网络安全防范：如何防范内部安全威胁？

瓦罗兰特顶级C位

已于 2024-01-27 19:40:12 修改

阅读量353

点赞数

分类专栏：网络安全编程转行文章标签：安全 web安全网络数据库大数据

于 2023-04-17 15:04:18 首次发布

本文链接：https://blog.csdn.net/Wufjsjjx/article/details/130200422

版权

网络安全同时被 3 个专栏收录

155 篇文章 3 订阅

订阅专栏

编程

140 篇文章 0 订阅

订阅专栏

转行

84 篇文章 0 订阅

订阅专栏

企业内部安全威胁是防不胜防的，尤其是内部人员恶意损坏、不规范操作、权限过于开放甚至是企业内部的网络攻击，其带来的后果将是灾难性的。

统计显示，80%的网络攻击源于内部网络，而综合企业安全内部威胁，主要体现在以下几个方面：

1、如何对内部网络敏感数据或信息实现人员、设备动态权限控制，以保护数据安全；

2、如何对内部网络的恶意攻击予以防范控制，杜绝因系统或设备所引发的安全漏洞而引发安全事故；

3、如何针对日益增多的内部接入终端实行细粒度网络接入审计与访问控制，以杜绝其引发的安全隐患；

发现内部威胁的手段各不相同，这取决于企业可能会面临的威胁类型，到底是恶意的还是无意的。如果企业面对的是恶意威胁，那就要注意企业内部一些反常的行为变化。“个人登录账户、注销账号的时间，或者电子邮件流量的变化，或者某些行为异常的举措，企业可以把这当作‘加强对员工关心’的管理方针。”

企业不满、对上级领导不满或将被解雇的员工可能存在恶意行为倾向，这可被认为是内部威胁的一种迹象。大多数企业或者组织都会存在这样的现象，就是他们中的某员工将要离开公司了，但这些员工的访问权限还是没有及时关闭，这就极有可能为公司带来内部威胁的风险。

福特说，除了公司或工业间谍的情况外，企业数据盗窃案例常会被视为“就业终止事件”，缘于在几乎所有被观察到的案件中，数据盗窃事件都是在某员工辞职前一个月内发生的。此外，根据Forte的说法，盗窃案件中存在的两个至关重要因素：对工作不满的员工和对工作充满占有欲的员工。

比如国内所发生的各大“删库”事件：北京百度网讯科技有限公司一员工因不满公司派其他员工接手项目，对百度公司可视化项目程序数据库内的数据进行删改，构成破坏计算机信息系统罪，被判处有期徒刑9个月，缓刑1年；京东一名29岁的程序员未经公司许可，在离职当天，私自将公司即将上线的京东到家平台系统代码全部删除，被判处有期徒刑10个月等。

另一方面，当涉及到非故意的内部威胁时，员工大多数的失误都是出于‘方便’或者‘习惯’，比如共享重要凭据、将文件复制到个人手机、将文件存储在个人云端等，这些行动也大大提高了内部威胁的几率，哪怕它们都不是恶意的。

非恶意内部威胁还有另一个衡量标准，就是看企业员工有没有完成安全意识培训。阿拉斯说：“培训会改变员工的行为，因为企业能让员工知晓各类危害，这会使人注意自己的行为。”

对于该如何防护好内部威胁、如何预防接下去千变万化的威胁趋势，国内安全专家如此建议。

某A+H股上市公司信息安全负责人孙琦认为，所谓内部的威胁，更多的是我们可控和可知的威胁，他个人坚持攘外必先安内+持续安全考核的观点。攘外必先安内，孙琦要说明的是我们投入了大量资源所构筑的“马奇诺防线”很容易因为一些内部的“不经意”或“无意识”的举动而被攻击方轻易饶过，这个结果是非常尴尬也是非常致命的。

信息安全工作的特点决定了它是一个持续性的工作，从‘意识到安全’，再到‘需要安全’，这便是一条不断进行自我变革的道路。为了实现安全目标，我们往往会借助现有的各种方法论和成熟的实践经验，企业可以把安全培训作为常态化的考核内容落实到日常工作中去，培养安全意识远比培养技能要难得多，正因如此，我们更需要在这方面增加投入，通过技术+管理的有效组合，才能有效地处理‘内部威胁’。

国内也有专家认为，在面对内部威胁时需要制定明确简明的安全策略及方案、程序管理要求、访问机制、明确用户责任和安全事件应急响应程序。营造浓厚的网络安全文化，和各个相关部门尽可能沟通并强调安全的重要性。或周期性的对所有员工进行安全意识教育，提高企业整体网络安全、数据安全保护意识，增强个人安全保护基本技能。

积极管理访问权限，尤其是特权访问，因为用户的访问权限就是攻击者企图破坏的入口。最小化访问权限，且仅提供给必需的账户。但实现访问控制管理不能一蹴而就，需要根据组织变动和人事变动定期审查及时更新。

执行主动与被动控制，阻止敏感数据从组织内部流失，并监控用户行为是否异常。这种异常检测是识别用户执行异常活动的唯一途径。要优先应对最关键的威胁，并在最大程度上减少误报，将行为分析与其它风险因素关联，包括推动威胁成功的相关漏洞、攻击对组织机构带来金融或任务影响，以及资产价值。此外，从程序所有者（管理被攻击资产）处取得资格，协助判断异常活动是否属于正当业务行为。

内部威胁既是无法改变的事实，将来也不会消失。粗心大意的成员往往未接受这类安全培训，或缺乏安全开展工作的方式。 难以识别并阻止恶意内部人员和被盗用的账户，是因为这些用户经常会在这些“空子”中迷失方向。然而，除了持续使用工具和程序以外，正确的网络安全习惯也会大大降低和缓解内部威胁带来的影响。