CN108833412A - 一种违规外联内网终端监管方法 - Google Patents
一种违规外联内网终端监管方法 Download PDFInfo
- Publication number
- CN108833412A CN108833412A CN201810634588.4A CN201810634588A CN108833412A CN 108833412 A CN108833412 A CN 108833412A CN 201810634588 A CN201810634588 A CN 201810634588A CN 108833412 A CN108833412 A CN 108833412A
- Authority
- CN
- China
- Prior art keywords
- network termination
- address
- external connection
- network
- interior
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5038—Address allocation for local use, e.g. in LAN or USB networks, or in a controller area network [CAN]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明公开一种违规外联内网终端监管方法,包括以下步骤:步骤S1、为监管终端配置私有IP地址,所述私有IP地址的校验位与内网IP地址的校验位不同;步骤S2、扫描在线的内网终端,并获取所述内网终端的在线IP地址;步骤S3、所述监管终端通过所述在线IP地址与所述内网终端建立网络连接,如果网络连接失败则判定所述内网终端的IP安全策略有效,如果网络连接成功则判定所述内网终端的IP安全策略无效并关闭所述内网终端的上联交换机端口。本发明提供的违规外联内网终端可以实现内网终端的高效率检测,保证内网安全。
Description
技术领域
本发明涉及内网安全监管技术领域,具体涉及一种违规外联内网终端监管方法。
背景技术
目前,内网终端违规外联的防护策略是基于主机的IP安全策略来实现的。IP安全策略是Windows系统自带的组策略,通过从单机的网络层开始禁止内网终端一切访问外网的路径,以阻断内网终端访问外网的可能,从而阻断内网终端违规外联。然而在信息安全检查的过程中IP安全策略失效情况时有发生,存在内网终端发生违规外联的风险。随着信息安全在公司安全管控中的比例日趋增大,违规外联事件的防控,成了信息安全工作的重中之重。由于内网终端数量较多,若人工检查是否存在违规外联隐患,不仅工作效率低,工作量大,且存在漏检可能,无法实现内网终端的全面监管。
发明内容
本发明的目的在于克服上述技术不足,提供一种违规外联内网终端监管方法,解决现有技术中违规外联内网终端检测效率低,监管难的技术问题。
为达到上述技术目的,本发明的技术方案提供一种违规外联内网终端监管方法,包括以下步骤:
步骤S1、为监管终端配置私有IP地址,所述私有IP地址的校验位与内网IP地址的校验位不同;
步骤S2、获取内网终端的在线IP地址,并通过所述监管终端与所述内网终端建立网络连接,如果网络连接失败则判定所述内网终端的IP安全策略有效,如果网络连接成功则判定所述内网终端的IP安全策略无效并关闭所述内网终端的接入端口。
同时,本发明还提供一种计算机存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现所述违规外联内网终端监管方法。
与现有技术相比,本发明的有益效果包括:通过监管终端,实现所有内网终端的检测,检测效率高,不会出现漏检现象,而且可以对违规外联终端进行及时处理,避免内网信息的不断泄漏。
附图说明
图1是本发明提供的违规外联内网终端监管方法的流程图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
如图1所示,本发明的实施例1提供了一种违规外联内网终端监管方法,包括以下步骤:
步骤S1、为监管终端配置私有IP地址,所述私有IP地址的校验位与内网IP地址的校验位不同;
步骤S2、扫描在线的内网终端,并获取所述内网终端的在线IP地址;
步骤S3、所述监管终端通过所述在线IP地址与所述内网终端建立网络连接,如果网络连接失败则判定所述内网终端的IP安全策略有效,如果网络连接成功则判定所述内网终端的IP安全策略无效并关闭所述内网终端的上联交换机端口。
本发明提供的违规外联内网终端监管方法,其实现原理如下:如果本地IP安全策略有效,则任何与内网IP地址的校验位不同的IP地址与内网终端进行网络连接都视为非法连接,IP安全策略会阻挡与该外来终端的连接;反之,如果IP安全策略无效,则可以建立连接。
因此,本发明通过部署监管终端,监管终端可以是电脑或服务器。以内网IP地址的校验位为10为例说明,将监管终端的私有IP地址配置为非10开头的私有IP地址,比如192开头的私有IP地址,尝试与所有内网终端建立连接,连接不成功说明对应的内网终端的IP安全策略是有效的,连接成功则说明对应的内网终端存在违规外联隐患。
具体地,还可根据需要选择待检测的IP地址或IP地址范围,有选择性和针对性的进行检测。
具体地,监管终端包括显示器,显示器用于实时显示检测结果。
本发明不间断的扫描内网终端,发现并自动处理存在违规外联隐患的内网终端,形成闭环处理流程,彻底消除了内网终端潜在的违规外联隐患,从而杜绝违规外联事件的发生。本发明提高了内网终端检测的工作效率,实现了对内网终端的24小时扫描、监控及自动处理过程,持续有效控制违规外联隐患的内网终端数量,从根本上解决违规外联隐患。
优选的,所述步骤S3具体为:
通过所述监管终端向所述内网终端发送ping命令包,如果所述监管终端接收到所述内网终端发送的回声应答则网络连接成功,否则网络连接失败。
