1月6日，北京市第一中級(jí)人民法院公布前鏈家員工破壞計(jì)算機(jī)信息系統(tǒng)罪一案的刑事裁定書，被告人因不滿工作調(diào)整，刪公司9TB數(shù)據(jù)。

上述事實(shí)，有經(jīng)一審?fù)徟e證、質(zhì)證并予以確認(rèn)的被告人韓冰的供述，證人周某等人的證言，司法鑒定意見書，技術(shù)服務(wù)合同，銀行電子回單，發(fā)票，情況說明，MAC地址行為日志，鏈家公司檢索主機(jī)名詳單，勞動(dòng)合同，電子郵件，會(huì)議紀(jì)要，微信群聊天記錄，員工信息，扣押筆錄，受案登記表，到案經(jīng)過等證據(jù)證實(shí)。

北京市海淀區(qū)人民法院認(rèn)為，被告人韓冰違反國家規(guī)定，對(duì)計(jì)算機(jī)信息系統(tǒng)中存儲(chǔ)的數(shù)據(jù)和應(yīng)用程序進(jìn)行刪除，造成計(jì)算機(jī)信息系統(tǒng)不能正常運(yùn)行，后果特別嚴(yán)重，其行為已構(gòu)成破壞計(jì)算機(jī)信息系統(tǒng)罪，依法應(yīng)予懲處。依照《中華人民共和國刑法》第二百八十六條第一款、第二款之規(guī)定，判決：被告人韓冰犯破壞計(jì)算機(jī)信息系統(tǒng)罪，判處有期徒刑七年。

上訴人韓冰的主要上訴理由為：監(jiān)控錄像等證據(jù)證明其沒有實(shí)施犯罪。其不是可以進(jìn)入被害單位內(nèi)網(wǎng)且有Yggdrasil主機(jī)名的唯一用戶。證明其電腦中存在sherd及rm命令的證據(jù)之間存在矛盾。在其電腦中檢索到的關(guān)于Mac地址EA：36：33：43：78：88的記錄與其無關(guān)，有可能是該MAC地址的設(shè)備訪問其電腦留下的。被害單位刻意制造維修費(fèi)用，且沒有證據(jù)證明被害單位損失，故其不認(rèn)可被害人的損失數(shù)額。

上訴人韓冰的辯護(hù)人的主要辯護(hù)意見為：本案事實(shí)不清、證據(jù)不足，不能排除合理懷疑，應(yīng)疑罪從無。電子數(shù)據(jù)鑒定意見的起始基準(zhǔn)時(shí)間晚于案發(fā)一個(gè)多月，不能確定在此期間電子數(shù)據(jù)有無修改?，F(xiàn)有證據(jù)不能證實(shí)韓冰實(shí)施刪除行為的準(zhǔn)確時(shí)間以及韓冰實(shí)施了使用命令攻擊刪除行為。不能排除系有漏洞和程序問題導(dǎo)致外介質(zhì)因素入侵。是否造成系統(tǒng)全部癱瘓的事實(shí)不清、證據(jù)不足，刪除數(shù)據(jù)大小不明確。18萬元損失的認(rèn)定證據(jù)不足，沒有第三方機(jī)構(gòu)評(píng)估、鑒定等證據(jù)。韓冰具有主觀惡性不大，未造成嚴(yán)重社會(huì)影響等從輕情節(jié)。

二審審理期間，上訴人韓冰及其辯護(hù)人均未向法庭提交新的證據(jù)。

經(jīng)二審審理查明的事實(shí)與一審相同。一審判決所據(jù)證據(jù)，經(jīng)審查，證據(jù)的收集及質(zhì)證符合法定程序，能夠證明認(rèn)定的事實(shí)，本院予以確認(rèn)。

對(duì)于上訴人韓冰及其辯護(hù)人所提本案存在多重合理懷疑，應(yīng)當(dāng)認(rèn)定韓冰無罪的上訴理由及辯護(hù)意見，經(jīng)查：國家信息中心電子數(shù)據(jù)司法鑒定中心司法鑒定意見書證明，2018年6月4日14時(shí)至15時(shí)期間，IP地址為10.33.35.160的終端用戶遠(yuǎn)程以root身份登錄鏈家公司服務(wù)器并通過執(zhí)行rm、shred命令刪除數(shù)據(jù)文件、擦除操作日志等，而該IP地址于6月4日14時(shí)17分被分配給MAC地址為EA-36-33-43-78-88、主機(jī)名為Yggdrasil的設(shè)備使用。該IP地址為鏈家公司福道大廈3樓交換機(jī)所覆蓋網(wǎng)絡(luò)區(qū)域，而韓冰具有root權(quán)限且于案發(fā)當(dāng)日在上述IP地址的網(wǎng)絡(luò)覆蓋區(qū)域內(nèi)上班。經(jīng)司法鑒定確認(rèn)，韓冰電腦的主機(jī)名為Yggdrasil，與登錄服務(wù)器執(zhí)行刪除、擦除命令的電腦主機(jī)名一致；韓冰電腦的MAC地址雖不是EA-36-33-43-78-88，但其電腦中安裝有用于更改MAC地址的軟件WiFiSpoof，且在其電腦的相關(guān)文件中檢索到多條與上述MAC地址相關(guān)的記錄。綜合案發(fā)后韓冰的表現(xiàn)，以及對(duì)具有類似權(quán)限人員所用電腦的鑒定結(jié)論等情況，能夠確定韓冰實(shí)施了刪除鏈家公司財(cái)務(wù)系統(tǒng)服務(wù)器程序數(shù)據(jù)的行為。上訴人韓冰及其辯護(hù)人所提的相關(guān)辯解及辯護(hù)意見，無事實(shí)及法律依據(jù)，本院不予采納。

對(duì)于上訴人韓冰所提監(jiān)控錄像證明其沒有實(shí)施犯罪的上訴理由，經(jīng)查：視頻服務(wù)器和涉案四臺(tái)服務(wù)器均未與標(biāo)準(zhǔn)時(shí)間校準(zhǔn)，無法判斷監(jiān)控時(shí)間與服務(wù)器時(shí)間的時(shí)間差，無法以視頻時(shí)間和服務(wù)器時(shí)間排除韓冰作案的可能。故對(duì)韓冰的該項(xiàng)上訴理由，本院不予采納。

對(duì)于上訴人韓冰及其辯護(hù)人所提認(rèn)定被害單位損失的證據(jù)不足的上訴理由及辯護(hù)意見，經(jīng)查：鏈家公司情況說明等證據(jù)證明，財(cái)務(wù)系統(tǒng)數(shù)據(jù)修復(fù)系專業(yè)性強(qiáng)、時(shí)效性高的技術(shù)類工作，鏈家公司在被刪除系統(tǒng)后緊急聘請(qǐng)第三方公司進(jìn)行財(cái)務(wù)數(shù)據(jù)恢復(fù)工作，不屬于刻意制造費(fèi)用。技術(shù)服務(wù)合同、服務(wù)報(bào)價(jià)單、銀行電子回單、發(fā)票等證據(jù)證明，鏈家公司基于財(cái)務(wù)系統(tǒng)受損而支付修復(fù)費(fèi)用18萬元。一審據(jù)此認(rèn)定被害單位損失，證據(jù)確實(shí)充分。故韓冰及其辯護(hù)人的相關(guān)意見，缺乏事實(shí)及法律依據(jù)，本院均不予采納。

本院認(rèn)為，上訴人韓冰違反國家規(guī)定，對(duì)計(jì)算機(jī)信息系統(tǒng)中存儲(chǔ)的數(shù)據(jù)和應(yīng)用程序進(jìn)行刪除，造成計(jì)算機(jī)信息系統(tǒng)不能正常運(yùn)行，其行為已構(gòu)成破壞計(jì)算機(jī)信息系統(tǒng)罪，且后果特別嚴(yán)重，依法應(yīng)予懲處。一審法院根據(jù)韓冰犯罪的事實(shí)、犯罪的性質(zhì)、情節(jié)及對(duì)于社會(huì)的危害程度所作出的判決，事實(shí)清楚，證據(jù)確實(shí)、充分，定罪及適用法律正確，量刑適當(dāng)，審判程序合法，應(yīng)予維持。據(jù)此，依照《中華人民共和國刑事訴訟法》第二百三十六條第一款第（一）項(xiàng)之規(guī)定，裁定如下：

