案例內(nèi)容：  2011年，陳軍在QQ網(wǎng)聊中偶然添加了一個(gè)網(wǎng)民叫做"機(jī)票"的人，通過聊天，他知道此人專門從事東航機(jī)票代理。"機(jī)票"告訴陳軍，做東航的機(jī)票代理有較高的返點(diǎn)，可以與他合作，一起拉客戶賣機(jī)票，賺取其中的差價(jià)，陳軍立即同意。隨后便在廣州白云區(qū)的一幢樓房?jī)?nèi)租了一間屋子，并添置了幾臺(tái)手機(jī)和電腦作為代理機(jī)票銷售的工具，他還找來朋友李超和姚振一起合作，生意就這么做了起來。  
        通過"機(jī)票"的介紹，陳軍得到了東航機(jī)票銷售平臺(tái)網(wǎng)站的一級(jí)機(jī)票代理賬戶和密碼，有了一級(jí)代理的身份，他可以得到3％－10％的返點(diǎn)。然而，2011年4月，當(dāng)陳軍又一次登陸到東航機(jī)票銷售網(wǎng)站時(shí)，無意中發(fā)現(xiàn)了一個(gè)管理員賬戶。在好奇心的驅(qū)使下，他反復(fù)測(cè)試得出了管理員賬戶的密碼，并利用這個(gè)賬戶侵入了東航的系統(tǒng)。侵入系統(tǒng)之后，陳軍發(fā)現(xiàn)了很多頁(yè)的管理員名字與信息，隨后，他便一個(gè)個(gè)進(jìn)行測(cè)試與破解，最終獲取了6、7個(gè)管理員賬戶密碼。陳軍發(fā)現(xiàn)，在破解出的管理員賬戶中，其中一個(gè)是可以設(shè)置機(jī)票代理和隨意輸入機(jī)票銷售返點(diǎn)率的。于是他想，如果給自己設(shè)置的代理機(jī)構(gòu)輸入更高的返點(diǎn)率，豈不就可以賺到更多的差價(jià)了？于是，陳軍通過這個(gè)賬戶自行設(shè)置了名為"哥本哈根辦事處"、"利比亞營(yíng)業(yè)點(diǎn)"等的十多家機(jī)票代理，并把返點(diǎn)率設(shè)置成40％－70％。在隨后的"生意"中，他就利用這十多家機(jī)票代理的身份，總共出票3300余張，在QQ上吸引客戶，低價(jià)入手高價(jià)出售，獲取200多萬元的差價(jià)。  
       陳軍等3人非法侵入東航交易平臺(tái)，出票3300余張并銷售，騙取代理費(fèi)200余萬元。記者昨天從長(zhǎng)寧法院獲悉，因犯詐騙罪，陳軍被判處有期徒刑十一年六個(gè)月，剝奪政治權(quán)利一年，并處罰金二十萬元；李超、姚振被判處有期徒刑八年六個(gè)月，并處罰金十萬元。  

分析與論述：

         刑法第二百六十六條指出：詐騙公私財(cái)物，數(shù)額較大的，處三年以下有期徒刑、拘役或者管制，并處或者單處罰金；數(shù)額巨大或者有其他嚴(yán)重情節(jié)的，處三年以上十年以下有期徒刑，并處罰金；數(shù)額特別巨大或者有其他特別嚴(yán)重情節(jié)的，處十年以上有期徒刑或者無期徒刑，并罰金或者沒收財(cái)產(chǎn)。本法另有規(guī)定的，依照規(guī)定。陳軍等人以非法占有為目的，采取虛構(gòu)事實(shí)，隱瞞真相的方法，騙取公司財(cái)物，其行為構(gòu)成詐騙罪，其數(shù)額特別巨大，而且根據(jù)刑事訴訟法第一條規(guī)定，當(dāng)詐騙數(shù)額大于五十五萬時(shí)，應(yīng)當(dāng)認(rèn)定為刑法第二百六十六條規(guī)定的“數(shù)額特別巨大”，而本案中，陳軍通過咋騙獲取了200多完，所以應(yīng)該判十年以上。  
