终端安全：快速检测12个违规外联风险

1.风险分析

（1）风险描述

违规外联的风险体现在：

1）不能对违规外联的行为进行检测和阻断，终端的非法外联行为包括终端通过更换网线、通过其他数据接口或设备连接互联网或其他网络，如果不能对违规外联的行为进行检测和阻断，就会产生数据外泄无法管控、无法追踪，破坏系统安全边界，违背系统整体安全防护策略，系统面临严重安全隐患。

2）不能对终端离网状态下的违规外联进行检测和告警，终端在联网状态下由于不连接服务器，不能实现实时告警，但是终端本地可能保存重要信息，如果不能在离网状态下进行违规外联的检测和告警，就会导致信息外泄且无法获知外泄的行为。

3）不能对终端连入其他网络进行检测告警和阻断，终端违规连入其他网络（非互联）判断指标较难确定，但是违规连入其他网络可能造成内网和其他网络的联通，或造成终端本地信息向其他网络的外泄。

（2）相关风险点

违规外联风险点见表B-19。

表 B-19

（a）基于资产使用生命周期分析

资产使用生命周期包含入网前、运行阶段、维修阶段、报废阶段，违规外联风险对终端的影响在资产生命周期的体现如下：

a）终端在内网环境下，发生违规外联不能检测、阻断和报警的风险，存在于资产生命周期的运行、维修阶段。在运行阶段终端发生违规外联风险，可能是由于终端使用者不了解当前所处的网络环境，被外界利用终端现有的对外接口连通了终端，这可能导致网内数据外泄或引入病毒和木马等危害程序。因此面对外网的入侵和攻击等威胁，需要及时检测、阻断和报警，才可以有效防护和避免产生数据外泄或产生外部攻击的途径。在维修阶段产生违规外联，通常是由于维修阶段终端操作人员不是资产使用人员，一般可能是维修公司的人员，在使用终端时造成的。由于维修公司的人员不属于内部人员，人员管理和用户单位对资产使用人员的管理力度存在差距，产生恶意的泄漏信息、损害内网资产的可能性较大。维修阶段连接外网，使资产处于不安全的网络环境中，会直接面对外网的入侵和攻击等威胁，还可能引入病毒和木马等危害程序，如果不能检测到该种情况则无法分析该行为具体引发的影响，导致不能阻断连接则无法有效防护资产，而不能报警则导致无法搜集和分析该资产发生的安全事件。

b）发生违规外联事件时，不能发现并准确定位违规外联的途径的风险存在于资产生命周期的运行、维修阶段。在运行阶段不能发现定位违规外联的途径，则无法针对该外联安全事件进行对应的管控行为，无法调整相关安全策略避免违规外联的再次发生，并且无法记录信息的流通情况。在维修阶段，不能发现并定位违规外联的途径，在信息发生外泄时就无法确定维修终端是如何产生信息外泄的，不能针对维修终端进行防护策略和维修管理制度进行针对性的调整防止外泄行为再次发生。

c）不能发现、阻断终端在离网后的违规外联行为的风险存在于资产生命周期的运行、维修阶段，在运行阶段终端不进行离网后的违规外联检测，可能产生终端离网后终端内信息外泄、病毒感染和木马入侵等威胁，终端再次接入内网之后，又可能将这些威胁带入内网，影响内网的安全环境，容易引发内网其他终端的同类安全事件，并且可能在离网状态下躲避防护系统对其状态和安全事件的监控；在维修阶段，终端离网意味着资产处于工作人员的监管范围之外，也离开了工作环境，本身已经处于危险的运行环境，如果不能发现违规外联行为，可能导致对于资产安全性的重新检测和识别。

d）发现违规外联的状态时，无法界定内外网互联和离线上网的不同情况的风险存在于资产生命周期的运行阶段，在运行阶段不能界定内外网互联和离线上网的违规外联行为，则无法根据终端是否在网对违规外联的行为进行区别处理（如在网状态首先要断开内网网络连接），可能因此而产生误判或基于误判结论分析的情况采取不适当的控制措施。

e）不能对终端违规接入其他网络（非互联网）进行监控管理的风险存在于资产生命周期的运行阶段和维修阶段，在运行阶段没有终端接入非互联网的其他网络进行检查，则违规外联的终端同样存在信息外泄和引入外部攻击的风险。在维修阶段，维修终端可能由于维修需要接入其他网络，维修终端接入其他网络就存在信息外泄和引入外部攻击的风险。

f）不能对违规外联的行为准确取证的风险存在于资产生命周期的运行阶段和维修阶段，在运行阶段没有对终端违规外联行为进行取证则无法对终端违规外联行为进行判断，不能评估违规外联过程产生的具体威胁和影响，进而本来应该采取的相关安全措施无法对应实施。在维修阶段不能对违规外联行为准确取证，就造成了发生安全事件时，无法明确安全事件是资产使用人还是维修人员的违规行为造成的，无法进行针对性的处罚。

