信息法与信息安全案例分析.docVIP

信息法与信息系统安全 班级： XXXXXXXXXX 姓名： XXXXXXXXX 学号：XXXXXXXXXXXX 2012年6月14日星期四 案例内容： 2011年，陈军在QQ网聊中偶然添加了一个网民叫做机票的人，通过聊天，他知道此人专门从事东航机票代理。机票告诉陈军，做东航的机票代理有较高的返点，可以与他合作，一起拉客户卖机票，赚取其中的差价，陈军立即同意。随后便在广州白云区的一幢楼房内租了一间屋子，并添置了几台手机和电脑作为代理机票销售的工具，他还找来朋友李超和姚振一起合作，生意就这么做了起来。 通过机票的介绍，陈军得到了东航机票销售平台网站的一级机票代理账户和密码，有了一级代理的身份，他可以得到3％－10％的返点。然而，2011年4月，当陈军又一次登陆到东航机票销售网站时，无意中发现了一个管理员账户。在好奇心的驱使下，他反复测试得出了管理员账户的密码，并利用???个账户侵入了东航的系统。侵入系统之后，陈军发现了很多页的管理员名字与信息，随后，他便一个个进行测试与破解，最终获取了6、7个管理员账户密码。陈军发现，在破解出的管理员账户中，其中一个是可以设置机票代理和随意输入机票销售返点率的。于是他想，如果给自己设置的代理机构输入更高的返点率，岂不就可以赚到更多的差价了？于是，陈军通过这个账户自行设置了名为哥本哈根办事处、利比亚营业点等的十多家机票代理，并把返点率设置成40％－70％。在随后的生意中，他就利用这十多家机票代理的身份，总共出票3300余张，在QQ上吸引客户，低价入手高价出售，获取200多万元的差价。 陈军等3人非法侵入东航交易平台，出票3300余张并销售，骗取代理费200余万元。记者昨天从长宁法院获悉，因犯诈骗罪，陈军被判处有期徒刑十一年六个月，剥夺政治权利一年，并处罚金二十万元；李超、姚振被判处有期徒刑八年六个月，并处罚金十万元。 分析与论述： 刑法第二百六十六条指出：诈骗公私财物，数额较大的，处三年以下有期徒刑、拘役或者管制，并处或者单处 HYPERLINK /view/115471.htm \t _blank 罚金；数额巨大或者有其他严重情节的，处三年以上十年以下有期徒刑，并处罚金；数额特别巨大或者有其他特别严重情节的，处十年以上有期徒刑或者无期徒刑，并罚金或者没收财产。本法另有规定的，依照规定。陈军等人以非法占有为目的，采取虚构事实，隐瞒真相的方法，骗取公司财物，其行为构成诈骗罪，其数额特别巨大，而且根据刑事诉讼法第一条规定，当诈骗数额大于五十五万时，应当认定为刑法第二百六十六条规定的“数额特别巨大”，而本案中，陈军通过咋骗获取了200多完，所以应该判十年以上。 本案例是一个利用计算机进行的商业诈骗，作为经营单位东方航空公司，反观案发的过程，从信息安全的专业角度看，其管理漏洞也是显而易见的。首先陈军何以能够得到管理员账户就不可思议，因为一般来说，管理员的账号密码应该是保密的；其次，他通过反复测试得出了管理员账户的密码，并利用这个账户侵入了东航的系统更匪夷所思，这也说明东方航空公司网站的设计不够完善，没有做防暴力破解，所以很容易就会被人破解；再次，他可以用这个账号发现了很多页的管理员名字与信息，并最终测试与破解，获取了多个管理员账户密码，简直就是天方夜谭，陈军作为一个代理账户，居然能看到管理员的账号和密码，说明网站的权限没有分配好，而且账户居然没有定时检测维护，密码也没有定时更换，这就给想入侵系统的人制造了机会；最后，网站有这么多的漏洞，但是东方航空公司的信息安全部门这么久居然都没有发现，说明信息安全部门的工作没有做好，对自己也太自信了，这么重要的账号密码应该进行实时监护，以防有人通过非法手段进行入侵。 从以上分析可以看出东航自身的信息安全管理意识淡薄、制度执行缺位可见一斑，正是这样的原因造成了东航票务系统的易受攻击。无独有偶，因信息安全管理薄弱导致票代系统账号的事故并非只有这一起，这与其说是犯罪分子无孔不入，不如说东航系统自身樊篱不紧所致，如果网站的安全方面做的足够好，那么不管是黑客还是其他想获取非法利益的人都不会这么快就得手。有调查指出，大部分的网络安全事故是由于自己的内部出了问题，从而给非法人员有机会来攻击网站，足见做好网络内部的安全是多么的重要，而且许多的企业保存数据及其的简单，就是明文存入数据库中，也不进行加密。2011年12月22日，CSDN用户的数据被泄露，就是由于用户的密码和账号是用明码存的，所以当黑客们得到了网站存用户资料的数据库时，用户的信息将毫无保留的暴露在黑客的和利益团体的眼前，许多的用户的信息很快就被一些商家获取，还有的人因为其他账号的密码和在CSDN中的一样，遭到了巨大的损失；从CSDN的案例中，我们吸取的教训就是用户的信息不能