2008年7月中旬在旧金山出现了扣人心弦的一幕，一名认为受到不公正待遇的市政府网络管理员Terry Childs，因为拿自己所管理的网络为要挟物与所在城市讨价还价，并且影响了该市网络的正常使用而被拘捕，这是一起极端的典型的来自组织内部攻击的网络安全案例。专家分析，内部攻击已经成为切切实实的网络安全的重要隐患，据Network World目前正在进行的网络专项调查显示，多达1/4的被调查者认为内部攻击必须引起足够的重视，而且持这种态度的专业人士比例正在呈现明显的上升趋势。前几年，由于也出现过几起类似的网络内部攻击事件，因而催生了一款新的网络安全产品，即“内部攻击探测软件”的问世。本案的控方代表、旧金山市的市长Gavin Newsom目前仍然期望通过专家通过努力将43岁的Terry Childs所给该市网络系统带来的破坏降低到最低，因为目前处于拘留中的这位网管高手依然拒绝解除他给网络所强加的束缚。

　　据Childs雇佣的律师透露，本案的被告人Terry Childs已经为旧金山市的网络建设工作服务了五年，之所以拒绝解除网络的监禁，是因为他对自己的网络技术有恃无恐，他给网络赋予的破坏力不亚于任何病毒或黑客所带来的损害，网络中的各类文档都面临着被挟持和攻击的威胁。目前已经可以对其公诉的被破坏的资产价值已经达到了500万美元，而且正在不断增长。加之他本人被雇佣成为旧金山市计算机网络工程师之前，曾经有因为抢劫和行窃而判处20年刑期的前科，因而这次犯罪可能给他本人带来毁灭性的打击，甚至被终生监禁。Childs甚至辩解，他对计算机网络进行的几个地方的更改并没有触犯法律。在这些更改中，其中最严重的修改是他为系统设立了唯一的口令，导致其它任何网络管理人员失去了原有的网络管理权限。他的律师为其辩护称，Childs从来来没有放弃合作的意愿。旧金山市的技术部首席官员Ron Vinson对外公布，迄今为止嫌疑人没有提供其私设的口令，技术部门正在全力以赴，并聘请了若干精干的高级网络技术人员，试图重新获得对网络的控制能力，并将在短时间内取得突破。Childs是四年前建成的旧金山市网络信息系统的主要参与人之一，对系统的精通使得他在胜任网络管理能力的同时，也具备了对网络系统实施破坏性攻击的能力。这次事件无疑为各个国家、各个部门、各类企业的网络信息系统建设敲响了警钟。

　　两年前开始出现的这种新型的网络危害方式，在今后相当长的一段时期内，将成为网络安全的重要威胁隐患，因为在目前的网络安全体系中，无疑这是非常容易被突破的软肋。

　　内部网络攻击特点与方式

　　由于组织内部的网络攻击出现的历史不长，可以分析借鉴的案例也不多，目前还没有非常精确的关于内部攻击的定义。笔者认为，来自组织内部的网络攻击，可以简称内部攻击（IT，Insider Threat），它是由于雇员对组织心存不满、或者内心险恶、亦或出于恶作剧等原因，而对组织正在正常运行中的网络信息系统进行攻击或破坏的行为。一般表现为轻微破坏和严重破坏两大类型，前者是指通过自己所掌握的技术资料，对自己权限之外的信息进行越权访问，或者随意更改用户权限，影响网络信息系统正常使用的一类破坏情况；后者是指无端破坏网络系统信息，对组织信息资源造成严重破坏的一类情况。

　　当然，从对事件认识角度的不同，还可以给出其它的定义与分类。比如，按照施加破坏行为者是否获得益处还可以分为损人利己型和损人不利己型两个类别。前者是指通过利用个人掌握的网络信息资源，独自或者勾结他人获得利益的一类情况，这类情况也包括军事、政治、商业领域的间谍行为，这类案例因为涉及国家机密，很少见到报道；后者是指纯粹的恶作剧或者对组织不满而不计后果实施报复的一类情况，目前发现的几起案例都是这类情况。事实上，不管哪种情况都对公有的资源或财产产生了破坏或侵害，无论世界哪个国家，都不会对这些行为听之任之、放任不管的，即使有些国家对此类侵害情况还没有明确的法律条文来规定如何处理，但是任何国家都会有相关的参照条文来参考如何严肃处理这类犯罪行为。甚至一些企业已经在内部制定了严格的管理措施，来预防内部攻击事件的发生，并对可能因此造成的破坏行为加以有效预防。

