基于非客户端模式主动检查在线违规外联技术
技术领域
本发明属于信息安全领域,涉及内网终端计算机违规外联监测技术,尤其涉及基于非客户端模式主动检查在线违规外联技术。
背景技术
随着信息技术的飞速发展,各企事业单位已完全依赖信息化办公,其信息数据涉及个人信息、社会资源、国家发展政策等各方面信息,一旦泄露会对社会稳定、人民财产甚至国家安全造成严重的损害。因此,在信息化建设之处,国内大多数单位网络划分为办公内网和互联网,且物理隔离,用于隔绝互联网不安全属性对内部重要业务数据产生的威胁,同时为规避内部员工私自连接互联网的行为,越来越多的单位部署了桌面终端管理软件防止违规外联,但随着长时间的使用,网内存在未安装/无法安装桌面终端管理软件的终端,由此产生的违规外联防不胜防,且存在“短板效应”。同时大多数单位总部对下属单位的违规外联防护力度无法统筹有效的监管,无督促手段,当发生违规外联产生的安全事件时才后知后觉。
目前,违规外联行为检测技术主要基于服务器/客户端架构,对客户端程序有较强的依赖性,即通过在网络监控范围内的终端设备安装客户端,并且在网络中部署违规外联检测管理服务器,通过配置策略,实现违规外联行为检测发现功能。但是,在实际的网络环境中,终端类型较为复杂,且存在“特殊”终端无法安装客户端,则会出现管理漏洞,导致所制定违规外联防御策略形同虚设。
因此,本发明提供一种基于非客户端模式主动检查在线违规外联技术,无须在终端主机部署客户端,实现违规外联行为检测功能。
发明内容
本发明主要研究内网非客户端模式主动检查在线违规外联行为技术,无需在终端计算机安装客户端,对同时连接内网、同时连接互联网的“正在违规外联”行为,基于网络层探测技术对其发现,并留存取证信息的一种技术。
本发明所提供的非客户端模式主动检查在线违规外联检测技术,具体实现步骤如下所述:
步骤1:在内部网络环境部署违规外联检测服务器,外部公网部署取证平台;
步骤2:在违规外联检测服务器中设置内网IP网段范围进行违规外联扫描探测;
步骤3:当内网终端未同时连接内网、连接互联网时,违规外联检测服务器发出的内嵌外部公网取证平台IP及探测数据包无法通过该终端路由转发,公网取证平台收不到信息,无法对内网违规外联服务器做出响应,因此,内网违规外联检测服务器将未收到响应的数据包视为未产生违规外联;
步骤4:当内网终端同时连接内网、连接互联网,违规外联检测服务器将内嵌外部公网取证平台IP及探测数据包则通过内网终端的路由转发服务进行数据转发,此时,外部公网服务器收到来自内网违规外联检测服务器发出的探测数据包,记录该违规外联终端的IP等信息,并对内网违规外联服务器进行回应,内网违规外联检查服务器告警,外部取证平台留存证据。
附图说明:
图1基于非客户端模式主动检查在线非法外联系统的应用部署图;
图2基于非客户端模式主动检查在线非法外联监测的流程图;
图3基于非客户端模式主动检查离线在线外联检测系统的结构示意图。
