事件回顾

2018年6月4日，下午14时35分，链家技术保障部人员发现，公司财务系统服务器应用程序出现故障，无法登录。

技术人员到机房检查，发现4台财务系统服务器（EBS系统）应用程序等9TB数据被恶意删除，包括数据库的备份数据，应用的程序目录和归档数据。这里存放着公司自成立以来，所有的财务数据，直接影响公司人员工资发放。

随后，该公司紧急聘请相关专业公司，对数据进行恢复。

2018年6月6日，公司暂扣了5个接触到公司财务系统的员工的电脑，韩某拒绝提供电脑名称和密码。韩某称，上班期间，他使用的是自己的笔记本电脑，因此名称、密码属于个人隐私，公安机关可以用自己的方法检查电脑。

2018年6月12日，该公司共计花费18万元，将数据恢复。

事件原因调查

国家信息中心电子数据司法鉴定中心司法鉴定意见书证明，2018年6月4日14时至15时期间，IP地址为10.33.35.160的终端用户远程以root身份登录链家公司服务器并通过执行rm、shred命令删除数据文件、擦除操作日志等，而该IP地址于6月4日14时17分被分配给MAC地址为EA-36-33-43-78-88、主机名为Yggdrasil的设备使用。

该IP地址为链家公司福道大厦3楼交换机所覆盖网络区域，而韩某具有root权限且于案发当日在上述IP地址的网络覆盖区域内上班。

经司法鉴定确认，韩某电脑的主机名为Yggdrasil，与登录服务器执行删除、擦除命令的电脑主机名一致；韩某电脑的MAC地址虽不是EA-36-33-43-78-88，但其电脑中安装有用于更改MAC地址的软件WiFiSpoof，且在其电脑的相关文件中检索到多条与上述MAC地址相关的记录。

综合案发后韩某的表现，以及对具有类似权限人员所用电脑的鉴定结论等情况，能够确定韩某实施了删除链家公司财务系统服务器程序数据的行为。

北京市第一中级人民法院认为，韩某违反国家规定，对计算机信息系统中存储的数据和应用程序进行删除，造成计算机信息系统不能正常运行，其行为已构成破坏计算机信息系统罪，且后果特别严重，依法应予惩处。

依照《中华人民共和国刑法》第二百八十六条第一款、第二款之规定，判决：被告人韩某犯破坏计算机信息系统罪，判处有期徒刑七年。

是否为蓄意报复？

据悉，韩某于2018年2月1日入职链家后，负责财务系统数据库管理，并在入职后获得了登录管理系统的权限。通过该权限，可以在系统上安装、删除相关应用程序。

韩某称曾给财务线、信息线领导汇报过财务系统的安全问题，但并未得到重视，甚至与信息线领导起过争执。

随后，5月韩某被调整至技术保障部，工作地点从朝阳区酒仙桥总部调整至海淀区上地福道大厦。

有人认为韩某是因为不满领导的不重视及工作调配，才作出删库的举动。事实是否是这样呢？虽然我们无法确定韩某的具体动机，但是近些年员工删库事件频发，需要我们注意，除了企业需要提高安全意识以及与员工关系的处理，个人也应明确法律的边界线，切勿因一时冲动，随意挑衅法律的底线。

公众号ID：ikanxue

官方微博：看雪安全

商务合作：wsc@kanxue.com