引言

媒体连篇累牍的关于黑客入侵的报道，在引导人们增强信息安全意识的同时，也把人们的注意力强烈地导向到重视防范来自外部的信息安全事件。这固然是重要的，但却是片面的。对信息安全保障的威胁，从来就来自"内"、"外"两个方面，而且外因通过内因起作用，堡垒最容易从内部攻破。尽管各种威胁列表中一般总不忘把"insider threat（内部人员威胁）"列入其中，但由于缺乏有效的内部人员威胁解决方案，甚至很少有这方面的研究项目，大多数人对内部人员威胁的认识仅限于泛泛的概念层面上，长此以往，对内部人员威胁的研究有可能成为安全领域的一项空白。为此，本文讨论了国际上对内部人员威胁研究的最新进展，希望能够引起研究界对内部人员威胁解决方案的关注，并藉此机会大声疾呼?quot;攘外"勿忘"安内"！

一、insider威胁向我们走来

特定的安全解决方案必然要针对特定的安全威胁，此所谓有的放矢。因此，几乎所有的系统介绍安全的文献中都会谈及各类安全威胁，而"内部人员威胁"则免不了是"座上客"。图一是美国国家安全局撰写的《信息保障技术框架》中对安全威胁的分类。

现在，在90年代初的资料中我们也可以找到专家对内部人员威胁的描述，但近来导致人们对内部人员威胁开始投入更多注意力的因素则来自于两个方面：

其一就是2001年上半年的美国联邦调查局汉森间谍案。作为FBI高级雇员的汉森，为前苏联和俄罗斯充当了15年之久的间谍，出卖了大量国家核心机密，并且在FBI严格的安全制度下游刃有余，他甚至可以随时阅览FBI的案件卷宗，判断其间谍行为是否已引起了FBI的怀疑。

汉森案震惊了美国朝野，余波至今尚未平息。安全专家们惊呼："我们从这次事件中得到的最重要的教训就是，大多数安全缺口是来自于内部，而非外部。"并且又一次重申："安全……首先--而且是最主要的，它是有关人和政策的学问。"

而对一系列计算机犯罪统计数字分析的结果，也促使了更多的人去关注内部人员威胁。

根据FBI和计算机安全学会(CSl)最近对359个公司的调查，在2000年由于非授权的内部人员对IT系统的访问和滥用，造成了这些公司超过5000万美元的损失。在这些公司中，有38％的公司在上一年度发生了一至五起内部人员职务滥用事件，而有37％的公司说他们不知道公司中发生了多少起同内部人员有关的安全事件。

国内外从事信息安全的专业人士，通过调查逐步认识到，媒体炒得火热的外部入侵事件，充其量占到所有安全事件的20%-30%，而70%-80%的安全事件来自于内部。从不同渠道来的统计数据略有差别，但就国内的情况来说，内部人员犯罪（或于内部人员有关的犯罪）一般占到了计算机犯罪总量的70%以上。只要略微统计一下本年度媒体批露的几次计算机犯罪事件，就不难发现这个趋势。

图一 关键基础设施威胁图

随着内部人员威胁的加剧，内部人员犯罪已经体现出了"危害大、难抵御、难发现"的特点：
(1)内部人员最容易接触敏感信息，并且他们的行动非常具有针对性，危害的往往是机构最核心的数据、资源等。
(2)一般说来，各机构的信息安全保护措施都?quot;防外不防内"，比如很多公司赖以保障其安全的防火墙对内部人员攻击毫无作用，形同虚设。
(3)内部人员对一个机构的运作、结构、文化等情况非常熟悉，导致他们行动时不易被发觉，事后难以被发现。
因此，不管我们是以乐观还是悲观的心态来看待信息安全的现状以及未来发展，我们都可以意识到一个事实：insider威胁已经由威胁列表中的简简单单的一句话而变成了异乎严峻的现实，insider威胁正渐渐向我们走来。而我们却缺乏对其系统、理论的研究。

二、内部人员威胁研究的历史阶段

国际上对内部人员威胁注意得比较早，已经做了一些相对来说比较深入的研究。大体上，内部人员威胁研究可以分为三个阶段。

启蒙阶段

这一阶段的显著特点是，还没有明确提出"insider threat"的概念，但已经在安全策略的实施上有意无意地加入了内部人员控制手段。这其中最具代表性的是80年代美国国防部的TCSEC（橘皮书）中讨论的访问控制机制。访问控制机制紧跟鉴别机制的使用，显然，通过了鉴别机制后，访问者就已经属于内部人员，因此可以说它实现了对内部人员的分权制衡。现在看来，我们也许不会认为访问控制机制如何了得，但从"insider threat"的角度看，访问控制机制的意义是非常重大的。

