本文轉載於微信公眾號:雲頭條 版權歸創作者所有,如有侵權聯繫刪除
夏某某任職北京中科某某科技有限公司,負責該公司為鄭大一附院開發的“軟件信息系統”的維護工作。
2017年10月31日20時許,夏某某參與並直接操作了鄭大一附院“HIS數據庫”的賬號密碼修改儀式,夏某某在未經授權或許可的情況下,私自記錄了該賬號密碼。
後夏某某在未經授權或許可的情況下,私自編寫了“數據庫性能觀測程序”和鎖表語句,並利用私自記錄的賬號密碼將該程序私自連接鄭大一附院“HIS數據庫”,導致該鎖表語句在“HIS數據庫”運行。
2018年12月24日8時13分至9時47分期間,夏某某先後六次利用“數據庫性能觀測程序”連接“平臺數據庫”的“鎖定平臺掛號表”功能,將數據庫執行鎖表命令。該命令執行後鎖定fin_opr_register表,使其不能進行其它活動,並導致“HIS數據庫”鎖定。造成鄭大一附院鄭東院區、惠濟院區、醫學院院區所有門診、臨床計算機業務受到惡意語句攻擊,門急診掛號、門急診叫號、門急診支付、門急診藥房、門急診檢查、門急診檢驗等業務系統均無法正常操作,所有門診相關業務停止服務,造成該醫院三個院區門診業務停滯近兩個小時,造成大量患者積壓在門診無法就診,嚴重影響醫院的正常醫療工作。
案發後,夏某某對其工作數據日誌、辦公電腦進行了清理。
2019年5月22日,經民警電話通知後被告人夏某某到鄭州市公安局鄭東分局投案。
經鄭大一附院出具證明:鄭大一附院“HIS數據庫”的賬號密碼僅授權東軟HIS程序使用,其他任何個人,公司,組織,單位不得使用此賬號和密碼與數據庫發生連接和任何操作。
經河南聯合司法鑑定中心出具司法鑑定意見:
1、送檢筆記本硬盤檢測出“his”應用程序源碼,程序可以連接以下兩個數據庫:
- “HIS數據庫”:服務器IP:127.1.169.37、129.1.169.38,服務名稱ZZUHISDB,用戶名zdhis,密碼gjb1299L3+Z6&$3.
- “平臺數據庫”:服務器IP:129.1.168.33、129.1.168.34,服務名稱RACDB,用戶名honryhis,密碼ZdyfyHiaq2018。
2、在“平臺數據庫”界面,點擊“鎖定平臺掛號表”按鈕可以對數據庫的fin_opr_register表和t_register_info表進行加鎖,只能讀取、查詢,不能寫入、修改;“解鎖平臺相關表”按鈕沒有任何功能。
經鄭大一附院出具證明:由於惡意鎖錶行為遭受損失等相關情況,包括
- 從當日收入來測算。當日收入損失約為800萬元。
- 鄭東院區門診樓有380臺電腦無法進入醫生工作站正常工作,72臺自助掛號機和49臺報到機無法正常工作;河醫院區門診樓有1027臺電腦無法正常進入系統,86臺自助掛號機和55臺報到機無法工作;惠濟院區門診部有82臺電腦無法正常進入系統,11臺自助掛號機和4臺報到機無法工作。
- 對該院智慧醫院項目造成巨大影響。
證據證言
上述事實,有經過庭審查證屬實的下列證據證實(雲頭條僅列舉部分):
6、鄭州賽歐思科技有限公司鄭大一附院安全事件分析報告及數據光盤,證明:鄭州賽歐思科技有限公司經鄭州市公安局網監支隊委託對事件發生原因及情況進行描述,並且對相關數據庫資料進行了固定。通過分析數據庫日誌發現,此次安全事件由於數據庫執行鎖表命令,該命令執行後鎖定FIN_OPR_REGISTER表,使其不能進行其他活動,並間接導致HIS數據庫鎖定,造成業務系統均無法操作,所有門診相關業務停止服務。
8、河南聯合司法鑑定中心司法鑑定意見書:證明從被告人夏某某使用的筆記本電腦檢測出“his”應用程序源碼,並對該程序進行了測試、實驗和鑑定。結論是:
