計算機和網(wǎng)絡(luò)技術(shù)的發(fā)展，為終端電腦提供了豐富的網(wǎng)絡(luò)和設(shè)備互聯(lián)的手段。這些多種多樣的互聯(lián)互通方式，正在成為內(nèi)網(wǎng)合規(guī)管理實踐中，所要面對的最大的挑戰(zhàn)之一。

1.非法外聯(lián)挑戰(zhàn)內(nèi)網(wǎng)安全

現(xiàn)在，用戶不僅可以直接通過有限的網(wǎng)絡(luò)實現(xiàn)與其他電腦或Internet實現(xiàn)互聯(lián)；也可以通過多種無線連接方式，例如無線局域網(wǎng)、紅外線、藍牙等實現(xiàn)網(wǎng)絡(luò)和設(shè)備和互聯(lián)；還可以通過終端提供的豐富的外設(shè)接口，例如USB接口、COM口、LPT口、Modem等多種接口，實現(xiàn)終端與外設(shè)、終端與終端或終端與網(wǎng)絡(luò)的互聯(lián)。除此之外，在以上物理連接通的基礎(chǔ)上，還有PPOE虛擬撥號、各類VPN供選擇，作為安全的互連互通的可選方式。

根據(jù)合規(guī)管理的要求，內(nèi)網(wǎng)終端電腦對Internet、內(nèi)部網(wǎng)絡(luò)和內(nèi)部的其它終端或服務(wù)器的訪問，要根據(jù)其使用者所在的部門和安全分級管理中的角色，根據(jù)管理的需求，只有其中一種或多種的網(wǎng)絡(luò)互聯(lián)使用權(quán)限；但現(xiàn)實是，即使內(nèi)網(wǎng)終端有嚴格的互聯(lián)規(guī)定，但因缺少有效的技術(shù)手段，仍有大量終端用戶，違規(guī)進行“一機多用”和“非法外聯(lián)”。借助終端提供的多種外聯(lián)通道，越權(quán)進行非法網(wǎng)絡(luò)和設(shè)備外聯(lián)，隨意外發(fā)內(nèi)部涉密資料，同時也為病毒、木馬攻擊內(nèi)網(wǎng)提供了理想的通道，病毒或木馬可以借助終端用戶違禁使用U盤、擅自撥號進行互聯(lián)網(wǎng)訪問、隨意瀏覽網(wǎng)站、隨意下載網(wǎng)站軟件的過程中，乘虛而入，攻入內(nèi)網(wǎng)，嚴重威脅到內(nèi)網(wǎng)的穩(wěn)定運行和內(nèi)網(wǎng)中內(nèi)部數(shù)據(jù)的安全。

2.天珣非法外聯(lián)控制四步曲 

天珣內(nèi)網(wǎng)安全風險管理與審計系統(tǒng)（以下簡稱天珣），作為啟明星辰“五維內(nèi)網(wǎng)合規(guī)管理模型”的最佳實踐，同樣在防止內(nèi)網(wǎng)終端非法外聯(lián)有著非凡的表現(xiàn)，部署天珣之后，簡單四步即可徹底解決內(nèi)網(wǎng)終端非法外聯(lián)的“頑疾”。    

第一步：啟用用終端多網(wǎng)卡限制，保證只能通過指定網(wǎng)卡聯(lián)網(wǎng)；    

第二步：啟用終端外設(shè)接口限制，防止通過Modem、紅外、藍牙等非法外聯(lián)；    

第三步：啟用在移動存儲認證，確保授權(quán)用戶使用授權(quán)Ｕ盤進行數(shù)據(jù)安全共享；    

第四步：啟用終端異常路由審計，偵測終端可能存在的其他網(wǎng)絡(luò)非法外聯(lián)蛛絲馬跡。

下圖為天珣非法外聯(lián)控制功能邏輯圖：

圖1

1)控制終端通過多網(wǎng)卡的非法外聯(lián)

可以直接通過天珣，添加限制多網(wǎng)卡的“安全防護策略”，可以實現(xiàn)針對指定IP或網(wǎng)段的終端處于在線或離線狀態(tài)時，禁止通過雙網(wǎng)卡的非法外聯(lián)行為。在限制多網(wǎng)卡策略生效后，如果終端用戶嘗試通過與天珣管理服務(wù)器直接通信的其他網(wǎng)卡進行非法外聯(lián)，天珣客戶端將即時阻斷該行為，并將該行為上報到天珣告警服務(wù)器，該行為信息可以在審計結(jié)果中進行查詢。

除此之外，還可以通過增加嚴格的終端離線安全防護策略，一旦檢測到終端授權(quán)使用的網(wǎng)卡斷線或離開授權(quán)網(wǎng)絡(luò)區(qū)域，天珣將自動啟用離線安全防護策略，防止用戶試圖嘗試通過授權(quán)網(wǎng)卡連接其他網(wǎng)絡(luò)，達到一機兩用的目的。

2)控制終端通過外設(shè)的非法外聯(lián)

天珣可以根據(jù)合規(guī)管理的要求，通過定制和下發(fā)禁用可能存在非法外聯(lián)的外設(shè)控制策略規(guī)則到指定IP、IP段，或者指定用戶或用戶組，實現(xiàn)控制終端通過外設(shè)（例如USB、modem、無線網(wǎng)卡、紅外線設(shè)備、串口、并口等進行）進行非法外聯(lián)的行為。

在外設(shè)禁用后，如果終端仍嘗試要打開禁用的外設(shè)，天珣客戶端將即時禁止該行為，并將該行為上報到天珣告警服務(wù)器，該行為信息可以在審計結(jié)果中進行查詢。

3)控制終端通過外設(shè)的非法外聯(lián) 

對于確實需要使用USB接口的移動存儲設(shè)備（U盤、移動硬盤等）的終端用戶，則可以通過天珣啟用移動存儲認證和授權(quán)數(shù)據(jù)共享。需要在內(nèi)網(wǎng)中使用的移動存儲設(shè)備，在使用前，都先需要獲得天珣系統(tǒng)的認證和授權(quán)，只有通過認證的移動存儲介質(zhì)才能夠在內(nèi)網(wǎng)授權(quán)終端使用。對認證通過的移動存儲設(shè)備，還可以根據(jù)用戶設(shè)置保存數(shù)據(jù)自動加密和讀、寫的權(quán)限，實現(xiàn)通過授權(quán)的移動存儲設(shè)備進行內(nèi)部數(shù)據(jù)安全、受控共享。

4)通過異常路由對可能的非法外聯(lián)進行審計

天珣還可以提供對終端異常路由的審計功能，通過監(jiān)控終端的路由信息，通過發(fā)現(xiàn)路由信息中異常路由信息，為合規(guī)管理提供終端可能存在的其它網(wǎng)絡(luò)非法外聯(lián)的信息或證據(jù)。