他们看起来好像是正常的员工，像其他人一样安静地工作。但是，他们并非正常员工。他们是内部的犯罪分子，利用特殊的位置优势访问和窃取秘密的数据或者给公司的IT系统造成破坏。

　　机构如何保护自己不受这些犯罪分子的侵害呢?企业如何发现这些内部的恶意员工呢?

　　一个方法也许就是建立一个企业背叛者的简况文件。一旦被挑选出，就要对这一类员工进行比其他员工更严格的审查。然而，在开始实施员工简况计划时，要回答三个关键的问题：内部犯罪分子的简况是什么?挑选出可疑的窃贼是否合法或者是否恰当?有没有更聪明的技术解决方案?例如，采取身份识别或者访问管理技术，在不引起大惊小怪和做简况的危险的情况下阻止企业遭到破坏。

　　建立员工简况模型

　　内部犯罪分子的简况是不存在的。Carnegie Mellon公司的计算机应急小组在2002年发布了第一篇内部人员威胁研究报告。从那以后，这个安全反应小组每年都与美国保密局一起发布这个报告。他们的报告已经成为制作企业和机构内部潜在的计算机犯罪分子简况的基础。

　　这个计算机应急小组的研究报告重点研究三种类型的内部犯罪：诈骗、信息盗窃和阴谋破坏。这个研究报告称，典型的内部犯罪分子的简况对于每一种犯罪都是不同的。那些进行诈骗犯罪的一般都是现职的员工，男性和女性人数差不多，多数不在技术或者管理岗位上。窃取信息的内部犯罪分子主要是在技术岗位上的男性员工。

　　阴谋破坏分子是最隐蔽的。这类人主要是男性，大多数是不再能够访问系统的以前的员工。这类人许多是技术人员，通常有高超的技术并且利用这个技术使用偷窃的账户信息或者他们在离职或者被解雇之前留下的假的登录信息突破公司的系统。这些人通常是那些心怀不满的员工，对公司怀恨在心或者有个人问题。

　　记住这些人的简况，是不是意味着应该密切监视那些有技术背景的心怀不满的男性员工，或者有一天对他们进行监视?这个答案是否定的。在制作员工简况之前，公司应该向内部法律顾问或者外部律师进行咨询，了解那些行动会违反有关员工隐私的法律，哪些行动不违法。如果某些书面的东西没有根据个人特点区别对待员工的话，做这种简况可能使公司陷入法律纠纷之中。

　　预防性的员工简况

　　另一方面，企业能够使用计算机应急反应小组的简况采取五个步骤保护自己不受内部犯罪分子的侵害。这些不应该是正式的或者书面的政策，而是非正式的最佳做法。这五个步骤是：

　　·实施彻底的背景检查。

　　·不要忽略可疑的行为。

　　·对每一个人都要一直使用安全政策。

　　·把撤销系统访问权限作为停职程序例行性规定的一部分。

　　·使用严格的访问管理控制。

　　每一个潜在的新员工都应该进行背景检查。这些检查应该包括验证以前的职业、教育和专业证书。还要检查犯罪记录。如果可能的话，在验证员工的时候要体会这个潜在的员工是如何与同事或管理者相处的，或者了解这个员工是否存在任何行为问题。

　　雇佣程序还应该包括测试滥用毒品和酗酒的情况。有些内部犯罪分子就有滥用毒品等问题。

　　假设员工通过了雇佣之前的审查，不要忽略在工作中的警告牌。这些警告包括对同事的好斗、胁迫或者威胁行为，骄傲或者对办公室的某些事情不满。这些行为符合计算机应急反应小组对破坏者或者数据窃贼简况的描述。企业经常忽略奇怪的或者异常的行为。据计算机应急反应小组的研究报告称，有时候一个负面的事件(无论是在办公室或者在个人生活中)就会促使破坏分子采取行动。

　　所有的员工在任何时候都要遵守安全政策和程序。一个内部人员，特别是老员工和可信赖的员工，通常采取的一种策略是恐吓别人批准未经授权的访问或者避开安全程序。

　　确保对每一个员工都使用严格的访问管理控制。数据应该根据风险等级分类，用户群应该仅提供给需要访问的人。这就是著名的最低权限原则。Windows系统中的主动目录和Unix系统中的LDAP都允许根据任务和风险等级创建具有严格访问权限的组。

　　当然，只有一个员工一离开公司或者被解雇，他或者她一离开公司大门就要停止其访问权限。账户要定期进行检查以删除以前员工的账户。

　　内部威胁是复杂的。与内部威胁作斗争包括人类和技术的控制。简况是与恶意内部人员作斗争的计划的一部分，但是，它永远不是你惟一的防御措施。