駁回上訴，維持原判。

本裁定為終審裁定。

審 判 長　　關(guān)　芳
審 判 員　　鮑　艷
審 判 員　　孫　燕

二〇二〇年十二月二十九日

法官助理　　韓　峰
書 記 員　　孟丹丹

被告人韓冰于2018年7月31日被公安機(jī)關(guān)抓獲。

針對(duì)上述指控，公訴機(jī)關(guān)向本院提交了相關(guān)證據(jù)材料，認(rèn)為被告人韓冰違反國家規(guī)定，對(duì)計(jì)算機(jī)信息系統(tǒng)中儲(chǔ)存的數(shù)據(jù)和應(yīng)用程序進(jìn)行刪除，后果特別嚴(yán)重，其行為觸犯了《中華人民共和國刑法》第二百八十六條第二款之規(guī)定，構(gòu)成破壞計(jì)算機(jī)信息系統(tǒng)罪，提請(qǐng)本院對(duì)被告人韓冰依法懲處。

被告人韓冰辯稱，其沒有實(shí)施指控行為。其辯護(hù)人的辯護(hù)意見為：從實(shí)際后果看沒有造成其他嚴(yán)重后果。升級(jí)改造及后期維護(hù)、重新搭建系統(tǒng)不屬于經(jīng)濟(jì)必然損失，18萬的花費(fèi)夸大了真實(shí)修復(fù)費(fèi)用。本案發(fā)生一個(gè)多月后偵查機(jī)關(guān)才介入提取、固定證據(jù)，電子數(shù)據(jù)鑒定意見的起始基準(zhǔn)時(shí)間晚于案后一個(gè)多月，不能確定在此期間電子數(shù)據(jù)是否被增加、刪除、修改，本案涉及其他有root權(quán)限的人扣押電子證據(jù)時(shí)間是8月17日，不排除其他因素可能性?，F(xiàn)有證據(jù)不能證實(shí)被告人實(shí)施刪除行為具體準(zhǔn)確時(shí)間、被告人實(shí)施了使用命令攻擊刪除行為，是否造成系統(tǒng)全部癱瘓的事實(shí)不清、證據(jù)不足，刪除數(shù)據(jù)大小不明確，本案的關(guān)聯(lián)性證據(jù)調(diào)取不完整，被害單位系統(tǒng)在攻擊前是否完善、是否有漏洞，不能排除因系統(tǒng)有漏洞或程序問題導(dǎo)致外介質(zhì)因素入侵的合理懷疑。本案事實(shí)不清、證據(jù)不足，不能排除合理懷疑，應(yīng)疑罪從無。

經(jīng)審理查明，2018年6月4日14時(shí)許，被告人韓冰在位于本市海淀區(qū)上地三街福道大廈三層的鏈家網(wǎng)（北京）科技有限公司（以下簡稱鏈家公司），利用其擔(dān)任鏈家公司數(shù)據(jù)庫管理員并掌握公司財(cái)務(wù)系統(tǒng)root權(quán)限的便利，登錄公司財(cái)務(wù)系統(tǒng)服務(wù)器刪除了財(cái)務(wù)數(shù)據(jù)及相關(guān)應(yīng)用程序，致使公司財(cái)務(wù)系統(tǒng)無法登錄。鏈家公司為恢復(fù)數(shù)據(jù)及重新構(gòu)建財(cái)務(wù)系統(tǒng)共計(jì)花費(fèi)人民幣18萬元。2018年7月31日，被告人韓冰被公安機(jī)關(guān)抓獲歸案。

針對(duì)上述事實(shí)，公訴人當(dāng)庭宣讀、出示了下列證據(jù)材料：
1、被告人韓冰于2018年7月31日供述，述稱前一段時(shí)間，其聽說公司系統(tǒng)壞了，服務(wù)器被刪，當(dāng)天其用其權(quán)限嘗試登錄系統(tǒng)，但登不上去。當(dāng)時(shí)公司找了第三方可以登錄系統(tǒng)的人。幾天后鏈家網(wǎng)道德委員會(huì)工作人員把其筆記本電腦封存了。其于2018年2月1日入職，負(fù)責(zé)財(cái)務(wù)系統(tǒng)數(shù)據(jù)庫管理，開始屬于財(cái)務(wù)線，在信息化線待了幾天到了技術(shù)線，后搬到上地六街?jǐn)?shù)字傳媒大廈八層。按規(guī)定其只能有數(shù)據(jù)庫操作權(quán)限，但公司管理很亂，其入職后公司就給了其登錄管理系統(tǒng)權(quán)限，可以在系統(tǒng)上安裝和刪除相關(guān)的應(yīng)用程序。公司張某、楊某、高某、一女的、小四科技供應(yīng)商公司的人、徐章毅、漢得公司和元年公司的人有這個(gè)權(quán)限，還有一個(gè)有權(quán)限的公司是之前和鏈家合作過的公司。其上班期間使用的是自己的蘋果筆記本電腦，其不提供電腦名稱和密碼，這是其個(gè)人隱私，公安機(jī)關(guān)可以用自己的方法檢查其電腦。

其于2018年8月5日供述，述稱2018年6月4日，其做系統(tǒng)巡檢時(shí)被登錄的財(cái)務(wù)EBS系統(tǒng)踢出來了，系統(tǒng)鏈接斷了，再登錄也登錄不上去了。其沒有刪除過公司財(cái)務(wù)系統(tǒng)數(shù)據(jù)。其電腦密碼一個(gè)月不操作就會(huì)變換一個(gè)隨機(jī)密碼，現(xiàn)應(yīng)已自動(dòng)換密碼，只能聯(lián)網(wǎng)后擦除電腦數(shù)據(jù)變成新電腦使用。以前在酒仙橋鏈家公司總部上班時(shí)碰到過類似被系統(tǒng)踢出的情況，其給領(lǐng)導(dǎo)發(fā)過郵件，這個(gè)系統(tǒng)是不安全的。

2、證人周某（鏈家公司職業(yè)道德建設(shè)中心總監(jiān)）于2018年7月12日證言，證實(shí)2018年6月4日14時(shí)35分許，公司技術(shù)保障部楊某發(fā)現(xiàn)公司財(cái)務(wù)系統(tǒng)服務(wù)器應(yīng)用程序出現(xiàn)故障無法登錄，就派技術(shù)人員到機(jī)房進(jìn)行檢查，發(fā)現(xiàn)財(cái)務(wù)系統(tǒng)服務(wù)器（EBS系統(tǒng)）應(yīng)用程序及9TB的數(shù)據(jù)被惡意刪除，后公司找杭州惜飛信息技術(shù)有限公司和小四科技（北京）有限公司對(duì)財(cái)務(wù)系統(tǒng)服務(wù)器應(yīng)用程序及數(shù)據(jù)進(jìn)行了重建和恢復(fù)，直到6月12日才全部完成恢復(fù)，共計(jì)花費(fèi)18萬元。因有權(quán)限進(jìn)入公司財(cái)務(wù)系統(tǒng)的只有技術(shù)保障部五個(gè)人，公司在內(nèi)部進(jìn)行了初步排查，收集了這五個(gè)人的筆記本電腦，其中四人主動(dòng)上交了個(gè)人筆記本電腦及密碼，但韓冰拒不交代自己的筆記本電腦密碼，也對(duì)破壞的事情拒不承認(rèn)，韓冰有嫌疑，其代表公司來報(bào)案。被破壞的服務(wù)器是公司專門用于EBS系統(tǒng)的2臺(tái)數(shù)據(jù)庫服務(wù)器和2臺(tái)應(yīng)用服務(wù)器，2臺(tái)數(shù)據(jù)庫服務(wù)器的IP地址分別為10.10.26.33和10.10.26.34,2臺(tái)應(yīng)用服務(wù)器的IP分別為10.200.28.96和10.200.28.97。公司財(cái)務(wù)系統(tǒng)存放著公司成立以來所有的財(cái)務(wù)數(shù)據(jù)，影響到公司人員的工資發(fā)放等，對(duì)公司整個(gè)運(yùn)行有非常重要的意義。

