方法5：使用Program Control功能的软件

　　从终端下手的另一种方法，还可以选择一些能够针对终端计算机做控管的软件，暂且将此类软件称为Program Control软件，赛门铁克(Symantec)、Check Point等厂商，目前都有类似的软件。

　　此类软件能够针对终端计算机做控管，并且无法移除，能以白名单的方式限制终端使用者可以安装的软件。以Check Point的产品为例，一旦透过软件的中央控管平台设定了白名单，所有的使用者均只能安装白名单上的软件。Check Point台湾区技术顾问陈建宏表示，除了这一功能之外，该软件也能提供企业内部所有终端计算机安装软件的清单与记录，什么人在什么时候安装了哪一种软件，都会透过报表的方式呈现出来，供企业的信息人员查询之用。即便使用透过加壳等伪装的方式安装软件，透过分析报表，企业的信息人员也能够查觉出异状。

　　陈建宏更以实际替客户导入的经验为例，某间使用此软件的企业，在清单出现之后，发现有5种不同版本名字的IE，但在清单上却总共列出6个IE的版本，其中一个版本重复出现两次。后来根据清单的数据追查后，才发现某台电脑中了木马程序，而该程序将自己伪装成IE。陈建宏说：“类似这样的功能，能够有效的控管企业内部各台终端计算机的应用程序状况，即便使用者透过各种方式伪装代理软件，信息人员也能发现异状。”

　　即便防火墙真的被使用者以软件的方式穿透，规避管制，部分Program Control软件还有加密功能，能够针对终端计算机硬盘内的数据进行加密。这某种程度上也降低了数据外泄的风险。据了解，目前某间手机相关的高科技制造厂商，正在考虑导入Program Control的软件至其研发单位之中。

　　不过使用此类软件也不是就能高枕无忧，虽然能够看到清单，并且以白名单的方式去控管使用者安装什么样的软件，但是如果企业内部的信息人员，无法或根本没有去检视清单的内容，当使用者以伪装的方式安装了可以突破公司管制的代理软件，透过代理服务器做为跳板对外联机，还是很有可能不会被发现。

　　总而言之，上述5种方法都是可以达到部分防堵内部员工穿透防火墙的效果，但任一种方法都没办法达到百分之百的阻绝。正如先前谈到的，如果企业希望能更严密的透过各种管制手段限制员工不要使用类似自由门、无界等代理软件，由内穿透企业防火墙，形成资安风险的话，最有效的方法就必须多管齐下，以多种不同的方法并用，才会达到最佳的效果。

　　多管齐下，完全防堵防火墙被穿透

　　前面说到了很多不同的方法，可以用来确保企业的连网政策，不被使用者以代理软件的方式绕过，达到管制的效果。但实际在企业中来看，这些方法势必要搭配使用，才能发挥最好的效果。接下来我们就可以看看几家企业实际使用的方式，了解在实际环境中，企业该怎么应用这些方法确保内部使用者无法透过软件的方式规避连网政策。

　　第一银行以Websense与AD等多种方法搭配管控

　　由于数据重要性特别高，许多金融业和高科技制造业对于这一方面的管控都不遗余力，第一银行当然也不例外。该公司为了让员工都能遵循资安政策的管理，在3年前开始收回每台电脑的管理权限，以AD(Active Directory)的群组规则设定限制使用者权限不能在终端计算机上安装软件。

　　此外，在网关器端，也有使用Websense的EIM设备，并且将IDS、IPS等控管的设备委外由数联资安管理，内部也有专属人员透过防火墙的Log监控软件，检查是否有联机异常的流量。

　　第一银行系统管理部副理林庆麟表示，在这么多做法中，将AD的管理者权限收回，并且让使用者的终端计算机不能随意安装软件的做法，对他们来说是最有效果的方式。林庆麟说：“3年前导入这样的措施时，反弹的声浪不小，但是现在让我们在管理上更有效果，未来要再推更强势的政策，可以预期的反弹的声浪也会比较小。”

　　林庆麟表示，AD的群组规则设定，再加上Websense对不同网页连结的控管，让他们公司内部员工使用特定软件穿越防火墙的问题大幅减少。至于部分权限较高的使用者，即便安装了类似自由门、无界等代理软件，每天安管部门的2名员工，都会定时透过收集防火墙Log的软件，去找出联机数量特别高的异常联机;委外给数联资安的部分，也是24小时不停机的监控，所以即便发生异常的状况，也会立刻被发现。

　　不过林庆麟指出，AD的群组规则设定虽然让第一银行减少了很多使用者穿破防火墙的风险，但是在规定和维护上仍有些麻烦。“现在我们正在调查更好的方案，类似Program Control这种产品，让我们能够在终端计算机以更方便的方式控管。”林庆麟说。

　　不光是技术面上的控管，第一银行在政策面上也有相关的规范。林庆麟以3年前收回AD权限时为例，当时他们设计了很多教材、电子报，并且到各个据点巡回，进行教育训练，然后才开始推行。除此之外，如果发现内部员工有异常的联机数，或是使用不合规范的软件，如代理软件、实时通讯软件等，公司也有一套完整的规范，信息人员会先以电话告知，然后再有发现的话，会发正式的公文前去要求改善。

　　不过林庆麟说，即便有了这么多的配套措施，让大多数的人都被限制在公司的规范中，偶尔还是会有道高一尺、魔高一丈的状况出现，要完全阻挡住这样的状况，并不是太容易，但是至少在多种方法并用的管理下，这样的事件已经大幅减少。“对于我们来说，现在这种问题并没有很严重。”林庆麟说。