不管你相信与否，很多大企业的网络安全问题出在内部。

　　多年以来，病毒的泛滥，木马和蠕虫的出现让企业的首席安全官寝食难安。但是实际上安全人员面对的敌人来自于企业内部。根据Forrester公司的调查，企业内部的安全问题85%是内部员工造成的。

　　员工一不小心犯的错误，笔记本被盗，合作者未经授权访问信息，发泄不满的员工，密码的不当管理——这些都会导致收入损失，法律责任，工作效率的下降和有损品牌效益。

　　那么那些内部网络安全问题是最常见的呢，又该怎么去防范呢?以下我们将一一解开谜团。

　　1. 员工出卖你，第一幕

　　有针对性的网络钓鱼就是使用假冒的邮件来获取特定组织的机密数据。这已非新鲜事，但是现在的攻击变得越来越复杂和隐蔽。

　　过去网络钓鱼往往是用的老掉牙的尼日利亚被废除统治者的故事，但是现在的网络钓鱼邮件已经可以达到以假乱真的地步了。

　　结果有很多不知情的员工泄露了机密信息，从密码到金融数据，不一而足。由于不能区分假冒的网站和邮件信息，这些员工就像是黑客部署在公司内部的卧底。难怪现在网络钓鱼以几何数级增长。

　　补救措施：网络钓鱼策略包括使用可以屏蔽公司真正域名的网络钓鱼工具，还有告知员工一些臭名昭著的网络钓鱼站点。

　　2. 笔记本管理松散

　　把你的笔记本随手交给酒店的清洁人员造成的麻烦不仅仅是不方便。根据赛门铁克的调查，由于电脑或其它的数据存储媒介的丢失占到了与身份相关的数据泄露的54%。

　　这还不是全部。笔记本被盗或丢失会导致一系列的问题。数据显示笔记本丢失是造成企业金融信息损失的第三大原因。去年，令人吃惊地47%的受访者有过笔记本被盗的经历。

　　笔记本不是唯一的安全风险。硬盘存储容量的大幅度提高，移动设备iPod和 BlackBerry(黑莓手机)的出现，还有闪存也是现在面临的危险。这些掌上设备不仅允许用户绕过防火墙，还会把公司的信息从工作地点带走。据Gartner调查，更坏的情况是仅10%的企业有关于移动设备使用的相关规章。

　　补救措施：公司要求员工的笔记本设置开机密码，这样即使笔记本被盗，至少里面的数据还是安全的。删除所有移动存储设备中的看过的电子邮件，文本信息，不需要的文件。要求员工使用存储设备中内置的加密技术和密码保护是一个不错的选择。金士顿的有些产品就提供了这样的保护。

　　3. 无心的访问和不满的前员工

　　为一个企业工作的一个很大的好处就是可以访问各个计算机系统，包括电子邮件信息，人力资源部门的薪水册。同样也就是因为这些访问权限威胁到了企业的其它关键程序的安全。尽管现在市面上有很多用户权限管理系统，但是很多IT管理人员由于太忙而没有设置和升级用户的访问权限。

　　实际上，研究发现需要4个月的时间来完全删除前员工的访问权限。在这段时间之内，很难说那些不满的员工会借机给企业关键的商业系统带来麻烦。

　　补救措施：实际上很多软件开发公司都提供了简洁的用户权限管理系统，有些企业提供的管理系统可以自动地执行安全政策和授权，这样在保证企业安全层级的同时，管理了绝大多数用户。还有一些系统可以自动实时授权，取消和修正对于操作系统，应用程序，网络端口或其它IT资源的访问权限。

　　4. 忽略安全补丁

　　这是一个很不幸的现实。厂商在面临安全漏洞的时候并不是马上就可以提供保护。实际上，赛门铁克报告，现在操作系统厂商在开发安全补丁上花费的时间比以往更长了。这实在不是一个好消息。

　　更复杂的情况是，现在许多IT管理人员太忙无法保证他们实时更新最新的补丁。结果就是很多人人皆知的病毒还是成功地潜入了大企业的网络。