一、局域网内部黑手严重影响网络和数据安全

1、接下来的5年时间，即将硕士毕业的苏强将在监狱中度过。

“被告人苏强利用为银行设计、维护ATM机软件的工作之便，从ATM机上窃取他人信用卡信息进行信用卡诈骗案，判处其有期徒刑5年，并罚款5万元。”6月19日，上海市闸北区人民法院当庭宣判。实际上，这种内部人利用信息技术窃取他人钱财的事情在IT业内时有发生。2006年6月份，华为公司工程师王林勇利用编写的程序窃取了70多万元的移动充值卡。2006年2月，UT斯达康工程师程稚瀚利用之前给西藏移动安装系统的机会，窃取了370多万元的移动充值卡，并出售套利。“所有的信息系统设置都是基于内部人完全可以信任为前提的。”一直从事数据安全业务的GDS万国数据公司总裁黄伟认为，对外部人侵入系统，尚可设置防火墙等技术手段予以拦截，但这种内部人利用数据信息犯罪则难以防范，“唯一能做的就是不断的加强流程、技术上管理”。

ATM系统的“内鬼”：2003年8月，大学毕业的苏强进入一家ATM机公司，职务为编写ATM自动取款机软件工程师，这是他的第一份工作。2个月后，苏强开始为国内股份制商业银行上海分行临汾路自助网点安装、调试两台ATM自动取款机。精通软件的苏强在软件编程过程中很快发现，ATM自动取款机的加密程序上有些“BUG”，于是，一时兴起的苏强编写了一个窥探程序，该程序可以记录该ATM用户的银行卡卡号、磁条信息和密码，并将这个窥探程序安装到了两台ATM自动取款机上。“当时只是觉得好玩。”苏强在法庭上为自己辩解。

“很多软件工程师都有这种癖好，希望找到系统的漏洞，以此证明自己的技术水平。”黄伟表示。2003年11月，在对这两台ATM机进行维护的时候，苏强打开了自己当时编写的程序，发现窥探程序竟然记录了7000多条用户的信息。苏强将这些信息拷贝到了自己的笔记本电脑上，为了不留下痕迹，苏强又删除了自己当时编写的程序。但是生活的窘迫很快让苏强想到利用这些数据来牟利。2004年9月，苏强进入上海一所大学攻读硕士研究生，没有收入来源的他想起了那堆数据。很快，苏强就开始了行动，从市场上购买了磁卡写码读卡器，又在电脑市场买了空白磁卡，开始伪造银行卡。第一张银行卡制作出来时，苏强有点忐忑不安，只好让女朋友前去取钱，他的女朋友就从银行取出了200元现金。从此，苏强一发不可收拾，此后的近两年时间，苏强如法炮制，先后伪造多张银行卡，共计提取了6万多元现金。由于苏强复制出来的银行卡，其客户信息、密码完全正确，银行根本无法辨其真假。

一位客户在取款时发现卡里莫名其妙地少了4500元，银行显示这笔现金是在无锡被取走的，但这位客户根本就没有去过无锡，于是他向警方报案。此后，上海警方也陆续收到了10多位银行卡用户的报案，都是卡上的钱莫名其妙地少了。此时，银行才开始警觉起来。在配合警方办案的过程中，上述商业银行的工作人员发现，有人侵入过银行的网站，查询了200余客户的个人信息，其中包含了被盗用信用卡资金的被害人信息。很快，警方就查到了入侵银行系统时使用的IP地址，并根据这个IP地址查到了苏强所在的大学宿舍。

2、“没有密码”的充值卡

与苏强的手法不同，UT斯达康工程师程稚瀚则是利用自己给西藏移动施工时留下的密码，然后随时侵入此系统以窃取移动充值卡。2005年3月，华为前员工程稚瀚突然一时兴起，想“测试”一下移动系统的安全性，便尝试性地进入了西藏移动的网络系统。从技术上说，程稚瀚进入西藏移动的系统不费吹灰之力。早在华为工作的时候，程稚瀚就负责给西藏移动安装设备，而程稚瀚离开之后，这个密码一直没有改过。通过西藏移动的服务器，程稚瀚很快便进入了北京移动的数据库，在查看了数据库日志文件后，精通移动各种系统的程稚瀚很快便反推破译出了密码。此时，程稚瀚取得了数据库的最高权限，该系统在他面前已经毫无秘密可言。

此后，程稚瀚先后4次侵入北京移动数据库，修改充值卡的时间和金额，将已充值的充值卡状态改为未充值，并开始将盗出的充值卡密码通过淘宝网出售，至案发时共获利370余万元。无独有偶，2004年，华为工程师王林勇负责上海移动手机充值系统的维护，一次因工作疏忽，不小心将一组还没有被充值的卡号密码删除，导致维护报表出错。为了使报表显示正常，王林勇想起了2003年从华为公司内部网络下载的X模拟程序。

这个程序可以模拟移动公司制作充值卡的程序，生成手机充值所需要的数据，只要将这些数据中对应的序列号和暗码导入移动的充值系统，那么使用序列号和明码便可以进行手机正常充值。为了弥补过失，王林勇使用该程序生成了3万余组数据，并将一部分导入移动充值系统，最终使报表显示正常。贪念因此而生，一次偶然的机会，王林勇在淘宝网上看到有人出售手机充值卡，便联想起自己当时生产的一些数据还没有用完，便开始在网上出售这些复制的手机充值卡。此后，王林勇又利用给上海移动维护移动智能网络系统的机会，将部分数据导入移动充值系统，然后在淘宝上进行销售，至案发时，共获利74万余元。

3、“内部人”难题

“任何一个系统都是有技术漏洞的。”在黄伟看来，这些内部的“信息大盗”都是利用了系统本身的漏洞来窃取他人的财物。从技术上说，就算微软耗资数十亿美元开发的 WINDOWS操作系统，也存在很多的技术漏洞，这也是微软要不断发布补丁程序的原因。 苹果公司最新开发的浏览器，在公布的当天就被人找到数十个漏洞。

从外部侵入一个数据系统，由于有防火墙的防范，其技术难度相对较大，但如果是“内部人”，一般很难防范。就如同中国历代皇朝，都在宫城墙外建了很多护城河，布设众多御林军，外人很难侵入，但仍无法阻止宫廷内部谋权篡位事件。一提到网络安全，一般的公司想到的防火墙、入侵检测、信息加密等安全产品，但是绝大部分系统仍然防外不防内——企业在网络安全方面的建设绝大多数还基于“内部行为是可信赖的”这一假设，这使得内部安全疏于防范。