基于零信任的政务移动办公安全接入方案研究

通信世界网消息（CWW）在移动互联网迅猛发展的形势下，移动办公已成为政府部门提升政务效率、打造服务型政府的重要驱动力。国家“十四五”规划明确要求建设数字政府，推动政务服务“一网通办”和“跨省通办”。在此背景下，各地政府部门加速推进移动化转型，积极通过办公流程的移动化改造，将移动终端转化为生产力工具，推动政务办公自动化升级，这一需求直接推动移动政务应用系统纷纷涌现。以“一网通办”场景为例，截至2025年6月，全国一体化政务服务平台移动端“应接尽接”率达100%，高频事项“掌上办”覆盖率超90%；全国移动政务App月活用户突破8亿户，小程序可办理事项达5000项，“一网通办”事项覆盖率达98%。

对于政府工作人员而言，通过移动办公可随时随地实现公文流转审批、内部公告发布或阅读，大幅提升工作效率。但与此同时，大量关键政务应用通过移动终端交付，政务数据也在移动终端进行交互与处理，面临终端管理失控、应用安全威胁、数据传输泄露、数据存储泄露等多重安全风险。而传统边界安全解决方案难以应对上述挑战，以常用的VPN远程接入方案为例，其在端口开放、认证机制、权限管控、自身漏洞防护等方面存在明显不足，具体表现为端口始终开放、采用一次性认证、缺乏终端管控能力、网络访问权限粒度较粗等问题。基于零信任的政务移动办公安全接入方案，可有效应对移动设备跨网络办公的安全风险，打破内外网隔离限制，一站式满足政务外网与互联网信息协同的安全需求。

基于零信任的政务移动办公安全接入系统组成

零信任安全理念遵循“先验证后连接”原则，默认状态下应用资源处于隐藏状态。发起访问请求前，须先验证用户与终端的身份，并基于最小权限原则，向合法用户与终端开放对应访问权限。在用户访问业务的全过程中，须对发起访问的用户与终端进行持续身份验证和动态信任评估，并根据验证及评估结果实时调整访问权限。基于零信任的政务移动办公安全接入系统，包含安全策略中心设备、移动应用代理设备、客户端、移动安全沙箱、移动可信环境感知模块等核心组件。零信任安全接入系统架构如图1所示。

安全策略中心设备

安全策略中心设备是零信任架构控制平面的关键组成部分，采用流量控制、身份安全、国密算法、端口隐藏等多项核心技术，具备应用身份验证、安全接入、动态访问控制等安全保障能力。该设备与身份源联动，为移动应用代理设备提供实时权限判定服务。

移动应用代理设备

移动应用代理是零信任架构数据平面的关键组成部分，核心目的是代理所有业务应用、收缩业务应用暴露面（即端口隐藏），并对所有访问请求的流量进行加密与授权。移动应用代理具备全局业务代理、访问控制检查、业务隐藏及安全隧道等能力，完成访问控制检查后，会将请求转发至后端应用。

移动应用代理设备提供管理态服务与运行态服务。管理态服务与安全策略中心联动，接收并下发路由配置、策略配置等控制信息；策略写入数据库后将进行动态配置更新，运行时可动态读取应用与策略配置。运行态服务按顺序协同完成业务控制与转发功能。

客户端

客户端是零信任安全接入系统用户侧的安全接入入口，具备用户认证、终端感知、网络隐身、数据导流等能力。

移动安全沙箱

移动安全沙箱通过将多种安全技术注入应用程序，实时监测并阻断攻击，赋予程序运行时自保护能力。应用程序无需修改编码，仅需简单配置，即可保障业务App的应用安全、环境安全与数据安全。该沙箱可实现政务应用边界的划分，具备在系统内部根据应用价值与敏感度进一步细化应用边界的能力，能够将政务应用数据与其他应用数据进行安全隔离，并对政务与个人应用之间的数据访问实施访问控制。此外，移动安全沙箱还具备数据泄露防护功能。

移动可信环境感知模块

移动可信环境感知模块通过多维度终端感知方式，采集并分析终端安全环境（包括设备环境、系统环境及应用环境等），对采集数据进行风险度量，结合设备可信技术、应用可信技术与身份可信技术确保主体可信。该模块将环境可信评估结果反馈至安全策略中心，为动态授权策略判定提供依据；同时结合可信代理，实现对业务的安全隔离、对风险的动态响应，以及对人员的动态鉴权与授权。

系统主要功能

零信任请求代理转发

移动应用代理对外提供负责监听业务请求的核心模块，支持三层、四层和七层代理流量转发，具备HTTPS加解密与国密算法加解密能力。模块将密文解析为明文后，转发至本地数据处理模块；且仅对经安全策略中心授权通过的请求，执行流量转发与动态访问控制操作。

零信任令牌转换

用户通过零信任安全接入系统访问业务应用时，访问请求将经过不同区域，而各区域的认证机制存在差异。例如，用户采用证书认证、应用采用SSO单点登录令牌、API采用共享密钥认证等。各类认证服务会通过标准协议发放令牌，用于标识认证结果。移动应用代理具备标准令牌检测与转换能力，可根据访问过程的不同阶段，适配所需的令牌类型，为访问全程提供便捷、灵活的令牌转换服务。

零信任单点登录

移动应用代理通过向后端应用传递用户身份信息或会话令牌，实现后端应用的单点登录功能。该功能须结合安全策略中心协同实现。具体流程如下：用户在认证中心完成认证后，会携带用户身份标识跳转到安全策略中心；安全策略中心获取并存储该身份标识，同时与生成的访问授权码相关联。当用户携带授权码访问移动应用代理时，由移动应用代理通过授权码向安全策略中心换取用户身份标识信息。移动应用代理获取用户身份信息后，将根据配置，通过HTTP头参数或requestURI参数，传递用户信息、用户访问令牌及其他自定义信息。后端应用接收的HTTP报文包含上述用户相关信息，经提取后由后端应用识别，最终完成用户单点登录。