（b）相关信息风险

a）终端在网状态下违规外联不能检测、阻断和报警的风险。对在线信息的影响主要在于违规外联的终端当连接至应用系统时可能造成在线业务信息的外泄。针对存储信息的影响在于违规外联可能造成本终端存储的信息通过违规外联外泄。

b）不能发现、阻断终端在离网后的违规外联行为的风险。针对存储信息的影响在于终端离网后产生违规外联，可能造成本终端存储信息的外泄。

c）发生违规外联事件时，不能发现并准确定位违规外联的途径。针对在线信息和离线信息，不能在发生违规外联时发现并定位违规外联的途径，则无法针对违规外联的途径进行相应控制（如断开外联途径），终止信息进一步外泄。

d）发现违规外联的状态时，无法界定内外网互联和离线上网的不同情况的风险。针对在线信息的影响在于，不能对内外网互联和离线上网区别处理（如断开内网连接等），导致不能断开违规外联终端的业务连接，造成在线业务信息的外泄。

e）不能对终端违规接入其他网络（非互联网）进行监控管理的风险。连接其他网络可能造成在线业务信息和离线的存储信息向其他网络外泄。

（c）基于资产使用人分析

a）终端在网状态下违规外联不能检测、阻断和报警的风险涉及内部人员、临时人员、经过入网流程的外部人员，尤其是内部人员，因为内部人员可以接触到业务内网中的重要信息，这些信息包括生产信息、行业信息、个人信息等，在违规外联的情况下容易导致数据外泄；因为临时人员涉及的信息重要程度没有内部人员那么多，但是违规外联产生的系统安全边界破坏，带来的可能的外部攻击和内部人员相比危险是相同的，阻断的必要性是很高的；经过入网流程的外部人员是有机会接触部分重要信息的，而且由于工作需要，需要进行内外网交互，因此检测的重要性比较高，对于阻断的判断需要基于实际使用环境和状况。

b）发生违规外联事件时，不能发现并准确定位违规外联的途径时。如果是内部人员，可能是生产工作的需求，在不能确定是否正常工作需要的情况下，可能会需要对其采取放行避免影响生产工作，因而对违规外联的途径需要发现和准确定位，通过了解途径和外联的内容，才能明确该行为的风险；临时人员如果利用现有网络中的监控漏洞进行外联，不能确定违规外联的途径，就无法进行相应控制，阻止外泄的进一步发展，避免外部的入侵途径；经过入网流程的外部人员的外联如果属于例外开放，并且根据监控外联数据的内容不属于信息泄密，则对于网络的风险相对较小。

c）不能发现、阻断终端离网后的违规外联行为。对于内部人员而言，可能导致终端离网后终端内信息外泄；临时人员和经过入网流程的外部人员由于涉及的信息重要程度不高，而且使用的终端可能就是个人资产或者外来资产，离网属于正常使用，因此离网后的违规外联造成的数据外泄的严重程度与内部人员是不相同的。

d）发现违规外联的状态时，无法界定内外网互联和离线上网的不同情况的风险。对于内部人员而言，在离线上网的时候依然有机会发生信息泄密等安全事件，对于内部人员的终端应用来说，一旦暴露在外网就存在这种风险，因此对于界定两种情况的风险在内部人员终端上风险较小，因为两者具有同等的威胁；临时人员以及经过入网流程的外部人员由于使用的终端情况不同，不能界定内外网互联和离线上网的违规外联行为，则无法根据终端是否在网区别对违规外联的行为进行处理（如在网状态首先要断开内网网络连接），在无法界定两种情况时，威胁相对较大。

e）不能对终端违规接入其他网络（非互联网）进行监控管理的风险对内部人员而言较大，因为内部人员的终端进行的操作与业务相关的可能性非常大，如果接入其他网络一般需要提前进行申请和备案，否则该行为可能导致业务系统与外界相连，本地信息可能会泄漏；临时人员以及经过入网流程的外部人员所使用设备，如果没有接触重要信息，则终端接入非互联网的其他网络也需要进行检查，不能排除违规外联的终端同样存在信息外泄和引入外部攻击的风险。

