读过《死魂灵》的人都知道有这么一个情节——用死人去赚钱。这是文学作品，而在现实生活中，在上虞就有这么一个软件工程师通过“技术”，让一个死去的人“复活”，并在案发前轻松赚得11万余元。2016年6月8日，该工程师以破坏计算机信息系统罪被上虞区人民法院一审判处有期徒刑5年6个月。

这位工程师姓史，系上虞区社保养老金发放系统的技术负责人。据了解，上虞区社保系统的“核心三版”全省也属领先。早在2006年左右，史某当时所在的杭州一家软件公司就与上虞社保部门合作开发管理系统。2008年初，史某被公司派到上虞负责系统的管理维护，主要工作是对数据的修改、新功能开发等方面。再后来他就成了公司在上虞这边的负责人，基本上一周在上虞工作两至三天。

作为杭州软件公司在上虞的负责人，史某获得进入系统的最高权限。除了他，只有社保局的少数几名负责人能进入。通过这个最高权限的账号，可以登录社会基金系统。于是史某选择了一个已于2013年初死亡、月养老金2900元的朱某，修改数据重新激活，让他“复活”，然后再把他领养老金的银行账号改成史某妻子的账号(妻子的一张银行卡在他手上)。为了多搞点钱，史某又修改了补发金额。就这样，7月份，史某妻子的银行卡上多出了1.7万元，8月达2.3万元，9月和10月分别是3.5万余元，累计达11万余元。

在2015年11月，上虞社保部门监督稽核科人员在对死亡人员进行核对时发现了异常，遂向警方报案，公安机关迅速锁定目标，史某落网。史某在法庭上说，这些被“套现”的钱款都花完了。案发后，史某的家人帮他清退了全部赃款。

通过案例描述可以看出，史某又是一个利用技术手段给自己谋取私利的“有心人”。近年来，这类案件屡有发生，这深刻的说明了一个问题，即很多单位或对信息系统安全控制的重要性认识不足，或不知道该如何进行控制，或无力做好控制。好在案例中的受害人上虞社保部门虽然在事前控制不足，但有事后稽核与监督来加以弥补，通过其他方面的检查发现了异常。

案件本身其实并不复杂，史某利用自己在信息系统中的最高权限通过对数据的修改、添加，将已经在信息系统中显示为死亡人员信息进行篡改，以自己妻子的名义进行冒名顶替，拿取已故人的社保金。信息系统案件最主要的问题即系统权限控制不到位导致个别人员掌握了过多的权力，加之对自己技术的过度信任，从而萌发歹意去获取非法收入。本案件也不例外，史某本是上虞社保部门的社保养老金发放系统开发的外包单位对该项目设置的项目负责人。为了信息系统维护的便捷性，史某拥有者对该系统的最高权限，可以任意修改、删除信息系统中的数据和信息。他本以为自己可以利用自己的“权力”和技术对数据加以修改无人会发现，却不想社保部门监督稽核科人员虽然不对信息系统进行检查，却从死亡人员名单入手进行审计，从而发现端倪，正所谓“法网恢恢疏而不漏”！

案件虽被查处，但过程却发人深省。因为信息系统开发外包在现今的中国已是非常普遍。

首先，信息系统在开发时，由开发单位掌握着系统的最高权限这无可厚非，但是一旦通过测试正式上线，开发单位的人员就应该将该权限移交给单位内部的系统运维人员，单位外部人员掌握着公司内部核心权限与机密，这本身就是一个极大的“定时炸弹”。后期如果信息系统出现“bug”或其他问题需要开发单位予以协助，可在单位内部运维人员的监督下进行系统维护。

其次，从信息系统权限设置本身而言，在资源条件许可的条件下，最好能做到“三员分离”，即系统管理员、安全管理员、审计员。通过将超级管理员权限分配给系统管理员、安全管理员、审计员，“三员”相互独立、相互制约，配合制度建设，可以有效的加强信息系统的管理。当然如果单位自行组织技术人员进行系统开发，这样的问题也需要加以重视并采取必要手段进行控制。

Copyright©2014-2017 风控在线

该素材文章为风控在线微信公众号原创内容，为风控在线版权所有，如需转载，请注明转载自风控在线微信公众号。如未注明内容出处，我们将联系微信官方进行处理，谢谢！