我國互聯(lián)網灰色產業(yè)鏈分析及其法律應對措施

陳明奇

(中國科學院信息辦，北京 100864)

我國互聯(lián)網灰色產業(yè)鏈分析及其法律應對措施

陳明奇

(中國科學院信息辦，北京 100864)

在互聯(lián)網成為國家經濟重要組成部分的同時，互聯(lián)網上的各種灰色產業(yè)鏈也隨之興起而不斷發(fā)展，對國家網絡信息安全、互聯(lián)網經濟等帶來不可忽視的影響，給法律上如何應對也帶來了新的挑戰(zhàn)。因此,研究分析當前主要互聯(lián)網灰色產業(yè)鏈的流程、危害、特點等，采取相應措施，加強公民個人信息的法律保護，對推進我國整體信息安全法律體系建設具有重要意義。

互聯(lián)網 灰色產業(yè)鏈 法律

一、 我國互聯(lián)網網絡信息安全態(tài)勢

互聯(lián)網已成為我國重要的信息基礎設施,在推動經濟發(fā)展、社會進步、人民生活水平提高等方面發(fā)揮著越來越重要的作用?；ヂ?lián)網產業(yè)成為我國重要產業(yè)之一。而且，互聯(lián)網對網民的日常生活也發(fā)生了重要影響，電子商務、網絡媒體、網絡通信、網絡社區(qū)、網絡娛樂等互聯(lián)網業(yè)務蓬勃發(fā)展，并在網民中普及。截止到2010年12月底，中國網民人數(shù)超過4.57億，互聯(lián)網普及率達到34.3%。我國互聯(lián)網的普及率超過了世界平均水平。商務類應用用戶規(guī)模繼續(xù)領漲。網絡購物用戶規(guī)模年增幅48.6%，是增幅最快的應用。網上支付、網上銀行的使用率迅速提升，更多的經濟活動已步入了互聯(lián)網時代。[1]

從整體上看，我國互聯(lián)網整體網絡信息安全較為平穩(wěn)，但安全形勢仍比較嚴峻，面臨一些突出和典型威脅，主要是：

(一) 域名系統(tǒng)和拒絕服務攻擊凸顯互聯(lián)網軟肋

我國國家域名服務體系由域名服務系統(tǒng)、國家頂級域名服務系統(tǒng)、其他各級域名服務系統(tǒng)、遞歸域名服務系統(tǒng)等四個環(huán)節(jié)組成，包括超過4萬臺(套)以上的重要域名服務器，服務1700多萬個各類域名，上述任何一個環(huán)節(jié)以及任何一部分重要域名服務器出問題，都可能導致這樣或那樣的問題，甚至引發(fā)骨牌式連鎖反應以及雪崩式的危險后果，以至于危害到我國國家信息安全及整個互聯(lián)網信息網絡安全。

2009年5月19日，我國9省互聯(lián)網DNS解析服務發(fā)生故障。2010年1月12日，百度公司搜索域名無法訪問。2010年4月8日，一家名為IDC China Telecommunication的小型中國網絡服務供應商首先發(fā)出了錯誤的路由數(shù)據(jù)，然后經過中國電信的二次傳播，擴散到了整個互聯(lián)網，這一事件導致全球的互聯(lián)網服務提供商都受到了影響。該事件被列入到去年十一月份向美國國會提交的2010年美中經濟和安全審議委員會報告中。由于中國電信發(fā)出錯誤的路由信息，導致全球15%的互聯(lián)網流量數(shù)據(jù)跳轉至中國電信服務器傳輸，包括美國參議院、國防部以及國家航空及太空總署(NASA)等許多網站的電子郵件全部“繞道”中國傳輸，整個過程持續(xù)了18分鐘。中國電信表示，該起信息重定向事件是一起事故。上述事件，突出反映了作為互聯(lián)網運行基礎的域名系統(tǒng)仍面臨較大安全風險，包括頻頻出現(xiàn)的拒絕服務攻擊。

(二)木馬和僵尸網絡數(shù)量仍規(guī)模龐大

根據(jù)CNCERT監(jiān)測數(shù)據(jù)，中國大陸地區(qū)木馬受控主機數(shù)量比去年同期有大幅增長，2010年上半年，感染木馬主機123.95萬臺(絕大多數(shù)是下載者木馬和盜號木馬)，僵尸主機2333萬臺。這主要是因為CNCERT在6月份新增了對下載木馬和盜號木馬的監(jiān)測，而這兩類木馬的受控主機數(shù)量巨大。[2]

2010年上半年中國大陸地區(qū)傳統(tǒng)遠程控制類木馬受控主機IP數(shù)量呈縮減態(tài)勢，這應該是得益于CNCERT組織通信行業(yè)持續(xù)開展的木馬和僵尸網絡專項打擊行動以及常態(tài)化治理活動。 但從絕對數(shù)量上看，我國大陸地區(qū)感染木馬和僵尸程序的主機依然規(guī)模龐大，這些主機仍然是我國互聯(lián)網上的重大安全隱患。

(三)新型計算機病毒和蠕蟲仍然肆虐

“飛客蠕蟲”最早出現(xiàn)在2008年11月，通過局域網、U盤等多種方式傳播。該病毒是利用微軟 MS08-067 漏洞發(fā)起攻擊，用戶計算機一旦感染，該病毒就會阻止計算機訪問安全廠商網站，致使多種安全軟件在線查殺和升級功能失效。該病毒具有后門功能，會偷偷下載多種病毒和惡意程序，做更多危險操作，例如竊取用戶敏感數(shù)據(jù)信息、利用中毒電腦攻擊其他網絡用戶等。這不僅容易造成交叉?zhèn)鞑ィ绊懢W絡運行速度，而且會被利用發(fā)動危害嚴重的大規(guī)模拒絕服務攻擊。

