信息化觀察網(wǎng)

一、實施背景

近年來，隨著我省“數(shù)字政府”建設(shè)不斷深化、非涉密專網(wǎng)向電子政務(wù)外網(wǎng)整合遷移工作和政務(wù)數(shù)據(jù)共享交換工作持續(xù)推進，在放管服改革領(lǐng)域，真正實現(xiàn)了“讓群眾和企業(yè)少跑腿，讓數(shù)據(jù)多跑路”。與此同時，辦公終端采購需求增加也使得各級政務(wù)部門資金越發(fā)緊張。且很多單位終端未實現(xiàn)安全規(guī)范的管控措施，發(fā)生安全事件后無法及時處置和追蹤溯源，存在較大安全風險隱患。通過對我省電子政務(wù)外網(wǎng)開展常態(tài)化安全監(jiān)測分析，監(jiān)測信息中超過80%的安全告警來自政務(wù)外網(wǎng)終端，經(jīng)調(diào)查分析，終端安全事件大部分是政務(wù)外網(wǎng)終端存在違規(guī)外聯(lián)（同一政務(wù)外網(wǎng)終端在未做安全防護的情況下能夠同時訪問政務(wù)外網(wǎng)和互聯(lián)網(wǎng)）造成，導致政務(wù)外網(wǎng)終端成為網(wǎng)絡(luò)黑客攻擊的跳板，將互聯(lián)網(wǎng)威脅引入政務(wù)外網(wǎng)中，進而導致政務(wù)外網(wǎng)上承載的應用系統(tǒng)和政務(wù)數(shù)據(jù)被攻擊和竊取，對政務(wù)外網(wǎng)整體安全帶來較大風險隱患。。貴州省信息中心深入貫徹習近平總書記關(guān)于網(wǎng)絡(luò)強國的重要思想，以總體國家安全觀為統(tǒng)領(lǐng)，堅持發(fā)展與安全并重，加快研究推進政務(wù)外網(wǎng)終端安全管控體系建設(shè)，進一步提升政務(wù)外網(wǎng)安全保障整體水平。在國家信息中心的指導下，參照《政務(wù)外網(wǎng)終端一機兩用安全管控技術(shù)指南GW0015-2022》相關(guān)要求，統(tǒng)籌推進黔東南州、黔南州和黔西南州開展電子政務(wù)外網(wǎng)終端一機兩用試點，通過建設(shè)零信任平臺對政務(wù)外網(wǎng)終端實現(xiàn)嚴格安全管控，有效杜絕違規(guī)外聯(lián)情況，最大程度消除終端安全風險隱患，提升電子政務(wù)外網(wǎng)整網(wǎng)安全防護水平。

二、實施目標

政務(wù)外網(wǎng)終端“一機兩用”安全管控是貴州承接的國家試點任務(wù)。通過構(gòu)建我省政務(wù)外網(wǎng)終端一機兩用安全管控體系，大幅提升各級政府行政辦公效率和終端安全防護水平。

一是實現(xiàn)行政辦公提質(zhì)增效。政務(wù)外網(wǎng)終端”一機兩用“較普通辦公單機使用能減少一半數(shù)量的購置費用，顯著減少財政支出。政務(wù)外網(wǎng)終端既可安全訪問政務(wù)外網(wǎng)業(yè)務(wù)，也可訪問互聯(lián)網(wǎng)或其他網(wǎng)絡(luò)，大幅提升行政辦公效率。

二是實現(xiàn)政務(wù)外網(wǎng)終端安全可控。采取準入控制（包括身份認證、終端安全檢查、資源訪問控制等）、終端安全隔離（包括網(wǎng)絡(luò)隔離、會話隔離、數(shù)據(jù)隔離等）措施，以及沙箱技術(shù)，實現(xiàn)政務(wù)外網(wǎng)終端接入安全審查和敏感業(yè)務(wù)數(shù)據(jù)的隔離。同時，實現(xiàn)對問題終端的精準阻斷，對安全風險追蹤溯源。

三是實現(xiàn)政務(wù)外網(wǎng)終端一體化管控。按照“統(tǒng)一標準、多級部署、分層管控”的原則，在省市兩級分別部署政務(wù)外網(wǎng)終端一機兩用管控平臺，針對骨干網(wǎng)、城域網(wǎng)、局域網(wǎng)，構(gòu)建邊界檢測、邊界控制及終端安全防護管控體系。

