1.1.2　威脅的來源

術語威脅（threat）在計算機安全領域有很多含義，其中一個定義（軍方常用）如下：過去曾經是或將來會成為攻擊來源的個人、團體、組織或外部勢力。威脅例子包括黑客、內部人員、罪犯、競爭情報從業者、恐怖分子和信息戰士。

黑客（hacker）。黑客包含范圍廣泛的個體，他們具有不同的技術能力和處世態度。黑客通常對權威或權力持敵對情緒并表現出具有威脅性的行為[Thomas 2002]。他們通常為好奇心和其他黑客的尊重所驅動。很多黑客編寫使計算機軟件漏洞曝光的程序。他們揭露漏洞的方法不外乎有兩種，既可能是負責任地披露（responsible disclosure） ^[1]，也可能是完全披露（full disclosure，即盡可能地告訴每個人一切）。結果導致黑客對安全問題而言，可能既有益也有害。對于那些首要目的是以非授權方式訪問計算機系統竊取或破壞數據的人，我們通常稱為駭客（cracker）。

內部人員（insider）。內部人員的威脅來源于現任或以前的員工，或那些對信息系統、網絡以及受保護數據有合法訪問權限的第三方人員[Andersen 2004]。由于內部人員能合法地訪問所在組織的網絡和系統，因此他們不需要多么高深的技術就能發動攻擊。另一方面，技術水平高超的內部人員則能發動直接而且影響廣泛的攻擊。這些技術型的內部人員甚至有能力隱藏攻擊的蹤跡，使得識別其身份難度加大。內部人員這樣做的原因五花八門。在某些特定的行業中，經濟利益方面的因素可能是主要的，另外，不管哪個行業都會有人因報復心理驅使而進行攻擊活動。竊取知識產權通?？梢詭斫洕系氖找?，而且當進入一家新公司工作時會讓自己更受重視。CERT內部人員威脅中心自2001年以來，已收集和分析了約700多起內部人員網絡犯罪的信息，范圍從國家安全間諜活動到竊取商業機密[Cappelli 2012]。

罪犯（criminal）。罪犯是指那些期望通過其犯罪活動獲利的、有組織的犯罪團伙中的個體或成員。常見的犯罪行為包括交易欺詐和竊取身份。近來，利用欺詐電子郵件和精心設計的欺騙網站使受害者泄露個人財務信息（例如，信用卡號、賬戶名和密碼、社會保險號）的釣魚式攻擊，在數量上和技術含量上都有增長。網絡犯罪分子還試圖入侵系統以竊取信用卡信息（這樣他們就可以直接從中獲利）或其他可供售賣或勒索的敏感信息。

競爭情報從業者（competitive intelligence professional）。公司間諜稱自己為競爭情報從業者，他們甚至還擁有自己的職業協會 ^[2]。競爭情報從業者的工作可能從目標組織內部開始—首先進入其中工作，然后竊取并出賣該組織的商業機密，或者從事其他形式的間諜活動。他們也可能通過其他渠道（如互聯網、撥號線路以及直接物理闖入）侵入，或從與目標公司的網絡相連通的合作伙伴（如供應商、顧客或經銷商）的網絡侵入。自冷戰結束后，很多國家都曾利用這類間諜手段從大公司竊取有價值的資料。

恐怖分子（terrorist）。計算機恐怖主義指的是針對計算機、網絡以及其他信息系統的非法攻擊或攻擊威脅，從而脅迫或強迫政府或人民支持某項政治或社會目標[Denning 2000]。由于恐怖分子的目標與普通的罪犯不同，因此進行的攻擊也有所不同。例如，恐怖分子可能鐘情于攻擊SCADA（Supervisory Control and Data Acquisition，數據采集與監控）系統之類的關鍵基礎設施（因為SCADA控制著提供諸如電力或燃氣之類的不可或缺的服務設備）。盡管這令人憂慮，但這些系統比一般公司的信息系統要難攻擊得多。受政治鼓動的攻擊，作為其發表自身立場的一種形式，通常會篡改網站（加上一些政治性的標語）或者進行某種形式的DoS攻擊，這種攻擊常常是由一些松散地組織起來的黑客群（例如，匿名黑客群）或者是一些具有黑客技能的個人發起的。這些人通常對某些特殊的事件抱有同情心或者在某個沖突事件中堅定地站在某一方的立場之上[Kerr 2004]。

信息戰士（information warrior）。根據美國戰略與國際問題研究中心（CSIS）報告，美國面臨著“來自外國情報機構和軍隊在網絡空間的長期挑戰”。國防部、商務部，國土安全部和其他政府機構[CSIS 2008]報告了多起身份不明的外國實體入侵。CSIS維護了一個重大網絡事件列表 ^[3]，用于追蹤報道國際上的攻擊。例如，美國宇航局監察長報道，在2011年，有13個APT（高級持續性威脅）攻擊成功攻陷了美國航空航天局（NASA）的電腦。在一次進攻中，入侵者竊取了150個用戶身份證書，利用這些證書可以獲得對NASA系統未經授權的訪問。