據(jù)CNCERT監(jiān)測數(shù)據(jù)，2009年底，我國感染飛客蠕蟲的主機約1，800萬。目前，仍有很多主機感染此蠕蟲。對整個互聯(lián)網安全來說，飛客蠕蟲已經形成一個包含數(shù)百萬被控主機的攻擊平臺，不僅能夠被用于大范圍的網絡欺詐和信息竊取，而且能夠被利用發(fā)動大規(guī)模拒絕服務攻擊，甚至可能成為有力的信息戰(zhàn)工具。因此我國互聯(lián)網上的大量感染此蠕蟲的主機，就成為重大的安全隱患。

(四)網站被篡改和被掛馬現(xiàn)象仍不容樂觀

截止2009年底，中國大陸地區(qū)網站4.2萬個被篡改。2010年上半年達到14，907個。據(jù)CNCERT分析，大量網站被篡改說明中國大陸很多網站存在較為嚴重的安全漏洞，特別是一些安全漏洞可能影響采用同一網站架構或建站系統(tǒng)的一批網站，以至于黑客可以在短時間內批量對網站實施篡改。

2010年3月至5月間，最高人民檢察院反瀆職侵權廳網站后臺被黑客通過門程序進入，被更改網頁源代碼，添加了黑鏈代碼。黑客稱，攻擊是為其他網站提升搜索排名率，達到牟利的目的。他們自學網站編程的知識，學會了添加黑鏈代碼。黑鏈就是隱藏鏈接，比如最高檢網站被添加黑鏈代碼后，只要有人搜索或點擊最高檢網站，指向的卻是被隱藏的其他鏈接，這樣可以提高黑鏈在搜索引擎中的排名。

(五)網絡釣魚仍是網絡欺詐常見方式

典型的網絡釣魚攻擊是將用戶引誘到一個精心設計的、與目標組織網站非常相似的釣魚網站上，并獲取用戶在此網站上輸入的個人敏感信息。該攻擊是基于社會工程學的一種攻擊手段。

2010年1～12月，中國反釣魚網站聯(lián)盟處理的釣魚網站達到23，455個，增長了140%。其特點為：一是網絡釣魚仿冒目標相對集中，極具中國特色，淘寶、騰訊、工行、央視仍是最重要的侵害目標；二是網絡釣魚緊跟社會熱點，如地震捐款、工信部網站備案、廣州亞運會等社會熱點事件都成了網絡釣魚攻擊的目標；三是以.tk和.co.cc為代表的免費域名近來成為網絡釣魚的最愛，免費政策客觀上降低了犯罪成本，免費域名已經成為釣魚網站的幫兇；四是主動注冊域名建立的釣魚網站仍然是釣魚的主要方式，入侵正規(guī)網站加掛釣魚網頁、入侵正規(guī)企業(yè)郵箱發(fā)送釣魚郵件的情況有所增多；五是利用仿冒侵權網站，在線下間接竊取信息實施詐騙的情況逐漸增多。

上述這些我國互聯(lián)網網絡安全態(tài)勢，一方面反映了我國互聯(lián)網未來安全不容樂觀，另一方面恰恰是我國互聯(lián)網灰色產業(yè)鏈的生存空間。根據(jù)《2009年中國網民網絡信息安全狀況調查報告》，[3]我國網民處理安全事件所支出的服務費用共計153億元人民幣。這個數(shù)字也從側面反映出我國互聯(lián)網灰色產業(yè)鏈產業(yè)的規(guī)模程度。

二、 互聯(lián)網灰色產業(yè)鏈的定義

從2007年起，互聯(lián)網黑色產業(yè)鏈、黑客產業(yè)鏈等就成為網絡安全專業(yè)人士及公司關注的熱點問題。2009年3月份，央視開始密集報道灰色產業(yè)鏈的有關情況。3月11日，央視經濟與法頻道播出《揭秘黑客產業(yè)鏈》，13日，播出《威脅，就在身邊》，18日，播出《流失的個人信息》。央視的2009年315晚會則播出了《垃圾短信，我們的個人信息如何成為移動公司的牟利工具？》，也曝光了海量信息科技網如何盜竊個人信息。這些報道從各個側面揭露了黑客是如何通過侵入他人電腦或者網站竊取個人隱私或敏感信息，形成一套從制作、傳播到盜竊、銷售牟取暴利的完整利益鏈。據(jù)《2009年中國網民網絡信息安全狀況調查報告》，對央視2009年315晚會的報道，網民關注度達到了58.3%。2009年央視的有關互聯(lián)網黑客產業(yè)鏈密集報道，使普通民眾及廣大網民對灰色產業(yè)鏈有了深入的了解。

至今，有關互聯(lián)網灰色產業(yè)鏈問題，仍是我國網絡信息安全的熱點問題之一。為深入研究互聯(lián)網灰色產業(yè)鏈，就需要對互聯(lián)網灰色產業(yè)鏈給出定義，對此，首先要明確幾個相關概念。

(一)灰色經濟

維基百科給出的定義是，又稱灰色經濟、地下經濟或非正式經濟，是國民經濟體系的一部分。一般認為國民經濟可以分為兩部分：正式的(正規(guī)的)經濟和灰色經濟(非正式、非正規(guī)的經濟)?；疑洕侵刚鶡o法控制的經濟生產，包括所有創(chuàng)造價值的經濟活動，但是它們沒有被列入國民經濟總決算中，即沒有被包括在正式公布的國民生產總值中。國民經濟中真正的價值創(chuàng)造因灰色經濟而未被全部反映出來。

(二)互聯(lián)網經濟

又稱網絡經濟、信息經濟、虛擬經濟等，這幾個概念之間彼此也有一定的聯(lián)系和區(qū)別?，F(xiàn)在比較一致的看法是，互聯(lián)網經濟是通過互聯(lián)網進行的各種經濟活動的總和。

