過去的2016年，由網絡安全漏洞引發(fā)的電信詐騙案件的出現，將網絡安全問題推向了風口浪尖。中培偉業(yè)《信息安全管理體系與ISO27001認證》培訓專家孟老師表示，在新的一年里，安全專業(yè)人員將注意力轉移到內部安全威脅。孟老師認為企業(yè)內部無意的員工疏忽是比惡意攻擊者的故意策劃帶來的損失要多得多。在打擊外部威脅的同時，內部的信息安全管理尤其重要

無論企業(yè)安全的威脅來自內部還是外部，CIO和其他C級管理人員的底線是需要找到方法來識別和堵塞安全漏洞，同時采取可以降低風險的策略。孟老師指出，在信息安全領域，風險分析可以發(fā)揮極大作用。在現實中，組織最脆弱的兩個內部安全點是：

· 確保適當地設置、維護和監(jiān)控員工的安全訪問權利;

· 確保公司治理和安全標準在內部以及公有和私有云里運行的混合IT基礎設施中統一實施。

隨著企業(yè)逐漸遷移到云，企業(yè)網絡將面臨更大的風險。比如，失去對知識產權和保密通信的控制——員工可能是疏忽甚至是惡意的，通過給予他人訪問權訪問不應該共享的數據。當您嘗試實施數據共享的新標準時，員工可能會抗拒改變，而經理也可能不愿意定期審查其員工的安全訪問權限。

總的來說，這些因素導致用戶數據訪問權限被不適當地設置，或被常規(guī)地違反。這個問題不是技術問題，它根植于人類行為和實踐。

“無論用戶是在內部訪問數據還是在云中訪問數據，我們已經通過開發(fā)人類行為分析來解決這種安全訪問困境，多方位研究用戶行為和信息訪問的適當性。

孟老師還提到，一方面，企業(yè)有安全專業(yè)人員監(jiān)控入侵檢測，但不太關心身份問題。在整個過程中，企業(yè)的身份和訪問管理專家，他們擔心哪些部門和個人會獲得哪些類型的訪問，但通常不涉及惡意軟件和入侵檢測。

如果企業(yè)使用可以根據功能區(qū)域和/或用戶評估數據訪問許可，并隨后報告任何異常的自動化工具，就可以邏輯性地減少信息訪問違例，并且可以避免IT 筒倉不通信。

但這不能完全治理一切安全問題。

目前沒有通用的自動化工具，可以涵蓋所有IT訪問方案。例如，很少有工具可以在軟件即服務(SaaS)云環(huán)境中跟蹤用戶行為和信息訪問。現有的自動化工具無法跟蹤跨越所有公有云網絡的邊界訪問。

對于高級管理人員，需要采取混合的分析策略，監(jiān)控混合內部部署和云訪問以及信息共享(在可行的情況下)，并與用戶管理人員定期會面這種老式的方法相結合，審核用戶安全權限。

使用這兩種方法，可以減少信息訪問濫用和共享的風險。不過，關鍵是讓整個企業(yè)中的每個人都知道，定期審查信息訪問策略和權限，并把它作為優(yōu)先級是多么的重要。