基于零信任的政務移動辦公安全接入方案研究

通信世界網消息（CWW）在移動互聯網迅猛發展的形勢下，移動辦公已成為政府部門提升政務效率、打造服務型政府的重要驅動力。國家“十四五”規劃明確要求建設數字政府，推動政務服務“一網通辦”和“跨省通辦”。在此背景下，各地政府部門加速推進移動化轉型，積極通過辦公流程的移動化改造，將移動終端轉化為生產力工具，推動政務辦公自動化升級，這一需求直接推動移動政務應用系統紛紛涌現。以“一網通辦”場景為例，截至2025年6月，全國一體化政務服務平臺移動端“應接盡接”率達100%，高頻事項“掌上辦”覆蓋率超90%；全國移動政務App月活用戶突破8億戶，小程序可辦理事項達5000項，“一網通辦”事項覆蓋率達98%。

對于政府工作人員而言，通過移動辦公可隨時隨地實現公文流轉審批、內部公告發布或閱讀，大幅提升工作效率。但與此同時，大量關鍵政務應用通過移動終端交付，政務數據也在移動終端進行交互與處理，面臨終端管理失控、應用安全威脅、數據傳輸泄露、數據存儲泄露等多重安全風險。而傳統邊界安全解決方案難以應對上述挑戰，以常用的VPN遠程接入方案為例，其在端口開放、認證機制、權限管控、自身漏洞防護等方面存在明顯不足，具體表現為端口始終開放、采用一次性認證、缺乏終端管控能力、網絡訪問權限粒度較粗等問題。基于零信任的政務移動辦公安全接入方案，可有效應對移動設備跨網絡辦公的安全風險，打破內外網隔離限制，一站式滿足政務外網與互聯網信息協同的安全需求。

基于零信任的政務移動辦公安全接入系統組成

零信任安全理念遵循“先驗證后連接”原則，默認狀態下應用資源處于隱藏狀態。發起訪問請求前，須先驗證用戶與終端的身份，并基于最小權限原則，向合法用戶與終端開放對應訪問權限。在用戶訪問業務的全過程中，須對發起訪問的用戶與終端進行持續身份驗證和動態信任評估，并根據驗證及評估結果實時調整訪問權限。基于零信任的政務移動辦公安全接入系統，包含安全策略中心設備、移動應用代理設備、客戶端、移動安全沙箱、移動可信環境感知模塊等核心組件。零信任安全接入系統架構如圖1所示。

安全策略中心設備

安全策略中心設備是零信任架構控制平面的關鍵組成部分，采用流量控制、身份安全、國密算法、端口隱藏等多項核心技術，具備應用身份驗證、安全接入、動態訪問控制等安全保障能力。該設備與身份源聯動，為移動應用代理設備提供實時權限判定服務。

移動應用代理設備

移動應用代理是零信任架構數據平面的關鍵組成部分，核心目的是代理所有業務應用、收縮業務應用暴露面（即端口隱藏），并對所有訪問請求的流量進行加密與授權。移動應用代理具備全局業務代理、訪問控制檢查、業務隱藏及安全隧道等能力，完成訪問控制檢查后，會將請求轉發至后端應用。

移動應用代理設備提供管理態服務與運行態服務。管理態服務與安全策略中心聯動，接收并下發路由配置、策略配置等控制信息；策略寫入數據庫后將進行動態配置更新，運行時可動態讀取應用與策略配置。運行態服務按順序協同完成業務控制與轉發功能。

客戶端

客戶端是零信任安全接入系統用戶側的安全接入入口，具備用戶認證、終端感知、網絡隱身、數據導流等能力。

移動安全沙箱

移動安全沙箱通過將多種安全技術注入應用程序，實時監測并阻斷攻擊，賦予程序運行時自保護能力。應用程序無需修改編碼，僅需簡單配置，即可保障業務App的應用安全、環境安全與數據安全。該沙箱可實現政務應用邊界的劃分，具備在系統內部根據應用價值與敏感度進一步細化應用邊界的能力，能夠將政務應用數據與其他應用數據進行安全隔離，并對政務與個人應用之間的數據訪問實施訪問控制。此外，移動安全沙箱還具備數據泄露防護功能。

