防止企業(yè)數(shù)據(jù)外泄的五大方法

申請免費試用、咨詢電話：400-8352-114

方法1： 網(wǎng)絡(luò)存取控制（NAC）

目前有許多廠商都已推出NAC（Network Access Control）機制，事實上，NAC并不能算是單一的產(chǎn)品，而是企業(yè)內(nèi)整體網(wǎng)絡(luò)架構(gòu)協(xié)防的機制，透過不同的軟件與交換器等硬設(shè)備的互相溝通，NAC機制能讓企業(yè)掌握終端計算機（End Point）連上網(wǎng)絡(luò)的權(quán)限，且為了確保終端計算機的健康，多數(shù)NAC方案都能檢查諸如防毒軟件更新、操作系統(tǒng)更新等終端計算機的健康狀態(tài)。

多數(shù)的NAC方案都能支持終端計算機健康狀態(tài)檢測的功能，并且能夠依照企業(yè)的規(guī)范，以一臺完全符合規(guī)定的計算機做為模范，強制要求企業(yè)內(nèi)其它的計算機符合其規(guī)定的需求，否則將無法與內(nèi)網(wǎng)連結(jié)。而此一功能就能夠防止企業(yè)內(nèi)部的使用者，安裝類似自由門、無界等代理軟件，進而以不明的代理服務(wù)器為跳板，達到繞過防火墻規(guī)范的目的。

此外，由于NAC方案一般來說都有能力辨識使用者的身分，且能夠依據(jù)終端計算機的健康狀況與使用者的身分，依照事先設(shè)定好的政策，決定該臺終端計算機能否連上企業(yè)內(nèi)網(wǎng)，并且能自動判斷使用者的權(quán)限，能夠有效的替企業(yè)內(nèi)不同使用者設(shè)立不同的政策，達到分類管理的效果。

Juniper（瞻博）先進科技資深技術(shù)經(jīng)理林佶駿認為，如果要更有效果，NAC機制可以進一步整合符合802.1x規(guī)范的交換器，終端計算機的NAC終端軟件（Agent），一偵測到有異，或是為了規(guī)避檢查而沒有安裝NAC終端軟件，使用者將會直接從交換器端被阻斷聯(lián)機，這代表要在企業(yè)內(nèi)部使用網(wǎng)絡(luò)，就必定要安裝NAC終端軟件，并且符合健康的模板。這樣一來，使用者如果想透過代理軟件打穿企業(yè)的防火墻，將會立刻被阻斷網(wǎng)絡(luò)聯(lián)機。微軟全球技術(shù)支持中心項目經(jīng)理林宏嘉也有類似看法，他認為采用微軟的NAC機制NAP，在這類問題上，能有一定效果。

雖然NAC是一個解決使用者利用軟件由內(nèi)部打穿防火墻的方法，但是NAC機制需要牽扯的網(wǎng)絡(luò)架構(gòu)與終端軟件數(shù)量龐大，實際在企業(yè)的網(wǎng)絡(luò)環(huán)境上部署時，會有太多不同的困難必須克服。原有環(huán)境的包袱，往往會讓企業(yè)實際在導(dǎo)入NAC時，難以完全貫徹。舉例來說，上述的防范方法，企業(yè)的信息人員首先要面對的難題就是怎么在數(shù)量龐大的終端計算機上安裝NAC的終端軟件，如果選擇不安裝終端軟件的方案，可能又無法達到前述的檢查效果。此外，如果想要做到更好，企業(yè)內(nèi)部網(wǎng)絡(luò)的交換器是不是全都支持802.1x，也會成為一個問題，因為這將會牽涉內(nèi)部網(wǎng)絡(luò)硬件的大規(guī)模變更。

方法2： 利用網(wǎng)關(guān)器設(shè)備過濾

從網(wǎng)關(guān)器下手，也是避免員工利用軟件規(guī)避由內(nèi)穿透企業(yè)防火墻的方法之一，但是此類方法由于并沒有直接控管到企業(yè)內(nèi)部使用者的終端計算機，控管上還是無法非常有效，僅能減輕一定程度的風(fēng)險。 但是相對來說，使用網(wǎng)關(guān)器的設(shè)備過濾的方法，對于企業(yè)使用者的影響最小，成本也較低。

