防止企业数据外泄的五k种方法.doc

防止企业数据外泄的五种方法 很多企业都会利用防火墙限制员工可联机的网站，但其实现在已经有很多可以自动和代理服务器联机的软件，只要安装就能轻易穿透企业防火墙的控管，使得防火墙等于形同虚设。这除了造成企业数据外泄的风险，实际上许多代理服务器本身就是恶意程序的来源【详细请参见《泛“自由门”代理软件，如何成企业泄密通道》】。企业必须建立起一套管理的制度，要管到多严？目的是为了什么？这些都是必须在搭配各种配套的工具时，事先想好的重点。 在有了这样前提的体认之后，我们就介绍怎么利用上述不同的工具，达到防堵此类代理软件的效果。 ? 方法1： 网络存取控制（NAC）???? 目前有许多厂商都已推出NAC（Network Access Control）机制，事实上，NAC并不能算是单一的产品，而是企业内整体网络架构协防的机制，透过不同的软件与交换器等硬设备的互相沟通，NAC机制能让企业掌握终端计算机（End Point）连上网络的权限，且为了确保终端计算机的健康，多数NAC方案都能检查诸如防毒软件更新、操作系统更新等终端计算机的健康状态。 ??? 多数的NAC方案都能支持终端计算机健康状态检测的功能，并且能够依照企业的规范，以一台完全符合规定的计算机做为模范，强制要求企业内其它的计算机符合其规定的需求，否则将无法与内网连结。而此一功能就能够防止企业内部的使用者，安装类似自由门、无界等代理软件，进而以不明的代理服务器为跳板，达到绕过防火墙规范的目的。 ??? 此外，由于NAC方案一般来说都有能力辨识使用者的身分，且能够依据终端计算机的健康状况与使用者的身分，依照事先设定好的政策，决定该台终端计算机能否连上企业内网，并且能自动判断使用者的权限，能够有效的替企业内不同使用者设立不同的政策，达到分类管理的效果。???? Juniper（瞻博）先进科技资深技术经理林佶骏认为，如果要更有效果，NAC机制可以进一步整合符合802.1x规范的交换器，终端计算机的NAC终端软件（Agent），一侦测到有异，或是为了规避检查而没有安装NAC终端软件，使用者将会直接从交换器端被阻断联机，这代表要在企业内部使用网络，就必定要安装NAC终端软件，并且符合健康的模板。这样一来，使用者如果想透过代理软件打穿企业的防火墙，将会立刻被阻断网络联机。微软全球技术支持中心项目经理林宏嘉也有类似看法，他认为采用微软的NAC机制NAP，在这类问题上，能有一定效果。 ??? 虽然NAC是一个解决使用者利用软件由内部打穿防火墙的方法，但是NAC机制需要牵扯的网络架构与终端软件数量庞大，实际在企业的网络环境上部署时，会有太多不同的困难必须克服。原有环境的包袱，往往会让企业实际在导入NAC时，难以完全贯彻。举例来说，上述的防范方法，企业的信息人员首先要面对的难题就是怎么在数量庞大的终端计算机上安装NAC的终端软件，如果选择不安装终端软件的方案，可能又无法达到前述的检查效果。此外，如果想要做到更好，企业内部网络的交换器是不是全都支持802.1x，也会成为一个问题，因为这将会牵涉内部网络硬件的大规模变更。 方法2： 利用网关器设备过滤 ??? 从网关器下手，也是避免员工利用软件规避由内穿透企业防火墙的方法之一，但是此类方法由于并没有直接控管到企业内部使用者的终端计算机，控管上还是无法非常有效，仅能减轻一定程度的风险。 但是相对来说，使用网关器的设备过滤的方法，对于企业使用者的影响最小，成本也较低。? ??? IPS就是此类设备的选择之一，其实部分IPS已有防范代理软件的能力，但因为代理软件种类众多，版本更新迅速，IPS的特征判断往往只能针对旧版本的代理软件有效果，使用者要是使用更新版本，IPS通常就无法发现，进而阻断。 ??? 还有一类网关器设备是员工上网行为管理设备（Employee Internet Management，EIM），此类设备也能减轻一定程度的风险，也是比较多人目前有在使用的做法。达友科技信息安全顾问林皇兴表示，目前台湾约半数的金融业都装有Websense的EIM设备。以下就将以较多人使用的Websense为例，剖析此类产品防堵员工由内穿透防火墙的能力。 ??? 林皇兴指出，目前Websense的产品能够侦测出包括Hopster、GhostSurf、Tor、Google Web Accelerator、RealTunnel、JAP、Toonel、Your Freedom、SocksOnline、通通通等10种不同的代理软件，防止企业内部员工透过此类代理软件连结到代理服务器，然后以之为跳板，规避企业的管理规范。 ??? 其侦测的做法是透过封包特征，当使用者使用上述的软件时，Websense的产品能够透过分析交换器或网关器设备镜射（Mirror）的流量，判断出封包的特征