联软科技政务外网5G专网零信任二次鉴权解决方案_零信任安全管理系统

联软科技政务外网5G专网零信任二次鉴权解决方案

联软科技政务外网5G专网零信任二次鉴权解决方案通过零信任技术，使政务应用系统“隐身”,仅合法终端能访问；采用应用代理模式，隐藏访问政务应用的真实地址，缩小攻击面。网络隔离，防范跳板攻击。通过单网通策略，同一台终端无法访问两张网络，防止互联网攻击以终端为跳板，攻击电子政务外网。

立即咨询

首页

数字化产品

零信任

联软科技政务外网5G专网零信任二次鉴权解决方案

数字政府迫切需要安全、高效的5G专网接入 icon

访问体验待升级

带宽受限（10Mbps内），高峰时访问卡顿

VPN登录不稳定，操作复杂（最多达7步），具有复杂的身份认证和短信校验过程

访问安全待加强

政府应用移动化/小程序化，底层访问通道架设于公网之上，存在隐患

缺少基于国密算法的身份认证方式

业务管理复杂度提升

数字政府建设，应用逐渐增多，网络日渐复杂，各厅局部委间网络也需分权分域，对网络和终端可管可控可视提出更高要求

5G专网接入安全风险分析 icon

5G专网缺乏二次鉴权手段：当用户使用5G政务专网分配政务网络IP地址，无法在网络层对IP地址进行访问管控，需要网络准入二次鉴权管理手段。5G专网存在热点共享非授权访问风险：即5G专网手机（或电脑）开启WIFI热点，非授权终端能够通过该热点访问5G专网。

与一机两用架构融合，解决三大场景接入安全 icon

入网可信认证，防止非法用户接入

通过零信任技术，使政务应用系统“隐身”,仅合法终端能访问；

采用应用代理模式，隐藏访问政务应用的真实地址，缩小攻击面。网络隔离，防范跳板攻击

通过单网通策略，同一台终端无法访问两张网络，防止互联网攻击以终端为跳板，攻击电子政务外网。

数据隔离，防数据泄露

采用数据沙箱技术，防政务数据被非法导出、打印泄露；

采用数字水印技术，对数据泄漏行为进行溯源。

二次鉴权，保障5G专网接入安全

通过零信任技术，实现对5G专网接入设备二次鉴权，终端需要通过认证后才能访问政务外网网络与应用；

方案介绍

本方案针对5G专网用户访问政务资源过程中，提供五大核心能力保障安全访问，具体如下：

政务APP:政数局面向公务员提供的内网办公的APP。 · 政务系统：部署在政务外网，支持零信任代理访问。

超级SIM卡：存储用户私钥，实现终端身份认证。

零信任APP/SDK:为政务APP等提供身份认证和网络代理能力。 · 零信任网关：政务外网访问代理，提供管理能力。

云密码服务平台：支持SM9密钥生成下发。 · 省统一认证平台：对公务员身份信息进行认证。

省政数局建议方案架构 icon

省政数局

供应商部署超级SIM增强认证系统与证书中台，与省统一身份认证平台完成对接。

市政数局

部署终端零信任准入系统，对接各运营商超级SIM/SM9的SDK,使其具备超级SIM能力。

终端零信任准入系统开发超级SIM认证接口，与省统一身份认证平台完成对接。系统具备动态策略授权，如普通用户使用超级SIM免密登录、特权用户/高密系统访问使用超级SIM增强认证。

TOC场景二次鉴权部署方案 icon

TOC场景二次鉴权

1.零信任APP向零信任准入平台触发SPA认证。

2.零信任准入平台解析SPA报文，获取身份信息，向现网身份认证系统触发用户身份校验。

3.SPA认证通过，通知零信任安全网关放开网络权限；进行SDP认证，获得应用访问权限。

4.建立HTTPS隧道，通过零信任安全网关代理访问政务应用；防止连接共享热点访问5G专网通过零信任架构，将政务应用保护在零信任安全网关后面，终端必须安装零信任APP/SDK,认证通过后，政务应用

TOB场景二次鉴权部署方案 icon

1. 统一采购SIM卡和终端，并将IMSI、IMEI等信息导入NAC准入系统; 2. 5G终端（插入SIM卡）启用，基于5G-AKA鉴权接入5G网络，并启动PDU会话创建; 3. 5G核心网SMF触发RADIUS PAP/CHAP鉴权，携带终端的IMSI/IMEI以及其他信息到NAC准入系统进行鉴权; 4. NAC准入系统鉴权通过，将设备信息下发给零信任安全网关； 5. 通过5G网络访问企业内网资源; 6. NAC准入系统鉴权通过后与SDP安全网关对接，下发5G终端的安全策略。二、TOB认证信息  IMEI：终端唯一标识，双卡终端有两个IMEI; IMSI：SIM卡唯一标识;  其他：设备类型、物理位置等。

