電力營銷系統(tǒng)潛“黑客”

文/林 濤

一線調(diào)查

電力營銷系統(tǒng)潛“黑客”

文/林 濤

潛伏、黑客……這些常見于影視作品中的情節(jié)如今在現(xiàn)實(shí)生活中真實(shí)上演，但它帶給我們的不是懸念、刺激、驚險(xiǎn)、愉悅，而是苦澀和沉重。因?yàn)檫@是當(dāng)今互聯(lián)網(wǎng)時(shí)代我們不得不面對的一個(gè)陌生而又熟悉的事實(shí)——計(jì)算機(jī)職務(wù)犯罪。

某電力公司是樂山首家上市國有控股電力企業(yè)。在20世紀(jì)90年代企業(yè)便步入計(jì)算機(jī)時(shí)代——公司研發(fā)的“電力營銷系統(tǒng)”軟件投入運(yùn)行，生產(chǎn)經(jīng)營實(shí)現(xiàn)全程微機(jī)管理，從用電申請、審批、安裝，到電費(fèi)的抄錄、審核、計(jì)算，再到制票、收費(fèi)及財(cái)務(wù)核算，全部通過“電力營銷系統(tǒng)”進(jìn)行操作管理。該“電力營銷系統(tǒng)”軟件設(shè)計(jì)涵蓋了公司所有的業(yè)務(wù)，投入運(yùn)行后極大地提高了公司的經(jīng)營效率和管理水平。2010年該系統(tǒng)更新升級(jí)，現(xiàn)代化管理進(jìn)一步提升，系統(tǒng)運(yùn)行一直良好。然而，2011年底該公司所屬夾江分公司（以下稱夾江公司）發(fā)生的一起案件卻打破了一切平靜。

離奇“短款”，震動(dòng)電力企業(yè)

2011年10月12日，夾江公司財(cái)務(wù)部門在對公司營銷大廳收費(fèi)情況進(jìn)行核算時(shí)發(fā)現(xiàn)：前一天收費(fèi)組收費(fèi)員劉某某提交的“直收區(qū)”收繳電費(fèi)匯總數(shù)據(jù)同當(dāng)期實(shí)際收繳入庫數(shù)據(jù)不一致——賬實(shí)不符，“短款”916.65元。但通過對劉某某當(dāng)日提交的收繳電費(fèi)發(fā)票審查未發(fā)現(xiàn)異常，票款金額一致。進(jìn)而通過調(diào)取系統(tǒng)保存的數(shù)據(jù)信息對比分析后，查到“短款”緣由：11日劉某某系統(tǒng)口令提交當(dāng)天收費(fèi)數(shù)據(jù)信息及電費(fèi)模擬發(fā)票顯示用電戶余某某兩個(gè)賬戶10月已收費(fèi)916.65元，但劉某某當(dāng)期上繳入庫的通用機(jī)打紙質(zhì)電費(fèi)發(fā)票中卻沒有該兩筆繳費(fèi)依據(jù)，這就預(yù)示該916.65元收費(fèi)員未上繳入庫。因?yàn)榘凑障到y(tǒng)軟件設(shè)計(jì)要求，只有收費(fèi)員在打印發(fā)票并收取電費(fèi)，且在系統(tǒng)中完成提交程序后，系統(tǒng)方能生成“電費(fèi)模擬發(fā)票”并保存于系統(tǒng)數(shù)據(jù)庫中。對于一個(gè)具有較大現(xiàn)金流的電力企業(yè)而言，在收費(fèi)過程中，偶爾出現(xiàn)“短款”也是件正常的事情，但本次出現(xiàn)的“短款”卻顯得離奇——收費(fèi)員劉某某經(jīng)手票款金額一致，但人機(jī)匯總數(shù)據(jù)有異。

原因何在？夾江公司監(jiān)察部謝主任奉命協(xié)助財(cái)務(wù)、營銷大廳共同核查真相。通過找劉某某了解，其對是否經(jīng)手收取過余某某916.65元電費(fèi)沒有印象，但堅(jiān)信自己當(dāng)日經(jīng)手的票款不會(huì)出錯(cuò)，對劉某某經(jīng)手及保管的發(fā)票核實(shí)后確實(shí)未發(fā)現(xiàn)異常。那么，系統(tǒng)中又為何出現(xiàn)余某某繳費(fèi)的電費(fèi)模擬發(fā)票呢？此類“短款”在該系統(tǒng)投入運(yùn)行以來尚屬首次。是系統(tǒng)運(yùn)行故障，還是黑客侵入所致？是操作人員操作失誤，還是有人故意為之？是劉某某刻意隱瞞，還是另有隱情？

