3.10、启示

这个故事让我们清楚地了解到仅仅靠保护网络边界是无法阻止计算机入侵的。如果恶作剧者不是少年黑客或网络小偷，而是内部人员——一个不满的雇员，一个最近刚被解雇而怀恨在心的员工，或像在这个故事里，其他一些像William和Danny这样的内部人员呢？

内部人员往往比我们在报纸上读到的入侵者具有更大的威胁。大部分安全控制都集中在保护边界上，以使其免受外部入侵。但恰恰是内部人员，他们才能真正接触到那些实际的电子设备、电缆、电话配线间、工作站和网络插孔。同时他们也很清楚是谁保管机密资料，并且这些资料存储在哪台计算机上，以及怎样逃过检査等等。

这个故事让我想起了电影《肖申克的救赎》。在这部电影里，一位名叫Andy的犯人是一名资格认证会计师。一些警官让他为他们准备纳税申报书，Andy给了警员们建议并制作出漏税的最佳方案。Andy的本领很快就传到全体警官的耳中，导致他做了好几起级别更高的伪造工作。最后他成功地揭露了监狱长造假账的事。不仅仅在监狱，在其他任何地方，我们都要提防我们曾给过信息的人。

在我自己的案件中，美国Marshall Service对我的能力估计过高了。他们相信了那个谣言，说我能闯入政府的机密数据库，并能删除任何人的身份记录，甚至包括联邦执行官。他们在我的档案上注明“警告”，以提醒监狱警官不要向我透露任何有关个人的资料——甚至不让我知道他们的名字。他们想的太多了。