你們單位的電腦是不是既可以訪問政務外網，又能訪問互聯網？如果是的話，你就要小心“一機兩用”帶來的安全風險了：

攻防演練中，員工的電腦在訪問互聯網時被紅方攻破，成為紅方黑進政務外網的跳板，導致單位領導被問責；

日常辦公中，員工復制業務應用中的敏感數據，投喂給免費的AI大模型，導致機密數據泄露；

員工離職時，私自將源代碼、客戶資料、設計圖紙等數據拷貝到U盤中，用于非法牟利…..

這些情況絕非危言聳聽，政務終端“一機兩用”的安全風險遠比想象中嚴峻。2020年，在統計面向地方政務外網發布的103起網絡安全通報中顯示，80%的安全事件是由于終端感染木馬病毒或被控從而在政務外網進行橫向滲透攻擊。毫不夸張的說，“一機兩用”搞不好，安全事件少不了。

為了保證政務外網安全，國家連出重拳，先后頒布了《政務外網終端一機兩用安全管控技術指南》、《政務移動辦公系統安全技術規范》等規章制度，對“一機兩用”提出了明確的安全要求。

但是，想要切實落地監管要求，保證“一機兩用”的安全性，卻需要解決一系列的技術挑戰。

“一機兩用”的技術挑戰

做好政務外網終端“一機兩用”的安全管控，需要從安全隔離、身份認證、終端安全、傳輸加密、訪問控制五個方向同時發力。

1.安全隔離

政務外網終端在“一機兩用”的情況下，必須具備全面的安全隔離能力：

應采用沙箱技術，確保終端訪問政務外網敏感應用系統下載的數據只能落入沙箱加密隔離存放，且數據使用和外發行為受控，防止終端數據泄露，且沙箱所使用密碼技術應滿足國家密碼應用的標準要求；

應支持會話隔離，確保每個終端訪問政務外網時采用唯一會話，可通過添加有效期內唯一的會話狀態信息來實現；

應支持網絡隔離，確保終端獲得準入授權后通過安全隧道訪問政務外網，不能同時訪問互聯網或與互聯網連通的其他網絡。

2.身份認證

終端接入政務外網之前，須完成對用戶、設備的身份認證，非授權的用戶、設備不允許接入政務外網：

接入政務外網的用戶終端應具備唯一標識，唯一標識的信息應至少包括使用者信息和終端設備信息，并實現用戶與終端實名綁定，以便后續審計溯源；

應采用口令認證、密碼技術、生物技術或MAC地址認證等鑒別技術對用戶進行認證；

登錄用戶的身份鑒別信息應具有復雜度要求并定期更換。

3.終端安全檢查

終端接入政務外網之前，應全面檢查終端的安全情況，不符合要求的終端不允許接入政務外網：

應檢查終端是否安裝運行了防病毒軟件；

應檢查終端是否存在弱口令賬戶；

應檢查終端是否運行了惡意進程或軟件；

應檢查終端是否存在未修復的高危漏洞。

4.傳輸加密

終端接入通過身份認證和安全檢查后，應采用密碼技術保證通信傳輸安全：

應采用密碼技術保證數據在傳輸過程中的保密性,包括但不限于鑒別數據、重要業務數據和重要個人信息等；

應當支持國密算法，并滿足國家密碼應用的標準要求。

5.資源訪問控制

終端接入政務外網后，應實現應用訪問控制，應當滿足以下要求：

終端接入政務外網時，應實現基于用戶的資源訪問控制，并實現最小授權；

可對終端環境進行持續檢測和評估，根據評估情況動態調整其權限。

芯盾時代政務外網“一機兩用”零信任解決方案

面對以上安全挑戰，桌面云、VPN等傳統解決方案要么安全性不足、運維管理難，要么改造難度大、擴容不方便，難以一站式解決政務外網終端“一機兩用”的安全挑戰。

芯盾時代作為領先的零信任業務安全產品方案提供商，在終端安全領域擁有領先的技術和深厚的經驗，賦予了零信任業務安全產品方案全面的終端安全能力。基于用戶身份與訪問管理平臺（IAM）、零信任安全網關（SDP）等產品，芯盾時代推出了政務外網“一機兩用”零信任解決方案，幫助各級政務部門一站式解決網絡隔離、身份認證、終端安全、加密傳輸、訪問控制5大安全難題，讓線上政務更安全。

