当问到任何一个IT管理相关人员在自己的雇员，合作人和外部黑客当中选择哪个是对数据库安全更大的威胁时，你肯定会得到这样的答案：“当然是外面那些可恶的坏家伙。”当然，大多数人仍然引用“在所有的攻击当中有百分之八十来自内部”的统计数据，但是在与我交谈的人当中大所数人仍然担心来自外部的威胁。

　　是什么导致了大家对来自内部的威胁的忽视呢?是一种认为所有的内部人员都值得信任的部落式的信任吗?是一种认为我们在煤体中所听到的一切都是真的的盲目追随心理吗?又或者只是人们每天不知道如何来保护他们内部的网络?我认为三方面的原因都有。

　　通过大量的研究我们逐渐认识到了一个事实，来自内部的威胁是一个比我们想象的更加严重的问题。如果认为入侵内部的数据库和一些关键的系统需要非常高深的技术的话，那将是非常幼稚的，并且是完全错误的。事实显示大多数人通过使用非常基本的方法来非法获得他们想得到的。当然，任何人都可以下载数据库探测工具，密码破解工具和缺陷扫描器，这些确实是一个风险，但仅仅是一个小的风险。

　　我们给了那些心怀恶意的内部人员太多的信任，基本上，他们所做的就是使用他们自己的或者别人的账号来获得对一些服务器和数据库的未经授权的访问，从而来来达到他们自己的目的。并且他们知道自己几乎不可能被抓到。这不仅仅是一些理论知识，并且在我的一月又一月，一年又一年的安全评估当中已经证实了这些缺陷。希望这能够成为一个提醒。

　　具有不轨行为的管理员确实也是一个事实，但是在网络上还有许多的“常规用户”入侵了并获得了一些敏感数据。不要掉进认为所有的危害都是管理员造成的陷阱里。活动性是问题的复杂性所在。当人们处在疯狂的状态时，他们会很自然的认为“偷偷的看一下不会造成什么伤害”或者“没有人会看见我做这些”，特别是当邪恶的念头出现时。

　　将它与一些现成的能够方便的通过像Treo或者其他方手持设备控制网络的包括重要的数据库系统等各个方面的应用组合不可能有什么好的结果。尤其当几乎没有实现内部控制或者没有得到预先管理时尤其如此。

　　你不能简单的认为每个人在所有的时间都在做正确的事情。雇员有时候会利用对他们的信任。当然，并不是所有的人都是这样，甚至连你的用户的百分之十都不到。很可能就是一个，两个，或者三个人，但是这就足以给你造成一个大的麻烦。信任本身没有什么问题，但是要在确实有意义的时候再去做。很多人其实并不需要他们现在的权限，不应该这么轻易的就将完全管理权限分发出去。

　　在组织内部保护一些敏感的数据至少应该付出和对付外部威胁一样的关注和努力，甚至更多。解决问题的方法是非常简单的，至少在纸上是这样。管理者要从不同的角度来看待问题。他们需要知道已有的边界控制还不够，并且把边界安全的概念移到防火墙内部是非常重要的。

　　管理者们必须认识到他们不能够仅仅因为内部人员通过了背景审查，并且看上去像是好人，就完全的信任他们。可能更重要的是，当管理者们听到管理员和外部的安全专家说到那些缺陷确实存在时，他们会出于为自身考虑而信任他们。管理者们需要得到足够的支持和资源来确确实实的做些事情来解决问题。

　　你能做的最有效的事情之一就是学会如何将信息安全的“卖”给别人。事实上，交互性的商业需求，包括这些需求的原因，是在你的工作中甚至职业生涯中成功的关键要素。如果你喜欢你现在的工作，并且想要做正确的事情，为什么不采取行动来它成为现实呢。