2006年7月,北京市第二中级法院下达一纸判决:UT斯达康(中国)有限公司深圳分公司资深软件研发工程师程稚翰因多次网上盗窃通讯资费,对其处以有期徒刑12年,剥夺政治权利2年,罚金5万元。
灾难影响: 虚拟卡的隐忧
该案件的发生将矛头指向了虚拟卡弊端。在铺天盖地的网络化生存环境下,虚拟卡大行其道,但安全隐患无法逃脱。虚拟卡脱离实体卡承载,冲值账号和密码可以作为商品自由来去,正利用网络构建的优势而逐渐取代传统渠道。
当然,这种方式也产生了不良影响。在“得渠道得天下”的商战场上,稳占网络渠道优势也意味着有空子可钻。
程稚翰事件并非个案。2005年10月8日,网易计算机系统公司发现与北京市网通合作项目中,价值10元一张的网易一卡通虚拟游戏点卡被盗15.5万张,总价值155万余元。网易公司立即对尚未充值使用的近7万张点卡做了屏蔽处理,其公司法务专员蒋先生向海淀公安分局报案。
后经追查,臧某和丁某用在淘宝网支付宝上所留下的银行账号进行过多次网上交易,而且数额与购卡者所汇出的购卡金额相符。
救灾措施:加强管控
据介绍,程稚翰是通过他多年前为西藏移动安装系统时掌握的密码,从而进入北京移动的充值数据库。而此前,移动曾上线信息安全体系,花费1.2亿元。
没有定期修改密码这样一个简单错误,却可以让花费巨资的信息安全体系也不堪一击。要实现系统安全运营,企业就应该更多地从管理体制上着力,加强控制,明确责任。不只是移动一家,我国大多数企业都没有做好一项简单的必修功课——定期修改密码。在这个案例中,如果相关机构严格执行了系统安全的相关制度,就不会有这个事故了。
在这个案件中,长达4个多月异常的数据居然未引起注意,也不得不引起反思。
灾后思考:相信人,还是相信制度
据有关部门统计,在所有的计算机安全事件中,约有52%是人为因素造成的,25%由火灾、水灾等自然灾害引起,技术错误占10%,组织内部人员作案占10%,仅有3%左右是由外部不法人员的攻击造成。
在现实生活中,许多企业出于成本的考虑,重要的岗位都只依靠个别人的诚信,没有采取人员备份的措施。结果,他与企业发生冲突时,或受到利益的引诱,这个曾被组织相信的人就可能利用其掌握的信息为自己谋利。
很多现实事件向我们敲响了警钟,仅仅依靠技术和产品保障信息安全的愿望,往往难尽如人意。该案例中的安全问题,不仅仅是技术问题,更重要的是内部控制体系上的问题。现实告诉我们,是时候了,该管好自己人。(责任编辑:黄重来)