       本案例是一個(gè)利用計(jì)算機(jī)進(jìn)行的商業(yè)詐騙，作為經(jīng)營(yíng)單位東方航空公司，反觀案發(fā)的過程，從信息安全的專業(yè)角度看，其管理漏洞也是顯而易見的。首先陳軍何以能夠得到管理員賬戶就不可思議，因?yàn)橐话銇碚f，管理員的賬號(hào)密碼應(yīng)該是保密的；其次，他通過反復(fù)測(cè)試得出了管理員賬戶的密碼，并利用這個(gè)賬戶侵入了東航的系統(tǒng)更匪夷所思，這也說明東方航空公司網(wǎng)站的設(shè)計(jì)不夠完善，沒有做防暴力破解，所以很容易就會(huì)被人破解；再次，他可以用這個(gè)賬號(hào)發(fā)現(xiàn)了很多頁(yè)的管理員名字與信息，并最終測(cè)試與破解，獲取了多個(gè)管理員賬戶密碼，簡(jiǎn)直就是天方夜譚，陳軍作為一個(gè)代理賬戶，居然能看到管理員的賬號(hào)和密碼，說明網(wǎng)站的權(quán)限沒有分配好，而且賬戶居然沒有定時(shí)檢測(cè)維護(hù)，密碼也沒有定時(shí)更換，這就給想入侵系統(tǒng)的人制造了機(jī)會(huì)；最后，網(wǎng)站有這么多的漏洞，但是東方航空公司的信息安全部門這么久居然都沒有發(fā)現(xiàn)，說明信息安全部門的工作沒有做好，對(duì)自己也太自信了，這么重要的賬號(hào)密碼應(yīng)該進(jìn)行實(shí)時(shí)監(jiān)護(hù)，以防有人通過非法手段進(jìn)行入侵。
       從以上分析可以看出東航自身的信息安全管理意識(shí)淡薄、制度執(zhí)行缺位可見一斑，正是這樣的原因造成了東航票務(wù)系統(tǒng)的易受攻擊。無獨(dú)有偶，因信息安全管理薄弱導(dǎo)致票代系統(tǒng)賬號(hào)的事故并非只有這一起，這與其說是犯罪分子無孔不入，不如說東航系統(tǒng)自身樊籬不緊所致，如果網(wǎng)站的安全方面做的足夠好，那么不管是黑客還是其他想獲取非法利益的人都不會(huì)這么快就得手。有調(diào)查指出，大部分的網(wǎng)絡(luò)安全事故是由于自己的內(nèi)部出了問題，從而給非法人員有機(jī)會(huì)來攻擊網(wǎng)站，足見做好網(wǎng)絡(luò)內(nèi)部的安全是多么的重要，而且許多的企業(yè)保存數(shù)據(jù)及其的簡(jiǎn)單，就是明文存入數(shù)據(jù)庫(kù)中，也不進(jìn)行加密。2011年12月22日，CSDN用戶的數(shù)據(jù)被泄露，就是由于用戶的密碼和賬號(hào)是用明碼存的，所以當(dāng)黑客們得到了網(wǎng)站存用戶資料的數(shù)據(jù)庫(kù)時(shí)，用戶的信息將毫無保留的暴露在黑客的和利益團(tuán)體的眼前，許多的用戶的信息很快就被一些商家獲取，還有的人因?yàn)槠渌~號(hào)的密碼和在CSDN中的一樣，遭到了巨大的損失；從CSDN的案例中，我們吸取的教訓(xùn)就是用戶的信息不能使用明文存到數(shù)據(jù)庫(kù)中，必須進(jìn)行加密。不能把任何一點(diǎn)漏洞留給想攻擊網(wǎng)站的人。所以東方航空公司的用賬號(hào)的密碼不應(yīng)該使用明文進(jìn)行存儲(chǔ)。  
