防止企業(yè)數(shù)據(jù)外泄的五大方法

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

方法1： 網(wǎng)絡(luò)存取控制（NAC）

目前有許多廠商都已推出NAC（Network Access Control）機(jī)制，事實(shí)上，NAC并不能算是單一的產(chǎn)品，而是企業(yè)內(nèi)整體網(wǎng)絡(luò)架構(gòu)協(xié)防的機(jī)制，透過不同的軟件與交換器等硬設(shè)備的互相溝通，NAC機(jī)制能讓企業(yè)掌握終端計(jì)算機(jī)（End Point）連上網(wǎng)絡(luò)的權(quán)限，且為了確保終端計(jì)算機(jī)的健康，多數(shù)NAC方案都能檢查諸如防毒軟件更新、操作系統(tǒng)更新等終端計(jì)算機(jī)的健康狀態(tài)。

多數(shù)的NAC方案都能支持終端計(jì)算機(jī)健康狀態(tài)檢測(cè)的功能，并且能夠依照企業(yè)的規(guī)范，以一臺(tái)完全符合規(guī)定的計(jì)算機(jī)做為模范，強(qiáng)制要求企業(yè)內(nèi)其它的計(jì)算機(jī)符合其規(guī)定的需求，否則將無法與內(nèi)網(wǎng)連結(jié)。而此一功能就能夠防止企業(yè)內(nèi)部的使用者，安裝類似自由門、無界等代理軟件，進(jìn)而以不明的代理服務(wù)器為跳板，達(dá)到繞過防火墻規(guī)范的目的。

此外，由于NAC方案一般來說都有能力辨識(shí)使用者的身分，且能夠依據(jù)終端計(jì)算機(jī)的健康狀況與使用者的身分，依照事先設(shè)定好的政策，決定該臺(tái)終端計(jì)算機(jī)能否連上企業(yè)內(nèi)網(wǎng)，并且能自動(dòng)判斷使用者的權(quán)限，能夠有效的替企業(yè)內(nèi)不同使用者設(shè)立不同的政策，達(dá)到分類管理的效果。

Juniper（瞻博）先進(jìn)科技資深技術(shù)經(jīng)理林佶駿認(rèn)為，如果要更有效果，NAC機(jī)制可以進(jìn)一步整合符合802.1x規(guī)范的交換器，終端計(jì)算機(jī)的NAC終端軟件（Agent），一偵測(cè)到有異，或是為了規(guī)避檢查而沒有安裝NAC終端軟件，使用者將會(huì)直接從交換器端被阻斷聯(lián)機(jī)，這代表要在企業(yè)內(nèi)部使用網(wǎng)絡(luò)，就必定要安裝NAC終端軟件，并且符合健康的模板。這樣一來，使用者如果想透過代理軟件打穿企業(yè)的防火墻，將會(huì)立刻被阻斷網(wǎng)絡(luò)聯(lián)機(jī)。微軟全球技術(shù)支持中心項(xiàng)目經(jīng)理林宏嘉也有類似看法，他認(rèn)為采用微軟的NAC機(jī)制NAP，在這類問題上，能有一定效果。

雖然NAC是一個(gè)解決使用者利用軟件由內(nèi)部打穿防火墻的方法，但是NAC機(jī)制需要牽扯的網(wǎng)絡(luò)架構(gòu)與終端軟件數(shù)量龐大，實(shí)際在企業(yè)的網(wǎng)絡(luò)環(huán)境上部署時(shí)，會(huì)有太多不同的困難必須克服。原有環(huán)境的包袱，往往會(huì)讓企業(yè)實(shí)際在導(dǎo)入NAC時(shí)，難以完全貫徹。舉例來說，上述的防范方法，企業(yè)的信息人員首先要面對(duì)的難題就是怎么在數(shù)量龐大的終端計(jì)算機(jī)上安裝NAC的終端軟件，如果選擇不安裝終端軟件的方案，可能又無法達(dá)到前述的檢查效果。此外，如果想要做到更好，企業(yè)內(nèi)部網(wǎng)絡(luò)的交換器是不是全都支持802.1x，也會(huì)成為一個(gè)問題，因?yàn)檫@將會(huì)牽涉內(nèi)部網(wǎng)絡(luò)硬件的大規(guī)模變更。

