时间:2023-05-28 09:25:51
导言:作为写作爱好者,不可错过为您精心挑选的10篇计算机犯罪研究论文,它们将为您的写作提供全新的视角,我们衷心期待您的阅读,并希望这些内容能为您提供灵感和参考。
***
新刑法第285条规定了侵入计算机信息系统罪;第286条规定了破坏计算机信息系统功能罪、破坏计算机数据和应用程序罪和制作传播破坏性程序罪。现就这四种犯罪的构成要件与认定时应注意的问题分析如下:
一、侵入计算机信息系统罪
所谓计算机信息系统,是指由计算机及其相关和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。侵入计算机信息系统罪,是指违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的行为。
侵入计算机信息系统,是一种危害十分严重的犯罪行为。据报道,1993年下半年有几个人打开了通往美国国防部机要计算机系统的密码。1995年,美国五角大楼的电脑系统受到25万人的“拜访”。近年最典型的“侵入”事件有两起,一是1993年英国少年布里顿“侵入”美国国防部计算机系统,接触到了包括弹道武器研究报告、美国情报部门内部机要通讯材料在内的大量机密,并把部分机密输入了有3500万用户的国际计算机网络。另一起是1994年英国电信公司一位电脑操作员“侵入”本公司内部数据库,获得了英国政府防务机构和反间谍机构的电话号码和地址,其中包括英国情报机构、政府的核地下掩体、军事指挥部以及控制中心、英国导弹基地等机密电话号码和梅杰首相的住处以及白金汉宫的私人电话号码。这是两起令世界震惊的“高技术侵入”事件。
从犯罪客观方面来说,侵入计算机信息系统,首先,必须具备违反国家规定的事实。目前,我国关于计算机信息系统管理方面的法规有:《计算机信息系统安全保护条例》、《计算机信息网络国际联网管理暂行规定》、《计算机信息网络国际联网出入信道管理办法》、《中国公用计算机互联网国际联网管理办法》、《专用网与公用网联网的暂行规定》等。其次,具有“侵入”行为(intrude),而且侵入的是党政机关、军事部门和尖端科研机构的计算机信息系统。“侵入”的方法有:
(一)冒充(masquerading/mimicking)。冒充的方式有:一是利用网络设计缺陷,比如在Internet(全球计算机网络)中,一种被称为“路线标定者”的特殊网络由计算机决定信息数据的确认和配送。“侵入者”则利用网络设计上的一个缺陷,采取欺骗“路线标定者”的办法冒充合法用户,从而得到受保护的计算机数据资源通道,控制了有关系统。二是使用别人的访问代码冒充进入他人的计算机网络。三是“乘机而入”,即“侵入者”利用合法用户输入口令(password)之机获取访问(access),或合法用户结束使用但未退出联机之前获得访问的一种方法。这就像小偷正要撬门而有人进出便混入大门一样。四是利用非法程序或方法蒙骗正在向计算机登录的合法用户以进入系统。比如,利用寄生术(piggyback),寄生术是指跟随其他用户的合法访问操作混入计算机系统作案的一种方法。
(二)技术攻击(technologicalattack),即使用技术打败技术,而不采取其他方法,比如猜想程序,猜出口令等。进行技术攻击的主要目的是绕过或取消硬件及软件存取控制机制以进入系统。
(三)后门(backdoor),后门一般是由软件作者以维护或其他理由设置的一个隐藏或伪装的程序或系统的一个入口。例如,一个操作系统的口令机构可能隐含这样一个后门,它可以使一定序列的控制字符允许访问经理的帐号。当一个后门被人发现以后,就可能被未授权用户恶意使用。
(四)陷阱门(trapdoor),也叫活门。在计算机技术中,是指为了调试程序或处理计算机内部意外事件而预先设计的自动转移条件。陷阱一般只有制造商知道,不告诉用户。程序调好后应关闭陷阱。如果厂商交货时忘记关闭陷阱,就会被人利用而绕过保护机制,然后进入系统。这种犯罪的主体,一般是具有相当水平的计算机操作人员。这些“侵入者”可按其犯罪故意的不同划分为两类:一类叫“计算机玩童”(naughty)。他们侵入计算机信息系统往往是出于好奇,或者是为了恶作剧,有的则为了检验自己的计算机技能。另一类叫“计算机窃贼”(hacker),也译“赫尔克”。这些人“侵入”纯粹出于犯罪目的。
侵入计算机信息系统罪属行为犯,只要有“侵入”的事实,即构成犯罪既遂。
二、破坏计算机信息系统功能罪
计算机信息系统一般具有采集、加工、存储、传输、检索信息的功能。所谓采集,是指在数据处理中,对要集中处理的数据进行鉴别、分类和汇总的过程;所谓加工,是指计算机为求解某一问题而进行的数据运算,也叫数据处理;所谓存储,是指将数据保存在某个存储装置中,供以后取用;所谓传输,是指把信息从一个地点发送到另一个地点,而不改变信息内容的过程;所谓检索,是指计算机从文件中找出和选择所需数据的一种运作过程。破坏计算机信息系统功能罪,就是违反国家规定,对计算机信息系统功能进行删除、修改、增加和干扰,造成计算机信息系统不能正常运行,后果严重的行为。破坏活动有时针对硬件,如某一设备;有时针对软件,如某一数据或程序;有时对硬软件同时进行破坏,比如有些计算机病毒既感染软件,又感染硬件。
破坏计算机信息系统一般有两种方式,一种是物理破坏,也叫机械破坏,就是通过爆炸、捣砸、摩擦、刺划、高温、浸湿、燃烧、短路等手段破坏计算机设备及其功能;另一种是逻辑破坏,也叫智能破坏,就是利用计算机知识和技能进行破坏活动,比如利用计算机病毒进行破坏。新刑法规定的破坏方法“删除、修改、增加、干扰”,应认为是智能破坏方法。对于利用物理方法破坏计算机信息系统功能的,理论上也应认定为破坏计算机信息系统功能罪,但鉴于新刑法没有明确规定,所以,可以按故意毁坏公私财物罪定罪处罚。常见的智能破坏方法有:
(一)干扰(jamming),指人为地发射一种强大的扰动信号,用以干扰正常的运作状态或传输中的信号,使之不能正常工作或信号不能被正常输出或接收。干扰分为电磁干扰(electromagnetieinterfere-nce)和射频干扰(radiofrequencyinterference)两种。电磁干扰是指由高能电扰动引起的感应电磁场,它不仅对无线电通信形成干扰,而且能导致沿电缆传送的数据、信息遭受破坏或丢失。射频干扰是通过发射射频电磁辐射干扰计算机工作电路。
(二)拒绝使用(denialofservice)。拒绝使用本来是指在公用电话网中,当没有可用线路时,给呼叫用户回送忙音的一种网络状态。在计算机安全中,是指废弃某系统、使端口处于停顿状态、在屏幕上发出杂乱数据、改变文件名称、删除关键程序文件或扭曲系统的资源状态,使系统运作紊乱或速度降低,最终导致处理结果降低价值或失去价值。
(三)利用计算机病毒或其他破坏性程序进行破坏。
破坏计算机信息系统功能罪属结果犯,其破坏行为必须造成计算机信息系统不能正常运行,而且后果严重,才构成犯罪。
三、破坏计算机数据和应用程序罪
所谓数据,是指计算机输入、输出和以某种方式处理的信息。所谓应用程序是指在计算机程序设计中,为某些用户编写的具有特定用途的程序。破坏计算机数据和应用程序罪,是指违反国家规定,对计算机信息系统中存储、处理或传输的数据和应用程序进行删除、修改、增加的操作,后果严重的行为。这种犯罪所侵犯的数据和应用程序必须处于“存储、处理或传输”状态,否则,不构成本罪。这种犯罪多发生在数据输入输出过程中,记录、传送、编辑、校对、调试、变更、转移等各个环节都可能是犯罪分子下手的时候。
破坏计算机数据和应用程序的方法除了新刑法规定的“删除、修改、增加”之外,还有损坏(就部分而言)、毁灭(就整体而言)、瓦解(致使数据或应用程序处于混乱状态)、隐匿等方法。计算机病毒或其他破坏性程序,也是破坏计算机数据和应用程序的常用手段这种犯罪属结果犯,处理时,应依新刑法第286条第2款定破坏计算机数据和应用程序罪,但是依照该条第1款破坏计算机信息系统功能罪的处罚规定予以处罚。
四、制作、传播破坏性程序罪
