引言

媒體連篇累牘的關(guān)于黑客入侵的報道，在引導人們增強信息安全意識的同時，也把人們的注意力強烈地導向到重視防范來自外部的信息安全事件。這固然是重要的，但卻是片面的。對信息安全保障的威脅，從來就來自"內(nèi)"、"外"兩個方面，而且外因通過內(nèi)因起作用，堡壘最容易從內(nèi)部攻破。盡管各種威脅列表中一般總不忘把"insider threat（內(nèi)部人員威脅）"列入其中，但由于缺乏有效的內(nèi)部人員威脅解決方案，甚至很少有這方面的研究項目，大多數(shù)人對內(nèi)部人員威脅的認識僅限于泛泛的概念層面上，長此以往，對內(nèi)部人員威脅的研究有可能成為安全領(lǐng)域的一項空白。為此，本文討論了國際上對內(nèi)部人員威脅研究的最新進展，希望能夠引起研究界對內(nèi)部人員威脅解決方案的關(guān)注，并藉此機會大聲疾呼?quot;攘外"勿忘"安內(nèi)"！

一、insider威脅向我們走來

特定的安全解決方案必然要針對特定的安全威脅，此所謂有的放矢。因此，幾乎所有的系統(tǒng)介紹安全的文獻中都會談及各類安全威脅，而"內(nèi)部人員威脅"則免不了是"座上客"。圖一是美國國家安全局撰寫的《信息保障技術(shù)框架》中對安全威脅的分類。

現(xiàn)在，在90年代初的資料中我們也可以找到專家對內(nèi)部人員威脅的描述，但近來導致人們對內(nèi)部人員威脅開始投入更多注意力的因素則來自于兩個方面：

其一就是2001年上半年的美國聯(lián)邦調(diào)查局漢森間諜案。作為FBI高級雇員的漢森，為前蘇聯(lián)和俄羅斯充當了15年之久的間諜，出賣了大量國家核心機密，并且在FBI嚴格的安全制度下游刃有余，他甚至可以隨時閱覽FBI的案件卷宗，判斷其間諜行為是否已引起了FBI的懷疑。

漢森案震驚了美國朝野，余波至今尚未平息。安全專家們驚呼："我們從這次事件中得到的最重要的教訓就是，大多數(shù)安全缺口是來自于內(nèi)部，而非外部。"并且又一次重申："安全……首先--而且是最主要的，它是有關(guān)人和政策的學問。"

而對一系列計算機犯罪統(tǒng)計數(shù)字分析的結(jié)果，也促使了更多的人去關(guān)注內(nèi)部人員威脅。

根據(jù)FBI和計算機安全學會(CSl)最近對359個公司的調(diào)查，在2000年由于非授權(quán)的內(nèi)部人員對IT系統(tǒng)的訪問和濫用，造成了這些公司超過5000萬美元的損失。在這些公司中，有38％的公司在上一年度發(fā)生了一至五起內(nèi)部人員職務濫用事件，而有37％的公司說他們不知道公司中發(fā)生了多少起同內(nèi)部人員有關(guān)的安全事件。

國內(nèi)外從事信息安全的專業(yè)人士，通過調(diào)查逐步認識到，媒體炒得火熱的外部入侵事件，充其量占到所有安全事件的20%-30%，而70%-80%的安全事件來自于內(nèi)部。從不同渠道來的統(tǒng)計數(shù)據(jù)略有差別，但就國內(nèi)的情況來說，內(nèi)部人員犯罪（或于內(nèi)部人員有關(guān)的犯罪）一般占到了計算機犯罪總量的70%以上。只要略微統(tǒng)計一下本年度媒體批露的幾次計算機犯罪事件，就不難發(fā)現(xiàn)這個趨勢。

