也許在鄰居的眼中，你是一位工作在IT安全領(lǐng)域的誠(chéng)實(shí)正直、工作努力、遵紀(jì)守法的好公民。每天你都會(huì)工作在網(wǎng)絡(luò)安全戰(zhàn)爭(zhēng)的最前沿，與層出不窮的惡意軟件、病毒、網(wǎng)絡(luò)釣魚、垃圾郵件、網(wǎng)絡(luò)劫持等作斗爭(zhēng)。但是你有沒有想過，如果你所接觸的系統(tǒng)或系統(tǒng)中的敏感信息遭受到了網(wǎng)絡(luò)犯罪份子的攻擊，那么作為每天接觸這些系統(tǒng)或文件的電腦專家，你可能會(huì)成為頭號(hào)嫌疑犯。

為什么大家都懷疑你？

這么說可能讓那些無辜的人感到震撼，但是實(shí)際上，如果發(fā)生了一起謀殺，那么被害人所愛的人，或最親密的朋友，會(huì)首先成為警察懷疑的對(duì)象。這是因?yàn)?，這類人最有可能擁有殺害被害人的動(dòng)機(jī)，方法和時(shí)機(jī)，而根據(jù)統(tǒng)計(jì)，大部分殺人犯都與被害人相熟。同樣，那些擁有系統(tǒng)訪問權(quán)限，同時(shí)也擁有足夠的安全技巧的電腦專家，就成了系統(tǒng)遭受攻擊后首先被警方懷疑的對(duì)象，尤其是當(dāng)有某種跡象顯示本次系統(tǒng)攻擊可能是有內(nèi)鬼參與的時(shí)候。

從警方的角度講，這種懷疑是很正常的。因?yàn)橐黄鹁W(wǎng)絡(luò)攻擊必然會(huì)牽扯到作為網(wǎng)絡(luò)安全管理者的你，因?yàn)榫W(wǎng)絡(luò)攻擊案件很可能是你首先發(fā)現(xiàn)并報(bào)告的。犯罪分子在犯罪后自己主動(dòng)報(bào)案的情況很常見，一般他們都希望通過這種方式將自己列為受害方或證人，從而免除警察的懷疑。

雖然不能一概而論，但是有大量研究顯示，企業(yè)數(shù)據(jù)被盜有很大部分是由內(nèi)鬼引起的。比如，根據(jù)Credant 公布的白皮書，48%的企業(yè)數(shù)據(jù)被盜是由內(nèi)鬼所為。

大部分內(nèi)鬼可以歸結(jié)為以下幾類：

· 對(duì)公司抱有不滿情緒的員工，通過破壞公司網(wǎng)絡(luò)，降低公司的生產(chǎn)效率，影響其他工作人員，導(dǎo)致企業(yè)喪失工作效率或業(yè)內(nèi)聲譽(yù)等方式來獲得心理平衡。

· 被有意安插進(jìn)公司內(nèi)部，或通過招聘進(jìn)入公司后成為商業(yè)間諜，獲取公司的交易內(nèi)部信息，財(cái)務(wù)數(shù)據(jù)，業(yè)務(wù)計(jì)劃等，并提供給競(jìng)爭(zhēng)對(duì)手。

· “創(chuàng)業(yè)型” 員工，會(huì)盜用企業(yè)數(shù)據(jù)或利用公司的網(wǎng)絡(luò)資源，在公司內(nèi)部運(yùn)營(yíng)員工自己的小生意(不論是合法還是非法的)。

· 投機(jī)取巧的員工可能會(huì)利用自己職務(wù)上的便利，將企業(yè)的資金挪用或轉(zhuǎn)入自己的賬戶，或者利用這種便利在公司內(nèi)部培養(yǎng)自己的勢(shì)力，或?yàn)樽约禾峁└玫母＠觥?/p>

當(dāng)然，IT專家在這些犯罪活動(dòng)中處于了一個(gè)特殊的位置。作為IT管理者，你擁有超級(jí)用戶的密碼，可以實(shí)質(zhì)接觸各類設(shè)備Of course,熟悉各個(gè)系統(tǒng)上所運(yùn)行的應(yīng)用，以及數(shù)據(jù)的存儲(chǔ)位置?？赡艽蠹疫€記得2008年的一個(gè)新聞：舊金山城市網(wǎng)絡(luò)的一個(gè)管理員由于工作上的原因，將這個(gè)城市的網(wǎng)絡(luò)作為人質(zhì)，刪除了其它管理員的權(quán)限，并拒絕向政府提供管理員賬號(hào)的密碼。最終他由于犯罪指控被逮捕，保釋金高達(dá)500萬美元。

