东方航空公司信息法与信息安全案例分析
案例内容: 2011年,陈军在QQ网聊中偶然添加了一个网民叫做"机票"的人,通过聊天,他知道此人专门从事东航机票代理。"机票"告诉陈军,做东航的机票代理有较高的返点,可以与他合作,一起拉客户卖机票,
案例内容: 2011年,陈军在QQ网聊中偶然添加了一个网民叫做"机票"的人,通过聊天,他知道此人专门从事东航机票代理。"机票"告诉陈军,做东航的机票代理有较高的返点,可以与他合作,一起拉客户卖机票,赚取其中的差价,陈军立即同意。随后便在广州白云区的一幢楼房内租了一间屋子,并添置了几台手机和电脑作为代理机票销售的工具,他还找来朋友李超和姚振一起合作,生意就这么做了起来。
通过"机票"的介绍,陈军得到了东航机票销售平台网站的一级机票代理账户和密码,有了一级代理的身份,他可以得到3%-10%的返点。然而,2011年4月,当陈军又一次登陆到东航机票销售网站时,无意中发现了一个管理员账户。在好奇心的驱使下,他反复测试得出了管理员账户的密码,并利用这个账户侵入了东航的系统。侵入系统之后,陈军发现了很多页的管理员名字与信息,随后,他便一个个进行测试与破解,最终获取了6、7个管理员账户密码。陈军发现,在破解出的管理员账户中,其中一个是可以设置机票代理和随意输入机票销售返点率的。于是他想,如果给自己设置的代理机构输入更高的返点率,岂不就可以赚到更多的差价了?于是,陈军通过这个账户自行设置了名为"哥本哈根办事处"、"利比亚营业点"等的十多家机票代理,并把返点率设置成40%-70%。在随后的"生意"中,他就利用这十多家机票代理的身份,总共出票3300余张,在QQ上吸引客户,低价入手高价出售,获取200多万元的差价。
陈军等3人非法侵入东航交易平台,出票3300余张并销售,骗取代理费200余万元。记者昨天从长宁法院获悉,因犯诈骗罪,陈军被判处有期徒刑十一年六个月,剥夺政治权利一年,并处罚金二十万元;李超、姚振被判处有期徒刑八年六个月,并处罚金十万元。
分析与论述:
刑法第二百六十六条指出:诈骗公私财物,数额较大的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金;数额巨大或者有其他严重情节的,处三年以上十年以下有期徒刑,并处罚金;数额特别巨大或者有其他特别严重情节的,处十年以上有期徒刑或者无期徒刑,并罚金或者没收财产。本法另有规定的,依照规定。陈军等人以非法占有为目的,采取虚构事实,隐瞒真相的方法,骗取公司财物,其行为构成诈骗罪,其数额特别巨大,而且根据刑事诉讼法第一条规定,当诈骗数额大于五十五万时,应当认定为刑法第二百六十六条规定的“数额特别巨大”,而本案中,陈军通过咋骗获取了200多完,所以应该判十年以上。
本案例是一个利用计算机进行的商业诈骗,作为经营单位东方航空公司,反观案发的过程,从信息安全的专业角度看,其管理漏洞也是显而易见的。首先陈军何以能够得到管理员账户就不可思议,因为一般来说,管理员的账号密码应该是保密的;其次,他通过反复测试得出了管理员账户的密码,并利用这个账户侵入了东航的系统更匪夷所思,这也说明东方航空公司网站的设计不够完善,没有做防暴力破解,所以很容易就会被人破解;再次,他可以用这个账号发现了很多页的管理员名字与信息,并最终测试与破解,获取了多个管理员账户密码,简直就是天方夜谭,陈军作为一个代理账户,居然能看到管理员的账号和密码,说明网站的权限没有分配好,而且账户居然没有定时检测维护,密码也没有定时更换,这就给想入侵系统的人制造了机会;最后,网站有这么多的漏洞,但是东方航空公司的信息安全部门这么久居然都没有发现,说明信息安全部门的工作没有做好,对自己也太自信了,这么重要的账号密码应该进行实时监护,以防有人通过非法手段进行入侵。
