编者按：最坚固的堡垒往往是从内部开始崩溃的。为了使公司的电脑系统免受黑客以及病毒的侵袭，很多企业往往是一掷千金，但是对于自己的雇员以及其他内部人员所制造的IT安全问题，却没有给予足够的重视。其实，企业应该抢在内部用户危害组织的IT安全之前（不管他们是有意为之还是无心之失），未雨绸缪，防患未然。

说起IT安全的问题，"当心陌生人"确实是条久经考验的箴言。但对当今的各家公司而言，它们还要留心另一条重要的忠告：提防内部敌人。

      可能在这里用"敌人"这个词有点太过了，毕竟很少员工会企图破坏自己公司的电脑系统，或者在公司电脑里植入恶性代码或病毒，甚至利用企业接入进行欺诈活动等等。

然而，一些IT基础设施以及安全方面的专家认为，很多看似无害的行为，例如直接打开电子邮件附件，或者在工作时浏览一些网站的娱乐休闲页面，都会给公司的IT系统制造诸多重大安全隐患，并削弱网络的性能。当公司的客户、分支机构或者供应商纷纷访问公司的电脑系统时，这些潜伏着的危险就会积聚，然后爆发。       这些行为可能带来一系列的问题：在不知不觉中导入病毒或蠕虫，它们可能感染甚至导致系统或站点的瘫痪；在无意中下载令网络性能大受影响的间谍软件；在没有安全保障的邮件中传送敏感的客户数据或涉及知识产权的东西；伪造虚假的供应商，要求公司付款。       大多数企业为了防止黑客以及未授权用户入侵公司电脑系统大搞破坏，都打造了看似强大的周边防御系统，但是上面列举的大部分的"内部行为"却不在其防御对象之列。Core Capital是一家专门给初创的技术型企业提供资金的私人股权投资公司，其总经理勒克（Pascal Luck）说："我们都在给'城堡'修'护城河'方面花费了巨资。"       著名的市场研究机构-国际数据公司（IDC）主管安全产品与基础软件全面调查的副总裁克里斯金森（Christian Christiansen）认为，这样一个内忧外患的环境就如同一个复杂的生态系统，其中潜伏着各种不同的危险，并且各危险制造者之间还存在相当程度的合作与勾结。

      克里斯金森认为，企业所打造的IT安全防线现在已经是千疮百孔，所以原本是为了防范恶意入侵的防火墙程序其实也起不到什么保护作用了。他说，防火墙很难识别出到底哪些人是公司内部用户，哪些是外部用户，因为公司的客户、分支机构以及远程用户一般都拥有与内部员工相同有时甚至更多的权利，这些用户也可以随时随地访问公司的电脑系统。

      安全咨询公司Networks Unlimited的总裁西格尔（Harry Segal）说："访问公司电脑系统的第三方人士的数量非同小可，公司常常视他们为完全可信任用户对待，但是实际上也许他们并不应该享受到如此待遇。"有大量报道称，一半的"被黑"事件都是由处于公司电脑系统内部的人所经手的，并且还未必是企业的员工。

限制上网冲浪

目前，蠕虫与病毒主要还是通过受感染的电子邮件附件传送，所以公司的IT部门总是忙于发布最新的蠕虫预警警报，忙于修复蠕虫造成的破坏，因为它们会感染办公室里的每一台电脑。还有一个次要的、但是呈上升趋势的问题是，员工在工作时间浏览一些网站的娱乐休闲页面，并且下载文件。这并非偶然的行为，根据哈里斯互动调查（Harris Interactive Study）最近得出的一项调研结果，员工每周在正常的上班时间内，会花8.3个小时去访问一些与工作毫无关系的网站。

      克里斯金森说，很多工作懒散并且郁郁不得志的员工会不断地通过刺探公司电脑系统上的各种破绽，大搞诸如访问非法网站、下载可能携带病毒的可执行文件等"恶作剧"，从而给公司的IT安全制造麻烦。

      西格尔说："网上冲浪行为正在导致各种各样的问题，特别是当员工在不知情的情况下下载了间谍软件时。有些人虽然访问的是合法站点，但是他们的电脑却因此而被装置了cookies（由你浏览的网站服务器发送出来的一条条的辨识信息，它们会存储在你的电脑里，这样你在下次登录时就无需再输入这些信息了）。"他提到有很多个热门网站，例如屏保下载网站Webshots、互联网营销公司Gator等都已成为间谍软件非常青睐的输送渠道。

      西格尔指出："我们调查了二十家不同的公司，它们都没有使用员工上网管理系统来阻止或规范员工的网上冲浪行为。在我们关注的某家公司，有一个月其员工一共登录了三百个赌博以及色情网站，导致公司的每台电脑都被自动安装了间谍软件。"

       间谍软件会把用户的cookies信息发送给广告商，后者会根据这些信息展开相应的推销行动。虽然这看起来好像没有什么太大的害处，但是西格尔说，这家公司10%的网络流量都是间谍软件向第三方传送的网络数据，这极大地损害了公司网络的效率。另外他还补充，在其中两家规模为400人至1,000人的公司，每年由于员工在上班时间上网冲浪而导致的问题估计要耗费公司150万至180万美元。

      当然，公司里偶尔也会潜伏一些为一己私利而破坏企业IT安全的坏分子。西格尔说，最近他在和一家客户公司合作时，发现该公司的一台个人电脑安装了黑客工具，该电脑的用户利用它来扫描一些易攻击的电脑，获取存储在其中的机密资料。