第二年，紐約一家投資公司的前網(wǎng)管因?yàn)榍迷p勒索罪被逮捕，原因是他離開公司后以破壞公司服務(wù)器為借口要挾公司。

前不久，Gucci開除了一名網(wǎng)管，原因是這名網(wǎng)管黑入了公司網(wǎng)絡(luò)，刪除了大量文檔和虛擬服務(wù)器，并切斷了所有員工的企業(yè)郵件訪問能力，導(dǎo)致公司遭受了20萬美元的損失。

證據(jù)對(duì)你不利

喜歡看案件劇集的朋友們可能會(huì)很熟悉一句臺(tái)詞，即在庭審現(xiàn)場(chǎng)辯護(hù)律師經(jīng)常說：“這只是間接證據(jù)。”然而，作為沒怎么接觸過現(xiàn)實(shí)世界司法程序的人來說，可能不太相信，監(jiān)獄里大部分犯人的定罪證據(jù)，都是這種所謂的“間接證據(jù)”。那么，到底什么才是“間接”呢?

法庭上，一般接受以下兩類證據(jù)：

直接證據(jù) 一般是指目擊者提供的證據(jù)，而目擊者是指親眼看到你實(shí)施犯罪的人(當(dāng)然，目擊者也可以是通過聽覺，觸覺或嗅覺直接證明你的犯罪行為的人)。

間接證據(jù) 一般指沒有直接目擊你犯罪行為的人提供的證言，或證物或任何事實(shí)和情況。這類證據(jù)趨向于證明你實(shí)施了犯罪，但是并不能明確的證明。

在計(jì)算機(jī)犯罪案件中，應(yīng)用于法庭的證據(jù)一般是物證，即從被攻擊系統(tǒng)和設(shè)備中提取日志等內(nèi)容。物證一般屬于間接證據(jù)，由專家通過分析，確定該證據(jù)能否證明嫌疑人的犯罪事實(shí)。比如，如果證物分析專家確定，在系統(tǒng)被攻擊時(shí)，你的賬戶登錄進(jìn)了系統(tǒng)，那么這就是你犯罪的間接證據(jù)。當(dāng)然，如果僅通過這一點(diǎn)證據(jù)，一般是不足以給你定罪的。如果同時(shí)還有一個(gè)同事出庭作證，證明他看到你在公司敏感數(shù)據(jù)泄漏前幾分鐘進(jìn)入了服務(wù)器機(jī)房，并登錄進(jìn)了系統(tǒng)，這就成了更有力的間接證據(jù)(這還不是直接證據(jù)，因?yàn)樗麤]有親眼看到你的電腦屏幕，也沒有看到你登錄進(jìn)系統(tǒng)后到底干了些什么)。如果專家進(jìn)一步確定，企業(yè)丟失的數(shù)據(jù)就是從內(nèi)網(wǎng)流失的，那么所有這些間接證據(jù)加起來，對(duì)于陪審團(tuán)來說就變得相當(dāng)有說服力了，有可能將你定罪。

現(xiàn)實(shí)中，聰明的犯罪份子總是會(huì)偽造一些線索，引導(dǎo)調(diào)查人員將注意力集中到無辜的人身上，而在計(jì)算機(jī)犯罪上，找個(gè)替罪羊就更容易了。有很多方法可以建立虛假的記錄，修改郵件頭和IP地址，或者劫持某人的賬戶并通過這個(gè)賬戶實(shí)施犯罪行為。而作為網(wǎng)管的你，由于你的賬戶擁有管理權(quán)限，將成為犯罪分子劫持的首選賬戶。

另一個(gè)問題是，一直處理民事案件的法官對(duì)于技術(shù)細(xì)節(jié)不夠了解，可能將證據(jù)視為事實(shí)。另外，只需要很少的證據(jù)，警察就有權(quán)逮捕你(只要有懷疑你的原因)，但不一定會(huì)起訴你(這需要比懷疑更進(jìn)一步的證據(jù))。雖然只是逮捕而不是定罪，但這也足以讓你的生活發(fā)生改變，心情肯定也是大受影響。如果在你的檔案中有逮捕記錄，就算最終無罪釋放，其所造成的沖擊也會(huì)在今后很長(zhǎng)一段時(shí)間影響你的生活和工作。

你該怎么做？

現(xiàn)在你可能會(huì)想兩個(gè)問題：首先，如何在這種虛假指控中保護(hù)自己?其次，如果你為此被逮捕甚至遭到起訴，該如何做?