所谓破坏性程序,是指有意损坏数据、程序或破坏计算机系统安全的任何程序。常见的破坏性程序主要有以下几种:
(一)计算机病毒(computerviruses)。计算机病毒是指隐藏在计算机系统数据资源中,影响计算机系统正常运行,并可通过系统数据共享的途径蔓延传染的有害程序。计算机病毒输入计算机后,即会隐藏寄生在开机时的程序、应用程序及作业系统程序中,有时会依附在可供执行的电脑程序上,或者隐藏在其他周边设备程序或资料库内,或以伪装方式潜伏在磁碟片、硬式磁碟机或计算机记忆体内。当间隔一段时间后,它会不断地自动复制程序本身,蔓延并衍生出许多拷贝,或自动增加无益的程序,连续扩散,直至占满整个记忆体或磁碟机的空间为止,将其资料蚕食、吞噬、覆盖,最后使计算机运用缓慢、中止或停止。有的病毒如被发现,它还会潜逃到其他地方寄生,经流传变化或拷贝交换,病毒会侵入别人的磁碟上,甚至透过计算机网络连线,侵入别的计算机或磁碟上。
(二)特洛伊木马(Trojanhorse)。计算机安全中的特洛伊木马是指表面上在执行一个任务,但实际上在执行另一个任务的任何程序。这种程序与病毒的区别在于,病毒需要一个宿主(host)把自己隐藏其中,而且都能自我复制,而特洛伊木马不需要宿主,而且不自我复制。实际上,有些计算机病毒是特洛伊木马完成使命后的衰变产物。特洛伊木马能做任何软件能做的任何事情,包括修改数据库,写入基本工资、传递电子邮件或消除文件等。
(三)逻辑炸弹(logicbomb)。逻辑炸弹是指修改计算机程序,使其在某种特殊条件下按某种不同的方式运行的一种非法程序。这种程序不自我复制。逻辑炸弹被用来盗窃财物、毁坏存储资料。
(四)定时炸弹(timebomb)。定时炸弹是指在一定的日期或时刻激发的一种逻辑炸弹。这种逻辑炸弹启用的特殊条件就是实际日期或时刻与预置的日期或时刻相吻合。一但条件形成,该破坏性程序就被执行。但这种程序只隐藏自身,不自我复制。
(五)蠕虫(worm)。蠕虫是一种将自己的拷贝传染到入网计算机的程序。这种病毒主要攻击小型机,其自我复制能力很强,并主要通过自我复制来对计算机系统进行攻击,其传染途径主要是计算机网络和软磁盘。蠕虫与一般病毒的区别在于它不一定需要宿主,因为它是典型的主机型病毒,不必对用户隐藏。
以上五种程序也叫凶猛程序(rogueprogramm)。
(六)野兔(rabbit)。野兔是一种无限制地复制自身而耗尽一个系统的某种资源(CPU时间、磁盘空间、假脱机空间等等)的程序。它与病毒的区别在于它本身就是一个完整的程序,它不感染其他程序。
制作、传播破坏性程序罪,是指故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的行为。
对于没有制作和传播行为,而是利用计算机病毒等破坏性程序,破坏计算机信息系统功能,后果严重的,应当定破坏计算机信息系统功能罪。因为,有些计算机病毒既感染软件,又感染硬件,它对计算机信息系统的功能有直接破坏作用。
一、引言
随着计算机和网络的广泛应用,人们的工作和生活也越来越依赖这一现代化的工具了。但与此同时,利用计算机和网络的犯罪案例也急剧增加,它扰乱了社会的经济秩序,对国家的安全、社会文化等都构成了威胁。为了更好地打击计算机犯罪,计算机取证这一交叉于计算机和法学的学科应运而生。计算机取证过程中获得的电子证据与传统证据相比,具有易失性、脆弱性等特点,现实办案过程中,所获取的材料往往多用作办案线索而非定案证据,一直以来在证明力上保守质疑。为了能够得到法庭认可的证据,就应该规范取证的过程,规范取证的步骤,依据相关的操作规范进行取证工作。那么如何制定规范?是从技术角度还是从法律角度进行规范?计算机发展日新月异,技术或者法律的规制是否也应与时俱进呢?如何解决这些问题,不妨先看看国外在标准化方面的进程。下面先从计算机取证的含义谈起,着重介绍国际计算机取证标准化方面的工作。
二、计算机取证的含义
计算机取证没有统一、准确的定义。计算机取证资深专家JuddRobbins给出的定义:将计算机调查和分析技术应用于对潜在的、有法律效力的证据的确定与获取上。计算机紧急事件响应组CERT和取证咨询公司NTI扩展了该定义:计算机取证包括了对磁介质编码信息方式存储的计算机证据的保护、确认、提取和归档。系统管理审计和网络安全协会SANS归结为:计算机取证是使用软件和工具,按照一些预先定义的程序,全面地检查计算机系统,以提取和保护有关计算机犯罪的证据。
这些概念比较侧重于对证据的收集和获取,而没有涉及对证据的分析和法庭出示等问题,因此这几种定义是不完全的。
目前,比较全面且能广泛接受的概念是:计算机取证是指对能够为法庭接受的、足够可靠和有说服力的、存在于计算机和相关外设中的电子证据的确定、收集、保护、分析、归档以及法庭出示的过程。取证的目的是为了据此找出入侵者(或入侵的机器),并解释入侵的过程。
此外,和计算机取证相近的术语还有计算机取证、电子证据的收集等,虽然,业界有很多学者对它们的含义进行了区分和界定,实际上,笔者认为它们的含义大体相同,涉及的取证过程的步骤、原则、标准等理论也基本一致可以互通,所以并没有严格区分的必要。
三、计算机取证的基本步骤
计算机取证的工作流程目前并没有统一的规定,早在1999年,美国人法默和韦尼玛在一次电子取证分析培训班上率先提出了基本过程模型,遵循如下的基本取证流程:第一步,保护现场安全并进行隔离;第二步,对现场进行记录;第三步,系统地查找证据;第四步,对证据进行提取和打包;第五步,建立证据保管链。后来,相继有多种模型被提出,如:事件响应过程模型、执法过程模型、抽象过程模型、综合数字取证模型、增强式数字取证模型、基于需求的计算机取证过程模型、多维计算机取证模型、可信计算取证模型以及网络实时取证模型。总的来看,这些模型是分别立足于不同的取证环境或技术的,所反映出来的取证流程也有所差异。但大致都包含了如下几个部分:
(一)现场保护与勘查现场勘查是获取证据的第一步,是指计算机侦查人员依照规定,使用计算机科学技术手段和调查访问的方法,对与计算机案件有关的场所、物品及犯罪嫌疑人、被告人以及可能隐藏罪证的人的身体进行检查、搜索,并对于和犯罪相关的证据材料扣留封存的一种侦查活动。
(二)证据获取证据的获取是指识别物理设备中可能含有电子证据的电子数据,并对这些电子数据进行收集,或直接利用技术手段收集电子数据的过程。从本质上说,就是从众多的未知和不确定性中找到确定性的东西。所以,这一阶段的任务就是保存所有电子数据,至少要复制硬盘上所有已分配和未分配的数据,也就是通常所说的硬盘映像。除了硬盘数据外,网络数据也是要获取的证据。网络数据包括实时获取的网络通信数据流,网络设备上产生的日志文件,防火墙的日志文件以及与网络应用有关的日志和登陆日志文件等。
(三)证据鉴定计算机证据的鉴定主要是解决证据的完整性验证。计算机取证工作的难点之一是证明取证人员所收集到的证据没有被修改过。而计算机获取的证据又恰恰具有易改变和易损毁的特点,如果获取的电子数据不加以妥善保存,电子数据很容易受到破坏,甚至消失。所以,取证过程中应注重采取保护证据的措施。常用的电子数据的保存技术主要有物证监督链、数字时间戳技术、数字指纹技术、数据加密技术等等。
(四)证据分析分析证据是计算机取证的核心和关键,分析已获取的数据,然后确定证据的类型,包括检查文件和目录内容以及恢复已删除的内容,分析计算机的类型、采用的操作系统,是否为多操作系统或有无隐藏的分区;有无可疑外设;有无远程控制、木马程序及当前计算机系统的网络环境等,并用科学的方法根据已发现的证据推出结论。
(五)证据追踪上面提到的计算机取证步骤是静态的,即事件发生后对目标系统的静态分析。随着计算机犯罪技术手段的升级,这种静态的分析已经无法满足要求,发展趋势是将计算机取证与入侵检测等网络安全工具和网络体系结构技术相结合,进行动态取证,即计算机动态取证。