　　除了上面出现的Childs所从事的破坏行为之外，还有些企业遇到了其他一些破坏方式，比如有的企业曾经遇到诸如硬盘被监守自盗等情况并因此而丢失了大量重要数据的情况，甚至有些企业所遭遇的损失可能是长期潜伏企业内部的商业间谍所为，一个德国电子信息企业的总裁Steve Farrow就曾经遇到过商业间谍的案例。Farrow认为，这类事件虽然是内部职工所为，但是由于案件性质的不同，可以分为故意和过失两个类别。故意实施破坏行为者应该属于犯罪行为，应立即交给司法部门处理，而那些由于过失而使部门信息系统遭受损害者可以交由部门进行自我处置。Farrow还强调，对于那些本质上属于商业间谍行为的事件，可能给信息丢失的企业带来巨大的财产损失，最起码会使得其商业行为、习惯、产品以及过去的商务历史信息暴露在竞争对手面前，而导致受害一方自身的市场竞争手段在对手面前暴露无遗。这一类的行为给受害方造成的损失甚至比普通的盗窃行为更加巨大，而各国的法律对这一类的犯罪行为却没有单独列出而只能参照类似案例，为此在量刑的时候往往不能做到因罪恶大小而加以区别，一些涉外的案件还会因为赦免权等等原因而不了了之。

内部侵害行为由来已久

　　旧金山的Terry Childs并非是最早使人们关注来自网络组织内部安全隐患的始作俑者，在此之前，人们已经在多角度讨论一旦系统内部人员作乱，将会给网络信息系统带来更难预料的重大损失，每年一次的Interop盛会上，一旦讨论起网络安全问题，人们总会提到内部安全问题存在着巨大隐患。但是，Terry Childs的行为，使得原本不是非常具体的内部侵害事件以更加形象的形式暴露在人们的面前，使得人们研究内部侵害问题有了更为具体和具有个性的分析案例。网络管理人员，尤其是高层网络管理人员，他们既是网络安全的重要维护者，同时他们也是最具破坏性的网络安全隐患。

　　在过去几年中，类似的案例也出过几次，比如UBS PaineWebber公司的计算机系统管理员Roger Duronio，在2006年曾经在所属企业的系统中安装破坏性的“逻辑炸弹（Logic Bomb）”，从而给UBS PaineWebber和其它组织造成了300万美元的损失而被指控。当时控诉方认为，Duronio的动机在于他当年的年终奖金仅为32500美元，与其预期的50000美元有不少的差距。最终Duronio被判处了97个月的监禁。还有一个早期的案例是地处美国佛罗里达州Jacksonville的Fidelity National Information Services公司，它的一个数据库系统管理员William Sullivan也因为很少的经济纠纷而被判处了57个月的监禁。

来自组织内部的攻击事件已经引起了各类组织的高度重视，并纷纷制定与部门和企业已有的管理体系兼容的管理策略。与此同时，也使得一些网络系统安全产品制造业看到了新的商机，尤其在数据保护市场领域，传统的以数据恢复为主要服务项目的市场已经基本饱和，组织内部攻击事件的不断发生使得这类企业纷纷将未来的发展重点转向以数据保护和内部攻击事件检测为核心的全新发展领域。这一领域中目前新型的技术群包括文档控制系统、文档监控系统、USB类设备的安全检测系统等等。由于该行业刚刚出现，因此上述列出的技术实际上还没有涵盖解决部门内部侵害问题的所有技术，而且在今后一段时间内将会不断发展和完善。

