内部人员威胁的分析和防护措施

产生内部人员威胁的个人因素和组织因素

内部人员威胁的产生因素可以分为个人和组织两类因素，其中

个人因素包括如下[3]：

• 处于贪婪或经济利益的需要；

• 因工作原因对公司心怀不满；

• 即将跳槽到另一个组织；

• 希望取悦他人或赢得他人的尊重；

• 个人生活不得意导致工作行为异常；

组织因素包括如下：

• 资产没有进行全面的梳理和识别，没有对资产进行安全级别划分；

• 资产或保密信息没有进行恰当的安全标识，或标识错误；

• 资产或保密信息没有恰当的访问授权机制，导致内部人员可轻易进行访问；

• 没有对不同的工作环境和场所下应该遵守的安全策略进行定义和指示；

• 对员工的安全培训内容不全，没有告诉员工如何恰当的保护信息资产；

• 对员工的内部法规和法律安全教育不到位，没有让员工清晰认识到由于安全松懈或心怀恶意导致发生安全事件后所需要承担的后果；

• 对员工的工作职责设计安排有缺陷，导致员工担任了本应隔离或存在冲突的工作职责角色；

• 组织中的工作流程设计有缺陷，例如过于强调任务完成的高效性，在工作中留给员工进行安全考虑和安全处理的时间过少；

• 没有有效技术手段实现对信息资产的访问控制、认证授权、访问和操作审计、离境审核以及网络入侵检测、终端安全管控等。致使内部人员在进行无意或恶意操作时未感受到来自安全技术监管的压力和阻力； 

内部威胁是否容易被检测发现

虽然希望答案是“容易”，但是事实上内部人员的威胁较之外部威胁通常更难以进行检测和发现。其原因在于以下五个方面

• 产生威胁的内部人员包括管理人员、管理员、合作的第三方人员以及普通职员。前面三类人员由于本身职务和工作内容的原因，在监管上相对比较难。普通职员尽管其内部权限不高，造成的直接威胁相对较低，但是仍不可忽视其带来的间接威胁（例如使用带有恶意代码的移动介质或点击了含有恶意代码的钓鱼邮件）。

• 通常情况下，对于普通的监测机制而言，难以清晰辨别内部人员日常正常操作与危害性操作的区别。

• 对于内部人员而言，由于清晰知道内部运行机制，因此其更容易在进行恶意行动时逃避检测机制以及事后删除相关的信息记录。这样使得事后的检测和溯源难度较高。

• 某些情况下即便通过检测机制发现了恶意行为，但除非是获取法律认可的充分证据，否则无法判定内部人员存在恶意性。内部人员完全可以以工作疏忽等理由和借口进行掩饰和推脱。

• 对于大部分组织而言，其对于内部人员是基于“默认信任”的模式，因此在安全防护机制上更多的倾向于检测和阻断外部攻击，而较少投入在内部安全防护上面。

• 确保组织已经对信息资产进行了梳理和安全定级，并把保护资源投向重要和关键的信息资产；

• 制定阻吓策略，并在工作场景、流程和操作中应用这些策略（例如在执行高危风险操作时，弹出相关安全政策阐述和后果说明）；

• 核心和高风险的业务操作采取金库管控模式；

• 制定明确和严格的BYOD管控策略；

• 确认组织内部有明确和合理的人员招聘背景调查和离职审计程序；

• 确认在关键岗位有A,B角色设定，并定期让A，B角色进行职责轮岗；

• 采取基于角色的认证和授权模式，并定期审核内部人员是否担任了存在冲突的工作角色；

• 定期开展信息安全检查和信息安全审计；

• 定期和有针对性的对员工开展信息安全培训，让员工广泛了解当前的安全威胁；让员工充分认识和理解公司内部的安全管理要求；让员工充分了解安全违规后个人所需要承担的企业内部责罚和可能的法律责任；

• 请员工就信息安全保密做出一份书面承诺；

• 如有可能和必要，定期对关键岗位的人员就工作和个人生活状态进行封闭式访谈和评估并根据评估结果采取相应的措施；

• 建立一个私密，安全及便捷的沟通、反馈和投诉机制，帮助安全部门及时知晓正在发生或可能发生的安全事故；

• 开展公关安全演练，以应对突发事件后的公关危机；

• 建立完善的网络边界防护，检测和阻断通过钓鱼邮件、0day漏洞发起针对内部员工的攻击；

• 建立可靠和可信的认证授权机制；

• 确认最小特权模式在工作中得到设置和应用；

• 建立严格的密码管控机制（包括密码强度、生命周期等）

• 建立事中操作审计及事后跟踪溯源审计机制；

• 建立严格的终端安全管控机制（包括网络准入、移动介质使用等）；

• 采用加密手段实现信息资产的机密性保护；

• 建立信息数据离境审核检测技术手段，避免敏感信息流出和泄露；

• 定期开展基于内部的信息安全评估（包括社会工程学评估测试）；

• 建立内部行为安全监测及分析手段，实现对异常行为的监测和告警；

• 建立和拥有完备的灾备环境和技术机制；