信息安全事件案例
1 2007年6月21日,新闻晨报报道:上海大学工办网站管理员密码泄露,学生隐私受威胁。由于信息办主任的防范意思薄弱,随意将密码告诉熟识的学生,密码被公开,学生的个人资料可随便查看。
2陈冠希艳照门事件。由于陈安全意识淡薄,对自己送修的电脑没有做好数据保护工作,影响自己与别人的事业前程。
3 2007年10月14日,新华网报道:浙江金华辞职员工恶意攻击企业网站被批捕。方正跃利用之前的职务便利,在辞职后对原来就职单位的网站进行恶意攻击,影响公司的网上业务,对企业造成严重的经济损失与负面影响。
4 2007年10月15日,新华网报道:安徽窃取小灵通费工程师被判13年。安徽和信科技发展有限责任公司(中国电信集团下所属的中国通信服务股份有限公司安徽省通信服务公司的子公司)软件工程师陈阳利用计算机网络系统,盗窃电信部门资费26万余元。
5 2007-09-17 劳动报讯:梁某精通电脑和网络,蔡某是炒股高手。两人相互“合作”,由梁某提供内幕信息,蔡某负责操作,在股市上获利。
6 新闻晨报 2007-06-26上海首例软件工程师信息犯罪案宣判。软件工程师苏强利用职务之便,盗取用户信息进行信用卡诈骗的案件, 苏强的这种行为给企业也造成了严重的损失。
7 2009-06-05 新闻晨报(上海) 一软件程序员辞职前埋“炸弹”获刑。一名程序员辞职前,在其研发的软件中嵌入了删除硬盘数据的恶意代码,给使用该软件的用户造成重大损失。为此,他曾供职的公司因为商业信誉危机而面临倒闭,1500名员工的岗位也可能不保。
8 2008-11-05 国外媒体报道,一位IT员工在被辞退5个月后,侵入公司邮件系统并修改系统设置,导致公司邮件不能正常收发,影响公司正常业务,最终锒铛入狱1年。据Steven Barnes自己介绍,进入之前公司邮件系统非常容易,他离职后,居然发现自己旧的账户还能用,并且公司并没有防火墙配置。
9 2008-09-19宁波新闻网讯:跳槽员工入侵原同事邮箱盗客户资料被获刑。 3名IT员工跳槽后,入侵原同事电子邮箱,截获数千封电子邮件,从中获取客户资料等信息用于新公司的业务开展。
10 2009年08月25日 大众网-齐鲁晚报 武汉一软件工程师入侵公安车管信息系统 给126辆走私车办牌照,非法牟利1500余万元。付强,武汉人,此前系深圳某信息技术有限公司武汉办事处软件工程师,为省交警总队开发车管信息程序,拥有该信息库的“超级管理员”身份。付强利用自己超级管理员的用户和密码登录数据库,添加数据成功,方便今后作案。
信息安全事故案例分析:
美国土安全部安全事故频出 ,图片原文
ISO27001
以上原文所说的 未经加密的网络上收发机密电子邮件、允许承包人在网络上随意接入笔记本电脑时、未经授权的用户将个人电脑挂到了政府网络上、未经授权的软件安装、通过未加密的网络发送机密电子邮件、可疑的botnet活动、特洛伊木马和 病毒感染、配置不好的防火墙,以上这些行为,在大多数企业都存在这样的问题,这些都是普通的网络管理员或前台就能完成的工作,但他们这个管理工作去没做,他们没有把访客的笔记本电脑隔离起来,他们没有要求员工只能安装什么软件或工具等等。
北京移动网络遭网上入侵 黑客窃取话费充值卡密码,出售后获利370余万元
http://www.cnhubei.com/200602/ca1008356.htm
北京消息 据《京华时报》报道:在5个月的时间里,软件研发工程师程稚瀚利用互联网4次侵入北京移动充值中心数据库,盗取充值卡密码并通过淘宝网出售,共获利370余万元。前天,这起全国最大的网上盗窃通信公司资费案在北京市二中院开庭审理。
31岁的程稚瀚是山东人,大学毕业后一直从事软件研发。案发时,他在UT斯达康(中国)有限公司某分公司担任工程师。
在对公安机关的供述中,程稚瀚称他侵入北京移动数据库仅仅是因为“好玩”。他说,2005年3月份,他出差到海南期间,突然想测试一下中国移动网络安全系统的安全程度。
随即,程稚瀚利用他为西藏移动做技术时使用的密码(此密码自程稚瀚离开后一直没有更改),轻松进入了西藏移动的服务器。通过西藏移动的服务器,程稚瀚又跳转到了北京移动数据库,取得了数据库的最高权限,并通过读取数据库日志文件,反推破译出密码。
从2005年3月至7月,程稚瀚先后4次侵入北京移动数据库,修改充值卡的时间和金额,将已充值的充值卡状态改为未充值,共修改复制出上万个充值卡密码。他还将盗出的充值卡密码通过淘宝网出售,共获利370余万元。
以上案例说明此事件并不是通过黑客高深的技术来实现,而是随便使用一个旧密码就进入了系统,只能说明移动数据中心的技术人员安全意识淡薄,管理工作不到位,才出此大祸。其实现在很多企业的网络设备或PC机现在连密码都没设置,这是多么可怕的事情,又是多么简单的事情,这也不是要求多高的技术,只是需要管理。
另外,我这里收集了大量的因为管理层面的失误而导致的信息安全事故案例,如感兴趣我可以寄给你阅读。
总之,信息安全并不是黑客与网络安全人员的工作,当今有80%的信息安全事件并不是黑客通过高深的技术达成,而是利用员工淡薄的安全意识,操作失误。平时在我们工作中,可能会因为一杯茶不小心倒在笔记本上,而导致整个电脑数据毁坏,而又因为没有及时备份笔记本上的数据,花几年心血积累的重要的资料已全部丢失。可能由于传真机,打印机缓存了重要的数据,被其它下级员工小心打印出来,机密资料泄密。信息安全管理只是通过遵循ISO27001信息安全标准,规范员工的工作过程,加强员工的安全意识,来减少企业存在的信息安全风险,使企业的知识产权得到保护,保证公司业务持续运营。
现在导入ISO27001的一个机遇:
现在许多公司作为当地的服务外包企业,可以享受服务外包的相关政策,比如说公司导入ISO27001信息安全管理体系、IT服务管理体系、CMMI等等,可以获得相应国际资质认证的扶持资金。
沪公网安备 31010502000282号