計算機和網(wǎng)絡(luò)技術(shù)的發(fā)展，為終端電腦提供了豐富的網(wǎng)絡(luò)和設(shè)備互聯(lián)的手段。這些多種多樣的互聯(lián)互通方式，正在成為內(nèi)網(wǎng)合規(guī)管理實踐中，所要面對的最大的挑戰(zhàn)之一。

1. 非法外聯(lián)挑戰(zhàn)內(nèi)網(wǎng)安全

現(xiàn)在，用戶不僅可以直接通過有限的網(wǎng)絡(luò)實現(xiàn)與其他電腦或Internet實現(xiàn)互聯(lián)；也可以通過多種無線連接方式，例如無線局域網(wǎng)、紅外線、藍牙等實現(xiàn)網(wǎng)絡(luò)和設(shè)備和互聯(lián)；還可以通過終端提供的豐富的外設(shè)接口，例如USB接口、COM口、LPT口、Modem等多種接口，實現(xiàn)終端與外設(shè)、終端與終端或終端與網(wǎng)絡(luò)的互聯(lián)。除此之外，在以上物理連接通的基礎(chǔ)上，還有PPOE虛擬撥號、各類VPN供選擇，作為安全的互連互通的可選方式。

根據(jù)合規(guī)管理的要求，內(nèi)網(wǎng)終端電腦對Internet、內(nèi)部網(wǎng)絡(luò)和內(nèi)部的其它終端或服務(wù)器的訪問，要根據(jù)其使用者所在的部門和安全分級管理中的角色，根據(jù)管理的需求，只有其中一種或多種的網(wǎng)絡(luò)互聯(lián)使用權(quán)限；但現(xiàn)實是，即使內(nèi)網(wǎng)終端有嚴(yán)格的互聯(lián)規(guī)定，但因缺少有效的技術(shù)手段，仍有大量終端用戶，違規(guī)進行“一機多用”和“非法外聯(lián)”。借助終端提供的多種外聯(lián)通道，越權(quán)進行非法網(wǎng)絡(luò)和設(shè)備外聯(lián)，隨意外發(fā)內(nèi)部涉密資料，同時也為病毒、木馬攻擊內(nèi)網(wǎng)提供了理想的通道，病毒或木馬可以借助終端用戶違禁使用U盤、擅自撥號進行互聯(lián)網(wǎng)訪問、隨意瀏覽網(wǎng)站、隨意下載網(wǎng)站軟件的過程中，乘虛而入，攻入內(nèi)網(wǎng)，嚴(yán)重威脅到內(nèi)網(wǎng)的穩(wěn)定運行和內(nèi)網(wǎng)中內(nèi)部數(shù)據(jù)的安全。

2.  天珣非法外聯(lián)控制四步曲

天珣內(nèi)網(wǎng)安全風(fēng)險管理與審計系統(tǒng)（以下簡稱天珣），作為啟明星辰“五維內(nèi)網(wǎng)合規(guī)管理模型”的最佳實踐，同樣在防止內(nèi)網(wǎng)終端非法外聯(lián)有著非凡的表現(xiàn)，部署天珣之后，簡單四步即可徹底解決內(nèi)網(wǎng)終端非法外聯(lián)的“頑疾”。         

第一步：啟用用終端多網(wǎng)卡限制，保證只能通過指定網(wǎng)卡聯(lián)網(wǎng)；         

第二步：啟用終端外設(shè)接口限制，防止通過Modem、紅外、藍牙等非法外聯(lián)；         

第三步：啟用在移動存儲認(rèn)證，確保授權(quán)用戶使用授權(quán)Ｕ盤進行數(shù)據(jù)安全共享；         

第四步：啟用終端異常路由審計，偵測終端可能存在的其他網(wǎng)絡(luò)非法外聯(lián)蛛絲馬跡。

下圖為天珣非法外聯(lián)控制功能邏輯圖：

圖1

 1) 控制終端通過多網(wǎng)卡的非法外聯(lián)

可以直接通過天珣，添加限制多網(wǎng)卡的“安全防護策略”，可以實現(xiàn)針對指定IP或網(wǎng)段的終端處于在線或離線狀態(tài)時，禁止通過雙網(wǎng)卡的非法外聯(lián)行為。在限制多網(wǎng)卡策略生效后，如果終端用戶嘗試通過與天珣管理服務(wù)器直接通信的其他網(wǎng)卡進行非法外聯(lián)，天珣客戶端將即時阻斷該行為，并將該行為上報到天珣告警服務(wù)器，該行為信息可以在審計結(jié)果中進行查詢。