f）不能对违规外联的行为准确取证的风险对于内部人员而言，由于涉及重要信息，所以在违规外联行为中传递的数据必须经过准确取证才能确保信息的安全；临时人员以及经过入网流程的外部人员如果无法对终端违规外联行为提供准确取证，将无执法依据，因此无论是内部人员、临时人员还是经过入网流程的外部人员，联入内网的前提都是遵守内网的管理要求。若违规均需要进行相应的处理。

（d）风险场景

a）终端内网在线状态下连接互联网，当终端连接内网时违规连入互联网，由于互联网用户成分复杂，容易引入互联网中恶意用户的攻击、及病毒和恶意代码；同时终端中存储的信息和终端连接业务系统的在线信息如通过互联网外泄，无法对外泄信息的传播范围进行控制和传播目的无法确定，风险极大，需要通过技术手段严格禁止终端内网在线状态下的互联网违规连接。

b）终端内网离线状态下的互联网连接，终端在内网离线的状态下违规连入互联网，虽然不会通过终端造成互联网威胁对内网的直接攻击，但是也存在互联网中的病毒和恶意代码传播至终端本地，造成对于终端本身的侵害，另外当终端重新登录至内网时，会造成病毒及恶意代码向内网的传播。终端在离网状态下，业务信息不会直接通过互联网向外传播，但是终端本地保存的离线信息，可能通过互联网外泄，因此在信息外泄的方面也存在很大风险，需要通过技术手段严格禁止终端内网连线状态下的互联网违规连接。

c）终端内网在线的状态下连接非互联网的其他网络或终端，其他网络或其他终端均可能存在恶意的攻击，通过违规外联的终端直接攻击内网，通过传播病毒及恶意代码，终端在连接内网的状态下可能向连接的其他网络或其他终端传播业务信息和终端保存的本地信息，相对于互联网，通过其他网络或终端外泄的信息在一定程度上更容易进行事后的追查，但是外泄的风险依然很大。需要通过技术手段禁止或者严格进行数据传输监控审计。

d）终端在内网离线的状态下连接非互联网的其他网络或终端，其他网络或或其他终端不能通过违规外联的终端攻击内网，但是可能向违规终端传播病毒及恶意代码，当终端重新连接至内网时，还可能造成病毒及恶意代码向内网传播，终端在内网离网的状态下，在线的业务信息不会通过连接的其他网络或其他终端外泄，但是终端本地保存的信息可能通过连接的其他网络或其他终端外泄，因此终端在内网离线的状态下连接非互联网的其他网络或终端需要通过技术手段禁止或者严格进行数据传输监控审计。

（e）合规性要求

合规性要求见表B-20。

表 B-20

基于以上风险点分析，如采取相关技术和管理手段管控8个风险点，则终端违规外联部分管理符合等级保护相关要求。

相关技术和管理的风险管控措施参见以下小节阐述。

2.风险管控

（1）终端在网状态下违规外联检测、阻断和报警控制流程（终端在内网环境下的违规外联不能进行检测；终端在内网环境下的违规外联不能进行阻断；终端在内网环境下的违规外联进行阻断误报导致的正常使用终端断网）

事前处置：定义内网范围，定义外网连接，区分内外网的识别方式，定义违规外联的处理操作。

事中处置：

√ 实时检测外网联通状态，没有联通外网继续正常上网

√ 存在联通外网的情况进行用户终端违规外联行为的提示（屏幕显示，提示用户当前状态）

√ 根据违规外联安全策略设定执行操作

√ 记录违规外联行为及终端使用者的操作，发送至防护平台服务器

√ 管理平台分析风险

事后处置：根据整体安全态势分析，调整安全策略，针对终端下发新的安全策略。

处置流程见图B-31。

图 B-31

（2）终端在离网状态下违规外联检测、阻断和报警控制流程（不能检测终端在离网后的违规外联行为；不能对终端离网后的违规外联行为进行审计记录和告警；终端离网状态下不能进行阻断，产生信息外泄）(www.chuimin.cn)