(三)產業(yè)鏈

是一個包含價值鏈、企業(yè)鏈、供需鏈和空間鏈四個維度的概念。產業(yè)鏈是建立在產業(yè)內部分工和供需關系基礎上的，以若干個企業(yè)為節(jié)點、產品為小節(jié)點縱橫交織而成的網絡狀態(tài)系統(tǒng)。

明確了解了上述概念，再來界定什么是互聯(lián)網灰色產業(yè)鏈。所謂互聯(lián)網灰色產業(yè)鏈，是基于互聯(lián)網進行的各種灰色經濟活動，并在內部專業(yè)分工和供需關系基礎上的各組成部分形成的網絡型產業(yè)鏈。其主要特征，首先是一種灰色活動，介于非法和合法之間，有些不是明確的犯罪活動。其次，涉及的經濟活動都是基于網絡或者以網絡為主的經濟活動。再者，經濟活動有專業(yè)分工及合作的鏈條、網絡關系的產業(yè)鏈。 許多部分媒體以及文章往往使用“互聯(lián)網黑色產業(yè)鏈”或者“黑客產業(yè)鏈”、“互聯(lián)網地下產業(yè)鏈”等術語來描述此類產業(yè)鏈，本文認為應采用“互聯(lián)網灰色產業(yè)鏈”來描述此類行為，其內涵更明確些、定性更準確些。

三、 互聯(lián)網灰色產業(yè)鏈的現(xiàn)狀分析

按照互聯(lián)網灰色產業(yè)鏈所依托的網絡渠道及技

術平臺的維度來分析，在中國互聯(lián)網上，主要存在如下四類灰色產業(yè)鏈：

(一)黑客培訓產業(yè)鏈

在我國互聯(lián)網上用“黑客培訓”等關鍵詞，通過百度、GOOGLE等搜素引擎上搜索，可以在互聯(lián)網上搜索到數(shù)十萬以上的中文網頁。黑客培訓產業(yè)鏈的形式，主要有如下幾種：

1. 網絡培訓。黑客組織通過互聯(lián)網開辦黑客培訓網站或者論壇，網民注冊繳費成為會員后，可以獲得網站提供的在線教程、離線教程以及軟件工具等服務，通過這些服務掌握各種網絡攻擊技術、各種病毒、木馬制作機制，以及各種黑客工具的使用方法等。黑客培訓的費用從幾百元到近萬元不等。一家黑客培訓班每月至少有數(shù)萬元的收入，稍有規(guī)模的黑客培訓網站年收入則可達200～500萬元。

黑客培訓產業(yè)鏈中的主要角色關系及服務流程之間的關系，如下圖所示：

圖1 黑客培訓產業(yè)鏈

2.出版雜志。國內比較有名的黑客雜志主要是《黑客X檔案》、《黑客防線》、《黑客手冊》等。這些雜志先是通過辦雜志形成學員群體和品牌，然后再辦網站，通過網站提供各類培訓等服務。如《黑客X檔案》在形成“國內安全類實體雜志發(fā)行第一”知名度后，就辦起了自己的網站。這個網站上的內容是提供各種黑客圈的交流及增值服務。黑客防線，則是2001年創(chuàng)刊的黑客專業(yè)技術雜志，其網站上也提供各類培訓課程，還通過淘寶提供各種在線商場服務。2005年開辦的《黑客手冊》是非安全組織旗下的一本介紹各種黑客技術、黑客工具、黑客動畫等內容，并附帶光盤的紙張媒體。

3. 會議活動。在國際上，Black Hat (黑帽會議)、DefCon是目前比較有名的黑客類會議，全球各角落的黑客，特別是北美地區(qū)的黑客，每年都在此類會議上進行集中的技術交流以及技術競賽。中國黑客組織也辦起了類似會議。其中安全焦點技術峰會(XFocus Information Security Conferense)，簡稱為Xcon，成為其中的代表，該會議是目前國內最知名、最權威、舉辦規(guī)模最大的民間信息安全會議，在全世界具有一定的影響力。從2002年開始舉辦，成為了中國黑客界以及民間安全界的盛會。

黑客培訓產業(yè)鏈的主要危害在于，很多原本不具備相關專業(yè)技術的人員也參與到互聯(lián)網灰色產業(yè)鏈以及網絡違法犯罪活動中來，這就加速了黑客攻擊活動的蔓延。我國的互聯(lián)網，正在成為培訓黑客的最大實驗室和生產線，從這里培養(yǎng)出來不計其數(shù)的大黑客、小黑客，其中一部分人成為了安全專業(yè)人士，但更多人則成為了黑客產業(yè)鏈的生力軍。

我國互聯(lián)網上黑客培訓產業(yè)鏈的特點是：

1. 互聯(lián)網上黑客培訓活動已經形成規(guī)?；a業(yè)效應。培訓網站充分利用了網絡在線培訓的便捷、無邊界等特點，開始產業(yè)化運作，形成了較大規(guī)模的培訓產業(yè)。

2. 途徑多元化，向傳統(tǒng)培訓滲透。一些黑客網站已經把自己培訓和傳統(tǒng)的IT培訓結合起來，或是將自己的培訓課程體系化，如黑客基地的培訓就聲稱，自己是培訓網絡安全高級人才，課程體系是培訓電腦工程師、網絡工程師、安全工程師。

3. 網民參與黑客培訓熱情極高。由于對黑客技能及黑客文化的向往，加上通過網絡就可以學習，實踐性、互動性很強，網民參加培訓的熱情非常高。據(jù)廣東省關心下一代工作委員會“互聯(lián)網上網服務營業(yè)場所(網吧)不良影響”調查表明，全省各大城市42.5%的小學生崇拜黑客，32.5%的小學生有當黑客的念頭。

