随着政府机构信息化建设的深入，政府专网、数字化服务平台数量激增，越来越多的业务通过互联网实现。而由于外部攻击与内部安全管控不足，政府数字化转型方面存在巨大安全挑战，建设一套行之有效的政府单位违规外联监控平台，实现对政府专网违规外联的监控和处置就成为了保证政府机构网络安全与信息安全的一项重要任务。

针对当前政务专网建设中存在的跨网访问现象严重、违规外联行为发生较多、外部单位运维缺少必要管控、私搭乱建无线热点、资产信息统计乏力等问题，依据《信息安全技术-网络安全等级保护基本要求》中对安全区域边界等相关要求，明朝万达提出建设覆盖硬件、网络、软件到应用的违规外联监控子平台。

该平台的建设可有效解决政府各单位出现的办公终端及服务器等违规打通互联网的情况，实现政务专网安全的实时管控、实时洞察、智能运行，对发现违规行为后在控制台告警，并逐级报送给上级管理台，建立对下属各级终端资产的统一管控平台。

· 违规外联实时管控

实时检测内网中存在的同互联网连接的计算机，及时发现违规外联行为，并作详细记录，并向管理中心上报违规记录。

· 设备资产实时洞察

支持查看资产活跃情况、资源使用情况。通过资产发现扫描，可发现、统计未安装管理程序的具体资产，发现问题时，可快速定位。

政务专网违规外联监控子平台

本平台建设系统架构设计除了满足本次核心业务需求外，同时考虑和兼顾了为了国产化适配的扩展与等保相关的需求，具有扩展性和完善的安全性。

总体架构图

系统架构

▶ 应用与展示层

用户需求

① 需要对平台的统一管理和采集数据，对采集数据的可视化展示；② 采集基础数据查询和终端采集点、区域采集点等管理。解决方案通过对采集上报的各区域的终端数据进行存储和汇总统计，支持自定义图形可视化方式展示终端资产设备的分布情况，并对全域内的数据资产和设备资产进行可视化查看。通过建立对终端采集点的基础信息进行统一管理和维护，包括采集终端、所属单位、终端用户信息、是否允许访问互联网等。

▶ 区域采集汇聚层

用户需求

① 需要对区域内的终端进行管理；

② 需要对数据采集和向上同步；

③ 需要对数据采集的路径进行规划。

解决方案

通过对存储各区域管辖的各类终端设备采集，上报各类终端资产情况，建立本区域的设备资产清单。

对采集信息进行资产等数据的上报，保证数据及时采集与上报，对出现异常情况进行标识与预警。

▶ 终端采集层

用户需求

① 需要对服务端进行接入认证和客户端设备资产发现和信息采集；

② 需要对上外网连接进行检测，以及对终端版本管理。

解决方案

通过采集上报相关设备信息，以及是否联通互联网情况。

支持对设备在线情况和访问互联网信息进行监测。

支持对客户端进行版本检测，以及查看终端的版本信息。

▶ 基础设施层

实现对政府单位各类资产的采集，包括对Windows、Linux操作系统的客户端采集，同时对网络设备的其他情况进行采集。

方案优势

✦  解决终端设备一机两用违规监测核心诉求。

✦  轻量级部署，不影响终端使用和业务运行。

✦  简便快捷监测手段提升监测效率，降低运维监管复杂度。

✦  统一管理和配置服务有效降低管控难度。

✦  建立全局设备资产的可视化视图提升管控效率。

✦  日志、告警第一时间通知管理人员，保障业务平台的持续性。

✦  平台扩展性强，支持第三方系统对接和自身版本智能升级与迭代。