分析：內部黑手頻頻探囊安全網絡

　　[編者按]

　　網絡安全和互聯網與生俱來。《經濟學人》最近的一項調查顯示，45%的企業高管表示，在企業網絡上存儲敏感的客戶數據令他們感到特別不安全。

　　在談及信息安全時，人們總習慣將視角投向防火牆、殺毒軟件、黑客等外部因素，但不容忽視的是來自內部的網絡威脅，正如本文所講述的三個故事。

　　魔高一尺，道高一丈。種種破壞信息系統的技術總有相應的制伏之術，而真正危險的是缺乏應對信息安全的管理機制。管理機制的缺失，使得企業在面對來自內部的信息威脅時，往往束手無策。

　　企業應該建立怎樣的信息安全管理機制？本報欲以本文拋磚引玉，與業界繼續進行進一步探討。

　　接下來的5年時間，即將碩士畢業的蘇強將在監獄中度過。

　　『被告人蘇強利用為銀行設計、維護ATM機軟件的工作之便，從ATM機上盜取他人信用卡信息進行信用卡詐騙案，判處其有期徒刑5年，並罰款5萬元。』6月19日，上海市閘北區人民法院當庭宣判。

　　實際上，這種內部人利用信息技術盜取他人錢財的事情在IT業內時有發生。2006年6月份，華為公司工程師王林勇利用編寫的程序盜取了70多萬元的移動充值卡。2006年2月，UT斯達康工程師程稚瀚利用之前給西藏移動安裝系統的機會，盜取了370多萬元的移動充值卡，並出售套利。

　　『所有的信息系統設置都是基於內部人完全可以信任為前提的。』一直從事數據安全業務的GDS萬國數據公司總裁黃偉認為，對外部人侵入系統，尚可設置防火牆等技術手段予以攔截，但這種內部人利用數據信息犯罪則難以防范，『唯一能做的就是不斷的加強流程、技術上管理』。

　　ATM系統的『內鬼』

　　2003年8月，大學畢業的蘇強進入一家ATM機公司，職務為編寫ATM自動取款機軟件工程師，這是他的第一份工作。

　　2個月後，蘇強開始為國內股份制商業銀行上海分行臨汾路自助網點安裝、調試兩臺ATM自動取款機。精通軟件的蘇強在軟件編程過程中很快發現，ATM自動取款機的加密程序上有些『BUG』，於是，一時興起的蘇強編寫了一個窺探程序，該程序可以記錄該ATM用戶的銀行卡卡號、磁條信息和密碼，並將這個窺探程序安裝到了兩臺ATM自動取款機上。『當時只是覺得好玩。』蘇強在法庭上為自己辯解。

　　『很多軟件工程師都有這種癖好，希望找到系統的漏洞，以此證明自己的技術水平。』黃偉表示。

　　2003年11月，在對這兩臺ATM機進行維護的時候，蘇強打開了自己當時編寫的程序，發現窺探程序竟然記錄了7000多條用戶的信息。蘇強將這些信息拷貝到了自己的筆記本電腦上，為了不留下痕跡，蘇強又刪除了自己當時編寫的程序。

　　但是生活的窘迫很快讓蘇強想到利用這些數據來牟利。2004年9月，蘇強進入上海一所大學攻讀碩士研究生，沒有收入來源的他想起了那堆數據。很快，蘇強就開始了行動，從市場上購買了磁卡寫碼讀卡器，又在電腦市場買了空白磁卡，開始偽造銀行卡。

　　第一張銀行卡制作出來時，蘇強有點忐忑不安，只好讓女朋友前去取錢，他的女朋友就從銀行取出了200元現金。從此，蘇強一發不可收拾，此後的近兩年時間，蘇強如法炮制，先後偽造多張銀行卡，共計提取了6萬多元現金。由於蘇強復制出來的銀行卡，其客戶信息、密碼完全正確，銀行根本無法辨其真假。

　　一位客戶在取款時發現卡裡莫名其妙地少了4500元，銀行顯示這筆現金是在無錫被取走的，但這位客戶根本就沒有去過無錫，於是他向警方報案。此後，上海警方也陸續收到了10多位銀行卡用戶的報案，都是卡上的錢莫名其妙地少了。此時，銀行纔開始警覺起來。