目前，我國黑客培訓產業(yè)的活躍程度已經引起了國外媒體的關注，這極大影響了我國互聯(lián)網的形象。韓國媒體就認為，在中國，很多網民通過培訓，即使學歷不高，也能掌握黑客技能及黑客工具使用。

(二)垃圾郵件產業(yè)鏈

垃圾郵件目前仍無嚴格定義，根據(jù)國內情況，通常認為以下三類郵件是垃圾郵件：凡是收件人事先沒有提出要求或者同意接收的廣告、電子刊物、各種形式的宣傳品等宣傳性的電子郵件；收件人無法拒收的電子郵件；含有虛假的信息源、發(fā)件人等信息的電子郵件；含有病毒、惡意代碼、色情、反動等不良信息或有害信息的郵件等。

垃圾郵件不僅傳播欺詐、色情和病毒等有害信息，而且耗費大量公共網絡資源，危害信息安全，浪費網民時間，已經成為約制和影響互聯(lián)網電子郵件服務健康、快速發(fā)展的一個全球性問題。

2000年后，垃圾郵件一度在互聯(lián)網上泛濫成災。從最近幾年的有關數(shù)據(jù)來看，垃圾郵件情況略有好轉跡象。賽門鐵克發(fā)布的2011年1月份全球互聯(lián)網安全統(tǒng)計報告認為，全球垃圾郵件數(shù)量是兩年來的最低水平?？ò退够l(fā)布的報告公布了世界上五大垃圾郵件發(fā)送國家：源自印度的垃圾郵件數(shù)量目前上升到全部垃圾郵件總量的10.4%，使其成為排名第一的垃圾郵件輸出國。排名僅次于印度的則是越南(8.8%)、英國(6%)、俄羅斯(5.6%)和意大利(5.2%)。

由于互聯(lián)網垃圾郵件產業(yè)突出的成本低、利潤高、隱秘性強的特性，圍繞垃圾郵件已經形成了一種灰色產業(yè)。事實上，發(fā)送垃圾郵件大多是有組織的商業(yè)行為，不少企業(yè)或個人選擇發(fā)送垃圾郵件來獲得高回報；由此早已形成了一條完整的產業(yè)鏈，包括收集、銷售郵件列表，開發(fā)專用發(fā)送工具，郵件內容制作，郵件發(fā)送，回收狀況分析等，甚至出現(xiàn)了提供第三方外包服務的商業(yè)模式。

垃圾郵件產業(yè)鏈中各種角色關系及服務流程之間的關系，主要如圖2所示：

圖2 垃圾郵件產業(yè)鏈

垃圾郵件產業(yè)鏈特點：

1. 垃圾郵件不僅傳播欺詐、色情和病毒等有害信息，而且耗費大量公共網絡資源，危害信息安全，浪費網民時間。根據(jù)中國互聯(lián)網協(xié)會2006年統(tǒng)計，垃圾郵件每年給國民經濟帶來的損失大約為63.8億元。這僅僅是按照時間計算出的相對損失，還沒有列入諸如郵件服務器處理垃圾郵件的額外付出，以及用于處理垃圾郵件的技術人力付出等損失。

2. 絕大部分垃圾郵件來自于被黑客劫持的計算機組成的僵尸網絡。根據(jù)賽門鐵克2011年1月份的全球互聯(lián)網安全統(tǒng)計報告，從2010年圣誕節(jié)起，垃圾郵件數(shù)量大幅下降，垃圾郵件總量從每天8，020億封降至每天3，350億封，部分原因與三大發(fā)送郵件的僵尸網絡，即Rustock、Lethic和Xarvester停止活動有關。

3. 互聯(lián)網發(fā)送垃圾郵件活動已經是高度專業(yè)化、產業(yè)化?；ヂ?lián)網電子郵件服務的注冊無須實名，而從技術上追查垃圾郵件的發(fā)送者則非常困難。圍繞垃圾郵件，已經形成一個自我循環(huán)的生態(tài)系統(tǒng)，活躍其中的角色包括：發(fā)送商、購買商、郵件服務供應商、普通用戶、反垃圾郵件商的IT廠商等。位居發(fā)送垃圾數(shù)量前列的基本是專業(yè)公司和人員。

針對互聯(lián)網垃圾郵件上述特點，我國政府主管部門指導行業(yè)協(xié)會聯(lián)合業(yè)界采取綜合治理措施，建立起多渠道、立體化、全方位的垃圾郵件治理體系，在法律規(guī)范、行政監(jiān)管、技術保障、行業(yè)自律、宣傳教育、國際合作、群眾舉報等多種治理措施的聯(lián)合推動下，經由我國發(fā)出的垃圾郵件比例持續(xù)下降，我國互聯(lián)網垃圾郵件泛濫的情況受到了明顯的遏制，在國際上得到積極好評。但是，我國的垃圾郵件治理任務仍很艱巨，任重而道遠。

(三)惡意代碼產業(yè)鏈

目前，圍繞木馬、僵尸網絡兩種主要惡意代碼，形成的產業(yè)鏈是當前我國惡意代碼產業(yè)鏈的主要代表。

1. 木馬產業(yè)鏈

所謂特洛伊木馬(以下簡稱“木馬”)是一種基于遠程控制的黑客工具，具有隱蔽性和非授權性的特點，而且一般的木馬程序都具有信息反饋功能。黑客可以用木馬輕而易舉竊取計算機用戶的信息。其傳播方式主要有三種:一是通過電子郵件附件,控制者將木馬程序以看似正常的附件文件形式夾在郵件中發(fā)送出去, 收信人只要打開附件系統(tǒng)就會感染木馬；二是軟件下載，一些非正規(guī)的網站以提供軟件下載為名義，將木馬捆綁在軟件安裝程序上，下載后，只要運行這些程序，木馬就會自動安裝；三是網頁木馬，實際上，網頁木馬就是一個特殊網頁，與其他網頁不同的是該網頁是黑客精心制作的，用戶一旦訪問了該網頁就會中木馬。嵌入在這個網頁中的腳本利用IE瀏覽器的漏洞，獲得權限后，再讓IE在后臺自動下載黑客放置在網絡上的木馬并運行(安裝)木馬，也就是說，這個網頁能下載木馬到本地并運行(安裝)下載到本地電腦上的木馬，整個過程都在后臺運行，用戶一旦打開這個網頁，下載過程和運行(安裝)過程就自動開始。而且，網頁木馬還可以掛在多媒體文件(RM、RMVB、WMV、WMA、Flash)、電子郵件、論壇等多種文件和場合上。通常，黑客會將網頁木馬植入其控制或入侵的網站里。

