計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的發(fā)展，為終端電腦提供了豐富的網(wǎng)絡(luò)和設(shè)備互聯(lián)的手段。這些多種多樣的互聯(lián)互通方式，正在成為內(nèi)網(wǎng)合規(guī)管理實(shí)踐中，所要面對(duì)的最大的挑戰(zhàn)之一。

1.非法外聯(lián)挑戰(zhàn)內(nèi)網(wǎng)安全

現(xiàn)在，用戶不僅可以直接通過有限的網(wǎng)絡(luò)實(shí)現(xiàn)與其他電腦或Internet實(shí)現(xiàn)互聯(lián)；也可以通過多種無線連接方式，例如無線局域網(wǎng)、紅外線、藍(lán)牙等實(shí)現(xiàn)網(wǎng)絡(luò)和設(shè)備和互聯(lián)；還可以通過終端提供的豐富的外設(shè)接口，例如USB接口、COM口、LPT口、Modem等多種接口，實(shí)現(xiàn)終端與外設(shè)、終端與終端或終端與網(wǎng)絡(luò)的互聯(lián)。除此之外，在以上物理連接通的基礎(chǔ)上，還有PPOE虛擬撥號(hào)、各類VPN供選擇，作為安全的互連互通的可選方式。

根據(jù)合規(guī)管理的要求，內(nèi)網(wǎng)終端電腦對(duì)Internet、內(nèi)部網(wǎng)絡(luò)和內(nèi)部的其它終端或服務(wù)器的訪問，要根據(jù)其使用者所在的部門和安全分級(jí)管理中的角色，根據(jù)管理的需求，只有其中一種或多種的網(wǎng)絡(luò)互聯(lián)使用權(quán)限；但現(xiàn)實(shí)是，即使內(nèi)網(wǎng)終端有嚴(yán)格的互聯(lián)規(guī)定，但因缺少有效的技術(shù)手段，仍有大量終端用戶，違規(guī)進(jìn)行“一機(jī)多用”和“非法外聯(lián)”。借助終端提供的多種外聯(lián)通道，越權(quán)進(jìn)行非法網(wǎng)絡(luò)和設(shè)備外聯(lián)，隨意外發(fā)內(nèi)部涉密資料，同時(shí)也為病毒、木馬攻擊內(nèi)網(wǎng)提供了理想的通道，病毒或木馬可以借助終端用戶違禁使用U盤、擅自撥號(hào)進(jìn)行互聯(lián)網(wǎng)訪問、隨意瀏覽網(wǎng)站、隨意下載網(wǎng)站軟件的過程中，乘虛而入，攻入內(nèi)網(wǎng)，嚴(yán)重威脅到內(nèi)網(wǎng)的穩(wěn)定運(yùn)行和內(nèi)網(wǎng)中內(nèi)部數(shù)據(jù)的安全。

2.天珣非法外聯(lián)控制四步曲 

天珣內(nèi)網(wǎng)安全風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)（以下簡稱天珣），作為啟明星辰“五維內(nèi)網(wǎng)合規(guī)管理模型”的最佳實(shí)踐，同樣在防止內(nèi)網(wǎng)終端非法外聯(lián)有著非凡的表現(xiàn)，部署天珣之后，簡單四步即可徹底解決內(nèi)網(wǎng)終端非法外聯(lián)的“頑疾”。    

第一步：啟用用終端多網(wǎng)卡限制，保證只能通過指定網(wǎng)卡聯(lián)網(wǎng)；    

第二步：啟用終端外設(shè)接口限制，防止通過Modem、紅外、藍(lán)牙等非法外聯(lián)；    

第三步：啟用在移動(dòng)存儲(chǔ)認(rèn)證，確保授權(quán)用戶使用授權(quán)Ｕ盤進(jìn)行數(shù)據(jù)安全共享；    

第四步：啟用終端異常路由審計(jì)，偵測(cè)終端可能存在的其他網(wǎng)絡(luò)非法外聯(lián)蛛絲馬跡。

下圖為天珣非法外聯(lián)控制功能邏輯圖：

圖1

1)控制終端通過多網(wǎng)卡的非法外聯(lián)

可以直接通過天珣，添加限制多網(wǎng)卡的“安全防護(hù)策略”，可以實(shí)現(xiàn)針對(duì)指定IP或網(wǎng)段的終端處于在線或離線狀態(tài)時(shí)，禁止通過雙網(wǎng)卡的非法外聯(lián)行為。在限制多網(wǎng)卡策略生效后，如果終端用戶嘗試通過與天珣管理服務(wù)器直接通信的其他網(wǎng)卡進(jìn)行非法外聯(lián)，天珣客戶端將即時(shí)阻斷該行為，并將該行為上報(bào)到天珣告警服務(wù)器，該行為信息可以在審計(jì)結(jié)果中進(jìn)行查詢。

除此之外，還可以通過增加嚴(yán)格的終端離線安全防護(hù)策略，一旦檢測(cè)到終端授權(quán)使用的網(wǎng)卡斷線或離開授權(quán)網(wǎng)絡(luò)區(qū)域，天珣將自動(dòng)啟用離線安全防護(hù)策略，防止用戶試圖嘗試通過授權(quán)網(wǎng)卡連接其他網(wǎng)絡(luò)，達(dá)到一機(jī)兩用的目的。

2)控制終端通過外設(shè)的非法外聯(lián)

天珣可以根據(jù)合規(guī)管理的要求，通過定制和下發(fā)禁用可能存在非法外聯(lián)的外設(shè)控制策略規(guī)則到指定IP、IP段，或者指定用戶或用戶組，實(shí)現(xiàn)控制終端通過外設(shè)（例如USB、modem、無線網(wǎng)卡、紅外線設(shè)備、串口、并口等進(jìn)行）進(jìn)行非法外聯(lián)的行為。

在外設(shè)禁用后，如果終端仍嘗試要打開禁用的外設(shè)，天珣客戶端將即時(shí)禁止該行為，并將該行為上報(bào)到天珣告警服務(wù)器，該行為信息可以在審計(jì)結(jié)果中進(jìn)行查詢。

3)控制終端通過外設(shè)的非法外聯(lián) 

對(duì)于確實(shí)需要使用USB接口的移動(dòng)存儲(chǔ)設(shè)備（U盤、移動(dòng)硬盤等）的終端用戶，則可以通過天珣啟用移動(dòng)存儲(chǔ)認(rèn)證和授權(quán)數(shù)據(jù)共享。需要在內(nèi)網(wǎng)中使用的移動(dòng)存儲(chǔ)設(shè)備，在使用前，都先需要獲得天珣系統(tǒng)的認(rèn)證和授權(quán)，只有通過認(rèn)證的移動(dòng)存儲(chǔ)介質(zhì)才能夠在內(nèi)網(wǎng)授權(quán)終端使用。對(duì)認(rèn)證通過的移動(dòng)存儲(chǔ)設(shè)備，還可以根據(jù)用戶設(shè)置保存數(shù)據(jù)自動(dòng)加密和讀、寫的權(quán)限，實(shí)現(xiàn)通過授權(quán)的移動(dòng)存儲(chǔ)設(shè)備進(jìn)行內(nèi)部數(shù)據(jù)安全、受控共享。

4)通過異常路由對(duì)可能的非法外聯(lián)進(jìn)行審計(jì)

天珣還可以提供對(duì)終端異常路由的審計(jì)功能，通過監(jiān)控終端的路由信息，通過發(fā)現(xiàn)路由信息中異常路由信息，為合規(guī)管理提供終端可能存在的其它網(wǎng)絡(luò)非法外聯(lián)的信息或證據(jù)。