夏某某任职北京中科某某科技有限公司,负责该公司为郑大一附院开发的“软件信息系统”的维护工作。
年10月31日20时许,夏某某参与并直接操作了郑大一附院“HIS数据库”的账号密码修改仪式,夏某某在未经授权或许可的情况下,私自记录了该账号密码。
后夏某某在未经授权或许可的情况下,私自编写了“数据库性能观测程序”和锁表语句,并利用私自记录的账号密码将该程序私自连接郑大一附院“HIS数据库”,导致该锁表语句在“HIS数据库”运行。
年12月24日8时13分至9时47分期间,夏某某先后六次利用“数据库性能观测程序”连接“平台数据库”的“锁定平台挂号表”功能,将数据库执行锁表命令。该命令执行后锁定fin_opr_register表,使其不能进行其它活动,并导致“HIS数据库”锁定。造成郑大一附院郑东院区、惠济院区、医学院院区所有门诊、临床计算机业务受到恶意语句攻击,门急诊挂号、门急诊叫号、门急诊支付、门急诊药房、门急诊检查、门急诊检验等业务系统均无法正常操作,所有门诊相关业务停止服务,医院三个院区门诊业务停滞近两个小时,造成大量患者积压在门诊无法就诊,医院的正常医疗工作。
案发后,夏某某对其工作数据日志、办公电脑进行了清理。
年5月22日,经民警电话通知后被告人夏某某到郑州市公安局郑东分局投案。
经郑大一附院出具证明:郑大一附院“HIS数据库”的账号密码仅授权东软HIS程序使用,其他任何个人,公司,组织,单位不得使用此账号和密码与数据库发生连接和任何操作。
经河南联合司法鉴定中心出具司法鉴定意见:
1、送检笔记本硬盘检测出“his”应用程序源码,程序可以连接以下两个数据库:
“HIS数据库”:服务器IP:xxxxx,服务名称xxxx,用户名xxxx,密码xxxx.“平台数据库”:服务器IP:xxxxx,服务名称xxxxx,用户名xxxx,密码xxxxx。
2、在“平台数据库”界面,点击“锁定平台挂号表”按钮可以对数据库的fin_opr_register表和t_register_info表进行加锁,只能读取、查询,不能写入、修改;“解锁平台相关表”按钮没有任何功能。
经郑大一附院出具证明:由于恶意锁表行为遭受损失等相关情况,包括
从当日收入来测算。当日收入损失约为万元。郑东院区门诊楼有台电脑无法进入医生工作站正常工作,72台自助挂号机和49台报到机无法正常工作;河医院区门诊楼有台电脑无法正常进入系统,86台自助挂号机和55台报到机无法工作;惠济院区门诊部有82台电脑无法正常进入系统,11台自助挂号机和4台报到机无法工作。医院项目造成巨大影响。
证据证言
上述事实,有经过庭审查证属实的下列证据证实(云头条仅列举部分):
6、郑州赛欧思科技有限公司郑大一附院安全事件分析报告及数据光盘,证明:郑州赛欧思科技有限公司经郑州市公安局网监支队委托对事件发生原因及情况进行描述,并且对相关数据库资料进行了固定。通过分析数据库日志发现,此次安全事件由于数据库执行锁表命令,该命令执行后锁定FIN_OPR_REGISTER表,使其不能进行其他活动,并间接导致HIS数据库锁定,造成业务系统均无法操作,所有门诊相关业务停止服务。
8、河南联合司法鉴定中心司法鉴定意见书:证明从被告人夏某某使用的笔记本电脑检测出“his”应用程序源码,并对该程序进行了测试、实验和鉴定。结论是:
(1)送检笔记本硬盘检测出“his”应用程序源码,程序可以连接以下两个数据库:“HIS数据库”:服务器IP:xxxxx,服务名称xxxxx,用户名xxxxx,密码xxxxx;“平台数据库”:服务器IP:xxxxx、xxxxx,服务名称xxxxx,用户名xxxxx,密码xxxxx。(2)在“平台数据库”界面,点击“锁定平台挂号表”按钮可以对数据库的fin_opr_register表和t_register_info表进行加锁,只能读取、查询,不能写入、修改;“解锁平台相关表”按钮没有任何功能。
