浅谈网络安全中的网络犯罪

2011-08-15 00:42邱波
网络安全技术与应用 2011年11期
关键词:计算机信息备份信息安全

邱波

南京森林警察学院 江苏 210046

0 前言

随着 Internet的迅猛发展,人们的许多活动或多或少在与网络发生关系。由于 Internet的互连性,使得信息共享的程度进一步提高,而信息共享和信息安全是一对矛盾,因此网络中的信息安全问题也日益突出。不仅要从法律上对危害信息安全的行为进行立法规范,还要通过先进的技术手段对已经发生的网络犯罪进行侦破,并对即将发生的网络犯罪进行控制,从而减少网络犯罪的可能。

1 关于网络信息安全问题

互联网络是以统一的 TCP/IP协议为规则运作的,是一个对全世界所有国家开放的网络,任何团体或个人都可以在网上方便地传送和获取各种各样的信息。而这些信息中有些是开放的,如广告、公共信息等;有些是保密的,如:私人间的通信,政府及军事部门、商业秘密等。

网络在为人们提供便利、带来效益的同时,也使人类面临着信息安全方面的巨大挑战。实际上,安全问题早已警钟频频:网络非法入侵、重要资料失窃、网络系统瘫痪等恶性事件经常发生,据有关数据表明,在全球平均每 20秒就发生一次网上入侵事件,有近80%的公司至少每周在网上要被大规模的入侵一次。

2 网络犯罪

相当多的危及信息安全的行为,如黑客对计算机系统的侵入而造成信息安全的破坏,或通过传播计算机病毒而使计算机信息系统不能正常运行,造成的后果可能非常大,实际上这些行为已经属于一种刑事犯罪行为,这就是人们通常所说的网络犯罪。网络犯罪指的是行为人未经许可对他人电脑系统或资料库的攻击和破坏,或利用网络进行经济、刑事等犯罪。由于网络犯罪不仅严重危害计算机及网络数据和信息的安全,它所造成的经济损失、社会危害是传统犯罪所不可比拟的,它已成为世界各国共同面临的重大“信息问题”。

3 信息安全问题的刑法控制

我们知道,危及国家、企业和个人信息安全的因素很多,但计算机犯罪危害最甚,它们是信息安全的最大杀手。我们不能仅仅限于行政法律法规的控制,还要借助于刑法的控制,否则就不能适应控制日益猖獗的计算机犯罪的需要。

一般说来,刑法作为一种规范性的手段,它的运用具有滞后性的特点,即它通常总是在某一危害社会的行为已经不为其它法律所调整或者不足以调整的情形下,作为一种更为强制性的调整手段出现。由于刑法采用的是刑罚手段,所以对网络信息安全问题,尤其对计算机犯罪问题来说,刑法控制是最具强制性、最为严厉的手段,它在整个法律控制体系中起到一种保障和后盾的作用。

网络犯罪是计算机犯罪的一种形式或是所处的一个阶段,而且就目前来看,是主要的犯罪形式或是当代犯罪阶段。关于计算机犯罪的刑事立法,我国刑法典有三个条文的规定。

(1) 第285条:非法侵入计算机信息系统罪

违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。

(2) 第286条:破坏计算机信息系统罪

第1款:违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。

第2款:违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。

第3款:故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的,依照第一款的规定处罚。

(3) 第287条:利用计算机实施的传统犯罪

利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的,依照本法有关规定定罪处罚。

三个法律条款:非法侵入计算机系统罪(第 285条),破坏计算机信息系统功能、破坏计算机信息系统数据或应用程序罪,制作、传播计算机病毒等破坏计算机程序罪(第286条)以及属于广义计算机犯罪范畴的利用计算机实施的犯罪(第287条)等。这些对预防和打击计算机违法犯罪起到了积极的作用,但由于这三个条款只作了较原则性的规定,且具有较强的专业性,因此对有关计算机犯罪的定罪量刑尺度把握较难。

