[发明专利]一种终端设备违规外联的监测方法

说明书

 

技术领域

本发明涉及一种终端设备违规外联监测的实现方法，尤其是一种针对电力行业的特殊性而研发的一种可自由配置的监测策略，并且能为终端设备提供审计服务的实现方法。

背景技术

随着互联网技术的不断发展和普及，各类终端设备层出不穷，大量的终端设备例如PC、平板电脑、智能手机、云终端等涌入电力企业内网，如何保障企业内网的安全和有效防止内部人员的违规外联行为对于整个电力行业来说无疑是一个巨大的挑战。但是，越来越多的桌面终端和多元化的私有终端接入企业内网已成为未来发展的必然趋势，因此保障企业内网安全的关键之一就是要灵活有效地解决终端设备违规外联监测与报警的问题。

现有的一些非法接入和违规外联方法大多不提供灵活的监测方法，即所有的设备都是由客户端监测主机是否有非法外联的行为，监测的形式也是多种多样，但是这其中也有一些问题，例如不能为一些特殊情况的主机提供个性化的监测方式，也不能选择发生违规外联后的处理方法，并且不能对主机的详细信息和违规操作做详细记录以提供审计功能。另外，大多检测违规外联的系统都是采用测试与典型网址（如百度、新浪等）的连接来诊断是否发生外联，这也有许多的不足之处，例如DNS服务器出现异常无法解析网址、某个典型网址服务器发生意外瘫痪等都将影响监测功能。

发明内容

发明目的：针对现有技术中存在的问题，本发明提供一种功能齐全的终端设备违规外联监测与报警的实现方法。本发明具有如下特点：①架设企业自己的外网服务器以提供监测服务；②可根据需要灵活配置监测策略；③对所有受控终端提供审计服务。

技术方案：一种终端设备违规外联的监测方法，专门针对企业内部禁止个人私自上网、对内外网隔离有严格要求的企业网络而设计，可以全面、实时、高效地监测整个内部网络中违规非法连接互联网的终端设备，并且能实现及时报警、采取必要措施、详细备案、集中审计等功能。

为了实现上述功能，本发明采用了以下技术方案：

首先，在一台接入内网的终端设备上安装客户端程序，正常情况下客户端程序将保持后台运行状态；在服务器上安装运行服务端程序，并且在管理中心部署违规外联在线监测管理系统，该系统的主要功能包括以下三个模块：

①个性化监测策略在线配置

管理员可以在系统中根据需要配置允许连接外网的部门、人员、时间段等，还可以配置允许内网连接的若干可信网站，利用公网测试的网址库，配置监控内网设备违规外联的监测周期，以及发生违规外联后的处理方式等；

②报警处理中心

此项功能用于集中管理内网中发生违规外联终端设备的信息，一旦内网中发生违规外联行为，报警中心便会有报警声音提示，方便管理员及时发现和处理；

③集中审计

集中对所有违规记录的详细信息进行管理，提供审计和统计功能。

其次，本发明提供了两套监测违规外联的方法，第一种是基于策略配置的公网网址库的方式，通过客户端程序不断检测与公网地址的连接情况来检测主机是否发生违规外联；第二种是由企业在公网自行架设的一台私有监测服务器，此服务器可以连通外网并且能在主机测试时记录客户端主机的违规信息和行为，相比于第一种方法，第二种方法在实际应用中更加稳定和安全，同时还能从监测服务器上获取相关信息，因此第二种方法更胜一筹。在现场应用中，两种方法分别为两个运行的线程，同时同步监测主机是否有外联的行为。

当受控终端设备运行时，客户端监测程序随之启动，即开始进行违规外联检测，基于策略可配置的公网网址库检测方式的具体步骤如下：

步骤401，装载在主机上的客户端程序初始运行时，由启动的管理线程读取策略表中的相关字段配置信息，包括检测时间间隔、公网网址库等内容；

步骤402，判断公网数据结构体Public里中是否包含有数据，如果有数据就进行步骤403；若没有数据就进行步骤404；

步骤403，测试主机与公网地址库中的网址连接情况，若能够连通，说明主机发生了违规外联，进行步骤405；若不能连通，则说明主机一切正常，循环执行步骤403；

步骤404，判断是否结束检测违规外联，若结束，则流程结束；否则继续执行步骤401；

步骤405，测试本地通信是否连通正常，若正常则执行步骤406；否则执行步骤409；同时客户端程序记录下主机违规上网的网址、上网主要内容以及主机的详细信息等；

步骤406，客户端程序将本机的ip、违规的信息上报给管理中心监测系统服务器引发管理中心报警；