方法2： 利用網(wǎng)關(guān)器設(shè)備過濾

從網(wǎng)關(guān)器下手，也是避免員工利用軟件規(guī)避由內(nèi)穿透企業(yè)防火墻的方法之一，但是此類方法由于并沒有直接控管到企業(yè)內(nèi)部使用者的終端計(jì)算機(jī)，控管上還是無法非常有效，僅能減輕一定程度的風(fēng)險(xiǎn)。 但是相對(duì)來說，使用網(wǎng)關(guān)器的設(shè)備過濾的方法，對(duì)于企業(yè)使用者的影響最小，成本也較低。

IPS就是此類設(shè)備的選擇之一，其實(shí)部分IPS已有防范代理軟件的能力，但因?yàn)榇碥浖N類眾多，版本更新迅速，IPS的特征判斷往往只能針對(duì)舊版本的代理軟件有效果，使用者要是使用更新版本，IPS通常就無法發(fā)現(xiàn)，進(jìn)而阻斷。

還有一類網(wǎng)關(guān)器設(shè)備是員工上網(wǎng)行為管理設(shè)備（Employee Internet Management，EIM），此類設(shè)備也能減輕一定程度的風(fēng)險(xiǎn)，也是比較多人目前有在使用的做法。達(dá)友科技信息安全顧問林皇興表示，目前臺(tái)灣約半數(shù)的金融業(yè)都裝有Websense的EIM設(shè)備。以下就將以較多人使用的Websense為例，剖析此類產(chǎn)品防堵員工由內(nèi)穿透防火墻的能力。

林皇興指出，目前Websense的產(chǎn)品能夠偵測(cè)出包括Hopster、GhostSurf、Tor、Google Web Accelerator、RealTunnel、JAP、Toonel、Your Freedom、SocksOnline、通通通等10種不同的代理軟件，防止企業(yè)內(nèi)部員工透過此類代理軟件連結(jié)到代理服務(wù)器，然后以之為跳板，規(guī)避企業(yè)的管理規(guī)范。

其偵測(cè)的做法是透過封包特征，當(dāng)使用者使用上述的軟件時(shí)，Websense的產(chǎn)品能夠透過分析交換器或網(wǎng)關(guān)器設(shè)備鏡射（Mirror）的流量，判斷出封包的特征，進(jìn)而與已知的特征比對(duì)，如果發(fā)現(xiàn)是上述的代理軟件，就會(huì)自動(dòng)將其聯(lián)機(jī)阻斷。

至于那些沒有辦法透過特征發(fā)現(xiàn)的代理服務(wù)器聯(lián)機(jī)，林皇興表示，可以透過Websense的EIM設(shè)備的“繼續(xù)”模式達(dá)到阻擋的效果。該模式是指Websense的EIM設(shè)備除了支持阻斷與開放外，還支持一種介于兩者之間的“繼續(xù)”功能，對(duì)于無法分類或是企業(yè)設(shè)定規(guī)則的聯(lián)機(jī)類別，會(huì)自動(dòng)在瀏覽器頁面跳出一個(gè)繼續(xù)的按鈕，使用者必須按下繼續(xù)的按鈕，才能瀏覽網(wǎng)頁。而當(dāng)內(nèi)部使用者透過代理軟件試圖與代理服務(wù)器連接時(shí)，由于代理軟件雖然偽裝成HTTP聯(lián)機(jī)，但是在與代理服務(wù)器進(jìn)行連結(jié)時(shí)，本身并不會(huì)開啟瀏覽器頁面，自然也不會(huì)自動(dòng)按下頁面中的繼續(xù)按鈕，如此一來便無法與代理服務(wù)器建立連結(jié)，使用者也就無法以代理服務(wù)器為跳板，穿透防火墻，規(guī)避公司管理。

不過，正如前面談到，此種以網(wǎng)關(guān)器過濾的方法，都有一個(gè)共通的不足之處，那就是這些網(wǎng)關(guān)器設(shè)備都必須透過特征來判斷連結(jié)的流量是否有異，但是偏偏自由門、Tor等代理軟件，種類過多，又更新快速，這使得網(wǎng)關(guān)器產(chǎn)品在防堵內(nèi)部員工使用此類軟件穿透防火墻時(shí)，總是有未逮之處，例如如果封包內(nèi)容加密，或是新版本的代理軟件出現(xiàn)，都很有可能無法偵測(cè)出。

