内鬼猖獗挑战网络安全管理体制.docVIP

　　内鬼猖獗挑战网络安全管理体制～教育资源库 　　来自旧金山的网络系统内部的侵害事件 　　Terry Childs是美国旧金山市政府网络中心的一名管理员，但是2008年7月，他却被指控对其所管理的网络实施了非法的侵害。据知情人士透露，Childs采取的行为是给网络交换机和路由器等核心设备设定了一个超级口令，致使其它任何的网络管理人员都无法完成职责权限之内的管理职能了。据报道，Childs对网络进行的设定很难得到破解，而且事发后Childs拒绝合作，导致无人能够从他口中得到恢复网络控制的任何信息。Childs该行为的直接后果就是尽管网络仍处于运行状态，但是所有的网络管理员无法操纵网络交换机和路由器，为此Childs得到了包括计算机非法篡改在内的四项指控，而且保释金达到了500万美元之巨。究竟Childs为什么会对自己衣食所依的工作对象采取如此极端的行为，目前还没有确切的说法，有人说是为了报复自己遭遇的一些不公正待遇，有人说历史上的污点没有得到人们正确的对待而心存怨恨(有报道Childs曾经有过犯罪史而被判处多年监禁)，还有人说是心理疾患造成的，然而这些说法都不能成为一个如此庞大的信息系统长期失去控制的合理解释。该事件的发生，无疑为全世界所有类似信息系统管理环节的加强敲响了警钟。 　　更令人感到震惊的是，Childs所设定的口令破解难度很大，以至于事件发生一周之后，旧金山的网络系统仍然没有解除束缚，具体原因和内情目前还没有完全透露。然而，一些专业人士已经通过事情发生蛛丝马迹在进行者猜测和分析。网络安全技术领域的权威人士Cameron Laird认为，像这样性质的事件发生在旧金山这样规模的地区，在全球尚属首次。 　　深圳泄密门内部侵害事件 　　在此之前，全球很多地区都发生过一些由于组织内部认识不检点，或者责任心不强导致的信息系统内部资料流失或被盗取等事件，但是那些已经发生案例的影响范围都非常小。两年前开始出现的这种新型的网络危害方式，在今后相当长的一段时期内，将成为网络安全的重要威胁隐患，因为在目前的网络安全体系中，无疑这是非常容易被突破的软肋。2008年6月份，我国深圳市的某保健医院曾经发生了在5分钟之内，一名内部人员利用职务之便将该院信息系统中所有的孕妇和婴儿信息盗取一空的严重网络安全泄密事件。 　　两起事件的分析比较 　　为了分析比较方便，我们不妨将我国深圳的这类网络信息系统的内部破坏行为称为深圳型(国内媒体将其称为泄密门事件)，而将Childs所制造的破坏行为称为旧金山型。深圳发生的这种来自于组织内部的攻击模式虽然形式上与Childs的行为有较大的差异，但是从本质上却非常的相似。首先，两起事件都是内部工作人员主观意识支配下的网络完整性破坏行为;其次，两起事件都是拥有较高网络权限的内部员工滥用职权的结果;第三，两起事件的结果都给组织自身造成了难以挽回的不良影响。 　　当然，两类内部攻击事件也存在很大的不同。首先，深圳这类事件是因为得到了曝光而使大家认识到了内部侵害是很容易发生的，技术起点非常低，发生的几率高，影响和破坏范围大，而Childs的所作所为则让人们看到了核心技术人员一旦要心怀歹意，给系统带来的危害程度要猛烈许多，一旦发生则会给系统带来异常严重的破坏。其次，一些非专业人士在实施深圳型破坏行为时可以得手，然而从事旧金山型破坏行为则必须要高深的专业技能。 　　两种类型事件几乎同时发生的原因何在 　　作为此类事件的分水岭，深圳型和旧金山型事件虽然在破坏程度、实施难度等方面差异都非常大，但是两类区别明显的同类事件几乎同时发生，其中深层次的原因值得专业人士们深思。这类从组织内部侵害组织所构建的信息系统的行为出现的历史并不长久，最起码是公开报道的历史不长久(不排除一些组织因为家丑不可外扬曾经对外封锁消息)，经过各种渠道汇总之后的结论表明，大概只有两年多的历史。一些软件公司的高级职员因为种种原因，席卷公司的大量原始代码而去的行为，多数法律和技术专家认为不属于恶意攻击行为，可以通过经济手段解决，为此本文的讨论不包含这类行为。 　　今年，内部侵害行为在很短时间内已经表现出从利益驱动方式(深圳型)到不计利益得失的疯狂报复方式(旧金山型)的巨大跨越，而在此之前，其它类型的信息系统侵害行为都没有在如此短的时间里发生如此大的跨越。比如，病毒出现于二十世纪六、七十年代，爆发于十九世纪九十年代中后期，目前形成相对平稳的病毒制造与病毒防治的对立阵营。一些造成重大损失的病毒爆发和破坏事件，时候几乎都出于恶作剧的范畴，事件的性质并不包含主观恶意破坏的成分，一些恶性病毒虽然可以删除磁盘文件和像CIH那样攻击主板，但是他们最初的初衷多是验证自身技术实力。真正不计后果的报复型的利用病