釘釘(DingTalk)是中國領(lǐng)先的智能移動辦公平臺，用于商務(wù)溝通和工作協(xié)同。越來越多企業(yè)采用釘釘來進行辦公自動化，但是由此帶來的信息安全問題也不能忽視。釘釘軟件可以很容易的上傳附件、外發(fā)和接收文件，從而威脅到網(wǎng)絡(luò)內(nèi)部的信息安全。近來很多客戶提出需要屏蔽釘釘?shù)耐獍l(fā)文件功能，所以我們做了針對性的測試。下文是釘釘外發(fā)文件的協(xié)議詳解和如何屏蔽的方案。

1. 釘釘外發(fā)文件的協(xié)議分析

通過多次的抓包分析，釘釘PC版的外發(fā)文件和手機版的外發(fā)文件采用的不同的方式。

釘釘PC版的外發(fā)文件，主要通過sh.trans.dingtalk.com和lippi-space-ssh.oss-accelerate.aliyuncs.com這兩個網(wǎng)站進行轉(zhuǎn)發(fā)。抓包分析如下圖：

但是釘釘?shù)氖謾C版本發(fā)送文件時，卻共用了釘釘?shù)卿浐桶l(fā)送信息的連接。如圖：

換句話說，PC版本的釘釘外發(fā)文件可以單獨禁止（不禁止釘釘?shù)卿浐推渌δ埽?；但是手機版的釘釘外發(fā)文件不能單獨屏蔽掉。下面我們再看下具體的實現(xiàn)步驟。

2. 屏蔽釘釘PC版的外發(fā)文件功能

只要在應(yīng)用過濾中把“釘釘文件（PC）”設(shè)置為“禁止”，就可以屏蔽釘釘PC版的外發(fā)文件功能。如圖：

配置成禁止后，釘釘?shù)耐獍l(fā)文件就會被屏蔽掉。聊天消息、圖片仍然正常使用。

文檔中的文件上傳會全部被禁止掉。

3. 屏蔽手機釘釘?shù)纳蟼鞴δ?/h2>

由于手機釘釘?shù)奈募蟼骱土奶熳叩氖峭粋€連接，所以不能用單獨的應(yīng)用來禁止了。這里我介紹下WFilter NGF（WSG網(wǎng)關(guān)）的一個非常強大的功能：疑似上傳的屏蔽。如圖：

這個功能會檢測每個連接的上傳數(shù)據(jù)，一旦上傳數(shù)據(jù)超過閾值，就會把該連接斷開。這個功能剛好可以用在手機釘釘上，如果只是正常的聊天消息發(fā)送，那么由于數(shù)據(jù)量比較小可以正常使用。但是一旦要上傳附件，就會被屏蔽掉。效果如下圖：

WSG里面的封堵記錄如圖：

以上就是WSG（WFilter NGF）對釘釘外發(fā)文件的管控方案，可以有效的管控釘釘文件傳輸從而避免信息泄露。