目前，木馬病毒的發(fā)展已呈現(xiàn)出“專業(yè)性”特點，一些為盜竊網上銀行密碼、或者網絡游戲賬號而專門設計的木馬病毒已出現(xiàn)多種。其中，“網銀大盜”木馬病毒已發(fā)展到第4代，它不但可以竊取網上銀行用戶的賬號和密碼，甚至還能將一些網上銀行為防盜而設計的“數(shù)字證書”一并竊取。

對于木馬的定向性要求的不斷強化，以及所可能面對的刑民事法律制裁，單兵作戰(zhàn)的制作木馬、植入木馬、使用木馬的模式已經漸漸淡出歷史舞臺，取而代之的是專業(yè)化程度更高、隱蔽性更強的集團化木馬產業(yè)鏈模式。在該模式中，有專門負責木馬編寫的程序員，有負責木馬兜售的銷售人員，有使用和散播木馬的網絡黑客，有專門收購盜竊來的賬號、裝備的信息收購銷售者，各個環(huán)節(jié)之間相對獨立，從而回避法律風險。整個鏈條形成一種上游不知中游所在，中游不知去處，下游不知來源的結構。整個產業(yè)鏈可以表示如下圖：

圖3 木馬產業(yè)鏈

木馬產業(yè)鏈的危害主要是給互聯(lián)網用戶的虛擬財產和金融財產帶來損失。2011年1月14日瑞星公司《2010年度安全報告》[4]稱，2010年，木馬病毒竊取的主要目標從網游、QQ等虛擬財產全面轉向網銀和支付帳戶。該報告透露，所有主流網絡銀行和第三方支付工具都有受害案例出現(xiàn)。針對性病毒的數(shù)量，與網銀、支付工具的市場地位密切相關，比如在網絡購物領域，有多種木馬和釣魚網站是針對淘寶、工商銀行編寫，其客戶端一旦出現(xiàn)漏洞，馬上就會被黑客利用，編寫相對應的木馬。據(jù)2011年1月江民反病毒中心的統(tǒng)計數(shù)據(jù)[5]顯示，2010年全年新增網銀木馬近400個，較2009年上升了約6%。仍處于活躍狀態(tài)的網銀木馬近600個，較2009年增長了約一倍。而2010年度最典型木馬，是在網上泛濫的“網銀超級木馬”，它是國內罕見的首個針對大量網銀支付平臺的病毒。其盜取用戶錢財?shù)氖侄尾扇×私俪钟脩糁Ц俄撁娴姆绞?，而非傳統(tǒng)的直接盜取賬號密碼。

當前木馬產業(yè)鏈的主要特點是： 網頁木馬是主要傳播渠道，且主要利用漏洞植入，利用社會工程學傳播。集團化、專業(yè)化，扮演“軟件代理商”角色的掛馬集團越來越凸顯出品牌效應和壟斷趨勢。木馬產業(yè)鏈一方面更隱蔽，另一方面轉向廣告木馬，以減小風險。

2. 僵尸網絡產業(yè)鏈

根據(jù)百度百科定義，僵尸網絡 Botnet 是指采用一種或多種傳播手段，將大量主機感染bot程序(僵尸程序)病毒，從而在控制者和被感染主機之間所形成的一個可一對多控制的網絡。 攻擊者通過各種途徑傳播僵尸程序感染互聯(lián)網上的大量主機，而被感染的主機將通過一個控制信道接收攻擊者的指令，組成一個僵尸網絡。

與木馬相比，僵尸網絡危害性更大。因為僵尸網絡的控制性、交互性更強，利于黑客更好地控制僵尸主機(即被植入僵尸程序的主機)，僵尸網絡實際上成為黑客手中的一個攻擊平臺，可以有效地發(fā)起各種各樣的攻擊行為，如，發(fā)起拒絕服務攻擊、發(fā)送垃圾郵件、竊取用戶信息、濫用網絡資源、網絡詐騙等。由于僵尸網絡可以形成相當大的規(guī)模，控制的主機數(shù)目可達數(shù)萬甚至數(shù)十萬臺，因此，利用僵尸網絡發(fā)起的拒絕服務攻擊的危害更大，防范更難。嚴重時，可以導致整個基礎信息網絡或者重要應用系統(tǒng)癱瘓。

從僵尸網絡這一攻擊平臺本身看，僵尸網絡的主要特色和木馬基本一致，兩種惡意代碼的產業(yè)鏈流程類似，因此，實質都是惡意產業(yè)鏈，其中，有編寫僵尸程序者，有利用僵尸程序入侵主機的黑客，即僵尸網絡控制者 ，有出售僵尸主機，即出售被害主機控制權者，有利用僵尸網絡的攻擊者、信息竊取者等等，各個環(huán)節(jié)相對獨立。

圖4 僵尸網絡產業(yè)鏈

總體上，我國惡意軟件產業(yè)鏈特征主要是：

1.以木馬、僵尸網絡為代表的惡意軟件(病毒蠕蟲)已經形成制作、銷售、應用等環(huán)節(jié)分工明確的產業(yè)鏈，并呈現(xiàn)集團化發(fā)展的趨勢。

