燃气公司被开除的员工,以黑客手法破译了公司充值卡,然后以所谓“内部低价天然气”的名义对外,非法销售天然气总量达万立方米。近日,经湖南省长沙市天心区人民检察院提起公诉,天心区人民法院对这起涉案金额达66万余元的天然气盗窃销售案进行了一审宣判,以盗窃罪判处被告人周由、唐运涛有期徒刑11年、10年,并各处罚金20万元、18万元;以隐瞒犯罪所得罪对其他8名被告人分别判处刑罚。
燃气公司的充值卡何以被一个只有文化的员工轻易破解?“内部低价燃气”被一群所谓的业务员兜售了两年多,何以没有被发现和制止?
只有初中文化的周由原是长沙市新奥燃气有限公司的职工,2009年9月被该公司开除。离开公司时,他私自截留了6个燃气表、7张包括金卡(最高权限卡)、维修卡(内含有10立方米的临时天然气)、转存卡、设置卡(又名气设卡)在内的该公司工作卡。
一般的内部员工都有机会拿到这些卡,如果用户燃气卡出了问题,维修工人上门维修的过程中有天然气的损耗,维修工人就拿着这三种卡给正常用户补充损耗的天然气。据核实,周由以截留的燃气表作为操作平台,通过转存卡、金卡等盗取天然气。
掌握盗气方法后,周由、唐运涛二人便开始组建自己的销售网络。在此期间,周由将所盗天然气以每立方米1元的价格销售给唐运涛,唐运涛则以每立方米1.5元左右的价格销售给他的亲戚朋友十余人,这些人再以每立方米1.7元至1.8元的价格,以“内部低价气”的名义卖给下线,当时天然气的市场价格为每立方米2.36元。
两年时间里,周由等人通过这个方法做起了无本买卖,建立起了一个大型销售网络,涉及人数达到七八十人,遍布长沙大部分小区。
虽然最后这些违法乱纪的人还是得到了应有的处罚,但是由此次事件暴露的不仅仅是燃气公司的问题,还是普遍存在于信息时代的内部的问题。
从这件事的根源上来看,既然企业内部构筑了网络信息处理系统(在燃气公司的案例中是燃气卡等卡的消费系统),那么自然要对这些信息做好安全防护,或者至少要设置这些信息的等级和使用权限。设想下,如果在这个事件中燃气公司事先做好了信息管理与权限设置,这个事件其实根本不可能发生。因为一个小小的维修工怎可能拥有那么多他不可能得到的高级用户信息呢(即上文中的提到的金卡之类的)。
由此引申,在信息时代,许多企业为了适应当今的消费模式,推出了许多信息交互机制的网络式消费模式,这种消费模式在信息时代可以说,为这些企业带来了生机,甚至挽救了一些濒临破产危机的企业。但同时由于过于急躁的引进,加之对这个技术不甚了解,使得许多企业内部的信息管理系统存在着很多漏洞。而这种漏洞往往会被企业内部一些“居心不轨”的人利用,两者一相加,就成了“鼠疫”一般,让企业的内部安全千疮百孔。
要解决“鼠患”,整顿信息管理系统并设置相应权限是防护的基础。
人们都知道瘟疫的可怕,鼠患也曾经是袭击古代欧洲的巨大瘟疫。而欧洲度过瘟疫的最大法宝不是什么治疗手段,而是疫苗与营养的提升使得鼠疫消失于欧洲。从这点可以看出,要对付可怕的瘟疫,自身的抵抗力是关键。同样的道理运用到企业,要解决企业内部的泄密问题,增加抵抗力是关键,而要增加企业的抵抗力,信息系统的有效管理和权限设置是重中之重。作为信息安全方面的专家山丽网安,有多年文档权限安全管理的经验,旗下的防水墙数据防泄漏系统更是具有专门的文档权限管理,配合山丽网安独有多模加密技术,可以让企业灵活且高效的管理企业信息,并设置相应的权限。
要彻底解决“鼠患”, 作为捕鼠器,利用加密软件打击内部泄密行为是最好的良方。
在有了信息管理的基础,要彻底解决企业内部“鼠患”问题,就必须利用加密软件这个最好的捕鼠器。捕鼠器的原理想必大家都有所耳闻,即利用诱饵来使老鼠上钩,从而在它得到“食物”的那一刹将其消灭。而加密软件与有价值数据配合就恰恰能达到这种诱捕的数据防护效果。随着国际的进程以及网络覆盖面积的全面扩大,信息和数据本身的价值越来越高,尤其在那些经济发展良好的企业内部更是诱人的“香饽饽”。如果把它当做诱饵,一定会引出那些“居心叵测”的内鬼;同时由于加密软件是对数据本身进行安全的防护,就算数据在那一瞬间不小心被那些“老鼠”所啃食到,那些内鬼也无法轻易得到数据真实内容的“甜头”。那些已经掉入陷阱的内鬼为了想要继续尝到数据价值的甜头,就必须破译那些数据,而这个过程是需要时间的。而这个时间又恰恰成为了那些内鬼最致命的时间——数据持有者可以利用那些时间发现数据被窃或者被窥视,并且进一步抓住黑客找回被窃的数据。
为了现在多样的数据安全环境,就需要利用国际先进的多模加密技术。
多模加密技术是采用国际成熟的对称密钥和非对称密钥相结合的技术。同时多模加密本身是一种能提供满足多种使用场景,采用多种加密策略的数据透明加密技术。在多模加密模式中,用户创建秘文的方式支持主动和被动两种方式,至少包含如下模式:特定格式加密模式、特定目录加密模式、特定格式不加密模式、特定用户不加密模式(但需要可以修改和查看别人的密文即高级别模式)、特定用户不加密模式(可以查看别人但不能修改别人密文即阅读者模式)、U盘等外设加密模式、网上邻居网络加密模式、手动加密、全盘加密等等;这些加密模式可以赋予不同的用户或者用户组。
这种灵活的加密技术可以根据企业自身的安全需要,制定不同的加密策略。这种灵活且高效的加密技术为企业制定不同的安全策略提供了强力支持,同时为清除企业内鬼提供了有利的支持。而山丽网安的数据防泄漏产品正是使用这种技术的典型代表。
企业的内部泄密问题正如流行在古代欧洲的鼠疫一般,正侵蚀信息时代各数据资产。要确实改变整个局面,就必须利用文档信息和数据权限的有效管理来强健企业的“体魄”,同时利用加密软件作为“捕鼠器”来杜绝“鼠疫”的隐患!