防止企業(yè)數(shù)據(jù)外泄的五大方法

申請免費試用、咨詢電話：400-8352-114

方法1： 網(wǎng)絡存取控制（NAC）

目前有許多廠商都已推出NAC（Network Access Control）機制，事實上，NAC并不能算是單一的產品，而是企業(yè)內整體網(wǎng)絡架構協(xié)防的機制，透過不同的軟件與交換器等硬設備的互相溝通，NAC機制能讓企業(yè)掌握終端計算機（End Point）連上網(wǎng)絡的權限，且為了確保終端計算機的健康，多數(shù)NAC方案都能檢查諸如防毒軟件更新、操作系統(tǒng)更新等終端計算機的健康狀態(tài)。

多數(shù)的NAC方案都能支持終端計算機健康狀態(tài)檢測的功能，并且能夠依照企業(yè)的規(guī)范，以一臺完全符合規(guī)定的計算機做為模范，強制要求企業(yè)內其它的計算機符合其規(guī)定的需求，否則將無法與內網(wǎng)連結。而此一功能就能夠防止企業(yè)內部的使用者，安裝類似自由門、無界等代理軟件，進而以不明的代理服務器為跳板，達到繞過防火墻規(guī)范的目的。

此外，由于NAC方案一般來說都有能力辨識使用者的身分，且能夠依據(jù)終端計算機的健康狀況與使用者的身分，依照事先設定好的政策，決定該臺終端計算機能否連上企業(yè)內網(wǎng)，并且能自動判斷使用者的權限，能夠有效的替企業(yè)內不同使用者設立不同的政策，達到分類管理的效果。

Juniper（瞻博）先進科技資深技術經理林佶駿認為，如果要更有效果，NAC機制可以進一步整合符合802.1x規(guī)范的交換器，終端計算機的NAC終端軟件（Agent），一偵測到有異，或是為了規(guī)避檢查而沒有安裝NAC終端軟件，使用者將會直接從交換器端被阻斷聯(lián)機，這代表要在企業(yè)內部使用網(wǎng)絡，就必定要安裝NAC終端軟件，并且符合健康的模板。這樣一來，使用者如果想透過代理軟件打穿企業(yè)的防火墻，將會立刻被阻斷網(wǎng)絡聯(lián)機。微軟全球技術支持中心項目經理林宏嘉也有類似看法，他認為采用微軟的NAC機制NAP，在這類問題上，能有一定效果。

雖然NAC是一個解決使用者利用軟件由內部打穿防火墻的方法，但是NAC機制需要牽扯的網(wǎng)絡架構與終端軟件數(shù)量龐大，實際在企業(yè)的網(wǎng)絡環(huán)境上部署時，會有太多不同的困難必須克服。原有環(huán)境的包袱，往往會讓企業(yè)實際在導入NAC時，難以完全貫徹。舉例來說，上述的防范方法，企業(yè)的信息人員首先要面對的難題就是怎么在數(shù)量龐大的終端計算機上安裝NAC的終端軟件，如果選擇不安裝終端軟件的方案，可能又無法達到前述的檢查效果。此外，如果想要做到更好，企業(yè)內部網(wǎng)絡的交換器是不是全都支持802.1x，也會成為一個問題，因為這將會牽涉內部網(wǎng)絡硬件的大規(guī)模變更。

方法2： 利用網(wǎng)關器設備過濾

從網(wǎng)關器下手，也是避免員工利用軟件規(guī)避由內穿透企業(yè)防火墻的方法之一，但是此類方法由于并沒有直接控管到企業(yè)內部使用者的終端計算機，控管上還是無法非常有效，僅能減輕一定程度的風險。 但是相對來說，使用網(wǎng)關器的設備過濾的方法，對于企業(yè)使用者的影響最小，成本也較低。

IPS就是此類設備的選擇之一，其實部分IPS已有防范代理軟件的能力，但因為代理軟件種類眾多，版本更新迅速，IPS的特征判斷往往只能針對舊版本的代理軟件有效果，使用者要是使用更新版本，IPS通常就無法發(fā)現(xiàn)，進而阻斷。