(六)证据提交这个步骤主要包括打印对目标计算机系统的全面分析和追踪结果,以及所有可能有用的文件和被挖掘出来的文件数据的清单,然后给出分析结论,主要涉及计算机犯罪的日期和时间、硬盘的分区情况、操作系统版本、运行取证工具时数据和操作系统的完整性、病毒评估情况、发现的文件结构、数据、作者的信息,对信息的任何隐藏、删除、保护、加密企图,以及在调查中发现的其他的相关信息,标明提取时间、地点、机器、提取人及见证人,给出必要的专家证明或在法庭上的证词。最后以证据的形式按照合法的程序提交给司法机关。
四、计算机取证的规制现状
在遵循取证原则的基础上,计算机取证的各个阶段所需要遵守的法律界限在哪里,如何把所获取的电子证据送上法庭以及如何呈送,这些问题的解决都需要与计算机取证相关的规则和制度的出现。
计算机取证的规制分技术规制和法律规制两个方面,前者从技术角度推动计算机取证的标准化,后者从法律角度促进计算机取证的合法化。它们之间存在着一定的界限。举例来说,在证据提交的这个步骤中,提交什么样格式的文档,文档中包含的内容和数据及其相互关系如何,是否需要统一界定,这属于技术规制的范畴。技术规制同其他自然科学一样,与政策和法律体制无关,因此,不同国家之间可以相互参考。
但法律规制则不然,显然无法照搬别国的法律条文,例如:就电子证据是否单独立法各个国家的作法就不尽相同,英美法系的国家大都有专门的法案,美国在1996年设立了《国家信息安全法案》,英国在1984年出台了《数据保护法》,而大陆法系的国家则不一定设有专门的法案,如:法国作为大陆法系的代表之一,没有专门的证据法典,只是在1992年通过、1994年生效的《刑法典》中专设了“计算机信息领域的犯罪”一章。
计算机取证的法律规制与技术规制区别明显,但这并不说明这两者之间不能转化,技术规制经过实践检验,法律确认后便可成为法律规制。正因为相互之间的可转化性,所以本文无法也没有必要单独从技术规制和法律规制两个角度分裂开来介绍目前的国外研究现状,而是从标准化草案和立法现状两个角度来介绍规制情况。
(一)标准化草案1.美国SWGDE组织提出的标准化草案计算机取证的标准化工作起源于“Digital Evidence:Standardsand Principles(数字证据:标准和原则)”一文的出版,该文由SWGDE(Scientific Working Group DigitalEvidence,数字证据科学小组,它是国际计算机证据组织在美国的分部)起草,并于1999年10月在伦敦举办的国际高技术犯罪和取证会议上公布,次年4月刊登在美国联邦调查局出版的《Forensic Science Communications》。目前,已被美国法律部门采纳为标准化草案。
“数字证据:标准和原则”一文中明确规定,为使数字证据以一种安全的方式进行收集、保存、检查和传输,以确保其准确性和可靠性,法律部门和取证机构必须建立一个有效的质量体系并需编制一份标准化操作规程(Standard Operating Procedures Manual, SOP,2011年6月已出第二版)。考虑到了计算机技术的飞速发展,SOP文件必须每年有权威机构审查一次,以确保其使用范围和有效性。在SOP文档中,规定了取证过程操作的技术规程,方法性的指导了取证的过程。考虑到处理证据过程中关注的角度不同,SOP文档分为实验室单元和现场单元两种类型的文档,现场单元文档中列举了在证据保存、动态内存数据获取、数据镜像、移动设备收集等环节过程中所需要软硬设备、局限性、处理过程的标准化建议,实验室单元文档中列举了在介质擦除、硬件拆除、BIOS检测、介质写保护等环节中所需要的软硬设备、局限性、处理过程的标准化建议。
一、会议主题
2015年是网络强国战略的起步年。网络强国离不开自主可控的安全技术支持,只有实现网络和信息安全的前沿技术和科技水平的赶超,才能实现关键核心技术的真正自主可控,才能实现从战略层面、实施层面全局而振的长策。当前,信息网络应用飞速发展,技术创新的步伐越来越快,云计算、大数据、移动网络、物联网、智能化、三网融合等一系列信息化应用新概念、新技术、新应用给信息安全行业提出新的挑战。同时,国际上网络安全技术事件和政治博弈越来越激烈和复杂,“工业4.0”时代对网络安全的冲击来势汹涌。我们需要全民树立建设网络强国的新理念,并切实提升国家第五空间的战略地位和执行力。本次会议的主题为“科技是建设网络强国的基础”。
二、征文内容
1. 关于提升国家第五空间的战略地位和执行力的研究
2. 云计算与云安全
3. 大数据及其应用中的安全
4. 移动网络及其信息安全
5. 物联网安全
6. 智能化应用安全
7. 网络监测与监管技术
8. 面对新形势的等级保护管理与技术研究
9. 信息安全应急响应体系
10. 可信计算
11. 网络可信体系建设研究
12. 工业控制系统及基础设施的网络与信息安全
13. 网络与信息系统的内容安全
14. 预防和打击计算机犯罪
15. 网络与信息安全法制建设的研究
16. 重大安全事件的分析报告与对策建议
17. 我国网络安全产业发展的研究成果与诉求
18. 其他有关网络安全和信息化的学术成果
凡属于网络安全和信息安全领域的各类学术论文、研究报告和成果介绍均可投稿。
三、征文要求
1. 论文要求主题明确、论据充分、联系实际、反映信息安全最新研究成果,未曾发表,篇幅控制在5000字左右。
2. 提倡学术民主。鼓励新观点、新概念、新成果、新发现的发表和争鸣。
3. 提倡端正学风、反对抄袭,将对投稿的文章进行相似性比对检查。
4. 文责自负。单位和人员投稿应先由所在单位进行保密审查,通过后方可投稿。
5. 作者须按计算机安全专业委员会秘书处统一发出的论文模版格式排版并如实填写投稿表,在截止日期前提交电子版的论文与投稿表。
6、论文模版和投稿表请到计算机安全专业委员会网站下载,网址是:.cn。
联系人:田芳,郝文江
电话:010-88513291,88513292
1.概述
近年来,随着我国计算机信息技术取得了突飞猛进的发展及互联网技术的大规模普及应用,现在的计算机网络业已成为民众生活中的重要组成之一,大家对于计算机信息系统产生信息安全及防护的需求及依赖性不断增强。同时计算机网络信息安全的威胁也开始变得日益严重。所以研究影响计算机网络信息安全的原因,并以此为基础提出确保网络信息安全的有关措施变得极为重要。Internet技术的开放性和广泛性和本身其他因素造成网络条件下的计算机可能出现诸多的安全隐患。为解决计算机的网络信息安全问题,不同的网络信息安全机制及策略,特别是网络信息安全工具开始被人们广泛应用。
网络信息安全及其防护作为一门涉及到计算雛术、网络通信技术、保护技术、密码技术、信息安全技术及应用信息技术等不同学科整合的综合性技术,其含义指保护计算机网络系统软硬件及其存储的数据避免受到一些偶然或是恶意的影响因素的破坏和泄露,确保网络系统可靠、持续、安全地运行。
2.计算机网络信息安全及防护的潜在威胁
计算机的网络信息安全及防护存在着不同的潜在威胁,其中主要分为六类,即自然灾害、操作错误、恶意攻击、计算机病毒、垃圾邮件和计算机犯罪等。
2.1自然灾害。计算机信息系统作为智能系统的操作整体,极易遭受到-些不可抗力的自然性灾害和计算机所处环境如环境温度、环境湿度、环境振动、环境冲击及环境污染等影响。现在我们日常所用的计算机所处的空间通常都没有设置有防地震、防火灾、防水、防雷及避免电磁干扰等相应的手段,且计算机的接地处理也不是很周全,造成计算机系统在面对自然性灾害及意外性事故的防御能力不强。
2.2恶意攻击。恶意攻击是计算机信息网络安全所要面对的最大及最常见的安全威胁。恶意攻击一般分为主动与被动两种攻击。主动攻击指路用不同方式进行选择性地破坏网络信息的合理性和有效性;被动攻击则指在不影响计算机网络正常运行的条件下,开展信息截获、信息窃取、信息破译以得到重要信息和机密信息。这两种攻击都对网络产生极大伤害并造成相应的重要信息的破坏和数据泄漏。网络软件存在的漏洞也提供给黑客非法侵入的渠道,使其修改信息网络使其无法正常使用,造成重大经济损失。
