員工無意犯下的錯誤、筆記本電腦被偷、承包商未經(jīng)授權(quán)訪問信息、滿腹牢騷的員工、密碼管理不當(dāng)……所有這些因素意味著收入大幅減少、承擔(dān)法律責(zé)任、工作效率降低以及品牌形象受損。

下面介紹幾種主要的內(nèi)部安全威脅以及如何避免的方法。

一、內(nèi)部員工中了網(wǎng)絡(luò)釣魚的招

魚叉式網(wǎng)絡(luò)釣魚（spear phishing）是一種企圖利用電子郵件來實施欺詐活動的伎倆，針對某家特定的組織，企圖擅自訪問機密數(shù)據(jù)。據(jù)弗雷斯特研究公司的高級分析師Paul Stamp聲稱，雖然這種攻擊談不上是一種新出現(xiàn)的現(xiàn)象，但變得越來越狡猾。

Stamp說：“過去，網(wǎng)絡(luò)釣魚攻擊往往來自某個被廢黜的尼日利亞國王的請求。如今，網(wǎng)絡(luò)釣魚攻擊幾乎到了以假亂真的水平?！?/P>

造成后果：蒙在鼓里的員工向不懷好意的入侵者泄露了從密碼到財務(wù)數(shù)據(jù)的各種機密信息。由于這些內(nèi)部員工無法識別欺詐性網(wǎng)站和偽造的電子郵件消息，實際上向犯罪分子敞開了公司原先緊閉的大門。

難怪魚叉式網(wǎng)絡(luò)釣魚攻擊出現(xiàn)了數(shù)量激增的勢頭。賽門鐵克探測網(wǎng)絡(luò)（Symantec Probe Network）在今年上半年共檢測到了166248封不同的網(wǎng)絡(luò)釣魚郵件，比去年上半年增加了6%。賽門鐵克還阻擋了超過15億封的網(wǎng)絡(luò)釣魚郵件，比去年上半年增加了19%。

解決辦法：對付網(wǎng)絡(luò)釣魚的策略包括部署可顯示網(wǎng)站實際域名的反網(wǎng)絡(luò)釣魚工具條，另外維護(hù)知名網(wǎng)絡(luò)釣魚網(wǎng)站名單，供員工查詢。美國系統(tǒng)管理、網(wǎng)絡(luò)和安全學(xué)會（SANS Institute）的研究主任Alan Paller表示，但是許多公司可能會忘了培訓(xùn)IT人員、開展公司安全意識活動。他建議，而是應(yīng)當(dāng)“針對內(nèi)部員工開展善意的魚叉式網(wǎng)絡(luò)釣魚演習(xí)活動….. 除此之外，沒有其他解決辦法。”

二、筆記本電腦不受控制

你不小心把筆記本電腦落在酒店、結(jié)果給清潔工撿到，帶來的不僅僅是麻煩。據(jù)軟件安全公司賽門鐵克聲稱，筆記本電腦或其他數(shù)據(jù)存儲介質(zhì)被偷或丟失占到了與身份失竊有關(guān)的所有數(shù)據(jù)泄密事件的54%。

而這還不是全部。筆記本電腦被偷或丟失會導(dǎo)致公司遭受重大經(jīng)濟損失。計算機安全學(xué)會聯(lián)合聯(lián)邦調(diào)查局開展的計算機犯罪與安全調(diào)查顯示，筆記本電腦被偷和專利信息被偷是導(dǎo)致調(diào)查對象遭受經(jīng)濟損失的第三大和第四大根源。不過，多達(dá)47%的調(diào)查對象在去年遇到了筆記本電腦/移動設(shè)備被偷事件。

筆記本電腦并不是惟一的安全風(fēng)險。iPod播放器、“黑莓”手機和閃存棒等便攜式設(shè)備擁有前所未有的磁盤存儲功能，同時它們也帶來了危險。這些小型工具不但讓用戶可以繞過防火墻之類的邊界防線，還讓員工可以把專利信息帶到公司外面。更糟糕的是，Gartner公司估計，只有大約10%的企業(yè)針對可移動存儲設(shè)備制訂了相關(guān)的安全政策。

解決辦法：公司應(yīng)當(dāng)要求員工使用啟動密碼來保護(hù)筆記本電腦，那樣即使筆記本電腦被偷，至少數(shù)據(jù)對竊賊來說也毫無用處。要養(yǎng)成這種習(xí)慣：及時從所有便攜式設(shè)備清除舊的電子郵件、文本消息、通話記錄以及不需要的文件。

員工充分利用設(shè)備的內(nèi)置加密功能和密碼保護(hù)特性，這始終是個好主意。比方說，金士敦公司的絕密版銳盤（Data Traveler Elite Privacy Edition）這款USB閃存盤就能通過基于硬件的128位AES加密技術(shù)，動態(tài)保護(hù)全部數(shù)據(jù)的安全；如果密碼連續(xù)輸入25次、每次都失敗，就會把潛在用戶拒之門外。

