終端安全系列談非法外聯監控成就終端安全

【賽迪網-IT技術報道】計算機和網絡技術的發展，為終端電腦提供了豐富的網絡和設備互聯的手段。這些多種多樣的互聯互通方式，正在成為內網合規管理實踐中，所要面對的最大的挑戰之一。

1.非法外聯挑戰內網安全

現在，用戶不僅可以直接通過有限的網絡實現與其他電腦或Internet實現互聯；也可以通過多種無線連接方式，例如無線局域網、紅外線、藍牙等實現網絡和設備和互聯；還可以通過終端提供的豐富的外設接口，例如USB接口、COM口、LPT口、Modem等多種接口，實現終端與外設、終端與終端或終端與網絡的互聯。除此之外，在以上物理連接通的基礎上，還有PPOE虛擬撥號、各類VPN供選擇，作為安全的互連互通的可選方式。

根據合規管理的要求，內網終端電腦對Internet、內部網絡和內部的其它終端或伺服器的訪問，要根據其使用者所在的部門和安全分級管理中的角色，根據管理的需求，只有其中一種或多種的網絡互聯使用權限；但現實是，即使內網終端有嚴格的互聯規定，但因缺少有效的技術手段，仍有大量終端用戶，違規進行「一機多用」和「非法外聯」。借助終端提供的多種外聯通道，越權進行非法網絡和設備外聯，隨意外發內部涉密資料，同時也為病毒、木馬攻擊內網提供了理想的通道，病毒或木馬可以借助終端用戶違禁使用USB隨身碟、擅自撥號進行互聯網訪問、隨意瀏覽網站、隨意下載網站軟體的過程中，乘虛而入，攻入內網，嚴重威脅到內網的穩定運行和內網中內部資料的安全。

2.天非法外聯控制四步曲

天內網安全風險管理與審計系統（以下簡稱天），作為啟明星辰「五維內網合規管理模型」的最佳實踐，同樣在防止內網終端非法外聯有著非凡的表現，部署天之後，簡單四步即可徹底解決內網終端非法外聯的「頑疾」。

第一步：啟用用終端多網卡限制，保證只能通過指定網卡聯網；

第二步：啟用終端外設接口限制，防止通過Modem、紅外、藍牙等非法外聯；

第三步：啟用在移動儲存認證，確保授權用戶使用授權Ｕ盤進行資料安全共享；

第四步：啟用終端異常路由審計，偵測終端可能存在的其他網絡非法外聯蛛絲馬跡。

下圖為天非法外聯控制功能邏輯圖：

(1)控制終端通過多網卡的非法外聯

可以直接通過天，添加限制多網卡的「安全防護策略」，可以實現針對指定IP或網段的終端處於在線或離線狀態時，禁止通過雙網卡的非法外聯行為。在限制多網卡策略生效後，如果終端用戶嘗試通過與天管理伺服器直接通信的其他網卡進行非法外聯，天客戶端將即時阻斷該行為，並將該行為上報到天告警伺服器，該行為信息可以在審計結果中進行查詢。

除此之外，還可以通過增加嚴格的終端離線安全防護策略，一旦檢測到終端授權使用的網卡斷線或離開授權網絡區域，天將自動啟用離線安全防護策略，防止用戶試圖嘗試通過授權網卡連接其他網絡，達到一機兩用的目的。

(2)控制終端通過外設的非法外聯

天可以根據合規管理的要求，通過定制和下發禁用可能存在非法外聯的外設控制策略規則到指定IP、IP段，或者指定用戶或用戶組，實現控制終端通過外設（例如USB、modem、無線網卡、紅外線設備、串口、並口等進行）進行非法外聯的行為。

在外設禁用後，如果終端仍嘗試要打開禁用的外設，天客戶端將即時禁止該行為，並將該行為上報到天告警伺服器，該行為信息可以在審計結果中進行查詢。

(3)控制終端通過外設的非法外聯

對於確實需要使用USB接口的移動儲存設備（USB隨身碟、移動硬碟等）的終端用戶，則可以通過天啟用移動儲存認證和授權資料共享。需要在內網中使用的移動儲存設備，在使用前，都先需要獲得天系統的認證和授權，只有通過認證的移動儲存介質才能夠在內網授權終端使用。

對認證通過的移動儲存設備，還可以根據用戶設置保存資料自動加密和讀、寫的權限，實現通過授權的移動儲存設備進行內部資料安全、受控共享。

(4)通過異常路由對可能的非法外聯進行審計

天還可以提供對終端異常路由的審計功能，通過監控終端的路由信息，通過發現路由信息中異常路由信息，為合規管理提供終端可能存在的其它網絡非法外聯的信息或證據。

(