淺談網(wǎng)絡(luò)安全中的網(wǎng)絡(luò)犯罪

邱波

南京森林警察學(xué)院 江蘇 210046

0 前言

隨著 Internet的迅猛發(fā)展，人們的許多活動或多或少在與網(wǎng)絡(luò)發(fā)生關(guān)系。由于 Internet的互連性，使得信息共享的程度進一步提高，而信息共享和信息安全是一對矛盾，因此網(wǎng)絡(luò)中的信息安全問題也日益突出。不僅要從法律上對危害信息安全的行為進行立法規(guī)范，還要通過先進的技術(shù)手段對已經(jīng)發(fā)生的網(wǎng)絡(luò)犯罪進行偵破，并對即將發(fā)生的網(wǎng)絡(luò)犯罪進行控制，從而減少網(wǎng)絡(luò)犯罪的可能。

1 關(guān)于網(wǎng)絡(luò)信息安全問題

互聯(lián)網(wǎng)絡(luò)是以統(tǒng)一的 TCP/IP協(xié)議為規(guī)則運作的，是一個對全世界所有國家開放的網(wǎng)絡(luò)，任何團體或個人都可以在網(wǎng)上方便地傳送和獲取各種各樣的信息。而這些信息中有些是開放的，如廣告、公共信息等；有些是保密的，如：私人間的通信，政府及軍事部門、商業(yè)秘密等。

網(wǎng)絡(luò)在為人們提供便利、帶來效益的同時，也使人類面臨著信息安全方面的巨大挑戰(zhàn)。實際上，安全問題早已警鐘頻頻：網(wǎng)絡(luò)非法入侵、重要資料失竊、網(wǎng)絡(luò)系統(tǒng)癱瘓等惡性事件經(jīng)常發(fā)生，據(jù)有關(guān)數(shù)據(jù)表明，在全球平均每 20秒就發(fā)生一次網(wǎng)上入侵事件，有近80%的公司至少每周在網(wǎng)上要被大規(guī)模的入侵一次。

2 網(wǎng)絡(luò)犯罪

相當多的危及信息安全的行為，如黑客對計算機系統(tǒng)的侵入而造成信息安全的破壞，或通過傳播計算機病毒而使計算機信息系統(tǒng)不能正常運行，造成的后果可能非常大，實際上這些行為已經(jīng)屬于一種刑事犯罪行為，這就是人們通常所說的網(wǎng)絡(luò)犯罪。網(wǎng)絡(luò)犯罪指的是行為人未經(jīng)許可對他人電腦系統(tǒng)或資料庫的攻擊和破壞，或利用網(wǎng)絡(luò)進行經(jīng)濟、刑事等犯罪。由于網(wǎng)絡(luò)犯罪不僅嚴重危害計算機及網(wǎng)絡(luò)數(shù)據(jù)和信息的安全，它所造成的經(jīng)濟損失、社會危害是傳統(tǒng)犯罪所不可比擬的，它已成為世界各國共同面臨的重大“信息問題”。

3 信息安全問題的刑法控制

我們知道，危及國家、企業(yè)和個人信息安全的因素很多，但計算機犯罪危害最甚，它們是信息安全的最大殺手。我們不能僅僅限于行政法律法規(guī)的控制，還要借助于刑法的控制，否則就不能適應(yīng)控制日益猖獗的計算機犯罪的需要。

一般說來，刑法作為一種規(guī)范性的手段，它的運用具有滯后性的特點，即它通?？偸窃谀骋晃：ι鐣男袨橐呀?jīng)不為其它法律所調(diào)整或者不足以調(diào)整的情形下，作為一種更為強制性的調(diào)整手段出現(xiàn)。由于刑法采用的是刑罰手段，所以對網(wǎng)絡(luò)信息安全問題，尤其對計算機犯罪問題來說，刑法控制是最具強制性、最為嚴厲的手段，它在整個法律控制體系中起到一種保障和后盾的作用。

網(wǎng)絡(luò)犯罪是計算機犯罪的一種形式或是所處的一個階段，而且就目前來看，是主要的犯罪形式或是當代犯罪階段。關(guān)于計算機犯罪的刑事立法，我國刑法典有三個條文的規(guī)定。