2.目標主要針對個人及中小企業(yè)，盜取網游裝備、QQ帳號等虛擬財產及各類金融卡賬號密碼等實際財產為主。

3.各個環(huán)節(jié)主要在國內，尚未國際化。由于語言文化原因，以及人民幣尚未國際化等因素影響，目前，我國惡意代碼產業(yè)鏈主要環(huán)節(jié)主要在國內而且主要是國內人員參與。如果惡意代碼產業(yè)鏈出現(xiàn)國際化分工，則將來可能出現(xiàn)國內黑客制作惡意程序，國外犯罪分子利用該惡意程序來竊取我國國內用戶的金融財產的情況。

(四)網絡仿冒及網絡欺詐產業(yè)鏈

“網頁仿冒”(國際上稱之為Phishing)這類網絡安全事件是指在互聯(lián)網上仿冒電子交易站點(如銀行或拍賣網站)的網頁，誘使用戶訪問假站點，騙取用戶的網上銀行賬號、憑證和密碼等敏感信息，從而竊取用戶錢財，或者繼續(xù)進行其他詐騙活動。

網絡仿冒流程，以仿冒銀行的假網站為例，黑客在進行網絡仿冒前，先注冊一個銀行網址的域名(與銀行的真域名非常接近的域名)，然后做一個和真銀行一模一樣的網站。通常會把假網站放在別人的機器上，接著就可以給用戶發(fā)電子郵件，誘導他們登錄假冒的網站。郵件通常內容大致如下：“親愛的用戶，我們注意到您的賬戶信息已經過期，如果不及時更改將導致信息失效，請點擊此處及時更新。”實際上，這些鏈接地址實際上指向假網站。在一起假冒工行網站事件中，假工商銀行的網站1cbc.com.cn與真網站www.icbc.com.cn只有“1”和“i”的一個字母之別，給用戶的郵件落款為“中國工商銀行客戶服務中心”。只要用戶訪問了假網站并輸入賬號和密碼，黑客就能得到這些信息，從而從用戶賬戶轉走資金或提取現(xiàn)金或者消費。

根據(jù)大多數(shù)案例的情況，典型的網絡仿冒產業(yè)鏈如下：

圖5 網絡仿冒產業(yè)鏈

據(jù)CNNIC調查[3]，在我國，2009年超過九成網民均碰到過網絡釣魚網站，電子郵件和即時通信成為網絡釣魚網站傳播的主要渠道。網絡釣魚給社會帶來的間接損失超過200億元。

我國網絡仿冒產業(yè)鏈的特點：

1.針對銀行的釣魚網站急劇增加。2011年2月，中國互聯(lián)網信息舉報中心監(jiān)測數(shù)據(jù)顯示，近期網銀盜竊侵財型案件舉報甚多，特別是假冒中國銀行網站大幅增加，數(shù)量已多達近70個。據(jù)不完全統(tǒng)計，僅1月10～20日之間，江蘇省此類案件就發(fā)生上百起，浙江省也有近50起，涉案總金額巨大。據(jù)金山網絡云安全中心統(tǒng)計數(shù)據(jù)顯示，近期已有超過5萬名用戶訪問過中國銀行的仿冒網站。江蘇、浙江地區(qū)此類案件高發(fā)近乎猖獗。全國范圍來看，總涉案金額在4，000萬元至1億元之間。

2.結合社會及網絡熱點事件，通過各種手段進行欺詐。例如，在博客中插入網絡釣魚鏈接對用戶進行欺詐，并多以“世博會門票”、“2010虎年運勢測算”名義。

3. 醫(yī)藥、美容、成人用品、證券咨詢等行業(yè)受網絡欺詐危害最為嚴重。

4. 形式上，網絡欺詐大多是各種各樣的中獎騙局，尤其以“騰訊QQ周年慶典抽獎”、“非常6+1抽獎”騙局最為普遍。

總體上看，我國的互聯(lián)網灰色產業(yè)鏈具有如下特點：向集團化、目標化、專業(yè)化發(fā)展，已經形成了相互關聯(lián)的灰色產業(yè)生態(tài)圈。例如，黑客培訓產業(yè)鏈培訓了不少黑客，他們許多人通過編寫、利用惡意代碼獲得收入，如攻擊互聯(lián)網主機或用戶，植入木馬或僵尸網絡，或者利用僵尸網絡、木馬等，發(fā)送垃圾郵件，或進行網絡仿冒而獲利，反過來，他們的所謂“事跡”及“成功”則吸引了更多網民參加黑客培訓，成為灰色產業(yè)鏈的參與者和活躍者。

從整體上看，我國互聯(lián)網灰色產業(yè)鏈產生發(fā)展的主要因素是：

1.文化因素：我國互聯(lián)網行業(yè)缺乏嚴格的行業(yè)自律，早期的黑客嚴于律己，出于對技術、公正等追求而鉆研技術，但卻不濫用黑客技術，后來的黑客則往往在得到一定技術名聲后，出于獲得經濟利益等原因而放棄對自我的道德約束，濫用自己掌握的黑客技術。

2.技術因素：黑客攻擊技術現(xiàn)在已經向自動化、傻瓜化發(fā)展，即使不懂太多IT技術，也可以學會攻擊技術，加上互聯(lián)網各個環(huán)節(jié)均存在不少安全缺陷，加上網民安全意識尚未全面提高，互聯(lián)網上漏洞很多，導致黑客攻擊比較容易得手。

