近日，云頭條發(fā)布的“一個(gè)違規(guī)操作、損失 800 萬(wàn)、被判五年半：運(yùn)維夏某某致鄭大一附院智慧醫(yī)院系統(tǒng)癱瘓 2 個(gè)小時(shí)，判破壞計(jì)算機(jī)信息系統(tǒng)罪”一文引發(fā)了技術(shù)圈的熱議。

[[323346]]

圖片來自 Pexels

事件經(jīng)過

夏某某任職北京中科某某科技有限公司，負(fù)責(zé)該公司為鄭大一附院開發(fā)的“軟件信息系統(tǒng)”的維護(hù)工作。

[[323347]]

2017 年 10 月 31 日 20 時(shí)許，夏某某參與并直接操作了鄭大一附院“HIS 數(shù)據(jù)庫(kù)”的賬號(hào)密碼修改儀式，夏某某在未經(jīng)授權(quán)或許可的情況下，私自記錄了該賬號(hào)密碼。

后夏某某在未經(jīng)授權(quán)或許可的情況下，私自編寫了“數(shù)據(jù)庫(kù)性能觀測(cè)程序”和鎖表語(yǔ)句，并利用私自記錄的賬號(hào)密碼將該程序私自連接鄭大一附院“HIS 數(shù)據(jù)庫(kù)”，導(dǎo)致該鎖表語(yǔ)句在“HIS 數(shù)據(jù)庫(kù)”運(yùn)行。

2018 年 12 月 24 日 8 時(shí) 13 分至 9 時(shí) 47 分期間，夏某某先后六次利用“數(shù)據(jù)庫(kù)性能觀測(cè)程序”連接“平臺(tái)數(shù)據(jù)庫(kù)”的“鎖定平臺(tái)掛號(hào)表”功能，將數(shù)據(jù)庫(kù)執(zhí)行鎖表命令。

該命令執(zhí)行后鎖定 fin_opr_register 表，使其不能進(jìn)行其它活動(dòng)，并導(dǎo)致“HIS 數(shù)據(jù)庫(kù)”鎖定。造成鄭大一附院鄭東院區(qū)、惠濟(jì)院區(qū)、醫(yī)學(xué)院院區(qū)所有門診、臨床計(jì)算機(jī)業(yè)務(wù)受到惡意語(yǔ)句攻擊，門急診掛號(hào)、門急診叫號(hào)、門急診支付、門急診藥房、門急診檢查、門急診檢驗(yàn)等業(yè)務(wù)系統(tǒng)均無法正常操作，所有門診相關(guān)業(yè)務(wù)停止服務(wù)，造成該醫(yī)院三個(gè)院區(qū)門診業(yè)務(wù)停滯近兩個(gè)小時(shí)，造成大量患者積壓在門診無法就診，嚴(yán)重影響醫(yī)院的正常醫(yī)療工作。

案發(fā)后，夏某某對(duì)其工作數(shù)據(jù)日志、辦公電腦進(jìn)行了清理。2019 年 5 月 22 日，經(jīng)民警電話通知后被告人夏某某到鄭州市公安局鄭東分局投案。

經(jīng)鄭大一附院出具證明：由于惡意鎖表行為遭受損失等相關(guān)情況，包括：

• 從當(dāng)日收入來測(cè)算。當(dāng)日收入損失約為 800 萬(wàn)元。
• 鄭東院區(qū)門診樓有 380 臺(tái)電腦無法進(jìn)入醫(yī)生工作站正常工作，72 臺(tái)自助掛號(hào)機(jī)和 49 臺(tái)報(bào)到機(jī)無法正常工作;河醫(yī)院區(qū)門診樓有 1027 臺(tái)電腦無法正常進(jìn)入系統(tǒng)，86 臺(tái)自助掛號(hào)機(jī)和 55 臺(tái)報(bào)到機(jī)無法工作;惠濟(jì)院區(qū)門診部有 82 臺(tái)電腦無法正常進(jìn)入系統(tǒng)，11 臺(tái)自助掛號(hào)機(jī)和 4 臺(tái)報(bào)到機(jī)無法工作。
• 對(duì)該院智慧醫(yī)院項(xiàng)目造成巨大影響。