三、不是存心的訪問和滿腹牢騷的前任員工

為一家公司工作有許多好處，其中之一就是你可以訪問從電子郵件系統(tǒng)到人力資源工資系統(tǒng)的多個計算機系統(tǒng)。不過正是這種訪問權(quán)，可能會危及到關(guān)鍵任務(wù)型應(yīng)用軟件的安全性。盡管如今的用戶配置系統(tǒng)很先進(jìn)，但許多IT管理員實在沒有太多時間來主動更新用戶的訪問權(quán)限。

實際上研究表明，可能在員工離開公司4個月之后才會取消前任員工的用戶權(quán)限。在這個時間段內(nèi)，你無法知道滿腹牢騷的員工可能會給公司的關(guān)鍵業(yè)務(wù)系統(tǒng)帶來什么樣的破壞。

解決辦法：現(xiàn)在市面上有許多廠商承諾可以簡化用戶配置過程。比方說，Entrust公司提供的解決方案就能夠自動執(zhí)行安全政策、并且授予用戶配置管理權(quán)限，這有助于保持安全級別，同時管理數(shù)量眾多的用戶。另一個例子是Courion。Courion公司的AccountCourier是一款自動化的用戶配置解決方案，可以立即授予、取消或修改訪問任何操作系統(tǒng)、應(yīng)用程序、門戶網(wǎng)站或其他IT資產(chǎn)的權(quán)限，而不需要人工干預(yù)。

四、未及時打上安全補丁

這是一個讓人遺憾的現(xiàn)實。面對新發(fā)現(xiàn)的安全漏洞，許多安全廠商并非總是能夠迅速提供必要的保護(hù)。實際上，賽門鐵克聲稱，它研究調(diào)查的所有操作系統(tǒng)廠商都存在補丁開發(fā)時間過長的問題。

然而使問題進(jìn)一步復(fù)雜化的是，許多IT管理員實在不堪重負(fù)，無力確保安裝了最新更新程序、打上了最新補丁。結(jié)果就是，眾所周知的病毒屢屢成功闖入如今的一些大企業(yè)。

賽門鐵克安全響應(yīng)中心主管Oliver Friedrichs說：“如果你沒有安裝最新的安全更新程序和最新的反病毒檢測機制，肯定會遭到一些最新威脅的攻擊?！?/P>

解決辦法：補丁管理軟件和服務(wù)大大減輕了如今管理員們肩上的負(fù)擔(dān)。Ecora公司的補丁管理器（Patch Manager）可以自動發(fā)現(xiàn)系統(tǒng)、自動評估補丁，并且自動把補丁安裝到工作站和服務(wù)器上。Novell公司的ZENworks補丁管理產(chǎn)品非常適用于異構(gòu)的IT環(huán)境，能夠向管理員通知每個服務(wù)器、臺式機和筆記本電腦上到底存在哪些補丁和安全漏洞。另外還有AdventNet公司的 SecureCentral PatchQuest，這款自動化補丁管理軟件可用于在Windows、Red Hat和Debian Linux等各系統(tǒng)組成的網(wǎng)絡(luò)上，分發(fā)及管理安全補丁、熱修復(fù)程序（hotfix）和更新程序。

五、對電子郵件不重視

剛發(fā)到你收件箱里面的玩笑性質(zhì)的電子郵件可能一點也不好玩。Stamp警告說：“我們目睹的許多安全威脅往往與電子郵件有關(guān)?！背稣倦娮余]件引起的數(shù)據(jù)泄漏是最讓人擔(dān)心的威脅之一。據(jù)波耐蒙研究所報道，69%的組織聲稱，嚴(yán)重的數(shù)據(jù)泄漏事件是由惡意的員工活動或非惡意的員工失誤引起的。但即便最無辜的郵件也會帶來麻煩。

如惹得某個員工咯咯發(fā)笑的某封電子郵件可能嚴(yán)重冒犯另一個員工，結(jié)果承擔(dān)法律責(zé)任。更不用說電子郵件還能充當(dāng)罪證了。比方說，幾封內(nèi)部電子郵件導(dǎo)致制藥業(yè)巨頭美國家庭產(chǎn)品公司（American Home Products Corporation）被判處35億美元的巨額罰金，原因就是集體訴訟指控該公司生產(chǎn)芬-芬（Fen-Phen）和右芬氟拉明（Redux）這兩種減肥藥。

解決辦法：嚴(yán)格的使用政策可以禁止員工通過不安全的電子郵件發(fā)送敏感信息。電子郵件內(nèi)容掃描技術(shù)也能助一臂之力。比方說，IBM公司的Expresses管理安全服務(wù)就能夠在電子郵件到達(dá)網(wǎng)絡(luò)之前進(jìn)行掃描及監(jiān)控，從而確保電子郵件里面不含任何危害性或破壞性的內(nèi)容。而MessageLabs公司的邊界加密（Boundary Encryption）服務(wù)讓公司可以在自己與合作伙伴之間建立起一個安全、專用的電子郵件網(wǎng)絡(luò)，從而確保加密郵件的端到端傳送。

【編輯推薦】

1. 安全從內(nèi)部做起
2. Cisco最新安全報告：內(nèi)部威脅難防 風(fēng)險評估緊迫