2.3计算机病毒。计算机病毒是存储和隐藏在执行程序、数据及文件中而不易被发现,但一旦遇到适当的机会被触发以后,即可得到计算机的控制程序,计算机病毒的传染性、潜在性及强破坏性等特点使得计算机病毒经由复制、传送相应的文件或是运行相应的程序等进行传播。计算机中毒轻则使系统工作效率大幅度降低重则会损坏、删除数据文件,破坏计算机硬件,导致无法预料的严重后果。
2.4操作失误。一些计算机和网络用户本身的安全意识较差,其设置的安全口令相对不复杂,可能造成用户账号和用户密码发生泄露或被篡改,进而威肋或攻击网络安全。
2.5垃圾邮件。某些人借助于电子垃圾邮件地址实施将本身电子邮件强行发送到别人邮箱的行为,强迫对方接受这些垃圾邮件。垃圾邮件和计算机病毒的最大差别是其目的不不是破坏计算机系统而是窃取用户信息或进行广告宣传严重的甚至可能威胁用户安全。
2.6计算机犯罪。通常是利用窃取口令等手段非法侵入计算机信息系统,传播有害信息,恶意破坏计算机系统,实施贪污、盗窃、诈骗和金融犯罪等活动。
3.常用的计算机网络信息安全防护策略
3.1加强用户账号的安全。用户账号的涉及面很广,包括系统登录账号和电子邮件账号、网上银行账号等应用账号,而获取合法的账号和密码是黑客攻击网络系统最常用的方法。首先是对系统登录账号设置复杂的密码;其次是尽量不要设置相同或者相似的账号,尽量采用数字与字母、特殊符号的组合的方式设置账号和密码,并且要尽量设置长密码并定期更换。
3.2及时安装漏洞补丁程序。漏洞是可以在攻击过程中利用的弱点可以是软件、硬件、程序缺点、功能设计或者配置不当等。为了纠正这些漏洞,软件厂商补丁程序。我们应及时安装漏洞补丁程序,有效解决漏洞程序所带来的安全问题。扫描漏洞可以使用专门的漏洞扫描器,比如COPS、tiger等软件,也可使用360安全卫士、瑞星卡卡等防护软件扫描并下载漏洞补丁。
3.3安装防火墙和杀毒软件。网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。根据防火墙所采用的技术不同,可将它分为包过滤型、地址转换型、型和监测型。包过滤型防火墙采用网络中的分包传输技术通过读取数据包中的地址信息判断这些“包”是否来自可信任的安全站点1旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。地址转换型防火墙将内侧IP地址转换成临时的、外部的、注册的IP地址。内部网络访问因特网时,对外隐藏了真实的IP地址。外部网络通过网卡访问内部网络时,它并不知道内部网络的连接情况而只是通过一个开放的IP地址和端口来请求访问。
3.5文件加密和数字签名技术。文件加密与数字签名技术是为提高信息系统及数据的安全保密性,防止秘密数据被外部窃取、侦听或破坏所采用的主要技术之一。根据作用不同,文件加密和数字签名技术主要分为数据传输、数据存储、数据完整性的鉴别三种。数据传输加密技术主要用来对传输中的数据流加密通常有线路加密和端对端加密两种。前者侧重在路线上而不考虑信源与信宿是对保密信息通过的各线路采用不同的加密密钥提供安全保护。后者则指信息由发送者通过专用的加密软件,采用某种加密技术对所发送文件进行加密,把明文加密成密文,当这些信息到达目的地时,由收件人运用相应的密钥进行解密,使密文恢复成为可读数据明文。
一、网上银行犯罪的现状
网上银行犯罪形式复杂多样,迷惑性较强,犯罪行为的定性问题值得研究。网上银行犯罪主要有以下几种:
(一)网上银行的盗窃行为
对于网上银行用户来说最为重要的莫过于网上银行账号和密码了,常见的网上银行盗窃是利用病毒秘密窃取用户的账号和密码当被感染用户再次使用网上银行业务时,用户的账号、密码和数字证书就会被窃取并发向病毒编写者的信箱;还有像泛滥的小邮差变种在线支付网站的信息骗取用户的信用卡和密码等信息;另一种现象是利用网上银行进行非法转账,该类犯罪主体可以是受害单位外部人员,也可以是受害单位内部人员。如果内外部人员共同合作参与则构成盗窃的共犯或者贪污、职务侵占的共犯。
(二)网上银行诈骗
犯罪分子利用人们缺乏网上支付这种新兴支付手段的知识,轻而易举实施犯罪。另外,一些不法分子仿制网上银行网页制作诈骗网站,然后以银行的名义发送电子邮件,在电子邮件中载有一个可链接至诈骗网站的超链接,并需要客户经这个超链接输入账号和密码,以核实其资料。此外,还有虚假销售网站风险,这类网站以低价出售市面热销的商品,目的是骗取客户网上银行账号里的存款,如在网络游戏中低价贩卖武器装备,就可以骗到用户账号和密码。
(三)网上银行洗钱
网上银行和传统银行一样,具有许多功能,网上银行为我们带来便利的同时,也为不法分子洗钱提供了新的渠道,藏匿和转移赃款变得更加容易。不难看出,尽管利用网上银行洗钱,手法较传统洗钱方式有所区别,但定性为洗钱罪应无问题。
(四)非法侵入网上银行系统
非法侵入网上银行系统有三种:一是善意的侵入者;二是没有恶意的黑客;三是恶意的黑客。基于罪刑法定原则,前两种情况无罪的处理结果是无可厚非的,但是侵入行为已对网上银行系统的安全构成了极大的危害,容易造成商业机密泄漏等,而且随着网上银行在我国的进一步发展,在未来的金融系统所起的作用越来越大,因此必须对此类行为进一步加以立法规制;对于第三种情况来说,如果其实施的删除、修改、增加、干扰行为已完成,并造成系统不能正常运行,后果严重。但如果犯罪行为在产生危害结果前,因系统管理员或侦查机关发现而自动中止或被迫停止该行为,预定结果未实现,出于《刑法》第二百八十六条规定为结果犯,此时就不能以该条定罪。
二、网上银行犯罪侦查的难点
不同于一般案件的侦查,网络犯罪所具有的智能性、隐蔽性、跨地域性以及罪证易被篡改、销毁等特性,网上银行犯罪也都具备。实践中侦查机关常常面临如下难点:
(一)侦查机关准备不足
我国侦查机关还把侦点停留在传统证据的收集上,缺乏网络犯罪证据发现、收集与固定的敏锐意识,缺乏以科技智能等手段作为支撑、以公开和秘密两个方面加强情报信息收集的能力。我国的网络警察与发达国家相比成立较晚,技术积累少,另外高科技设备严重装备不足,与网络犯罪形成一个不对称的局面。对于网上银行犯罪尤其需要更高科技含量,不仅要懂电脑知识而且要熟悉精通银行方面的业务技术,对于计算机犯罪侦查和取证等一系列工作,显然要求相关公安民警必须掌握较全面的计算机知识。
(二)相关法律法规不健全
现行《刑法》来应对网上银行犯罪时会涉及到管辖权问题,《刑法》在观念层面、理论层面、实践层面便暴露出了方方面面的问题。此外,《刑法》第二百八十五、二百八十六、二百八十七条的规定过于狭窄,缺乏打击网上金融犯罪的法律规定,因此最好制定单独的《中国互联网金融犯罪条例》来打击网上金融犯罪。例如《刑法》第一百九十一条规定的五种洗钱犯罪的方式就没有提及通过网上银行洗钱的方式,应在相关立法和司法解释中对通过网上银行进行的洗钱犯罪及相关惩治措施作出具体的规定。
(三)犯罪证据难以收集与固定
网上银行犯罪证据的收集、判断、保存需要专业的计算机知识,但侦查机关中具有这方面专业知识的人才很少。出于网络证据的脆弱性,网上银行犯罪证据在人为因素作用下,极易发生改变,而且不留痕迹,难以恢复。。除了人为的因素,环境因素也可造成(如强电磁场、温度、湿度等)证据改变。即使在收集证据的过程中,由于技术或设备的原因,也可能对原始数据造成修改、破坏甚至毁灭。此外,由于网上银行犯罪证据本身的脆弱性,销毁起来也相当容易。实践中常见的是在犯罪证据保全这一问题上意识弱、动作慢,使证据被销毁,从而出现认定犯罪上的困难。
三、网上银行犯罪侦查的策略
(一)网上情报主导侦查,提高网上侦查能力
公安机关必须采取加强日常登记、加强情报专业队伍建设、加强网上银行情报基础建设、加强与民间商业公司的合作、加强秘密力量建设以及加强国际合作等措施,建立起完善的网上银行情报收集体系,并加强立法,为网上银行犯罪情报收集提供合法依据。同时,全国应建立计算机犯罪前科数据库,重点监控那些有前科的掌握高水平计算机知识的人员。另外,建议公安部设立全国互联网巡查中心,负责对全球网站、网址进行巡查,一经发现有害数据的网站应及时进行预警并找出应对策略。