其于2018年7月31日證言，證實(shí)公司在2018年6月6日17時(shí)許暫扣了有權(quán)限接觸到公司財(cái)務(wù)系統(tǒng)的五個(gè)人的筆記本電腦，今天民警抓獲韓冰后，其把暫扣韓冰的電腦送至派出所。韓冰2018年2月到公司負(fù)責(zé)財(cái)務(wù)系統(tǒng)維護(hù)，5月被調(diào)整至技術(shù)保障部，工作地點(diǎn)從朝陽區(qū)酒仙橋總部調(diào)整至海淀區(qū)上地福道大廈，韓冰對(duì)組織調(diào)整有意見，覺得自己不受重視，調(diào)整之后消極怠工，經(jīng)常遲到早退，也有曠工現(xiàn)象。經(jīng)查看公司監(jiān)控錄像，韓冰于2018年6月4日11點(diǎn)左右到福道大廈三層西側(cè)自己的工作區(qū)域上班，當(dāng)天18時(shí)左右離開公司。

其于2018年9月14日證言，證實(shí)公司內(nèi)韓冰、張某、高某、薛某、楊某有通過公司內(nèi)網(wǎng)使用root權(quán)限直接登錄服務(wù)器的權(quán)限，公司當(dāng)時(shí)的服務(wù)商小四科技也有權(quán)限登錄，但需要從外網(wǎng)使用公司提供的賬號(hào)通過專用通道從堡壘機(jī)跳轉(zhuǎn)至服務(wù)器進(jìn)行維護(hù)工作，堡壘機(jī)上會(huì)記載所有的操作，且小四科技無法刪除堡壘機(jī)上記載的所有操作。

其于2019年1月15日證言，證實(shí)許某沒有財(cái)務(wù)系統(tǒng)root登錄權(quán)限，他只能通過堡壘機(jī)登錄財(cái)務(wù)系統(tǒng)。每個(gè)員工在入職時(shí)會(huì)獲得一個(gè)唯一且固定的郵箱，郵箱的前綴是每個(gè)員工的賬號(hào)，網(wǎng)絡(luò)認(rèn)證、收發(fā)郵件時(shí)都需要，這是一個(gè)非常私密的賬號(hào)，公司要求員工在每個(gè)季度強(qiáng)制更改密碼，韓冰的唯一員工賬號(hào)是×××。

3、證人張某（鏈家公司數(shù)據(jù)庫管理員）于2018年8月2日證言，證實(shí)其和韓冰大概在七八年前的一次聚會(huì)上相識(shí)，后在中航金網(wǎng)做過同事。2018年3月，其在鏈家公司財(cái)務(wù)線工作，當(dāng)時(shí)財(cái)務(wù)線缺人，其就把韓冰招到財(cái)務(wù)線工作了。5月左右，韓冰發(fā)現(xiàn)公司財(cái)務(wù)系統(tǒng)有安全問題發(fā)郵件告訴了其，其和韓冰在開會(huì)時(shí)向多個(gè)領(lǐng)導(dǎo)匯報(bào)了財(cái)務(wù)系統(tǒng)的安全問題，建議公司啟動(dòng)安全項(xiàng)目來修復(fù)安全問題，但領(lǐng)導(dǎo)們沒當(dāng)回事。兩周之后，其在財(cái)務(wù)線工作的部門被劃到了信息線，在信息線部門開會(huì)時(shí)，其和韓冰又向信息線領(lǐng)導(dǎo)周小龍匯報(bào)了財(cái)務(wù)系統(tǒng)的安全問題，并建議周小龍啟動(dòng)安全項(xiàng)目來修復(fù)，但周小龍依然沒有重視，在建議過程中其和周小龍起了爭執(zhí)。大約又過了三天，其和韓冰被周小龍從信息線轉(zhuǎn)到了福道大廈技術(shù)線工作。公司服務(wù)器登錄權(quán)限登錄到公司服務(wù)器上可以新增刪除修改文件，這個(gè)權(quán)限可以登錄公司財(cái)務(wù)系統(tǒng)，可以把財(cái)務(wù)系統(tǒng)刪除。在剛來福道大廈技術(shù)線時(shí)，整個(gè)技術(shù)線只有其和韓冰有這個(gè)權(quán)限，到了技術(shù)線后，其把這個(gè)權(quán)限交給了技術(shù)線領(lǐng)導(dǎo)楊菁緯、負(fù)責(zé)安全的領(lǐng)導(dǎo)許某。后其知道鏈家網(wǎng)供應(yīng)商員工高某，還有一個(gè)女員工有這個(gè)權(quán)限。公司財(cái)務(wù)系統(tǒng)被刪除當(dāng)天其在301醫(yī)院看病，其在公司郵箱看到韓冰的郵件說公司財(cái)務(wù)系統(tǒng)連不上了就從醫(yī)院趕回福道大廈。

4、證人高某（鏈家公司運(yùn)維工程師）于2018年8月17日證言，證實(shí)其和韓冰在業(yè)務(wù)上沒有什么交集，偶爾在數(shù)據(jù)庫方面有不懂的問題會(huì)去請(qǐng)教他。公司服務(wù)器的登錄權(quán)限登錄到公司服務(wù)器上可以啟動(dòng)和停止服務(wù)器上的應(yīng)用，可以在服務(wù)器上添加和刪除文件，也可以把公司的財(cái)務(wù)系統(tǒng)刪除。公司服務(wù)器上只有一個(gè)賬戶名為root的共用賬戶擁有這個(gè)權(quán)限。其和楊某、張某、韓冰、薛某知道這個(gè)賬戶的密碼。公司財(cái)務(wù)系統(tǒng)被刪除當(dāng)天其在公司上班，當(dāng)天服務(wù)器登錄不上去，財(cái)務(wù)系統(tǒng)的應(yīng)用和網(wǎng)站登錄不上去。當(dāng)天張某請(qǐng)假了、其不確定韓冰在哪里、楊某和薛某在單位。

5、證人楊某（鏈家公司經(jīng)理）于2018年8月17日證言，證實(shí)韓冰雖掛在其部門，但不直接向其匯報(bào)工作。韓冰和張某是2018年5月17日到福道大廈辦公區(qū)的。張某和韓冰沒來之前，財(cái)務(wù)線上一些安全上的活是其部門來做，他們來了后就交給了他們，但在他們工作過程中出現(xiàn)了一些問題，領(lǐng)導(dǎo)周小龍就讓韓冰和張某并入其這組一起干這個(gè)活。公司服務(wù)器的登錄權(quán)限登錄到公司服務(wù)器上可以新增刪除修改文件，這個(gè)權(quán)限可以登錄到公司財(cái)務(wù)系統(tǒng)，可以把財(cái)務(wù)系統(tǒng)刪除。其和韓冰、張某、高某、薛某有這個(gè)權(quán)限。2018年6月4日14時(shí)30分許，公司財(cái)務(wù)系統(tǒng)被刪除，當(dāng)時(shí)其在公司上班應(yīng)該在午休。當(dāng)天看錄像發(fā)現(xiàn)韓冰在14時(shí)拿著電腦去了休息區(qū)，14時(shí)20分左右回到他的工位，其他人沒有發(fā)現(xiàn)異常。

6、證人薛某（鏈家公司工程師）于2018年8月17日證言，證實(shí)公司數(shù)據(jù)庫被刪除，將有權(quán)限的職員叫在一起排查這事時(shí)其才知道韓冰，其負(fù)責(zé)公司服務(wù)運(yùn)維，他負(fù)責(zé)財(cái)務(wù)數(shù)據(jù)庫。其負(fù)責(zé)服務(wù)器登錄權(quán)限的開通。其和張某、高某、楊某、韓冰、許某有財(cái)務(wù)數(shù)據(jù)庫權(quán)限。公司服務(wù)器的登錄權(quán)限是服務(wù)器root權(quán)限，就是超級(jí)管理員權(quán)限，可以對(duì)服務(wù)器進(jìn)行任何操作。其不知道財(cái)務(wù)數(shù)據(jù)庫的IP，張某和韓冰管理財(cái)務(wù)數(shù)據(jù)庫，他二人應(yīng)該知道。只有同時(shí)知道IP和擁有root權(quán)限才能進(jìn)入財(cái)務(wù)數(shù)據(jù)庫并進(jìn)行操作。其不知道財(cái)務(wù)系統(tǒng)哪天刪的，公司讓其查過2018年6月4日堡壘機(jī)登錄日志，當(dāng)天其在公司上班。

