越来越多的证据表明，组织网络安全面临的最大威胁来自内部人员。这种威胁可能包括员工、合作伙伴或供应商利用其内部位置和特权，故意或无意地泄露机密信息、滥用系统访问权限，或者进行其他恶意行为。典型的情况如：员工经常因共享密码、使用公共无线网络发送敏感信息或不保护社交媒体帐户的隐私而使组织面临黑客攻击的风险。内部威胁对组织的影响可能非常严重，导致数据泄露、财务损失、声誉受损等后果。

因此，了解内部威胁并采取相应的防范措施是保护组织安全的重要步骤。这些措施可以包括建立强大的身份验证和访问控制机制、监控和审计系统活动、提供适当的培训和教育以提高员工的安全意识、实施安全策略和程序等。简言之，内部威胁是一个需要组织和员工共同解决的问题，从而确保信息和资产的安全。

此外，还有另一种内部威胁，乍一看似乎无害，但是我们每位员工都可能深陷其中，研究人员将其称为“网络游手好闲”。昆明亭长朗然科技有限公司网络安全研究团队的一项新研究表明，使用工作计算机进行个人互联网浏览的做法如果太过分，则可能会对组织造成严重的安全威胁。

大多数组织里，员工们偶尔会查看社交媒体或从工作计算机发送私人邮件。尽管移动计算设备功能很强大，但是在某些情况下，员工们并不敢嚣张地在工作场所长时间刷手机，不管是玩手游、购物、闲逛还是刷短视频。不过，不要被表面所迷惑，事情的真相可能是，员工们在工作电脑上花费大量时间更新自己的网站、观看视频甚至色情内容。据世界网络生产力调查评估，出于私人目的而在工作中上网是工作中第一大干扰因素。这会对生产力产生重大影响，研究表明，每位员工平均每天在网上闲逛时浪费两个小时。

生产力影响总体的产出价值，即使网络安全专家对此无甚兴趣，也不能反对，但是事情绝没有这么简单。深入的调查显示，参与严重网络闲逛的员工越多，他们遵守旨在信息安全政策、规则和协议的可能性就越小，对网络安全的威胁就越大。从心理学和社会行为学方面来讲，“网络游手好闲”的员工们有很多网络成瘾的行为，这一点印证了调查的部分结果——越多网上闲逛的人群对信息安全的了解越少。在这其中，那些网络闲逛较为严重的人群（例如更新个人页面、访问交友网站或下载非法文件），其网络安全意识明显更差。

通常，进行更严重的网络闲逛的人群不太了解如何保持在线安全以及如何保护敏感信息。原因之一可能是他们上网的决心如此之大，以至于不想关注有关在线安全的信息并忽视风险。另一方面，他们盲目相信他们所在的组织机构可以保护自己免受因冒险行为而可能导致的危害后果。在我们的调查中，那些在网络成瘾行为方面得分较高的人也更有可能对安全协议的认识和遵守程度较差。那些严重的网络闲散者和潜在的网络成瘾者是最大的风险。

对此，教育专家称：网络成瘾是一种上网的冲动，有时是为了助长对在线赌博或购物等数字活动的其他成瘾。上网的动力可能与其他任何身体成瘾一样，因此互联网对某些人来说就像毒品。这意味着表现出网络成瘾症状的人可能会更坚定地不惜一切代价上网，并且更有可能尝试绕过安全控管或忽视有关在线安全的建议。他们可能盲目自大，因为他们花了很多时间上网。或者他们可能无法完全理解风险，因为他们太沉迷于网络世界。

对于员工们来讲，网络成瘾是指对互联网使用过程产生过度依赖和不可自拔的心理现象。如何应对网络成瘾呢？首先了解自己的网络使用情况，设定合理的上网时间和目标。其次则是建立健康的生活方式，包括锻炼身体、拓展社交圈子和培养兴趣爱好。当然，更重要的是要学会克制网络使用方面的冲动，不要时刻保持在线状态。

对于组织机构来讲，所有这一切并不意味着应该切断员工们的所有互联网访问。能够上网是某些工作的必要组成部分，尽管过度使用互联网服务和工作信息系统可能会让组织面临风险，但是也不能因噎废食地开倒车。相反，组织应该建立网络使用帮助系统，不要简单认为员工们是成人，只要给其足够的工作任务，就可以压缩网络闲逛的时间，那样做可能会适得其反，令士气下降甚至逼走员工。

信息安全的重要性自不用多言，而达到保障业务安全的目标，并非仅仅IT管理员或专职安全人员的职责，保障业务信息安全和业务持续运作是组织中所有人的职责，要让每位员工了解和切实履行自己的安全职责，需要信息安全管理层和员工之间进行有效的沟通，而且这种沟通还需要持续不断地进行，这可不是一项轻松的工作。

