青年才俊显歪才，删万条违章记录捞650万终被捉

　　案例

　　IT达人李某利用接近公安车管系统的机会，“黑”进连云港市公安局车管系统，不到3年非法删除1.4万多条交通违章记录，给国家造成损失1000多万，自己捞了600多万。

　　这起罕见的“黑”进车管系统消除违章记录大案，是在极为偶然的情况下被揭露的。2014年1月，连云港市灌云县公安局交警大队民警在处理违章记录时发现，一辆被扣轿车的数十条交通违章记录连同1万多元的罚款信息，不知何时从市级公安交管综合平台违章系统内消失了。交警部门并没有这个车主的缴纳罚款记录，而在省级违章平台却发现该车的违章记录赫然在列。

　　灌云县公安机关立即展开调查，在过去近3年间，当地“黄牛”胡某、宋某等人，伙同软件研发人员李某侵入公安交管综合平台，直接删除连云港等地的车辆违章记录1.4万多条，造成国家损失1000多万元。

　　2007年李某研发的车管所驾校软件系统通过竞标，成为连云港、宿迁、南京等市车管所软件系统的供应商，并为相关系统的安装和维护提供技术支持。身为一家4S店主管，宋某经常利用职务之利，承揽帮车主买保险、年检、过户等业务，挣点“跑腿费”。

　　2011年4月，为方便购车族直接在4S店上牌，连云港车管部门在4S店安装车辆信息录入系统，李某负责提供安装服务。当宋某得知连云港车管部门的检测系统、处理违章系统等均为李某研发、安装和维护时，找到机会询问：“你能不能通过计算机后台，删除车辆违章记录？”意思是让李某采取黑客手段，侵入体系封闭的公安内网，删除交通违章记录。

　　各地各级交警在使用公安交管综合平台时，只拥有对应的权限，且由专人负责，客户端软件设有繁复的用户名、密码等安全措施，即使进行系统升级、维护工作，也需要公安内部授权和配合。

　　李某在车管所进行系统维护时，避开公安干警的监管，将事先编好的删除程序输入，非法删除车辆违章记录，此后，李某多次以系统维护的借口进入系统来删除记录，但他知道利用“系统维护”的借口来删除记录迟早会被发现。某次，李某发现系统内的一处漏洞，能利用互联网远程侵入公安网络系统。从此，李某开始全天无障碍删除违章记录。截止到案发，李某共计非法删除14000余条交通违章记录，涉案金额1800余万元，非法敛财650余万元，目前李某已被移送灌云县检察院审查起诉。

　　评述

　　案例中信息系统开发的过程是一种业务外包的行为，由交通管理部门委托开发商进行软件系统的开发。在这种情况下，交管部门对于系统设计、编程和测试环节的参与程度都较低，十分容易引起道德风险。外包服务商极有可能实施损害委托方利益的行为，如偷工减料、泄露信息等。在这起罕见的信息系统犯罪中，服务商为了自身利益，擅自修改车管系统数据库中的数据，给交管部门造成了极大的损失。

　　对于信息系统开发外包来说，并不能简单的“丢”给外包商。基于业务外包与自行开发模式的不同，委托方应当将关注点和控制措施集中在信息系统的设计、服务商的选择上。

　　（一）信息系统设计应注意分层管理

　　信息系统由各个模块组成，对于车管系统，会涉及到车辆档案系统（包括车辆的注册、变更、注销等）、车牌管理系统、驾驶证管理系统、违章管理系统等。在外包开发前，委托方应当对系统中各模块按照重要性来划分等级，对于涉及核心数据或包含有收支业务的系统，应作为重要的系统模块，在开发以及验收过程中，进行必要的管理：

　　（1）在系统开发过程中，由专门负责人对开发的进度和流程进行跟踪和把控，避免外包服务商在系统开发过程中预留系统后门而留下巨大隐患；

　　（2）在系统验收过程中，可聘请第三方验收机构来专门对系统进行测试，除了系统功能的实现以外，还需要对安全性方面予以查验和评估。

　　（二）系统的日常维护应由专人负责

　　本案中李某起初是以系统维护的借口多次“黑”进系统进行记录删除的，在长达3年的时间内，李某能如此轻易的进入系统修改记录。可见交管部门的系统运维方面明显存在缺陷。

　　在系统开发完成并验收合格后，进入系统的日常运营和维护阶段，交管部门应组织专人完成与服务商的维护交接工作，服务商应当将系统运维的注意事项和操作方式交接给交管部门人员，由专人负责系统的日常操作和维护。当系统遇到特殊情况，尤其是重要的系统模块，才可以由服务商进行维修维护，系统的维修维护必须做到合理的事先授权和跟踪监督。

　　（三）服务商的选择应注意信誉资质

　　根据案例描述，交管部门选择李某作为系统开发服务商是通过了公开招投标的方式，但案例中并未说明具体细节。需要指出的是，在保证功能能够实现的基础上，对于这种涉及政府信息或收支环节的系统功能开发事项，应当重点考虑服务商的信誉和资质，委托的服务商应当具有政府所认可的资质证明。

　　文 黄玮喆 陈皓 高垚