對于從事多年內(nèi)審監(jiān)察工作的謝主任而言，盡管心中隱隱感到一絲不安，但他相信“電力營銷系統(tǒng)”保存數(shù)據(jù)的客觀性：該系統(tǒng)設(shè)置上主要分為前臺(tái)操作和后臺(tái)數(shù)據(jù)處理。前臺(tái)主要集中于營銷大廳并分別由業(yè)務(wù)受理組、抄表組、制票組和收費(fèi)組按程序分步驟操作；每個(gè)操作員都有各自職責(zé)并設(shè)置登錄口令和密碼。系統(tǒng)在電費(fèi)結(jié)算上針對下屬供電所和直收區(qū)用戶采用不同的方式進(jìn)行結(jié)算，即用戶用電數(shù)據(jù)均是由抄表員入戶抄錄、登記，然后錄入抄表器后交予制票員；制票員將抄表器中的用電數(shù)據(jù)導(dǎo)入系統(tǒng)，并在系統(tǒng)中進(jìn)行審核、計(jì)算，生成收費(fèi)數(shù)據(jù)信息；供電所用戶是由制票員負(fù)責(zé)打印紙質(zhì)電費(fèi)發(fā)票，再交由供電所收費(fèi)員收費(fèi)后同公司財(cái)務(wù)結(jié)算；直收區(qū)用戶則是由制票員將審核、計(jì)算好的收費(fèi)數(shù)據(jù)信息發(fā)送給收費(fèi)組，每個(gè)收費(fèi)員通過各自口令進(jìn)入系統(tǒng)進(jìn)行收費(fèi)，負(fù)責(zé)打印紙質(zhì)發(fā)票并據(jù)此向用戶收取電費(fèi)；在當(dāng)日收費(fèi)結(jié)束時(shí)，需將當(dāng)天收費(fèi)數(shù)據(jù)提交，并就當(dāng)天收費(fèi)進(jìn)行結(jié)算上繳入庫，待收費(fèi)組匯總后交公司財(cái)務(wù)入賬，前臺(tái)操作完成，系統(tǒng)自動(dòng)進(jìn)入財(cái)務(wù)核算程序。收費(fèi)員提交的相關(guān)收費(fèi)數(shù)據(jù)信息進(jìn)入后臺(tái)數(shù)據(jù)庫，并逐一生成同機(jī)打紙質(zhì)電費(fèi)發(fā)票內(nèi)容一致的電費(fèi)模擬發(fā)票由系統(tǒng)數(shù)據(jù)庫保存。用電戶余某某的電費(fèi)模擬發(fā)票信息數(shù)據(jù)必定是人為操作所致。

隨著調(diào)查的深入，該公司制票員江某利用計(jì)算機(jī)侵吞公共財(cái)物的職務(wù)犯罪典型案件逐步浮出水面。

窺見漏洞，制票員成潛伏“黑客”

江某在2000年3月起在夾江公司營銷大廳擔(dān)任制票員，具有登錄公司營銷系統(tǒng)對用電戶用電數(shù)據(jù)錄入及電費(fèi)的計(jì)算、審核、發(fā)行和修改用戶用電起止數(shù)、增減用戶用電電量的工作權(quán)限。其個(gè)人具體負(fù)責(zé)下屬三個(gè)供電所電費(fèi)的審核、計(jì)算、制票及城區(qū)直收區(qū)電費(fèi)的審核、計(jì)算、發(fā)行工作；城區(qū)直收區(qū)制票及收費(fèi)工作由收費(fèi)組負(fù)責(zé)。

隨著工作年限的增加，江某對“電力營銷系統(tǒng)”前臺(tái)客戶端的操作逐步熟練，對軟件工作流程、各崗位職責(zé)也有充分的了解；在實(shí)際操作過程中，當(dāng)其登錄系統(tǒng)在對用戶用電數(shù)據(jù)進(jìn)行審核、計(jì)算時(shí)，還發(fā)現(xiàn)可隨意在系統(tǒng)中采取修改用戶用電起止數(shù)或增減用戶用電電量的方式，對“直收區(qū)”用電戶用電數(shù)據(jù)擅自進(jìn)行變更而不被系統(tǒng)所禁止。于是從2003年10月開始，她便利用修改用電起止數(shù)的權(quán)限私自更改或者直接刪除其個(gè)人使用的用電戶的用電起止數(shù)，以減少用電電量，然后將篡改后的應(yīng)繳電費(fèi)數(shù)據(jù)信息發(fā)送給收費(fèi)組，進(jìn)而達(dá)到少交或不交電費(fèi)的目的。在首次作案成功后，江某看到了一條“發(fā)家致富”的捷徑，為自己的小聰明暗自竊喜。

