由美国 FBI 和计算机安全学院(CSI)在2000年发行的研究表明,百分之七十以上被报告的的对保密信息和资源的攻击出现在机构内部。实现内部安全政策和实现外部安全政策一样重要。本节描述了一些管理员和用户可以采取的用来保护他们的系统免遭内患的常用措施。
在多数情况下,职员的工作站,特别是位于被正确配置的防火墙之后的工作站,成为远程攻击目标的可能性不是很大。可是,你仍可以实施一些防护措施来使个体工作站资源免遭内部或物理攻击。
现代工作站和家用 PC 都有在硬件级别上控制系统资源的 BIOS。工作站用户可以在 BIOS 中设置管理口令来防止蓄意不良的用户使用或启动系统。BIOS 口令会阻止蓄意不良的用户引导你的系统,从而避免用户快速地存取或盗窃贮存在硬盘上的信息。
然而,如果蓄意不良的用户盗窃了 PC(在携带便携电脑或其它可移设备的频繁旅行人员中最常见的盗窃行为),并将它带到一个可以把 PC 解体的地点。BIOS 口令就不会阻止攻击者移除硬盘驱动器,将它安装到另一个无 BIOS 限制的 PC 上,再挂载这个硬盘驱动器来读取其中的内容。在这些情况下,推荐你给工作站上锁以便限制对内部硬件的使用。专用的安全防护系统,如可上锁的铁柜,可以被连接到 PC 和便携电脑的底盘上来防止盗窃;还可以在底盘上加上密码锁来防止内部使用。这类硬件在 Kensington 和 Targus 等生产厂商中都有很多种。
服务器硬件,特别是生产服务器,通常是被挂在服务器房间中的架子上的。服务器柜通常有可上锁的门,个体服务器的底盘也有可上锁的前门,以防错误的(或故意的)的关机。
企业还可以利用“同一地点服务”提供者来安置他们的服务器,因为同一地点服务提供者提供更高的带宽、时刻技术支持、以及在系统安全和服务器安全方面的专家技术。对于要为 HTTP 传输或流式媒介服务而向外寻求安全及连接服务来说,它是一种有效手段。然而,特别对于中小型企业而言,其费用却会令人望而却步。同一地点服务的设施以安全性著称,它时刻被训练有素的保安人员严密防守和监视。