通过发送ping命令包尝试与内网终端建立网络连接,通过判断是否接收到回声应答即可判断网络是否连接成功,进而判断对应的内网终端的IP安全策略是否有效。
优选的,违规外联内网终端监管方法还包括步骤S4、获取IP安全策略无效的内网终端的终端信息,并生成违规终端处理表。
检测出存在违规外联隐患的内网终端就会自动关闭其上联交换机端口并产生操作记录,汇总形成违规终端处理表,用户可以通过查询违规终端处理表,了解违规外联的内网终端的具体情况。
优选的,所述终端信息包括用户名称、IP地址、MAC地址、探测时间、终端状态信息。
通过准入数据查询终端信息,帮忙工作人员详细了解违规外联内网终端的情况,便于进行整改。
优选的,所述终端信息的获取方法为:
查询IP安全策略无效的内网终端的在线IP地址对应的准入数据,获取所述终端信息。
根据在线IP地址的联动准入数据以及运行方式系统数据库,获取该在线IP地址所关联的内网终端的终端信息。
优选的,所述用户终端包括注册用户终端以及未注册用户终端。
本发明可以查询所有注册用户和未注册用户,注册用户终端主要包括员工的办公电脑,未注册用户终端主要包括服务器、DVR、门禁、POS机等。
本发明实施例还提供一种计算机存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现以上任一实施例所提供的违规外联内网终端监管方法。
本发明提供的计算机存储介质,用于实现违规外联内网终端监管方法,因此,上述违规外联内网终端监管方法所具备的技术效果,违规外联内网终端监管方法同样具备,再次不再赘述。
以上所述本发明的具体实施方式,并不构成对本发明保护范围的限定。任何根据本发明的技术构思所做出的各种其他相应的改变与变形,均应包含在本发明权利要求的保护范围内。
Claims (7)
1.一种违规外联内网终端监管方法,其特征在于,包括以下步骤:
步骤S1、为监管终端配置私有IP地址,所述私有IP地址的校验位与内网IP地址的校验位不同;
步骤S2、扫描在线的内网终端,并获取所述内网终端的在线IP地址;
步骤S3、所述监管终端通过所述在线IP地址与所述内网终端建立网络连接,如果网络连接失败则判定所述内网终端的IP安全策略有效,如果网络连接成功则判定所述内网终端的IP安全策略无效并关闭所述内网终端的上联交换机端口。
2.根据权利要求1所述的违规外联内网终端监管方法,其特征在于,所述步骤S3具体为:
通过所述监管终端向所述内网终端发送ping命令包,如果所述监管终端接收到所述内网终端发送的回声应答则网络连接成功,否则网络连接失败。
3.根据权利要求1所述的违规外联内网终端监管方法,还包括步骤S4、获取IP安全策略无效的内网终端的终端信息,并生成违规终端处理表。
4.根据权利要求3所述的违规外联内网终端监管方法,其特征在于,所述终端信息包括用户名称、IP地址、MAC地址、探测时间、终端状态信息。
5.根据权利要求3所述的违规外联内网终端监管方法,其特征在于,所述终端信息的获取方法为:
查询IP安全策略无效的内网终端的在线IP地址对应的准入数据,获取所述终端信息。
6.根据权利要求1所述的违规外联内网终端监管方法,其特征在于,所述用户终端包括注册用户终端以及未注册用户终端。
7.一种计算机存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1-6任一所述违规外联内网终端监管方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810634588.4A CN108833412A (zh) | 2018-06-20 | 2018-06-20 | 一种违规外联内网终端监管方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810634588.4A CN108833412A (zh) | 2018-06-20 | 2018-06-20 | 一种违规外联内网终端监管方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN108833412A true CN108833412A (zh) | 2018-11-16 |
Family
ID=64141778
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810634588.4A Pending CN108833412A (zh) | 2018-06-20 | 2018-06-20 | 一种违规外联内网终端监管方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108833412A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115051867A (zh) * | 2022-06-22 | 2022-09-13 | 深信服科技股份有限公司 | 一种非法外联行为的检测方法、装置、电子设备及介质 |
| CN115459944A (zh) * | 2022-07-28 | 2022-12-09 | 新华三信息安全技术有限公司 | 一种服务器的外联防护方法及装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1416059A (zh) * | 2002-10-23 | 2003-05-07 | 上海金诺网络安全技术发展股份有限公司 | 利用一台计算机实现网络连接状态监测方法 |
| CN101136797A (zh) * | 2007-09-28 | 2008-03-05 | 深圳市利谱信息技术有限公司 | 内外网物理连通的检测、通断控制方法及应用该方法的装置 |