IPS就是此類設(shè)備的選擇之一，其實部分IPS已有防范代理軟件的能力，但因為代理軟件種類眾多，版本更新迅速，IPS的特征判斷往往只能針對舊版本的代理軟件有效果，使用者要是使用更新版本，IPS通常就無法發(fā)現(xiàn)，進而阻斷。

還有一類網(wǎng)關(guān)器設(shè)備是員工上網(wǎng)行為管理設(shè)備（Employee Internet Management，EIM），此類設(shè)備也能減輕一定程度的風(fēng)險，也是比較多人目前有在使用的做法。達友科技信息安全顧問林皇興表示，目前臺灣約半數(shù)的金融業(yè)都裝有Websense的EIM設(shè)備。以下就將以較多人使用的Websense為例，剖析此類產(chǎn)品防堵員工由內(nèi)穿透防火墻的能力。

林皇興指出，目前Websense的產(chǎn)品能夠偵測出包括Hopster、GhostSurf、Tor、Google Web Accelerator、RealTunnel、JAP、Toonel、Your Freedom、SocksOnline、通通通等10種不同的代理軟件，防止企業(yè)內(nèi)部員工透過此類代理軟件連結(jié)到代理服務(wù)器，然后以之為跳板，規(guī)避企業(yè)的管理規(guī)范。

其偵測的做法是透過封包特征，當(dāng)使用者使用上述的軟件時，Websense的產(chǎn)品能夠透過分析交換器或網(wǎng)關(guān)器設(shè)備鏡射（Mirror）的流量，判斷出封包的特征，進而與已知的特征比對，如果發(fā)現(xiàn)是上述的代理軟件，就會自動將其聯(lián)機阻斷。

至于那些沒有辦法透過特征發(fā)現(xiàn)的代理服務(wù)器聯(lián)機，林皇興表示，可以透過Websense的EIM設(shè)備的“繼續(xù)”模式達到阻擋的效果。該模式是指Websense的EIM設(shè)備除了支持阻斷與開放外，還支持一種介于兩者之間的“繼續(xù)”功能，對于無法分類或是企業(yè)設(shè)定規(guī)則的聯(lián)機類別，會自動在瀏覽器頁面跳出一個繼續(xù)的按鈕，使用者必須按下繼續(xù)的按鈕，才能瀏覽網(wǎng)頁。而當(dāng)內(nèi)部使用者透過代理軟件試圖與代理服務(wù)器連接時，由于代理軟件雖然偽裝成HTTP聯(lián)機，但是在與代理服務(wù)器進行連結(jié)時，本身并不會開啟瀏覽器頁面，自然也不會自動按下頁面中的繼續(xù)按鈕，如此一來便無法與代理服務(wù)器建立連結(jié)，使用者也就無法以代理服務(wù)器為跳板，穿透防火墻，規(guī)避公司管理。

不過，正如前面談到，此種以網(wǎng)關(guān)器過濾的方法，都有一個共通的不足之處，那就是這些網(wǎng)關(guān)器設(shè)備都必須透過特征來判斷連結(jié)的流量是否有異，但是偏偏自由門、Tor等代理軟件，種類過多，又更新快速，這使得網(wǎng)關(guān)器產(chǎn)品在防堵內(nèi)部員工使用此類軟件穿透防火墻時，總是有未逮之處，例如如果封包內(nèi)容加密，或是新版本的代理軟件出現(xiàn)，都很有可能無法偵測出。

而EIM產(chǎn)品雖然能夠控管員工的上網(wǎng)行為，設(shè)立政策分類管理，并且有效的阻斷聯(lián)機，但當(dāng)員工使用代理軟件試圖穿透其防范時，此類產(chǎn)品也會有特征更新的問題。舉例來說，如果使用自由門，現(xiàn)在的Websense EIM設(shè)備可能就無法偵測出。此外，上述提到的繼續(xù)模式，雖然能夠阻擋代理軟件聯(lián)機，但這必須在企業(yè)聯(lián)機政策涵蓋范圍很廣的狀況下，才有用。如果企業(yè)為了減少對使用者上網(wǎng)的沖擊，而沒有對所有人都采用繼續(xù)模式的政策，那么防堵的效果還是有限。不過類似此種EIM產(chǎn)品還是可以留下容易調(diào)閱聯(lián)機的記錄，如果搭配企業(yè)內(nèi)部自己架設(shè)的代理服務(wù)器，還能針對內(nèi)容做過濾與檢查，讓信息人員在真正發(fā)生資安事件時仍有證據(jù)與記錄可以提出。

