多管齐下，完全防堵防火墙被穿透

　　前面说到了很多不同的方法，可以用来确保企业的连网政策，不被使用者以代理软件的方式绕过，达到管制的效果。但实际在企业中来看，这些方法势必要搭配使用，才能发挥最好的效果。接下来我们就可以看看几家企业实际使用的方式，了解在实际环境中，企业该怎么应用这些方法确保内部使用者无法透过软件的方式规避连网政策。

　　第一银行以Websense与AD等多种方法搭配管控

　　由于数据重要性特别高，许多金融业和高科技制造业对于这一方面的管控都不遗余力，第一银行当然也不例外。该公司为了让员工都能遵循资安政策的管理，在3年前开始收回每台电脑的管理权限，以AD(Active Directory)的群组规则设定限制使用者权限不能在终端计算机上安装软件。

　　此外，在网关器端，也有使用Websense的EIM设备，并且将IDS、IPS等控管的设备委外由数联资安管理，内部也有专属人员透过防火墙的Log监控软件，检查是否有联机异常的流量。

　　第一银行系统管理部副理林庆麟表示，在这么多做法中，将AD的管理者权限收回，并且让使用者的终端计算机不能随意安装软件的做法，对他们来说是最有效果的方式。林庆麟说：“3年前导入这样的措施时，反弹的声浪不小，但是现在让我们在管理上更有效果，未来要再推更强势的政策，可以预期的反弹的声浪也会比较小。”

　　林庆麟表示，AD的群组规则设定，再加上Websense对不同网页连结的控管，让他们公司内部员工使用特定软件穿越防火墙的问题大幅减少。至于部分权限较高的使用者，即便安装了类似自由门、无界等代理软件，每天安管部门的2名员工，都会定时透过收集防火墙Log的软件，去找出联机数量特别高的异常联机;委外给数联资安的部分，也是24小时不停机的监控，所以即便发生异常的状况，也会立刻被发现。

　　不过林庆麟指出，AD的群组规则设定虽然让第一银行减少了很多使用者穿破防火墙的风险，但是在规定和维护上仍有些麻烦。“现在我们正在调查更好的方案，类似Program Control这种产品，让我们能够在终端计算机以更方便的方式控管。”林庆麟说。

　　不光是技术面上的控管，第一银行在政策面上也有相关的规范。林庆麟以3年前收回AD权限时为例，当时他们设计了很多教材、电子报，并且到各个据点巡回，进行教育训练，然后才开始推行。除此之外，如果发现内部员工有异常的联机数，或是使用不合规范的软件，如代理软件、实时通讯软件等，公司也有一套完整的规范，信息人员会先以电话告知，然后再有发现的话，会发正式的公文前去要求改善。

　　不过林庆麟说，即便有了这么多的配套措施，让大多数的人都被限制在公司的规范中，偶尔还是会有道高一尺、魔高一丈的状况出现，要完全阻挡住这样的状况，并不是太容易，但是至少在多种方法并用的管理下，这样的事件已经大幅减少。“对于我们来说，现在这种问题并没有很严重。”林庆麟说。