移動可信環境感知模塊

移動可信環境感知模塊通過多維度終端感知方式，采集并分析終端安全環境（包括設備環境、系統環境及應用環境等），對采集數據進行風險度量，結合設備可信技術、應用可信技術與身份可信技術確保主體可信。該模塊將環境可信評估結果反饋至安全策略中心，為動態授權策略判定提供依據；同時結合可信代理，實現對業務的安全隔離、對風險的動態響應，以及對人員的動態鑒權與授權。

系統主要功能

零信任請求代理轉發

移動應用代理對外提供負責監聽業務請求的核心模塊，支持三層、四層和七層代理流量轉發，具備HTTPS加解密與國密算法加解密能力。模塊將密文解析為明文后，轉發至本地數據處理模塊；且僅對經安全策略中心授權通過的請求，執行流量轉發與動態訪問控制操作。

零信任令牌轉換

用戶通過零信任安全接入系統訪問業務應用時，訪問請求將經過不同區域，而各區域的認證機制存在差異。例如，用戶采用證書認證、應用采用SSO單點登錄令牌、API采用共享密鑰認證等。各類認證服務會通過標準協議發放令牌，用于標識認證結果。移動應用代理具備標準令牌檢測與轉換能力，可根據訪問過程的不同階段，適配所需的令牌類型，為訪問全程提供便捷、靈活的令牌轉換服務。

零信任單點登錄

移動應用代理通過向后端應用傳遞用戶身份信息或會話令牌，實現后端應用的單點登錄功能。該功能須結合安全策略中心協同實現。具體流程如下：用戶在認證中心完成認證后，會攜帶用戶身份標識跳轉到安全策略中心；安全策略中心獲取并存儲該身份標識，同時與生成的訪問授權碼相關聯。當用戶攜帶授權碼訪問移動應用代理時，由移動應用代理通過授權碼向安全策略中心換取用戶身份標識信息。移動應用代理獲取用戶身份信息后，將根據配置，通過HTTP頭參數或requestURI參數，傳遞用戶信息、用戶訪問令牌及其他自定義信息。后端應用接收的HTTP報文包含上述用戶相關信息，經提取后由后端應用識別，最終完成用戶單點登錄。

零信任安全加固

系統對應用請求信息開展合法性檢測，識別非正常流量并予以阻斷；同時基于請求并發量、請求速度、單位時間內請求數、響應傳輸速率、訪問時段等維度，對指定客體實施流量控制。

零信任端口隱藏

端口隱藏技術是防御端口攻擊的有效手段，其默認關閉所有端口，拒絕一切連接請求，使端口處于無法被掃描的狀態。當通過可信客戶端程序發起訪問時，客戶端會先執行端口敲門操作，經安全策略中心驗證通過后方可建立連接。

零信任用戶認證

用戶需先在外部IAM（身份識別與訪問管理）系統完成認證并獲得訪問令牌，再攜帶該訪問令牌訪問安全策略中心；安全策略中心將基于該訪問令牌，向外部IAM系統換取用戶信息。

零信任準入控制

安全策略中心支持在用戶身份認證完成后，進一步結合終端環境信息、用戶信息、設備信息等開展準入判定；僅當用戶通過準入合法性校驗時，才允許其登錄上線。

零信任授權判定

系統通過基于角色的訪問控制（RBAC）實施靜態授權，為用戶分配資源權限，建立授權主體和客體的關聯關系。當用戶訪問應用時，移動應用代理會先攔截訪問請求，再向安全策略中心發起權限判定請求；安全策略中心先執行靜態授權判定，若用戶無對應權限，則直接阻斷訪問，并提示“該應用未授權”。

零信任終端感知

安全策略中心具備終端感知數據上報接收能力，具體功能如下：一是支持與終端環境感知聯動，獲取終端設備的感知信息；二是存儲上報感知數據，包括設備基本信息、運行軟件、監聽端口、是否接入移動設備、是否開啟藍牙等；三是更新設備清單庫中的設備信息；四是向動態策略模塊發送終端感知變更通知，以便動態策略模塊重新計算用戶的準入狀態和訪問控制權限。

