来自旧金山的网络系统内部的侵害事件

　　Terry Childs是美国旧金山市政府网络中心的一名管理员，但是2008年7月，他却被指控对其所管理的网络实施了非法的侵害。据知情人士透露，Childs采取的行为是给网络交换机和路由器等核心设备设定了一个超级口令，致使其它任何的网络管理人员都无法完成职责权限之内的管理职能了。据报道，Childs对网络进行的设定很难得到破解，而且事发后Childs拒绝合作，导致无人能够从他口中得到恢复网络控制的任何信息。Childs该行为的直接后果就是尽管网络仍处于运行状态，但是所有的网络管理员无法操纵网络交换机和路由器，为此Childs得到了包括计算机非法篡改在内的四项指控，而且保释金达到了500万美元之巨。究竟Childs为什么会对自己衣食所依的工作对象采取如此极端的行为，目前还没有确切的说法，有人说是为了报复自己遭遇的一些不公正待遇，有人说历史上的污点没有得到人们正确的对待而心存怨恨(有报道Childs曾经有过犯罪史而被判处多年监禁)，还有人说是心理疾患造成的，然而这些说法都不能成为一个如此庞大的信息系统长期失去控制的合理解释。该事件的发生，无疑为全世界所有类似信息系统管理环节的加强敲响了警钟。

　　更令人感到震惊的是，Childs所设定的口令破解难度很大，以至于事件发生一周之后，旧金山的网络系统仍然没有解除束缚，具体原因和内情目前还没有完全透露。然而，一些专业人士已经通过事情发生蛛丝马迹在进行者猜测和分析。网络安全技术领域的权威人士Cameron Laird认为，像这样性质的事件发生在旧金山这样规模的地区，在全球尚属首次。

　深圳“泄密门”内部侵害事件

　　在此之前，全球很多地区都发生过一些由于组织内部认识不检点，或者责任心不强导致的信息系统内部资料流失或被盗取等事件，但是那些已经发生案例的影响范围都非常小。两年前开始出现的这种新型的网络危害方式，在今后相当长的一段时期内，将成为网络安全的重要威胁隐患，因为在目前的网络安全体系中，无疑这是非常容易被突破的软肋。2008年6月份，我国深圳市的某保健医院曾经发生了在5分钟之内，一名内部人员利用职务之便将该院信息系统中所有的孕妇和婴儿信息盗取一空的严重网络安全泄密事件。

　两起事件的分析比较

　　为了分析比较方便，我们不妨将我国深圳的这类网络信息系统的内部破坏行为称为“深圳型”(国内媒体将其称为“泄密门”事件)，而将Childs所制造的破坏行为称为“旧金山型”。深圳发生的这种来自于组织内部的攻击模式虽然形式上与Childs的行为有较大的差异，但是从本质上却非常的相似。首先，两起事件都是内部工作人员主观意识支配下的网络完整性破坏行为;其次，两起事件都是拥有较高网络权限的内部员工滥用职权的结果;第三，两起事件的结果都给组织自身造成了难以挽回的不良影响。

　　当然，两类内部攻击事件也存在很大的不同。首先，深圳这类事件是因为得到了曝光而使大家认识到了内部侵害是很容易发生的，技术起点非常低，发生的几率高，影响和破坏范围大，而Childs的所作所为则让人们看到了核心技术人员一旦要心怀歹意，给系统带来的危害程度要猛烈许多，一旦发生则会给系统带来异常严重的破坏。其次，一些非专业人士在实施“深圳型”破坏行为时可以得手，然而从事“旧金山型”破坏行为则必须要高深的专业技能。

　　两种类型事件几乎同时发生的原因何在

　　作为此类事件的分水岭，“深圳型”和“旧金山型”事件虽然在破坏程度、实施难度等方面差异都非常大，但是两类区别明显的同类事件几乎同时发生，其中深层次的原因值得专业人士们深思。这类从组织内部侵害组织所构建的信息系统的行为出现的历史并不长久，最起码是公开报道的历史不长久(不排除一些组织因为“家丑不可外扬”曾经对外封锁消息)，经过各种渠道汇总之后的结论表明，大概只有两年多的历史。一些软件公司的高级职员因为种种原因，席卷公司的大量原始代码而去的行为，多数法律和技术专家认为不属于恶意攻击行为，可以通过经济手段解决，为此本文的讨论不包含这类行为。