对于员工们来讲，配合组织的网络安全工作，遵守工作中的网络安全纪律，也是职业道德的一部分。要理解网络是工作和生活的一部分，要学会合理运用网络，避免陷入网络成瘾的困扰。对于个人信息和隐私，要保持警觉，保护好自己的网络安全。如果已经沉迷于工作之外的网络使用，则应该逐渐减少使用社交媒体和游戏等应用的时间，转而去尝试其他有意义的事情。

组织可以采取多种措施来帮助减轻过度网络闲逛带来的风险，包括对严重违规行为实施非常严厉的处罚。但是话说回来，通过提供有效的网络使用规则及安全意识培训，使员工能够识别互联网滥用的各个方面并寻求帮助可能是一种更有效的管理工具。简单说，帮助员工们了解哪些网络行为是可接受的、哪些是不可接受的、哪些行为存在严重的风险等等可能会更有益，特别是通过案例和对话来传达这些风险的情况之下。

提醒一下，组织应该避免的简单地发送电子邮件提醒。研究表明，通过电子邮件发送有关信息安全潜在风险的信息效果最差。由于员工闲逛导致不断出现的安全事故、客户的安全顾虑、法律法规遵循的压力，让信息安全专家和管理团队疲于奔命、甚至痛苦难耐。不过这种局面即将过去，因为有了信息安全意识和培训服务将为我们的组织带来源源不断的信息安全文化甘泉，将正确的网络安全理念传导给员工们，网络闲逛和重度滥用等行为等会越来越少。

实际上，大部分的安全管理人员都已经认识到信息安全意识的重要性，只是在落实到具体工作，如设定安全意识培训的目标、进行安全意识教育的规划时往往无从下手，不知道如何完成这项光荣而艰巨的任务；另外，也由于缺乏足够的最佳实践参照标准和方法而不知如何着手开始工作，这让信息安全意识培训落入到一个尴尬的境地。现在，网络闲逛导致生产力损失的问题，各部门的主管经理总监们肯定不会忽视，网络安全团队应借机借力，打击网络闲散行为、强化网络防御体系、关注员工身心健康、提升组织赢利目标，一举多得。

防止内部威胁和网络闲逛导致安全违规的最佳方法是制定一个信息安全意识沟通计划，以便可以有条不紊地执行。昆明亭长朗然科技有限公司创作了大量的网络安全宣教素材资源，其中包括防网络沉迷、应对内部威胁、保护敏感数据等主题，欢迎有兴趣的客户及行业合作伙伴联系我们，预览作品及洽谈合作事宜。

• 电话：0871-67122372
• 手机、微信：18206751343
• 邮件：info＠securemymind.com

计算机安全，随着历史的进程，曾被称过系统安全、开发安全、软件安全、信息安全等等，最近被称为网络安全，是计算机系统的属性。系统构建者关注的主要属性是正确性，他们希望他们的系统表现如预期的情况一样。

如果我正在开发一个银行网站，我所关心的是，当客户从她的一个账户中转出一笔1000块钱的资金时，如果资金余额足够，那么1000块钱就能转出成功。如果我正在开发一个文字处理器，我关心的是，当一个文件被保存并重新加载时，我上次离开时保存的数据能够被成功开启……等等诸如此类。

安全的计算机系统是在较宽范围的环境下防止特定的不良行为。虽然正确性在很大程度上是关于系统应该做什么的，但安全性是关于不应该做什么的。即使有对手居心叵测地试图规避任何可能实施的保护措施。昆明亭长朗然科技有限公司IT安全专员董志军说：通常有三个经典的安全属性需要系统来努力满足。这些是广为人知的属性，这些属性的破坏会导致不良的行为。根据系统的不同，它们将具有这些属性的某些特别实例。

• 第一个属性是保密性。如果攻击者能够操纵系统以窃取个人信息或公司秘密等信息资源，那么他就破坏了机密性。
• 第二个属性是完整性。如果攻击者能够修改或破坏系统所保留的信息，或者能够滥用系统功能，那么他就破坏了系统的完整性。破坏行为包括损毁记录、修改系统日志、安装不受欢迎的程序如间谍软件等。
• 最后一个属性是可用性。如果攻击者侵入一个系统，以便使系统拒绝对合法用户提供服务，被拒绝服务的例子包括线上购物或网络银行访问，那么攻击者就破坏了系统的可用性。

今天，很少有系统是绝对安全的，如同您可能在新闻中看到的的一样，安全漏洞不断涌现。例如，在2011年，美国RSA公司被入侵，我在稍后将详谈。入侵者能够窃取与RSA SecureID设备相关的敏感令牌。然后，这些令牌被用来侵入使用了SecureID的公司。2013年底，美国Adobe公司遭到入侵，被盗的不仅有源代码，还有客户记录。几乎在同一个时期，攻击者入侵了美国零售业者Target的销售终端，部分门店内的客户信用卡和借记卡资料被盗。董志军表示：即使在标榜言论自由媒体自由的美国，典型的安全事故案例也都是尽可能被捂着的，如上这些只是一些影响较大且被媒体披露的例子，其实只是冰山一角。

