今年6月9日，黑客入侵深圳福彩中心篡改彩票數(shù)據(jù)，欲詐騙第09066期雙色球3305萬(wàn)元大獎(jiǎng)的事件受到了社會(huì)廣泛關(guān)注。

以筆者曾參與某省福彩中心信息系統(tǒng)項(xiàng)目審計(jì)的經(jīng)驗(yàn)來(lái)看，深圳福彩中心在管理和技術(shù)兩方面確實(shí)存在一些問(wèn)題，但是通過(guò)分析電腦票銷(xiāo)售管理系統(tǒng)的流程和關(guān)鍵控制點(diǎn)，完全可以采取一定的措施來(lái)防范和堵截黑客的惡意行為，減少彩票資金損失的風(fēng)險(xiǎn)。

事件回放

首先，我們來(lái)看福利彩票雙色球銷(xiāo)售開(kāi)獎(jiǎng)的大致流程。6月9日晚8點(diǎn)，雙色球09066期銷(xiāo)售截止，投注站軟件系統(tǒng)根據(jù)原來(lái)的設(shè)置的期參數(shù)停止銷(xiāo)售。福彩中心封存當(dāng)期銷(xiāo)售數(shù)據(jù)，導(dǎo)出并刻錄備份數(shù)據(jù)光盤(pán)，然后匯總統(tǒng)計(jì)銷(xiāo)售、兌獎(jiǎng)和棄獎(jiǎng)等數(shù)據(jù)，將統(tǒng)計(jì)數(shù)據(jù)及時(shí)上傳中彩中心；同時(shí)，對(duì)應(yīng)的銷(xiāo)售、兌獎(jiǎng)和棄獎(jiǎng)的明細(xì)數(shù)據(jù)也按照統(tǒng)一的數(shù)據(jù)接口規(guī)范轉(zhuǎn)換后上傳中彩中心。

晚8點(diǎn)45分左右中彩開(kāi)獎(jiǎng)?chuàng)u號(hào)，搖號(hào)器主要是國(guó)外進(jìn)口的，在使用管理上有著嚴(yán)格的程序，不太可能出現(xiàn)提前開(kāi)獎(jiǎng)或是開(kāi)獎(jiǎng)舞弊的情況，搖出的中獎(jiǎng)號(hào)碼應(yīng)該是客觀公正的。基于這個(gè)結(jié)果，各省福彩中心使用抽獎(jiǎng)程序?qū)︿N(xiāo)售明細(xì)數(shù)據(jù)進(jìn)行抽獎(jiǎng)（中獎(jiǎng)號(hào)碼一般不手工輸入，而是軟件自動(dòng)下載中彩中心提供的數(shù)據(jù)，并與中彩中心發(fā)來(lái)的傳真件進(jìn)行二次比對(duì)，確保中獎(jiǎng)號(hào)碼的正確性），產(chǎn)生的抽獎(jiǎng)結(jié)果和統(tǒng)計(jì)報(bào)表要及時(shí)上報(bào)中彩，隨后中彩公布該期中獎(jiǎng)公告，一般晚9點(diǎn)后就可以?xún)丢?jiǎng)。

從這個(gè)過(guò)程看來(lái)，因?yàn)椴惶赡芴崆暗弥歇?jiǎng)號(hào)碼，所以黑客是先購(gòu)買(mǎi)了彩票，再利用中獎(jiǎng)號(hào)碼公布后各福彩中心使用軟件進(jìn)行抽獎(jiǎng)前的間隙，使用程序連入銷(xiāo)售系統(tǒng)，或者發(fā)出指令激活以前上傳的木馬程序，修改電腦中該彩票的投注號(hào)碼，使之中獎(jiǎng)。

從深圳福彩中心發(fā)布的新聞公告看來(lái)，該中心的值班人員在進(jìn)行正常抽獎(jiǎng)中出現(xiàn)過(guò)錯(cuò)誤，可能是黑客修改后的彩票銷(xiāo)售數(shù)據(jù)出現(xiàn)鉤稽關(guān)系錯(cuò)誤或者記錄校驗(yàn)錯(cuò)誤，比如彩票投注號(hào)碼和彩票票號(hào)、掃描碼之間的關(guān)系驗(yàn)證等，這不應(yīng)該是嚴(yán)重錯(cuò)誤，否則根本無(wú)法抽出該張彩票。值班人員認(rèn)為是程序偶然出現(xiàn)的小錯(cuò)誤，為了不耽誤中獎(jiǎng)公告的發(fā)布，就把該數(shù)據(jù)上報(bào)給中彩中心。

