问：我们正在部署Web过滤和访问控制。作为该项目的一部分，我认为应当在我们的网络（ISA 2006）上添加一个代理服务器，这样我们就可以使用活动目录和组策略来管理访问因特网人员的权限。IT主管没有看出这当中的价值所在，而仅仅关注额外的费用。所以问题是：我们应当在访问控制项目中使用代理服务器吗？带来的收益会超出相应的开销吗？如果的确如此，那我们应当如何作出证明呢？

　　答：个人来说，我喜欢使用代理服务中提供的数据泄漏保护。因为大多数的行业分析将告诉你，嵌入式的邮件病毒已转而危害到网站，它们会在雇员的个人机上加载恶意软件或诱使雇员泄漏秘密或ID信息。正因如此，许多组织已限制了对社交网站如Facebook、MySpace或 Twitter的访问，这些社交网站已成为木马和其他恶意软件制作的温床。（然而，经营主管们需要注意到社交网站对公司业务的使用价值，并站在商业角度考虑为雇员开发这些网站的访问权限。）

　　限制对网络的访问会有其他的一些好处，例如阻止公司敏感信息通过未授权的渠道流出（如离开的员工），阻止雇员访问其他未授权的网站和服务，阻止木马和其它早已潜伏在你机构内部的恶意软件向网络罪犯们发送数据，并对关键人员和应用做带宽限制。

　　还有一点要注意，尝试网络保护工具的身份管理保护工具（例如，使用活动目录和组策略）将对组织的管理工作造成更大的压力（不光库模式必须扩展，数据输入和维护也必须正确，这本身就可能构成一个项目）。

　　你的机构对风险的敏感性决定了这些服务的安置及相应的业务理由。一些机构一直相信他们的员工对因特网的使用是具备知识、道德并且仔细的，然而其他组织相信断掉英特网的诱惑对他们大多数人来说是最安全的做法。这样以来，向第一种机构销售保护服务会更困难，而对第二种机构来说则要容易一些。而散布恐惧、不确定和疑惑（FUD）并不是一种好的方式，所以要想将作为附加保护的代理服务的理念推销出去，需要增强你的管理人员对可能发生的信息泄露和未授权信息披露的敏感度。当然，你要告诉你的管理人员代理服务是做什么的，代理服务在减少身份窃取和欺骗上的商务价值，这么做会是一种好的开始方式。

　　代理服务已成为许多组织的“安全兵工厂”中的工具成员，但你需要在业务需求的范围内，仔细考虑应该用哪种或那些工具来具体维护你所处的环境的安全。