被害單位委托代理人楊某的陳述：

2018 年 12 月 24 日 8 點(diǎn) 17 分，我在鄭大一附院河醫(yī)院區(qū)辦公，我看到微信上三個(gè)院區(qū)的服務(wù)群里說門診業(yè)務(wù)系統(tǒng)卡住了，無法進(jìn)行其他任何業(yè)務(wù)。

我和同事以及東區(qū)的技術(shù)人員一起通過工作電腦查詢門診業(yè)務(wù)系統(tǒng)卡機(jī)的原因和查詢數(shù)據(jù)庫(kù)。在查到 82 號(hào)和 89 號(hào)這兩個(gè)接口服務(wù)器時(shí)，發(fā)現(xiàn)數(shù)據(jù)包擁塞嚴(yán)重。

在 9 點(diǎn)的時(shí)候，我在我們的 PL/SQL 里面發(fā)現(xiàn)了一條鎖表語(yǔ)句(LOCKTABLE+表名字，也是掛號(hào)業(yè)務(wù)表)，然后我們就執(zhí)行了終止語(yǔ)句(KILL)。

我們一共執(zhí)行了 6 次終止語(yǔ)句，門診業(yè)務(wù)才恢復(fù)正常，這個(gè)時(shí)候時(shí)間是 10 點(diǎn)左右。

后來我們將服務(wù)器工作日志導(dǎo)出發(fā)到東軟公司總部進(jìn)行分析，分析的結(jié)果是發(fā)現(xiàn)那個(gè)鎖表語(yǔ)句是非程序中的運(yùn)行語(yǔ)句，懷疑是人為操作，操控門診業(yè)務(wù)系統(tǒng)。

我們又請(qǐng)了鄭州市信大天瑞信息技術(shù)有限公司的技術(shù)人員進(jìn)行了日志分析，分析的結(jié)果與東軟一致。

這 6 次鎖表語(yǔ)句的總共執(zhí)行時(shí)間是 1 小時(shí) 34 分，從 2018 年 12 月 24 日上午 8 點(diǎn) 13 分開始到 9 點(diǎn) 47 分結(jié)束。

這個(gè)鎖表語(yǔ)句影響了鄭大一附院的三個(gè)院區(qū)，分別是鄭東院區(qū)、河醫(yī)院區(qū)和惠濟(jì)院區(qū)門診的所有業(yè)務(wù)。

在這 1 小時(shí) 34 分的時(shí)間內(nèi)三個(gè)院區(qū)的 15300 多個(gè)門診業(yè)務(wù)量無法工作，24 號(hào)當(dāng)天的業(yè)務(wù)量是 25528 個(gè)。這次的惡意鎖表現(xiàn)象嚴(yán)重影響了我們的日常門診工作。

據(jù)當(dāng)事人解釋：

2018 年 12 月 24 日 8 點(diǎn)左右，我在北京家中用公司給我配備的聯(lián)想電腦，遠(yuǎn)程登錄到鄭大一附院的數(shù)據(jù)庫(kù)和小型機(jī)的數(shù)據(jù)庫(kù)，查看數(shù)據(jù)庫(kù)的運(yùn)行情況。

大概 8 點(diǎn) 30 分，我看到微信群里河醫(yī)的門診系統(tǒng)卡頓，我擔(dān)心公司的綜合信息運(yùn)用平臺(tái)也會(huì)出問題，就啟動(dòng)了我自己編程的一個(gè)程序(程序名稱：數(shù)據(jù)庫(kù)性能觀測(cè)軟件)對(duì)我們公司的系統(tǒng)進(jìn)行查看。

