邱波

南京森林警察學(xué)院 江蘇 210046

0 前言

隨著 Internet的迅猛發(fā)展，人們的許多活動或多或少在與網(wǎng)絡(luò)發(fā)生關(guān)系。由于 Internet的互連性，使得信息共享的程度進(jìn)一步提高，而信息共享和信息安全是一對矛盾，因此網(wǎng)絡(luò)中的信息安全問題也日益突出。不僅要從法律上對危害信息安全的行為進(jìn)行立法規(guī)范，還要通過先進(jìn)的技術(shù)手段對已經(jīng)發(fā)生的網(wǎng)絡(luò)犯罪進(jìn)行偵破，并對即將發(fā)生的網(wǎng)絡(luò)犯罪進(jìn)行控制，從而減少網(wǎng)絡(luò)犯罪的可能。

1 關(guān)于網(wǎng)絡(luò)信息安全問題

互聯(lián)網(wǎng)絡(luò)是以統(tǒng)一的 TCP/IP協(xié)議為規(guī)則運(yùn)作的，是一個(gè)對全世界所有國家開放的網(wǎng)絡(luò)，任何團(tuán)體或個(gè)人都可以在網(wǎng)上方便地傳送和獲取各種各樣的信息。而這些信息中有些是開放的，如廣告、公共信息等；有些是保密的，如：私人間的通信，政府及軍事部門、商業(yè)秘密等。

網(wǎng)絡(luò)在為人們提供便利、帶來效益的同時(shí)，也使人類面臨著信息安全方面的巨大挑戰(zhàn)。實(shí)際上，安全問題早已警鐘頻頻：網(wǎng)絡(luò)非法入侵、重要資料失竊、網(wǎng)絡(luò)系統(tǒng)癱瘓等惡性事件經(jīng)常發(fā)生，據(jù)有關(guān)數(shù)據(jù)表明，在全球平均每 20秒就發(fā)生一次網(wǎng)上入侵事件，有近80%的公司至少每周在網(wǎng)上要被大規(guī)模的入侵一次。

2 網(wǎng)絡(luò)犯罪

相當(dāng)多的危及信息安全的行為，如黑客對計(jì)算機(jī)系統(tǒng)的侵入而造成信息安全的破壞，或通過傳播計(jì)算機(jī)病毒而使計(jì)算機(jī)信息系統(tǒng)不能正常運(yùn)行，造成的后果可能非常大，實(shí)際上這些行為已經(jīng)屬于一種刑事犯罪行為，這就是人們通常所說的網(wǎng)絡(luò)犯罪。網(wǎng)絡(luò)犯罪指的是行為人未經(jīng)許可對他人電腦系統(tǒng)或資料庫的攻擊和破壞，或利用網(wǎng)絡(luò)進(jìn)行經(jīng)濟(jì)、刑事等犯罪。由于網(wǎng)絡(luò)犯罪不僅嚴(yán)重危害計(jì)算機(jī)及網(wǎng)絡(luò)數(shù)據(jù)和信息的安全，它所造成的經(jīng)濟(jì)損失、社會危害是傳統(tǒng)犯罪所不可比擬的，它已成為世界各國共同面臨的重大“信息問題”。

3 信息安全問題的刑法控制

我們知道，危及國家、企業(yè)和個(gè)人信息安全的因素很多，但計(jì)算機(jī)犯罪危害最甚，它們是信息安全的最大殺手。我們不能僅僅限于行政法律法規(guī)的控制，還要借助于刑法的控制，否則就不能適應(yīng)控制日益猖獗的計(jì)算機(jī)犯罪的需要。

一般說來，刑法作為一種規(guī)范性的手段，它的運(yùn)用具有滯后性的特點(diǎn)，即它通常總是在某一危害社會的行為已經(jīng)不為其它法律所調(diào)整或者不足以調(diào)整的情形下，作為一種更為強(qiáng)制性的調(diào)整手段出現(xiàn)。由于刑法采用的是刑罰手段，所以對網(wǎng)絡(luò)信息安全問題，尤其對計(jì)算機(jī)犯罪問題來說，刑法控制是最具強(qiáng)制性、最為嚴(yán)厲的手段，它在整個(gè)法律控制體系中起到一種保障和后盾的作用。

網(wǎng)絡(luò)犯罪是計(jì)算機(jī)犯罪的一種形式或是所處的一個(gè)階段，而且就目前來看，是主要的犯罪形式或是當(dāng)代犯罪階段。關(guān)于計(jì)算機(jī)犯罪的刑事立法，我國刑法典有三個(gè)條文的規(guī)定。

(1) 第285條：非法侵入計(jì)算機(jī)信息系統(tǒng)罪

違反國家規(guī)定，侵入國家事務(wù)、國防建設(shè)、尖端科學(xué)技術(shù)領(lǐng)域的計(jì)算機(jī)信息系統(tǒng)的，處三年以下有期徒刑或者拘役。

