詳細(xì)信息

1．內(nèi)網(wǎng)安全隱患

與外網(wǎng)相比，內(nèi)部網(wǎng)絡(luò)速度更快、防范疏漏、安全措施簡單。內(nèi)網(wǎng)存在如下安全隱患：

*      局域網(wǎng)速度快，信息容易快速被竊取，監(jiān)控時(shí)機(jī)轉(zhuǎn)瞬即失；

*      局域網(wǎng)接入容易，通常只要選用通用的信息設(shè)備即可連入網(wǎng)絡(luò)；

*      一般局域網(wǎng)接入身份驗(yàn)證措施簡單；

*      絕大多數(shù)局域網(wǎng)上的信息都未被加密，采用明文傳輸；

*      內(nèi)網(wǎng)的用戶往往有權(quán)直接對(duì)數(shù)據(jù)庫、服務(wù)器進(jìn)行操作，有對(duì)關(guān)鍵數(shù)據(jù)進(jìn)行誤操作、有意竊取或者破壞的機(jī)會(huì)；

*      計(jì)算機(jī)系統(tǒng)外部設(shè)備的使用不當(dāng)會(huì)造成泄密；

*      許多內(nèi)網(wǎng)用戶對(duì)口令不重視，采用弱口令，使得內(nèi)網(wǎng)中黑客的口令破解程序更易奏效；

*      內(nèi)網(wǎng)多采用基于Client/Server方式，客戶端直接對(duì)服務(wù)器操作，信息數(shù)據(jù)在內(nèi)網(wǎng)上傳輸非常不安全。

另一方面，內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)管理本身通常不是很嚴(yán)謹(jǐn)。核心的機(jī)密數(shù)據(jù)一般只是采用了簡單的授權(quán)口令保護(hù)，產(chǎn)品研發(fā)過程中的各種核心技術(shù)資料和工作資料就更沒有任何的保護(hù)措施，至少對(duì)整個(gè)開發(fā)組而言，全部的開發(fā)成果和數(shù)據(jù)都是透明的和共享的，對(duì)于防誤操作、防失竊和防破壞的保護(hù)幾乎沒有采取任何措施。這樣就使得在內(nèi)網(wǎng)中非法取得授權(quán)和獲得資料變得非常的容易。沒有內(nèi)部網(wǎng)絡(luò)安全管理的信息系統(tǒng)，使得任何人都可能有意或無意造成安全隱患、導(dǎo)致災(zāi)難。

 2．嚴(yán)重的信息外泄

在大量的安全事件中，最為嚴(yán)重的是企業(yè)內(nèi)部員工直接造成或者參與的非法信息外泄事件，并且由于內(nèi)部員工對(duì)于內(nèi)部的組織結(jié)構(gòu)、人員部署、機(jī)構(gòu)設(shè)置相對(duì)于外部人員要熟悉的多，因此，內(nèi)部員工造成致使的信息外泄事件往往情節(jié)嚴(yán)重，并且損失巨大！

信息外泄的途徑包括：

●計(jì)算機(jī)工作人員由于對(duì)專業(yè)知識(shí)的不熟悉而泄密。對(duì)電子信息保密的意識(shí)還不強(qiáng)，常常由于專業(yè)知識(shí)不熟悉而泄密。如有些人由于不知道計(jì)算機(jī)的電磁波輻射會(huì)泄露秘密信息，計(jì)算機(jī)工作時(shí)未采取任何措施，因而給他人提供竊密的機(jī)會(huì)。有些人由于不知道計(jì)算機(jī)軟盤上的剩滋可以提取還原，將曾經(jīng)存貯過秘密信息的軟盤交流出去，因而造成泄密。有些人因事離機(jī)時(shí)沒有及時(shí)關(guān)機(jī)，或者采取屏幕保護(hù)加密措施，使各種輸入、輸出信息暴露在界面上。

●規(guī)章制度不健全或者違反規(guī)章制度泄密。如有的單位沒有配備專門的計(jì)算機(jī)維護(hù)管理人員，或者機(jī)房管理不嚴(yán)格，無關(guān)人員可以隨意進(jìn)出機(jī)房。當(dāng)機(jī)器發(fā)生故障時(shí)，隨意叫自己的朋友或者外面的人進(jìn)入機(jī)房維修，或者將發(fā)生故障的計(jì)算機(jī)送修前既不做消磁處理，又不安排專人監(jiān)修，造成秘密數(shù)據(jù)被竊。操作人員對(duì)涉密信息與非涉密信息沒有分開存儲(chǔ)，甚至將所有的文件都放在一個(gè)公共目錄里，也沒有進(jìn)行加密處理或者保護(hù)處理，使涉密信息處于無密可保的狀態(tài)。

●故意泄密。由于電子信息文檔不像傳統(tǒng)文檔那樣直觀，極易被復(fù)制，且不會(huì)留下痕跡，所以竊取秘密也非常容易。電子計(jì)算機(jī)操作人員徇私枉法，受親友或朋友委托，通過計(jì)算機(jī)查詢有關(guān)案情，就可以向有關(guān)人員泄露案情。計(jì)算機(jī)操作人員被收買，泄露計(jì)算機(jī)系統(tǒng)軟件保密措施，口令或密鑰，就會(huì)使不法分子打入計(jì)算機(jī)網(wǎng)絡(luò)，竊取信息系統(tǒng)、數(shù)據(jù)庫內(nèi)的重要秘密。

 3．缺乏有效的管理機(jī)制

企業(yè)內(nèi)部往往都缺乏比較有效的管理機(jī)制來對(duì)內(nèi)部安全進(jìn)行有效的管理：

●不完善的內(nèi)部安全管理機(jī)制。企業(yè)內(nèi)部有一定數(shù)量的管理機(jī)制，但是這些管理機(jī)制本身存在著一些問題和不足，也導(dǎo)致了內(nèi)部安全管理沒有得到“制度性”的保障；

●內(nèi)部安全管理機(jī)制不能被有效執(zhí)行。企業(yè)內(nèi)部缺乏有效的管理制度執(zhí)行機(jī)制，使得管理制度不被執(zhí)行，為數(shù)不少的管理制度仍然還只是停留在紙面上。

 4．缺乏內(nèi)網(wǎng)的安全解決方案

對(duì)內(nèi)網(wǎng)安全系統(tǒng)和方案的缺乏，也對(duì)內(nèi)網(wǎng)的安全管理帶來了一定的阻礙：

●大多數(shù)安全系統(tǒng)都只是來自于外部的入侵。針對(duì)于來自外部的入侵，已經(jīng)大量成熟的安全系統(tǒng)來防范，但是內(nèi)部的安全威脅和隱患，卻很少被注意到，或者已經(jīng)注意到，卻沒有完善的安全系統(tǒng)和安全方案來解決企業(yè)的內(nèi)部安全問題；

內(nèi)部安全系統(tǒng)還不夠成熟。在少數(shù)的內(nèi)部安全系統(tǒng)中，多數(shù)都只是關(guān)注某個(gè)具體的訪問，比如撥號(hào)連接控制、文件保護(hù)等，僅僅是一個(gè)技術(shù)意義上的產(chǎn)品，不能提出全面的內(nèi)部安全管理方案。