7、證人許某（鏈家公司安全和風(fēng)控管理部高級(jí)經(jīng)理）于2019年1月15日證言，證實(shí)其主要負(fù)責(zé)和信息安全相關(guān)的工作。其沒有公司財(cái)務(wù)系統(tǒng)root直接登錄權(quán)限，只能通過堡壘機(jī)登錄。

8、證人陳某（鏈家公司技術(shù)保障部高級(jí)總監(jiān)）于2019年6月14日證言，證實(shí)2018年6月5日，公司財(cái)務(wù)系統(tǒng)被人惡意刪除，6月6日公司職業(yè)道德委員會(huì)負(fù)責(zé)人周某把5名有操作權(quán)限的人張某、韓冰、楊某、高某和薛某召集到一起做內(nèi)部調(diào)查。周某說如果自己承認(rèn)就作為公司內(nèi)部處理，如果沒人承認(rèn)就移交公安機(jī)關(guān)處理。當(dāng)時(shí)沒人站出來，周某要把大家的電腦封存，要求提供開機(jī)密碼，其他人都提供了只有韓冰沒有提供，韓冰稱自己電腦有隱私、密碼只能提供給公安機(jī)關(guān)，如果要看的話只能他自己輸入密碼，在他在場的情況下才能檢查。其當(dāng)時(shí)站在韓冰身邊，韓冰輸入密碼開機(jī)，關(guān)閉一些對(duì)話框，其沒有發(fā)現(xiàn)電腦里有嫌疑。張某聽韓冰這么說后也要求密碼向公安機(jī)關(guān)提供，后公司報(bào)警。

其于2019年6月20日證言，證實(shí)其操作韓冰的電腦使用搜索命令搜索-shred命令，沒有搜索到，大概閱覽了電腦內(nèi)安裝的程序，沒有發(fā)現(xiàn)特別的內(nèi)容。這樣的檢查是完全不可能排除韓冰的嫌疑的。公司財(cái)務(wù)系統(tǒng)被攻擊的方式只要是連接到服務(wù)器就可以執(zhí)行，這樣的操作是不會(huì)在電腦端留下痕跡的，只會(huì)在服務(wù)器上留下痕跡。公司當(dāng)時(shí)檢查每個(gè)人的電腦，執(zhí)行這些檢查的操作，主要是為了看看當(dāng)時(shí)韓冰等人的反映。公司確定是韓冰實(shí)施破壞行為與這次檢查沒有任何關(guān)系。這次檢查沒有取消對(duì)任何人的嫌疑，相反只有韓冰不提供自己電腦的用戶名和密碼，最終是由公司提供的多方證據(jù)而鎖定韓冰的。

9、國家信息中心電子數(shù)據(jù)司法鑒定中心司法鑒定意見書，證實(shí)經(jīng)對(duì)IP地址標(biāo)識(shí)為10.10.26.33的服務(wù)器進(jìn)行鑒定，送檢服務(wù)器Raid-1—Disk-2系統(tǒng)分區(qū)中/var/log/目錄下所有日志文件均被人為擦除，Raid-5—Disk-1數(shù)據(jù)分區(qū)中/app/、/rmanbak/目錄下大量數(shù)據(jù)文件被刪除。通過日志恢復(fù)與關(guān)聯(lián)分析，可以確定IP為10.33.35.160的終端用戶在2018年6月4日14時(shí)至15時(shí)期間，遠(yuǎn)程以root身份登錄至該服務(wù)器，通過執(zhí)行rm、shred命令刪除了服務(wù)器中的數(shù)據(jù)文件，并擦除了當(dāng)前用戶的所有操作日志。

司法鑒定回復(fù)函，證實(shí)本鑒定意見書附件二光盤中的5個(gè)文件Root\.bash_history、\home\finance\.bash_history、\home\oraprod\.bash_history、\home\grid\.bash_history、0046595.txt。其中4個(gè)不同路徑下的.bash_history文件是送檢服務(wù)器硬盤中的原始文件，直接提取得到，未經(jīng)過任何處理。0046595.txt是使用數(shù)據(jù)恢復(fù)方法在送檢服務(wù)器硬盤的底層碎片空間重組得到，僅說明文件中的數(shù)據(jù)內(nèi)容在本機(jī)硬盤生成且存儲(chǔ)過，不保證所有數(shù)據(jù)內(nèi)容來自原系統(tǒng)中的同一個(gè)文件。

10、國家信息中心電子數(shù)據(jù)司法鑒定中心司法鑒定意見書，證實(shí)經(jīng)現(xiàn)場提取與檢驗(yàn)鑒定，現(xiàn)場登錄服務(wù)器后導(dǎo)出IP地址10.33.35.160在2018年6月4日期間事件日志，DHCP服務(wù)器將IP地址10.33.35.160于2018年6月4日14時(shí)17分許分配給客戶端ID（設(shè)備MAC地址）為EA-36-33-43-78-88的網(wǎng)絡(luò)接入設(shè)備，該設(shè)備的主機(jī)名為Yggdrasil，14時(shí)47分許同樣分配給客戶端ID為EA-36-33-43-78-88的網(wǎng)絡(luò)接入設(shè)備，該設(shè)備的主機(jī)名為Yggdrasil；進(jìn)一步分析IP地址10.33.35.160在2018年6月4日期間所有上網(wǎng)行為記錄，將上網(wǎng)行為管理服務(wù)器中IP地址10.33.35.160在6月1日至4日期間所有網(wǎng)絡(luò)訪問日志導(dǎo)出，上述日志中，可以明確IP地址10.33.35.160對(duì)應(yīng)的訪問終端MAC地址為EA-36-33-43-78-88，同DHCP服務(wù)器中提取的日志信息一致。該IP地址在6月1日至4日期間所有的網(wǎng)絡(luò)訪問主要集中在6月4日14時(shí)至15時(shí)28分之間。可以確定IP地址10.33.35.160對(duì)應(yīng)的物理區(qū)域?yàn)楸本┦泻５韰^(qū)開拓路11號(hào)福道大廈3樓交換機(jī)所覆蓋的網(wǎng)絡(luò)區(qū)域內(nèi)。

11、北京中海義信信息技術(shù)有限公司司法鑒定所司法鑒定意見書，證實(shí)經(jīng)對(duì)被告人韓冰的蘋果電腦進(jìn)行提取，未檢索到該計(jì)算機(jī)登錄涉案服務(wù)器IP：10.10.26.33，10.10.26.34，10.200.28.96，10.200.28.97的記錄；該電腦計(jì)算機(jī)系統(tǒng)為MacOSX10.13.5,主機(jī)名為Yggdrasil；該電腦Wi-Fi的Mac地址為28-CF-E9-1C-48-13;該電腦中安裝有WiFiSpoof軟件；在該電腦中的$InodeTable文件中檢索到與Mac地址28：CF：E9：1C：48：13相關(guān)記錄92條，檢索到與Mac地址EA：36：33：43：78：88相關(guān)記錄4條;該電腦中的終端記錄中包含shred與rm命令，該命令為本地執(zhí)行命令。

12、北京通達(dá)法正司法鑒定中心司法鑒定意見書，證實(shí)經(jīng)對(duì)薛某、高某、張某、楊某持有的筆記本電腦進(jìn)行鑒定，四臺(tái)電腦的計(jì)算機(jī)名均不是Yggdrasil，MAC地址均不是EA-36-33-43-78-88。四臺(tái)電腦2018年6月4日的行為日志中均未發(fā)現(xiàn)有登錄財(cái)務(wù)系統(tǒng)執(zhí)行-shred、-rm命令進(jìn)行刪除操作。

