淺談網絡安全中的網絡犯罪

邱波

南京森林警察學院 江蘇 210046

0 前言

隨著 Internet的迅猛發展，人們的許多活動或多或少在與網絡發生關系。由于 Internet的互連性，使得信息共享的程度進一步提高，而信息共享和信息安全是一對矛盾，因此網絡中的信息安全問題也日益突出。不僅要從法律上對危害信息安全的行為進行立法規范，還要通過先進的技術手段對已經發生的網絡犯罪進行偵破，并對即將發生的網絡犯罪進行控制，從而減少網絡犯罪的可能。

1 關于網絡信息安全問題

互聯網絡是以統一的 TCP/IP協議為規則運作的，是一個對全世界所有國家開放的網絡，任何團體或個人都可以在網上方便地傳送和獲取各種各樣的信息。而這些信息中有些是開放的，如廣告、公共信息等；有些是保密的，如：私人間的通信，政府及軍事部門、商業秘密等。

網絡在為人們提供便利、帶來效益的同時，也使人類面臨著信息安全方面的巨大挑戰。實際上，安全問題早已警鐘頻頻：網絡非法入侵、重要資料失竊、網絡系統癱瘓等惡性事件經常發生，據有關數據表明，在全球平均每 20秒就發生一次網上入侵事件，有近80%的公司至少每周在網上要被大規模的入侵一次。

2 網絡犯罪

相當多的危及信息安全的行為，如黑客對計算機系統的侵入而造成信息安全的破壞，或通過傳播計算機病毒而使計算機信息系統不能正常運行，造成的后果可能非常大，實際上這些行為已經屬于一種刑事犯罪行為，這就是人們通常所說的網絡犯罪。網絡犯罪指的是行為人未經許可對他人電腦系統或資料庫的攻擊和破壞，或利用網絡進行經濟、刑事等犯罪。由于網絡犯罪不僅嚴重危害計算機及網絡數據和信息的安全，它所造成的經濟損失、社會危害是傳統犯罪所不可比擬的，它已成為世界各國共同面臨的重大“信息問題”。

3 信息安全問題的刑法控制

我們知道，危及國家、企業和個人信息安全的因素很多，但計算機犯罪危害最甚，它們是信息安全的最大殺手。我們不能僅僅限于行政法律法規的控制，還要借助于刑法的控制，否則就不能適應控制日益猖獗的計算機犯罪的需要。

一般說來，刑法作為一種規范性的手段，它的運用具有滯后性的特點，即它通常總是在某一危害社會的行為已經不為其它法律所調整或者不足以調整的情形下，作為一種更為強制性的調整手段出現。由于刑法采用的是刑罰手段，所以對網絡信息安全問題，尤其對計算機犯罪問題來說，刑法控制是最具強制性、最為嚴厲的手段，它在整個法律控制體系中起到一種保障和后盾的作用。

網絡犯罪是計算機犯罪的一種形式或是所處的一個階段，而且就目前來看，是主要的犯罪形式或是當代犯罪階段。關于計算機犯罪的刑事立法，我國刑法典有三個條文的規定。

(1) 第285條：非法侵入計算機信息系統罪

違反國家規定，侵入國家事務、國防建設、尖端科學技術領域的計算機信息系統的，處三年以下有期徒刑或者拘役。

(2) 第286條：破壞計算機信息系統罪

第1款：違反國家規定，對計算機信息系統功能進行刪除、修改、增加、干擾，造成計算機信息系統不能正常運行，后果嚴重的，處五年以下有期徒刑或者拘役；后果特別嚴重的，處五年以上有期徒刑。

