPA了单包授权技(jì )术,突破以往网络访问必须先建立网络连接才能(néng)进行身份认证的方式,强制实施“先认证后连接”模型,该模型弥补了TCP/IP开放且不安(ān)全性质(zhì)的不足。SPA是一种轻量级安(ān)全协议,在允许访问控制器或网关等相关系统组件所在的网络之前先检查设备或用(yòng)户身份。从而保证未经认证的所有(yǒu)请求均会被丢弃,只有(yǒu)在连接前已经预先完成认证的请求才能(néng)被允许。而没有(yǒu)经过预认证,目标地址是不存在的,如同在网络中(zhōng)隐身一样。这样,从互联网上的攻击,例如网络扫描、漏洞扫描、工(gōng)具(jù)攻击、脚本攻击等都失效,从而极大程度上保障通讯安(ān)全。
為(wèi)電(diàn)子政務(wù)深化应用(yòng)护航,安(ān)全与效率双提升
近年来,我國(guó)電(diàn)子政務(wù)在治國(guó)理(lǐ)政新(xīn)实践中(zhōng)发挥越来越重要的作(zuò)用(yòng),已成為(wèi)创新(xīn)服務(wù)模式、提升行政效能(néng)、推进國(guó)家治理(lǐ)體(tǐ)系和治理(lǐ)能(néng)力现代化的重要支撑。预计“十四五”时期,電(diàn)子政務(wù)将进入“数据赋能(néng)、协同联动、服務(wù)优化、安(ān)全可(kě)控”的新(xīn)阶段。
针对亚信安(ān)全“零信任”系统的使用(yòng)效果,電(diàn)子政務(wù)平台的网络运维人员表示:“零信任系统落地后,实现了各委办(bàn)局内政務(wù)人员从互联网上进行政務(wù)公(gōng)告发布、政務(wù)审批等业務(wù)办(bàn)理(lǐ),提供了从互联网上进行专网级别的安(ān)全接入和通讯保障。目前,已经為(wèi)50多(duō)个委办(bàn)局的业務(wù)人员和内部运维人提供安(ān)全的遠(yuǎn)程接入服務(wù),服務(wù)总人数超过1000人,為(wèi)甘肃政務(wù)互联网服務(wù)提供了安(ān)全防护屏障,实现了安(ān)全管理(lǐ)与运维效率的双提升。”
分(fēn)享到微信
X