为最大程度上保障网络安全,全国各级政府、军队、公安机关、金融、电力及各企事业等单位都建有物理隔离专用内部通信网络。在防火墙、安全隔离网关等多重安全防护的层层加码下,我们总觉得专网安全已经高枕无忧,但很多单位由于网络传输的特殊性、网络环境的复杂性、网络建设扩展的紧迫性,单位专网在建设和应用中仍然存在违规外联行为“不可控”的安全隐患。
很多单位虽然部署了违规外联监控系统,但这些系统仅有告警功能,并没有阻断功能,一旦出现违规外联事件,不但会造成难以挽回的损失,相关责任人还会被通报。
违规外联的风险点发生在以下两个层面:
一、终端层面
1. 同时存在外网接口和内网接口,因网线及网口标识不清内网终端网线误接入互联网,造成违规外联。
2.因系统维护升级,内网终端接入互联网,造成违规外联。
3.内网终端损坏送厂家维修时,维修人员联接互联网更新软件或硬件驱动,造成违规外联。
4.内网终端通过代理服务器联接其他网络,造成违规外联。
5.联接手机无线热点。计算机(笔记本电脑、带无线接收装置的含式计算机)通过手机无线热点功能,利用手机移动网络联接互联网造成进规外联。
6.接入无线网络接收器。无线网络接收器类似于无线上网卡,但功能上是搜集周围互联网WIFI信号,通过验证后获取外网IP地址并接入互联网,造成违规外联。
二、网络层面
1.内网交换机和外网交换机之间由于误插网线造成的违规外联。
2.运营商的光猫或其他流转外网数据的设备(比如同轴电缆接口或其他接口)连接到内网引起的违规外联。
3.外来电脑连接WIFI热点的同时接入内网。
笔者认为有效避免违规外联的方案应该从终端层面和网络层面进行集中管控。
一、终端层面
终端采用NDIS(底层驱动过滤引擎)技术阻断非法外联 情况,NDIS横跨传输层、网络层和数据链路层,定义了网卡或网卡驱动程序与上层协议驱动程序之间的通信接口规范。
现有”非法外联”检测手段使用的是NPF驱动方式,NPF是一个协议驱动。工作在协议层,能够执行几个不同的操作:捕获、监测、转储到磁盘和数据包发送。
由于NDIS工作在更底层,所以可以先收到数据包,自动检测终端电脑收发的所有数据包是否存在违规外联行为,发现违规外联的数据包立即拦截,将过滤之后的数据包再发送到上层的NPF(NDIS要比NPF速度更快),这样可以有效的避免违规外联事件的发生。
具体实现效果如下:
1.内部终端
1)内部终端安装Client(采用NDIS技术)入网,在现有检查系统(NPF技术)之前拦截所有外联数据包;
2)重新安装操作系统的终端需要重新安装Client认证,否则不能入网。
2.外部终端
1)安装Client前,进入隔离区,禁止发送所有数据包(包括外联数据包);
2)安装Client后, 拦截所有外联数据包。
二、网络层面
网络层面通过认证准入的方式,杜绝所有外来终端和设备入网,必须安装Client认证才能入网。
具体实现效果如下:
1.因为内网交换机和外网交换机之间没有认证,所以即使用网线连接也不能互相访问。
2.运营商或其他有外网数据流通的设备无法接入内网交换机。
3.外来终端或其他设备无法接入内网,避免了这些终端和设备发送外联数据包在网内流转所引起的违规外联风险。
整体实现效果
①安装Client的内部终端内网数据包可正常通讯;
②安装Client的内部终端外联数据包被拦截;
③重做系统或没有安装Client的内部终端禁止入网;
④外来终端禁止入网;
⑤内网交换机和外网交换机之间无法通讯;
⑥运行商或其他流通外网数据的设备无法与内网交换机通讯。
关于内控王违规外联管控系统
内控王违规外联(采用的是NDIS技术)管控系统从终端层面和网络层面对违规外联进行集中管控。终端层面采用底层过滤驱动引擎(NDIS技术),在现有检测机制(NPF技术)之前拦截所有外联数据包,避免违规外联事件的发生。网络层面通过认证准的方式,杜绝所有外来终端和设备入网,必须安装Client认证才能入网。通过统一的图形化管理界面,是一种低成本、易实施、好管理、高可靠的一体化解决方案,精准把控违规外联风险,为单位专网安全保驾护航。
