终端安全风险管理：B.3.1违规内联

1.风险分析

（1）风险描述

违规内联的风险主要体现在以下几个方面：

1）身份不合法的终端违规接入内网，包括终端未经过资产管理系统有效登记、终端与资产管理系统登记信息不符以及终端登录用户未经过有效登记等情况。身份不合法的终端违规接入内网可能存在非法终端盗用内网资源的情况，非法终端盗用内网资源有机会通过内网非法获取其他主机或应用系统中的信息，并可能对其他主机发起攻击。

2）健康状态不合规的终端违规接入内网，包括病毒检查不合规、木马检查不合规、应用软件检查不合规、外设检查不合规、操作系统补丁检查不合规等情况，违规终端接入内网，因为健康检查未通过设定的健康检查规则，则可能存在病毒、木马、未被允许安装的应用程序、非经授权打开的外设端口、未安装最新操作系统补丁等情况，达不到内网的整体安全基准，成为内网信息系统的安全威胁。

3）非内网终端无相关入网审批流程，包括非内网终端没有合理的接入流程、没有合理的应急流程、没有相关审批流程等情况，可能造成有正常接入需求的非内网终端无法入网使用，造成工作不便。

4）身份合法状态合规的终端，非授权开启服务端服务（DHCP等）或使用未经授权的IP地址躲避身份判断，非授权开启相关服务会影响到正常的服务应用，使用未经授权的IP地址可能造成IP地址冲突，影响原有合法终端正常使用网络。

（2）相关风险点

违规内联的风险点详见表B-17。

表 B-17

（a）相关资产生命周期

资产生命周期包含入网阶段、运行阶段、维护阶段、废弃阶段，违规内联风险对终端的影响在资产生命周期的体现如下：

a）终端资产没有在资产管理系统登记的违规内联；终端资产与资产管理系统登记信息不符的违规内联；登录终端用户没有合法登记的违规内联；终端身份标识符被篡改/冒用的风险；终端身份标识符被冒用，在相应控制措施实施时可能导致的被冒用的合法终端无法上网风险存在于资产生命周期的入网阶段、运行阶段、维护阶段、废弃阶段，在上述4个阶段未对终端身份的合法性要求进行检测，则无法判断终端身份的有效性，可能产生非内网终端非法接入内网的情况，非内网终端非法接入内网可能导致对内网资源的攻击和窃取，主要危害内网其他资源，所以4个阶段终端自身的信息资源尽管不同，但对于其他内网资源的危害程度同样大，从4个阶段终端使用者的角度看，运行阶段是终端所有者使用，其他阶段使用者非终端所有者，从行政管理的角度更加难以控制，所以其他3个阶段从使用者的角度对产生此类风险的危害性更大。

b）终端病毒检查不合规的违规内联；终端操作系统补丁检查不合规的违规内联；终端应用软件检查不合规的违规内联；终端木马检查不合规的违规内联；终端外设控制检查不合规的违规内联的风险存在于资产生命周期的运行阶段。在运行阶段终端未进行病毒的合规性检查，则接入内网的终端可能感染病毒，导致病毒在内网中传播感染其他主机；没有对接入终端进行操作系统补丁的检查，则接入终端可能未安装最新的操作系统补丁，终端存在系统漏洞，不但自身容易遭受攻击，还可能成为内网安全的薄弱环节，成为攻击内网的跳板；没有对终端进行应用软件的检查，则接入终端可能存在非授权应用软件，导致影响内网正常运行，并可能存在安全漏洞；没有对终端进行木马检查，则接入终端可能存在木马，导致自身受到攻击，并可能成为别人的攻击跳板；没有对终端外设控制进行检查，则可能存在非授权的外设，存在输出类的外设（打印机等）可能带来信息的外泄，存在网络连接类的外设（无线网卡）则可能产生非法的外部连接。

c）不合规的违规内联终端，不被强制定位到隔离区；隔离区的终端，不进行有效验证就被允许入网；隔离区内的终端，用户未按流程进行合规化处理的风险存在于资产生命周期的运行阶段。在运行阶段没有将不合规终端定位到隔离区，则无法再限制使用内网资源的基础上对不合规终端进行强制合规处理；不进行有效验证就被允许接入内网以及隔离区内的终端，用户未按流程进行合规化处理造成不合规终端进入内网，产生不合规终端接入内网的危害。