不久后值班人員為了檢查錯(cuò)誤，使用封存的備份數(shù)據(jù)進(jìn)行再次抽獎(jiǎng)驗(yàn)證，在原始的銷(xiāo)售數(shù)據(jù)中，該彩票投注號(hào)碼當(dāng)然是未中獎(jiǎng)的，由此，發(fā)現(xiàn)了黑客入侵的痕跡并報(bào)案。

當(dāng)然，此黑客很快就落網(wǎng)（案發(fā)第三天），尚未來(lái)得及偽造彩票去兌獎(jiǎng)。從報(bào)道的情況看來(lái)，該黑客手中只有原始未中獎(jiǎng)的彩票，他必須按照修改后的投注號(hào)碼修補(bǔ)彩票或者重新打印彩票，使之和修改后的數(shù)據(jù)記錄完全一致才能夠去福彩中心兌獎(jiǎng)。據(jù)報(bào)道，此人曾參與了投注站系統(tǒng)數(shù)字終端的一些調(diào)試和軟件的研發(fā)，如果有合適的硬件，重新打印彩票是有可能的。

問(wèn)題分析

從福彩中心信息系統(tǒng)的安全控制和流程管理角度分析，應(yīng)該可以發(fā)現(xiàn)以下的問(wèn)題。

在技術(shù)層面，晚8點(diǎn)后，投注站系統(tǒng)停止銷(xiāo)售，這是容易做到的，但是黑客既然可以在8點(diǎn)45分后連入系統(tǒng)發(fā)送指令或者修改數(shù)據(jù)，就說(shuō)明福彩中心的銷(xiāo)售系統(tǒng)并沒(méi)有執(zhí)行嚴(yán)格的訪問(wèn)控制，或者銷(xiāo)售系統(tǒng)網(wǎng)絡(luò)存在其他的訪問(wèn)漏洞。黑客可以利用已經(jīng)掌握的投注站終端的通訊參數(shù)、加解密參數(shù)和其他控制參數(shù)，編寫(xiě)程序繞開(kāi)了投注站系統(tǒng)，并在封存后至抽獎(jiǎng)間的敏感時(shí)間段得以訪問(wèn)銷(xiāo)售系統(tǒng)。如果該銷(xiāo)售系統(tǒng)的網(wǎng)絡(luò)系統(tǒng)可以通過(guò)因特網(wǎng)訪問(wèn)，安全設(shè)備如防火墻配置不當(dāng)，或者銷(xiāo)售系統(tǒng)的操作系統(tǒng)、應(yīng)用軟件、數(shù)據(jù)庫(kù)系統(tǒng)存在較明顯的漏洞可供攻擊滲透的話，則入侵就更容易了。

在這個(gè)案件中，值班人員在初次抽獎(jiǎng)中程序報(bào)錯(cuò)，這個(gè)細(xì)節(jié)導(dǎo)致了再次驗(yàn)證從而發(fā)現(xiàn)入侵行為。如果黑客對(duì)銷(xiāo)售數(shù)據(jù)的結(jié)構(gòu)以及記錄字段間的邏輯驗(yàn)證關(guān)系和重要字段的加解密算法更為清楚的話，有可能使修改后的數(shù)據(jù)在抽獎(jiǎng)時(shí)不報(bào)錯(cuò)，導(dǎo)致中心人員很晚或者根本無(wú)從發(fā)現(xiàn)這個(gè)行為。

從管理和規(guī)范操作流程的角度來(lái)說(shuō)，深圳福彩中心的值班人員在抽獎(jiǎng)發(fā)現(xiàn)錯(cuò)誤時(shí)未按規(guī)定程序操作，也未及時(shí)采取其他應(yīng)急措施，導(dǎo)致了事件進(jìn)一步嚴(yán)重。同時(shí)，抽獎(jiǎng)的數(shù)據(jù)來(lái)源于電腦銷(xiāo)售數(shù)據(jù)庫(kù)，雖說(shuō)已經(jīng)封存，投注站無(wú)法再銷(xiāo)售，但是繞開(kāi)投注站的惡意程序仍然可以訪問(wèn)和修改銷(xiāo)售數(shù)據(jù)，從規(guī)范和減少風(fēng)險(xiǎn)的角度來(lái)講，不應(yīng)該基于此數(shù)據(jù)進(jìn)行抽獎(jiǎng)操作。

應(yīng)對(duì)措施

只要是信息系統(tǒng)，就難免出現(xiàn)漏洞或缺陷，不管是管理控制方面還是技術(shù)層面，不同的是漏洞被利用的難易程度。當(dāng)然，針對(duì)存在的問(wèn)題，也可以采取相應(yīng)的措施來(lái)盡量避免和減少風(fēng)險(xiǎn)。