天珣非法外联控制四步曲

1、天珣非法外联控制四步曲北京启明星辰信息安全技术有限公司天瑜产品部刘希诚计算机和网络技术的发展，为终端电脑提供了丰富的网络和设备互联的手段，借助这些 手段，用户不仅可以直接通过有限的网络实现与其他电脑或Internet实现互联，也可以通过 多种无线连接方式，例如无线局域网、红外线、蓝牙等实现网络和设备和互联，还可以通过 终端提供的丰富的外设接口，例如USB接口、COM 口、LPT 口、Modem等多种接口，实 现终端与外设、终端与终端或终端与网络的互联。除此之外，在以上物理连接通的基础上， 还有PPOE虚拟拨号、各类VPN供选择，作为安全的互连互通的可选方式。然而，正是电脑具备的多种多样互联互通

2、的方式，却成为内网合规管理实践中，所要面 对的最大的挑战之一。合规管理要求，内网终端电脑对Internet.内部网络和内部的其他终 端或服务器的访问，要根据其使用者所在的部门和安全分级管理中的角色，根据管理的需求， 只有其中一种或多种的网络互联使用权限；但现实是，即使内网终端有严格的互联规定，但 因缺少有效的技术手段，仍有大量终端用户，违规进行“一机多用”和“非法外联”。借助 终端提供的多种外联通道，越权进行非法网络和设备外联，随意外发内部涉密资料，同时也 为病毒、木马攻击内网提供了理想的通道，病毒或木马可以借助终端用户违禁使用U盘、 擅自拨号进行互联网访问、随意浏览网站、随意下载网站软件的过

3、程中，乘虚而入，攻入内 网，严重威胁到内网的稳定运行和内网中内部数据的安全。天瑜内网风险管理与审计系统（以下简称天瑜），作为启明星辰“五维内网合规管理模 型”的最佳实践，同样在防止内网终端非法外联有着非凡的表现，部署天瑜之后，简单四步 即可彻底解决内网终端非法外联的“顽疾”。第一步：启用用终端多网卡限制，保证只能通过指定网卡联网；第二步：启用终端外设接口限制，防止通过Modem、红外、蓝牙等非法外联； 第三步：启用在移动存储认证，确保授权用户使用授权U盘进行数据安全共享； 第四步：启用终端异常路由审计，侦测终端可能存在的其他网络非法外联蛛丝马迹。下图为天瑜非法外联控制功能逻辑图：天珣非法外联控

4、制四步曲：第一步：控制终端通过多网卡的非法外联可以直接通过天瑜，添加限制多网卡的“安全防护策略”可以实现针对指定IP或 网段的终端处于在线或离线状态时，禁止通过双网卡的非法外联行为。在限制多网卡策 略生效后，如果终端用户尝试通过与天瑜管理服务器直接通信的其他网卡进行非法外 联，天瑜客户端将即时阻断该行为，并将该行为上报到天瑜告警服务器，该行为信息可 以在审计结果中进行查询。除此之外，还可以通过增加严格的终端离线安全防护策略，一旦检测到终端授权使 用的网卡断线或离开授权网络区域，天瑜将自动启用离线安全防护策略，防止用户试图 尝试通过授权网卡连接其他网络，达到一机两用的目的。第二步：控制终端通过外

5、设的非法外联天瑜可以根据合规管理的要求，通过定制和下发禁用可能存在非法外联的外设控制 策略规则到指定IP、IP段，或者指定用户或用户组，实现控制终端通过外设（例如USB、 modem、无线网卡、红外线设备、串口、并口等进行）进行非法外联的行为。在外设禁用后，如果终端仍尝试要打开禁用的外设，天瑜客户端将即时禁止该行为，并将该行为上报到天瑜告警服务器，该行为信息可以在审计结果中进行查询。第三步：控制终端通过外设的非法外联对于确实需要使用USB接口的移动存储设备（U盘、移动硬盘等）的终端用户，则可以通过天珣启用移动存储认证和授权数据共享。需要在内网中使用的移动存储设备， 在使用前，都先需要获得天珣系

6、统的认证和授权，只有通过认证的移动存储介质才能够 在内网授权终端使用。对认证通过的移动存储设备，还可以根据用户设置保存数据自动加密和读、写的权 限，实现通过授权的移动存储设备进行内部数据安全、受控共享。第四步：通过异常路由对可能的非法外联进行审计天珣还可以提供对终端异常路由的审计功能，通过监控终端的路由信息，通过发现 路由信息中异常路由信息，为合规管理提供终端可能存在的其他网络非法外联的信息或 证据。天珂风险管理与审计系统产品简介：天珣是业界领先的内网安全风险管理与审计系统。天珣以内网终端计算机作为核心 管理对象，从终端安全保护与运维管理出发，通过实现端点内网安全准入控制、终端威 胁主动防御、终端桌面信息管理、终端数据防泄密和终端行为审计。作为终端的信息中心和安全管理平台，天珣强大准入控制技术为用户构建全新的内 网“安检”系统，所有接入和访问内网的终端和用户都需要进行身份认证和安全检查， 从源头堵上内网安全漏洞；天珣强大的主动防御能力为每台终端提供了一套全天候、安 全“软猬甲”，不仅保护终端免受攻击和破坏，更最终保障内网安全顺畅和7X24小时不 间断运行；天珣终端防泄密作为终端关键数据的“