還有一類網(wǎng)關器設備是員工上網(wǎng)行為管理設備（Employee Internet Management，EIM），此類設備也能減輕一定程度的風險，也是比較多人目前有在使用的做法。達友科技信息安全顧問林皇興表示，目前臺灣約半數(shù)的金融業(yè)都裝有Websense的EIM設備。以下就將以較多人使用的Websense為例，剖析此類產品防堵員工由內穿透防火墻的能力。

林皇興指出，目前Websense的產品能夠偵測出包括Hopster、GhostSurf、Tor、Google Web Accelerator、RealTunnel、JAP、Toonel、Your Freedom、SocksOnline、通通通等10種不同的代理軟件，防止企業(yè)內部員工透過此類代理軟件連結到代理服務器，然后以之為跳板，規(guī)避企業(yè)的管理規(guī)范。

其偵測的做法是透過封包特征，當使用者使用上述的軟件時，Websense的產品能夠透過分析交換器或網(wǎng)關器設備鏡射（Mirror）的流量，判斷出封包的特征，進而與已知的特征比對，如果發(fā)現(xiàn)是上述的代理軟件，就會自動將其聯(lián)機阻斷。

至于那些沒有辦法透過特征發(fā)現(xiàn)的代理服務器聯(lián)機，林皇興表示，可以透過Websense的EIM設備的“繼續(xù)”模式達到阻擋的效果。該模式是指Websense的EIM設備除了支持阻斷與開放外，還支持一種介于兩者之間的“繼續(xù)”功能，對于無法分類或是企業(yè)設定規(guī)則的聯(lián)機類別，會自動在瀏覽器頁面跳出一個繼續(xù)的按鈕，使用者必須按下繼續(xù)的按鈕，才能瀏覽網(wǎng)頁。而當內部使用者透過代理軟件試圖與代理服務器連接時，由于代理軟件雖然偽裝成HTTP聯(lián)機，但是在與代理服務器進行連結時，本身并不會開啟瀏覽器頁面，自然也不會自動按下頁面中的繼續(xù)按鈕，如此一來便無法與代理服務器建立連結，使用者也就無法以代理服務器為跳板，穿透防火墻，規(guī)避公司管理。

不過，正如前面談到，此種以網(wǎng)關器過濾的方法，都有一個共通的不足之處，那就是這些網(wǎng)關器設備都必須透過特征來判斷連結的流量是否有異，但是偏偏自由門、Tor等代理軟件，種類過多，又更新快速，這使得網(wǎng)關器產品在防堵內部員工使用此類軟件穿透防火墻時，總是有未逮之處，例如如果封包內容加密，或是新版本的代理軟件出現(xiàn)，都很有可能無法偵測出。

而EIM產品雖然能夠控管員工的上網(wǎng)行為，設立政策分類管理，并且有效的阻斷聯(lián)機，但當員工使用代理軟件試圖穿透其防范時，此類產品也會有特征更新的問題。舉例來說，如果使用自由門，現(xiàn)在的Websense EIM設備可能就無法偵測出。此外，上述提到的繼續(xù)模式，雖然能夠阻擋代理軟件聯(lián)機，但這必須在企業(yè)聯(lián)機政策涵蓋范圍很廣的狀況下，才有用。如果企業(yè)為了減少對使用者上網(wǎng)的沖擊，而沒有對所有人都采用繼續(xù)模式的政策，那么防堵的效果還是有限。不過類似此種EIM產品還是可以留下容易調閱聯(lián)機的記錄，如果搭配企業(yè)內部自己架設的代理服務器，還能針對內容做過濾與檢查，讓信息人員在真正發(fā)生資安事件時仍有證據(jù)與記錄可以提出。

整體來說，使用此類產品來防范員工穿透防火墻，還是有一定的減輕效果，但無法像從終端著手來得全面，不過也由于設備建置在網(wǎng)絡端，對于使用者的影響較小，受到的反彈較低。