圖一 關(guān)鍵基礎(chǔ)設施威脅圖

隨著內(nèi)部人員威脅的加劇，內(nèi)部人員犯罪已經(jīng)體現(xiàn)出了"危害大、難抵御、難發(fā)現(xiàn)"的特點：
(1)內(nèi)部人員最容易接觸敏感信息，并且他們的行動非常具有針對性，危害的往往是機構(gòu)最核心的數(shù)據(jù)、資源等。
(2)一般說來，各機構(gòu)的信息安全保護措施都?quot;防外不防內(nèi)"，比如很多公司賴以保障其安全的防火墻對內(nèi)部人員攻擊毫無作用，形同虛設。
(3)內(nèi)部人員對一個機構(gòu)的運作、結(jié)構(gòu)、文化等情況非常熟悉，導致他們行動時不易被發(fā)覺，事后難以被發(fā)現(xiàn)。
因此，不管我們是以樂觀還是悲觀的心態(tài)來看待信息安全的現(xiàn)狀以及未來發(fā)展，我們都可以意識到一個事實：insider威脅已經(jīng)由威脅列表中的簡簡單單的一句話而變成了異乎嚴峻的現(xiàn)實，insider威脅正漸漸向我們走來。而我們卻缺乏對其系統(tǒng)、理論的研究。

二、內(nèi)部人員威脅研究的歷史階段

國際上對內(nèi)部人員威脅注意得比較早，已經(jīng)做了一些相對來說比較深入的研究。大體上，內(nèi)部人員威脅研究可以分為三個階段。

啟蒙階段

這一階段的顯著特點是，還沒有明確提出"insider threat"的概念，但已經(jīng)在安全策略的實施上有意無意地加入了內(nèi)部人員控制手段。這其中最具代表性的是80年代美國國防部的TCSEC（橘皮書）中討論的訪問控制機制。訪問控制機制緊跟鑒別機制的使用，顯然，通過了鑒別機制后，訪問者就已經(jīng)屬于內(nèi)部人員，因此可以說它實現(xiàn)了對內(nèi)部人員的分權(quán)制衡?，F(xiàn)在看來，我們也許不會認為訪問控制機制如何了得，但從"insider threat"的角度看，訪問控制機制的意義是非常重大的。

意識階段

對信息最敏感的部門非軍方莫屬，因此在歷史上最早也是由軍方開始對內(nèi)部人員威脅給予注意的。但該階段對內(nèi)部人員威脅的研究只是處于概念意義上，沒有出現(xiàn)成熟的想法，人們渴望問題得到解決但卻感到一片茫然。最終也只是對內(nèi)部人員的特征、危害等問題有了一定的意識和了解，為后續(xù)的研究打了一定的基礎(chǔ)，這一階段稱?quot;意識階段"。目前很多地方的研究也還只停留于此。

該階段的代表性研究是美國國防部在意識到內(nèi)部人員威脅是關(guān)鍵國防信息系統(tǒng)的最大威脅之一后，所啟動的"國防部內(nèi)部人員威脅減災計劃"。最終，國防部在1999年6月做出了報告：《DoD Insider Threat Mitigation Plan: Final Report of the Insider Threat Integrated Process Team》。但這份報告的缺點在于，把目光放在了短期行為上，希望以不長的時間、不大的代價來減弱內(nèi)部人員威脅，因此在現(xiàn)實上對問題的解決很有限。并且，它對于內(nèi)部人員的定義過寬，甚至延拓到了如微軟、思科等供應商的全體雇員之中，理論意義笥諳質(zhì)狄庖濉?br> 初級研究階段
近年來信息安全的概念已大大擴充，美國確立了"信息保障"的觀念來處理關(guān)鍵基礎(chǔ)設施保護。"內(nèi)部人員"問題面對新的歷史時期，新的觀念、技術(shù)，在更高層次上再次得到了關(guān)注，我們稱其為"初級研究階段"。與前兩個階段不同的是，該階段中人們已經(jīng)開始了對內(nèi)部人員威脅解決方案的系統(tǒng)研究，做了大量嘗試。但由于"內(nèi)部人員威脅"這一問題的復雜度，這類研究尚處于初級的水平。

由美國軍方（包括國安局、副部長辦公室等）發(fā)起，著名的蘭德公司（RAND）公司（該公司是美國政府與軍方的智囊團成員）出面組織的內(nèi)部人員威脅研究系列會議（以下簡稱蘭德會議）則是這一階段的代表性成果。