(1)送檢筆記本硬盤檢測出“his”應用程序源碼,程序可以連接以下兩個數據庫:“HIS數據庫”:服務器IP:129.1.9.37、129.1.16.38,服務名稱ZZUHISDB,用戶名zdhis,密碼gjb1299L3+Z6&$9;“平臺數據庫”:服務器IP:129.1.16.33、129.1.16.34,服務名稱RACDB,用戶名honryhi,密碼Zdy@!Hias2018。(2)在“平臺數據庫”界面,點擊“鎖定平臺掛號表”按鈕可以對數據庫的fin_opr_register表和t_register_info表進行加鎖,只能讀取、查詢,不能寫入、修改;“解鎖平臺相關表”按鈕沒有任何功能。
9、證人張某1的證言:我在鄭大一附院主要負責醫院的機房網絡管理和維護。2018年6月份左右,鄭大一附院購買了一整套“智慧醫院”的軟硬件設備,並在2018年11月份開始調試並投入使用。當時有三家公司負責對這套設備的調試安裝以及後期的維護工作,其中北京中科某某公司負責財務數據庫(HIS系統數據庫)。2018年12月24日上午八點多,我們發現門診繳費和叫號出了問題,就進入數據庫查看。發現數據庫自動記錄一個報告,報告當中有一條命令是不屬於正常業務範圍內的語句,這條命令造成了HIS系統內掛號信息表被鎖定,造成醫院三個院區門診掛號和繳費系統無法正常操作。在一上午時間,共出現多次這條命令對HIS系統內掛號信息表的鎖定和解鎖。當時我們就判斷這條命令肯定不是機器自己生成的,可能是人為輸入的,就圍繞系統相關部門的人員查找是誰輸入了這個命令,最後確認是北京中科某某公司的一名職員遠程操作輸入了這個命令。之後院方就聯繫了北京中科某某公司,要求他們停止此項操作。之前在處理我們院的數據庫和服務器問題的過程中,從來沒有用到過這條鎖定HIS系統內掛號信息表的命令。使用這條命令會使門診業務出現無法掛號、繳費、醫生看診、開具處方、門診檢查檢驗,相當於門診業務處於癱瘓狀態。經我們事後排查,發現是一條“LOCKTABLEFIN_OPR_REGISTERINEXCLUSIVEMODE”的數據庫命令導致這種鎖表的情況發生。在東軟his系統運行這條命令直接導致了his門診業務系統的門診患者信息表(FIN_OPR_REGISTER)被鎖死,出現患者在門診無法掛號就診、門診交費、醫生無法通過系統開具門診醫囑(檢查檢驗單、藥品處方單)的情況。
北京中科某某負責對HIS系統數據庫進行軟件的維護和硬件的維修,他們有管理員權限(最高權限),可以遠程操作。在2018年12月24日之前,鄭大一附院的掛號系統出現過業務異常中斷的情況,一年會出現一到兩次,都是由北京中科某某公司的人處理和解決。北京中科某某公司的人平時所做的工作不需要往數據庫內寫入命令,如果需要寫入命令,是需要和我們信息處還有東軟公司三方進行溝通後才能實施操作的。
2017年10月31日,鄭大一附院信息處召開會議對東軟his系統數據庫賬號為“zdhis”的密碼進行了修改。此賬號的密碼只院長、書記、副院長、信息處處長這4個人知道。當時開會的時候夏某某作為北京中科某某科技有限公司的項目經理也參與了這個會議。他不知道這個賬號的密碼,他沒有權利使用這個賬號及密碼進入東軟his系統。
12、證人張某2的證言:2018年12月24日上午鄭大一附院的東軟his系統出故障後,我就把ARW報告調出來提交給東軟公司的運維人員,他們發現報告內有一條執行語句“LOCKTABLEFIN_OPR_REGISTERINEXCLUSIVEMODE”是異常語句。平時不會出現這個語句,信息處讓各個軟件服務商自查,我把這個報告發給夏某某,第二天夏某某給我打電話說可能是他們這一塊執行的,但是還不太確定。