方法3： 實體管理政策

這是所有防堵方法中最重要的一環(huán)，因為無論終端計算機上如何做限制，或是透過網(wǎng)關器如何防阻，如果沒有實體設備的管理政策做配合，內部員工還是很有可能透過由外攜帶進來的計算機或無線網(wǎng)卡，直接連網(wǎng)，繞過防火墻、終端計算機或網(wǎng)關器的控管，形成資安風險。但若政策制定得過度嚴謹，勢必會影響到使用者使用計算機的習慣，通常是非常重視機密數(shù)據(jù)安全保護的企業(yè)才會使用。

舉例來說，敦陽科技資深經理李欣陽就表示，他們某個高科技制造業(yè)的客戶就將所有終端計算機的USB接口封鎖，并且將能夠存取研發(fā)數(shù)據(jù)的計算機集中到一區(qū)，從實體網(wǎng)絡上與企業(yè)其它單位的內網(wǎng)分離，并且不與因特網(wǎng)連結，并且出入會檢查是否有攜帶網(wǎng)卡或計算機、相機，確保機密數(shù)據(jù)的安全，要求所有人工作就必須在該區(qū)完成。部分金融業(yè)也會將可以連上因特網(wǎng)的計算機集中到同一區(qū)，其它計算機則讓它們沒有辦法與因特網(wǎng)連結。

當然這些可能都是較為極端的例子，但是也可顯示出搭配管理政策的重要性。如果企業(yè)管理員工上網(wǎng)行為，希望員工不要由內穿透防火墻，其背后的最重要的目的就是要保護機密數(shù)據(jù)不外泄，那么此類的配套管理措施就是必需的，否則很有可能會成為管理上的漏洞。員工只要帶一張3G網(wǎng)卡，加上自己的計算機，然后透過USB接口的隨身碟將機密數(shù)據(jù)轉存至自己的計算機上，輕而易舉就能將機密數(shù)據(jù)外泄。當然，為了防范這種情況發(fā)生，有效的實體管理政策，搭配上數(shù)據(jù)加密的方案，將能夠降低風險。

許多技術上的防范方法，總結到最后還是必須搭配相對應的管理政策才會有效，舉例來說，如果企業(yè)在終端計算機做了應用程序白名單的防堵、網(wǎng)關器端裝設過濾的設備。但內網(wǎng)沒有做存取控制，使用者自行帶入的計算機只要與網(wǎng)絡連結，同樣可以透過安裝代理軟件達到穿透防火墻的效果，形成資安風險。李欣陽表示，就他的經驗來看，多數(shù)臺灣企業(yè)在這一方面的控管還比較缺乏，也許是信息人員職權不足，或是對高層無法有效管制，使得管理政策上無法配合公司的制度，這也使得再多的技術控管，都成為枉然。

方法4：以微軟的AD群組原則管理

多數(shù)的企業(yè)現(xiàn)在都有建立微軟的AD架構，其實要防范使用者穿透防火墻，AD的群組原則控管就已經可以達到很大的功效。當然，要以AD達到控管的效果，第一步必須將終端計算機的管理權限收回，然后再進而設定相對應的管理政策。

首先，AD能夠停用軟件安裝的功能，透過群組原則中停用Windows Installer的選項，選擇一直停用，即可以將終端計算機安裝軟件的權限關閉。這樣一來，使用者將無法在終端計算機上安裝任何軟件，也就無法透過代理軟件試圖穿透防火墻，自然只能遵循企業(yè)的政策連網(wǎng)。

但是這樣的做法對于使用者來說會造成很大的不便，并不是所有的企業(yè)都能適用。林佶駿表示，對于企業(yè)來說，要防止此類代理軟件，最好的做法就是從終端計算機下手，透過AD的群組原則設定，讓終端計算機無法安裝應用程序，是最釜底抽薪的做法?！暗菍τ诙鄶?shù)的企業(yè)來說，這樣的做法會遭受到的阻力過大?！绷仲ヲE說。