蘭德會議如今已召開兩次（1999年8月16日至18日，2000年8月30日至9月1日），每次會議的參加者均為40人左右，分別來自軍方、研究界、工業(yè)界和政府等方面。這兩次會議基本反映了當前內(nèi)部人員威脅研究的最高水準，其研究思路、研究方法和研究成果具有很高的參考價值。

三、第一次蘭德會議

第一次蘭德會議名為"用以預防、檢測和響應關(guān)鍵防務信息系統(tǒng)中內(nèi)部人員濫用的研發(fā)活動"，會議的目的主要是建議和啟動有關(guān)內(nèi)部人員問題的技術(shù)研究項目，在更加基礎(chǔ)的級別上解決內(nèi)部人員威脅問題。

(一）前奏活動

蘭德會議認為，在確定內(nèi)部人員威脅研究的方向、重點和研發(fā)項目之前，需要一個使研發(fā)活動得以有效施行的環(huán)境，因此有必要在概念、政策等方面開展一系列的前奏活動。具體分為如下9項：

1． 法律和執(zhí)法機關(guān)應該對數(shù)據(jù)的分發(fā)、收集、維護、處理和存儲有明確的方針和要求，以供研究界參照。

防范內(nèi)部人員犯罪的途徑之一是加強審計和取證工具的使用，但在研究界開發(fā)出有效的內(nèi)部人員犯罪數(shù)據(jù)收集工具之前，需要借助法律和執(zhí)法機關(guān)的力量，他們應對犯罪數(shù)據(jù)、審計蹤跡等信息有明確的方針和要求。

2． 需要清晰地定義"內(nèi)部人員濫用"這一概念下需保護的"關(guān)鍵資產(chǎn)"。

確定關(guān)鍵資產(chǎn)是任何保護措施施行前的第一步，內(nèi)部人員威脅研究也不例外。在確定關(guān)鍵資產(chǎn)的同時，也要明確，針對這些關(guān)鍵資產(chǎn)的何種行動能夠被定性為"濫用"，因為同樣的行為，如果由角色不同的人來實施，其性質(zhì)是不同的。這為"關(guān)鍵資產(chǎn)的確定"這項工作提出了新的課題，而此前，這項工作并不涉及對"濫用"的判定（因為以往的關(guān)鍵資產(chǎn)確定工作針對的是外部威脅）。

3． 需要清晰地定義什么是"內(nèi)部人員"

對"內(nèi)部人員"的定義其實是內(nèi)部人員研究中的一大難題，與會者在討論這個問題時開玩笑說，內(nèi)部人員的角色就像變色龍的顏色一樣易變。蘭德會議為此頗費苦心，與會者提出了大量問題，并希望這些問題有助于使"內(nèi)部人員"的定義逐漸明晰。

定義環(huán)境

物理訪問-"空間邊界"。"內(nèi)部人員威脅"這一問題是否涉及對關(guān)鍵資產(chǎn)的物理訪問？因為物理訪問有時超越了信息系統(tǒng)的控制范圍。
計算機訪問-"邏輯邊界"。怎樣看待內(nèi)部人員問題中的計算機保護邊界（比如路由器、防火墻和保護性應用程序等）？
執(zhí)法環(huán)境。為了使執(zhí)法界對insider事件進行預備和響應，是否要有相關(guān)的規(guī)定和要求？

定義內(nèi)部人員

正常的-反常的－有惡意的。內(nèi)部人員的意圖是什么？"正常的"內(nèi)部人員的行為不會造成威脅。"反常的"內(nèi)部人員的行為可能包括日常的錯誤。這些日常錯誤可能引起系統(tǒng)的削弱或隱私信息的無意泄露。"有惡意的"是懷有惡意企圖的內(nèi)部人員的行為。

新手-熟練的。內(nèi)部人員具有何種級別的技能？包括他們的技能儲備的數(shù)量和質(zhì)量，檢測災難的知識等因素。

內(nèi)在環(huán)境的知識。內(nèi)部人員了解多少有關(guān)工作系統(tǒng)內(nèi)部的空間或邏輯邊界？會上討論了內(nèi)部人員對內(nèi)部環(huán)境的各種程度的知識和了解。

