分析：五种方法防止企业数据外泄

核心提示： 终端计算机下手，还是最有效的管理方式从第一银行的经验中可以看出，分析：五种方法防止企业数据外泄(9)，从终端计算机下手，直接根绝软件安装的可能性，企业在着手进行此类控管时，最重要的还是要有政策的配套，还是最有效的管理方式，而多数公司都有的AD架构

终端计算机下手，还是最有效的管理方式

从第一银行的经验中可以看出，从终端计算机下手，直接根绝软件安装的可能性，还是最有效的管理方式。而多数公司都有的AD架构，在这方面可以发挥很大的功用。

网骇科技资安顾问曾信田表示，就他实际处理的经验来说，在内部使用者试图规避公司网络管控机制时，AD控管权限的方式，往往是企业最不用花钱也最能立即见效的手段。他以实际处理过的企业经验为例，该企业在以AD控管安装软件的权限后，使用者利用代理软件等方式试图规避企业管理的状况，就几乎完全消失了。

从这些例子中可以看出，如果没有足够预算的企业，要防堵使用者利用代理软件绕过防火墙，AD的群组控管原则可以说是最有效的方法之一。如果还能够再搭配网关器端的设备，控管还可以更完善。

Juniper(瞻博)先进技术资深经理林佶骏就指出，对于预算不够多的企业，他会建议信息部门人员先以AD的群组原则控管，再搭配防火墙阻文件部分已知的代理服务器联机地址。如果还有稍多的预算，还可以再搭配IPS，达到更好的效果。因为很多厂商的IPS，都可以辨识出较旧版本的代理软件联机特征，如此一来对于减少使用者透过此类方式绕过防火墙，形成资安风险的状况，也会有一定的帮助。

至于类似Program Control此类针对终端计算机安装软件管控更强势的软件，搭配网关器的设备使用，将能提供比AD控管更好的管理接口。从第一银行的经验来看，这一点就可以得到验证。

若预算较充足，NAC也是解决方案之一

由于NAC本身就需要网络交换器与终端软件的搭配，事实上使用NAC也能有效的杜绝内部使用者透过安装软件的方式试图规避公司的管理。

军方某个单位，就以NAC的方式做到内网的控管，除此之外，还在终端计算机上安装Program Control类型的软件，以白名单的方式限制终端计算机能够安装的软件种类，达到控管内部使用者上网行为的效果。而在网关器端，该单位也以让防火墙以白名单的方式控管，让使用者仅能连结到特定的几个网站。

由于军方特殊的属性，从其建置的方案可以看出，是属于非常严格的控管，不过对于该单位来说，由于不用担心使用者的反弹，此类坚壁清野式的管控方式，可以说是最有效果的。但对一般企业来说，要做到这样的程度，实属不易之事。

整体来看，要阻绝使用者穿透防火墙的问题，网关器端和终端计算机两处一起着手，会是最好的方法。信息安全这种议题，没有人可以打包票能够建置一个完全不会有风险的环境，但是透过前述多种方法的共同搭配使用，还是能够有效的将风险降到最低，减少使用者透过类似代理软件等方法，穿透防火墙，而将恶意程序带进内网，或是外泄重要机密的可能性。

而从第一银行和军方的经验来看，在这些并用的方法之中，对终端计算机的管制是十分重要的一环，从使用者安装软件的权限着手，能够带来一定的效果，然后再辅以网关器端的几种设备监测，以及允许联机地址的设定，达到降低使用者穿透防火墙管制的风险。无论如何，企业在着手进行此类控管时，最重要的还是要有政策的配套，如此一来才能将使用者的反弹降至最低。