意识阶段

对信息最敏感的部门非军方莫属，因此在历史上最早也是由军方开始对内部人员威胁给予注意的。但该阶段对内部人员威胁的研究只是处于概念意义上，没有出现成熟的想法，人们渴望问题得到解决但却感到一片茫然。最终也只是对内部人员的特征、危害等问题有了一定的意识和了解，为后续的研究打了一定的基础，这一阶段称?quot;意识阶段"。目前很多地方的研究也还只停留于此。

该阶段的代表性研究是美国国防部在意识到内部人员威胁是关键国防信息系统的最大威胁之一后，所启动的"国防部内部人员威胁减灾计划"。最终，国防部在1999年6月做出了报告：《DoD Insider Threat Mitigation Plan: Final Report of the Insider Threat Integrated Process Team》。但这份报告的缺点在于，把目光放在了短期行为上，希望以不长的时间、不大的代价来减弱内部人员威胁，因此在现实上对问题的解决很有限。并且，它对于内部人员的定义过宽，甚至延拓到了如微软、思科等供应商的全体雇员之中，理论意义笥谙质狄庖濉?br> 初级研究阶段
近年来信息安全的概念已大大扩充，美国确立了"信息保障"的观念来处理关键基础设施保护。"内部人员"问题面对新的历史时期，新的观念、技术，在更高层次上再次得到了关注，我们称其为"初级研究阶段"。与前两个阶段不同的是，该阶段中人们已经开始了对内部人员威胁解决方案的系统研究，做了大量尝试。但由于"内部人员威胁"这一问题的复杂度，这类研究尚处于初级的水平。

由美国军方（包括国安局、副部长办公室等）发起，著名的兰德公司（RAND）公司（该公司是美国政府与军方的智囊团成员）出面组织的内部人员威胁研究系列会议（以下简称兰德会议）则是这一阶段的代表性成果。

兰德会议如今已召开两次（1999年8月16日至18日，2000年8月30日至9月1日），每次会议的参加者均为40人左右，分别来自军方、研究界、工业界和政府等方面。这两次会议基本反映了当前内部人员威胁研究的最高水准，其研究思路、研究方法和研究成果具有很高的参考价值。

三、第一次兰德会议

第一次兰德会议名为"用以预防、检测和响应关键防务信息系统中内部人员滥用的研发活动"，会议的目的主要是建议和启动有关内部人员问题的技术研究项目，在更加基础的级别上解决内部人员威胁问题。

(一）前奏活动

兰德会议认为，在确定内部人员威胁研究的方向、重点和研发项目之前，需要一个使研发活动得以有效施行的环境，因此有必要在概念、政策等方面开展一系列的前奏活动。具体分为如下9项：

1． 法律和执法机关应该对数据的分发、收集、维护、处理和存储有明确的方针和要求，以供研究界参照。

防范内部人员犯罪的途径之一是加强审计和取证工具的使用，但在研究界开发出有效的内部人员犯罪数据收集工具之前，需要借助法律和执法机关的力量，他们应对犯罪数据、审计踪迹等信息有明确的方针和要求。

2． 需要清晰地定义"内部人员滥用"这一概念下需保护的"关键资产"。

确定关键资产是任何保护措施施行前的第一步，内部人员威胁研究也不例外。在确定关键资产的同时，也要明确，针对这些关键资产的何种行动能够被定性为"滥用"，因为同样的行为，如果由角色不同的人来实施，其性质是不同的。这为"关键资产的确定"这项工作提出了新的课题，而此前，这项工作并不涉及对"滥用"的判定（因为以往的关键资产确定工作针对的是外部威胁）。

3． 需要清晰地定义什么是"内部人员"

对"内部人员"的定义其实是内部人员研究中的一大难题，与会者在讨论这个问题时开玩笑说，内部人员的角色就像变色龙的颜色一样易变。兰德会议为此颇费苦心，与会者提出了大量问题，并希望这些问题有助于使"内部人员"的定义逐渐明晰。

定义环境

物理访问-"空间边界"。"内部人员威胁"这一问题是否涉及对关键资产的物理访问？因为物理访问有时超越了信息系统的控制范围。
计算机访问-"逻辑边界"。怎样看待内部人员问题中的计算机保护边界（比如路由器、防火墙和保护性应用程序等）？
执法环境。为了使执法界对insider事件进行预备和响应，是否要有相关的规定和要求？

定义内部人员

正常的-反常的－有恶意的。内部人员的意图是什么？"正常的"内部人员的行为不会造成威胁。"反常的"内部人员的行为可能包括日常的错误。这些日常错误可能引起系统的削弱或隐私信息的无意泄露。"有恶意的"是怀有恶意企图的内部人员的行为。

