方法3： 实体管理政策

　　这是所有防堵方法中最重要的一环，因为无论终端计算机上如何做限制，或是透过网关器如何防阻，如果没有实体设备的管理政策做配合，内部员工还是很有可能透过由外携带进来的计算机或无线网卡，直接连网，绕过防火墙、终端计算机或网关器的控管，形成资安风险。但若政策制定得过度严谨，势必会影响到使用者使用计算机的习惯，通常是非常重视机密数据安全保护的企业才会使用。

　　举例来说，敦阳科技资深经理李欣阳就表示，他们某个高科技制造业的客户就将所有终端计算机的USB接口封锁，并且将能够存取研发数据的计算机集中到一区，从实体网络上与企业其它单位的内网分离，并且不与因特网连结，并且出入会检查是否有携带网卡或计算机、相机，确保机密数据的安全，要求所有人工作就必须在该区完成。部分金融业也会将可以连上因特网的计算机集中到同一区，其它计算机则让它们没有办法与因特网连结。

　　当然这些可能都是较为极端的例子，但是也可显示出搭配管理政策的重要性。如果企业管理员工上网行为，希望员工不要由内穿透防火墙，其背后的最重要的目的就是要保护机密数据不外泄，那么此类的配套管理措施就是必需的，否则很有可能会成为管理上的漏洞。员工只要带一张3G网卡，加上自己的计算机，然后透过USB接口的随身碟将机密数据转存至自己的计算机上，轻而易举就能将机密数据外泄。当然，为了防范这种情况发生，有效的实体管理政策，搭配上数据加密的方案，将能够降低风险。

　　许多技术上的防范方法，总结到最后还是必须搭配相对应的管理政策才会有效，举例来说，如果企业在终端计算机做了应用程序白名单的防堵、网关器端装设过滤的设备。但内网没有做存取控制，使用者自行带入的计算机只要与网络连结，同样可以透过安装代理软件达到穿透防火墙的效果，形成资安风险。李欣阳表示，就他的经验来看，多数台湾企业在这一方面的控管还比较缺乏，也许是信息人员职权不足，或是对高层无法有效管制，使得管理政策上无法配合公司的制度，这也使得再多的技术控管，都成为枉然。

　　方法4：以微软的AD群组原则管理

　　多数的企业现在都有建立微软的AD架构，其实要防范使用者穿透防火墙，AD的群组原则控管就已经可以达到很大的功效。当然，要以AD达到控管的效果，第一步必须将终端计算机的管理权限收回，然后再进而设定相对应的管理政策。

　　首先，AD能够停用软件安装的功能，透过群组原则中停用Windows Installer的选项，选择一直停用，即可以将终端计算机安装软件的权限关闭。这样一来，使用者将无法在终端计算机上安装任何软件，也就无法透过代理软件试图穿透防火墙，自然只能遵循企业的政策连网。

　　但是这样的做法对于使用者来说会造成很大的不便，并不是所有的企业都能适用。林佶骏表示，对于企业来说，要防止此类代理软件，最好的做法就是从终端计算机下手，透过AD的群组原则设定，让终端计算机无法安装应用程序，是最釜底抽薪的做法。“但是对于多数的企业来说，这样的做法会遭受到的阻力过大。”林佶骏说。

　　不过AD的群组管理原则中也有针对特定软件停用的机制，透过其它原则中的新增杂凑规则，加入应用程序的名称，就可以达到针对特定软件封锁安装的能力。但是这样的做法事实上并没有办法防止稍有技术能力的使用者，当使用者针对应用程序加壳又或者透过各种方法改变应用程序的名称时，还是可以在计算机上安装。

　　此外，由于类似自由门、Tor等此类代理软件的更新速度很快，当使用者使用新版的软件时，此种方式也无法达到遏阻的效果。

　　虽然AD的群组原则控管，在企业实际应用上可能无法真的彻底实行，但是这一层设定，也不乏是企业在现有架构下配套，阻止类似代理软件此种穿透防火墙软件的好方法。若能辅以防火墙或网关器的相关设定，对于特定的软件还是有一定防堵作用。

　　目前看来，使用AD去直接控管员工安装的权限，是解决员工使用代理软件穿透防火墙的问题时，省钱且也有一定效果的对策。例如许多金融业者即便拥有很多不同的防堵机制，仍然会使用AD的群组原则做为控管的一环。

微信公众号

TechTarget

官方微博

TechTarget中国