内部人员攻击所占的比例也许不高，但它所造成的危害却非同小可。令人担忧的是，内部人员攻击变得日益复杂，越来越多的内部人员使用rootkit或黑客工具，并且其攻击行为日益自动化。本文将讨论如何保护网络，防御这种日益复杂的攻击。

简述内部人员攻击情形

内部人员攻击，从其定义来说，是由可以合法访问公司网络和系统的人员所执行的攻击。这些内部人员可能是对公司不满的员工，受到金钱诱惑从而使用各种攻击窃取信息的员工，临时为公司工作同时担当商业间谍的雇员，或者是某个滥用网络特权的其它任何人。

具体情形包括：

1、故意用恶意软件或病毒等感染公司的计算机和网络，从而影响工作效率。

2、引入间谍软件、键盘记录器及其它类似软件，目的是为了获得同事们正在干什么的信息。

3、窃取口令，冒充他人登录到公司网络，事实上就是窃取员工的身份。

4、在没有获得授权的情况下，复制公司的机密信息，并带出去或发送出去。

制定安全策略防御内部人员攻击

正如零售公司都采取预防措施来防止雇员窃取现金或财产一样，处理重要电子数据的企业需要考虑数据泄漏保护(DLP)系统。不同的厂商有不同的DLP产品和技术，但是一套全面的策略要比仅购买和安装一个DLP设备更具意义。

1、实施一套专用的DLP设备或软件。DLP设备或软件允许管理员跟踪公司的数据流向，可通过实时方式或通过收集信息，并将其总结在每天或每周的报告中。你可能需要一个能够截获并读取SSL或其它加密消息的DLP系统，否则用户就可以加密数据并将其发送到网络之外。注意，DLP的一个缺点是它可能会影响网络性能。

2、配置防火墙，双向解决通信问题。多数现代防火墙能够过滤进入和转出的通信，不过，许多防火墙的配置却只能控制前者。管理员需要设置防火墙的向外转发规则，使其明确的仅准许匹配标准的通信可以通过。例如，你可以阻止使用特定端口号的外发通信。

3、使用网络内的数据包检查。DLP设备和防火墙专注于发往网络之外的通信。例如，在一个用户从服务器下载一个他不应当或不需要访问的文件到自己的电脑上时，你可以使用NAV工具，用来检查在内部网络迁移的数据包内容。NAV工具可以深入检查数据包的内容，并查找一个文档或文件内的特定词语或数据类型(如账号)。不过，NAV产品与DLP一样，可能会降低网络性能。

4、使用带有内容过滤功能的邮件安全产品。例如，你可以使用电子邮件安全产品中的内容过滤特性来阻止那些包含某些关键字的消息，或者阻止用户发送附件，从而防止内部人员将机密信息发送到网络外部。