東方航空公司信息法與信息安全案例分析
案例內容: 2011年,陳軍在QQ網聊中偶然添加了一個網民叫做"機票"的人,通過聊天,他知道此人專門從事東航機票代理。"機票"告訴陳軍,做東航的機票代理有較高的返點,可以與他合作,一起拉客戶賣機票,
案例內容: 2011年,陳軍在QQ網聊中偶然添加了一個網民叫做"機票"的人,通過聊天,他知道此人專門從事東航機票代理。"機票"告訴陳軍,做東航的機票代理有較高的返點,可以與他合作,一起拉客戶賣機票,賺取其中的差價,陳軍立即同意。隨后便在廣州白云區的一幢樓房內租了一間屋子,并添置了幾臺手機和電腦作為代理機票銷售的工具,他還找來朋友李超和姚振一起合作,生意就這么做了起來。
通過"機票"的介紹,陳軍得到了東航機票銷售平臺網站的一級機票代理賬戶和密碼,有了一級代理的身份,他可以得到3%-10%的返點。然而,2011年4月,當陳軍又一次登陸到東航機票銷售網站時,無意中發現了一個管理員賬戶。在好奇心的驅使下,他反復測試得出了管理員賬戶的密碼,并利用這個賬戶侵入了東航的系統。侵入系統之后,陳軍發現了很多頁的管理員名字與信息,隨后,他便一個個進行測試與破解,最終獲取了6、7個管理員賬戶密碼。陳軍發現,在破解出的管理員賬戶中,其中一個是可以設置機票代理和隨意輸入機票銷售返點率的。于是他想,如果給自己設置的代理機構輸入更高的返點率,豈不就可以賺到更多的差價了?于是,陳軍通過這個賬戶自行設置了名為"哥本哈根辦事處"、"利比亞營業點"等的十多家機票代理,并把返點率設置成40%-70%。在隨后的"生意"中,他就利用這十多家機票代理的身份,總共出票3300余張,在QQ上吸引客戶,低價入手高價出售,獲取200多萬元的差價。
陳軍等3人非法侵入東航交易平臺,出票3300余張并銷售,騙取代理費200余萬元。記者昨天從長寧法院獲悉,因犯詐騙罪,陳軍被判處有期徒刑十一年六個月,剝奪政治權利一年,并處罰金二十萬元;李超、姚振被判處有期徒刑八年六個月,并處罰金十萬元。
分析與論述:
刑法第二百六十六條指出:詐騙公私財物,數額較大的,處三年以下有期徒刑、拘役或者管制,并處或者單處罰金;數額巨大或者有其他嚴重情節的,處三年以上十年以下有期徒刑,并處罰金;數額特別巨大或者有其他特別嚴重情節的,處十年以上有期徒刑或者無期徒刑,并罰金或者沒收財產。本法另有規定的,依照規定。陳軍等人以非法占有為目的,采取虛構事實,隱瞞真相的方法,騙取公司財物,其行為構成詐騙罪,其數額特別巨大,而且根據刑事訴訟法第一條規定,當詐騙數額大于五十五萬時,應當認定為刑法第二百六十六條規定的“數額特別巨大”,而本案中,陳軍通過咋騙獲取了200多完,所以應該判十年以上。
本案例是一個利用計算機進行的商業詐騙,作為經營單位東方航空公司,反觀案發的過程,從信息安全的專業角度看,其管理漏洞也是顯而易見的。首先陳軍何以能夠得到管理員賬戶就不可思議,因為一般來說,管理員的賬號密碼應該是保密的;其次,他通過反復測試得出了管理員賬戶的密碼,并利用這個賬戶侵入了東航的系統更匪夷所思,這也說明東方航空公司網站的設計不夠完善,沒有做防暴力破解,所以很容易就會被人破解;再次,他可以用這個賬號發現了很多頁的管理員名字與信息,并最終測試與破解,獲取了多個管理員賬戶密碼,簡直就是天方夜譚,陳軍作為一個代理賬戶,居然能看到管理員的賬號和密碼,說明網站的權限沒有分配好,而且賬戶居然沒有定時檢測維護,密碼也沒有定時更換,這就給想入侵系統的人制造了機會;最后,網站有這么多的漏洞,但是東方航空公司的信息安全部門這么久居然都沒有發現,說明信息安全部門的工作沒有做好,對自己也太自信了,這么重要的賬號密碼應該進行實時監護,以防有人通過非法手段進行入侵。
