电子政务网认证解决方案


背景


  1、2014年11月13日,国家电子政务外网管理中心正式印发《接入政务外网的局域网安全技术规范》;要求有统一入口、统一认证以及安全审计;
  2、由国家信息中心牵头修订的《政务移动办公系统安全技术规范》规定了移动终端安全、移动接入安全,并融入对零信任等安全新技术应用的支持;
  3、2017年6月1日起施行网络安全法,从法律层面明确了网络提供者应按照网络安全等级保护制度,履行安全保护义务。

  终端安全问题突出。2019年8月份,国家电子政务外网管理中心组织开展政务外网边界安全检查专项工作,有60%的地方外网终端可以同时连接政务外网和互联网,边界安全形势十分严峻。
  2020年全各地方政务外网发布了103起网络安全通报,经溯源,其中80%的安全事件是由于终端感染木马病毒或被控制,从而在政务外网进行横向渗透攻击。另一方面,“一机两用”也导致政务外网数据可轻易的外泄至互联网中,不断带来数据外泄的风险。究其根本原因还是政务外网与互联网未采取隔离。
  终端安全问题已经成为政务外网中占比最高的安全问题,严重影响政务外网全网安全,亟需解决。

解决方案


  为了让各级政务外网建设顺利进行,打造真正便捷、高效、安全的接入体验,Dr.COM城市热点潜心研发出一套安全、高效的解决方案——Dr.COM 政务云专网认证解决方案,实现政务网融合统一安全认证管理。
  各级政务统一身份认证中心部署于各级政务网运营管理区域,网络侧通过radius与各城域网和局域网安全边界设备通信,对接入终端进行实名验证与授权。从终端接入识别到安全边界控制将实现全网安全接入,业务隔离,全域漫游等安全易用的实名身份保障体系。

方案价值

  多因子安全验证

  对于零信任场景,更加注重安全交互。多因子验证采用静态密码+其他多种因子密钥,如短信、微信、手机令牌、APP令牌、CA扫码、政务专属客户端、email、生物校验等方式,提供不同场景的资源登入或网络接入访问的多因素验证登录。


  终端两网隔离

  用户可通过专用客户端或web页面接入登录网络,选择互联网,就不能访问政务外网资源,同理,选择政务网就不能访问互联网资源。




  选择政务网认证,如果要访问互联网资源时,弹出政务网在线,点击“访问互联网”弹出窗口提示“访问互联网将断开政务外网业务”。政务外网和互联网“两网隔离”,做到二选一模式。




  Portal门户多系统单点登录

  方便终端用户快捷使用网络,全网采用Web认证方式,兼容各终端设备,推送个性化的Portal认证页面,便于政务门户形象展现和通知信息发布等。同时,政务外网承载着众多业务系统,包括政务云、公文系统、资源系统、运维系统等内部业务系统,用户接入网络被赋权限后能够直接单点登录各个业务系统,方便快捷,简单易用。

  v4v6双栈接入

  系统面向全网终端接入提供IPv4/IPv6双栈地址分配管理,满足用户终端在不同的接入场景和差异化接入方式的需求,从终端地址获取到用户账号匹配,再到根据用户登录信息地址差异化分配,实现对双栈IP的精细化管理。
  IPv4/v6双栈地址可视化管理,实时监控地址分配和地址资源利用率数据,IP地址管理日志和规划管理,为内外网日志联动审计提供支持。

  安全日志溯源

  对所有两网用户的登录、登出日志审计,系统将认证用户IP字段自动关联实名身份后入库存储,实现任意日志实名溯源;结合NAT日志等信息,提供快速实名用户完整网络行为轨迹原始数据。