E安全4月16日文 长期以来，内部威胁事件频占头条。如今企业和组织机构面临的最大网络挑战之一就是内部威胁。

对企业和组织机构来说面临两难局面，一方面要让员工访问有价值的信息和系统，以开展业务；另一方面，如果出现“内鬼”，组织机构就可能遭遇潜在攻击。准许员工访问有价值的信息和系统就意味着员工与雇主，或客户与厂商之间建立了固有的信任关系。一旦双方之间建立了成文或不成文的合同关系，员工或客户不得将这些信息或系统用作他途。这就表示，即明确指出或暗示雇主或承包商不得故意或因过失泄露可能提高损失风险的关键资产。

那么问题就来了，对于员工与雇主，客户与厂商，哪些问题值得考虑？

• 当涉及保护信息和系统时，他们是否了解自己的职责？

• 是否履行职责需要遵守哪些规则？

• 履行这些职责时，雇主是否为他们提供相关工具？

• 他们是否在受保护的环境中工作，例如办公室，或开放环境（例如咖啡馆）？

• 为内部人员提供访问权限存在哪些固有风险？

• 员工是否对公司忠心耿耿？

• 是否具备危害公司的个人特征？

此外，还应考虑操作挑战，例如，管理人员权限划分，确保每个人只具备工作必需的访问权限（遵循最小权限原则），并受监控。

还需要解决的问题是：如何发现内部威胁，并在造成损害之前加以阻止？

在过去，内部威胁通常集中在恶意内部人员身上，员工有意泄愤或牟利。随着内部威胁演变，已经发展成基于登录凭证的威胁（有意或无意）。内部威胁也存在差异，更重要的是，来源和动机将决定潜在影响程度。

遗憾的是，要将内部威胁最小化需要时间和精力。

E安全小编给出以下方法供参考，或许可以帮助您更简单、高效实现该目的：

1. 制定明确的简明安全策略及方案、程序管理要求、访问机制、明确用户责任和安全事件应急响应程序。

2. 营造浓厚的网络安全文化，各个相关部门尽可能沟通并强调安全的重要性。

3. 周期性的对所有用户进行安全意识教育，提高企业整体网络安全、数据安全保护意识，增强个人安全保护基本技能。

4. 将网络安全理念贯穿到业务流程中。构建应用程序时，人们才会考虑网络安全问题，但往往忽略了员工和承包商如何履行自身的安全职责。将网络安全融入到接触宝贵资产的各方日常业务流程，从而减少非恶意的风险行为。

5. 积极管理访问权限，尤其特权访问。
   用户的访问权限就是内部人员（和恶意攻击者）企图破坏的入口。最小化访问权限，且仅提供给必需的账户。但实现访问控制管理不能一蹴而就，需要根据组织变动和人事变动定期审查及时更新。

6. 识别核心数据和关键业务系统。
   当谈及最具重要的资产时，管理攻击面（一般包括用户访问和漏洞）更为重要。然而在特殊时候，需要重点保护这些极其重要的公司资产之前，组织机构需要了解具体的资产及其所在位置。

7. 执行主动与被动控制，阻止敏感数据从组织内部流失，并监控用户行为是否异常。
   异常检测是识别用户执行异常活动（不一定会引发任何政策预警）的唯一途径。要优先应对最关键的威胁，并在最大程度上减少误报，将行为分析与其它风险因素关联，包括推动威胁成功的相关漏洞、攻击对组织机构带来金融或任务影响，以及资产价值。此外，从程序所有者（管理被攻击资产）处取得资格，协助判断异常活动是否属于正当业务行为。

另外，还应特别注意第三方这类高危险人群。

内部威胁既是无法改变的事实，将来也不会消失。粗心大意的用户（在检测工具中创建了大量“空子”）往往未接受这类安全培训，或缺乏安全开展工作的方式。难以识别并阻止恶意内部人员和被盗用的账户，是因为这些用户经常会在这些“空子”中迷失方向。然而，除了持续使用工具和程序以外，正确的网络安全习惯也会大大降低和缓解内部威胁带来的影响。

在防止内部威胁的同时，机构需要健全和完善的网络安全基础设施建设，我国正在大力开展信息安全等级保护工作，目前大型企业已经具备信息安全保护的实力，而在中小型企业中，这一状况有待加强，更多基础信息安全建设详细信息可以参考《信息安全等级保护管理办法》。

E安全注：本文系E安全独家编译报道，转载请联系授权，并保留出处与链接，不得删减内容。联系方式：① 微信号zhu-geliang ②邮箱eapp@easyaq.com

@E安全，最专业的前沿网络安全媒体和产业服务平台，每日提供优质全球网络安全资讯与深度思考，欢迎关注微信公众号「E安全」（EAQapp），或登E安全门户网站www.easyaq.com , 查看更多精彩内容。