分析：五种方法防止企业数据外泄

核心提示： 不过使用此类软件也不是就能高枕无忧，虽然能够看到清单，分析：五种方法防止企业数据外泄(7)，并且以白名单的方式去控管使用者安装什么样的软件，但是如果企业内部的信息人员，并且将IDS、IPS等控管的设备委外由数联资安管理，内部也有专属人员透过防火墙的Log监控软件，无法或根本没有去检视清单的

不过使用此类软件也不是就能高枕无忧，虽然能够看到清单，并且以白名单的方式去控管使用者安装什么样的软件，但是如果企业内部的信息人员，无法或根本没有去检视清单的内容，当使用者以伪装的方式安装了可以突破公司管制的代理软件，透过代理服务器做为跳板对外联机，还是很有可能不会被发现。

总而言之，上述5种方法都是可以达到部分防堵内部员工穿透防火墙的效果，但任一种方法都没办法达到百分之百的阻绝。正如先前谈到的，如果企业希望能更严密的透过各种管制手段限制员工不要使用类似自由门、无界等代理软件，由内穿透企业防火墙，形成资安风险的话，最有效的方法就必须多管齐下，以多种不同的方法并用，才会达到最佳的效果。

多管齐下，完全防堵防火墙被穿透

前面说到了很多不同的方法，可以用来确保企业的连网政策，不被使用者以代理软件的方式绕过，达到管制的效果。但实际在企业中来看，这些方法势必要搭配使用，才能发挥最好的效果。接下来我们就可以看看几家企业实际使用的方式，了解在实际环境中，企业该怎么应用这些方法确保内部使用者无法透过软件的方式规避连网政策。

第一银行以Websense与AD等多种方法搭配管控

由于数据重要性特别高，许多金融业和高科技制造业对于这一方面的管控都不遗余力，第一银行当然也不例外。该公司为了让员工都能遵循资安政策的管理，在3年前开始收回每台电脑的管理权限，以AD(Active Directory)的群组规则设定限制使用者权限不能在终端计算机上安装软件。

此外，在网关器端，也有使用Websense的EIM设备，并且将IDS、IPS等控管的设备委外由数联资安管理，内部也有专属人员透过防火墙的Log监控软件，检查是否有联机异常的流量。