不過AD的群組管理原則中也有針對特定軟件停用的機制，透過其它原則中的新增雜湊規(guī)則，加入應用程序的名稱，就可以達到針對特定軟件封鎖安裝的能力。但是這樣的做法事實上并沒有辦法防止稍有技術能力的使用者，當使用者針對應用程序加殼又或者透過各種方法改變應用程序的名稱時，還是可以在計算機上安裝。

此外，由于類似自由門、Tor等此類代理軟件的更新速度很快，當使用者使用新版的軟件時，此種方式也無法達到遏阻的效果。

雖然AD的群組原則控管，在企業(yè)實際應用上可能無法真的徹底實行，但是這一層設定，也不乏是企業(yè)在現(xiàn)有架構下配套，阻止類似代理軟件此種穿透防火墻軟件的好方法。若能輔以防火墻或網(wǎng)關器的相關設定，對于特定的軟件還是有一定防堵作用。

目前看來，使用AD去直接控管員工安裝的權限，是解決員工使用代理軟件穿透防火墻的問題時，省錢且也有一定效果的對策。例如許多金融業(yè)者即便擁有很多不同的防堵機制，仍然會使用AD的群組原則做為控管的一環(huán)。

方法5：使用Program Control功能的軟件

從終端下手的另一種方法，還可以選擇一些能夠針對終端計算機做控管的軟件，暫且將此類軟件稱為Program Control軟件，賽門鐵克（Symantec）、Check Point等廠商，目前都有類似的軟件。

此類軟件能夠針對終端計算機做控管，并且無法移除，能以白名單的方式限制終端使用者可以安裝的軟件。以Check Point的產品為例，一旦透過軟件的中央控管平臺設定了白名單，所有的使用者均只能安裝白名單上的軟件。Check Point臺灣區(qū)技術顧問陳建宏表示，除了這一功能之外，該軟件也能提供企業(yè)內部所有終端計算機安裝軟件的清單與記錄，什么人在什么時候安裝了哪一種軟件，都會透過報表的方式呈現(xiàn)出來，供企業(yè)的信息人員查詢之用。即便使用透過加殼等偽裝的方式安裝軟件，透過分析報表，企業(yè)的信息人員也能夠查覺出異狀。

陳建宏更以實際替客戶導入的經驗為例，某間使用此軟件的企業(yè)，在清單出現(xiàn)之后，發(fā)現(xiàn)有5種不同版本名字的IE，但在清單上卻總共列出6個IE的版本，其中一個版本重復出現(xiàn)兩次。后來根據(jù)清單的數(shù)據(jù)追查后，才發(fā)現(xiàn)某臺電腦中了木馬程序，而該程序將自己偽裝成IE。陳建宏說：“類似這樣的功能，能夠有效的控管企業(yè)內部各臺終端計算機的應用程序狀況，即便使用者透過各種方式偽裝代理軟件，信息人員也能發(fā)現(xiàn)異狀?！?/P>

即便防火墻真的被使用者以軟件的方式穿透，規(guī)避管制，部分Program Control軟件還有加密功能，能夠針對終端計算機硬盤內的數(shù)據(jù)進行加密。這某種程度上也降低了數(shù)據(jù)外泄的風險。據(jù)了解，目前某間手機相關的高科技制造廠商，正在考慮導入Program Control的軟件至其研發(fā)單位之中。

不過使用此類軟件也不是就能高枕無憂，雖然能夠看到清單，并且以白名單的方式去控管使用者安裝什么樣的軟件，但是如果企業(yè)內部的信息人員，無法或根本沒有去檢視清單的內容，當使用者以偽裝的方式安裝了可以突破公司管制的代理軟件，透過代理服務器做為跳板對外聯(lián)機，還是很有可能不會被發(fā)現(xiàn)。