d）手机违规连入内网的风险存在于资产生命周期的运行阶段，在运行阶段没有对手机违规接入内网终端进行检测与阻断，则可能通过手机获取终端或内网资源中的信息，并可能使该终端非法连接至外部网络。

e）非内网终端连入内网，无流程化处理；非内网终端连入内网，无应急处理；非内网终端接入内网，无授权审批；非内网终端接入内网后，用户未按流程进行身份登记；非内网终端授权接入内网，不进行安全检测；非内网终端授权接入内网，不对其上传下载数据行为进行审计和记录的风险存在于资产生命周期的运行阶段，在运行阶段没有对非内网终端接入内网进行流程化处理和应急处理，则非内网终端不具备合理的入网流程，导致非内网终端无法入网使用或入网使用，但没有被资产管理系统进行有效的管理；不具备非内网终端的接入内网的授权审计，则可能导致非内网终端无法通过入网流程获得入网许可或非内网终端不经审批就接入内网；非内网终端授权接入内网如未经过安全检测，则非内网终端健康状态不合规，产生同不合规内网终端接入相同的风险；未对非内网终端进行上传下载数据的行为进行审计和记录，则无法掌握非内网终端的数据访问，在发生数据外泄时无法有效追查。

f）授权接入内网的终端，使用未经系统管理员分配的IP或IP段；对非授权使用IP的终端不进行提示；对非授权使用IP的终端未进行审计上报；非授权使用IP的终端，用户未按提示修改IP；授权终端，开启未经系统管理员允许的服务端服务（DHCP、代理）；对非授权开启服务器端服务的终端不进行提示；对非授权开启服务器端服务的终端未进行审计上报；非授权开启服务器端服务的终端，用户未按提示关闭服务的风险存在于资产生命周期的运行阶段，在运行阶段使用非授权IP地址可能影响被冒用的合法用户对网络资源的使用，或者因为IP地址未登记，在产生违规行为时难以追查，非授权开启服务端服务可能造成对正常服务的影响（正常分配IP地址等），影响其他内网终端的服务使用。

g）产生违规内联后，不能识别终端身份信息；产生违规内联后，没有上报审计信息的风险存在于资产生命周期的运行阶段，在运行阶段未识别区分违规内联终端的身份信息就无法对违规内联的终端进行身份追查，无法在发生安全事件后根据违规内联终端的身份对威胁进行针对性的防护，并针对身份分析攻击目的进行针对性的补救措施；产生违规内联后，没有上报审计信息，就可能造成违规行为的不可知、不可控，由于不能进行针对性的取证，无法预防违规行为的再次发生，也不能提供对违规行为处罚的依据。

（b）相关信息风险

a）终端资产没有在资产管理系统登记的违规内联；终端资产与资产管理系统登记信息不符的违规内联；登录终端用户没有合法登记的违规内联的风险。

针对在线信息的影响在于非法终端连接内网，提供非法终端采用非法手段接入应用系统的途径，通过非法接入应用系统，非法删除、篡改和获取应用系统内的信息。

b）未进行终端病毒的合规性检查的风险：针对存储信息影响在于不合规终端可能在内网传播病毒，造成本机和其他终端存储信息不可用。

c）未进行终端最新操作系统补丁的合规性检查的风险：无最新系统补丁的终端易受攻击，并可能成为攻击其他业务终端的跳板，本终端和其他被攻击的终端存储信息可能被非法访问。当本终端和其他终端连接应用系统时，攻击者可借此对在线信息进行非法访问。

d）未进行终端木马的规性检查的风险：未进行木马检测的终端可能携带木马，被攻击者控制，并可能成为攻击其他业务终端的跳板。本终端和其他被攻击的终端存储信息可能被非法访问。当本终端和其他终端连接应用系统时，攻击者可借此对在线信息进行非法访问。

e）未进行终端外设控制的规性检查的风险：影响在于此类终端可能存在非授权开启的外设端口，造成本终端存储信息的泄漏，当终端连接应用系统时存在将在线业务信息扩散的风险。

f）未进行手机违规接入内网终端检测与阻断的风险：手机可能通过内网连接获取在线业务信息，并通过手机的数据连接向系统外扩散。

g）未对非内网终端授权接入内网进行安全检测的风险：存在非内网终端通过接入流程接入内网后，由于非内网终端健康状态不合规安全防护性能弱而被攻击，造成本机存储信息被非法访问，当终端连接应用系统时在线业务信息被攻击者非法访问。

h）非内网终端按照流程审批通过接入内网后，未对其上传下载数据行为进行审计和记录的风险：对于在线信息来说，其危害在于非内网终端的临时性决定。非内网终端是数据外泄的易发生点，无响应审计和记录，就无法在业务数据外泄时判断其外泄途径。

i）未识别区分违规内联终端的身份信息的风险：针对在线信息影响主要在于违规内联的终端采用合法或非法权限连接应用系统，获取、修改应用系统内的信息，无法有效获取其终端身份，无法有效地进行追查。