從2003年10月以來，江某長期潛伏于“電力營銷系統(tǒng)”未被發(fā)現(xiàn)，主要?dú)w功于作案手段極其隱蔽：即其以“合法”身份進(jìn)入“電力營銷系統(tǒng)”，通過“正?！钡墓ぷ髁鞒?，擅自篡改計(jì)算機(jī)信息，達(dá)到侵吞公款的目的，并非采取“黑客”方式非法侵入計(jì)算機(jī)信息系統(tǒng)；犯罪動(dòng)作僅僅是敲擊鍵盤或者按擊鼠標(biāo)便完成，而指令的執(zhí)行和結(jié)果的產(chǎn)生都發(fā)生在計(jì)算機(jī)信息系統(tǒng)內(nèi)部——人的感覺器官是不能直接感知的。其犯罪行為已經(jīng)發(fā)生并已經(jīng)被“電力營銷系統(tǒng)”記錄于計(jì)算機(jī)內(nèi)部的軟件資料中，但是由于該種記錄對于計(jì)算機(jī)本身的正常運(yùn)行毫無影響，因而從外表上看也沒有什么特別的變化，對于單位而言通常也很難察覺犯罪行為的發(fā)生。

計(jì)算機(jī)“取款路線圖”

俗話說：欲壑難填，圖小利者必大貪。

由于長期從事營業(yè)大廳制票員工作，江某對“電力營銷系統(tǒng)”設(shè)計(jì)上的一些缺陷和運(yùn)行過程中的一些管理漏洞早已爛熟于心。她也早已不再滿足于盜用電費(fèi)的小打小鬧，只是苦于沒有機(jī)會(huì)。直到2006年年初的一次代繳電費(fèi)讓江某看到了“發(fā)家致富”的捷徑，通過制作“鴛鴦票”截留用戶代繳電費(fèi)的“取款路線圖”逐步清晰。即登錄系統(tǒng)以正常程序核算出該用戶的實(shí)際應(yīng)繳電費(fèi)數(shù)據(jù)后，利用系統(tǒng)可直接打印“直收區(qū)”用電戶電費(fèi)發(fā)票的設(shè)計(jì)缺陷，用自己保管的用于供電所制票的空白發(fā)票打印出該用戶的電費(fèi)發(fā)票并借此向委托用戶收取足額電費(fèi)；然后再擅自通過修改電量起止數(shù)的方式減少該用戶的用電數(shù)據(jù)信息，并將不實(shí)數(shù)據(jù)發(fā)行給直收區(qū)收費(fèi)組，待收費(fèi)組出具收費(fèi)發(fā)票后，她才按照發(fā)票的票面金額代為交付該用戶的電費(fèi)，然后再將自己打印的發(fā)票存根、記賬聯(lián)以及收費(fèi)員出具的電費(fèi)發(fā)票聯(lián)一并銷毀，據(jù)此將多出的電費(fèi)據(jù)為己有。

江某每次作案都是對首次作案方式的機(jī)械重復(fù)——相同的手段、相同的手法。實(shí)施犯罪異常輕松、簡便，就如計(jì)算機(jī)軟件一樣，只要事先設(shè)定好程序，操作時(shí)只需敲擊鍵盤、點(diǎn)擊鼠標(biāo)，計(jì)算機(jī)便會(huì)自動(dòng)運(yùn)行，達(dá)到目的，體現(xiàn)出“程序化”、“現(xiàn)代化”的特征。正因得手如此輕易，讓江某在長時(shí)間內(nèi)不間斷重復(fù)作案，其視營業(yè)廳為“銀行”，把計(jì)算機(jī)當(dāng)做“自動(dòng)取款機(jī)”，在長達(dá)九年的時(shí)間內(nèi)，幾乎每月都要作案，雖然每次作案金額大小不等，但累計(jì)犯罪金額高達(dá)50余萬元。

“內(nèi)鬼”現(xiàn)身法難逃

2010年，公司啟用新的營銷系統(tǒng)后，江某依然潛心研究并發(fā)現(xiàn)系統(tǒng)運(yùn)用過程中的漏洞：可以用“直收區(qū)”的身份直接登陸營銷系統(tǒng)，并在核算環(huán)節(jié)打印“直收區(qū)”用戶用電發(fā)票。同時(shí)，還無意間獲取了收費(fèi)員劉某某的登錄口令和密碼，進(jìn)而多了一條“取款”路線：其先將用戶實(shí)際用電數(shù)據(jù)信息核算后發(fā)送給收費(fèi)組，然后盜用收費(fèi)員劉某某的身份登錄系統(tǒng)，將該部分用戶的電費(fèi)用自己保管的供電所空白發(fā)票打印出來后，隨即進(jìn)行“返銷賬”處理；然后再以本人身份登錄系統(tǒng)進(jìn)行回退處理，使該部分用戶的用電電量數(shù)據(jù)恢復(fù)到初始狀態(tài)，后將該部分用戶的用電電量直接扣減后，將篡改后的不實(shí)數(shù)據(jù)再次發(fā)行給收費(fèi)組，待收費(fèi)組出具收費(fèi)發(fā)票后，江某再按照發(fā)票的票面金額代為交付該部分用戶的電費(fèi)，借機(jī)將余下的部分據(jù)為己有。

