保险公司数据库被侵篡改案

2004 年 8 月 5 日，郑州市人民法院对利用计算机技术入侵保险公司数据库造成较大经济损失的被告人王波作出一审判决，判被告人王波有期徒刑两年。一审宣判后，被告表示不上诉。至此，这起黑客入侵金融系统的案件宣告结束。

案件回放

不速之客

6 月 16 日，中国太平洋保险公司郑州分公司某领导办公室的电话骤然响起，电话中，该公司电脑部的一位工作人员以紧张的口气报告： “ 有人侵入了我公司数据库，部分关键数据被修改！ ”

这个消息立即使公司上上下下大为震惊。在金融领域工作的人少有不知道 “ 黑客 ” 这个名词的。这些年，随着信息技术和网络技术的发展，计算机网络在金融系统日益普及，利用计算机盗窃、贪污、诈骗、侵占银行资金的犯罪现象渐渐增多。据统计，全世界每年被计算机犯罪直接盗走的资金达 202 亿元，近几年来，我国金融领域发现的计算机作案的经济案件 100 多起，涉及金额数十万元。但这些案件毕竟离自己太远。而现在，身边真的出现了 “ 黑客 ” ，这可是第一次！

经初步查明，这个黑客是在 6 月 15 日非法侵入该公司网络系统和数据库。 15 日下午该公司大厅的工作人员就发现，保单上打印的公司服务电话号码不知何故被更改为寿险经理室的电话，但大家并没有多想，只是把电话又改了来。但在当日下班之前，又有一名员工发现，一张减保的保单退保金出现不一致的现象，有关主管人员决定第二天与总公司电脑部联系确定问题原因。

没想到， 16 日上午一上班，大厅和客户服务部骇然发现：越来越多的保单交费额异常。公司电脑部闻讯后立即组织人员进行技术分析，确认有人更改了部分关键数据。该公司意识到事态的严重性，立即停止了电脑系统的远程登录服务功能，对寿险系统的用户密码进行了更改，实行各部门操作密码

专人保管的临时措施。同时，公司领导决定：向郑州市公安局报案。

蛛丝蚂迹

郑州市公安局公共信息网络安全监察处是全市的 “ 网络卫士 ” 。接到报案后，该处工作人员就在处长张孝华的领导下立即投入到侦破工作中。

经过对保险公司的电脑系统进行实地勘验，警方认定，保险公司的数据库遭到五个方面的修改：第一、退保金比原来提高了0.025 倍；第二、更改了保险单中 10650 个保单的交费额和给付额，更改的交费额为正确值的 1.87 倍，更改的给付额为正确值的 1.77 倍；三、删除了保单库中1700条记录；四、改乱了保单中一些记录；五、更改了公司的服务电话。

由于案发时正逢银行利率下调，保险业务增多,700多份保单出现错误，幸亏发现及时，及时将出错保单收回，否则该公司的经济利益和声誉将受到很大损害。

警方在勘验中还发现，这名黑客是利用网络内部的用户名称和密码，正常进入网络，由于此人手脚比较干净，网络内未留下侵入痕迹，破案难度较大。

大家经过集思广益，认为这名黑客虽然隐蔽，但至少要符合五个条件：第一，对该公司的电脑网络系统非常熟悉，作案迅速。第二，由于数据是在半个小时内更改完毕的，一般人做到的可能性不大，此人对保险公司的业务非常熟悉。第四，此人对该公司电脑系统的网络、用户名和密码，以及系统弱点了如指掌。该黑客用的是郑州的用户名和密码，但上网端口却用的是平顶山的，表明他掌握该公司网络系统多方面的情况。第五，有作案动机，报复作案的可能性最大。

到此，警方将目光集中在该公司内部和调走人员身上，经过不断排查，一个叫王波的人逐渐纳入了办案人员的侦察视线。

柳暗花明

王波，男，河南省沁阳县人， 21岁，原是太平洋保险公司郑州分公司的职工，开始时作业务员，后来主管计算机系统的维护编程。今年3月，他认为自己不受领导的重用，因而跳槽到另一家公司，走之前扬言要进行报复。王波曾担任该公司计算机网络的系统管理员，有条件掌握计算机网络的用户和密码，嫌疑很大！

网络犯罪的侦破，最难的一个环节就是取证难。指纹、脚印、气味、遗留物等传统证据在这里已经毫无用处。由于证据不足，侦破工作一时陷入困境。 7月17日，郑州市公安局局长李民庆、副局长王恒录听取了该案的工作汇报后，即刻安排抽调刑侦支队经验丰富的民警参加专案组，加大侦破力度。专案组对王波的社会关系进行了广泛的调查，发现王波近期情绪反常，并以请客为幌子，向保险公司的老熟人打听案件侦破动向。王波的犯罪嫌疑越来越大。

