61閱讀

大學生犯罪案例及分析-大學生心理困惑及異常心理案例分析AC178

發布時間:2017-12-30 所屬欄目:電子商務

一 : 大學生心理困惑及異常心理案例分析AC178

大學生心理困惑及異常心理案例分析

A常見的心理困惑

隨著社會的進步,生活節奏的加快,競爭的日益激烈,人們承受的心理壓力越來越大,特別是大學生們。在高等教育逐漸大眾化階段的今天,大學校園已不再是悠悠的“象牙塔”大學生們在校期間面臨著各方面的心理沖突與心理困惑。如果這些問題處理不當,會給大學生的心理健康帶來不良的影響。大學生是現代社會的建設者和接班人,他們的心理健康與否關系著我國未來的發展,因此重視大學生的心理素質至關重要。

一、大學生普遍存在的心理困惑表現

1、 不適應帶來的困惑

2、人際交往中的心理困惑

3、戀愛的心理困擾

4、自我意識的沖突與缺失

5、擇業壓力引發的心理障礙

二、大學生心理困惑產生的原因

1、社會因素

隨著社會經濟的發展,人們生活節奏正在日益加快,競爭的加劇,使人產生了時間的緊迫感與壓力感,人際關系越來越復雜,不斷趨于利益化與現實化;高等教育逐漸大眾化,大學生畢業人數不斷增加,人才市場競爭日益激烈,大學生面臨著畢業就失業的危機;由于科學技術的飛速發展,知識爆炸性的增加迫使人們不斷地進行技術知識的更新;工業化、都市化、人口高度集中,造成了居住與交通的日益擁擠;社會上不良風氣的影響,等等,這些都可能給人們帶來巨大的心理壓力,從而給當今人類的身心健康造成嚴重的威脅,大學生作為敏感的知識分子群體,更容易感受到這種來自社會的壓力。大學四年他們始終似乎都能感覺得到這種壓力而經常處于這樣的應急狀態,恰恰是心理疾患產生的外界因素。

2、學校因素

學校是給學生進行教育的重要場所,因此學校給學生帶來的影響是不容忽視的。首先,環境、角色變換、生活以及學習上的變化引起心理的不適應,這主要是進入大學后,親情、友情和故鄉自然之愛的缺失,導致他們在遇到困難時喚起了他們的思鄉情緒。其次是教育過程的影響。中學時代的教育誤導;有的學校強調知識教育,專業教育,不重視學生的全面素質的培養,突出智育成分,忽視思想道德教育及社會實踐;專業設計不合理,根本就沒有應有的師資與教學設備;有許多大學生“兩耳不聞窗外事,一心只求把書讀”,導致他們淡化參與各種有益活動的意識。同時極少數教師教書育人思想淡薄,“厭教”發牢騷,迎合學生的不良情緒,傳播社會的現實與殘酷 性,對學生產生負面消極的影響,比如因讀書無用而產生的厭學情緒,是學習更加不適應。

3、家庭因素

家庭是學生自幼生活的環境,家庭環境或早期經歷無疑深刻影響著大學生的人格。主要表現在父母對子女的態度與教養方式。具體表現如下:(1)父母對子女管教嚴格,強迫命令,批評指責多,子女在性格上雖然表現出誠實、禮貌、細心、負責,但往往缺乏適應社會的能力,人際交往方面表現出羞怯、自卑、敏感、唯唯諾諾;(2)父母過分滿足,過分保護,惟恐孩子受挫,這類學生依賴性強,遇事退縮,自制能力和自信心差;(3)父母對其放任自流,很少約束,這種大學生很可能以自我為中心,不懂得尊重他人,很難適應集體生活。長期以來,家長在教育學生的過程中往往采用應試教育的方法,只重視智力教育,忽視學生心理素質與健康人格的培養,隨著網絡時代的到來,父母與子女之間的交流逐漸減少,特別是在子女考入大學后,父母將更精力轉移到經濟支持上來,而對子女的心理成長關注不夠。因此家長的教育理念應隨

著社會的發展有所更新,做好其心理工作的調節與疏導工作。

4、個人因素

從發展心理學的角度看,大學生的心里發張還不成熟,他們的思維情感處于變化發展動蕩期之中,存在著各種各樣的矛盾沖突,如:理想與現實的沖突、獨立于依賴的沖突、自尊與自卑的沖突、競爭與求穩的沖突等;不能正確的評價自己與他人,不能正確的自我選擇與發展,并影響與他人的發展,性的成熟帶來性心理的變化,閱歷不足理智性差導致的感情與榮譽之間強烈的心理失衡。

B常見的心理異常原因及案例分析

科學研究表明,心里異常的形成原因非常復雜,主要是生理,心理,社會諸種因素共同作用于個體的結果。

生物學因素:遺傳因素,尤其是體型,氣質,神經結構的活動特點,能力與性格

例如:家族神經性疾病的遺傳

心理異常是指偏離正常的心理狀態。

美國出版的《心理異常診斷與統計手冊》第三次修訂版將心理異常定義為:發生于個體的一種臨床上有意義的行為或心理癥候,其特征是與一種痛苦的癥狀相聯系的,或涉及一種以上重要功能的損害。

其實,在心理學上對正常與異常很難做出一個明確的界定。

心理學上正常與異常僅僅是一種相對概念,差別大多只在量的方面。

對待心理異常的態度:處罰,認識,幫助。

案例1: 日常事煩心,我該怎么辦?

X同學:我的朋友因為遇到了一些很郁悶的事,對生活失去了熱情,覺得干什么都沒意思,什么也不想做,只是為了活著而活著,本來很開朗、工作生活都充滿熱情的他,現在變得郁郁寡歡了,我該怎么辦幫助他呢?

解決方法

你朋友遇到不開心的事情了,你想幫助他,他能有你這樣的朋友是一件非常幸福的事情。你要幫助他,首先要去關心他,有事沒事的多陪陪他聊聊天,說說話。再者,要與他做一些開心的事情,你可以去引導他,因為他什么也不想做,這樣下去有可能會更加消沉,所以你要動員他去做其他的事情,轉移他的注意力。還有,傷口的愈合是需要時間的,也要給他自我療傷的時間和空間。

案例2:戀愛帶來的壓抑感——愛情需要兩個人換位思考

X君:我女朋友對我很好,可是就是對我約束太多,依賴我太多,她需要我時刻陪著她。她說我如果不陪著她,她就做不好事??晌矣袝r候也需要一點點自由的空間,一點男生的空間,她卻常因為這個生氣。我不想多吵架,我受不了,不管是精力上還是體力上,這樣會影響兩個人,但如果分開了,我又不知道生活又會如何,我該怎樣取舍?

解決方法

初涉愛河的你們有爭吵、有誤解這都是正常的現象,但如何處理這些矛盾,是你在愛情的過程當中會慢慢體驗、學習到的。

你們矛盾的產生,主要是由于各自只是站在自己的角度,沒有為對方考慮。不僅僅是在愛情當中,在我們日常生活的方方面面,這種情況都是屢見不鮮。此時需要我們的換位思考。比方說,你可以站在女友的位置,想想你就是她,然后想象一下你是多么依戀并深深愛著你的男友,你覺得和他在一起做什么事情都有興趣,都不會覺得累……這樣想來,你或許就能理解女友的舉動了,而且有人這樣愛慕自己,不也是你的一種幸福嗎?然而,你的女友也應該用這種換位思考的方式來理解你,考慮到你需要的自由與空間。這需要你們兩個人心平氣和的溝通,

找到一種兩個人都能接收的方式。當你情緒較為沖動的時候試著轉移一下注意力、緩沖一下自己激動的情緒。

其實,現在的挫折、困難都是一門課,會讓你成長。在愛中學會如何去愛,希望你能盡快擺脫煩惱!

二 : 網絡犯罪及案例分析(教材) 86

第一章 網絡犯罪概述

隨著科學的發展進步,計算機及網絡技術同樣也在飛速發展中。和任何一項技術一樣,網絡技術的發展是一把雙刃劍。一方面,極大的促進了社會生產力的發展;而另一方面,各式各樣的網絡犯罪也隨之產生。黑客入侵、計算機病毒的大肆制造與傳播、各類情報機密的泄漏、網絡資源遭到的任意破壞、各類信息系統受到惡意攻擊而導致癱瘓等等現象層出不窮。從20世紀中葉起,全世界網絡犯罪以驚人的速度增長,與傳統的犯罪相比,網絡犯罪所造成的損失及影響要嚴重得多,因此,網絡犯罪的研究及預防已被世界各國所高度重視。 本章概要地討論了網絡犯罪的概念、發展趨勢、研究概況等一般問題,使讀者對本書有一個概括的認識,為以后章節的深入學習打下基礎。

1.1計算機信息系統及計算機信息系統安全的定義

1.1.1計算機信息系統的定義

隨著各種計算機信息系統的廣泛建立和運用,一些特殊領域的計算機信息系統日益成為國家和社會中財富及信息集中的要害部門,同時也成為網絡犯罪攻擊的目標。根據《計算機信息系統安全保護條例》第2條規定,計算機信息系統(Computer Information System)是指由計算機及其相關和配套的設備、設施(含網絡)構成的,按照一定的應用目標和規則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統。

為正確理解計算機信息系統的定義,應該把握以下兩個方面:

1.計算機信息系統與計算機系統的區別

計算機信息系統是由計算機作為信息載體并由人操作實現的系統。而計算機系統則是在計算機使用之前,已經安裝了操作系統和應用軟件,并具有信息處理功能的系統。但由于其沒有投入使用,進而沒人進行操作而不能成為計算機信息系統,因而,不受《計算機信息系統安全保護條例》的保護,更不受《刑法》的保護。

2.網絡系統與單機系統的區別

計算機信息系統既可以是網絡系統,也可以是單機系統。根據《中華人民共和國計算機信息系統安全保護條例》第5條第2款規定:“未聯網的微型計算機的安全保護方法,另行規定” 。因而,非法入侵計算機信息系統和破壞計算機信息系統罪侵犯的犯罪對象是指已實施聯網的計算機信息系統。其范圍可以是廣域網,也可以是局域網。因而,本書稍后所指的計算機信息系統的犯罪問題主要是指網絡犯罪問題。

1.1.2計算機信息系統安全的定義

計算機網絡是計算機系統的一個特例,比一般的計算機系統增加了網絡通信功能和分布特點。

計算機信息系統安全就是指計算機信息系統保密性、信息真實性和完整性以及信息的不可否認性(Non-repudiation)。

保密性是指計算機信息系統不是任何用戶隨時都可以訪問的,只有合法用戶才可以訪問。網絡犯罪則是在不具有訪問權利的條件下,利用其他有關工具非法訪問,打破其保密性,從而獲得相關信息,使對方遭受利益上的損害。

真實性和完整性是指計算機信息系統的內容是否被破壞。如果其內容形式或其中的數據發生了改變,就意味著該計算機信息系統的真實性和完整性受到了侵犯,主要是指發生了非法增加、刪除、修改其數據的行為。

不可否認性是指計算機信息系統的所有操作必須得到身份認證,通過認證后,才被承認或接受。不得拒絕合法者的合法操作。

目前,在計算機領域中,對計算機信息系統的犯罪主要涉及兩類形式:一是單機犯罪,二是網絡犯罪。

單機犯罪是指針對單機實施的制作、傳播病毒的行為。所謂計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數據、影響計算機使用,并能自我復制的一組計算機指令或程序代碼。從修訂后的《刑法》第286條第3款的規定來看,涉及單機犯罪的罪名只有制作計算機病毒罪和傳播計算機病毒罪。

關于對網絡犯罪的定義請參考本章1.3.1節所述。

1.2網絡的概念和發展趨勢

自20世紀90年代以來,網絡在全球呈現出爆炸式增長趨勢,這是最初的互聯網發明者們也始料未及的,這和網絡自身所具有的特點、優勢及其組成構建上的特點是分不開的。

1.2.1網絡的概念

1.網絡的定義

1964年8月,美國蘭德公司公布了一篇有關分布式通信的研究報告,首次使用了計算機網絡的概念。

隨著計算機網絡的快速發展,人們對網絡的定義有了新的理解,主要指“把分布在不同地點,具有獨立功能的多臺計算機通過線路和設備互相連接,利用功能完善的網絡系統軟件,按照網絡協議進行通信,實現數據資源共享的系統環境,稱為網絡?!庇蛇@個定義可得出網絡的特點和組成要件。

2.網絡的特點

(1)互連性

計算機網絡的互連性是計算機技術與通信技術相結合、計算機硬件技術與軟件技術相結合的產物。網絡軟件主要包括通信協議(如TCP/IP協議等)、通信控制程序、網絡操作系統和網絡數據庫等。

(2)獨立性

網絡上的計算機既相互連接,又相對獨立,任何一臺計算機都不能干預其他計算機的工作。

(3)共享性

網絡的一個非常重要的特點就是實現資源共享,這也是我們上網的一個重要因素。從某種意義上講,網絡打破了國界與距離的限制,使地球變成了一個“地球村”。我們在使用網絡共享資源的同時,也達到了信息的互動、交流和溝通。

(4)效率性

網絡的效率性體現在兩個方面:一是通過信息的高速傳遞,實現實時通信;二是通過均勻負荷和分布處理,提高工作效率。

(5)經濟性

計算機網絡的使用,實現了資源共享,提高了效率,從而節約了相關的成本,使總的性能價格比降低很多,這使得網絡在經濟領域的發展尤為迅速。經濟是推動社會進步的根本動力,正是由于網絡的經濟性,才使得網絡得以飛速發展。

3.網絡的組成

要實現上網的目的,必須具備上網的物質基礎,即網絡軟件和網絡硬件。網絡軟件是挖掘網絡潛力的工具,而網絡硬件對網絡的選擇起著決定性的作用。

(1)網絡軟件

網絡軟件是指為了有效地管理、調度、分配和保護系統資源,控制享有系統中各種資源的網絡用戶行為,防止用戶對數據和信息進行的不合理訪問,避免造成系統的混亂和信息數據的破壞、丟失,系統所采用的各種軟件工具及安全保密措施的總和。主要包括:

網絡協議(如TCP/IP協議)和協議軟件

網絡通信軟件

網絡操作系統

網絡管理軟件

網絡應用軟件

(2)網絡硬件

網絡硬件是指將每個獨立的計算機系統連接起來的網絡設備的總稱。主要包括: 線路控制器LC(Line Controllers)

通信控制器CC(Communication Controllers)

通信處理機CP(Communication Processor)

前端處理機FEP(Front End Processor)

集線器(Hub)

主機 (Host)

終端(Terminal)

1.2.2網絡的發展趨勢

1.國內網絡發展的現狀

我國第一個公用分組交換網(CHINAPAC或簡稱CNPAC),是由郵電部于1989年2月正式開通運行的。90年代以后,隨著數據通信業務的迅速發展,郵電部決定采用分級的網絡拓撲結構擴大公用分組交換網的規模,在北京、上海、廣州、南京、武漢、成都、西安和沈陽八個大城市設立站點,建立全連通的網絡結構,同時增加主干網的端口,使其從原有的500多個增加到5000多個,增加近10倍;擴大主干網的覆蓋范圍,使其從原來僅覆蓋10個城市擴展到覆蓋32個省會城市及計劃單列市,擴展三倍多。

除郵電部建立的用于數據通信的公用分組交換網(CHINAPAC)外,公安部、軍隊、銀行和民航售票系統等也相繼建立了各自的專用計算機廣域網,特別是銀行和民用售票系統專用計算機網絡的應用,不但大大加快了銀行的資金周轉,方便了旅客預訂和購買飛機票,提高了工作效率,帶來了巨大的經濟和社會效益,而且使更多的人開始了解計算機和計算機網絡,推動了國內商業、企業以及服務業對計算機技術的開發和應用。

2007年6月15日, 根據CNNIC在成立十周年慶典晚宴上公布了最新的統計數據,我國網絡的發展呈現如下趨勢:

(1) 中國網民總數以1.37億再創新高,占總人口比例首次突破10%。

2007年1月23日下午,CNNIC(中國互聯網絡信息中心,CHINA INTERNET NETWORK INFORMATION CENTER)發布第十九次中國互聯網發展狀況統計調查報告,截止到2006年12月31日,中國的網民總人數為13700萬人(1.37億人),這一數據使得網民數在中國13.1億總人口中的比例占到10.5%,占總人口比例首次突破10%,去年同期這一比例為8.5%。與去年同期相比,中國網民總人數在2006年一年增加了2600萬人,增長率為23.4%。到2007年6月30日,網民總數又上升為1.62億,在總人口中的比例上升到12.3%,其中,寬帶上網人數1.22億,可以看出中國的網民總數呈良好發展趨勢。

按照經濟發展規律,當普及率超過10%,就會迎來一個快速增長期。中國的網民普及率在2006年底達到10.5%,已進入快速跑道。而中國網民每年20%左右的增長率,已經將美國

不足10%的年增長率甩在了后面。中國互聯網的發展速度可以說是世界上同等GDP國家中最快的。另一方面,中國巨大的發展空間也吸引著世界資本的目光,而且吸引力正在增大。當前世界互聯網最發達國家的網民普及率也不超過80%,按此比例,美國還有10個百分點的增長余地,而中國還有70個百分點的巨大增長空間。處于一個新的加速點,背靠1/5的世界人口,中國互聯網一定會跑的更快、更遠??傆幸惶?,中國會領跑世界互聯網。

(2)3G到來引發上網新潮流,中國網民通過手機上網人數達到1700萬人。

隨著3G時代的臨近,手機成為網民上網設備中的新興成員,截止2007年6月30日,中國通過手機上網的網民人數為4430萬人,占網民總數的32.%,中國使用手機上網的網民已經初具規模。這一數據代表著中國網民上網方式、上網終端設備的多樣化發展。

(3) CN域名注冊總量突破530萬,達到5303115個,躍居世界各國國家頂級域名排名(ccTLD)第三。

2007年6月15日,中國互聯網絡信息中心(CNNIC)在成立十周年之際,在安徽黃山召開了CNNIC注冊服務機構年中會議,在慶典晚宴上公布了最新的CN域名注冊量:截至2007年5月底,中國國家頂級域名.CN注冊量突破530萬,達到5303115個,首次大幅度超越COM域名國內注冊量,在世界各國國家頂級域名排名躍升至第三。這意味著CN域名在國內主流地位已經確定。

(4) 網站、網頁數量增長迅猛,互聯網信息資源大幅增加。

截止到2006年底,中國網站數約為843000個,年增長近15萬個。其中廣東省網站數首次超過北京市,躍居全國第一,北京屈居第二。調查結果還顯示,中國網頁總數有44.7億個,與去年同期相比增加20.7億個,增長率為86.3%;中國網頁字節總數為122,306GB,隨著網頁總數的增長,網頁字節數也有大幅增長,與去年同期相比增長55,005GB,增長率為81.7%。

除了網站、網頁數量的大幅增加,報告中顯示的中國域名數、IP地址數、國際出口帶寬數等數據也不斷上升,這表明中國互聯網信息資源大幅增加,網上內容日益豐富。

(5)網民接入費用明顯降低,中國互聯網發展逐漸平民化。

中國網民平均每月實際花費的上網費用(僅限于上網接入費用及上網電話費,不包括使用網絡服務的費用)為83.5元。與去年同期相比,網民平均每月實際花費的上網費用減少了20.1元,降幅為19.4%。接入費用的不斷降低,顯示中國互聯網的發展逐漸平民化,這將更加有利于中國互聯網的普及,有利于更多的人接觸到互聯網并成為互聯網大軍中的一員。

CNNIC的調查顯示:在1999年的890萬網民中,具有本科以上學歷的高達52%,而到2006年底,這一比例則快速下降到28.5%。從用戶屬性的角度而言,互聯網越來越趨向平民化?;ヂ摼W走向平民是全球趨勢,并且其平民化的速度遠遠超越了其他媒體。擁有5000萬受眾的發展規模,報紙用了50年,廣播用了38年,電視用了13年,而互聯網只用了4年。

2.國外網絡發展的現狀

進入20世紀90年代以后,電子郵件、FTP和新聞組等Internet應用越來越受到人們的歡迎。1983年,Internet連接了562臺計算機,1993年,Internet連接的計算機超過了120萬臺,比十年前增長了2000多倍。這一年,Internet的重要作用和影響,以及其巨大的發展潛力,得到了社會各界的廣泛認同,越來越多的人們開始熟悉和利用Internet。Internet連接的計算機數量也以驚人的速度增長,從1993年到1994年僅一年的時間,Internet連接的計算機達到2217000臺以上,比上年翻了一翻,接近前十年發展的總和。

目前,Internet連接了世界上大部分的國家和地區。所涉及的領域包括政治、軍事、經濟、新聞、廣告、藝術等各個領域。美國是世界上網絡最發達的國家,有超過半數的國民上網,其網民占世界網民數的29%,與整個歐洲相當,其整個電子商務收入占世界的47%。

根據ComScore 2006年9月公布的目前全球網民人數統計,全球15歲以上網民數量已經達到了7.13億人,其中21%來自美國,11%來自中國,7%來自日本。最近,美國因特網監測公司“網器”公司(Netcraft)宣布:網絡上有1億家有域名和內容的站點。據國外權威通訊社報道,全球網站數量在2005年增加了1700萬,在2006年增加了2740萬。美國、德國、中國、韓國和日本的網站發展速度最快。2006年8月全球各國域名主機數量的分布情況:美國遙遙領先,擁有域名主機的數量約占全球總數的70%。中國名列第五,擁有域名主機數不足美國數量的5%。人們上網的主要目的是獲取信息、休閑娛樂、交友等,互聯網已經成為世界各國人們生產和生活的必需。Internet已連接60,000多個網絡,正式連接86個國家,電子信箱能通達150多個國家,有480多萬臺主機通過它連接在一起,用戶有2500多萬,每天的信息流量達到萬億比特(terrabyte)以上,每月的電子信件突破10億封。

1.3網絡犯罪現狀概述

網絡犯罪可以說是一種新興的犯罪形式,是一種產生于網絡空間中的犯罪現象。網絡犯罪的現狀是研究網絡犯罪的最基本研究素材,是深入研究的最基本事實依據,它從社會、經濟、法律和文化等方面,映射出網絡犯罪存在的根本問題,是網絡犯罪研究最重要的切入點。

1.3.1網絡犯罪的概述和定義

1.網絡犯罪現象概述

網絡犯罪的現象是進入人們視野的基本事實,是進行犯罪學研究的原始素材。網絡犯罪現象是客觀存在的。人們發明了網絡,就造就了網絡犯罪。一方面,網絡犯罪是網絡的一部分,就如同病痛是人體的一部分一樣,透過人體的病情癥狀可以確定人體內在的病理變化。透過網絡犯罪現象,可以洞察出網絡社會的組織形式、運作方式、規范體系以及社會價值等方面存在的弊端和缺陷。另一方面,網絡犯罪在一定條件下,推動了網絡技術的進步,進而推動了社會的變革。

目前,網絡犯罪現象隨著網絡技術的不斷發展也日趨嚴重,特別是在青少年當中的網絡犯罪現象更是越來越多。青少年網絡犯罪的現象,主要集中體現在沉溺于網絡,或因無錢上網而盜搶,或因模仿網絡暴力、色情游戲而構成其他犯罪。這些青少年大多是初中畢業或初中輟學后走上社會的,他們無所事事,整天泡在網吧里,沉迷于網絡游戲中。在他們的心中,世界上只有網絡沒有法律,為了上網他們可以不顧一切,可以鋌而走險,可以以身試法。近年來,此類犯罪團伙作案次數較多,模仿性較強,手段殘忍,后果嚴重。其中不乏重大案件。例如,2006年1-5月底,瀍河檢察院偵查監督科共受理審查逮捕青少年犯罪案件(23歲以下)17案43人,其中為籌措上網資金而實施搶劫、盜竊犯罪的有12案30人,占受理青少年案件數的70%。

2.網絡犯罪的定義

關于網絡犯罪的概念, 可謂眾說紛紜。有學者認為網絡犯罪是對計算機犯罪的另一種稱謂。還有學者認為網絡犯罪是指行為人在網絡空間內,以計算機網絡為犯罪工具或者攻擊對象的嚴重危害社會的行為。但需要補充的是,網絡犯罪不是刑法專業的一個具體罪名, 而是一類罪名, 屬于犯罪學意義上的犯罪類型。網絡犯罪與計算機犯罪有相同之處, 比如行為人都以計算機為工具。但二者畢竟是不同的事物,它們的區別主要表現為:

首先,網絡犯罪是一種犯罪的新形態。一般而言,新經濟形態會帶來新的經濟犯罪。網絡犯罪正是經濟一體化、網絡全球化帶來的負面影響。

其次, 網絡犯罪必須在特定的空間內實施。網絡犯罪常常發生在特定的場所——網絡空間內, 有人稱之為“虛擬空間”、“賽博空間”或“第五空間”。行為人通過計算機及其附屬設備和調制解調器進入網絡空間, 以特定的程序非法侵入他人的計算機系統, 或者對他

網絡犯罪及案例分析(教材) 86_網絡犯罪案例

人計算機中的數據進行篡改,或者侵犯他人隱私, 或者進行電腦詐欺, 或者制作、復制病毒,妨礙計算機系統正常運行。根據美國學者愛德華、A·卡瓦佐和加斐諾·莫林的觀點, 網絡空間又稱賽博空間(cyberspace), 是指計算機網絡化把全球的人、機器、信息源都連接起來形成的一種新型的社會生活和交往空間, 它區別于現實的生存生活空間, 是一個沒有客觀實體的世界,是一種數字化的虛擬空間、精神生活空間和文化空間。賽博空間代表的是為數眾多的可以被遠程訪問的計算機網絡, 而網絡犯罪則必然發生在該空間內。網絡犯罪,是一種高科技的惡意行為。它涉及了信息、電信等方面的資料與軟件的不法行為。行為定義如下:所有以計算機作為工具或作為犯罪侵害對象的不法行為;所有的其方法或目的在于影響計算機運行的犯罪;所有以信息技術作為方法致使受害人受到或可能受到損害的,其行為人已經得到或可能得到利益的故意行為?;痉秶?非法進入,系統截斷,非善意或惡意地違反安全規則,侵害某個程序持有人的專屬權,非法進入修改、刪減或清除數據,干擾系統的運行等。

1.3.2國內網絡犯罪現狀

1986年深圳市公安局偵破了我國一起利用計算機網絡盜竊儲戶存款的案件;1986年到1987年我國計算機犯罪僅發現9起,1989年達100多起,1990年我國發現計算機犯罪130起;據2002年全國公共信息網絡安全監察會議透露,1998年,大陸立案偵察計算機網絡犯罪為100余起,1999年增至400余起,2000年劇增至2700余起,比上年增幅達6倍之多,2001年又漲到4500余起,比上年上升70%。其中,90%以上的計算機違法犯罪涉及網絡。我國計算機網絡的應用和普及較晚,但其發展速度卻十分迅猛。另據我國公安部公共信息安全局的一位官員透露,中國網絡犯罪1998年比1997年增長了7倍,僅1999年上半年金融系統的發案數量就達到1998年全年的水平。因此,在我國計算機網絡技術高速發展及其應用領域迅速發展的同時,加強對計算機犯罪的控制與預防已刻不容緩。中國2005年截獲的新病毒數量達到72836個,較2004年翻了一番,其中90%以上帶有明顯商業利益驅動的特征;黑客、病毒和流氓軟件的緊密結合已逐漸形成清晰的“產業鏈條”,而正規的互聯網公司正日趨成為黑客和流氓軟件的“第一推動力”。公安機關發布的數據統計顯示,2005年,國內處理的網絡安全犯罪近3萬起,國內網民因為網絡安全犯罪而造成的直接損失超過1億元。銀行等國內金融機構成為網絡詐騙犯罪高發的“重災區”,按照GDP和我國網絡應用水平計算,國內金融系統全年因網絡安全犯罪造成直接經濟損失約10億元人民幣。而據綜合估測,中國2005年因網絡威脅造成的間接損失高達數十億元。 據分析,黑客其實是互聯網應用發展到一定程度的產物。在人們只是通過互聯網閱讀新聞的時代,類似流氓軟件的瀏覽器插件并未出現,因為黑客還無法通過黑客程序獲取利益。而網絡購物、網絡銀行、網絡游戲等產業的興起和成熟,為黑客提供了利用黑客程序獲利的空間。

據公安部資料顯示:2005年,全國計算機信息系統的病毒感染率為80%,遭受間諜軟件襲擊的用戶由2004年的30%激增到90%。僅2006年1月就發現病毒43667種,致使684萬余臺計算機被感染。這些惡意代碼的傳播最主要的目的就是竊取計算機中的信息,可能包括個人的隱私、國家秘密和各類賬號密碼等。2005年1月,犯罪分子對湖南省國稅局電子稅務申報系統實施非法攻擊,致使全省1.5萬戶用戶無法電子報稅。2005年全國接到報案的有9100多個網站被惡意篡改,其中政府網站2027個;2006年1月就有391個政府網站被攻擊篡改。2005年,采訪了中國700多位信息技術專家后,全球管理與科技咨詢公司愛森哲(Accenture)發現,79%的中國企業受到病毒的困擾,而70%的企業曾遭計算機蠕蟲(Worm)攻擊。2007年上半年《中國電腦病毒疫情及互聯網安全報告》指出,2007年上半年,防病毒機構共截獲新增病毒樣本總計111,474種,與去年同期相比,新增病毒樣本增加了23%;其中木馬病毒的新增數占總病毒新增數的68.71%,高達76593種。

事實上,對能源、交通、金融、醫療衛生等涉及公共安全、公共利益的信息系統實施攻擊破壞,可能產生災難性后果,引起社會恐慌,從而躍升為國際反恐活動中越來越關注的“網絡恐怖事件”。

1.3.3國外網絡犯罪現狀

美國是世界上網絡發展最早也是網絡最發達的國家。世界上第一起計算機網絡犯罪案就發生在美國。1966年10月,美國學者帕克在斯坦福研究所調查與計算機有關的事故和犯罪時,發現一位電子計算機工程師通過篡改程序在存款余額上做手腳,由此引發了世界上第一例受到刑事訴訟追訴的計算機案件。

根據2002年4月7日公布的由美國聯邦調查局(FBI)和電腦安全協會(CSI)聯合舉行的電腦犯罪和安全年度調查報告顯示,在近500家接受調查的單位中,90%承認2001年發生過電腦安全事故,85%遭受了經濟損失,估計有4.558億。在所有安全事故中,專有數據失竊導致損失最為嚴重,高達1.708億美元;金融欺詐損失為1.57億美元;因內部員工濫用網絡導致的損失為5000萬美元。網絡攻擊正在由傳統以摧毀數據為目的向以竊取可獲利數據為目的轉變。2006年3月7 日,賽門鐵克發布了第九期《互聯網安全威脅報告》:Internet有可能造成機密信息外泄的惡意程序代碼威脅,從上一期50大惡意程序占提報樣本中的74% ,竄升至本期的80%。有越來越多的攻擊者利用Bot網絡、模塊化惡意程序代碼以及針對Web應用程序與Web瀏覽器發動目標式攻擊。網絡犯罪相關威脅透過使用犯罪軟件而持續成長,這些軟件工具多以進行在線詐欺及竊取信息為目的。攻擊者不再進行雜亂無章的大規模攻擊,而是轉向攻擊區域性的目標、桌上型系統及Web應用軟件以取得公司、個人、金融或機密信息,再利用這些信息進行網絡犯罪活動,以謀取金錢利益。報告顯示,攻擊者可利用暗中執行Bot傀儡程序,未經授權即可獲得計算機控制權,亦造成網絡犯罪的增加。近年來,網絡犯罪越來越普遍,數量增長迅速,每年給全球帶來的經濟損失數以十億美元計。由于各國的調查、監督網絡犯罪的方式方法不盡相同,目前全球還缺乏一個權威的統計數據,但可以肯定的是,網絡犯罪的數量已經相當龐大,而且越來越龐大。同時,網絡犯罪也日益國際化、無國界,任何一個國家的互聯網用戶都可能成為網絡犯罪的受害者。

2007年,美國《CSO》雜志發布了2006年網絡犯罪防范調查結果。調查結果表明,雖然每個調查對象遇到的安全事件的平均數量在繼續減少(過去12個月平均34起,而2005年和2004年分別是86起和136起),但這些犯罪帶來的影響卻在加大,財務損失和業務損失可以表明這一點。63%的調查對象聲稱網絡犯罪導致業務損失,40%聲稱導致財務損失(今年平均損失為74萬美元,2005年平均損失為50.7萬美元),另有23%聲稱導致本組織名譽受損。

從西方一些主要國家網絡犯罪的調查情況可看出,網絡犯罪主要集中在以下幾個領域:

1.經濟領域

經濟目的是犯罪所追求的主要目的。計算機網絡犯罪主要是白領階層的犯罪(至少目前是這樣),而支撐白領階層的最重要的基礎是財富經濟。

2.文化領域

主要表現在對知識產權的侵犯,對隱私的侵害,傳播色情等。即使在文化領域也往往夾雜著對財富的犯罪。

3.政治領域

主要表現在一些恐怖主義和一些極端分子利用網絡傳遞犯罪信息,散布反社會、反人類的信息等。

4.軍事領域

該領域剛剛被引起重視,但在今后的戰爭中將越來越重要。從海灣戰爭及科索沃戰爭等現代局部戰爭中,我們會驚奇地發現,信息網絡戰爭正在成為軍事斗爭的新空間。

1.4網絡犯罪的發展趨勢

從目前網絡犯罪的發展趨勢上看,一類是伴隨網絡的飛速發展而快速膨脹的,以網絡為原發模式的犯罪發展趨勢。而另一類是傳統犯罪在網絡環境中不斷轉化的,利用先進的網絡手段從事傳統犯罪從而得到發展的趨勢。

1.4.1我國網絡犯罪的發展趨勢

人類進入21世紀,計算機網絡技術將更加深入我國的經濟、政治、軍事、醫療、教育以及日常生活的各個領域,我國社會對計算機系統會產生更加高度的依賴性。而以計算機網絡技術為核心的信息社會結構精密、復雜,組織化程度高,在某種意義上來說,具有更高的敏感性與脆弱性,因而更容易受損傷,網絡犯罪危害的面也將越來越廣,一旦某個要害環節受到破壞干擾,后果將不堪設想。當前我國的網絡犯罪呈現以下發展趨勢:

1.危害國家安全的案件持續上升,危害性大。

隨著計算機信息網絡應用不斷普及,國家、集體、個人的事務都逐漸運行到信息網絡上,針對國家、集體或個人的犯罪將表現為利用或針對網絡的犯罪。甚至國家之間的戰爭或仇視,也將主要表現為摧毀對方的重要計算機信息系統,危害性極大。如:有“法輪功”邪教組織及其頑固分子利用互聯網宣傳煽動、組織指揮、相互勾結,進行非法活動;有民族分裂分子利用互聯網煽動民族歧視和仇恨,組織指揮境內民族分裂分子從事破壞活動;還有一些違法人員受境外敵對組織和敵對分子的蠱惑和影響,在網上傳播惡意攻擊我黨、政府以及國家領導人的反動有害信息等。此外,隨著信息和秘密越來越集中于計算機,利用網絡竊取或泄露國家政治、經濟、軍事、科技等機密將成為間諜活動的主要手段,網上秘密爭奪戰將愈演愈烈。

2.侵犯公私財物的案件呈多發趨勢。

隨著貨幣電子化進程的加快及電子商務的興起,財富將以電子形式出現,并逐漸集中到計算機中。實施侵財犯罪的嫌疑人逐漸把目光從過去的紙質貨幣和保險柜、錢包等轉移到計算機上。侵財型犯罪將主要利用計算機、網絡技術等手段實施。目前這類案件已由利用計算機盜竊發展到了網上詐騙、網上敲詐勒索、利用網絡非法傳銷等等。同時,盜竊、詐騙等傳統犯罪被犯罪分子移植到計算機網絡后,高科技也給這類犯罪帶來了更大的欺騙性和隱蔽性。

3.危害計算機信息網絡安全的案件增幅較大。

2001年,計算機病毒在我國傳播感染情況嚴重,特別是“紅色代碼”二型、“尼姆達”等惡性病毒在我國大面積傳播,造成一些政府機構、教育科研單位等行業的網絡通訊阻塞,甚至出現服務器癱瘓。同時,黑客的非法入侵也頻頻發生。2001年警方共查處此類犯罪案件600余起,和前年相比增幅高達58%。2002年以來,以電子郵件、特洛伊木馬、文件共享等為傳播途徑的混合型病毒越演越烈,影響最大的"求職信"病毒持續6個月,高居感染率第一,嚴重危害了信息系統安全運行秩序。2006年截獲的新病毒有60383種,較2005年增長56%,全國共有19319658臺計算機感染了病毒,感染計算機病毒種類為66606種。經濟利益驅使下傳播病毒成為2006年的病毒發作主要特征?!巴稹辈《境墒蟛《局?。

4.侵犯公民人身權利和民主權利的案件增多。

由于傳統型犯罪將逐漸計算機化、智能化,除強奸、偷渡等極少數犯罪外,其他傳統型犯罪幾乎都能利用計算機信息網絡實施。其中侵犯公民人身權利和民主權利的案件明顯增多,如利用網絡進行人身攻擊、誹謗等等。2001年警方共立案偵查此類案件186起,其中

刑事案件11起,違法案件175起,比2000年增長3倍多。

5.利用計算機制作、復制、傳播色情、淫穢物品的案件十分突出。

隨著多媒體和數字化技術的發展,電視機、錄像機、電腦等將合而為一,“黃毒”的產生和傳播的介質將主要是計算機及其網絡。利用計算機及其網絡制作、傳播黃色淫穢物品將成為"黃毒"犯罪的主要形式。有關專家的調查顯示,網絡上的非學術性信息中,47%與色情有關,每天約有2萬張色情照片進入互聯網。這類案件的違法犯罪分子有的利用互聯網出售色情光盤,有的非法提供色情網絡鏈接,有的干脆直接設立色情網頁。這類案件幾乎占所有計算機案件的一半。

6.青少年網絡犯罪增多。

我國的青少年網絡犯罪主要表現在:利用計算機網絡盜竊、信用卡犯罪、濫用電話網等。許多青少年實施網絡犯罪,并不把自己的行為看作是犯罪,有的還認為是進行一種智力“游戲”。去年,合肥警方破獲了數十起青少年利用網絡實施暴力搶劫或在網吧里殺人等惡性案件。犯罪嫌疑人大多是十六、七歲的青少年,最大的不過二十歲,受害人也是年齡相當的年輕人。與其它網絡犯罪案件相比,這些案件呈現出犯罪嫌疑人團伙化、低齡化、作案手段越來越兇殘等鮮明的特征。這些網絡暴力案件充分反映出網吧管理混亂、青少年自我保護意識和法制意識極其淡薄的現狀。

7.網上詐騙、利用網絡非法傳銷的案件增多。

此類案件主要是涉及眾多不特定受害群體的網絡經濟犯罪,主要包括通過網絡手段非法吸收公眾存款、集資詐騙、傳銷、非法銷售未上市公司股票等犯罪活動。它手段多樣、欺騙性強,涉及金額巨大、人數眾多,直接損害了廣大人民群眾切身利益。僅2006 年1月至11月,全國公安機關對此類案件共立案7.2萬起,較去年同期的6.5萬起上升10.1%。特別是非法網絡傳銷案件,通過網絡郵件等方式,更具有了擴散快,手段隱蔽,跨地域性廣等特征。

1.4.2全球化背景下網絡犯罪的發展態勢

作為社會發展的伴生現象, 犯罪的發生有著深刻的社會背景。從某種程度上可以說, 計算機和網絡技術的發展為犯罪的發展提供了強大的技術支持。在網絡全球化和經濟一體化的當今世界, 幾乎所有犯罪都可以在網絡空間中完成, 并且, 網絡技術的運用大大方便了這些犯罪的實施。在全球化背景下以下幾種犯罪將是今后發展較快且較為突出的:

1.妨害名譽

網絡上發表不實言論,辱罵他人等行為,侵犯他人權益,妨害他人名譽。這種行為以在網絡上假冒他人名義征求性伴侶,一夜情人及公布他人電話號碼的案例最多。還有將他人頭像移花接木到裸體照片上,成為不堪入目的假鏡頭。

2.偽造證件、貨幣

偽造護照、文憑,以及其他證件,已經不是一個國家內部的問題?,F在,全球規模的偽造集團已經形成。由于網絡的便利通訊方式,跨過發布偽造文憑、證件的廣告,絲毫沒有障礙。例如,一些人不定期地向電子郵件用戶發送提供學位證書的宣傳。美國參議院政務事務委員會下屬的調查委員會指出,目前利用互聯網偽造證件,占全美偽造證件案例的30%。利用互聯網偽造證件有三種方法:一是從公開販賣假證件的非法網站上,購買直接按照顧客名字制作的假證件;二是購買“模板”軟件,自行偽造;三是利用網上公布的個人資料,據以偽造證件,加以販賣牟利。

3.在網絡上制造、傳播計算機病毒十分猖獗

有些病毒具有攻擊性和破壞性,可能破壞他人的計算機設備、檔案。電子郵件已經成為計算機病毒最主要的傳播方式,一舉取代通過軟盤存儲和網絡下載的病毒傳播途徑。

4.網絡賭博

很多國家允許賭博行為或者開設賭場。因此有人認為在賭博合法化的國家開設網站,該國不禁止,就不犯有賭博罪。這種意識在設有賭博罪的國家普遍存在。其實,各國刑法都規定了管轄權制度,一般都能在其本國主權范圍內處理這種犯罪。比如,對人的管轄權,特別是對行為的管轄權,犯罪的行為或者結果有一項在一國領域,該國即可管轄。

5.教唆、煽動各種犯罪,傳授各種犯罪方法

除了教唆、引誘接觸淫穢物品的網站外,還有形形色色的專業犯罪網站。有的本身就是犯罪組織所開設,比如各種邪教組織、暴力犯罪組織、恐怖主義組織等。普通人所開設的專業性的犯罪網站則更多。比如有一些專門的自殺網站,就曾引起網友相約自殺。網絡上進行煽動危害一國安全的情況也值得關注。比如,敵視中國國家、政府、人民的網站就為數不少。在日本,有一個網站,公開宣揚“中國人就是犯罪人”,這和東京都警察部門在2000年向全社會發布的“看到有人像中國人,就報告警察”的宣傳品沒有什么差別。德國新納粹分子也在相關法律并不非常嚴格的德國鄰國,甚至在更遠的國家設立網站,通過網絡散布種族主義,并組織行動。

6.網絡色情和性騷擾

各國公眾和立法更多地關注互聯網的內容,特別是性展示材料、淫穢物品的傳播,成為今后的焦點,而個人和商務機構則發現了這種未經規范的派發和銷售淫穢物品的方式。又由于淫穢網頁的高點擊率,吸引了部分廣告商開發這些網頁。目前,色情網站大部分在WWW上,也就是以建立homepage網頁,在網頁上提供各種色情信息,而建好的網頁則通過向各種搜索引擎登記,或者在BBS和電子論壇Forum上作廣告,以及通過向電子郵件用戶群發郵件,來達到吸引用戶訪問網站、瀏覽網頁,從而接受其所提供的服務的目的。這些色情網站的內容主要包括:

(1)提供超鏈接色情網站。也就是目前網絡上一些網站專門搜集色情網站,又加以分類整理,提供超鏈接,以供不特定的人員上網時鏈接至相關色情網站主頁,觀賞淫穢圖片。

(2)張貼淫穢圖片。也就是在網絡上設置網站,或者在網絡上利用開放式的Forum或者BBS張貼淫穢圖片。有的色情網站則定期向“訂戶”發送系列免費圖片。

(3)販賣淫穢圖片、光盤、錄像帶。在網絡上設置販賣淫穢光盤或者錄像帶,或者在論壇和布告欄公布目錄以及交易方式。

(4)散布性交易信息。在網絡上提供、散布賣淫信息,提供給不特定第三人進行性交易,或者從事賣淫活動。目前網上聊天的匿名狀況助長了現在的混亂,因為在此掩護之下大家都可以不遵守社會傳統和規定,盡情地發泄心中的不快,包括對女性實施語言上的性騷擾。

7.侵入他人網站、主頁、電子信箱

入侵他人網站后以指令、程序或者其他工具開啟經過加密的檔案,均可找到處罰依據。但是,入侵者在入侵他人網站后并未開啟經過加密的檔案,或者開啟的檔案并未經過加密處理,這種行為各國刑法規定較少。另外還發生入侵后竊取他人檔案或者偷閱、刪除電子郵件;將入侵獲得的檔案內容,泄露給他人;入侵后將一些檔案破壞,致使系統無法正常運行,甚至無法使用;以及盜用他人上網賬號,未經他人同意而撥號上網,而上網所發生的費用則由被盜用者承擔,等等。據估計,全世界每年發生的廣義上的網絡入侵事件有30萬起以上。其中,對網站進行攻擊的事件愈演愈烈。而據不完全統計,在所統計的被攻陷次數最多的頂級域名中,前8位分別是:.com,.br,.net,.cn,.tw,.org,.edu,.us。臺灣警方在其破獲的色情網站及網絡黑客案件中,發現有將近80%設有“特洛伊木馬”程序。網絡使用者從網站下載共享軟件,或者進入色情網站下載軟件,或者曾經被黑客攻擊,就可能被植入該種程序,而且計算機內的資料完全被侵入。

8.販賣違禁物品、管制物品、人體器官

網絡犯罪及案例分析(教材) 86_網絡犯罪案例

在網絡上販賣違禁物品、違禁藥品、管制物品或者管制藥品,比如槍支、毒品、春藥等。臺灣警方曾破獲一起利用網絡跨國訂購、走私大麻的案件:臺北市一郵局在驗關時發現一包由美國舊金山郵寄到臺北張姓男子的快件,其中夾寄了近300克大麻,也有少量新興毒品“power”,其效力和“搖頭丸”類似。經調查,該男子于當月2日上網向美國某知名網站訂貨,以刷卡付費方式購買大麻,以逃避警方的監視。各國都發現過拍賣人體器官的網絡廣告?!盎铙w腎,200萬!”,“5萬元賣骨髓”,“出賣眼角膜。健康,視力1.5。真實,可靠。窮家為了窮孩子,緊急推出”。在互聯網站“網易”的拍賣網頁,就曾經出現過這樣的人體器官買賣信息。從傳統的倫理道德看,這是令人難以接受的。但是各國法律在這一方面還沒有填補這一方面的空白。

9.銷售贓物

在網絡上以低價出售或者高價拍賣盜竊、詐騙、搶劫等犯罪得來的贓物。網絡上充斥著各種待售的貨物,尤其是二手貨,其中有一些可能就是犯罪所得的贓物。

10.侵犯個人隱私

計算機記錄及儲存功能非常強大,隨著網際網絡的迅速興起,個人數據的搜集與利用更為方便和快捷。網絡信息化社會日漸形成,人們對科技手段的依賴性越來越強,個人隱私逐漸暴露于公眾面前,隱私被侵犯的可能性大大增加。另外英特爾新產品Pentium III在上市時,其內置加入經過隨機取樣的特殊編碼序號的安全序號功能;由于每個安全序號均屬獨一無二,使得每臺計算機于網際網絡環境中,其身分將更容易地被大眾辨識出來。還有微軟Windows操作系統“漏洞”將用戶計算機信息秘密傳送至微軟網站(www.microsoft.com)等等。這些超級硬件和軟件廠商直接從事著以自己的產品掌握用戶隱私的活動。

11.販賣盜版光盤

因為個人計算機可以輕易地拷貝信息,包括軟件、圖片和書籍等,而且信息又很容易極快地傳送到世界各地,這使著作權的保護更為困難。在網絡上販賣盜版光盤,其內容可能是各類計算機軟件、圖片、MP3、音樂CD或者影視VCD、DVD等等。同時,有的因為包含色情內容,也成為取締的對象。

12.欺詐

和傳統犯罪一樣,網絡犯罪中,欺詐也是造成損失較多、表現形式最為豐富多彩的一種類型。目前,互聯網上大致存在有以下欺詐犯罪方法:

(1)網絡拍賣欺詐。售賣方要求消費者在網絡上競標,消費者在中標后,卻收不到商品;消費者收到商品,但所得實物與售賣方所聲稱的商品相差很大;售賣方偽裝成其他消費者,一同參與競標,借以哄抬最后中標價格;售賣方在消費者中標后,以其他理由要求加價。

(2)網絡服務欺詐。包括提供原本免費的服務而收取費用;支付在線或者網絡服務的費用,卻沒有得到服務,或者得到不實服務。有的經營者在網絡上刊登或者利用電子郵件寄發報告,推銷旅游機會。消費者實際到達后,才發現與網絡上所宣傳的情況大不相同。

(3)信用卡欺詐。一種是針對消費者的欺詐,比如欺騙信用不佳的人申請信用卡。商家承諾消費者可以輕易獲得信用卡,但是,在提供申請信用卡相關資料并依約預付頭期款后,卻并沒有收到信用卡,甚至因別人盜刷信用卡而產生負債。還有的色情網站在網頁上宣稱,可以免費瀏覽網頁,但是要求瀏覽者輸入信用卡號,以證明自己已經成年。按照網頁提示輸入這些信息后,卻接連不斷地收到賬單。另外一種是針對商家的詐欺,這是目前美國所有報案的網絡詐欺案件中所占比例最高的一種。一般商家只注意交易是否獲得授權,如果獲得授權即予發貨,最后卻發現是使用了偽造的信用卡騙取授權。使用信用卡在網絡上消費,在世界各國發展迅速,而網絡上使用信用卡消費,只檢查信用卡號碼及到期日,無需持卡人簽名確認。雖然這種交易方法以方便、快捷為前提,但對于安全及認證的保障還不完備,給予不法之徒以可乘之機。因此查獲這些作案人,也不是輕而易舉的事。

(4)多層次非法傳銷。一種是和過去的幸運信如出一轍的“老鼠會”,這些信件內容一般列有5個人的姓名、地址,信中指出收到該信的人,寄給名單上5位網友各若干錢,再將列與第一位的姓名自名單中去掉,將第二位以下的都向上遞補,最后將自己的姓名列在第5位,以此類推。信中告訴網友當自己的姓名遞補至第一位時,將可獲得數額驚人的錢。另一種就是典型的傳銷。美國一家名為SKYBZ2000(空中商務網)的網絡傳銷公司,以高額獎金為誘餌,以牟取暴利為目的,利用網站雙線發展會員的方式,吸引一些根本不會使用計算機的人,花錢租用15MB的個人網頁空間,不斷發展下線,使成百上千人受害。

(5)虛假或夸大的商業信息。有人利用電子郵件或者網絡廣告,宣稱他們掌握最時髦的快速致富方式,如在世界貨幣市場上套匯賺取利潤等,或者有的經營者宣稱某項投資可以獲得可觀的投資回報率,而且沒有任何風險,以吸引人們投資。類似非法集資那樣,用后來加入者的錢支付給先前加入者,以制造一些成功賺錢的事例,刺激更多的人加入。這種投資的風險,隨著投資者金字塔的形成而越來越增加,最終必然會使一大批人血本無歸。