在此期間，江某將侵吞的公司電費(fèi)全部用于購物、購房、打牌等個(gè)人消費(fèi)，邊作案邊消費(fèi)，邊消費(fèi)邊作案?？v觀江某的犯罪過程，我們不難發(fā)現(xiàn)其心理變化軌跡：高消費(fèi)等不良的生活習(xí)慣造成的不良個(gè)體需求，引發(fā)其以不正當(dāng)方式獲取個(gè)人利益的欲望，進(jìn)而產(chǎn)生利用工作之便截留電費(fèi)供個(gè)人消費(fèi)的犯罪意識(shí)；明確的犯罪意識(shí)形成后，她便以此為基礎(chǔ)，在知、情、意和個(gè)體特征等心理因素的參與下，進(jìn)行價(jià)值衡量和利弊衡量，決定取舍，形成了貪利這一明確的犯罪動(dòng)機(jī)；犯罪動(dòng)機(jī)一旦成熟，為實(shí)現(xiàn)犯罪目的，必定費(fèi)盡心思，想方設(shè)法如何作案，且確定了與之相應(yīng)的犯罪手段、方法和步驟，表現(xiàn)出堅(jiān)定的犯罪決意，并最終付諸實(shí)施。表現(xiàn)出缺陷的個(gè)體需求、明確的犯罪意識(shí)、成熟的犯罪動(dòng)機(jī)和堅(jiān)定的犯罪決意等犯罪心理特征。

常言道：多行不義必自斃。法網(wǎng)恢恢，疏而不漏。在2011年10月11日當(dāng)江某再次以收費(fèi)員劉某某身份登錄系統(tǒng)作案的過程中，在進(jìn)行“返銷賬”處理時(shí)，未點(diǎn)擊余某某916.65元的兩個(gè)賬戶進(jìn)而導(dǎo)致當(dāng)天被劉某某一并提交，造成“短款”繼而案發(fā)。最終江某被法院判處有期徒刑，受到法律的制裁。

>>>“非典型”案例的典型性

隨著計(jì)算機(jī)的廣泛運(yùn)用，計(jì)算機(jī)犯罪案件時(shí)有發(fā)生。我國《刑法》第287條規(guī)定：“利用計(jì)算機(jī)實(shí)施金融詐騙、盜竊、貪污、挪用公款、竊取國家秘密或者其他犯罪，依照本法有關(guān)規(guī)定定罪處罰?！崩糜?jì)算機(jī)實(shí)施犯罪，計(jì)算機(jī)在其中只是一種犯罪手段，并不影響相關(guān)行為的定罪量刑。江某案是“國家工作人員利用職務(wù)上的便利，利用計(jì)算機(jī)侵吞、竊取、騙取或者以其他手段非法占有公共財(cái)物”的典型案例。

夾江縣檢察機(jī)關(guān)通過對江某案件的剖析，總結(jié)出該案呈現(xiàn)的四個(gè)特點(diǎn)，即利用計(jì)算機(jī)實(shí)施犯罪，具有計(jì)算機(jī)犯罪智能性高、隱蔽性強(qiáng)、危害性大的特點(diǎn)；罪犯具有缺陷的個(gè)體需求、明確的犯罪意識(shí)、成熟的犯罪動(dòng)機(jī)和堅(jiān)定的犯罪決意等“賭徒式”心理特征；實(shí)施犯罪過程輕松、簡便，體現(xiàn)出“程序化”、“現(xiàn)代化”的特點(diǎn)以及犯罪主體具有位低、權(quán)小、責(zé)重的特點(diǎn)。著重從密碼安全、電力票款安全和電費(fèi)征繳服務(wù)工作紀(jì)律等相關(guān)工作制度執(zhí)行不嚴(yán)，存在違規(guī)操作和管理漏洞；在“電力營銷系統(tǒng)”軟件設(shè)計(jì)和信息安全技術(shù)等方面存在的缺陷和漏洞；員工教育存盲點(diǎn)，內(nèi)控機(jī)制不完善，監(jiān)督體系不健全，監(jiān)督實(shí)效差等方面分析了案發(fā)原因。從加強(qiáng)技術(shù)性防范，完善和改進(jìn)“電力營銷系統(tǒng)”防御功能，打造安全運(yùn)行平臺(tái)；加強(qiáng)管理性防范，狠抓計(jì)算機(jī)運(yùn)行管理各項(xiàng)制度的落實(shí)；針對電力企業(yè)的現(xiàn)狀，加強(qiáng)教育管理和工作監(jiān)督，建立預(yù)防職務(wù)犯罪工作長效機(jī)制等方面提出對策建議。