一、实施背景
近年来,随着我省“数字政府”建设不断深化、非涉密专网向电子政务外网整合迁移工作和政务数据共享交换工作持续推进,在放管服改革领域,真正实现了“让群众和企业少跑腿,让数据多跑路”。与此同时,办公终端采购需求增加也使得各级政务部门资金越发紧张。且很多单位终端未实现安全规范的管控措施,发生安全事件后无法及时处置和追踪溯源,存在较大安全风险隐患。通过对我省电子政务外网开展常态化安全监测分析,监测信息中超过80%的安全告警来自政务外网终端,经调查分析,终端安全事件大部分是政务外网终端存在违规外联(同一政务外网终端在未做安全防护的情况下能够同时访问政务外网和互联网)造成,导致政务外网终端成为网络黑客攻击的跳板,将互联网威胁引入政务外网中,进而导致政务外网上承载的应用系统和政务数据被攻击和窃取,对政务外网整体安全带来较大风险隐患。。贵州省信息中心深入贯彻习近平总书记关于网络强国的重要思想,以总体国家安全观为统领,坚持发展与安全并重,加快研究推进政务外网终端安全管控体系建设,进一步提升政务外网安全保障整体水平。在国家信息中心的指导下,参照《政务外网终端一机两用安全管控技术指南GW0015-2022》相关要求,统筹推进黔东南州、黔南州和黔西南州开展电子政务外网终端一机两用试点,通过建设零信任平台对政务外网终端实现严格安全管控,有效杜绝违规外联情况,最大程度消除终端安全风险隐患,提升电子政务外网整网安全防护水平。
二、实施目标
政务外网终端“一机两用”安全管控是贵州承接的国家试点任务。通过构建我省政务外网终端一机两用安全管控体系,大幅提升各级政府行政办公效率和终端安全防护水平。
一是实现行政办公提质增效。政务外网终端”一机两用“较普通办公单机使用能减少一半数量的购置费用,显著减少财政支出。政务外网终端既可安全访问政务外网业务,也可访问互联网或其他网络,大幅提升行政办公效率。
二是实现政务外网终端安全可控。采取准入控制(包括身份认证、终端安全检查、资源访问控制等)、终端安全隔离(包括网络隔离、会话隔离、数据隔离等)措施,以及沙箱技术,实现政务外网终端接入安全审查和敏感业务数据的隔离。同时,实现对问题终端的精准阻断,对安全风险追踪溯源。
三是实现政务外网终端一体化管控。按照“统一标准、多级部署、分层管控”的原则,在省市两级分别部署政务外网终端一机两用管控平台,针对骨干网、城域网、局域网,构建边界检测、边界控制及终端安全防护管控体系。
三、建设内容
一是采用准入控制、安全隔离措施,实现政务外网终端“一机两用”安全可控。贵州省信息中心统一安全技术架构,在三个试点市州政务外网建设运维管理单位侧部署建设零信任管理平台和零信任安全网关,在各政务外网接入单位政务外网终端安装零信任客户端,形成边界安全检测、终端接入认证和终端安全防护技术体系:零信任管理平台提供用户管理、终端管理、应用管理、策略管理、数据安全防护、动态权限控制等能力;零信任安全网关为政务外网终端和业务系统提供准入控制能力,包括终端身份鉴别、访问控制、数据加密传输、重要应用保护等,实现对政务外网终端有效准入控制,并对异常终端快速定位、溯源及审计;零信任客户端为政务外网终端提供准入控制和网络隔离、会话隔离、数据隔离能力。实现对本级政务外网终端统一安全管控,改变了原来由各政务部门分散管控模式,大幅提升政务外网终端安全管控能力和水平。
二是采用分级分层管控模式构建政务外网终端”一机两用“安全体系。省市两级政务外网建设运维管理单位在广域网边界构建安全检测设施,对政务外网终端访问流量进行安全检测,重点实现对异常或恶意行为进行告警,重大应急情况下的实施阻断;在城域网边界构建统一终端控制设施,对本级政务外网终端实施终端接入认证、终端安全隔离、访问控制和整体监控,具备对问题终端精准阻断能力;在各政务部门局域网内,对政务终端实施终端准入控制、终端安全隔离,实现对终端进行有效安全管控,保障政务外网终端访问安全性。
四、实施效果
贵州省相关市州采用统一建设模式部署“一机两用”平台后,具备政务外网终端认证准入、合规检查、跨网访问、违规外联、终端溯源、终端数据保护等安全能力,部署应用终端30000余台。“一机两用”平台的建设,在节约终端采购成本、提升办公效率和降低终端安全风险方面成效明显。一是相较传统终端使用模式,终端接入“一机两用”平台后为各级政务部门减少一半数量的终端采购,三个试点市州节约采购成本上亿元,显著减少财政支出;二是为政务部门提供了安全、便捷、高效的一机两用接入通道,政务部门工作人员可在政务外网和互联网等其他网络无缝切换,显著提升了行政办公效率,从而进一步提升政务服务效能。三是通过省级电子政务外网安全监测平台监测发现,三个试点市州部署应用一机两用平台后,终端安全事件告警数量相比同期降低50%,为全省政务外网安全稳定运行提供了有力支撑。