13、杭州惜飛信息技術(shù)有限公司情況說明及數(shù)據(jù)庫異?；謴?fù)技術(shù)服務(wù)合同、服務(wù)報(bào)價(jià)單、中國光大銀行電子回單、發(fā)票，證實(shí)2018年6月4日，該公司接到鏈家公司關(guān)于提供數(shù)據(jù)恢復(fù)服務(wù)的需求，工程師經(jīng)工作發(fā)現(xiàn)被破壞服務(wù)器對(duì)應(yīng)的IP地址：10.10.26.33和10.10.26.34組成的OracleRAC集群，業(yè)務(wù)數(shù)據(jù)庫名稱為EBS系統(tǒng)數(shù)據(jù)庫，故障原因?yàn)镽AC集群兩臺(tái)服務(wù)器均被執(zhí)行rm-rf/u01,rm-rf/u02等刪除目錄下所有文件，包括集群和數(shù)據(jù)庫相關(guān)文件，rm-rf/etc,/var等刪除掉操作系統(tǒng)相關(guān)目錄，導(dǎo)致oracle集群和系統(tǒng)均無法提供正常服務(wù)，系統(tǒng)不可用。被刪除數(shù)據(jù)量預(yù)估為9TB左右，被刪除的文件導(dǎo)致整個(gè)數(shù)據(jù)集群異常，無法對(duì)外提供Oracle服務(wù)，由于刪除大量文件，系統(tǒng)已經(jīng)無法正常使用，Oracle集群、數(shù)據(jù)庫均無法啟動(dòng)。執(zhí)行恢復(fù)的動(dòng)作：在新機(jī)器上進(jìn)行恢復(fù)，通過自研工具對(duì)ASM磁盤組中的數(shù)據(jù)文件信息分析后，安裝新集群和數(shù)據(jù)庫后進(jìn)行配置，讓新集群能夠訪問到存儲(chǔ)上的ASM磁盤組數(shù)據(jù)，新機(jī)器可以直接對(duì)外提供數(shù)據(jù)庫服務(wù)?；謴?fù)的數(shù)據(jù)量：通過對(duì)損壞系統(tǒng)的分析，重新實(shí)施RAC集群和進(jìn)行相關(guān)配置，順利恢復(fù)OracleASM中Oracle數(shù)據(jù)文件9TB左右，實(shí)現(xiàn)數(shù)據(jù)庫中數(shù)據(jù)0丟失（被刪除的數(shù)據(jù)中，無數(shù)據(jù)庫的直接業(yè)務(wù)數(shù)據(jù)，Oracle數(shù)據(jù)存儲(chǔ)在ASM中）。恢復(fù)新機(jī)器IP地址：10.10.26.11和10.10.26.12兩臺(tái)機(jī)器組成新OracleRAC集群。經(jīng)該公司工作，數(shù)據(jù)服務(wù)于2018年6月6日恢復(fù)使用，收取數(shù)據(jù)恢復(fù)服務(wù)費(fèi)10萬元。

14、小四科技（北京）有限公司情況說明及核心財(cái)務(wù)系統(tǒng)技術(shù)服務(wù)合同、中國光大銀行電子回單、發(fā)票，證實(shí)2018年6月4日，該公司接到鏈家公司關(guān)于提供OracleEBS系統(tǒng)恢復(fù)服務(wù)的需求，技術(shù)顧問及鏈家公司員工發(fā)現(xiàn)：4臺(tái)服務(wù)器均不能正常工作，同時(shí)安裝在這些服務(wù)器上的ORACLEEBS系統(tǒng)也不能正常提供業(yè)務(wù)服務(wù)即不能進(jìn)行正常的賬務(wù)處理操作。經(jīng)工作，該公司于2018年6月12日將EBS系統(tǒng)重新搭建，使得EBS系統(tǒng)恢復(fù)到事故前的全部功能，并收取服務(wù)費(fèi)人民幣8萬元。

15、鏈家公司情況說明，證實(shí)2018年6月4日14時(shí)35分，公司財(cái)務(wù)人員上報(bào)公司財(cái)務(wù)總賬系統(tǒng)（EBS系統(tǒng)）出現(xiàn)故障，無法登錄。后公司技術(shù)保障部門人員開始排查，現(xiàn)象是服務(wù)器登錄失敗，提示驗(yàn)證失敗。15時(shí)30分左右，經(jīng)過在服務(wù)器的管理卡登錄查看服務(wù)器狀況，發(fā)現(xiàn)有人登錄系統(tǒng)執(zhí)行了刪除命令。遠(yuǎn)程查詢公司專門用于EBS系統(tǒng)的2臺(tái)數(shù)據(jù)庫服務(wù)器（IP地址分別為10.10.26.33和10.10.26.34）和2臺(tái)應(yīng)用服務(wù)器（IP地址分別為10.200.28.96和10.200.28.97）的狀況，確認(rèn)4臺(tái)服務(wù)器被刪除的財(cái)務(wù)系統(tǒng)數(shù)據(jù)總大小為9TB，包括數(shù)據(jù)庫的備份數(shù)據(jù)，應(yīng)用的程序目錄和歸檔數(shù)據(jù)。因上述數(shù)據(jù)被刪除導(dǎo)致EBS系統(tǒng)無法登錄和服務(wù)不可用。經(jīng)初步判斷，系被人惡意刪除。當(dāng)天正是公司財(cái)務(wù)月結(jié)的關(guān)鍵時(shí)期，如果EBS系統(tǒng)不可用將直接導(dǎo)致當(dāng)月無法月結(jié)，如財(cái)務(wù)系統(tǒng)數(shù)據(jù)被刪除無法恢復(fù)將危及公司的正常運(yùn)營，令公司蒙受損失和風(fēng)險(xiǎn)。因數(shù)據(jù)恢復(fù)屬于專業(yè)性很強(qiáng)的技術(shù)類工作，公司并無此類數(shù)據(jù)恢復(fù)的人員和經(jīng)驗(yàn)，故緊急聘請(qǐng)杭州惜飛信息技術(shù)有限公司來完成財(cái)務(wù)數(shù)據(jù)恢復(fù)工作。當(dāng)天杭州惜飛公司派工程師前往現(xiàn)場進(jìn)行工作。對(duì)被破壞的服務(wù)器10.10.26.33和10.10.26.34組成的OracleRAC集群執(zhí)行數(shù)據(jù)恢復(fù)工作，共恢復(fù)數(shù)據(jù)文件9T。杭州惜飛信息技術(shù)有限公司收取公司數(shù)據(jù)恢復(fù)服務(wù)費(fèi)用10萬元。因EBS系統(tǒng)軟件和應(yīng)用程序均已被刪除，導(dǎo)致服務(wù)無法正常使用，需要重新搭建EBS系統(tǒng)，使其能正常提供服務(wù)，公司緊急聘請(qǐng)小四科技（北京）有限公司來完成EBS系統(tǒng)重建和恢復(fù)工作。當(dāng)天小四科技架構(gòu)師朱龍春會(huì)同公司同事到達(dá)光環(huán)新網(wǎng)IDC中心進(jìn)行工作?，F(xiàn)場發(fā)現(xiàn)EBS財(cái)務(wù)系統(tǒng)因文件被刪除不能正常提供業(yè)務(wù)服務(wù)和賬條處理操作。后經(jīng)小四科技同事的連續(xù)工作，在新的服務(wù)器重新搭建一套ORACLEEBS系統(tǒng)并安裝相關(guān)專業(yè)軟件。EBS財(cái)務(wù)系統(tǒng)直到6月12日才全部恢復(fù)到事故前的全部功能。小四科技（北京）有限公司收取公司系統(tǒng)恢復(fù)服務(wù)費(fèi)用8萬元。

