芯盾时代再度中标中国电信某省公司，增强电子政务外网的安全防线

芯盾时代再度中标中国电信某省公司电子政务外网零信任安全系统，针对客户面临的终端安全、访问控制和网络暴露面等问题，构建一体化“零信任”动态访问控制体系，最大限度缩小攻击暴露面、降低安全管理成本、增强对应用系统的访问保护。

项目背景

随着“互联网+政务服务”的不断深化和持续推进，政务服务效率得到了有效提升。各级政务部门终端要同时连接政务外网和互联网（简称“一机两用”），人为的在政务外网与互联网上搭建了一个传输平台，暴露出了政务外网安全、终端安全和运维管理等方面的问题。

终端威胁：通常政务外网“一机两用”的终端能够同时连接政务外网和互联网，这就意味着用户在访问政务外网时，也可以访问互联网；政务外网终端极易感染病毒和木马从而将威胁引入到政务外网中，带来严重的安全隐患

数据泄露：政务外网“一机两用”终端上互联网与政务外网是互通的，可能会有政务外网访问人员将政务网的数据和内容发布到互联网中带来数据外泄的风险，因此政府敏感信息外泄的事件也时有发生，造成的损失不可估量。

芯盾时代同中国电信已建立深厚的合作关系，基于以上项目背景，芯盾时代采用零信任业务安全解决方案，为中国电信某省公司构建零信任统一用户认证平台。其中由用户身份与访问管理（IAM）提供统一身份管理、单点登录、统一数据管理、数据同步等能力；零信任业务安全平台（SDP）提供安全传输、应用代理、动态访问控制等能力，并实现业务全流程的实时身份风险防控，满足客户不同业务场景、模式下的动态访问控制。

建设目标

a)终端安全隔离：SDP支持网络隔离，根据业务应用网络专线进行划区域访问，确保终端获得准入授权后通过安全隧道访问政务外网，不能同时访问其他网络。同时，芯盾时代采用沙箱技术，对用户在访问敏感应用系统下载的数据只能进入沙箱加密隔离存放，控制数据使用和外发行为，进而防止终端数据泄露，沙箱所使用密码技术满足国家密码应用的标准要求。

b)身份认证：从身份、设备、行为等多维感知用户终端环境，确保接入的终端设备均为可信设备，对接入政务外网的用户终端生成唯一标识，将用户身份与终端进行实名绑定，支持多种身份认证方式，用户终端接入政务外网进行身份认证满足了等保要求，实现业务系统的单点登录，让员工“一次认证，全网通行”。

c)资源访问控制：基于用户身份和设备身份对访问者做应用资源级权限控制，能够按照重要程度，为不同应用、应用中的不同页面配置不同的安全策略，从应用侧出发，实现访问权限的精细化管控，减少过度授权带来的安全风险。

d)终端检测：SDP采用SPA单包授权技术，默认拒绝一切连接，不响应未经过验证设备和用户的访问请求，使攻击者无法找到服务地址和端口。SPA单包授权技术与应用访问代理配合，实现网关自身和应用资源的双重隐藏，让企业“网络隐身”。

目前，该项目已经成功上线，有效提升了电子政务外网的业务安全和数据安全等。未来，芯盾时代持续更新迭代零信任安全体系，将“以人为核心的业务安全理念”与企业业务系统深入融合，不断提升企业业务系统的可用性和安全性，为客户提供智能、安全、可信的业务安全防护。