4 网络犯罪的侦破

网络犯罪是一种对存在于虚拟空间的信息进行侵犯的行为。尽管这种行为侵犯的只是肉眼见不到的比特,但犯罪分子在实施侵犯行为的过程中却必须使用电子计算机等物理设备,这些物理设备总是存在于一定的物理空间,因而网络犯罪同样有明显的犯罪现场,而且大多数网络犯罪现场是有勘查价值的。在我们发现网络犯罪线索后,只要有条件就应想方设法对犯罪现场进行勘查。

4.1 临场初步处置

当具备赶赴现场的条件后,侦查人员应尽快行动。临场后具体应做好以下几方面的工作:

(1) 封锁现场,进行人、机、物品之间的隔离

要对现场实行人、机隔离,人、物隔离。将现场内所有人员迅速带离现场,并立即检查他们随身携带的物品,重点是书面记录、通讯工具、磁卡类可以读写的卡片、磁介质(软盘、光盘等)。

(2) 加强现场保护

迅速派人看管配电室,避免发生突然断电导致系统运行中的各种数据结果丢失;看管现场以及现场周围的各种电信终端设施,检查现场及周围有没有强磁场和可以产生强磁场的物品,妥善保管各种磁介质,避免被各种磁场消磁。

4.2 采取勘查措施

在临场初步处置的基础上,应进一步迅速采取措施获取证据。

(1) 实地勘验

通过实地勘验收集现场上遗留的原始资料、数据参数等。勘验过程中主要是针对“硬件、软件、管理制度和人员状况”等方面进行取证调查。这其中既包括传统意义上的取证(如:勘验手印、足迹、工具痕迹;拍摄现场照片、绘制现场图等),又包括对“网络证据”的勘验。

“网络证据”,主要是指在硬件、软件、管理制度等方面可以反映网络犯罪行为真实情况的物证、书证及视听资料等。比如,在数据传送与接收过程中形成的电磁记录与命令记录;现场上各种系统硬件的连接状态、连接方式;屏幕显示的系统运行参数、运行结果;打印输出的结果;工作人员的日志记录等。对这些证据的勘验,常用的有记录、封存、备份、收集等手段。

记录,就是用适当的方式将现场上各种仪器设备的连接、配置状况和运行状态,各种电缆线的布线方式(串、并联方式、有无破损断裂),各种插头、插座、开关的工作状态等等情况记录下来。通过原始状态与现场遗留状况的比较,发现各种异常现象或者推断作案人使用的作案工具、作案手法。如进一步审查监视器所显示的任何证据,如果有必要,拍摄下计算机屏幕上显示的内容,并在计算机专业人员的帮助下切断与计算机相连的电话线或闭路线,在不会造成数据丢失的情况下,拔掉墙上的电源,一般不能用启动开关去关闭计算机。拍摄下计算机尾部的线路结构。断电前标上线路系统,将端口和插槽作上标记。如果所查获的不只一个系统,应将不同的零部件分别放置,并作标记。

封存,就是对现场上可能记录有犯罪行为过程和真实情况的物品、数据等证据,采取强制性手段维持其现有状态,以备进一步的分析。封存的对象主要包括:现场内的信息系统,各种可能涉及到的磁介质,上机记录,命令记录,内部人员使用的工作记录,现场上的各种打印输出结果,传真打印件,程序备份和数据备份等等。封存当中应当注意的是:封存正在运行的信息系统,要事先做好系统工作状态、系统运行参数的记录,以防关机以后无法恢复。

备份,主要是指侦查人员对不能停止运行而又没有备用应急措施的信息系统进行数据复制,以便尽快恢复系统正常工作。备份的对象主要是:系统中的相关数据、系统日志文件等。备份当中应注意的问题是:对于磁介质中所有的数据按照其物理存放格式进行全盘复制,而不是简单地拷贝文件。

