[编者按] 网络安全和互联网与生俱来。《经济学人》最近的一项调查显示,45%的企业高管表示,在企业网络上存储敏感的客户数据令他们感到特别不安全。 在谈及信息安全时,人们总习惯将视角投向防火墙、杀毒软件、黑客等外部因素,但不容忽视的是来自内部的网络威胁,正如本文所讲述的三个故事。 魔高一尺,道高一丈。种种破坏信息系统的技术总有相应的制伏之术,而真正危险的是缺乏应对信息安全的管理机制。管理机制的缺失,使得企业在面对来自内部的信息威胁时,往往束手无策。 企业应该建立怎样的信息安全管理机制?本报欲以本文抛砖引玉,与业界继续进行进一步探讨。 接下来的5年时间,即将硕士毕业的苏强将在监狱中度过。 “被告人苏强利用为银行设计、维护ATM机软件的工作之便,从ATM机上盗取他人信用卡信息进行信用卡诈骗案,判处其有期徒刑5年,并罚款5万元。”6月19日,上海市闸北区人民法院当庭宣判。 实际上,这种内部人利用信息技术盗取他人钱财的事情在IT业内时有发生。2006年6月份,华为公司工程师王林勇利用编写的程序盗取了70多万元的移动充值卡。2006年2月,UT斯达康工程师程稚瀚利用之前给西藏移动安装系统的机会,盗取了370多万元的移动充值卡,并出售套利。 “所有的信息系统设置都是基于内部人完全可以信任为前提的。”一直从事数据安全业务的GDS万国数据公司总裁黄伟认为,对外部人侵入系统,尚可设置防火墙等技术手段予以拦截,但这种内部人利用数据信息犯罪则难以防范,“唯一能做的就是不断的加强流程、技术上管理”。 ATM系统的“内鬼” 2003年8月,大学毕业的苏强进入一家ATM机公司,职务为编写ATM自动取款机软件工程师,这是他的第一份工作。 2个月后,苏强开始为国内股份制商业银行上海分行临汾路自助网点安装、调试两台ATM自动取款机。精通软件的苏强在软件编程过程中很快发现,ATM自动取款机的加密程序上有些“BUG”,于是,一时兴起的苏强编写了一个窥探程序,该程序可以记录该ATM用户的银行卡卡号、磁条信息和密码,并将这个窥探程序安装到了两台ATM自动取款机上。“当时只是觉得好玩。”苏强在法庭上为自己辩解。 “很多软件工程师都有这种癖好,希望找到系统的漏洞,以此证明自己的技术水平。”黄伟表示。 2003年11月,在对这两台ATM机进行维护的时候,苏强打开了自己当时编写的程序,发现窥探程序竟然记录了7000多条用户的信息。苏强将这些信息拷贝到了自己的笔记本电脑上,为了不留下痕迹,苏强又删除了自己当时编写的程序。 但是生活的窘迫很快让苏强想到利用这些数据来牟利。2004年9月,苏强进入上海一所大学攻读硕士研究生,没有收入来源的他想起了那堆数据。很快,苏强就开始了行动,从市场上购买了磁卡写码读卡器,又在电脑市场买了空白磁卡,开始伪造银行卡。 第一张银行卡制作出来时,苏强有点忐忑不安,只好让女朋友前去取钱,他的女朋友就从银行取出了200元现金。从此,苏强一发不可收拾,此后的近两年时间,苏强如法炮制,先后伪造多张银行卡,共计提取了6万多元现金。由于苏强复制出来的银行卡,其客户信息、密码完全正确,银行根本无法辨其真假。 一位客户在取款时发现卡里莫名其妙地少了4500元,银行显示这笔现金是在无锡被取走的,但这位客户根本就没有去过无锡,于是他向警方报案。此后,上海警方也陆续收到了10多位银行卡用户的报案,都是卡上的钱莫名其妙地少了。此时,银行才开始警觉起来。 在配合警方办案的过程中,上述商业银行的工作人员发现,有人侵入过银行的网站,查询了200余客户的个人信息,其中包含了被盗用信用卡资金的被害人信息。很快,警方就查到了入侵银行系统时使用的IP地址,并根据这个IP地址查到了苏强所在的大学宿舍。
|