2017年10月31日鄭大一附院召開會議修改東軟his系統數據庫賬號為“zdhis”的密碼,我知道的這個密碼只有院長、前任書記掌握。當時開會時我和夏某某作為北京中科某某科技有限公司的運維人員也參加了這個會議。夏某某可能知道東軟his系統數據庫賬號為“zdhis”的密碼,因為2018年10月份鄭大一附院和鄭州市公安局網監支隊做網絡安全攻防演練後,網監支隊出具的安全整改通知書顯示有這個賬號的密碼,這份報告只有我和夏某某、信息處的張某1、楊某等人看過。夏某某沒有告訴過我他保存有東軟his系統數據庫賬號為“zdhis”更改後的密碼,我不知道他是否有這個密碼。夏某某沒有權利使用“zdhis”的密碼進入東軟his系統,我們公司有專用的用戶名和密碼進入東軟his系統,不應該用賬號為“zdhis”的用戶名進入。
13、證人周某的證言:夏某某是我同事,他在鄭大一附院這個項目上歸我管。我們公司在鄭大一附院的項目上有三個組,夏某某屬於軟件組,他要維護的不僅是我們公司自己開發的軟件,還有別的一些通用軟件,一般都是工具性的。別的公司有專人維護的軟件別的公司自己去維護,需要配合時予以配合。比如東軟公司開發的HIS系統,夏某某是不需要去維護的,如果his系統出問題,由他們東軟公司的人負責維護。
我事後聽說2018年12月24日鄭大一附院的東軟his系統的門診患者信息表被鎖死的情況。2019年元旦前後夏某某給我說這個事懷疑是他自己導致的,他說可能是誤操作。我不知道鄭大一附院使用的東軟his系統數據庫賬號為“zdhis”的密碼,這個不是我們公司能接觸的,我們的正常工作不需要知道這個賬號和密碼。夏某某沒有告訴過我他知道zdhis的密碼。
14、被害單位委託代理人楊某的陳述:2018年12月24日8點17分,我在鄭大一附院河醫院區辦公,我看到微信上三個院區的服務群裡說門診業務系統卡住了,無法進行其他任何業務。我和同事以及東區的技術人員一起通過工作電腦查詢門診業務系統卡機的原因和查詢數據庫。在查到82號和89號這兩個接口服務器時,發現數據包擁塞嚴重。在9點的時候,我在我們的PL/SQL裡面發現了一條鎖表語句(LOCKTABLE+表名字,也是掛號業務表),然後我們就執行了終止語句(KILL)。我們一共執行了6次終止語句,門診業務才恢復正常,這個時候時間是10點左右。後來我們將服務器工作日誌導出發到東軟公司總部進行分析,分析的結果是發現那個鎖表語句是非程序中的運行語句,懷疑是人為操作,操控門診業務系統。我們又請了鄭州市信大天瑞信息技術有限公司的技術人員進行了日誌分析,分析的結果與東軟一致。這6次鎖表語句的總共執行時間是1小時34分,從2018年12月24日上午8點13分開始到9點47分結束。這個鎖表語句影響了鄭大一附院的三個院區,分別是鄭東院區、河醫院區和惠濟院區門診的所有業務。在這1小時34分的時間內三個院區的15300多個門診業務量無法工作,24號當天的業務量是25528個。這次的惡意鎖表現象嚴重影響了我們的日常門診工作。
被告人夏某某的供述和辯解
我們公司要負責對整個醫院的數據庫相關的硬件和軟件設備進行維護,簡稱運維。我是2012年開始對鄭大一附院進行運維相關工作,我主要參與到數據庫的運維是從2017年開始。目前我們公司主要有張某2和我對數據庫進行維護,為了能及時監控醫院的數據庫運行狀況,我就沒等到公司上班就登錄系統對鄭大一附院的數據庫進行監控,這是我分內的工作。
2018年12月24日8點左右,我在北京家中用公司給我配備的聯想電腦,遠程登錄到鄭大一附院的數據庫和小型機的數據庫,查看數據庫的運行情況。大概8點30分,我看到微信群裡河醫的門診系統卡頓,我擔心公司的綜合信息運用平臺也會出問題,就啟動了我自己編程的一個程序(程序名稱:數據庫性能觀測軟件)對我們公司的系統進行查看。在我運行系統的時候發現我運行的這個程序在報錯,我就更改了幾次數據參數,一直沒有運行成功我就主動放棄了,整個操作過程大概20分鐘。大概在10點多的時候微信群說河醫系統運行正常,我就去公司上班了。