针对存储信息影响主要在于，违规终端接入内网后由于健康状态不合规而形成的安全防护能力弱，被攻击，造成存储信息被非法获取时，无法获取其身份信息，就不能追溯存储信息外泄的途径，进行弥补和处罚。

j）未对违规内联的终端进行审计信息的上报的风险：针对在线和存储信息的影响主要在于，无法获知安全事件的发生，无法终止对信息有威胁的行为、防止再次发生和相应处罚。

（c）基于资产使用人分析

a）终端身份的合法性判断未按照要求进行终端违规内联检测，该风险主要涉及外部人员。外部人员非法接入系统可能造成不同目的人员非法获取网络资源，通过系统网络资源的获取可能造成对其他终端的攻击和应用系统的非法访问。

b）终端未进行合规性检查的风险，主要涉及内部人员、临时人员和经过入网审批流程的外部人员。无论上述哪一类人员均需要进行合规性检查，否则终端会因为安全状态不合规而安全防护措施不足，被攻击并被作为系统薄弱点成为攻击跳板。终端一旦被攻击，虽然终端的使用者：内部人员（特别是其中不同业务类别的终端）、临时人员和经过入网流程的外部人员，由于其存储信息重要程度和业务权限职责、权限不同，而造成不同的后果，但是作为攻击跳板对于其他主机发动攻击具有相同的风险。

c）不合规的终端未被系统自动强制定位到隔离区，进行合规修复的风险，主要涉及内部人员、临时人员和外部人员，在运行阶段没有将不合规终端定位到隔离区，则无法在限制使用内网资源的基础上对不合规终端进行强制合规处理。

d）非内网终端不具备接入内网的流程化处理和应急处理的风险，主要涉及外部人员，可导致外部人员的非内网终端无法入网使用或入网使用但没有有效的被资产管理系统有效管理。

e）非内网终端不具备接入内网的授权、审批的风险，主要涉及外部人员，可能导致外部人员的非内网终端无法通过入网流程获得入网许可或非内网终端不经审批就接入内网。

f）未对非内网终端授权接入内网进行安全检测的风险主要涉及外部人员，外部人员的非内网终端健康状态不合规，产生同不合规内网终端接入相同的风险。

g）非内网终端按照流程审批通过接入内网后，未对其上传下载数据行为进行审计和记录的风险主要涉及外部人员，外部人员作为行政管理手段的薄弱环节易产生数据外泄，未对其行为进行审计和记录，则在数据外泄产生时无法有效追查。

h）使用非授权IP的违规内联风险，主要涉及内部人员、临时人员和经过授权的外部人员，内部人员有固定分配的IP地址，威胁较小。临时人员和经过授权的外部人员可能在授权使用未完成的情况下使用非授权IP或为了获取内部人员的相应权限冒用IP地址，造成原有合法用户无法使用网络资源，威胁更大。

i）开启非授权服务端服务的违规内联风险，主要涉及内部人员、临时人员和经过授权的外部人员，3类人员同样可能因为误操作开启非授权服务端服务，影响正常服务。临时人员和经过授权的外部人员还有可能因为对网络环境不熟悉，启用相应服务，造成正常服务影响的可能性更大。

（d）风险场景

终端从准入的角度可以按照资产的属性划分成如下几类：内网终端、内网临时使用的终端、外网终端、本单位漫游终端、不明来源的终端。内网终端是进行了资产登记的专为内网使用的终端，内网临时终端是有在内网临时使用需求的终端，外网终端是进行了资产登记专门用于外网使用的终端，本单位漫游终端是本地位其他地区内网使用的终端由于工作需要漫游之本地内网的终端，不明来源的终端是所有不在内网登记使用，且无在本地内网使用的合理需求的终端。根据不同的终端种类，违规内联涉及以上终端入网、离网的场景。并根据入网需求的紧急程度不同，可以将入网离网的场景区分为一般场景和应急场景。