攻击者是如何侵入这些系统的呢？许多入侵行为首先是利用了相关系统中的漏洞（也称弱点）。一项漏洞就是一项缺陷，入侵者可以利用精心构建的交互来使系统运行的不安全。一般来说，缺陷是系统在设计或实施时就已经产生了，这就使得它在后期无法避免出现问题。换句话说，它的运行就不安全。

缺陷是设计中的欠缺，而错误是实施中的欠缺。一个漏洞是一个影响安全相关行为的缺陷，而不是简单的正确性。让我们说回到RSA在2011年被入侵的案例，这种入侵行为取决于Adobe Flash播放器的执行缺陷。Flash播放器本来应该顺利地拒绝格式错误的输入文件，但是事实上，它的这个缺陷让攻击者成功利用了一个精心构建的输入文件，该文件可以操纵程序来运行攻击者编定的代码。该输入文件可以嵌入到微软Excel电子表格中，以便在电子表格在被打开时自动调用Flash播放器。

在实际的攻击中，入侵者将这样的电子表格发送给目标公司的执行官。由于电子邮件被伪装成来自于同事，所以执行官被误导而开启了该文件。这种伪造电子邮件的方法被称为鱼叉式网络钓鱼攻击，这种攻击方式是很常见的。一但电子表格被打开，攻击者就能够在该执行官的机器上悄悄安装恶意软件，并从那里发起进一步的渗透攻击。这个例子突出了通过正确性和通过安全性两个不同的视角来查看软件时的重要区别。

从正确性的角度来说，Flash漏洞只是一个错误而已，除了非常简单的小程序之外，其它所有的软件不可避免会出现错误。软件公司通常在认可他们的软件有已知错误的情况下出售软件，因为要解决这些错误花费过于昂贵。相反，开发人员主要关心在通常情况下会出现的错误。剩下的错误，比如Flash漏洞，很少会出现，用户们也习惯于自己处理它们。如果做某些事情导致了软件的崩溃，用户们很快就会了解到，这不算什么大不了的事情，重试一下或者换种方式就好了。最终，只有当大量用户的遭遇到同样的错误时，软件公司才会解决这个问题。

另一方面，从安全性的角度来看，仅仅针对常规典型的用例来判断错误的重要性是不够的。开发者必须考虑非常规非典型的滥用情况，因为这正是入侵者所处心积虑的地方。

正常用户可能会跳过软件错误，然后导致软件崩溃，但是入侵者则会尝试让该崩溃情景重现，以便了解其为什么发生，然后操纵交互将该崩溃转化为利用方式。简而言之，为了确保系统达到其安全目标，我们必须努力消除错误和设计缺陷。我们必须仔细思考哪些安全属性是我们要牢牢掌握的，并确保我们在设计和实施时不会出现危害安全的缺陷。我们还必须设计系统，使得任何不可避免的缺陷都难以被入侵者恶意利用。

而软件特别是互联网创新的市场竞争那么激烈，时间就是效率，在争分夺秒增加系统功能的时候，别指望开发者或测试人员能主动解决危害安全的缺陷。昆明亭长朗然科技有限公司董志军表示：入侵者不断发现和利用这些缺陷，或者在找出缺陷之后立即在地下市场当天出售（零天漏洞）。要防范入侵者利用零天漏洞借助用户的失误造成破坏，提升用户安全意识是较为有效的途径。在上述RSA被入侵的案例中，如果执行官有足够的信息安全防范意识，不去开启被黑客伪造的电子表格，直接删除那封钓鱼邮件，则至少可以在Flash漏洞被厂商修复之前，保护住自己。

说到底，对安全管理者来讲，安全是一整套解决方案，立体防御、多重防御无疑是正确的安全战略；开发者的安全意识是软件产品和服务是否稳健与安全的关键；用户的信息安全防范意识，也是整体安全管理体系中的不可或缺的重要一环。

在针对用户的网络信息安全意识方面，昆明亭长朗然科技有限公司创作了几十部安全教程模块、互动小游戏，以及三百来部信息安全动画视频、宣传画和培训系统等等。有多种沟通方式和展示渠道来灵活地使用它们，学员也可以通过电脑、平板和智能手机随时随地参与信息安全学习。如果您有兴趣预览，欢迎您通过如下方式快速联系到我们。

昆明亭长朗然科技有限公司

电话：0871-67122372

手机：18206751343

微信：18206751343

邮箱：[email protected]

QQ：1767022898