12月25日我們公司將小型機的數據庫的性能報告導出來,同事張某2將報告發給我一份,讓我幫忙分析問題出現的原因。26日我分析的時候發現小型機分析報告中第9條語句看著有點眼熟,拿出來跟我自己做的編程進行了比對,結果和我運行程序的語句一樣。我自己推斷可能是我運行的程序和性能報告第九條重疊,這個運行語句會造成鎖表。接下來我就對我自己做的程序進行分析,發現自己寫的程序是有問題可能會將鎖表語句執行到HIS數據庫中。
“數據庫性能檢測”軟件是我2017年7、8月份自己寫的,存在公司給我的電腦裡,文件名叫his.exe。我用我自己原來準備做的his系統搭的框架直接改的程序,文件名沒有進行更換。我寫這個軟件是為了監控我們公司的綜合信息運用平臺和鄭大一附院的his系統。我點擊運行這個軟件後,軟件界面上會有3個選項卡,一個是his數據庫,一個是綜合信息平臺數據庫,一個是參數配置。2018年12月24日上午我點擊之後,進了綜合信息平臺選項卡,接著我操作了個檢查鏈接的按鈕,看有沒有正常鏈上數據庫,接著軟件就報錯了。因為報錯,我就關了“數據庫性能檢測”軟件,從軟件的後綴名為“ini”文本文檔修改參數。修改完之後,我又重新啟動這個軟件,還是運行失敗,之後我又改了改,總之一共運行了4、5次,還是運行不成功我就放棄了。這個軟件我寫好之後運行過多次,沒有問題,那時候這個軟件只鏈接綜合信息運用平臺。我是2018年12月初把his系統鏈接到這個軟件裡的,當時的目的是想用我寫的軟件也能監控到his系統的數據庫的性能,能方便我的日常工作。我把his系統鏈接到我的軟件之後,第一次聯網使用這個軟件就是2018年12月24日上午,也就是出現報錯的情況。
我寫的程序當中造成鎖表執行程序的語句是locktablefin_opr_registerinexclusivemode。這個語句的功能是用來鎖綜合信息平臺fin_opr_register這個表的。鎖表的目的是為了模擬一下在高併發情況下的死鎖情況,測試一下我們公司綜合信息運用平臺的性能。這個語句我記得是在2018年上半年寫到軟件裡的。我寫這個軟件的初衷是為了方便日常工作,這個軟件寫好之後,我可以通過這一個軟件檢測his數據庫和綜合信息平臺的數據庫性能。我編寫的鎖表的設計是可以手動鎖表和解鎖,而且這個功能只在鏈接綜合信息運用平臺的環境下才起作用。
連接我們公司綜合信息運用平臺的數據庫鏈接配置IP地址有兩個:129.1.168.33,19.1.168.34。用戶名:horyhis,登錄密碼:Zdyfy!Hias2018。連接河醫數據庫系統的連接配置地址有兩個129.1.169.37;129.1.169.38。用戶名:zdhis;密碼:gjb1299L+Z6&$9。我在進入數據庫性能觀測程序後,通過鼠標點擊軟件初始界面左上方的HIS數據庫和平臺數據庫進行連接切換。我寫的數據庫性能觀測軟件運行之後,默認的連接是his數據庫,後來我才發現這個程序有問題,如果我運行這個軟件的話可能會導致鎖表的情況。我是12月26日才發現我寫的語句可能存在問題的,但是我不確定12月24日的鎖表是不是我造成的。
我設想的這個軟件不是要在his系統裡運行的,軟件一啟動就會默認鏈接上his的數據庫,本來應該在切換到綜合信息運用平臺之後,我點擊軟件界面的測試按鈕之後才能在綜合信息運用平臺裡執行的鎖表語句。由於代碼編寫的問題,可能存在軟件一啟動,就直接將鎖表語句在his的環境下運行的可能性。我寫的代碼有問題,導致一運行就鎖了his的掛號表,我覺得存在這樣的可能性。我在12月27日左右使用360和火絨軟件清理過電腦垃圾文件,我電腦裡的火絨設定的自動清理,每天一清,360那個不一定,我覺得電腦垃圾多就清理。