新手-熟练的。内部人员具有何种级别的技能？包括他们的技能储备的数量和质量，检测灾难的知识等因素。

内在环境的知识。内部人员了解多少有关工作系统内部的空间或逻辑边界？会上讨论了内部人员对内部环境的各种程度的知识和了解。

固有的特权。什么是内部人员具有的物理和管理的特权？这同内部环境的知识相关。

密切的程度。要对内部人员之间的关系、他们的角色和特权以及他们同组织的密切度有充分的把握，这有助于更好地理解内部人员威胁。要区别永久雇员、临时雇员、外部人力资源、以前的雇员、系统开发人员等不同角色，以确定内部人员的机会、动机、技巧和系统脆弱性。

人-代码/硬件。内部人员是个体的人、软件、固件或硬件吗？与会者大量讨论了一个内部人员不必是一个单独的人。例如，恶意的代码被看作是一种典型的、普遍但拙劣的内部人员威胁。

经过这些讨论，兰德会议形成了下列一些认识（注意不是共识）：

• 执法界与技术界对内部人员的认识是不同的。对执法人士来说，内部人员威胁涉及到授权人员对内部知识的运用，内部人员威胁与信任关系的破坏有关。而对技术人士来说，内部人员威胁是发生于安全边界（比如防火墙）之内的事件，能够影响一个组织或系统保护域之内操作运行的任何人都可称?quot;内部人员"。
• 软件代理/移动代码技术、多种信息技术的融合以及在修复千年虫问题中引入的新bug都属于非人类的"内部人员威胁"，一个组织的外部资源也可能产生"内部人员威胁"，比如"合作方内部人员威胁"。

• 动机
• 实现动机的机遇
• 目标信息系统之中的脆弱性
• 利用脆弱性的技巧
  任何威胁分析都至少应在一个约束机制下进行，那就是"冲击门限"--也就是说，要确定风险在什么时候大到了无法忽视的地步（即门限）。
  兰德会议工作组在三种范畴内刻画了内部人员威胁：
• 能够"到达"（即暴露或风险）关键部件和敏感数据的程度以及与此相关的成本。
• 事件发生的频度和强度，以及检测的成本。
• 内部人员威胁对业务和技术的带来的冲击。

• 授权用户
• CERT人员
• 网络管理员
• 系统维护人员
• 系统管理员
• 建筑物维修人员
• 信息安全官员
• 建筑物安全人员

1. 使内部人员攻击事件的结果同特定的内部人员威胁对应起来，开发响应式的配置控制工具
   当一次内部人员滥用事件被检测到时，应该有相应的方法来确定事件所代表的威胁的性质和危害度。基于这些性质和危害度，有可能使用工具来自动化地对系统进行配置，作为事件的响应，从而使危害减至最小。
2. 开发内部人员信任模型
   "内部人员"事实上包含了各种各样的角色，要能够确定各个角色的信任度，并使这些不同的信任级别表示为机器可读的格式。
3. 开发使非法结果能够与用户相映射的工具
   当检测到系统异常时，它是否是由内部人员引起的呢？如果是，如何能够追踪到具体的用户？这里要求开发的工具就是用来解决该问题。
4. 用以确定非法结果的"签名"
   当滥用事件发生时，我们需要事件的"指示器"，否则，无以确认威胁的级别。因此，要基于案例研究和滥用可能性分析来开发非法结果的"签名"。

1. 创建认证部件
   认证是最传统、最基本的安全措施之一，但很多认证技术并不适用于复杂的系统或具有复杂交互作用的系统，内部人员甚至完全有能力对认证部件施以破坏，因此创建针对内部人员威胁的认证部件显得极为需要。这个部件必须适用于多级处理环境，且必须和使用者的密钥和令牌捆绑，此外，该部件要能够涵盖注销和恢复等行为。其性能和操作标准必须满足用户的需求，比如达到每秒1000次事务处理的能力。
2. 开发访问控制部件
   对内部人员威胁来说，访问控制机制是非常基本的手段。然而，不同以往，我们需要的是更加精致的访问控制来减少内部威胁的脆弱性，比如针对每一个文件、每一次事务或每一个包。--当然，这样的粒度也是昂贵的。除此之外，访问控制还要能够在不同的平台间操作。研究的目标还包括要减少访问控制管理和维护的成本以及开发出新类型的访问控制机制来减少可信内部人员面临的脆弱性。此外，什么人控制访问控制是首先就是一个内部人员问题，这个问题也要处理好。
3. 为安全系统开发一个双向的可信路径
   即使一个系统的完整性和认证问题已经得以解决，恶意的用户仍可以通过其它手段来获得系统特权--比如，恶意用户可通过欺骗图形用户界面来窃取登录名和口令。一个可能的解决方案是创建通往这个安全系统的确实的可信路径，这是一个安全体系结构中非常基础的一部分。
4. 开发属性绑定部件
   每一个特定的行为都应该同个人联系在一起。为此，水印或指纹技术将会扮演重要的角色。但需要指出的是，内部人员有可能直接去访问这类机制，从而使机制失效。一个可能的解决方案是在属性绑定机制中使用强加密。

