捷克論壇 JKF

 找回密碼
 加入會員
搜尋
查看: 1230 | 回覆: 0 | 跳轉到指定樓層
飯糰
公爵 | 2009-5-2 11:15:27

很多企業都會利用防火牆限制員工可連線的網站,但其實現在已經有很多可以自動和代理伺服器連線的軟體,只要安裝就能輕易穿透企業防火牆的控管,使得防火牆等於形同虛設。這除了造成企業資料外洩的風險,實際上許多代理伺服器本身就是惡意程式的來源。




對於資訊人員來說,員工上網行為的管理,一向是令人感到頭痛的問題,員工使用代理軟體不但可能使企業機密外洩,更危險的是中毒問題,若不小心在企業內部植入惡意程式,後果將不堪設想。

使用代理軟體可能成為企業機密外洩管道,亦有中毒風險
乍看之下使用這類代理軟體並沒有什麼不妥,但代理軟體一點都不安全,而且還很有可能成為駭客進行攻擊的工具。對於很多駭客來說,最麻煩的第一步就是怎麼在企業內部植入惡意程式,而這樣的手法,正好協助駭客達成這第一步。

代理軟體種類繁多,防堵需靠多管齊下
要有效管理此類軟體,最好的方法就是從終端電腦著手,透過一些政策的制定,限制終端電腦的權限、讓使用者完全不能安裝軟體,或是透過網路存取控制(Network Access Control,NAC)等方案,都是杜絕代理軟體連線穿透防火牆的最好方法。

不讓防火牆被穿透的5種主要方法

方法1 網路存取控制(NAC)
NAC(Network Access Control)機制是企業內整體網路架構協防的機制,透過不同的軟體與交換器等硬體設備的互相溝通,能讓企業掌握終端電腦(End Point)連上網路的權限,且多數NAC方案都能檢查諸如防毒軟體更新、作業系統更新等終端電腦的健康狀態。

方法2 利用閘道器設備過濾
從閘道器下手,也是避免員工利用軟體規避由內穿透企業防火牆的方法之一,但此類方法由於並沒有直接控管到企業內部使用者的終端電腦,控管上還是無法非常有效,僅能減輕一定程度的風險。

方法3 實體管理政策
實體管理政策是所有防堵方法中最重要的一環,透過實體政策明文控管員工上網,有效防止中毒、機密外洩問題。但若政策制定得過度嚴謹,勢必會影響到使用者使用電腦的習慣。

方法4 以微軟的AD群組原則管理
目前看來,使用AD去直接控管員工安裝的權限,是解決員工使用代理軟體穿透防火牆的問題時,省錢且也有一定效果的對策。

方法5使用Program Control功能的軟體
Program Control功能的軟體能夠針對終端電腦做控管,並且無法移除,能以白名單的方式限制終端使用者可以安裝的軟體,部分Program Control軟體還有加密功能,能夠針對終端電腦硬碟內的資料進行加密,某程度上達到防毒、防洩機密的功效。

多管齊下,完全防堵防火牆被穿透
要確保企業內部針對連網的政策不被規避,勢必要統合多種方法,全面性的規畫,才有可能達到一定的效果。

評分

已有 1 人評分名聲 J幣 收起 理由
doudou10722 + 10 + 10

總評分: 名聲 + 10  J幣 + 10   查看全部評分

回覆 使用道具
您需要登入後才可以回覆 登入 | 加入會員

回頂部 下一篇文章 放大 正常倒序 快速回覆 回到列表