第2款：違反國家規定，對計算機信息系統中存儲、處理或者傳輸的數據和應用程序進行刪除、修改、增加的操作，后果嚴重的，依照前款的規定處罰。

第3款：故意制作、傳播計算機病毒等破壞性程序，影響計算機系統正常運行，后果嚴重的，依照第一款的規定處罰。

(3) 第287條：利用計算機實施的傳統犯罪

利用計算機實施金融詐騙、盜竊、貪污、挪用公款、竊取國家秘密或者其他犯罪的，依照本法有關規定定罪處罰。

三個法律條款：非法侵入計算機系統罪(第 285條)，破壞計算機信息系統功能、破壞計算機信息系統數據或應用程序罪，制作、傳播計算機病毒等破壞計算機程序罪(第286條)以及屬于廣義計算機犯罪范疇的利用計算機實施的犯罪(第287條)等。這些對預防和打擊計算機違法犯罪起到了積極的作用，但由于這三個條款只作了較原則性的規定，且具有較強的專業性，因此對有關計算機犯罪的定罪量刑尺度把握較難。

4 網絡犯罪的偵破

網絡犯罪是一種對存在于虛擬空間的信息進行侵犯的行為。盡管這種行為侵犯的只是肉眼見不到的比特，但犯罪分子在實施侵犯行為的過程中卻必須使用電子計算機等物理設備，這些物理設備總是存在于一定的物理空間，因而網絡犯罪同樣有明顯的犯罪現場，而且大多數網絡犯罪現場是有勘查價值的。在我們發現網絡犯罪線索后，只要有條件就應想方設法對犯罪現場進行勘查。

4.1 臨場初步處置

當具備趕赴現場的條件后，偵查人員應盡快行動。臨場后具體應做好以下幾方面的工作：

(1) 封鎖現場，進行人、機、物品之間的隔離

要對現場實行人、機隔離，人、物隔離。將現場內所有人員迅速帶離現場，并立即檢查他們隨身攜帶的物品，重點是書面記錄、通訊工具、磁卡類可以讀寫的卡片、磁介質(軟盤、光盤等)。

(2) 加強現場保護

迅速派人看管配電室，避免發生突然斷電導致系統運行中的各種數據結果丟失；看管現場以及現場周圍的各種電信終端設施，檢查現場及周圍有沒有強磁場和可以產生強磁場的物品，妥善保管各種磁介質，避免被各種磁場消磁。

4.2 采取勘查措施

在臨場初步處置的基礎上，應進一步迅速采取措施獲取證據。

(1) 實地勘驗

通過實地勘驗收集現場上遺留的原始資料、數據參數等。勘驗過程中主要是針對“硬件、軟件、管理制度和人員狀況”等方面進行取證調查。這其中既包括傳統意義上的取證(如：勘驗手印、足跡、工具痕跡；拍攝現場照片、繪制現場圖等)，又包括對“網絡證據”的勘驗。

“網絡證據”，主要是指在硬件、軟件、管理制度等方面可以反映網絡犯罪行為真實情況的物證、書證及視聽資料等。比如，在數據傳送與接收過程中形成的電磁記錄與命令記錄；現場上各種系統硬件的連接狀態、連接方式；屏幕顯示的系統運行參數、運行結果；打印輸出的結果；工作人員的日志記錄等。對這些證據的勘驗，常用的有記錄、封存、備份、收集等手段。

記錄，就是用適當的方式將現場上各種儀器設備的連接、配置狀況和運行狀態，各種電纜線的布線方式(串、并聯方式、有無破損斷裂)，各種插頭、插座、開關的工作狀態等等情況記錄下來。通過原始狀態與現場遺留狀況的比較，發現各種異常現象或者推斷作案人使用的作案工具、作案手法。如進一步審查監視器所顯示的任何證據，如果有必要，拍攝下計算機屏幕上顯示的內容，并在計算機專業人員的幫助下切斷與計算機相連的電話線或閉路線，在不會造成數據丟失的情況下，拔掉墻上的電源，一般不能用啟動開關去關閉計算機。拍攝下計算機尾部的線路結構。斷電前標上線路系統，將端口和插槽作上標記。如果所查獲的不只一個系統，應將不同的零部件分別放置，并作標記。

封存，就是對現場上可能記錄有犯罪行為過程和真實情況的物品、數據等證據，采取強制性手段維持其現有狀態，以備進一步的分析。封存的對象主要包括：現場內的信息系統，各種可能涉及到的磁介質，上機記錄，命令記錄，內部人員使用的工作記錄，現場上的各種打印輸出結果，傳真打印件，程序備份和數據備份等等。封存當中應當注意的是：封存正在運行的信息系統，要事先做好系統工作狀態、系統運行參數的記錄，以防關機以后無法恢復。

