防止企业数据外泄的五种方法
多数的NAC方案都能支持终端计算机健康状态检测的功能,并且能够依照企业的规范,以一台完全符合规定的计算机做为模范,强制要求企业内其它的计算机符合其规定的需求,否则将无法与内网连结。而此一功能就能够防止企业内部的使用者,安装类似自由门、无界等代理软件,进而以不明的代理服务器为跳板,达到绕过防火墙规范的目的。
此外,由于NAC方案一般来说都有能力辨识使用者的身分,且能够依据终端计算机的健康状况与使用者的身分,依照事先设定好的政策,决定该台终端计算机能否连上企业内网,并且能自动判断使用者的权限,能够有效的替企业内不同使用者设立不同的政策,达到分类管理的效果。
Juniper(瞻博)先进科技资深技术经理林佶骏认为,如果要更有效果,NAC机制可以进一步整合符合802.1x规范的交换器,终端计算机的NAC终端软件(Agent),一侦测到有异,或是为了规避检查而没有安装NAC终端软件,使用者将会直接从交换器端被阻断联机,这代表要在企业内部使用网络,就必定要安装NAC终端软件,并且符合健康的模板。这样一来,使用者如果想透过代理软件打穿企业的防火墙,将会立刻被阻断网络联机。微软全球技术支持中心项目经理林宏嘉也有类似看法,他认为采用微软的NAC机制NAP,在这类问题上,能有一定效果。
虽然NAC是一个解决使用者利用软件由内部打穿防火墙的方法,但是NAC机制需要牵扯的网络架构与终端软件数量庞大,实际在企业的网络环境上部署时,会有太多不同的困难必须克服。原有环境的包袱,往往会让企业实际在导入NAC时,难以完全贯彻。举例来说,上述的防范方法,企业的信息人员首先要面对的难题就是怎么在数量庞大的终端计算机上安装NAC的终端软件,如果选择不安装终端软件的方案,可能又无法达到前述的检查效果。此外,如果想要做到更好,企业内部网络的交换器是不是全都支持802.1x,也会成为一个问题,因为这将会牵涉内部网络硬件的大规模变更。