1.1.2　威胁的来源

术语威胁（threat）在计算机安全领域有很多含义，其中一个定义（军方常用）如下：过去曾经是或将来会成为攻击来源的个人、团体、组织或外部势力。威胁例子包括黑客、内部人员、罪犯、竞争情报从业者、恐怖分子和信息战士。

黑客（hacker）。黑客包含范围广泛的个体，他们具有不同的技术能力和处世态度。黑客通常对权威或权力持敌对情绪并表现出具有威胁性的行为[Thomas 2002]。他们通常为好奇心和其他黑客的尊重所驱动。很多黑客编写使计算机软件漏洞曝光的程序。他们揭露漏洞的方法不外乎有两种，既可能是负责任地披露（responsible disclosure） ^[1]，也可能是完全披露（full disclosure，即尽可能地告诉每个人一切）。结果导致黑客对安全问题而言，可能既有益也有害。对于那些首要目的是以非授权方式访问计算机系统窃取或破坏数据的人，我们通常称为骇客（cracker）。

内部人员（insider）。内部人员的威胁来源于现任或以前的员工，或那些对信息系统、网络以及受保护数据有合法访问权限的第三方人员[Andersen 2004]。由于内部人员能合法地访问所在组织的网络和系统，因此他们不需要多么高深的技术就能发动攻击。另一方面，技术水平高超的内部人员则能发动直接而且影响广泛的攻击。这些技术型的内部人员甚至有能力隐藏攻击的踪迹，使得识别其身份难度加大。内部人员这样做的原因五花八门。在某些特定的行业中，经济利益方面的因素可能是主要的，另外，不管哪个行业都会有人因报复心理驱使而进行攻击活动。窃取知识产权通常可以带来经济上的收益，而且当进入一家新公司工作时会让自己更受重视。CERT内部人员威胁中心自2001年以来，已收集和分析了约700多起内部人员网络犯罪的信息，范围从国家安全间谍活动到窃取商业机密[Cappelli 2012]。

罪犯（criminal）。罪犯是指那些期望通过其犯罪活动获利的、有组织的犯罪团伙中的个体或成员。常见的犯罪行为包括交易欺诈和窃取身份。近来，利用欺诈电子邮件和精心设计的欺骗网站使受害者泄露个人财务信息（例如，信用卡号、账户名和密码、社会保险号）的钓鱼式攻击，在数量上和技术含量上都有增长。网络犯罪分子还试图入侵系统以窃取信用卡信息（这样他们就可以直接从中获利）或其他可供售卖或勒索的敏感信息。

竞争情报从业者（competitive intelligence professional）。公司间谍称自己为竞争情报从业者，他们甚至还拥有自己的职业协会 ^[2]。竞争情报从业者的工作可能从目标组织内部开始—首先进入其中工作，然后窃取并出卖该组织的商业机密，或者从事其他形式的间谍活动。他们也可能通过其他渠道（如互联网、拨号线路以及直接物理闯入）侵入，或从与目标公司的网络相连通的合作伙伴（如供应商、顾客或经销商）的网络侵入。自冷战结束后，很多国家都曾利用这类间谍手段从大公司窃取有价值的资料。

恐怖分子（terrorist）。计算机恐怖主义指的是针对计算机、网络以及其他信息系统的非法攻击或攻击威胁，从而胁迫或强迫政府或人民支持某项政治或社会目标[Denning 2000]。由于恐怖分子的目标与普通的罪犯不同，因此进行的攻击也有所不同。例如，恐怖分子可能钟情于攻击SCADA（Supervisory Control and Data Acquisition，数据采集与监控）系统之类的关键基础设施（因为SCADA控制着提供诸如电力或燃气之类的不可或缺的服务设备）。尽管这令人忧虑，但这些系统比一般公司的信息系统要难攻击得多。受政治鼓动的攻击，作为其发表自身立场的一种形式，通常会篡改网站（加上一些政治性的标语）或者进行某种形式的DoS攻击，这种攻击常常是由一些松散地组织起来的黑客群（例如，匿名黑客群）或者是一些具有黑客技能的个人发起的。这些人通常对某些特殊的事件抱有同情心或者在某个冲突事件中坚定地站在某一方的立场之上[Kerr 2004]。

信息战士（information warrior）。根据美国战略与国际问题研究中心（CSIS）报告，美国面临着“来自外国情报机构和军队在网络空间的长期挑战”。国防部、商务部，国土安全部和其他政府机构[CSIS 2008]报告了多起身份不明的外国实体入侵。CSIS维护了一个重大网络事件列表 ^[3]，用于追踪报道国际上的攻击。例如，美国宇航局监察长报道，在2011年，有13个APT（高级持续性威胁）攻击成功攻陷了美国航空航天局（NASA）的电脑。在一次进攻中，入侵者窃取了150个用户身份证书，利用这些证书可以获得对NASA系统未经授权的访问。