從以上分析可以看出東航自身的信息安全管理意識淡薄、制度執行缺位可見一斑,正是這樣的原因造成了東航票務系統的易受攻擊。無獨有偶,因信息安全管理薄弱導致票代系統賬號的事故并非只有這一起,這與其說是犯罪分子無孔不入,不如說東航系統自身樊籬不緊所致,如果網站的安全方面做的足夠好,那么不管是黑客還是其他想獲取非法利益的人都不會這么快就得手。有調查指出,大部分的網絡安全事故是由于自己的內部出了問題,從而給非法人員有機會來攻擊網站,足見做好網絡內部的安全是多么的重要,而且許多的企業保存數據及其的簡單,就是明文存入數據庫中,也不進行加密。2011年12月22日,CSDN用戶的數據被泄露,就是由于用戶的密碼和賬號是用明碼存的,所以當黑客們得到了網站存用戶資料的數據庫時,用戶的信息將毫無保留的暴露在黑客的和利益團體的眼前,許多的用戶的信息很快就被一些商家獲取,還有的人因為其他賬號的密碼和在CSDN中的一樣,遭到了巨大的損失;從CSDN的案例中,我們吸取的教訓就是用戶的信息不能使用明文存到數據庫中,必須進行加密。不能把任何一點漏洞留給想攻擊網站的人。所以東方航空公司的用賬號的密碼不應該使用明文進行存儲。
基于上面的分析,我們可以得出這樣的結論,東方航空公司的這個事件主要原因管理者意識淡薄、制度執行缺位,因為所有的攻擊點都是我們日常管理上的漏洞,而網絡中的漏洞也是黑客們攻擊網站的攻擊點;如果不想被人鉆空子,網絡不想被黑客們攻擊,唯一的辦法就是堵住漏洞,因為我們不能確定攻擊的人將在何時何點進行攻擊,我們能做的就是把防御工作做好。對于東方航空公司的這個事件,預防措施主要從三個方面來實施。第一,也是現在最有效的,管理員的賬號進行加密,密碼隔一段時間進行一次修改,但是做到這一點不是很容易,因為這意味著網站的代碼和數據庫都要進行修改,但是我們可以使用比較簡單的方法來進行加密,比如使用移位加密法,這種算法編碼簡單,但是有一點比較重要,就是要保管好移位的密鑰,如果移位的密鑰丟失,那么密碼和賬號就變成了明碼。還有一個方法就是賬號綁定登錄IP,只有公司中的固定IP才能訪問,這樣只要將電腦就行加密,就可以比較輕松的防范了。第二,就是要在管理中加強管理。員工都是有惰性的,如果不進行提醒,那么安全意識就比較容易松懈,我們的管理者必須制定制度并且嚴格要求員工按照制度來執行。要求員工必須在一定時段內將密碼進行修改,每天檢查數據是否有變化,如陳軍將返點率修改這么大,應該是很容易發現的,就要看員工是否會去執行,這個工作費的時間比較長,有更好的辦好最好就不要使用,既浪費時間又浪費人力,但是這個方法應該是最有效的,因為這樣就是實時的防護,不容易給想入侵的人留下機會。第三,就是加強對公司成員安全意識的培訓,讓所有的員工都有這個意識來保護公司的財物。但是怎么來做這個培訓,還是要根據各個公司的具體情況來進行,比如有的公司是專門做信息安全培訓的,公司可以請它們給員工進行培訓,增強員工的意識,從而維護公司系統的安全,以防患于未然。
東航的案例所反映的現象是具有代表性的。我們很多的企業發生林林總總的信息安全事故,有的是外部無意侵入,有的是黑客有意攻擊,甚或內外勾結,但核心的關鍵往往是我們管理者管理意識淡薄、制度執行缺位,因為所有的攻擊點都是我們日常管理上的漏洞。要封堵漏洞,就要從上至下,全員參與,時時刻刻系緊信息安全之弦。當務之急,就是進行全面全員的培訓教育,因為任何的系統都有未知漏洞,既然我們不能把所有的漏洞封死,那我們能做的就是盡可能發現它們,并且想辦法來修補。