移動可信沙箱

移動可信沙箱通過免拆包及系統級Hook（鉤子）方式，劃分企業和個人應用的基本邊界，并在其管理范圍內具備根據應用價值和敏感度進一步細化應用邊界的能力。該沙箱目前支持用戶名口令、短信驗證碼、指紋驗證、人臉識別等主流身份認證方式。

移動安全沙箱管理將應用沙箱對數據加密所使用的密鑰存儲在密鑰沙箱中。密鑰沙箱通過其核心技術，實現對個人終端加密密鑰、證書等關鍵數據的安全存儲與管理。

典型應用場景

遠程辦公場景

在政務領域遠程辦公訪問政務外網業務數據的場景中，對外發布的業務應用導致業務暴露面風險持續擴大，而個人終端的使用則增加了終端被惡意應用入侵、感染木馬病毒的風險。

基于零信任機制，可構建集中化、動態化的訪問安全控制體系（如圖2所示），以滿足遠程辦公訪問場景下的安全需求。基于零信任的政務移動安全接入系統，可為用戶遠程辦公訪問政務外網業務提供安全接入能力。員工遠程訪問內網業務時，須通過零信任應用代理系統統一接入；所有業務應用訪問共用一套安全策略中心，由該中心提供統一的認證、準入與訪問控制策略，其工作過程如下。

一是零信任組件部署在零信任訪問控制區，用于保護政務外網業務應用；互聯網區域中的用戶終端訪問政務外網業務應用時，必須經過零信任訪問控制區的管控。

二是用戶終端須安裝零信任客戶端，以此為用戶提供遠程訪問的統一入口。

三是終端用戶可通過應用代理建立的加密傳輸通道，訪問政務外網業務區的C/S應用（如云桌面等）與B/S應用。

四是安全策略中心作為訪問控制中心，根據零信任客戶端上報的終端環境安全狀態，實現終端設備準入及用戶的自適應認證；同時可根據終端狀態及用戶行為評估結果，對應用代理的加密傳輸流量執行放行或阻斷操作。

五是政務外網業務應用區的統一認證系統可與安全策略中心對接，實現用戶身份認證及單點登錄功能。

內外網統一訪問控制場景

對于需要在互聯網與政務外網兩種環境訪問的業務應用，為實現統一接入、統一訪問控制、業務訪問連續性、一致的終端用戶體驗，可搭建零信任訪問系統（如圖3所示）。在不同網絡環境中共用一套零信任控制平臺，由該平臺提供統一的認證、準入與訪問控制策略，其工作過程如下。

一是通過智能DNS（域名系統），解決互聯網與政務外網切換時的業務訪問連續性問題。

二是對接已有的統一身份認證平臺，構建統一的基于身份的訪問控制體系。

三是通過零信任自適應認證方式，互聯網側要求多因子認證，政務外網側采用用戶名口令方式認證，實現安全性和用戶體驗的平衡。

四是依托零信任準入策略，統一管理政務外網終端和個人終端的準入安全基線。

五是零信任系統可根據業務訪問需求與安全要求，分別發布政務外網及互聯網相關業務。

結語

本文針對政務移動辦公的現實需求，聚焦傳統邊界防護安全架構下政務系統面臨的身份冒用、數據泄露、違規接入等安全風險，研究探討了以“從不信任，始終驗證”為核心原則的零信任政務移動辦公安全接入方案。該方案強調以身份為中心，通過動態信任評估、最小權限訪問控制及應用級安全隧道等技術，面向遠程辦公與內外網統一訪問控制兩類場景，構建了對每一次訪問請求均進行嚴格認證與動態授權的安全體系。方案的核心價值在于能夠實現業務應用隱身、縮減攻擊暴露面，并通過持續信任評估與細粒度權限控制，有效保障政務數據傳輸與使用過程中的安全性。實踐表明，該方案可有效提升政務移動辦公的整體安全防護水平，為構建安全可靠的數字政府提供可行的技術路徑。

*本篇刊載于《通信世界》2025年11月25日*

第22期 總980期