總而言之，上述5種方法都是可以達到部分防堵內部員工穿透防火墻的效果，但任一種方法都沒辦法達到百分之百的阻絕。正如先前談到的，如果企業(yè)希望能更嚴密的透過各種管制手段限制員工不要使用類似自由門、無界等代理軟件，由內穿透企業(yè)防火墻，形成資安風險的話，最有效的方法就必須多管齊下，以多種不同的方法并用，才會達到最佳的效果。

多管齊下，完全防堵防火墻被穿透

前面說到了很多不同的方法，可以用來確保企業(yè)的連網(wǎng)政策，不被使用者以代理軟件的方式繞過，達到管制的效果。但實際在企業(yè)中來看，這些方法勢必要搭配使用，才能發(fā)揮最好的效果。接下來我們就可以看看幾家企業(yè)實際使用的方式，了解在實際環(huán)境中，企業(yè)該怎么應用這些方法確保內部使用者無法透過軟件的方式規(guī)避連網(wǎng)政策。

第一銀行以Websense與AD等多種方法搭配管控

由于數(shù)據(jù)重要性特別高，許多金融業(yè)和高科技制造業(yè)對于這一方面的管控都不遺余力，第一銀行當然也不例外。該公司為了讓員工都能遵循資安政策的管理，在3年前開始收回每臺電腦的管理權限，以AD（Active Directory）的群組規(guī)則設定限制使用者權限不能在終端計算機上安裝軟件。

此外，在網(wǎng)關器端，也有使用Websense的EIM設備，并且將IDS、IPS等控管的設備委外由數(shù)聯(lián)資安管理，內部也有專屬人員透過防火墻的Log監(jiān)控軟件，檢查是否有聯(lián)機異常的流量。

第一銀行系統(tǒng)管理部副理林慶麟表示，在這么多做法中，將AD的管理者權限收回，并且讓使用者的終端計算機不能隨意安裝軟件的做法，對他們來說是最有效果的方式。林慶麟說：“3年前導入這樣的措施時，反彈的聲浪不小，但是現(xiàn)在讓我們在管理上更有效果，未來要再推更強勢的政策，可以預期的反彈的聲浪也會比較小?！?/P>

林慶麟表示，AD的群組規(guī)則設定，再加上Websense對不同網(wǎng)頁連結的控管，讓他們公司內部員工使用特定軟件穿越防火墻的問題大幅減少。至于部分權限較高的使用者，即便安裝了類似自由門、無界等代理軟件，每天安管部門的2名員工，都會定時透過收集防火墻Log的軟件，去找出聯(lián)機數(shù)量特別高的異常聯(lián)機；委外給數(shù)聯(lián)資安的部分，也是24小時不停機的監(jiān)控，所以即便發(fā)生異常的狀況，也會立刻被發(fā)現(xiàn)。

不過林慶麟指出，AD的群組規(guī)則設定雖然讓第一銀行減少了很多使用者穿破防火墻的風險，但是在規(guī)定和維護上仍有些麻煩。“現(xiàn)在我們正在調查更好的方案，類似Program Control這種產品，讓我們能夠在終端計算機以更方便的方式控管?！绷謶c麟說。

不光是技術面上的控管，第一銀行在政策面上也有相關的規(guī)范。林慶麟以3年前收回AD權限時為例，當時他們設計了很多教材、電子報，并且到各個據(jù)點巡回，進行教育訓練，然后才開始推行。除此之外，如果發(fā)現(xiàn)內部員工有異常的聯(lián)機數(shù)，或是使用不合規(guī)范的軟件，如代理軟件、實時通訊軟件等，公司也有一套完整的規(guī)范，信息人員會先以電話告知，然后再有發(fā)現(xiàn)的話，會發(fā)正式的公文前去要求改善。

不過林慶麟說，即便有了這么多的配套措施，讓大多數(shù)的人都被限制在公司的規(guī)范中，偶爾還是會有道高一尺、魔高一丈的狀況出現(xiàn)，要完全阻擋住這樣的狀況，并不是太容易，但是至少在多種方法并用的管理下，這樣的事件已經大幅減少?！皩τ谖覀儊碚f，現(xiàn)在這種問題并沒有很嚴重?！绷謶c麟說。

