【技术实现步骤摘要】
基于非客户端模式被动检查在线违规外联技术
本专利技术属于信息安全领域,涉及一种基于非客户端模式被动检查在线违规外联技术。
技术介绍
近年来随着信息技术的迅速发展和网络中有效安全机制的缺乏,内部漏洞对重要资源造成的的威胁远远大于从互联网穿越防火墙造成的入侵,而传统的防护技术如防火墙、IDS等均无法有效地进行防范。国内多数单位办公内网和互联网物理隔离,用于隔绝互联网不安全属性对内部重要业务数据产生的威胁,为规避内部员工私自连接互联网的行为,越来越多的单位部署了桌面终端管理软件防止违规外联,但随着长时间的使用,网内存在未安装/无法安装桌面终端管理软件的终端,由此产生的违规外联防不胜防,且存在检测漏洞。同时大多数单位总部对下属单位的违规外联防护力度无法统筹有效的监管,无督促手段,当发生违规外联产生的安全事件时才后知后觉。目前,违规外联行为检测技术主要基于服务器/客户端架构,对客户端程序有较强的依赖性,即通过在网络监控范围内的终端设备安装客户端,并且在网络中部署违规外联检测管理服务器,通过配置策略,实现违规外联行为检测发现功能。但是,在实际的网络环境中,终端类型较为复杂,且存在“特殊”终端无法安装客户端,则会出现管理漏洞,导致所制定违规外联防御策略形同虚设。因此,本专利技术提供一种基于非客户端模式被动检查在线违规外联技术,无须在终端主机部署客户端,实现违规外联行为检测功能。
技术实现思路
本专利技术主要研究内网非客户端模式被动检查在线违规外联行为技术,结合实际信息化现状、网络现状、使 ...
【技术保护点】
1.本专利技术所提供的非客户端模式被动检查在线违规外联检测技术,实现步骤如下:/n步骤1: 在内部网络环境部署违规外联检测服务器,外部公网部署取证平台;/n步骤2: 通过镜像流量技术,将内网业务应用系统流量引至内网违规外联检测服务器,并对业务应用系统制定违规外联检测策略,启用违规外联嗅探功能;/n步骤3: 内网终端访问被监控业务应用系统时,违规外联嗅探模块portal页面引导并追注代码,无需在现有业务应用系统中修改代码;/n步骤4: 违规外联嗅探模块从内终端访问公网取证平台服务器;/n步骤5: 公网取证平台服务器未收到来自违规外联嗅探模块检测数据时,表示终端主机没有违规外联信道,没有违规外联行为;/n步骤6: 公网取证平台服务器收到来自违规外联嗅探模块检测数据时,秒级产生违规外联告警,并将检测结果回传给内网违规外联检测服务器,同时将该终端主机IP/MAC、设备ID等信息记录至公网取证平台;/n步骤7: 内网违规外联检测服务器收到违规外联嗅探模块传送的检测结果,立刻产生违规外联告警。/n
【技术特征摘要】
1.本发明所提供的非客户端模式被动检查在线违规外联检测技术,实现步骤如下:
步骤1:在内部网络环境部署违规外联检测服务器,外部公网部署取证平台;
步骤2:通过镜像流量技术,将内网业务应用系统流量引至内网违规外联检测服务器,并对业务应用系统制定违规外联检测策略,启用违规外联嗅探功能;
步骤3:内网终端访问被监控业务应用系统时,违规外联嗅探模块portal页面引导并追注代码,无需在现有业务应用系统中修改代码;
步骤4:违规外联嗅探模块从内终端访问公网取证平台服务器;
步骤5:公网取证平台服务器未收到来自违规外联嗅探模块检测数据时,表示终端主机没有违规外联信道,没有违规外联行为;
步骤6:公网取证平台服务器收到来自违规外联嗅探模块检测数据时,秒级产生违规外联告警,并将检测结果回传给内网违规外联检测服务器,同时将该终端主机IP/MAC、设备ID等信息记录至公网取证平台;
步骤7:内网违规外联检测服务器收到违规外联嗅探模块传送的检测结果,立刻产生违规外联告警。
2.如权利要求书中1所述的非客户端模式被动检查在线违规外联检测技术,其特征是在内部网络环境部署违规外联检测服务器,外部公网部署取证平台,启用违规外联嗅探功能,违规外联嗅探模块实现portal页面引导并追注代码,无需在现有业务应用系统中修改代码。
3.非客户端模式被动检查在线...
【专利技术属性】
技术研发人员:刘正海,刘超,及晨鸣,及晨明,李京飞,李强,王献奎,
申请(专利权)人:北京融汇画方科技有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。