在我運(yùn)行系統(tǒng)的時(shí)候發(fā)現(xiàn)我運(yùn)行的這個(gè)程序在報(bào)錯(cuò)，我就更改了幾次數(shù)據(jù)參數(shù)，一直沒有運(yùn)行成功我就主動(dòng)放棄了，整個(gè)操作過程大概 20 分鐘。大概在 10 點(diǎn)多的時(shí)候微信群說河醫(yī)系統(tǒng)運(yùn)行正常，我就去公司上班了。

12 月 25 日我們公司將小型機(jī)的數(shù)據(jù)庫(kù)的性能報(bào)告導(dǎo)出來，同事張某 2 將報(bào)告發(fā)給我一份，讓我?guī)兔Ψ治鰡栴}出現(xiàn)的原因。

26 日我分析的時(shí)候發(fā)現(xiàn)小型機(jī)分析報(bào)告中第 9 條語(yǔ)句看著有點(diǎn)眼熟，拿出來跟我自己做的編程進(jìn)行了比對(duì)，結(jié)果和我運(yùn)行程序的語(yǔ)句一樣。

我自己推斷可能是我運(yùn)行的程序和性能報(bào)告第九條重疊，這個(gè)運(yùn)行語(yǔ)句會(huì)造成鎖表。

接下來我就對(duì)我自己做的程序進(jìn)行分析，發(fā)現(xiàn)自己寫的程序是有問題可能會(huì)將鎖表語(yǔ)句執(zhí)行到 HIS 數(shù)據(jù)庫(kù)中。

附錄要點(diǎn)如下：

①編寫的“his.exe”軟件(數(shù)據(jù)庫(kù)性能觀測(cè)軟件)沒有得到中科弘睿公司或者鄭大一附院的授權(quán)。

②從鄭大一附院授權(quán)角度講，我是沒權(quán)利使用上述賬號(hào)和密碼的。2017 年 10 月 31 日，鄭大一附院網(wǎng)絡(luò)安全加密實(shí)施儀式我在場(chǎng)，修改的 zdhis 的密碼由 3 個(gè)院領(lǐng)導(dǎo)分別掌握各自的部分，我當(dāng)時(shí)寫了個(gè)修改密碼的語(yǔ)句。這個(gè)語(yǔ)句在我電腦里有保存，我當(dāng)時(shí)存到一個(gè) txt 文檔里。我存這個(gè)密碼的時(shí)候是我私下偷偷存的。

法院裁定

鄭州高新技術(shù)產(chǎn)業(yè)開發(fā)區(qū)人民法院認(rèn)為：夏某某違反國(guó)家規(guī)定，擅自對(duì)計(jì)算機(jī)信息系統(tǒng)功能進(jìn)行刪除、修改、增加、干擾，造成計(jì)算機(jī)信息系統(tǒng)不能正常運(yùn)行，后果特別嚴(yán)重，其行為已構(gòu)成破壞計(jì)算機(jī)信息系統(tǒng)罪。

關(guān)于被告人夏某某及辯護(hù)人辯稱其沒有破壞計(jì)算機(jī)信息系統(tǒng)的主觀故意的意見，經(jīng)查，根據(jù)被告人夏某某供述、證人張某 1、張某 2、周某的證言可知，夏某某并無知曉使用鄭大一附院東軟 his 數(shù)據(jù)庫(kù)“zdhis”賬號(hào)和密碼的權(quán)限，其工作內(nèi)容并不需要登錄上述帳號(hào)。

[[323348]]

夏某某在未經(jīng)授權(quán)的情況下，趁被害單位修改密碼之機(jī)私自記錄上述賬號(hào)和密碼，并私自開發(fā)應(yīng)用“數(shù)據(jù)庫(kù)性能觀測(cè)軟件”，私自使用該賬號(hào)密碼連接被害單位 his 數(shù)據(jù)庫(kù)，使其編寫的鎖表語(yǔ)句在 his 數(shù)據(jù)庫(kù)運(yùn)行，導(dǎo)致被害單位的門診業(yè)務(wù)系統(tǒng)癱瘓，造成重大損失。