16、鏈家公司關(guān)于案發(fā)IP地址追蹤核查工作情況說明，證實(shí)10.33.35.160的IP地址為鏈家福道辦公樓內(nèi)網(wǎng)有線網(wǎng)絡(luò)IP地址，根據(jù)IP地址分配信息鎖定為三樓辦公工位有線網(wǎng)絡(luò)接入。福道辦公工位有線網(wǎng)絡(luò)地址分配為動(dòng)態(tài)地址分配（DHCP服務(wù)），通過查詢6月4日當(dāng)天DHCP服務(wù)信息，并對(duì)照內(nèi)網(wǎng)客戶端IP地址管理服務(wù)（IPAM服務(wù)），可以確定IP地址對(duì)應(yīng)的MAC地址為EA-36-33-43-78-88，主機(jī)名為Yggdrasil。根據(jù)DHCP和IPAM數(shù)據(jù)以主機(jī)名為Yggdrasil反查2018年5月22日至6月4日的數(shù)據(jù)，獲得信息發(fā)現(xiàn)如下：根據(jù)IP地址和MAC地址對(duì)應(yīng)DHCP查詢信息，主機(jī)名為Yggdrasil的計(jì)算機(jī)在2018年5月22日10時(shí)43分首次接入鏈家福道辦公樓內(nèi)網(wǎng)辦公無線網(wǎng)絡(luò)，MAC地址為28-CF-E9-1C-48-13，無線網(wǎng)絡(luò)IP分配為10.33.76.115。同時(shí)，通過檢索公司內(nèi)網(wǎng)企業(yè)員工用戶身份認(rèn)證數(shù)據(jù)發(fā)現(xiàn)，該計(jì)算機(jī)于5月22日10時(shí)46分通過無線網(wǎng)絡(luò)進(jìn)行了企業(yè)員工身份認(rèn)證，認(rèn)證用戶名為×××（韓冰）。該認(rèn)證用戶名為鏈家員工企業(yè)郵箱前綴（固定且唯一），密碼為企業(yè)郵箱密碼。認(rèn)證后認(rèn)證服務(wù)會(huì)記錄網(wǎng)絡(luò)接入設(shè)備（計(jì)算機(jī)或手機(jī)）的MAC地址、IP地址、認(rèn)證用戶名、認(rèn)證時(shí)間。此外，根據(jù)IP地址和MAC地址對(duì)應(yīng)DHCP查詢信息，該MAC地址28-CF-E9-1C-48-13的計(jì)算機(jī)，在5月22日至5月28日8時(shí)29分期間分配的有線網(wǎng)絡(luò)IP地址為10.33.35.110。通過公司內(nèi)網(wǎng)上網(wǎng)行為管理系統(tǒng)查詢，5月28日8時(shí)15分，韓冰的蘋果電腦（主機(jī)名為Yggdrasil，MAC地址為28-CF-E9-1C-48-13）通過有線網(wǎng)絡(luò)IP地址10.33.35.110訪問瀏覽了http://soft.macx.cn/6216.htm網(wǎng)頁,該網(wǎng)頁為蘋果電腦WiFiSpoof工具下載網(wǎng)頁，該工具用于隨機(jī)更改MAC地址。后5月28日8時(shí)29分起，主機(jī)名為Yggdrasil的計(jì)算機(jī)的MAC地址便開始頻繁變更，導(dǎo)致有線和無線的IP地址也相繼變更。6月4日14時(shí)13分，該計(jì)算機(jī)接入無線網(wǎng)絡(luò)（IP地址為10.33.80.168，MAC地址為EA-36-33-43-78-88），但未進(jìn)行員工身份認(rèn)證。在14時(shí)17分（該時(shí)間為DHCP動(dòng)態(tài)地址分配服務(wù)系統(tǒng)時(shí)間，與上網(wǎng)行為管理系統(tǒng)時(shí)間相差為3分），該計(jì)算機(jī)接入有線網(wǎng)絡(luò)（IP地址為10.33.35.160，MAC地址為EA-36-33-43-78-88），該IP地址10.33.35.160即為案發(fā)時(shí)登錄和執(zhí)行數(shù)據(jù)刪除操作的IP地址。

17、關(guān)于主機(jī)名為Yggdrasil的計(jì)算機(jī)核查工作情況說明，證實(shí)經(jīng)查詢，自2018年1月1日0時(shí)至6月5日24時(shí)，主機(jī)名為Yggdrasil的計(jì)算機(jī)所對(duì)應(yīng)的全部MAC地址和分配的無線IP地址中，有且只有28-CF-E9-1C-48-13這個(gè)MAC地址和10.33.76.115這個(gè)無線IP進(jìn)行過無線網(wǎng)絡(luò)身份認(rèn)證，認(rèn)證的用戶名為×××，即為韓冰本人。其余的MAC地址和分配的無線IP地址均未進(jìn)行過無線網(wǎng)絡(luò)身份認(rèn)證。

18、鏈家公司關(guān)于破壞數(shù)據(jù)的主機(jī)名Yggdrasil的核查情況說明，證實(shí)公司工程師以時(shí)間點(diǎn)“2018年6月4日”和“IP10.33.35.160”等兩個(gè)要素，通過無線網(wǎng)絡(luò)認(rèn)證系統(tǒng)和上網(wǎng)行為管理系統(tǒng)進(jìn)行查詢發(fā)現(xiàn)，IP“10.33.35.160”在2018年6月4日15時(shí)28分41秒瀏覽了URL地址http：//www.moto8.com。經(jīng)分析，此網(wǎng)站是一個(gè)關(guān)于摩托的專業(yè)論壇，域名www.moto8.com的對(duì)應(yīng)的唯一IP地址58.218.199.90。在公司的上網(wǎng)行為設(shè)備上進(jìn)行2018年1月1日到6月30日分析訪問共發(fā)現(xiàn)記錄29條，其中2條無員工名、主機(jī)名為Yggdrasil，4條員工名為×××、主機(jī)名為Yggdrasil，其余18條員工名為mengdeyu。經(jīng)對(duì)公司在職人員名單查詢，mengdeyu為孟德宇，×××為韓冰。因登錄財(cái)務(wù)系統(tǒng)需要“root”權(quán)限，確認(rèn)孟德宇沒有此權(quán)限，且孟德宇所有的IP10.33.68.73均為無線網(wǎng)絡(luò)登錄，需要進(jìn)行密碼認(rèn)證，確認(rèn)孟德宇主機(jī)名沒有Yggdrasil。韓冰騎行摩托車上下班，平時(shí)表現(xiàn)出非常喜愛摩托車，×××對(duì)應(yīng)的網(wǎng)卡物理地址28-cf-e9-1c-48-13,IP地址10.33.76.115在2018年5月24日和5月28日登錄www.moto8.com網(wǎng)站時(shí)使用的主機(jī)名均為Yggdrasil。綜上，通過對(duì)2018年5月24日和5月28日的數(shù)據(jù)調(diào)查，可以確定×××賬號(hào)訪問www.moto8.com網(wǎng)站行為，其主機(jī)名為Yggdrasil，與刪除數(shù)據(jù)IP10.33.76.160主機(jī)名Yggdrasil相一致。

19、被告人韓冰的員工信息，證實(shí)韓冰的電子郵箱為×××@ke.com。

20、鏈家公司關(guān)于MAC地址EA-36-33-43-78-88核查工作情況說明，證實(shí)通過查詢2018年1月1日0時(shí)至6月5日24時(shí)全部動(dòng)態(tài)地址分配服務(wù)，并對(duì)照內(nèi)網(wǎng)客戶端IP地址管理服務(wù)，發(fā)現(xiàn)MAC地址EA-36-33-43-78-88只在2018年6月4日出現(xiàn)過，在14時(shí)13分接入無線網(wǎng)絡(luò)分配的IP地址10.33.80.168（接入無線網(wǎng)絡(luò)但并未進(jìn)行身份認(rèn)證），在14時(shí)17分接入有線網(wǎng)絡(luò)時(shí)分配的IP地址為10.33.35.160，對(duì)應(yīng)計(jì)算機(jī)主機(jī)名均為Yggdrasil。

21、鏈家公司情況說明，證實(shí)公司實(shí)際辦公地點(diǎn)為北京市海淀區(qū)開拓路11號(hào)福道大廈。公司定位執(zhí)行刪除數(shù)據(jù)的來源IP地址10.33.35.160的物理位置是福道大廈三層，約2000平方米范圍內(nèi)。

22、鏈家公司關(guān)于財(cái)務(wù)系統(tǒng)服務(wù)器刪除操作的情況說明，證實(shí)公司對(duì)IP為10.10.26.33的服務(wù)器操作命令日志進(jìn)行解析，發(fā)現(xiàn)文件刪除命令的相關(guān)操作記錄，2018年6月4日14時(shí)22分21秒至14時(shí)58分22秒進(jìn)行了用戶登錄、切換到“finance”用戶、以shred-u-z命令刪除/var/log/下所有文件并重復(fù)擦除、以rm-rf命令刪除文件、用戶登出等操作。對(duì)IP為10.10.26.34的服務(wù)器操作命令日志進(jìn)行解析，發(fā)現(xiàn)文件刪除命令的相關(guān)操作記錄，2018年6月4日14時(shí)23分29秒至14時(shí)53分11秒進(jìn)行了切換到finance用戶（該用戶有最高權(quán)限，可以執(zhí)行刪除操作）、以shred-u-z命令刪除/var/log/下所有文件并重復(fù)擦除、以rm-rf命令刪除文件等操作。