(2) 第286條：破壞計(jì)算機(jī)信息系統(tǒng)罪

第1款：違反國家規(guī)定，對計(jì)算機(jī)信息系統(tǒng)功能進(jìn)行刪除、修改、增加、干擾，造成計(jì)算機(jī)信息系統(tǒng)不能正常運(yùn)行，后果嚴(yán)重的，處五年以下有期徒刑或者拘役；后果特別嚴(yán)重的，處五年以上有期徒刑。

第2款：違反國家規(guī)定，對計(jì)算機(jī)信息系統(tǒng)中存儲、處理或者傳輸?shù)臄?shù)據(jù)和應(yīng)用程序進(jìn)行刪除、修改、增加的操作，后果嚴(yán)重的，依照前款的規(guī)定處罰。

第3款：故意制作、傳播計(jì)算機(jī)病毒等破壞性程序，影響計(jì)算機(jī)系統(tǒng)正常運(yùn)行，后果嚴(yán)重的，依照第一款的規(guī)定處罰。

(3) 第287條：利用計(jì)算機(jī)實(shí)施的傳統(tǒng)犯罪

利用計(jì)算機(jī)實(shí)施金融詐騙、盜竊、貪污、挪用公款、竊取國家秘密或者其他犯罪的，依照本法有關(guān)規(guī)定定罪處罰。

三個(gè)法律條款：非法侵入計(jì)算機(jī)系統(tǒng)罪(第 285條)，破壞計(jì)算機(jī)信息系統(tǒng)功能、破壞計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)或應(yīng)用程序罪，制作、傳播計(jì)算機(jī)病毒等破壞計(jì)算機(jī)程序罪(第286條)以及屬于廣義計(jì)算機(jī)犯罪范疇的利用計(jì)算機(jī)實(shí)施的犯罪(第287條)等。這些對預(yù)防和打擊計(jì)算機(jī)違法犯罪起到了積極的作用，但由于這三個(gè)條款只作了較原則性的規(guī)定，且具有較強(qiáng)的專業(yè)性，因此對有關(guān)計(jì)算機(jī)犯罪的定罪量刑尺度把握較難。

4 網(wǎng)絡(luò)犯罪的偵破

網(wǎng)絡(luò)犯罪是一種對存在于虛擬空間的信息進(jìn)行侵犯的行為。盡管這種行為侵犯的只是肉眼見不到的比特，但犯罪分子在實(shí)施侵犯行為的過程中卻必須使用電子計(jì)算機(jī)等物理設(shè)備，這些物理設(shè)備總是存在于一定的物理空間，因而網(wǎng)絡(luò)犯罪同樣有明顯的犯罪現(xiàn)場，而且大多數(shù)網(wǎng)絡(luò)犯罪現(xiàn)場是有勘查價(jià)值的。在我們發(fā)現(xiàn)網(wǎng)絡(luò)犯罪線索后，只要有條件就應(yīng)想方設(shè)法對犯罪現(xiàn)場進(jìn)行勘查。

4.1 臨場初步處置

當(dāng)具備趕赴現(xiàn)場的條件后，偵查人員應(yīng)盡快行動。臨場后具體應(yīng)做好以下幾方面的工作：

(1) 封鎖現(xiàn)場，進(jìn)行人、機(jī)、物品之間的隔離

要對現(xiàn)場實(shí)行人、機(jī)隔離，人、物隔離。將現(xiàn)場內(nèi)所有人員迅速帶離現(xiàn)場，并立即檢查他們隨身攜帶的物品，重點(diǎn)是書面記錄、通訊工具、磁卡類可以讀寫的卡片、磁介質(zhì)(軟盤、光盤等)。

(2) 加強(qiáng)現(xiàn)場保護(hù)

迅速派人看管配電室，避免發(fā)生突然斷電導(dǎo)致系統(tǒng)運(yùn)行中的各種數(shù)據(jù)結(jié)果丟失；看管現(xiàn)場以及現(xiàn)場周圍的各種電信終端設(shè)施，檢查現(xiàn)場及周圍有沒有強(qiáng)磁場和可以產(chǎn)生強(qiáng)磁場的物品，妥善保管各種磁介質(zhì)，避免被各種磁場消磁。

4.2 采取勘查措施

在臨場初步處置的基礎(chǔ)上，應(yīng)進(jìn)一步迅速采取措施獲取證據(jù)。

(1) 實(shí)地勘驗(yàn)

通過實(shí)地勘驗(yàn)收集現(xiàn)場上遺留的原始資料、數(shù)據(jù)參數(shù)等。勘驗(yàn)過程中主要是針對“硬件、軟件、管理制度和人員狀況”等方面進(jìn)行取證調(diào)查。這其中既包括傳統(tǒng)意義上的取證(如：勘驗(yàn)手印、足跡、工具痕跡；拍攝現(xiàn)場照片、繪制現(xiàn)場圖等)，又包括對“網(wǎng)絡(luò)證據(jù)”的勘驗(yàn)。

