WEB开发网
开发学院网络安全安全技术 分析:五种方法防止企业数据外泄 阅读

分析:五种方法防止企业数据外泄

 2008-12-12 13:39:49 来源:WEB开发网   
核心提示:很多企业都会利用防火墙限制员工可联机的网站,但其实现在已经有很多可以自动和代理服务器联机的软件,分析:五种方法防止企业数据外泄,只要安装就能轻易穿透企业防火墙的控管,使得防火墙等于形同虚设,他认为采用微软的NAC机制NAP,在这类问题上,这除了造成企业数据外泄的风险,实际上许多代理服务器本身就是恶意程序的来源

很多企业都会利用防火墙限制员工可联机的网站,但其实现在已经有很多可以自动和代理服务器联机的软件,只要安装就能轻易穿透企业防火墙的控管,使得防火墙等于形同虚设。这除了造成企业数据外泄的风险,实际上许多代理服务器本身就是恶意程序的来源。企业必须建立起一套管理的制度,要管到多严?目的是为了什么?这些都是必须在搭配各种配套的工具时,事先想好的重点。 在有了这样前提的体认之后,我们就介绍怎么利用上述不同的工具,达到防堵此类代理软件的效果。

方法1: 网络存取控制(NAC)

目前有许多厂商都已推出NAC(Network Access Control)机制,事实上,NAC并不能算是单一的产品,而是企业内整体网络架构协防的机制,透过不同的软件与交换器等硬设备的互相沟通,NAC机制能让企业掌握终端计算机(End Point)连上网络的权限,且为了确保终端计算机的健康,多数NAC方案都能检查诸如防毒软件更新、操作系统更新等终端计算机的健康状态。

多数的NAC方案都能支持终端计算机健康状态检测的功能,并且能够依照企业的规范,以一台完全符合规定的计算机做为模范,强制要求企业内其它的计算机符合其规定的需求,否则将无法与内网连结。而此一功能就能够防止企业内部的使用者,安装类似自由门、无界等代理软件,进而以不明的代理服务器为跳板,达到绕过防火墙规范的目的。

此外,由于NAC方案一般来说都有能力辨识使用者的身分,且能够依据终端计算机的健康状况与使用者的身分,依照事先设定好的政策,决定该台终端计算机能否连上企业内网,并且能自动判断使用者的权限,能够有效的替企业内不同使用者设立不同的政策,达到分类管理的效果。

Juniper(瞻博)先进科技资深技术经理林佶骏认为,如果要更有效果,NAC机制可以进一步整合符合802.1x规范的交换器,终端计算机的NAC终端软件(Agent),一侦测到有异,或是为了规避检查而没有安装NAC终端软件,使用者将会直接从交换器端被阻断联机,这代表要在企业内部使用网络,就必定要安装NAC终端软件,并且符合健康的模板。这样一来,使用者如果想透过代理软件打穿企业的防火墙,将会立刻被阻断网络联机。微软全球技术支持中心项目经理林宏嘉也有类似看法,他认为采用微软的NAC机制NAP,在这类问题上,能有一定效果。

1 2 3 4 5 6  下一页

Tags:分析 方法 防止

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接