　　在配合警方辦案的過程中，上述商業銀行的工作人員發現，有人侵入過銀行的網站，查詢了200餘客戶的個人信息，其中包含了被盜用信用卡資金的被害人信息。很快，警方就查到了入侵銀行系統時使用的IP地址，並根據這個IP地址查到了蘇強所在的大學宿捨。

　　『沒有密碼』的充值卡

　　與蘇強的手法不同，UT斯達康工程師程稚瀚則是利用自己給西藏移動施工時留下的密碼，然後隨時侵入此系統以盜取移動充值卡。

　　2005年3月，華為前員工程稚瀚突然一時興起，想『測試』一下移動系統的安全性，便嘗試性地進入了西藏移動的網絡系統。

　　從技術上說，程稚瀚進入西藏移動的系統不費吹灰之力。早在華為工作的時候，程稚瀚就負責給西藏移動安裝設備，而程稚瀚離開之後，這個密碼一直沒有改過。

　　通過西藏移動的服務器，程稚瀚很快便進入了北京移動的數據庫，在查看了數據庫日志文件後，精通移動各種系統的程稚瀚很快便反推破譯出了密碼。此時，程稚瀚取得了數據庫的最高權限，該系統在他面前已經毫無秘密可言。

　　此後，程稚瀚先後4次侵入北京移動數據庫，修改充值卡的時間和金額，將已充值的充值卡狀態改為未充值，並開始將盜出的充值卡密碼通過淘寶網出售，至案發時共獲利370餘萬元。

　　無獨有偶，2004年，華為工程師王林勇負責上海移動手機充值系統的維護，一次因工作疏忽，不小心將一組還沒有被充值的卡號密碼刪除，導致維護報表出錯。為了使報表顯示正常，王林勇想起了2003年從華為公司內部網絡下載的X模擬程序。

　　這個程序可以模擬移動公司制作充值卡的程序，生成手機充值所需要的數據，只要將這些數據中對應的序列號和暗碼導入移動的充值系統，那麼使用序列號和明碼便可以進行手機正常充值。為了彌補過失，王林勇使用該程序生成了3萬餘組數據，並將一部分導入移動充值系統，最終使報表顯示正常。

　　貪念因此而生，一次偶然的機會，王林勇在淘寶網上看到有人出售手機充值卡，便聯想起自己當時生產的一些數據還沒有用完，便開始在網上出售這些復制的手機充值卡。此後，王林勇又利用給上海移動維護移動智能網絡系統的機會，將部分數據導入移動充值系統，然後在淘寶上進行銷售，至案發時，共獲利74萬餘元。

　　『內部人』難題

　　『任何一個系統都是有技術漏洞的。』在黃偉看來，這些內部的『信息大盜』都是利用了系統本身的漏洞來盜取他人的財物。

　　從技術上說，就算微軟耗資數十億美元開發的WINDOWS操作系統，也存在很多的技術漏洞，這也是微軟要不斷發布補丁程序的原因。苹果公司最新開發的瀏覽器，在公布的當天就被人找到數十個漏洞。

　　從外部侵入一個數據系統，由於有防火牆的防范，其技術難度相對較大，但如果是『內部人』，一般很難防范。就如同中國歷代皇朝，都在宮城牆外建了很多護城河，布設眾多御林軍，外人很難侵入，但仍無法阻止宮廷內部謀權篡位事件。

　　一提到網絡安全，一般的公司想到的防火牆、入侵檢測、信息加密等安全產品，但是絕大部分系統仍然防外不防內——企業在網絡安全方面的建設絕大多數還基於『內部行為是可信賴的』這一假設，這使得內部安全疏於防范。

　　在IT業內，這樣的事情層出不窮，騰訊就曾發生過內部員工盜取QQ帳號出售的事情。就算是大名鼎鼎的微軟也不能幸免，2003年，微軟公司的員工理查德·格雷格就通過微軟內部的購買系統，低價購買並轉售了價值1700多萬美元的軟件，從中獲取差額利潤。

　　『內部人一般都知道系統的密碼，也比較了解系統的漏洞。』長期從事信息安全工作的黃偉在工作中也不斷聽到一些公司內部人盜取數據，然後牟利的事情。

　　據黃偉介紹，在比較規范的公司，一般涉及核心數據和密碼時，都會安排雙人同時在崗，並且要求客戶在場，密碼在施工完成後都要求客戶進行修改。但一些公司對這些管理流程並不規范，纔使得一些內部人有了可乘之機。

【責任編輯朱青】