护航涉密网络安全：比较三款”违规外联”解决方案

“违规外联”对于各级政府、公安、司法、金融、电力等网络安全要求较高的单位并不陌生，因为组织内部经常会进行一些网络安全知识教育，提醒内部人员规避“违规外联”行为，避免造成不可挽回的损失。

为什么如此重视“违规外联”呢？

1、安全危害大：违规外联相当于在涉密内网与外网之间建立了新的通道，使黑客、病毒能够绕过防火墙、网关等安全防护屏障，侵入违规外联的终端，非法窃取或篡改敏感数据，甚至利用此台终端作为跳板，进一步渗透到内网重要的服务器，使整个内部网络面临巨大的安全风险。

2、发生概率高：由于很多人不够了解“违规外联”发生的场景以及危害，无意中就产生了“违规外联”行为。

例如，感觉网速慢的时候，将内部电脑连上手机热点。

例如，将涉密网电脑连入普通办公内网使用；

例如，因网线及网口标识不清，将业务专网计算机网线误接入互联网。

除了以上这些“无意行为”，还有一些专网计算机使用无线网卡、通过代理服务器等方式连接其他网络，都能造成违规外联的发生，让管理人员防不胜防。

下面对最常用的三种违规外联解决方案进行了总结，组织可以根据自身的情况选择适合的方案。话不多说，先上表格！

• 一、底层过滤驱动

• 实现原理

通过驱动过滤引擎对所有数据包进行监控，当网络数据包经过网络适配器时，过滤驱动程序会将该数据包拦截下来，通过内部的规则进行判断和处理，决定是否允许数据包通过，如果不允许，则会直接丢弃该数据包，从而达到管控违规外联的效果。

• 方案优势

1. 更精准的控制：底层过滤驱动的方式能够对终端设备进行深度管控，多个维度监测终端的网络行为，对于敏感数据和重要操作的管控更加精准。
2. 更高的安全性：底层过滤驱动横跨传输层、网络层和数据链路层，定义了网卡或网卡驱动程序与上层协议驱动程序之间的通信接口规范。所以可以最先收到数据包，在将外联数据包过滤丢弃之后再发到上层，这样可以有效的避免违规外联事件的发生。
3. 更加全面的监测能力：可以监控终端收发的所有数据包，发现并阻断用户以任何形式跨网访问至互联网行为，包括双网卡、USB式网卡等媒介、连接WIFI热点、访问代理服务器等，能够对各种类型的违规行为进行全面监测和管控。

二、旁路监测

• 实现原理

综合运用ICMP探测检测技术、端口探测检测技术、WEB探测检测技术等，在网络层对产生违规外联的行为进行探测鉴别。同时在互联网提供外网取证平台，规避抵赖行为。

• 方案优势

1. 部署快捷：仅需将业务服务器流量镜像到系统即可完成部署，提供镜像流量分析、主动扫描两种方式，对网内存在违规外联的行为进行检测。
2. 探测范围广：不受操作系统、设备类型等限制。
3. 探测精准度高：在公网部署取证平台，只有真正产生外联的行为才会在取证记录，不会存在误报行为。

三、与防火墙联动

• 实现原理

通常是通过安装一个应用程序或代理程序来实现的。这个应用程序或代理程序与防火墙软件进行通信，并将需要控制的流量指定为“违规外联”流量。当有流量进入或离开计算机时，防火墙会先检查该流量是否被标识为“违规外联”流量，如果是，则进行相应的控制操作，如拦截、记录、提示等。

• 方案优势

1. 能够利用操作系统自带的防火墙，降低了复杂度。
2. 可以通过防火墙的规则配置来对违规外联行为进行灵活、细粒度的控制，对于一些特定的场景或需求，可以实现更为定制化的管控方案。
3. 由于使用了操作系统内置的防火墙，理论上可以避免一些安全软件本身可能存在的漏洞和风险。

关于内控王违规外联管控系统

内控王违规外联系统是针对国产化终端的一种易实施、好管理、高可靠的一体化解决方案，从以下几个方面精准把控违规外联风险，为单位专网安全保驾护航。

方案特点

 

1. 内控王违规外联管控系统采用底层过滤驱动方式，从终端层面实现“内外隔离”，可以发现并阻断用户以任何形式跨网访问至互联网行为，包括双网卡、USB式网卡等媒介、连接WIFI热点、访问代理服务器等的违规外联现象,彻底杜绝“一机两用”情况。。
2. 实现了对专网和其他网络间的违规外联监测，并可实时记录违规外联行为，通过日志回溯等能力规范专网管理。
3. 结合USB外设管理，通过禁用智能手机、蓝牙、WIFI等带有通讯功能的外设，从设备层面对有可能造成违规外联行为的无线通讯设备进行有效管控。