與傳統解決方案相比，芯盾時代政務外網“一機兩用”零信任解決方案具備“輕量化、高彈性、全可控、更安全”的特點，能夠幫助各級政務部門在業務應用低改造、甚至0改造的情況下，一站式實現以下功能：

1.三種安全隔離，安全“一機兩用”

芯盾時代SDP客戶端中內置安全沙箱，能夠在終端設備中構建與本地空間完全隔離的安全工作空間，實現“數據不落地”，并實施禁止復制、禁止截屏、禁止打印、外發審批等行為管控，阻斷數據外發。借助安全沙箱，政務部門確保每個終端訪問政務外網時采用唯一會話，實現會話隔離。

芯盾時代SDP具備“網絡隔離”功能，當用戶登錄客戶端訪問政務外網時，禁止終端設備訪問互聯網，避免終端設備上網時感染病毒，成為攻擊政務外網的“跳板”。

2.識別設備身份，強化身份認證

憑借設備指紋技術，政務部門能夠通過SDP客戶端精準標識設備身份，發現非常用設備登錄、多用戶通過同一設備登錄等風險行為，限制單個用戶最多使用的設備數量，還能夠在攻防演練中開啟設備審批功能，禁止不可信設備接入系統。

芯盾時代IAM具備全面的身份管理能力，能夠統一管理業務應用的身份信息。借助身份認證App，政務部門能夠一站式實施全局多因素認證，為員工提供短信驗證碼、動態口令、App掃碼、指紋識別、人臉識別等多種認證方式，提升身份認證的安全性和便捷性。借助統一應用門戶和單點登錄功能，員工能夠通過統一門戶直接訪問權限內的業務應用，實現“一次認證、全網通行”。

借助IAM，政務部門可以實施全局統一的密碼策略，通過限制密碼字符構成與長度、強制定期改密等方式提升密碼安全性，消除弱口令帶來的安全風險。

3.監測安全態勢，保障終端安全

憑借終端威脅態勢感知技術，芯盾時代SDP客戶端能夠識別政務外網終端設備是否安裝了殺毒軟件，是否存在遠程控制軟件、模擬器、程序雙開、攻擊框架、Root/越獄等風險，是否加入指定域控，是否安裝了操作系統補丁。在訪問過程中，客戶端持續監測終端安全態勢、用戶操作行為，為安全控制中心提供終端側的風險信息。

4.數據加密傳輸，支持國密算法

芯盾時代SDP采用應用代理和SPA單包授權技術，由網關統一代理業務應用訪問流量，同時對所有連接網關的設備進行預認證，不通過認證不開放端口，實現業務應用和網關雙重“隱身”，減少遭受網絡攻擊的風險。

通過認證后，芯盾時代SDP能在客戶端與網關之間建立加密隧道，保證數據通過互聯網安全傳輸。加密隧道采用國密算法，讓數據傳輸更加安全可控。

5.動態訪問控制，阻斷非法訪問

芯盾時代IAM具備全面的身份管理能力，支持RBAC、ABAC、ACL等多種權限管理模型，權限管理能力細至URL，幫助企業落實“最小化授權”，精準管控數據資源的訪問權限，杜絕越權訪問。

借助芯盾時代SDP的動態訪問控制能力，企業能夠結合登錄時間、設備狀態等上下文信息，靈活設置訪問控制策略，自適應執行阻斷、二次認證、權限收斂等控制策略，保證訪問的安全性。

芯盾時代政務外網“一機兩用”零信任解決方案擁有完全自主知識產權，不但符合《政務外網終端一機兩用安全管控技術指南》、《政務移動辦公系統安全技術規范》的要求，還滿足網絡安全等級保護、密碼應用安全性評測的相關要求，能夠支撐各級政務部門的信創建設。

政務終端安全不僅是技術問題，更是系統性風險管理工程。芯盾時代政務外網"一機兩用"零信任解決方案能夠幫助各級政務部門輕、快、好、省的建立政務外網訪問體系，為數字政府建設提供安全保障。