9、证人张某1的证言:我在郑医院的机房网络管理和维护。年6月份左右,郑大一附院购买了一整套“医院”的软硬件设备,并在年11月份开始调试并投入使用。当时有三家公司负责对这套设备的调试安装以及后期的维护工作,其中北京中科某某公司负责财务数据库(HIS系统数据库)。年12月24日上午八点多,我们发现门诊缴费和叫号出了问题,就进入数据库查看。发现数据库自动记录一个报告,报告当中有一条命令是不属于正常业务范围内的语句,这条命令造成了HIS系统内挂号信息表被锁定,医院三个院区门诊挂号和缴费系统无法正常操作。在一上午时间,共出现多次这条命令对HIS系统内挂号信息表的锁定和解锁。当时我们就判断这条命令肯定不是机器自己生成的,可能是人为输入的,就围绕系统相关部门的人员查找是谁输入了这个命令,最后确认是北京中科某某公司的一名职员远程操作输入了这个命令。之后院方就联系了北京中科某某公司,要求他们停止此项操作。之前在处理我们院的数据库和服务器问题的过程中,从来没有用到过这条锁定HIS系统内挂号信息表的命令。使用这条命令会使门诊业务出现无法挂号、缴费、医生看诊、开具处方、门诊检查检验,相当于门诊业务处于瘫痪状态。经我们事后排查,发现是一条“LOCKTABLEFIN_OPR_REGISTERINEXCLUSIVEMODE”的数据库命令导致这种锁表的情况发生。在东软his系统运行这条命令直接导致了his门诊业务系统的门诊患者信息表(FIN_OPR_REGISTER)被锁死,出现患者在门诊无法挂号就诊、门诊交费、医生无法通过系统开具门诊医嘱(检查检验单、药品处方单)的情况。
北京中科某某负责对HIS系统数据库进行软件的维护和硬件的维修,他们有管理员权限(最高权限),可以远程操作。在年12月24日之前,郑大一附院的挂号系统出现过业务异常中断的情况,一年会出现一到两次,都是由北京中科某某公司的人处理和解决。北京中科某某公司的人平时所做的工作不需要往数据库内写入命令,如果需要写入命令,是需要和我们信息处还有东软公司三方进行沟通后才能实施操作的。
年10月31日,郑大一附院信息处召开会议对东软his系统数据库账号为“zdhis”的密码进行了修改。此账号的密码只院长、书记、副院长、信息处处长这4个人知道。当时开会的时候夏某某作为北京中科某某科技有限公司的项目经理也参与了这个会议。他不知道这个账号的密码,他没有权利使用这个账号及密码进入东软his系统。
12、证人张某2的证言:年12月24日上午郑大一附院的东软his系统出故障后,我就把ARW报告调出来提交给东软公司的运维人员,他们发现报告内有一条执行语句“LOCKTABLEFIN_OPR_REGISTERINEXCLUSIVEMODE”是异常语句。平时不会出现这个语句,信息处让各个软件服务商自查,我把这个报告发给夏某某,第二天夏某某给我打电话说可能是他们这一块执行的,但是还不太确定。
年10月31日郑大一附院召开会议修改东软his系统数据库账号为“zdhis”的密码,我知道的这个密码只有院长、前任书记掌握。当时开会时我和夏某某作为北京中科某某科技有限公司的运维人员也参加了这个会议。夏某某可能知道东软his系统数据库账号为“zdhis”的密码,因为年10月份郑大一附院和郑州市公安局网监支队做网络安全攻防演练后,网监支队出具的安全整改通知书显示有这个账号的密码,这份报告只有我和夏某某、信息处的张某1、杨某等人看过。夏某某没有告诉过我他保存有东软his系统数据库账号为“zdhis”更改后的密码,我不知道他是否有这个密码。夏某某没有权利使用“zdhis”的密码进入东软his系统,我们公司有专用的用户名和密码进入东软his系统,不应该用账号为“zdhis”的用户名进入。
13、证人周某的证言:夏某某是我同事,他在郑大一附院这个项目上归我管。我们公司在郑大一附院的项目上有三个组,夏某某属于软件组,他要维护的不仅是我们公司自己开发的软件,还有别的一些通用软件,一般都是工具性的。别的公司有专人维护的软件别的公司自己去维护,需要配合时予以配合。比如东软公司开发的HIS系统,夏某某是不需要去维护的,如果his系统出问题,由他们东软公司的人负责维护。
我事后听说年12月24日郑大一附院的东软his系统的门诊患者信息表被锁死的情况。年元旦前后夏某某给我说这个事怀疑是他自己导致的,他说可能是误操作。我不知道郑大一附院使用的东软his系统数据库账号为“zdhis”的密码,这个不是我们公司能接触的,我们的正常工作不需要知道这个账号和密码。夏文帅没有告诉过我他知道zdhis的密码。
14、被害单位委托代理人杨某的陈述:年12月24日8点17分,医院区办公,我看到