从以上分析可以看出东航自身的信息安全管理意识淡薄、制度执行缺位可见一斑,正是这样的原因造成了东航票务系统的易受攻击。无独有偶,因信息安全管理薄弱导致票代系统账号的事故并非只有这一起,这与其说是犯罪分子无孔不入,不如说东航系统自身樊篱不紧所致,如果网站的安全方面做的足够好,那么不管是黑客还是其他想获取非法利益的人都不会这么快就得手。有调查指出,大部分的网络安全事故是由于自己的内部出了问题,从而给非法人员有机会来攻击网站,足见做好网络内部的安全是多么的重要,而且许多的企业保存数据及其的简单,就是明文存入数据库中,也不进行加密。2011年12月22日,CSDN用户的数据被泄露,就是由于用户的密码和账号是用明码存的,所以当黑客们得到了网站存用户资料的数据库时,用户的信息将毫无保留的暴露在黑客的和利益团体的眼前,许多的用户的信息很快就被一些商家获取,还有的人因为其他账号的密码和在CSDN中的一样,遭到了巨大的损失;从CSDN的案例中,我们吸取的教训就是用户的信息不能使用明文存到数据库中,必须进行加密。不能把任何一点漏洞留给想攻击网站的人。所以东方航空公司的用账号的密码不应该使用明文进行存储。
基于上面的分析,我们可以得出这样的结论,东方航空公司的这个事件主要原因管理者意识淡薄、制度执行缺位,因为所有的攻击点都是我们日常管理上的漏洞,而网络中的漏洞也是黑客们攻击网站的攻击点;如果不想被人钻空子,网络不想被黑客们攻击,唯一的办法就是堵住漏洞,因为我们不能确定攻击的人将在何时何点进行攻击,我们能做的就是把防御工作做好。对于东方航空公司的这个事件,预防措施主要从三个方面来实施。第一,也是现在最有效的,管理员的账号进行加密,密码隔一段时间进行一次修改,但是做到这一点不是很容易,因为这意味着网站的代码和数据库都要进行修改,但是我们可以使用比较简单的方法来进行加密,比如使用移位加密法,这种算法编码简单,但是有一点比较重要,就是要保管好移位的密钥,如果移位的密钥丢失,那么密码和账号就变成了明码。还有一个方法就是账号绑定登录IP,只有公司中的固定IP才能访问,这样只要将电脑就行加密,就可以比较轻松的防范了。第二,就是要在管理中加强管理。员工都是有惰性的,如果不进行提醒,那么安全意识就比较容易松懈,我们的管理者必须制定制度并且严格要求员工按照制度来执行。要求员工必须在一定时段内将密码进行修改,每天检查数据是否有变化,如陈军将返点率修改这么大,应该是很容易发现的,就要看员工是否会去执行,这个工作费的时间比较长,有更好的办好最好就不要使用,既浪费时间又浪费人力,但是这个方法应该是最有效的,因为这样就是实时的防护,不容易给想入侵的人留下机会。第三,就是加强对公司成员安全意识的培训,让所有的员工都有这个意识来保护公司的财物。但是怎么来做这个培训,还是要根据各个公司的具体情况来进行,比如有的公司是专门做信息安全培训的,公司可以请它们给员工进行培训,增强员工的意识,从而维护公司系统的安全,以防患于未然。
东航的案例所反映的现象是具有代表性的。我们很多的企业发生林林总总的信息安全事故,有的是外部无意侵入,有的是黑客有意攻击,甚或内外勾结,但核心的关键往往是我们管理者管理意识淡薄、制度执行缺位,因为所有的攻击点都是我们日常管理上的漏洞。要封堵漏洞,就要从上至下,全员参与,时时刻刻系紧信息安全之弦。当务之急,就是进行全面全员的培训教育,因为任何的系统都有未知漏洞,既然我们不能把所有的漏洞封死,那我们能做的就是尽可能发现它们,并且想办法来修补。