“網(wǎng)絡(luò)證據(jù)”，主要是指在硬件、軟件、管理制度等方面可以反映網(wǎng)絡(luò)犯罪行為真實(shí)情況的物證、書證及視聽資料等。比如，在數(shù)據(jù)傳送與接收過程中形成的電磁記錄與命令記錄；現(xiàn)場上各種系統(tǒng)硬件的連接狀態(tài)、連接方式；屏幕顯示的系統(tǒng)運(yùn)行參數(shù)、運(yùn)行結(jié)果；打印輸出的結(jié)果；工作人員的日志記錄等。對這些證據(jù)的勘驗(yàn)，常用的有記錄、封存、備份、收集等手段。

記錄，就是用適當(dāng)?shù)姆绞綄F(xiàn)場上各種儀器設(shè)備的連接、配置狀況和運(yùn)行狀態(tài)，各種電纜線的布線方式(串、并聯(lián)方式、有無破損斷裂)，各種插頭、插座、開關(guān)的工作狀態(tài)等等情況記錄下來。通過原始狀態(tài)與現(xiàn)場遺留狀況的比較，發(fā)現(xiàn)各種異?，F(xiàn)象或者推斷作案人使用的作案工具、作案手法。如進(jìn)一步審查監(jiān)視器所顯示的任何證據(jù)，如果有必要，拍攝下計(jì)算機(jī)屏幕上顯示的內(nèi)容，并在計(jì)算機(jī)專業(yè)人員的幫助下切斷與計(jì)算機(jī)相連的電話線或閉路線，在不會造成數(shù)據(jù)丟失的情況下，拔掉墻上的電源，一般不能用啟動開關(guān)去關(guān)閉計(jì)算機(jī)。拍攝下計(jì)算機(jī)尾部的線路結(jié)構(gòu)。斷電前標(biāo)上線路系統(tǒng)，將端口和插槽作上標(biāo)記。如果所查獲的不只一個(gè)系統(tǒng)，應(yīng)將不同的零部件分別放置，并作標(biāo)記。

封存，就是對現(xiàn)場上可能記錄有犯罪行為過程和真實(shí)情況的物品、數(shù)據(jù)等證據(jù)，采取強(qiáng)制性手段維持其現(xiàn)有狀態(tài)，以備進(jìn)一步的分析。封存的對象主要包括：現(xiàn)場內(nèi)的信息系統(tǒng)，各種可能涉及到的磁介質(zhì)，上機(jī)記錄，命令記錄，內(nèi)部人員使用的工作記錄，現(xiàn)場上的各種打印輸出結(jié)果，傳真打印件，程序備份和數(shù)據(jù)備份等等。封存當(dāng)中應(yīng)當(dāng)注意的是：封存正在運(yùn)行的信息系統(tǒng)，要事先做好系統(tǒng)工作狀態(tài)、系統(tǒng)運(yùn)行參數(shù)的記錄，以防關(guān)機(jī)以后無法恢復(fù)。

備份，主要是指偵查人員對不能停止運(yùn)行而又沒有備用應(yīng)急措施的信息系統(tǒng)進(jìn)行數(shù)據(jù)復(fù)制，以便盡快恢復(fù)系統(tǒng)正常工作。備份的對象主要是：系統(tǒng)中的相關(guān)數(shù)據(jù)、系統(tǒng)日志文件等。備份當(dāng)中應(yīng)注意的問題是：對于磁介質(zhì)中所有的數(shù)據(jù)按照其物理存放格式進(jìn)行全盤復(fù)制，而不是簡單地拷貝文件。

收集，就是將現(xiàn)場上遺留的原始資料、數(shù)據(jù)參數(shù)等“網(wǎng)絡(luò)證據(jù)”資料進(jìn)行提取、包裝。收集的對象主要是：計(jì)算機(jī)軟、硬件，各種輸入和輸出設(shè)備，調(diào)制解調(diào)器，各種操作手冊，各種連接線，同時(shí)還要注意收集計(jì)算機(jī)附近遺留的可能寫有計(jì)算機(jī)指令的紙片等。在對網(wǎng)絡(luò)犯罪的物證、書證及視聽資料等進(jìn)行包裝運(yùn)輸時(shí)，要注意避免靜電干擾。不能用塑料包裝，并將其無線電設(shè)備遠(yuǎn)離磁場放置，避免電子儲存的數(shù)據(jù)丟失。保管所繳獲器材的房間應(yīng)有空調(diào)裝置。另外，還應(yīng)將立體聲喇叭之類的磁源保管好，不和上述器材放到一塊。

