方法5：使用Program Control功能的软件

    从终端下手的另一种方法，还可以选择一些能够针对终端计算机做控管的软件，暂且将此类软件称为Program Control软件，赛门铁克（Symantec）、Check Point等厂商，目前都有类似的软件。 

    此类软件能够针对终端计算机做控管，并且无法移除，能以白名单的方式限制终端使用者可以安装的软件。以Check Point的产品为例，一旦透过软件的中央控管平台设定了白名单，所有的使用者均只能安装白名单上的软件。Check Point台湾区技术顾问陈建宏表示，除了这一功能之外，该软件也能提供企业内部所有终端计算机安装软件的清单与记录，什么人在什么时候安装了哪一种软件，都会透过报表的方式呈现出来，供企业的信息人员查询之用。即便使用透过加壳等伪装的方式安装软件，透过分析报表，企业的信息人员也能够查觉出异状。

    陈建宏更以实际替客户导入的经验为例，某间使用此软件的企业，在清单出现之后，发现有5种不同版本名字的IE，但在清单上却总共列出6个IE的版本，其中一个版本重复出现两次。后来根据清单的数据追查后，才发现某台电脑中了木马程序，而该程序将自己伪装成IE。陈建宏说：“类似这样的功能，能够有效的控管企业内部各台终端计算机的应用程序状况，即便使用者透过各种方式伪装代理软件，信息人员也能发现异状。”

    即便防火墙真的被使用者以软件的方式穿透，规避管制，部分Program Control软件还有加密功能，能够针对终端计算机硬盘内的数据进行加密。这某种程度上也降低了数据外泄的风险。据了解，目前某间手机相关的高科技制造厂商，正在考虑导入Program Control的软件至其研发单位之中。

    不过使用此类软件也不是就能高枕无忧，虽然能够看到清单，并且以白名单的方式去控管使用者安装什么样的软件，但是如果企业内部的信息人员，无法或根本没有去检视清单的内容，当使用者以伪装的方式安装了可以突破公司管制的代理软件，透过代理服务器做为跳板对外联机，还是很有可能不会被发现。

    总而言之，上述5种方法都是可以达到部分防堵内部员工穿透防火墙的效果，但任一种方法都没办法达到百分之百的阻绝。正如先前谈到的，如果企业希望能更严密的透过各种管制手段限制员工不要使用类似自由门、无界等代理软件，由内穿透企业防火墙，形成资安风险的话，最有效的方法就必须多管齐下，以多种不同的方法并用，才会达到非常好的的效果。