许多公司的安全策略都集中在防止外来人员侵入内部网络上。其实，相当大比例的重大安全漏洞都来自于内部。其中一些是早有预谋，而其他则全是无意之过，但是不管是哪种，它们都已经将你的网络和其中的数据置于危险境地之中，可能会导致生产力的损失，和（或）直接经济损失。

当你的企业成长时，确保你的安全策略能够不断满足变化的需求，是非常重要的。尤其是在防护来自内部的威胁时，这一点特别明显，因为以前在小公司环境中还行之有效的方法，在企业变大后，就往往变得不是那么有用了。让我们来看看如何制定一个具有可伸缩性的，针对内部安全漏洞的安全策略。

发展的威胁
当公司很小，雇员只有几人时，内部安全问题的发生机率远比在大型企业中少得多，而其被发现的概率又远比大型企业大得多（反之也同样成立，就是小公司出安全问题的概率大得多，而被发现的概率小得多）。之所以会这样，是有很多原因的。一方面，在小公司环境中，管理者往往和雇员一起工作，所以发生内部安全问题的概率要小得多。因为没有特定的岗位分工，所以雇员们一同工作，同用一台电脑，等等……而不是一个计划中每个人只处理自己的“那一部分”，或是一系列任务中自己只执行特定的某个部分。这同样减少了发生问题的机会，同时大大增加了问题被发现的机会。

但另一方面，小公司里的雇员常常被给予更多的自主权，管理者也相对更被人信任。在这种情况下，对那些试图偷盗数据或带宽的雇员来说，可说是一个良机；就算是不偷数据，他们也可以假公济私的使用公司网络，比如浏览自己感兴趣的网页，发送私人信件，聊天，以及其他事情等等——所有这些活动都可能使网络暴露在风险之中。另外，小公司一般没有专职的IT部门或安全管理人员来执行技术安全考量，一般也没有针对雇员使用网络而制定详细的书面策略。

所以，当在一个很大的企业中，那些相对来说彼此匿名的雇员虽然可能更容易造成安全漏洞，他们也更可能会撞上预先已采取的措施（比如变得更加牢固而难以下手的电脑，被配置得更加安全的防火墙，等等）。

评估内部威胁
内部风险可以被分成几个不同的种类。比如：