计算机和网络技术的发展,为终端电脑提供了丰富的网络和设备互联的手段。这些多种多样的互联互通方式,正在成为内网合规管理实践中,所要面对的最大的挑战之一。
1.非法外联挑战内网安全
现在,用户不仅可以直接通过有限的网络实现与其他电脑或Internet实现互联;也可以通过多种无线连接方式,例如无线局域网、红外线、蓝牙等实现网络和设备和互联;还可以通过终端提供的丰富的外设接口,例如USB接口、COM口、LPT口、Modem等多种接口,实现终端与外设、终端与终端或终端与网络的互联。除此之外,在以上物理连接通的基础上,还有PPOE虚拟拨号、各类VPN供选择,作为安全的互连互通的可选方式。
根据合规管理的要求,内网终端电脑对Internet、内部网络和内部的其它终端或服务器的访问,要根据其使用者所在的部门和安全分级管理中的角色,根据管理的需求,只有其中一种或多种的网络互联使用权限;但现实是,即使内网终端有严格的互联规定,但因缺少有效的技术手段,仍有大量终端用户,违规进行“一机多用”和“非法外联”。借助终端提供的多种外联通道,越权进行非法网络和设备外联,随意外发内部涉密资料,同时也为病毒、木马攻击内网提供了理想的通道,病毒或木马可以借助终端用户违禁使用U盘、擅自拨号进行互联网访问、随意浏览网站、随意下载网站软件的过程中,乘虚而入,攻入内网,严重威胁到内网的稳定运行和内网中内部数据的安全。
2.天珣非法外联控制四步曲
天珣内网安全风险管理与审计系统(以下简称天珣),作为启明星辰“五维内网合规管理模型”的最佳实践,同样在防止内网终端非法外联有着非凡的表现,部署天珣之后,简单四步即可彻底解决内网终端非法外联的“顽疾”。
第一步:启用用终端多网卡限制,保证只能通过指定网卡联网;
第二步:启用终端外设接口限制,防止通过Modem、红外、蓝牙等非法外联;
第三步:启用在移动存储认证,确保授权用户使用授权U盘进行数据安全共享;
第四步:启用终端异常路由审计,侦测终端可能存在的其他网络非法外联蛛丝马迹。
下图为天珣非法外联控制功能逻辑图:
图1 |
1)控制终端通过多网卡的非法外联
可以直接通过天珣,添加限制多网卡的“安全防护策略”,可以实现针对指定IP或网段的终端处于在线或离线状态时,禁止通过双网卡的非法外联行为。在限制多网卡策略生效后,如果终端用户尝试通过与天珣管理服务器直接通信的其他网卡进行非法外联,天珣客户端将即时阻断该行为,并将该行为上报到天珣告警服务器,该行为信息可以在审计结果中进行查询。
除此之外,还可以通过增加严格的终端离线安全防护策略,一旦检测到终端授权使用的网卡断线或离开授权网络区域,天珣将自动启用离线安全防护策略,防止用户试图尝试通过授权网卡连接其他网络,达到一机两用的目的。
2)控制终端通过外设的非法外联
天珣可以根据合规管理的要求,通过定制和下发禁用可能存在非法外联的外设控制策略规则到指定IP、IP段,或者指定用户或用户组,实现控制终端通过外设(例如USB、modem、无线网卡、红外线设备、串口、并口等进行)进行非法外联的行为。
在外设禁用后,如果终端仍尝试要打开禁用的外设,天珣客户端将即时禁止该行为,并将该行为上报到天珣告警服务器,该行为信息可以在审计结果中进行查询。
3)控制终端通过外设的非法外联
对于确实需要使用USB接口的移动存储设备(U盘、移动硬盘等)的终端用户,则可以通过天珣启用移动存储认证和授权数据共享。需要在内网中使用的移动存储设备,在使用前,都先需要获得天珣系统的认证和授权,只有通过认证的移动存储介质才能够在内网授权终端使用。对认证通过的移动存储设备,还可以根据用户设置保存数据自动加密和读、写的权限,实现通过授权的移动存储设备进行内部数据安全、受控共享。
4)通过异常路由对可能的非法外联进行审计
天珣还可以提供对终端异常路由的审计功能,通过监控终端的路由信息,通过发现路由信息中异常路由信息,为合规管理提供终端可能存在的其它网络非法外联的信息或证据。