收集,就是将现场上遗留的原始资料、数据参数等“网络证据”资料进行提取、包装。收集的对象主要是:计算机软、硬件,各种输入和输出设备,调制解调器,各种操作手册,各种连接线,同时还要注意收集计算机附近遗留的可能写有计算机指令的纸片等。在对网络犯罪的物证、书证及视听资料等进行包装运输时,要注意避免静电干扰。不能用塑料包装,并将其无线电设备远离磁场放置,避免电子储存的数据丢失。保管所缴获器材的房间应有空调装置。另外,还应将立体声喇叭之类的磁源保管好,不和上述器材放到一块。

(2) 实地访问

网络犯罪的现场勘查当中,实地访问是一种行之有效的获取证据、发现线索的手段。实地访问的对象主要是当事人和知情人。例如:计算机操作人员,分管领导,技术维护人员等。访问内容应当根据访问对象有策略地加以变化,概括起来包括以下内容:系统的运行状态,曾经进行过哪些操作和维修,操作人员和技术人员以及分管领导的思想表现;技术水平高低、分别能够接触哪些软硬件内容,如何发现系统出现的异常现象、采取过哪些处置措施等等。

4.3 对证据资料进行技术分析

在前一阶段勘查取证的基础上,侦查人员可以对所得的相关证据资料(例如:磁介质、系统备份、数据备份)进行技术分析,从而发现作案人是在何时、采取何种手段、从哪些方面对网络系统进行了哪些侵害,从中选取有价值的侦查线索。目前,对相关证据资料进行技术分析的手段多种多样,其中常用的有以下几类:

(1) 对比分析技术

这种技术主要是将收集到的程序、数据的备份与当前运行的程序、运行结果数据进行对比,从而发现异常状况,进而分析是否有被篡改的痕迹。

(2) 关键字查询技术

这种技术主要用于对系统硬盘备份进行分析。在侦查人员所做的对现场系统硬盘的备份当中,以某些具有特殊功能的指令语句为关键字进行匹配查询,查询的结果将说明是否存在这一特殊功能的指令语句,侦查人员可以从中发现问题。

(3) 数据分析技术

对于被作案人删除、修改的文件和磁盘数据,可以通过数据分析技术进行恢复,或者查明文件被修改移动的时间、修改前的状态和属性。这类技术包括:被删改、破坏数据的恢复技术;残留数据分析技术;文件“指纹特征数据”分析技术。

(4) 文件内容分析技术

在某些软件运行过程中,经常会产生一些记录软件运行状态和结果、数据操作过程的文件。例如:临时文件(.TMP)、备份文件(.BAK)、交换文件(.SWP);IE等网络浏览工具的地址簿当中记录了浏览过的网络站点地址和图片内容。这些文件内容可以为侦查工作提供线索和证据。

5 总结

有效地打击和防范网络犯罪,是当代社会必须承担的一项时代使命。我们只有利用先进的技术手段和法律对危害网络安全的行为进行侦破和严惩,才能减少网络犯罪的发生,从而使我们的网络相对安全一些。

[1] http://www.sina.com.

[2] 于学德,韩晶.试论网络犯罪的特点及其防范.法律文献信息与研究.1998.

[3] 陈兴实,付东阳.计算机犯罪.计算机犯罪的对策.北京:中国检查出版社.1998.

[4] 韦恩 W.贝尼特,凯伦 M.希斯.犯罪侦查[M]北京:群众出版社.2000.

猜你喜欢
计算机信息备份信息安全
“备份”25年:邓清明圆梦
BIM时代计算机信息技术在建筑工程中的应用
VSAT卫星通信备份技术研究
计算机信息技术在食品质量安全与检测中的应用
上海万欣计算机信息科技有限公司
创建vSphere 备份任务
信息安全专业人才培养探索与实践
浅析维护邮政计算机信息系统的策略
保护信息安全要滴水不漏
高校信息安全防护