分析：五种方法防止企业数据外泄

核心提示：很多企业都会利用防火墙限制员工可联机的网站，但其实现在已经有很多可以自动和代理服务器联机的软件，分析：五种方法防止企业数据外泄，只要安装就能轻易穿透企业防火墙的控管，使得防火墙等于形同虚设，他认为采用微软的NAC机制NAP，在这类问题上，这除了造成企业数据外泄的风险，实际上许多代理服务器本身就是恶意程序的来源

很多企业都会利用防火墙限制员工可联机的网站，但其实现在已经有很多可以自动和代理服务器联机的软件，只要安装就能轻易穿透企业防火墙的控管，使得防火墙等于形同虚设。这除了造成企业数据外泄的风险，实际上许多代理服务器本身就是恶意程序的来源。企业必须建立起一套管理的制度，要管到多严？目的是为了什么？这些都是必须在搭配各种配套的工具时，事先想好的重点。 在有了这样前提的体认之后，我们就介绍怎么利用上述不同的工具，达到防堵此类代理软件的效果。

方法1： 网络存取控制(NAC)

目前有许多厂商都已推出NAC(Network Access Control)机制，事实上，NAC并不能算是单一的产品，而是企业内整体网络架构协防的机制，透过不同的软件与交换器等硬设备的互相沟通，NAC机制能让企业掌握终端计算机(End Point)连上网络的权限，且为了确保终端计算机的健康，多数NAC方案都能检查诸如防毒软件更新、操作系统更新等终端计算机的健康状态。

多数的NAC方案都能支持终端计算机健康状态检测的功能，并且能够依照企业的规范，以一台完全符合规定的计算机做为模范，强制要求企业内其它的计算机符合其规定的需求，否则将无法与内网连结。而此一功能就能够防止企业内部的使用者，安装类似自由门、无界等代理软件，进而以不明的代理服务器为跳板，达到绕过防火墙规范的目的。

此外，由于NAC方案一般来说都有能力辨识使用者的身分，且能够依据终端计算机的健康状况与使用者的身分，依照事先设定好的政策，决定该台终端计算机能否连上企业内网，并且能自动判断使用者的权限，能够有效的替企业内不同使用者设立不同的政策，达到分类管理的效果。

Juniper(瞻博)先进科技资深技术经理林佶骏认为，如果要更有效果，NAC机制可以进一步整合符合802.1x规范的交换器，终端计算机的NAC终端软件(Agent)，一侦测到有异，或是为了规避检查而没有安装NAC终端软件，使用者将会直接从交换器端被阻断联机，这代表要在企业内部使用网络，就必定要安装NAC终端软件，并且符合健康的模板。这样一来，使用者如果想透过代理软件打穿企业的防火墙，将会立刻被阻断网络联机。微软全球技术支持中心项目经理林宏嘉也有类似看法，他认为采用微软的NAC机制NAP，在这类问题上，能有一定效果。