(二)确定网上银行犯罪管辖权
我国《刑法》规定的管辖采用的是以属地管辖为基础,以属人管辖为原则,以保护管辖和普遍管辖为补充的刑事管辖原则。为了有效打击犯罪,在现有法律框架下确定我国对网上银行犯罪的刑事管辖权,同样应该坚持以属地管辖为基础的管辖原则,但应当对传统刑法理论的属地管辖原则加以适度扩充,对犯罪行为地和犯罪结果地做出广义上的解释。
(三)勘查网上银行犯罪现场
网上银行犯罪案件的现场勘查,除了传统意义上的勘查手段之外(如勘验足迹、指纹、工具痕迹、拍摄现场照片、绘制现场图等),还要迅速保护封锁现场,进行人、机、物之间的隔离,记录现场各种仪器的连接、配置状况和运行状态,尤其是对正在运行的系统参数,防止关机后无法恢复。还要收集、封存现场上可能记录有犯罪行为过程和真实情况的物品、数据等证明(如工作日记,伪造的各种银行卡、假身份证,记录下的账号、密码以及烧毁、撕毁的计算机打印结果、计算机磁盘的残片等),另外最好能对系统进行备份
(四)保全网上银行犯罪证据
一是现场提取的内容、方法、工具等要做好现场记录,见证签字,以验证不可变、唯一性;二是复制的有关文件要打印目录数据、文件清单,体现属性、长度、时间等;三是给所有的拟作为证据的硬盘、软盘、软件、文件资料等作标志,整理归类。
犯罪侦查必然面临诸如收集、认定证据等技术上的新难题。侦查机关在应对网上银行犯罪时,要不断运用网络技术手段在信息网络领域建立系统、完整、有机衔接的预防、控制、侦查、惩处信息网络犯罪体系,以提高防范、控制和侦查打击能力。
参考文献
1.计算机病毒是计算机犯罪的一种新的衍化形式。计算机病毒是高技术犯罪,具有瞬时性、动态性和随机性。不易取证,风险小,破坏大,从而刺激了犯罪意识和犯罪活动。是某些人恶作剧和报复心态在计算机应用领域的表现。
2.计算机软硬件产品的危弱性是根本的技术原因。计算机是电子产品。数据从输入、存储、处理、输出等环节,易误入、篡改、丢失、作假和破坏;程序易被删除、改写;计算机软件论文的手工方式,效率低下且生产周期长;人们至今没有办法事先了解一个程序有没有错误,只能在运行中发现、修改错误,并不知道还有多少错误和缺陷隐藏在其中。这些脆弱性就为病毒的侵入提供了方便。
3.微机的普及应用是计算机病毒产生的必要环境。1983年11月3日美国计算机专家首次提出了计算机病毒的概念并进行了验证。几年前计算机病毒就迅速蔓延,到我国才是近年来的事。而这几年正是我国微型计算机普及应用热潮。微机的广泛普及,操作系统简单明了,软、硬件透明度高,基本上没有什么安全措施,能够透彻了解它内部结构的用户日益增多,对其存在的缺点和易攻击处也了解的越来越清楚,不同的目的可以做出截然不同的选择。目前,在IBMPC系统及其兼容机上广泛流行着各种病毒就很说明这个问题。
二、计算机病毒的预防措施
通过采取技术上和管理上的措施,计算机病毒是完全可以防范的。虽然难免仍有新出现的病毒,采用更隐秘的手段,利用现有计算机操作系统安全防护机制的漏洞,以及反病毒防御技术上尚存在的缺陷,这与人类对于生物病毒的防疫方法是多么相像。新出现的生物病毒会使某些人致病,通过广为宣传可使更多的人免受其害,而研究人员在仅靠防护措施的情况下进行研究却不会被病毒传染,关键就是靠最重要的是思想上要重视计算机病毒可能会给计算机安全运行带来的危害。
计算机病毒的预防措施是安全使用计算机的要求,计算机病毒的预防措施有以下几点。
1.对新购置的计算机系统用检测病毒软件检查已知病毒,用人工检测方法检查未知病毒,并经过实验,证实没有病毒传染和破坏迹象再实际用。新购置的计算机中是可能携带有病毒的。新购置的硬盘中可能有病毒。对硬盘可以进行检测或进行低级格式化,因对硬盘只做DOS的FORMAT格式化是不能去除主引导区(分区表扇区)病毒的。新购置的计算机软件也要进行病毒检测。检测方法要用软件查已知病毒,也要用人工检测和实际实验的方法检测。
2.定期与不定期地进行磁盘文件备份工作,确保每一过程和细节的准确、可靠,在万一系统崩溃时最大限度地恢复系统原样,减少可能的损失。不要等到由于病毒破坏、PC机硬件或软件故障使用户数据受到损伤时再去急救。重要的数据应当时进行备份。当然备份前要保证没有病毒,不然也会将病毒备份。很难想象,用户数据没有备份的机器在发生灾难后会造成什么影响。系统程序和应用程序用经费是可以买到的,而用户数据是无法用钱买到的。
3. 选择使用公认质量最好、升级服务最及时、对新病毒响应和跟踪最迅速有效的反病毒产品,定期维护和检测您的计算机系统。如果您使用的是免费、共享的反病毒软件而厂家还提供正式版,应努力争取该项开支去购买正版,因为这不仅仅使得厂家能由于您的投入而获得继续开发研究升级版本的资金支持,更重要的是,您将因此而获得售后服务和技术支持等一系列正版软件用户的合法权益。
4.总结恪守一套合理有效的防范策略。无论您只是使用家用计算机的发烧友,还是每天上班都要面对屏幕工作的计算机一族,都将无一例外地、毫无疑问地会受到病毒的感染和侵扰,只是或迟或早而已。因此,一定要学习和掌握一些必备的相关知识,如果您是企业和单位里工作的计算机用户,更需要总结恪守一套合理有效的防范策略,并且要为计算机系统感染病毒做出一些应变计划,您将会在无形中获益非凡。
三、计算机病毒的预防技术
1.将大量的消毒、杀毒软件汇集一体,检查是否存在已知病毒,如在开机时或在执行每一个可执行文件前执行扫描程序。这种工具的缺点是:对变种或未知病毒无效;系统开销大,常驻内存,每次扫描都要花费一定时间,已知病毒越多,扫描时间越长。
2.检测一些病毒经常要改变的系统信息,如引导区、中断向量表、可用内存空间等,以确定是否存在病毒行为。其缺点是:无法准确识别正常程序与病毒程序的行为,常常报警,而频频误报警的结果是使用户失去对病毒的戒心。
纵观1997年物证技术学的研究,主要集中在以下几个方面:
1.拓宽物证技术研究领域。随着我国法制建设的发展和完善,对为法律服务的物证技术的要求也越来越高。不仅“刑事犯罪案件逐年增多,暴力化、技巧化、智能化趋势明显,有组织的犯罪增多,犯罪手段的现代化程度提高”,〔1〕对物证技术提出了严峻的挑战,而且民事诉讼案件中,要保证准确地执法,也越来越多的要求对案件中的各种物证进行科学鉴定。鉴于“常规的手印、足迹等痕迹物证在现场上的提取率越来越低。”〔2〕因此,广泛发现、提取、鉴定其他微量物证就显得格外重要。如爆炸残留物、纤维、毛发、油脂、泥土、涂料以及塑料、金属屑等。
2.物证技术鉴定制度的完善。随着法制建设的飞速发展,在诉讼中占重要地位的物证技术鉴定,其制度的进一步完善越来越紧迫。有的学者对我国现行鉴定制度中存在问题及鉴定活动不规范的现象,作了调研,写出有关论文数篇。公安部物证鉴定中心还组织力量对以往物证鉴定有关条例进行研讨,业已着手制定物证鉴定工作条例。为了确保物证鉴定的准确性,有的学者对某些鉴定技术的标准化和质量控制提出了措施。有的学者从法理角度和我国司法实践相结合,对立法的理论依据和现实条件进行了细致的研究。还有的学者就我国现实中物证鉴定主体、鉴定资格与涉围鉴定证人、鉴定权的划分等问题进行了比较全面地分析和论述。
3.物证摄影技术。本年度该领域的研究主要集中在新技术、新方法的研究。如对玻璃横断面痕迹的拍照;变压器矽钢片油渍指印的拍照;蜡表面指印的拍摄方法;利用定向反射镜进行暗视场照相的方法;利用偏振光灯拍照灰尘印痕;以及对相对平行区颅面、颜面上对应特征水平摄影位置关系的研究;刑事录像与计算机图像处理等方面的研究。
4.痕迹技术。痕迹物证技术方面学者们完成了“八。五”国家科技攻关项目:“DFO合成及其显现潜在指纹技术研究”;
“定向反射显理潜在指印技术系统研究”:“加湿502胶重显方法及器材研究”;