3. 法律因素：對于黑客攻擊事件，盡管這幾年已經有了相關的法律制度規(guī)范，但實際中，對許多攻擊事件的處理在立案、查處、取證、審判等各個環(huán)節(jié)均存在許多實際困難，尤其對互聯(lián)網灰色產業(yè)鏈的處理，涉及法律的解釋不明確之處較多，進入司法程序遇到的困難則更多。實際上得到立案、審判的攻擊事件還是少數(shù)。因此，對黑客群體而言，是法律上的事實低風險。

4. 經濟因素：互聯(lián)網上的免費黑客攻擊教程，包括收費的培訓都很多，黑客學習費用不高，另外，有網吧即可上網學習，因此總體上自身的投入不需很高，但通過這些產業(yè)鏈得到的經濟回報是豐厚的，如制作銷售木馬。

根據(jù)公安部公布情況，近兩年來，我國網絡攻擊案件的發(fā)案數(shù)量每年超過80%，且網絡攻擊的頻次、種類、廣泛性和復雜性都逐年增加，嚴重危害了我國信息網絡安全，同時，也間接侵害了廣大人民群眾的利益。公安部門也認為，此類犯罪呈現(xiàn)日益趨利化、分工越來越細化、社會危害性越來越大等趨勢。

四、針對互聯(lián)網灰色產業(yè)鏈的法律應對措施

針對互聯(lián)網灰色產業(yè)鏈的治理措施，應針對灰色產業(yè)鏈產生的四個主要因素，從四個層面采取措施，一是文化層面措施:應以正面教育為主，打擊黑客培訓和提高行業(yè)自律為輔，以鏟除黑色產業(yè)鏈萌發(fā)的文化環(huán)節(jié)。二是技術層面措施：應改良互聯(lián)網的技術架構，提高網絡可信度和可追蹤度，下一代互聯(lián)網技術的推廣應用將是當前互聯(lián)網攻易防難的技術狀況逐步得到改變。三是經濟層面措施：應采取有效經濟措施，如針對虛擬財產的交易，無法在現(xiàn)實空間直接獲利，或者導入合法渠道。四是法律層面措施：應加大執(zhí)法力度，使參與灰色產業(yè)鏈行為的代價成本提高。

下面重點研究我國法律方面的應對措施情況：

(一)我國應對互聯(lián)網犯罪的立法進展

1.2009年2月28日通過 《刑法》(修正案七)

在我國《刑法》第285條中增加兩款作為第2款、第3款：“違反國家規(guī)定，侵入前款規(guī)定以外的計算機信息系統(tǒng)或者采用其他技術手段，獲取該計算機信息系統(tǒng)中存儲、處理或者傳輸?shù)臄?shù)據(jù)，或者對該計算機信息系統(tǒng)實施非法控制，情節(jié)嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金；情節(jié)特別嚴重的，處三年以上七年以下有期徒刑，并處罰金。”

“提供專門用于侵入、非法控制計算機信息系統(tǒng)的程序、工具，或者明知他人實施侵入、非法控制計算機信息系統(tǒng)的違法犯罪行為而為其提供程序、工具，情節(jié)嚴重的，依照前款的規(guī)定處罰?！?/p>

2.2009年10月16日，兩高在《關于執(zhí)行〈中華人民共和國刑法〉確定罪名的補充規(guī)定(四)》中，又新增加了非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪，非法控制計算機信息系統(tǒng)罪和提供侵入、非法控制計算機信息系統(tǒng)程序、工具罪兩個罪名。

3.2009年12月26日通過的我國《侵權責任法》第36條，網絡用戶、網絡服務提供者利用網絡侵害他人民事權益的，應當承擔侵權責任。網絡用戶利用網絡服務實施侵權行為的，被侵權人有權通知網絡服務提供者采取刪除、屏蔽、斷開鏈接等必要措施。網絡服務提供者接到通知后未及時采取必要措施的，對損害的擴大部分與該網絡用戶承擔連帶責任。網絡服務提供者知道網絡用戶利用其網絡服務侵害他人民事權益，未采取必要措施的，與該網絡用戶承擔連帶責任上述法律的制定，是我國對黑客培訓、木馬制作、入侵控制、販賣木馬、竊取信息、僵尸網絡、網絡仿冒等行為給予針對性打擊有了法律依據(jù)，這是我國加強對互聯(lián)網犯罪的打擊，切斷互聯(lián)網絡灰色產業(yè)鏈的里程碑意義事件。

(二)有關部門頒布的規(guī)章制度

我國通信行業(yè)主管部門近年來發(fā)布了一系列相關的部門規(guī)章：

1.2009年4月，發(fā)布《互聯(lián)網網絡安全信息通報實施辦法》，主要解決信息通報工作中“誰來報信息”“報什么信息”“怎么報信息”“我能得到什么信息”等問題。

2.2009年4月，發(fā)布《電信網絡運行監(jiān)督管理辦法》，加強電信網絡運行監(jiān)督管理，保障電信網絡運行穩(wěn)定可靠，特別對互聯(lián)網骨干網安全提出了明確要求。

3.2009年5月，發(fā)布《木馬和僵尸網絡監(jiān)測與處置機制》，建立了對木馬和僵尸網絡進行有效處置的長效機制處置。

4.2010年1月，發(fā)布《通信網絡安全防護管理辦法》，完善了通信網絡安全保障法律制度，有利于提高通信網絡安全防護能力和水平，有效應對網絡攻擊、信息竊取等非傳統(tǒng)安全問題。

5.2011年2月10日，發(fā)布《信息安全技術個人信息保護指南(征求意見稿)》。該指南向社會公開征求意見，其主要內容包括前言、引言、范圍、術語和定義、個人信息處理原則、個人信息主體的權利、個人信息保護要求等方面，并對包括收集、加工、轉移、使用、屏蔽、刪除等處置信息的行為進行了定義。對提高個人信息保護意識，保護個人合法權益，促進個人信息的合理利用，指導和規(guī)范利用信息系統(tǒng)處理個人信息的活動將起到重要作用。