而EIM產(chǎn)品雖然能夠控管員工的上網(wǎng)行為，設(shè)立政策分類管理，并且有效的阻斷聯(lián)機(jī)，但當(dāng)員工使用代理軟件試圖穿透其防范時(shí)，此類產(chǎn)品也會(huì)有特征更新的問題。舉例來說，如果使用自由門，現(xiàn)在的Websense EIM設(shè)備可能就無法偵測(cè)出。此外，上述提到的繼續(xù)模式，雖然能夠阻擋代理軟件聯(lián)機(jī)，但這必須在企業(yè)聯(lián)機(jī)政策涵蓋范圍很廣的狀況下，才有用。如果企業(yè)為了減少對(duì)使用者上網(wǎng)的沖擊，而沒有對(duì)所有人都采用繼續(xù)模式的政策，那么防堵的效果還是有限。不過類似此種EIM產(chǎn)品還是可以留下容易調(diào)閱聯(lián)機(jī)的記錄，如果搭配企業(yè)內(nèi)部自己架設(shè)的代理服務(wù)器，還能針對(duì)內(nèi)容做過濾與檢查，讓信息人員在真正發(fā)生資安事件時(shí)仍有證據(jù)與記錄可以提出。

整體來說，使用此類產(chǎn)品來防范員工穿透防火墻，還是有一定的減輕效果，但無法像從終端著手來得全面，不過也由于設(shè)備建置在網(wǎng)絡(luò)端，對(duì)于使用者的影響較小，受到的反彈較低。

方法3： 實(shí)體管理政策

這是所有防堵方法中最重要的一環(huán)，因?yàn)闊o論終端計(jì)算機(jī)上如何做限制，或是透過網(wǎng)關(guān)器如何防阻，如果沒有實(shí)體設(shè)備的管理政策做配合，內(nèi)部員工還是很有可能透過由外攜帶進(jìn)來的計(jì)算機(jī)或無線網(wǎng)卡，直接連網(wǎng)，繞過防火墻、終端計(jì)算機(jī)或網(wǎng)關(guān)器的控管，形成資安風(fēng)險(xiǎn)。但若政策制定得過度嚴(yán)謹(jǐn)，勢(shì)必會(huì)影響到使用者使用計(jì)算機(jī)的習(xí)慣，通常是非常重視機(jī)密數(shù)據(jù)安全保護(hù)的企業(yè)才會(huì)使用。

舉例來說，敦陽科技資深經(jīng)理李欣陽就表示，他們某個(gè)高科技制造業(yè)的客戶就將所有終端計(jì)算機(jī)的USB接口封鎖，并且將能夠存取研發(fā)數(shù)據(jù)的計(jì)算機(jī)集中到一區(qū)，從實(shí)體網(wǎng)絡(luò)上與企業(yè)其它單位的內(nèi)網(wǎng)分離，并且不與因特網(wǎng)連結(jié)，并且出入會(huì)檢查是否有攜帶網(wǎng)卡或計(jì)算機(jī)、相機(jī)，確保機(jī)密數(shù)據(jù)的安全，要求所有人工作就必須在該區(qū)完成。部分金融業(yè)也會(huì)將可以連上因特網(wǎng)的計(jì)算機(jī)集中到同一區(qū)，其它計(jì)算機(jī)則讓它們沒有辦法與因特網(wǎng)連結(jié)。

當(dāng)然這些可能都是較為極端的例子，但是也可顯示出搭配管理政策的重要性。如果企業(yè)管理員工上網(wǎng)行為，希望員工不要由內(nèi)穿透防火墻，其背后的最重要的目的就是要保護(hù)機(jī)密數(shù)據(jù)不外泄，那么此類的配套管理措施就是必需的，否則很有可能會(huì)成為管理上的漏洞。員工只要帶一張3G網(wǎng)卡，加上自己的計(jì)算機(jī)，然后透過USB接口的隨身碟將機(jī)密數(shù)據(jù)轉(zhuǎn)存至自己的計(jì)算機(jī)上，輕而易舉就能將機(jī)密數(shù)據(jù)外泄。當(dāng)然，為了防范這種情況發(fā)生，有效的實(shí)體管理政策，搭配上數(shù)據(jù)加密的方案，將能夠降低風(fēng)險(xiǎn)。