　　今年，内部侵害行为在很短时间内已经表现出从利益驱动方式(“深圳型”)到不计利益得失的疯狂报复方式(“旧金山型”)的巨大跨越，而在此之前，其它类型的信息系统侵害行为都没有在如此短的时间里发生如此大的跨越。比如，病毒出现于二十世纪六、七十年代，爆发于十九世纪九十年代中后期，目前形成相对平稳的病毒制造与病毒防治的对立阵营。一些造成重大损失的病毒爆发和破坏事件，时候几乎都出于“恶作剧”的范畴，事件的性质并不包含主观恶意破坏的成分，一些恶性病毒虽然可以删除磁盘文件和像CIH那样攻击主板，但是他们最初的初衷多是验证自身技术实力。真正不计后果的报复型的利用病毒攻击一个系统或者计算机网络的行为，从事件的性质来讲，目前还没有超出“旧金山型”内部破坏者的所作所为的。这也是各大媒体纷纷以“罪大恶极”、“疯狂”、“比较独特”等字眼来描述Childs的主要原因。

　　短时间内完成事件方式的跨越，就其根本在于如下两点：

　　(1)预示着针对组织内部的恶意破坏行为的破发期即将来临。由于网络信息系统已经普及全球任何的部门和组织，而且所有部门和组织对网络信息系统的依赖程度越来越强，为此，几乎所有的组织和部门都安排了一定规模专业技术人员队伍来管理这些系统，确保系统的安全运行，进行故障排除。但是，如何确保参与其中人员的道德素养，并没有引起人们的广泛关注。事实上，自从计算机诞生以来，核心技术人员对计算机系统可能的威胁就已经存在了，但是为什么到了网络技术发达的时代，这类根植于系统内部的潜在隐患才开始破发呢?首先由于传统的独立的、单机版的信息系统影响波及面较小，即使出现了破坏性事件，也不会引起人们的广泛关注，一石可以激起千层浪，一粒沙子就没有如此威力了;其次，技术人员从事破坏行为的成本与破坏后的影响力不成比例，这也是技术人员较少发动组织内部破坏的根源。

　　(2)组织内部人员发动内部攻击有先天之利。内部人员甚至不一定是精通网络核心技术的专业人员，只要是能够访问到核心数据信息的管理部门的人员即可，“深圳型”内部侵害就不需要核心信息系统技术人员来实施，“旧金山型”内部侵害则需要较为高深的专业技能才能实施。

　防范组织内部破坏行为的策略

　　从事实上讲，组织内部的破坏行为并不是近两年才出现的新兴事物，而是近两年才吸引了人们的关注。从计算机诞生之日起，所有能够接触到计算机的内部人员则具备了对计算机实施内部攻击的基本条件。Phaseit公司的安全顾问，美国德克萨斯州休斯顿大学的副校长Cameron Laird认为，计算机改变了人们传统的工作模式，在这个行业中，工作时间越长，获得的令从业者兴奋的经验会越多，除非你一直在行业的边缘徘徊。在人们体验兴奋的同时，只要能够获得心理上的满足感，则会用心维护计算机系统的正常运行，而不会心生歹意。这是为什么计算机诞生如此之久人们大都在倾心维护其正常运行的根源所在。但是，人们的模仿能力会使得人们，在一些事件发生后去效仿，这也就是Childs的行为对今后IT界的潜在威胁之所在。如何杜绝此类事件的蔓延，防止越来越多的Childs在世界各国不断涌现，就需要思考适当的策略，而且这类策略肯定在一些类似的行业中已经发挥着效能。早在软件危机肆虐之时，人们在工程技术领域寻觅到了解决的策略，这就是今天控制着软件行业正常运转的“软件工程”。Laird认为，解决内部攻击问题，可以在财会、审计领域获得灵感。因为在财会行业运行初期，人们只是将精力集中于如何完善该行业在各类产业、部门作用的发挥上，当一些内部人员为了个人或小集团的利益做假帐来蒙骗视听的时候，审计行业应运而生了，而且目前在规范财会行业运行方面效果显著。

