未曾察觉的痛，终端非法外联成企业安全“内伤”

正所谓“日防夜防，家贼难防”，非法外联成为企业信息安全的一块短板，常因被疏漏和难以察觉，给企业造成重大信息安全“内伤”。

在电力、能源、轨道交通等关键基础设施的信息系统中，对生产网络的安全性有很高要求，为了提高内网的安全性，会禁止内部网络与互联网连接，采取物理隔离或逻辑隔离的方式进行控制，从而减小来自互联网的安全威胁。

但时常会出现由于缺乏安全意识的员工或第三方出于各种原因私自搭建互联网通道，有意或无意打通生产网络和互联网之间、生产网内部分层分区的架构，会导致各个分层和分区之间的网络隔离完全失效。在终端主机在未经过授权的情况下建立一条可以访问互联网的通路。

正因这类行为具有隐蔽性，击破边界完整、躲避审计、脱离管控，导致已实施的边界安全防护完全失效，成为企业信息安全架构中的隐蔽漏洞。

 终端非法外联，被忽略的安全短板  

终端复杂多样，如何有效管控接入？特别像电力、能源的关基行业，各类IoT物联网设备及智慧终端复杂多样，缺少有效的安全管控机制，一旦非法外联，造成安全隐患。

缺乏内网身份接入与验证：未经确认的身份、是否安全的终端接入到企业内网，易造成信息泄露，病毒传播等风险。

作为关基行业，需要满足监管合规的红线要求。面对等保2.0，企业要能对内部用户非授权联到外部网络的行为进行检查或限制。

 让非法外联，不出终端 

终端侧的问题，只有终端才能彻底解决。

不同于传统手段，基于黑名单技术，每时每刻都有新的恶意域名产生 ，安全厂家威胁情报更新相对滞后 ，不能及时识别、  阻断恶意域名访问。

亚信安全新一代终端安全TrustOne基于白名单技术，放通业务需要的域名访问权限 ，其他域名访问全部阻断 ，可彻底阻断恶意名的访问，达到根治的效果。

通过开启TrustOne系统的DNS白名单模块，通过现有防病毒系统 (亚信安全) 或桌管系统 ，全网推送部署非法外联客户端 ，通过在终端拦截DNS白名单以外的解析行为 ，将非法外联行为终止在终端内部 ，同时产生告警 ，支持威胁溯源定位，支撑安全运维人员开展进一步处置工作。通过解析包协议 ，对终端的原始数据流进行分片重组及协议分析 ，获取到网络连接中的报文流量 ，并根据DNS白名单规则进行匹配 ，匹配到则放行该流量 ，未匹配到则拦截该流量并记录日志。真正做到非法外联不出终端！

新一代终端安全TrustOne，集成了UES（统一终端安全）、UEM（统一终端管理）、ASM（攻击面管理）等先进技术能力，可围绕终端安全治理构建完整的解决方案。TrustOne采用的轻量化部署安装可大幅节约时间，减少资源占用，消除卡顿现象，帮助用户内外减负。同时，TrustOne在一体化运维管理中采用的模块化模式，避免了兼容性问题，进而全面保障终端用户业务连续性，运维效率得到有效提升。