“微粒悬浮液显现潜在手印方法”等,使我国痕迹物证在上述技术中有的达到国际先进水平,有的处于国际领先地位。在此基础上,97年痕迹物证技术研究又取得丰硕成果,各类学刊上发表了近百篇文章,涉及手印、足迹、工具痕迹、枪弹痕迹及动物咬痕等的显现、提取、鉴定的各个方面。如有的学者探讨了足迹边缘特征的检验;足迹检验中影响特征形成的几种因素;同一人异体鞋鞋底磨损形态变异规律;手压的装足迹的检验等问题。有的学者对非原配钥匙痕迹、锯路波形成机理等方面进行了研究。有的学者对枪弹阳膛线痕迹变宽机理、枪弹痕迹防护技术、弹头擦点痕迹及改造手枪的鉴定等进行了深入的研究。有的学者还就耳廊印痕鉴定技术、烟头上牙印痕迹、录像资料与器材的带机同一认定进行了探讨。
5.文书物证技术。实践中近年来涉及文书物证的案件逐渐增多,文书物证技术研究也有了相当的发展。97年国内学者在这一方面的研究主要有:多种方法伪装字迹案件的检验;血书的字迹检验;反转交叉套摹笔迹的检验;编造规律性特征的伪装笔迹检验;书写相对时间的检验及文件制作时间的鉴定;电脑打印文件的打字人识别等。
6.毒物及其他微量化学特证技术。世界范围内的禁毒活动对毒物、物证技术研究提出了更高要求。97年10月份召开了首届全国检验技术交流会,会议汇集论文134篇,广泛研究了应用现代分析仪器对进行检验的新技术。在毒物分析方面,学者研究了因相等取技术在毒物分析中的应用;毒性元素砷、汞、铅试样处理方法及等离子体光谱测试技术等。在分析方面,学者们对GC/FID测定在人体内残留时间,生物体内海洛因及其代谢物的REMEDI的快速检验进行了研究。国内外学者还对违禁药品的测定方法、可卡因对人体毒性作用、可卡因原子光谱、的快速检出法等进行了深入研究。在其他微量化学物证技术方面,学者们应用现代分析技术,拓宽检验领域。一年来,学刊上发表的论文主要有:从污染的纵火残留物中鉴别石油蒸馏物的气相色谱;微量金属物证的扫描电镜/x—射线能谱;植物粑粉证据研究;土壤科学在空难事件调查中的作用;x—射线荧光法分析人体组织和衣服上射击残留物;胶带捉取射击残留物;微纤维;同位素标定在物证中的作用等。
7.生物物证技术。生物物证技术方面,97年10月份召开了首届全国法医物证新技术、新进展研讨会。与会专家对“八。五”期间的科研成就进行了回顾。这一领域内的DNA分析技术仍是研究的重点。
“八。五”期间在“非同位素标记探针的DNA指纹图技术、复合扩冲STR位点的DNA分型技术、人类线粒体DNA测序技术、DNA扩冲片段长度多态性和DNA探针研制等多项国家重点科技攻关项目均达到国际先进水平或跃居国际领先地位,其中有四项获得国家科技进步二等奖。1997年学者们继续开拓前进,研究的热点是:”多聚酶链反应(PCR)技术“和”短串联重复序列(STR)的扩冲技术“。
有的学者提出“这两项技术将取代”DNA“指纹图技术”,〔3〕发挥其对微量、陈旧、污染人体检材进行个人识别的优越性。
(二)物证技术学研究的展望
在新的一年里,研究的主要内容除继续深化物证技术的基础理论研究和物证鉴定制度的改革外,还将对以下课题进行深入研究:物证技术中计算机的应用方面,在原来指纹档案计算机管理的基础上,已发展到在鉴定中应用指纹印的计算机自动识别系统;在法医物证的DNA分析中,有的已将分析结果用计算机扫描保存,克服了不同检材必须同步分析的缺点;学者们更着眼于物证技术鉴定中自动识别系统的应用;物证技术鉴定中信息、数据为的建立以及物证技术与国际互联网络等的研究。在痕迹物证、文书物证、微量化学物证等其他各领域中,将进一步研究新技术、新方法。对国外物证技术研究新成果的引进和国内外其他自然科学先进技术的借鉴,使物证技术鉴定水平再上一个台阶。另外,目前学者们对物证鉴定技术的标准化和鉴定擀量控制的必要性已达成共识。将在这方面加深研究,进一步提高物证鉴定的整体水平,更好地为法律服务。
二、1997年侦查学研究的回顾与展望
(一)1997年的回顾
1997年是我国侦查学研究深入开拓和稳步前进的一年。年初,在杭州召开了“现代刑侦工作方针专家座谈会”,对侦查工作方针进行了研讨。此外,专家学者们还就侦查体制改革、侦查措施、方法等有关问题展开了全方位研究,取得了丰硕成果。1997年我国侦查学研究的主要问题集中在以下几个方面:
1.侦查工作方针。现行的侦查工作方针是公安部于1978年制定的《刑事侦察工作细则》中确定的。有的学者在分析该方针不足与过时的基础上,从制订侦查方针的依据、内容方面进行了探索,提出了“专群结合、破防并举、科学办案、狠抓战机”的新方针建议。在杭州会议上,更多学者则围绕《公安学刊》1996年第三期发表的斯大孝、蔡杨蒙的《论争取把更多的案件处置在始发阶段》一文,展开了热烈讨论。学者们从不同角度充分肯定了“争取把更多的案件处置在始发阶段”的必要性、可行性和优越性,认为它应作为新时期侦查工作的一个重要指导方针。有的学者还由此提出了对传统侦查工作的反思,主张将侦查工作置于大治安之中,强调公安机关要把预防犯罪和打击犯罪作为侦查工作的出发点和落脚点。有的学者认为,争取把更多案件处置在始发阶段是侦查工作走出低效益的关键环节,强调以此为突破口转变思想深化公安侦查改革。还有学者进行了配套论证,认为贯彻落实“争取把更多案件处置在始发阶段”应树立服务观、效率观、全局观、群众观、科学观五大新观念。围绕侦查工作方针的讨论,其参与人员之众多,研究态度之务实,影响之深远广泛,无疑构成了该年度侦查学研究中的一道亮丽风景。
2.侦查体制改革。我国现行侦查体制仍是计划经济的产物。学者们总结认为,其存在着管辖分工不科学、机构设置重叠和不合理、职责不明、缺乏竞争机制、协作不力、效率低下、程序不顺等诸多问题。有的学者建议,继续完善和推广侦查人员责任制,改革侦查工作考核标准,大胆实行竞争机制。还有学者对市局刑警队和分局刑警队建制提出了改良意见,认为应将市局刑警队与分局刑警队重复的一线侦查力量进行合并,把这些侦查力量放置在基层,以充分发挥他们的工作效率。有的学者对派出所侦查职能改革进行评析,认为派出所虽然不再承担侦查破案的主要任务,但也不能完全不管案件侦查,而要积极配合协助侦查部门调查取证,抓好侦查基础工作。有的学者进而提出了派遣刑警人员入驻派出所的设想与方案。有的学者还剖析了我国公安机关内部现行的侦查部门与预审部门分别专门设置及其工作互相交叉的现象与不良后果,主张实行侦查预审合一的制度,以减少不必要的环节。还有学者从条块关系出发,提出建立自上而下大刑侦机制的改革设想,主张加强不同地区、不同部门、不同警种之间的协作。
3.侦查措施和方法。这一方面的研究主要集中在各种措施和方法的运用上,且多结合实际案例或实践中的具体问题加以论述。有的从缉捕对象、缉捕人员、缉捕行动的主客观因素、缉捕保障方面探讨了缉捕行动的决策依据;有的探讨了侦查中推断犯罪分子职业的方法;有的分析了串并案侦查的前提、基础及成功保障;有的学者对新时期如何开展布控、协查进行了研究;还有学者对开设侦查TV(或警察TV)、利用电视通缉令等方式的必要性和实行办法进行了初步探讨。此外,还有学者研究了侦查措施现代化与合法化的问题。
4.侦查协作与侦查信息。加强侦查协作一直是近几年研究的热点问题。有的学者探讨了各部门、各警种协同作战体制建立的可能性。有的学者对现行三级破案制度进行了剖析,主张建立与各地犯罪形势相适应的侦查机构层次。在具体协作方式上,交流侦查信息是学者们议论的重点。有的学者认为,派出所应将重心放在搞好基础情报工作上。一些学者则提出要实行情报信息的计算机化管理。还有学者提出应扩大情报信息库的种类等。
5.侦查谋略。关于侦查谋略的研究相对有所降温。少数学者从兵法谋略的宏观角度探讨了“孙子兵法”与现代侦查相结合的问题,提出了一些新见解。
6.具体类案的侦查。随着我国改革开放和科技发展,团伙犯罪和计算机犯罪日益猖獗,因此这些案件的侦查已引起人们的高度重视。不过,大多数文章对此研究还停留在对于具体个案的分析评论、对犯罪的情况、特点、手法的介绍以及一般性对策上。
7.涉外联合侦查制度和外国侦查制度。涉外联合侦查制度和外国侦查制度是我国侦查学的薄弱地带。有些学者从涉外联合侦查的形式与范围、原则、基本程序等方面进行了初步研究;有的学者则继续深入研究了西方主要国家犯罪侦查制度,取得了一些可喜成果。
(二)今后的展望