　　在网络信息技术领域，如果要杜绝前文描述的内部攻击事件的发生，也要从财会审计行业数百年的发展历史中汲取经验。事实上，在财会审计领域重的一些成熟经验，已经在IT技术领域发挥着重要的不可替代的作用。比如IT行业中的“存取控制”技术，就是从财会审计领域“账目记录和消除”技术借鉴而来的。IT行业中的“优先级”技术的应用，最初也是在财会审计领域获得应用的。一些专家认为，目前在一些财会审计行业中成熟使用的“特权组合”策略，可能会给“旧金山型”事件提供解决问题的思路，在银行金库保管中，多个关键人员的钥匙共同发挥作用才能打开或关闭金库的大门，也是类似技术的应用。

　　当然，在Childs的所作所为中可以看出，直接照搬财会审计中的策略也是不现实的。因为目前类似行政管理一般的网络信息系统管理，引入财会金融行业的整套安全防范策略的时机还远远不成熟。在Childs事件出现之后的短时间内，政府和部门还不可能快速形成共识，并做出果断的响应。

　　在Childs的密码没有解开之前，目前必须要决断的是关闭网络信息系统的读写功能，避免在犹豫不决之中形成系统核心数据信息的重大损失。比如，美国原子能管理委员会(Nuclear Regulatory Commission)在发现任何异常行为时，都会关闭任何指令对关键设备的操作控制，以防意外事件的发生。其次，最小权限法则不能发挥作用的时候，只允许核心管理人员对系统进行应有的、必须的读写操作。虽然在理论上，任何用户只能在权限规定的范围内使用信息系统，但是，在获得了类似Childs所设定的超级密码之后，信息系统对于任何用户来说都是敞开怀抱的，只有对于系统的读写进行监控，才能发现是否有人在利用Childs留下的后门进入到系统中，从而减少可能发生的系统损失。

　　从理论上讲，普通用户进入系统核心区域的几率非常小。通常同一小组的雇员的权限是一致的，但是信息系统管理部门的人员往往会通过不同的用户名来登陆系统，进入系统后的权限近乎相同。如何有效划分系统的权限和使用机制是确保任何一个系统正常运行和使用的关键，而管理各类人员的登陆权限的工作则是核心中的核心。Childs目前的所为就是更改了其它管理人员正常进入系统的可能性。由于一个组织或部门中只有有限的几个人员具备这种权限，因此一旦发生危害性事件，能够很快定位破坏者的身份，但是能否从其口中获得其所设定的密码则要具体情况具体对待了。为此，目前这种几乎没有退路的信息系统安全机制亟待做出调整和改革，旧金山的数百万民众对此事件的反响程度是否会加快改革的步伐，人们正在拭目以待。

　　在美国的国防部局势信息系统中，NASA或者其它关键部门中，一旦发生了这类事件，损坏将会是致命的，有可能危及国家的安全。为此，其防范措施比其他的信息系统要考虑更为周全一些，但是有了Childs的前车之鉴之后，国防部的高级官员也感到了事情的严重性，到时候发动战争者可能不属于一个政府的行为，有可能仅仅是几个对国家心存不满的信息系统管理者，真是太可怕了。

　结束语

　　盛夏时节，一场发生于美国旧金山的颇具影响的网络安全事件和一场发生在中国改革开放前沿城市深圳市的网络安全事件给整个IT技术行业和网络安全技术领域敲响了警钟。身份管理和存取控制这两个传统的网络安全话题，今天讲来似乎颇具新意。是的，各大网络技术厂商都曾经承诺可以提供一流的身份管理和存取控制，事实上，他们的承诺距离实际的需求来说还差距不小。所有的软件制造者也纷纷承诺可以开发出万无一失的网络核心信息安全机制，事实上他们也没有实现诺言。问题的关键是，一流的身份管理措施不可能在无序的存取控制机制下发挥效能。今后相当一段时间内，网络技术企业(服务器、交换机、路由器的制造人员)和网络信息系统开发者(软件技术人员)都应该将核心和重点转到存取控制技术的完善，以及借鉴财会审计中的一些措施，防止各类来自内部蛀虫的蚕食和攻击。为什么这儿还提到了蚕食，因为攻击除了Childs做出的这种暴风骤雨式的之外，还应该有“千里之堤、毁于蚁穴”一般的另外一种方式，尽管目前还没有发现一起类似的案例。

　　只有这样，我们才能够减少任何的网络安全隐患，减少超级密码的任意设定，减少因为金钱驱动造成的信息外泄，使人们能够放心享用网络信息系统给人类带来的无上的便捷!