（e）合规性要求

合规性要求见表B-18。

表 B-18

基于以上风险点分析，如采取相关技术和管理手段管控30个风险点，则终端违规内联部分管理符合等级保护相关要求。

相关技术和管理的风险管控措施参见以下小节阐述。

2.风险管控

（1）终端身份合法性检测（终端资产没有在资产管理系统登记的违规内联；终端资产与资产管理系统登记信息不符的违规内联；登录终端用户没有合法登记的违规内联）

事前处置：终端入网登记，保存终端相关识别信息。

事中处置：

√ 终端接入内网验证终端身份，检查终端是否在资产库中有合法登记。通过则进入下一流程，未通过则转入非内网终端入网流程

√ 检查终端与资产库中登记的信息是否相符，通过则进入下一检查流程，未通过则进行告警，并进行审计记录

√ 检查终端登录用户是否为登记用户，通过则正常使用网络资源，未通过则进行告警，并进行审计记录

√ 安全管理员通过告警和日志记录进行风险分析

事后处置：安全管理员对违规内联的情况进行关联分析，由网络管理员调整安全策略。

处置流程见图B-27。

图 B-27

（2）终端身份标识冒用（终端身份标识符被篡改、冒用的风险；终端身份标识符被冒用，在相应控制措施实施时可能导致的被冒用的合法终端无法上网）

事中处置：

√ 在产生安全日志时，记录终端多个特征信息，比对管理平台中身份标识符和终端特征信息的对应关系，发现身份标识符和终端特征信息不符则引发告警

√ 检测终端标识符是否发现重复情况，发现身份标识符重复则说明有终端冒用身份标识符，首先阻断出现身份标识符重复情况终端的网络连接(www.chuimin.cn)

事后处置：安全管理员根据终端标识符冒用和篡改的情况，进行相应处罚。

（3）终端身份合规性检测（终端病毒检查不合规的违规内联；终端操作系统补丁检查不合规的违规内联；终端应用软件检查不合规的违规内联；终端木马检查不合规的违规内联；终端外设控制检查不合规的违规内联；不合规的违规内联终端，不被强制定位到隔离区；隔离区的终端，不进行有效验证就被允许入网；隔离区内的终端，用户未按流程进行合规化处理）

事前处置：定义健康状态检查策略，例如病毒木马检测、操作系统补丁检测、应用软件安装情况检测、外设控制状态检测等。

事中处置：

√ 进行终端病毒健康状态检查

√ 进行终端操作系统补丁的健康状态检查

√ 进行终端应用软件的健康状态检查

√ 进行终端木马的健康状态检查

√ 进行终端外设控制的健康状态检查。

√ 未通过健康状态检查的终端进行用户提示（显示用户不合规的具体内容，及后续合规化处理的方式）

√ 将不合规终端纳入隔离区进行强制合规处理

√ 健康状态检查失败的终端身份信息进行日志记录

事后处置：根据整体安全态势分析，调整安全策略，针对终端下发新的安全策略。

处置流程见图B-28。

（4）产生违规内联后，终端身份信息识别

事前处置：终端入网登记，保存终端相关识别信息。

事中处置：

√ 进行违规内联的检查流程

√ 对于违规内联的终端，判断其是否在资产库中有登记，如果有登记则直接从资产库中获取身份信息

√ 如违规内联的终端不在资产库中登记则获取终端其他特征信息，根据特征信息判断其身份（机器名等）

图 B-28

√ 对违规外联的终端行为进行告警和日志记录

事后处置：根据整体安全态势分析，调整安全策略，针对终端下发新的安全策略。

处置流程见图B-29。

图 B-29

（5）非内网终端接入内网（非内网终端连入内网，无流程化处理；非内网终端连入内网，无应急处理；非内网终端接入内网，无授权审批；非内网终端接入内网后，用户未按流程进行身份登记；非内网终端授权接入内网，不进行安全检测；非内网终端授权接入内网，不对其上传下载数据行为进行审计和记录。）