通過"機票"的介紹,陳軍得到了東航機票銷售平臺網站的一級機票代理賬戶和密碼,有了一級代理的身份,他可以得到3%-10%的返點。然而,2011年4月,當陳軍又一次登陸到東航機票銷售網站時,無意中發現了一個管理員賬戶。在好奇心的驅使下,他反復測試得出了管理員賬戶的密碼,并利用這個賬戶侵入了東航的系統。侵入系統之后,陳軍發現了很多頁的管理員名字與信息,隨后,他便一個個進行測試與破解,最終獲取了6、7個管理員賬戶密碼。陳軍發現,在破解出的管理員賬戶中,其中一個是可以設置機票代理和隨意輸入機票銷售返點率的。于是他想,如果給自己設置的代理機構輸入更高的返點率,豈不就可以賺到更多的差價了?于是,陳軍通過這個賬戶自行設置了名為"哥本哈根辦事處"、"利比亞營業點"等的十多家機票代理,并把返點率設置成40%-70%。在隨后的"生意"中,他就利用這十多家機票代理的身份,總共出票3300余張,在QQ上吸引客戶,低價入手高價出售,獲取200多萬元的差價。
陳軍等3人非法侵入東航交易平臺,出票3300余張并銷售,騙取代理費200余萬元。記者昨天從長寧法院獲悉,因犯詐騙罪,陳軍被判處有期徒刑十一年六個月,剝奪政治權利一年,并處罰金二十萬元;李超、姚振被判處有期徒刑八年六個月,并處罰金十萬元。
分析與論述:
刑法第二百六十六條指出:詐騙公私財物,數額較大的,處三年以下有期徒刑、拘役或者管制,并處或者單處罰金;數額巨大或者有其他嚴重情節的,處三年以上十年以下有期徒刑,并處罰金;數額特別巨大或者有其他特別嚴重情節的,處十年以上有期徒刑或者無期徒刑,并罰金或者沒收財產。本法另有規定的,依照規定。陳軍等人以非法占有為目的,采取虛構事實,隱瞞真相的方法,騙取公司財物,其行為構成詐騙罪,其數額特別巨大,而且根據刑事訴訟法第一條規定,當詐騙數額大于五十五萬時,應當認定為刑法第二百六十六條規定的“數額特別巨大”,而本案中,陳軍通過咋騙獲取了200多完,所以應該判十年以上。
本案例是一個利用計算機進行的商業詐騙,作為經營單位東方航空公司,反觀案發的過程,從信息安全的專業角度看,其管理漏洞也是顯而易見的。首先陳軍何以能夠得到管理員賬戶就不可思議,因為一般來說,管理員的賬號密碼應該是保密的;其次,他通過反復測試得出了管理員賬戶的密碼,并利用這個賬戶侵入了東航的系統更匪夷所思,這也說明東方航空公司網站的設計不夠完善,沒有做防暴力破解,所以很容易就會被人破解;再次,他可以用這個賬號發現了很多頁的管理員名字與信息,并最終測試與破解,獲取了多個管理員賬戶密碼,簡直就是天方夜譚,陳軍作為一個代理賬戶,居然能看到管理員的賬號和密碼,說明網站的權限沒有分配好,而且賬戶居然沒有定時檢測維護,密碼也沒有定時更換,這就給想入侵系統的人制造了機會;最后,網站有這么多的漏洞,但是東方航空公司的信息安全部門這么久居然都沒有發現,說明信息安全部門的工作沒有做好,對自己也太自信了,這么重要的賬號密碼應該進行實時監護,以防有人通過非法手段進行入侵。