2018 年 12 月 24 日，夏某某在運(yùn)行自編軟件報(bào)錯(cuò)的情況下多次修改參數(shù)繼續(xù)運(yùn)行，導(dǎo)致被害單位計(jì)算機(jī)信息系統(tǒng) 6 次執(zhí)行鎖表操作，系統(tǒng)近兩個(gè)小時(shí)無法正常工作，嚴(yán)重影響醫(yī)院正常工作。

夏某某作為專業(yè)技術(shù)人員，應(yīng)明知其違規(guī)操作可能造成被害單位計(jì)算機(jī)系統(tǒng)不能正常運(yùn)行，而放任該結(jié)果的發(fā)生，屬于間接故意，應(yīng)對(duì)危害后果承擔(dān)法律責(zé)任，符合本罪的主觀構(gòu)成要件。

被告人夏某某破壞醫(yī)療領(lǐng)域提供公共服務(wù)的計(jì)算機(jī)信息系統(tǒng)，致使生產(chǎn)生活受到嚴(yán)重影響，造成五十臺(tái)以上的計(jì)算機(jī)不能正常運(yùn)行，造成經(jīng)濟(jì)損失超過五萬(wàn)元以上，符合破壞計(jì)算機(jī)信息系統(tǒng)罪“后果特別嚴(yán)重”的規(guī)定，應(yīng)處五年以上有期徒刑。

辯護(hù)人辯稱不構(gòu)成本罪的意見不能成立。夏某某雖系主動(dòng)到案，但未能如實(shí)供述犯罪事實(shí)，不能認(rèn)定為自首。

裁判結(jié)果

被告人夏某某犯破壞計(jì)算機(jī)信息系統(tǒng)罪，判處有期徒刑五年零六個(gè)月。(刑期從判決執(zhí)行之日起計(jì)算。判決執(zhí)行以前先行羈押的，羈押一日折抵刑期一日，即自 2019 年 5 月 23 日起至 2024 年 11 月 22 日止。)

[[323349]]

這里給大家普及一下破壞計(jì)算機(jī)信息系統(tǒng)罪，它是 IT 從業(yè)人員必須了解的安全守則：

《中華人民共和國(guó)刑法》第二百八十六條第一款：

【破壞計(jì)算機(jī)信息系統(tǒng)罪】違反國(guó)家規(guī)定，對(duì)計(jì)算機(jī)信息系統(tǒng)功能進(jìn)行刪除、修改、增加、干擾，造成計(jì)算機(jī)信息系統(tǒng)不能正常運(yùn)行，后果嚴(yán)重的，處五年以下有期徒刑或者拘役;后果特別嚴(yán)重的，處五年以上有期徒刑。

違反國(guó)家規(guī)定，對(duì)計(jì)算機(jī)信息系統(tǒng)中存儲(chǔ)、處理或者傳輸?shù)臄?shù)據(jù)和應(yīng)用程序進(jìn)行刪除、修改、增加的操作，后果嚴(yán)重的，依照前款的規(guī)定處罰。

故意制作、傳播計(jì)算機(jī)病毒等破壞性程序，影響計(jì)算機(jī)系統(tǒng)正常運(yùn)行，后果嚴(yán)重的，依照第一款的規(guī)定處罰。

單位犯前三款罪的，對(duì)單位判處罰金，并對(duì)其直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員，依照第一款的規(guī)定處罰。

如何看待“鄭大一附院”系統(tǒng)違規(guī)操作損失 800 萬(wàn)，肇事者被判五年半?我們先看看網(wǎng)友的評(píng)論：

下面，我們?cè)賮砜纯粗蹙W(wǎng)友對(duì)此事的深入分析，他表示夏同學(xué)確實(shí)沒說實(shí)話，這里聊兩點(diǎn)質(zhì)疑：

①默認(rèn)連接了 HIS 數(shù)據(jù)庫(kù)，不知情?