上述規(guī)章及規(guī)范的施行或者即將施行，對提高我國公共互聯(lián)網安全水平起到了重要作用。

(三)實際案例中的產業(yè)鏈分析

2009年12月16日，涉案金額3，000余萬元、案犯涉及16個省市、公安部掛牌督辦的“8.2”全國特大制售“溫柔”系列木馬團伙案件，被成為是刑法修正案后的我國首個網絡犯罪案例的產業(yè)鏈分析。已經有學者從法律上分析此案例，[6]這里，本文從產業(yè)鏈實際案例角度剖析、回顧此案例：

1.編寫木馬工具：2007年6月至次年8月，被告人呂軼眾、曾毅夫為牟利先后編寫出國內流行的風云、完美國際、武林外傳等40余款網絡游戲的木馬程序，用于竊取網絡游戲玩家的賬號、密碼。

2.代理銷售工具：2008年2月起，被告人嚴仁海接受委托成為這一系列木馬程序總代理銷售，謀取非法利益。嚴仁海將上述木馬程序以其女友陳慧婷的網名冠名為“溫柔”木馬1，在互聯(lián)網上傳播銷售，并逐步形成了以嚴仁海、陳慧婷為總代理，張帆、張金煌等數(shù)十人為分代理的傳播銷售網絡。

3.植入木馬：嚴仁海、陳慧婷、張金煌等人先將木馬程序植入網站，網民點擊網站后，木馬程序自動植入其計算機系統(tǒng)并運行。

4.盜賣信息：網民登錄自己的網絡游戲，游戲賬號和密碼就會自動發(fā)送到木馬所指定的服務器內。他們再進一步轉賣給其他涉案人員，將受害網民賬號內的游戲幣、游戲裝備等盜走銷售獲利。

2009年12月16日，江蘇省徐州市鼓樓區(qū)人民法院宣判，呂軼眾、曾毅夫、嚴仁海等11名被告分別被以“提供入侵計算機信息系統(tǒng)罪”判處3年以下有期徒刑或拘役、緩刑，并處罰金總計83.3萬元。

五、結束語

經過2009年對互聯(lián)網灰色產業(yè)鏈的徹底曝光，及我國在相關立法的巨大進展，2010年我國有關部門加強了專項打擊和行業(yè)管理。截止到2010年9月底[7]，我國公安機關已經破獲了各類黑客攻擊刑事案件超過100起，抓獲犯罪嫌疑人130余人，打掉黑客聯(lián)盟網站20余個。而且公安部門表示，要清理黑客網站，重點清理銷售工具、組織黑客攻擊、開展黑客教學的網站，要商請最高人民檢察院、最高人民法院，加快研究出臺相關的司法解釋。

因此，可以預計，2011年將是轉折年，我國互聯(lián)網灰色產業(yè)鏈的“興旺期”即將過去，網絡安全攻擊及違法犯罪的高發(fā)態(tài)勢將逐步得到遏制。但必須看到，與互聯(lián)網灰色產業(yè)鏈的斗爭注定將是長期的，一方面互聯(lián)網上的圍繞灰色產業(yè)鏈的斗爭仍將持續(xù)很長時間；另一方面，從技術上看，移動互聯(lián)網可能是下一個被灰色互聯(lián)網侵占的領域，曾經在互聯(lián)網發(fā)生的灰色產業(yè)鏈“故事”，將以在移動互聯(lián)網上重復上演。同時，我國的立法方面，仍需推動公民個人信息(隱私)的法律保護，我國整體的信息網絡安全法律體系建設仍需不斷推進。

[1] 中國互聯(lián)網絡信息中心.第27次中國互聯(lián)網絡發(fā)展狀況統(tǒng)計報告(CNNIC).http://www.cnnic.net.cn/dtygg/dtgg/201101/t20110118_20250.html ．

[2]《中國互聯(lián)網網絡安全報告(2010年上半年，CNCERT/CC)》，國家互聯(lián)網應急中心(CNCERT/CC)， http://www.cert.org.cn/UserFiles/File/2010%20first%20half.pdf ．

[3]《2009年中國網民網絡信息安全狀況調查報告》 中國互聯(lián)網絡信息中心(CNNIC)、國 家 互 聯(lián) 網 應 急 中 心(CNCERT/CC)，http://www.cnnic.net.cn/html/Dir/2010/03/30/5805.htm．

[4]《瑞星2010年度安全報告》，北京瑞星科技股份有限公司， http://www.rising.com.cn/about/news/rising/2011-01-14/8830.html ．

[5]《江民2010年度病毒疫情報告》，北京江民新科技術有限公司， http://www.jiangmin.com/news/jiangmin/index/important/2011128105549.htm ．

[6]向海龍.“溫柔”系列木馬案的法律分析[J].信息網絡安全，2009，9.

[7]鄧宏敏.嚴厲懲治黑客活動，進一步加大打擊網絡犯罪力度[J].信息網絡安全，2010，11.

AnalysisofChina’sInternetGreyEconomicChainsandTheirLegalResponse

ChenMing-qi

(Information Office of China Academy Science,Beijing 100864)

Internet has become an important part of the national economy,while a variety of grey economic chains continually developed on the internet,they are not only effecting the internet economy,but also severely threating the national information security and network security,challenging the law and legulation.Four key grey economic chains on the Chinese Internet are studied,then their processes,damages of inpacts and characteristics are analyzed,at last, suggestions are proposed,such as taking appropriate measures to strengthen the legal protection of personal information and promoting the information security of the legal system as a whole.

Internet;grey economic chain;law

DF38

A

(責任編輯：張保芬)

1002—6274(2011)02—003—09

陳明奇(1973-)，男，江蘇徐州人，工學博士，中國科學院信息辦高級工程師，研究方向為網絡與信息安全、科研信息化等。