安全管理：需要提防企业内部五大安全威胁

　　多年来，许多首席安全官因担心形形色色的病毒、特洛伊木马和蠕虫而寝食难安。而如今促使IT员工加强安全工作的却是内部员工。据弗雷斯特研究公司声称，绝大部分安全事件与内部员工有关，有些人估计这个比例高达85%。

　　员工无意犯下的错误、笔记本电脑被偷、承包商未经授权访问信息、满腹牢骚的员工、密码管理不当……所有这些因素意味着收入大幅减少、承担法律责任、工作效率降低以及品牌形象受损。

　　下面介绍几种主要的内部安全威胁以及如何避免的方法。

　　一、内部员工中了网络钓鱼的招

　　鱼叉式网络钓鱼(spear phishing)是一种企图利用电子邮件来实施欺诈活动的伎俩，针对某家特定的组织，企图擅自访问机密数据。据弗雷斯特研究公司的高级分析师Paul Stamp声称，虽然这种攻击谈不上是一种新出现的现象，但变得越来越狡猾。

　　Stamp说：“过去，网络钓鱼攻击往往来自某个被废黜的尼日利亚国王的请求。如今，网络钓鱼攻击几乎到了以假乱真的水平。”

　　造成后果：蒙在鼓里的员工向不怀好意的入侵者泄露了从密码到财务数据的各种机密信息。由于这些内部员工无法识别欺诈性网站和伪造的电子邮件消息，实际上向犯罪分子敞开了公司原先紧闭的大门。

　　难怪鱼叉式网络钓鱼攻击出现了数量激增的势头。赛门铁克探测网络(Symantec Probe Network)在今年上半年共检测到了166248封不同的网络钓鱼邮件，比去年上半年增加了6%。赛门铁克还阻挡了超过15亿封的网络钓鱼邮件，比去年上半年增加了19%。

　　解决办法：对付网络钓鱼的策略包括部署可显示网站实际域名的反网络钓鱼工具条，另外维护知名网络钓鱼网站名单，供员工查询。美国系统管理、网络和安全学会(SANS Institute)的研究主任Alan Paller表示，但是许多公司可能会忘了培训IT人员、开展公司安全意识活动。他建议，而是应当“针对内部员工开展善意的鱼叉式网络钓鱼演习活动…..除此之外，没有其他解决办法。”