[发明专利]一种无代理的违规外联监测方法和系统

说明书

技术领域

本发明属于信息安全领域，涉及内网终端主机的违规外联监测技术，尤其涉及一种无代理的违规外联监测方法和系统。

背景技术

随着互联网技术的不断发展和普及，各类终端设备层出不穷，越来越多的桌面终端和多元化的私有终端接入企业内网已成为未来发展的必然趋势。在某些企业或者单位的网络环境中，往往都是直连网，并不允许网内的电脑同时连接内网和互联网。但有些员工在内网中私自搭建子网，在子网中连接互联网，出现员工违规外联的现象，这会给企业网带来很大的安全风险。

目前，违规外联监测技术往往需要依赖代理客户端，即通过在接通内网的终端主机和服务器上分别安装客户端程序和服务端程序，并且在管理中心部署违规外联在线监测管理系统。然而，在没有代理客户端的内网中，往往难以监测到子网中的违规外联行为。过去，曾经出现了一种利用源地址欺骗的无代理违规外联监测方法，但由于存在一些网络攻击属性而被终端主机安全软件拦截，造成监测失效的可能性很大，监测结果不准确。

为此，本发明提供了一种无需在终端主机设备上安装代理客户端便能监测违规外联的方法和系统，利用特制的JavaScript脚本程序，无须在终端主机安装，即可实现准确的违规外联监测。

发明内容

本发明的目的是提供一种无代理的违规外联监测方法和系统，对企业或组织内网环境中的违规外联行为进行监测。通过特制的JavaScript脚本程序随网页被下载到终端主机浏览器中运行，实现对终端主机违规网络通信通道的探测。

本发明提供的一种无代理的违规外联监测方法，分为以下步骤：

S1：当内网终端主机访问业务网站网页时，JS代码随网页一起经过浏览器被下载到终端主机；

S2：JS代码从终端主机访问外网监测服务器；

S3：一旦外网监测服务器收到来自JS代码的访问数据，就立刻进行违规外联报警，同时将访问数据中的终端主机外网IP地址返回JS代码；

S4：JS代码将终端主机的外网IP地址和内网IP地址一起发送到内网监测服务器；

S5：一旦内网监测服务器收到JS代码发来的数据，就立刻进行违规外联报警。

在所述步骤S1之前，需在内网安装部署内网监测服务器，在外网安装部署外网监测服务器，同时在内网业务网站上嵌入JS代码。

进一步地，当所述步骤S2中JS代码访问外网监测服务器失败时，说明终端主机不存在违规外联的网络通信通道，没有违规外联行为。

另外，本发明还提供了一种无代理的违规外联监测系统，所述系统包括内网监测模块、外网监测模块和JS代码，其中，

内网监测模块，安装运行在内网服务器上，用于在内网监测违规外联行为并产生报警信息；

外网监测模块，安装运行在外网服务器上，用于在外网监测违规外联行为并产生报警信息；

JS代码，嵌入在内网业务网站中，用于探测内网终端主机有无违规连接外网的网络通道。

所述JS代码随网页一起经过浏览器被下载到终端主机后，将访问外网监测服务器，若访问成功，说明终端主机存在与外网监测服务器的网络连接通道，也就可以证明终端主机出现了违规外联行为；反之，若访问失败，则说明终端主机没有与外网监测服务器的网络连接通道，也就可以证明终端主机未出现违规外联行为。

所述外网监测模块一旦收到JS代码发来的访问数据，就说明存在违规外联行为，随即产生报警信息，同时提取访问数据中的源IP地址，该源IP地址就是终端主机的外网IP地址，并将外网IP地址返回JS代码。

进一步地，所述JS代码一旦获得从外网监测模块返回的终端主机外网IP地址，就将终端主机的外网IP地址和内网IP地址一起发送到内网监测模块。JS代码在终端主机的浏览器中被解析执行，能够轻易获得终端主机的内网IP地址。

若所述内网监测模块一旦收到JS代码发来的数据，说明发现存在违规外联通信通道，随即产生报警信息。

所述报警信息分为内网报警信息和外网报警信息，所述内网报警信息包含终端主机的内网IP地址、外网IP地址和主机属性数据，所述外网报警信息包含终端主机的外网IP地址和主机属性数据。这里，主机属性数据包括终端主机所属单位/部门、使用用户等信息。

通过本发明提供的方法和系统，可以在不安装代理客户端的终端主机上实现准确的违规外联行为监测，为违规外联监测提供了一种更简便的手段。

附图说明

图1为本发明的一种无代理违规外联监测系统的应用部署图；

图2为本发明的一种无代理违规外联监测方法的流程图；