中小企业内部威胁防范研究

杨光 吴钰

摘 要：本文从现实内部威胁案例入手，基于美国CERT的内部威胁定义，深入分析了内部威胁的特征，并将现有威胁分成了系统破坏、信息窃取与内部欺诈三个基本类别。在此基础上，针对中小企业管理层，分别从管理与技术两个方面提出了有效的内部威胁防范建议。

关键词：内部威胁；网络安全；防范建议

中图分类号： C29 文献标识码： A 文章编号： 1673-1069（2016）24-9-2

1 概述

最近一起国内的涉密案件登上了各大媒体的头条，引起了社会各方面的广泛关注。某涉密科研单位黄某，因平时工作态度不端正、业绩始终落后被原单位解职后，出于私愤将自己在工作中复制下来的涉密内容出卖给境外间谍机关，从2002年至今共21次获取了70万美元；同时黄某还伺机从涉密单位工作的妻子与姐夫处窃取电脑上的保密文档；最终黄某被我国安全机关抓获，因间谍罪被依法判处死刑，原来就职的单位有29人受到不同程度的处分。这是一起典型的由离职人员窃取机密信息从而危害国家安全的内部威胁案例。无独有偶，早在2013年6月轰动全球的斯诺登“棱镜门（PRISM）”事件就将内部威胁带入了大众的视野。斯诺登利用其职务便利获得了对关键性系统的访问权，随后拷贝了数十万份机密文件，并将这些资料提供给英国《卫报》与美国《华盛顿邮报》的媒体记者进行发表。这些公开的资料揭示了美国国家安全局与联邦调查局于2007年就启动的一个美国有史以来最大规模的秘密监控项目。借助在美国主要互联网企业服务数据的挖掘分析，美国情报机构得以从包括音视频、图片、文档、邮件等多种数据形式中关联分析个体的行为，以达到监视监听民众通话与网络活动的目的。

与国外研究相比，国内针对内部威胁的研究相对匮乏，许多企业出于形象或保密考虑掩盖了内部威胁事件，导致国内此类威胁事件未能引起社会的高度重视。其实国内的内部威胁形式相当严峻，普华永道发布的信息安全状况调查显示，2015年中国大陆及香港企业检测到的安全事件较去年大幅增加了517%，而这其中仅由现有及离任雇员导致的企业信息安全事件就占到了总数的50%，最近涉密案件也进一步证实了本文观点。因此，十分有必要系统开展内部威胁的相关研究，研究防范方法。

2012年，美国CERT中心的内部威胁研究团队发布了针对内部威胁的第一份白皮书，其中定义内部威胁是：具有系统、网络以及数据的访问权的企业或组织员工（在职或离职）、承包商以及商业伙伴等，利用合法获得的访问权破坏组织信息系统中数据的机密性、完整性以及可用性。本文基于上述内部威胁定义，深入分析当前内部威胁案例，提取其特征，并进行基本的分类。在此基础上，本文针对中小企业中防范内部威胁给出相应的建议。

2 内部威胁特征分析

内部威胁不同于传统的外部威胁，其攻击者主要来自于安全边界内部，常由具有组织资源合法访问权的内部人实施，因此防火墙等传统安全设备作用有限。内部威胁相对外部威胁更加难以防范，因为一般具有以下特征：

透明性：攻击者来自安全边界内部，因此攻击者可以躲避防火墙等外部安全设备的检测，导致多数内部攻击对于外部安全设备具有透明性；

隐蔽性：内部攻击者的恶意行为往往发生在正常工作的间隙，导致恶意行为嵌入在大量的正常行为数据中，提高了数据挖掘分析的难度；同时内部攻击者具有组织安全防御的相关知识，因此可以采取措施逃避安全检测。所以内部攻击者对于内部安全检测具有一定的隐蔽性；

破坏性：内部威胁往往比外部威胁造成更严重的后果，主要原始是攻击者自身具有组织的相关知识，可以接触到组织的核心资产（如知识产权等），从而对组织的经济资产、业务运行以及组织信誉进行破坏，对组织造成巨大损失。

3 内部威胁基本分类

基于美国CERT的内部威胁定义，可以将当前内部威胁案例分成信息系统破坏、知识产权窃取以及内部欺诈三个基本类型，其余内部威胁案例大多可以看作基本攻击类型的混合，因此本文重点对三种基本威胁类型进行分析。

3.1 信息系统破坏

信息系统破坏是指内部人借助组织信息系统对组织或个人造成破坏和伤害。典型的案例如在系统中放置逻辑炸弹造成关键数据丢失以及系统运行中断等。此类威胁一般会对受害方造成十分严重的影响，对个人可能因为被陷害而降职、解雇失去工作机会；对企业可以造成直接的经济损失，CERT数据统计123个案例平均每个案例中受害组织损失170万美元，严重时还会造成业务中断，大批员工失业等；对政府而言，公务人员成为内部攻击者，不仅直接影响政府的声誉与信用，如发生在国防、能源等关键领域还会威胁国家安全。

内部破坏威胁的攻击者通常具备较高的技术能力，基于现有案例分析，攻击者一般是系统/数据库管理员以及程序员等技术人员。攻击的动机一般是出于攻击者对企业/组织的某种期望或诉求不能满足，从而导致因为不满而报复企业/组织。如期望更好的工资/福利待遇、职位晋升等。攻击方式如远程入侵目标服务器、放置逻辑炸弹造成系统服务中断等。