(1) 第285條：非法侵入計算機信息系統(tǒng)罪

違反國家規(guī)定，侵入國家事務(wù)、國防建設(shè)、尖端科學(xué)技術(shù)領(lǐng)域的計算機信息系統(tǒng)的，處三年以下有期徒刑或者拘役。

(2) 第286條：破壞計算機信息系統(tǒng)罪

第1款：違反國家規(guī)定，對計算機信息系統(tǒng)功能進行刪除、修改、增加、干擾，造成計算機信息系統(tǒng)不能正常運行，后果嚴重的，處五年以下有期徒刑或者拘役；后果特別嚴重的，處五年以上有期徒刑。

第2款：違反國家規(guī)定，對計算機信息系統(tǒng)中存儲、處理或者傳輸?shù)臄?shù)據(jù)和應(yīng)用程序進行刪除、修改、增加的操作，后果嚴重的，依照前款的規(guī)定處罰。

第3款：故意制作、傳播計算機病毒等破壞性程序，影響計算機系統(tǒng)正常運行，后果嚴重的，依照第一款的規(guī)定處罰。

(3) 第287條：利用計算機實施的傳統(tǒng)犯罪

利用計算機實施金融詐騙、盜竊、貪污、挪用公款、竊取國家秘密或者其他犯罪的，依照本法有關(guān)規(guī)定定罪處罰。

三個法律條款：非法侵入計算機系統(tǒng)罪(第 285條)，破壞計算機信息系統(tǒng)功能、破壞計算機信息系統(tǒng)數(shù)據(jù)或應(yīng)用程序罪，制作、傳播計算機病毒等破壞計算機程序罪(第286條)以及屬于廣義計算機犯罪范疇的利用計算機實施的犯罪(第287條)等。這些對預(yù)防和打擊計算機違法犯罪起到了積極的作用，但由于這三個條款只作了較原則性的規(guī)定，且具有較強的專業(yè)性，因此對有關(guān)計算機犯罪的定罪量刑尺度把握較難。

4 網(wǎng)絡(luò)犯罪的偵破

網(wǎng)絡(luò)犯罪是一種對存在于虛擬空間的信息進行侵犯的行為。盡管這種行為侵犯的只是肉眼見不到的比特，但犯罪分子在實施侵犯行為的過程中卻必須使用電子計算機等物理設(shè)備，這些物理設(shè)備總是存在于一定的物理空間，因而網(wǎng)絡(luò)犯罪同樣有明顯的犯罪現(xiàn)場，而且大多數(shù)網(wǎng)絡(luò)犯罪現(xiàn)場是有勘查價值的。在我們發(fā)現(xiàn)網(wǎng)絡(luò)犯罪線索后，只要有條件就應(yīng)想方設(shè)法對犯罪現(xiàn)場進行勘查。

4.1 臨場初步處置

當具備趕赴現(xiàn)場的條件后，偵查人員應(yīng)盡快行動。臨場后具體應(yīng)做好以下幾方面的工作：

(1) 封鎖現(xiàn)場，進行人、機、物品之間的隔離

要對現(xiàn)場實行人、機隔離，人、物隔離。將現(xiàn)場內(nèi)所有人員迅速帶離現(xiàn)場，并立即檢查他們隨身攜帶的物品，重點是書面記錄、通訊工具、磁卡類可以讀寫的卡片、磁介質(zhì)(軟盤、光盤等)。

(2) 加強現(xiàn)場保護

迅速派人看管配電室，避免發(fā)生突然斷電導(dǎo)致系統(tǒng)運行中的各種數(shù)據(jù)結(jié)果丟失；看管現(xiàn)場以及現(xiàn)場周圍的各種電信終端設(shè)施，檢查現(xiàn)場及周圍有沒有強磁場和可以產(chǎn)生強磁場的物品，妥善保管各種磁介質(zhì)，避免被各種磁場消磁。

4.2 采取勘查措施

在臨場初步處置的基礎(chǔ)上，應(yīng)進一步迅速采取措施獲取證據(jù)。

(1) 實地勘驗

通過實地勘驗收集現(xiàn)場上遺留的原始資料、數(shù)據(jù)參數(shù)等?？彬炦^程中主要是針對“硬件、軟件、管理制度和人員狀況”等方面進行取證調(diào)查。這其中既包括傳統(tǒng)意義上的取證(如：勘驗手印、足跡、工具痕跡；拍攝現(xiàn)場照片、繪制現(xiàn)場圖等)，又包括對“網(wǎng)絡(luò)證據(jù)”的勘驗。

