别天天想着留后门了：前员工恶意报复公司网络获刑4年

摘要：美国司法部披露，55岁的男性软件开发者Davis Lu，因美国电气制造公司伊顿（Eaton Corporation）在 2018 年进行重组，导致其从高级开发人员岗位被降职，于是对此事心怀不满。

一名软件开发者因在公司网络中植入破坏性逻辑炸弹以实施报复，被美国俄亥俄州法院判处四年监禁。

美国司法部披露，55岁的男性软件开发者Davis Lu，因美国电气制造公司伊顿（Eaton Corporation）在 2018 年进行重组，导致其从高级开发人员岗位被降职，于是对此事心怀不满。

作为回应，Davis于2019年开始利用隐藏的恶意程序从内部破坏公司系统。其中首个 “无限循环” 攻击在当年8月4日触发，导致Java虚拟机持续生成新线程，直至生产服务器因资源耗尽而瘫痪。

此外，Davis还额外设置了第二个攻击程序：该程序会持续轮询公司 Windows 活动目录（AD）数据库，实时检测其个人账户状态是否活跃。若账户失效（具体而言，就是在 9 月 9 日Davis的网络权限与雇佣关系被正式终止时），预设的 “自杀开关” 代码将自动删除其他 AD 用户配置文件，导致这些用户无法访问公司网络。

调查人员调取的最终日志显示，该破坏行为是通过Davis的个人用户账号，从位于肯塔基州的一台计算机发起的。

美国司法部刑事司检察官Matthew R. Galeotti对此表示“被告利用其职务赋予的访问权限和专业技术知识破坏公司网络，不仅违背了雇主的信任，更给美国企业造成严重破坏及数十万美元的经济损失。但其精心设计的技术手段与诡计，并未使其逃脱行为应承担的法律后果。”

刻意留痕的报复

此案的特殊之处在于，Davis似乎并未刻意隐藏自身的犯罪证据，反而像是在故意昭示自己的参与行为，最终于2020年三月被陪审团裁定有罪。

其中一个典型例证，便是他对AD自杀开关代码的命名 ——“IsDLEnabledinAD”，该缩写的全称为 “Is Davis Lu enabled in Active Directory?”（即 “Davis Lu在活动目录中是否启用”）。

此外，Davis必然清楚检察官取证时会优先核查其网络搜索记录。美国司法部明确指出：“他曾主动搜索权限提升、进程隐藏和快速删除文件的方法，这一行为足以表明其意图是为了阻碍同事解决系统故障。”

2019 年 9 月，当公司要求他上交工作用笔记本电脑时，Davis显然意识到大势已去。他对此的回应是，删除该电脑中的加密卷宗，并试图清除两个关键项目文件及Linux目录。根据案件起诉书记录，Davis最终于2019年10月7日承认了自己对攻击事件的犯罪行为。

独狼行动（Lone wolves）

在企业信息安全领域，相比外部黑客攻击或数据泄露，企业往往更恐惧一种内部威胁，即掌握核心技术知识的 “内鬼”，决意铤而走险破坏系统。

尽管此类内部攻击案例仍属少数，但通过司法案件进入公众视野的案例，往往因破坏力太强而令人触目惊心。核心挑战在于，企业的开发人员和管理员必须拥有一定权限才能开展日常工作，这就导致在实际损害发生前，很难有效区分合法访问与 “独狼” 的恶意操作。

因此，该案也凸显了限制管理员权限，并通过日志监控追踪可疑访问趋势的必要性 —— 一旦检测到异常行为，必须有专人能立即介入处置；而这些管控措施本身，也能对潜在的恶意行为起到威慑作用。

不过，过去十余年间，企业信息安全的管理形势已发生了巨变。以Terry Childs案为例：这位时任旧金山市政部门的网络管理员，曾在 2008 年拒绝交出市政 FiberWAN 系统的管理员密码，直接导致旧金山市政部门失去该系统管理权限长达12天。而他给出的理由是“自己是唯一懂得如何正确管理该系统的人”。

尽管当时有部分系统管理员对Childs表示同情，但 “由单一员工独占关键系统访问权” 的做法，在如今的企业管理中会被立即否决。最终，Childs于2010年被裁定有罪，获刑四年，同时被责令支付150万美元赔偿金。

即便如此，员工滥用权限的案例仍时有发生。近年来较为典型的案例，当属 Nickolas Sharp：作为Ubiquiti Networks公司高薪聘请的管理员，他于2020年窃取公司核心数据，不仅试图栽赃其他同事，还继而以归还数据为由勒索200万美元赎金。而所有这些恶意行为，他都假借“攻击修复”的名义实施。

加强网络安全意识培训是关键

事实上，从 Davis 的报复性逻辑炸弹，到 Childs 的权限独占，再到 Sharp 的勒索式窃密，这些案例反复印证了一个关键问题：企业内部威胁的防范，从来都不是 “权限限制”“日志监控” 等技术手段能单独应对的 —— 技术能筑牢 “物理屏障”，却难以约束人的主观意图，而 “网络安全意识” 的缺失，正是许多内部风险滋生的温床。这也意味着，给全体员工开展系统、常态化的网络安全培训，已经成为企业防范内部威胁的必要举措。

这类培训不能停留在 “禁止泄露密码” 等表层内容，而需要直击内部风险的核心：一方面，要结合 Davis、Childs 等真实案例开展法律与责任教育，让员工清晰认知 “滥用权限”“破坏系统” 等行为的法律后果 —— 从四年监禁到百万赔偿，这些鲜活的代价能让 “安全红线” 真正入脑入心；另一方面，要强化权限边界与责任认知，明确 “岗位赋予的权限是工作工具，而非私人资源”，比如针对开发、管理员等关键岗位，需特别强调 “权限不可滥用、操作必须留痕”，避免因 “主观疏忽” 或 “报复心理” 触发风险。此外，培训还应包含异常行为识别与上报内容，教员工辨别身边可能的恶意操作（如频繁删除文件、异常访问敏感数据），并建立便捷的上报通道，让风险能被及时发现、阻断。

归根结底，技术管控是 “防外” 与 “防误” 的手段，而网络安全培训才是 “防内” 与 “防恶” 的根基。只有让每一位员工都成为企业安全的 “守护者”，而非 “风险点”，才能真正构建起抵御内部威胁的坚实防线。

而针对企业员工的网络安全意识培训，安在新媒体面向甲方企业，打造了“一分钟安全讲堂”“20秒安全科普”等图文、视频公益栏目，宣传普及办公、生活、出行、消费过程中的安全风险，能提升企业各级的安全意识。

面向社群用户，安在还推出了“网络安全意识团购服务”，涵盖宣传素材、培训课程、威胁体验、游戏互动等，采用线上线下融合的方式，帮助企业员工掌握安全要点，并提供定制化安全策略咨询。

视频课程将文字、图像、图形、声音、动画于一体，将网络安全知识内容在短时间内传达给受众，相比文字或图片，视频更能够吸引用户注意力，并快速提升认知度。