　　Liquid Machines公司已经推出了一款具有各类企业电子信息化资产的监管保护系统，其中涵盖了电子信息的读取、写入、打印等等控制技术，控制技术本身是基于信息的敏感程度以及信息对于部门安全的重要程度进行实施的，而且部门中各类信息的存储都进行了加密处理，而且一旦探测到可能的内部侵害事件，还可能诱发系统启动只有紧急状况才会采用的硬件加密措施，以最大限度确保部门信息的安全。
　　除了上述可以立刻采取的技术措施之外，实际上加强对于员工的管理，并研究如何才能减少录用一些心怀叵测的员工的几率也是一门值得各行各业深入研究的课题。因为采用一些保密技术措施虽然增加了信息的安全系数，但是也为正常使用者查询和使用部门内部信息制造了诸多的不变。一些采用了Liquid Machines公司软件的单位员工抱怨，有时候一些正常的操作还没有完成，却被系统认为是非法的内部侵害而对信息采取了保护措施，在这种情况下需要许多系统安全人员的介入才能解除系统的预警和保护，这无疑影响了员工的正常工作效率。

　　在淘汰了计算机软盘存储器之后，一些人习惯了使用USB设备传输信息。但是最近一段时间内，这种出现历史还不算长的设备却遇到了诸多的尴尬，因为在诸多危害部门信息安全的敏感因素中，都把USB设备的使用作为了重点监控和排查的对象。换句话说，USB设备从很大程度上对各类信息系统的安全产生着直接的危害，它不仅可以直接将外部的危害因素传播给系统，而且还能够将部门信息直接传播出去，从而形成信息泄露。一拔一插之间，信息系统的安全就可能面临灭顶之灾，而其他的存取手段或多或少都可以接受信息系统自身安全机制的约束。一些网络安全体系结构专家研究发现，目前大多数的内部侵害为特征的信息泄露都是通过USB设备为媒介的。一些企业为此选用了Promisec软件对USB设备的使用进行监控，但是该软件的使用必须要求用户单位事先对部门的内部信息敏感程度和重要程度进行级别划分，这就意味着需要注意级别划分的科学性与否可能带来的问题。Promisec可以根据自身设定的算法发现可能存在的内部侵害隐患，并且可以不间断的检测计算机的设置是否恰当。而且在Promisec的作用下，所有员工的USB设备都被屏蔽了，如果确实出于工作需要使用USB设备，必须事先提出特别的申请，并在严格的只读和程序监督下使用USB设备。而且部门安全机制的参与者不仅包括技术部门，还应该有商务部门和人力资源部门的共同介入才能使得安全系统发挥正常的作用。

　　当然，这些措施的实施，会在一定程度上损伤一些没有险恶目的员工的积极性，他们会感到自身的利益受到了损害，自身的光明磊落遭到了亵渎，为此他们可能出现抵触情绪或感到沮丧。但是，在网络安全形势日益严峻的今天，经过细致入微的说服教育，这些正派的员工应该能够接受新型的网络信息系统管理模式。

　　General Dynamics公司在感到内部侵害危害的今天，经过了深入的市场调研，他们选用了一款名为ArcSight软件，这是一套网络安全与突发事件的应对工具，它可以搜集和分析来自网络内部的安全隐患，也可以对与国家安全部门协作的一些安全中介机构的安全机制进行监控。目前，企业正在内部各部门推广和普及ArcSight的使用，力求杜绝不良员工所引发的内部安全事件的发生。为了了解网络用户正在对网络做些什么，以及他们是否在完成着合法的授权操作，General Dynamics公司还安装了ArcSight新推出的针对数据库监控所新增的IdentityView功能组件。对任何一个部门来说，数据库都是安全管理中最为敏感的部分，IT及网络应用部门为用户创造了大量的信息资源，并提供了利用这些资源的机会，但是如何利用好这些资源，却成为了困扰资源拥有者的一个难题。General Dynamics的管理者们认为，IdentityView对于防范企业内部的安全事件、减少安全隐患意义重大，因为它可以将几乎所有的事件的发生加以记录，并且可以精确到每个帐号和每个终端，从而为及时发现和处理信息安全危害事件提供了保障。