整體來說，使用此類產(chǎn)品來防范員工穿透防火墻，還是有一定的減輕效果，但無法像從終端著手來得全面，不過也由于設(shè)備建置在網(wǎng)絡(luò)端，對于使用者的影響較小，受到的反彈較低。

方法3： 實體管理政策

這是所有防堵方法中最重要的一環(huán)，因為無論終端計算機上如何做限制，或是透過網(wǎng)關(guān)器如何防阻，如果沒有實體設(shè)備的管理政策做配合，內(nèi)部員工還是很有可能透過由外攜帶進來的計算機或無線網(wǎng)卡，直接連網(wǎng)，繞過防火墻、終端計算機或網(wǎng)關(guān)器的控管，形成資安風(fēng)險。但若政策制定得過度嚴謹，勢必會影響到使用者使用計算機的習(xí)慣，通常是非常重視機密數(shù)據(jù)安全保護的企業(yè)才會使用。

舉例來說，敦陽科技資深經(jīng)理李欣陽就表示，他們某個高科技制造業(yè)的客戶就將所有終端計算機的USB接口封鎖，并且將能夠存取研發(fā)數(shù)據(jù)的計算機集中到一區(qū)，從實體網(wǎng)絡(luò)上與企業(yè)其它單位的內(nèi)網(wǎng)分離，并且不與因特網(wǎng)連結(jié)，并且出入會檢查是否有攜帶網(wǎng)卡或計算機、相機，確保機密數(shù)據(jù)的安全，要求所有人工作就必須在該區(qū)完成。部分金融業(yè)也會將可以連上因特網(wǎng)的計算機集中到同一區(qū)，其它計算機則讓它們沒有辦法與因特網(wǎng)連結(jié)。

當(dāng)然這些可能都是較為極端的例子，但是也可顯示出搭配管理政策的重要性。如果企業(yè)管理員工上網(wǎng)行為，希望員工不要由內(nèi)穿透防火墻，其背后的最重要的目的就是要保護機密數(shù)據(jù)不外泄，那么此類的配套管理措施就是必需的，否則很有可能會成為管理上的漏洞。員工只要帶一張3G網(wǎng)卡，加上自己的計算機，然后透過USB接口的隨身碟將機密數(shù)據(jù)轉(zhuǎn)存至自己的計算機上，輕而易舉就能將機密數(shù)據(jù)外泄。當(dāng)然，為了防范這種情況發(fā)生，有效的實體管理政策，搭配上數(shù)據(jù)加密的方案，將能夠降低風(fēng)險。

許多技術(shù)上的防范方法，總結(jié)到最后還是必須搭配相對應(yīng)的管理政策才會有效，舉例來說，如果企業(yè)在終端計算機做了應(yīng)用程序白名單的防堵、網(wǎng)關(guān)器端裝設(shè)過濾的設(shè)備。但內(nèi)網(wǎng)沒有做存取控制，使用者自行帶入的計算機只要與網(wǎng)絡(luò)連結(jié)，同樣可以透過安裝代理軟件達到穿透防火墻的效果，形成資安風(fēng)險。李欣陽表示，就他的經(jīng)驗來看，多數(shù)臺灣企業(yè)在這一方面的控管還比較缺乏，也許是信息人員職權(quán)不足，或是對高層無法有效管制，使得管理政策上無法配合公司的制度，這也使得再多的技術(shù)控管，都成為枉然。

方法4：以微軟的AD群組原則管理

多數(shù)的企業(yè)現(xiàn)在都有建立微軟的AD架構(gòu)，其實要防范使用者穿透防火墻，AD的群組原則控管就已經(jīng)可以達到很大的功效。當(dāng)然，要以AD達到控管的效果，第一步必須將終端計算機的管理權(quán)限收回，然后再進而設(shè)定相對應(yīng)的管理政策。

首先，AD能夠停用軟件安裝的功能，透過群組原則中停用Windows Installer的選項，選擇一直停用，即可以將終端計算機安裝軟件的權(quán)限關(guān)閉。這樣一來，使用者將無法在終端計算機上安裝任何軟件，也就無法透過代理軟件試圖穿透防火墻，自然只能遵循企業(yè)的政策連網(wǎng)。