從以上分析可以看出東航自身的信息安全管理意識淡薄、制度執行缺位可見一斑,正是這樣的原因造成了東航票務系統的易受攻擊。無獨有偶,因信息安全管理薄弱導致票代系統賬號的事故并非只有這一起,這與其說是犯罪分子無孔不入,不如說東航系統自身樊籬不緊所致,如果網站的安全方面做的足夠好,那么不管是黑客還是其他想獲取非法利益的人都不會這么快就得手。有調查指出,大部分的網絡安全事故是由于自己的內部出了問題,從而給非法人員有機會來攻擊網站,足見做好網絡內部的安全是多么的重要,而且許多的企業保存數據及其的簡單,就是明文存入數據庫中,也不進行加密。2011年12月22日,CSDN用戶的數據被泄露,就是由于用戶的密碼和賬號是用明碼存的,所以當黑客們得到了網站存用戶資料的數據庫時,用戶的信息將毫無保留的暴露在黑客的和利益團體的眼前,許多的用戶的信息很快就被一些商家獲取,還有的人因為其他賬號的密碼和在CSDN中的一樣,遭到了巨大的損失;從CSDN的案例中,我們吸取的教訓就是用戶的信息不能使用明文存到數據庫中,必須進行加密。不能把任何一點漏洞留給想攻擊網站的人。所以東方航空公司的用賬號的密碼不應該使用明文進行存儲。
基于上面的分析,我們可以得出這樣的結論,東方航空公司的這個事件主要原因管理者意識淡薄、制度執行缺位,因為所有的攻擊點都是我們日常管理上的漏洞,而網絡中的漏洞也是黑客們攻擊網站的攻擊點;如果不想被人鉆空子,網絡不想被黑客們攻擊,唯一的辦法就是堵住漏洞,因為我們不能確定攻擊的人將在何時何點進行攻擊,我們能做的就是把防御工作做好。對于東方航空公司的這個事件,預防措施主要從三個方面來實施。第一,也是現在最有效的,管理員的賬號進行加密,密碼隔一段時間進行一次修改,但是做到這一點不是很容易,因為這意味著網站的代碼和數據庫都要進行修改,但是我們可以使用比較簡單的方法來進行加密,比如使用移位加密法,這種算法編碼簡單,但是有一點比較重要,就是要保管好移位的密鑰,如果移位的密鑰丟失,那么密碼和賬號就變成了明碼。還有一個方法就是賬號綁定登錄IP,只有公司中的固定IP才能訪問,這樣只要將電腦就行加密,就可以比較輕松的防范了。第二,就是要在管理中加強管理。員工都是有惰性的,如果不進行提醒,那么安全意識就比較容易松懈,我們的管理者必須制定制度并且嚴格要求員工按照制度來執行。要求員工必須在一定時段內將密碼進行修改,每天檢查數據是否有變化,如陳軍將返點率修改這么大,應該是很容易發現的,就要看員工是否會去執行,這個工作費的時間比較長,有更好的辦好最好就不要使用,既浪費時間又浪費人力,但是這個方法應該是最有效的,因為這樣就是實時的防護,不容易給想入侵的人留下機會。第三,就是加強對公司成員安全意識的培訓,讓所有的員工都有這個意識來保護公司的財物。但是怎么來做這個培訓,還是要根據各個公司的具體情況來進行,比如有的公司是專門做信息安全培訓的,公司可以請它們給員工進行培訓,增強員工的意識,從而維護公司系統的安全,以防患于未然。
東航的案例所反映的現象是具有代表性的。我們很多的企業發生林林總總的信息安全事故,有的是外部無意侵入,有的是黑客有意攻擊,甚或內外勾結,但核心的關鍵往往是我們管理者管理意識淡薄、制度執行缺位,因為所有的攻擊點都是我們日常管理上的漏洞。要封堵漏洞,就要從上至下,全員參與,時時刻刻系緊信息安全之弦。當務之急,就是進行全面全員的培訓教育,因為任何的系統都有未知漏洞,既然我們不能把所有的漏洞封死,那我們能做的就是盡可能發現它們,并且想辦法來修補。
責任編輯:葉雨田
免責聲明:本文僅代表作者個人觀點,與本站無關。其原創性以及文中陳述文字和內容未經本站證實,對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾,請讀者僅作參考,并請自行核實相關內容。
我要收藏
個贊
-
發電電力輔助服務營銷決策模型
2019-06-24電力輔助服務營銷 -
繞過安卓SSL驗證證書的四種方式
-
網絡何以可能
2017-02-24網絡
