過(guò)去的2016年，由網(wǎng)絡(luò)安全漏洞引發(fā)的電信詐騙案件的出現(xiàn)，將網(wǎng)絡(luò)安全問(wèn)題推向了風(fēng)口浪尖。中培偉業(yè)《信息安全管理體系與ISO27001認(rèn)證》培訓(xùn)專家孟老師表示，在新的一年里，安全專業(yè)人員將注意力轉(zhuǎn)移到內(nèi)部安全威脅。孟老師認(rèn)為企業(yè)內(nèi)部無(wú)意的員工疏忽是比惡意攻擊者的故意策劃帶來(lái)的損失要多得多。在打擊外部威脅的同時(shí)，內(nèi)部的信息安全管理尤其重要

無(wú)論企業(yè)安全的威脅來(lái)自內(nèi)部還是外部，CIO和其他C級(jí)管理人員的底線是需要找到方法來(lái)識(shí)別和堵塞安全漏洞，同時(shí)采取可以降低風(fēng)險(xiǎn)的策略。孟老師指出，在信息安全領(lǐng)域，風(fēng)險(xiǎn)分析可以發(fā)揮極大作用。在現(xiàn)實(shí)中，組織最脆弱的兩個(gè)內(nèi)部安全點(diǎn)是：

· 確保適當(dāng)?shù)卦O(shè)置、維護(hù)和監(jiān)控員工的安全訪問(wèn)權(quán)利;

· 確保公司治理和安全標(biāo)準(zhǔn)在內(nèi)部以及公有和私有云里運(yùn)行的混合IT基礎(chǔ)設(shè)施中統(tǒng)一實(shí)施。

隨著企業(yè)逐漸遷移到云，企業(yè)網(wǎng)絡(luò)將面臨更大的風(fēng)險(xiǎn)。比如，失去對(duì)知識(shí)產(chǎn)權(quán)和保密通信的控制——員工可能是疏忽甚至是惡意的，通過(guò)給予他人訪問(wèn)權(quán)訪問(wèn)不應(yīng)該共享的數(shù)據(jù)。當(dāng)您嘗試實(shí)施數(shù)據(jù)共享的新標(biāo)準(zhǔn)時(shí)，員工可能會(huì)抗拒改變，而經(jīng)理也可能不愿意定期審查其員工的安全訪問(wèn)權(quán)限。

總的來(lái)說(shuō)，這些因素導(dǎo)致用戶數(shù)據(jù)訪問(wèn)權(quán)限被不適當(dāng)?shù)卦O(shè)置，或被常規(guī)地違反。這個(gè)問(wèn)題不是技術(shù)問(wèn)題，它根植于人類行為和實(shí)踐。

“無(wú)論用戶是在內(nèi)部訪問(wèn)數(shù)據(jù)還是在云中訪問(wèn)數(shù)據(jù)，我們已經(jīng)通過(guò)開(kāi)發(fā)人類行為分析來(lái)解決這種安全訪問(wèn)困境，多方位研究用戶行為和信息訪問(wèn)的適當(dāng)性。

孟老師還提到，一方面，企業(yè)有安全專業(yè)人員監(jiān)控入侵檢測(cè)，但不太關(guān)心身份問(wèn)題。在整個(gè)過(guò)程中，企業(yè)的身份和訪問(wèn)管理專家，他們擔(dān)心哪些部門(mén)和個(gè)人會(huì)獲得哪些類型的訪問(wèn)，但通常不涉及惡意軟件和入侵檢測(cè)。

如果企業(yè)使用可以根據(jù)功能區(qū)域和/或用戶評(píng)估數(shù)據(jù)訪問(wèn)許可，并隨后報(bào)告任何異常的自動(dòng)化工具，就可以邏輯性地減少信息訪問(wèn)違例，并且可以避免IT 筒倉(cāng)不通信。

但這不能完全治理一切安全問(wèn)題。

目前沒(méi)有通用的自動(dòng)化工具，可以涵蓋所有IT訪問(wèn)方案。例如，很少有工具可以在軟件即服務(wù)(SaaS)云環(huán)境中跟蹤用戶行為和信息訪問(wèn)。現(xiàn)有的自動(dòng)化工具無(wú)法跟蹤跨越所有公有云網(wǎng)絡(luò)的邊界訪問(wèn)。

對(duì)于高級(jí)管理人員，需要采取混合的分析策略，監(jiān)控混合內(nèi)部部署和云訪問(wèn)以及信息共享(在可行的情況下)，并與用戶管理人員定期會(huì)面這種老式的方法相結(jié)合，審核用戶安全權(quán)限。

使用這兩種方法，可以減少信息訪問(wèn)濫用和共享的風(fēng)險(xiǎn)。不過(guò)，關(guān)鍵是讓整個(gè)企業(yè)中的每個(gè)人都知道，定期審查信息訪問(wèn)策略和權(quán)限，并把它作為優(yōu)先級(jí)是多么的重要。