23、鏈家公司檢索主機(jī)名詳單，證實(shí)2018年5月28日7時(shí)51分，IP地址10.33.35.110對(duì)應(yīng)客戶端ID為28-CF-E9-1C-48-13，主機(jī)名為Yggdrasil；2018年6月4日14時(shí)13分，IP地址10.33.80.168對(duì)應(yīng)客戶端ID為EA-36-33-43-78-88，主機(jī)名為Yggdrasil；2018年6月4日14時(shí)17分，IP地址10.33.35.160對(duì)應(yīng)客戶端ID為EA-36-33-43-78-88，主機(jī)名為Yggdrasil。

24、鏈家公司關(guān)于財(cái)務(wù)系統(tǒng)數(shù)據(jù)庫漏洞情況說明，證實(shí)公司財(cái)務(wù)總賬系統(tǒng)四臺(tái)數(shù)據(jù)庫服務(wù)器在2018年6月4日案發(fā)前均已采取安全防護(hù)措施，不存在saltminion、crd、ldap漏洞且無法通過外網(wǎng)直接連接，只能通過內(nèi)網(wǎng)訪問。2018年6月4日案發(fā)當(dāng)天，內(nèi)網(wǎng)IP為10.33.35.160的終端違規(guī)以root用戶身份登錄并執(zhí)行數(shù)據(jù)刪除操作的行為與上述漏洞無關(guān)。

25、鏈家公司關(guān)于我公司財(cái)務(wù)總賬系統(tǒng)數(shù)據(jù)庫登錄情況說明，證實(shí)2018年6月4日，公司財(cái)務(wù)總賬系統(tǒng)數(shù)據(jù)庫中只有兩個(gè)IP登錄痕跡，其中IP為10.33.35.160的終端違規(guī)以root用戶身份登錄，非法執(zhí)行了數(shù)據(jù)刪除操作，經(jīng)過追蹤核查證明，該IP即為韓冰使用，另一個(gè)IP為10.200.17.35的設(shè)備為公司堡壘機(jī)，運(yùn)維管理人員均經(jīng)過該堡壘機(jī)登錄財(cái)務(wù)總賬系統(tǒng)執(zhí)行命令操作。

26、MAC地址EA-36-33-43-78-88于2018年6月4日所有行為日志，證實(shí)該地址于2018年6月4日15時(shí)28分41秒登錄www.moto8.com。

27、員工核查情況說明，證實(shí)鏈家網(wǎng)（北京）科技有限公司對(duì)張某、楊某、高某、薛某2018年5月15日至2018年6月15日上網(wǎng)行為進(jìn)行核查，調(diào)取四人2018年6月4日訪問行為日志，未發(fā)現(xiàn)四人使用IP“10.33.35.160”、未發(fā)現(xiàn)四人使用“Yggdrasil”的主機(jī)名，四人均沒有對(duì)www.moto8.com的訪問記錄。

28、勞動(dòng)合同、鏈家公司電子郵件、會(huì)議紀(jì)要、微信群聊天記錄，證實(shí)韓冰于2018年2月1日入職鏈家公司，擔(dān)任高級(jí)工程師。2018年5月22日到福道大廈辦公。

29、北京中海義信信息技術(shù)有限公司司法鑒定所司法鑒定意見書及情況說明，證實(shí)經(jīng)對(duì)服務(wù)器本地時(shí)間（系統(tǒng)BIOS時(shí)間）與Internet時(shí)間（國家授時(shí)中心時(shí)間）進(jìn)行比對(duì)，檢材編號(hào)為ZHYX-2019-1750-C（即IP地址標(biāo)識(shí)為10.10.26.33的服務(wù)器）的服務(wù)器因無法開機(jī)，未進(jìn)行檢驗(yàn)。本次鑒定需要服務(wù)器加電、進(jìn)入BIOS并查看系統(tǒng)時(shí)間，然后與國家授時(shí)中心服務(wù)器時(shí)間進(jìn)行比對(duì)，因檢材編號(hào)為ZHYX-2019-1750-C的服務(wù)器在加電后無法進(jìn)入BIOS，說明服務(wù)器可能存在硬件故障，所以無法進(jìn)行后續(xù)檢驗(yàn)。經(jīng)對(duì)視頻監(jiān)控系統(tǒng)的本地系統(tǒng)時(shí)間及日志信息進(jìn)行檢驗(yàn)，結(jié)果為視頻監(jiān)控系統(tǒng)的本地系統(tǒng)時(shí)間比Internet時(shí)間（國家授時(shí)中心時(shí)間）時(shí)間快18秒；系統(tǒng)日志信息顯示，2019年9月11日系統(tǒng)用戶調(diào)減系統(tǒng)時(shí)間5分12秒。

30、鏈家公司情況說明，證實(shí)財(cái)務(wù)總賬系統(tǒng)（EBS系統(tǒng)）由四臺(tái)服務(wù)器搭建，IP地址分別為：10.200.28.96、10.200.28.97、10.10.26.33、10.10.26.34，公司在各臺(tái)服務(wù)器使用時(shí)未與標(biāo)準(zhǔn)時(shí)間進(jìn)行校準(zhǔn)。

31、北京中海義信信息技術(shù)有限公司司法鑒定所出具的司法鑒定意見書，證實(shí)對(duì)被告人韓冰持有的兩部手機(jī)進(jìn)行鑒定，因現(xiàn)有技術(shù)無法破解IPhone手機(jī)屏鎖密碼，未提取到機(jī)身內(nèi)有效數(shù)據(jù)。MINOTEPRO手機(jī)中未提取到涉案信息。

32、扣押決定書、扣押筆錄、扣押清單、扣押物品照片、發(fā)還清單，證實(shí)公安機(jī)關(guān)于2018年7月31日扣押被告人韓冰蘋果筆記本電腦1臺(tái)。2018年8月17日扣押高某、薛某、張某、楊某筆記本電腦各1臺(tái)，2018年10月24日，將上述筆記本電腦發(fā)還薛某、高某、張某、楊某。

33、受案登記表，證實(shí)2018年7月12日公安機(jī)關(guān)受理鏈家公司報(bào)案的情況。

34、到案經(jīng)過，證實(shí)被告人韓冰于2018年7月31日被抓獲歸案。

35、被告人韓冰身份信息，證實(shí)被告人韓冰的身份情況。

經(jīng)當(dāng)庭質(zhì)證，被告人韓冰對(duì)證據(jù)2提出異議，稱刪除9TB數(shù)據(jù)需要10小時(shí)以上；對(duì)證據(jù)7提出異議，稱其通過郵件把root權(quán)限發(fā)給過許某;對(duì)證據(jù)11提出異議，稱其電腦沒有登錄服務(wù)器就沒有能力對(duì)服務(wù)器進(jìn)行任何操作，主機(jī)名不具有唯一性，WiFiSpoof軟件如不能對(duì)服務(wù)器進(jìn)行操作，則與本案無關(guān)，不下載軟件也可修改Mac地址，SHRED命令MAC系統(tǒng)不能使用，鑒定中也沒有這兩個(gè)命令的執(zhí)行時(shí)間；對(duì)證據(jù)16提出異議，稱MAC地址是唯一的，沒有軟件可以修改只能虛擬，且不需要任何軟件，只需一個(gè)命令，下載WifiSpoof多此一舉，主機(jī)名可以修改；對(duì)證據(jù)18、26提出異議，稱其沒有訪問過moto8網(wǎng)站；對(duì)證據(jù)23提出異議，稱MAC地址不可能修改，有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)的MAC地址不可能一樣，其筆記本電腦沒有有線網(wǎng)絡(luò)接口，其在公司從未使用過有線網(wǎng)絡(luò)；對(duì)其他證據(jù)未提出實(shí)質(zhì)性異議。辯護(hù)人對(duì)證據(jù)2提出異議，稱薛某證實(shí)許某也有登錄權(quán)限；對(duì)證據(jù)7、11、26的質(zhì)證意見同被告人韓冰；對(duì)證據(jù)16提出異議，稱監(jiān)控時(shí)間顯示14時(shí)17分韓冰沒有任何操作電腦的行為；對(duì)證據(jù)18的效力提出異議；對(duì)其他證據(jù)未提出實(shí)質(zhì)性異議。