但是這樣的做法對于使用者來說會造成很大的不便，并不是所有的企業(yè)都能適用。林佶駿表示，對于企業(yè)來說，要防止此類代理軟件，最好的做法就是從終端計算機下手，透過AD的群組原則設(shè)定，讓終端計算機無法安裝應(yīng)用程序，是最釜底抽薪的做法?！暗菍τ诙鄶?shù)的企業(yè)來說，這樣的做法會遭受到的阻力過大?！绷仲ヲE說。

不過AD的群組管理原則中也有針對特定軟件停用的機制，透過其它原則中的新增雜湊規(guī)則，加入應(yīng)用程序的名稱，就可以達到針對特定軟件封鎖安裝的能力。但是這樣的做法事實上并沒有辦法防止稍有技術(shù)能力的使用者，當(dāng)使用者針對應(yīng)用程序加殼又或者透過各種方法改變應(yīng)用程序的名稱時，還是可以在計算機上安裝。

此外，由于類似自由門、Tor等此類代理軟件的更新速度很快，當(dāng)使用者使用新版的軟件時，此種方式也無法達到遏阻的效果。

雖然AD的群組原則控管，在企業(yè)實際應(yīng)用上可能無法真的徹底實行，但是這一層設(shè)定，也不乏是企業(yè)在現(xiàn)有架構(gòu)下配套，阻止類似代理軟件此種穿透防火墻軟件的好方法。若能輔以防火墻或網(wǎng)關(guān)器的相關(guān)設(shè)定，對于特定的軟件還是有一定防堵作用。

目前看來，使用AD去直接控管員工安裝的權(quán)限，是解決員工使用代理軟件穿透防火墻的問題時，省錢且也有一定效果的對策。例如許多金融業(yè)者即便擁有很多不同的防堵機制，仍然會使用AD的群組原則做為控管的一環(huán)。

方法5：使用Program Control功能的軟件

從終端下手的另一種方法，還可以選擇一些能夠針對終端計算機做控管的軟件，暫且將此類軟件稱為Program Control軟件，賽門鐵克（Symantec）、Check Point等廠商，目前都有類似的軟件。

此類軟件能夠針對終端計算機做控管，并且無法移除，能以白名單的方式限制終端使用者可以安裝的軟件。以Check Point的產(chǎn)品為例，一旦透過軟件的中央控管平臺設(shè)定了白名單，所有的使用者均只能安裝白名單上的軟件。Check Point臺灣區(qū)技術(shù)顧問陳建宏表示，除了這一功能之外，該軟件也能提供企業(yè)內(nèi)部所有終端計算機安裝軟件的清單與記錄，什么人在什么時候安裝了哪一種軟件，都會透過報表的方式呈現(xiàn)出來，供企業(yè)的信息人員查詢之用。即便使用透過加殼等偽裝的方式安裝軟件，透過分析報表，企業(yè)的信息人員也能夠查覺出異狀。

陳建宏更以實際替客戶導(dǎo)入的經(jīng)驗為例，某間使用此軟件的企業(yè)，在清單出現(xiàn)之后，發(fā)現(xiàn)有5種不同版本名字的IE，但在清單上卻總共列出6個IE的版本，其中一個版本重復(fù)出現(xiàn)兩次。后來根據(jù)清單的數(shù)據(jù)追查后，才發(fā)現(xiàn)某臺電腦中了木馬程序，而該程序?qū)⒆约簜窝b成IE。陳建宏說：“類似這樣的功能，能夠有效的控管企業(yè)內(nèi)部各臺終端計算機的應(yīng)用程序狀況，即便使用者透過各種方式偽裝代理軟件，信息人員也能發(fā)現(xiàn)異狀?！?/P>

即便防火墻真的被使用者以軟件的方式穿透，規(guī)避管制，部分Program Control軟件還有加密功能，能夠針對終端計算機硬盤內(nèi)的數(shù)據(jù)進行加密。這某種程度上也降低了數(shù)據(jù)外泄的風(fēng)險。據(jù)了解，目前某間手機相關(guān)的高科技制造廠商，正在考慮導(dǎo)入Program Control的軟件至其研發(fā)單位之中。

不過使用此類軟件也不是就能高枕無憂，雖然能夠看到清單，并且以白名單的方式去控管使用者安裝什么樣的軟件，但是如果企業(yè)內(nèi)部的信息人員，無法或根本沒有去檢視清單的內(nèi)容，當(dāng)使用者以偽裝的方式安裝了可以突破公司管制的代理軟件，透過代理服務(wù)器做為跳板對外聯(lián)機，還是很有可能不會被發(fā)現(xiàn)。

