信息安全事件案例
1 2007年6月21日,新聞晨報報道:上海大學工辦網站管理員密碼泄露,學生隱私受威脅。由于信息辦主任的防范意思薄弱,隨意將密碼告訴熟識的學生,密碼被公開,學生的個人資料可隨便查看。
2陳冠希艷照門事件。由于陳安全意識淡薄,對自己送修的電腦沒有做好數據保護工作,影響自己與別人的事業前程。
3 2007年10月14日,新華網報道:浙江金華辭職員工惡意攻擊企業網站被批捕。方正躍利用之前的職務便利,在辭職后對原來就職單位的網站進行惡意攻擊,影響公司的網上業務,對企業造成嚴重的經濟損失與負面影響。
4 2007年10月15日,新華網報道:安徽竊取小靈通費工程師被判13年。安徽和信科技發展有限責任公司(中國電信集團下所屬的中國通信服務股份有限公司安徽省通信服務公司的子公司)軟件工程師陳陽利用計算機網絡系統,盜竊電信部門資費26萬余元。
5 2007-09-17 勞動報訊:梁某精通電腦和網絡,蔡某是炒股高手。兩人相互“合作”,由梁某提供內幕信息,蔡某負責操作,在股市上獲利。
6 新聞晨報 2007-06-26上海首例軟件工程師信息犯罪案宣判。軟件工程師蘇強利用職務之便,盜取用戶信息進行信用卡詐騙的案件, 蘇強的這種行為給企業也造成了嚴重的損失。
7 2009-06-05 新聞晨報(上海) 一軟件程序員辭職前埋“炸彈”獲刑。一名程序員辭職前,在其研發的軟件中嵌入了刪除硬盤數據的惡意代碼,給使用該軟件的用戶造成重大損失。為此,他曾供職的公司因為商業信譽危機而面臨倒閉,1500名員工的崗位也可能不保。
8 2008-11-05 國外媒體報道,一位IT員工在被辭退5個月后,侵入公司郵件系統并修改系統設置,導致公司郵件不能正常收發,影響公司正常業務,最終鋃鐺入獄1年。據Steven Barnes自己介紹,進入之前公司郵件系統非常容易,他離職后,居然發現自己舊的賬戶還能用,并且公司并沒有防火墻配置。
9 2008-09-19寧波新聞網訊:跳槽員工入侵原同事郵箱盜客戶資料被獲刑。 3名IT員工跳槽后,入侵原同事電子郵箱,截獲數千封電子郵件,從中獲取客戶資料等信息用于新公司的業務開展。
10 2009年08月25日 大眾網-齊魯晚報 武漢一軟件工程師入侵公安車管信息系統 給126輛走私車辦牌照,非法牟利1500余萬元。付強,武漢人,此前系深圳某信息技術有限公司武漢辦事處軟件工程師,為省交警總隊開發車管信息程序,擁有該信息庫的“超級管理員”身份。付強利用自己超級管理員的用戶和密碼登錄數據庫,添加數據成功,方便今后作案。
信息安全事故案例分析:
美國土安全部安全事故頻出 ,圖片原文
ISO27001
以上原文所說的 未經加密的網絡上收發機密電子郵件、允許承包人在網絡上隨意接入筆記本電腦時、未經授權的用戶將個人電腦掛到了政府網絡上、未經授權的軟件安裝、通過未加密的網絡發送機密電子郵件、可疑的botnet活動、特洛伊木馬和 病毒感染、配置不好的防火墻,以上這些行為,在大多數企業都存在這樣的問題,這些都是普通的網絡管理員或前臺就能完成的工作,但他們這個管理工作去沒做,他們沒有把訪客的筆記本電腦隔離起來,他們沒有要求員工只能安裝什么軟件或工具等等。
北京移動網絡遭網上入侵 黑客竊取話費充值卡密碼,出售后獲利370余萬元
http://www.cnhubei.com/200602/ca1008356.htm
北京消息 據《京華時報》報道:在5個月的時間里,軟件研發工程師程稚瀚利用互聯網4次侵入北京移動充值中心數據庫,盜取充值卡密碼并通過淘寶網出售,共獲利370余萬元。前天,這起全國最大的網上盜竊通信公司資費案在北京市二中院開庭審理。
31歲的程稚瀚是山東人,大學畢業后一直從事軟件研發。案發時,他在UT斯達康(中國)有限公司某分公司擔任工程師。
在對公安機關的供述中,程稚瀚稱他侵入北京移動數據庫僅僅是因為“好玩”。他說,2005年3月份,他出差到海南期間,突然想測試一下中國移動網絡安全系統的安全程度。
隨即,程稚瀚利用他為西藏移動做技術時使用的密碼(此密碼自程稚瀚離開后一直沒有更改),輕松進入了西藏移動的服務器。通過西藏移動的服務器,程稚瀚又跳轉到了北京移動數據庫,取得了數據庫的最高權限,并通過讀取數據庫日志文件,反推破譯出密碼。
從2005年3月至7月,程稚瀚先后4次侵入北京移動數據庫,修改充值卡的時間和金額,將已充值的充值卡狀態改為未充值,共修改復制出上萬個充值卡密碼。他還將盜出的充值卡密碼通過淘寶網出售,共獲利370余萬元。
以上案例說明此事件并不是通過黑客高深的技術來實現,而是隨便使用一個舊密碼就進入了系統,只能說明移動數據中心的技術人員安全意識淡薄,管理工作不到位,才出此大禍。其實現在很多企業的網絡設備或PC機現在連密碼都沒設置,這是多么可怕的事情,又是多么簡單的事情,這也不是要求多高的技術,只是需要管理。
另外,我這里收集了大量的因為管理層面的失誤而導致的信息安全事故案例,如感興趣我可以寄給你閱讀。
總之,信息安全并不是黑客與網絡安全人員的工作,當今有80%的信息安全事件并不是黑客通過高深的技術達成,而是利用員工淡薄的安全意識,操作失誤。平時在我們工作中,可能會因為一杯茶不小心倒在筆記本上,而導致整個電腦數據毀壞,而又因為沒有及時備份筆記本上的數據,花幾年心血積累的重要的資料已全部丟失。可能由于傳真機,打印機緩存了重要的數據,被其它下級員工小心打印出來,機密資料泄密。信息安全管理只是通過遵循ISO27001信息安全標準,規范員工的工作過程,加強員工的安全意識,來減少企業存在的信息安全風險,使企業的知識產權得到保護,保證公司業務持續運營。
現在導入ISO27001的一個機遇:
現在許多公司作為當地的服務外包企業,可以享受服務外包的相關政策,比如說公司導入ISO27001信息安全管理體系、IT服務管理體系、CMMI等等,可以獲得相應國際資質認證的扶持資金。
滬公網安備 31010502000282號