辯護(hù)人當(dāng)庭出示了以下證據(jù)：
1、鏈家公司三層休閑吧的監(jiān)控錄像，證實(shí)錄像時(shí)間2018年6月4日14時(shí)11分44秒被告人韓冰坐到休閑吧椅子上打開并操作電腦，14時(shí)17分35秒合上電腦離開。
2、鏈家公司三層西三環(huán)北的監(jiān)控錄像，證實(shí)錄像時(shí)間2018年6月4日14時(shí)42分32秒被告人韓冰進(jìn)入監(jiān)控畫面在過道內(nèi)走動(dòng)，14時(shí)42分54秒離開監(jiān)控畫面，14時(shí)51分39秒進(jìn)入監(jiān)控畫面在過道內(nèi)走動(dòng)、打水、與同事說話，14時(shí)53分38秒離開監(jiān)控畫面。

經(jīng)當(dāng)庭質(zhì)證，公訴人對(duì)監(jiān)控錄像的真實(shí)性均無異議，對(duì)證據(jù)1認(rèn)為該監(jiān)控錄像證明被告人韓冰離開公共區(qū)域時(shí)合上電腦但沒有關(guān)機(jī)，從無線網(wǎng)絡(luò)區(qū)域走向有線網(wǎng)絡(luò)區(qū)域，印證了無線網(wǎng)絡(luò)IP地址向有線網(wǎng)絡(luò)IP地址的切換；對(duì)證據(jù)2認(rèn)為監(jiān)控錄像時(shí)間未與計(jì)算機(jī)時(shí)間校準(zhǔn)，刪除命令最長一次間隔了六分鐘，在時(shí)間沒有校準(zhǔn)的情況下不能以被告人韓冰短暫離開電腦否認(rèn)他實(shí)施了刪除行為。被告人韓冰對(duì)上述證據(jù)未提出異議。

法庭認(rèn)為，控辯雙方當(dāng)庭出示的證據(jù)形式及來源合法，內(nèi)容客觀真實(shí)，本院予以確認(rèn)，對(duì)于被告人韓冰及其辯護(hù)人的質(zhì)證意見將在本院認(rèn)為部分予以綜合評(píng)述。

本院認(rèn)為，被告人韓冰違反國家規(guī)定，對(duì)計(jì)算機(jī)信息系統(tǒng)中存儲(chǔ)的數(shù)據(jù)和應(yīng)用程序進(jìn)行刪除，造成計(jì)算機(jī)信息系統(tǒng)不能正常運(yùn)行，后果特別嚴(yán)重，其行為已構(gòu)成破壞計(jì)算機(jī)信息系統(tǒng)罪，依法應(yīng)予懲處。北京市海淀區(qū)人民檢察院指控被告人韓冰犯破壞計(jì)算機(jī)信息系統(tǒng)罪事實(shí)清楚，證據(jù)確實(shí)充分，指控罪名成立。針對(duì)被告人韓冰未實(shí)施指控行為的辯解及其辯護(hù)人所持無罪辯護(hù)意見，經(jīng)查，根據(jù)國家信息中心電子數(shù)據(jù)司法鑒定中心司法鑒定意見書，2018年6月4日14時(shí)至15時(shí)期間遠(yuǎn)程以root身份登錄鏈家公司服務(wù)器并通過執(zhí)行rm、shred命令刪除數(shù)據(jù)文件、擦除操作日志的終端用戶的IP地址為10.33.35.160,該IP地址于6月4日14時(shí)17分被分配給MAC地址為EA-36-33-43-78-88、主機(jī)名為Yggdrasil的設(shè)備使用，該IP地址為鏈家公司福道大廈3樓交換機(jī)所覆蓋網(wǎng)絡(luò)區(qū)域。根據(jù)被告人韓冰的供述及證人周某、張某、高某、楊某、薛某等人證言、監(jiān)控錄像等證據(jù)，被告人韓冰具有root權(quán)限且6月4日在IP地址10.33.35.160的網(wǎng)絡(luò)覆蓋區(qū)域內(nèi)上班。根據(jù)北京中海義信信息技術(shù)有限公司司法鑒定所對(duì)被告人韓冰電腦所做鑒定，被告人韓冰電腦的主機(jī)名為Yggdrasil，與登錄服務(wù)器執(zhí)行刪除、擦除命令的電腦主機(jī)名一致；被告人韓冰電腦的MAC地址雖不是EA-36-33-43-78-88，但其電腦中安裝有用于更改MAC地址的軟件WiFiSpoof，且在其電腦的相關(guān)文件中檢索到與MAC地址EA-36-33-43-78-88相關(guān)記錄4條。另經(jīng)北京通達(dá)法正司法鑒定中心對(duì)鏈家公司具有root權(quán)限的另四名員工薛某、高某、張某、楊某的筆記本電腦進(jìn)行鑒定，該四人電腦的主機(jī)名均不是Yggdrasil，MAC地址均不是EA-36-33-43-78-88，四人電腦2018年6月4日的行為日志中均未發(fā)現(xiàn)有登錄財(cái)務(wù)系統(tǒng)執(zhí)行shred、rm命令的操作。被告人韓冰到案后未配合公安機(jī)關(guān)查明案件事實(shí)，在偵查初期拒絕提供電腦密碼，后雖提供了電腦密碼，但因密碼錯(cuò)誤其電腦仍無法開機(jī)，公安機(jī)關(guān)系通過技術(shù)手段破解被告人韓冰電腦而進(jìn)行鑒定。故現(xiàn)有證據(jù)足以證實(shí)被告人韓冰實(shí)施了刪除鏈家公司財(cái)務(wù)系統(tǒng)服務(wù)器程序數(shù)據(jù)的行為。根據(jù)證人周某證言及杭州惜飛信息技術(shù)有限公司、小四科技（北京）有限公司情況說明、銀行電子回單、發(fā)票、鏈家公司情況說明等證據(jù)，鏈家公司為恢復(fù)財(cái)務(wù)系統(tǒng)的正常運(yùn)行，支付給杭州惜飛信息技術(shù)有限公司及小四科技（北京）有限公司共計(jì)18萬元的數(shù)據(jù)及系統(tǒng)恢復(fù)服務(wù)費(fèi)，被告人韓冰的行為給鏈家公司造成的經(jīng)濟(jì)損失屬于后果特別嚴(yán)重，故被告人韓冰的行為符合破壞計(jì)算機(jī)信息系統(tǒng)罪的構(gòu)成要件。鏈家公司為恢復(fù)財(cái)務(wù)系統(tǒng)數(shù)據(jù)、功能而支出的18萬元費(fèi)用系必要費(fèi)用，辯護(hù)人所提該費(fèi)用夸大真實(shí)修復(fù)費(fèi)用的辯護(hù)意見未提供相應(yīng)證據(jù)，公安機(jī)關(guān)介入本案的時(shí)間并不影響公安機(jī)關(guān)提取證據(jù)的效力，故對(duì)被告人韓冰的辯解及其辯護(hù)人的辯護(hù)意見，本院均不予采納。依照《中華人民共和國刑法》第二百八十六條第一款、第二款之規(guī)定，判決如下：

被告人韓冰犯破壞計(jì)算機(jī)信息系統(tǒng)罪，判處有期徒刑七年。

（刑期從判決執(zhí)行之日起計(jì)算。判決執(zhí)行以前先行羈押的，羈押一日折抵刑期一日；即自2018年7月31日起至2025年7月30日止。）

如不服本判決，可在接到判決書的第二日起十日內(nèi)，通過本院或者直接向北京市第一中級(jí)人民法院提出上訴。書面上訴的，應(yīng)當(dāng)提交上訴狀正本一份，副本一份。

審　判　長　　鄭紅艷
人民陪審員　　袁　衛(wèi)
人民陪審員　　邢宇靜
二〇二〇年十一月四日
書　記　員　　王　玨