(6)欺騙性中獎信息。包括要求中獎者先付稅金再領獎品;贈品贈獎而又要求消費者先付費加入成為會員后才能得到贈品;引介他人加入后,自己可以免費成為會員。

13.恐嚇、敲詐勒索

兩位哈薩克斯坦黑客,成功地侵入了美國彭博信息公司的計算機系統,并且用電子郵件向該公司勒索200,000美元。FBI與彭博信息公司負責人麥克.彭博,說服黑客在倫敦的希爾頓飯店見面。當天,彭博與兩位便衣警察一起赴約,當黑客提出勒索的條件后,當即遭到逮捕。一個名為“塞巴網絡恐怖分子”的國際計算機匪幫,則通過設置邏輯炸彈,以破壞各網絡公司的計算機系統來敲詐勒索,一家公司為了讓這伙恐怖分子清除其埋藏在該公司計算機系統中的“軟件炸彈”,不得不向匪徒們支付1950萬美元。據統計,這伙國際計算機匪幫自稱先后作案40余起,共勒索各計算機公司6億多美元。

1.5網絡犯罪研究概況

國內外專家學者對于網絡犯罪的研究持續增溫,投入大量人力物力,將網絡犯罪的研究提升到了重要地位。從目前已有的一些研究成果來看,學者主要集中于探討有關計算機犯罪和網絡犯罪的技術防范、法制建設、偵查控制以及社會管理控制等方面。這些重要的研究理論和書籍都是我們值得借鑒的寶貴資料。

1.5.1國內網絡犯罪研究概況

我國的網絡犯罪研究相對于國外而言,還處于起步階段。我國學者在借鑒國外相關研究的基礎之上,結合我國網絡發展的現狀,從網絡安全、網絡犯罪理論和立法等多種角度對網絡犯罪問題進行了深入的探討,取得了很多有價值的研究成果。

從網絡安全角度所開展的網絡犯罪的技術防范研究,主要有網絡安全評價標準和網絡安全技術兩個方面。我國在網絡安全標準方面由公安部主持制定、國家技術標準局發布的中華人民共和國國家標準GB17895-1999《計算機信息系統安全保護等級劃分準則》于1999年10月正式頒布,為我國計算機系統安全需求提供了一個評價標準。

在網絡犯罪理論和立法控制方面,普遍認為網絡犯罪不僅是技術問題和管理問題,還是一個法律問題。法律是網絡安全的保護手段,以其強制力作為保障,成為網絡安全的最后一道防線,如果缺少法律規范的權威性和強制性,網絡安全措施就不可能產生普遍的約束力。因此,將著重研究網絡環境下有關犯罪的立法、定罪、量刑等理論問題。

目前為止,網絡犯罪的學術研究成果主要有:(1)孫偉平的《貓和耗子的游戲——網絡犯罪及其治理》;(2)李雙其主編的《網絡犯罪防控對策》;(3)丁志剛主編的《網絡犯罪定性爭議與學理分析》;(4)王云斌的《網絡犯罪》;(5)楊正鳴主編的《網絡犯罪研究》;(6)

齊愛民、劉穎主編的《網絡法研究》;(7)張楚主編的《網絡法學》;(8)丁志剛的《虛擬空間中的刑法理論》;(9)趙廷光、朱華池的《計算機犯罪的定罪和量刑》;(10)孫鐵成的《計算機與法律》;(11)蔣平的《計算機犯罪問題研究》;(12)劉廣三的《計算機犯罪論》;張春江、倪健民主編的《國家信息安全報告》;(13)孫景仙、安永勇的《網絡犯罪研究》等等。此外,還有相關論文成果若干篇值得借鑒。

1.5.2國外網絡犯罪研究概況

網絡犯罪的研究,國外比我國起步較早。網絡是一個開放的、公眾的和標準化的空間,在各國出現的網絡犯罪形式往往是相同或者類似的,尤其是網絡中的新發犯罪,如計算機病毒犯罪、非法入侵計算機系統犯罪等。因此他們的研究成果對于我們了解網絡犯罪具有較高的參考價值。這其中有:

1.日本西田修的《淺談電子計算機犯罪》 ;

2.美國尼古拉·尼葛洛帝的《數字化生存》 ;

3.英國尼爾·巴雷特的《數字化犯罪》 ;

4.美國勞拉·昆蘭蒂羅的《賽博犯罪——如何防范計算犯罪》 ;

5.美國約翰森·羅森諾的《網絡法——關于因特網的法律》 ;

6.美國羅拉德·費里拉等的《網絡法——課文和案例》等等。

第二章 網絡犯罪的特點及社會危害

2.1網絡犯罪的特點

以計算機及網絡的濫用為基本手段和特征的網絡犯罪已經成為網絡時代里嚴重的社會問題之一,受到各國際組織、各國政府和有關當局、各種商業和非商業機構的高度重視。如何防范網絡犯罪不但是各國立法機關、司法機關及行政機關迫切要解決的問題,而且也成為計算機技術領域、法學及犯罪學研究領域中最引人關注的課題。

犯罪特點是指犯罪現象表現出來的犯罪和罪犯的個別或一般的特殊性或共同性。網絡犯罪的特點是在網絡犯罪狀況的基礎上對網絡犯罪的較深層次上的理解,對網絡犯罪特點的準確認識和把握,對于預防和控制網絡犯罪是必不可少的環節。通過對網絡犯罪特點的認識,我們可以總結出網絡犯罪的一般規律,分析網絡犯罪發生的原因,進而選擇預防和控制網絡犯罪的各種措施和機制。

這種在虛擬空間里實施的犯罪與在現實物理空間里實施的犯罪相比較,最基本的特點就是網絡性,這點對于認識網絡犯罪的特點具有很重要的意義。由于網絡的數字化、犯罪行為的網絡化以及虛擬的犯罪現場等,使得網絡犯罪具有比傳統犯罪更高的犯罪黑數。網絡無國界的特性使得網絡犯罪的跨國化較為普遍。網絡的應用普及程度對網絡犯罪的危害結果具有很大的影響。一般而言,網絡犯罪的社會危害性的大小,取決于網絡信息系統的社會作用,取決于社會資產網絡化的程度和網絡普及應用的程度,其作用越大,網絡犯罪的社會危害性也越大??梢哉f,網絡犯罪的網絡性是其他諸多特點的原發因素。和現實世界的犯罪進行比較,網絡犯罪有很多顯著特點。

2.1.1網絡犯罪主體特點

1.主體的年輕化

據統計, 網絡犯罪分子的平均年齡約為24歲。在網絡犯罪主體中,特別是黑客中,青少年所占的比例相當大。網絡犯罪主體的年輕化與使用電子計算機者特別是上網者年輕人占較大的比例以及年輕人對網絡的情有獨鐘和特有的心態有很大的關系。據CNNIC(中國互聯網信息中心)2006年7月發布的《第十八次中國互聯網絡發展狀況統計報告》: 53.8%的網民年齡在24歲以下,學生為網絡的主要使用者之一,約占36%以上。未婚人士仍占大多數,約為總數的55.1%。這些年輕人雖然沒有成年人網絡犯罪的商業動機或者政治目的,但是侵入國家事務、國防建設、尖端科學技術領域的計算機系統所造成的社會和經濟危害一樣嚴重。

2.專業化程度高

網絡犯罪是一種高技術的智能犯罪,犯罪分子主要是一些掌握計算機技術的專業研究人員或對計算機有特殊興趣并掌握網絡技術的人員,他們大多具有較高的智力水平,既熟悉計算機及網絡的功能與特性,又洞悉計算機及網絡的缺陷與漏洞。因而他們能夠借助本身技術優勢對系統、網絡發動攻擊,對網絡信息進行侵犯,并達到預期的目的。

2.1.2網絡犯罪的客觀特點

1.犯罪黑數高

犯罪黑數是指所有不在犯罪統計上出現的犯罪數值,也就是未為公眾所周知,或未受司法機關追究的犯罪數。在殺人、搶劫等重大犯罪中,犯罪黑數表現并不明顯,但在盜竊、賭博、賣淫等多數犯罪中則大量存在。網絡犯罪和盜竊、賭博等犯罪相比較,犯罪黑數更加明

顯。據美國學者唐.派克估計,計算機犯罪的黑數約為85%,而德國有學者估計計算機犯罪的黑數約為80%。美國CSI和FBI近幾年來的調查結果表明,已發生的計算機犯罪案件中,只有約17%到達偵查機關手中,即計算機犯罪的黑數約83%。這就是說實際發生的100件計算機犯罪中,約有83件未被發現或未受到法律制裁。至于單純網絡犯罪的黑數目前尚無一個較權威的統計數據,據估計網絡犯罪的黑數比計算機犯罪的黑數還要高。美國聯邦調查局國家計算機犯罪偵查隊估計,85%~97%的計算機入侵犯罪沒有被發覺。美國國防部在1995年前后進行了一次測試,對參加測試的8932個系統試圖進行攻擊,結果7860個系統被成功地攻入,其中只有390個系統察覺受到攻擊,而報告受到攻擊的系統僅19個。

網絡犯罪黑數高,其原因主要有以下幾個方面:一是由于網絡犯罪極強的隱蔽性使網絡犯罪很難被發現;二是虛擬的犯罪現場,有時甚至不存在犯罪現場;三是受害者對網絡安全缺乏足夠的認識,以致給犯罪人可乘之機,有的甚至于無法察覺受到侵害;四是網絡犯罪被害人為了自身的信譽和保守秘密,或是由于反復受到侵害而鈍化,或是對公力和自力救濟有效性的質疑,或是出于其他動機不愿舉報。

2.具有跨國性

計算機網絡建構了一個虛擬的空間——賽博空間(cyberSPace),在這個空間里,既消除了國境的隔離,也打破了社會和階級的界限,真正實現了“天崖若比鄰”,使得網民們雙向性、多向性地交流以及信息高速和廣泛地傳播成為可能。在覆蓋全球的計算機網絡上,信息傳遞的速度是以毫秒為單位計時的,從中國向美國傳送一條信息花費時間不過600毫秒,即使向地球上距離我們最遠的一個點傳送,也不過費時1秒鐘而已。這就意味著,在網絡空間里,國內與國外、近與遠的概念已變得十分模糊,跨國成為一種十分平常的網絡犯罪形式。

從信息傳播的范圍和速度看,因特網具有“時空壓縮化”的特點。當各式各樣的信息通過因特網傳送時,國界和地理距離的暫時消失就是空間壓縮的具體表現。在網絡上查閱資料、相互交談、進行交易時,對象在萬里之遙與在隔壁房間并無區別。這種國界和空間距離的暫時消失,為犯罪分子跨地域、跨國界作案提供了可能。犯罪分子只要擁有一臺聯網的計算機,就可以通過因特網到網絡上任何一個站點實施犯罪活動。而且,可以在一個地方作案,通過聯網的中間網絡結點(計算機),使其它聯網的計算機受害。曾有幾個德國學生通過互聯網先從德國登錄到日本,然后從日本登錄到美國的一所大學,再從這所大學登錄到美國國防部的軍用計算機系統為克格勃竊取軍事機密。由于這種跨國界、跨地區的作案隱蔽性強、不易偵破,所造成的危害也就更大。

網絡的跨國化給刑法和刑事訴訟法帶來巨大的沖擊。如何確定犯罪地?哪一國或幾國的法院具有管轄權?對犯罪人應該適用哪一國法律?其中不僅涉及到犯罪人引渡的問題,還有取證也是極其艱難的事情,同時還摻雜一些國家、民族的因素。

3.隱蔽性強

網絡犯罪實施的主要是對程序和數據等各種無形的信息進行的非法操作。犯罪分子可以從任何一個計算機網絡終端實施犯罪行為,且不受時間的限制。犯罪行為實施終了后對信息載體等機器硬件可以不造成任何損壞,甚至不留下任何犯罪痕跡,所以犯罪行為不易被發現、識別和偵破,犯罪隱蔽性極高。

大多數的計算機犯罪,都是犯罪行為人經過狡詐而周密的安排,運用先進的專業計算機知識,所從事的智力犯罪行為。進行這種犯罪行為時,犯罪分子只需向計算機輸入指令,篡改軟件程序。作案時間短,且對計算機硬件和信息載體不會造成任何損害,作案不留痕跡,使一般人很難覺察到計算機內部軟件上發生的變化。由于網絡開放性,不確定性,超時空性等特點,使得網絡犯罪有極高的隱蔽性。由于網絡犯罪行為時間極短,往往在毫秒或微秒級完成一系列指令,而且犯罪是通過電腦內部電子流來實現的,只要足夠謹慎,就可以不留下任何作案痕跡。另外,有些網絡犯罪,需要經過一段時間后,犯罪行為才能發生作用而達到

網絡犯罪及案例分析(教材) 86_網絡犯罪案例

犯罪目的,如計算機“邏輯炸彈”,犯罪行為人可以設計犯罪程序在數月甚至數年后才發生破壞作用,也就是行為時間與結果分離,這對作案人起了一定的掩護作用,犯罪手段更趨隱蔽,這使得網絡案件很難偵破。

4.取證困難

首先,“網絡空間沒有指紋”,因為網絡犯罪本身經常是虛擬的,它的行為對象是計算機數據和程序,它們存儲在電磁介質上,磁介質上的數據必須經特定算法轉換后才能以人眼可見的形式表現出來,更因存入計算機的數據以數字或代號形成的匿名性,增加了取證的難度。其次,因數據高密度存儲,體積小,攜帶方便,且可以不為人覺察地拷貝,故犯罪行為不易當場被發現。同時犯罪人、犯罪環境的虛擬化,犯罪手段的推陳出新,這一切都導致網絡犯罪具有極強的隱蔽性,給偵查工作造成了相當大的難度。第三,犯罪現場的計算機系統內所存儲的有關證據方面的數據很容易被破壞,再加上受害者不愿報案以及行為時間與結果時間的分離性,行為地與結果發生地的分離性等原因,使網絡犯罪的取證工作十分困難。第四,電子證據的效力如何,法律沒有規定,理論上意見不一。由于偵查人員獲取的電子證據能否被法庭采信是一個未知數,因而影響了偵查人員辦理該類案件的積極性。

5.具有連續性

網絡犯罪具有連續性是由網絡犯罪所具有很強的隱蔽性、低成本及犯罪主體的特點決定的。網絡犯罪常常難以被發現,風險較小,所以行為人第一次犯罪得逞后,很少立即會被發現,其犯罪心理就會得到強化,使其犯罪欲不斷升級而繼續實施犯罪。另外,由于網絡犯罪的主體多數是技術人員,他們在社會上代表著高科技和智慧,加上網絡犯罪一般沒有癥狀,社會危害性不直觀,行為人實施犯罪后大多沒有罪惡感,犯罪目的實現時,不僅給犯罪分子帶來物質利益,同時也能滿足其智力上的優越感。

6.犯罪對象的廣泛化

隨著社會中網絡有關的應用越來越廣泛,網絡犯罪的危害也就越來越大,而且網絡犯罪的危害性遠非一般傳統犯罪所能比擬。網絡犯罪的對象從個人隱私到國家安全,從信用卡密碼到軍事衛星,無所不包,甚至網絡本身也成為犯罪的對象。

據美國聯邦調查局(FBI)稱,目前在美國,計算機網絡犯罪造成的損失每年超過670億美元,達到了672億美元。美國聯邦調查局的一份報告顯示,在美國硅谷,計算機犯罪正以每年400%的速度上升,能破案的只占10%,其中定罪的則不到3%。我國自從1986年發現首起計算機犯罪案件起,每年的網絡案件發案率呈加速擴大之勢。開始,計算機犯罪主要危害金融系統,現已危害到生產、科研、衛生、郵電、國家安全等幾乎所有使用計算機的領域。其受害對象往往是一個行業、一個地區甚至整個國家。

7.犯罪手段的多樣化

信息技術的迅速發展,計算機網絡的普及與推廣,為各種網絡犯罪分子提供了日新月異的多樣化、高技術的作案手段,諸如竊取秘密、調撥資金、金融投機、剽竊軟件、偷漏稅款、發布虛假信息、入侵網絡等網絡犯罪活動層出不窮,花樣繁多。

8.犯罪成本低

網絡犯罪成本是指行為人因實施網絡犯罪行為所承受的精神性、物質性代價。成本由直接成本(包括心理成本和經濟成本)和間接成本(包含法律成本和競爭成本)組成。網絡犯罪的直接成本和間接成本都比傳統犯罪要低。就直接成本而言,網絡犯罪的心理成本不高,網絡犯罪者實施犯罪行為常常是在極短的時間內完成的,作案時間的短促性使罪犯在作案時自我譴責和“現場心理恐懼感”大大降低,同時由于“網絡犯罪倫理”的作用,相當多的網絡犯罪者在實施犯罪行為時并沒有認識到自己實施的是一種危害社會的行為,這樣使它們的犯罪心理成本幾乎等于零;網絡犯罪與傳統犯罪相比所冒的風險小而獲益大,作案者只要輕輕按幾下鍵盤,就可以使被害對象遭受巨大損失,而使罪犯獲得巨大利益或對計算機系統入侵

的刺激和挑戰給他的心里帶來極大的滿足,所以,網絡犯罪經濟成本極低。

就間接成本而言,因網絡犯罪的發現率低,各國對付網絡犯罪的立法參差不齊,網絡立法的滯后及打擊力度不夠等原因,使網絡犯罪的間接成本低下,有時甚至等于零。

2.1.3網絡犯罪的其他特點

1.巨大的社會影響性

一般認為,計算機犯罪社會危害性的大小,取決于計算機信息系統的社會作用,取決于社會資產信息化的程度和計算機普及應用的程度,其社會作用和普及程度越大,計算機犯罪的社會危害性也越大。因此隨著網絡技術的飛速發展,網絡的普及程度越來越高,人們越來越依賴于網絡,網絡犯罪的危害也就越來越大。而且網絡犯罪的危害性遠非一般傳統犯罪所能比擬,網絡犯罪不僅會造成財產損失,甚至可能危及公共安全和國家安全。涉及財產的網絡犯罪,動輒就會造成上百萬、上千萬甚至上億元的損失。僅一個Melissa病毒就造成了數十億美元的損失,連英特爾、 微軟公司都未能幸免。網絡犯罪還會危及公共安全和國家安全,甚至會發動導致人類滅亡的核戰爭。隨著計算機信息技術的不斷發展,從國防、電力到銀行和電話等很多行業現在都實現了數字化和網絡化,與網絡息息相關,一旦這些部門遭到侵入和破壞,后果將不堪設想。

2.網絡犯罪與典型的計算機犯罪

目前對什么是計算機犯罪,理論界有多種觀點,其中雙重說(即行為人以計算機為工具或以其為攻擊對象而實施的犯罪行為)的定義比較科學。早期(20世紀50年代~80年代)計算機單機時代,計算機犯罪僅僅是指電腦犯罪,主要是計算機詐騙、針對計算機內部信息的竊取和詐騙。后期(20世紀80年代至今)計算機網絡時代,隨著計算機網絡的發展以及應用越來越廣泛,計算機軟件日益復雜化,安全措施日益普及化,針對單個計算機的犯罪轉變為在整個網絡上的各種犯罪行為。

網絡犯罪比較常見的偷窺、復制、更改或者刪除計算機數據、信息的犯罪;散布破壞性病毒、邏輯炸彈或者放置后門程序的犯罪,就是典型的以計算機為對象的犯罪。而網絡色情傳播犯罪、網絡侮辱、誹謗與恐嚇犯罪以及網絡詐騙、教唆等犯罪,則是以計算機網絡形成的虛擬空間作為犯罪工具、犯罪場所進行的犯罪。

3.犯罪本身的“虛幻”性

網絡犯罪不同于傳統的犯罪, 網絡犯罪披上了一層文雅的面紗,使得人們并不將其視為一般的、真實的犯罪。網絡犯罪通常不附加暴力, 犯罪者大多文質彬彬,喝著咖啡,坐在計算機前敲打幾下鍵盤就可以實施犯罪。網絡犯罪一般不直接針對公眾, 使得其社會危害性在一定程度上被屏蔽。網絡犯罪的這一特征, 極易導致人們特別是青少年判斷上的偏差,很多青少年對網絡犯罪投以崇敬的目光。

4.黑客攻擊發案率高

國內外網絡犯罪尚有區別,以黑客為例:在一些網絡服務商看來,目前國內的“黑客”與國際上的“黑客”有著質的區別,國際“黑客”的動機大都是進行惡意攻擊,他們在攻擊一些網絡系統的同時,自己并沒有因此獲得好處。而國內“黑客”的行為則更像是一種惡作劇,他們沒有破壞系統的意圖,但他們有著明確的目的,或是侵占一些網上貨幣,或是訛詐一套程序。與此同時,國內“黑客”的另一大特點是:他們總樂于在事先與服務商們打個客氣的招呼。據北京一家服務商介紹,自遭遇第一位“黑客”以來,該公司遇到的“黑客”100%都是在校學生。這些少年“黑客”或假他人之名詐取源代碼,或破譯他人密碼以盜取網上貨幣,或投放“郵件炸彈”。

在談及“黑客”時,一些服務商對這些少年“黑客”對系統的潛在威脅也頗感憂慮。盡管這些少年“黑客”的破壞行為在很多網絡服務公司只需花費一頓飯錢,或贈送一套程序便可以化

解,但若干年后,當這些少年長大成熟時,真正意義上的“駭客”會不會出現呢?

2.2網絡犯罪的社會危害性

實質犯罪的含義在于,“行為不是因為它違反了刑法規范而在于它侵害了刑法所要保護的實質內容而成為犯罪”。網絡犯罪的實質特征即網絡犯罪侵害了刑法所保護的利益,具有社會危害性。

網絡犯罪一直被視為新型犯罪,但不能無視的基本現實是:網絡社會與現實社會有著不可分割的聯系。我們看到互聯網上大量出現的犯罪仍然是盜竊、色情、誹謗、賭博、販毒和恐怖活動等犯罪,而像非法侵入計算機系統這樣似乎全新的犯罪行為也可以看作是私闖民宅的網絡翻版。

用傳統犯罪學理論同樣可以解釋計算機網絡犯罪。從刑法學的犯罪構成理論出發我們可以把現實世界的犯罪和網絡空間的犯罪構成的四個要件,即犯罪主體要件、犯罪主觀要件、犯罪客體要件及犯罪客觀要件來逐一比較,我們不難發現兩種行為都具有犯罪的實質特征——社會危害性。不同的只是網絡越軌行為的某些對象或具體的行為方式與傳統概念不同。從長遠看,網絡犯罪只是“一般犯罪”?,F階段計算機網絡犯罪還僅僅處于初級階段,隨著計算機網絡的日益普及和對人類日常生活的滲透越深入和廣泛,“網絡犯罪”也會成為犯罪新的普遍的存在形式。

2.2.1妨害互聯網運行安全

妨害互聯網運行安全的犯罪主要包括:侵入國家事務、國防建設、尖端科學技術領域的計算機信息系統;故意制作、轉播計算機病毒等破壞性程序,攻擊計算機系統以及通信網絡,致使計算機系統及通信網絡遭受損害;違反國家規定,擅自中斷計算機網絡或者通信服務,造成計算機網絡或者通信系統不能正常運行等。

在計算機網絡犯罪中,黑客入侵和傳播計算機病毒是最常見的犯罪方式,也是對社會造成的危害最大的網絡犯罪方式。然而對網絡上傳播內容和形式的監管技術落后和監管力度不夠的情況下,可以很容易的從網絡上下載一些黑客軟件。更有甚者,很多黑客在網絡上組織軟件論壇,一起討論和交流黑客技術,炫耀自己編寫的軟件和破壞能力。通過這些黑客軟件和論壇,即使是對網絡技術一無所知的人也可能輕而易舉的進行網絡犯罪。如1992年初,一名叫“達克·埃爾格”(意為“惡毒的復仇者” )的人,向社會公然發行了他研究的一種“變換器”??梢栽谟嬎銠C上指示病毒編制人如何利用多形性技術,設計出更新的更難消除的“多形”病毒。這樣使得黑客入侵和計算機病毒越來越容易,對互聯網運行造成的危害也越來越大,給國家、社會和國防帶來巨大的損失。

2.2.2妨害國家安全和社會穩定

妨害國家安全和社會穩定的犯罪主要包括:利用互聯網造謠、誹謗或者發表、傳播其他有害信息,煽動顛覆國家政權、推翻社會主義制度,或者煽動分裂國家、破壞國家統一;通過互聯網竊取、泄露國家秘密、情報或者軍事秘密;利用互聯網煽動民族仇恨。民族歧視,破壞民族團結;利用互聯網組織邪教組織、聯絡邪教組織成員,破壞國家法律、行政法規實施等。

由于網絡具有跨國性,以及網絡犯罪隱蔽性強、傳播快速等特點,使得很多境內外的犯罪組織和個人自然地選擇網絡作為他們組織邪教、販賣槍支、宣傳反社會、反國家言論和進行間諜活動的工具。如1997年3月25日,美國加利福尼亞州的圣迭哥市發生了一起集體自殺事件。警方趕到現場后,發現一座別墅中有39具尸體,所有尸體都穿戴一致樣式的服飾,自然而輕松地平躺在多張雙層床上。調查結果表明,這39個死者都屬于一個叫做“天堂之

門”的邪教 ,該組織對外的名稱叫做“世界高級計算機宗教組織”。這39個教徒自殺的動機是相信他們可以和每3000多年才光顧一次地球的海爾——阿普爾彗星一同離開地球,升入真正的天堂。該組織的首領馬歇爾在死前錄像上稱:“我的教會的成員來自太空,我們都想回到那里去,在波譜彗星到來之際,外星人會把我們帶往一個新的精神世界,因為人生只是一生中的更高級存在的一個階梯而已?!敝档萌藗冏⒁獾氖?,該邪教的傳教“布道”方式——利用計算機網絡進行傳播。該組織很早就在網絡上創建了自己的網站,一個名叫“天堂之門”,一個叫“更高源泉”,前者用來宣傳該組織的教義和所謂哲學,而后者則用來提供他們的網絡服務。

2.2.3妨害市場經濟秩序和社會管理秩序

妨害市場經濟秩序和社會管理秩序的犯罪主要包括:利用互聯網銷售偽劣產品或者對商品、服務作虛假宣傳;利用互聯網損害他人商業信譽和商品聲譽;利用互聯網侵犯他人知識產權;利用互連網編造并傳播影響證券、期貨交易或者其它擾亂金融秩序的虛假信息;在互聯網上建立淫穢網站、網頁、提供淫穢站點鏈接服務,或者傳播淫穢書刊、影片、音像、圖片等。

由于通過計算機網絡進行交易,資金更加容易安全換手,因而目前計算機網絡已經成為一些黑社會洗錢的最佳場所。利用計算機洗錢的犯罪行為在中國已有發生。

利用網絡銀行洗錢是現在各國反洗錢機構面臨的新問題。利用互聯網洗錢的一個方法就是,首先設立一家公司,并且該公司提供的服務可以通過因特網支付;然后洗錢者利用這些服務,使用附屬于他自己控制的賬戶(犯罪中包含犯罪收益)的信用卡或借記卡對提供的服務付費,并由該公司向信用卡公司出具發票。這樣犯罪收益就變成了公司提供服務的報酬。在這種洗錢方法中,洗錢者實際上僅控制出具發票的賬戶和通過因特網提供服務的公司,信用卡公司、因特網服務提供商(ISP)以及犯罪過程中所涉及的銀行都沒有任何理由懷疑這些活動,因為他們只看到整個過程的一部分。

網絡虛擬環境使得色情犯罪空前高漲,據網頁過濾公司N2H2調查,目前互聯網上的色情網頁數量已經超過2.6億,比五年前增加了20倍。這家公司稱這個調查結果充分說明網絡色情文化的高速發展已經成為一個嚴重的社會問題。僅以美國為例,高科技手段的運用也為美國的成人網站帶來了豐厚的回報,為首的兩家公司在2003年創造了20億美元的營業額,比2002年高出10到15個百分點。同時,統計數據顯示2003年12月共有3500萬網民登陸過色情網站,也即美國每四個上網者就有一個上網瀏覽過色情內容。網絡同樣使得侵犯知識產權、銷售偽劣產品等經濟犯罪愈演愈烈。

2.2.4妨害人身、財產權利

妨害人身、財產權利的犯罪包括:利用互聯網侮辱他人或者捏造事實誹謗他人;非法截取、篡改、刪除他人電子郵件或者其他數據資料,侵犯公民通信自由和通信秘密;利用互聯網進行盜竊、詐騙、敲詐勒索等。

利用計算機進行敲詐,是指犯罪人以摧毀他人的計算機程序、數據庫,或者制約他人的計算機信息系統等為要挾而敲詐他人錢財物。這主要體現為網絡黑客對于各大公司、銀行等機構的敲詐,但是目前范圍已經擴展。如:美國某人類學專家向全球寄發了二萬多張計算機軟盤,稱這張軟盤中含有可以最終治療艾滋病的信息。但是,當用戶調用軟盤存儲的信息后,用戶的硬盤即被鎖住,同時屏幕上出現的相應的告示,要求用戶至少把189美元轉到巴拿馬某銀行的賬戶上,以獲取為硬盤解鎖的密鑰。另外,目前還出現了利用計算機獲取他人的隱私資料或者某種個人秘密,進而要挾他人以獲取錢財的案件。

互聯網上利用技術監看他人的私人數據、電子郵件也是很普遍的現象。這與現實生活中

私拆他人信件屬于同一性質問題,都是侵害他人隱私權的行為。但是,公司監看員工的電子郵件卻又似乎被看做理所當然的事情,在美國,根據美國管理協會對1000家公司的調查發現,約45%的公司監視雇員的電子郵件,39%的公司監視或記錄員工的電話,27%的公司查看并保存電子郵件的內容,16%的公司把工作人員的活動拍攝下來,84%的公司讓雇員知道公司在監視。

妨害個人的犯罪除了強奸罪等必須以行為人自身或者他人的人身作為犯罪工具的傳統型犯罪以外,其他犯罪基本上均可通過計算機加以實施,這甚至包括利用計算機殺人。例如,1994年,一名不法分子通過計算機網絡訪問了英國利物浦醫院的計算機信息系統,他把醫生給病人開的處方改了,給一名9 歲的男孩開了一張劇毒合劑的處方,幸虧藥房醫生核對了一下處方,男孩才幸免于難。

網絡犯罪及案例分析(教材) 86_網絡犯罪案例

第三章 網絡犯罪的原因和手法

3.1網絡犯罪的原因分析

網絡犯罪不僅是刑法學研究的對象,也是犯罪學研究的對象。因而,研究網絡犯罪的原因就成為犯罪學的一個重要課題。研究網絡犯罪原因的目的是預防網絡犯罪,兩者猶如病因和治病的關系一樣,只有病因診斷清楚,才能對癥下藥。網絡犯罪原因是一個十分復雜的系統,犯罪結果的發生與犯罪現象的存在是罪因系統中眾多致罪因素相互作用的復雜過程。

3.1.1研究網絡犯罪原因的意義

一、有利于客觀、全面地認識網絡犯罪問題的復雜性,端正預防網絡犯罪的工作態度。 對網絡犯罪原因的深入研究,使人們充分看到網絡犯罪行為的發生,不是簡單的某一方面或某幾方面的原因所致,可以使人們以科學全面的態度和方法來對待網絡犯罪。影響網絡犯罪的因素有很多,不僅有客觀方面的原因,也有犯罪人主觀方面的原因;不僅有生理心理方面的原因,而且有網絡環境方面的原因;不僅有犯罪人方面的原因,而且還有被害人方面的原因。因此,網絡犯罪原因是一個十分復雜的系統,犯罪結果的發生與犯罪現象的存在是罪因系統中眾多治罪因素相互作用的復雜過程。而且,決定犯罪存在與規模大小的犯罪原因,也異常復雜,隨著社會政治、經濟形勢、網絡科技和法律制度的發展變化,其內部結構及其功能作用,均會不同。預防網絡犯罪的工作是十分艱巨的,治理網絡犯罪工作要花費漫長的時間,切忌期盼短期內能夠根治,更不能幻想在不長時間內消滅網絡犯罪,我們只能通過各種制度設計和防控手段減少和抑制網絡犯罪。

二、有利于探明網絡犯罪的規律,增強防控網絡犯罪的能力。

要長期不懈的開展預防網絡犯罪的工作,通過網絡犯罪原因的研究,不斷發現網絡犯罪現象和網絡犯罪行為的變化發展規律,就能夠掌握規律、運用規律進行社會預防工作,不斷提高網絡犯罪預防的控制能力。

三、有利于不斷地完善社會機制,彌補社會組織和個人的漏洞。

網絡犯罪是一種綜合病癥,宏觀社會環境(生產力、生產關系、上層建筑)和微觀社會環境(家庭、學校、鄰里街道、企事業單位、網絡空間中的群體和個體)中的消極因素,對人的犯罪意識的形成與犯罪意識的外化起著至關重要的作用。分析社會中存在的問題,不僅能夠查清網絡犯罪原因的內部結構及對網絡犯罪行為發生作用的過程,而且可以有針對性地對社會制度、社會組織和社會控制中存在的問題進行修正,從而使社會肌體更健康、更和諧、更完善。同時,對微觀社會環境中各種組織和個人在網絡中的漏洞進行補救,力圖消除有利于網絡犯罪行為發生的各種條件及其相關因素。

四、網絡犯罪原因的研究對于國家立法有理論的指導意義。

研究網絡犯罪原因,有利于端正國家立法工作的正義與公平的理念及形象,避免惡意執法乃至有可能出現的法律縱容網絡犯罪的漏洞。

研究網絡犯罪原因,可以使刑事立法工作更為科學,減少和克服現實工作中嚴重存在的“刑罰不足”與“刑罰過?!钡膯栴}。

研究網絡犯罪原因,特別是對青少年網絡犯罪原因的研究,有利于社會性法律的制定。

五、研究網絡犯罪原因對司法工作有理論指導意義。

研究網絡犯罪原因,有利于公安機關借鑒這些理論成果,尤其是類型犯罪原因、個體犯罪原因的研究成果,設置預防犯罪的方案,及時偵查破案,有的放矢地依據罪因分析結論,審訊罪犯,從而加大打擊力度,提高辦案效率,達到政策攻心的目的。

研究網絡犯罪原因,有利于檢察院揭露犯罪人的主觀惡性、犯罪行為的動機及其危害,及時對有關部門做出預防犯罪的司法建議,有利于人民法院準確地適用刑罰,并有針對性地根據犯罪原因尤其是犯罪人的主觀程度,準確地定刑。

研究網絡犯罪原因,有利于監獄等刑罰執行機關根據罪犯的不同犯罪原因,制定具有針對性地矯正罪犯的方案,進而提高改造罪犯的質量。

3.1.2網絡犯罪的社會原因

網絡犯罪的社會原因,是指引起犯罪發生的犯罪主體以外的社會現象。網絡犯罪的社會原因包括政治、經濟、文化、教育、思想道德、法制、人口等因素。這些社會因素相互聯系相互作用,構成犯罪原因系統的次級系統。在這個次級系統中,各因素的作用和地位是有差別的,并且隨著時間推移而變化。當然,這些犯罪的社會原因是犯罪原因中的外因,必須通過犯罪主體而起作用,本身并不能直接產生犯罪。

一、網絡犯罪的經濟原因

1.網絡信息與財富的集中性

社會日益青睞于將各種無形的數據信息集中存儲和處理,這些被集中的數據信息擁有巨大的經濟價值,致使這些數據信息的丟失或者損壞將造成巨大的損失,同時它們也成了犯罪的目標。信息和財富的集中也使網絡犯罪獲利巨大,一起犯罪往往能獲得巨額財富,比冒著生命危險實施搶劫等傳統犯罪的“回報”要高出成百上千倍。

2.網絡犯罪的經濟成本低

數據信息的丟失或者損壞所造成的損失是巨大的。比起傳統犯罪,很少的投入就能產生巨大的成果,而且網絡犯罪的報復性和破壞性成本也較傳統犯罪要低得多。

二、網絡犯罪的文化原因

文化,從廣義上說,是指人類社會歷史演進過程中所創造的物質財富和精神財富的總和。從狹義上說,是指導社會的意識形態,以及與之相適應的制度與組織機構。文化,既是一定社會政治、經濟的反映,又對一定社會的政治和經濟產生巨大的反作用。

1.文化沖突對網絡犯罪的影響

文化沖突對網絡犯罪的影響主要表現在三個方面:其一,現代文化與傳統文化的縱向沖突;其二,不同地域、民族、群體之間交往日益增多,不同文化之間產生的橫向沖突;其三,隨著社會對外開放程度的深入,國外的意識形態、文化價值觀、生產方式向我國各方面滲透,從而形成了中外文化的沖突。

網絡中,由于不受地理空間的控制,信息的無國界傳播,空前實現了信息的普遍性和共享性,各國文化之間的相互影響迅速擴大,導致文化沖突更加彰顯,主要表現為不同地域、國家、民族和群體網絡空間交往中形成的橫向沖突,國外的意識形態、宗教信仰、文化價值觀念、風俗習慣、生活方式無孔不入地進入網絡空間,與中國傳統文化觀念以及價值取向相異的西方文化自然和我國的傳統文化產生激烈的沖突。諸多文化沖突形成文化價值觀的多元化,必然導致與法律沖突的機會大大增加,意識形態中的無序狀態和非平衡因素必然會對社會治安產生消極的影響。目前,性與色情在因特網上越來越多,涉及面越來越廣,因文化沖突引起的社會問題已經在網上顯現而且日益嚴重。

2.網絡亞文化對網絡犯罪的影響

現代網絡世界興起的網絡亞文化(Cyber Culture),又稱賽博文化,是指網絡群體以計算機技術和通信技術融合為物質基礎,在相互發送和接收信息活動過程中逐漸形成的特定的價值標準、行為方式及其現象的綜合體。

網絡亞文化的首要問題是黑客文化。網絡本身是科技高度發展的結果,是智慧力量的體現,在網絡中,智慧者是網民崇拜和恐懼的“王” ,通常,破壞是違規者顯示自己智慧

力量的捷徑。于是網絡中崇尚“智慧” ,“破壞”的亞文化,促使網絡犯罪的急劇蔓延。

現在“賽博空間”的英雄神話已經消解,現代“黑客”走向了自己的反面,他們利用高科技技術手段在網絡中為所欲為,或非法入侵機密重地,或惡意搗毀,破壞系統,或者干脆打家劫舍截取賬號盜竊錢財,甚至成立了許多臭名昭著的犯罪組織。一方面熱衷于炫耀自己的電子技術才華;一方面藐視所有的法規。黑客精神的這兩方面正是針對計算機犯罪和針對電子信息網絡犯罪的觀念根源。在我國的社會生活中,網絡亞文化是促使網絡犯罪的重要原因之一。

3.網絡空間管理艱難、松弛,為不良文化的泛濫開了方便之門。

網絡空間不像物理空間那樣容易管理,它方便而松弛的管理使得網絡成為自由的世界,使得世界范圍內的不良文化在網絡中泛濫,對網民尤其是青少年產生了消極的影響。

三、網絡犯罪的倫理道德原因

1.網絡倫理環境建設的忽視

對網絡本質的理解存在片面化,人們普遍把網絡看成是生活、工作的工具。在計算機網絡飛速發展的同時,不僅要關注計算機、技術、軟件等軟硬件因素,而且要重視與其密切不可分的社會倫理文化因素。

我們對網絡本質把握的缺失就在于忽視其社會倫理文化因素。每當談及電子商務、網絡安全、黑客行為的時候,人們關注的往往是如何加強網絡技術的改進,而忽視了我們的生存方式、價值觀、行為規范等對網絡的影響。這種技術至上論常常挫傷人們發展網絡的信心,尤其是在網絡病毒蔓延,與黑客較量中,號稱堅不可摧的技術頻頻告急的時候。這種觀念也強化了倫理和技術的時滯效應。因此,網絡世界具有深刻的倫理底蘊,我們不僅要重視技術的作用,也應關注倫理文化的實踐意義。

網絡是科技發展的必然產物。導致人們只以科技事物的眼光,而不是從社會文化的角度來看待網絡和網絡犯罪。

2.網絡犯罪的倫理道德原因

影響網絡犯罪的倫理道德原因表現在:

網絡轉型期帶來的問題。在網絡從科技事物向社會事物轉型的過程中,網絡道德的缺失和網絡道德力量對人們行為的控制力的蒼白,以及人們網絡行為的失范,自然增加網絡空間生活狀態的無序和混亂。

道德觀念、價值觀念沖突激烈。在網絡交流中,國外意識形態、道德價值觀的滲透,也會形成中外道德、價值觀念的碰撞與沖突。在復雜的道德觀念面前,人們的心靈深受著多重意向的牽引,飽經著多種道德觀念沖突的折磨,社會心理變得異常敏感和脆弱,人們心理上容易產生嚴重的失衡和信仰、是非危機,甚至會出現一些反道德的現象和心態,使一部分人走上違法犯罪的道路。

社會道德水準出現了下滑趨勢。思想與道德教育的松懈,使得社會不良思潮對青少年的影響很大,青少年中亞文化群體有日益增長的趨勢,這種文化道德的差異性群體在文化認同和社會道德規范認同上與社會要求存在巨大的差距。道德水準的下滑,必然導致道德失范現象的膨脹,而網絡正是這種道德失范的隱蔽地和滋生地,網絡犯罪行為自然會增多。

四、網絡犯罪的法制原因

1.法律應對網絡犯罪的滯后性。

包括兩個方面:一是國內法律應對滯后;二是國際社會的認識和合作滯后。

2.網絡犯罪的復雜性和隱蔽性,致使追究責任困難加大。

由于網絡的時空跨度超過了傳統的限制,而且操作具有長距離、大范圍、易修改、不留痕跡等特點,因此網上違法犯罪行為在偵察和取證方面都有相當大的難度。據統計,網絡犯罪大約只有1%被發現,而且只有大約4%的案件會被正式進行偵查。很大一部分犯罪行

為根本沒有被受害者發現或報案。這使網絡犯罪者更加膽大妄為,而實施這種犯罪的人數也不斷增加。

3.法制觀念淡薄。

有的青少年對自己行為的正當性缺乏最基本的認識和控制,不知道自己行為的邊界,做了制造電腦病毒、破壞他人信息系統的違法犯罪之事,還洋洋得意。

4.網絡犯罪法律成本低廉。

網絡實施的犯罪在造成巨大損害或者獲得巨大利益的同時,被捕入獄受到懲罰的可能性相對傳統犯罪來講卻要低得多。網絡犯罪風險小,導致犯罪分子產生僥幸心理,這對網絡犯罪的發生具有巨大的誘因作用。

3.1.3網絡犯罪的技術原因

計算機技術及其網絡的出現為網絡犯罪創造了條件。它一方面為人類社會的發展、科技的進步和文明的提高,發揮著巨大的推動和激勵作用;另一方面,計算機和網絡技術也使得社會丑惡的東西搭乘上了信息化快車,并演變為高智能化的網絡犯罪。沒有計算機和網絡技術的存在和發展,就不會有網絡犯罪存在和發展的可能。

一、網絡空間的開放性原因

網絡空間是我們的物理世界無法比擬的開放性的虛擬空間,猶如一個公用的四通八達的大廣場。在這個大廣場上,已經沒有了界限和防線。沒有了堅固的設防,開放、互動的計算機網絡反倒給不法分子提供了一種十分便利和有效的工具,使那些在現實生活中無法作案的人在網上有了作案的條件,使現實生活中的違法行為在網上得到了擴張和加劇。

二、網絡信息系統的脆弱性原因

1.我們目前采用的主要的網絡安全防范手段存在缺陷,安全漏洞大大增加。

我國目前采用的主要網絡安全防范手段是安裝一般的防火墻,其安全功能是有限的,很難防范偽造的IP攻擊。

計算機應用程序采用的安全手段,大部分是使用簡單的請求/響應模式,由客戶將密碼傳送給服務方來作身份認證,其中缺乏完善的密鑰管理手段。

由于美國政府對安全的出口限制,我國進口的安全應用系統其中的安全漏洞可能會大大增加,如目前比較流行的SSL、HTTPS協議,按照安全要求,這些協議中的分組加密算法密鑰長度至少為128位,公鑰算法的密鑰要求1024位,但出口到我國后這些密鑰長度遠遠沒達到這種要求,分組加密算法密鑰長度是DES(64位),RC2(40位),而公鑰加密算法密鑰長度只有512位。

2.我國的網絡信息系統存在獨特的安全缺陷。

技術被動性引起的安全缺陷,我國在計算機硬件方面受制于人,目前尚不能自主生產CPU芯片,計算機網絡系統其他部件的關鍵技術也都掌握在外國生產商手里,因此無法從核心硬件上來做技術防范。同時,在我國使用的大部分軟件都存在安全隱患。在技術防范方面,要能夠確保真正的安全,必須研制擁有自主知識產權的安全產品。

缺乏系統的安全標準所引起的安全缺陷。安全標準與安全問題存在密切的聯系,有了嚴格的安全標準并依據標準進行管理就可以在一定程度上提高抵御危險的能力,反之,則會造成管理上的混亂,而且會使攻擊者更加容易得手。

三、網絡信息系統管理的復雜性原因

網絡信息系統管理的復雜性和我國網絡技術和管理人員素質問題所引起的安全缺陷。首先,計算機信息系統的功能日益強大,其硬件和軟件也同時成倍地復雜化和龐大化,雖然各國都在努力使計算機系統的設計盡可能地完美和減少缺陷,但是事實證明這是不可能的。其次,我國網絡從業人員及管理人員的素質狀況是不能令人滿意的,一方面是網絡規模在不斷

擴大,而另一方面卻是人員素質的停滯不前甚至下降,這一矛盾就為我國的網絡安全留下了隱患。

3.1.4網絡犯罪的主體原因

犯罪主體因素是指存在于犯罪者主體方面的引起犯罪發生的生理和心理現象。因此,犯罪的主體原因主要指兩方面:生理原因和心理原因。犯罪的主體因素與犯罪的社會因素相比,有如下兩個特點:一是一定的自然屬性;二是作用的直接性和決定性。因為意識支配行為,犯罪主體實施犯罪行為是由犯罪者自由意志決定的。另一方面,實施犯罪行為的主體畢竟是犯罪者,犯罪主體的生理因素對犯罪的產生具有直接和決定性的作用。

一、網絡犯罪的生理原因

違法犯罪主體的生理因素主要是指個體的年齡、性別、其他的生理特征等。這些生理特點是影響違法犯罪心理形成和行為發生的相關因素,它為犯罪心理形成提供物質基礎,影響著犯罪人的個性特征。影響網絡犯罪的主要生理因素與傳統犯罪因素相比,主要是年齡和智力因素。

1.年齡因素

年齡的大小,對違法犯罪的行為往往有著一定的影響。由于不同年齡階段的人的身心發育程度不同,社會閱歷不同,就會影響犯罪率的高低和犯罪人對犯罪類型、犯罪形式的不同選擇。

根據各國的違法犯罪統計,違法犯罪率高的年齡,一般在14~25歲之間,也即青少年時期。青少年時期是一個人從幼稚走向成熟的時期,也是一個充滿矛盾的時期:生理和心理的急劇變化和認識能力之間的矛盾;認識、感情、行為之間的矛盾;自我意識和社會意識之間的矛盾,表現得都比較突出。他們精力充沛,富于激情,容易沖動、自制力差、學習能力強、接受新鮮事物能力強,是違法犯罪的危險時期,更是網絡犯罪的生力軍。在青少年眼中,網絡具有巨大吸引力,能夠精通網絡技術的人是他們心目中神通廣大的“俠客”。對于那些懂得網絡知識,掌握一些網絡技術的青少年,各種網絡攻擊、入侵行為更被認為是最能體現和炫耀自己技術水平的方式。這些都為網絡犯罪的產生提供了溫床。

2.智力因素

網絡犯罪是典型的智能型犯罪。網絡是高科技發展的結果,只有能夠使用網絡的人才可能實施網絡犯罪,這就是智力因素成為網絡犯罪不可缺少的條件之一。尤其是對于網絡黑客攻擊來說,更是要求行為人具有高超的計算機技能。從我國目前網絡犯罪的現狀來看,作案者中有70%以上是從事計算機工作的專業人員,而采用的各種入侵手段更是不斷翻新。

二、網絡犯罪的心理原因

1.貪財圖利

實施網絡犯罪的動機多種多樣,但是從數量上分析,多數的網絡犯罪案件還是以貪財圖利為目的?,F階段,各種以獲取非法錢財為目的的網絡犯罪,如網上敲詐、入侵銀行系統、偷取客戶資料、制作色情信息等,在網絡犯罪中占絕大部分。美國司法部門委托斯坦福研究所對網絡犯罪所作的調查表明,各種犯罪類型中,通過篡改帳號謀取錢財的犯罪發生率最高,高達42%。美國銀行聯合會十分謹慎地估計,利用計算機從銀行里偷竊的款項,1988年僅僅通過信用卡詐騙給銀行造成的損失就高達20億美元左右。進入二十一世紀后,這類犯罪有增無減,僅2003年美國網絡詐騙損失達24億美元,而2005年一年美國因信息安全問題造成的經濟損失高達670億美元。給社會造成的危害程度是極其嚴重的。

2.顯示智力

美國的一項研究表明促使犯罪者實施網絡犯罪的最有影響力的因素是個人財產上的獲利,其次是進行犯罪活動的智力挑戰。這種犯罪心態在黑客中較為突出,他們除了獲取金錢

網絡犯罪及案例分析(教材) 86_網絡犯罪案例

報酬之外,很多是為了顯示自己的高智力和技術,證明其存在和作用。

一名自稱“破壞博士”的黑客撰文說,黑客們習慣把自己看作是敢于挑戰自己的精英分子,個個胸懷大志,都自認為是新的電子世界的拓荒者。一方面為了顯示才華,一方面蔑視法規。這是黑客犯罪的精神根源。美國國防部曾多次遭黑客侵入,在聯邦調查局、司法部、航空航天署等很多有關部門會同警方的一次調查中,將一名年僅18歲的以色列年輕人抓獲。據說這名18歲的年輕“黑客”,曾數次進入美國國防部的電腦系統,但沒有進行實質性破壞。犯罪嫌疑人稱,他并不存在什么主觀惡意,更沒有險惡的犯罪動機,在他進入該系統時,還為系統彌補了幾個安全上的漏洞。他感覺這樣做“很棒”,甚至還覺得自己是高技術領域的“羅賓漢”。

3.心理空虛,尋求刺激

一些人進行電腦犯罪,沒有明確的目的。由于他們精神空虛,尋求刺激,無所事事,與組織、政府以及社會名流開玩笑,從惡作劇開始,演變成為犯罪。往往從最初的開玩笑而導致造成嚴重的后果,進而演變成了網絡犯罪行為。。電腦空間提供了一個方便的手段,一些人待犯罪造成了嚴重的后果后,才知道自己開玩笑開過頭了。還有些人即使看見自己的惡作劇造成社會危害,也不認為自己在犯罪。

1998年,江西省公安機關破獲一起電腦黑客案。犯罪嫌疑人馬某從1998年7月19日起,在家中先后4次遠程登陸該省169多媒體信息網,從服務器上下載用戶資料文件,修改用戶密碼,并通過試猜密碼方式獲得超級用戶口令,對系統程序進行刪除,導致網絡癱瘓,不能正常運行。審訊期間,馬某還交待了利用相同方法先后遠程攻擊過廣州、南京、哈爾濱等地的幾十個網站。他的作案動機很單純,覺得好玩、刺激,別人查不到他。

4.自控能力弱,辨別是非能力差

進行網絡犯罪的人員特別是青少年,多數是網絡的狂熱愛好者,他們求知欲望和表現欲望強烈,敢于挑戰網絡空間的任何禁區,但是法律意識淡薄,對什么是法律允許的、什么是法律禁止的,沒有明確的辨別能力。1988年11月2日,美國康奈爾大學計算機系研究生莫里斯在美國國防部高級研究計劃署網(ARPANET)中釋放的一個病毒程序,在8小時之內侵入了6000臺運行Unix操作系統的VAX和Sun計算機,使它們全部癱瘓。1990年1月,莫里斯被判處3年緩刑、1萬美元罰款和400小時的社會服務。莫里斯最初的設想是要設計一種能揭示Unix系統中sendmail程序和 finger程序中的漏洞的無害病毒程序,目的在于對既有計算機程序技術提出挑戰,以促進技術的改善。他未料到,他精心設計的病毒程序一放進計算機網絡之中就造成了計算機網絡的大災難。

5.性情孤僻,心理不健康

一些網絡犯罪分子由于得不到家庭的溫暖,在社會上受到歧視,于是就產生了性情孤僻等不健康的心理,往往產生只能到網絡的虛擬世界上尋找安慰的錯覺,從而容易走上網絡犯罪的道路。有這樣一則案例:美國著名的少年電腦黑客莫尼克自幼父母離異,后又受到父親和繼母的歧視和虐待,在學校經常受到同學們的嘲笑和欺辱,長大后性格孤僻,心理變態,以“讓大人們,特別是有權有勢的權貴知道我的厲害”為奮斗目標,終于制造了全球最大的破壞網絡案件,1998年被美國聯邦法院以電腦流氓罪判處七年監禁。

6.出于政治目的

一些網絡犯罪是因為政治上原因而進行的。例如:邪教組織就經常利用發郵件的形式,向個人郵箱發放法輪功的反動宣傳材料。

3.2網絡犯罪的手法

3.2.1傳播病毒

這是目前已知的計算機犯罪手段中攻擊最為有效和破壞最為嚴重的方式。計算機病毒是指編制者在計算機程序中插入的破壞計算機功能或者數據,影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼。它具有可傳播、可激發、可潛伏性,對于大、中、小、微型計算機和計算機網絡都具有嚴重的危害性和破壞性,可能會奪走大量的資金、人力和計算機資源,甚至破壞各種文件及數據,造成機器癱瘓,帶來難以挽回的損失。 幾種常見的計算機病毒介紹:

一、“雙料性”、“雙重性”3783(TPVO)病毒

在國內外,屢殺不絕,到處感染,反復發作的病毒之一就是3783病毒。

3783病毒是從國外流躥進來的,在國外也被稱為“6789”病毒,該病毒即有“雙料性”、“雙重性”。所謂的“雙料性”是指該病毒既能像引導型病毒一樣感染軟硬盤引導區,又能像文件型病毒一樣感染可執行文件和覆蓋文件。所謂的“雙重性”是指該病毒既是DOS系統病毒,又是Windows系統病毒。

其DOS病毒的80%可感染Windows文件,主要是感染.com文件和部分文件的頭兩個字節是4D5A的文件等,但往往有的DOS病毒不識別Windows文件結構,在傳染過程中計算錯誤,將文件傳染壞,使文件不能運行;或只將病毒主體貼附在文件尾部,成為病毒僵尸,病毒不會被激活,但文件還可以運行。

當3783病毒要傳染的文件頭兩個字節是4D5A(.EXE)文件時,病毒會自動判斷是DOS 系統下運行的文件,還是Windows系統下運行的文件,并對其不同的文件結構實施不同的傳染方式,病毒主體貼在文件尾部,并增加了3783個字節。

當染毒的系統引導后,該病毒駐留內存時,病毒利用自身的反串功能,使大多數反病毒軟件查毒時,不能查出已經染有此毒的文件。此病毒對網絡系統破壞極大,使網絡系統工作不正?;虬c瘓。使Window95/NT/2000系統癱瘓,或不能引導。輕易將硬盤主引導記錄更換。 該病毒感染軟硬盤引導區,在內存有病毒時,病毒虛假地恢復了主引導記錄,使許多查毒軟件產生漏查漏殺現象,用干凈軟盤引導系統,無法進入硬盤,所以這幾種病毒流躥極廣,危害極大。

二、“CMOS設置破壞者”病毒

CMOS’Destroyer(COMS設置破壞者)病毒是引導區病毒,有A、B、C 三個變種,在國外被稱為ANTCMOS(反COMS)病毒。該類病毒感染硬盤主引導區和軟盤BOOT區,并且不分DOS、Windows、Windows NT、UNIX 等操作系統。因為它采用的是覆蓋主引導記錄的傳染方式。該類病毒發作條件是先取得機器時間的秒數,與引導區第3H位相減,如果數值小于2,病毒就發作,但這種發作的概率很小。其中B型病毒發作時,不破壞機器的CMOS 設置,而是發出一種連續的顫動聲,使機器死循環。C型病毒發作時,不破壞機器的CMOS設置,而是發出一種連續的怪叫聲。A型病毒發作時,將機器的CMOS中的軟驅和硬盤類型及參數全置為0,使機器不能引導,需人工再重新設置。

三、“蒙麗莎”病毒

1999年3月27日,一種隱蔽性、傳播性極大的、名為“蒙麗莎”(又名“美麗殺手”)的Word97、Word2000宏病毒出現在網上,并以幾何級數的速度在因特網上飛速傳播,僅在一天之內就感染了全球數百萬臺計算機,引發了一場前所未有的“病毒風暴”。 “蒙麗莎”病毒最初是在一個成人新聞組里出現,并為來訪用戶提供色情網站清單及其訪問密碼。這個病毒專門針對微軟的電子郵件服務器和電子郵件收發軟件,它隱藏在一個Word97 格式的文件

里,以附件的方式通過電子郵件傳播,善于侵襲裝有Word97 或Word2000 的計算機。它可以攻擊Word的注冊器并修改其預防宏病毒的安全設置,使它感染的文件所具有的宏病毒預警功能喪失作用。當打開感染了該病毒的Word97、Word2000文檔時,該病毒首先感染通用模板Normal.dot文件,并修改Windows注冊表項:HKEY_CURRENT_USER \Software \Micsoft \Office等。在OUTLOOK電子郵件程序啟動的情況下,將自動給地址簿的前50名發送信件,該信件的主題是:Important message from(user),該用戶名(user)為地址簿里的已經存放的用戶名,信件的內容是:Here is a document you ask for... don’t show any one esle并將該信件附加一個帶毒文件,名為:list.doc,該文檔包含大量色情網址。

由于是熟悉的人發送的,因此容易被人們忽視。同時,該病毒還會自動重復以上的動作,由此連鎖反應,會在短時間內,造成郵件服務器的大量阻塞,直至“淹沒”電子郵件服務器,嚴重影響人們的正常網絡通訊。據計算,如果“蒙麗莎”能夠按照理論上的速度傳播,只需5次就可以讓全世界所有的網絡用戶都收到一份。由于病毒自動進行自我復制,因而屬于蠕蟲類病毒?!懊甥惿钡淖髡唢@然對此頗為得意,他在病毒代碼中寫道:“蠕蟲類?宏病毒?Word 97病毒?還是Word 2000病毒?你們自己看著辦吧!”