相信寫過代碼的都會(huì)感同身受，尤其是夏同學(xué)這樣的運(yùn)維界老鳥。如果連接的是客戶生產(chǎn)庫(kù)，那么“用戶名、密碼、url”等信息的配置和啟用，都會(huì)是在“蹦一根神經(jīng)、確認(rèn)再確認(rèn)”的狀況下完成，豈會(huì)兒戲?

夏同學(xué)的“數(shù)據(jù)庫(kù)性能檢測(cè)”軟件，事發(fā)前已經(jīng)私下驗(yàn)證過，并跑了一年多時(shí)間(自述是 2017 年 7、8 月份寫的)，而且是一個(gè)人寫的全部代碼。

按理說功能點(diǎn)和配置項(xiàng)再熟悉不過了，況且事發(fā)前 20 多天早就已經(jīng)將連接配置新增上去了，并不是當(dāng)天臨時(shí)的忙中出錯(cuò)導(dǎo)致，怎么可能對(duì)“啟動(dòng)后默認(rèn)連接上 HIS 的數(shù)據(jù)庫(kù)”并不知情?當(dāng)初配置的時(shí)候是睡著了嗎?

②“數(shù)據(jù)庫(kù)性能檢測(cè)”，真的需要如此鎖表?

我寫的程序當(dāng)中造成鎖表執(zhí)行程序的語(yǔ)句是 lock table fin_opr_register in exclusive mode。

這個(gè)語(yǔ)句的功能是用來鎖綜合信息平臺(tái) fin_opr_register 這個(gè)表的。鎖表的目的是為了模擬一下在高并發(fā)情況下的死鎖情況，測(cè)試一下我們公司綜合信息運(yùn)用平臺(tái)的性能。

在重要客戶(鄭大一附院的門診量全國(guó)排名第一)早已上線多年的門診生產(chǎn)庫(kù)上，在早上的業(yè)務(wù)高峰期，用偷來的賬號(hào)私下連接，不僅玩模擬性能壓測(cè)，執(zhí)行的還是最高級(jí)別的排他死鎖?!!

這操作，如果智商正常，恐怕是想黃了公司吧?

[[323350]]

這里普及下 Oracle 的鎖類型：

Oracle 的幾種鎖類型

PS：以上的數(shù)字越大，鎖的級(jí)別越高，影響的范圍和操作就越多。

in exclusive mode，意味著其他的更新事務(wù)只能被掛起，阻塞所有的更新操作會(huì)話。

在業(yè)務(wù)系統(tǒng)中，我確實(shí)極少見到主動(dòng)排他鎖表的，一般在生產(chǎn)庫(kù)上使用 select for update 就已經(jīng)需如履薄冰了，夏同學(xué)這樣的 SQL 使用可以說是罕見的存在。

這樣的寫法會(huì)讓事務(wù)串行執(zhí)行，對(duì)于有并發(fā)的系統(tǒng)尤其是大型生產(chǎn)庫(kù)，還是業(yè)務(wù)高峰期，簡(jiǎn)直是災(zāi)難性的“自殺式襲擊”，一旦執(zhí)行，故障的結(jié)局早已經(jīng)注定無可避免。

相信懂點(diǎn) DB 的都明白鎖表的后果，何況是一個(gè)專業(yè)公司的專業(yè)運(yùn)維人員。

另外，數(shù)據(jù)庫(kù)性能檢測(cè)，居然不是檢測(cè)數(shù)據(jù)庫(kù)及所在服務(wù)器的各項(xiàng)性能指標(biāo)和日志反饋，也不是利用 Oracle 自帶的完善性能分析工具。

而是選擇在高峰期鎖死業(yè)務(wù)表來搞垮系統(tǒng)性能，理由是“測(cè)試一下性能”，這一波操作如果是正常思考，那么心大的境界實(shí)在可怕。

退一步說，不要忘了可是偷偷摸摸連的數(shù)據(jù)庫(kù)，即便真要性能壓測(cè)，在凌晨的夜里搞一搞，也不至于輕易被發(fā)現(xiàn)，但無論如何也不需要鎖死表才能測(cè)到性能呀，再說 HIS 級(jí)的業(yè)務(wù)系統(tǒng)難不成真沒有報(bào)錯(cuò)、告警的日志反饋?

