当前“数字政务”建设正广泛开展,政务协同平台因承载了大量的政务敏感数据和关键业务应用,其安全性至关重要。但由于政务服务关键业务环节比较依赖线下场景,而政务服务涉及面广、实际应用场景复杂的特点也导致各部门之间因使用的平台软件不统一而容易出现“数据孤岛”、“安全缺口”等问题,严重影响了政务协同平台的系统安全和正常使用。
近日,腾讯云立足腾讯政务协同平台,同步正式发布《腾讯政务协同平台安全白皮书》(以下简称《白皮书》),将在终端、网络、主机、应用、数据等方面的安全技术能力和对安全合规性的理解,聚合应用到政务协同平台场景中,打造安全可信的一体化政务协同安全解决方案,提升数字政务风险防范能力,为数字政府建设提供基础安全支撑。
早在7月份,腾讯政务便召开战略升级发布会,并升级发布了重磅产品“一网统管”和“政务协同”平台,进一步助力政府的数字化管理和协同。
(《腾讯政务协同平台安全白皮书》)
政务协同数字化提速,安全已成为底座支撑
腾讯根据以往大量的数字政务经验总结,利用数字化工具加强工作协同能力提升行政效能,已是各地数字政府打造的重点环节。腾讯云政务协同平台,基于政务微信统一建设的协同办公信息系统,帮助政府部门实现跨部门、跨地区、跨层级的高效沟通。通过打通政务微信、企业微信、和微信端,实现公务人员、企业和民众的三端融合通信,帮助政府提升协同作战能力。此外,通过数据共享和应用接口,平台打通业务壁垒,实现移动办公和智能消息推送,公务员可以随时随地利用手机或PAD“办文、办事、办会”。
在政务协同平台和业务应用有效提高办事效率、节约行政成本、改善营商环境的同时,也因网络环境的开放性和复杂性,大量政务应用、业务数据面临更大的安全风险;而层出不穷的网络攻击进一步加大了政务安全保障的挑战。《白皮书》中指出,迅速提升政府关键业务系统的安全防护能力,增强安全预警、事件分析和应急处置能力,推动软硬件的升级换代、自主可控,是当前政务解决数字化安全问题的有效途径。
深入业务,全链路护航政务协同
在对政务协同面临的安全威胁进行深度分析的基础上,《白皮书》给出了腾讯政务协同平台安全保障的顶层设计框架,并详细介绍了最佳安全实践。针对政务协同办公和业务应用在实际场景中面临的终端、传输、应用及数据安全威胁,腾讯政务协同平台从原生架构出发,对终端、通信网络、安全接入以及平台服务端四大业务场景进行安全强化,实现安全架构的全面升级。
(政务协同平台安全场景覆盖)
结合政务业务场景与管理需求,搭建出了涵盖安全技术、安全管理、安全运营三大体系在内的能力框架,致力为移动政府场景构建全方位的安全壁垒。如下图所示:
(政务协同平台安全能力架构)
内置原生安全能力,构建四大核心安全优势
通过打造原生安全,将安全融入到政务协同业务肌理中,随着业务资产、人员、形态、边界的变更而变化,让安全如影随形。加强原生基础技术能力的支撑,除了要求安全的顶层方案设计融合进业务中,安全产品同样需要高度融合及联动,以应对复杂的网络环境给业务所带来的风险。
优势一、内置原生的应用安全和数据安全能力
通过智能网关实现应用级水印、动态脱敏、攻击防护、病毒检测、访问审计。
提供数据存储加密CASB插件,用无侵入式改造的配置方式提供面向数据库服务的字段级数据加密能力。
内置KMS密钥管理模块,全流程的国密支持,符合等保及密评要求。
优势二、结合自研的终端安全能力
基于十亿级的终端用户积累形成的海量威胁情报能力,支持政务用户PC终端安全防护;
提供面向移动终端的自研EMM安全产品,遵循移动设备应用安全规范和数据防泄露安全标准,可与政务协同应用无缝整合。
优势三、领先的零信任框架落地
对前端用户隐藏应用服务暴露面,对于所有访问身份进行安全验证,透明的将业务资源发布到外部。
对于内外部应用接入进行统一鉴权和准入控制,确保安全。
优势四、创新的应用安全可视化与智能分析
建立应用安全中心,实现租户级、应用级的应用安全可视化与安全运营,提供从安全监测、预警到事件响应的闭环能力。
结合应用活动、用户访问进行智能化分析,识别越权访问、API滥用以及数据泄漏等安全风险。
聚焦业务连续性,确保自主可控
与此同时,《白皮书》指出政务协同平台安全体系还聚焦对确保业务连续性和实现自主可控的安全能力设计。通过采用服务冗余、负载均衡、超时机制、数据复制/缓存等技术,确保政务协同平台的高可靠性。同时建议平台运营方提供本地应急及容灾系统以及应急恢复预案的多节点部署安全系统,以确保整体业务的连续性。
在安全自主可控方面,腾讯政务协同平台积极推进与国产芯片和系统的适配。截至2020年2月,已经完成与包括龙芯、飞腾、华为海思鲲鹏、申威等国产芯片,以及麒麟软件、深度Deepin等国产操作系统的适配工作。
依托腾讯在政务领域多年的经验积累,以及在安全领域超过20年的业务安全运营及黑灰产对抗经验,凭借行业顶尖安全专家、完备的安全大数据及AI技术能力积累,能够提供“情报-攻防-管理-规划”四维安全能力和紧贴业务的安全最佳实践。未来,“政务协同”实现的不仅是政府内部的协同,更是政、企、民三类用户的融合协同,而得力于腾讯安全基于自适应安全理念,发挥能力的优势,深度结合政务协同业务场景,能致力于打造更安全、更高效的数字政务协同能力。