許多技術(shù)上的防范方法，總結(jié)到最后還是必須搭配相對(duì)應(yīng)的管理政策才會(huì)有效，舉例來說，如果企業(yè)在終端計(jì)算機(jī)做了應(yīng)用程序白名單的防堵、網(wǎng)關(guān)器端裝設(shè)過濾的設(shè)備。但內(nèi)網(wǎng)沒有做存取控制，使用者自行帶入的計(jì)算機(jī)只要與網(wǎng)絡(luò)連結(jié)，同樣可以透過安裝代理軟件達(dá)到穿透防火墻的效果，形成資安風(fēng)險(xiǎn)。李欣陽表示，就他的經(jīng)驗(yàn)來看，多數(shù)臺(tái)灣企業(yè)在這一方面的控管還比較缺乏，也許是信息人員職權(quán)不足，或是對(duì)高層無法有效管制，使得管理政策上無法配合公司的制度，這也使得再多的技術(shù)控管，都成為枉然。

方法4：以微軟的AD群組原則管理

多數(shù)的企業(yè)現(xiàn)在都有建立微軟的AD架構(gòu)，其實(shí)要防范使用者穿透防火墻，AD的群組原則控管就已經(jīng)可以達(dá)到很大的功效。當(dāng)然，要以AD達(dá)到控管的效果，第一步必須將終端計(jì)算機(jī)的管理權(quán)限收回，然后再進(jìn)而設(shè)定相對(duì)應(yīng)的管理政策。

首先，AD能夠停用軟件安裝的功能，透過群組原則中停用Windows Installer的選項(xiàng)，選擇一直停用，即可以將終端計(jì)算機(jī)安裝軟件的權(quán)限關(guān)閉。這樣一來，使用者將無法在終端計(jì)算機(jī)上安裝任何軟件，也就無法透過代理軟件試圖穿透防火墻，自然只能遵循企業(yè)的政策連網(wǎng)。

但是這樣的做法對(duì)于使用者來說會(huì)造成很大的不便，并不是所有的企業(yè)都能適用。林佶駿表示，對(duì)于企業(yè)來說，要防止此類代理軟件，最好的做法就是從終端計(jì)算機(jī)下手，透過AD的群組原則設(shè)定，讓終端計(jì)算機(jī)無法安裝應(yīng)用程序，是最釜底抽薪的做法?！暗菍?duì)于多數(shù)的企業(yè)來說，這樣的做法會(huì)遭受到的阻力過大。”林佶駿說。

不過AD的群組管理原則中也有針對(duì)特定軟件停用的機(jī)制，透過其它原則中的新增雜湊規(guī)則，加入應(yīng)用程序的名稱，就可以達(dá)到針對(duì)特定軟件封鎖安裝的能力。但是這樣的做法事實(shí)上并沒有辦法防止稍有技術(shù)能力的使用者，當(dāng)使用者針對(duì)應(yīng)用程序加殼又或者透過各種方法改變應(yīng)用程序的名稱時(shí)，還是可以在計(jì)算機(jī)上安裝。

此外，由于類似自由門、Tor等此類代理軟件的更新速度很快，當(dāng)使用者使用新版的軟件時(shí)，此種方式也無法達(dá)到遏阻的效果。

雖然AD的群組原則控管，在企業(yè)實(shí)際應(yīng)用上可能無法真的徹底實(shí)行，但是這一層設(shè)定，也不乏是企業(yè)在現(xiàn)有架構(gòu)下配套，阻止類似代理軟件此種穿透防火墻軟件的好方法。若能輔以防火墻或網(wǎng)關(guān)器的相關(guān)設(shè)定，對(duì)于特定的軟件還是有一定防堵作用。

目前看來，使用AD去直接控管員工安裝的權(quán)限，是解決員工使用代理軟件穿透防火墻的問題時(shí)，省錢且也有一定效果的對(duì)策。例如許多金融業(yè)者即便擁有很多不同的防堵機(jī)制，仍然會(huì)使用AD的群組原則做為控管的一環(huán)。

方法5：使用Program Control功能的軟件

從終端下手的另一種方法，還可以選擇一些能夠針對(duì)終端計(jì)算機(jī)做控管的軟件，暫且將此類軟件稱為Program Control軟件，賽門鐵克（Symantec）、Check Point等廠商，目前都有類似的軟件。