我編寫的“his.exe”軟件(數據庫性能觀測軟件)沒有得到中科弘睿公司或者鄭大一附院的授權,這個軟件是我自己編寫的。2018年11月底或者12月初的時候,我在這個軟件裡添加了his數據庫模塊,之後沒有進行過模擬測試。我編寫這個軟件之前沒有向中科弘睿公司或者鄭大一附院進行過報備或申請。我編寫的軟件代碼寫的有問題,程序啟動時默認鏈接his數據庫,由於代碼編寫有誤,可能錯誤執行了在綜合信息運用平臺中才能運行的鎖表語句。數據庫性能觀測軟件執行連接到his數據庫需要在編程語句裡寫入賬號和密碼,賬號是zdhis,密碼是gjb1299L3+Z6&$9。賬號是中科弘睿公司設定的,密碼是醫院設定的,也是醫院安排修改的,我是具體修改人。這個密碼專用於程序鏈接his數據庫。上述賬號和密碼是鄭大一附院的his程序用的,我使用過,我在自己編寫的數據庫性能觀測軟件裡就使用了上述賬號和密碼。從鄭大一附院授權角度講,我是沒權利使用上述賬號和密碼的。2017年10月31日,鄭大一附院網絡安全加密實施儀式我在場,修改的zdhis的密碼由3個院領導分別掌握各自的部分,我當時寫了個修改密碼的語句。這個語句在我電腦裡有保存,我當時存到一個txt文檔裡。我存這個密碼的時候是我私下偷偷存的,我給張某2說過我私下存有這個密碼。我是管理人員,我想著存著密碼以後我自己用了就方便了。鄭大一附院的領導沒有給我授權讓我使用並掌握這個密碼。我編寫軟件使用了zdhis的密碼是我私下偷偷用的,沒有跟任何領導彙報過。
法院裁定
鄭州高新技術產業開發區人民法院認為:夏某某違反國家規定,擅自對計算機信息系統功能進行刪除、修改、增加、干擾,造成計算機信息系統不能正常運行,後果特別嚴重,其行為已構成破壞計算機信息系統罪。公訴機關的指控成立,本院予以支持。
關於被告人夏某某及辯護人辯稱其沒有破壞計算機系統的主觀故意的意見,經查,根據被告人夏某某供述、證人張某1、張某2、周某的證言可知,夏某某並無知曉使用鄭大一附院東軟his數據庫“zdhis”賬號和密碼的權限,其工作內容並不需要登錄上述帳號。夏某某在未經授權的情況下,趁被害單位修改密碼之機私自記錄上述賬號和密碼,並私自開發應用“數據庫性能觀測軟件”,私自使用該賬號密碼連接被害單位his數據庫,使其編寫的鎖表語句在his數據庫運行,導致被害單位的門診業務系統癱瘓,造成重大損失。
2018年12月24日,夏某某在運行自編軟件報錯的情況下多次修改參數繼續運行,導致被害單位計算機信息系統6次執行鎖表操作,系統近兩個小時無法正常工作,嚴重影響醫院正常工作。
夏某某作為專業技術人員,應明知其違規操作可能造成被害單位計算機系統不能正常運行,而放任該結果的發生,屬於間接故意,應對危害後果承擔法律責任,符合本罪的主觀構成要件。該項辯解及辯護意見不能成立,本院不予採納;
關於夏某某辯稱醫院門診系統無法工作不一定是鎖表造成,其啟動的數據庫觀測軟件是否連入his數據庫不清楚,其辯護人辯稱不能證明夏某某啟用的數據庫性能觀測軟件中的語句是唯一確定性的造成被害單位計算機信息系統運行不正常原因的意見,經查,根據鑑定意見可知,從夏某某電腦中檢測出his應用程序源碼。根據測試、實驗,夏某某運行的數據庫性能觀測軟件即his.exe應用程序能夠使用zdhis賬號密碼連接被害單位his數據庫,在夏某某連接平臺數據庫時可執行鎖表操作。在被害單位提供的操作日誌中顯示2018年12月24日上午his.exe程序中鎖表語句共執行六次。夏某某操作的數據庫性能觀測軟件中的鎖表語句與被害單位提供的操作日誌中的鎖表語句內容一致,夏某某供述的運行觀測軟件、程序報錯修改參數多次嘗試運行的時間經過和被害單位系統異常,多次執行終止鎖表語句操作的時間經過相互對應,能夠證明夏某某運行該軟件是導致被害單位系統破壞的直接原因。