3.2 信息窃取

信息窃取是指内部人借助信息系统窃取组织数据资产的行为，数据资产一般包括组织的知识产权数据、组织信息等，如程序源代码、业务计划书、客户信息等。信息窃取威胁泄露了企业/组织的机密信息，不仅造成经济利益损失，还危及企业核心利益；严重时可如黄某泄露的军用短波保密机的技术参数与工作原理，或电信公司的软件源代码泄露导致政府官员通信被窃听等则直接威胁国家安全。

系统破坏攻击者主要是科学研究人员、技术工程人员、程序员以及销售人员等在职员工，该类员工可以接触到组织的信息资产数据；攻击动机主要是通过窃取的高价值信息谋求更好的发展机会或直接售卖获取经济利益；攻击方式则可以分为独自攻击与多个内部人合谋的团体攻击，核心步骤是访问目标数据后，利用多种媒介传输数据。

3.3 内部欺诈

内部欺诈是指内部人出于个人利益对信息系统中组织数据进行非法篡改，或窃取信息进行身份犯罪（身份窃取、信用卡诈骗等），内部欺诈不仅造成巨大的经济损失（如不良贷款等），还导致个人隐私信息大量泄露，造成极大安全隐患。

内部欺诈的攻击者通常是企业/组织中而非技术人员，如前台接待人员、行政助理等；攻击的动机多数是为了获取经济利益。Cressy等人认为内部欺诈动机大多是经济因素，如房贷还款、医疗支付等；攻击方式中合理化与机会的作用十分重要，合理化过程中攻击者需要编造理由为自己的欺诈行为提供理论支持，克服自己的愧疚，如经济拮据别无选择等；机会刻画出欺诈攻击成功的客观条件，如内部访问控制机制存在漏洞，或管理松散职责混淆等。

4 防范建议

内部威胁的透明性、隐蔽性使得现有安全设备难以全面防范，而其高危性则必须引起我们的高度重视。应对复杂的内部威胁，必须跳出传统安全防御的局限，建立管理与技术的全面防御机制。因此，本文基于现有大量内部威胁案例的分析，提出管理领域与技术领域两方面建议。

4.1 管理领域建议

管理领域建议主要目标是根据内部威胁动机分析，制定组织的管理制度以及安全策略，从而减少内部威胁的动机因素以及提高内部威胁实施的攻击成本。具体建议部分如下：

①高度重视内部威胁：管理层应对内部威胁给予高度重视，深入评估内部安全风险，制定相应的威胁防范方案，建立具有强约束力的安全管理制度。

②优化管理制度：组织应当优化现有的管理制度，努力建立公平、公正的组织制度，日常的组织管理中协调好人际关系，最小化员工的不满情绪；此外还应建立内部公开信息的有效发布机制，杜绝员工间的谣言与猜测。

③加强人员管理：人力资源部门应加强人员管理，首先招聘阶段加强应聘者档案审查，尽力评估员工岗位适应性与责任心；其次加强员工培训，一方面是提高员工内部安全意识，避免给内部攻击者留下可乘之机；另一方面是通过培训明确规章制度，建立基于惩罚的内部威胁威慑机制；最后还应定期培训管理层，培养管理层人员识别员工不满或异常状态的能力，以及时干预化解问题。

4.2 技术领域建议

技术领域建议主要目标是通过建立健全内部威胁检测系统，从用户的系统行为中及时发现可能的威胁痕迹，以提供最快的应急响应，将组织因内部威胁遭受的实际损失最小化。具体我们提出以下建议：

①全面多层次的内部安全审计：必须对内部信息系统实行全面多层次的安全审计，全面是指组织内的所有计算机、服务器等信息系统设备以及所有可以登录访问系统的内部用户的行为均应无例外审计；多层次则是指审计必须包含主机与网络两个层次，具体内容应包括基本的登录/登出，文件访问、HTTP应用以及邮件收发应用等多种类型行为记录均需进行审计。

②细粒度的访问控制策略：内部威胁通常都要涉及越权的非法操作，现有的基于角色的访问控制策略并不能完全杜绝用户的越权访问，因此应当根据组织的实际情况优化现有的职能角色结构，分析任务需求从而制定更具体、更完善的访问控制策略，以建立尽可能细粒度的策略控制，贯彻“最小权限”原则。

③建立内部威胁检测系统：原先的IDS/IPS系统中扩展功能，融入内部威胁检测模块利用已有的入侵检测/防护网络和设备来执行内部威胁检测任务；及时加固系统，针对已知的漏洞进行升级，以降低系统被攻击成功的概率。

5 总结

信息化时代下，企业/组织的核心业务与机密数据都存储在信息系统之中，内部威胁因为先天具有隐蔽性强、破坏性大的攻击特点，从而可以直接威胁到企业/组织的核心利益，造成严重危害，因此内部威胁必须引起中小企业管理层高度重视。本文从实际内部威胁案例入手，基于美国CERT内部威胁定义，深入分析内部威胁特征，并对现有内部威胁案例分类。基于分析，针对中小企业管理层分别从管理与技术两个领域提出内部威胁防范建议。应对内部威胁的巨大挑战，不仅需要中小企业上下高度重视，统一管理，制定科学的安全管理策略，还需要建立健全完备的内部威胁检测系统，从技术上及时发现内部攻击痕迹，迅速响应将损失最小化。

参 考 文 献

[1] 维基百科：ttps：//en.wikipedia.org/wiki/PRISM%28surveillan

ceprogram%29.

[2] L.A.Gordon，M.P.Loeb，W.Lucyshyn，and Robert R.CSI/FBI computer crime and security survey，2006.

[3] The Seven Largest Insider-Caused Data Breaches of 2014，C.P.，2014.

[4] 普华永道中国：http：//www.pwccn.com/home/chi/index_chi.html.