通过"机票"的介绍,陈军得到了东航机票销售平台网站的一级机票代理账户和密码,有了一级代理的身份,他可以得到3%-10%的返点。然而,2011年4月,当陈军又一次登陆到东航机票销售网站时,无意中发现了一个管理员账户。在好奇心的驱使下,他反复测试得出了管理员账户的密码,并利用这个账户侵入了东航的系统。侵入系统之后,陈军发现了很多页的管理员名字与信息,随后,他便一个个进行测试与破解,最终获取了6、7个管理员账户密码。陈军发现,在破解出的管理员账户中,其中一个是可以设置机票代理和随意输入机票销售返点率的。于是他想,如果给自己设置的代理机构输入更高的返点率,岂不就可以赚到更多的差价了?于是,陈军通过这个账户自行设置了名为"哥本哈根办事处"、"利比亚营业点"等的十多家机票代理,并把返点率设置成40%-70%。在随后的"生意"中,他就利用这十多家机票代理的身份,总共出票3300余张,在QQ上吸引客户,低价入手高价出售,获取200多万元的差价。
陈军等3人非法侵入东航交易平台,出票3300余张并销售,骗取代理费200余万元。记者昨天从长宁法院获悉,因犯诈骗罪,陈军被判处有期徒刑十一年六个月,剥夺政治权利一年,并处罚金二十万元;李超、姚振被判处有期徒刑八年六个月,并处罚金十万元。
分析与论述:
刑法第二百六十六条指出:诈骗公私财物,数额较大的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金;数额巨大或者有其他严重情节的,处三年以上十年以下有期徒刑,并处罚金;数额特别巨大或者有其他特别严重情节的,处十年以上有期徒刑或者无期徒刑,并罚金或者没收财产。本法另有规定的,依照规定。陈军等人以非法占有为目的,采取虚构事实,隐瞒真相的方法,骗取公司财物,其行为构成诈骗罪,其数额特别巨大,而且根据刑事诉讼法第一条规定,当诈骗数额大于五十五万时,应当认定为刑法第二百六十六条规定的“数额特别巨大”,而本案中,陈军通过咋骗获取了200多完,所以应该判十年以上。
本案例是一个利用计算机进行的商业诈骗,作为经营单位东方航空公司,反观案发的过程,从信息安全的专业角度看,其管理漏洞也是显而易见的。首先陈军何以能够得到管理员账户就不可思议,因为一般来说,管理员的账号密码应该是保密的;其次,他通过反复测试得出了管理员账户的密码,并利用这个账户侵入了东航的系统更匪夷所思,这也说明东方航空公司网站的设计不够完善,没有做防暴力破解,所以很容易就会被人破解;再次,他可以用这个账号发现了很多页的管理员名字与信息,并最终测试与破解,获取了多个管理员账户密码,简直就是天方夜谭,陈军作为一个代理账户,居然能看到管理员的账号和密码,说明网站的权限没有分配好,而且账户居然没有定时检测维护,密码也没有定时更换,这就给想入侵系统的人制造了机会;最后,网站有这么多的漏洞,但是东方航空公司的信息安全部门这么久居然都没有发现,说明信息安全部门的工作没有做好,对自己也太自信了,这么重要的账号密码应该进行实时监护,以防有人通过非法手段进行入侵。
