2.　天珣非法外联控制四步曲

    天珣内网安全风险管理与审计系统（以下简称天珣），作为启明星辰“五维内网合规管理模型”的非常好的实践，同样在防止内网终端非法外联有着非凡的表现，部署天珣之后，简单四步即可彻底解决内网终端非法外联的“顽疾”。　　 　　

　　第一步：启用用终端多网卡限制，保证只能通过指定网卡联网；　　 　　

　　第二步：启用终端外设接口限制，防止通过Modem、红外、蓝牙等非法外联；　　　　　

　　第三步：启用在移动存储认证，确保授权用户使用授权Ｕ盘进行数据安全共享；　　　　　

　　第四步：启用终端异常路由审计，侦测终端可能存在的其他网络非法外联蛛丝马迹。
 
　　1)控制终端通过多网卡的非法外联

　　可以直接通过天珣，添加限制多网卡的“安全防护策略”，可以实现针对指定IP或网段的终端处于在线或离线状态时，禁止通过双网卡的非法外联行为。在限制多网卡策略生效后，如果终端用户尝试通过与天珣管理服务器直接通信的其他网卡进行非法外联，天珣客户端将即时阻断该行为，并将该行为上报到天珣告警服务器，该行为信息可以在审计结果中进行查询。

　　除此之外，还可以通过增加严格的终端离线安全防护策略，一旦检测到终端授权使用的网卡断线或离开授权网络区域，天珣将自动启用离线安全防护策略，防止用户试图尝试通过授权网卡连接其他网络，达到一机两用的目的。

　　2)控制终端通过外设的非法外联

　　天珣可以根据合规管理的要求，通过定制和下发禁用可能存在非法外联的外设控制策略规则到指定IP、IP段，或者指定用户或用户组，实现控制终端通过外设（例如USB、modem、无线网卡、红外线设备、串口、并口等进行）进行非法外联的行为。

　　在外设禁用后，如果终端仍尝试要打开禁用的外设，天珣客户端将即时禁止该行为，并将该行为上报到天珣告警服务器，该行为信息可以在审计结果中进行查询。

　　3)控制终端通过外设的非法外联

　　对于确实需要使用USB接口的移动存储设备（U盘、移动硬盘等）的终端用户，则可以通过天珣启用移动存储认证和授权数据共享。需要在内网中使用的移动存储设备，在使用前，都先需要获得天珣系统的认证和授权，只有通过认证的移动存储介质才能够在内网授权终端使用。

　　对认证通过的移动存储设备，还可以根据用户设置保存数据自动加密和读、写的权限，实现通过授权的移动存储设备进行内部数据安全、受控共享。

　　4)通过异常路由对可能的非法外联进行审计

    天珣还可以提供对终端异常路由的审计功能，通过监控终端的路由信息，通过发现路由信息中异常路由信息，为合规管理提供终端可能存在的其它网络非法外联的信息或证据。