備份，主要是指偵查人員對不能停止運行而又沒有備用應急措施的信息系統進行數據復制，以便盡快恢復系統正常工作。備份的對象主要是：系統中的相關數據、系統日志文件等。備份當中應注意的問題是：對于磁介質中所有的數據按照其物理存放格式進行全盤復制，而不是簡單地拷貝文件。

收集，就是將現場上遺留的原始資料、數據參數等“網絡證據”資料進行提取、包裝。收集的對象主要是：計算機軟、硬件，各種輸入和輸出設備，調制解調器，各種操作手冊，各種連接線，同時還要注意收集計算機附近遺留的可能寫有計算機指令的紙片等。在對網絡犯罪的物證、書證及視聽資料等進行包裝運輸時，要注意避免靜電干擾。不能用塑料包裝，并將其無線電設備遠離磁場放置，避免電子儲存的數據丟失。保管所繳獲器材的房間應有空調裝置。另外，還應將立體聲喇叭之類的磁源保管好，不和上述器材放到一塊。

(2) 實地訪問

網絡犯罪的現場勘查當中，實地訪問是一種行之有效的獲取證據、發現線索的手段。實地訪問的對象主要是當事人和知情人。例如：計算機操作人員，分管領導，技術維護人員等。訪問內容應當根據訪問對象有策略地加以變化，概括起來包括以下內容：系統的運行狀態，曾經進行過哪些操作和維修，操作人員和技術人員以及分管領導的思想表現；技術水平高低、分別能夠接觸哪些軟硬件內容，如何發現系統出現的異常現象、采取過哪些處置措施等等。

4.3 對證據資料進行技術分析

在前一階段勘查取證的基礎上，偵查人員可以對所得的相關證據資料(例如：磁介質、系統備份、數據備份)進行技術分析，從而發現作案人是在何時、采取何種手段、從哪些方面對網絡系統進行了哪些侵害，從中選取有價值的偵查線索。目前，對相關證據資料進行技術分析的手段多種多樣，其中常用的有以下幾類：

(1) 對比分析技術

這種技術主要是將收集到的程序、數據的備份與當前運行的程序、運行結果數據進行對比，從而發現異常狀況，進而分析是否有被篡改的痕跡。

(2) 關鍵字查詢技術

這種技術主要用于對系統硬盤備份進行分析。在偵查人員所做的對現場系統硬盤的備份當中，以某些具有特殊功能的指令語句為關鍵字進行匹配查詢，查詢的結果將說明是否存在這一特殊功能的指令語句，偵查人員可以從中發現問題。

(3) 數據分析技術

對于被作案人刪除、修改的文件和磁盤數據，可以通過數據分析技術進行恢復，或者查明文件被修改移動的時間、修改前的狀態和屬性。這類技術包括：被刪改、破壞數據的恢復技術；殘留數據分析技術；文件“指紋特征數據”分析技術。

(4) 文件內容分析技術

在某些軟件運行過程中，經常會產生一些記錄軟件運行狀態和結果、數據操作過程的文件。例如：臨時文件(.TMP)、備份文件(.BAK)、交換文件(.SWP)；IE等網絡瀏覽工具的地址簿當中記錄了瀏覽過的網絡站點地址和圖片內容。這些文件內容可以為偵查工作提供線索和證據。

5 總結

有效地打擊和防范網絡犯罪，是當代社會必須承擔的一項時代使命。我們只有利用先進的技術手段和法律對危害網絡安全的行為進行偵破和嚴懲，才能減少網絡犯罪的發生，從而使我們的網絡相對安全一些。

[1] http://www.sina.com.

[2] 于學德,韓晶.試論網絡犯罪的特點及其防范.法律文獻信息與研究.1998.

[3] 陳興實,付東陽.計算機犯罪.計算機犯罪的對策.北京:中國檢查出版社.1998.

[4] 韋恩 W.貝尼特,凱倫 M.希斯.犯罪偵查[M]北京:群眾出版社.2000.