固有的特權(quán)。什么是內(nèi)部人員具有的物理和管理的特權(quán)？這同內(nèi)部環(huán)境的知識相關(guān)。

密切的程度。要對內(nèi)部人員之間的關(guān)系、他們的角色和特權(quán)以及他們同組織的密切度有充分的把握，這有助于更好地理解內(nèi)部人員威脅。要區(qū)別永久雇員、臨時雇員、外部人力資源、以前的雇員、系統(tǒng)開發(fā)人員等不同角色，以確定內(nèi)部人員的機會、動機、技巧和系統(tǒng)脆弱性。

人-代碼/硬件。內(nèi)部人員是個體的人、軟件、固件或硬件嗎？與會者大量討論了一個內(nèi)部人員不必是一個單獨的人。例如，惡意的代碼被看作是一種典型的、普遍但拙劣的內(nèi)部人員威脅。

經(jīng)過這些討論，蘭德會議形成了下列一些認識（注意不是共識）：

• 執(zhí)法界與技術(shù)界對內(nèi)部人員的認識是不同的。對執(zhí)法人士來說，內(nèi)部人員威脅涉及到授權(quán)人員對內(nèi)部知識的運用，內(nèi)部人員威脅與信任關(guān)系的破壞有關(guān)。而對技術(shù)人士來說，內(nèi)部人員威脅是發(fā)生于安全邊界（比如防火墻）之內(nèi)的事件，能夠影響一個組織或系統(tǒng)保護域之內(nèi)操作運行的任何人都可稱?quot;內(nèi)部人員"。
• 軟件代理/移動代碼技術(shù)、多種信息技術(shù)的融合以及在修復千年蟲問題中引入的新bug都屬于非人類的"內(nèi)部人員威脅"，一個組織的外部資源也可能產(chǎn)生"內(nèi)部人員威脅"，比如"合作方內(nèi)部人員威脅"。

• 動機
• 實現(xiàn)動機的機遇
• 目標信息系統(tǒng)之中的脆弱性
• 利用脆弱性的技巧
  任何威脅分析都至少應在一個約束機制下進行，那就是"沖擊門限"--也就是說，要確定風險在什么時候大到了無法忽視的地步（即門限）。
  蘭德會議工作組在三種范疇內(nèi)刻畫了內(nèi)部人員威脅：
• 能夠"到達"（即暴露或風險）關(guān)鍵部件和敏感數(shù)據(jù)的程度以及與此相關(guān)的成本。
• 事件發(fā)生的頻度和強度，以及檢測的成本。
• 內(nèi)部人員威脅對業(yè)務和技術(shù)的帶來的沖擊。

• 授權(quán)用戶
• CERT人員
• 網(wǎng)絡管理員
• 系統(tǒng)維護人員
• 系統(tǒng)管理員
• 建筑物維修人員
• 信息安全官員
• 建筑物安全人員

1. 使內(nèi)部人員攻擊事件的結(jié)果同特定的內(nèi)部人員威脅對應起來，開發(fā)響應式的配置控制工具
   當一次內(nèi)部人員濫用事件被檢測到時，應該有相應的方法來確定事件所代表的威脅的性質(zhì)和危害度?；谶@些性質(zhì)和危害度，有可能使用工具來自動化地對系統(tǒng)進行配置，作為事件的響應，從而使危害減至最小。
2. 開發(fā)內(nèi)部人員信任模型
   "內(nèi)部人員"事實上包含了各種各樣的角色，要能夠確定各個角色的信任度，并使這些不同的信任級別表示為機器可讀的格式。
3. 開發(fā)使非法結(jié)果能夠與用戶相映射的工具
   當檢測到系統(tǒng)異常時，它是否是由內(nèi)部人員引起的呢？如果是，如何能夠追蹤到具體的用戶？這里要求開發(fā)的工具就是用來解決該問題。
4. 用以確定非法結(jié)果的"簽名"
   當濫用事件發(fā)生時，我們需要事件的"指示器"，否則，無以確認威脅的級別。因此，要基于案例研究和濫用可能性分析來開發(fā)非法結(jié)果的"簽名"。

