安全评估：内部人员是风险还是威胁

ZDNet安全频道原创翻译 转载请注明作者以及出处

很多文章中都提到，内部人员是企业系统安全的一大风险来源，更有些观点则认为内部人员会对企业安全系统带来严重威胁。那么你仅仅是属于企业的安全风险呢，还是属于企业的安全威胁呢?
--------------------------------------------------------------------------------------------

　　近日我在进行一项解密IT安全的教学项目，其中我发现，将风险和威胁混为一谈，对于IT安全来说毫无益处。为了证明我的观点，首先我们来看看字典上是怎么解释风险和威胁的：

　　· 风险: 损害，伤害，损失或其它负面事件发生的概率。由外部或内部漏洞引发，并可以通过预先行为而消除。比如：冒这种风险不值得。

　　· 威胁: 通过表示将要对人或财产造成伤害或损失，而强迫某人屈服或限制其的自由。比如：他想要偷你汽车的主意并不是愚蠢的威胁。

　　在进一步讨论之前，我还要对“内部人员”进行定义，以便我们之后的讨论不会产生歧义：

　　· 内部人员: 处于某个人数有限的团体中并且知晓某些事实或内部信息的人。或者拥有企业不对外公开的信息的人，也可以叫做知情人。比如： 知情人透露，总统将否决该法案。

　　谁是风险

　　从安全的角度看，人人都是风险。这看起来似乎太极端了，但是如果能对每个人进行风险评估，结论就会是这样的。很简单，我们每个人都会对公司的安全造成一定的负面影响。

　　谁是威胁

　　那么人人都是威胁吗?根据上面的定义，以及RSA Speaking of Security作者Nicki Wallace，结论并不是这样的。人人都有可能成为安全威胁，但是由于我们大部分人都是善良的，因此我们只是会因为犯错而成为安全风险，但不会成为安全威胁。

　　威胁是蓄意的

　　内部人员故意危害公司利益的情况比比皆是。与安全相关的新闻邮件中充满了此类事例，如心怀不满的IT员工对公司进行报复，员工窃取公司知识产权牟利或在跳槽时将其献给新公司等。

　　错误是无意的

　　员工在工作中犯错是难免的，尤其是在瞬息万变的IT行业更是如此。Wallace 引用的一份CompTIA 的报告层提到企业是如何注意到这一点的：

　　“对于企业信息安全来说，人为错误和疏忽已经超越了故意或恶意威胁，成为了企业最关注的问题。”

　　我注意到培训机构会提升他们的培训日程，但是用户犯错的频率仍然不断上升。Wallace也同意这一看法：

　　“企业不能漠视大量员工由于偶然无意的错误而导致企业内部数据系统安全性能受到影响的风险。当由于经济环境而导致裁员时，企业更应该格外小心：裁员会导致在职员工更频繁的加班，从而增加了他们犯错的概率或导致员工进行不明智的应付工作。”

　　为什么要进行区分

　　虽然结果也许是类似的，但是对于那些来自内部人员的蓄意攻击所带来的威胁，和由于内部人员疏忽导致的风险，应对的策略是大相径庭的。内部威胁的预防需要整个系统范围的安全措施，它与保护公司网络不受外部攻击的方式类似。而对于内部员工因为疏忽意外导致的风险，大部分专家都同意采用加强员工教育的方式加以解决。

　　总 结

　　内部风险是很直观的。但是根据我的经验，大部分企业在应对内部风险时，都没有区分疏忽和威胁这两种风险。