超10000台信创终端如何替代？深圳某区政数局依托准入NAC构建安全屏障

深圳市某区政数局于2019年3月15日正式挂牌成立。其核心职责之一，就是统筹推进全区电子政务建设，负责电子政务外网（含政务办公网和政务服务网）、政务云平台、公共支撑平台、通用应用系统的建设、管理、应用和安全保障等工作，统筹协调各部门业务应用系统建设，指导各街道电子政务建设。

在国产化全面替代的大潮之下，该区政数局走在了前列，截至目前，政数局及下辖6个街道办的信创替代已经完成了约90%。同时，该区政数局深知电子政务稳定运行和数据安全的重要性，尤其面对信创和非信创同时存在的复杂环境，探索了“1+6”新一代信创准入安全防御体系。

作为全球电子信息的聚集地之一，深圳近年来积极推动信创产品的替代浪潮。今年5月，深圳发布了《关于促进消费持续恢复的若干措施》，明确提出了“扩大信创产品市场规模”。其中包括“对采购50 万元以上信创产品、符合条件的用户单位，按采购额的3%给予补贴。原则上新增办公系统、业务系统中信创产品的采购比例，金融、能源、教育、医疗、电信、交通等重点领域不低于20%；新增关键信息基础设施中信创产品的采购比例，党政机关、国资国企不低于40%。”

目前，该区政数局管理的信创终端（含区委机关部门），以及下属的六个街道，信创替换已经达到了90%，扩容信创终端超过10000台。该区信息中心负责人表示，由于大量信创及非信创终端同时存在，加上电子政务外网业务本身的开放性，以及日趋严重的勒索病毒、木马、黑客等攻击，安全风险变得更加复杂。

• 首先是接入设备的资产识别和仿冒发现。目前包括区政数局，以及六个街道办，接入各类设备多达数万，其中包括移动终端、哑终端、泛终端、PC等等，如何对这些终端进行及时准确的资产识别和仿冒发现，是保障电子政务外网安全的关键。
  

• 其次是访问身份和权限的管理。电子政务外网很多业务对外开放，需要各方人员接入到政务网中。在这个过程中，访问身份和权限是否安全，访问的终端是否合规可信，遇到问题如何做设备定位追踪、接入行为溯源，以及接入安全分析，需要整体的防御体系。

• 第三是信创PC安装率及使用率的保障。国产化替代的过程中，不可避免存在信创PC没有有效落地的情况，安全一方面要保障信创PC安装率及使用率，防止非法卸载，另一方面要确保接入安全合规。

• 最后是不同终端针对性的准入策略配置。由于信创与非信创终端并存，且分布非常分散和混杂，需要进行有效识别，制定针对性策略。

在病毒、木马、蠕虫以及黑客等等不断威胁并入侵政府内部网络资源的形势下，区政数局深知，终端安全不仅仅局限于恶意代码防范、病毒查杀、漏洞修补等方面,合规保障、接入感知、资产发现、认证授权、安全检查、追溯审计等“一站式”准入安全管理，都是电子政务安全不可缺少的一部分。

为此，该区政数局通过和奇安信的深入研究和探讨，双方在部署天擎终端安全管理基础上，共同制定了“1+6” 新一代信创准入（NAC）解决方案，以实现电子政务网整体安全防护能力的全面提升。

据介绍，“1”指区政数局，“6”指下辖的6个街道办。项目在建设思路层面，通过政数局及6个街道办核心交换机各旁路部署1套信创准入设备，对接入网络的设备实现：发现识别、强制身份认证、合规检查、异常处置、访问控制、入网追溯，终端/设备入网流程形成一个闭环，有效控制各阶段的接入安全风险，防止非法用户或设备随意接入网络，保障入网各阶段的安全可信，从而达到合法用户，合规终端的网络安全接入。