事前处置：定义内网范围，定义外网连接，区分内外网的识别方式，定义违规外联的处理操作，将策略保存至终端本地。

事中处置：

√ 实时检测外网联通状态

√ 存在联通外网的情况进行用户终端违规外联行为的提示（屏幕显示，提示用户当状态）

√ 记录违规外联行为及终端使用者的操作，在本地保存审计记录

√ 终端再次入网后，上传审计信息并对终端离网状态的违规行为向系统管理员告警

√ 管理平台分析风险

事后处置：根据整体安全态势分析，调整安全策略，针对终端下发新的安全策略。

处置流程见图B-32。

图 B-32

（3）发生违规外联事件时，不能发现并准确定位违规外联的途径

事中处置：

√ 监控违规外联可能产生的方式，包括：

①网络接口直接换用外网网线。

②采用无线网卡外联。

③通过拨号外联。

④通过红外、蓝牙等数据接口外联。

⑤采用双网卡连接外网网线外联等。

√ 针对不同违规外联的途径进行对应的控制

√ 进行用户终端违规外联途径的提示（屏幕显示，要求用户确定）

√ 记录违规外联行为及终端使用者的操作，发送至防护平台服务器

√ 管理平台分析风险

事后处置：根据整体安全态势分析，调整安全策略，针对终端下发新的安全策略。

（4）发现违规外联的状态时，无法界定内外网互联和离线上网的不同情况

事前处置：指定内网终端数据端口/网络端口的管理策略，按照策略关闭非经授权的数据/网络端口，限制可能产生违规外联的途径。

事中处置：

√ 发现违规外联行为产生时，判断终端是否连接至内网。对于连接至内网的违规终端首先断开内网连接（保持服务器的管理通道，便于服务器对终端的继续控制）

√ 对于违规外联的途径进行控制，断开相应数据/网络接口

√ 进行用户终端违规外联行为的提示（屏幕显示，要求用户确定）

√ 审计记录违规外联行为，保存审计记录至防护平台服务器

事后处置：管理员通过违规外联的记录对违规外联行为进行追溯，并通过管理流程进行相应的处罚。

（5）终端违规连接其他网络（非互联网）违规外联检测、阻断和报警控制流程（不能对终端违规接入其他网络（非互联网）进行检测；不能对终端违规接入其他网络（非互联网）进行阻断；不能对终端违规接入其他网络（非互联网）进行审计记录和告警）

事前处置：定义内网范围，定义外网连接，区分内外网的识别方式，定义违规外联的处理操作。

事中处置：

√ 实时检测外网联通状态（联通外网的检查标准和连接互联网的检测标准不同），没有联通外网继续正常上网

√ 存在违规连接外网进行用户终端违规外联行为的提示（屏幕显示，提示用户当前状态）

√ 判断终端是否连接内网，如连接内网则直接产生告警和审计记录，并根据违规外联安全策略设定执行操作

√ 如非内网连接状态则将审计记录保存在本地，终端再次入网后上传审计记录并产生系统管理员告警

√ 管理平台分析风险事后处置：根据整体安全态势分析，调整安全策略，针对终端下发新的安全策略。处置流程见图B-33。

图 B-33

（注：处置流程和终端违规连接互联网的处置流程基本一致，主要的区别在于对违规外联的判断标准有区别，针对连接互联网和连接至非互联网络判断方式不同）

（6）不能对违规外联的行为准确取证

事中处置：

√ 发现违规外联行为产生时，记录违规外联的审计记录，保存至防护平台服务器

√ 对违规外联的行为进行取证（违规外联的访问记录、违规外联访问的访问关键字等

原始记录信息），保存至防护平台服务器

事后处置：管理员通过违规外联的记录对违规外联行为进行追溯，并通过管理流程进行相应的处罚，处罚时以防护平台保存的访问原始记录作为处罚依据。

（7）系统不能发现和解决的终端安全风险和对策

终端离网状态下不能进行阻断，产生信息外泄。终端离网后，防护平台不能主动对终端断开网络连接，从而无法实施对离网终端的信息外泄行为进行阻断。需要加强终端外出携带的管理工作并限制在办公场所通过有线或无线手段的外网连接条件。

3.风险控制效果

对于终端违规外联的控制，实现了对于终端连接内网或断开内网时的违规外联行为，违规行为包括违规连接互联网和违规连接非互联网的其他网络，并可检测到终端的违规外联途径，可以判断离线上网和内外网互联的不同行为针对性的实施管控措施，并可以对违规行为进行取证以实现行政处罚的依据。