此類軟件能夠針對(duì)終端計(jì)算機(jī)做控管，并且無法移除，能以白名單的方式限制終端使用者可以安裝的軟件。以Check Point的產(chǎn)品為例，一旦透過軟件的中央控管平臺(tái)設(shè)定了白名單，所有的使用者均只能安裝白名單上的軟件。Check Point臺(tái)灣區(qū)技術(shù)顧問陳建宏表示，除了這一功能之外，該軟件也能提供企業(yè)內(nèi)部所有終端計(jì)算機(jī)安裝軟件的清單與記錄，什么人在什么時(shí)候安裝了哪一種軟件，都會(huì)透過報(bào)表的方式呈現(xiàn)出來，供企業(yè)的信息人員查詢之用。即便使用透過加殼等偽裝的方式安裝軟件，透過分析報(bào)表，企業(yè)的信息人員也能夠查覺出異狀。

陳建宏更以實(shí)際替客戶導(dǎo)入的經(jīng)驗(yàn)為例，某間使用此軟件的企業(yè)，在清單出現(xiàn)之后，發(fā)現(xiàn)有5種不同版本名字的IE，但在清單上卻總共列出6個(gè)IE的版本，其中一個(gè)版本重復(fù)出現(xiàn)兩次。后來根據(jù)清單的數(shù)據(jù)追查后，才發(fā)現(xiàn)某臺(tái)電腦中了木馬程序，而該程序?qū)⒆约簜窝b成IE。陳建宏說：“類似這樣的功能，能夠有效的控管企業(yè)內(nèi)部各臺(tái)終端計(jì)算機(jī)的應(yīng)用程序狀況，即便使用者透過各種方式偽裝代理軟件，信息人員也能發(fā)現(xiàn)異狀。”

即便防火墻真的被使用者以軟件的方式穿透，規(guī)避管制，部分Program Control軟件還有加密功能，能夠針對(duì)終端計(jì)算機(jī)硬盤內(nèi)的數(shù)據(jù)進(jìn)行加密。這某種程度上也降低了數(shù)據(jù)外泄的風(fēng)險(xiǎn)。據(jù)了解，目前某間手機(jī)相關(guān)的高科技制造廠商，正在考慮導(dǎo)入Program Control的軟件至其研發(fā)單位之中。

不過使用此類軟件也不是就能高枕無憂，雖然能夠看到清單，并且以白名單的方式去控管使用者安裝什么樣的軟件，但是如果企業(yè)內(nèi)部的信息人員，無法或根本沒有去檢視清單的內(nèi)容，當(dāng)使用者以偽裝的方式安裝了可以突破公司管制的代理軟件，透過代理服務(wù)器做為跳板對(duì)外聯(lián)機(jī)，還是很有可能不會(huì)被發(fā)現(xiàn)。

總而言之，上述5種方法都是可以達(dá)到部分防堵內(nèi)部員工穿透防火墻的效果，但任一種方法都沒辦法達(dá)到百分之百的阻絕。正如先前談到的，如果企業(yè)希望能更嚴(yán)密的透過各種管制手段限制員工不要使用類似自由門、無界等代理軟件，由內(nèi)穿透企業(yè)防火墻，形成資安風(fēng)險(xiǎn)的話，最有效的方法就必須多管齊下，以多種不同的方法并用，才會(huì)達(dá)到最佳的效果。

多管齊下，完全防堵防火墻被穿透

前面說到了很多不同的方法，可以用來確保企業(yè)的連網(wǎng)政策，不被使用者以代理軟件的方式繞過，達(dá)到管制的效果。但實(shí)際在企業(yè)中來看，這些方法勢(shì)必要搭配使用，才能發(fā)揮最好的效果。接下來我們就可以看看幾家企業(yè)實(shí)際使用的方式，了解在實(shí)際環(huán)境中，企業(yè)該怎么應(yīng)用這些方法確保內(nèi)部使用者無法透過軟件的方式規(guī)避連網(wǎng)政策。

第一銀行以Websense與AD等多種方法搭配管控

由于數(shù)據(jù)重要性特別高，許多金融業(yè)和高科技制造業(yè)對(duì)于這一方面的管控都不遺余力，第一銀行當(dāng)然也不例外。該公司為了讓員工都能遵循資安政策的管理，在3年前開始收回每臺(tái)電腦的管理權(quán)限，以AD（Active Directory）的群組規(guī)則設(shè)定限制使用者權(quán)限不能在終端計(jì)算機(jī)上安裝軟件。

