据统计，在过去一年，有90%的企业受到了基于身份的攻击，这说明身份安全已经成为企业必须要解决的首要安全问题之一。这一期，笔者就与大家分享交流下身份安全的防范。

    俗语有云：日防夜防，家贼难防。在身份安全中极易受到攻击的也是“家贼”，比如有问题的内部员工、第三方外包、业务合作等任何一个对内部系统有访问权限的人。由于企业内部人员身份信息模糊，信息系统凭证混乱，一旦有“家贼”，极易造成敏感信息泄露等安全隐患。

     一、“家贼”泄密之目的

     （一）以“赚钱”为目的。“家贼”为获取高昂的经济利益，贩卖企业内部敏感信息。由于个人敏感信息套现容易，内部人员获取难度低，往往成为企业信息安全事故的高发地。

     （二）以获取“权力”为目的。“家贼”往往通过各种手段套用他人身份信息，泄露其中敏感的内容，从而达到把竞争对手甚至是顶头上司拉下水等目的。

     （三）以“泄愤”为目的。相信大家都听说过“从删库到跑路”这个段子，有些受到委屈心怀怨恨的工程师们，为了报复，会在离职后，通过幽灵账号，甚至是原来自己的正常账号登录企业信息系统，进行大肆破坏。

    二、如何做好身份安全防范

     “家贼”难防，主要原因是企业内部信息系统身份权限混乱，账号可多人共用，习惯性使用弱口令和默认口令等，这让存有问题的员工有机可乘。因此，为避免身份安全事故的发生，可做好以下几点：

    （一）设定协会内部文件自动加密，加密后的文件未经许可，私自外发拷贝到协会以外，都将显示为乱码无法使用，从源头上保障核心数据安全。

    （二）建立统一的员工管理体系，对协会内账号集中管理、控制访问。通过针对不同部门，不同员工，文件外发、服务器设备、软件、网络等设置封堵策略，只让有权限的人做有权限的事，保护信息安全。

    （三）建立以身份为中心，面向业务、面向运维和面向数据的安全体系，规范员工账号的强身份认证和访问，使每个员工形成自己的强身份认证手段。（信息技术部 陈青萍）