鄭州賽歐思科技有限公司的分析報告能夠印證以上事實。故辯護人的該項辯護意見不能成立,本院不予採納;關於辯護人辯稱證明被害單位造成損失的證據不足的意見,經查,根據證人張某1、李某、葛某、被害單位委託代理人楊某的證言可知,2018年12月24日上午的鎖表操作給被害單位的門診系統造成大範圍的破壞,導致大量門診病人及住院病患積壓,醫院正常業務停滯近兩個小時。被害單位的經濟損失根據其提供的醫院收入信息彙總表、情況反映、查房整改通知書及微信群信息截圖可以客觀反映。故辯護人的該項辯護意見不能成立,本院不予採納。
綜上,被告人夏某某破壞醫療領域提供公共服務的計算機信息系統,致使生產生活受到嚴重影響,造成五十臺以上的計算機不能正常運行,造成經濟損失超過五萬元以上,符合破壞計算機信息系統罪“後果特別嚴重”的規定,應處五年以上有期徒刑。辯護人辯稱不構成本罪的意見不能成立,本院不能採納。夏某某雖系主動到案,但未能如實供述犯罪事實,不能認定為自首。
根據本案的事實、情節、性質及社會危害程度,依照《中華人民共和國刑法》第二百八十六條第一款、《最高人民法院、最高人民檢察院關於辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》第四條第二款之規定,判決如下:
裁判結果
被告人夏某某犯破壞計算機信息系統罪,判處有期徒刑五年零六個月。(刑期從判決執行之日起計算。判決執行以前先行羈押的,羈押一日折抵刑期一日,即自2019年5月23日起至2024年11月22日止。)
如不服本判決,可在接到判決書的第二日起十日內,通過本院或直接向河南省鄭州市中級人民法院提出上訴。書面上訴的,應當提交上訴狀正本一份,副本二份。
相關法律條文
《中華人民共和國刑法》第二百八十六條第一款:
【破壞計算機信息系統罪】違反國家規定,對計算機信息系統功能進行刪除、修改、增加、干擾,造成計算機信息系統不能正常運行,後果嚴重的,處五年以下有期徒刑或者拘役;後果特別嚴重的,處五年以上有期徒刑。
違反國家規定,對計算機信息系統中存儲、處理或者傳輸的數據和應用程序進行刪除、修改、增加的操作,後果嚴重的,依照前款的規定處罰。
故意製作、傳播計算機病毒等破壞性程序,影響計算機系統正常運行,後果嚴重的,依照第一款的規定處罰。
單位犯前三款罪的,對單位判處罰金,並對其直接負責的主管人員和其他直接責任人員,依照第一款的規定處罰。
《最高人民法院、最高人民檢察院關於辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》第四條第二款之規定,破壞計算機信息系統功能、數據或者應用程序,具有下列情形之一的,應當認定為刑法第二百八十六條第一款和第二款規定的“後果嚴重”:
(一) 造成十臺以上計算機信息系統的主要軟件或者硬件不能正常運行的;
(二) 對二十臺以上計算機信息系統中存儲、處理或者傳輸的數據進行刪除、修改、增加操作的;
(三) 違法所得五千元以上或者造成經濟損失一萬元以上的;
(四) 造成為一百臺以上計算機信息系統提供域名解析、身份認證、計費等基礎服務或者為一萬以上用戶提供服務的計算機信息系統不能正常運行累計一小時以上的;
(五) 造成其他嚴重後果的。
實施前款規定行為,具有下列情形之一的,應當認定為破壞計算機信息系統“後果特別嚴重”:
(一) 數量或者數額達到前款第(一)項至第(三)項規定標準五倍以上的;
(二) 造成為五百臺以上計算機信息系統提供域名解析、身份認證、計費等基礎服務或者為五萬以上用戶提供服務的計算機信息系統不能正常運行累計一小時以上的;
(三) 破壞國家機關或者金融、電信、交通、教育、醫療、能源等領域提供公共服務的計算機信息系統的功能、數據或者應用程序,致使生產、生活受到嚴重影響或者造成惡劣社會影響的;
(四) 造成其他特別嚴重後果的。
