最近，在网络安全博主圈子的一篇文章中，有百余位网络安全顾问专家一致表示：内部人员的行为对数据泄露的威胁要胜于由外部人员入侵的威胁。与外部攻击相比，内部数据泄漏的发生频率更高，因此带来更大灾难的可能性也更高。对此，昆明亭长朗然科技有限公司网络安全观察员董志军表示：其实大多数内部安全事件都是非恶意的，也就是由于员工们对网络安全的无知、大意或偶然的意外因素导致安全事件发生。

如何防范呢？俗话说：“预防是最好的方法”。安全负责人的首要任务必须是组织机构免受内部数据失窃所造成的巨大财务和声誉损失恶果。

长远来讲，网络安全管理，尤其是内部人员的管理，需要建立长久的机制，以及网络安全文化。因为组织机构的网络安全性取决于员工将其视为内存必不可少的东西，而不是试图寻找外在解决方法的东西。所有人人都必须为自己或团队其他成员的行为负责。如果他们看到另一名员工要做错事或傻事，就应该采取行动。要达到这种境界，显然不是一天两天就能轻易实现的。

在网络安全认知领域，请对员工意识工作保持激情，尊重并热爱员工们。“员工应该无条件遵守工作单位的安全规范”、“员工应该做好雇主要求的安全”、“员工做不好安全工作就应为此付出代价”等态度将会使员工们心寒，并且消极对待。

雇主花钱买员工们的工作时间，虽然这个普适的道理没错，但是并不能买员工们的灵魂。在网络安全方面，需要赢得员工们的忠诚度，需要尊重员工，这样员工们才有可能尊重事业、工作并在安全事项上与雇主进行合作。

长话短说，通过将数据安全性理念引进并灌输到企业文化中，可以做如下很多事情来防范内部数据被盗或外泄。

• 防止下载导致数据外泄，阻塞所有设备上的USB接口和SD卡插槽，以阻止对内部网络的所有非授权数据访问。有人会觉得这有些严苛会导致数据传输和分享的不便，可能有些对外服务的场景需要使用USB接口，或者有USB接口的扫描、打印等特别岗位要求，这些确实要例外。但是对于大部分的内部岗位，如果这一个简单的物理安全措施就没法实施，那您还是放弃这份工作，离开网络安全圈子吧。
• 设置一个允许同事们匿名报告安全隐患或事件的系统，有人会辩解称不是要网络实名制嘛？这并不冲突也不违规，因为举报信息并不会公开，而做为网络安全负责人的您可以调查任何安全方面的怀疑，并决定是否需要采取进一步的行动。
• 安装用于监视工作场所内所有屏幕的屏幕录像软件，不要担心那些如“侵犯员工隐私权”嚼舌头的惑众谣言，只要不在员工们的私有计算设备中录屏，工作设备属于雇主所有，雇主当然有权监控对它们的使用了。当然，如果没有发生糟糕的情况比如数据失窃需要调查源头等，您也没必要翻看录像。
• 禁止在工作场所使用私人摄像头，手机、平板电脑和笔记本电脑都有摄像头，如果允许员工们在工作场所开启摄像，那数据安全保障就是个无力的笑话。禁止员工们在数据可见或可能被窃听的情况下进行视频或音频通话，视频通话可能会在后台显示机密数据。至少还得禁止非授权的私人摄像头设备进入敏感及涉密的工作区域，或者必须将其托管起来。如果这一点也做不到，那做为在网络安全行业混饭吃的您，还是搞直播业务去吧。
• 阻止可进行在线屏幕录像的网站，上网行为管理软件可以实现一些，当然也还得在政策方面警告员工们，令其不要试图访问被禁网站，更不要自作聪明地搞小动作。
• 如果可能的话，为所有员工，包括中阶经理和行政管理人员，使用瘦客户端工作站，这些工作站没有硬盘，这将使员工们更难将恶意软件下载到内部网络中。当然，最极端的方式是只允许员工们使用浏览器进行工作，这就需要保护好浏览器的安全并且所有的业务应用都基于网页浏览器。
• 禁止将工作带回家，不安全网络上的数据盗窃风险太大，不要提什么远程工作或周末加班什么的，员工离开工作区域之后，时间就是自己的。要获得数据安全，还想让员工们额外无偿或加班劳动，这不道德也不平衡，不如多聘一些轮岗的员工。
• 为所有员工提供工作用电子邮件地址，并阻止使用私人电子邮件，例如网易邮箱、QQ邮箱和Hotmail等等的。保护公司电子邮件服务器的安全非常重要，使用邮件安全软件，系统化的过滤加以人工智能监测，可以消除和减少恶意电子邮件链接以及通过电子邮件外发造成的泄密。