(2) 實(shí)地訪問

網(wǎng)絡(luò)犯罪的現(xiàn)場勘查當(dāng)中，實(shí)地訪問是一種行之有效的獲取證據(jù)、發(fā)現(xiàn)線索的手段。實(shí)地訪問的對象主要是當(dāng)事人和知情人。例如：計(jì)算機(jī)操作人員，分管領(lǐng)導(dǎo)，技術(shù)維護(hù)人員等。訪問內(nèi)容應(yīng)當(dāng)根據(jù)訪問對象有策略地加以變化，概括起來包括以下內(nèi)容：系統(tǒng)的運(yùn)行狀態(tài)，曾經(jīng)進(jìn)行過哪些操作和維修，操作人員和技術(shù)人員以及分管領(lǐng)導(dǎo)的思想表現(xiàn)；技術(shù)水平高低、分別能夠接觸哪些軟硬件內(nèi)容，如何發(fā)現(xiàn)系統(tǒng)出現(xiàn)的異?，F(xiàn)象、采取過哪些處置措施等等。

4.3 對證據(jù)資料進(jìn)行技術(shù)分析

在前一階段勘查取證的基礎(chǔ)上，偵查人員可以對所得的相關(guān)證據(jù)資料(例如：磁介質(zhì)、系統(tǒng)備份、數(shù)據(jù)備份)進(jìn)行技術(shù)分析，從而發(fā)現(xiàn)作案人是在何時(shí)、采取何種手段、從哪些方面對網(wǎng)絡(luò)系統(tǒng)進(jìn)行了哪些侵害，從中選取有價(jià)值的偵查線索。目前，對相關(guān)證據(jù)資料進(jìn)行技術(shù)分析的手段多種多樣，其中常用的有以下幾類：

(1) 對比分析技術(shù)

這種技術(shù)主要是將收集到的程序、數(shù)據(jù)的備份與當(dāng)前運(yùn)行的程序、運(yùn)行結(jié)果數(shù)據(jù)進(jìn)行對比，從而發(fā)現(xiàn)異常狀況，進(jìn)而分析是否有被篡改的痕跡。

(2) 關(guān)鍵字查詢技術(shù)

這種技術(shù)主要用于對系統(tǒng)硬盤備份進(jìn)行分析。在偵查人員所做的對現(xiàn)場系統(tǒng)硬盤的備份當(dāng)中，以某些具有特殊功能的指令語句為關(guān)鍵字進(jìn)行匹配查詢，查詢的結(jié)果將說明是否存在這一特殊功能的指令語句，偵查人員可以從中發(fā)現(xiàn)問題。

(3) 數(shù)據(jù)分析技術(shù)

對于被作案人刪除、修改的文件和磁盤數(shù)據(jù)，可以通過數(shù)據(jù)分析技術(shù)進(jìn)行恢復(fù)，或者查明文件被修改移動的時(shí)間、修改前的狀態(tài)和屬性。這類技術(shù)包括：被刪改、破壞數(shù)據(jù)的恢復(fù)技術(shù)；殘留數(shù)據(jù)分析技術(shù)；文件“指紋特征數(shù)據(jù)”分析技術(shù)。

(4) 文件內(nèi)容分析技術(shù)

在某些軟件運(yùn)行過程中，經(jīng)常會產(chǎn)生一些記錄軟件運(yùn)行狀態(tài)和結(jié)果、數(shù)據(jù)操作過程的文件。例如：臨時(shí)文件(.TMP)、備份文件(.BAK)、交換文件(.SWP)；IE等網(wǎng)絡(luò)瀏覽工具的地址簿當(dāng)中記錄了瀏覽過的網(wǎng)絡(luò)站點(diǎn)地址和圖片內(nèi)容。這些文件內(nèi)容可以為偵查工作提供線索和證據(jù)。

5 總結(jié)

有效地打擊和防范網(wǎng)絡(luò)犯罪，是當(dāng)代社會必須承擔(dān)的一項(xiàng)時(shí)代使命。我們只有利用先進(jìn)的技術(shù)手段和法律對危害網(wǎng)絡(luò)安全的行為進(jìn)行偵破和嚴(yán)懲，才能減少網(wǎng)絡(luò)犯罪的發(fā)生，從而使我們的網(wǎng)絡(luò)相對安全一些。

[1] http://www.sina.com.

[2] 于學(xué)德,韓晶.試論網(wǎng)絡(luò)犯罪的特點(diǎn)及其防范.法律文獻(xiàn)信息與研究.1998.

[3] 陳興實(shí),付東陽.計(jì)算機(jī)犯罪.計(jì)算機(jī)犯罪的對策.北京:中國檢查出版社.1998.

[4] 韋恩 W.貝尼特,凱倫 M.希斯.犯罪偵查[M]北京:群眾出版社.2000.