应用安全工具

人们通常都认为，一个坚不可摧的安全系统必然拥有很多能够发挥关键作用的工具。例如，有一种常用的工具便能够屏蔽掉一些指定的赌博或色情网站，或者在员工欲登录一些购物性或娱乐性的网站时，提醒他这是一个与公司业务毫无关系的网站，从而不动声色地阻止员工的访问或登录。西格尔说，诸如这类的屏蔽工具有相当不错的实用效果，常常是每机必装的，并且其使用许可费也相当合理，一个员工一年大概只需要10美元至20美元。

      公司用于内部IT安全管理的另一种常见工具是电子邮件内容管制软件。该软件通过搜索关键词，监控员工是否有违反公司规定政策的举动。因为公司特别担心员工会把一些涉及知识产权的信息或者敏感的客户资料通过电子邮件泄露出去。

      时常出门在外的员工喜欢使用诸如个人数字助理（PDA）、智能手机以及其他手提移动设备从网络上下载数据。随着这些移动设备的逐渐普及，它们对公司IT安全造成的危害也在日益增长。

      为移动技术提供安全解决方案的Trust Digital公司的CEO马利亚托（Nick Magliato）说："一个经过鉴定被认可的用户可以通过个人电脑下载任何文件，他就是把整个CRM系统都下载到他的PDA 里也没问题。一些较大的公司已经意识到这是一个安全漏洞。"此外，PDA也可能感染病毒，并将之传播到公司电脑系统上。

      马利亚托还补充，Trust Digital推出了一个基于公司政策的安全管理系统，它可以监控移动设备与公司电脑系统之间的互动，并且给负责IT安全的管理者提供高达100个参数，帮助他们决定在什么情况下应允许或是拒绝外界对公司数据的访问。

Core Capital的勒克说："我们现在对于无线上网技术、无线同步技术以及移动设备的管理非常松散，这给IT部门的人员带来了很多他们没有预料到的问题。"例如，有一名员工将自己的PDA设置为与公司以及家里的电脑同时同步的状态，假如他没有及时升级家里的病毒防护软件，便会在不经意间传播家中电脑上的病毒，然后公司的电脑系统就这样被拿下了。

明确操作权限

目前已经出现了少数几家软件供应商，他们的产品旨在帮助大型企业监控公司电脑用户的行为是否在其权限范围内，从而确保他们是在有授权的情况下执行某些操作。

      Approva就是其中的一家软件供应商，它的产品-BizRights应用软件主要是销售给大公司。

      公司首席营销官赛文（Neil Selvin）说："我们的目的是确保公司能够有效地为组织里的每个员工分配合适的工作任务。很多人都把注意力放在谁有权进行哪一种操作、而实际上又是谁在执行这些操作上，而我们希望确保公司的员工无法凭空捏造出一个等待公司付账的供应商来。"

      BizRights软件适用于公司各个不同的层级，并且还可用于做模拟情景分析，例如，假如公司授予一个较低层级的经理更多的权力时，会出现什么样的结果。它还能就员工执行的各种不同的操作汇编出报告，从而帮助经理人决定这些下属所拥有的权限是否恰当、是否需要做出调整。

      Intrusic公司令企业对IT内部安全的看法产生了另一个转变。该公司生产了一种名为Zephon的软件工具，它可以追踪网络组件应对恶性入侵的方式，并分析出哪些系统已被病毒感染。

      Intrusic公司总裁宾厄姆（Jonathan Bingham）说："我们所推崇的信念之一就是：不要信任你的电脑系统用户。访问控制是企业经常使用的控制方法，但是根据对诸多大公司以及政府组织的相关调查，我们得出了如下结论：不能信任你的电脑系统用户。"

      他指出，很多恶意攻击都是由一些看起来似乎是授权用户的黑客所发起的。因为在此之前，这些入侵者已经通过扫描和锁定虚拟内部网（VPNs，公司为满足漫游的授权员工的工作需要而设立的专用网络）上的用户而获得了合法的访问权限。

      Zephon会分析公司电脑系统上接收以及发送出去的所有资料，并自动报告可能产生的危害。宾厄姆说："Zephon在信息拦截方式、隐蔽数据信道以及所谓的'反向通道'（通过它，外界便可以穿过防火墙获取电脑系统上的信息）中所发现的问题，也就是公司在网络安全上所存在的黑洞。首席信息官对这方面的问题是浑然不知的。"

贯彻规章制度

要约束员工在公司电脑系统上的行为，企业必须制定一套明确的规章制度，至于屏蔽以及监控工具，则不管其效力有多高，都应将之视为这些规章制度的补充。业内专家称，规章制度才是公司网络安全策略中最重要的部分。

      西格尔说："有一项规则就是只开放员工在执行某项操作时所必需的权限。如果某人需要的只是一个应用程序，例如在线订单输入，你就可以把他的权限锁定为仅能进行此项操作。这是个常识性的问题，但是有很多公司都没有采纳。"他曾碰到了这样一种情况，某公司安装了一种阻止员工登录某些网站的屏蔽工具，但是员工发现他们可以通过登录客户的网站而绕开这一工具的限制。

      内容监控软件供应商Vericept称，虽然很多公司都加大了对接受使用规则（AUPs）的应用，但却很少认真地去推行它。AUPs应该得到定期的更新，从而保证一些最新的沟通工具，例如网络电邮、网上聊天室、即时信息、电子公告栏以及点对点（P2P）文件共享等都被考虑进去了。

      先发制人型的策略对于企业维护内部的IT安全至关重要。你需要的只不过是一些技术的组合，并且不必太过复杂，然后定期更新它们就行了。

      有一家公司便通过强制要求自己的员工将浏览器的版本由微软的 Internet Explorer换成另外一种"较低调"的版本，从而降低了公司电脑系统受到恶意攻击的机率，这便是一种非常简单的做法。因为目前非常普及的IE已经成为了大多数病毒传播者锁定的头号目标，所以，放弃使用它能够帮助公司消除一个很大的未知数。