這可是在中國(guó)醫(yī)院綜合指數(shù)科研實(shí)力排全國(guó)第 10 位的鄭大一附院，也是中國(guó)醫(yī)院信息化建設(shè)的先進(jìn)單位呀!

感受有如下三點(diǎn)：

①安全規(guī)范和安全策略的設(shè)定缺失

生產(chǎn)庫(kù)即便沒有 VPN，也沒有設(shè)置遠(yuǎn)程跳板機(jī)，至少也得做好白名單或可訪問的 ip list 設(shè)置吧?clientinfo 也需要有記錄 ip 的功能吧?

很明顯，這些都不到位，跳板機(jī)也缺失了，安全防范形同虛設(shè)。甚至都偷偷遠(yuǎn)程訪問了一年多，連異地遠(yuǎn)程訪問的 IP 記錄也沒有，心真是太大了，當(dāng)初項(xiàng)目數(shù)據(jù)安全方案和上線評(píng)估是怎么通過驗(yàn)收的?監(jiān)理方是失責(zé)的。

②監(jiān)控告警功能不到位，問題排查能力滯后

都兩個(gè)小時(shí)了才發(fā)現(xiàn)問題所在?二天后當(dāng)事人才確認(rèn)可能自己搞的?

數(shù)據(jù)庫(kù)一旦死鎖，服務(wù)器 CPU 占用和 DB 內(nèi)的 SQL 排隊(duì)會(huì)迅速飆升，業(yè)務(wù)系統(tǒng)大量報(bào)錯(cuò) SQL 超時(shí)，這樣的特征太明顯了。

在控制臺(tái)輸入一條百度到的排查命令也能很快定位到源頭 SQL，但 SQL 雖然被救火的技術(shù)人員 Kill 干掉過，但重現(xiàn)了幾次，最終還是放棄了，說明還是問題定位不自信，進(jìn)而不敢再繼續(xù) Kill 掉問題 SQL，白白浪費(fèi)了寶貴時(shí)間。

一旦發(fā)現(xiàn)這樣的異常且非業(yè)務(wù)內(nèi)置的 SQL，Linux 直接啟用防火墻，拒絕掉此 IP 的 TCP 鏈接，先恢復(fù)業(yè)務(wù)再慢慢排查，都是及時(shí)的應(yīng)對(duì)手段呀!

③對(duì)于類似安全意識(shí)淡薄，沒有安全規(guī)范和執(zhí)行能力的 IT 公司，應(yīng)該趁早剔除出圈

影響了兩個(gè)小時(shí)的門診，耽誤了多少有急癥的門診患者?這并不是 800 萬(wàn)塊錢賠償?shù)氖虑椋且院芏嗳艘巡豢赏旎氐慕】低闯榇鷥r(jià)。

這已經(jīng)不是一個(gè)低智商的事故個(gè)例，很明顯是公司層面的整體意識(shí)問題，是安全意識(shí)和安全規(guī)范遠(yuǎn)低于及格線的企業(yè)能力問題。

[[323351]]

只可惜當(dāng)事的運(yùn)維人員夏某某一個(gè)人扛下了所有，項(xiàng)目監(jiān)理方、東軟 HIS 系統(tǒng)架構(gòu)師、甲方聘請(qǐng)的專家評(píng)審組等等都或多或少有責(zé)任缺失。

對(duì)于此事，大家怎么看?運(yùn)維如何避免面向監(jiān)獄編程?歡迎大家底部留言討論。

編輯：陶家龍

出處：云頭條，知乎綜合整理

鏈接：https://www.zhihu.com/question/389167387/answer/1170852426