千家信息网

浅谈非法外联检测技术的演变

发表于:2024-12-04 作者:千家信息网编辑
千家信息网最后更新 2024年12月04日,针对隔离内网,非法外联因其危害巨大,一直都是网络边界完整性防护的重中之重。早期非法外联主要是指以电话拨号为主的私自连接互联网的行为,早期电话拨号还是非常方便的,如163拨号,263拨号等,只要有电话线
千家信息网最后更新 2024年12月04日浅谈非法外联检测技术的演变


针对隔离内网,非法外联因其危害巨大,一直都是网络边界完整性防护的重中之重。


早期非法外联主要是指以电话拨号为主的私自连接互联网的行为,早期电话拨号还是非常方便的,如163拨号,263拨号等,只要有电话线,就可以随时拨号上网,缺点就是网速慢,收费高。针对早期电话拨号的检测技术是"双机"检测,即一台部署在内网做为扫描端,另一台部署在互联网做为接收端,技术原理大家可以在网上搜,技术实现相对简单,目前已是过时的技术了。


对非法外联的硬性监管要求,加上"双机"检测模式的过时,管理人员才不得不接受在终端上部署客户端软件,进而促进了终端桌面管理软件(简称:桌管软件)的发展,非法外联管理目前已是桌管软件的最基本功能之一,针对非法外联的检测技术也由"双机"模式过渡到部署桌管软件。通过桌管软件管理非法外联的优点:可实时检测非法外联行为,而且可以对非法外联行为进行实时阻断控制;缺点是:对于没有安装桌管软件的终端PC,其非法外联行为是无法监管的,因此桌管软件的部署率,是影响其监管效果的重要因素。


随着智能手机和4G/5G技术的普及,目前非法外联的主要表现形式是通过智能手机(4G/5G)进行的外联,它比早期的电话拨号还要方便,速度更快,费用更低,常见方式为:

(1)终端PC通过无线WIFI连接智能手机开启的个人热点进行外联;

(2)终端PC通过USB连接手机,以USB共享网络方式进行外联。


对监管者而言,其应对的主要技术手段还是在终端PC上安装桌管软件,若未安装桌管软件的终端PC进行非法外联,监管者对此毫无应对之策。因此监管者急需其他的技术手段进行补充,网络扫描技术是不二选择,事实上,不管是用户还是安全厂商,在"双机"模式失效之后,都一直在研究其替代扫描技术,目前,网方华信公司已经取得了重大技术突破,新推出了扫描检测非法外联的技术方案。相对于桌管软件,网络扫描技术的优点在于:无须部署客户端,也无须像"双机"模式那样在互联网上部署接收端,因此既可用于随机检查,也可用于日常管理;缺点是:阻断控制能力稍弱。


0