零信任安全加固

系统对应用请求信息开展合法性检测，识别非正常流量并予以阻断；同时基于请求并发量、请求速度、单位时间内请求数、响应传输速率、访问时段等维度，对指定客体实施流量控制。

零信任端口隐藏

端口隐藏技术是防御端口攻击的有效手段，其默认关闭所有端口，拒绝一切连接请求，使端口处于无法被扫描的状态。当通过可信客户端程序发起访问时，客户端会先执行端口敲门操作，经安全策略中心验证通过后方可建立连接。

零信任用户认证

用户需先在外部IAM（身份识别与访问管理）系统完成认证并获得访问令牌，再携带该访问令牌访问安全策略中心；安全策略中心将基于该访问令牌，向外部IAM系统换取用户信息。

零信任准入控制

安全策略中心支持在用户身份认证完成后，进一步结合终端环境信息、用户信息、设备信息等开展准入判定；仅当用户通过准入合法性校验时，才允许其登录上线。

零信任授权判定

系统通过基于角色的访问控制（RBAC）实施静态授权，为用户分配资源权限，建立授权主体和客体的关联关系。当用户访问应用时，移动应用代理会先拦截访问请求，再向安全策略中心发起权限判定请求；安全策略中心先执行静态授权判定，若用户无对应权限，则直接阻断访问，并提示“该应用未授权”。

零信任终端感知

安全策略中心具备终端感知数据上报接收能力，具体功能如下：一是支持与终端环境感知联动，获取终端设备的感知信息；二是存储上报感知数据，包括设备基本信息、运行软件、监听端口、是否接入移动设备、是否开启蓝牙等；三是更新设备清单库中的设备信息；四是向动态策略模块发送终端感知变更通知，以便动态策略模块重新计算用户的准入状态和访问控制权限。

移动可信沙箱

移动可信沙箱通过免拆包及系统级Hook（钩子）方式，划分企业和个人应用的基本边界，并在其管理范围内具备根据应用价值和敏感度进一步细化应用边界的能力。该沙箱目前支持用户名口令、短信验证码、指纹验证、人脸识别等主流身份认证方式。

移动安全沙箱管理将应用沙箱对数据加密所使用的密钥存储在密钥沙箱中。密钥沙箱通过其核心技术，实现对个人终端加密密钥、证书等关键数据的安全存储与管理。

典型应用场景

远程办公场景

在政务领域远程办公访问政务外网业务数据的场景中，对外发布的业务应用导致业务暴露面风险持续扩大，而个人终端的使用则增加了终端被恶意应用入侵、感染木马病毒的风险。

基于零信任机制，可构建集中化、动态化的访问安全控制体系（如图2所示），以满足远程办公访问场景下的安全需求。基于零信任的政务移动安全接入系统，可为用户远程办公访问政务外网业务提供安全接入能力。员工远程访问内网业务时，须通过零信任应用代理系统统一接入；所有业务应用访问共用一套安全策略中心，由该中心提供统一的认证、准入与访问控制策略，其工作过程如下。

一是零信任组件部署在零信任访问控制区，用于保护政务外网业务应用；互联网区域中的用户终端访问政务外网业务应用时，必须经过零信任访问控制区的管控。

二是用户终端须安装零信任客户端，以此为用户提供远程访问的统一入口。

三是终端用户可通过应用代理建立的加密传输通道，访问政务外网业务区的C/S应用（如云桌面等）与B/S应用。

四是安全策略中心作为访问控制中心，根据零信任客户端上报的终端环境安全状态，实现终端设备准入及用户的自适应认证；同时可根据终端状态及用户行为评估结果，对应用代理的加密传输流量执行放行或阻断操作。

五是政务外网业务应用区的统一认证系统可与安全策略中心对接，实现用户身份认证及单点登录功能。

内外网统一访问控制场景

对于需要在互联网与政务外网两种环境访问的业务应用，为实现统一接入、统一访问控制、业务访问连续性、一致的终端用户体验，可搭建零信任访问系统（如图3所示）。在不同网络环境中共用一套零信任控制平台，由该平台提供统一的认证、准入与访问控制策略，其工作过程如下。

一是通过智能DNS（域名系统），解决互联网与政务外网切换时的业务访问连续性问题。

二是对接已有的统一身份认证平台，构建统一的基于身份的访问控制体系。

三是通过零信任自适应认证方式，互联网侧要求多因子认证，政务外网侧采用用户名口令方式认证，实现安全性和用户体验的平衡。

四是依托零信任准入策略，统一管理政务外网终端和个人终端的准入安全基线。

五是零信任系统可根据业务访问需求与安全要求，分别发布政务外网及互联网相关业务。

结语

本文针对政务移动办公的现实需求，聚焦传统边界防护安全架构下政务系统面临的身份冒用、数据泄露、违规接入等安全风险，研究探讨了以“从不信任，始终验证”为核心原则的零信任政务移动办公安全接入方案。该方案强调以身份为中心，通过动态信任评估、最小权限访问控制及应用级安全隧道等技术，面向远程办公与内外网统一访问控制两类场景，构建了对每一次访问请求均进行严格认证与动态授权的安全体系。方案的核心价值在于能够实现业务应用隐身、缩减攻击暴露面，并通过持续信任评估与细粒度权限控制，有效保障政务数据传输与使用过程中的安全性。实践表明，该方案可有效提升政务移动办公的整体安全防护水平，为构建安全可靠的数字政府提供可行的技术路径。

*本篇刊载于《通信世界》2025年11月25日*

第22期 总980期