分析：五种方法防止企业数据外泄

整体来说，使用此类产品来防范员工穿透防火墙，还是有一定的减轻效果，但无法像从终端着手来得全面，不过也由于设备建置在网络端，对于使用者的影响较小，受到的反弹较低。

方法3： 实体管理政策

这是所有防堵方法中最重要的一环，因为无论终端计算机上如何做限制，或是透过网关器如何防阻，如果没有实体设备的管理政策做配合，内部员工还是很有可能透过由外携带进来的计算机或无线网卡，直接连网，绕过防火墙、终端计算机或网关器的控管，形成资安风险。但若政策制定得过度严谨，势必会影响到使用者使用计算机的习惯，通常是非常重视机密数据安全保护的企业才会使用。

举例来说，敦阳科技资深经理李欣阳就表示，他们某个高科技制造业的客户就将所有终端计算机的USB接口封锁，并且将能够存取研发数据的计算机集中到一区，从实体网络上与企业其它单位的内网分离，并且不与因特网连结，并且出入会检查是否有携带网卡或计算机、相机，确保机密数据的安全，要求所有人工作就必须在该区完成。部分金融业也会将可以连上因特网的计算机集中到同一区，其它计算机则让它们没有办法与因特网连结。

当然这些可能都是较为极端的例子，但是也可显示出搭配管理政策的重要性。如果企业管理员工上网行为，希望员工不要由内穿透防火墙，其背后的最重要的目的就是要保护机密数据不外泄，那么此类的配套管理措施就是必需的，否则很有可能会成为管理上的漏洞。员工只要带一张3G网卡，加上自己的计算机，然后透过USB接口的随身碟将机密数据转存至自己的计算机上，轻而易举就能将机密数据外泄。当然，为了防范这种情况发生，有效的实体管理政策，搭配上数据加密的方案，将能够降低风险。

许多技术上的防范方法，总结到最后还是必须搭配相对应的管理政策才会有效，举例来说，如果企业在终端计算机做了应用程序白名单的防堵、网关器端装设过滤的设备。但内网没有做存取控制，使用者自行带入的计算机只要与网络连结，同样可以透过安装代理软件达到穿透防火墙的效果，形成资安风险。李欣阳表示，就他的经验来看，多数台湾企业在这一方面的控管还比较缺乏，也许是信息人员职权不足，或是对高层无法有效管制，使得管理政策上无法配合公司的制度，这也使得再多的技术控管，都成为枉然。