编者按：最坚固的堡垒往往是从内部开始崩溃的。为了使公司的电脑系统免受黑客以及病毒的侵袭，很多企业往往是一掷千金，但是对于自己的雇员以及其他内部人员所制造的IT信息安全问题，却没有给予足够的重视。其实，企业应该抢在内部用户危害组织的IT信息安全之前（不管他们是有意为之还是无心之失），未雨绸缪，防患未然。说起IT信息安全的问题，"当心陌生人"确实是条久经考验的箴言。但对当今的各家公司而言，它们还要留心另一条重要的忠告：提防内部敌人。

可能在这里用"敌人"这个词有点太过了，毕竟很少员工会企图破坏自己公司的电脑系统，或者在公司电脑里植入恶性代码或病毒，甚至利用企业接入进行欺诈活动等等。 然而，一些IT基础设施以及信息安全方面的专家认为，很多看似无害的行为，例如直接打开电子邮件附件，或者在工作时浏览一些网站的娱乐休闲页面，都会给公司的IT系统制造诸多重大信息安全隐患，并削弱网络的性能。当公司的客户、分支机构或者供应商纷纷访问公司的电脑系统时，这些潜伏着的危险就会积聚，然后爆发。

这些行为可能带来一系列的问题：在不知不觉中导入病毒或蠕虫，它们可能感染甚至导致系统或站点的瘫痪；在无意中下载令网络性能大受影响的间谍软件；在没有信息安全保障的邮件中传送敏感的客户数据或涉及知识产权的东西；伪造虚假的供应商，要求公司付款。

大多数企业为了防止黑客以及未授权用户入侵公司电脑系统大搞破坏，都打造了看似强大的周边防御系统，但是上面列举的大部分的"内部行为"却不在其防御对象之列。Core Capital是一家专门给初创的技术型企业提供资金的私人股权投资公司，其总经理勒克（Pascal Luck）说："我们都在给'城堡'修'护城河'方面花费了巨资。"

著名的市场研究机构-国际数据公司（IDC）主管信息安全产品与基础软件全面调查的副总裁克里斯金森（Christian Christiansen）认为，这样一个内忧外患的环境就如同一个复杂的生态系统，其中潜伏着各种不同的危险，并且各危险制造者之间还存在相当程度的合作与勾结。克里斯金森认为，企业所打造的IT信息安全防线现在已经是千疮百孔，所以原本是为了防范恶意入侵的防火墙程序其实也起不到什么保护作用了。

他说，防火墙很难识别出到底哪些人是公司内部用户，哪些是外部用户，因为公司的客户、分支机构以及远程用户一般都拥有与内部员工相同有时甚至更多的权利，这些用户也可以随时随地访问公司的电脑系统。

信息安全咨询公司Networks Unlimited的总裁西格尔（Harry Segal）说："访问公司电脑系统的第三方人士的数量非同小可，公司常常视他们为完全可信任用户对待，但是实际上也许他们并不应该享受到如此待遇。"有大量报道称，一半的"被黑"事件都是由处于公司电脑系统内部的人所经手的，并且还未必是企业的员工。

Zephon会分析公司电脑系统上接收以及发送出去的所有资料，并自动报告可能产生的危害。宾厄姆说："Zephon在信息拦截方式、隐蔽数据信道以及所谓的'反向通道'（通过它，外界便可以穿过防火墙获取电脑系统上的信息）中所发现的问题，也就是公司在网络安全上所存在的黑洞。首席信息官对这方面的问题是浑然不知的。"

二、 贯彻规章制度,加密内网数据

要约束员工在公司电脑系统上的行为，企业必须制定一套明确的规章制度，至于屏蔽以及网络监控工具，则不管其效力有多高，都应将之视为这些规章制度的补充。业内专家称，规章制度才是公司网络安全策略中最重要的部分， 西格尔说："有一项规则就是只开放员工在执行某项操作时所必需的权限。如果某人需要的只是一个应用程序，例如在线订单输入，你就可以把他的权限锁定为仅能进行此项操作。这是个常识性的问题，但是有很多公司都没有采纳。"他曾碰到了这样一种情况，某公司安装了一种阻止员工登录某些网站屏蔽工具，但是员工发现他们可以通过登录客户的网站而绕开这一工具的限制。

内容监控软件供应商ANYIEW(网络警)网络监控软件称，虽然很多公司都加大了对接受使用规则（AUPs）的应用，但却很少认真地去推行它。AUPs应该得到定期的更新，从而保证一些最新的沟通工具，例如网络电邮、网上聊天室、即时信息、电子公告栏以及点对点（P2P）文件共享等都被考虑进去了。 先发制人型的策略对于企业维护内部的IT安全至关重要。你需要的只不过是一些技术的组合，并且不必太过复杂，然后定期更新它们就行了。

有家公司便通过强制要求自己的员工将浏览器的版本由微软的 Internet Explorer换成另外一种"较低调"的版本，从而降低公司电脑系统受到恶意攻击的机率，这便是一种非常简单的做法。因目前非常普及的IE已经成为大多数病毒传播者锁定的头号目标，所以，放弃使用它能够帮助公司消除一个很大的未知数。