“網(wǎng)絡(luò)證據(jù)”，主要是指在硬件、軟件、管理制度等方面可以反映網(wǎng)絡(luò)犯罪行為真實情況的物證、書證及視聽資料等。比如，在數(shù)據(jù)傳送與接收過程中形成的電磁記錄與命令記錄；現(xiàn)場上各種系統(tǒng)硬件的連接狀態(tài)、連接方式；屏幕顯示的系統(tǒng)運行參數(shù)、運行結(jié)果；打印輸出的結(jié)果；工作人員的日志記錄等。對這些證據(jù)的勘驗，常用的有記錄、封存、備份、收集等手段。

記錄，就是用適當?shù)姆绞綄F(xiàn)場上各種儀器設(shè)備的連接、配置狀況和運行狀態(tài)，各種電纜線的布線方式(串、并聯(lián)方式、有無破損斷裂)，各種插頭、插座、開關(guān)的工作狀態(tài)等等情況記錄下來。通過原始狀態(tài)與現(xiàn)場遺留狀況的比較，發(fā)現(xiàn)各種異常現(xiàn)象或者推斷作案人使用的作案工具、作案手法。如進一步審查監(jiān)視器所顯示的任何證據(jù)，如果有必要，拍攝下計算機屏幕上顯示的內(nèi)容，并在計算機專業(yè)人員的幫助下切斷與計算機相連的電話線或閉路線，在不會造成數(shù)據(jù)丟失的情況下，拔掉墻上的電源，一般不能用啟動開關(guān)去關(guān)閉計算機。拍攝下計算機尾部的線路結(jié)構(gòu)。斷電前標上線路系統(tǒng)，將端口和插槽作上標記。如果所查獲的不只一個系統(tǒng)，應(yīng)將不同的零部件分別放置，并作標記。

封存，就是對現(xiàn)場上可能記錄有犯罪行為過程和真實情況的物品、數(shù)據(jù)等證據(jù)，采取強制性手段維持其現(xiàn)有狀態(tài)，以備進一步的分析。封存的對象主要包括：現(xiàn)場內(nèi)的信息系統(tǒng)，各種可能涉及到的磁介質(zhì)，上機記錄，命令記錄，內(nèi)部人員使用的工作記錄，現(xiàn)場上的各種打印輸出結(jié)果，傳真打印件，程序備份和數(shù)據(jù)備份等等。封存當中應(yīng)當注意的是：封存正在運行的信息系統(tǒng)，要事先做好系統(tǒng)工作狀態(tài)、系統(tǒng)運行參數(shù)的記錄，以防關(guān)機以后無法恢復(fù)。

備份，主要是指偵查人員對不能停止運行而又沒有備用應(yīng)急措施的信息系統(tǒng)進行數(shù)據(jù)復(fù)制，以便盡快恢復(fù)系統(tǒng)正常工作。備份的對象主要是：系統(tǒng)中的相關(guān)數(shù)據(jù)、系統(tǒng)日志文件等。備份當中應(yīng)注意的問題是：對于磁介質(zhì)中所有的數(shù)據(jù)按照其物理存放格式進行全盤復(fù)制，而不是簡單地拷貝文件。

收集，就是將現(xiàn)場上遺留的原始資料、數(shù)據(jù)參數(shù)等“網(wǎng)絡(luò)證據(jù)”資料進行提取、包裝。收集的對象主要是：計算機軟、硬件，各種輸入和輸出設(shè)備，調(diào)制解調(diào)器，各種操作手冊，各種連接線，同時還要注意收集計算機附近遺留的可能寫有計算機指令的紙片等。在對網(wǎng)絡(luò)犯罪的物證、書證及視聽資料等進行包裝運輸時，要注意避免靜電干擾。不能用塑料包裝，并將其無線電設(shè)備遠離磁場放置，避免電子儲存的數(shù)據(jù)丟失。保管所繳獲器材的房間應(yīng)有空調(diào)裝置。另外，還應(yīng)將立體聲喇叭之類的磁源保管好，不和上述器材放到一塊。