在發現“蒙麗莎”病毒后短短的數小時內,該病毒即通過因特網在全球傳染數百萬臺計算機和數萬臺服務器,因特網在許多地方癱瘓。美國YAHOO、美國在線AOL幾個大型網站公司,因為“蒙麗莎”堵塞了他們的郵件服務系統,迫使他們不能收信,也不能發信。

許多公司技術人員放棄了他們的周末,以應付這個“蒙麗莎”病毒所帶來的意外情況,甚至像微軟、朗訊、英特爾、Motorola這樣的技術公司及數十所大學也不例外。對此,美國聯邦調查局、美國國家設施保護中心有史以來第二次向全國發出緊急通告,我國中央電視臺也數次報道?!懊甥惿弊盍钊丝植乐?,還不在于“癱瘓”郵件服務器,而是大量涉及企業、政府和軍隊的核心機密有可能通過電子郵件的反復傳遞而擴散出去,甚至受損害用戶連機密被擴散到了哪里都不知道。

四、CIH病毒

CIH病毒是一位名叫陳盈豪的臺灣大學生所編寫,從臺灣傳入大陸的。CIH的載體是一個名為“ICQ中文Chat模塊”的工具,并以熱門盜版光盤游戲如“古墓奇兵”或Windows95 /98/2000為媒介,經互聯網各網站互相轉載,使其迅速傳播。目前傳播的主要途徑是通過Internet和電子郵件,當然隨著時間的推移,其傳播主要仍將通過軟盤或光盤途徑。

CIH病毒具有多個版本,感染Windows PE可執行文件,破壞用戶硬盤以及用戶主機BIOS程序的代碼,感染ZIP自解壓包文件,導致ZIP壓縮包在解壓時出現錯誤警告信息,發作日是每月26 日,特別是每年4月26日及6月26日。

3.2.2特洛伊木馬術(Trojan Horse)

木馬,也稱特洛伊木馬,名稱源于古希臘特洛伊木馬的故事。傳說希臘人圍攻特洛伊城,久久不能得手。后來想出了一個木馬計,讓士兵隱匿于巨大的木馬中。大部隊假裝撤退而將木馬丟棄于特洛伊城下,讓敵人將其作為戰利品拖入城內。木馬內的士兵則乘夜晚敵人慶祝勝利放松警惕的時候從木馬中爬出來,與城外的部隊里應外合從而攻下了特洛伊城。

網絡特洛伊木馬是指任何提供了隱藏的、用戶不希望的功能的程序。即表面上提供了一些合乎用戶需要的功能,但由于在其中包含了一些用戶不知道的未經授權的代碼,使得該程序有一些不為用戶所知的(也可能是不希望的)功能。這些額外的功能往往是有害的。特洛伊木馬程序與病毒的區別是,前者是不依附于任何載體而獨立存在,而病毒則須依附于其他載體且具有傳染性。

就像希臘人將士兵藏在木馬中,偽裝進入敵人的城內一樣,特洛伊木馬也要進行精密的偽裝,以進入預入侵的電腦中,發揮破壞功能。木馬的入侵一般包含三個過程:偽裝,植入

電腦,自動激活安裝。偽裝是前期的準備階段,一般將木馬程序偽裝成計算機系統常用的軟件或程序如服務端安裝程序、捆綁程序或偽壓縮軟件等等;植入電腦就是通過一些網絡工具如QQ、MSN或電子郵件將木馬發送到預入侵的計算機;自動安裝則是利用操作系統或其它軟件功能將植入的木馬激活,產生功能。

3.2.3蠕蟲(Worms)

蠕蟲是一種自包含的一個或一組程序,它可以從一臺機器向另一臺機器傳播。蠕蟲與計算機病毒不同,它不采用將自身拷貝附加到其他程序中的方式來復制自己。蠕蟲一般由許多代碼模塊構成,欲將其隱藏在操作系統的文件中不太可能,因為它太大了。蠕蟲與病毒的區別在于,病毒對計算機系統的攻擊不依賴于操作系統設計中的錯誤和缺陷,而蠕蟲是非法入侵者,它要竊取口令、特權,要借助于操作系統本身的錯誤和缺陷,由于過多的拷貝使系統超載導致網絡崩潰。

根據使用者情況將蠕蟲病毒分為兩類:一種是面向企業用戶和局域網而言,這種病毒利用系統漏洞,主動進行攻擊,可以對整個互聯網造成癱瘓性的后果。以“紅色代碼”、“尼姆達”以及最新的“SQL蠕蟲王”為代表。另外一種是針對個人用戶的,通過網絡(主要是電子郵件、惡意網頁形式)迅速傳播的蠕蟲病毒,以“愛蟲病毒”、“求職信病毒”為代表。

蠕蟲病毒利用軟件和網絡的漏洞(如UNIX系統的fingerd和gets問題),不停的繁殖自身,最終達到阻塞網絡使網絡癱瘓的目的。蠕蟲病毒已成為目前危害最大的惡意軟件,幾乎每次蠕蟲發作都會因其造成巨大的經濟損失:2001年7月19日,CodeRed蠕蟲爆發,在爆發后的9小時內就攻擊了25萬臺計算機,造成的損失估計超過20億美元;2001年12月至今求職信病毒使得大量病毒郵件堵塞服務器,損失達數百億美元;2003年1月 SOL蠕蟲王造成網絡大面積癱瘓,銀行自動提款機運做中斷,直接經濟損失超過26億美元等等。

3.2.4后門和陷阱門

后門是進入系統的一種方法,通常由系統的設計者有意建立,但有時因偶然故障而存在。陷阱門是后門的一種形式,通常指在大型復雜程序的編寫、測試或維護時供程序員使用的檢驗手段。有時為了適應某些使用者的特定要求,開發商可能會將包括很多功能系統中的某些功能塊關閉,因為這樣可以減少開發成本,而這些被關閉的功能塊可能會成為另一種后門。后門或陷阱門造成威脅的發生頻率,取決于后門及外界狀況,是不可預測的,造成的嚴重性可能會很大,發現和預防均非常困難。

一、密碼破解后門

這是入侵者使用的最早也是最老的方法,它不僅可以獲得對UNIX機器的訪問,而且可以通過破解密碼制造后門。以后即使管理員封了入侵者的當前賬號,這些新的賬號仍然可能是重新侵入的后門。多數情況下,入侵者尋找口令薄弱的未使用賬號,然后將口令改得難些。當管理員尋找口令薄弱的賬號時,也不會發現這些密碼已修改的賬號。因而管理員很難確定查封哪個賬號。

二、Rhosts++后門

在聯網的UNIX 機器中,像Rsh 和Alogin 這樣的服務基于rhosts 文件里的主機名使用簡單的認證方法,用戶可以輕易地改變設置而不需口令就能進入,入侵者只要向可以訪問的某用戶的rhosts文件中輸入“ + + ”,就可以允許任何人從任何地方無需口令便能進入這個賬號。特別當home目錄通過NFS向外共享時,入侵者更熱衷于此,這些賬號也成了入侵者再次侵入的后門。許多人更喜歡使用Rsh,因為它通常缺少日志能力。許多管理員經常檢查“ + + ”,所以入侵者實際上多設置來自網上的另一個賬號的主機名和用戶名,從而不易被發現。

三、校驗和及時間戳后門

早期,許多入侵者用自己的trojan程序替代二進制文件。系統管理員便依靠時間戳及系統校驗和的程序辨別一個二進制文件是否已被改變,如UNIX里的sum 程序。后來,入侵者又發展了使trojan 文件和原文件時間戳同步的新技術。它是這樣實現的:先將系統時鐘撥回到原文件時間,然后調整trojan文件的時間為系統時間。一旦二進制trojan文件與原來的精確同步,就可以把系統時間設成當前時間。sum程序是基于CRC校驗,很容易騙過。入侵者設計出了可以將trojan的校驗和調整到原文件的校驗和的程序。MD5是被大多數人推薦的,MD5使用的算法目前還沒人能騙過。

四、Login后門

在UNIX里,Login程序通常用來對telnet的用戶進行口令驗證。入侵者獲取logill.c的源代碼并修改,使它在比較輸入口令與存儲口令時先檢查后門口令。如果用戶敲入后門口令,它將忽視管理員設置的口令讓用戶長驅直入。這將允許入侵者進入任何賬號,甚至是root。由于后門口令是在用戶真實登錄并被日志記錄到utmp和wtmp前產生一個訪問的,所以入侵者可以登錄獲取shell卻不會暴露該賬號。管理員注意到這種后門后,便用strings命令搜索login程序以尋找文本信息。許多情況下后門口令會原形畢露。入侵者就開始加密或者更好地隱藏口令,使strings命令失效。所以更多的管理員是用MD5校驗和檢測這種后門的。

五、服務后門

幾乎所有網絡服務都曾被入侵者作過后門。Finger、rsh、rexec、rlogin、ftp,甚至inetd等。有的只是連接到某個TCP端口的shell,通過后門口令就能獲取訪問。這些程序有時用ucp這樣不用的服務,或者被加入inetd.conf作為一個新的服務。管理員應該非常注意哪些服務正在運行,并用MD5對原服務程序做校驗。

“灰鴿子”是有關計算機的一款控制軟件,也稱后門。它具有豐富而強大的功能、靈活多變的操作以及良好的隱蔽性,如果使用它,就具有從事非法活動的嫌疑。

3.2.5邏輯炸彈

邏輯炸彈是指有意設置并插入程序的編碼。這些編碼只有在一個特定時間或者特定的條件下才可執行,就像以某種特定事務處理的傳輸作為觸發信號而發起攻擊的“炸彈”。邏輯炸彈是對系統的潛在威脅和隱患,有可能抹除數據,或者破壞系統功能,使整個系統癱瘓。

邏輯炸彈的破壞作用主要體現在可以被用來破壞或隨機修改用戶的計算機數據,造成各種直接或間接的損失。例如,在一個大的電子表格中改變一個單元,可以造成對某種分析或計算的破壞作用。在計算機被廣泛使用的前提下,邏輯炸彈的破壞作用涉及范圍更廣。如果再加上用戶對數據的備份不重視,其造成的損失往往是無法挽回的。

邏輯炸彈本身雖沒有傳播特性,但誘發其發作的邏輯誘因卻是不可控制的,而且靈活得多。如果把計算機病毒看成是飛行中的導彈,而邏輯炸彈就是待發射的導彈或定時炸彈。一旦某個邏輯誘因滿足,邏輯炸彈隨時可能對用戶造成無法預知的后果。

編寫邏輯炸彈并不是一個很難的事情,然而它卻很難被清除。因為它內含于正常功能的程序之中,在空間限制、編寫方式及加密方式等方面都比計算機病毒更加靈活,必須對含有邏輯炸彈的程序進行破解,才有可能排除。而這項工作卻是比較困難的。由于大多數應用程序都沒有源程序代碼,所以分析某個應用程序是否含有邏輯炸彈幾乎是不可能的事情。在商業應用軟件中,一般較少發現邏輯炸彈的存在,這是因為軟件商要考慮商業信譽問題,一旦其發行的某種軟件被發現具有邏輯炸彈的存在,軟件商將面臨巨大的利益風險。相反,多數可用于軍事目的的設備中,如大型計算機、程控交換機等,都存在有邏輯炸彈的極大可能。在這些設備中安放邏輯炸彈,或者是為了竊取國家和軍隊的機密信息,或者是在某些關鍵時刻,使國家或軍隊的信息、通信系統崩潰。

網絡犯罪及案例分析(教材) 86_網絡犯罪案例

3.2.6電郵轟炸

電郵轟炸,也稱“電子郵件炸彈”,它能使用戶在很短的時間內收到大量電子郵件,使用戶系統不能處理正常業務,嚴重時會使系統崩潰、網絡癱瘓。電郵轟炸手段雖然簡單,但是危害卻非常巨大,它主要體現在下面幾個方面:

一、破壞用戶的資源。我們知道,一般的郵箱容量是有限的,如果我們反復接收到大容量的郵件,那么,我們的郵箱很快就會爆滿,就有可能把正常的郵件給沖掉,從而影響正常的工作。

二、郵件的大量到來,使得E-mail 服務器異常繁忙,網絡負載加劇,不僅消耗大量的存儲空間,更會導致網絡系統變得遲鈍,影響其他用戶的正常工作。更有甚者,導致服務器脫網,系統甚至可能崩潰。

目前沒有很好的方法對付電郵的轟炸。防火墻會有所幫助,它可以阻止惡意信息的產生。防火墻可以確保所有外部的SMTP聯接都只聯接到E-mail服務器上,而不聯接到站點的其他系統。當然,這不能阻止入侵,但可以將電郵轟炸的影響減到最少。因為這樣,入侵只能影響E-mail服務器,而不會影響其他人的機器。

3.2.7拒絕服務攻擊

拒絕服務攻擊是一種破壞性攻擊,它包括廢棄某些系統,使端口處于停頓狀態,在屏幕上發出雜亂數據,改變文件名稱、刪除關鍵程序文件,或扭曲系統的資源狀態,使系統的速度降低。由于發生拒絕服務情況時,人們失去全部或部分電腦或信息的支配權,所以發現并不難,但預防卻很困難。這種情況出現的頻率難以預測,造成的嚴重性可能非常高。

這種攻擊技術利用網絡開放系統的特性,通過分布式的代理機制植入后門程序后遠程遙控,方法是先入侵主機電腦,安裝具有特定功能的后門程序,稍后再從遠程發動攻擊,被攻擊的目標主機因一時無法應付處理大量的網絡數據而導致癱瘓。主要有基于網絡帶寬消耗的拒絕服務攻擊;消耗磁盤空間的拒絕服務攻擊;消耗CPU資源和內存資源的拒絕服務攻擊;基于系統缺陷的拒絕服務攻擊;分布式拒絕服務等幾種拒絕服務攻擊類型。

3.2.8冒名頂替

通過非法手段獲取他人口令或許可證明之后,冒充合法使用者從事欺騙或者其他犯罪活動。典型案例是在柜臺外觀察管理員手形猜測管理員密碼,冒充部門經理騙取密碼等,這種犯罪在單機環境多為內部人員所為,網絡環境存在外部非法滲透的可能。冒充的方式:

一、利用網絡設計缺陷,比如在因特網中,一種被稱為“路線標定者”的特殊網絡由計算機決定信息數據的確認和配送。行為人利用網絡設計上的一個缺陷,采取欺騙“路線標定者”的辦法冒充合法用戶,從而得到受保護的計算機數據資源通道,控制了有關系統。

二、使用別人的訪問代碼冒充進入他人的計算機網絡。

三、乘機而入,即行為人利用合法輸入口令之機獲取訪問,或合法用戶結束使用但未退出聯機之前獲得訪問的一種方法。

四、利用非法程序或方法蒙騙正在向計算機登錄的合法用戶以進入系統。比如,寄生術。

3.2.9利用掃描工具

在Internet 安全領域,掃描工具是最出名的攻擊工具。掃描工具是檢測遠程或本地系統安全脆弱性的軟件,搜集目標主機相關信息,從而發現目標主機某些內在的安全弱點。

通過使用掃描工具,可以很快發現系統內在配置和軟件上是否存在問題,系統和網絡中是否存在重大的安全隱患。信息犯罪者使用掃描工具可以發現遠程服務器的各種TCP端口的

分配及提供的服務和它們的軟件版本,尋找系統漏洞,使其了解到一臺主機的安全弱點,從而達到對系統資源或數據進行侵犯的目的。常用的掃描工具有:

一、X—SCAN軟件

是由“安全焦點”開發的一個免費的漏洞掃描工具,運行于Windows操作系統。采用多線程方式對指定IP地址段(單機)進行安全漏洞檢測。

二、網絡映射程序Nmap

由Fyodor編寫的Nmap是一個開放源代碼的網絡掃描工具。實現了絕大部分的掃描技巧和操作系統測試技巧,可以用來發現網絡上存活的主機,以及這些主機開放了哪些TCP和UDP端口,運行什么操作系統及版本,正在使用的防火墻和過濾設備信息等。

三、STANT

前面的兩個工具主要是用于發現目標和攫取信息兩個階段,而一次完整的漏洞掃描還應該包括“漏洞檢測”這個階段。STANT即“網絡分析的安全管理工具”,它提供一整套安全管理、測試和報告的功能,可以用來搜集網絡上主機的許多信息,可以識別并且自動報告與網絡相關的安全問題。

3.2.10口令破解程序

口令驗證是一種最基本的認證方式,是系統的第一道防線。無論是用戶使用UNIX,還是Windows NT;使用文件傳輸服務,還是使用遠程登錄,系統總是要核實訪問者的身份。通常這都是通過口令驗證來進行的。即每個用戶都有一個用戶名和口令來向系統表明自己的合法身份。只有通過身份驗證的用戶才被允許使用系統本身及其資源。

一、獲得口令(或密碼)的方法

1.明文監聽。許多網絡服務協議都用明文密碼。入侵者可利用協議分析器監視網絡上的信息流,從而獲取密碼。

2.密文監聽。有些網絡訪問協議,為了安全起見,利用了某種加密算法對口令進行加密。在這種情況下,入侵者會在口令上實施密碼字典或暴力攻擊,試圖獲取密碼。

3.竊取口令文件??诹钜话愦鎯υ谟嬎銠C磁盤中,一旦入侵者得到這個文件,并對文件進行破解,攻破口令就可以登錄系統。

4.注意觀察。入侵者甚至可以在別人輸入口令時,站在別人背后偷窺。

5.冒名騙取。一種常見而成功的做法是打電話給某人,冒充系統管理員或是他的同事騙取口令。

二、口令破解的破解程序

1.破解CMOS密碼

破解方法一:利用DOS外部命令DEBUG進行修改。

打開DEBUG,然后輸入 —o 70 10

—o 71 01

—q

破解方法二:主板放電

2.破解Office文件密碼

破解方法:使用軟件 Advanced Office 2000 Password Recovery。

3.破解郵箱密碼

破解方法:使用軟件MAILHACK。

4.破解WPS密碼

破解方法:使用軟件Edward’s WPS2000 Password Recovery。

5.破解局域網密碼

破解方法:局域網超級工具(netsuper.exe)、局域網密碼探測器(局域網密碼探測器.exe)。

6.zip壓縮文件的破解

破解方法:使用軟件 Advanced ZIP Password Recovery。

7.rar壓縮文件的破解

破解方法:使用軟件Advanced RAR Password Recovery。

8.其他口令密碼工具軟件

PWLVIEW.EXE軟件,用來破解Windows啟動密碼。

ANYPASSWORD.EXE 軟件,利用系統的屏幕保護功能可以防止他人在用戶不在的情況下偷用自己的計算機。同時,該軟件還可以用來破解電源管理密碼。

3.2.11運用網絡嗅探器(SNIFFER)

嗅探器是能夠捕獲網絡報文的設備,可以理解為一個安裝在計算機上的竊聽設備,它可以用來竊聽計算機在網絡上所產生的眾多的信息。

網絡的一個特點就是數據總是在流動中,從一處到另外一處,而互聯網是由錯綜復雜的各種網絡交匯而成的,也就是說,當你的數據從網絡的一臺電腦傳輸到另一臺電腦的時候,通常會經過大量不同的網絡設備,我們用tracert命令就可以看到這種路徑是如何進行的。如果傳輸過程中,有人看到了傳輸中的數據,那么問題就出現了——這就好比你給別人寄發了一封信,在半路上被人拆開偷看一樣,如果信里包含有企業的機密文件,或是你的信用卡賬號和密碼等,就很危險了。

使用嗅探器進行違法犯罪的目的,主要是竊聽對方的信息,主要有兩種方法:一是將偵聽工具軟件放到網絡連接的設備或者放到可以控制網絡連接設備的電腦上,比如網絡服務器、路由器等;二是針對不安全的局域網(采用交換hub實現),放到個人電腦上就可以實現對整個局域網的偵聽。

通過嗅探器可以獲?。旱谝?,口令,這是絕大多數黑客使用嗅探器的原因,嗅探器可以記錄在網上傳輸的未加密的用戶賬號和密碼;第二,金融帳戶。通常,許多用戶很放心在網上使用自己的信用卡或現金賬號,然而,嗅探器可以很輕松截獲在網上傳送的用戶姓名、口令、信用卡號碼、截止日期和賬號;第三,機密或敏感的信息。通過攔截數據包,入侵者可以很方便地記錄其他用戶之間傳送的敏感信息,或者記錄下整個使用電子郵件通信的內容;第四,低級的協議信息。通過對底層的信息協議記錄,例如,記錄兩臺主機之間的網絡接口地址、遠程網絡接口IP地址、IP路由信息和TCP連接的字節順序號碼等。常見的嗅探器有:

一、Gobbler

Gobbler是在DOS平臺上運行的嗅探器,它可以在個人電腦上執行,并且只分析區域內的封包,還可以設定每個封包的前200到300個字節,這其中包含了用戶名和密碼。通常,黑客有這些信息就足夠了。Gobbler可以很輕易的看到每個封包的發出點是何處,目的地是何處,這就能使竊聽工作變得針對性很強。

二、Ethload

Ethload是一個功能齊全的嗅探器,它可以在Novell odi、2Com/Micsoft Protocol Manager、PC/TCP/Clarkson等協議上運行??梢苑治鯰CP/IP、DECnet、OSI、XNS、Netware、NetEBUI 等封包。

三、Netman

這是一個可以在X-windows 中運行的嗅探器。

四、Esniff.c

這是一個專門用來收集SUN平臺封包的產品。原始的C語言代碼只抓取封包的開始部分(用戶賬號和密碼)。用戶可以將它修改成抓取其他信息。

3.2.12電子欺騙術

電子欺騙術是一種利用目標網絡的信任關系,即計算機之間的相互信任關系來獲取計算機系統非授權訪問的一種方法。入侵者不用輸入用戶賬號和口令,就可以侵入目標。電子欺騙一般包括任何使用計算機進行欺騙的行為。主要包括:IP電子欺騙和Web電子欺騙。

一、IP電子欺騙

IP電子欺騙是指以某種欺騙手段將網絡中的一臺機器偽裝成為另一臺別的機器,即在網絡中偽造或假冒某臺主機IP地址的黑客行為,是一種主動攻擊的方式,黑客通常是靠編寫程序實現的。這種攻擊能夠破壞通信鏈路上的正常數據流并可能向通信鏈路上插入數據。幾乎所有的欺騙都是基于在網絡中某些機器之間的相互信任關系,其結果是:網絡中的其他機器將進行了偽裝或冒名頂替的機器當成可信任的。欺騙可能發生在IP系統的各個層次上,硬件層、接口層、IP層、傳輸層及應用層。

二、Web 電子欺騙

Web電子欺騙是指利用WWW的薄弱環節,對Web服務器進行攻擊,獲取控制權,通過Web服務器對與它同一網段內的計算機連接,欺騙用戶,獲取數據或其他機密信息。

3.2.13泄露機密信息

計算機的電磁介質存儲信息比紙張等傳統介質具有容量大、攜帶方便等優點,并且由于計算機存儲介質中的信息肉眼不可識別,所以還具有隱蔽性好的特點;而且互聯網的普及使得信息正在以前所未有的速度在世界各個角落傳遞。因此,利用計算機技術或網絡從事泄露國家機密的活動,將具有迅速高效、隱蔽性強等特點。

與此同時,國家機密的安全也正在受到前所未有的挑戰,傳統的保密方式已經落伍,不足以應付日益先進的高科技發展。網上出現的主動泄密事件在我國不斷增多。有的用戶將泄密信息在與國際聯網的計算機信息系統中存儲、處理和傳遞,造成失密;有的政府機構、企事業單位對秘密信息缺乏必要的保護意識和措施。另一方面,在特殊部門工作的人員中“網蟲”越來越多,其中有的人對知情的國家機密事項保密意識淡薄,特別是有的人總想自己“多知多懂”或者“消息靈通”,因此,在網絡的環境中常有“情不自禁”泄露機密的現象發生。

3.2.14網絡釣魚

網上一些利用“網絡釣魚”手法,如建立假冒網站或發送含有欺詐信息的電子郵件,盜取網上銀行、網上證券或其他電子商務用戶的賬戶密碼,從而竊取用戶資金的違法犯罪活動不斷增多?!熬W絡釣魚”的主要手法:

一、電子郵件,以虛假信息引誘用戶中圈套

詐騙分子以垃圾郵件的形式大量發送欺詐性郵件,這些郵件多以中獎、顧問、對帳等內容引誘用戶在郵件中填入金融賬號和密碼,或是以各種緊迫的理由要求收件人登錄某網頁提交用戶名、密碼、身份證號、信用卡號等信息,繼而盜竊用戶資金。

2006年2月份發現的一種騙取美邦銀行(Smith Barney)用戶的帳號和密碼的“網絡釣魚”電子郵件,該郵件利用了IE的圖片映射地址欺騙漏洞,并精心設計腳本程序,用一個顯示假地址的彈出窗口遮擋住了IE瀏覽器的地址欄,使用戶無法看到此網站的真實地址。當用戶使用未打補丁的Outlook打開此郵件時,狀態欄顯示的鏈接是虛假的。當用戶點擊鏈接時,實際連接的是釣魚網站http://**.41.155.60:87/s。該網站頁面酷似Smith Barney銀行網站的登陸界面,而用戶一旦輸入了自己的帳號密碼,這些信息就會被黑客竊取。

二、建立假冒網上銀行、網上證券網站,騙取用戶帳號密碼實施盜竊

犯罪分子建立起域名和網頁內容都與真正網上銀行系統、網上證券交易平臺極為相似的

網站,引誘用戶輸入賬號密碼等信息,進而通過真正的網上銀行、網上證券系統或者偽造銀行儲蓄卡、證券交易卡盜竊資金;還有的利用跨站腳本,即利用合法網站服務器程序上的漏洞,在站點的某些網頁中插入惡意Html代碼,屏蔽住一些可以用來辨別網站真假的重要信息,利用cookies竊取用戶信息。

曾出現過的某假冒中國工商銀行網站,網址為(Exploit.MhtRedir),后者利用IE瀏覽器的MHT文件下載執行漏洞,在用戶不知情中下載惡意CHM文件http://www.dfxhsd.com/icyfox.js并運行內嵌其中的木馬程序(Trojan/PSW.QQRobber.14.b)。木馬程序運行后,把自身復制到系統文件夾,同時添加注冊表項。在Windows啟動時,木馬得以自動運行,并將盜取用戶QQ帳號、密碼甚至身份信息。

五、利用用戶弱口令等漏洞破解、猜測用戶帳號和密碼

不法分子利用部分用戶貪圖方便設置弱口令的漏洞,對銀行卡密碼進行破解。如2004年10月,三名犯罪分子從網上搜尋某銀行儲蓄卡卡號,然后登陸該銀行網上銀行網站,嘗試破解弱口令,并屢屢得手。

實際上,不法分子在實施網絡詐騙的犯罪活動過程中,經常采取以上幾種手法交織、配合進行,還有的通過手機短信、QQ、msn進行各種各樣的“網絡釣魚”不法活動。

網絡犯罪及案例分析(教材) 86_網絡犯罪案例

3.2.15積少成多法或意大利香腸術

“積少成多”這種犯罪手段主要是在銀行等金融部門使用。犯罪分子通常是利用修改銀行存款的計算機軟件,使所有賬戶中的利息零頭全部存入犯罪分子預設的賬戶中。就各個儲戶賬目而言,被竊走的僅僅是微不足道的零頭,通??赡軆H僅是幾厘錢,或者是“四舍五入” 被舍去的部分,但是計算機系統處理的賬戶數量一般都很大,長期不斷地“積少成多”,就可以獲得相當可觀的非法所得。這種程序操縱是累積微小數目而匯集成為可觀的數目,故稱為積少成多法,國外稱之為“意大利香腸術”。對于銀行來說,犯罪程序能使計算機系統的總賬持平,不致引起賬目稽核的懷疑;對于儲戶來說,很少有人會注意自己賬戶上利息的幾分幾厘,即使發現有些不對之處也因數額微小而不愿與銀行交涉,使得銀行也無從知道有隱匿的犯罪分子存在。

3.2.16移花接木

有一些是專門在因特網上出現的騙局,如“攔截”調制解調器。首宗這類案子出現在1997年,有幾個網站告訴瀏覽者:要獲得更好的觀看效果可下載一個軟件。但是,這個軟件的真實作用是關閉計算機的揚聲器,并斷開計算機與本地ISP的連接(即此時上網計算機正在使用的連接),然后,將該計算機重新撥號連接到較貴的國際線路上,即使用戶離開了這個站點,連接仍然存在,令上網用戶白白花了許多不明不白的錢。

3.2.17釜底抽薪與無米之炊

作案人出于報復的目的而破壞計算機信息系統,往往通過“釜底抽薪”而導致被害單位形成“無米之炊”的困難局面。2000年8月3日晚8時20分,湖北省利川市公安局“110”指揮中心接某銀行報警,稱該單位營業部主任鄒某攜帶計算機密碼突然出走,下落不明。丟失密碼,銀行營業部將無法打開主機,這意味著整個支行業務隨時可能癱瘓,由此還可能造成儲戶擠兌現象,后果不堪設想。后經警方采取技術措施,才進入利川支行計算機系統。經檢查發現,主機系統雖打開了,但其應用系統及帳務系統已被徹底破壞,絕大部分的數據備份也被“垃圾”數據所覆蓋,大量的會計帳務資料喪失。2000年9月1日,該銀行分行不得不在新聞媒體上發布公告:撤消利川支行。一個支行就這樣被鄒某破壞計算機信息系統而摧垮,造成了國有資產的重大損失。

3.2.18網上賭博

計算機網絡的便捷性使得賭博這一古老的陋習有了新的生機,也有一些人把網上賭博公司看作是新興的“產業”。盡管網上賭博缺少拉斯維加斯的狂熱氣氛,但網上賭博正開始吸引大批賭徒。網絡空間盡管不能為賭客提供豪華旅館、眩目的表演、通宵晚會以及超級大獎,但它能為賭客提供24小時服務而不管賭客身處何方,只要在他們家中的計算機上點一下鼠標就行。

3.2.19 真假李逵

在登錄一些站點特別是那些提供個人服務(比如股票、銀行)的站點時,站點往往會首先要訪問者填寫一些密碼之類的個人信息后才能進入。一些“高明”的“黑客”正是利用了這個過程,精心偽造一個登錄頁面,搶在真正的登錄頁面之前出現,待你“認真”地寫下登錄信息并發送后,真正的登錄頁面才姍姍來遲,而這時你的秘密已被竊取了。今年9 月份臺灣發生的一宗網絡銀行詐騙案,狡猾的犯罪分子用的就是這種伎倆。對付此種“黑客”,最佳的解決之道就是防患于未然,經常查看服務器的工作日志,若發現疑點要堅決及早處理,

將隱患消滅在萌芽狀態之中。

3.2.20聲東擊西

一些“黑客”利用某些防火墻的漏洞,巧妙地將自己的IP請求設置成指向防火墻的路徑,而不是受防火墻保護的主機,所以他們可以暢通無阻地接近防火墻,這時“黑客”已經達到了目的。因為此時他們完全可以虛晃一槍,利用防火墻作跳板,輕松地長驅直入,直搗主機。如果有這種情況發生,那就得考慮是否要更換防火墻了,或者升級原來的防火墻,為它打上補丁。

3.2.21 一針見血

能夠“修煉”到這種境界的一般都是“黑客”中的高手。他們憑借自己高超的技術,通過分析DNS(域名管理系統)而直接獲取Web 服務器等主機的IP地址,從而為打入“敵陣”徹底掃除障礙。對付這種“黑客”,幾乎沒有更好的辦法,也許盡量不要接受免費域名服務是一個有點防范價值的措施,因為正規的注冊域名服務一般都會有有效的安全手段,可以保證少受攻擊或不受攻擊。

3.2.22旁敲側擊

電子郵件其實是一種很脆弱的通訊手段,一方面,它的安全性很差,傳送的資料很有可能丟失或被中途攔截;另一方面,“特洛伊木馬”等黑客程序大都通過電子郵件這個途徑進駐用戶的機器。而電子郵件恰恰是網絡上用得最多的東西,許多公眾網站和大公司局域網,出于吸引訪問者或工作的需要,提供免費郵件或內部郵件的服務,而郵件服務器就成了“黑客”們攻擊的對象。前不久,大名鼎鼎的微軟甚至也深受“黑客”之害,而被迫將郵件服務器關閉了一天。當然,防范這些“黑客”,可采用以下措施:如郵件服務器專設專用,不與內部局域網發生關系;開啟防火墻的郵件中轉功能,讓中轉站過濾所有出入郵件等等。

第四章 網絡犯罪類型

4.1網絡犯罪類型概述

科學劃分網絡犯罪不僅能夠對制定網絡犯罪的刑事立法、司法具有指導作用,而且對預防、控制網絡犯罪也有著十分積極的意義。

網絡犯罪,我國學術界目前存在廣義說和狹義說兩種觀點。狹義說是嚴格按照我國現行刑法對有關計算機犯罪的規定來界定網絡犯罪的,而廣義說則是從犯罪學角度來界定的,比較注重在動態上全面把握網絡犯罪。對此,我們可以從不同的角度將網絡犯罪劃分為不同類型。

1.刑法學意義上的分類

這種分類是基于現行刑法的規定,其具體劃分依據是我國刑法典第285條、286條、287條的規定以及2000年12月全國人大常委會通過的《關于維護互聯網安全的決定》。以此為依據,網絡犯罪可以分為兩類:

(1)以計算機信息系統安全為侵害對象的犯罪,具體包括:非法侵入計算機信息系統罪和破壞計算機信息系統罪。其中,非法侵入計算機信息系統罪,是指違反國家規定,故意侵入國家事務、國防建設、尖端科學技術領域的計算機信息系統的行為;破壞計算機信息系統罪,則是指違反國家規定,對計算機信息系統功能和信息系統中存儲、處理、傳輸的數據和應用程序進行破壞,造成計算機信息系統不能正常運行,后果嚴重的行為。

(2)以計算機網絡為工具的犯罪,具體包括:利用計算機網絡實施的盜竊、詐騙罪;貪污、挪用公款或單位資金罪;竊取國家秘密罪;侵犯知識產權罪;傳播淫穢物品罪;偷逃稅款罪;侵犯通信自由罪;偽造公文證件罪;侮辱、誹謗罪;傳播犯罪方法罪;敲詐勒索罪;操縱證券交易價格罪等。

上述列舉的犯罪只是利用網絡實施的一部分常見的傳統犯罪。實際上,除了像搶劫罪、強奸罪、遺棄罪等少數一些無法通過網絡實施的犯罪之外,幾乎所有的傳統犯罪都可以通過網絡實施。隨著網絡的不斷發展,采用網絡形式實施的傳統類型的犯罪將會大量出現。

2.犯罪學意義上的分類

由于犯罪學所研究的犯罪現象,不僅包括刑法中所規定的犯罪現象,而且還包括刑法中沒有規定,但對社會具有比較嚴重危害的行為。所以,犯罪學意義上的網絡犯罪的外延顯然要大于刑法學意義上的網絡犯罪的外延。

(1)法定的網絡犯罪,即我國現行刑法典第285條、286條、287條和全國人大常委會通過的《關于維護互聯網安全的決定》所規定的犯罪。按照罪刑法定原則的要求,刑法對這類犯罪都規定了明確的罪名和相應的刑罰,在司法實踐中,我國司法機關也都是按照刑法的規定來處罰這類犯罪的。

(2)準網絡犯罪,是指違反刑法之外的其它法律,損害網絡利益,具有一定社會危害性,但情節輕微而不予以刑罰處罰的行為,以及尚未觸犯法律但嚴重違反公序良俗原則,具有違法犯罪傾向的不良行為。目前,可以界定為準網絡犯罪的行為主要包括:沒有達到法定刑事責任年齡或不具有刑事責任能力的自然人實施的違反刑法典第285條、286條、287條和《關于維護互聯網安全的決定》所規定的行為;觸犯有關網絡管理的行政法律法規,造成一定損害,但尚不夠予以刑事處罰的行為;傳播虛假網絡信息、惡意侵占網絡資源等嚴重違反網絡道德規范的不良行為等。在犯罪學中探討準網絡犯罪的目的,是為了完整地把握網絡犯罪進程,為刑事立法和刑事司法活動提供理論依據,以便更有效地預防和治理網絡犯罪。

3.犯罪客體的分類

根據網絡犯罪的客體不同,可以將其分為下列幾類。2000年12月28日全國人大常委會通過的《關于維護互聯網安全的決定》(以下簡稱《決定》)對網絡犯罪作了進一步的規定。按該《決定》的規定,網絡犯罪包括以下5類:

(1)妨害互聯網運行安全的犯罪。包括侵入國家事務、國防建設、尖端科學技術領域的計算機信息系統;故意制作、傳播計算機病毒等破壞性程序,攻擊計算機系統及通信網絡,致使計算機系統及通信網絡遭受損害;違反國家規定,擅自中斷計算機網絡或者通信服務,造成計算機網絡或者通信系統不能正常運行等行為。

(2)利用或通過互聯網實施的危害國家安全和社會穩定的犯罪。包括:用互聯網造謠、誹謗或者發表、傳播其他有害信息,煽動顛覆國家政權、推翻社會主義制度,或者煽動分裂國家、破壞國家統一;通過互聯網竊取、泄露國家秘密、情報或者軍事秘密;利用互聯網煽動民族仇恨、民族歧視,破壞民族團結;利用互聯網組織邪教組織、聯絡邪教組織成員,破壞國家法律、行政法規實施等行為。

(3)利用互聯網實施的破壞社會主義市場經濟秩序和社會管理秩序的犯罪。包括利用互聯網銷售偽劣產品或者對商品服務作虛假宣傳;利用互聯網損壞他人商業信譽和商品聲譽的行為;利用互聯網侵犯他人知識產權;利用互聯網編造并傳播影響證券、期貨交易或者其他擾亂金融秩序的虛假信息;在互聯網上建立淫穢網站、網頁,提供淫穢站點鏈接服務,或者傳播淫穢書刊、影片、音像、圖片。

(4)利用互聯網侵犯個人、法人和其他組織的人身、財產等合法權利的犯罪。包括利用互聯網侮辱他人或者捏造事實誹謗他人;非法截獲、篡改、刪除他人電子郵件或者其他數據資料,侵犯公民通信自由和通信秘密;利用互聯網進行盜竊、詐騙、敲詐勒索等行為。

(5)利用互聯網實施上述行為以外的其他行為構成的犯罪。

因此,我國刑法中所涉及的網絡犯罪是從廣義上理解的,從其范圍看,涵蓋了刑法典分則各類犯罪中的絕大多數罪名。需要指出的是,這里的網絡也是廣義的,它不僅指國際互聯網,還包括局域網,如各單位部門的網絡、企業內部的網絡、校園網等。

對于網絡犯罪,在理論上也可以作不同的分類。如:有的認為,網絡犯罪分為以計算機網絡為工具實施的犯罪和以計算機網絡為對象實施的犯罪。有的認為,網絡犯罪可以分為三類,第一類是侵害系統的犯罪;第二類是侵害與計算機相關的財產的犯罪,這類犯罪同樣會侵害系統,但一般僅篡改系統的財產性數據,而不影響系統的運行;第三類犯罪是以網絡為手段的犯罪。這類犯罪除犯罪手段不同外,與傳統犯罪并無太大區別。

上述兩種分類中,第一類網絡犯罪雖名稱有異但實質相同,它們屬于典型的網絡犯罪,也可以說是狹義上的網絡犯罪,這類犯罪在我國刑法中涉及兩個罪名。與之相對的,則是利用或通過網絡實施的犯罪,這些犯罪屬于利用網絡的技術特性而實施的行為,其侵害的法益與傳統犯罪并無不同。明確網絡犯罪的含義和范圍,對于預防、查處網絡犯罪以及正確適用法律懲罰網絡犯罪具有重要意義。

4.本書對網絡犯罪類型的選擇

從上述分類選擇看,基本都是以我國刑事法律為基礎、以網絡犯罪特點為標準進行劃分的,并結合中外網絡犯罪的實際發生的類型進行綜合研究得出的結果。本書從研究網絡犯罪的特征、研究有關區分網絡犯罪和非網絡犯罪的標準以及罪與非罪的界限著手,特別是研究網絡犯罪的本質特征——網絡信息性,綜合研究涉及的網絡犯罪有四個方面:(1)利用網絡信息技術針對計算機網絡信息系統實施的犯罪,有人稱為純正的網絡犯罪,如我國《刑法》第285條和第286條規定的侵入計算機信息系統罪、破壞計算機信息系統罪、破壞計算機信息系統功能罪、制作、傳播計算機病毒等破壞性程序罪等。(2)利用計算機網絡,通過侵害網絡信息從而達到犯罪的犯罪行為,如我國《刑法》第287條規定,利用計算機實施金融詐騙、盜竊、貪污、挪用公款、竊取國家秘密或者其他犯罪的規定定罪處罰,指的就是該罪。

(3)以網絡作為犯罪場所的犯罪,如在網上發布危害他人的信息,目前比較多見的是網絡侵犯隱私、網絡侮辱和誹謗罪等。(4)利用網絡作為通訊手段,如打網絡電話,發電子郵件,網絡聊天等方式實施在網絡上不能實施的犯罪。例如,強奸網上結識的女朋友等。

因此本書將網絡犯罪分為兩類:以網絡信息系統為對象進行侵害的犯罪;利用網絡技術和以網絡作為犯罪場所的犯罪。前一類可以稱之為網絡對象犯罪或純正的網絡犯罪,即指利用網絡信息技術針對計算機網絡信息系統實施的犯罪,包括:(1)非法侵入計算機網絡信息系統罪;(2)破壞計算機網絡信息系統功能罪;(3)破壞計算機網絡信息系統數據、應用程序罪;(4)制作、傳播計算機網絡病毒等破壞性程序罪。后一類可以稱為網絡工具犯罪或不純正的網絡犯罪,是指利用計算機網絡信息技術侵害網絡信息或利用網絡散布不良信息造成對他人侵害的犯罪。主要包括利用計算機實施金融詐騙、盜竊、貪污、挪用公款、竊取國家秘密或者其他犯罪的犯罪行為以及在網絡上發布不良的信息危害國家和社會或者侵害他人權利和利益的犯罪。我們將在后文中詳細論述這兩類犯罪的犯罪構成。

4.2 網絡對象犯罪類型

4.2.1 非法侵入計算機網絡信息系統罪

1.概念

所謂計算機網絡信息系統,是指計算機網絡及其配套設備,按照一定的應用目標和規則對網絡信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統。

依據我國《刑法》第285條,非法侵入計算機網絡信息系統罪,是指違反國家規定,侵入國家事務、國防建設、尖端科學技術領域的計算機網絡信息系統的行為。侵入計算機網絡信息系統,是一種危害十分嚴重的犯罪行為。據報道,1993年下半年有幾個人打開了通往美國國防部機要計算機系統的密碼。最典型的“侵入”事件有兩起,一是1993年英國少年布里頓“侵入”美國國防部計算機系統,接觸到了包括彈道武器研究報告、美國情報部門內部機要通訊材料在內的大量機密,并把部分機密輸入了有3500萬用戶的國際互聯網。另一起是1994年英國電信公司一位電腦操作員“侵入”本公司內部數據庫,獲得了英國政府防務機構和反間諜機構的電話號碼和地址,其中包括英國情報機構、政府的核地下掩體、軍事指揮部以及控制中心、英國導彈基地等機密電話號碼和梅杰首相的住處以及白金漢宮的私人電話號碼。

2.構成要件

(1)犯罪主體

本罪的主體是一般主體,指年滿16周歲,具備刑事責任能力的自然人。實施該犯罪構成要件危害行為的主體,一般都具有較高水平的計算機網絡技術知識和能力,主要是一些專業從事計算機網絡研究與開發的專業技術人員,絕大多數為黑客。只要侵入國家事務、國防建設、尖端科學技術領域的計算機網絡信息系統都構成本罪。

(2)犯罪主觀方面

本罪在主觀方面表現為直接故意。即明知是國家事務、國防建設、尖端科學技術領域的計算機網絡信息系統,自己無權進入這種系統而仍然有意侵入。由于國家事務、國防建設、尖端科學技術領域的計算機網絡信息系統均具有較強的安全防護機制,犯罪行為人如果不使用技術手段經過認真研究,根本就不可能侵入這些重要領域的計算機網絡信息系統。因此,本罪只能由直接故意構成。如果過失進入后發現并及時退出,沒有造成危害后果就不能認為是犯罪。如果過失進入后,沒有能及時退出,而是繼續瀏覽等,即已轉化為故意犯罪;如果不僅不退出而且還實施復制、刪改等犯罪行為,則應實行數罪并罰。

