企業(yè)的員工通過安裝一些未經IT管理部門審查的、控制或管理到的面向互聯(lián)網的應用，不斷地繞過公司的網絡控制。其中最流行的應用軟件有：即時通訊、基于Web的電子郵件、博客、播客、MP3文件、P2P、VoIP以及PCAnywhere 這樣的遠程訪問程序。

雖然這些應用程序對業(yè)務有好處，但同時也造成了技術和商業(yè)上的風險。比如，這些軟件信息量豐富的特性(chatty nature)很可能導致數(shù)據(jù)泄露。此外，正如Bank of America的Todd Inskeep所說，“這些軟件中的任何一個都有可能傳播惡意軟件的方法。”

金融巨頭美洲銀行的副總裁兼高級信息安全架構師Inskeep說，這些應用程序幾乎都支持80和443端口上的連接，特別是像即時通訊軟件這樣的“端口不固定”軟件，以及其他一些專有程序如AOL Instant Messenger可以頻繁地通網絡發(fā)送和接收信息。

Inskeep建議，首先教育員工哪些東西允許下載，然后再安裝多種軟件管理工具,檢測和移除桌面上不需要的應用。為了檢查這些軟件的使用情況，并確定怎樣最有效的屏蔽它們，你可以考慮在隔離區(qū)（DMZ）里設置Internet連接來分析軟件的協(xié)議和端口是如何改變的，這樣就能避免反病毒或反間諜軟件的檢測。此外，還可以考慮擴大隔離區(qū)，從而同時利用內部和外部的防火墻：一個用于鎖定端口，另一個用于分析數(shù)據(jù)包。

“如何作選擇取決于你的業(yè)務需求” Inskeep指出。美洲銀行在全球范圍內擁有175,000名員工，已經開發(fā)出了自己的企業(yè)即時通訊系統(tǒng)，這樣既滿足了溝通需要，同時也達到了監(jiān)控的要求。為了提高生產效率并防止資產信息泄露，美洲銀行不鼓勵、也不禁止員工用這款軟件聯(lián)系朋友和家人。

想嘗試一些新鮮的產品嗎？Inskeep建議安裝Skype這款軟件。這款免費的加密互聯(lián)網電話軟件會在內部一臺獨立的主機上主動掃描打開的連接。他說：“ Skype可以像穿過瑞士奶酪中的洞一樣穿過網絡。”。

其他可選的措施包括：

鎖定桌面，使用戶不具有下載Web應用程序所需的管理員權限。

使用URL過濾，阻止那些可用于獲得通訊或文件共享程序的網站。

分析Web應用程序所使用的協(xié)議，以確定哪些端口需要關閉。

啟用常見的和（或）應用防火墻檢測流量。

采取更強的策略，明確規(guī)定應該如何使用即時通訊、博客等服務。

對企業(yè)網絡以外的設備，強制使用遠程訪問控制，如VPN等。

加強員工安全意識的培訓，讓他們知道哪些程序是可以用的，以及在什么場合下才可以用。

每個應用程序都需要進行風險分析。Inskeep說：“大多數(shù)情況下，這樣做的費用還是很低的。你的員工是免費下載軟件的 。” 不過，增設安全措施將會導致費用增加。如果不能保護應用可能導致整個公司毀于一旦。

【編輯推薦】

1. 簡單三步幫助企業(yè)解決Web業(yè)務安全防護問題
2. Web準入認證—破除802.1x部署之爭
3. 企業(yè)級Web安全滲透測試之SSL篇