企业的员工通过安装一些未经IT管理部门审查的、控制或管理到的面向互联网的应用，不断地绕过公司的网络控制。其中最流行的应用软件有：即时通讯、基于Web的电子邮件、博客、播客、MP3文件、P2P、VoIP以及PCAnywhere 这样的远程访问程序。

虽然这些应用程序对业务有好处，但同时也造成了技术和商业上的风险。比如，这些软件信息量丰富的特性(chatty nature)很可能导致数据泄露。此外，正如Bank of America的Todd Inskeep所说，“这些软件中的任何一个都有可能传播恶意软件的方法。”

金融巨头美洲银行的副总裁兼高级信息安全架构师Inskeep说，这些应用程序几乎都支持80和443端口上的连接，特别是像即时通讯软件这样的“端口不固定”软件，以及其他一些专有程序如AOL Instant Messenger可以频繁地通网络发送和接收信息。

Inskeep建议，首先教育员工哪些东西允许下载，然后再安装多种软件管理工具,检测和移除桌面上不需要的应用。为了检查这些软件的使用情况，并确定怎样最有效的屏蔽它们，你可以考虑在隔离区（DMZ）里设置Internet连接来分析软件的协议和端口是如何改变的，这样就能避免反病毒或反间谍软件的检测。此外，还可以考虑扩大隔离区，从而同时利用内部和外部的防火墙：一个用于锁定端口，另一个用于分析数据包。

“如何作选择取决于你的业务需求” Inskeep指出。美洲银行在全球范围内拥有175,000名员工，已经开发出了自己的企业即时通讯系统，这样既满足了沟通需要，同时也达到了监控的要求。为了提高生产效率并防止资产信息泄露，美洲银行不鼓励、也不禁止员工用这款软件联系朋友和家人。

想尝试一些新鲜的产品吗？Inskeep建议安装Skype这款软件。这款免费的加密互联网电话软件会在内部一台独立的主机上主动扫描打开的连接。他说：“ Skype可以像穿过瑞士奶酪中的洞一样穿过网络。”。

其他可选的措施包括：

锁定桌面，使用户不具有下载Web应用程序所需的管理员权限。

使用URL过滤，阻止那些可用于获得通讯或文件共享程序的网站。

分析Web应用程序所使用的协议，以确定哪些端口需要关闭。

启用常见的和（或）应用防火墙检测流量。

采取更强的策略，明确规定应该如何使用即时通讯、博客等服务。

对企业网络以外的设备，强制使用远程访问控制，如VPN等。

加强员工安全意识的培训，让他们知道哪些程序是可以用的，以及在什么场合下才可以用。

每个应用程序都需要进行风险分析。Inskeep说：“大多数情况下，这样做的费用还是很低的。你的员工是免费下载软件的 。” 不过，增设安全措施将会导致费用增加。如果不能保护应用可能导致整个公司毁于一旦。

【编辑推荐】

1. 简单三步帮助企业解决Web业务安全防护问题
2. Web准入认证—破除802.1x部署之争
3. 企业级Web安全渗透测试之SSL篇