当组织机构明确表明其存在及利益取决于总体数据安全性时，员工们将接受这些安全措施，这样，就可以将任何违规行为视为纪律问题，严重的可能导致解雇和司法惩戒。不过，一旦做了上述所有可以想到的事情，就需要聘请专业人员来评估安全性。比如聘用独立的第三方测评机构，针对行业标准如ISO或等级保护要求等，进行评测。根据评测结果，组织机构可以了解哪些地方需要改进，进而实施整改措施。

您可能会说：如果员工将工作内容默记下来，悄悄带回家并卖给竞争者，那该如何？那是思想出了问题，是窃取知识产权和商业秘密的大事件。网络安全专员能潜入人的大脑中吗？不能吧！能让网络安全意识进入员工们的大脑就已经很不错了，职业道德与守法意识当然也很重要，可是那已经超过了我们探讨的范围了。网络安全从业人员又不是政治辅导员、普法宣传员、幼儿园老师和宗教领袖，不要东扯西扯的行不行？

随着信息技术的进一步发展，特别是互联网深入应用于社会经济生活的各个领域，人们对信息安全的认识得到了进一步的深化和扩展。然而，除了内部数据安全保护之外，与此同时，今天的机关单位和公司企业正遭受来自外国政府、有组织犯罪集团和黑客团体的前所未有的网络入侵攻击，他们试图窃取信息、钱财并破坏信息资产与在线服务，而且，网络上的每家组织都容易受到攻击。对此，昆明亭长朗然科技有限公司网络安全专员董志军表示：对于所有的信息安全负责人员而言，阻止来自网络入侵者的先进而持久的威胁已成为不可逃避的现实。关键是要让职工们了解这些威胁如何对系统进行黑客攻击，以及为防止这些威胁而应该采取的对策、方法和步骤。切记：职工们是抵御网络攻击的重要安全防线！

那就是我们可以为贵单位提供帮助的地方！我们可以为全体职工提供保障网络安全所必需的技能和知识，以了解黑客等网络威胁用什么法子入侵网络和系统。除了安全意识之外，我们也提供的一些专业人士所需掌握的高级技能，以抵挡黑客的非法入侵。欢迎不要客气地联系我们，对此话题进行探讨，或者采购我们的作品及服务。

• 电话：0871-67122372
• 微信、手机：18206751343
• 邮件：info＠securemymind.com
• QQ: 1767022898

不管是从信息技术还是财务审计的角度看，各种资产都需要受到保护，不管是实体的和数字的，以免受到内部和外部的威胁。有趣的是，无论组织尝试保护哪种资产，保护它们的方法都非常相似。因为我们生活在一个物理世界之中，所以所有的东西，甚至连上数据，都将在物理层面以其最基本的形式存在。对此，昆明亭长朗然科技有限公司信息安全培训专员董志军补充说：人力资源记录、工程设计图、客户服务说明、生产方法和制程等等也都存在于物理领域。因此，要保护好组织的关键资产，重要的是要实施必要的安全保护措施，这些措施包括：技术防护措施、物理防护措施和人员防护措施。

安全保护措施的类型

• 技术措施是指旨在为组织网络中包含的数据提供数字保护的硬件或软件措施。如防火墙、黑客入侵侦测、加密算法、防病毒程序等均被视为技术保护措施。
• 物理措施是指设计和实施的屏障和监视设备，它们可以用来可防止对保存组织数据的物理网络设备造成直接的物理伤害。如栅栏、门禁、安全摄像机、备用系统、安全警卫等均被视为物理保护措施。
• 人员措施是指旨在指导组织中所有人员的政策和程序，人员包括从高级管理人员到最终用户的员工。如输入、管理和保护所有关键数据的信息的正确的计算机和网络操作。

技术保护措施

保护网络和数据的手段首先是技术保护措施。让我们看看常见的技术保护措施，包括直接处理数字数据传输的措施，例如数字防火墙、网络入侵检测系统、防病毒程序、网络流量嗅探器、渗透测试、备份媒体、加密措施、电子取证软件以及无线加密等等，这些都是组织可以实施的一些措施。这些都是必要的，不过如果没有相应的物理保护措施和人员保护措施，也是不够的。

一些信息技术专业人员非常擅长确保其网络具有最新的技术保护措施。这些技术人员以很少有病毒成功入侵网络而感到自豪，并且是网络安全方面的专家。这些信息技术专业人员定期安装安全补丁，并不断监视网络，网络上的任何活动都逃不出他们的掌握。

尽管这些信息技术专业人员擅长保护数字数据不受潜在网络犯罪分子的侵害，但有时缺乏实际的物理安全性。缺乏物理和人员安全性的问题不容忽视，甚至有时由信息技术人员完成的数字式堡垒只能起到提供安全性的幻象作用，而实际上网络很容易受到内部威胁的攻击。