而在拓扑建设方面，政数局及6个街道办的准入设备采取集群方式部署，各街道办设置二级管控中心自行运维。通过一级管控中心进行集中统一监管，真正做到区政数局及6个街道办终端集中管理、整体防护、可视化呈现。具体拓扑建设情况如下：

• 首先是能识别区分非信创及信创终端，实现入网合规基线检查（有没有装防病毒软件、是否存在弱口令、是否自带病毒），并能统一管控；
  

• 其次是能做终端资产识别梳理（视频IP/MAC、设备类型、系统类型、厂商、网络位置、开放端口、流量协议），识别泛终端(如摄像头、打印机、交换机等)、移动终端和PC，做到绑定终端IP和MAC地址（防止终端随意修改IP）；

• 第三是支持IPv6地址。在满足当下电子政务网络的前提下，更好适应未来互联网升级演进的需求。

对于“1+6”新一代的信创准入安全防御体系，该区政数局总结了三方面的价值和优势。

• 首先是一体化设计，实现了天擎和准入完美联动。信创准入系统客户端与信创天擎客户端共用，信创准入系统支持与终端安全一体化管理平台联动，通过联动可强制PC机安装信创天擎客户端，通过信创准入系统了解该区信创终端资产数量及替换率。一体化管理解决终端杀毒补丁等安全需求的同时，通过合规准入、违规外联等基线策略的检查，有效管控内部资源违规访问和泄露的问题。

据介绍，在过去，安全准入和终端安全软件往往是相互独立的，这给管理和部署带来了一些难题。而奇安信NAC可以基于天擎集中统一管理，可在天擎“一体化”平台对引擎设备进行集中策略下发、设备批量升级、设备统一监测、区域分权管理等方式，适应超大规模用户的部署，多种灵活的手段满足大型网络架构下的业务管理需求，解决了传统方式的独立管理、散兵模式的部署难题。

同时，这种一体化管理显著减轻了用户运维人员的工作量。另一方面，由于NAC和天擎终端安全进行一体化的联动，使得终端只需打开一个进程，避免多进程对计算资源的消耗。

• 其次是“1+6” 新一代的信创准入模式，实现分级和统一两者兼得。通过“1+6”信创准入模式，既实现了各街道办分级管理终端，又能汇总全网数据，建立该区党政机关电子政务外网统一的终端安全管控系统。

值得一提的是，奇安信NAC方案最显著优势就是部署更灵活。NAC可采用旁路部署方式，对网络环境依赖较小，不改变用户网络架构，支持集中和分布式部署方式。而且，该产品支持多种准入技术混合部署模式，可实现核心区域的准入控制、终端层的准入控制、接入层边界的准入控制，满足不同场景下的应用部署需求。

• 第三是支持信创平滑替换，并全面兼容国产系统。据介绍，为满足国产化替代要求，奇安信网络安全准入系统提供基于PK（飞腾麒麟）架构的国产化硬件设备，可通过多种手段准确识别网络中的windows终端和信创终端，针对不同终端执行不同入网策略。在windows终端替换为信创终端，以及第三方安全管理软件替换为天擎终端安全管理系统过程中，不关闭原准入策略，不影响待替换windows系统正常使用。

更重要的是，NAC 准入系统完全适用主流国产系统银河麒麟、中标麒麟和专用国产系统银河麒麟、中标麒麟、中科方德操作系统，终端运行对国产系统中办公软件群均无冲突和影响。同台管理Windows终端、Windows服务器、Linux服务器、国产通用终端、国产通用服务器、国产专用终端、国产专用服务器，在单一平台统一管理多种类型终端，显著减少了管理员的管理成本。

“网络安全不能抱有侥幸心理，电子政务尤其如此，严格合规始终是我们的红线。”该区负责人反复强调安全的重要性。据介绍，得益于信创准入系统的部署，整个替换过程非常顺利，目前信创和非信创终端均运行平稳，未出现一起的安全事故，同时各项业务均在平稳进行。