中标喜讯 | 芯盾时代中标中国电信某省公司电子政务外网零信任安全系统 兼顾自由与安全

“星标”芯盾时代可以第一时间接收我们的新鲜推文

芯盾时代中标中国电信某省公司电子政务外网零信任安全系统，针对客户的各类业务场景构建一体化“零信任”动态访问控制体系，最大限度缩小攻击暴露面、降低安全管理成本、增强对应用系统的访问保护。

项目背景

随着“互联网+政务服务”的不断深化和持续推进，政务服务效率得到了有效提升。各级政务部门终端要同时连接政务外网和互联网（简称“一机两用”），使得我们人为的在政务外网与互联网上搭建了一个传输平台，暴露出了政务外网安全、终端安全和运维管理等方面的问题。

终端威胁：通常政务外网“一机两用”的终端能够同时连接政务外网和互联网，这就意味着用户在访问政务外网时，也可以访问互联网；政务外网终端极易感染病毒和木马从而将威胁引入到政务外网中，带来严重的安全隐患

数据泄露：政务外网“一机两用”终端上互联网与政务外网是互通的，因此也可能会有政务外网访问人员将政务网的数据和内容发布到互联网中带来数据外泄的风险，因此政府敏感信息外泄的事件也有时有发生，造成的损失不可估量。

芯盾时代零信任统一用户认证平台

基于以上项目背景，芯盾时代采用零信任业务安全解决方案，构建中国电信某省公司的零信任统一用户认证平台。其中由IAM提供统一身份管理、单点登录、统一数据管理、数据同步等能力；SDP提供安全传输、应用代理、动态访问控制等能力，并实现业务全流程的实时身份风险防控，满足客户不同业务场景、模式下的动态访问控制。

功能概述

a) 终端安全隔离：SDP支持网络隔离，根据业务应用网络专线进行划区域访问，确保终端获得准入授权后通过安全隧道访问政务外网，不能同时访问其他网络。同时，芯盾时代采用沙箱技术，对用户在访问敏感应用系统下载的数据只能进入沙箱加密隔离存放，控制数据使用和外发行为，进而防止终端数据泄露，沙箱所使用密码技术满足国家密码应用的标准要求。

b) 身份认证：从身份、设备、行为等多维感知用户终端环境，确保接入的终端设备均为可信设备，对接入政务外网的用户终端生成唯一标识，将用户身份与终端进行实名绑定，支持账户口令认证、CA证书认证、扫码认证、短信认证、生物识别、MAC认证等身份认证方式，用户终端接入政务外网进行身份认证满足了等保要求，实现业务系统的单点登录，让员工“一次认证，全网通行”。

c) 资源访问控制：基于用户身份和设备身份对访问者做应用资源级权限控制，能够按照重要程度，为不同应用、应用中的不同页面配置不同的安全策略，从应用侧出发，实现访问权限的精细化管控，减少过度授权带来的安全风险。

d) 终端检测：SDP采用SPA单包授权技术，默认拒绝一切连接，不响应未经过验证设备和用户的访问请求，使攻击者无法找到服务地址和端口。SPA单包授权技术与应用访问代理配合，实现网关自身和应用资源的双重隐藏，让企业“网络隐身”。

芯盾时代零信任业务安全解决方案已成功在运营商、金融、国/央企、能源等各个行业得到广泛认可，将“以人为核心的业务安全理念”与企业业务系统深入融合，不断提升企业业务系统的可用性和安全性，为客户提供智能、安全、可信的业务安全防护。

往期 · 推荐

中标喜讯 | 芯盾时代承建中国联通某省分公司零信任业务安全平台

中标喜讯 | 芯盾时代再度中标中国电信 零信任助力数字城市网络安全体系建设

中标喜讯 | 芯盾时代中标北京协和医院 零信任安全助力医疗信息化安全

夯实身份安全基座，升级零信任安全体系丨芯盾时代全员更换中国移动超级SIM卡