 | 
|
|
|
|
违规外联管控解决方案 |
|
为最大程度上保障网络安全,全国各级政府、军队、公安机关、金融、电力及各企事业等单位都建有物理隔离专用内部通信网络。在防火墙、安全隔离网关等多重安全防护的层层加码下,我们总觉得专网安全已经高枕无忧,但很多单位由于网络传输的特殊性、网络环境的复杂性、网络建设扩展的紧迫性,单位专网在建设和应用中仍然存在违规外联行为“不可控”的安全隐患。 在专网环境中,违规外联管理的领域目前处于空白阶段,日常工作中违规外联现象逐渐增多,面临着很严峻的安全问题。主要体现在以下几个方面: 1、跨网访问现象严重 问题暴露在专网与互联网设备混用。由于工作需要,很多办公室都同时安装了专用网与互联网。两种网络接口同处一室,极易发生混乱,因网线及网口标识不清或其他原因导致用户在办公时将专网终端网线接入互联网,给网络安全与信息安全带来了一定的安全隐患; 2、私搭乱建无线热点 联接手机无线热点。国产化终端通过手机无线热点功能,利用手机移动网络联接互联网造成违规外联; 3、外部单位运维缺少必要管控 终端维修、安装软件、系统维护升级等运维工作经常是由外部单位的人员来完成的。或者不了解违规外联的规定或者为了方便工作,在运维过程中有意、无意的连接互联网; 4、违规外联行为缺少有效的约束手段 用户通过多种方式取得互联网访问条件,导致互联网与专网交叉使用频繁,专网的网络安全难以保障。同时保障。同时这种违规外联操作的行为,使用管理制度难以约束,产生的不必要后果,只能通过基层检查的方式获取,无法实现“事前控制”。 5、USB外设私自接入内网问题 U盘、usb移动硬盘、智能手机、WIFI、蓝牙等移动存储介质作为日常的信息交换载体被广泛应用,然而超强的便捷性也为IT管理者带来高泄密风险的困扰,在便捷性与安全性之间难以取舍。 关于内控王违规外联管控方案 内控王违规外联系统是一种低成本、易实施、好管理、高可靠的一体化解决方案,从以下几个方面精准把控电脑违规外联风险,为企事业单位专网安全保驾护航。 一、驱动过滤引擎让违规外联无处可逃 网卡驱动层面对所有数据包进行监控,发现并拦截通过任何方式与外网通讯的数据包,在数据包被发送之前进行阻断,杜绝违规外联事件的发生。  二、实时监测 审计追溯 一旦出现违规外联行为,在阻断外联数据包的同时终端将外联详情上报至服务器并记录日志,外联日志可查询、导出、打印,便于日后溯源。 三、明确的终端告警 在产生违规外联的终端桌面弹出告警提示。对无意外联的用户起到提醒作用,对有意外联的用户起到威慑效果。  四、灵活的模式选择 提供告警、阻断、告警并阻断等模式设置,可以根据需求给信创终端灵活的设置不同策略。 五、外设安全管控 杜绝U盘、移动硬盘、智能手机等外设管理混乱,保障终端计算机整体安全性。 方案特色  1、采用NDIS(底层驱动过滤引擎)横跨传输层、网络层和数据链路层,所有的数据包在发送之前,先在NDIS中进行一次分析和过滤,这样NPF收到的所有数据包就都是合法的了,可以快速、有效的避免违规外联事件的发生。  2、违规外联管控系统从终端层面实现“内外隔离”,可以发现并阻断用户以任何形式跨网访问至互联网行为,包括双网卡、单互联网、USB式网卡等媒介、连接WIFI热点、访问代理服务器等的违规外联现象,彻底杜绝“一机两用”情况。 3、实现了对专网和其他网络间的违规外联监测,并可实时记录违规外联行为,通过日志回溯等能力规范专网管理。 4、高兼容性。支持Winxp、Win7、Win8、Win10、Win11、Linux、Mac、Uos、麒麟等操作系统,同时支持32位和64位系统,支持PC、笔记本和云桌面等终端电脑。 5、可扩展性。专业的研发团队可对新上市的终端提供适配和定制服务,完善终端违规外联管控生态。 6、禁止USB存储介质使用,但不影响其他USB设备正常使用(CA锁、USB键盘鼠标、USB打印机等)。 7、支持多Vlan,多网段的网络结构,同时支持IPV4和IPV6协议。支持离线策略,电脑脱离内部网路外联阻断依然生效。 |