總而言之，上述5種方法都是可以達到部分防堵內(nèi)部員工穿透防火墻的效果，但任一種方法都沒辦法達到百分之百的阻絕。正如先前談到的，如果企業(yè)希望能更嚴密的透過各種管制手段限制員工不要使用類似自由門、無界等代理軟件，由內(nèi)穿透企業(yè)防火墻，形成資安風(fēng)險的話，最有效的方法就必須多管齊下，以多種不同的方法并用，才會達到最佳的效果。

多管齊下，完全防堵防火墻被穿透

前面說到了很多不同的方法，可以用來確保企業(yè)的連網(wǎng)政策，不被使用者以代理軟件的方式繞過，達到管制的效果。但實際在企業(yè)中來看，這些方法勢必要搭配使用，才能發(fā)揮最好的效果。接下來我們就可以看看幾家企業(yè)實際使用的方式，了解在實際環(huán)境中，企業(yè)該怎么應(yīng)用這些方法確保內(nèi)部使用者無法透過軟件的方式規(guī)避連網(wǎng)政策。

第一銀行以Websense與AD等多種方法搭配管控

由于數(shù)據(jù)重要性特別高，許多金融業(yè)和高科技制造業(yè)對于這一方面的管控都不遺余力，第一銀行當(dāng)然也不例外。該公司為了讓員工都能遵循資安政策的管理，在3年前開始收回每臺電腦的管理權(quán)限，以AD（Active Directory）的群組規(guī)則設(shè)定限制使用者權(quán)限不能在終端計算機上安裝軟件。

此外，在網(wǎng)關(guān)器端，也有使用Websense的EIM設(shè)備，并且將IDS、IPS等控管的設(shè)備委外由數(shù)聯(lián)資安管理，內(nèi)部也有專屬人員透過防火墻的Log監(jiān)控軟件，檢查是否有聯(lián)機異常的流量。

第一銀行系統(tǒng)管理部副理林慶麟表示，在這么多做法中，將AD的管理者權(quán)限收回，并且讓使用者的終端計算機不能隨意安裝軟件的做法，對他們來說是最有效果的方式。林慶麟說：“3年前導(dǎo)入這樣的措施時，反彈的聲浪不小，但是現(xiàn)在讓我們在管理上更有效果，未來要再推更強勢的政策，可以預(yù)期的反彈的聲浪也會比較小?！?/P>

林慶麟表示，AD的群組規(guī)則設(shè)定，再加上Websense對不同網(wǎng)頁連結(jié)的控管，讓他們公司內(nèi)部員工使用特定軟件穿越防火墻的問題大幅減少。至于部分權(quán)限較高的使用者，即便安裝了類似自由門、無界等代理軟件，每天安管部門的2名員工，都會定時透過收集防火墻Log的軟件，去找出聯(lián)機數(shù)量特別高的異常聯(lián)機；委外給數(shù)聯(lián)資安的部分，也是24小時不停機的監(jiān)控，所以即便發(fā)生異常的狀況，也會立刻被發(fā)現(xiàn)。

不過林慶麟指出，AD的群組規(guī)則設(shè)定雖然讓第一銀行減少了很多使用者穿破防火墻的風(fēng)險，但是在規(guī)定和維護上仍有些麻煩?！艾F(xiàn)在我們正在調(diào)查更好的方案，類似Program Control這種產(chǎn)品，讓我們能夠在終端計算機以更方便的方式控管?！绷謶c麟說。

不光是技術(shù)面上的控管，第一銀行在政策面上也有相關(guān)的規(guī)范。林慶麟以3年前收回AD權(quán)限時為例，當(dāng)時他們設(shè)計了很多教材、電子報，并且到各個據(jù)點巡回，進行教育訓(xùn)練，然后才開始推行。除此之外，如果發(fā)現(xiàn)內(nèi)部員工有異常的聯(lián)機數(shù)，或是使用不合規(guī)范的軟件，如代理軟件、實時通訊軟件等，公司也有一套完整的規(guī)范，信息人員會先以電話告知，然后再有發(fā)現(xiàn)的話，會發(fā)正式的公文前去要求改善。

不過林慶麟說，即便有了這么多的配套措施，讓大多數(shù)的人都被限制在公司的規(guī)范中，偶爾還是會有道高一尺、魔高一丈的狀況出現(xiàn)，要完全阻擋住這樣的狀況，并不是太容易，但是至少在多種方法并用的管理下，這樣的事件已經(jīng)大幅減少?！皩τ谖覀儊碚f，現(xiàn)在這種問題并沒有很嚴重?！绷謶c麟說。

