在企业内部安全性风险方面，需要注意两种类型的员工:一种是有预谋的进行侵犯活动，另一种是无心所导致的风险。但是这二者都是非常危险的。

在上周一举行的IT顺从性规则会议上，Dan Verton在其主题报告中说，一个IT组织在保护自身财产的时候都面临着一场升级的战斗，无论侵犯者是否是恶意的。老式的IT外围防护措施已经无法起到应有的作用。

Verton对观众们说，“你的安全性项目、政策以及程序等已经惨不忍睹了，而你却很可能还蒙在鼓里。你可能在外围防护方案上花费了数百万的美金，但是你根本没有任何的防护带而言。”

Verton是“内部问题:一个真实的故事”的作者，他说，公司们需要使用特定的技术对安全性程序进行强化，从而阻止内部恶意人士的攻击，并防备那些由于忠实员工的松懈而导致的安全性问题。

无知并不是福

恶意的内部员工的动机是很明显的，Verton说，他们就是想要窃取数据。

还有一些在安全性政策及程序的外围工作的员工，他们并没有恶意，但是却不了解风险情况，从而他们为了工作更加的高效，抑或是为了下载一些色情等东西，就把系统暴露在恶意代码的面前，从而产生了数据风险问题。

Verton认为，恶意的内部人士经常来自于公司的IT部门，这是任何CIO都不愿意听到的，但却是绝对不可以忽视的。

Verton说，“对于这种员工而言，有一定的心理方面的问题值得你认真考虑。他们可能会说，这家公司并不知道其所作所为。他们认为自己掌握了你的网络系统。对于这种员工而言，如果你要减少规模或者临时解雇员工的话，他们是成熟的。如果他们在你的名单中的话，那么在你进行计划的时候，这个方面一个考虑的要素。”

Verton说，数据必须加强保护，即使它处于外围防护带(例如防火墙)之内的话。他说，公司们不能依赖于严格的数据访问控制。专家说，即使是一种非常强大的外围安全性策略也不可能完全的保证和维持安全性。

“你拥有一些普通的员工，他们是忠实的，但是他们可能采取了一种不合理的数据处理方式，从而使得整个企业都处于一种无保护的状态。”例如，他们可能使用基于网络的电子邮件以发送关于账户等的客户信息，即使公司的政策要求发送......More↓↓↓