1. 开发轮廓，使之发展成一项技术
   一个"用户轮廓" 包含可以从其他用户中区别这个使用者或者代理的特征信息（注意"使用者"一词可以涉及进程、命令、功能等）。
   该轮廓可以包括这样一些信息：通常被访问的文件和进程；登录后通常使用的时间周期；击键模式以及很多其它的属性。使用这样的轮廓可能开发出针对在事发前未曾遇到过的非法行为的异常检测，而以前适用的基于签名的方法则对未知恶意行为无能为力。
2. 检测应用的滥用
   很多对"内部人员问题"有所关心的人通常只不过关注内部人员对数据的不当访问。而另外一个有用的内部人员滥用警示则是对系统中进程和应用程序的不当使用。这一点不应忽视。
3. 提供对系统客体的使用进行跟踪的能力
   非常有必要针对文件或程序等系统客体的使用路径开发审计踪迹。一旦怀疑出现了内部人员滥用，经由审计踪迹就能够调查出用户对系统对象的访问情况。
4. 自动地识别关键信息
   当代信息系统经常要收集上千兆比特的数据和信息，很多关键文件的的静态列表以及进程并不是一眼就可以看出关联性的。该项研究涉及到能够自动地识别一个系统中的关键信息。
5. 制定系统设计原则，使可检测性成为系统的主要特征之一
   检测一个内部人员的滥用是非常困难的。如果存在一种体系结构并且一个系统在设计时就专门考虑了滥用的可检测性，那么这项工作将变得很容易。
6. 要能够检测出与物理访问有关的非授权变更
   内部人员的一个重要特征是，他们通常持有对系统设备的物理访问（级别不等）。因此，他们可以造成系统的物理改变，例如在网络上安装另一个临时的客户机或主机计算机，变更电缆或调制解调器的插头，这些都是极为危险的行为。所以，实时地检测这些物理的改变是非常之重要的。

1. 针对保密性增强的系统，比如使用了加密机制的系统，开发相应的监控技术，
   很多信息系统中都已经采用了文件或数据加密等措施，这为监控滥用增加了不小的难度，尤其是当内部人员可以访问那些保密性增强机制时。因此有必要开发新的机制来对保密性增强的系统进行有效监控。
2. 在系统中组织实用的自动系统响应功能
   内部人员能够在片刻之间造成巨大破坏，故而应该在如此短的时间范围内及时地检测事件，从而快速阻止或减轻损坏的程度，这意味着要采用自动响应过程。问题是：如何在保持有效性反应的同时不引起副作用？特别是，如果内部人员知道有这样一个自动系统在使用，他能够用来伤害这个系统本身（比如他可以通过对自动响应功能的触发来削弱系统的性能）。如果系统开发者在系统中创建了与响应相关的能力，那么自动化响应的发起将非常容易。但与响应相关的能力包括那些呢？实施起来是否容易？为了在商用现成系统中引入这些能力，政府和军方需要提供那些激励机制？这些问题都是研究过程中要思考和解决的。
3. 开发数据关联工具，包括针对内部滥用的计算机执法取证工具和可视化工具
   为了在对一个潜在的或事实已发生的滥用事件进行响应，有必要将来自多种源头的数据进行关联和分析，而且要捕获和存储用以计算机执法的相关数据，还要对复杂模式进行可视化，这样才可以对一次滥用事件获得全面的理解，有利于对其做出反应。但现在这样的工具极为缺乏。
4. 提供用来对非网络化的部件进行监视的能力
   不是所有的信息系统部件都是在线的或利于查询相关数据。电话记录、考勤卡、各种硬件设置等等都同响应有关，但来自这些源头的数据难以关联和融合，现在极为需要能够实时收集这些数据的手段。
5. 考虑可适用的欺骗技术
   "兵不厌诈"，欺骗技术在军事操作中--不管是进攻还是防御--长期扮演着关键的角色。在内部人员威胁研究中，欺骗技术有助于从更多的角度认识内部人员滥用的各个方面，特别是恶意内部人员的兴趣、意图以及人们在理解和使用系统设备时的熟练程度。这项研究的重点在于，要适当地使用欺骗技术，以获取对恶意内部人员属性的了解。