       基于上面的分析，我們可以得出這樣的結(jié)論，東方航空公司的這個(gè)事件主要原因管理者意識(shí)淡薄、制度執(zhí)行缺位，因?yàn)樗械墓酎c(diǎn)都是我們?nèi)粘９芾砩系穆┒矗W(wǎng)絡(luò)中的漏洞也是黑客們攻擊網(wǎng)站的攻擊點(diǎn)；如果不想被人鉆空子，網(wǎng)絡(luò)不想被黑客們攻擊，唯一的辦法就是堵住漏洞，因?yàn)槲覀儾荒艽_定攻擊的人將在何時(shí)何點(diǎn)進(jìn)行攻擊，我們能做的就是把防御工作做好。對(duì)于東方航空公司的這個(gè)事件，預(yù)防措施主要從三個(gè)方面來實(shí)施。第一，也是現(xiàn)在最有效的，管理員的賬號(hào)進(jìn)行加密，密碼隔一段時(shí)間進(jìn)行一次修改，但是做到這一點(diǎn)不是很容易，因?yàn)檫@意味著網(wǎng)站的代碼和數(shù)據(jù)庫(kù)都要進(jìn)行修改，但是我們可以使用比較簡(jiǎn)單的方法來進(jìn)行加密，比如使用移位加密法，這種算法編碼簡(jiǎn)單，但是有一點(diǎn)比較重要，就是要保管好移位的密鑰，如果移位的密鑰丟失，那么密碼和賬號(hào)就變成了明碼。還有一個(gè)方法就是賬號(hào)綁定登錄IP，只有公司中的固定IP才能訪問，這樣只要將電腦就行加密，就可以比較輕松的防范了。第二，就是要在管理中加強(qiáng)管理。員工都是有惰性的，如果不進(jìn)行提醒，那么安全意識(shí)就比較容易松懈，我們的管理者必須制定制度并且嚴(yán)格要求員工按照制度來執(zhí)行。要求員工必須在一定時(shí)段內(nèi)將密碼進(jìn)行修改，每天檢查數(shù)據(jù)是否有變化，如陳軍將返點(diǎn)率修改這么大，應(yīng)該是很容易發(fā)現(xiàn)的，就要看員工是否會(huì)去執(zhí)行，這個(gè)工作費(fèi)的時(shí)間比較長(zhǎng)，有更好的辦好最好就不要使用，既浪費(fèi)時(shí)間又浪費(fèi)人力，但是這個(gè)方法應(yīng)該是最有效的，因?yàn)檫@樣就是實(shí)時(shí)的防護(hù)，不容易給想入侵的人留下機(jī)會(huì)。第三，就是加強(qiáng)對(duì)公司成員安全意識(shí)的培訓(xùn)，讓所有的員工都有這個(gè)意識(shí)來保護(hù)公司的財(cái)物。但是怎么來做這個(gè)培訓(xùn)，還是要根據(jù)各個(gè)公司的具體情況來進(jìn)行，比如有的公司是專門做信息安全培訓(xùn)的，公司可以請(qǐng)它們給員工進(jìn)行培訓(xùn)，增強(qiáng)員工的意識(shí)，從而維護(hù)公司系統(tǒng)的安全，以防患于未然。  
       東航的案例所反映的現(xiàn)象是具有代表性的。我們很多的企業(yè)發(fā)生林林總總的信息安全事故，有的是外部無意侵入，有的是黑客有意攻擊，甚或內(nèi)外勾結(jié)，但核心的關(guān)鍵往往是我們管理者管理意識(shí)淡薄、制度執(zhí)行缺位，因?yàn)樗械墓酎c(diǎn)都是我們?nèi)粘９芾砩系穆┒础Ｒ舛侣┒矗鸵獜纳现料拢珕T參與，時(shí)時(shí)刻刻系緊信息安全之弦。當(dāng)務(wù)之急，就是進(jìn)行全面全員的培訓(xùn)教育，因?yàn)槿魏蔚南到y(tǒng)都有未知漏洞，既然我們不能把所有的漏洞封死，那我們能做的就是盡可能發(fā)現(xiàn)它們，并且想辦法來修補(bǔ)。