(2) 實地訪問

網(wǎng)絡(luò)犯罪的現(xiàn)場勘查當中，實地訪問是一種行之有效的獲取證據(jù)、發(fā)現(xiàn)線索的手段。實地訪問的對象主要是當事人和知情人。例如：計算機操作人員，分管領(lǐng)導(dǎo)，技術(shù)維護人員等。訪問內(nèi)容應(yīng)當根據(jù)訪問對象有策略地加以變化，概括起來包括以下內(nèi)容：系統(tǒng)的運行狀態(tài)，曾經(jīng)進行過哪些操作和維修，操作人員和技術(shù)人員以及分管領(lǐng)導(dǎo)的思想表現(xiàn)；技術(shù)水平高低、分別能夠接觸哪些軟硬件內(nèi)容，如何發(fā)現(xiàn)系統(tǒng)出現(xiàn)的異?，F(xiàn)象、采取過哪些處置措施等等。

4.3 對證據(jù)資料進行技術(shù)分析

在前一階段勘查取證的基礎(chǔ)上，偵查人員可以對所得的相關(guān)證據(jù)資料(例如：磁介質(zhì)、系統(tǒng)備份、數(shù)據(jù)備份)進行技術(shù)分析，從而發(fā)現(xiàn)作案人是在何時、采取何種手段、從哪些方面對網(wǎng)絡(luò)系統(tǒng)進行了哪些侵害，從中選取有價值的偵查線索。目前，對相關(guān)證據(jù)資料進行技術(shù)分析的手段多種多樣，其中常用的有以下幾類：

(1) 對比分析技術(shù)

這種技術(shù)主要是將收集到的程序、數(shù)據(jù)的備份與當前運行的程序、運行結(jié)果數(shù)據(jù)進行對比，從而發(fā)現(xiàn)異常狀況，進而分析是否有被篡改的痕跡。

(2) 關(guān)鍵字查詢技術(shù)

這種技術(shù)主要用于對系統(tǒng)硬盤備份進行分析。在偵查人員所做的對現(xiàn)場系統(tǒng)硬盤的備份當中，以某些具有特殊功能的指令語句為關(guān)鍵字進行匹配查詢，查詢的結(jié)果將說明是否存在這一特殊功能的指令語句，偵查人員可以從中發(fā)現(xiàn)問題。

(3) 數(shù)據(jù)分析技術(shù)

對于被作案人刪除、修改的文件和磁盤數(shù)據(jù)，可以通過數(shù)據(jù)分析技術(shù)進行恢復(fù)，或者查明文件被修改移動的時間、修改前的狀態(tài)和屬性。這類技術(shù)包括：被刪改、破壞數(shù)據(jù)的恢復(fù)技術(shù)；殘留數(shù)據(jù)分析技術(shù)；文件“指紋特征數(shù)據(jù)”分析技術(shù)。

(4) 文件內(nèi)容分析技術(shù)

在某些軟件運行過程中，經(jīng)常會產(chǎn)生一些記錄軟件運行狀態(tài)和結(jié)果、數(shù)據(jù)操作過程的文件。例如：臨時文件(.TMP)、備份文件(.BAK)、交換文件(.SWP)；IE等網(wǎng)絡(luò)瀏覽工具的地址簿當中記錄了瀏覽過的網(wǎng)絡(luò)站點地址和圖片內(nèi)容。這些文件內(nèi)容可以為偵查工作提供線索和證據(jù)。

5 總結(jié)

有效地打擊和防范網(wǎng)絡(luò)犯罪，是當代社會必須承擔的一項時代使命。我們只有利用先進的技術(shù)手段和法律對危害網(wǎng)絡(luò)安全的行為進行偵破和嚴懲，才能減少網(wǎng)絡(luò)犯罪的發(fā)生，從而使我們的網(wǎng)絡(luò)相對安全一些。

[1] http://www.sina.com.

[2] 于學(xué)德,韓晶.試論網(wǎng)絡(luò)犯罪的特點及其防范.法律文獻信息與研究.1998.

[3] 陳興實,付東陽.計算機犯罪.計算機犯罪的對策.北京:中國檢查出版社.1998.

[4] 韋恩 W.貝尼特,凱倫 M.希斯.犯罪偵查[M]北京:群眾出版社.2000.