釘釘(DingTalk)是中國(guó)領(lǐng)先的智能移動(dòng)辦公平臺(tái)，用于商務(wù)溝通和工作協(xié)同。越來(lái)越多企業(yè)采用釘釘來(lái)進(jìn)行辦公自動(dòng)化，但是由此帶來(lái)的信息安全問(wèn)題也不能忽視。釘釘軟件可以很容易的上傳附件、外發(fā)和接收文件，從而威脅到網(wǎng)絡(luò)內(nèi)部的信息安全。近來(lái)很多客戶提出需要屏蔽釘釘?shù)耐獍l(fā)文件功能，所以我們做了針對(duì)性的測(cè)試。下文是釘釘外發(fā)文件的協(xié)議詳解和如何屏蔽的方案。

1. 釘釘外發(fā)文件的協(xié)議分析

通過(guò)多次的抓包分析，釘釘PC版的外發(fā)文件和手機(jī)版的外發(fā)文件采用的不同的方式。

釘釘PC版的外發(fā)文件，主要通過(guò)sh.trans.dingtalk.com和lippi-space-ssh.oss-accelerate.aliyuncs.com這兩個(gè)網(wǎng)站進(jìn)行轉(zhuǎn)發(fā)。抓包分析如下圖：

但是釘釘?shù)氖謾C(jī)版本發(fā)送文件時(shí)，卻共用了釘釘?shù)卿浐桶l(fā)送信息的連接。如圖：

換句話說(shuō)，PC版本的釘釘外發(fā)文件可以單獨(dú)禁止（不禁止釘釘?shù)卿浐推渌δ埽坏鞘謾C(jī)版的釘釘外發(fā)文件不能單獨(dú)屏蔽掉。下面我們?cè)倏聪戮唧w的實(shí)現(xiàn)步驟。

2. 屏蔽釘釘PC版的外發(fā)文件功能

只要在應(yīng)用過(guò)濾中把“釘釘文件（PC）”設(shè)置為“禁止”，就可以屏蔽釘釘PC版的外發(fā)文件功能。如圖：

配置成禁止后，釘釘?shù)耐獍l(fā)文件就會(huì)被屏蔽掉。聊天消息、圖片仍然正常使用。

文檔中的文件上傳會(huì)全部被禁止掉。

3. 屏蔽手機(jī)釘釘?shù)纳蟼鞴δ?/h2>

由于手機(jī)釘釘?shù)奈募蟼骱土奶熳叩氖峭粋€(gè)連接，所以不能用單獨(dú)的應(yīng)用來(lái)禁止了。這里我介紹下WFilter NGF（WSG網(wǎng)關(guān)）的一個(gè)非常強(qiáng)大的功能：疑似上傳的屏蔽。如圖：

這個(gè)功能會(huì)檢測(cè)每個(gè)連接的上傳數(shù)據(jù)，一旦上傳數(shù)據(jù)超過(guò)閾值，就會(huì)把該連接斷開(kāi)。這個(gè)功能剛好可以用在手機(jī)釘釘上，如果只是正常的聊天消息發(fā)送，那么由于數(shù)據(jù)量比較小可以正常使用。但是一旦要上傳附件，就會(huì)被屏蔽掉。效果如下圖：

WSG里面的封堵記錄如圖：

以上就是WSG（WFilter NGF）對(duì)釘釘外發(fā)文件的管控方案，可以有效的管控釘釘文件傳輸從而避免信息泄露。