(3)犯罪客體

網絡犯罪及案例分析(教材) 86_網絡犯罪案例

本罪侵犯的客體比較復雜,它包括國家對計算機網絡信息系統的安全管理秩序、國家的保密制度和國家事務、國防建設、尖端科學技術領域的正?;顒?。為了維護國家和社會發展利益、確保國家安全,我國制定刑事法律對國家事務、國防建設、尖端科學技術領域的計算機網絡信息系統實行特殊的保護。本罪的行為對象只能是國家事務、國防建設、尖端科學技術三個領域的計算機網絡信息系統。

(4)犯罪客觀方面

從犯罪客觀方面來說,侵入計算機網絡信息系統,首先必須具備違反國家規定的事實。其次,具有“侵入”行為,而且侵入的是黨政機關、軍事部門和尖端科研機構的計算機網絡信息系統。

本罪客觀方面有兩個構成要件,一方面是“違反國家規定”。所謂違反國家規定,主要是指違反《中華人民共和國計算機網絡信息系統安全保護條例》、《中華人民共和國計算機信息網絡國際聯網安全保護管理辦法》、《中華人民共和國保守國家秘密法》等法律、規章和命令。另一方面是行為人實施了非法侵入國家事務、國防建設、尖端科學技術領域的計算機網絡信息系統的行為。所謂“侵入”,是指非法或越權“訪問”計算機網絡信息系統?!霸L問”,是指對一定計算機網絡信息系統進行瀏覽和信息的輸入與輸出。為了維護信息安全,國家事務、國防建設、尖端科學技術領域的計算機網絡信息系統,都設置了嚴密的訪問控制機制。所謂控制機制,亦稱安全防護體系,是指禁止和控制非法用戶進入計算機網絡信息系統,防止其瀏覽目錄,打開文件、進行操作的一系列規則、加密措施和其他技術防護手段的有機整體。

3.定罪量刑及刑罰適用

(1)罪與非罪的界限

認定行為是否構成本罪,主要從如下兩方面加以把握:首先,行為人非法侵入的必須是國家事務、國防建設、尖端科學技術領域的計算機網絡信息系統,才能構成本罪;如果侵入的不是這三個領域的計算機網絡信息系統,就不構成本罪。其次,行為人對自己侵入的國家事務、國防建設、尖端科學技術領域的計算機網絡信息系統,必須有明確的認識,才能構成本罪;如果確實不知自己所侵入的是這三個領域的計算機網絡信息系統,并能及時退出也沒有造成什么損失,不能以犯罪論處。

(2)關于本罪形態問題

本罪是行為犯。行為犯可分為兩類:一類是舉止犯(亦稱既成犯),指行為人只要著手實施刑法分則規定的構成要件的行為,就成立既遂犯;另一類是過程犯,指行為人實施并完成刑法分則所規定的構成要件的行為,才成立既遂。對于過程犯和行為犯來說,只有當構成要件的危害行為實施終了,犯罪才告完成。由于從著手實行構成要件的行為到行為實行終了,其間通常有一個較為復雜的動作過程,在此過程中行為人可能自動放棄犯罪,也可能因行為人意志以外的原因犯罪未能得逞,從而存在犯罪未遂和犯罪終止。非法侵入計算機信息系統罪是行為犯,并不要求以侵害結果發生為既遂要件。凡是通過盜用地址從網絡外部登錄到國家事務、國防建設、尖端科學技術領域的計算機網絡信息系統網絡中的載有信息的任何一臺計算機就可以構成既遂,并不一定要求對數據、程序、系統功能造成破壞。

(3)非法侵入計算機網絡信息系統犯罪的刑罰適用

根據我國《刑法》第285條的規定,犯非法侵入計算機網絡信息系統罪的,處3年以下有期徒刑或者拘役。由于涉及到國家事務、國防建設、尖端科學技術領域的計算機網絡信息系統,故本書認為,這個量刑較輕,可適當增加量刑。

4.2.2 破壞計算機網絡信息系統功能罪

1.概念和表現形式

破壞計算機網絡信息系統功能罪,就是指違反國家規定,對計算機網絡信息系統功能進行刪除、修改、增加和干擾,造成計算機網絡信息系統不能正常運行、后果嚴重的行為。破壞活動有時針對硬件,如某一設備;有時針對軟件,如某一數據或程序;有時對硬、軟件同時進行破壞,比如有些計算機病毒既感染軟件,又感染硬件。

本罪分為基本罪和派生的重罪兩個構成類型。

破壞計算機網絡信息系統一般有兩種方式,一種是物理破壞,也叫機械破壞,就是通過爆炸、搗砸、摩擦、刺劃、高溫、浸濕、燃燒、短路等手段破壞計算機設備及其功能;另一種是邏輯破壞,也叫智能破壞,就是利用計算機知識和技能進行破壞活動,比如利用計算機病毒進行破壞。新刑法規定的破壞方式“刪除、修改、增加、干擾”,應該認為是智能破壞。對于利用物理方法破壞計算機網絡信息系統功能的,理論上也應認定為破壞計算機網絡信息系統功能罪,但鑒于新刑法沒有明確規定,可以按故意毀壞公私財物罪定罪處罰。常見的智能破壞方法有:(1)干擾,指人為地發射一種強大的擾動信號,用以干擾正常的運作狀態或傳輸中的信號,使之不能正常工作或信號不能被正常輸出或接收。(2)拒絕使用。拒絕使用本來是指在公用電話網中,沒有可用線路時,給呼叫用戶回送忙音的一種網絡狀態。在計算機安全中,是指廢棄某系統、使端口處于停頓狀態、在屏幕上發出雜亂數據、改變文件名稱、刪除關鍵程序文件或扭曲系統的資源狀態,使系統運作紊亂或速度降低,最終導致處理結果降低價值或失去價值。(3)利用計算機病毒或其他破壞性程序進行破壞。

2.犯罪構成

(1)基本罪的構成要件

①犯罪主體

本罪的主體是一般主體,指年滿16周歲且具備刑事責任能力的自然人。實施本罪行為的人,必須具有一定的計算機網絡知識和操作技能,往往是黑客。隨著計算機及其網絡技術的普及程度不斷推廣,通曉計算機專業知識的人數逐漸增多,本罪的行為人必將從通曉計算機網絡技術的專業人員擴大到社會各行業人員,甚至是在校學生。將本罪的主體局限于計算機網絡專業人員,不符合社會發展的必然趨勢,也不利于預防和懲治犯罪。

②犯罪主觀方面

本罪在主觀上表現為故意,指明知自己的行為可能造成計算機網絡信息系統不能正常運行的危害后果,希望或放任這種危害后果發生的心理態度。行為人的目的和動機是多種多樣的,主要是泄憤、要挾、訛詐等。無論出于何種目的、動機如何,均不影響本罪的構成。

③犯罪客體

首先,本罪侵犯的直接客體,是計算機網絡信息系統安全保護管理秩序和計算機網絡信息系統所有人的合法權利。其次,本罪的行為對象是計算機網絡信息系統功能。根據1994年2月18日國務院頒布的《計算機網絡信息系統安全保護條例》第2條規定,計算機網絡信息系統,是指計算機及其相關的和配套的設備、設施(含網絡)構成的,按照一定的應用目標和規則對信息進行采集、加工、存儲、傳輸、檢索等人機系統。因此,計算機網絡信息系統的功能,歸根到底就是基于系統設計的特定目的而具有的自動化、智能化的信息處理功能。

④犯罪客觀方面

本罪在客觀方面必須具備下列三個構成要件:第一,違反國家規定是本罪的特定犯罪前提。所謂違反國家規定,是指違反《中華人民共和國計算機網絡信息系統安全保護條例》、《計算機信息網絡國際聯網安全保護管理辦法》等法律、法規、規章和命令。如果行為人沒有違反國家有關規定,不能構成本罪。第二,實施破壞計算機網絡信息系統功能的行為。這種危害行為共有刪除、修改、增加、干擾四種并列選擇的行為方式。只要以其中任何一種方式實施破壞系統功能的行為,均可構成本罪。第三,造成計算機網絡信息系統不能正常運行,

后果嚴重。造成計算機網絡信息系統不能正常運行,本身就是一種危害后果,但是僅僅造成系統不能正常運行并不夠,還必須是“后果嚴重的”的行為。

(2)重罪的構成要件

本罪的重罪構成要件,是指罪行在符合基本罪的構成要件的基礎上,后果特別嚴重的行為。

3.定罪量刑及刑罰適用

(1)罪與非罪的界限

破壞計算機網絡信息系統功能罪屬結果犯,其破壞行為必須造成計算機網絡信息系統不能正常運行,而且后果嚴重,才構成犯罪。罪與非罪的區分,主要注意兩個問題:①要看行為人實施破壞計算機網絡信息系統功能的行為,是否造成了計算機網絡信息系統不能正常運行和是否引起嚴重的后果。如果只是實施對計算機網絡信息系統功能進行刪除、修改、增加或干擾的行為,但未造成計算機網絡信息系統正常運行或者危害后果尚未達到嚴重程度,一般不以犯罪論處。②要看行為人主觀上是否出于故意。計算機是一種高新技術,操作使用者的技術水平參差不齊,有時也可能會發生誤操作,以致引起嚴重后果的發生,如果行為人在主觀上不具有破壞系統功能的故意,就不構成本罪。

(2)關于本罪的形態的問題

如果已經著手對重要計算機網絡信息系統的重要功能進行破壞,意圖造成該系統不能正常運行,希望發生嚴重的危害后果,其行為確實足以引起嚴重后果,由于行為人意志以外的原因,如危害行為被及時發現,經系統管理者采取有效的安全防范措施而使犯罪未能得逞的,應當按未遂犯處理;如果行為人在嚴重危害后果發生前自動放棄犯罪,應按中止犯處理。

(3)關于本罪的牽連犯罪問題

在實踐中,犯罪分子往往利用計算機網絡實施金融詐騙、盜竊、貪污、挪用公款、竊取國家秘密或者其他犯罪,行為人在實施犯罪后,為了逃避懲罰,往往又采用破壞計算機網絡信息系統功能的方法來消滅罪證。利用計算機實施犯罪后為毀滅罪證而破壞系統功能的問題,應當以詐騙罪和破壞計算機網絡信息系統功能罪實行數罪并罰。

(4)破壞計算機網絡信息系統功能罪的刑罰適用

根據我國《刑法》第286條規定,犯破壞計算機網絡信息系統功能罪的,處5年以下有期徒刑或者拘役;犯重罪的,處5年以上有期徒刑。

4.2.3 破壞計算機網絡信息系統數據和應用程序罪

1.概念

破壞計算機信息系統罪,是指違反國家規定,對計算機信息系統功能進行刪除、修改、增加、干擾或對計算機信息系統存儲、處理、傳輸的數據和應用程序進行刪除、修改、增加的操作或故意操作、傳播計算機病毒等破壞性程序,影響計算機網絡系統正常運行,后果嚴重的行為。

2.犯罪構成

(1)本罪的基本構成要件

①犯罪主體

本罪的主體是一般主體,指年滿16周歲且具有刑事責任能力的自然人。實施本罪行為的人,必須具有一定的計算機知識和操作技能,它們是一種搗亂破壞性的黑客。

②犯罪主觀方面

本罪在主觀方面表現為故意,即行為人明知自己的行為會造成危害社會的嚴重后果,希望或者放任這種危害結果發生的心理態度。依據我國刑法,過失不構成犯罪。但從法理和實際情況以及西方的有關法律的規定來看,有不同意見。學術界有主張應該有該罪的過失犯罪,

既能適應法理又能便于法律的實施。

③犯罪客體

首先,本罪侵犯的直接客體,是計算機網絡信息系統安全保護管理秩序和計算機網絡信息系統所有權人的合法權益。由于破壞計算機網絡信息系統數據和應用程序的行為,具有嚴重的社會危害性,因此必須給予刑法懲處。其次,本罪的行為對象,是計算機網絡信息系統中存儲、處理或者傳輸的數據和應用程序。所謂數據,是指計算機輸入、輸出和以某種方式處理的信息。所謂應用程序,是操作系統程序以外的,為特定目的而設計、編寫的、具有某種特定用途的程序,它通常是數據的一種使用方式、操作方法或檢測工具??傊?,本罪行為對象只限于計算機網絡信息系統中存儲、處理或者傳輸的數據和應用程序。

④犯罪客觀方面

本罪在客觀方面必須同時具備三個構成要件:第一,違反國家規定是本罪的特定犯罪前提。第二,對計算機網絡信息系統中存儲、處理或者傳輸的數據或應用程序實施了非法操作的行為。所謂“操作”,是指運用鍵盤等信息輸入工具或方法,主動變更計算機網絡信息系統中的數據和應用程序,主要表現為刪除、修改、增加三種形式。第三,構成本罪還必須后果嚴重。何謂“后果嚴重”,有待司法解釋做出明確規定。從刑法理論和司法實踐來看,主要是指:破壞計算機網絡信息系統數據和應用程序,嚴重影響被害單位和個人的正常工作,造成較大經濟損失,或者造成惡劣的社會影響等。

(2)重要構成要件

我國《刑法》第286條第2款對罪狀和法定刑的規定是:“違反國家規定,對計算機信息系統中存儲、處理或者傳輸的數據和應用程序進行刪除、修改、增加的操作,后果嚴重的,依照前款的規定處罰?!倍翱钜幎ǖ钠茐挠嬎銠C網絡信息系統功能罪,在罪刑配置上分為兩個檔次,即“后果嚴重的,處5年以下有期徒刑或者拘役;后果特別嚴重的,處5年以上有期徒刑?!庇捎诘?款只規定了“后果嚴重的”,并沒有“后果特別嚴重的”的規定。但實際上,破壞計算機系統中的數據和應用程序,不但會引起“后果嚴重的”情形,而且還可能會引起“后果特別嚴重的”情形,既然如此,我們對我國《刑法》第286條第2款規定的本罪,只有解釋為包括“后果特別嚴重”,才符合立法的本意。

3.定罪量刑及刑罰適用

(1)罪與非罪的界限

理解罪與非罪的界限,主要注意三個問題:①本罪行為對象,只限于已經存放于計算機網絡信息系統中的,處于運算和運行狀態中的數據和應用程序。如果行為對象不是這種數據或程序,而是已經脫離計算機網絡信息系統的,用磁盤、光盤、磁帶、芯片等媒體設備保存的數據或應用程序,就不構成本罪。②本罪是結果犯,是否發生嚴重的危害后果,是罪與非罪的重要標志。③依據我國《刑法》,本罪在主觀上只能由故意構成。如果行為人在操作使用計算機及其網絡的過程中,由于疏忽大意或過于自信,過失地變更了計算機信息系統中的數據或應用程序,即使引起了嚴重后果,但因行為人在主觀上對危害后果不是出于希望或放任的心理態度,所以不能認為是犯罪。但前面已經指出,應存在過失犯罪,這有待于進一步的論證和立法實踐的確認。

(2)本罪與破壞計算機網絡信息系統功能罪的界限

這兩種犯罪在表面上看有某些相同之處,但也存在明顯的不同。①犯罪對象不同。本罪的對象是計算機網絡信息系統中存儲、處理或者傳輸的數據和應用程序,而后者的對象是計算機網絡信息系統功能。②行為發生完全不同。本罪的行為只表現為刪除、修改或增加的變更操作行為,而后者不但對系統功能進行刪除、修改而且還表現為干擾。③危害結果不完全相同。本罪只要求變更了計算機網絡信息系統中的數據和應用程序的后果嚴重,而后者則要求造成計算機網絡信息系統不能正常運行的后果嚴重。④犯罪形態不同。本罪不發生犯罪

未遂問題,而后者有犯罪未遂問題。

(3)破壞計算機網絡信息系統數據和應用程序罪的刑罰適用

根據《刑法》第286條第2款及第1款的規定,犯本罪基本罪處5年以下有期徒刑或者拘役;犯重罪的,處5年以上有期徒刑。這種犯罪屬結果犯,處理時,應依據新《刑法》第286條第2款定破壞計算機數據和應用程序罪,但是依照該條第1款破壞計算機網絡信息系統功能罪的處罰規定予以處罰。

4.2.4 制作、傳播計算機網絡病毒等破壞性程序罪

1.概念及形式

所謂破壞性程序,是指有意破壞數據、程序或破壞計算機系統安全的任何程序。制作、傳播計算機網絡病毒破壞性程序罪就是指故意制作、傳播計算機網絡病毒破壞性程序,影響計算機系統正常運行,造成嚴重后果的行為。這是一個選擇性罪名,在司法實踐中應當根據具體案情,選擇適用或者并合適用。本罪還分為基本罪和派生的重罪兩個構成類型。

常見的破壞性程序主要有以下幾種形式:(1)計算機病毒(Computer viruses)。計算機病毒是指隱藏在計算機系統數據資源中,影響計算機系統正常運行,并可通過系統數據共享的途徑蔓延傳染的有害程序。(2)特洛伊木馬(Trojan-horse)。計算機安全中的特洛伊木馬是指表面上在執行一個任務,但實際上在執行另一個任務的任何程序。(3)邏輯炸彈(Logic -bomb)。邏輯炸彈是指在某種特殊條件下按某種不同的方式運行的一種非法程序。這種程序不會自我復制。邏輯炸彈被用來盜竊財務、毀壞存儲資料。(4)定時炸彈(Time-bomb)。定時炸彈是指在一定的日期或時刻激發的一種邏輯炸彈。這種邏輯炸彈啟用的特殊條件就是實際日期或時刻與預置的日期或時刻相吻合。一旦條件形成,該破壞程序就被執行。(5)蠕蟲(Worm)。蠕蟲是一種將自己的拷貝傳染到入網計算機的程序。這種病毒主要攻擊小型機,其自我復制能力很強,并主要通過自我復制來對計算機系統進行攻擊,其傳染途徑主要是計算機網絡和軟磁盤。(6)野兔(Rabbit)。野兔是一種無限制地復制自身而耗盡一個系統的某種資源(CPU時間、磁盤空間、假脫機空間等等)的程序。它與病毒的區別在于它本身就是一個完整的程序,不感染其他程序。

2.犯罪構成

(1)本罪構成要件

①犯罪主體

本罪的主體是一般主體,指年滿16周歲且具有刑事責任能力的自然人。其中,制作計算機病毒等破壞性程序的人,通常是受過高等專業教育或具有較高計算機技術水平的人,尤其是受過計算機專業教育的技術人員,當然也不排除個別具有熟練編程技能的計算機愛好者;傳輸計算機病毒等破壞性程序的人,可以是該病毒等破壞性程序的制作者,也可以是一般人。

②犯罪主觀方面

根據刑法規定,本罪在主觀方面只能出于故意,即明知制作、傳播計算機病毒等破壞性程序會發生危害社會的嚴重后果,希望或者放任這種危害結果發生的心理態度。從目前已經發生的犯罪看有如下幾種情況:(i)顯示自己才能的表現型;(ii)惡作劇型;(iii)報復型;(iv)出于政治、軍事上目的(作為武器);(v)勒索型;(vi)經濟利益型,為出售其編制的軟件以獲取經濟利益;(vii)不正當競爭型。無論行為人制作、傳播計算機病毒等破壞性程序出于何種動機,都不影響本罪的成立。

③犯罪客體

首先,本罪侵犯的直接客體,是計算機網絡信息系統安全保護管理秩序和計算機網絡信息系統所有人的合法權利。其次,本罪的行為對象是計算機病毒等破壞性程序。這是構成

網絡犯罪及案例分析(教材) 86_網絡犯罪案例

本罪不可缺少的要件。破壞性是這一構成要件的根本屬性。計算機病毒本身就是一種破壞性程序,但是也還有非病毒的其他破壞性程序。根據1994年2月國務院發布的《計算機信息系統安全保護條例》第28條的規定:“計算機病毒,是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數據,影響計算機使用,并能自我復制的一組指令或者程序代碼?!庇嬎銠C網絡病毒具有以下四個基本特征:(i)感染性;(ii)潛伏性;(iii)可觸及性;(iv)破壞性。

④犯罪客觀方面

本罪在客觀方面必須具備下列兩個構成要件,缺少即不能構成本罪。這兩個構成要件的具體內容和表現形式為:第一,實施了制作、傳播計算機網絡病毒破壞性程序的行為。第二,影響計算機網絡信息系統正常運行,后果嚴重。引起了嚴重后果的,才能成立犯罪的既遂。

(2)重罪的構成要件

我國《刑法》第286條第3款,對本罪的罪狀和法定刑的表述是:“故意制作、傳播計算機病毒破壞性程序,影響計算機網絡信息系統的運行,后果嚴重的,依照第1款的規定處罰”,這就是說,本罪援引第1款之罪的法定刑。但是,第1款規定的破壞計算機網絡信息系統功能罪,在罪刑配置上分為兩個檔次,即“后果嚴重的,處5年以下有期徒刑或者拘役;后果特別嚴重的,處5年以上有期徒刑?!钡?條只規定“后果嚴重的”,并沒有“后果特別嚴重的”規定,但我們認為本罪應該有基本罪和重罪。重罪的構成要件是:罪行在符合基本罪的構成要件的基礎上,后果特別嚴重的行為。

3.定罪量刑及刑罰適用

(1)罪與非罪的界限

罪與非罪的區分,主要注意兩個問題:①本罪行為的對象,是否是計算機病毒等破壞性程序。②行為人制作、傳播的計算機病毒等破壞性程序的行為,是否影響了計算機網絡信息系統正常運行及后果嚴重程度。

(2)本罪與破壞計算機網絡信息系統功能罪的界限

①行為對象不同。本罪的行為對象是計算機病毒等破壞性程序;破壞計算機網絡信息系統功能罪的行為對象是計算機網絡信息系統的功能。②行為方式不同。本罪的行為方式是“制作、傳播”計算機病毒等破壞性程序;破壞計算機網絡信息系統功能罪的行為方式是對系統功能進行“刪除、修改、增加、干擾”等。③對危害結果的要求不同。本罪是“影響”計算機網絡信息系統正常運行且后果嚴重的;破壞計算機網絡信息系統功能罪是“造成”計算機網絡信息系統不能正常運行且后果嚴重的。

(3)本罪與破壞計算機網絡信息系統數據、應用程序罪的界限

①行為對象不同。本罪的行為對象是計算機病毒等破壞性程序;破壞計算機網絡信息系統數據、應用程序罪的行為對象則是計算機網絡中存儲、處理或者傳輸的數據或應用程序。②行為方式不同。本罪的行為方式是“制作、傳播”計算機病毒等破壞性程序;破壞計算機網絡信息系統數據、應用程序罪的行為方式只是對系統中的數據和應用程序進行“刪除、修改、增加的操作”,而不存在“干擾”的行為方式。③對危害結果的要求不同。本罪是“影響”計算機網絡信息系統正常運行且后果嚴重的;破壞計算機網絡信息系統數據、應用程序罪只要求“后果嚴重”。④犯罪形態不同。前罪存在中止犯和未遂犯的形態,而后罪則不存在犯罪的未完成狀態。

(4)刑罰適用

根據我國《刑法》第286條第2款及第1款規定精神,犯本罪基本罪的,處5年以下有期徒刑或者拘役;犯重罪的,處5年以上有期徒刑。

4.3網絡工具犯罪類型

網絡工具犯罪類型或稱為不純正的網絡犯罪類型,主要涉及到網絡財產犯罪類型和非網絡財產犯罪類型。網絡財產犯罪是指犯罪行為人通過對計算機網絡信息系統所處理的數據信息進行篡改和破壞,從而達到非法取得和占有或者非法破壞他人財產的行為。非網絡財產犯罪是指犯罪行為人通過對計算機網絡信息系統所處理的數據信息進行侵害或發布不良信息侵害他人的非財產利益的犯罪行為。我國《刑法》第287條規定:“利用計算機實施金融詐騙、盜竊、貪污、挪用公款、竊取國家秘密或者其他犯罪的,依照本法有關規定定罪處罰?!?關于將網絡財產犯罪按其他犯罪進行定罪處罰的規定,學術界有學者認為這種規定不是很妥當。認為網絡財產犯罪的特征是以非法占有財產為目的,通過計算機網絡系統來實現犯罪的目的。雖然在這類犯罪中對計算機網絡信息系統的侵害只是一種手段,但是在客觀上仍然造成了對計算機網絡信息系統正常運行的侵害和威脅。因此網絡財產犯罪實際上侵害了兩個客體:計算機網絡安全和財產安全。對于網絡財產犯罪,認為有兩種方法來處罰:一是按照數罪并罰,凡是利用網絡犯罪和實施財產犯罪實行數罪并罰;二是修改刑法,凡是利用網絡實施財產犯罪,都制定比單純的財產犯罪嚴厲得多的處罰。

4.3.1 利用網絡實施金融犯罪

1.概念、手段及類型

(1)概念

所謂網絡金融犯罪,是指在金融電子化時代,行為人以計算機網絡為作案工具或侵害對象而實施的,危害金融領域正常的交易秩序、管理秩序,侵害公私財產所有權,情節嚴重的行為。

(2)手段

①邏輯炸彈

是指有意設置并插入程序的編碼。這些編碼只有在一個特定時間或者特定的條件下才可執行,如以某種特定事務處理的傳輸作為觸發信號而發起攻擊的“炸彈”。邏輯炸彈是對系統的潛在威脅和隱患,有可能抹除數據文件,或者破壞系統功能,使整個系統癱瘓。

②拒絕服務

拒絕服務攻擊是一種破壞性攻擊,它包括廢棄某些系統,使端口處于停頓狀態,在屏幕上發出雜亂數據,改變文件名稱、刪除關鍵程序文件,或扭曲系統的資源狀態,使系統的速度降低,使得服務器或網絡會因堵塞而停止服務。

③非法入侵

這種方法是指外部或內部人員通過網絡遠程登錄到主機,在登錄過程中采用欺騙手段盜用高級用戶密碼和口令,擁有較大的權限后,破壞計算機系統或竊取、修改計算機網絡數據。

④計算機病毒

這是目前已知的計算機犯罪手段中最為有效和進行攻擊最為嚴重的方式。計算機病毒是隱藏在可執行程序中或數據文件中在計算機內部允許的一種干擾程序,它具有可傳播、可激發、可潛伏性,對于大、中、小、微型計算機和計算機網絡都具有巨大的危害性和破壞性,可能會奪走大量的資金、人力和計算機資源,甚至破壞各種文件及數據,造成機器癱瘓,帶來難以挽回的損失。

(3)類型

我國《刑法》里,從第170條到198條共有29條內容涉及到金融犯罪。分為兩大類:破壞金融管理秩序罪25種和金融詐騙罪8種,但發生得比較多的網絡金融犯罪主要包括網

上偷竊、欺詐、黑客入侵、破壞和病毒侵害金融的計算機網絡系統功能和網絡儲存的金融電子數據?!昂诳汀钡膼阂夤?,輕則導致電子銀行資源被非法盜用,重則可能使銀行業務階段性中斷,客戶大量流失。例如在美國,每年因黑客犯罪造成的損失約為15億美元。計算機病毒感染,輕則改變和破壞銀行業務的數據,重則可使銀行系統整體癱瘓。網絡犯罪動機主要有三個:金錢利益、商業競爭和個人成就感。電子銀行恰恰能為犯罪者提供“最全面”的滿足。在美國,銀行一般欺詐案的平均損失是1.9萬美元,破案率80%以上;而銀行電腦犯罪案的平均損失達45萬美元,破案率僅為2%左右。對于欺詐與反欺詐者,電子銀行也是一個頻繁較量的“舞臺”。

2.犯罪構成

(1)犯罪主體

本罪的主體是一般主體和特殊主體,即已滿16周歲具有刑事責任能力的自然人和具有特殊身份從事網絡金融管理的自然人以及法人。一類是一般人,另一類是掌握計算機網絡專業技術知識的專業人士;還可以是自然人和法人類的網絡金融犯罪。

(2)犯罪主觀方面

本罪在主觀方面表現為故意犯罪,并且具有非法占有公私財物的目的。有些網絡金融犯罪應該有過失罪,如負責計算機網絡金融管理的,由于過失造成重大經濟損失和其他嚴重后果,應該承擔相應責任。

(3)犯罪客體

金融業的計算機網絡數據。計算機網絡數據在金融業中主要以貨幣形式、電子公文形式和商業資料形式存在。

(4)犯罪客觀方面

電子貨幣形式在目前國內外的金融業中正發生著巨大的變化。傳統的貨幣、票據正在逐步消失,取而代之的是計算機網絡系統中的帳戶數據、交易數據。資金的轉移隨著交易數據的轉移而轉移,資金的變化由計算機網絡數據來體現。

金融行業的各級機構,一般具有相當龐大的計算機網絡數據,這些數據一方面包含了客戶信息、帳號資料和交易信息,另一方面也體現了一個金融機構的經營狀況。因此計算機網絡數據直接體現為商業秘密和技術秘密。

3.定罪量刑及刑罰適用

(1)首先應分清罪與非罪的界限

網絡金融犯罪涉及的內容復雜繁多,因此在劃分罪與非罪的界限時還要劃分研究不同類型的網絡金融犯罪。從我國刑法的規定來看,①破壞金融管理秩序罪有:偽造貨幣罪,出售、購買、運輸假幣罪,金融人員購買假幣、以假幣換取貨幣罪,持有、使用假幣罪,改造貨幣罪,擅自設立金融機構罪,偽造、變造、轉讓金融機構經營許可證罪,高利轉貸罪,非法吸收公眾存款罪,偽造、變造金融票證罪,偽造、變造國家有價證券罪,偽造、變造股票、公司、企業債券罪,擅自發行股票、公司、企業債券罪,內幕交易、泄漏內幕信息罪,編造并傳播證券、期貨交易虛假信息罪,誘騙投資者買賣證券罪,操作證券交易價格罪,違法向關系人發放貸款罪,違法發放貸款罪,用帳外客戶資金非法拆借、發放貸款罪,非法出具金融證罪,對違法票據承兌、付款、保證罪,逃匯、洗錢罪,騙購外匯罪。②金融詐騙罪有:集資詐騙罪,貸款詐騙罪,票據詐騙罪,金融憑證詐騙罪,信用證詐騙罪,信用卡詐騙罪,有價證券詐騙罪,保險詐騙罪。

金融業的計算機網絡數據在金融業中主要以電子貨幣形式、電子公文形式和商業資料形式存在。電子貨幣、票據正在逐步消失,取而代之的是計算機網絡系統中的帳戶數據、交易數據。資金的轉移隨著交易數據的轉移而轉移,資金的變化由計算機網絡數據來體現。金融行業的各個機構一般具有相當龐大的計算機網絡數據,這些數據一方面包含了客戶信息、

帳戶資料和交易信息,另一方面也體現了一個金融機構的經營狀況。因此計算機網絡數據直接體現為商業秘密和技術秘密。

(2)網絡金融犯罪的刑罰適用

網絡金融犯罪是人的行為,是人的一系列復雜心理活動和外在條件的共同結果。從我國《刑法》第286、287條及相關規定內容來看,金融領域計算機犯罪不是一個單一罪名,而是一個復合罪名。它涉及的兩大類型犯罪:破壞型犯罪和貪利型犯罪構成要件不同,處罰輕重也不同,因此,此罪與彼罪必須分清:

①犯罪目的不同。前者在多數情況下是由于泄私憤、圖報復、自以為是、展示才華等目的;后者則是貪財。

②計算機網絡在犯罪活動中所扮演的角色不同。在破壞型犯罪情況下,計算機網絡信息是侵害對象或“受害者”,被行為人故意非法刪除、增加、修改、干擾,使其不能發揮正常功能;在貪利型犯罪情況下,計算機網絡信息又成為行為人實施犯罪行為的工具或“幫兇”,利用它去實施詐騙、盜竊、貪污、挪用公款、竊密等犯罪活動。

③適用法律不同。破壞型犯罪是按照《刑法》第286條的規定定罪量刑,后果特別嚴重的,處5年以上有期徒刑;而貪利型犯罪則是按刑法相關條文中的規定定罪量刑,最高刑罰可至死刑。

4.針對金融業網絡犯罪的對策

應對方法主要是預防,其次才是嚴懲??刂平鹑跇I的網絡犯罪主要應在組織機構、法律制度、技術防范三個方面進行。

(1)組織機構

組織機構的目標是制定分析計算機犯罪的動向、技術特點。制定有關的安全策略、有關制度以及設計各種安全技術防范措施、手段和技術方案。同時應加強對計算機系統及其相關業務系統的審計,及時調整各種策略,確保安全策略和相關措施的可靠性。

(2)法律制度

由于電子貨幣的存在必須依賴于計算機系統和網絡,因此電子貨幣的使用中帶來的另一個問題是對電子貨幣擁有者身份的合法性判斷,傳統的方式主要是采用簽名和印鑒,并在法律上明確了其地位,而電子貨幣,最簡單的方式是用戶碼+密碼,其后是變碼印鑒、CA認證等。作為唯一的身份標識,數字簽名必須具有唯一性、防篡改性、抗抵賴性。要保證電子公文的安全性、真實性,同時還必須明確電子文書的法律地位。

(3)技術手段

目前防范計算機犯罪、保障計算機技術安全的手段有很多,主要有:采用數據存儲加密、數據認證控制和定期備份、核對的方式防止數據被非法修改,采用提高系統安全級別、合理分配系統權限的方法防止系統被非法入侵等技術手段。

4.3.2 利用網絡實施詐騙罪

1.概念及主要表現形式

(1)概念

詐騙罪,是指以非法占有為目的,采用虛構事實或者隱瞞事實真相的方法,騙取數額較大的公私財物的行為。利用網絡實施詐騙罪就是依托計算機網絡技術以非法占有為目的,采用虛構事實或者隱瞞事實真相方法,騙取數額較大的公私財物的行為。網絡本身的特點更具有虛構的便利,因此利用網絡實施詐騙罪就更容易得逞。

網絡中的詐騙罪,是以非法占有為目的,通過網絡信息系統虛構事實或者隱瞞真相,騙取公私財物(包括以數字形式體現的財物),數額較大的行為。它是類罪,包括普通詐騙罪、金融詐騙罪、合同詐騙罪等罪。

(2)主要表現形式

計算機網絡環境下詐騙他人財物的方法多種多樣,從組織形式上冒充網絡商品是最常見的。網絡的隱蔽性和神秘性為網絡詐騙創造了便利條件。而被害人由于經不起誘惑往往冒險一試,結果上當受騙。有人把利用網絡實施詐騙總結提煉成四大典型騙術:

①金字塔詐騙:“只需四個星期, 5美元變成6美元”,是最可能出現的“金字塔”或“Ponzi”騙術的誘騙手段。

②無風險投資:互聯網上數不勝數的“無風險”投資大都承諾一定時間內還本,并能賺很多利益。投資詐騙是行為人利用人們想發財的基本心態,成立一個投資會,保證加入者將獲得巨額投資回報,從而騙取他人錢財。

③電話欺詐:你會收到一封催你撥打“809”區號的電話號碼的電子郵件。誘餌一般是:你在一次競賽中獲勝或贏得一筆獎金。而“809”是加勒比海地區的區號,并且撥打的電話將出現在你下個月的電話帳單上,價格高達每分鐘20美元。

④信用卡欺詐:在互聯網上公布信用卡號與在電話中說出它一樣危險。消費者在網上用信用卡購物應小心謹慎,應當只在著名網上公司用信用卡購物,還應當對要求你提供信用卡號的請求多一個心眼。

本罪分為基本罪和派生的重罪、極重罪三個構成類型。

2.犯罪構成

(1)基本罪的構成要件

①犯罪主體

本罪的主體是一般主體,即已滿16周歲具有刑事責任能力的自然人。修改后的《刑法》,已將金融詐騙從詐騙罪中分解出去,另規定為若干新罪名,從而形成普通詐騙罪和特別詐騙罪的競合關系。本罪是普通詐騙罪。由于現行我國刑法關于單位詐騙行為另有規定,所以本罪的主體不再包括單位。

②犯罪主觀方面

本罪在主觀方面表現為直接故意,并且有非法占有公私財物的目的,間接故意和過失不構成本罪。

③犯罪的客體

本罪侵犯的客體是公私財物的所有權。犯罪對象是合法所有的公私財物。非財物的其他利益不是本罪的犯罪對象。

④犯罪客觀方面

本罪在客觀方面必須具備兩個構成要件:首先,行為人實施了詐騙行為。所謂詐騙行為,是指虛構事實或者隱瞞真相,使財物所有人或管理人信以為真,“自愿地”交出財物的行為。虛構事實和隱瞞真相,是本罪行為的兩種并列選擇形式,只要實施其中一種行為,便可構成本罪。至于采用什么方式虛構事實和隱瞞真相,法律未作限定,因此,利用計算機網絡技術虛構事實和隱瞞真相,騙取公私財物同樣可以構成本罪。

其次,詐騙財物數額較大。這是構成本罪不可缺少的特定危害結果。至于何謂數額較大,最高人民法院于1996年12月16日《關于審定詐騙案件具體應用法律的若干問題的解釋》中曾經規定:個人詐騙公私財物2000元以上的,屬于“數額較大”。各省、自治區、直轄市高級人民法院可根據本地區經濟發展狀況,并考慮社會治安狀況,在“2000元至4000元”的幅度內,確定本地區執行“數額較大”的起點標準。

(2)本罪重罪和極重罪的構成要件

①重罪構成要件

指在罪行符合基本罪的構成要件的基礎上,數額巨大或者有其他嚴重情節的行為?!皵殿~巨大”和“其他嚴重情節”,是構成重罪的選擇條件,所謂“數額巨大”,是指個人詐騙公

網絡犯罪及案例分析(教材) 86_網絡犯罪案例

私財物3萬元以上的。各省、自治區,直轄市高級人民法院可根據本地區經濟發展狀況,并考慮社會治安情況,應在“3萬元至5萬元”的幅度內,確定本地區執行“數額巨大”的起點標準。

②極重罪構成要件

指在罪行符合基本罪的構成要件的基礎上,數額特別巨大或者其他特別嚴重情節的行為?!皵殿~特別巨大”和“其他特別嚴重情節”,是構成極重罪的選擇要件,只要具備其中一項,極重罪便可成立。根據司法解釋,所謂“數額特別巨大”,是指個人詐騙公私財物20萬元以上的。所謂“情節特別嚴重”,是指詐騙數額在10萬元以上,又具有重罪構成“其他嚴重情節”所列九項情形之一的行為。

3.定罪量刑及刑罰適用

(1)嚴格區分罪與非罪和基本罪與重罪的界限

本罪是侵犯財產的犯罪,詐騙數額較大、巨大或者特別巨大是罪與非罪和基本罪、重罪和極重罪的分界線。如果詐騙公私財物數額較小,尚未達到本地區執行“數額較大”的起點標準的,不構成詐騙罪;其次,非法占有公私財物的目的,是本罪主觀方面不可缺少的構成要件

(2)實施其他罪行因詐騙財物而轉化為本罪的規定

其轉化有兩個條文:一是我國《刑法》第210條第2款規定:“使用欺騙手段騙取增值稅專用發票或者可以用于騙取出口退稅、抵扣稅款的其他發票的”,應當以詐騙罪論處。二是我國《刑法》第300條第3款規定“組織和利用會道門、邪教組織或者利用迷信……詐騙財物的”,應當以詐騙罪論處。

(3)本罪與其他詐騙罪的競合問題

新刑法在保留詐騙罪罪名的同時,將原屬于本罪的金融詐騙罪進行了分解從而使它們同本罪形成特別詐騙罪與普通詐騙罪的關系。當特別法條規定與普通法條規定發生競合時候,實行特別法條優于普通法條的原則。

(4)利用計算機實施詐騙罪的刑罰適用根據

我國《刑法》第287條關于“利用計算機實施……其他犯罪的,依照本法有關規定定罪處罰”的規定,是認定利用計算機實施詐騙犯罪的法律前提,但是具體行為必須符合我國《刑法》第266條規定的詐騙罪的構成要件;不能同時滿足其全部犯罪構成要件的,不能構成本罪,同時具備詐騙罪的構成要件,是確認利用計算機實施該種犯罪的唯一根據。

我國《刑法》第287條和第266條規定,犯本罪基本罪的,處3年以下有期徒刑、拘役或者管制,并處或者單處罰金;犯重罪的,處3年以上10年以下有期徒刑,并處罰金;犯極重罪的,處10年以上有期徒刑或者無期徒刑,并處罰金或者沒收財產。

· 4.3.3 利用網絡實施盜竊罪

1.概念及主要表現形式

(1)概念

利用網絡實施盜竊罪,是指以非法占有為目的,利用網絡實施竊取他人上網賬號、信用卡賬號、QQ號、游戲裝備等手段,秘密取得數額較大的公私財產的行為。

(2)主要表現形式

①利用計算機網絡盜用電信服務

盜用電信服務是指行為人非法獲取、使用他人電信密碼號或者賬號,或者非法侵入電信部門計算機網絡信息系統接受電信服務的行為。有三種形式:(i)利用計算機復制他人電信號碼并非法使用。(ii)利用試探密碼的方法竊取密碼。(iii)盜用個人的電信賬號和密碼。

②利用計算機盜竊金融系統的電子貨幣

所謂電子資金過戶系統,是指通過光、電或者信號,使用計算機在財務帳目上記錄資金增減,從而代表一定的經濟活動的計算機控制的收付系統,如定點銷售系統(POS)、自動存取款機(ATM)、自動化票據交換所(ACH)等。存在于電子資金過戶系統中代表一定的資金財物所有關系的電子數據記錄,被稱為電子貨幣,利用計算機網絡盜竊電子貨幣的犯罪在國內外都有表現,犯罪人往往使用計算機網絡技術涂抹金融計算機管理系統中合法客戶的存款帳目,采取另設帳號轉移資金的辦法竊取金融系統的資金。

2.犯罪構成

(1)犯罪主體

本罪的主體是一般主體,指年滿16周歲具有刑事責任的自然人,可以是具有計算機網絡專業技術的自然人,也可以是一般自然人。

(2)犯罪主觀方面

本罪在主觀方面表現為直接故意。盜竊一般財物的,必須具有非法占有公私財物的目的;盜接他人通信線路、復制他人電信號碼、上網賬號或者明知是盜接、復制的電信設備、設施而使用的,必須以牟利為目的。

(3)犯罪客體

本罪行為方面表現為竊取數額較大的公私財物的行為。盜竊公私財物“數額較大”,是本罪在客觀方面的一個選擇要件。最高人民法院1998年3月10日發布的《關于審理盜竊案件具體應用法律若干問題的解釋》的規定,所謂數額較大,是指個人盜竊公私財物價值人民幣5000~20000元以上?!皵殿~較大”是成立本罪的法定選擇要件;如果盜竊數額不是較大,又不符合其他選擇要件的,不能認為是犯罪。但是,上述司法解釋又規定:盜竊公私財物接近“數額較大”的起點,具有下列情形之一的,可以追究刑事責任:①以破壞性手段盜竊,造成公私財產損失的。②盜竊殘疾人、孤寡老人或者喪失勞動能力人的財物的。③造成嚴重后果或者具有其他惡劣情節的。④ “多次盜竊”是本罪在客觀方面的另一選擇要件?!岸啻伪I竊”有三點限制:(i)次數上3次以上。(ii)時間上必須是在1年內實施的3次以上盜竊。(iii)地點上只限于入戶盜竊和在公共場所扒竊。

(4)犯罪客觀方面

本罪侵犯的客體是公私財產所有權。犯罪對象是公私財物,包括國有財產、集體所有財產、公民個人所有財產、多種所有制經濟成分混合組成的法人、非法人的社團的財物。作為本罪對象的財物,必須是具有一定經濟價值且可為人力所控制、支配、轉移、使用的財物,包括有形財物、無形財物和有價服務。

3.定罪量刑及刑罰適用

(1)罪與非罪

區分本罪與非罪的界限,要注意把握如下幾點:

①盜竊數額較大,是罪與非罪的基本分界線。

②盜竊公私財物雖已達到“數額較大”的起點,但情節輕微并具有下列情形之一的,可不作為犯罪處理:

(i)已滿16周歲但不滿18周歲的未成年人作案的;(ii)全部退贓、退賠的;(iii)主動投案的;(iv)被脅迫參加盜竊活動,沒有分贓或者獲贓較少的;(v)其他情節輕微,危害不大的。

③多次盜竊

即1年內入戶盜竊和在公共場所扒竊3次以上,如果在1年內沒有實施3次盜竊行為,或者3次盜竊行為不完全是入戶盜竊或者在公共場所扒竊的,不能認定為多次盜竊因而不構成犯罪。

(2)盜竊計算機互聯網信息經營單位的有價信息服務

非法侵入信息提供商(ISP)的計算機網絡信息系統,并自行設立非法賬號、密碼,自己使用或者讓他人使用,從而無償獲得信息服務的行為,應當以盜竊罪論處。如果在獲得服務后又為躲避法律責任而有進行刪改等破壞性行為的,與破壞計算機網絡信息系統功能罪競合,擇一重罪處罰。

(3)注意傳統盜竊和網絡盜竊的方式的差異

二者都是“秘密竊取”?!懊孛芨`取”,是盜竊行為的基本形式,也是本罪與其他侵犯財產罪相區別的主要特征。所謂“秘密竊取”,是指行為人必須采取自認為不被財產所有人或保管人知道的方法,將財物取走。至于客觀上是否為被害人所知或覺察不影響本罪的成立。而利用計算機網絡等高科技設備,通過破解密碼、篡改數據、下載信息、盜接通信線路、復制電信號碼等手段,也能實施盜竊金融資金、儲戶存款、有價計算機網絡數據(含昂貴軟件)、無償獲得電信服務等盜竊行為,這些竊取方式除竊取電子貨幣外,都可以在不取走原物情況下達到竊取經濟利益的目的。

(4)刑罰適用

根據《刑法》第287條和第264條規定,犯基本罪的,處3年以下有期徒刑或者管制,并處或者單處罰金;

重罪,犯重罪的,處3年以上10年以下有期徒刑,并處罰金;犯重罪的處10年以上有期徒刑或者無期徒刑,并處罰金或者沒收財產;犯極重罪的,處無期徒刑或者死刑,并沒收財產。本罪的重罪,是指罪行在符合基本罪的構成要件的基礎上,“盜竊公私財物數額巨大或者有其他嚴重情節”的行為。盜竊“數額巨大”和“其他嚴重情節”,是構成重罪的兩個選擇要件,只要具備其中一項,重罪便可成立。根據有關司法解釋,個人盜竊公私財物價值人民幣5000~20000元以上的,為“數額巨大”。盜竊數額達到“數額較大”并具有下列情形之一的,可以認定為“其他嚴重情節”:①犯罪集團的首要分子或者共同犯罪中情節嚴重的主犯;②盜竊金融機構的;③流竄作案危害嚴重的;④累犯;⑤導致被害人死亡、精神失?;蛘咂渌麌乐睾蠊?;⑥盜竊救災、搶險、防汛、優撫、扶貧、移民、救濟、醫療款物、造成嚴重后果的;⑦盜竊生產資料,嚴重影響生產的;⑧造成其他重大損失的。

更重罪,是指罪行在符合基本罪的構成要件的基礎上,“盜竊公私財物數額巨大或者有其他嚴重情節”的行為。盜竊“數額特別巨大”和“其他特別嚴重情節”,是構成重罪的兩個選擇要素,只要具備其中一項,重罪便可成立。根據前述司法解釋,個人盜竊公私財物價值人民幣3萬?10萬元以上的,為“數額特別巨大”。盜竊數額達到“數額巨大”的起點并具有下列情形之一的,可以認定為“其他特別嚴重情節”:①犯罪集團的首要分子或者共同犯罪中情節嚴重的主犯;②盜竊金融機構的;③流竄作案危害嚴重的;④累犯;⑤導致被害人死亡、精神失?;蛘咂渌麌乐睾蠊?;⑥盜竊救災、搶險、防汛、優撫、扶貧、移民、救濟、醫療款物、造成嚴重后果的;⑦盜竊生產資料,嚴重影響生產的;⑧造成其他重大損失的。

極重罪,是指罪行在符合基本罪的構成要件的基礎上,有下列情形之一的行為: ①盜竊金融機構,數額特別巨大;②盜竊珍貴文物,有嚴重情節的。根據司法解釋,“數額特別巨大”是指人民幣3萬?10萬元以上的?!氨I竊珍貴文物,情節嚴重”,主要是指盜竊國家一級文物后造成損毀、流失、無法追回;盜竊國家二級文物3件以上或者盜竊國家一級文物1件以上,并具有下列情況之一的行為:①犯罪集團的首要分子或者共同犯罪中情節嚴重的主犯;②流竄作案危害后果嚴重的;③累犯;④造成其他嚴重損失的。

4.3.4 利用網絡實施貪污和挪用公款犯罪

1.概念及主要表現形式

(1)利用網絡實施貪污犯罪、挪用公款罪的概念

貪污罪,是指國家工作人員利用職務上的便利,侵吞、竊取、騙取或者以其他手段非法占有公共財物的行為。本罪分為基本罪和派生的輕罪、重罪和更重罪四個構成類型。

挪用公款罪,是指國家工作人員利用職務上的便利,挪用公款歸個人使用,進行非法活動的,或者挪用公款數額較大、進行營利活動,或者挪用公款數額較大、超過三個月未還的行為。本罪分為基本罪和派生的重罪、極重罪三個構成類型。

利用網絡實施貪污和挪用公款罪,就是利用計算機網絡對存在計算機網絡上的用數字信息表達的財物實施侵害的犯罪行為。

(2)主要表現形式

由于計算機網絡信息系統在財經部門應用極為廣泛,如金融財稅部門的電子財務會計系統、電子資金過戶系統,電信部門的自動計費系統等。貪污罪和挪用公款罪主要有如下兩種表現:

①非法操作計算機侵占單位資金

利用計算機處理財務的部門,一般都有不同層次的安全防范措施和安全管理制度。操作這些計算機信息系統的人員,要求具有相應的專業知識。他們能夠在日常工作中利用職務上的便利,實施非法占有單位資金的貪污和挪用公款行為。如農業銀行廣西東興支行江平營業所記帳員蘇某利用計算機系統進行數據篡改,將儲戶155萬元的存款劃撥到自己名下,隨后分兩次從農業銀行儲蓄網點提取現金149.2萬元。

②利用計算機財務系統存在的漏洞和缺陷竊取單位資金

計算機信息系統由計算機硬件和軟件系統組成,硬件設計和軟件開發難免存在某種漏洞和缺陷,從而給犯罪分子留下非法占有單位資金的便利。

2.犯罪構成

(1)利用網絡實施貪污罪的犯罪構成分為基本罪和派生的輕罪、重罪和更重罪四個構成類型。

①基本罪的構成要件

(i)犯罪主體

本罪的犯罪主體是特殊主體,即國家工作人員。具體包括以下四種人員:國家機關中從事公務的人員;國有公司、企業、事業單位、人民團體中從事公務的人員;國家機關、國有公司、企業、事業單位委派到非國有公司、企業事業單位、人民團體中從事公務的人員; 其他依照法律從事公務的人員。