除此之外，還可以通過增加嚴(yán)格的終端離線安全防護策略，一旦檢測到終端授權(quán)使用的網(wǎng)卡斷線或離開授權(quán)網(wǎng)絡(luò)區(qū)域，天珣將自動啟用離線安全防護策略，防止用戶試圖嘗試通過授權(quán)網(wǎng)卡連接其他網(wǎng)絡(luò)，達到一機兩用的目的。

2) 控制終端通過外設(shè)的非法外聯(lián)

天珣可以根據(jù)合規(guī)管理的要求，通過定制和下發(fā)禁用可能存在非法外聯(lián)的外設(shè)控制策略規(guī)則到指定IP、IP段，或者指定用戶或用戶組，實現(xiàn)控制終端通過外設(shè)（例如USB、modem、無線網(wǎng)卡、紅外線設(shè)備、串口、并口等進行）進行非法外聯(lián)的行為。

在外設(shè)禁用后，如果終端仍嘗試要打開禁用的外設(shè)，天珣客戶端將即時禁止該行為，并將該行為上報到天珣告警服務(wù)器，該行為信息可以在審計結(jié)果中進行查詢。

3) 控制終端通過外設(shè)的非法外聯(lián)

對于確實需要使用USB接口的移動存儲設(shè)備（U盤、移動硬盤等）的終端用戶，則可以通過天珣啟用移動存儲認(rèn)證和授權(quán)數(shù)據(jù)共享。需要在內(nèi)網(wǎng)中使用的移動存儲設(shè)備，在使用前，都先需要獲得天珣系統(tǒng)的認(rèn)證和授權(quán)，只有通過認(rèn)證的移動存儲介質(zhì)才能夠在內(nèi)網(wǎng)授權(quán)終端使用。

對認(rèn)證通過的移動存儲設(shè)備，還可以根據(jù)用戶設(shè)置保存數(shù)據(jù)自動加密和讀、寫的權(quán)限，實現(xiàn)通過授權(quán)的移動存儲設(shè)備進行內(nèi)部數(shù)據(jù)安全、受控共享。

4) 通過異常路由對可能的非法外聯(lián)進行審計
天珣還可以提供對終端異常路由的審計功能，通過監(jiān)控終端的路由信息，通過發(fā)現(xiàn)路由信息中異常路由信息，為合規(guī)管理提供終端可能存在的其它網(wǎng)絡(luò)非法外聯(lián)的信息或證據(jù)。

風(fēng)險管理與審計系統(tǒng)產(chǎn)品簡介：

天珣是業(yè)界領(lǐng)先的內(nèi)網(wǎng)安全風(fēng)險管理與審計系統(tǒng)。天珣以內(nèi)網(wǎng)終端計算機作為核心管理對象，從終端安全保護與運維管理出發(fā)，通過實現(xiàn)端點內(nèi)網(wǎng)安全準(zhǔn)入控制、終端威脅主動防御、終端桌面信息管理、終端數(shù)據(jù)防泄密和終端行為審計。 

作為終端的信息中心和安全管理平臺，天珣強大的準(zhǔn)入控制技術(shù)為用戶構(gòu)建全新的內(nèi)網(wǎng)“安檢”系統(tǒng)，所有接入和訪問內(nèi)網(wǎng)的終端和用戶都需要進行身份認(rèn)證和安全檢查，從源頭堵上內(nèi)網(wǎng)安全漏洞；天珣強大的主動防御能力為每臺終端提供了一套全天候、安全“軟猬甲”，不僅保護終端免受攻擊和破壞，更最終保障內(nèi)網(wǎng)安全順暢和7X24小時不間斷云心；天珣終端防泄密作為終端關(guān)鍵數(shù)據(jù)的“保險柜”，保護核心信息資產(chǎn)，消除因核心信息資產(chǎn)失竊所帶來的不可估量的損失；基于策略的內(nèi)網(wǎng)安全審計，確保內(nèi)網(wǎng)安全狀態(tài)持續(xù)改善，全面提升內(nèi)網(wǎng)安全防御等級和風(fēng)險安全管理水平，為用戶構(gòu)建全新的主動防御可信任內(nèi)網(wǎng)。