1998年我国侦查学领域内主要研究的课题应当包括:侦查学基础理论及其框架;大刑侦体制改革的深入发展;新刑事诉讼法生效后侦查程序及方法的科学化与合法化;侦查基本观念与功能转换;外国犯罪侦查制度;反侦查理论;暴力犯罪案件侦查对策;犯罪案件侦查对策;计算机犯罪案件侦查对策;新刑法确定的新型犯罪案件的特点及侦查对策。
注释:
计算机网络的入侵检测,是指对计算机的网络及其整体系统的时控监测,以此探查计算机是否存在违反安全原则的策略事件。目前的网络入侵检测系统,主要用于识别计算机系统及相关网络系统,或是扩大意义的识别信息系统的非法攻击,包括检测内部的合法用户非允许越权从事网络非法活动和检测外界的非法系统入侵者的试探行为或恶意攻击行为。其运动的方式也包含两种,为目标主机上的运行来检测其自身通信的信息和在一台单独机器上运行从而能检测所有的网络设备通信的信息,例如路由器、Hub等。
1 计算机入侵检测与取证相关的技术
1.1 计算机入侵检测
入侵取证的技术是在不对网络的性能产生影响的前提下,对网络的攻击威胁进行防止或者减轻。一般来说,入侵检测的系统包含有数据的收集、储存、分析以及攻击响应的功能。主要是通过对计算机的网络或者系统中得到的几个关键点进行信息的收集和分析,以此来提早发现计算机网络或者系统中存在的违反安全策略行为以及被攻击迹象。相较于其他的一些产品,计算机的入侵检测系统需要更加多的智能,需要对测得数据进行分析,从而得到有用的信息。
计算机的入侵检测系统主要是对描述计算机的行为特征,并通过行为特征对行为的性质进行准确判定。根据计算机所采取的技术,入侵检测可以分为特征的检测和异常的检测;根据计算机的主机或者网络,不同的检测对象,分为基于主机和网络的入侵检测系统以及分布式的入侵检测系统;根据计算机不同的工作方式,可分为离线和在线检测系统。计算机的入侵检测就是在数以亿记的网络数据中探查到非法入侵或合法越权行为的痕迹。并对检测到的入侵过程进行分析,将该入侵过程对应的可能事件与入侵检测原则规则比较分析,最终发现入侵行为。按照入侵检测不同实现的原来,可将其分为基于特征或者行为的检测。
1.2 计算机入侵取证
在中国首届计算机的取证技术峰会上指出,计算机的入侵取证学科是计算机科学、刑事侦查学以及法学的交叉学科,但由于计算机取证学科在我国属于新起步阶段,与发达国家在技术研究方面的较量还存在很大差距,其中,计算机的电子数据的取证存在困难的局面已经对部分案件的侦破起到阻碍作用。而我国的计算机的电子数据作为可用证据的立法项目也只是刚刚起步,同样面临着计算机的电子数据取证相关技术不成熟,相关标准和方法等不足的窘境。
计算机的入侵取证工作是整个法律诉讼过程中重要的环节,此过程中涉及的不仅是计算机领域,同时还需满足法律要求。因而,取证工作必须按照一定的即成标准展开,以此确保获得电子数据的证据,目前基本需要把握以下几个原则:实时性的原则、合法性的原则、多备份的原则、全面性的原则、环境原则以及严格的管理过程。
2 基于网络动态的入侵取证系统的设计和实现
信息科技近年来得到迅猛发展,同时带来了日益严重的计算机犯罪问题,静态取证局限着传统计算机的取证技术,使得其证据的真实性、及时性及有效性等实际要求都得不到满足。为此,提出了新的取证设想,即动态取证,来实现网络动态状况下的计算机系统取证。此系统与传统取证工具不同,其在犯罪行为实际进行前和进行中开展取证工作,根本上避免取证不及时可能造成德证据链缺失。基于网络动态的取证系统有效地提高了取证工作效率,增强了数据证据时效性和完整性。
2.1 计算机的入侵取证过程
计算机取证,主要就是对计算机证据的采集,计算机证据也被称为电子证据。一般来说,电子证据是指电子化的信息数据和资料,用于证明案件的事实,它只是以数字形式在计算机系统中存在,以证明案件相关的事实数据信息,其中包括计算机数据的产生、存储、传输、记录、打印等所有反映计算机系统犯罪行为的电子证据。
就目前而言,由于计算机法律、技术等原因限制,国内外关于计算机的取证主要还是采用事后取证方式。即现在的取证工作仍将原始数据的收集过程放在犯罪事件发生后,但计算机的网络特性是许多重要数据的存储可能在数据极易丢失的存储器中;另外,黑客入侵等非法网络犯罪过程中,入侵者会将类似系统日志的重要文件修改、删除或使用反取证技术掩盖其犯罪行径。同时,2004年FBI/CSI的年度计算机报告也显示,企业的内部职员是计算机安全的最大威胁,因职员位置是在入侵检测及防火墙防护的系统内的,他们不需要很高的权限更改就可以从事犯罪活动。
2.2 基于网络动态的计算机入侵取证系统设计
根据上文所提及的计算机入侵的取证缺陷及无法满足实际需要的现状,我们设计出新的网络动态状况下的计算机入侵的取证系统。此系统能够实现将取证的工作提前至犯罪活动发生之前或者进行中时,还能够同时兼顾来自于计算机内、外犯罪的活动,获得尽可能多的相关犯罪信息。基于网络动态的取证系统和传统的取证系统存在的根本差别在于取证工作的开展时机不同,基于分布式策略的动态取证系统,可获得全面、及时的证据,并且可为证据的安全性提供更加有效的保障。
此外,基于网络动态的入侵取证系统在设计初始就涉及了两个方面的取证工作。其一是攻击计算机本原系统的犯罪行为,其二是以计算机为工具的犯罪行为(或说是计算机系统越权使用的犯罪行为)。系统采集网络取证和取证两个方面涉及的这两个犯罪的电子证据,并通过加密传输的模块将采集到的电子证据传送至安全的服务器上,进行统一妥善保存,按其关键性的级别进行分类,以方便后续的分析查询活动。并对已获电子证据以分析模块进行分析并生成报告备用。通过管理控制模块完成对整个系统的统一管理,来确保系统可稳定持久的运行。
2.3 网络动态状况下的计算机入侵取证系统实现
基于网络动态计算机的入侵取证系统,主要是通过网络取证机、取证、管理控制台、安全服务器、取证分析机等部分组成。整个系统的结构取证,是以被取证机器上运行的一个长期服务的守护程序的方式来实现的。该程序将对被监测取证的机器的系统日志文件长期进行不间断采集,并配套相应得键盘操作和他类现场的证据采集。最终通过安全传输的方式将已获电子数据证据传输至远程的安全服务器,管理控制台会即刻发送指令知道操作。
网络取证机使用混杂模式的网络接口,监听所有通过的网络数据报。经协议分析,可捕获、汇总并存储潜在证据的数据报。并同时添加“蜜罐”系统,发现攻击行为便即可转移进行持续的证据获取。安全服务器是构建了一个开放必要服务器的系统进行取证并以网络取证机将获取的电子证据进行统一保存。并通过加密及数字签名等技术保证已获证据的安全性、一致性和有效性。而取证分析机是使用数据挖掘的技术深入分析安全服务器所保存的各关键类别的电子证据,以此获取犯罪活动的相关信息及直接证据,并同时生成报告提交法庭。管理控制台为安全服务器及取证提供认证,以此来管理系统各个部分的运行。
基于网络动态的计算机入侵取证系统,不仅涉及本网络所涵盖的计算机的目前犯罪行为及传统计算机的外部网络的犯罪行为,同时也获取网络内部的、将计算机系统作为犯罪工具或越权滥用等犯罪行为的证据。即取证入侵系统从功能上开始可以兼顾内外部两方面。基于网络动态的计算机入侵取证系统,分为证据获取、传输、存储、分析、管理等五大模块。通过各个模块间相互紧密协作,真正良好实现网络动态的计算机入侵取证系统。
3 结束语
随着信息科学技术的迅猛发展,给人们的生活和工作方式都带来了巨大的变化,也给犯罪活动提供了更广阔的空间和各种新手段。而基于网络动态的计算机入侵取证系统,则通过解决传统计算机的入侵取证系统瓶颈技术的完善,在犯罪活动发生前或进行中便展开电子取证工作,有效弥补了计算机网络犯罪案件中存在的因事后取证导致的证据链不足或缺失。全面捕获证据,安全传输至远程安全服务器并统一妥善保存,且最终分析获得结论以报告的形式用于法律诉讼中。但是作为一门新兴的学科,关于计算机取证的具体标准及相关流程尚未完善,取证工作因涉及学科多且涵盖技术项目广,仍需不断的深入研究。
参考文献:
[1] 魏士靖.计算机网络取证分析系统[D].无锡:江南大学,2006.
[2] 李晓秋.基于特征的高性能网络入侵检测系统[D].郑州:中国信息工程大学,2003.