(ii)犯罪主觀方面

本罪在主觀方面表現為故意,而且具有非法占有公共財產的目的。

(iii)犯罪客體

貪污罪的犯罪客體是復雜客體,既侵犯了國家工作人員職務行為的廉潔性,又侵犯了公共財產的所有權。其中前者是主要客體。本罪的犯罪對象必須是公共財物。

(iv)犯罪客觀方面

本罪在客觀方面有三個構成要件:一是行為人利用職務上的便利。這是構成本罪的犯罪前提。二是以侵吞、竊取、騙取或者以其他手段實施非法占有公共財物的行為。三是“數額較大”。具體數為最高人民法院《關于辦理違反公司法受賄、侵占、挪用刑事案件適用法律若干問題的解釋》規定的5000~20000元以上的。

②輕罪的構成要件

罪行在符合基本罪構成要件的基礎上,個人貪污數額不滿5000元,“情節嚴重”的行為。

③重罪的構成要件

罪行在符合基本罪構成要件的基礎上,貪污數額巨大的行為。所謂數額巨大,是指“個人貪污數額在5萬元以上不滿10萬元”。

④最重罪的構成要件

罪行在符合基本罪構成要件的基礎上,貪污數額特別巨大的行為。所謂數額特別巨大 ,是指“個人貪污在10萬元以上”。

(2)利用網絡實施挪用公款罪的犯罪構成分為基本罪和派生的重罪、極重罪三個構成類型。

①基本罪的構成要件

(i)犯罪主體。本罪的主體是特殊主體,即國家工作人員,其具體范圍與刑法規定的貪污犯罪的主體相同。

(ii)犯罪主觀方面。本罪在主觀方面表現為直接故意。犯罪目的是非法取得公共款物的使用權,如果行為人出于非法占有公款的目的,則不構成本罪。

(iii)犯罪客體。本罪侵犯的客體是復雜客體,即國家工作人員職務行為的廉潔性和公款的部分所有權。本罪的犯罪對象必須是公款,包括貨幣、有價證券等形態的公共財產。

(iv)犯罪客觀方面。本罪在客觀方面必須具備如下三個構成要件:一是利用職務上的便利。二是實施挪用公款歸個人使用,進行非法活動、營利活動或者超過三個月未還的行為。三是挪用公款數額較大。

②重罪和最重罪的構成要件

(i)本罪的重罪構成要件,是指罪行在符合基本罪構成要件的基礎上,情節嚴重的行為。所謂情節嚴重,根據司法解釋是指:一是挪用公款“數額巨大”,進行營利活動或者超過3個月未還的,或者挪用公款數額雖未達到巨大,但挪用公款手段惡劣;多次挪用公款;因挪用公款嚴重影響生產、經營,造成嚴重損失等情形。本項所說的“數額巨大”,其起點為挪用公款15萬元至20萬元。二是挪用公款“數額巨大”,進行非法活動,或者挪用公款數額雖未達數額巨大,但挪用公款手段惡劣;多次挪用公款;因挪用公款嚴重影響生產、經營,造成嚴重損失等情形。本項所說的“數額巨大”,其起點為挪用公款5萬元至10萬元。 (ii)本罪的最重罪構成要件,是指罪行在符合基本罪構成要件的基礎上,挪用公款數額巨大不退還的行為。其“數額巨大”,根據司法解釋,因挪用的用途不同而有兩種不同的規定:一是挪用公款進行營利活動或者其他合法用途的,其“數額巨大”的起點為15萬元至20萬元;二是挪用公款進行非法活動,其“數額巨大”,為5萬元至10萬元以上。

3.定罪量刑及刑罰適用

(1)貪污罪、挪用公款罪與非罪的界限

認定行為人是否構成貪污罪和挪用公款罪的關鍵,除了行為人的特殊身份和是否利用職務之便外,關鍵是非法占有的財物是否達到“數額較大” 的起點。但對于貪污罪來說,貪污的數額不滿5000元的,是否“情節較重”則是罪與非罪的分水嶺。如果貪污公共財物不滿5000元且“情節較輕的”;或者侵占本單位財物尚未達到“數額較大的”,不能認為是犯罪。

(2)關于利用計算機實施貪污犯罪、挪用公款罪有無未遂的問題

利用計算機網絡實施貪污犯罪、挪用公款罪,只能發生在通過銀行網絡進行電子結算的單位,因而利用計算機網絡將單位資金換轉入個人賬戶,到行為人實際使用被竊取的單位資金,通常有一個過程。在行為人尚未能夠使用這筆資金之前,其犯罪行為就被發現,被害單位通過掛失和報警,及時凍結了行為人存放贓款的帳戶。這種情況應定為犯罪未遂。如果存放贓款的帳戶未被凍結,行為人已提取的現金和網絡上使用的數額,應認為犯罪既遂;反之,未被行為人使用的數額,成立犯罪未遂。

(3)利用計算機犯貪污罪的刑罰適用

網絡犯罪及案例分析(教材) 86_網絡犯罪案例

①根據我國《刑法》第287條和第383條第1款第3項規定,利用計算機犯基本罪的,處1年以上7年以下有期徒刑;情節嚴重的處7年以上10年以下有期徒刑。個人貪污的數額在5千元以上不滿1萬元,犯罪后有悔改表現、積極退贓的,可以減輕處罰或者免于刑事處罰,由其所在單位或者上級主管機關給予行政處分。

②根據我國《刑法》第287條和第383條第1款4項規定,利用計算機犯輕罪的,處2年以下有期徒刑或者拘役。

③根據我國《刑法》第287條和第383條第1款2項規定,利用計算機犯重罪的,處5年以上有期徒刑,可以并處沒收財產;情節特別嚴重的,處無期徒刑,并沒收財產。

④根據我國《刑法》第287條和第383條第1款1項規定,利用計算機犯重罪的,處10年以上有期徒刑,可以并沒收財產;情節特別嚴重的,處死刑,并沒收財產。

(4)利用計算機實施挪用公款的刑罰適用

我國《刑法》第287條關于“利用計算機實施......挪用公款......或者其他犯罪的,依照本法有關規定定罪處罰”的規定,是認定利用計算機實施本類犯罪的法律前提,但是具體行為必須符合我國《刑法》第384條挪用公款罪的構成要件:行為具備其中一罪的全部構成要件,是確認利用計算機實施挪用公款罪的唯一根據。

根據我國《刑法》第287條和第384條規定,利用計算機犯挪用公款罪基本罪的,處5年一下有期徒刑或者拘役;犯重罪的,處5年以上有期徒刑;犯極重罪的,處10年以上有期徒刑或者無期徒刑。挪用用于救災、搶險、防汛、優撫、移民、救災款物歸個人使用,從重處罰。

4.3.5 利用網絡實施侵犯商業秘密罪

1.概念及主要表現形式

(1)概念

侵犯商業秘密罪是世界各國普遍的經濟犯罪現象。隨著計算機網絡技術的發展和廣泛應用,利用計算機實施竊取商業秘密或泄露商業秘密的犯罪案件也不斷出現。計算機技術的發展,能夠給權利人提供商業秘密的有效使用手段,同時又給不法分子提供了侵犯他人商業秘密的新方法。

(2)主要表現形式

①利用技術竊取商業秘密。②利用計算機披露非法獲取的商業秘密,或者違反約定披露商業秘密。

2.犯罪構成

本罪具有基本罪和派生的重罪兩個構成類型

(1)基本罪的構成要件

①犯罪主體

本罪是選擇主體,個人或單位均可構成。犯本罪的自然人是一般主體,但通常是合同約定負有保密義務的當事人和本公司、企業知悉或掌握商業秘密的人;犯本罪的單位,法律未作限定。但從司法實踐中看應該有本罪的法人犯罪。

②犯罪主觀方面

本罪在主觀上表現為故意。指明知是權利人已采取保密措施加以保護的商業秘密,而故意實施侵犯商業秘密的行為。

③犯罪客體

首先,本罪侵犯的直接客體是商業秘密的專有權。商業秘密已經使用即可取得財產利益,因而商業秘密權是一種財產權;其次,本罪的犯罪對象是商業秘密。根據《刑法》第219條的規定,“商業秘密,是指不為公眾所知悉,能為權利人帶來經濟利益,具有實用性并經

權利人采取保密措施的技術信息和經營信息?!?/p>

④本罪客觀方面

本罪在客觀方面有兩個構成要件:首先,實施了侵犯他人商業秘密的行為。以盜竊、利誘、脅迫或者其他不正當手段獲取權利人的商業秘密;披露、使用或者允許他人使用前項手段獲取的權利人的商業秘密;違反約定或者違反權利人有關保守商業秘密的要求,披露、使用或者允許他人使用其所掌握的商業秘密。只要實施了上述任一侵害行為,即構成本罪。其次,本罪是結果犯,侵犯商業秘密的行為必須給權利人造成重大損失。所謂重大損失,指經濟上的重大損失,包括在競爭中處于不利地位,產品大量積壓、營利性服務嚴重受挫、減少盈利、增加虧損等等。

(2)重罪的構成要件

本罪的重罪構成要件,是指罪行在符合基本罪的構成要件的基礎上,造成特別嚴重后果的行為。一般是指給權利人的生產經營造成特別重大的經濟損失或者導致公司、企業破產等。

3.定罪量刑及刑罰適用

(1)罪和非罪的界限

構成本罪必須是侵犯商業秘密“造成重大損失”的行為,如果沒有造成重大損失,不能構成本罪。

(2)本罪與泄露國家秘密罪、非法獲取國家秘密罪的競合問題

本罪泄露的是商業秘密,侵犯的是商業秘密所有人或使用人的商業秘密權,它屬于財產權的范疇,而后者所泄露的是國家秘密,侵犯的是國家秘密制度,事關國家的安全與利益;實施本罪是一般主體,大多是因為一定的工作關系而知悉經濟秘密的人,后者的主體則是國家機關工作人員。如果公司、企業的某項商業秘密事關國家的經濟利益,從而被列為國家秘密的,行為人侵犯這種商業秘密的,也按照從一重罪處罰的原則處理。

(3)利用計算機實施侵犯商業秘密罪的刑罰適用

我國《刑法》第287條關于“利用計算機實施……其他犯罪的依照本法有關規定定罪處罰”的規定,是認定利用計算機實施本類犯罪的法律前提,但是具體行為必須符合《刑法》第219條規定的侵犯商業秘密罪的構成要件;如果不能同時滿足其全部構成要件,不能構成本罪。同時具備侵犯商業秘密罪的構成要件,是確認利用計算機實施侵犯商業秘密罪的根據。

根據我國《刑法》第287條和第219條、第220條的規定,個人利用計算機犯本罪基本罪的,處3年以下有期徒刑或者拘役,并處或者單處罰金;犯重罪的,處3年以上7年以下有期徒刑,并處罰金。單位犯利用計算機犯本罪的,對單位判處罰金,并對其直接負責的主管人員和其他直接責任人員,依照個人犯本罪的規定處罰。

4.3.6 利用網絡實施非法獲取國家秘密罪

1.概念和表現形式

(1)概念

非法獲取國家秘密罪,是指以竊取、刺探、收買方法,非法獲取國家秘密的行為。利用網絡實施非法獲取國家秘密罪是指利用計算機網絡技術非法獲取存儲于網絡上的國家秘密的犯罪行為。

(2)表現形式

①攻擊計算機網絡信息系統獲取國家秘密

有兩種:一種是行為人利用計算機網絡信息系統安全防范制度的疏漏,違反使用特定計算機網絡信息系統的權限,而非法直接操作計算機網絡信息系統獲取國家秘密;另一種是行為人利用計算機網絡技術,破解存儲國家秘密的計算機網絡信息系統,通過網絡竊取國家秘密。

②非攻擊計算機網絡信息系統獲取國家秘密

指行為人不直接針對計算機網絡信息系統進行操作或者攻擊,而是對計算機網絡信息系統處理后的有關電子數據載體進行分析,從而獲取國家秘密。

2.犯罪構成

根據我國《刑法》第287條關于“利用計算機網絡實施……其他犯罪的,依照本法有關規定定罪處罰”的規定,是認定利用計算機網絡實施本類犯罪的法律前提,但是具體行為必須符合我國《刑法》第282條規定的非法獲取國家秘密罪的構成要件;如果不能同時滿足其全部構成要件,不能構成本罪。完整的非法獲取國家秘密罪的構成要件,是確認利用計算機網絡實施本罪的根據。

本罪分為基本罪和派生的重罪兩個構成類型。

(1)基本罪的構成要件

①犯罪主體

本罪主體是一般主體,即年滿16周歲具有刑事責任能力的自然人。大都是精通計算機網絡技術專業的自然人。

②犯罪主觀方面

本罪在主觀方面表現為直接故意,即明知是自己不應該知悉的國家秘密而仍然非法獲取。

③犯罪客體

本罪侵犯的直接客體是國家的保密制度。犯罪對象是國家秘密。所謂國家秘密,是指關系到國家安全和利益,依法確定在一定時間內只限于一定范圍的人員知悉的事項。國家秘密分為三級:絕密、機密、秘密。

④犯罪客觀方面

本罪在客觀方面表現為違反國家保密法規,獲取國家秘密的行為。首先,違反國家保密法規是構成本罪的前提條件。其次,非法獲取國家秘密的行為,必須是以竊取、刺探、收買三種方法實施。第三,必須是非法“獲取國家秘密”。如果沒有獲取國家秘密,不能認為是犯罪。

(2)重罪的構成要件

本罪的重罪構成要件,是指罪行在符合基本罪的構成要件的基礎上情節嚴重的行為。所謂情節嚴重,目前尚無司法解釋。

3.定罪量刑及刑罰使用

(1)嚴格區分罪與非罪的界限

主觀上是直接故意,并采取竊取、刺探、收買三種方法非法獲取了國家秘密,才能構成犯罪。竊取、刺探、收買是獲取國家秘密的法定手段,即如果采取其他手段就不能認定為本罪。另外本罪必須是非法獲取,反過來說合法獲取就不構成本罪。合法獲取是指本身就有權獲得或因為授權訪問而獲取國家秘密。

(2)本罪與為境外竊取、刺探、收買、非法提供國家秘密情報罪的區別

兩者在表現行為方式上都有竊取的行為,但有本質的區別:①侵害的直接客體不同。前者侵害的是國家保密制度,而后者侵害的是國家安全。②行為對象范圍不同。前者僅指國家秘密,范圍較窄,而后者包括的范圍較廣。③犯罪行為方式不同。前者是以竊取、刺探、收買方法,非法獲取國家秘密,而后者除了為境外的機構、組織、人員竊取、刺探、收買等獲取國家秘密或者情報外,還包括非法提供的行為。④本罪分為基本罪和重罪兩個構成類型,法定最高刑為7年有期徒刑,而后者則分為基本罪、重罪和輕罪三個構成類型,法定最高刑為可以判處死刑。

(3)本罪的刑罰適用

根據我國《刑法》的287條和第282條第1款規定,利用計算機網絡犯基本罪的,處3年以下有期徒刑、拘役、管制或者剝奪政治權利;犯重罪的,處3年以上7年以下有期徒刑。

我國《刑法》第287條關于“利用計算機網絡實施……其他犯罪的,依照本法有關規定定罪處罰”的規定,是認定利用計算機網絡實施本類犯罪的法律前提,但是具體行為必須符合我國《刑法》第282條歸定的非法獲取國家秘密罪的構成要件。如果不能同時滿足其全部構成要件,不能構成本罪。

4.3.7 利用網絡實施恐怖主義犯罪

1.概念

利用網絡實施恐怖主義犯罪是指恐怖分子以進行恐怖活動為目的,利用網絡組織,實施恐怖活動,危害公共安全的犯罪行為。

2.犯罪構成

(1)犯罪主體

本罪主體是一般主體,年滿16周歲具有行為能力的自然人可以構成本罪的主體。也有法人主體,即國家和地區組織實施恐怖主義活動,如國家恐怖主義。

(2)犯罪主觀方面

行為人在主觀上具有故意,并且以進行恐怖活動為目的。

(3)犯罪客體

本罪的客體是社會的公共安全。社會的公共安全即不特定的多人的生命、健康、重大公私財產以及正常的生產、工作、生活的安全。犯罪行為可能危害的對象,不是針對某個人、某幾個人的人身安全或某項財產權,而是不特定的對象。危害公共安全行為一旦實施,其犯罪后果就具有嚴重性與廣泛性,容易造成很大范圍的恐慌。關鍵是社會的每一個人或物都有可能成為侵害的對象。如果其犯罪行為只是指向特定的某個或者某些人的人身權的安全或者特定的公私財產權的安全,則不構成危害公共安全罪,而屬于其他犯罪。

(4)犯罪客觀方面

客觀方面表現為組織、實施恐怖活動組織的行為??植阑顒?,是指以實施殺人、爆炸、綁架等恐怖活動。組織恐怖活動,實質上是鼓動、召集若干人建立或組織恐怖活動的一種集團犯罪行為。行為人只要實施了組織、領導了恐怖活動組織的行為,就應構成犯罪。

3.定罪量刑及刑罰適用

(1)罪與非罪的區別

首先看主體的構成,恐怖組織的活動即個人一般都是恐怖主義組織的成員。其次看犯罪對象,大都是不特定的人或人群或者是物,恐怖活動往往選擇人群密集的地區或者建筑比較有規模的地方。這樣容易引起人們的恐怖心態和恐怖情緒。

(2)本罪與散布恐怖性謠言的區別

網上造謠是與網上恐怖活動有所不同的另一種犯罪行為。網上造謠的后果有時可能造成人們的恐慌和恐懼,而有時僅是針對特定組織、個人的名譽或隱私的。網上造謠往往是一些個人行為,也可能是某些人的惡作劇,不能一概認定為網絡恐怖主義,而應具體分析犯罪構成的所有方面。

(3)刑罰適用

根據我國《刑法》第120、第287條規定,組織、實施恐怖活動的,處3年以上10年以下有期徒刑;其他參與的,處3年以下有期徒刑、拘役或者管制。犯前款罪并實施殺人、爆炸、綁架等犯罪的,依照數罪并罰的規定處罰。

4.針對利用網絡實施恐怖主義犯罪的對策

(1)網絡恐怖主義犯罪的現狀

隨著信息化社會的不斷推進,信息對政府、企業乃至個人生活的作用會越來越重要。若恐怖分子切斷一個人與信息的聯系,則就像把這個人扣押或綁架一樣??植婪肿忧袛嗄硞€人、某個團體、社區或某個更廣泛社會與外界的通信聯系,就能夠散布恐懼和恐慌。電腦網絡空間的建立,使反政府分子的犯罪活動更具隱蔽性和危害性。美國司法部的一位官員披露,軍用電腦系統是最容易受損害的,“它們甚至比大學里的電腦系統還不可靠”。這位官員指出,在海灣戰爭“沙漠風暴”行動期間,黑客們對軍隊的實際調動和計劃中的調動都可能進行了跟蹤。美國空軍電腦犯罪研究小組組長詹姆斯·克里斯蒂為驗證軍方電腦系統的可靠性成立了一個黑客小組。他報告說,黑客們在“15秒內”闖入了五角大樓的系統,接著在無人報告甚至沒有人察覺到系統被闖入的情況下,他們繼續闖入了空軍的200多個系統。

美國“9·11”事件發生后,國際社會同聲譴責恐怖主義??植乐髁x有多種形式,從信息安全角度來說,網絡恐怖主義已成為信息時代的一種新威脅,受到越來越多的重視。網絡恐怖主義事實的信息攻擊、破壞活動,其破壞性主要取決與兩個因素。其一是現實世界對信息網絡的依賴性。其二是信息網絡自身的脆弱性。

從網絡遭受破壞的實際情況看,近年來世界許多國家網站包括美國不少著名大網站及計算機網絡均遭受過黑客攻擊和病毒感染。網絡恐怖主義是網絡犯罪的惡性發展,也是信息時代恐怖主義手段和方式發展的新領域。

(2)針對網絡恐怖主義犯罪的對策

網絡犯罪與網絡恐怖主義已引起世界各國的普遍關注。美國從上世紀90年代中期開始,就明確把網絡恐怖主義作為未來美國將要面對的主要威脅之一,認為通過對一個國家的網絡系統及計算機網絡硬、軟件設備的破壞,有可能對經濟命脈或軍事系統的正常運行造成重大影響,其戰略破壞性將是以往任何武器都無法比擬的?!?·11”事件發生以來,美國在加強現實空間反恐怖行動的同時,也大力加強了網絡空間的反恐怖措施。

由于網絡無國界,網絡犯罪和網絡恐怖主義通常具有跨國犯罪的特征,打擊網絡犯罪和網絡恐怖主義正在成為世界各國的共同行動。2000年10月26日,西方八國集團在柏林召開會議,專門討論如何提高網絡安全水平和防范網上犯罪的問題。

重視對網絡恐怖主義的防范工作,對于我國來說也是加強國家和國防信息安全的現實需要。近年來網絡犯罪在我國也成為社會犯罪的常見形式。國家重大信息基礎設施及國防信息系統泄密、竊密和遭受非法入侵的事例屢有發生;境內外邪教組織、民族分裂勢力和各種反華勢力利用網絡造謠煽動,無所不至;境外間諜機關利用網絡從事間諜活動,也從未停止過。我們對于網絡犯罪和網絡恐怖主義威脅也不可掉以輕心。

4.3.8 利用網絡侵犯著作權罪

1.概念

利用網絡侵犯著作權罪,是指以營利為目的,未經著作權人與著作權有關的權益人認可,利用網絡復制刊登他人享有專有出版權的圖書,未經錄音錄像制作者許可復制發行其制作的音像制品,違法所得數額較大或者有其他嚴重情節的行為。

2.犯罪構成

(1)犯罪主體

本罪的犯罪主體,是一般主體,包括個人和單位。

(2)犯罪主觀方面

本罪的主觀方面,必須出于直接故意,并且具有營利的目的。否則,不構成本罪。

(3)犯罪客體

本罪的客體是他人的著作權與著作權相關的權益。所謂著作權,指公民依法對文學、

網絡犯罪及案例分析(教材) 86_網絡犯罪案例

藝術和科學作品所享有的各種權利的總稱。其中包括著作人身權和著作財產權。所謂與著作有關的權益,指傳播作品的人對他賦予作品的傳播形式所享有的權利,也即著作鄰接權,包括出版者、表演者、電臺、電視臺和錄音錄像者的權利。本罪的犯罪對象是他人依法享有著作權的作品。

(4)犯罪客觀方面

本罪的客觀方面,必須具備如下三個要件:

①實施了侵犯著作權的行為。(i)未經著作權人許可,在網上復制刊登其文字作品、音樂、電影、電視、錄像作品、美術、計算機網絡軟件及其他作品。(ii)刊登他人享有專有出版權的圖書。(iii)未經錄音錄像制作者的許可,復制刊登其制作的錄音、錄像。(iv)在網上刊登、銷售假冒他人署名的美術作品。

②在著作權有效保護期限內實施侵權行為。這是本罪的特定犯罪時間。如果行為發生在著作權保護以后,不構成本罪。

③違法所得數額較大或者有其他嚴重情節。所謂數額較大,根據最高人民法院1998年12月11日發布的《關于審理非法出版物刑事案件具體應用法律若干問題的解釋》,指個人違法所得在5萬元以上20萬元以下。單位違法所得數額在20萬元以上100萬元以下的。所謂有其他嚴重情節,指有下列三種情況:(i)因侵犯著作權曾經兩次以上被追究行政責任或者民事責任,兩年內又實施前述侵犯著作權的行為之一的。(ii)個人非法經營數額在20萬員以上,單位非法經營數額在100萬元以上的。(iii)造成其他嚴重后果的。

3.定罪量刑及刑罰適用

(1)要看侵權行為是否屬于我國《刑法》第217條規定的四種侵權行為,凡是不屬于這四種行為的,一律不得以犯罪論處。

(2)要看行為人是否具有營利目的,凡是不以營利為目的的,不能以犯罪處罰。

(3)要看違法所得是否數額較大或者有無其他嚴重情節。如果違法所得尚未達到數額較大的起點,或者沒有其他嚴重情節的,不能以犯罪處罰。

(4)根據我國《刑法》第287條、第217條和第220條規定,利用網絡犯本罪的,處3年以下有期徒刑或者拘役,并處或者單處罰金;犯重罪的,處3年以上7年以下有期徒刑,并處罰金。單位犯本罪,對單位判處罰金,并對直接負責的主管人員和其他直接責任人員,依照個人犯本罪的規定處罰。

4.3.9 利用網絡實施侵害名譽罪

1.概念和特點

(1)概念

利用網絡實施侵害名譽罪是利用網絡侮辱或誹謗他人,公然敗壞他人名譽,情節嚴重的行為。侮辱指利用暴力或其他的方法,公然敗壞他人的名譽。誹謗是指捏造并散布某種事實,足以敗壞他人名譽。侮辱和誹謗都是公然敗壞他人的名譽和人格,并且犯罪的對象必須都是自然人。二者的主要區別在客觀方面不同:①侮辱并不要求具有捏造事實的行為,而誹謗必須具有捏造事實的行為。②侮辱罪可以用暴力手段也可以采取其他手段,而誹謗只能采取口頭或圖文等方式進行。

(2)特點

①隱蔽性強。網絡用戶可以被虛擬成游動在數以億計的站點上的用戶名,同一個人還可以有多個用戶名,憑借網絡上的用戶名,難以確定行為人的真實身份。而且許多的網絡服務如電子郵件、網絡討論等都可以匿名進行。因此,利用網絡實施侮辱誹謗罪,確定行為人的身份就更加困難。

②影響范圍廣泛,后果嚴重。由于計算機網絡連接世界各地,范圍廣泛,在公用網絡

上的用戶不限于一個地區、一個國家的犯罪,侮辱誹謗他人的信息可以傳播到世界各地,比利用傳統方法要大得多,對被害人人格名譽的損害是不堪設想的。

2.犯罪構成

(1)犯罪主體

本罪指已年滿16周歲具有刑事責任能力的自然人。一般分精通計算機網絡技術的人和一般自然人。

(2)犯罪主觀方面

主觀上只能直接故意,即行為人明知自己的侮辱行為會造成敗壞他人名義的危害結果并且希望這種結果發生。行為人的目的是為了敗壞他人名譽,如果行為人無意識地實施了有損于他人名譽的行為,則不能認定為侮辱、誹謗罪。

(3)犯罪客體

作為侮辱、誹謗罪的客體的名譽僅指社會名譽。當然由于本人的社會名譽受到損害必然會引起對自己和有關方面的傷害。

(4)犯罪客觀方面

犯罪的客觀方面包括兩點:①行為人進行侮辱、誹謗罪必須有敗壞他人名譽的行為。目前在網上實施侮辱、誹謗行為主要是通過文字、圖形、動畫等方式進行。行為人一般是把誣蔑、謾罵和捏造的事實,輸入計算機網絡,形成電子文檔,然后上傳到網上,進行傳播。②侮辱、誹謗的對象必須是特定的人。特定的人既可以是一人,也可以是數人,但必須是具體的,可以確認的。在網絡上進行不特定對象的侮辱,不構成侮辱罪。死者不能成為侮辱罪對象,但行為人表面上侮辱、誹謗死者,實際上是侮辱、誹謗死者家屬的,則應認定為侮辱、誹謗罪。

3.定罪量刑及刑罰適用

(1)分清罪與非罪的界限

主體必須是具有刑事責任能力的自然人;行為人主觀上是故意利用網絡實施侵害他人名譽,手段是采取侮辱和誹謗等方式,造成對受害人的名譽損害的結果。

(2)法人能否成為本罪的對象問題

《民法通則》規定:“法人享有名譽權”。因此,法人就可以成為侮辱、誹謗的對象。但我國《刑法》分則第四章規定的是“侵犯公民人身權利、民主權利罪”。沒有對該罪的法人進行規定。

(3)在線服務商和主頁所有者的責任范圍

在線服務商和主頁所有者是否應當在其所提供的服務范圍內對第三人的侵權行為負責。根據我國的國情,參考相關資料,采取過錯責任和嚴格責任原則。在線服務商和主頁所有者因自己本身的故意或過失制作、提供信息等行為造成他人名譽權損害的,應依據一般侵權行為的構成要件來認定和承擔責任;在線服務商和主頁所有者僅提供純粹接入服務的,因其本身無法知悉和控制第三人的信息內容和發表言論行為,對侵權結果的發生沒有過錯,故不承擔責任。對網絡侵權受害主體要有所限制,即要將普通受害者與社會公眾人物、國家公務人員在法律上的保護進行區別對待。

(4)刑罰適用

根據《刑法》第287條和第246條規定,利用網絡實施侮辱、誹謗罪的,處3年以下有期徒刑、拘役、管制或者剝奪政治權利。我國《刑法》第246條第2款規定,犯侮辱、誹謗罪,“告訴的才處理,但是嚴重危害社會秩序和國家利益的除外”。所謂“嚴重危害社會秩序和國家利益的除外”,是指在下列兩種情況下,由人民檢查院提起訴訟:①侮辱、誹謗情節特別嚴重,引起了被害人自殺身亡或者精神失常等后果,被害人失去自訴能力的;②侮辱、誹謗黨和國家領導人、國家元首、外交代表等特定對象,既侵害他人名譽,又危害國家利益

的。

最高人民法院1998年12月11日《關于審理非法出版物刑事案件具體應用法律若干問題的解釋》第6條規定:“在出版物中公然侮辱他人或者捏造事實誹謗他人,情節嚴重的。依照《刑法》第246條的規定,分別以侮辱罪或者誹謗罪定罪處罰?!毙袨槿嗽诰W絡上公開發布的數據文件,也是一種非法出版物,應對網絡侵犯了名譽權的問題承擔責任。

4.3.10 利用網絡制作、販賣、傳播淫穢物品罪

1.概念

利用網絡制作、販賣、傳播淫穢物品罪,是指違反法律規定在網絡上建立淫穢網站、網頁,提供賣淫站點鏈接服務,或者傳播淫穢書刊、影片、音像、圖片的行為。其犯罪構成分為基本犯罪和重罪犯罪構成。

2.犯罪構成

(1)基本犯罪構成

①犯罪主體

本罪的主體可以是個人,也可以是單位。犯本罪的個人是一般主體,指年滿16周歲有刑事責任能力的自然人;犯本罪的單位法律未作規定,即任何單位均可構成。

②犯罪主觀方面

本罪在主觀方面表現為故意,即明知是淫穢物品而在網上予以制作、復制、販賣、傳播,并且必須以牟利為目的。至于是否獲利或獲利多少,不影響本罪的成立。

③犯罪客體

本罪侵犯的客體是國家對文化市場的管理秩序、網絡內容的管理和社會善良的道德風尚。本罪的犯罪對象是淫穢物品。所謂淫穢物品,是指具體描繪性行為或者露骨宣揚色情的淫穢性的書刊、影片、錄像帶、錄音帶、圖片以及以上數字形式存在的物品。

④犯罪客觀方面

本罪在客觀方面表現為制作、復制、販賣、傳播淫穢物品四種行為,行為人只要實施其中一種行為,便可構成犯罪。所謂制作,是指利用計算機網絡、網絡技術,編寫網頁,將淫穢的文字、圖片、動畫等與其鏈接的行為。所謂復制,是指通過翻印、復印、復錄等方式對已有的淫穢物品進行仿造的行為。所謂販賣,是指通過網絡批發、零售、倒賣、銷售淫穢物品的行為。所謂傳播,是指網絡播放、郵寄等網絡傳輸等方式,致使淫穢物品流傳擴散的行為。

(2)重罪的犯罪構成

本罪的重罪,是指罪行在符合基本罪的構成要件的基礎上,情節嚴重的行為。所謂情節嚴重,根據最高人民法院《關于審理非法出版物刑事案件具體應用法律若干問題的解釋》

第8條第2款規定,是指下列情形之一:①制作、復制、出版淫穢影碟、軟件、錄像帶250~500張(盒)以上,淫穢音碟、錄音帶500~1000張(盒)以上,淫穢撲克、書刊、畫冊500~1000副(冊)以上。淫穢照片、畫片2500~5000以上的;②販賣淫穢影碟、軟件、錄像帶500~1000張(盒)以上,淫穢音碟、錄音帶1000~2000張(盒)以上,淫穢撲克、書刊、畫冊1000~2000副(冊)以上,淫穢照片、畫片5000~100000張以上的;③向他人傳播淫穢物品達1000~2000人次以上或者組織播放淫穢影像達50~100場次以上的;④制作、復制出版、販賣、傳播淫穢物品,獲利3000~5000元以上的。

極重罪,是指罪行在符合基本罪的構成要件的基礎上,情節特別嚴重的行為。所謂情節特別嚴重,根據上述司法解釋第8條第3款規定,是指制作、復制、出版、販賣、傳播淫穢物品的犯罪數量(數額),達到成立重罪的犯罪數量(數額)的5倍以上。

3.定罪量刑及刑罰適用

(1)區分罪與非罪的界限

主觀上是否以營利為目的,如果只是家庭自己觀賞一般不能認定為犯罪。另外要注意到“情節顯著輕微,危害不大的”也不能認定為本罪。

(2)刑法適用

根據《刑法》第287條、第363條、第366條規定,以營利為目的,個人利用網絡、計算機網絡技術制作、復制、販賣、傳播淫穢物品構成基本罪的,處3年以下有期徒刑,并處罰金;犯極重罪的,處10年以上有期徒刑或者無期徒刑,并處罰金或者沒收財產。單位利用計算機網絡犯本罪的,對單位判處罰金,并對直接負責的主管人員和其他責任人員,依照個人犯本罪的規定處罰。

根據《刑法》第287條、第364條第1款、第366條規定,個人利用計算機網絡犯傳播淫穢物品罪的,處2年以下有期徒刑、拘役或者管制;單位利用計算機網絡犯本罪的,對單位判處罰金,并對直接負責的主管人員和其他責任人員,依照個人犯本罪的規定處罰。

4.3.11 利用網絡實施傳授犯罪方法罪

1.概念和方法

(1)概念

利用網絡傳授犯罪方法罪,是指通過網絡,故意用語言、文字或者其他方法向他人傳授犯罪方法的行為,此罪是指利用網絡提供犯罪方法的行為。此種犯罪與我國現行刑法規定的傳授犯罪方法罪具有兩個明顯的不同特點:一是網上傳播計算機網絡犯罪方法罪不僅傳授網上犯罪方法,還提供網上犯罪的工具。二是網上傳播計算機網絡犯罪方法罪傳授的對象是不特定的多數人,一般沒有特定的傳播對象。網上傳播計算機網絡犯罪方法的嚴重危害性,是難以想象的。任何人只要在網上搜索中鍵入“黑客”即可發現大量的中外文黑客教材、黑客工具和使用說明書等。難怪有專家驚呼,對此類犯罪如不加以有力遏制,網絡犯罪的平民化,勢必將在新的時代愈演愈烈,導致網絡犯罪總量的更大攀升。

(2)具體方法

利用計算機網絡傳播犯罪方法的手段至少有以下幾種:①在網絡中的電子公告欄上,刊發闡述和講解某種或某些犯罪方法的文字、圖像,提供被害人網址和侵入口令、秘密等,向不特定的網絡用戶傳授犯罪方法;②設立文件下載網絡站點,提供犯罪方法的文字、圖像或用于非法侵入計算機網絡信息系統的“黑客”工具軟件等,這類網絡站點在國際網絡上大量存在,僅次于兒童淫穢圖片站點;③建立專門的網絡站點,制作犯罪方法教學軟件,討論和傳授犯罪方法,建立發送服務器,定時給他人發送有關犯罪方法的資料;④通過電子郵件,給他人傳遞有關犯罪方法的信件;⑤制作、傳遞傳授犯罪方法的光盤、磁盤等,使接受人利用計算機網絡等信息處理工具學習犯罪方法。

2.犯罪構成

(1)基本罪的犯罪構成

①犯罪主體

本罪的主體是一般主體,即年滿16周歲具有刑事責任能力的自然人。他們一般具有相當高的計算機網絡專業知識和操作技能,往往還是慣犯,前科累累。實踐中往往是那些主觀惡性較大的慣犯和累犯。

②主觀方面

本罪在主觀方面表現為故意,即行為人明知是實施某種或某些犯罪的方法而有意向他人傳授,希望或放任他人利用所傳授的犯罪方法去實施犯罪的心理態度。如果不具有這種心理態度,就不能認為是犯罪。比如,教他人在鑰匙丟失時怎么打開自己的鎖,行為人的心理態度是顯然不同的。行為人的犯罪動機可能有多種,但犯罪動機不影響本罪的認定。

③犯罪客體

本罪侵犯的直接客體是社會管理秩序。本罪的行為對象有二:(1)所傳授的必須是用以實施犯罪的方法,如果所傳授的不是犯罪方法當然不構成本罪;(2)被傳授的對象是他人,即可以是自然人,也可以是單位。

④犯罪客觀方面

本罪在客觀方面表現為向他人傳授犯罪方法。傳授犯罪方法的內容是有關犯罪的各種方式、步驟、技能、經驗和反偵查手段等;在網絡上傳授的方式一般表現為用語言、文字、圖像等形式;既可以采用公開的形式傳授,也可以采用秘密的形式傳授;可以是傳授一種犯罪方法,也可以傳授多種犯罪方法。本罪是行為犯,只要行為人實施了傳授犯罪方法的行為,就構成本罪。傳授犯罪方法的行為對象是其他人,至于被傳授犯罪方法的他人是否具有刑事責任能力,是否是特定的自然人,不影響本罪的成立。

(2)重罪和最重罪的構成要件

本罪的重罪構成要件,是指罪行在符合基本罪構成要件的基礎上,情節嚴重的行為。 本罪的最重罪構成要件,是指罪行在符合基本罪構成要件的基礎上,情節特別嚴重的行為。

3.定罪量刑及刑罰適用

(1)要嚴格區分罪與非罪的界限

確認是否利用計算機網絡實施傳授犯罪方法罪,關鍵是要注意行為人向他人傳授的是否犯罪方法,有無希望或放任他人利用所傳授的犯罪方法去實施犯罪的心理。所傳授的是否犯罪方法,還要受行為人有無希望或放任他人利用該方法去實施犯罪的心理態度所制約。如果行為人沒有這種心理態度,或者只希望或放任被傳授人去作一般違法行為,都不能認為是犯罪。

(2)關于在網絡上公開破壞程序的問題

目前在網絡上,有不少是攻擊計算機網絡系統的“黑客”工具程序,這些工具程序可以被他人利用于非法侵入或者惡意破壞計算機網絡信息系統,從而實際上起到了使他人掌握犯罪方法的作用。如果行為人公開的破壞性計算機網絡程序有較大的社會危害性,或者該程序極易被改造成破壞性較大的計算機網絡程序,行為人對這種情況有明確認識,而且希望或放任他人接受該程序并利用其進行犯罪的,則構成本罪,否則不能認為是犯罪。

(3)關于建立網絡站點連接,傳播他人犯罪方法的問題

行為人在自己或者他人的網站上,通過一定的技術,故意建立鏈接,在網絡站點之間建立連接關系,只要用鼠標點擊鏈接,就能夠將一定站點上的犯罪方法信息傳輸給其他站點用戶。如果建立鏈接,故意將他人貯存的犯罪方法信息傳輸給不特定的第三人,即構成本罪。

(4)刑罰適用

根據我國《刑法》第287條和第295條規定,利用計算機網絡犯本罪基本罪的,處5年以下有期徒刑、拘役或者管制;犯重罪的,處5年以上有期徒刑;犯極重罪的,處無期徒刑或者死刑。依據我國《刑法》第287條、第295條規定:“傳授犯罪方法的,處5年以下有期徒刑、拘役或者管制;情節嚴重的,處5年以上有期徒刑;情節特別嚴重的,處無期徒刑或者死刑?!?/p>

網絡犯罪及案例分析(教材) 86_網絡犯罪案例

第五章 網絡犯罪的偵查和認定

5.1網絡犯罪的發現

網絡犯罪是指行為人利用網絡專業知識,以計算機為工具對存在于網絡空間里的信息進行侵犯的嚴重危害社會的行為?!熬W絡犯罪是信息時代的產物。無論是國外還是國內,在信息技術突飛猛進,信息產業蓬勃發展的同時,網絡空間的計算機犯罪案件每年都以幾倍甚至十幾倍的速度增長,其所造成的損害遠遠大于現實空間的犯罪......”。網絡犯罪具有極強的跨國性、專業化程度高、隱蔽性強、取證困難,而且犯罪主體年輕化,犯罪分子常常連續作案,造成的社會危害后果十分嚴重。從總體上說,偵查網絡犯罪一方面應借鑒偵查傳統犯罪的方法,另一方面應針對網絡犯罪的特點尋找切實可行的對策。

網絡犯罪跨越物理與虛擬兩大空間。網絡犯罪與發生在物理空間里的犯罪相比有其自身的特點,其突出特點之一便是犯罪行為難以發現及被害人不愿舉報,這一特點決定了要發現網絡犯罪是相當困難的。鑒于此,有必要探尋獲取網絡犯罪案源的方法,無案源,偵查工作也就無從談起。

獲取網絡犯罪案源,除了采用傳統的發現案源線索的方法外,還可以采用以下一些方法:

1.建立網絡監控系統

從各個要素入手,建立一個完善的獲取犯罪信息的網絡系統,通過此系統搜集案源線索。首先,從組織要素考慮,組建反網絡犯罪機構,如目前成立的網絡監察隊伍。其次,從意識要素入手,建立相應的規章制度。第三,為系統的順利運行提供必要的物質保障。第四,在滿足有關要素的基礎上,使系統運行起來,通過該系統搜集與網絡犯罪有關的線索。如,國際刑警組織與美國的atom tangerine公司合作,建立反計算機犯罪情報網絡,該網絡可以收集計算機及網上犯罪活動的情報,特別是犯罪分子即將攻擊的目標和他們可能使用的手段。我國可以參照國際刑警組織的做法,在國內建立同樣的網絡系統。

2.建立嚴格審查制度

第一,建立嚴格審查制度,監控國家事務、國防建設和尖端科學技術領域的計算機信息系統機房是否有可疑人員闖入;第二,建立嚴格審查制度,監控系統管理員、程序員及操作員是否有超越本職責的越權使用計算機行為;第三, 建立嚴格審查制度,保證系統管理員,程序員及操作員是否嚴格按照制度,保證網絡安全及嚴格遵守保密制度。

3.監控網絡系統是否正常運行

第一,監控計算機信息系統出現嚴重故障,不能正常運行時,及時報告網絡監控管理人員;第二,監控計算機存儲的信息非正常丟失、更改等。

4.成立互聯網欺詐投訴中心發現案件

即針對網絡欺詐日益突出之狀況,成立專門的互聯網欺詐投訴中心,建立消費者投訴數據庫,通過投訴發現線索。這與物理空間里的投訴活動一樣,所不同的只是網絡犯罪中的欺詐舉報可通過網絡投訴的形式進行,相關的接報主體可建設消費者投訴數據庫,以便盡可能多地獲取有關情況。如美國聯邦貿易委員會建立的“消費者哨兵”投訴數據庫,在1999年就收到18600條互聯網欺詐投訴。2000年5月,美國司法部和聯邦調查局還共同創建了一個專門監督互聯網欺詐行為的網站 http://www.ifccfbi.gov,消費者和商業企業可以利用這個網站進行投訴,報告他們受到的網絡欺詐。近年來,網上購物人數和金額與日俱增,有觀察家預言,網上年消費額將從1999年的150億美元猛升至2003年的780億美元。面對這一局勢,建立“消費者哨兵”將成為越來越重要的發現網絡欺詐犯罪活動的手段。

5.2網絡犯罪的立案

網絡犯罪案件是一類刑事案件,因而在程序上必須遵守《刑事訴訟法》關于一般刑事案件偵查的程序規定。但由于其內在的特殊性,每個程序階段都有注意事項。

5.2.1 網絡犯罪的受案

1.公民報案

根據《刑事訴訟法》第84條規定,任何單位和個人發現有犯罪事實或者犯罪嫌疑人的,有權利也有義務向公安機關、人民檢察院或者人民法院報案或者群報。被害人對侵犯其人身、財產權利的犯罪事實或者犯罪嫌疑人,有權向公安機關、人民檢察院或者人民法院報案或者控告。公安機關、人民檢察院或者人民法院對于報案、控告、舉報,都應當接收。對于不屬于自己管轄的,應當移送主管機關處理,并且通知報案人、控告人和舉報人;對于不屬于自己管轄而又必須采取緊急措施的,應當先采取緊急措施,然后移送主管機關。

接到公民報案后,公安機關必須認真對待,立即受理,問明情況,制作筆錄,不得以任何理由對報案人推諉敷衍。同時,必須填寫統一印制的《報案登記表》(一式三聯),并將其中的《報警回執》聯交報案人。報案人或事主憑《報警回執》可隨時向接警單位查詢案件辦理情況。對確定不屬于受理單位管轄的報案,受理的公安機關應將有關報案材料移送至有管轄權的機關,并通知報案人或受害人。如遇緊急情況,受理的公安機關應當及時采取緊急措施,妥善處理。報案人如果不愿公開自己姓名或報案行為的,公安機關應當為其保密。如有需要,應當保障報案人及其親屬的安全。

受理公民報網絡犯罪案件時,應當注意以下幾點:

(1)最好讓懂網絡技術,并掌握相關專業知識的民警受理,便于及時問明情況。

(2)在受理后盡可能請教相關專家,從技術上弄懂各個環節,從技術上進行先期甄別。

(3)盡可能組織初查,盡快做出是否立案的決定。計算機犯罪案件往往很難在短時間內判明案情,影響及時立案,但如果不及時立案,就不能采取偵查措施,可能貽誤戰機。因此,盡可能組織有關人員進行初查。

2.平時工作中發現犯罪線索

《刑事訴訟法》第83條規定:“公安機關或者人民檢察院發現犯罪事實或者犯罪嫌疑人,應當按照管轄范圍,立案偵查?!?/p>

5.2.2 網絡犯罪的立案

公安機關,檢察機關及其他有權受理報案的司法機關接報后,經審查,認為有犯罪事實發生,依法需要追究刑事責任,屬于案件管轄范圍的,經縣級以上司法機關(地級市公安分局以上)負責人批準,予以立案。依法不追究刑事責任的,經縣級以上司法機關(地級市公安分局以上)負責人批準,不予立案,并制作《不予立案通知書》,在7日內送達報案人。報案人對公安機關不立案決定不服的,可向原決定的公安機關申請復議,或向同級人民檢察院提出異議。對于人民檢察院認為不立案理由不能成立的,公安機關在接到人民檢察院要求立案的通知后,應及時立案。立案階段有兩種情況:第一種情況是公安機關自己認為有犯罪事實存在的,決定立案;第二種情況是人民檢察院責成公安機關立案。不論哪一種的情況都有前提即“認為有犯罪事實發生”。

5.3網絡犯罪的取證

根據我國《刑事訴訟法》第42條第2款規定的10種證據:物證、書證、證人證言、被害人陳述、犯罪嫌疑人、被告人供述和辯解、鑒定結論、勘驗、檢查筆錄、視聽資料。因此,

在網絡犯罪中,網絡犯罪現場與電子證據檢查,確?,F場勘驗檢查的質量就顯得尤為重要。

證據的內容和特點在各種犯罪中都是一樣的,比較能夠反映出網絡犯罪特點的是物證、鑒定結論和勘驗、檢查筆錄。從某種意義上來說,物證、鑒定結論和勘驗、檢查筆錄是證明網絡犯罪事實發生及犯罪嫌疑人的關鍵性證據。在刑事訴訟中規定收集證據是公安、司法人員為查明案件事實真相,依照法定程序調查、發現、取得和保存一切與案件有關的情況和材料的活動。法律賦予公安、司法機關進行勘驗、檢查、搜查、扣押等各項專門調查工作和采取拘留、逮捕等強制措施的廣泛權利,是收集證據的保障。

5.3.1 網絡犯罪證據的提取

網絡犯罪證據大部分表現形式是電子證據,因此,網絡犯罪的取證其實主要是針對電子證據的取證。

電子證據的取證規則、取證方式都有別于傳統證據,傳統的證據收集手段、認證都不能完全照搬使用。因為網絡犯罪中證據的提取、固定有一定難度。盡管如此,還是可以針對案件的具體情況。利用電子證據自身的特點進行取證,為案件的偵破提供幫助。

1.電子證據的一般取證方式

一般取證:是指電子證據在未經偽飾、修改、破壞等情形下進行的取證。主要的方式有:

(1)打印。對網絡犯罪案件在文字內容上有證明意義的情況下,可以采取直接將有關內容打印在紙張上的方式進行取證。打印后,可以按照提取書證的方法,予以保存,固定,并注明打印的時間、數據信息在計算機中的位置(如存放的路徑)、取證人員等。如果是普通操作人員進行的打印,應當采取措施監督打印過程,防止操作人員實施修改、刪除等操作行為。

(2)拷貝。這是將計算機文件拷貝到軟盤、活動硬盤或光盤中的方式。首先,取證人員應當檢驗所準備的軟盤、活動硬盤或光盤.確認沒有病毒感染??截愔?,應當及時檢查拷貝的質量,防止保存方式不當等原因而導致的拷貝不成功或感染有病毒等。取證后,注明提取的時間并封閉取回。

(3)拍照、攝像。如果該證據具有視聽資料的證據意義可以采用拍照、攝像的方法進行證據的提取和固定,以便全面、充分地反映證據的證明作用。同時對取證全程進行拍照、攝像,還具有增加證明力,防止翻供的作用。

(4)制作司法文書。一般包括檢查筆錄和鑒定。檢查筆錄是指對于取證證據種類、方式、過程、內容等在取證中的全部情況進行的記錄。鑒定是專業人員就取證中的專門問題進行的認定,也是一種固定證據的方式。使用司法文書的方式可以通過權威部門對特定事實進行認定,作為證據具有專門性、特定性的特點,具有較高的證明力。主要適用于對具有網絡特色的證據的提?。喝鐢底趾灻?、電子商務等。目前,在我國專門從事這種網絡業務認證的中介機構尚不完善。

(5)查封、扣押。對于涉及案件的證據材料、物件。為了防止有關當事人進行損毀、破壞,可以采取查封、扣押的方式,將有關材料置于司法機關保管之下??梢詫νㄟ^上述幾種方式導出的證據進行查封、扣押,也可以對于一些已經加密的證據進行查封、扣押。如在侵犯商業秘密的案件查辦中,公安機關依法查封、扣押了辦公用具及商業資料,將硬盤從機箱里拆出,在筆錄上注明“扣押X品牌X型讀寫硬盤一塊”。由于措施得當,證據提取及時,既有效地證實了犯罪,也防止了商業秘密的泄露。對于已經加密的數據文件進行查封、扣押,往往需要將整個存儲器從機器中拆卸出來并聘請專門人員對數據進行還原處理。這種情況下進行的查封、扣押措施必須相當審慎,以免對原用戶或其他合法客戶的正常工作造成侵害。一旦硬件損壞或誤操作導致數據不能讀取或數據毀壞,其帶來的損失將是不可估量的。

2.電子證據的復雜取證方式

復雜取證:是指需要專業技術人員協助進行的電子證據的收集和固定活動。多使用用于電子證據不能順利獲取,如被加密或是被人為地刪改、破壞的情況以及對于計算機病毒、黑客的襲擾等這種情況下常用的取證方式,主要包括:

