• 電話:0571-88994238/39/40
  • 傳真:0571-88994238-809
  • 地址:浙江省杭州市文三路259號 昌地火炬大廈 2號樓 1101
新聞詳細頁您當前位置:主頁 > 案例展示 > 專題文章 >

“攘外”勿忘“安內”--談內部人員威脅研究

作者:趙戰生 左曉棟  發布日期:2007-11-02

  一.引言

  媒體連篇累牘的關于黑客入侵的報道,在引導人們增強信息安全意識的同時,也把人們的注意力強烈地導向到重視防范來自外部的信息安全事件。這固然是重要的,但卻是片面的。對信息安全保障的威脅,從來就來自“內”、“外”兩個方面,而且外因通過內因起作用,堡壘最容易從內部攻破。盡管各種威脅列表中一般總不忘把“Insiderthreat(內部人員威脅)”列入其中,但由于缺乏有效的內部人員威脅解決方案,甚至很少有這方面的研究項目,大多數人對內部人員威脅的認識僅限于泛泛的概念層面上,長此以往,對內部人員威脅的研究有可能成為安全領域的一項空白。為此,本文討論了國際上對內部人員威脅研究的最新進展,希望能夠引起研究界對內部人員威脅解決方案的關注,并藉此機會大聲疾呼:“攘外”勿忘“安內”!

  二.Insider威脅向我們走來

  特定的安全解決方案必然要針對特定的安全威脅,此所謂有的放矢。因此,幾乎所有的系統介紹安全的文獻中都會談及各類安全威脅,而“內部人員威脅”則免不了是“座上客”。圖一是美國國家安全局撰寫的《信息保障技術框架》中對安全威脅的分類。

  現在,在90年代初的資料中我們也可以找到專家對內部人員威脅的描述,但近來導致人們對內部人員威脅開始投入更多注意力的因素則來自于兩個方面:

  其一就是2001年上半年的美國聯邦調查局漢森間諜案。作為FBI高級雇員的漢森,為前蘇聯和俄羅斯充當了15年之久的間諜,出賣了大量國家核心機密,并且在FBI嚴格的安全制度下游刃有余,他甚至可以隨時閱覽FBI的案件卷宗,判斷其間諜行為是否已引起了FBI的懷疑。

  漢森案震驚了美國朝野,余波至今尚未平息。安全專家們驚呼:“我們從這次事件中得到的最重要的教訓就是,大多數安全缺口是來自于內部,而非外部”。并且又一次重申:“安全……首先--而且是最主要的,它是有關人和政策的學問。”

  而對一系列計算機犯罪統計數字分析的結果,也促使了更多的人去關注內部人員威脅。

  根據FBI和計算機安全學會(CSI)最近對359個公司的調查,在2000年由于非授權的內部人員對IT系統的訪問和濫用,造成了這些公司超過5000萬美元的損失。在這些公司中,有38%的公司在上一年度發生了一至五起內部人員職務濫用事件,而有37%的公司說他們不知道公司中發生了多少起同內部人員有關的安全事件。

  國內外從事信息安全的專業人士,通過調查逐步認識到,媒體炒得火熱的外部入侵事件,充其量占到所有安全事件的20%~30%,而70%~80%的安全事件來自于內部。從不同渠道來的統計數據略有差別,但就國內的情況來說,內部人員犯罪(或于內部人員有關的犯罪)一般占到了計算機犯罪總量的70%以上。只要略微統計一下本年度媒體批露的幾次計算機犯罪事件,就不難發現這個趨勢。

  圖1 關鍵基礎設施威脅圖

  隨著內部人員威脅的加劇,內部人員犯罪已經體現出了“危害大、難抵御、難發現”的特點:

  (1)內部人員最容易接觸敏感信息,并且他們的行動非常具有針對性,危害的往往是機構最核心的數據、資源等。

  (2)一般說來,各機構的信息安全保護措施都“防外不防內",比如很多公司賴以保障其安全的防火墻對內部人員攻擊毫無作用,形同虛設。

  (3)內部人員對一個機構的運作、結構、文化等情況非常熟悉,導致他們行動時不易被發覺,事后難以被發現。

  因此,不管我們是以樂觀還是悲觀的心態來看待信息安全的現狀以及未來發展,我們都可以意識到一個事實:Insider威脅已經由威脅列表中的簡簡單單的一句話而變成了異乎嚴峻的現實,Insider威脅正漸漸向我們走來。而我們卻缺乏對其系統、理論的研究。

  三.內部人員威脅研究的歷史階段

  國際上對內部人員威脅注意得比較早,已經做了一些相對來說比較深入的研究。大體上,內部人員威脅研究可以分為三個階段。

  1.啟蒙階段

  這一階段的顯著特點是,還沒有明確提出“Insiderthreat”的概念,但已經在安全策略的實施上有意無意地加入了內部人員控制手段。這其中最具代表性的是80年代美國國防部的TCSEC(橘皮書)中討論的訪問控制機制。訪問控制機制緊跟鑒別機制的使用,顯然,通過了鑒別機制后,訪問者就已經屬于內部人員,因此可以說它實現了對內部人員的分權制衡。現在看來,我們也許不會認為訪問控制機制如何了得,但從“Insiderthreat”的角度看,訪問控制機制的意義是非常重大的。

  2.意識階段

  對信息最敏感的部門非軍方莫屬,因此在歷史上最早也是由軍方開始對內部人員威脅給予注意的。但該階段對內部人員威脅的研究只是處于概念意義上,沒有出現成熟的想法,人們渴望問題得到解決但卻感到一片茫然。最終也只是對內部人員的特征、危害等問題有了一定的意識和了解,為后續的研究打了一定的基礎,這一階段稱“意識階段”。目前很多地方的研究也還只停留于此。

  該階段的代表性研究是美國國防部在意識到內部人員威脅是關鍵國防信息系統的最大威脅之一后,所啟動的“國防部內部人員威脅減災計劃”。最終,國防部在1999年6月做出了報告:《DoD Insider Threat Mitigation Plan:Final Reportofthe Insider Threat Integrated Process Team》。但這份報告的缺點在于,把目光放在了短期行為上,希望以不長的時間、不大的代價來減弱內部人員威脅,因此在現實上對問題的解決很有限。并且,它對于內部人員的定義過寬,甚至延拓到了如微軟、思科等供應商的全體雇員之中,理論意義大于現實意義。

  3.初級研究階段

  近年來信息安全的概念已大大擴充,美國確立了“信息保障”的觀念來處理關鍵基礎設施保護。“內部人員”問題面對新的歷史時期,新的觀念、技術,在更高層次上再次得到了關注,我們稱其為“初級研究階段”。與前兩個階段不同的是,該階段中人們已經開始了對內部人員威脅解決方案的系統研究,做了大量嘗試。但由于“內部人員威脅”這一問題的復雜度,這類研究尚處于初級的水平。

  由美國軍方(包括國安局、副部長辦公室等)發起,著名的蘭德公司(RAND)公司(該公司是美國政府與軍方的智囊團成員)出面組織的內部人員威脅研究系列會議(以下簡稱蘭德會議)則是這一階段的代表性成果。

  蘭德會議如今已召開兩次(1999年8月16日至18日,2000年8月30日至9月1日),每次會議的參加者均為40人左右,分別來自軍方、研究界、工業界和政府等方面。這兩次會議基本反映了當前內部人員威脅研究的最高水準,其研究思路、研究方法和研究成果具有很高的參考價值。

  • 售前咨詢
  • 售后服務
  • 渠道管理
亚洲无吗|男女黄段视频高清|ten1819第一次处|在线观看视频亚洲电影