来源:IT专家网　作者:张帅

谈到网络安全，许多人想到的是黑客、病毒、蠕虫、间谍软件、rootkit等，殊不知内部人员造成的安全威胁更大，且更容易被忽视。国内外的案例一再表明，内部人员对公司网络、机密资料的危害绝不容忽视。比如，内部人员造成的数据被窃和破坏可导致高昂的代价和成本，并会造成潜在的后续影响，如生产力的下降，商业声誉的损失等。所以企业应当对此高度重视。
　　随着IT和通信系统在组织内的日益复杂，就需要更多数量的雇员、合约人、托管服务供应商来维护系统和网络。一些单位对于内部人员可以自由地访问公司重要网络资源的现象漠然视之，并没有意识到这种做法造成的高风险。

　　企业应当像监视外部人员一样监视内部人员。然而由于工作上的原因，内部人员可以对公司资源拥有一些特许的访问，这样规范内部人员的网络行为就成为一件极具有挑战性的事情。下面我们列示内部人员访问网络资源的五种方法及其可能造成的威胁，IT管理人员应当对此采取相应的防护措施。

　　宽带modem

　　现在许多单位仍采用宽带modem上网，但对此却缺乏集中管理，再加上口令简单、容易猜测，有的单位长期不更换口令，这就为某些雇员提供了随意进入网络的机会。有的单位为了解决这个问题，在不用modem时就将其拨掉，需要时再安装上去。但有时企业需要做一些维护，如在发生灾难时需要从远程恢复关键系统。

　　考虑到modem是必须的，企业必须将运用于其它远程网络访问点的安全措施和身份验证措施扩展到modem上。企业可以将双因素认证措施扩展到modem上，或者用更新的设备替换旧设备，也可以采用支持多因素认证的更安全设备。这些措施都可以提供恰当的、高效的保护。

　　开放的文件传输

　　多数单位使用开放的文件传输。内部的技术人员和厂商利用这种不安全的、未受限的访问来诊断故障，并实施恰当的修复并纠正问题。然而，他们也可能利用这种自由改变文件、删除关键的组件或破坏系统(不管是有意为之还是无意这样做)，结果导致系统无法运行、网站受到破坏、数据被窃及其它的损害。

　　不满的内部员工或者以前的雇员可能拥有做出上述举动的知识和动机，但是，一个内部人员的威胁可能会造成更棘手的问题。即使雇员的意图是好的，他也有可能粗心大意或犯一些无意的错误。同样地，保护信息资产要求企业可以控制谁可以上传和下载文件，并可以很轻易地记录对系统文件的改变及作出这种改变的人员。

　　从传统上看，限制和监视开放的文件传输要求在每台机器上都设置独立的许可，这给IT部门造成了诸多麻烦。然而，新的技术，如厂商访问和控制(VAC)系统，可以限制访问和监视特定系统的活动，有的产品还可以监视整个组织范围内的活动。

　　开放的telnet和SSH端口

　　使用第三方系统来远程访问及诊断系统故障的公司应当保障telnet和SSH端口的安全，或完全关闭这些端口。如果没有设置恰当的保护，远程技术人员就可以通过一个内部的IP地址而到达网络上的任何位置，而公司却对此毫不知情。

　　假定远程技术人员拥有公司IP地址分配方案是危险的事情。基础结构设备经常要共享容易猜测的设备，这使得内部人员访问可以轻易地未获得授权的设备。

　　我们建议公司限制第三方通过telnet或ssh访问公司典型的服务范围之外的系统，除非这种会话能够得到记录或有团队成员的保护。作为选择，许多组织使用中间系统来构建这些会话的一个代理服务器，这就提高了控制和跟踪的必要水平。

　　服务器控制台端口

　　技术人员经常要连接到控制台端口，特别是在路由器和Linux/Unix服务器上。为了提供可升级的服务，公司典型情况下会用终端服务器连接到串行端口。然而，默认情况下，终端服务器提供了最少的安全性。

　　通过获得对单个终端服务器的访问，一个内部人员可以访问并可能损害大量的系统。因此，建议公司经常检查服务器的安全特性，并将安全设备置于掌管敏感数据(例如，财务记录、客户数据、人力资源信息等)系统的控制台端口的外部。

　　未加监视的外联网通信

　　外联网为公司提供了一种便利，它使得公司可以向其厂商、客户、合伙人等开放自己的网络，从而支持实时的协作。在与外部的单位或人员共享的系统数量少，而且这些系统上的授权水平得到了严格的控制时，外联网(如IPSec、SSL、远程桌面等)将发挥重大的作用。但是，典型的外联网都要求授予较高级授权或者要求可以访问多个系统，这将成为一个问题。但是太多的访问并没有注意授权，而且活动也没有受到密切地监视和控制。厂商的访问和控制系统需要为防止破坏和数据被窃而提供额外一层控制。

　　虽然许多第三方的供应商值得依赖，但做出这种假设是有风险的。不管是雇员或第三方的供应商访问你的网络，人的动机总有相同之处。对于内部人员来讲，有可能误用，也有可能犯错误，还可能窃取数据。加强风险意识，并采取一些保护性的措施来减少风险。