(1)解密所需要的證據已經被行為人設置了密碼,隱藏在文件中時,就需要對密碼進行解譯。在找到相應的密碼文件后,請專業人員選用相應的解除密碼口令軟件,如用Word軟件制作的密碼文件,選用Word軟件解譯解密后,對案件有價值的文件,即可進行一般取證。在解密的過程中,必要的話,可以采取錄像的方式,同時應當將被解密文件備份,以防止因解密中的操作使文件丟失或因病毒損壞。如在辦理一起某國際投資公司的職務犯罪案件中,偵查人員在搜查辦公室時發現,其使用辦公桌的抽屜和文件櫥內有11張微機軟盤,懷疑盤內存有其犯罪的重要證據,取回后立即送技術科進行檢驗,技術人員按要求進行了詳細檢驗,無病毒,并查清了這張軟盤中用Word軟件所制作的文件已加入了密碼。即針對所用軟件采用了advanced Word 97 Password Recovery 1. 23軟件成功破譯了密碼。利用其中的密碼,解出了108份文件,從而掌握了其犯罪的重要書證,擴大了辦案線索,使案件深入發展。

(2)恢復。大多數計算機系統都有自動生成備份數據和恢復數據的功能,有些重要的數據庫安全系統還會為數據庫準備專門的備份。這些系統一般是由專門的設備、專門的操作系統組成,一般是較難篡改的。因此,當發生了網絡犯罪,其中有關證據已經被修改、破壞的,可以通過對自動備份數據和已經被處理過的數據證據進行比較、恢復,獲取定案所需證據。如1997年7月底,重慶市某農業大學學生處計算機辦公網遭到破壞,直接影響到8月份即將開始的招生工作。偵查人員在接到報案后,及時進行了現場保護。從網絡的5號無盤站上得到了一個破壞程序正對系統進行的破壞過程。這一破壞程序的運行痕跡是由于犯罪人疏忽沒能把自身刪掉而遺留的。偵查人員通過這個線索找到了源程序,破獲了全案。如果數據連同備份都被改變或刪除,可以在系統所有者的協助下通過計算機系統組織數據的鏈指針進入小塊磁盤空間。從中發現數據備份或修改后的剩余數據進行比較分析、恢復部分或全部的數據。另外,也可以使用一些專業的恢復性軟件。如Recxmer98、Recover NT EXPD等。

(3)測試。電子證據內容涉及電算化資料的,應當由司法會計專家對提取的資料進行現場驗證。驗證中如發現可能與軟件設計或軟件使用有關的問題時,應當由司法會計專家現場對電算化軟件進行數據測試(偵查實驗),主要是使用事先制作的測試文件,經測試確認軟件有問題時,則由計算機專家對軟件進行檢查或提取固定。

5.3.2 網絡犯罪證據的扣押、保全

1.網絡犯罪證據的固定、復制與保全方法

網絡犯罪證據有一定的特殊性,對于將可擦寫的原始軟件、查獲的媒體作為證據的,為了保證其證據的不變性,應當在現場對所有原始軟件、查獲的媒體采取寫保護措施,并由現場見證人、當事人簽名(蓋章),捺指印。如在利用網絡進行色情傳播的犯罪中,網絡犯罪證據就是硬盤上的黃色影片,AVI或RM格式的文件就是一種網絡犯罪證據,可以按照這種方式、方法進行證據的扣押。

所有有用的證據都應及時固定,按照有關規定要求拍攝現場全過程的照片、錄像,制作《現場勘查筆錄》及現場圖,并記錄現場照相、錄像的內容、數量以及現場圖的種類和數量。

對一些網絡犯罪證據進行文書化,打印后標明提取時間、地點、工具、提取人、見證人。在網絡犯罪證據文書化后,在文書材料右上角加蓋印章并逐項填寫。如在某些特定的計算機案件中。如網絡遭受黑客攻擊,應收集的證據包括:系統登錄文件、應用登錄文件、AAA登錄文件(比如RADIUS登錄)、網絡單元登錄(Network Element logs)、防火墻登錄、RIDS事件、磁盤驅動器、文件備份、電話記錄等等。收集證據時要注意:在移動或拆卸任

何設備之前都要拍照。在信息收集中要至少有兩人,以防止篡改信息。應記錄所采取的所有步驟以及對配置設置的任何改變,要把這些記錄保存在安全的地方。也可以通過采用相關的設備或設置陷阱跟蹤捕捉犯罪嫌疑人。

網絡犯罪證據的備份一般應當將存儲介質中的內容按其物理存放格式(如主扇區、包括壞扇區)進行備份。作為證據使用的電子證據存儲介質,應記明案由、對象、內容、錄取、復制的時間、地點、規格和類別。

要妥善保管存儲網絡犯罪數據證據的介質,遠離高磁場、高溫環境,避免靜電、潮濕、灰塵、擠壓和試劑的腐蝕。使用紙袋裝計算機元件或精密設備,不能使用塑料袋,防止靜電和消磁。證據要集中保存,以備隨時重組、試驗或展示。

2.網絡犯罪證據固定與保全的一般原則

根據網絡犯罪證據的特點,對于搜查、扣押單位和個人提供的可以證明犯罪嫌疑人有罪或無罪的網絡犯罪證據,保管這些網絡犯罪證據的載體時應當遵循:

多備份原則,即對于網絡犯罪證據的媒體起碼要制作兩個副本,以備在原始數據遭到破壞的時候可以繼續案件的偵查分析。

環境安全原則,差錯或人為的故意都可能使網絡犯罪證據的真實性發生變化。例如,靜電、磁場、高溫、高濕、灰塵等不符合計算機證據媒體保管物理要求的環境都可能使媒體的物理性質發生改變。

嚴格管理過程原則,媒體的移交、保管、開封、拆卸的過程必須由偵查人員和保管人員共同完成。對于移動媒體包裝的封印、必須每個環節都檢查封印的真實性和完整性,并制作詳細的筆錄,由行為人共同簽名。

責任原則,保管人員有義務真實可靠地保管好證據并按司法機關的要求提交證據。如果違反保管義務,將受到相應的法律制裁。保管人有義務在法庭上就證據保管作證并提供筆錄,以協助法庭判斷保管過程的真實性。

5.3.3 網絡犯罪證據的審查

網絡犯罪證據的審查判斷,是司法人員對于收集的證據進行分析,研究和鑒別,找出它們與案件事實之間的客觀聯系,找出證據材料的證明力,從而對案件事實做出正確認定的一種活動。

在刑事訴訟中,需要對各種鑒定結論進行全面的審查,包括其科學可靠性、合法性和證明價值。應當根據案件的具體情況,審查證據的合法性:

違反法定程序收集的證據,其虛假的可能性比合法收集證據的要大得多。因此,在審查判斷網絡犯罪證據時,要了解證據是以什么方法、在什么情況下取得的,證據是否符合法定程序和要求,是否有影響證據效力的其他違法情形。

應當根據案件的具體情況,從以下方面審查證據的真實性:證據形成的原因;發現證據時的客觀環境;證據是否為原件、原物;復制件、復制品與原件、原物是否相符;提供證據人與當事人是否具有利害關系;影響證據真實性的其他因素。

考慮到電子證據一旦被篡改、偽造,將難以被識破,難以回復,所以運用電子數據證據定案,在證據采信過程中,主要體現在:第一,證據的來源必須是客觀存在的,排除臆造出來的可能性;第二,確定證據來源的真實可靠性,根據電子證據形成時間、地點、對象、制作人、制作過程及設備情況,明確電子數據證據所反映的是否真實可靠,有無偽造和刪改的可能。

在查驗電子證據的證據效力時,應結合電子文件的特點,考慮:

電子證據有無誤操作、人為改動與刪除;有無計算機通信網絡出現故障、存儲設備的差錯;

網絡犯罪及案例分析(教材) 86_網絡犯罪案例

電子證據生成、儲存、傳輸和發送人身份確定的旁證材料;

電子證據之間、電子證據與傳統證據之間、單個證據與全案證據之間有無矛盾、是否吻合,差異點能否得到合理的解釋;

電子證據的來源,如網絡銀行出具的支付、結算憑據,EDI中心提供的提單簽發、ISP登錄、存儲、傳輸記錄,CA認證中心提供的認證或公證書等的可靠性。

對鑒定結論,有下列情形之一的,證據不采納:鑒定人不具備鑒定資格;鑒定程序嚴重違法;鑒定結論錯誤、不明確或者內容不完整。

對委托或者指定的鑒定部門出具的鑒定書,應當審查是否具有:鑒定的內容;鑒定時提交的相關材料;鑒定的依據和使用的科學技術手段,鑒定的過程;明確的鑒定結論;鑒定部門和鑒定人鑒定資格的說明;鑒定人及鑒定部門簽名蓋章。

審查電子數據證據與事實的聯系:查明電子數據證據反映的事件和行為同案件事實有無關系。只有與案件相關的事實或邏輯上是相關的事實才能被認為是證據。電子證據之間,電子數據證據和其他證據之間有無矛盾,是否吻合,差異點能否得到合理解釋。電子數據證據本身的技術含量及加密條件、加密方法。判斷電子數據證據是否真實、有無剪裁、拼湊、偽造、篡改等,對于自相矛盾、內容前后不一致或不符合情理的電子數據證據,應謹慎審查。

根據唯一性的原則結合其他證據進行審查判斷:多個連續的電子數據證據經過時間空間上的排列、組合之后,應同網絡犯罪行為的發生、發展過程和結果一致,形成一個完整的證明體系,相互印證。審查有無電子數據證據所反映的事實,同有關書證、物證、證人證言是否相吻合,是否有矛盾。如果與其他證據能一致,共同指向同一事實,就可以認定其效力,可以作為定案依據,反之則不能作為定案依據。

5.4網絡犯罪的偵查

網絡犯罪的偵查是網絡犯罪案件破獲的關鍵,現就幾種典型案件的偵查做出偵查分析。

5.4.1 操作系統案件WINDOWS系統偵查

1.在線偵查

對于正在運行的計算機信息系統,正常關閉計算機或斷開電源會導致系統緩存內容、臨時文件等數據丟失,網絡連接狀態和正在進行的會話內容也因此無法獲取。此外,犯罪嫌疑人也可能會在系統中安裝木馬程序,在系統重新啟動時刪除犯罪痕跡。為此,偵查人員在調查Windows系統時,需要根據具體情況判斷是否斷開電源、關閉計算機。當調查正在進行的犯罪行為時,需要對處于運行狀態的計算機進行在線調查。這就要求偵查人員必須具備在現場響應期間提取出所有需要的證據并進行復制的能力。

(1)獲取系統日志

幾乎Windows系統中的每一項事務都可以在一定程度上被審計,偵查人員通過檢查Windows操作系統維護的各種日志可以獲得以下信息:確定計算機在某一時間段內被使用和登錄系統的用戶;跟蹤登錄者對特定應用程序的使用;跟蹤審核策略的變更,看是否有防御性的策略改變;跟蹤用戶權限 (如非法提高的訪問權限)的變化,以及用戶和組的變更。

在Windows系統中應用程序、系統和安全日志(EVENTLOG),以及Internet服務的日志(LOG)文件一般存于默認位置\Windows\system32\Log-Files目錄下,其他應用程序(如防火墻、入侵檢測系統)的服務有它們自己的目錄,并且一般都把目錄放在其自己的程序目錄下。這樣,偵查人員需要建立一個完整的偵查計劃來查看日志文件。偵查人員必須仔細瀏覽和分析這些日志,以識別它們是否包含證據內容。

Windows使用一種特殊的格式來存放它的日志文件,這種格式的文件可以被事件查看器(Event Viewer)讀取。計算機管理員可以使用事件查看器的Filter選項根據一定條件選擇要

查看的日志條目,查看條件包括類別、用戶和消息類型。下圖顯示了通過事件查看器顯示的應用程序界面。

圖5-1 通過Event Viewer查看應用程序的界面

每一個事件ID代表一個指定類型的系統事件,計算機犯罪的相應活動會激發相應的事件ID。表5—1為部分安全日志事件ID。更詳細的事件ID可登錄微軟網站進行查詢。

表5-1 部分安全日志事件ID

ID

316

517

528

529

531

538

576

578

595

(2)查看注冊表

Windows操作系統使用注冊表存儲硬件、軟件和組件的信息??梢园炎员砜闯梢粋€日志文件,它包含很多對偵查人員來說有用的信息。注冊表可以顯示出過去安裝的軟件、機器的安全配置、DLL木馬和啟動程序以及很多不同的應用程序最近使用的文件。通過

Windows目錄下的regedit.exe程序可以存取注冊表數據庫。圖5—2給出了利用注冊表編輯器檢查注冊表。

功能功能 某些審核時間記錄被刪除審核日志被清除權限策略的改變 新的信任域 成功的登錄審核策略的改變 失敗的登錄添加新的賬號 失敗的登錄、鎖定賬號權限的分配和使用啟用新的賬號 帳號組的改變 成功的注銷刪除的用戶賬號 特權服務的使用用戶賬號的改變 間接訪問對象域策略的改變

圖5-2 注冊表編輯器

注冊表包含五個根鍵(也稱為hives:HKEY—CLASSE—ROOT、HKEY—

CURRENT_USER、HKEY、LOCAL—MACINE、HKEY—USERS、HKEY—CUR—RENT—CONFIG。這五個配置單元由系統中的四個主要文件生成:SAM、SECURITY、SOFTWARE和SYSTEM。在注冊表中,所有的數據都是通過一種樹狀結構以鍵和子鍵的方式組織起來,十分類似于目錄結構。每個鍵都包含了一組特定的信息,每個鍵的鍵名都是和它所包含的信息相關的。

①HKEY—CLASSES—ROOT根鍵存儲文件關聯和COM(Component Object Model)對象注冊信息,由此,Windows系統根據安裝的應用程序和擴展名相關聯。

②HKEY—CURRENT-EUSER根鍵包含本地工作站中存放的當前登錄的用戶信息,包括用戶登錄用戶名和暫存的密碼(注:此密碼在輸入時是隱藏的)。用戶登錄Windows時,其信息從HKEY—USERS中相應的項拷貝到HKEY—CURRENT—USER中。

③HKEY—LOCAL—MACHINE根鍵存放本地計算機系統相關配置信息,此根鍵下的子關鍵字包括在system.dat中。該根鍵中的許多子鍵與System.ini文件中設置項類似。

④HKEY—USERS根鍵保存了存放在本地計算機口令列表中的用戶標識和密碼列表。每個用戶的預配置信息都存儲在}HKEY—USERS的根鍵中。HKEY—USERS是遠程計算機中訪問的根鍵之一。

⑤HKEY—CURRENT—CONFIG根鍵存放著定義當前用戶桌面配置(如顯示器等)的數據,最后使用的文檔列表和其他有關當前用戶的Windows系統的安裝信息。

⑥HKEY—DYN—DATA根鍵存放了系統在運行時的動態數據,此數據在每次顯示時都是變化的,因此,此根鍵下的信息沒有放在注冊表中。

Windows的注冊表文件存放位置:%system%\system32\config,該目錄下擴展名為log或sav的文件中包含的是歷史信息,可以通過時間瀏覽器來查看。例如sav文件是在最近一次系統正常引導過程中保存的,而log文件則記錄了注冊表審核功能啟用過程中對注冊表所進行的修改。當一個用戶準備運行一個應用程序時,注冊表提供應用程序信息給操作系統。注冊表保存關于缺省數據和輔助文件的位置信息、菜單、按鈕條、窗口狀態和其他可選項。它同樣也保存了安裝信息(如日期)、安裝軟件的用戶、軟件版本號和日期、序列號等。

根據安裝軟件的不同,它包括的信息也不同。偵查人員對于重要注冊表數據的現場恢復,仔細地進行檢查,可以找到犯罪嫌疑人犯罪活動的蛛絲馬跡。

(3)獲取文件的修改、創建和訪問時間

獲取目標系統上的所有文件的大小以及訪問、修改和創建的時間是偵查人員現場勘查的重要步驟。如果偵查人員能鑒別出計算機犯罪案件發生的時間范圍,則時間/日期戳就變成了那個文件被攻擊者接觸、上傳、下載和執行的證據。

Windows系統中可以使用dir命令參數按照文件的修改、創建和訪問時間控制顯示。例如,dir c:/t:w/a/S/o:d。命令參數控制C驅動器上所有修改時間的遞歸目錄列表顯示,其中,參數-W是修改時間,若為-C則指創建時間,-A指上次訪問時間。

(4)獲得系統密碼

針對所有的計算機犯罪案件調查時,偵查人員都需要在現場訪問時獲得系統管理員的賬號和密碼,在有不合作的用戶時更是如此。如果對操作系統進行磁盤鏡像復制,可能需要系統密碼來啟動系統后才能進入原有Windows2000/XP操作系統。首先需要使用類似pw dump的工具從SAM數據庫中轉儲密碼。然后在離線的鑒定分析工作站上使用John the Ripper、LOphtcrack或其他Windows密碼破解工具進行破解。

(5)轉儲系統RAM

在Windows系統中,有兩種轉儲內存中的內容的方法:通過GUI或通過編輯注冊表。如果選擇了編輯注冊表,必須以當前所有的文件系統為基礎 (FAT或NTFS)。除非能使用遠程系統上的網絡驅動器,內存轉儲過程才能在目標硬盤驅動器上創建了一個文件。不管采用哪種方法,都需要重新啟動系統。

(6)證據介質復制

在任何案件的偵查過程中都必須遵循所有的證據規則,這就要求偵查人員在搜索系統時保護原始數據,確保證據的有效性不被破壞。為此,通常情況下,對證據介質復制需要進行完整復制,后繼工作中使用從復制映象中恢復的備份進行深人分析。

在不同的情況下,可以采取以下三種方法來復制證據介質:

①利用磁盤鏡像工具對證據介質進行復制。這是使用最廣泛的一種方法,即偵查人員可以攜帶一個專用的取證工具箱,其中具有可移動的驅動器機架和許多用于現場復制的存儲空間。通過將存儲介質從可疑計算機上移走并連接到取證工具箱上,使用Safeback、Unix的dd命令或EnCase分別建立映象。

②通過添加一個硬盤驅動器的方法創建映像。這種建立映像的方法是向目標計算機中添加一個硬盤驅動器,與第一種方法一樣,其應用也很廣泛。這兩種方法的過程實質上是相同的。但這種方法是使用可疑系統作為建立映像的平臺,有可能會出現硬件無法正常運轉的故障。

③通過網絡發送映像。通過網絡發送映像通常是在使用Unix系統作為制作映像平臺時進行。其中包括創建支持多種磁盤和網絡接口硬件的Linux啟動盤或CD—ROM。偵查人員通常使用標準以太雙絞線或快速以太交換機來建立從證據系統到司法鑒定工作站的點對點連接。

無論使用哪一種方法創建司法鑒定的副本,都需要對原始驅動器和最后的映像文件執行數據完整性校驗,以確定所建立的副本是否具有法律效力。

2.離線偵查

偵查人員在現場勘查結束后,需要對可疑計算機建立映像,并在離線環境下進行深入分析。所謂“離線分析”(Offline Analysis),是指在受控制的操作系統(如Linux或Windows系統)或環境(如EnCase)中訪問還原映像驅動器的數據。在離線分析的過程中,要確保原始映像沒有被破壞和人為改動,并且是在受控制的條件下檢查還原映像,此時該映像是只讀的

且不能更改。

(1)建立離線分析環境

建立離線分析環境的方法有兩種:一種是通過Windows 9x系統使用NTFS DOS(通過Sys internals)來瀏覽分區的內容。另一種是在Linux中裝入還原映像,即以只讀方式裝入映像,并且訪問還原映像,而不必擔心它會被更改。這兩種方法各有優缺點,前者可能會更改還原映像,后者不便于分析Windows的邏輯文件。為此,調查人員通常使用Linux作為主機操作系統來進行原始文件分析和字符串搜索,然后將還原的映像輸出到Windows系統以進行邏輯文件分析。該方法具體包括以下步驟:

①在Linux下以只讀模式裝入還原映像,并檢驗裝入操作是否成功。

②在SAMBA下建立共享,SAMBA允許Linux操作系統提供與標準Windows網絡協議兼容的文件共享。

③使用裝有諸如Quick View Plus、Microsoft Word、Outlook和其他可以訪問專用數據格式的應用程序的Windows系統,查看還原映像的頁面。

VMware的研發和使用簡化了上述過程,并且可以用一個單一的系統檢查Windows2000/XP驅動器。使用VMware,可以在Linux操作系統中裝入還原的NTFS驅動器,然后從基于Windows的操作系統,通過文件共享瀏覽還原的NTFS驅動器的文件結構。

在重建離線分析環境的過程中,啟動原始操作系統的最后一步要求登錄到還原的系統上。因此,必須知道管理員級別的用戶賬號和密碼。在這些情況下,偵查人員可以采用以下幾個方法解決:

①在線調查期間使用pwdump獲取SAM數據庫,使用一些工具(如John the Ripper或Lophtcrack)破解密碼。

②在離線分析期間獲取SAM數據庫,使用密碼破解工具得到密碼。

③通過更改注冊表,繞過登錄到目標計算機所需的用戶身份驗證。

④改變SAM中的密碼。

(2)檢查所有相關的日志

若想從離線系統瀏覽事件日志,偵查人員必須取得相關日志文件的副本。如前所述,Windows系統的日志(包括系統日志、應用程序日志、安全日志)文件通常存儲在默認位置\Windows\System32\Config。在EventViewer中,選取Log/Open并指定復制的擴展名為.evt文件的路徑。偵查人員通常需要執行以下步驟離線訪問日志:

①打開控制面板/服務,然后為Event Log項目選擇Disable(這一改變只有在重新啟動工作站后才能生效),從而禁用離線分析工作站上的EventLog服務。

②改變離線分析工作站的審核策略,使其不再作任何日志記錄。這是為了防止離線分析工作站向證據副本系統的安全日志寫入日志。

③重新啟動離線分析工作站,然后瀏覽控制面板/服務,檢驗EyentLog服務是否已經停止。

④將日志副本.evt文件放入\Windows\System32\Config目錄,因為EventViewer自動默認存放在該路徑下的三個.evt文件,所以需要將離線分析工作站的.evt文件改名或覆蓋系統目前使用的日志文件。

⑤使用控制面板/服務,通過選取Manual Start來啟用Eventlog服務。

⑥打開EventViewer,就可以瀏覽證據事件日志了。

如果要調查一個運行Windows Internet Information Services(IIS)的Windows2000/XP服務器,需要檢查每個IIS服務(特別是Web服務器)所對應的日志文件。這些日志通常都存儲在\WINNT\Systern32\LOGFiles目錄下每個服務對應的子目錄中。

另外,在離線檢查日志時,可以使用專用工具將事件日志導入Excel或數據庫中,從而

網絡犯罪及案例分析(教材) 86_網絡犯罪案例

在日志檢查期間,提供更快的檢查速度,并能更容易地生成報表和進行綜合分析。

(3)進行關鍵字搜索

在大多數計算機犯罪案件調查過程中,對目標硬盤驅動器執行字符串搜索是非常重要的。常用關鍵字組合包括用戶ID、密碼、敏感數據(代碼字)、已知的文件名和具體的主題詞(如人名、地名、職稱和侮辱性詞匯)。

字符串搜索可以在邏輯文件結構上執行,也可以在物理層次上執行(以便檢查整個驅動器的內容)。

關鍵字搜索技術和工具是偵查人員必須熟練掌握的。最為簡單的關鍵字搜索可以在Windows的資源管理器上進行,但該方法不能對驅動器執行物理層次的字符串搜索,因此可以借助于磁盤搜索工具。這類工具要求使用一個受控制的啟動軟盤或其他介質引導目標系統,然后運行該工具,這是因為不能用物理層次的方法讀一個正在Windows操作系統運行的驅動器。國內偵查人員通常使用EnCase作為磁盤搜索工具。EnCase有一種字符串搜索能力 (一種物理層次的字符串搜索),能夠在它生成的證據映像文件上執行。

(4)檢查可疑文件

在Windows2000/XP系統中,幾乎所有發生在系統上的活動都會留下一些發生的痕跡。因此,Windows2000/XP系統中的臨時文件、高速緩存文件、跟蹤最近使用文件的注冊文件、保留刪除文件的回收站和無數的存儲運行時間數據的其他位置,都是偵查人員需要分析挖掘線索的重點??梢允褂肑ASC Software公司制作的Quick View Plus來識別可疑文件。

(5)檢查可疑的電子郵件文件

電子郵件經常是所調查的犯罪嫌疑人選擇的通信方式。每個最常用的電子郵件客戶端(如Outlook、Netscape Messenger和Foxmail等)都有其專用的存儲格式。Microsoft Outlook以其專用的格式保留郵件消息。通??梢栽贒ocuments and Settings\<User Account>\Local Settings\Application Data\Microsoft\OutLook目錄下找到Windows系統的以擴展名.pst存在的Outlook文件。因為用戶可以把存檔文件*.pst配置在驅動器的任何位置,所以必須進行文件名搜索,以確定其位置。

離線分析另一個系統的PST文件時,需要把PST文件復制到離線分析工作站中,然后再使用Outlook客戶端瀏覽該文件。選擇File/Open/Personal Folder File,以便瀏覽離線分析工作站來導入目標Outlook存檔文件(可疑的PST文件)。

(6)刪除文件的恢復與檢查

在很多情況下,計算機犯罪偵查需要恢復丟失的文件,這些文件可能是被惡意的用戶為了掩蓋犯罪事實而刪除的。通常情況下,可以對以下三種文件進行恢復操作:

①恢復被刪除的文件。計算機內被刪除的文件并非真正被刪除了,而只是被標記為刪除,也就是說這些文件仍保存完好,直到新數據的寫入覆蓋這些被刪除文件所在硬盤驅動器的物理空間。

很多工具可實現刪除數據的恢復工作,如File Scavenger、Norton—Utilities Protect和EasyRecovery。只要刪除文件所占用的硬盤驅動器空間沒被最近的I/O存儲器使用過,就能恢復它們,甚至可能在磁盤被重新格式化后還能進行恢復。

②檢查回收站中的文件?;厥照臼荳indows系統的一個特征,它是用來防止意外的文件刪除。刪除到回收站中的文件會一直保留到用戶決定清空回收站的時候。但是,回收站只保留從Windows資源管理器和其他支持回收站的應用程序(如Microsoft Office應用程序)刪除的文件。命令行刪除的內容或第三方軟件刪除的內容通常不能保留在回收站中。同樣,在移動存儲介質或在共享的網絡驅動器上刪除的文件也不能進入回收站。

回收站進程為每個不同的用戶都創建一個目錄。該目錄是在用戶第一次刪除一個文件時創建的。要恢復回收站的文件,首先必須找到Windows系統上隱藏的回收站所在的目錄。

到分區的根目錄(驅動器名),然后進入隱藏的RECYCLER目錄,就可以找到回收站的內容。圖5—3顯示了怎樣使用帶有/a擴展的dir命令列出隱藏的RECYCLER目錄。注意,RECYCLER目錄子目錄基于用戶的安全標識符的方式,并且RECYCLER目錄中的文件沒有保留其原有的名字,盡管時間日期戳保留了與原始文件相同的內容。

RECYCLER\<SID>目錄中有一個隱藏文件,稱為INFO,它是一個二進制文件,將被刪除文件的真實文件名和時間日期映射到RECYCLER目錄中包含的要被刪除的文件??梢允褂锰囟ǖ墓ぞ邽g覽這一文件,如EasyRecovy 和EnCase或Scott Ponder的Internet Explorer History Viewer。

圖5-3 檢查回收站的內容

③檢查臨時文件。很多應用程序,如Web瀏覽器、電子郵件客戶端和其他類型的終端用戶應用程序,都生成臨時文件以確保正常工作。偵查技術人員檢查通過檢查所有擴展名為*.tmp的文件,可以找到一些多年前被刪除的文檔、舊的Power Point演講稿和以附件形式接收的文件。

(7)檢查注冊表

離線調查注冊表是一個非常簡單的工作,可以從默認位置通常是\Windows\System32\Config,把注冊表文件復制到離線分析工作站,然后運行regedit,選擇Registry\

ImportRegistry導入這些文件即可。

(8)檢查交換文件

交換文件可以包括文檔、密碼和用戶在本地系統上最近瀏覽或輸入的其他信息的文本的片段。Windows系統的交換文件被命名為pagefile.sys(Windows9x中的永久性交換文件被稱為win386.swp)。由于交換文件中的大部分內容是以二進制格式記錄,所以很少使用十六進制編輯器或其他的瀏覽器瀏覽交換文件。對交換文件進行字符串搜索也許對獲取證據更有幫助。另外,某些情況下,正常關閉系統將會造成交換文件被清除,所以要謹慎操作。

(9)檢查Internet歷史記錄

很多計算機犯罪活動涉及Internet服務,需要檢查Internet歷史記錄。如訪問WWW服務時,用戶使用Netscape和Internet Explorer,它們都有各自的日志文件。通常瀏覽器都記錄瀏覽歷史以及跟蹤最近訪問的網站,也保存包含一定量的最近瀏覽的實際文件和Web網頁的緩存。Internet Explorer在\Windows\Profiles\<UserId>\Local Settings\Temporary Internet Files\ContentXX目錄的index.dat文件中保留臨時Internet文件,實際的html和文件存儲在Internet Explorer緩存文件中,通??梢栽冢躓indows\Temporary Internet Files目錄中找到。Windows2000在不同的目錄中存儲這些文件,但是它們包含類似的信息。Windows2000在\Documents and SettingS\<User Account>\Local Settings\Temporary Internet Files中保留Web瀏覽器緩存。Windows2000中的index.dat文件將緩存的html網頁映射到實際的日期、時間和具體的URI,它位于\Documents and Settings\<User Account>\Application Data\Microsoft\Internet Explorer\UserData目錄中。

Internet Explorer History Viewer和EnCase都是提供自動處理系統Web活動的明顯特性的工具。

(10)檢查未授權的用戶賬號或組

目前,在運行系統上審核用戶賬號和用戶組的方法有以下幾種:

①檢查用戶管理器,尋找未授權的用戶賬號。

②使用NTRK的usrstat瀏覽域控制器中所有的域賬號,尋找可疑的項目。

③檢查安全日志,篩選出事件ID為624(添加新賬號)、626(啟用用戶賬號)、636(改變賬號組)和642(改變用戶賬號)的項目。

④檢查系統上的\Windows\Profiles目錄。如果用戶賬號存在,但是對應的\Windows\Profiles\<User Account>目錄不存在,說明該用戶賬號還沒有登錄過系統。如果該目錄確實存在,但是用戶賬號沒有出現在用戶管理器或注冊表(HKLM\SAM\SAM\Domains\Account\Users\Names)中,則該用戶ID曾經存在但不再繼續存在。

⑤檢查注冊表中的SID,它位于HKLM\Software\Microsoft\Windows\Current Version\Pro fileList下。當一個用戶賬號被刪除時,相關的Prfile目錄項目不會被刪除,相關的SID還保留在注冊表中。

(11)檢查可疑的進程

當檢查一個正在運行的系統時,需要查找鑒別可疑的進程。因為這些進程大部分要監聽網絡連接或探測網絡以獲得純文本的用戶ID和密碼,所以這些進程很容易在執行過程中被發現??梢允褂胮slist命令列出正在運行的進程名,listdlls提供每個運行中的進程的完整的命令行參數,fpoit顯示監聽的進程以及它們所監聽的端口。

(12)尋找異?;螂[藏文件

攻擊者在成功入侵系統后往往需要隱藏他的文件以備后用或使一些文件不可見。攻擊者通常利用NTFS文件流,在合法文件后隱藏數據。NTFS有一個在一個文件項目下存儲文件數據的多重實例的功能,這一功能最初是在Macintosh Hierarchical File System(HIFS)上開發的。這些多重數據流可以用于隱藏數據,因為Windows資源管理器不顯示附加流的存在。

例如,cp filel file2:filel.該命令行工具就成功地將file2隱藏在filel中,并且沒有改變文件大小,但是時間/日期戳卻被改變了。另外,還可以通過改變文件的擴展名或特意將文件命名為類似于重要系統文件的名字等方法來隱藏文件。

sfind、Streanms、EnCase等取證工具可以很準確地辨別出文件是否異常。

(13)檢查未授權的訪問點

當偵查人員調查一個被入侵的系統時,必須鑒別系統的訪問點以確定訪問的方式。一些工具(如netstat和port)都是鑒別系統訪問點的重要工具。它們使用API調用以讀取內核及用戶空間的TCP和UDP連接表的內容。如果想捕獲這一信息,需要允許通過還原映像引導系統。如果想在檢查運行系統時完成這一步,則要在關閉系統以進行映像之前,比較這兩個操作的結果,它們的差異表明存在未授權的后臺程序。

①檢查遠程控制。實現遠程控制可以使用諸如PC Anywhere、AT&T Virtual Network Computing、“冰河”等應用程序。使用這些應用程序,遠程用戶可以完全地控制系統,包括鍵盤、顯示屏幕和鼠標。要監測系統上的遠程控制軟件,必須使用netstat、fport和pslist尋找開放的端口。也可以仔細查看文件系統以確定是否安裝了遠程控制軟件。

②檢查管理共享。所有的Windows系統都有管理共享,它是在每次引導進程結束后自動提供給遠程用戶的共享。這些管理共享被認為是隱藏的共享,它們的名字后面都附有“$"字符。最常用的隱藏共享是IPC$,但是每個邏輯驅動器也是一個管理共享。如果一個遠程用戶能鑒別和訪問任何管理共享,他就能訪問邏輯驅動器上的所有文件。所以,偵查人員需要對系統的管理共享進行檢查。

5.4.2 路由器案件偵查

若利用網絡進行犯罪,路由器等網絡設備上必將會留有犯罪的某些信息,所以對這些設備進行仔細的檢查,就有可能得到網絡犯罪的電子證據。

1.針對路由器的攻擊與入侵

對路由器的直接入侵是攻擊者在獲得對路由器的交互式或特權級訪問,從而達到對路由器控制和對存儲在路由器上數據進行非授權訪問的行為。對路由器進行管理員級訪問的方法包括Telnet、控制臺、SSH、Web、SNMP、調制解調器和TFTP訪問。由于路由器是按功能模型設計的,交互式的訪問即使不在管理員級別時也是危險的。

對路由器的攻擊與入侵主要有以下兩種:

(1)密碼攻擊

大多數路由器訪問的方法需要密碼。路由器的不同服務(如Telnet、SNMP和授權訪問)可以擁有不同的密碼。攻擊者可通過多種不同的方法得到路由器的密碼,最直接的獲取方式是通過暴力破解進行密碼猜測。攻擊者使用自動方式暴力破解進行密碼的猜測攻擊都會被IDS(入侵檢測系統)截獲,因此IDS在調查期間是很有用的。如果系統管理員使用的密碼是非常難以猜出的(包含字母、數字和特殊字符,且長度超過8個字符等),通過暴力破解進行密碼猜測就可能不是一種有殺傷力的方法。密碼可以被存儲在配置文件中,或者以純文本的方式,或者使用Vigenere Cipher或MD5算法進行加密??焖俚貦z查一下所使用的密碼及加密算法能為偵查員提供一些線索。攻擊者獲得密碼的另外一種方法是通過網絡嗅探,傳輸純文本數據和認證信息的協議都易受到網絡嗅探的攻擊,如SNMP、Telnet、HTTP和TFTP。

可使用控制臺訪問路由器的人員能通過重新啟動和適當的過程對路由器進行管理員級訪問。在調查期間,偵查人員通過系統正常運行時間信息可獲得路由器上次重新啟動的時間。另外,如果一臺調制解調器連接到路由器,最后一個合法的用戶就有可能沒有正確注銷,從而使攻擊者不需要密碼就能訪問路由器。另一種危害的方法是TFTP,路由器使用TFTP在網絡上存儲和重新載入配置文件。TFTP是一種UDP協議,它不需要認證,所有的數據都

是以明文形式傳輸的。路由器配置文件經常使用如<hostname>-config或<hostname>.cfg的命名慣例。攻擊者只需要掃描網絡以找到路由器和TFTP服務器即可利用這些因素。攻擊者還通過DNS解析得到路由器的主機名,并從TFTP服務器上請求配置文件。在樣,攻擊者就能夠使用配置文件中的密碼信息來訪問路由器,或者修改配置文件,然后上傳到TFTP服務器等待網絡重載。

路由器可以使用多種協議更新它們的路由表,這些協議包括RIP (Route Information Protocol,路由信息協議)、OSPF、(Open Shortest Path First,開放最短路徑優先)、EIGRP(Enhanced Interior Gateway Routing Protocol,增強型內部網關路由選擇協議)、IGRP(Interior Gateway Routing Protocol,內部網關路由選擇協議)、BGP(Border Gateway

Protoc01,邊界網關協議)等。這些協議把網絡間最佳路徑的信息傳送給與它們相鄰的路由器,它們具有不同的安全級別。有些協議不提供認證能力,如RIP,路由器不要求任何認證就會接受一個RIP更新。其他的協議都有要求提供密碼的能力,但是實現密碼的安全性是管理員的責任。涉及路由表操縱的攻擊,危及的是路由器的功能,而不是路由器本身。如果在路由表中出現了不熟悉的靜態路由,路由器就可能遭受到了入侵或非法更改了配置。

(2)拒絕服務(DoS)攻擊

針對路由器的拒絕服務(DoS)攻擊是通過強迫路由器停止轉發數據包,從而使路由器之后的所有主機都被有效地禁用。針對路由器的DoS攻擊有以下三類:

①破壞路由器活動能力的攻擊,如刪除配置信息或拔去電源。

②降低路由器活動能力的攻擊,如同時打開很多到路由器的連接。

③耗盡路由器網絡帶寬容量的攻擊。

偵查人員在調查DoS攻擊時,確定DoS攻擊的類型是調查中最容易的部分。如果路由器完全不工作,則可能是破壞型攻擊。首先檢查比較明顯的問題,如電源、電纜和配置。判斷路由器是不時地重新啟動,還是其性能在均勻下降。一臺間歇性重新啟動的路由器可能是點對點攻擊造成的,即針對該路由器的攻擊。而性能的均勻下降可能是由于資源或帶寬消耗攻擊造成的。對于任何一種情況,都可以使用網絡流量監視顯示出其詳細信息。

如果正在監聽路由器上的一個端口,那么直接到達路由器的數據包通常只影響該路由器。對路由器的數據包擁塞也可以引起性能下降。如果路由器打開了端口,過多的SYN或類似的數據包可以影響路由器的性能。另外,即使路由器沒有打開端口,流量擁塞也可以影響路由器或占用帶寬以使網絡性能極大地下降。

2.需要收集的數據

如果對路由器數據的收集發生在路由器斷電或重啟之后,那么一些重要的數據如當前路由表、監聽服務和當前密碼等對于取證來說相當重要的數據將會丟失,取證達不到理想的效果,所以,我們對路由器中數據的取證要在其斷電之前。對路由器數據的收集包括以下幾方面:

(1)建立連接

要調查路由器,偵查人員必須先建立起到路由器的連接。連接路由器最好的方法就是從控制臺端口訪問,借助于特定硬件直接連接路由器。優點是:被正在進行網絡訪問的攻擊者察覺的可能性較小。除非緊急情況,否則不使用Telnet連接到路由器,以避免使用嗅探器的攻擊者因覺察到網絡的流量并意識到調查正在進行。如果控制臺訪問行不通,撥號連接或一個像SSH的加密協議都是比Telnet更好的選擇。

偵查人員在建立起到路由器的連接后,使用超級終端要選擇Transfer Capture Text選項,確保把整個會話記入日志。

(2)獲取電子證據

①記錄系統時間。調查的首要步驟之一就是記錄系統時間。在Cisco路由器上,可以使

網絡犯罪及案例分析(教材) 86_網絡犯罪案例

用show clock命令獲取系統時間。

②獲取登錄用戶信息。調查是否有其他人登錄到路由器可以使用show user或systat命令。

③確定路由器的正常運行時間。使用show version命令可以獲取上一次重新啟動開始的系統在線時間。在反饋的信息中,軟件和硬件信息將清晰地展現在偵查技術人員的眼前。

④獲取路由器的端口開放信息。路由器可以提供多個允許遠程連接的服務。其中最著名的是Telnet,但是還有其他一些服務。要想確定路由器上正在運行哪些服務,可使用外部端口掃描程序檢測或檢查配置文件。

⑤獲取路由器配置信息。路由器的配置信息是偵查人員分析案情的一個重要線索。對于Cisco路由器,所有的配置信息都存儲在NVRAM配置文件中。它規定了路由器行為的所有方面,當路由器啟動時將使用已存儲的配置。然而,可以不修改存儲在NVRAM中的配置文件而直接改變路由器的配置。對配置的改變是在RAM中進行,只有執行管理性命令時才會將配置存儲到NVRAM中。這樣,既可以改變RAM中的配置,又可以改變NVRAM中的配置。

要存儲配置文件,必須具有對路由器的授權(或特權)級別??墒褂胹how running-config命令或使用與之等價的write terminal命令來查看當前路由器所加載的配置。

⑥獲取路由表信息。路由器根據路由表內信息確定如何轉發數據包。如果攻擊者能夠操縱路由表,他就可以改變數據包被發送到的地方。使用show ip route命令可以查看路由表。某些情況下,如攻擊者只修改了路由器的靜態路由信息,則路由器重新啟動會造成該信息丟失,就找不到攻擊者的任何痕跡了。為了避免這種情況發生,偵查人員要注意保存RAM和NVRAM中的配置。

⑦獲取接口配置信息。偵查人員可以通過show ip interface命令查看每個路由器接口的配置信息,也可以從配置文件中得到這些信息。

⑧獲取ARP緩存信息。路由器在ARP緩存中存儲著本地廣播域中所有設備的MAC地址和IP地址。攻擊者有時候使用欺騙的IP或MAC地址繞過安全控制,因此在調查這些類型的攻擊時ARP緩存可以有所幫助。偵查人員可以使用show ip arp命令查看ARP緩存信息。

5.4.3 應用程序服務器案件偵查

在涉及計算機和網絡的違法犯罪中,侵入應用程序服務器或破壞應用程序服務器的案件屢有發生。本節主要介紹一些調查Web服務器、DNS服務器和FTP服務器的技巧。

1.WEB服務器的調查

WWW服務是Internet上應用最廣泛的服務之一,針對Web服務器的攻擊也是對公眾心理及消費者信息最具破壞力的一種攻擊類型。

Web攻擊一般可以分為三類:第一,攻擊服務器本身(通過請求訪問服務器)。第二,攻擊服務器內容(篡改站點網頁)。第三,攻擊公司或機構(盜竊產品或信息)。

對大多數Web攻擊應該按照一定的步驟進行調查,具體還要根據Web服務器上運行的操作系統而定。檢查日志文件的設置,以確定這些記錄是否有價值是案件調查的重點和關鍵所在。這里,主要針對市場上占主導地位的兩種Web服務器,即Apache和Microsoft公司的Internet Information Server(IIS),對調查Web服務器的方法進行分析。

(1)調查Web服務器日志文件

日志有助于檢測攻擊的發生,通過對多種日志文件進行深入的分析有助于偵查人員確定突發事件的發生,然后進一步確定攻擊事件的類型、嚴重程度、起因以及來源。

①IIS日志。IIS的日志文件默認存儲在\Windows\System32\Logfile\W3VC1下,

日志文件名依當前日期而定,格式為exyymmdd.log(其中yy為年份后兩位,mm為月,dd為日)。每天都會產生一個新的日志文件。日志文件默認格式為W3C(WoAd Wide Web Consortium,萬維網聯盟)擴展日志文件格式,這是一種標準格式,許多第三方實用工具能夠解釋并分析此種格式。這種日志格式允許每小時、每天、每星期或者每月進行一次日志記錄。在默認情況下,日志文件會存儲訪問時間、客戶端IP地址、訪問方法 (GET、POST等)、URL項(請求的資源或網頁)以及HTTP狀態(以數字狀態代碼表示)。

大多數日志字段含義一目了然,無須加以說明,但是HTTP狀態字段需要作一些解釋。一般來說,在200到299之間的HTTP數字狀態代碼標志著成功。通常情況下,數字狀態代碼200表示客戶端請求得到滿足。300到399之間的不同數字狀態代碼代表客戶端要完成請求所必須采取的行動,這意味著需要自動重定向到其他地方,例如,在Web站點的內容移到了另一個位置的情況下就必須如此。400到499以及500到599之間的數字狀態代碼分別標志著客戶端以及服務器端的各種錯誤。400到499之間的數字狀態代碼中最常見的是404和403,其中404代表請求的資源在服務器上找不到,而403代表請求的資源被禁止訪問。

②Apache日志。Apache日志默認情況下的存儲位置是/us/local/apache/logs,主要有Access-log訪問日志、ssl-request-log SSL請求日志以及ssl engine log SSL引擎日志。

Access-log訪問日志包含關于客戶端IP地址的多個字段,分別為唯一個人識別碼(常常是空白)、用戶名(在要求認證的情況下)、訪問日期、訪問方法、請求資源、連接協議所用版本、HTTP狀態、傳輸的字節數。訪問方法、所請求的資源和協議版本位于名為Method Resource Protocol的字段中。

在對日志文件進行分析時,要注意信息是以一種簡單易讀的方式進行存儲的。調查可能的攻擊事件時比較重要的字段包括時間/日期戳、源IP地址、HTTP狀態代碼以及請求的來源。

(2)調查Web服務器網頁篡改攻擊

對Web站點網頁的篡改是最普通的攻擊行為之一。偵查人員只要檢查網站的變化,即可確認Web服務器是否受到攻擊。首先需要保存被篡改的網頁作為證據,接下來需要系統地檢查日志文件,尤其是操作系統的安全日志。因為要對Web站點發動篡改網頁的攻擊,攻擊者必須擁有對該Web站點根目錄的寫訪問權。寫訪問權屬于管理員權限,攻擊者獲取這一特權行為會記錄到日志中。

(3)調查針對Web應用程序的攻擊

應用程序級攻擊主要是針對Web站點的功能。攻擊者操作應用程序以得到他們想要的信息,或者使應用程序以不同于管理機構規定的方式運行,服務器將來自攻擊者的每一個請求作為獨立個體進行分別處理。

許多應用程序級的攻擊利用cookies、基本認證以及URI編碼技術獲取用戶的登錄情況、系統訪問情況以及其他必要信息,所以,這些文件是偵查人員的檢查重點。此外,對日志的分析,也應有所側重,應檢查可疑的請求,以確定攻擊者究竟干了些什么,以及攻擊活動是否有可疑的模式存在,是否發現不同用戶名卻來源于同一IP地址的多次查詢,是否存在與某個IP地址相關的大量錯誤,等等。

(4)確定攻擊來源

對Web服務器的攻擊常使用TCP/IP協議組。TCP的一個特征就是連接狀態難于偽裝,如果攻擊者使用自己的計算機直接發起攻擊,則日志文件中記錄的地址就是發動攻擊的源IP地址。為此,大多數攻擊者會使用中介系統重定向他們所發出的HTTP請求。更有可能的是,攻擊者會利用開放的、人員流動復雜的上網環境掩蓋攻擊的真正發源地,例如,從圖書館、互聯網咖啡屋、網吧甚至匿名代理服務器上發動攻擊。一般情況下,攻擊者會登錄到一個受危及的系統上(可能使用了端口重定向),然后從該系統登錄到另一個受危及的系統

上,依此類推,直到他感覺距離原系統位置足夠遠,最后再從這些受危及系統中的某一個點發起攻擊。在這種情況下,日志文件中記錄的IP地址確實是攻擊來源的地址,但并不是真正的攻擊起始點。調查此類攻擊時,難度較大,需要更多地借助傳統偵查手段。

2.DNS服務器的調查

域名系統(Domain Name System,DNS)服務器既容易受到危及其功能的攻擊,又容易受到針對服務器本身的直接攻擊。DNS服務器響應對DNS發出的將FQDN(F'ull Qualified Domain Name,完全合格域名)轉換為相應的數字IP地址的請求,反之亦然。

(1)調查直接攻擊

直接DNS服務器攻擊是攻擊者利用DNS漏洞,以該DNS服務器運行的任意權限級別(通常為超級權限)對其進行遠程登錄。在配置為默認設置的服務器上幾乎沒有留下證據。默認情況下,大多數日志記錄和錯誤信息都存儲在syslog或信息文件中,通常在/var/log目錄下。這些文件中存儲的信息包括已命名的DNS服務器啟動的時間,有時還包括其停止時間。

(2)調查針對DNS緩存的攻擊

為進行DNS欺騙,攻擊者可以操縱DNS服務器的運轉方式并據此制造問題:通過修改DNS的緩存,可以使用戶對DNS發出的域名解析請求指向攻擊者精心設計的非法IP地址,而不是Internet上的原來與其對應的合法IP地址上。

DNS服務器緩存的DNS條目保持的時間是預先設置且有限的。一般來說,將緩存條目的生存期(Time-To-Live,TTL)設置為幾天。對偵查人員來說,這是一個相對較小的時間段,由于考慮到要利用緩存的信息,因此必須首先確定突發事件已經發生并懷疑其中涉及了緩存破壞。當然,當確信緩存已經被破壞時,可以轉儲DNS服務器緩存中的內容以尋找不適當的條目。

3.FTP服務器的調查

FT'P服務器是共享文件和信息所使用的應用程序服務器。針對FTP服務器的攻擊以多種形式出現,直接攻擊FTP服務器和文件存儲濫用是較常見的兩種類型。

(1)調查對FTP服務器的直接攻擊

FTP服務器漏洞允許攻擊者直接危害主FTP服務器系統,如通過暴力破解進行猜測、網絡嗅探或社交方式獲取賬號密碼。此外,在允許用戶上傳文件的FTP服務器上,特洛伊木馬可以被植入合法用戶的主目錄以執行攻擊者的命令。調查這一類型攻擊時,網絡日志和主機日志提供了有價值的記錄,有助于確定這種危害發生的方式、時間和來源。連接日志列出了時間、日期和源地址,主機日志和一些IDS日志也可能記錄了其他有價值的信息。

(2)調查FTP文件存儲濫用攻擊

FTP服務器的設計允許用戶上傳和下載文件,如果有一些由未經授權的用戶上載非法文件或含有不良信息的文件,并利用FTP服務器進行這些資料的交易,執法機構就會查封該單位的FTP服務器,并根據該案例的處理方式扣押幾天甚至更長時間。

5.4.4 黑客案件偵查

在計算機犯罪案件偵查中,尤其是涉及非法侵入計算機信息系統案件的勘查過程中,可能會發現很多黑客工具。分析這些工具的文件名、源代碼和功能,可以達到以下目的:防范將來的類似攻擊;評估攻擊者的技能或危險等級;確定危及的范圍;確定是否已經有了什么損失;確定入侵者的數量和類型;如果一旦抓到攻擊者,準備好確鑿的證據。

1.黑客工具編譯過程分析

攻擊者有很多方法編譯源代碼,通過分析黑客工具的編譯過程和方法,偵查人員可以了解黑客的技術水平。

(1)靜態鏈接的程序

靜態鏈接的可執行文件包括成功運行該應用程序所需的所有代碼,一般沒有任何依賴性。這就意味著該程序可以不依賴操作系統的特定版本而運行。從Internet上下載的一些商業應用程序就是經過靜態編譯的,這樣,它們就可以不依賴于系統的任何庫文件。

(2)動態鏈接的程序

幾乎所有的現代操作系統都支持共享程序庫的使用,共享程序庫通常包括了常用功能和例程。通過把程序編譯成使用共享程序庫,程序員可以在程序需要使用那些功能和例程時,在內存中的某處引用它們,而不用把所有代碼都合并進應用程序本身。這就減小了可執行文件的大小,節約了系統內存,并且允許在無須改變任何原文件的情況下更新共享程序庫。使用共享程序庫的程序就是動態編譯的。每個動態編譯的程序都會引用位于內存中的共享程序庫的單個副本。