计算机网络的入侵检测,是指对计算机的网络及其整体系统的时控监测,以此探查计算机是否存在违反安全原则的策略事件。目前的网络入侵检测系统,主要用于识别计算机系统及相关网络系统,或是扩大意义的识别信息系统的非法攻击,包括检测内部的合法用户非允许越权从事网络非法活动和检测外界的非法系统入侵者的试探行为或恶意攻击行为。其运动的方式也包含两种,为目标主机上的运行来检测其自身通信的信息和在一台单独机器上运行从而能检测所有的网络设备通信的信息,例如路由器、hub等。
1 计算机入侵检测与取证相关的技术
1.1 计算机入侵检测
入侵取证的技术是在不对网络的性能产生影响的前提下,对网络的攻击威胁进行防止或者减轻。一般来说,入侵检测的系统包含有数据的收集、储存、分析以及攻击响应的功能。主要是通过对计算机的网络或者系统中得到的几个关键点进行信息的收集和分析,以此来提早发现计算机网络或者系统中存在的违反安全策略行为以及被攻击迹象。相较于其他的一些产品,计算机的入侵检测系统需要更加多的智能,需要对测得数据进行分析,从而得到有用的信息。
计算机的入侵检测系统主要是对描述计算机的行为特征,并通过行为特征对行为的性质进行准确判定。根据计算机所采取的技术,入侵检测可以分为特征的检测和异常的检测;根据计算机的主机或者网络,不同的检测对象,分为基于主机和网络的入侵检测系统以及分布式的入侵检测系统;根据计算机不同的工作方式,可分为离线和在线检测系统。计算机的入侵检测就是在数以亿记的网络数据中探查到非法入侵或合法越权行为的痕迹。并对检测到的入侵过程进行分析,将该入侵过程对应的可能事件与入侵检测原则规则比较分析,最终发现入侵行为。按照入侵检测不同实现的原来,可将其分为基于特征或者行为的检测。
1.2 计算机入侵取证
在中国首届计算机的取证技术峰会上指出,计算机的入侵取证学科是计算机科学、刑事侦查学以及法学的交叉学科,但由于计算机取证学科在我国属于新起步阶段,与发达国家在技术研究方面的较量还存在很大差距,其中,计算机的电子数据的取证存在困难的局面已经对部分案件的侦破起到阻碍作用。而我国的计算机的电子数据作为可用证据的立法项目也只是刚刚起步,同样面临着计算机的电子数据取证相关技术不成熟,相关标准和方法等不足的窘境。
计算机的入侵取证工作是整个法律诉讼过程中重要的环节,此过程中涉及的不仅是计算机领域,同时还需满足法律要求。因而,取证工作必须按照一定的即成标准展开,以此确保获得电子数据的证据,目前基本需要把握以下几个原则:实时性的原则、合法性的原则、多备份的原则、全面性的原则、环境原则以及严格的管理过程。
2 基于网络动态的入侵取证系统的设计和实现
信息科技近年来得到迅猛发展,同时带来了日益严重的计算机犯罪问题,静态取证局限着传统计算机的取证技术,使得其证据的真实性、及时性及有效性等实际要求都得不到满足。为此,提出了新的取证设想,即动态取证,来实现网络动态状况下的计算机系统取证。此系统与传统取证工具不同,其在犯罪行为实际进行前和进行中开展取证工作,根本上避免取证不及时可能造成德证据链缺失。基于网络动态的取证系统有效地提高了取证工作效率,增强了数据证据时效性和完整性。
2.1 计算机的入侵取证过程
计算机取证,主要就是对计算机证据的采集,计算机证据也被称为电子证据。一般来说,电子证据是指电子化的信息数据和资料,用于证明案件的事实,它只是以数字形式在计算机系统中存在,以证明案件相关的事实数据信息,其中包括计算机数据的产生、存储、传输、记录、打印等所有反映计算机系统犯罪行为的电子证据。
就目前而言,由于计算机法律、技术等原因限制,国内外关于计算机的取证主要还是采用事后取证方式。即现在的取证工作仍将原始数据的收集过程放在犯罪事件发生后,但计算机的网络特性是许多重要数据的存储可能在数据极易丢失的存储器中;另外,黑客入侵等非法网络犯罪过程中,入侵者会将类似系统日志的重要文件修改、删除或使用反取证技术掩盖其犯罪行径。同时,2004年fbi/csi的年度计算机报告也显示,企业的内部职员是计算机安全的最大威胁,因职员位置是在入侵检测及防火墙防护的系统内的,他们不需要很高的权限更改就可以从事犯罪活动。
2.2 基于网络动态的计算机入侵取证系统设计
根据上文所提及的计算机入侵的取证缺陷及无法满足实际需要的现状,我们设计出新的网络动态状况下的计算机入侵的取证系统。此系统能够实现将取证的工作提前至犯罪活动发生之前或者进行中时,还能够同时兼顾来自于计算机内、外犯罪的活动,获得尽可能多的相关犯罪信息。基于网络动态的取证系统和传统的取证系统存在的根本差别在于取证工作的开展时机不同,基于分布式策略的动态取证系统,可获得全面、及时的证据,并且可为证据的安全性提供更加有效的保障。
此外,基于网络动态的入侵取证系统在设计初始就涉及了两个方面的取证工作。其一是攻击计算机本原系统的犯罪行为,其二是以计算机为工具的犯罪行为(或说是计算机系统越权使用的犯罪行为)。系统采集网络取证和取证两个方面涉及的这两个犯罪的电子证据,并通过加密传输的模块将采集到的电子证据传送至安全的服务器上,进行统一妥善保存,按其关键性的级别进行分类,以方便后续的分析查询活动。并对已获电子证据以分析模块进行分析并生成报告备用。通过管理控制模块完成对整个系统的统一管理,来确保系统可稳定持久的运行。
2.3 网络动态状况下的计算机入侵取证系统实现
基于网络动态计算机的入侵取证系统,主要是通过网络取证机、取证、管理控制台、安全服务器、取证分析机等部分组成。整个系统的结构取证,是以被取证机器上运行的一个长期服务的守护程序的方式来实现的。该程序将对被监测取证的机器的系统日志文件长期进行不间断采集,并配套相应得键盘操作和他类现场的证据采集。最终通过安全传输的方式将已获电子数据证据传输至远程的安全服务器,管理控制台会即刻发送指令知道操作。
网络取证机使用混杂模式的网络接口,监听所有通过的网络数据报。经协议分析,可捕获、汇总并存储潜在证据的数据报。并同时添加“蜜罐”系统,发现攻击行为便即可转移进行持续的证据获取。安全服务器是构建了一个开放必要服务器的系统进行取证并以网络取证机将获取的电子证据进行统一保存。并通过加密及数字签名等技术保证已获证据的安全性、一致性和有效性。而取证分析机是使用数据挖掘的技术深入分析安全服务器所保存的各关键类别的电子证据,以此获取犯罪活动的相关信息及直接证据,并同时生成报告提交法庭。管理控制台为安全服务器及取证提供认证,以此来管理系统各个部分的运行。
基于网络动态的计算机入侵取证系统,不仅涉及本网络所涵盖的计算机的目前犯罪行为及传统计算机的外部网络的犯罪行为,同时也获取网络内部的、将计算机系统作为犯罪工具或越权滥用等犯罪行为的证据。即取证入侵系统从功能上开始可以兼顾内外部两方面。基于网络动态的计算机入侵取证系统,分为证据获取、传输、存储、分析、管理等五大模块。通过各个模块间相互紧密协作,真正良好实现网络动态的计算机入侵取证系统。
3 结束语
随着信息科学技术的迅猛发展,给人们的生活和工作方式都带来了巨大的变化,也给犯罪活动提供了更广阔的空间和各种新手段。而基于网络动态的计算机入侵取证系统,则通过解决传统计算机的入侵取证系统瓶颈技术的完善,在犯罪活动发生前或进行中便展开电子取证工作,有效弥补了计算机网络犯罪案件中存在的因事后取证导致的证据链不足或缺失。全面捕获证据,安全传输至远程安全服务器并统一妥善保存,且最终分析获得结论以报告的形式用于法律诉讼中。但是作为一门新兴的学科,关于计算机取证的具体标准及相关流程尚未完善,取证工作因涉及学科多且涵盖技术项目广,仍需不断的深入研究。
参考文献:
[1] 魏士靖.计算机网络取证分析系统[d].无锡:江南大学,2006.
[2] 李晓秋.基于特征的高性能网络入侵检测系统[d].郑州:中国信息工程大学,2003.
关键词:医院管理信息安全探讨
随着计算机软件技术的发展,特别是分布式和软件移动计算的广泛应用,使得系统开放性越来越强,局域网内的用户都可能访问到应用系统和数据库,这给医院信息安全带来了极大的挑战。从收费数据到医疗信息、从病人隐私保密到管理信息的保密,都要求医院管理系统要处于高度安全的环境中。
1中心机房安全
医院信息系统的常态运行和医疗数据资源的保存、利用与开发对医院发展起着非常重要的作用.因此作为信息系统的“神经中枢”及数据存储中心的机房标准设计就显得尤为重要。如何使中心机房内的设备安全有效地运行,如何保证数据及时有效地满足医院应用,很重要的一个环节就是计算机机房建设。中心机房的安全应注意计算机机房的场地环境、计算机设备及场地的防雷、防火和机房用电安全技术的要求等问题。机房安全是整个计算机系统安全的前提,所以在新建、改建和扩建的计算机机房,在具体施工建设中都有许多技术问题要解决,从计算机系统自身存在的问题、环境导致的安全问题和人为的错误操作及各种计算机犯罪导致的安全问题入手,规范机房管理,机房安全是可以得到保障的。
2服务器及服务器操作系统安全
随着医院业务对IT系统的依赖不断增大,用户对于医院系统的可用性要求也不断上升。一旦某一台服务器由于软件、硬件或人为原因发生问题时,系统必须维持正常运行。因此,应采用双机热备份的方式实现系统集群,提高系统可用性。服务器以主从或互备方式工作,通过心跳线侦查另一台服务器的工作情况,一旦某台机器发生故障,另外一台立即自动接管,
变成工作主机,平时某台机器需要重启时,管理员可以在节点间任意切换,整个过程只要几秒钟,将系统中断的影响降到最低。此外,还可以采用第三台服务器做集群的备份服务器。在制度上,建立服务器管理制度及防护措施,如:安全审计、入侵检测(IDS)、防病毒、定期检查运行情况、定期重启等。
3网络安全
恶意攻击是医院计算机网络所面临的最大威胁,敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信急。这两种攻击均可对计算机网络造成极大的危害,并导致机密数据的泄漏。网络黑客和计算机病毒对企业网络(内联网)和公网安全构成巨大威胁,每年企业和网络运营商都要花费大量的人力和物力用于这方而的网络安全防范,因此防范人为的恶意攻击将是医院网络安全工作的重点。
医院网络信息安全是一个整体的问题,系统网络所产生数据是医院赖以生存的宝贵财富,一旦数据丢失或出现其他问题,都会给医院建设带来不可估量巨大的损失。所以必须高度重视,必须要从管理与技术相结合的高度,制定与时俱进的整体管理策略,并切实认真地实施这些策略,才能达到提高网络信息系统安全性的目的。
4数据库安全