事前处置：终端入网登记，保存终端相关识别信息。

事中处置：

√ 终端接入内网验证终端身份，检查终端是否在资产库中有合法登记。通过则正常上网，未通过则进入临时入网流程

√ 临时入网流程完成后进入审批流程，审批流程将相应临时资产信息保存到资产库中

√ 审批流程完成后再次进行身份验证，通过身份验证则进入下一流程，未通过则再次进入临时入网流程修正临时入网流程中存在的问题

√ 对临时入网的非内网主机进行安全性检查

√ 对通过安全性检查的临时入网的非内网终端记录上传下载的审计信息

事后处置：安全管理员对违规内联的情况进行关联分析，由网络管理员调整安全策略。处置流程见图B-30。

图 B-30

（6）非授权使用IP地址（授权接入内网的终端，使用未经系统管理员分配的IP或IP段；对非授权使用IP的终端不进行提示；对非授权使用IP的终端未进行审计上报；非授权使用IP的终端，用户未按提示修改IP）

事前处理：指定IP地址分配方案，形成IP地址列表。

事中处置：

√ 在终端入网检查过程中验证终端身份和IP地址的对应关系，如果验证通过则正常上网，验证未通过进入下一流程

√ 对用户终端进行IP地址配置不正确的提示，提示用户修改

√ 对用户终端违规使用IP地址的行为进行审计记录

√ 阻断违规使用IP地址终端的网络连接，直至用户修改IP地址后重新验证入网

事后处置：安全管理员根据终端违规使用IP地址的情况，进行相应处罚。

（7）非授权开启服务器端服务（授权终端，开启未经系统管理员允许的服务端服务（DHCP、代理）；对非授权开启服务器端服务的终端不进行提示；对非授权开启服务器端服务的终端未进行审计上报；非授权开启服务器端服务的终端，用户未按提示关闭服务）

事前处理：统计内网中基础网络服务的服务器清单，形成服务与服务器的对应表。

事中处置：

√ 在终端入网检查过程中验证其基础网络服务的服务开启情况，存在开启基础网络服务的终端则验证服务与服务器对应表，如果验证通过则正常上网，验证未通过进入下一流程

√ 对用户终端进行非授权开启基础网络服务的提示，提示用户关闭

√ 对用户终端违规开启基础网络服务的行为进行审计记录

√ 阻断违规开启基础网络服务的服务端口

事后处置：安全管理员根据终端违规开启基础网络服务的情况，进行相应处罚。

（8）系统不能发现和解决的终端安全风险和对策

（a）隔离区内的终端，用户未按流程进行合规化处理

隔离区内的终端，用户会接到提示进行合规化处理的方法和内容，如果用户不按照提示进行相应合规化处理，则系统无法强制对终端进行合规化处理，需要从技术上限制未进行合规化处理的终端使用网络资源（包括隔离区网络资源），其次以相应审计记录为管理依据通过行政管理的手段强制用户进行合规化处理。

（b）非内网终端接入内网后，用户未按流程进行身份登记

非内网终端未通过身份验证的，可以按流程进行临时入网，如果用户没有合理入网需求或不按正常流程进行身份登记，则系统无法控制终端进行相应临时入网处理，首先需要从技术角度保证不进行临时入网处理就无法使用网络资源，其次以相应审计记录为管理依据通过行政管理的手段要求需要临时入网的终端通过临时入网流程进行身份登记。

（c）非授权使用IP的终端，用户未按提示修改IP

非授权使用IP地址的终端，如果用户未按提示修改IP，则系统无法控制终端的IP地址修改，需要首先从技术的角度保证非授权使用IP地址的终端无法使用网络资源，其次以相应审计记录为管理依据通过行政管理的手段要求需要非授权使用IP地址的终端修改IP地址。

（d）非授权开启服务器端服务的终端，用户未按提示关闭服务

非授权开启基础网络服务的终端，如果用户未按提示关闭相应基础网络服务，则系统无法控制终端的服务开启或关闭，需要首先从技术的角度保证非授权开启基础网络服务的终端不能使用相应业务端口，其次以相应审计记录为管理依据通过行政管理的手段要求需要非授权开启基础网络服务的终端关闭相应服务。

3.风险控制效果

对于内网中非法接入和违规使用的控制，保证访问内网的终端安全可控。

可以针对终端的合法性和合规性进行检测和阻断处理。能针对不合规的终端强制定位到隔离区进行合规处理。针对非内网终端接入内网进行流程化处理和和合理的授权管理，并对非内网终端的行为进行有效的审计和监控，针对终端数据外泄事件可以提供追查依据。