一、需求来源

业务需求：

政务外网终端同时连接政务外网和互联网，存在“一台机器两种用途”场景；

安全需求：

政务外网终端容易成为网络攻击的桥梁，将互联网的安全风险引入政务外网中，可能导致跨网攻击、数据泄露等安全隐患，严重影响政务外网的安全。

政策合规：

2022年7月，国家电子政务外网管理中心发布《GW0015-2022政务外网终端一机两用安全管控技术指南》，建议实施基于零信任理念的一机两用方案，实现网络隔离、会议隔离和数据隔离；

二、解决方案

以联软科技UniSDP零信任访问控制系统为基础的《一机两用解决方案》，核心是“永不信任、持续验证”的零信任理念，通过接入认证、网络隔离、数据隔离、应用代理、统一管控等手段，解决局域网、5G专网、互联网接入三个场景下的零信任安全接入，提供更全面的安全、更优质的体验和更高效的管理。该方案包括以下内容：

零信任终端：

这里指的用户终端主要是“一机两用”终端，需在用户终端上部署零信任客户端，实现接入认证及入网安全检查、网络隔离和异常行为检测。

零信任安全网关：

主要实现接入验证、访问控制和网络隐身等，通过将业务隐藏在零信任安全网关之后，可以有效减少各级政务部门的业务暴露面，降低被入侵的风险。

零信任管理平台：

实现应用申请及发布管理、零信任客户端运维管理、评分动态授权等功能，以及终端安全策略的集中管理和下发。

统一身份认证：

各级政务部门需建立自身的统一身份认证系统，用于用户的准入认证，零信任体系与本部门已有的统一身份认证体系进行对接。

安全运维中心：

零信任管理平台与现网中的安全运维中心进行信息同步，包括但不限于网关信息及异构客户端信息的同步；零信任管理平台提供restful接口供安全运维平台等系统调用，提供风险评分输入、控制指令，指令包含用户下线、二次认证、权限降级等。

方案部署后：

• 更全面的安全：对接入终端进行认证，确保接入人员身份合法，终端禁止同时访问电子政务网络和互联网，阻断跨网攻击，数据安全沙箱加密隔离存放；
• 更优质的体验：终端一次接入认证，可一键切换网络，提高用户体验，高性能零信任安全网关支持分布式集群部署，保证用户接入速率；
• 更高效的管理：通过一套管理后台，实现终端安全防护一体化管理，降低管理复杂度。

三、业务价值与方案优势

方案节省投资：一套管理后台打造多种安全能力，一台网关实现多网业务代理转发，一台终端多网访问，降低系统建设费用，一套系统实现合规、安全、高效。

保护重点业务：隐藏真实地址与端口，缩小暴露面，重要应用基于角色的发布管理。

保障业务安全：确保网络安全、终端安全、数据安全，支持安卓、鸿蒙、UOS、麒麟等主流国产或非国产操作系统。

威胁精准溯源：基于终端DeviceID重塑威胁识别体系，将设备信息、用户信息在网络中“流转”，实现端点侧威胁的精准溯源。

提升业务效率：终端一次接入认证，操作便捷，一键切换网络。

高可用高扩展：云部署、集群等高可用部署，可扩展移动终端安全管理、终端安全管理等功能模块。

四、成功案例

国家信息中心、安徽省大数据中心、黑龙江省政务大数据中心、全国人大、中山市政务服务和数据管理局、汕头市政务服务和数据管理局、潮州市政务服务和数据管理局、湛江市政务服务和数据管理局、韶关市政务服务和数据管理局、清远市政务服务和数据管理局、吴川市政务服务数据管理局、黄冈市政务服务和大数据管理局等。