終端計算機下手，還是最有效的管理方式

從第一銀行的經(jīng)驗中可以看出，從終端計算機下手，直接根絕軟件安裝的可能性，還是最有效的管理方式。而多數(shù)公司都有的AD架構(gòu)，在這方面可以發(fā)揮很大的功用。

網(wǎng)駭科技資安顧問曾信田表示，就他實際處理的經(jīng)驗來說，在內(nèi)部使用者試圖規(guī)避公司網(wǎng)絡(luò)管控機制時，AD控管權(quán)限的方式，往往是企業(yè)最不用花錢也最能立即見效的手段。他以實際處理過的企業(yè)經(jīng)驗為例，該企業(yè)在以AD控管安裝軟件的權(quán)限后，使用者利用代理軟件等方式試圖規(guī)避企業(yè)管理的狀況，就幾乎完全消失了。

從這些例子中可以看出，如果沒有足夠預(yù)算的企業(yè)，要防堵使用者利用代理軟件繞過防火墻，AD的群組控管原則可以說是最有效的方法之一。如果還能夠再搭配網(wǎng)關(guān)器端的設(shè)備，控管還可以更完善。

Juniper（瞻博）先進技術(shù)資深經(jīng)理林佶駿就指出，對于預(yù)算不夠多的企業(yè)，他會建議信息部門人員先以AD的群組原則控管，再搭配防火墻阻文件部分已知的代理服務(wù)器聯(lián)機地址。如果還有稍多的預(yù)算，還可以再搭配IPS，達到更好的效果。因為很多廠商的IPS，都可以辨識出較舊版本的代理軟件聯(lián)機特征，如此一來對于減少使用者透過此類方式繞過防火墻，形成資安風(fēng)險的狀況，也會有一定的幫助。

至于類似Program Control此類針對終端計算機安裝軟件管控更強勢的軟件，搭配網(wǎng)關(guān)器的設(shè)備使用，將能提供比AD控管更好的管理接口。從第一銀行的經(jīng)驗來看，這一點就可以得到驗證。

若預(yù)算較充足，NAC也是解決方案之一

由于NAC本身就需要網(wǎng)絡(luò)交換器與終端軟件的搭配，事實上使用NAC也能有效的杜絕內(nèi)部使用者透過安裝軟件的方式試圖規(guī)避公司的管理。

軍方某個單位，就以NAC的方式做到內(nèi)網(wǎng)的控管，除此之外，還在終端計算機上安裝Program Control類型的軟件，以白名單的方式限制終端計算機能夠安裝的軟件種類，達到控管內(nèi)部使用者上網(wǎng)行為的效果。而在網(wǎng)關(guān)器端，該單位也以讓防火墻以白名單的方式控管，讓使用者僅能連結(jié)到特定的幾個網(wǎng)站。

由于軍方特殊的屬性，從其建置的方案可以看出，是屬于非常嚴格的控管，不過對于該單位來說，由于不用擔(dān)心使用者的反彈，此類堅壁清野式的管控方式，可以說是最有效果的。但對一般企業(yè)來說，要做到這樣的程度，實屬不易之事。

整體來看，要阻絕使用者穿透防火墻的問題，網(wǎng)關(guān)器端和終端計算機兩處一起著手，會是最好的方法。信息安全這種議題，沒有人可以打包票能夠建置一個完全不會有風(fēng)險的環(huán)境，但是透過前述多種方法的共同搭配使用，還是能夠有效的將風(fēng)險降到最低，減少使用者透過類似代理軟件等方法，穿透防火墻，而將惡意程序帶進內(nèi)網(wǎng)，或是外泄重要機密的可能性。

而從第一銀行和軍方的經(jīng)驗來看，在這些并用的方法之中，對終端計算機的管制是十分重要的一環(huán)，從使用者安裝軟件的權(quán)限著手，能夠帶來一定的效果，然后再輔以網(wǎng)關(guān)器端的幾種設(shè)備監(jiān)測，以及允許聯(lián)機地址的設(shè)定，達到降低使用者穿透防火墻管制的風(fēng)險。無論如何，企業(yè)在著手進行此類控管時，最重要的還是要有政策的配套，如此一來才能將使用者的反彈降至最低。（IT168）