(3)使用debug選項編譯的程序

在個別情況下,會遇到用debug模式編譯的黑客工具。debug編譯一般是軟件開發人員在程序開發的早期階段使用的,幫助他們查找并排除故障以及優化代碼,起用了debug選項時,編譯器將會包括許多有關程序和源代碼的信息。

(4)被剝離的程序

剝離(Strip)是一種會丟棄來自目標代碼的所有符號從而使文件更小、也許更優化了執行速度的功能。剝離以后,動態編譯的程序就會得到最小的可執行文件,在偵查人員使用字符串和符號提取技術分析時,偵查人員對這些類型的文件進行分析通常是最困難的。

(5)用UPX打包的程序

UPX(Ultimate Packer fore Xecutables)是一個高效的可執行文件壓縮工具, Linux和

Win32應用程序都可以使用UPX壓縮。

2.黑客工具的靜態分析

靜態分析是在不實際執行代碼的情況下進行的黑客工具分析。其主要步驟如下:

(1)確定正在檢查的文件類型

在識別出需要工具分析的可執行文件之后,下一步就是確定可執行文件是怎樣編譯的,以及它們本來的操作系統和體系結構。

(2)查看ASCII和UNICODE字符串

目標代碼的靜態分析包括檢查二進制文件的ASCII格式字符串。通過識別關鍵字、命令行參數和變量,可以在一定程度上識破程序的用途。用來提取ASCII字符串的命令是Strings?;赪indows的黑客程序需要使用UNICODE字符串搜索。此外,十六進制編輯器也是偵查人員的可選工具,它可以在文件中同時看到UNICODE和ASCII字符串。在對黑客程序進行ASCII和UNICODE字符串檢查時,應重點尋找以下幾項:在應用程序被編譯之前,源代碼的名稱;用于創建文件的編輯器;工具中的“help"字符串;程序顯示的錯誤消息;靜態變量的值。

(3)進行在線搜索

確定該工具是否在計算機安全或黑客網站上公開可用,把所有已在線確定的工具與正在分析的工具作比較。

(4)檢查源代碼

有了可以檢查的源代碼,就能夠準確地確定黑客程序到底做了些什么。在這一環節中,需要偵查人員熟悉常見黑客程序的編程知識,如ANSIIC和Microsoft Visual.Basic腳本。

3.黑客工具的動態分析

黑客工具的動態分析是在執行代碼以及解釋它與主機操作系統的交互時發生。使用動態分析法時,偵查人員需要特別關注:監視時間/時間戳,確定工具影響了什么文件;運行

程序截取它的系統調用;運行網絡監視確定是否生成了網絡流量;監視基于Windows的可執行文件怎樣和注冊表交互。

(1)創建測試環境

動態分析實際上就是執行黑客程序,從而鑒別它對系統的影響。因此,需要建立適當的測試環境。

首先,確定擁有正確執行目標代碼所需的操作系統和體系結構,并且要在測試系統上安裝VMWare。VMWare允許在可控環境中運行該工具,而且不會破壞執行了黑客工具的測試環境。其次,確認測試系統沒有連接Internet。此外,需要在黑客工具執行過程中,對網絡流量進行監控。

(2)在Unix系統上進行動態分析

大多數應用程序在定義為用戶空間的內存區域中運行。一般情況下,禁止用戶空間的應用程序直接訪問計算機硬件和資源,這些資源由內核控制以加強安全性,保持著非同時性的使用,并提供系統的穩定性。用戶應用程序請求內核代表應用程序執行操作,從而訪問資源,用戶應用程序通過系統調用對內核發出請求。Strace可以幫助偵查人員完成在Unix系統上對黑客工具的追蹤。

(3)在Windows系統上進行動態分析

對基于Windows的應用程序進行動態分析的工作流程是:運行黑客程序代碼,使用實用程序監視黑客程序怎樣與文件系統、注冊表、應用程序編程接口(API)和操作系統交互。對Windows應用程序進行動態工具分析,可以使用File Monitor、Registry Monitor、listdlls、foort和pslist等。其中File Monitor用于截獲一個程序對文件系統進行的所有訪問和查詢。Registry Monitor可以監聽程序和Windows注冊表的交互。listdlls能夠顯示一個程序所需的所有DLL。它列舉了程序裝載的動態鏈接庫(d11)的完整路徑名。foort和pslist是在Windows系統上進行動態分析的關鍵工具。fport應該在執行黑客工具之前和之后使用以確定是否有

黑客工具打開任何網絡套接字。Pslist用于確定黑客工具在執行后是否改變了它的程序名。

5.4.5網絡地址偵查

計算機犯罪偵查的主要任務是揭露犯罪事實,查明犯罪嫌疑人。但網絡使犯罪嫌疑人身份確定變得非常復雜。在互聯網這一虛擬社會中,IP地址、MAC地址和電子郵件地址都可以引導偵查人員確定攻擊者的身份。

1.IP地址的偵查

Internet是基于TCP/IP(Transfer Control Protocol/Internet Protocol)參考模型構建的網絡,任意主機都必須使用唯一的IP地址進行網絡通信,因此IP地址是偵查人員追蹤犯罪嫌疑人的關鍵線索。

然而,確定IP地址的過程是復雜的,可能出現如下情況:

(1)源IP地址可能被欺騙或被偽造。

(2)用于攻擊的源IP地址可能是真正攻擊來源經過多個躍點后形成的。偵查人員必須跟蹤很多個也許互不相關的躍點。

(3)在某些情況下(如撥號接入 Internet),IP地址并不是靜態地固定分配給一臺主機,而是動態分配的。但是一個IP地址在特定時間對應一個特定系統。

下面介紹獲取IP地址的常用方法:

(1)使用nslookup命令。在IPv4版本中,IP地址是一個32bit的二進制數,常用點分十進制描述,但仍然不便于用戶記憶和使用。DNS(Domain Name Service)解決了這一問題,使用戶可以用域名地址來訪問網絡服務。例如,IP地址210.40.208.2屬于一個名為

WWW.ynpsc.edu.cn的系統,Unix和Windows操作系統都有一個簡單的命令nslookup,可以

網絡犯罪及案例分析(教材) 86_網絡犯罪案例

實現這個轉換。

(2)使用traceroute/tracert命令。Windows系統上的traceroute/tracert是一個系統命令,可以用于跟蹤數據包從源IP地址到目標地址所經過的每一個路由器。偵查人員使用traceroute/tracert命令確定一個系統的物理位置,甚至一個網絡的拓撲結構。

(3)使用Whois數據庫。Whois數據庫是一個中心存儲庫,包含在Internet上注冊的每一個域的聯系信息。如同Internet上的“電話簿”,偵查人員使用Whois數據庫查詢某個機構、公司、大學或其他實體所擁有的IP地址,并獲得連接點。Unix系統帶有whois命令行工具,能用于查詢很多Whois數據庫。Windows系統沒有直接的系統命令提供該功能,因此,需要第三方應用程序或登錄網站(如ARIN等)查詢Whois數據庫。

(4)調查動態IP地址。每一臺接入Internet的主機必須擁有一個合法且唯一的IP地址。但是某些情況下,如某單位的固定IP地址數量短缺,或者用戶為了隱藏網絡的內部結構,需要使用動態IP地址技術。

動態IP地址意味著某個Internet上的系統在每個時間都會有不同的IP地址。相反,靜態IP地址就意味著系統連接Internet的每個時刻都保留同樣的IP地址。網絡地址轉換(Network Address Translation,NAT)和動態主機配置協議(Dynamic Host Configuration

Protocol,DHCP),這兩項技術都提供動態的IP地址分配。動態IP地址一般分配給那些撥號連接Internet服務供應商的用戶、使用DHCP網絡的公司用戶和公司撥號用戶。

獲取DHCP中的IP地址。DHCP服務器為訪問網絡的主機提供動態IP地址。不管DHCP服務器使用的是哪種操作系統,IP地址分配通常有日志記錄,從中可以查詢獲知具體哪臺主機(通過MAC地址)在某一特定時間擁有特定的IP地址。如果DHCP服務器是Unix系統,那么DHCP服務器 (名為dhcpd)使用syslogd程序記錄IP地址的動態分配情況。Windows系統中,該信息存儲在名為Dhcp Srvlog的文本文件中。

獲取NAT中的IP地址。執行NAT的系統保留一個易失的表,稱為地址轉換表。該表跟蹤專用網絡和Internet之間的每個會話,以便正確地轉發數據包。只要NAT系統從內部系統收到一個數據包,它就在地址轉換表中保存內部系統保留的、不可路由的IP地址和源端口號。地址轉換表中至少包含下列信息:源計算機的IP地址、源計算機的端口號、NAT系統的IP地址、NAT系統被分配的端口號。

用戶不能在執行了NAT的Unix系統上訪問地址轉換表。但是,可以通過show ip nat translation命令獲取Cisco路由器上的動態轉換信息。防火墻,如CiscoPIX和Checkpoints FireWall-1,Cisco路由器,Linux,FreeBSD、OpenBSD和NetBSD都可以用于構建NAT系統。

2.MAC地址偵查

IP地址工作在TCP/IP參考模型的網絡層,用于子網間通信時選擇路由。而在子網內部需要使用MAC地址進行尋址。

ARP協議用于將邏輯的IP地址映射為物理的MAC地址。當計算機只知道它需要通信的計算機的IP地址,但是還需要知道那臺計算機的MAC地址以建立正確的數據鏈路層的數據幀時,就需要使用ARP了。

(1)獲取ARP表。每臺計算機都存有一個記錄MAC地址與IP地址對應關系的ARP表。如果ARP表中的遠程計算機沒有活動連接,那么在大多數系統中這個表大約30秒更新一次。ARP表被看做是用于包含系統最近30秒內與之會話的計算機的MAC地址??梢允褂胊rp-a命令列出計算機ARP表的內容。

(2)獲取當前主機的MAC地址。在運行Windows 9x的計算機上,使用Winipcfg命令。在運行Windows NT/2000系統的計算機上,使用ipcofig/a11命令。在運行Unix、Linux以及Solaris的計算機上,使用ifconfig-a命令。

5.4.6電子郵件偵查

電子郵件服務是Internet應用最為廣泛的服務之一。在計算機犯罪偵查過程中,電子郵件的內容和電子郵件地址都是案件的重要線索和證據。

1.電子郵件結構

對于電子郵件證據而言,郵件內容是至關重要的。電子郵件的內容包括郵件頭、郵件正文、附件信息等部分。通常,郵件頭包括發件人的地址和日期、收信人的地址和主題信息。一般情況下,電子郵件軟件會自動填入發信人的地址和日期。但是,發信人地址可以偽造。例如,專門用于發送E-mail炸彈的攻擊軟件會自動修改發送方的電子郵件地址。這樣,收到的E-mail發信地址可能根本就不存在,而且發信時地址是隨時變化的,要根據發信人地址追查到扔“炸彈”的人相當困難。從計算機違法犯罪案件涉案的電子郵件中獲取案件線索是案件調查中的一項重要的工作。在對電子郵件的線索分析中,除信件內容外,對電子郵件信頭的分析非常重要,了解、掌握電子郵件信頭字段主要內容是正確分析信頭的基礎?,F對信頭基本內容介紹如下:

(1)電子郵件常用信頭

電子郵件常用信頭字段表如表5-2所示:

表5-2電子郵件常用信頭字段表 字段名稱

FROM

SENDER

REPLY-TO

TO

CC

BCC

MESSAGE-ID 描述 字段名稱 描述 信件寫信人信件創建日期 信件發信人信件MTA軌跡 發信回復人發信人地址 信件主收信人信件主題 信件輔收信人(抄送)信件的密件抄送收信人關于信件的其他說明信件的主題關鍵字 信件唯一標識符加密信息

信件長度 信件被回復到重新分發創建的字段REFERENCES 信件源STATUS

X-* 由MUA插入標識是否新信件、已閱讀、回復等 信件擴展字段,由開發者創建的非標準字段

Received字段:表明信件MTA軌跡。MTA(Mail Transfer Agent)為郵件傳送代理,從各種來源接收郵件,再確定郵件要路由到哪里和如何路由。處理一個信件的所有MTA必須在信件頭的開始部分增加一個Received字段,該字段要求特定的順序,以提供信件跟蹤信息。

Received字段主要含有"from"、"by" 、"via"、"with"、"id"、"for"、""、"date-time"等項。from用于指定發送信件機器名字。其后圓括號注解通常指定SMTP連接另一端機器名和IP地址,是通過獲得TC P連接的遠方機器IP地址,并使用D N S把IP地址轉換成域名。by用于指定接收機器的域名。id字段用于表示處理信件時用于信件的MTA的唯保留處理的信件的日志記錄,它允許信件與MTA日志項相連接。 for用于rcpt命令中給定的收信人地址。Date-time指定Received字段插入的時間

Message-id字段:唯一標識一個信件, MTA產生。字段使用@把字段分為左右兩部件形式表示,左部以時間、進程標識符,大多數日志項連接。由M U A或信件通過的第一部分,通常情況下右部以電子郵件形式表示符、左部以時間、進程表示符、同一時間郵件順:序號的形式表示。

MUA(M ail User Agent,郵件用戶代理),負責為用戶提供管理郵件的界面,主要有POP、IMAP兩種。POP是指郵局協議,從遠程郵件服務器將郵件下載到用戶的收件箱。IM AP是

指Internet信件訪問協議,用戶操作遠程服務器的郵件文件夾。

例如:Message—id:<[email protected]>

2007021114213為產生時間,234876為進程序列號,1為同一時間產生電子郵件的順序號。

In-reply-to和Reference字段。In-reply-to表示含有用于標識當前信件回復的信件信息的信息,通常使用Message-id中的信息。

Reference字段標識一個信件所有先驅,用做In-reply-to字段的一個附屬,當一個信件是對一個回復的回復時,前面信件的In-reply-to則追加到字段Reference字段

From、Date和Return—path字段。From字段可由用戶自定義或由MUA插入。Date字段通常由MUA自動插入,指示信件何時被發送。Return-path字段由最后一個MTA在信件前面增加。

To和Subject字段,即郵件的收件人和郵件題目,由用戶自定義。

(3)電子郵件涉及的時區

見表5-3。

表5-3 電子郵件涉及的時區表 時區

UT

GMT

EDT

EST

CDT

全稱 偏移 時區 MDT MST PST 全稱 偏移 世界時間格林威治標準時間東方夏時制時間中部夏時制時間北京時間中部標準時間山區夏時制時間山區標準時間太平洋標準時間 東方標準時間太平洋夏時制時間根據表5-3,例如,CST時間凌晨1時,換算成北京時間為當日15時,即CST時間相對格林威治標準時間6小時,北京時間相對格林威治標準時間+8小時,二者相差14小時。在案件調查中還經常遇到一些假冒、地址欺騙的電子郵件,對此我們在工作中還應不斷地總結積累。

2.追蹤郵件地址

用戶可以通過Telnet命令直接連接到郵件服務器上,并且手動執行SMTP命令HELLO、MAIL、FROM、RCPTTO、DATA等。這些是郵件服務器能夠識別的命令,并且在發送電子郵件時必須要執行。一般看不到這些命令,因為Netscape Messenger和其他電子郵件客戶端執行這些低層命令。

識別和追蹤郵件地址需要查看收到的電子郵件的報頭,可以在Outlook中來查看郵件的報頭。

3.追蹤基于WEB的電子郵件

基于Web的電子郵件賬戶使得確定郵件的發送者更加困難??梢栽诿看伟l送電子郵件時都申請一個新的在線Web mail賬戶。很多使用者都在使用hotmail和yahoo的免費電子郵箱,這些站點中的大多數都會記錄每一個訪問在線Web郵件用戶連接的IP地址。偵查人員可以通過查詢該公司的郵件服務器獲取Web郵件賬戶的登錄時間及登錄IP地址。

5.4.7 其他在網絡犯罪偵查中使用的技術

嗅探(Sniff)是在網絡中通過偵聽的方式對通訊數據包進行監視、采集與分析的技術手段,它屬于網絡監聽技術范疇。嗅探器(Sniffer)則是用于實現網絡嗅探的程序或工具。在ISS(Internet Security Systems)中的定義為:Sniffer是利用計算機的網絡接口截獲目的地和其它計算機通訊數據包的一種工具。偵查人員可以利用嗅探器完成網絡犯罪偵查。

1.偵查網絡中是否安裝了嗅探器

(1)網卡工作模式

首先偵查人員要判斷系統是否被安裝了嗅探器,要看當前是否有進程使你的網絡接口處于混雜(Promiscuous)模式下。如果任何網絡接口處于混雜模式下,就表示有可能系統被安裝了網絡嗅探器。但一些合法的網絡監視程序和協議分析程序也會把網絡接口設置為混雜模式。檢測到網絡接口處于混雜模式下,并不意味著系統中有嗅探器程序正在運行。

使用ipconfig命令就可以知道系統網絡接口是否處于混雜模式下:

#/path-of-clean-ifconfig/ifconfig –a。

一些工具程序可幫助檢測系統內的嗅探器程序:cpm (Check Promiscuous Mode)-Unix;ifstatus-Unix;neped等。但是,偵查人員必須考慮一些針對FreeBSD、Linux、HP-UX、IRIX和Solaris系統的模塊,可以擦除IFF PROMISC標志位,從而使嗅探器逃過此類工具的檢查?,F在,LKM(Loadable Kernel Model,可加載內核模塊)的廣泛應用,也增加了檢測難度。

(2)網絡流量分析

偵查人員可以通過網絡流量來判斷是否在網絡中安裝了嗅探器。通常,嗅探器自身不發送數據包,但由于它會在工作中產生異常的網絡流量,因此,網管通過運行自己的嗅探程序或網絡流量監測軟件,如Snoop, Net Monitor等,來監控網絡通訊流量的變化,可從側面發現嗅探器的存在。這些異常的網絡流量狀況可以表現為:異常高的網絡通訊掉包率、某主機長時間占據較大網絡帶寬;SNMP監控或集線器/交換機指示燈顯示其中存在異常連接;DNS流量查詢顯示有大量對不正常的IP地址進行的DNS查詢等等。

(3)系統資源分析

混雜模式下嗅探器的抓包并不依賴硬件進行流量過濾,所以會在工作中占據和耗費系統資源,因此通過對本機系統資源的利用情況進行監測也可幫助發現嗅探器的存在。如通過在本機中安裝入侵檢測系統,利用其異常發現功能,對系統的CPU利用率、硬盤空間、內存占用等指標進行監控;或對懷疑有嗅探器存在的主機發送ICMP包并計算其響應時間以及對其進行大流量負載沖擊測試等,都可幫助判斷其中是否有嗅探器存在。同時,嗅探器程序的日志文件的大小會急劇增加。使用df程序查看文件系統的某個部分的大小是否太大,也可以發現嗅探器程序的蛛絲馬跡。

(4)引誘策略

偵查人員也可以利用引誘策略來進行網絡犯罪偵查,利用嗅探器抓包中識別判斷的弱點,可針對性地實施引誘性查詢。常見的如Ping方式和ARP方式,前者構造一個不正常的Ping包,其中的MAC地址是偽造的;后者構造一個含有非正常MAC地址的ARP請求包。上述兩種數據包可發往懷疑含有嗅探器的主機,在正常情況下此類包將被丟棄,如果收到該主機的回應,則說明該主機上很可能存有嗅探器:引誘策略可擴展為多種形式,可利用多種能在目標主機上產生錯誤回應的協議:如TCP連接請求或使用端口7的UDP協議、能夠產生ICMP錯誤的無效IP報頭值等。不過此方式一般用于共享式局域網環境下,在交換網中交換機會將無效MAC地址數據包發往所有端口,因此無效。

(5)反嗅探工具

同時,偵查人員可以利用一些現有的反嗅探工具,可以幫助網管發現嗅探器的存在:如Anti-sniff,該軟件是網絡級商業化反嗅探測試工具。按照LOpht的軟件介紹,Anti-sniff發送特定的數據包到網絡中,以便發現混雜模式下系統的回應。它可進行3種不同類型的測試:操作系統詳細測試、DNS測試和系統潛伏問題測試。其它的同類工具還有Sentinel,neped,promise等。

2.嗅探器在網路犯罪偵查的使用

(1)共享式網絡下的嗅探

以太網是目前應用最廣泛的計算機聯網方式,其工作方式是將要傳送的數據包發往本網段所有主機,這種以廣播方式發送數據包的形式使得任何網絡接收設備都可接收到所有正在傳送的通訊數據,不過只將判斷為應該接收的數據包傳給上層應用程序處理。

在通常情況下,一個合法的網絡接口只響應這樣的兩種數據包而對其它通過的數據流量不予接收;一是該數據包的目的MAC地址與本機網卡的MAC地址相匹配,另一種情況就是此數據包具有一個廣播地址。

一般情況下,每塊網卡都具有一種稱為混雜(promiscuous)模式的工作方式,在此工作方式下,網卡不再比較數據包與本機網卡的MAC地址是否匹配,而是接收所有到達的數據包,在此情況下該主機就實現了對本網段所有通訊主機的嗅探。網絡嗅探器就是這種能將本機網卡設置為混雜工作方式的軟件,并在此基礎上實現對所有正在網絡上傳輸的數據進行截獲、接收與分析。嗅探器的工作處于網絡環境中的底層,只是靜態被動地數據接收,較難被發現。

(2)交換式網絡下的嗅探

隨著交換機成本和價格的大幅度降低,交換式網絡的比重正逐漸加大。由于交換式網絡采用與共享式網絡完全不同的數據傳送方式,曾一度使得網絡嗅探完全失效。在交換以太網中,網段被分割成端口,不同主機之間的相互通訊是通過交換機內部的不同端口間的存儲轉發來完成的。最常見的交換機在網絡層根據數據包目標地址進行轉發,而不采取以太網集線器的廣播方式。從理論上講,一個主機無法再利用數據包的廣播或網卡的混雜模式對其它端口的通訊進行偵聽,因此,原有的嗅探手段無法在交換式網絡下實施。

不過,交換網絡下的嗅探也并非完全不能進行,但要采取其它相應的策略或手段。 通過誘騙或入侵部署的關鍵設備與服務器。通常黑客無法直接對交換網絡互連設備進行物理上的設置或改動,不過通過利用網管人員的疏忽或麻痹,采用其它入侵手段(如木馬或后門程序),在成功取得系統Root控制權后,就可將嗅探器安裝在數據傳輸的關鍵位置,如交換機監聽端口、HUB與交換機的連接端口、核心路由服務器等。

在共享式網絡環境下,HUB只是簡單地把這個數據包廣播到它的所有端口上,而交換環境下交換機的每個端口與一個主機的MAC地址相對應,因此數據包只傳到具有相同MAC地址的端口上,所以在交換網絡環境下即使將網卡設置為混雜模式也無法接收到發給其它主機的數據包。ARP欺騙與MAC地址偽造是交換網絡下最主要的嗅探手段。

基于ARP (Address Resolution Protocol)地址解析協議的特點,即每個主機都含有一個MAC/IP地址映射表,ARP表是根據MAC/IP地址映射而動態刷新變化的。當通訊雙方在本機ARP表中沒有發現對方的MAC/IP映射對時,就會產生一個ARP地址請求包,該包在交換網絡中以廣播形式傳送,只有符合條件的目的主機才會響應并返回一個ARP應答包以告知對方白己的MAC地址,而接收到此ARP應答包的主機就會對自己原有的ARP表進行刷新。

ARP欺騙(ARP Spoofing)利用主機響應A RP應答包并對其緩存中的ARP表進行更新的原理來實現嗅探,當嗅探器檢測到以廣播形式發送的ARP請求包時,會偽造虛假的ARP應答包發給請求主機,由于ARP協議規定并不只在發送了ARP請求后才接收ARP應答包,所以請求主機在接到偽造的ARP應答包后也會更新自己的ARP映射表。如果偽造的ARP應答包提供了嗅探器所在主機的MAC地址,那么,嗅探器就會捕獲到發往原目的主機的數據包。為了不影響正常的原有通訊,嗅探器必須具備將收到的數據包再轉發給原目的主機的機制,這種ARP重定向功能是通過嗅探器實現IP轉發完成的。

MAC地址偽裝的嗅探技術通常用于對交換機進行欺騙。在交換機中同樣維護著一個MAC/Port對的動態映射表,該表的更新是由交換機在接收和發送數據包時不斷學習積累的,交換機根據此表將具有不同MAC地址的數據包發往相應的端口。如果嗅探主機對自身的MAC地址加以改變并偽裝成目標主機的MAC地址,就可迷惑交換機,將原本應發往目標

網絡犯罪及案例分析(教材) 86_網絡犯罪案例

主機的數據包發給嗅探主機,從而達到嗅探的目的。

MAC地址雖然是由生產廠商設置并且確保其惟一性,但并非不可改變,目前修改MAC地址的辦法有:修改注冊表(Windows)、利用網絡命令(Linux/L1nix下的(ifconfig)、使用網卡提供的功能進行修改或者采用重寫EPROM的辦法來永久改變網卡的MAC地址。

上述做法在實現上都有局限性,首先是只能實現對單個目標主機通訊數據的嗅探而仍無法采集整個網段的通訊數據;其次是增大了實現難度,容易被發現:另外由于ARP表或交換機的MAC/Port映射表都處于動態更新狀態,所以上述方案只能用于少量包的采集。

路由欺騙技術:如果嗅探器獲得權限可以發送ICMP重定向消息或者IRDP路由發現協議消息,就可使同一網段的所有主機都對其路由表加以修改,采用此方式,嗅探器將自身主機設定為缺省路由器,使其它主機數據包要通過嗅探主機來進行路由轉發,從而就實現了嗅探其它主機通訊數據的目的。路由欺騙技術與ARP欺騙相類似,路由表的工作機制也類似于ARP表,同樣為了維持原有正常的網絡通訊路由狀況,嗅探主機也必須進行IP轉發。

MAC地址淹沒(Flood)攻擊:嗅探器通過持續不斷地發送大量的具有虛假MAC地址的數據包,使交換機不斷更新其緩存中的MAC/lPort映射表,由于其緩存空間是有限的,大量虛假信息會使交換機無法進行正常數據交換,最終退回到集線器工作模式,即采用廣播方式將包發往所有端口,這樣,嗅探器就可接收到所有主機的通訊數據。此方式破壞了交換機的正常工作狀態,屬于非正常嗅探手段。

(3)利用嗅探器分析數據包

偵查人員在網絡中使用了嗅探器后,可以分析數據包得到有利于網絡犯罪偵查的證據,偵查人員首先必須對TCP/IP報頭的概念有深刻的理解和認識,那么就為在網絡上執行俘獲和追蹤做好了準備。當尋找“無內容”(non content)或者事務(transactional)信息時,可以在網絡上使用司法部門所稱的筆錄記錄器/俘獲和追蹤(pen regester/trap and trace)。在基于Internet的網絡上,應用俘獲和追蹤意味著監測IP報頭和TCP報頭(或者其他傳輸層協議報頭),而不必監視任何用戶提供的數據包中的內容。這是用來確定網絡攻擊的來源或者探測網絡流量異常(諸如會破壞常規的侵入探測系統的后門程序)的非侵入方法。這些俘獲和追蹤監視可以使用諸如tcpdump、snoop、snort之類的免費的標準工具或者由諸如netmon(用于Windows)之類的圖形用戶界面(GUI)工具來完成。

tcpdump和snoop是為時甚久的工業標準(snoop對Solaris計算機有效),一個名為

WinDump的用于Windows的tcpdump實用工具與tcpdump完全兼容,可以根據與tcpdump相同的規則來監視和診斷網絡流量。它運行在Windows 95/98、Windows NT和Windows 2000系統上。Tcpdump和Windump捕獲具有相同二進制格式的文件,因此,可以使用tcpdump捕獲通信,而使用Windump查看它。以下命令行啟動不進行過濾的俘獲和追蹤,并將結果打印到屏幕上:

[[email protected] taps] # tcpdump

tcpdump:listening on eth0

如果在繁忙的網絡上工作,會看到許多tcpdump標題行的迭代,能夠創建從IP和TCP報頭轉換的帶有許多字段的報頭。不要侵犯他人隱私,使用俘獲和追蹤時要考慮的主要問題是如何避免在捕獲用戶提供的數據的同時侵犯他人的隱私。偵查人員必須清楚,許多工具默認情況下可以獲取一些字節,可能會偶然獲取到數據包的某些內容。對于司法部門來說,能夠證實俘獲和追蹤沒有捕獲到具體內容是非常重要的。IP和TCP報頭通常是40個字節長,但是各種選項會使該值變大。tcpdump程序默認每個數據包捕獲68個字節,但是如果選擇將輸出打印到屏幕上,就可以非侵入地查看網絡上的流量。

假定有一臺計算機連續崩潰,但是不知道什么原因,就可以在崩潰計算機的相同網段上放置一個嗅探器來分析數據包,進行俘獲和追蹤來查看與崩潰計算機接觸的所有流量。

以下命令行將會開始捕獲在監測箱上接觸網絡適配器的所有流量的報頭信息:

[ [email protected]/ root] # tcpdump > traptracel

如果所在網絡很繁忙,最好迅速停止tcpdump程序,因為traptracel文件可能會在短期內變得很大。偵查人員查看捕獲文件,可以使用諸如cat、more之類的UNIX命令或者Linux專用的less命令。

可能經常需要把文件寫進一個二進制輸出文件,因為這是保持數據的永久記錄的一種方法。要把這些值寫進一個二進制文件,可以在tcpdump或者WinDump中使用-w選項。在使用snoop時,可以使用-o選項。

以下命令行在tcpdump運行的當前工作目錄中創建一個名為trapfilel的二進制輸出文件。

[[email protected] taps] # tcpdump – x –V –i eth0-w trapfilel

tcpdump:listening on eth0

因為確定snap長度的-o選項沒有指定,因此tcpdump默認捕獲每個數據包中的前68字節的信息。這對于俘獲和追蹤來說也許捕獲的內容太多了,偵查人員來做的俘獲和追蹤工作量就太大,某些協議在前68個字節中包含了用戶提供的信息,例如用戶標識或者密碼。如果IP報頭和TCP報頭的長度合計為40個字節,tcpdump就多捕獲了28個字節的用戶提供的信息。圖5-4顯示了WinDump在執行俘獲和追蹤之后的輸出。

圖5-4 windump查看捕獲和追蹤二進制文件

3.在網絡中架設特殊網絡偵查

偵查人員可以在需要偵查的網絡內架設特殊網絡,在被入侵的系統上巧妙地設立Honeypot(蜜罐技術),模擬先前被入侵的狀況來捕獲入侵者的信息。

Honeypot和Honeynet都是一個專門設計來讓人“攻陷”的網絡,一旦被入侵者所攻破,入侵者的一切信息、工具等都將被用來分析學習,同時獲得了入侵者一個很詳細的信息,包括入侵者團體之間的通信,諸如IRC(Internet在線聊天系統)等。捕獲的數據也可以存儲在一個攻擊特征庫中,如果在其它事件中,發現類似的特征代碼,就可以輕易地判斷出其攻擊方式,對入侵者的范圍也有了一個限制。

通常情況下,Honeypot會模擬某些常見的漏洞、摸擬其它操作系統或者是在某個系統上做了設置使其成為一臺“牢籠”主機。比如The Deception Toolkit(下載),CyberCop Sting,以及Mantrap,它們是一些腳本的集合,模擬出了一些常見的系統漏洞:CyberCop Sting運行于NT平臺,它模擬出多個不同系統的IP堆棧及inetd服務。Mantrap則是將Solaris系統進行了一些設置。

Honeynet是一個網絡系統,而并非某臺單一主機,這一網絡系統是隱藏在防火墻后而的,所有進出的數據都受到關注、捕獲及控制。這些被捕獲的數據可被用來研究分析入侵者們使用的工具、方法及動機。在這個Honeynet中,可以使用各種不同的操作系統及設備,如Solaris, Linux, Windows NT, Cisco Switch等。這樣建立的網絡環境看上去會更加真實可信,同時,不同的系統平臺上而運行著不同的服務,比如Linux的DNS Server,Windows NT的Web server或者一個Solaris的FTP server,這樣可以學習不同的工具以及不同的策略,或許某些入侵者僅僅把目標定于幾個特定的系統漏洞上。在Honeynet中的所有系統都是標準的機器,上面運行的都是真實完整的操作系統及應用程序,就像在互聯網上找到的系統一樣。沒有刻意地模擬某種環境或者故意地使系統不安全。在Honeynet里找到的存在風險的系統,與在互聯網上一些公司組織的網絡系統毫無區別。(參考文獻:計算機取證技術研究.梁錦華.計算機工程.2002.8)

4.分析文件進行網絡犯罪偵查

偵查人員可以分析文件進行網絡犯罪偵查,分析文件結構后,可以對網絡犯罪偵查有一定積極意義。

十六進制編輯器可對Windows的Swap File進行分析,但分析一個文件,往往需要一天甚至一周的時間,一些工具軟件的使用可把時間縮短為幾分鐘,如NTI的IP Filter可動態獲取Swap File進行分析。系統關閉后,Swap File就被刪除,恢復工具軟件如GetFree可獲取Swap File和Unallocated Space (Erased Files),GetSlack可獲取File Slack并自動生成一個或多個文件。這些分析工具對文件File Slack, Unallocated Space (Erased Files)進行關鍵詞檢索、模式匹配配,能夠識別有關Internet活動的文字、電話號碼、信用卡號、身份證號、網絡登錄及密碼、E-Mail等,并可自動識別未定義的關鍵字。

第六章 網絡犯罪的預防和控制機制

6.1 建立網絡警察隊伍

我們所身處的時空,正在以一種幾何速率為互聯網所應用,沒有人想排斥互聯網的巨大魅力,進而被飛速發展的世界所拋棄。然而,互聯網的復雜性又往往越出了人們的想象。在這個虛擬的世界中,罪惡發生的速率同樣難以計算。當互聯網以其無與倫比的信息溝通優勢,“網”住越來越多的有心人時,隨之而來的網絡犯罪或者借助網絡逃脫罪責的行為也越來越多,而且花樣百出。

網絡上并沒有絕對的自由,在這個虛擬的世界里,同樣有其游戲規則。任何意圖破壞虛擬世界安定的行為,同樣要受到制裁和懲罰。

網絡犯罪的偵查由于前面說的特殊性,不可能依靠原來偵查普通刑事犯罪的偵查隊伍去進行,必須建立一支新的既懂技術又懂法律的警察隊伍。目前我國至少有20個省市已經建立了特殊的網絡警察,以管理和維持飛速發展的計算機網絡秩序。在我國,網絡警察的全稱是國際互聯網安全監察專業警察,目前這支特殊的警察隊伍已達數千人。這種新的警察部隊的目標之一,是進行網上搜尋,以防范和跟蹤在數秒鐘之內犯下的,幾乎不留下任何痕跡的各種不良行為和犯罪活動。

6.1.1隊伍力量

我國目前在行政組織上建立了從公安部到省、市級的公共信息網絡安全監察部門,專門從事打擊計算機犯罪活動。網絡犯罪的特點決定了計算機網絡犯罪案件偵查的復雜性和困難性,因此必須有一批兼有高超計算機技術和法律知識的專業隊伍。同時,面對計算機及互聯網技術的快速發展,要求這部分從業人員知識更新的速度更快。一方面,他們自身應努力學習,不斷用新的技術和理論提高自己;另一方面,管理部門應有計劃的對其進行培訓并給出一定的時間,專門研究網絡犯罪問題。

針對我國目前的計算機犯罪狀況及其發展趨勢,吸收大量專業技術人員作為司法工作人員,同時,及時有效地對所有偵查人員進行計算機專業知識的培訓,將是當務之急。 近年來,我國各級公安部門不斷到大學和科研院所物色人才,引入電腦專業技術人員,擴大和加強網絡警察隊伍陣容。一些地方公安機關甚至在媒體公開招募電腦專業人才,以保障網絡警察隊伍的技術優勢。

建立了專門的網絡警察隊伍,還要保證這支隊伍的高素質和高水平,必須做好以下幾方面:

第一,成員要嚴格挑選,納入這支隊伍的應該是那些思想素質、道德品質、業務素質都比較過硬的人員,避免執法者知法犯法。

第二,網絡警察要由具備綜合性知識和專業技術的人才組成。他們的專業類型至少應該包括:科技政策、法律、人事管理、計算機硬件與軟件、計算機系統分析、電子通信、財務審計等。

第三,必須加強對執法人員的業務培訓,盡可能提高其在計算機網絡管理與執法方面的能力?,F代計算機網絡技術發展十分迅速,如果不定期補充、更新相關人員的知識結構,培訓并提高其業務水平,學習相關的信息政策、法規條例,是很難勝任其工作的。因此需要對這支警察隊伍進行大力培訓,尤其是在計算機及網絡技術和法規方面予以特別培訓。

6.1.2隊伍水平

對于網絡警察這支年輕的警種來說,要求必須掌握以下技術:

1.解密技術

在一些計算機網絡犯罪案件中,行為人為了逃避打擊,往往對自己的一些重要文件進行加密處理,這類案件偵破的關鍵就是必須首先解密。

2.快速備份技術

對計算機網絡犯罪使用的計算機系統,要進行分析,取證時首先要將系統備份,目前計算機存儲技術發展較快,存儲器的存儲密度和存儲容量越來越大,這就需要掌握快速、大容量的備份技術。

3.數據恢復技術

計算機網絡犯罪發生后,案犯往往會破壞現場,毀滅證據。因此,對破壞和刪除的數據要進行有效分析和恢復,才能從中發現蛛絲馬跡。

4.數據分析和證據提取技術

對存儲介質的文件、殘留數據進行分析、比較,提取物證也是網絡警察必須掌握的技術。這部分的詳細內容參看第五章。

6.1.3隊伍職能

1998年,湖北武漢市計算機國際互聯網安全監察專業隊伍組建完畢,是全國較早的網絡警察。1999年底,他們正式獲得刑事辦案權。隨后,安徽、廣東、湖北等省相繼出現了網絡警察隊伍。據公安部統計,至2007年6月,我國共有20多個省、市、自治區建制網絡警察隊伍,總數有數千人。

目前比較普遍的計算機網絡犯罪歸納起來主要有以下一些類型:一是“黑客非法入侵”,破壞計算機信息系統;二是網上制作、復制、傳播有害信息,如傳播計算機病毒、黃色淫穢信息等;三是利用計算機實施金融詐騙、盜竊、貪污、挪用公款;四是非法盜用計算機資源,如盜用賬號、竊取國家機密或企業商業秘密等;五是利用互聯網進行恐嚇、敲詐等其他犯罪。隨著計算機犯罪活動的日益新穎化、隱蔽化,未來還會出現許多其他犯罪形式。網絡警察針對上述種種犯罪現象,對職責做了幾大劃分:有的負責電子信箱,包括打擊辱罵、恫嚇和垃圾郵件等現象;有的負責調查青少年色情,包括色情畫面和文字;有的負責電腦追蹤恐怖活動,尋找闖入和破壞計算機網絡信息的入侵者;有人負責調查經濟詐騙等犯罪。由于有些“黑客”還是未成年的孩子,網絡警察還增加了“家訪”的任務,從打擊和疏導兩方面維護網絡的安全。

6.1.4隊伍素質

1.相關的計算機專業知識

根據網絡犯罪的特點,要求網絡警察應該具有較強的計算機網絡專業方面的知識。擁有尖端計算機和網絡技術知識,是網絡警察和其他警種的標志性區別。網絡警察最主要的工作是進行網上搜尋、防范網絡犯罪幽靈、對網吧進行管理;檢索出網上的淫穢、反動信息,根據線索偵破網絡犯罪案件。大多數網絡犯罪人員都具有相當高的專業技術和熟練的操作技能。1999年11月,一封發自湖北武漢的電子郵件震驚了香港某公司。3億港元——發件人向該公司開出勒索天價,并威脅,如不給將遭受更大損失。當案犯被抓獲時,這名武漢某大學的四年級學生感嘆道:“我怎么也想不到,公安局還有網上破案的本事?!比绻麤]有網絡警察的尖端科技,這些成績是難以想象的。

2.雄厚的法律功底

網絡犯罪及案例分析(教材) 86_網絡犯罪案例

網絡安全作為一個綜合性課題,涉及面廣,所含內容多,單純從技術角度只能解決一個方面的問題,而不能從長遠角度和全面角度規范、保障網絡安全。網絡無論采用何種加密技術或其他技術預防措施,都只能給實施網絡犯罪增加一些困難,不能徹底解決問題。而且技術性越強可能會更加激發具有獵奇心態的人進行網絡犯罪的興趣。許多黑客都是為了打敗高度防衛的計算機,并以此為榮而侵入或破壞網絡的。因此,對于網絡犯罪應制定網絡法律,充分利用法律的規范性、穩定性、普遍性、強制性,有效保護網絡當事人的合法權益,增強對網絡破壞者的打擊處罰力度。因此,網絡警察——戰斗在打擊網絡犯罪第一線的執法者,毫無疑問必須具有雄厚的法律功底。

3.準確把握網絡犯罪的能力

網絡警察的主要任務是打擊網絡犯罪。準確把握網絡犯罪是打擊網絡犯罪的前提,也是網絡警察的核心素質。

網絡犯罪是觸犯刑法的嚴重危害社會的行為,其破壞性遠非傳統犯罪可比。網絡犯罪對知識產權、個人隱私和國家安全也帶來了巨大的威脅,尤其是涉及國家機密或決策的計算機系統,一旦遭到侵犯或破壞,就可能給國家主權與安全帶來災難性的后果。美國康奈爾大學的一名研究生把自己設計的病毒程序輸入五角大樓遠景規劃網絡,導致美國軍事基地和國家航天航空局的6000多臺電腦全部癱瘓,造成直接經濟損失近1億美元。

6.2 建立網絡犯罪的防范機制

防范計算機網絡犯罪需要計算機安全技術,安全管理也需要依靠安全技術。但是計算機安全技術受制于計算機技術的發展,目前所采用的各項技術和管理措施,只能是相對的,甚至在很大程度上只是“補漏洞”??梢哉f,世界上沒有攻不破的網絡,也沒有摧毀不了的安全解決方案。因此,用司法手段發現計算機網絡犯罪并在計算機及其網絡中獲取可以作為法庭證據的電子數據證據,是保證計算機系統安全、打擊計算機網絡犯罪技術的重要手段之一。

6.2.1加強網絡道德教育與宣傳

在“網絡社會”這個嶄新的信息世界里,主體的行為往往是在“虛擬世界”的情形上進行的。在網絡技術的幫助下,每個人的行為方式、行為目標等都能夠得到充分隱匿篡改。在網絡道德初期,由于新舊道德規范并存、交替、更迭,從而造成了規范內容的沖突和銜接的脫節,并引發了大量的失范行為。網絡犯罪的防范光靠法律規范和有關部門進行反襲擊是不夠的。防止網絡犯罪固然要通過法律手段來使網絡的運行規范化、程序化,并要設立專門的機構來保障網絡法律的實行,但是,僅以它們來對付計算機和網絡的不道德現象和犯罪現象是不夠的。因為計算機和網絡系統的種種非道德和犯罪現象,都具有隱蔽性、瞬時性、高智能、高技術、跨地域、更新快的特點,這大大削弱了外在制約的力度。

正確的輿論導向是預防網絡犯罪的主要方式之一。通過輿論的力量,倡導褒揚善舉德行,譴責缺德行為,從而使整個網絡社會形成揚善懲惡的良好動力和壓力,使主流文化不但在現實社會中,而且在網絡空間中也占據主要陣地,使種種網絡違法行為成為“過街老鼠”。因此,必須培養人們的網絡道德。加強網絡道德的教育主要通過兩種方式:學校教育和大眾傳媒的宣傳。

1.學校教育

大中小學各級學校教育是進行網絡道德教育的主渠道。在中小學的網絡道德教育中,應注重從道德角度引導學生正確認識計算機和網絡的作用,提高他們對網絡信息的辨別能力。要使學生認識到,無論是計算機還是網絡,都是用來為人類服務的,而不是制約人類和支配人類的。網絡本身雖然沒有“德行”,但是使用它的人卻有德行,網絡的作用因使用主體的德行不同而發生正向或反向變化。

在大學的網絡道德教育中,則要側重于網絡行為的一般規范和網絡責任教育。大學網絡道德教育的基本規范,可以借鑒國外的一些比較成熟的東西。通過對大學生的網絡道德教育,要使他們能夠以道德理性來規范自己的網絡行為,明確認識到任何借助網絡進行的破壞、偷竊、詐騙和人身攻擊等等都是非道德的、違法的甚至是犯罪的行為。必須承擔相應的責任或受到相應的制裁,從而杜絕任何惡意的網絡行為。

2.大眾傳媒的宣傳

除了課堂學習以外,社會各大媒體也應該加入網絡道德的宣傳的行列。應充分重視媒體對形成人們潛在的網絡道德的巨大作用,展開聲勢浩大的網絡道德輿論宣傳,形成人們潛在的網絡道德意識。尤其值得注意的是通過網絡自身來傳播網絡道德,通過網絡管理部門來監督、引進網絡道德,形成注重網絡道德的社會氛圍。

6.2.2加強監管

1.加強內部管理

由于已經發現的網絡犯罪案例多數是由企業內部或單位內部掌握了計算機管理權限或相當技術的人員所為,因此要防范網絡犯罪,加強企業或單位內部的管理是必不可少的。對外部的入侵警惕很可能使人忽視內部的安全管理。美國信息安全雜志公布的一項調查表明:盡管網絡安全方面的花費不斷增加,網絡犯罪仍然越來越猖獗??缃缇W絡犯罪使得人們忽視了來自自身企業內部的安全隱患。網絡安全公司Check Point Software Technologies的主管Anthony Lim介紹說:“70%的網絡入侵是來自組織內部的,不管他們的動機是故意的、無意的、帶欺詐性還是純粹的黑客?!盠im表示很難確定這些內部安全破壞行為為企業造成了多大損失,因為這些破壞行為很少正式公布出來。

2.事后的報告制度

要防范來自內部的攻擊,企業有許多工作要做,其中嚴格的管理制度是必不可少的。有了嚴格的內部管理,并不能保證不會發生事故。在發生了攻擊事件后,要有相應的報告制度,以避免類似事件的發生。一旦發生了攻擊事件后,應該及時報告,而很多企業對此認識不足,擔心事件一旦泄露,會導致公司的信譽降低。而不報告的后果會使得犯罪分子更加有恃無恐。各企業應該緊密合作與網上犯罪作斗爭。一旦一個企業受到攻擊,就可以向其他企業發出警報。及時的攻擊預報再加上政府的法律行為將有助于發現和制裁罪犯,這也有助于維護整個業界的安全,促進電子商務的發展。事實上,很多單位已經有了這樣的報告制度。如中科院植物所在2000年3月制定了關于計算機信息網絡違法犯罪案件報案試行制度。

3.用戶網絡安全應急小組

先看一個典型的成功案例:美國一家名為底特律?愛迪生的公司,他們在安全難以保證,尤其是公司計算機幾乎每月都會遭到病毒侵襲的情況下,下決心廢除舊的安全管理模式,成立了一個由12位人員組成的應急小組,專門用來對付這類問題。這一決策帶來的效果是十分明顯的。1995年8月的一個星期五的深夜,一位公司員工發現有種病毒正在破壞用微軟公司的WORD軟件做的文擋,于是,他立即通知了安全應急小組。小組人員迅速與微軟公司和反病毒軟件開發商取得了聯系,沒多久,就拿出了應急處理方案。他們清除了病毒,又給公司的個人計算機、局域網、工作站安裝了預防這種病毒的軟件,到星期二,一切問題解決了。從這個案例可以看出,安全應急小組的應用,不僅僅在于處理已經發生的異常突發情況,而且可以為用戶的系統安全提出建議,杜絕安全隱患,訂立預防措施;并監視記錄平時的系統活動,并對于異常的情況給予及時的標記、處理。因此,對于重要的用戶,如大的公司企業、醫院、軍事機構、政府部門等單位建立像該案例中的網絡安全應急小組是必要的而且是有效的。

4.企業間的合作

除了單個企業的努力,企業間的聯合包括國際間企業的聯合也是非常重要的,這是由網絡犯罪的跨國性地區性決定的。

Interpol(國際刑警組織)的秘書長雷蒙德.肯多爾2000年10月警告說,各企業應該緊密合作與網絡犯罪作斗爭。他說,Interpol正在執行一系列的計劃,以幫助企業對付網上犯罪。企業也必須行動起來,向不斷增加的網絡犯罪活動開戰。Interpol的計劃包括開發安全技術和工具,在互聯網上搜索潛在的攻擊或犯罪活動的證據??隙酄栠€強調了開發與美國的Cert協作中心類似的歐洲早期預報系統的必要性,他說,“一旦一個企業受到攻擊,就可以向其他企業發出警報”。他認為,及時的攻擊預報再加上全球的法律行為將有助于發現罪犯。

此外,美國商務部于2000年1月16日宣布成立信息技術信息共享與分析中心。作為該中心的共同發起者——19家計算機大公司表示將聯手打擊計算機網絡犯罪,保證計算機網絡安全。新成立的機構的任務是解決計算機網絡襲擊時信息共享問題,創建全球范圍的早期預警系統。具體涉及三個主要方面:

第一,及時通報與交流有關計算機犯罪以及防范措施信息,包括計算機事故、計算機受到攻擊情況、計算機系統薄弱環節、安全防范經驗及保護措施等;

第二,形成系統的保護上述信息交流與協調的管理機制;

第三,采取其他相應措施來保證前兩項任務的完成。

5.企業與政府的合作

企業除了自己單獨或與其他企業聯合起來防范網絡犯罪以外,與政府的合作尤其是很重要的,因為企業畢竟沒有偵查網絡犯罪的權力,抓獲犯罪并將之送上法庭仍然需要政府來進行。兩者之間可以說是相互補充的關系。

6.2.3立法完善

完善有關計算機網絡犯罪的法規和法律,是打擊計算機網絡犯罪的重要基礎,面對計算機技術及網絡技術的不斷發展,新形式的計算機網絡犯罪增多的現象,必須建立和完善法律,為打擊計算機網絡犯罪提供法律依據,真正用法律威懾犯罪分子,用法律教育人民。

雖然我國目前已經建立了一批計算機方面的法律和法規,但隨著計算機網絡犯罪形式和種類的不斷增加以及越來越大的社會危害性,現有的法律尚不能完全解決司法實踐中出現的問題,需要進一步修改和完善。如:需要在刑法中修改和完善計算機犯罪罪名、量刑、刑罰種類等,需要在刑事訴訟法中完善證據制度等等。

法律的完善主要包括行政法、刑法及刑事訴訟法的完善,以及針對網絡犯罪的網絡法的制定等。我國已經陸續制定了一些有關計算機網絡犯罪方面的法律。從法律的內容來看,行政法主要是規定一些計算機安全管理方面的規章制度。刑法主要是有關定罪量刑方面的規定。而刑事訴訟法規定的是有關網絡犯罪偵查及取證方面的制度。這三個方面結合起來構成了打擊網絡犯罪的有效法律武器。此外,有的專家、學者提出了還應該建立針對網絡犯罪的網絡法。

