第六种武器：文档安全网关

　　通常，重要文档都存放在服务器上，采用集中管理的方式进行文档管理，那要防止客户端通过内网连接到服务器上下载机密文档，有什么办法可以解决这个问题吗?

　　目前有许多厂商都已推出网络存取控制(NAC—Network Access Control)机制，从网关器下手，避免员工利用软件规避由内穿透企业防火墙的，此种以过滤的方法，都有一个共通的不足之处，那就是必须透过特征来判断连结的流量是否有异，但是偏偏自由门、Tor等代理软件，种类过多，又更新快速，在防堵内部员工使用此类软件穿透防火墙时，总是有未逮之处，例如如果封包内容加密，或是新版本的代理软件出现，都很有可能无法侦测出。 而EIM产品虽然能够控管员工的上网行为，设立政策分类管理，并且有效的阻断联机，但当员工使用代理软件试图穿透其防范时，此类产品也会有特征更新的问题。整体来说，使用此类产品来防范员工穿透防火墙，还是有一定的减轻效果，但无法像从终端着手来得全面。

　　还有用户采用微软的AD群组原则管理。AD的群组原则控管确实能达到很大的功效。将终端计算机的管理权限收回，然后再进而设定相对应的管理政策。透过群组原则可以将终端计算机安装软件的权限关闭，就无法透过代理软件试图穿透防火墙，自然只能遵循企业的政策连网。但是这样的做法对于使用者来说会造成很大的不便，并不是所有的企业都能适用。

　　以上两种方法虽然有其可取之处，但是对于用户来讲，仍然是不安全的。最理想的解决办法，是采用文档安全网关。以亿赛通文档安全网关NetSec 为例，NetSec由硬件和软件两大部分组成，其中硬件采用高性能的网络服务器，软件为亿赛通研发的文档安全网关软件。文档安全网关软件由“网络加速”、 “访问控制”、“访问日志”和“动态加解密”四大模块组成。NetSec对所有上传到服务器的文档自动进行解密，对所有从服务器下载的文档自动进行加密。通过对文档进出服务器进行强制管理，能彻底保护服务器上的文档安全。