作为集团的CIO，老赵这两天有点烦恼。

事情的起因是这样的，集团使用的内网安全监控系统时不时就误报有人上班时间违规访问互联网，这次该系统又误报集团CFO违规访问互联网，并且给CFO发了一封警告邮件。偏偏CFO是一个很较真的人，认定自己没有违规，要求老赵查清此事并还其清白，否则要向CEO投诉IT部门。

老赵立马召开部门会议，面色凝重的问下属：“这内网安全监控系统大家认为有啥毛病和不足的地方需要改进?”

顿时下面炸开锅。误报倒在其次，大部分人都对一个弊端非常不满——这系统只能监控，无法主动阻止!

这就是症结所在，但是指望这系统做出改变已经不太可能了，毕竟项目已经结案了几年，于是老赵让大家讨论如何在现有环境条件下解决这个问题。

这时负责内网安全规划的小李说：“好像启明星辰公司的天珣内网安全管理系统有防止非法外联的功能，要不把他们的工程师叫过来问问?”

老赵马上给天珣的产品经理打了电话，对方说天珣内网安全管理系统有一整套的防止非法外联的解决方案，并约好明天过来交流。老赵心里这块石头算是落地了，以前用天珣只想到网络准入了，没想到还能防止非法外联。

第二天，在交流过后，老赵觉得非常满意，因为天珣内网安全风险管理与审计系统能做的已经远远超出他的预期。

内网发生非法外联行为的途径主要集中在以下几点：

终端外接设备接口多种多样，任意一个外设如USB、Modem等都有可能成为连接互联网的出口;

终端的网络连接方式丰富多样，除了电话拨号、ADSL接入等传统接入方式外，无线Wi-Fi、GPRS等都能很轻易的突破物理隔离，连接互联网;

终端用户能随意安装软件，并能不受限制访问任意网络;

由于人员疏忽，产生非法外联。

天珣内网安全风险管理与审计系统的非法外联控制从多方面对终端可能发生非法外联的途径进行限制，从源头上杜绝了违规行为的发生。

天珣内网安全风险管理与审计系统可以通过对计算机的外设进行管理，来阻止用户通过利用外设来达到连接互联网的目的。天珣的外设管理能够灵活控制计算机终端硬件资源的使用情况，比如控制计算机终端的并口、串口、移动存储设备、Modem拨号、蓝牙、USB等外设的使用情况，让终端用户无法将手机连接到终端上，避免产生外联行为。

天珣内网安全风险管理与审计系统可以禁用一些已知的终端软件进程，比如3G拨号程序，手机联机程序以及代理上网程序等，那么即使用户由于疏忽将手机连接上终端，也会因为无法使用联机和拨号程序而无法上网。

天珣内网安全风险管理与审计系统还能通过多网卡限制功能阻止终端由于出现多个网卡如VPN、无线、拨号连接等产生的网卡的数据通信，保证正常的内网通信流量，杜绝终端用户产生有意或无意的外联数据流量。

除此之外，天珣内网安全风险管理与审计系统还能通过强大的访问控制内核，对每台终端的网络数据走向进行精确控制，从而一举将非法外联产生的途径彻底阻断。

现在，老赵安心了，以后终于不用对着一大堆监控数据，或者误报信息而头痛如何向老板解释了，因为不会再有这些数据了!

点评：内网安全技术中防止非法外联功能的实现方式有很多种，某些方式只是在探测到存在外联时报警，殊不知，此时外联行为已经产生，这种被动的手段存在理论上的漏洞。天珣内网安全风险管理与审计系统的防止非法外联功能通过主动封堵外联行为的各种途径，彻底杜绝了外联行为的产生。