此外，在網(wǎng)關(guān)器端，也有使用Websense的EIM設(shè)備，并且將IDS、IPS等控管的設(shè)備委外由數(shù)聯(lián)資安管理，內(nèi)部也有專屬人員透過防火墻的Log監(jiān)控軟件，檢查是否有聯(lián)機(jī)異常的流量。

第一銀行系統(tǒng)管理部副理林慶麟表示，在這么多做法中，將AD的管理者權(quán)限收回，并且讓使用者的終端計(jì)算機(jī)不能隨意安裝軟件的做法，對(duì)他們來說是最有效果的方式。林慶麟說：“3年前導(dǎo)入這樣的措施時(shí)，反彈的聲浪不小，但是現(xiàn)在讓我們?cè)诠芾砩细行Ч磥硪偻聘鼜?qiáng)勢(shì)的政策，可以預(yù)期的反彈的聲浪也會(huì)比較小?！?/P>

林慶麟表示，AD的群組規(guī)則設(shè)定，再加上Websense對(duì)不同網(wǎng)頁連結(jié)的控管，讓他們公司內(nèi)部員工使用特定軟件穿越防火墻的問題大幅減少。至于部分權(quán)限較高的使用者，即便安裝了類似自由門、無界等代理軟件，每天安管部門的2名員工，都會(huì)定時(shí)透過收集防火墻Log的軟件，去找出聯(lián)機(jī)數(shù)量特別高的異常聯(lián)機(jī)；委外給數(shù)聯(lián)資安的部分，也是24小時(shí)不停機(jī)的監(jiān)控，所以即便發(fā)生異常的狀況，也會(huì)立刻被發(fā)現(xiàn)。

不過林慶麟指出，AD的群組規(guī)則設(shè)定雖然讓第一銀行減少了很多使用者穿破防火墻的風(fēng)險(xiǎn)，但是在規(guī)定和維護(hù)上仍有些麻煩。“現(xiàn)在我們正在調(diào)查更好的方案，類似Program Control這種產(chǎn)品，讓我們能夠在終端計(jì)算機(jī)以更方便的方式控管?！绷謶c麟說。

不光是技術(shù)面上的控管，第一銀行在政策面上也有相關(guān)的規(guī)范。林慶麟以3年前收回AD權(quán)限時(shí)為例，當(dāng)時(shí)他們?cè)O(shè)計(jì)了很多教材、電子報(bào)，并且到各個(gè)據(jù)點(diǎn)巡回，進(jìn)行教育訓(xùn)練，然后才開始推行。除此之外，如果發(fā)現(xiàn)內(nèi)部員工有異常的聯(lián)機(jī)數(shù)，或是使用不合規(guī)范的軟件，如代理軟件、實(shí)時(shí)通訊軟件等，公司也有一套完整的規(guī)范，信息人員會(huì)先以電話告知，然后再有發(fā)現(xiàn)的話，會(huì)發(fā)正式的公文前去要求改善。

不過林慶麟說，即便有了這么多的配套措施，讓大多數(shù)的人都被限制在公司的規(guī)范中，偶爾還是會(huì)有道高一尺、魔高一丈的狀況出現(xiàn)，要完全阻擋住這樣的狀況，并不是太容易，但是至少在多種方法并用的管理下，這樣的事件已經(jīng)大幅減少?！皩?duì)于我們來說，現(xiàn)在這種問題并沒有很嚴(yán)重。”林慶麟說。

終端計(jì)算機(jī)下手，還是最有效的管理方式

從第一銀行的經(jīng)驗(yàn)中可以看出，從終端計(jì)算機(jī)下手，直接根絕軟件安裝的可能性，還是最有效的管理方式。而多數(shù)公司都有的AD架構(gòu)，在這方面可以發(fā)揮很大的功用。

