应对内部威胁：可尝试基于角色的访问控制

基于角色的访问控制可以极大增加企业网络的安全性，尤其可以有效地对付内部的非法入侵和资源使用。由于害怕其漫长而复杂的实施过程，并且会对工作效率带来负作用，所以很多公司往往不愿意实施基于角色的访问控制。其实，企业可以采用几种方法来确保基于角色的访问控制的安全性，同时又不会给雇员的工作效率带来消极影响。

企业往往重视最常见的入侵类型，即入侵者从网络外部访问公司的安全数据。另一种入侵是由企业的雇员在公司内部实施的攻击，其发生的频率往往超过企业的预期。而且，内部危害的发生更容易，企业应当采取积极的措施来减轻这种危害。

访问权问题

大规模入侵也许更引人注目，但小规模的内部“入侵”却每时每刻都在发生。为什么?通常，雇员工作时就得到了特定的授权。在多数情况下，在雇员从事相同的工作时即获得相同的权利，这种用户称为模板用户。在新雇员从模板用户复制权利时，有时会无意中获得过多权利，因为模板用户有可能拥有其它的访问权。另一个常见的问题是，雇员们有时相互借用访问权。例如，一个雇员打算休假，但需要在外出时完成一些工作。这种雇员往往会将其凭据借给其它雇员，在日后却没有撤消这种访问权。

此外，企业往往并不知道雇员获得的这些不恰当的访问权，因而就不能轻松地解决此问题。企业并不清楚哪些用户拥有哪些授权，并且不太可能对访问权进行调查或审计。IT部门通常或多或少地知道，谁拥有和需要哪些权利，但由于时间的限制，IT部门只是增加权利，一般并不能撤销权利。IT部门并不能轻松地知道到底哪些人可以访问安全应用，所以也就无法知道网络中是否存在安全风险。

最后一个常见的安全问题是，企业并没有在网络中禁用前雇员。在雇员离开公司时，很多公司并没有撤销其访问权。这通常是由于管理员必须进入每个系统，并且需要人工禁用用户。这是一个重大的安全问题，特别是如果离职的雇员对公司不满，问题和风险就更大。