物理防护措施

当我们突破仅仅是1和0的存储数据限制之时，很快就会认识到所有数据都是以物理形式存在的。这些1和0都存储在物理硬盘驱动器上，需要对其进行物理保护，以免受外部和内部攻击。组织的敏感记录必须保存在数据库中，该数据库通常位于物理服务器机房中。安全的机房、通风、灭火系统、结实的门锁是正确保护组织服务器的一些基本要求。如果没有适当的物理安全措施来阻止未经授权的人员访问服务器机房，那么服务器硬盘驱动器上包含的数据库就会轻易曝光于大庭广众之下。其它物理设备如计算机、路由器、显示器和网络基础架构的部分也是如此。不管在网络网关处安装的防火墙有多好，如果计算机的磁盘驱动器没有受到物理保护，则未经授权的用户可以轻松地从网关内部将恶意软件直接上传到其他计算机上，其中的所有数据都会受到威胁。

人员保护措施

人员保护措施可以应对组织网络、最终用户和计算机所面临的最大风险。无论是由于能力不足、培训不足、意外的错误还是故意的作恶，最终用户都在他们工作的网络上施加着惊人的力量。通过设计和实施良好的策略，可以减轻、管理、转移最终用户所构成的许多威胁，并且在某些情况下可以完全消除这些威胁。

雇用人员并允许其访问组织的网络始终存在一定程度的风险。接受这种风险是开展业务的一部分，但是，管理人员可以通过要求雇员完成全面的岗前流程来减轻这种风险。此过程应包括几个项目，以提高成功缓解与人员相关的风险的机会。首先，面试应包括一项技能评估测试，以确保新聘员工至少掌握了就业所需的最低技能。此外，如果员工已达到最低技能要求，则可以放心地假设自己将能够学习更多知识，并且按照工作要求进行的进一步培训也不会白费。

除了进行技能测试外，对于可能接触计算机的所有人员，进行背景检查都是一项不错的措施。对于所有将来会处理资金、健康记录或客户信用卡信息的员工，应将背景调查视为绝对必要。有许多公司专门提供低成本的背景检查并可提供即时的结果，因此在决定实施招聘过程的步骤时，可以考虑外包给他们。

招聘中经常被遗忘和忽视的另一个方面是对相关资料的检查。如果新员工列出了推荐人，请给他们打电话。如果未提供推荐人，请至少提供三个参考，然后联系他们进行检查。如果在被要求时不提供推荐人，请不要雇用该人员。不要后悔没有雇用到一名“感觉良好”的人，相反，当雇用某人之后才发现他严重危害了组织的安全，那才是真的悔之莫及。通过彻底审核新进员工可以避免许多安全问题，因此，无论在组织中做出安全选择之前，请必须确保严格认真地遵守这些要求。

管理与人员相关的风险还包括适当的安全培训、对流程进行持续审查以及对安全系统进行定期的审核。一旦对新进员工进行了适当的审查，作为组织的新手，下一步就是对其进行培训。培训不仅应包括如何执行工作要求，还应包括对组织的安全策略的全面普及。在适当的地方，应该讨论安全性并将其融入员工工作的各个方面。

转移与人员相关的风险管理风险的一种选择是转移到另一个实体。这种风险转移通常有两种方式：要么将对关键流程的授权和责任交给另一个实体，要么购买了保险。例如，专门从事客户服务的第三方公司可以处理来自客户的来电和问题。可以聘请人力资源顾问来处理公司的许多人力资源问题，例如会计公司可以为公司财务提供财务上负责且符合安全要求的处理方式。制造公司雇用第三方供应商来构建产品的组件和子组件，以降低管理费用，同时还能少雇佣一些员工，避免人员直接与公司网络系统进行交互带来的安全风险。

开除对组织及其资产安全构成特定威胁的员工是消除单一威胁的一种方法。但是，由于人员是动态的，因此应对与人员相关风险的要求时刻都在变化，切记我们永远无法完全消除人员风险。

在建立信息安全政策和程序时，请仔细考虑所概述的措施在日常实践中是否可行。因为人们总是会找到规避规则的方法，他们认识那些规则影响了有效地完成工作。对此，董志军说：组织需要改善信息安全意识教育，使员工们不仅知道他们应该做什么，而且知道他们为什么要这样做以及不遵守规则的后果。

通过与众不同的信息安全意识计划与活动，让员工们不会陷入安全政策和程序根本不适用于他们的困境，进而让员工们更容易记住并遵守适用于其工作职能的安全规则。那些安全规则建立了预期的和可接受的组织资产使用和保护行为。此外，由于书面的指导难以涵盖所有的偶然性，因此用户还必须在日常工作中进行安全决策时，使用合理的判断和最高的道德标准。昆明亭长朗然科技有限公司专注于信息安全管理体系中人员保护措施的研究，我们通过帮助客户向员工们提供安全意识培训，来降低人为因素带来的信息安全风险。欢迎就这一话题联系我们，也欢迎有员工信息安全意识相关教育培训的机构联系我们，洽谈业务合作。

昆明亭长朗然科技有限公司

• 电话：0871-67122372
• 手机：18206751343
• 微信：18206751343
• 邮箱：info@securemymind.com
• QQ：1767022898