網(wǎng)駭科技資安顧問曾信田表示，就他實(shí)際處理的經(jīng)驗(yàn)來說，在內(nèi)部使用者試圖規(guī)避公司網(wǎng)絡(luò)管控機(jī)制時(shí)，AD控管權(quán)限的方式，往往是企業(yè)最不用花錢也最能立即見效的手段。他以實(shí)際處理過的企業(yè)經(jīng)驗(yàn)為例，該企業(yè)在以AD控管安裝軟件的權(quán)限后，使用者利用代理軟件等方式試圖規(guī)避企業(yè)管理的狀況，就幾乎完全消失了。

從這些例子中可以看出，如果沒有足夠預(yù)算的企業(yè)，要防堵使用者利用代理軟件繞過防火墻，AD的群組控管原則可以說是最有效的方法之一。如果還能夠再搭配網(wǎng)關(guān)器端的設(shè)備，控管還可以更完善。

Juniper（瞻博）先進(jìn)技術(shù)資深經(jīng)理林佶駿就指出，對(duì)于預(yù)算不夠多的企業(yè)，他會(huì)建議信息部門人員先以AD的群組原則控管，再搭配防火墻阻文件部分已知的代理服務(wù)器聯(lián)機(jī)地址。如果還有稍多的預(yù)算，還可以再搭配IPS，達(dá)到更好的效果。因?yàn)楹芏鄰S商的IPS，都可以辨識(shí)出較舊版本的代理軟件聯(lián)機(jī)特征，如此一來對(duì)于減少使用者透過此類方式繞過防火墻，形成資安風(fēng)險(xiǎn)的狀況，也會(huì)有一定的幫助。

至于類似Program Control此類針對(duì)終端計(jì)算機(jī)安裝軟件管控更強(qiáng)勢(shì)的軟件，搭配網(wǎng)關(guān)器的設(shè)備使用，將能提供比AD控管更好的管理接口。從第一銀行的經(jīng)驗(yàn)來看，這一點(diǎn)就可以得到驗(yàn)證。

若預(yù)算較充足，NAC也是解決方案之一

由于NAC本身就需要網(wǎng)絡(luò)交換器與終端軟件的搭配，事實(shí)上使用NAC也能有效的杜絕內(nèi)部使用者透過安裝軟件的方式試圖規(guī)避公司的管理。

軍方某個(gè)單位，就以NAC的方式做到內(nèi)網(wǎng)的控管，除此之外，還在終端計(jì)算機(jī)上安裝Program Control類型的軟件，以白名單的方式限制終端計(jì)算機(jī)能夠安裝的軟件種類，達(dá)到控管內(nèi)部使用者上網(wǎng)行為的效果。而在網(wǎng)關(guān)器端，該單位也以讓防火墻以白名單的方式控管，讓使用者僅能連結(jié)到特定的幾個(gè)網(wǎng)站。

由于軍方特殊的屬性，從其建置的方案可以看出，是屬于非常嚴(yán)格的控管，不過對(duì)于該單位來說，由于不用擔(dān)心使用者的反彈，此類堅(jiān)壁清野式的管控方式，可以說是最有效果的。但對(duì)一般企業(yè)來說，要做到這樣的程度，實(shí)屬不易之事。

整體來看，要阻絕使用者穿透防火墻的問題，網(wǎng)關(guān)器端和終端計(jì)算機(jī)兩處一起著手，會(huì)是最好的方法。信息安全這種議題，沒有人可以打包票能夠建置一個(gè)完全不會(huì)有風(fēng)險(xiǎn)的環(huán)境，但是透過前述多種方法的共同搭配使用，還是能夠有效的將風(fēng)險(xiǎn)降到最低，減少使用者透過類似代理軟件等方法，穿透防火墻，而將惡意程序帶進(jìn)內(nèi)網(wǎng)，或是外泄重要機(jī)密的可能性。

而從第一銀行和軍方的經(jīng)驗(yàn)來看，在這些并用的方法之中，對(duì)終端計(jì)算機(jī)的管制是十分重要的一環(huán)，從使用者安裝軟件的權(quán)限著手，能夠帶來一定的效果，然后再輔以網(wǎng)關(guān)器端的幾種設(shè)備監(jiān)測(cè)，以及允許聯(lián)機(jī)地址的設(shè)定，達(dá)到降低使用者穿透防火墻管制的風(fēng)險(xiǎn)。無論如何，企業(yè)在著手進(jìn)行此類控管時(shí)，最重要的還是要有政策的配套，如此一來才能將使用者的反彈降至最低。（IT168）