移动安全UniEMM系统技术框架 icon

安全能力设计

安全接入
网络接入

应用接入

接入安全

设备管理
注册激活注销回收

合规审计

行动轨迹记录

远程擦除

远程锁定

数据安全
数据传输

数据存储

数据使用

应用管理
应用发布审核

应用下载方式

应用安装方式

应用更新

联软UniUEM—融合零信任的安全架构 icon

SPA端口隐身-抵御外部威胁 icon

用户认证

可信身份能力包含：

1、统一身份认证，包含组织架构管理和账号认证，系统自身具备统一身份认证，也可对接LDAP、第三方IAM、4A；

2、覆盖PC端认证、移动端认证、应用认证等；

3、可提供双因素认证、手机和PC 端联动扫码认证、SIM认证、单点登录、密码代填等功能。

设备管理-移动设备统一集中管理 icon

最小授权、应用级隧道 icon

移动业务数据安全

安全能力
安全沙箱、安全隧道

安全阅读、安全浏览器

安全相机、安全相册

安全水印、安全邮件

行为管理
禁止复制粘贴

禁止截屏

禁止外发分享

应用权限控制

快速集成
SDK集成

自动打包

安全域发布

SDK安全能力集成说明 icon

政务统一接入门户

政务统一接入门户

将零信任终端准入纳入安全运维体系，实现安全的统一运维及管理 icon

行业用户群体

安徽省“皖政通”零信任安全接入 icon

业务需求
关键需求：1.针对各政务部门提供至政务外网的移动业务应用以及政务外网公共区业务进行安全防护，进行访问权限管理，暴露面统一收敛，防止过度暴露带来安全风险;2.皖政通APP承载政务移动办公业务，越来越多的重要数据出现在皖政通APP当中，需要对皖政通建立数据隔离和数据防泄密机制。

解决方案
采取SDK方式交付，即由皖政通APP集成联软EMM门户SDK，实现皖政通的安全接入和数据安全。零信任安全接入:皖政通中承载的电子政务外网内的移动业务系统部署于零信任安全网关后，通过零信任安全网关代理发布，不直接对外开放，隐藏在内网。安全隧道：皖政通移动终端通过认证后，与政务外网零信任安全网关创建应用级安全隧道，可确保终端到网关实现数据传输加密，政务外网移动终端与零信任安全网关之间全程数据加密。

业务效果
实现“皖政通”零信任改造，访问政务APP不需要每次都拉起VPN，提高业务系统用户体验。收敛政务应用暴露面，网络架构更安全。全方位业务数据安全能力，保障政务数据安全

深圳市大数据资源管理中心移动安全接入平台项目 icon

业务需求
项目背景：深圳市大数据资源管理中心承载各个单位的移动办公业务的要求，例如，市智能OA办公，发改委OA，其它单位的移动业务系统。全部通过政务外网统一发布使用。如何保障政务云的移动业务系统安全发布，安全接入，安全访问，以及移动业务的快捷的用户体验，是目前政务外网或者政务云访问比不可少的一个环节。关键需求：业务统一发布、安全接入、安全访问、应用保护

解决方案
联软科技EMM管控中心、智能安全网关均采用虚拟化部署在内网服务器区，并采用负载方式对外提供相关服务；整个架构分为EMM-Server（管理中心）、EMM-APN（应用网关）、EMM-APP（安全门户）三部分。 EMM-Server为政务移动支撑平台的核心，提供平台主要服务，包括MUM用户管理模块、MAM应用商店模块、MDM设备管理模块、MCM内容管理模块、MEM消息推送模块。EMM-APN安全隧道网关，为内网提供了统一的对外访问入口，移动终端访问内网应用必须经过网关，并且与网关之间通过安全隧道进行连接。

业务效果
满足政务外网以及政务云对于政务系统等保安全管理要求；实现全业务开放, 新架构可更好的避免黑客攻击；提供统一门户，提高业务系统用户体验；全方位业务数据的安全保障；业务应用安全快速的发布管理；实现多平台多终端统一接入管理；提升业务部门价值，减少开发运维成本。