从以上分析可以看出东航自身的信息安全管理意识淡薄、制度执行缺位可见一斑,正是这样的原因造成了东航票务系统的易受攻击。无独有偶,因信息安全管理薄弱导致票代系统账号的事故并非只有这一起,这与其说是犯罪分子无孔不入,不如说东航系统自身樊篱不紧所致,如果网站的安全方面做的足够好,那么不管是黑客还是其他想获取非法利益的人都不会这么快就得手。有调查指出,大部分的网络安全事故是由于自己的内部出了问题,从而给非法人员有机会来攻击网站,足见做好网络内部的安全是多么的重要,而且许多的企业保存数据及其的简单,就是明文存入数据库中,也不进行加密。2011年12月22日,CSDN用户的数据被泄露,就是由于用户的密码和账号是用明码存的,所以当黑客们得到了网站存用户资料的数据库时,用户的信息将毫无保留的暴露在黑客的和利益团体的眼前,许多的用户的信息很快就被一些商家获取,还有的人因为其他账号的密码和在CSDN中的一样,遭到了巨大的损失;从CSDN的案例中,我们吸取的教训就是用户的信息不能使用明文存到数据库中,必须进行加密。不能把任何一点漏洞留给想攻击网站的人。所以东方航空公司的用账号的密码不应该使用明文进行存储。
基于上面的分析,我们可以得出这样的结论,东方航空公司的这个事件主要原因管理者意识淡薄、制度执行缺位,因为所有的攻击点都是我们日常管理上的漏洞,而网络中的漏洞也是黑客们攻击网站的攻击点;如果不想被人钻空子,网络不想被黑客们攻击,唯一的办法就是堵住漏洞,因为我们不能确定攻击的人将在何时何点进行攻击,我们能做的就是把防御工作做好。对于东方航空公司的这个事件,预防措施主要从三个方面来实施。第一,也是现在最有效的,管理员的账号进行加密,密码隔一段时间进行一次修改,但是做到这一点不是很容易,因为这意味着网站的代码和数据库都要进行修改,但是我们可以使用比较简单的方法来进行加密,比如使用移位加密法,这种算法编码简单,但是有一点比较重要,就是要保管好移位的密钥,如果移位的密钥丢失,那么密码和账号就变成了明码。还有一个方法就是账号绑定登录IP,只有公司中的固定IP才能访问,这样只要将电脑就行加密,就可以比较轻松的防范了。第二,就是要在管理中加强管理。员工都是有惰性的,如果不进行提醒,那么安全意识就比较容易松懈,我们的管理者必须制定制度并且严格要求员工按照制度来执行。要求员工必须在一定时段内将密码进行修改,每天检查数据是否有变化,如陈军将返点率修改这么大,应该是很容易发现的,就要看员工是否会去执行,这个工作费的时间比较长,有更好的办好最好就不要使用,既浪费时间又浪费人力,但是这个方法应该是最有效的,因为这样就是实时的防护,不容易给想入侵的人留下机会。第三,就是加强对公司成员安全意识的培训,让所有的员工都有这个意识来保护公司的财物。但是怎么来做这个培训,还是要根据各个公司的具体情况来进行,比如有的公司是专门做信息安全培训的,公司可以请它们给员工进行培训,增强员工的意识,从而维护公司系统的安全,以防患于未然。
东航的案例所反映的现象是具有代表性的。我们很多的企业发生林林总总的信息安全事故,有的是外部无意侵入,有的是黑客有意攻击,甚或内外勾结,但核心的关键往往是我们管理者管理意识淡薄、制度执行缺位,因为所有的攻击点都是我们日常管理上的漏洞。要封堵漏洞,就要从上至下,全员参与,时时刻刻系紧信息安全之弦。当务之急,就是进行全面全员的培训教育,因为任何的系统都有未知漏洞,既然我们不能把所有的漏洞封死,那我们能做的就是尽可能发现它们,并且想办法来修补。
责任编辑:叶雨田
免责声明:本文仅代表作者个人观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
我要收藏
个赞
-
发电电力辅助服务营销决策模型
2019-06-24电力辅助服务营销 -
绕过安卓SSL验证证书的四种方式
-
网络何以可能
2017-02-24网络