1. 創(chuàng)建認證部件
   認證是最傳統(tǒng)、最基本的安全措施之一，但很多認證技術(shù)并不適用于復雜的系統(tǒng)或具有復雜交互作用的系統(tǒng)，內(nèi)部人員甚至完全有能力對認證部件施以破壞，因此創(chuàng)建針對內(nèi)部人員威脅的認證部件顯得極為需要。這個部件必須適用于多級處理環(huán)境，且必須和使用者的密鑰和令牌捆綁，此外，該部件要能夠涵蓋注銷和恢復等行為。其性能和操作標準必須滿足用戶的需求，比如達到每秒1000次事務處理的能力。
2. 開發(fā)訪問控制部件
   對內(nèi)部人員威脅來說，訪問控制機制是非?；镜氖侄?。然而，不同以往，我們需要的是更加精致的訪問控制來減少內(nèi)部威脅的脆弱性，比如針對每一個文件、每一次事務或每一個包。--當然，這樣的粒度也是昂貴的。除此之外，訪問控制還要能夠在不同的平臺間操作。研究的目標還包括要減少訪問控制管理和維護的成本以及開發(fā)出新類型的訪問控制機制來減少可信內(nèi)部人員面臨的脆弱性。此外，什么人控制訪問控制是首先就是一個內(nèi)部人員問題，這個問題也要處理好。
3. 為安全系統(tǒng)開發(fā)一個雙向的可信路徑
   即使一個系統(tǒng)的完整性和認證問題已經(jīng)得以解決，惡意的用戶仍可以通過其它手段來獲得系統(tǒng)特權(quán)--比如，惡意用戶可通過欺騙圖形用戶界面來竊取登錄名和口令。一個可能的解決方案是創(chuàng)建通往這個安全系統(tǒng)的確實的可信路徑，這是一個安全體系結(jié)構(gòu)中非?；A(chǔ)的一部分。
4. 開發(fā)屬性綁定部件
   每一個特定的行為都應該同個人聯(lián)系在一起。為此，水印或指紋技術(shù)將會扮演重要的角色。但需要指出的是，內(nèi)部人員有可能直接去訪問這類機制，從而使機制失效。一個可能的解決方案是在屬性綁定機制中使用強加密。

1. 開發(fā)輪廓，使之發(fā)展成一項技術(shù)
   一個"用戶輪廓" 包含可以從其他用戶中區(qū)別這個使用者或者代理的特征信息（注意"使用者"一詞可以涉及進程、命令、功能等）。
   該輪廓可以包括這樣一些信息：通常被訪問的文件和進程；登錄后通常使用的時間周期；擊鍵模式以及很多其它的屬性。使用這樣的輪廓可能開發(fā)出針對在事發(fā)前未曾遇到過的非法行為的異常檢測，而以前適用的基于簽名的方法則對未知惡意行為無能為力。
2. 檢測應用的濫用
   很多對"內(nèi)部人員問題"有所關(guān)心的人通常只不過關(guān)注內(nèi)部人員對數(shù)據(jù)的不當訪問。而另外一個有用的內(nèi)部人員濫用警示則是對系統(tǒng)中進程和應用程序的不當使用。這一點不應忽視。
3. 提供對系統(tǒng)客體的使用進行跟蹤的能力
   非常有必要針對文件或程序等系統(tǒng)客體的使用路徑開發(fā)審計蹤跡。一旦懷疑出現(xiàn)了內(nèi)部人員濫用，經(jīng)由審計蹤跡就能夠調(diào)查出用戶對系統(tǒng)對象的訪問情況。
4. 自動地識別關(guān)鍵信息
   當代信息系統(tǒng)經(jīng)常要收集上千兆比特的數(shù)據(jù)和信息，很多關(guān)鍵文件的的靜態(tài)列表以及進程并不是一眼就可以看出關(guān)聯(lián)性的。該項研究涉及到能夠自動地識別一個系統(tǒng)中的關(guān)鍵信息。
5. 制定系統(tǒng)設計原則，使可檢測性成為系統(tǒng)的主要特征之一
   檢測一個內(nèi)部人員的濫用是非常困難的。如果存在一種體系結(jié)構(gòu)并且一個系統(tǒng)在設計時就專門考慮了濫用的可檢測性，那么這項工作將變得很容易。
6. 要能夠檢測出與物理訪問有關(guān)的非授權(quán)變更
   內(nèi)部人員的一個重要特征是，他們通常持有對系統(tǒng)設備的物理訪問（級別不等）。因此，他們可以造成系統(tǒng)的物理改變，例如在網(wǎng)絡上安裝另一個臨時的客戶機或主機計算機，變更電纜或調(diào)制解調(diào)器的插頭，這些都是極為危險的行為。所以，實時地檢測這些物理的改變是非常之重要的。