三、建設(shè)內(nèi)容

一是采用準入控制、安全隔離措施，實現(xiàn)政務(wù)外網(wǎng)終端“一機兩用”安全可控。貴州省信息中心統(tǒng)一安全技術(shù)架構(gòu)，在三個試點市州政務(wù)外網(wǎng)建設(shè)運維管理單位側(cè)部署建設(shè)零信任管理平臺和零信任安全網(wǎng)關(guān)，在各政務(wù)外網(wǎng)接入單位政務(wù)外網(wǎng)終端安裝零信任客戶端，形成邊界安全檢測、終端接入認證和終端安全防護技術(shù)體系：零信任管理平臺提供用戶管理、終端管理、應用管理、策略管理、數(shù)據(jù)安全防護、動態(tài)權(quán)限控制等能力；零信任安全網(wǎng)關(guān)為政務(wù)外網(wǎng)終端和業(yè)務(wù)系統(tǒng)提供準入控制能力，包括終端身份鑒別、訪問控制、數(shù)據(jù)加密傳輸、重要應用保護等，實現(xiàn)對政務(wù)外網(wǎng)終端有效準入控制，并對異常終端快速定位、溯源及審計；零信任客戶端為政務(wù)外網(wǎng)終端提供準入控制和網(wǎng)絡(luò)隔離、會話隔離、數(shù)據(jù)隔離能力。實現(xiàn)對本級政務(wù)外網(wǎng)終端統(tǒng)一安全管控，改變了原來由各政務(wù)部門分散管控模式，大幅提升政務(wù)外網(wǎng)終端安全管控能力和水平。

二是采用分級分層管控模式構(gòu)建政務(wù)外網(wǎng)終端”一機兩用“安全體系。省市兩級政務(wù)外網(wǎng)建設(shè)運維管理單位在廣域網(wǎng)邊界構(gòu)建安全檢測設(shè)施，對政務(wù)外網(wǎng)終端訪問流量進行安全檢測，重點實現(xiàn)對異常或惡意行為進行告警，重大應急情況下的實施阻斷；在城域網(wǎng)邊界構(gòu)建統(tǒng)一終端控制設(shè)施，對本級政務(wù)外網(wǎng)終端實施終端接入認證、終端安全隔離、訪問控制和整體監(jiān)控，具備對問題終端精準阻斷能力；在各政務(wù)部門局域網(wǎng)內(nèi)，對政務(wù)終端實施終端準入控制、終端安全隔離，實現(xiàn)對終端進行有效安全管控，保障政務(wù)外網(wǎng)終端訪問安全性。

四、實施效果

貴州省相關(guān)市州采用統(tǒng)一建設(shè)模式部署“一機兩用”平臺后，具備政務(wù)外網(wǎng)終端認證準入、合規(guī)檢查、跨網(wǎng)訪問、違規(guī)外聯(lián)、終端溯源、終端數(shù)據(jù)保護等安全能力，部署應用終端30000余臺。“一機兩用”平臺的建設(shè)，在節(jié)約終端采購成本、提升辦公效率和降低終端安全風險方面成效明顯。一是相較傳統(tǒng)終端使用模式，終端接入“一機兩用”平臺后為各級政務(wù)部門減少一半數(shù)量的終端采購，三個試點市州節(jié)約采購成本上億元，顯著減少財政支出；二是為政務(wù)部門提供了安全、便捷、高效的一機兩用接入通道，政務(wù)部門工作人員可在政務(wù)外網(wǎng)和互聯(lián)網(wǎng)等其他網(wǎng)絡(luò)無縫切換，顯著提升了行政辦公效率，從而進一步提升政務(wù)服務(wù)效能。三是通過省級電子政務(wù)外網(wǎng)安全監(jiān)測平臺監(jiān)測發(fā)現(xiàn)，三個試點市州部署應用一機兩用平臺后，終端安全事件告警數(shù)量相比同期降低50%，為全省政務(wù)外網(wǎng)安全穩(wěn)定運行提供了有力支撐。