計算機和網絡技術的發展,為終端電腦提供了豐富的網絡和設備互聯的手段。這些多種多樣的互聯互通方式,正在成為內網合規管理實踐中,所要面對的最大的挑戰之一。
1. 非法外聯挑戰內網安全
現在,用戶不僅可以直接通過有限的網絡實現與其他電腦或Internet實現互聯;也可以通過多種無線連接方式,例如無線局域網、紅外線、藍牙等實現網絡和設備和互聯;還可以通過終端提供的豐富的外設接口,例如USB接口、COM口、LPT口、Modem等多種接口,實現終端與外設、終端與終端或終端與網絡的互聯。除此之外,在以上物理連接通的基礎上,還有PPOE虛擬撥號、各類VPN供選擇,作為安全的互連互通的可選方式。
根據合規管理的要求,內網終端電腦對Internet、內部網絡和內部的其它終端或服務器的訪問,要根據其使用者所在的部門和安全分級管理中的角色,根據管理的需求,只有其中一種或多種的網絡互聯使用權限;但現實是,即使內網終端有嚴格的互聯規定,但因缺少有效的技術手段,仍有大量終端用戶,違規進行“一機多用”和“非法外聯”。借助終端提供的多種外聯通道,越權進行非法網絡和設備外聯,隨意外發內部涉密資料,同時也為病毒、木馬攻擊內網提供了理想的通道,病毒或木馬可以借助終端用戶違禁使用U盤、擅自撥號進行互聯網訪問、隨意瀏覽網站、隨意下載網站軟件的過程中,乘虛而入,攻入內網,嚴重威脅到內網的穩定運行和內網中內部數據的安全。
2. 天珣非法外聯控制四步曲
天珣內網安全風險管理與審計系統(以下簡稱天珣),作為啟明星辰“五維內網合規管理模型”的最佳實踐,同樣在防止內網終端非法外聯有著非凡的表現,部署天珣之后,簡單四步即可徹底解決內網終端非法外聯的“頑疾”。
第一步:啟用用終端多網卡限制,保證只能通過指定網卡聯網;
第二步:啟用終端外設接口限制,防止通過Modem、紅外、藍牙等非法外聯;
第三步:啟用在移動存儲認證,確保授權用戶使用授權U盤進行數據安全共享;
第四步:啟用終端異常路由審計,偵測終端可能存在的其他網絡非法外聯蛛絲馬跡。
下圖為天珣非法外聯控制功能邏輯圖:
 |
| 圖1 |
1) 控制終端通過多網卡的非法外聯
可以直接通過天珣,添加限制多網卡的“安全防護策略”,可以實現針對指定IP或網段的終端處于在線或離線狀態時,禁止通過雙網卡的非法外聯行為。在限制多網卡策略生效后,如果終端用戶嘗試通過與天珣管理服務器直接通信的其他網卡進行非法外聯,天珣客戶端將即時阻斷該行為,并將該行為上報到天珣告警服務器,該行為信息可以在審計結果中進行查詢。
除此之外,還可以通過增加嚴格的終端離線安全防護策略,一旦檢測到終端授權使用的網卡斷線或離開授權網絡區域,天珣將自動啟用離線安全防護策略,防止用戶試圖嘗試通過授權網卡連接其他網絡,達到一機兩用的目的。
2) 控制終端通過外設的非法外聯
天珣可以根據合規管理的要求,通過定制和下發禁用可能存在非法外聯的外設控制策略規則到指定IP、IP段,或者指定用戶或用戶組,實現控制終端通過外設(例如USB、modem、無線網卡、紅外線設備、串口、并口等進行)進行非法外聯的行為。
在外設禁用后,如果終端仍嘗試要打開禁用的外設,天珣客戶端將即時禁止該行為,并將該行為上報到天珣告警服務器,該行為信息可以在審計結果中進行查詢。
3) 控制終端通過外設的非法外聯
對于確實需要使用USB接口的移動存儲設備(U盤、移動硬盤等)的終端用戶,則可以通過天珣啟用移動存儲認證和授權數據共享。需要在內網中使用的移動存儲設備,在使用前,都先需要獲得天珣系統的認證和授權,只有通過認證的移動存儲介質才能夠在內網授權終端使用。
對認證通過的移動存儲設備,還可以根據用戶設置保存數據自動加密和讀、寫的權限,實現通過授權的移動存儲設備進行內部數據安全、受控共享。
4) 通過異常路由對可能的非法外聯進行審計
天珣還可以提供對終端異常路由的審計功能,通過監控終端的路由信息,通過發現路由信息中異常路由信息,為合規管理提供終端可能存在的其它網絡非法外聯的信息或證據。
風險管理與審計系統產品簡介:
天珣是業界領先的內網安全風險管理與審計系統。天珣以內網終端計算機作為核心管理對象,從終端安全保護與運維管理出發,通過實現端點內網安全準入控制、終端威脅主動防御、終端桌面信息管理、終端數據防泄密和終端行為審計。
作為終端的信息中心和安全管理平臺,天珣強大的準入控制技術為用戶構建全新的內網“安檢”系統,所有接入和訪問內網的終端和用戶都需要進行身份認證和安全檢查,從源頭堵上內網安全漏洞;天珣強大的主動防御能力為每臺終端提供了一套全天候、安全“軟猬甲”,不僅保護終端免受攻擊和破壞,更最終保障內網安全順暢和7X24小時不間斷云心;天珣終端防泄密作為終端關鍵數據的“保險柜”,保護核心信息資產,消除因核心信息資產失竊所帶來的不可估量的損失;基于策略的內網安全審計,確保內網安全狀態持續改善,全面提升內網安全防御等級和風險安全管理水平,為用戶構建全新的主動防御可信任內網。