但最直接的犯罪证据一时还难以找到。

这家保险公司网络操作系统使用的是 UNIX ，数据库是用 FOXPRO 编程。由于公司网络安全制度不健全，且缺乏日常操作流程的工作日志，黑客侵入痕迹很难寻找。在张孝华处长的带领下，民警陈元熙、谢献忠等对该公司的系统进行一次次的技术剖析。最后突然眼睛一亮：在电脑系统性的最深层，还有一个平常不为人知的工作日志！

将这个来之不易的工作日志打开后，大家赫然发现：这名黑客使用该保险公司客户部的一个用户密码，通过远程登录的方式于 4月13－14日非法侵入网络四次， 6月15 日 12 时又再次侵入，时间长达 28 分钟。根据作案时机、条件等各方面因素综合分析，王波的嫌疑最大。

7月19日，警方对王波进行了第三次传唤。

“ 黑客 ” 曝光

这一次，专案组民警和王波进行了长达 10 多个小时斗智。干警耐心地对他晓以利害，政策攻心，并将提取的电脑系统工作日志亮了出来，使王波的心理防线彻底崩溃。

据王波供认，他侵入网络的动机，主要是听人说原来这家公司的经理认为他的技术不行，有的同事还说他工作干得不好，他心理上感到不平衡，就想借此方法显示一下自己的技术能力，并进行报复。他彻底承认了自己如何利用现所在公司办公室的电脑先后五次侵入太平洋保险公司网络，修改、删除寿险信息系统数据的犯罪事实。

案件分析

回顾这起案件我们发现，电子证据的取证成为案件的转折点。办案人员在最后时刻“发现在电脑系统性的最深层，还有一个平常不为人知的工作日志！”这个工作日志成为犯罪的直接证据，从而最终使犯罪分子供认犯罪事实。

在网络犯罪案件当中，电子证据的取证规则、取证方式都有别于传统证据，传统的证据收集手段、认证都不能完全照搬使用，因此，网络犯罪中证据的提取、固定有一定难度。尽管如此，针对案件的具体情况，利用电子证据自身的特点，可以进行取证，为案件的侦破提供帮助。

（一）电子证据的一般取证方式

一般取证是指电子证据在未经伪饰、修改、破坏等情形下进行的取证。主要的方式有：

1 、打印。对网络犯罪案件在文字内容上有证明意义的情况下，可以直接将有关内容打印在纸张上的方式进行取证。

2 、拷贝。是将计算机文件拷贝到软盘、活动硬盘或光盘中的方式。首先，取证人员应当检验所准备的软盘、活动硬盘或光盘，确认没有病毒感染。

3 、拍照、摄像。如果该证据具有视听资料的证据意义，可以采用拍照、摄像的方法进行证据的提取和固定，以便全面、充分地反映证据的证明作用。

4 、制作司法文书。一般包括检查笔录和鉴定。检查笔录是指对于取证证据种类、方式、过程、内容等在取证中的全部情况进行的记录。鉴定是专业人员就取证中的专门问题进行的认定，也是一种固定证据的方式。

5 、查封、扣押。对于涉及案件的证据材料、物件，为了防止有关当事人进行损毁、破坏，可以采取查封、扣押的方式，将有关材料置于司法机关保管之下。

6 、公证。由于电子证据极易被破坏、一旦被破还又难以恢复原状，所以，通过公证机构将有关证据进行公证固定是获取电子证据的有效途径之一。

  （二）电子证据的复杂取证方式

复杂取证是指需要专业技术人员协助进行的电子证据的收集和固定活动。多使用于电子证据不能顺利获取，如被加密或是被人为的删改、破坏的情况下，如计算机病毒、黑客的袭扰等。这种情况下常用的取证方式包括：

1 、解密。所需要的证据已经被行为人设置了密码，隐藏在文件中时，就需要对密码进行解译。在找到相应的密码文件后，请专业人员选用相应的解除密码口令软件。

2 、恢复。大多数计算机系统都有自动生成备份数据和恢复数据、剩余数据的功能，有些重要的数据库安全系统还会为数据库准备专门的备份。这些系统一般是由专门的设备、专门的操作管理组成，一般是较难篡改的。因此，当发生网络犯罪，其中有关证据已经被修改、破坏的，可以通过对自动备份数据和已经被处理过的数据证据进行比较、恢复，获取定案所需证据。

 3 、测试。电子证据内容涉及电算化资料的，应当由司法会计专家对提取的资料进行现场验证。验证中如发现可能与软件设计或软件使用有关的问题时，应当由司法会计专家现场对电算化软件进行数据测试。