終端計算機下手，還是最有效的管理方式

從第一銀行的經驗中可以看出，從終端計算機下手，直接根絕軟件安裝的可能性，還是最有效的管理方式。而多數(shù)公司都有的AD架構，在這方面可以發(fā)揮很大的功用。

網(wǎng)駭科技資安顧問曾信田表示，就他實際處理的經驗來說，在內部使用者試圖規(guī)避公司網(wǎng)絡管控機制時，AD控管權限的方式，往往是企業(yè)最不用花錢也最能立即見效的手段。他以實際處理過的企業(yè)經驗為例，該企業(yè)在以AD控管安裝軟件的權限后，使用者利用代理軟件等方式試圖規(guī)避企業(yè)管理的狀況，就幾乎完全消失了。

從這些例子中可以看出，如果沒有足夠預算的企業(yè)，要防堵使用者利用代理軟件繞過防火墻，AD的群組控管原則可以說是最有效的方法之一。如果還能夠再搭配網(wǎng)關器端的設備，控管還可以更完善。

Juniper（瞻博）先進技術資深經理林佶駿就指出，對于預算不夠多的企業(yè)，他會建議信息部門人員先以AD的群組原則控管，再搭配防火墻阻文件部分已知的代理服務器聯(lián)機地址。如果還有稍多的預算，還可以再搭配IPS，達到更好的效果。因為很多廠商的IPS，都可以辨識出較舊版本的代理軟件聯(lián)機特征，如此一來對于減少使用者透過此類方式繞過防火墻，形成資安風險的狀況，也會有一定的幫助。

至于類似Program Control此類針對終端計算機安裝軟件管控更強勢的軟件，搭配網(wǎng)關器的設備使用，將能提供比AD控管更好的管理接口。從第一銀行的經驗來看，這一點就可以得到驗證。

若預算較充足，NAC也是解決方案之一

由于NAC本身就需要網(wǎng)絡交換器與終端軟件的搭配，事實上使用NAC也能有效的杜絕內部使用者透過安裝軟件的方式試圖規(guī)避公司的管理。

軍方某個單位，就以NAC的方式做到內網(wǎng)的控管，除此之外，還在終端計算機上安裝Program Control類型的軟件，以白名單的方式限制終端計算機能夠安裝的軟件種類，達到控管內部使用者上網(wǎng)行為的效果。而在網(wǎng)關器端，該單位也以讓防火墻以白名單的方式控管，讓使用者僅能連結到特定的幾個網(wǎng)站。

由于軍方特殊的屬性，從其建置的方案可以看出，是屬于非常嚴格的控管，不過對于該單位來說，由于不用擔心使用者的反彈，此類堅壁清野式的管控方式，可以說是最有效果的。但對一般企業(yè)來說，要做到這樣的程度，實屬不易之事。

整體來看，要阻絕使用者穿透防火墻的問題，網(wǎng)關器端和終端計算機兩處一起著手，會是最好的方法。信息安全這種議題，沒有人可以打包票能夠建置一個完全不會有風險的環(huán)境，但是透過前述多種方法的共同搭配使用，還是能夠有效的將風險降到最低，減少使用者透過類似代理軟件等方法，穿透防火墻，而將惡意程序帶進內網(wǎng)，或是外泄重要機密的可能性。

而從第一銀行和軍方的經驗來看，在這些并用的方法之中，對終端計算機的管制是十分重要的一環(huán)，從使用者安裝軟件的權限著手，能夠帶來一定的效果，然后再輔以網(wǎng)關器端的幾種設備監(jiān)測，以及允許聯(lián)機地址的設定，達到降低使用者穿透防火墻管制的風險。無論如何，企業(yè)在著手進行此類控管時，最重要的還是要有政策的配套，如此一來才能將使用者的反彈降至最低。（IT168）