首先，最重要的一步是確保自己沒有犯罪。為了控制計(jì)算機(jī)犯罪活動(dòng)，美國(guó)各級(jí)聯(lián)邦政府通過了一系列計(jì)算機(jī)犯罪方面的法案，在無意間你很可能已經(jīng)觸犯了其中的某個(gè)條款。因此，對(duì)于任何使用計(jì)算機(jī)的個(gè)人，尤其是那些工作在IT領(lǐng)域，管理公司網(wǎng)絡(luò)的網(wǎng)管們，或每天處理大量敏感信息的計(jì)算機(jī)操作人員，都應(yīng)該花時(shí)間學(xué)習(xí)一下政府出臺(tái)的計(jì)算機(jī)和網(wǎng)絡(luò)使用方面的法律法規(guī)。然后謹(jǐn)慎的遵從這些規(guī)章制度，不管這些制度有多么嚴(yán)格或繁復(fù)。

不要以為你是IT專家，你就可以凌駕于法律之上了。不斷增長(zhǎng)的網(wǎng)絡(luò)犯罪率以及大眾和媒體對(duì)這方面問題的持續(xù)關(guān)注，給司法機(jī)構(gòu)帶來了極大的壓力，迫使他們“不得不做出點(diǎn)成績(jī)來”。這就意味著計(jì)算機(jī)犯罪案件中任何可疑人物都將會(huì)被調(diào)查，逮捕嫌疑人的頻率也會(huì)更高。

在處理與敏感數(shù)據(jù)有關(guān)的工作時(shí)，隨時(shí)將操作過程記錄進(jìn)文檔。最好再找一個(gè)目擊證人，能看到你工作時(shí)都做了什么，沒做什么。毫無疑問，你還要為管理員賬戶采用盡量強(qiáng)壯的密碼，并采用多種驗(yàn)證方式，加大黑客攻擊系統(tǒng)的難度。但同時(shí)你也該知道，一旦出現(xiàn)數(shù)據(jù)泄漏，越多的驗(yàn)證機(jī)制，越難以攻破的系統(tǒng)，就意味著身為管理員的你的嫌疑就越大。

如果你在網(wǎng)絡(luò)犯罪案件的調(diào)查過程中被警察或政府探員詢問，一定要小心自己的言辭。不要吹噓你在電腦方面的能力有多強(qiáng)，也不要表現(xiàn)出對(duì)公司的不滿，說什么“要是我也會(huì)這么做”之類的傻話。另外，如果你是唯一有權(quán)限訪問敏感數(shù)據(jù)的管理員，也不要對(duì)警察說什么“我不知道黑客是怎么做到的”這樣的話?？傊灰獙?duì)你的雇主表現(xiàn)出不滿，也不要表現(xiàn)出對(duì)攻擊者的崇拜，事實(shí)是怎樣就怎樣告訴警察。

如果在一起計(jì)算機(jī)犯罪案件中，你感覺執(zhí)法人員在詢問你時(shí)對(duì)你產(chǎn)生了強(qiáng)烈的懷疑，那么你要立即找你的律師。如果你不幸被捕了，那么應(yīng)該聘請(qǐng)一位在計(jì)算機(jī)犯罪方面有經(jīng)驗(yàn)的刑事犯罪辯護(hù)律師幫助你。這一領(lǐng)域的法律相對(duì)比較新，很多老的刑事犯罪辯護(hù)律師都不太熟悉。目前很多州政府的執(zhí)法部門都在嚴(yán)打網(wǎng)絡(luò)犯罪，很多行動(dòng)還是與聯(lián)邦調(diào)查局聯(lián)手的。因此很多網(wǎng)絡(luò)犯罪份子都被叛了重罪，而如果成為了犯罪嫌疑人，不管你到底有沒有真正實(shí)施犯罪活動(dòng)，你都不能掉以輕心。

【編輯推薦】

1. 從泄密事件頻發(fā)看信息防泄漏
2. 信息防泄漏的新挑戰(zhàn)
3. 企業(yè)不可不知的信息防泄漏6條評(píng)估標(biāo)準(zhǔn)
4. 信息防泄漏，如何用好行為審計(jì)？
5. 安全專家:Facebook時(shí)間線助于黑客收集信息