1. 針對保密性增強的系統(tǒng)，比如使用了加密機制的系統(tǒng)，開發(fā)相應的監(jiān)控技術(shù)，
   很多信息系統(tǒng)中都已經(jīng)采用了文件或數(shù)據(jù)加密等措施，這為監(jiān)控濫用增加了不小的難度，尤其是當內(nèi)部人員可以訪問那些保密性增強機制時。因此有必要開發(fā)新的機制來對保密性增強的系統(tǒng)進行有效監(jiān)控。
2. 在系統(tǒng)中組織實用的自動系統(tǒng)響應功能
   內(nèi)部人員能夠在片刻之間造成巨大破壞，故而應該在如此短的時間范圍內(nèi)及時地檢測事件，從而快速阻止或減輕損壞的程度，這意味著要采用自動響應過程。問題是：如何在保持有效性反應的同時不引起副作用？特別是，如果內(nèi)部人員知道有這樣一個自動系統(tǒng)在使用，他能夠用來傷害這個系統(tǒng)本身（比如他可以通過對自動響應功能的觸發(fā)來削弱系統(tǒng)的性能）。如果系統(tǒng)開發(fā)者在系統(tǒng)中創(chuàng)建了與響應相關(guān)的能力，那么自動化響應的發(fā)起將非常容易。但與響應相關(guān)的能力包括那些呢？實施起來是否容易？為了在商用現(xiàn)成系統(tǒng)中引入這些能力，政府和軍方需要提供那些激勵機制？這些問題都是研究過程中要思考和解決的。
3. 開發(fā)數(shù)據(jù)關(guān)聯(lián)工具，包括針對內(nèi)部濫用的計算機執(zhí)法取證工具和可視化工具
   為了在對一個潛在的或事實已發(fā)生的濫用事件進行響應，有必要將來自多種源頭的數(shù)據(jù)進行關(guān)聯(lián)和分析，而且要捕獲和存儲用以計算機執(zhí)法的相關(guān)數(shù)據(jù)，還要對復雜模式進行可視化，這樣才可以對一次濫用事件獲得全面的理解，有利于對其做出反應。但現(xiàn)在這樣的工具極為缺乏。
4. 提供用來對非網(wǎng)絡化的部件進行監(jiān)視的能力
   不是所有的信息系統(tǒng)部件都是在線的或利于查詢相關(guān)數(shù)據(jù)。電話記錄、考勤卡、各種硬件設置等等都同響應有關(guān)，但來自這些源頭的數(shù)據(jù)難以關(guān)聯(lián)和融合，現(xiàn)在極為需要能夠?qū)崟r收集這些數(shù)據(jù)的手段。
5. 考慮可適用的欺騙技術(shù)
   "兵不厭詐"，欺騙技術(shù)在軍事操作中--不管是進攻還是防御--長期扮演著關(guān)鍵的角色。在內(nèi)部人員威脅研究中，欺騙技術(shù)有助于從更多的角度認識內(nèi)部人員濫用的各個方面，特別是惡意內(nèi)部人員的興趣、意圖以及人們在理解和使用系統(tǒng)設備時的熟練程度。這項研究的重點在于，要適當?shù)厥褂闷垓_技術(shù)，以獲取對惡意內(nèi)部人員屬性的了解。