| CN105227383A (zh) * | 2015-11-06 | 2016-01-06 | 广东电网有限责任公司电力科学研究院 | 一种网络拓扑排查的装置 |
| CN107426208A (zh) * | 2017-07-24 | 2017-12-01 | 郑州云海信息技术有限公司 | 一种监控网络非法外联的方法 |
| CN107733706A (zh) * | 2017-09-30 | 2018-02-23 | 北京北信源软件股份有限公司 | 一种无代理的违规外联监测方法和系统 |
-
2018
- 2018-06-20 CN CN201810634588.4A patent/CN108833412A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1416059A (zh) * | 2002-10-23 | 2003-05-07 | 上海金诺网络安全技术发展股份有限公司 | 利用一台计算机实现网络连接状态监测方法 |
| CN101136797A (zh) * | 2007-09-28 | 2008-03-05 | 深圳市利谱信息技术有限公司 | 内外网物理连通的检测、通断控制方法及应用该方法的装置 |
| CN105227383A (zh) * | 2015-11-06 | 2016-01-06 | 广东电网有限责任公司电力科学研究院 | 一种网络拓扑排查的装置 |
| CN107426208A (zh) * | 2017-07-24 | 2017-12-01 | 郑州云海信息技术有限公司 | 一种监控网络非法外联的方法 |
| CN107733706A (zh) * | 2017-09-30 | 2018-02-23 | 北京北信源软件股份有限公司 | 一种无代理的违规外联监测方法和系统 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115051867A (zh) * | 2022-06-22 | 2022-09-13 | 深信服科技股份有限公司 | 一种非法外联行为的检测方法、装置、电子设备及介质 |
| CN115051867B (zh) * | 2022-06-22 | 2024-04-09 | 深信服科技股份有限公司 | 一种非法外联行为的检测方法、装置、电子设备及介质 |
| CN115459944A (zh) * | 2022-07-28 | 2022-12-09 | 新华三信息安全技术有限公司 | 一种服务器的外联防护方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Premaratne et al. | An intrusion detection system for IEC61850 automated substations | |
| EP3264720B1 (en) | Using dns communications to filter domain names | |
| CN110830446B (zh) | 一种spa安全验证的方法和装置 | |
| CN110830447A (zh) | 一种spa单包授权的方法及装置 | |
| CN103905265B (zh) | 一种网络中新增设备的检测方法和装置 | |
| CN110191102B (zh) | 一种非法外联综合监控系统及其方法 | |
| CN110636086B (zh) | 网络防护测试方法及装置 | |
| WO2021253899A1 (zh) | 针对性攻击检测方法及其装置和计算机可读存储介质 | |
| CN108833412A (zh) | 一种违规外联内网终端监管方法 | |
| CN106803037A (zh) | 一种软件安全防护方法及装置 | |
| CN106899561A (zh) | 一种基于acl的tnc权限控制方法和系统 | |
| CN116436663B (zh) | 一种邮件攻击检测方法 | |
| US7373667B1 (en) | Protecting a computer coupled to a network from malicious code infections | |
| CN101764788B (zh) | 基于扩展802.1x认证系统的安全接入方法 | |
| CN109150853A (zh) | 基于角色访问控制的入侵检测系统及方法 | |
| CN104852888B (zh) | 一种设置静态认证信息的方法及装置 | |
| CN110830444A (zh) | 一种单包增强安全验证的方法和装置 | |
| KR100832804B1 (ko) | 프로파일링 기반 데이터베이스 보안 시스템 및 방법 | |
| CN106790134A (zh) | 一种视频监控系统的访问控制方法及安全策略服务器 | |
| CN114024734A (zh) | 基于ueba的智能网络安全检测分析系统 | |
| CN101247618B (zh) | 一种终端合法性检测方法及系统 | |
| CN108900328A (zh) | 一种电网网络数据安全测试系统及方法 | |
| CN111405548B (zh) | 一种钓鱼wifi的检测方法及装置 | |
| CN110392055A (zh) | 网络访问异常的处理方法、装置及存储介质 | |
| CN104396216A (zh) | 用于识别网络流量特征以关联和管理一个或多个后续流的方法及其装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20181116 |
|
| RJ01 | Rejection of invention patent application after publication |