美國一家研究機構2001年初完成的一項調查顯示,全球大多數國家都缺乏懲治計算機犯罪的立法。此次調查共涉及52個國家,其中33個國家的法律沒有任何與懲治計算機犯罪有關的條文;有10個國家對本國法律進行了修訂,增加了懲治計算機犯罪的條款;還有9個國家表示正準備進行修訂。調查發現懲治計算機犯罪的法律條款最為齊全的是菲律賓,這與“愛蟲”病毒曾發源于菲律賓顯然不無關系;另外一個打擊計算機犯罪立法較為健全的國家是美國。輿論普遍認為,加強網絡法制對于在一個高度網絡化的社會里充分發揮電子商務的潛力是十分關鍵的。本次調查的研究者呼吁各國立即著手行動起來,加強打擊電腦犯罪的立法工作,以保證網絡的健康發展。

1.國外的立法現狀

美國:1984年10月12日,里根總統簽署了美國第一部聯邦計算機犯罪成文法——《偽裝進入設施和計算機欺詐及濫用法》;1986年又頒布了《計算機欺詐和濫用法》;1994年美國議會通過了《計算機濫用法修正案》。起初,美國將打擊重點放在未經許可而故意進入聯邦利益計算機的行為上,1993年以后主要擴大了計算機犯罪的責任犯罪和為計算機犯罪的受害者提供民事補償。

英國:1981年英國頒布了《偽造文書及貨幣法》;1984年又頒布了《資料保護法》。針對日益泛濫的計算機犯罪,英國又于1990年頒布了《計算機濫用法》。打擊重點在于未經許可而故意進入計算機的行為,確立了非法侵入計算機罪、非法修改計算機和內部程序或數據罪等。

俄羅斯:根據俄羅斯杜馬1996年5月24日通過、1997年1月1日施行的《俄羅斯聯邦法典》的規定,俄羅斯計算機犯罪有三種:一是不正當調取計算機信息罪;二是編制、使用和傳播有害的電子計算機程序罪;三是反電子計算機系統或其網絡的使用規則罪。

2.國內立法現狀及分析

行政法方面。我國目前制定的有關計算機網絡安全管理法律多是行政法方面的規定。主要有以下一些規定:《計算機信息網絡國際聯網保密管理規定》(自2000年1月1日起施行);《商用密碼管理條例》(國務院1997年10月7日發布);《國家密碼管理委員會辦公室公告(第一號)》;《中華人民共和國計算機信息系統安全保護條例》(國務院1994年2月18日頒布);《關于對〈中華人民共和國計算機信息系統安全保護條例〉中涉及的“有害數據”問題的批復》(公安部1996年5月9日);《關于對國際互聯網的計算機信息系統進行備案工作的通知》(公安部1996年1月29日);《關于加強信息網絡國際聯網信息安全管理的通知》(公安部1996年7月1日);《計算機信息網絡國際聯網安全保護管理辦法》(1997年12月11日國務院批準;1997年12月30日公安部發布);《計算機信息系統安全專用產品檢測和銷售許可證管理辦法》(公安部1997年12月12日發布實施);《中華人民共和國公共安全行業標準》;《計算機信息系統安全專用產品分類原則》;《公安部關于防病毒卡等產品屬于計算機安全專用產品的批復》;《公安部關于嚴厲打擊利用計算機技術制作、販賣、傳播淫穢物品違法犯罪活動的通知》。

在刑法方面。我國1997年修訂的新《刑法》對計算機犯罪做了規定。新《刑法》第285條、第286條等對計算機犯罪作了規定。此外,九屆全國人大黨委會2000年12月28日通過了《關于維護網絡安全的決定》,根據該決定15種網絡犯罪將受懲處。

刑事訴訟法方面。我國幾乎沒有關于計算機偵查方面的特殊規定,而計算機犯罪懲治的最難點恰在于偵查的難度。如關于證據的取得及效力及一些偵查措施的合法性都需要在訴訟法上加以完善。這就加大了網絡犯罪的偵查難度。

目前我國有關信息安全的立法十分薄弱。有關專家認為,中國的網絡太脆弱、信息安全相關立法更脆弱,到應該制定一部統一的計算機信息安全法律的時候了。由于網絡的技術含量相當高,法律界以及計算機相關技術的專家應坐到一起,共同研制制定計算機信息安全法。同時有關這方面的法律需要有一定的超前性,同時又不能統得太死,不能打擊計算機愛好者正當的鉆研積極性。

6.3 防控網絡犯罪的法律依據和對策

6.3.1西方網絡犯罪立法對策研究

1.加強行政立法,嚴格對計算機網絡信息系統的管理

世界上第一部含有計算機網絡處罰的保護計算機及網絡數據的法律是1973年4月4日瑞典制定的《瑞典國家數據保護法》。該法對數據的收集、存儲、傳輸、復制、處理、使用、

修改、銷毀等都作了具體性的法律規定,如第21條規定,非法接近、變更、刪除或偽造計算機電子數據的行為,構成數據侵害罪。

世界上第一個對互聯網絡應用與行為規范提出法律約束的國家是德國。德國政府為了加強對利用信息網絡傳播色情節目的管理,強調網絡服務者在接入時應當禁止傳播有關性和新納粹的資料,否則將受到處罰。在這種背景下,1997年8月,德國頒布了《聯邦多媒體法》。

在澳大利亞,因特網的生產和管理歸澳大利亞通訊和信息部,而對不法犯罪活動的打擊則由總檢察部負責。澳大利亞政府修訂了1992年制定的廣播服務法,對因特網的內容和分類作了嚴格的限制和規定。廣播服務法明確規定,在因特網上任何人不許非法加入暴力、淫穢和色情的內容,如有違犯,將以犯罪論處。

美國1970年頒布了《金融秘密權利法》,對一般個人或法人了解銀行、保險業以及其他金融業的計算機中所存儲的數據,規定了必要的限制。1978年,美國總統辦公室頒布了計算機安全準則,制定了從計算機設備采購到計算機人員審查的一系列規定。1987年美國頒布了《聯邦計算機安全處罰條例》。1996年2月8日美國總統克林頓簽署了《電信法》,其中有一部分被稱為《正當電訊法案》,該法案禁止有意使用計算機給未成年人提高“不正當資訊”。1998年2月,美國國會頒布了《通信領域行為規范法案》,目的是通過規范使各行業在利用互聯網進行通信時符合法律要求,并使依法治理手段日臻完善和合理化。

美國各州關于網絡犯罪的法律規定也十分先進。1978年佛羅里達州通過了第一個計算機犯罪法。

以上列舉的幾個國家主要是在網絡管理行政立法的有關情況。從犯罪學的角度,該立法行為也是打擊網絡犯罪的立法行為。該立法行為不僅有利于加強對網絡的管理,處罰違法行為,而且為打擊網絡犯罪的刑事立法奠定了基礎,是刑事立法的先導。

2.加強刑事立法,嚴懲計算機網絡犯罪行為

20世紀中期開始,美、英、法、德、俄等30多個國家,先后根據各自國家計算機網絡犯罪的實際情況,制定、修改或補充了懲罰計算機犯罪的法律法規,并且刑法調整的范圍日益擴大,制裁漸趨加重。

美國是世界上計算機網絡最發達的國家,也是網絡犯罪最多最嚴重的國家, 1978年8月,美國佛羅里達州第一個通過了《佛羅里達計算機犯罪法》,內容包括侵犯知識產權、侵犯計算機裝置和設備、侵犯計算機用戶等多項犯罪以及懲處的規定。隨后美國50個州除佛蒙特州外都制定了專門的計算機網絡犯罪法。其中主要包括:(1)明確規定了電子信息和計算機技術以及計算機程序和文件也是財產,侵犯也是犯罪;(2)許多州規定通過計算機網絡技術給犯罪提供便利的也屬犯罪;(3)嚴重侵犯知識產權的行為都是犯罪;(4)故意非法使用和妨礙計算機網絡的合法使用的行為都是犯罪;(5)任何非法插入或毒害,如植入或傳送“病毒”、“蠕蟲”、“邏輯炸彈”等都是犯罪;(6)任何網絡上侵犯隱私,既使沒有篡改或抽取任何內容,也構成犯罪。

1984年美國國會通過了《聯邦禁止利用電子計算機犯罪法》,該法律規定的三種犯罪均處罰未遂犯及預備犯。1986年美國國會通過了《計算機詐騙與濫用法》,1987年美國國會制定了《計算機安全法》。1994年頒布的《計算機濫用修正法》是美國聯邦關于計算機網絡犯罪的主要刑事立法,該法規定的七種犯罪行為,其打擊重點是未經許可故意進入政府計算機網絡系統的行為。

英國有關計算機及網絡的刑事立法有:1978年的《偽造文書和貨幣法》,1984年的《資料保護法》(the Data Protection Act),1989年的《警察及刑事證據法》(the Police and Criminal Evidence Act)以及1990年制定的《計算機濫用法》(the Computer Abuse Act)。在《計算機濫用法》中重點規定了三種計算機犯罪:(1)非法侵入計算機罪,指行為人未經授權,故意侵入計算機系統以獲取其程序或數據的行為。該罪可處2000英鎊以下的罰金或6個月以內

網絡犯罪及案例分析(教材) 86_網絡犯罪案例

的監禁;(2)有其他犯罪企圖的非法侵入計算機罪,如利用讀取的信息進行詐騙等。根據危害結果可判5年以下的監禁或無上限的罰金;(3)非法修改計算機程序或數據罪。該罪可判處5年以下監禁或無上限的罰金。

法國于1988年1月5日實施計算機欺詐法,該法對計算機犯罪進行分類,主要有:(1)阻礙計算機系統功能罪;(2)以欺詐方法改變計算機“文件”和非法利用偽造文件;(3)試圖進行以上犯罪;(4)共謀進行以上犯罪。1994年3月1日生效的新刑法把“計算機信息領域犯罪”單獨列為一章,共規定了三種計算機信息領域犯罪:侵入資料自動處理設備;妨害資料處理系統運作罪;非法輸入、取消、變更資料罪。

德國1986年8月1日實施的第二次經濟犯罪防治法即對刑法進行了修正,加入有關防止計算機犯罪的規定,其主要有計算機詐騙罪;資料偽造罪;資料刺探罪;資料變更罪;計算機破壞罪等。關于計算機犯罪的處罰主要有監禁和罰金,最高為10年,同時對未遂犯罪也進行了規定。

澳大利亞在修訂1992年的廣播服務法時明確規定,在因特網上任何人不許非法加入暴力、淫穢和色情的內容,如有違犯,必須以犯罪論處。根據新的法規,凡在網上出版發行兒童色情照片的人,將處以11萬澳元的罰款和坐牢5年,并沒收用于制造、出版和傳播的所有電腦和財產;對在因特網上兜售色情內容的公司,最高罰款達22萬澳元,作案人員將處5至10年徒刑,其公司的董事、經理、行政人員也將視情節的程度受到罰款、判刑的懲罰。

日本刑法中,明顯涉及網絡犯罪的法律分則條文有:第157條之1款不實記載公證文書原本罪、第161條之2款不正當制作及提供電磁記錄罪、第234條之2款損壞電子計算機等的業務妨害罪、第246條之2款使用電子計算機詐騙罪、第258款毀棄公用文書罪和第259條毀棄私用文書罪。

俄羅斯1996年刑法也以專章“計算機信息領域的犯罪”為名對計算機網絡犯罪進行了規定。俄刑法第272條規定了“不正當調取計算機信息罪”:指不正當地調取受法律保護的計算機信息,且導致信息遺失、閉鎖、變異或復制,使電子計算機、電子計算機系統或電子計算機網絡的工作遭到破壞的行為。第273條規定了“編制、使用和傳播有害的電子計算機程序罪”:指編制電子計算機程序或對現有程序進行修改,明知這些程序和修改會導致信息未經批準的遺失、閉鎖、變異或復制,導致電子計算機、電子計算機系統或網絡工作的破壞,以及使用或傳播這些程序或帶有這些程序的機器載體的行為。該條還規定:“上述行為,過失造成嚴重后果的,處3年以上7年以下的剝奪自由?!钡?74條規定了“違反電子計算機、電子計算機系統或其網絡的濫用規則罪”。

3.西方關于網絡犯罪的立法思考

(1)從上述國家的立法情況看,對網絡犯罪的懲治犯罪主要集中在以下幾方面: ①非授權訪問計算機及其網絡系統資源,包括計算機硬件及儲存其中的信息;②非授權刪除、篡改、添加、替換、干擾及破壞計算機及其網絡系統,包括計算機硬件、軟件及網絡系統信息;③非法盜用計算機設備、資源、服務以及非授權獲得的信息;④利用計算機及其網絡信息系統進行傳統犯罪。

(2)各國立法共同的特點:

①立法的保護對象比較廣泛,涉及到政府、國防、外交以及金融系統,甚至個人的計算機網絡信息系統。②制裁手段明確,量刑漸趨加重。如監禁型、罰金型、資格型并用;法人也是犯罪主體;過失也要負刑事責任。

(3)各國網絡犯罪刑事法規的立法模式大致有三種:

①將計算機網絡犯罪刑事法規單列為一章,增加在原刑法典中,如法國、俄羅斯等;②將計算機網絡犯罪刑事法規分布在原刑法的各章之中,或對刑法典中原有條款進行修改,如日本、德國等;③制定單行的計算機網絡犯罪刑事法規,如美國等。此三種模式均是根據

本國的法律制度和司法實踐經驗而制定,各有其特點。

6.3.2 我國網絡犯罪的立法對策

1.我國網絡犯罪的刑事立法現狀

我國關于網絡的刑事法律可以歸納為以刑法為中心,輔之以單行刑法、行政法規、司法解釋、行政規章及其他規范性文件的框架體系。

(1)從立法階段看我國網絡犯罪的立法進程

按時間先后可以劃分為三個階段:第一階段(1994年~1996年),我國第一部關于網絡信息安全的法律文件是1994年2月18日國務院147號令發布的《中華人民共和國計算機信息系統安全保護條例》,緊接著1996年2月1日國務院195號令發布的《中華人民共和國計算機信息系統國際聯網管理暫行規定》等,標志著網絡立法的全面啟動。第二階段(1996年~1999年),全國人大1997年修訂《中華人民共和國刑法》,其中三條規定了有關計算機網絡信息系統犯罪的內容。另經國務院批準,1997年12月1日公安部33號令發布《計算機信息網絡國際聯網安全保護管理辦法》,其中首次規定禁止利用國際互聯網制作、復制、查閱和傳播違法信息,為我國網絡信息安全管理奠定重要基礎。第三階段(2000年~現在),最重要的是全國人大常委會2000年12月28日發布了《關于維護互聯網安全的決定》,這是我國網絡安全法律體系中具有最高效力的法律文件,其全面總結了我國網絡違法犯罪的各種表現形式。

(2)從法律層次上看全國性的網絡犯罪立法可以劃分為四個層次:

①法律類,主要有《中華人民共和國刑法》、《全國人大常委會關于維護互聯網安全的決定》等。

②行政法規類,主要有《中華人民共和國計算機信息系統安全保護條例》、《中華人民共和國計算機信息網絡國際聯網管理暫行規定》、《中華人民共和國電信條例》(2000年9月25日國務院發布施行)、《互聯網信息服務管理辦法》(2000年9月25日國務院發布施行)。

③司法解釋,主要有《關于審理擾亂電信市場管理秩序案件具體應用法律若干問題的解釋》(2000年5月12日最高人民法院發布,2000年5月24日起施行)。

④行政法規類,主要有《計算機信息網絡國際聯網出入口信道管理辦法》(1996年4月9日原郵電部發布施行)、《計算機信息網絡國際聯網安全保護管理辦法》(1997年12月11日國務院批準,1997年12月30日公安部發布并施行)。

2.我國網絡犯罪立法的完善

(1)確定網絡犯罪的內涵

在概念的使用上,網絡或計算機網絡比較符合計算機網絡發展的實際,如我國1998年到2001年的計算機及其網絡犯罪中90%涉及到網絡;網絡的含義應該包括局域網、廣域網、國際互聯網等。

(2)正確選擇立法模式

按上述立法模式我國可以列為第一類模式,因為我國刑法關于網絡犯罪的規定只是一章中的三個條款,沒有單獨成章。這主要是由于與西方發達國家相比我國計算機網絡發展較晚和法律制度不發達的結果。我們主張關于懲治網絡犯罪的立法模式的選擇,應該考慮三個方面的因素:法律制度的發達性、我國的立法現狀、網絡犯罪的實際狀況。因此采用漸進的立法模式,具體分三步:第一步,針對網絡犯罪主要類型修訂刑法。第二步,一是修改所有現有法律制度對現有或即將出現的網絡犯罪懲治條款;二是修改刑法、擴大為專章,同時修訂《決定》,增加對現有或即將出現的網絡犯罪懲治條款,第三步,制定單行的懲治網絡犯罪的法律。這種立法模式有利于保持法律體系的穩定性、連續性、先進性。

(3)增加刑法種類

我國《刑法》第285、286條對網絡犯罪的處罰既沒有規定罰金型,也沒有規定資格型。從西方各國網絡犯罪造成巨大的經濟損失案例看,大部分或絕大部分網絡犯罪都是為了經濟目的,而且大都是專業技術人員所為。西方各國正是基于犯罪的主體的實際情況和犯罪動機而大量采用罰金型和資格型,特別是罰金型的普遍使用。

(4)科學劃分網絡犯罪類型

世界各國大都以犯罪客體進行分類,但西方國家還進行其他分類,主要是根據犯罪輕重程度的分類。根據我國網絡犯罪的立法現狀,應當擴大刑法的范圍,如增加并規范量刑,增加輕型,減少重刑,以充分體現刑罰的公正原則、人道原則以及與國際接軌原則。我國可以采用侵害客體及罪行輕重程度兩種分類方法并用,更有利于制定公正、公平的刑事法律(如在我國14~16歲在其他領域犯重罪就沒有處罰的法律依據),更便利于刑事司法,以確保刑事立法和司法公平性、公正性和高效性。

(5)推進量刑適當

網絡犯罪不僅可以直接造成嚴重的社會經濟損失,而且有時會嚴重威脅整個國家計算機網絡系統的安全,具有重大社會危害性。刑法上量刑的依據是刑事責任,而刑事責任的大小與犯罪構成因素有直接聯系,主要表現為與主觀和危害結果的聯系;另外還要考慮犯罪成本和司法成本等因素。網絡犯罪成本低表現在犯罪行為人心理成本、時間成本、經濟成本、犯罪黑數大等。司法成本高,表現在偵查成本高、破案率極低等。因此,根據罪責刑相適應或罪刑相當的原則,應該加重現有刑法關于網絡犯罪的量刑。

(6)完善網絡犯罪構成

①針對犯罪對象,在修訂或制定網絡犯罪法律時,根據我國網絡犯罪的實際情況,吸收西方發達的優秀立法成果,力爭能夠涵蓋打擊各種形式的網絡犯罪。

②針對主體,我國只規定了自然人的網絡犯罪,沒有關于法人的網絡犯罪的刑事法律規定。而從實踐上看,有必要增加法人作為犯罪主體。

③針對主觀方面,我國只規定了故意的網絡犯罪,而沒有規定過失的網絡犯罪。實踐中因重大過失并造成嚴重危害結果的行為就很難受到刑事制裁。這一點,有必要借鑒西方國家的網絡犯罪立法,增加過失的網絡犯罪立法。

(7)健全刑事證據法律

我國現行刑事訴訟法規定的七種證據,不包括電子數據證據。目前有的學者也對電子數據證據作了研究,但還是應該通過法律的形式來加以規范。對電子數據證據的記錄、保存、保護的相關規定,為偵破和懲治網絡犯罪提供司法訴訟上的保證。

6.3.3 遏制計算機犯罪的對策

1.提高對我國計算機網絡犯罪的認識

在今后5年至10 年左右,計算機網絡犯罪將成為全社會危害性最大、最危險、最兇惡的一種犯罪。對此,我們必須高度重視,堅決消除“網絡世界是一個虛擬世界,不能夠適用現實世界的法律”等錯誤認識。

2.完善對我國計算機網絡犯罪的立法體系

我國有關計算機網絡犯罪的法規、規章在實踐中有的幾經修改,在很大程度上解決了我國計算機犯罪的法律問題,但仍存在著一定的滯后性和刑種單一、量刑偏低、證據種類欠缺,以及難以適從的不足。為此,進一步完善我國計算機犯罪的立法體系刻不容緩。要根據出現的新情況新問題不斷制定新法以增強法律的強制性,同時要及時修改和完善舊法來規范、監管網絡的一切行為。要在刑法、訴訟法、行政法等法律中補充計算機犯罪內容的相關規定,建立配套的行政法規和部門規章,制定可操作性的實施細則,使之形成一個以計算機法為核心的,由基本法的相關內容為配套的,由行政法規和行政規章作補充的,由最高司法機關的

司法解釋為法律實施說明的完整的法律體系。

3.遏制計算機網絡犯罪必須實行綜合治理

計算機網絡犯罪發案率越來越高,而查證率相對較低的原因,除了其犯罪隱蔽性強和相關立法滯后外,還在于人們的警覺性不高和專業技術的滯后。因此,必須實行綜合治理。

(1)加強計算機使用人員的職業道德教育和法制教育,明確并執行行業違規處罰。大力倡導社會主義集體觀念,制定行業違規處罰制度。對以身試法、違規操作者,夠刑罰的予以刑罰,不夠刑罰的可以單處罰款、剝奪其短期或長期從事某種與計算機相關的職業和活動。采取教育與懲罰相結合的辦法,營造中華文明的網絡文化。

(2)計算機程序的所有者和使用者要在自己的程序中加裝保護程序。如: ①設立防火墻,以防止“黑客”攻擊、非法數據和非法用戶的侵入;②安裝帶有隱私保護的殺毒軟件,并經常升級病毒庫;③設立身份認證,以防止個人資料、在線信用卡密碼被破解、個人的電子賬戶被盜用;④加密與數字簽名。

(3)整合司法資源,培訓、招聘反計算機網絡犯罪的專業技術干警。目前,我國司法機關嚴重缺乏反計算機犯罪的專業人才,尤其是基層司法機關更是如此。要想有力地打擊和遏制計算機犯罪,整合現行司法資源,培訓、招聘反計算機犯罪的專業技術干警是當務之急。要考慮在某些大專院校和科研機構的計算機專業設立專門性的反計算機犯罪人才培訓基地, 一方面可以從大學生中選拔和培養未來的專業技術干警,另一方面也可以選送部分已有相當專業知識的司法技術人員外出學習日新月異的計算機知識,保證反計算機網絡犯罪人才的專業知識始終處于計算機及其網絡技術的前沿。

(4)建立計算機犯罪的前科登記制度。一般地講,計算機犯罪的實施者普遍在技術的非法使用上具有相當的成癮性和長期性。面對計算機犯罪的事實,逐步建立計算機網絡犯罪前科數據庫,對犯罪對象、犯罪行為及犯罪人技術特點的不同,分門別類地進行登記造冊。這樣,可以輔助偵查破案,掌握計算機犯罪的最新動向,促進與全國各地乃至國外的警務合作,有力地打擊計算機犯罪。

(5)建立計算機犯罪的國際信息交流與技術支援機制。因為計算機犯罪具有跨國跨境性特點,為此,組建國際性的反計算機犯罪信息共享機構和建立計算機信息的固定交換機制,是遏制計算機犯罪的又一有效途徑。這種聯合,可以互利性地提供計算機犯罪的最新技術動向,并在反計算機犯罪的案件調查中相互提供技術支援,共同建立國際性的計算機犯罪信息庫,儲備并相互提供各國計算機犯罪分子的個人檔案和資料。

6.3.4 網絡犯罪的司法管轄問題

網絡空間的出現使物理上的空間界線,甚至國境線變得模糊,對傳統的刑事管轄理論和我們現行刑事管轄原則的規定提出了挑戰。

根據我國刑法理論及現行刑法的規定,犯罪的行為或者結果有一項發生在中華人民共和國境內的,就認為是在我國領域內犯罪。隨著利用國際互聯網實施網絡犯罪行為人數的猛增,跨國網絡犯罪在網絡空間所占比例的增大,如果不從理論上對我國刑事管轄理論進行必要的探討,進而對現行刑法有關管轄的規定作進一步完善,將在打擊跨國網絡犯罪方面陷于被動。各國都在根據自己的實際采取相應的措施。

網絡犯罪的一個顯著特征是犯罪行為之無地域性,即任何一個國家的人,在任何地方,只要有一個調制解調器,一部電話,一臺電腦,就可對任何一個國家及其公民實施犯罪。因此,運用傳統的刑法管轄權原則來確定網絡犯罪的管轄權則會出現矛盾和沖突。因此,確定網絡犯罪的管轄原則,須首先避開屬地管轄原則,對另外三個原則進行重新審視。

對于網絡犯罪涉及不同國家之間,應適用哪國刑法和由哪國法院來行使管轄權的問題大致分為以下幾部分:

1.國籍原則

國籍原則主張,不論犯罪人的行為是發生在國內或在國外,也不論被害人是本國公民或外國公民,只要是本國人犯罪的,都適用本國刑法。目前對網絡犯罪和將來簽署的國際公約規定以外的網絡犯罪的刑事管轄權,宜首先采用國籍原則。也就是在一個行為同時觸犯國內刑法和國外刑法時,優先適用國籍原則,這既體現主權原則,也便于司法管轄。

2.有限保護原則

保護原則主張凡是侵害本國國家和公民利益的行為,都適用本國刑法。所謂“有限”,是指在適用有限的保護原則時,要考慮外國人或無國籍人觸犯本國刑法是故意的,還是無意的。若是故意的,適用本國刑法;若是無意的則不適用本國刑法。

3.最密切聯系地原則

最密切聯系地原則,是指網絡犯罪可以適用于與行為人實施網絡犯罪最密切相連地的國家的法律,最密切聯系地的法院有刑事管轄權。所謂最密切聯系地,實際上是指行為人在網絡空間內作案的終端設備地、服務器設立的所在地。終端指供行為人使用的、與國際互聯網、國內互聯網、局域網相連接的網絡接入服務器、計算機網絡工作站、PC機、付款機傳真機等。最密切聯系地原則是為彌補國籍原則和有限保護原則而設立的。

4.普遍管轄原則

普遍管轄原則的含義是指無論犯罪人是何國人,無論在何處犯罪,也不管侵害了何國的利益,任何國家都可適用本國刑法。因此,對于網絡犯罪要想適用普遍管轄原則,必須有國際公約的存在。就是說,世界各國可以將公認的嚴重危害國際社會的罪行通過公約的方式確定為犯罪,并實施普遍管轄原則。從目前來看,由于目前世界各國還未簽署關于懲治網絡犯罪方面的公約,故在此之前宜采用國籍原則、有限保護原則和最密切聯系地原則。但對于網絡犯罪應采取普遍管轄原則是歷史發展的必然趨勢。

6.4 網絡犯罪的防范技術

網絡犯罪的技術防范措施是預防網絡犯罪的一個非常有效的方法。

6.4.1訪問控制技術

1.訪問控制的含義

訪問控制就是對進入計算機系統進行控制。在網絡環境中,訪問控制必須用來保護每個單個的系統,并且也要避免允許非授權用戶通過網絡的一個子系統去訪問其他的系統。

一般來說,訪問控制的作用是對欲訪問某個計算機系統的人進行識別,以確定其是否有權限對該系統進行訪問。這包括驗證兩個主要的問題:你是哪個用戶?你自稱的用戶是否為合法用戶?

2.訪問控制的目標

訪問控制的目標是防止對任何資源進行未授權的訪問。所謂未授權訪問包括未經授權的使用、泄露、修改、銷毀以及頒布指令等。訪問控制直接支持機密性、完整性、可用性以及合法使用等基本安全目標,它對機密性、完整性和合法使用所引起的作用是顯然的。訪問控制是實施授權的一種方法,它既是通信安全的問題,又是計算機(操作系統)安全的問題,然而,由于必須在系統之間傳輸訪問控制信息,因此它對通信協議具有很高的要求。

3.建立訪問控制的方法

對一個系統進行訪問控制主要有以下三種方法:第一種方法要求用戶輸入一些保密信息,如用戶名和口令。第二種方法是采用一些物理識別設備,如鑰匙,訪問卡或令牌。第三種方法是采用生物統計學系統。該系統可以基于訪問者的某種特殊的物理特征對訪問者進行唯一性識別。其中后兩種方法實現起來比較復雜,且費用昂貴,難以推廣和應用,所以最常

網絡犯罪及案例分析(教材) 86_網絡犯罪案例

見的訪問控制方法是口令。

(1)基于口令的訪問控制方法

口令是一種容易實現并有效地只讓授權用戶進入系統的方法。給計算機系統設置一個安全有效的口令,侵入者闖入該系統就非常困難了??诹钍侵挥邢到y和用戶自己知道的簡單字符串。只有口令保持機密,非授權用戶才會無法進入計算機系統。最有效的口令是用戶很容易記住但“黑客”很難猜測或破解的口令。

最好的口令應遵循下列原則:①口令字符串的組合應包括字母和數字字符;②口令的長度要盡可能地長;③最好不用英語單詞;④在每個訪問的系統上不要使用相同的口令;⑤不要使用名字;⑥別選擇記不住的口令。

控制口令,使口令不被無關的人知道也是非常重要的??刂瓶诹畎ㄏ铝蟹矫妫嚎诹罡鼡Q;用戶定期改變他的口令;系統生成的口令;登錄時間限制;系統消息提示,當用戶首次看到登錄屏幕時系統可以提供警告信息,強烈表示反對非授權進入;限制登錄次數;最后一次登錄,該方法報告最后一次系統登錄時間/日期,以及最后一次登錄后發生過多少次未成功的登錄企圖。這可以提供線索,了解是否有人非法訪問了自己的用戶或多少次企圖這樣做但沒有成功。

(2)基于令牌環的訪問控制方法

為了強化身份鑒別機制,提高口令驗證的安全性,人們提出了動態口令的技術,在這種技術中采用了一種具有計算能力的令牌環(Token Card)。用戶登錄系統的口令由它計算得到,每次動態變化,增加了系統的安全性。動態口令技術常用來控制主機、服務器等重要資源的訪問,還應用于對某些特殊用戶的控制訪問,如系統的超級用戶等。

使用令牌環,不需要增加諸如讀卡機等額外的硬件設備,使用起來非常簡單。具體過程與常規的系統登錄一樣,即在用戶提示符下鍵入用戶名,然后在口令提示符下輸入令牌環上所正在顯示的口令,就完成了整個系統的登錄。

(3)基于生物特征識別技術的訪問控制方法

生物特征識別設備是設計用來保證某種安全的簡單機器,它測量某些對人而言是唯一的特征(經常是生物學上的或物理上的)。這可能包括指紋、聲音圖像、筆跡、打字圖像或甚至人的視網膜血管圖像。生物特征識別設備只用于訪問控制極為重要的場合,用以極為細致地識別人員。有許多技術不同的生物特征識別設備。指紋是一種已被接受的唯一地識別一個人的方法。每個人都有唯一的指紋圖像,它能被存儲在計算機中,以備想進入系統時進行匹配識別。

在目前眾多的計算機加密技術中,指紋加密最為可靠,因為每一個人的指紋各不相同,難于模仿。在計算機用戶中,計算機登錄的口令失竊、磁卡被盜或口令被破譯的現象時有發生。但是計算機指紋掃描儀卻擁有一對明察秋毫的“火眼金睛”,可以把人的手指與偽造的手指(蠟做的)或橡膠手套上的指紋分得一清二楚,使其無法蒙混過關。指紋識別技術很有發展前途,它可以在因特網上廣為使用,確保用戶放心地使用信用卡進行計算機購物。

手印被設計用來讀取整個手而不是手指的特征和特性。一個人將他的手按在手印讀入器的表面上,同時該手印則與存在計算機中的手印圖像進行對比。在每個人說話中都有唯一的音質和聲音圖像,甚至兩個人說話聲音相似的人也是這樣。識別聲音圖像的能力使人們可以基于某個短語的發音對人進行識別。此外,還可以通過其他方式來加以識別,比如:分析某個人的筆跡或簽名不僅包括字母和符號的組合方式,還包括在書寫簽名或單詞的某些部分時用的力的大小,或筆接觸紙的時間的長短和筆移動中的停頓等細微的區別。

6.4.2信息加密技術

信息加密既是一個古老的話題,又是一個充滿新策略、新技術的領域。對于加密的概念,

各種資料、文獻說法不一。有的說加密(Encryption)是指將一個信息(或稱明文,Plaintext)經過密鑰(Key)及加密函數轉換,變成無意義的密文(Cipher text),而接收方則將此密文經過解密(Decryption)函數、解密密鑰還原成明文。也有的說,加密是通過對信息的重新組合,使得只有收發雙方才能解碼還原信息。有的定義很簡單,即加密就是對信息進行一組可逆的數學變換。通過這些各種形式的定義,我們可以得出比較全面的概念:信息加密是指將明文信息采取數學方法進行函數轉換成為密文,只有特定接收方才能將其解密還原成為明文的過程。明文是指加密前的原始信息;密文是指明文被加密后的信息,一般是毫無識別意義的字符序列。

加密技術是網絡安全技術的基石,隨著計算機自身性能的不斷提高,使越來越復雜、越來越可靠的信息加密技術得以實施,網絡對加密技術的應用更為廣泛、深入。由于密碼技術是網絡、信息安全的核心技術,因此,必須立足國內自主研制高強度密碼算法。

1.現代加密技術原理

加密技術也稱密碼技術,種類較多,不同場合下可采用不同形式的加密。加密一種主動的防衛手段,其優勢是十分明顯的。加密技術主要過程包括:加密,把數據轉變為不可讀的格式以確保安全;解密,即加密的反過程,使加密的數據轉變為原來的可讀的格式;認證,即識別個人用戶、網絡上的機器設備或機構;數字簽名,將發送文件與特定的密鑰捆綁在一起;簽名識別,即數字簽名的反過程,以證明簽名有效。

采用密碼加密技術自然要選擇先進的加密算法,并要充分了解自己要保護什么,要在什么地方進行保護,以確定保密的級別、保密的程度、保密的時間、保密的周期以及對哪些人保密和保密范圍等問題。因此首先我們要了解各種加密技術的基本原理及其特點。

(1)密鑰加密

密鑰(Key)是為了有效地控制加密、解密算法的實現,在設計算法的實現過程中需要有某些被通信雙方所掌握的專門的、關鍵信息的參與,這些信息就稱為密鑰。加密在許多場合集中表現為密鑰的應用,因此,密鑰往往是保密與竊密的主要對象。密鑰的載體有磁卡、磁帶、磁盤、半導體存儲器等。在網絡應用中一般采取兩種加密形式:對稱加密(又稱秘密密鑰、單密鑰)加密,非對稱密鑰(又稱公開密鑰)加密。

①對稱密鑰加密

對稱密鑰加密是傳統的加密方式,又稱專用密鑰加密或單密鑰加密。其常見加密標準為DES(1977年美國國家標準局頒布的DES算法即數據加密標準算法),傳統密鑰體制的特點是無論加密還是解密都共有一把密鑰(Ke=Kd),又稱對稱加密。DES加密解密只是簡單比特位處理的組合,因此速度快,密鑰生成容易。但當用戶樹n增大時,通信密鑰數按n(n-1)/2的幾何級數增加,從而給密鑰分配與管理帶來困難。另外,由于DES算法是公開的,其安全性完全依賴于對密鑰的保護,密鑰只能讓發送者和接收者知道,無論是用電話、軟盤或書信交換密鑰都顯得不方便、不安全及速度較慢。因此,必須使用密文信道以外的途徑來傳遞、分發密鑰,如專門派遣信使傳遞密鑰。所以,在網絡時代單獨使用DES就不適合了,特別是不適合網絡環境。

②公開密鑰加密

近年來,在網絡中使用更多的是非對稱密鑰系統,即公開密鑰加密,這種加密方法中,加密密鑰和解密密鑰是不同的。該算法為每個用戶分配兩個密鑰:公鑰和私鑰,公鑰予以公開,私鑰要保密。兩個密鑰是互補的,就是說公鑰加密的密文可以用私鑰解密,反過來一樣。假設甲要寄信給乙,他們互相知道對方的公鑰。甲就是用乙的公鑰加密郵件寄出,乙收到后就可以用自己的私鑰解密出甲的原文。由于沒別人知道乙的私鑰,所以即使是甲本人也無法解密那封信,這就解決了信件保密的問題。公鑰加密系統的另一個重要用途是數字簽名,即與上面的例子相反,甲用私鑰將郵件加密后發出,乙方為了鑒別收到的郵件是否由甲方所發,

就用甲的公鑰解密,如果解得開,表明確實是甲所發,因為沒有他人知道甲的私鑰。甲用私鑰將郵件加密就等于簽署了自己的姓名。

(2)不可逆加密

這種加密算法的特征是不需要密鑰來加密,并且經過加密的數據無法被解密,只有同樣的輸入數據經過同樣的不可逆加密算法才能夠得到相同的加密數據。不可逆加密算法不存在密鑰保管和分發問題,適合于分布網絡系統上使用,但其加密計算工作量相當可觀,所以通常用于數據量有限的情形下的加密,如用戶口令的加密等。

(3)量子加密

量子加密的基本原理早在20世紀70年代就已發現,但是直到現在,人們才發現了其真正的價值。量子加密法的工作原理是:使用量子加密法的兩個用戶各自產生一個私有的隨機數字符串,發送方用戶向接收方用戶的接受裝置發送代表數字字符串的單個量子序列(光脈沖),接收方從自己產生的字符串與接收裝置接收到的字符串中取出相匹配的比特值,以這些匹配值組成密鑰。在實際的應用中,隨著光纖傳輸介質的普及,通過光纖的量子密鑰將可以用于加密普通寬帶數據通信所傳送的信息,有關專家估計這種加密技術不久的將來就會商業化。目前,公鑰加密法還是首選,因為該方法可以用于現有傳輸線路的網絡,而且可以用于數字簽名,量子加密法則無法做到。

2.加密協議及標準

加密協議及標準是指主要為網絡信息加密而制定的協議和采用的標準。加密協議有兩個要素:一是能把保密數據轉換成公開數據,在公用網中自由發送;二是能用于授權控制,無授權人員無法解讀。

3.網絡傳輸信息加密

加密技術用于網絡安全通常有兩種形式,一種是面向網絡,另一種是面向服務。面向網絡的加密技術通常工作在網絡層或傳輸層,使用經過加密的數據包傳送、認證網絡路由及其他網絡協議所需的信息,從而保證網絡的連通性和可用性不受損害。面向應用服務的加密技術是目前較為流行的加密技術,其優點在于實現相對簡單,不需要對數據所經過的網絡的安全性能提出特殊要求,可對電子郵件數據實現端到端的安全保障。對傳輸信息的加密保護在計算機網絡中應用最為普遍,加密的方式主要有鏈路加密(Link Encryption)、節點加密(又稱結點加密,Node Encryption)和端到端加密(End-to-End Encryption).

(1)鏈路加密

鏈路加密又稱在線加密,是用于保護兩個相鄰節點(Node)之間的鏈路上傳送的數據。這些鏈路可以是微波、衛星、明線或同軸電纜。鏈路加密方式比較簡單,實現起來也比較容易。只要把兩個密碼設備安裝在兩個節點(或結點)間的線路上,并使用同樣的密鑰(KEY)即可。這樣,在線路上傳送的是經過加密的數據,而通過鏈路間節點上的是未經加密的數據。實現鏈路加密的設備稱為數據加密設備DEE(Data Encryption Equipment),DEE可以放在節點和相應的MODEM之間,也可以與MODEM安裝在一起構成密碼調制解調器。

(2)節點加密

節點加密指每對節點共用一個密鑰,對相鄰兩節點間(包括節點本身)傳送的數據進行加密保護。盡管節點加密能給網絡數據提供較高的安全性,但它在操作方式上與鏈路加密是類似的:兩者均在通信鏈路上為傳輸的消息提供安全性;都在中間節點先對消息進行解密,然后進行加密。因為要對所有傳輸的數據進行加密,所以加密過程對用戶是透明的。然而,與鏈路加密不同,節點加密不允許信息在網絡節點以明文形式存在,它是先把收到的消息進行解密,然后采用另一個不同的密鑰進行加密,這一過程在節點上的一個安全模塊中進行。在節點加密方式中,為了將報文傳送到指定的目的地,線路上的每個節點必須檢查路由選擇信息,因此,只能對報文的正文進行加密而不能對報頭加密,報頭和路由信息以明文形式傳

輸,以便中間節點能得到如何處理該報文的信息,這樣使得這種方法不利于防止攻擊者分析通信業務。

(3)端到端加密

端到端加密又稱脫線加密、包加密或首尾加密,是對兩個用戶之間傳送的數據連續提供保護,并進入TCP/IP數據包加封,然后,作為不可閱讀和不可識別的數據穿過互聯網,當這些信息一旦到達目的地,將被自動重組、解密,成為可讀數據。與前兩種方式不同,端到端加密使數據從源點到終點的傳輸過程中始終以密文形式存在,即數據在初始節點上就被加密一直到達目的節點時才被解密,在中間節點和鏈路上均以密文形式傳送。與節點加密一樣,端到端加密只能對報文正文加密,而不能對路由選擇信息(即報頭)加密。采用端到端加密由于信息被傳輸時在到達終點之前不進行解密,所以,即使有節點被損壞也不會使消息泄露。端到端加密是將網絡看成一種介質,通過該介質,數據信息可以從源點安全地到達目的點。該加密方式是通過在需保護的兩端計算機或終端上安裝密碼設備來實現的。

(4)ATM網絡加密

ATM(異步傳輸模式)是一種把信息分成等長的信元進行傳輸的通信方法。每個信元由53個8位字節組成,信元的前5個8位字節是信頭,包含有源地址和目的地址信息。ATM是面向連接的網絡,兩個通信實體之間必須首先建立電路鏈接,但這種鏈接電路是虛擬的,并不占用物理鏈路。ATM是在服務方式上與其他網絡不同的一種新技術,它使用固定長度且體積較小的包的快速交換方式,使它與幀中繼、X.25的包交換相比具有硬件簡單、交換延遲減少的優點。此外,ATM定義的協議允許語音、傳真、數據、圖像的傳輸等在一種網絡結構中、實現,網絡帶寬的占用靈活、高效,網絡效益很高。ATM是能夠同時滿足公用網和專用網需要的加密技術。

(5)衛星通信加密

對衛星通信信息的竊取在各國都普遍存在,接收技術已發展到很高的水平,所以,采用衛星通信網時,只要載荷信息的衛星信號一經送出,就可以認為它已被非法截獲,并可能已受到破譯攻擊。衛星通信的加密方法可以分以下幾種:①終端加密,相當于端到端加密。②信道加密,信道加密就是地面站的每一個用戶終端與站控制器之間安裝有加密機,該加密機負責信道信息的加解密。③群路加密,一個地面站會有若干個用戶,各用戶的業務性質可能不同,如數據用戶、語音用戶或圖形圖像用戶等。各種業務性質的信息都先送群路保密機,由群路保密機分別對其相應的信息進行加密,群路加密機將加密后的密文送地面站控制器,由控制器發向通信衛星,通信衛星由發向相應地面站控制器,然后,由該控制器將經處理過密文送群路保密機,解密成為明文再分送各用戶使用。

6.4.3數據鑒定技術

1.司法鑒定

(1)司法鑒定的基本概念

①司法鑒定

司法鑒定是在訴訟過程中,對案件中的專門性問題,按訴訟法的規定,經當事人的申請,司法機關決定,或司法機關主動決定,指派、聘請具有專門知識的鑒定人,運用科學技術手段,對專門性問題作出判斷結論的一種核實證據的活動。簡要地說,司法鑒定就是偵查、起訴、審判等訴訟活動中依法進行的鑒定。最高人民法院《關于審理科技糾紛案件的若干問題的規定》第62條的規定:確定技術成果的鑒定機構,除法定的鑒定單位外,可由當事人協商推薦共同信任的機構或專家進行鑒定;當事人不能協商一致的,由人民法院委托有關科委推薦的鑒定機構或聘請的有關專家組成的鑒定組進行鑒定。

②鑒定要求

根據《中華人民共和國刑事訴訟法》,鑒定結論是刑事證據的一種。鑒定結論,是指由公安機關、人民檢察院和人民法院指派或聘請的具有專門知識或技能的人,對案件中某些專門性問題進行科學鑒定后所作出的書面結論。

公安部在《公安機關辦理刑事案件程序規定》第235條規定:刑事技術鑒定,由縣級以上公安機關刑事技術部門或者其他專職人員進行。第236條規定:需要聘請有專門知識的人進行鑒定,應當經縣級以上公安機關負責人批準后,制作聘請書。

司法部《司法鑒定程序通則(試行)》(2001年8月31日發布)中規定:同一司法鑒定事項應由兩名以上司法鑒定人進行。第一司法鑒定人對鑒定結論承擔主要責任,其他司法鑒定人承擔次要責任。司法鑒定結論應當由本機構內具有本專業高級技術職務任職資格的司法鑒定人復核。司法鑒定文書正本一式三份,其中一份交委托人,兩份由司法鑒定機構存檔。

③重新鑒定

辦案部門或者偵查人員認為鑒定結論不確切或者有錯誤,經縣級以上公安機關負責人批準,可以補充鑒定或者重新鑒定。當事人對人民法院委托的鑒定部門作出的鑒定結論有異議申請重新鑒定,提出證據證明下列情形之一的,人民法院應予準許:(i)鑒定部門或者鑒定人不具有相應的鑒定資格的;(ii)鑒定程序嚴重違法的;(iii)鑒定結論明顯依據不足的;(iv)經過質證不能作為證據使用的其他情形。對有缺陷的鑒定結論,可以補充鑒定,重新鑒定或者補充質證等方式解決。

④法庭責任

根據訴訟法的規定,被告向人民法院提供的在行政程序中采用的鑒定結論,應當載明委托人和委托鑒定的事項、向鑒定部門提供的相關材料、鑒定的依據和使用的科學技術手段、鑒定部門和鑒定人鑒定資格的說明,并應有鑒定人的簽名和鑒定部門的蓋章。通過分析獲得的鑒定結論,應當說明分析過程。對于出庭接受詢問的鑒定人,法庭應當核實其身份、與當事人及案件的關系,并告知鑒定人如實說明鑒定情況的法庭義務和故意作虛假說明的法律責任。當事人對出庭的專業人員是否具備相應專業知識、學歷、資歷等專業資格等有異議的,可以進行詢問。由法庭決定其是否可以作為專業人員出庭。

(2)司法鑒定的具體任務

司法鑒定的具體任務是由其對象和內容決定的,主要有以下幾項:

①發現證據

發現證據是司法鑒定工作的出發點,是實現司法鑒定基本任務的前提和基礎。假如沒有發現案內證據,司法鑒定工作就成了無本之源,司法鑒定的其他各項手段便無法實施,發現證據是司法鑒定工作的基本任務。

②記錄、提取證據

對于發現的案內證據,要全面、客觀、準確、快速地固定、保存下來。必須采用科學技術方法進行記錄與提取,使之具有法律效力,并為識別、鑒定和運用提供依據。

③分析、識別證據

就是運用科學原理與技術方法,鑒別案內可疑證據的真偽,判定證據與案件的關系,在此基礎上根據證據自身的特點分析案情,為案件的偵查、調查活動提供線索和方向。

④鑒定證據

鑒定證據是司法鑒定的主要任務,也是鑒定手段最根本的目的。司法鑒定工作的最終目的是為定案提供科學證據,而涉及科學技術問題的證據必須通過鑒定才能確定。通過鑒定,達到如下目的:確定人或物的同一;認定客體的種屬范圍和種屬異同;確定事件因果;確定事實的有無與真偽;查明證據的來源和出處。

2.計算機司法鑒定和檢驗

計算機司法鑒定是指在訴訟過程中涉及計算機的問題有法庭認可的人員作出專業判斷

網絡犯罪及案例分析(教材) 86_網絡犯罪案例

的活動。公安部在《公安機關辦理刑事案件程序規定》第234條明確將電子數據鑒定劃入鑒定范圍。在不同場合,檢驗和鑒定有不同的含義,既有聯系又有區別。計算機司法檢驗是指在案件調查中由具有特定專業資質的人員對涉及計算機的證據進行收集、抽取、保存、歸檔等活動。即認為檢驗是比鑒定更加廣泛的概念。

計算機司法檢驗的基本要求:必須使用司法意義上潔凈的工作介質;檢驗過程必須保持原始介質的數據完整性;檢驗過程中生成的所有數據,無論是電子的、打印的或手寫的,都應該適當地標記、控制、轉送和保存。

計算機司法檢驗的對象主要是電子數據證據,其檢驗的方法主要有:利用專門的電子儀器、設備通過運行特定的軟件對電子數據證據的形成過程進行檢驗和驗證;利用技術和設備對電子數據證據真偽進行鑒別;利用證據間的邏輯關系來判明電子數據證據的原始與真實性。

(1)可執行文件的功能分析

對于黑客程序、邏輯炸彈等程序,需要進行代碼分析,確認其功能。如果能夠獲取源代碼,則可以直接閱讀,分析其功能,如只有目標代碼,則需要進行反匯編或反編譯獲取源代碼,再進行代碼分析。

(2)密碼分析

計算機網絡犯罪具有隱蔽性,其隱蔽措施之一是利用加密軟件進行數據加密、郵件加密。許多常用的軟件如OFFICE套裝軟件、壓縮軟件等都有加密功能。有加密就有解密,由于計算機網絡技術的迅猛發展,一些過去難以解密的方法也許在現在變得很容易解密,或者由于加密方法不夠周密而存在漏洞,或者由于使用不當而意外暴露密碼等等,使得有可能對加密的文件進行解密。人們正在研究常用加密軟件加密數據的搜索、提示、提取技術,常用安全電子郵件類軟件加密生成文件的解讀、還原和存儲技術,加密文件的掃描、搜索、提示、提取技術;加密生成文件算法和形式判別技術、不同密碼算法的封裝存儲技術,常用軟件加密生成文件的解讀、還原和存儲技術,常用系統加密文件及口令等提取技術,可能的加密算法的特性和識別技術等等。在如今的網絡時代,利用計算機網絡分工協作,采用字典攻擊方法,破解密碼可能很容易。當然,如果能取得疑犯的合作或通過可信的第三方獲取密鑰或竊聽等手段,則能夠起到事半功倍的效果。

(3)數據恢復

已經被刪除的文件可能為調查一個計算機系統在過去一段時間內的活動提供重要線索?;謴鸵驯粍h除的文件在多數情況下有比較高的成功率。即使是在被刪除文件所占有的磁盤區已經被重寫的情況下,只要重寫次數在一定限度之內,使用磁記錄分析設備仍有可能將被覆蓋的內容恢復過來。

對磁盤的檢驗、取證應當盡可能地在鏡像磁盤進行,以免在不清楚原始盤的情況下意外破壞數據,尤其是計算機高級人員作案時,可能對磁盤數據進行特殊處理,隱藏罪證。鏡像工具分為基于DOS的工具;基于Windows的工具;基于Unix/Linux系統的工具。軟盤復制可利用工具軟件來實現。

(4)克隆

在下列情況下,需要制作磁盤鏡像:案子涉及巨大經濟損失;案情可能需要恢復已經刪除的文件;案情可能要求搜索自由空間及文件的磁盤殘留空間。

6.4.4網絡攻擊及防治技術

現代的網絡攻擊具有不同于以往的明顯特點:從以系統為主的攻擊變到以網絡為主的攻擊;攻擊者為了實現其目的,常常使用各種各樣的工具,甚至由軟件程序來自動完成目標攻擊;網絡攻擊與病毒程序相結合,使得網絡攻擊更具有智能化和破壞性。

網絡攻擊有主動攻擊和被動攻擊。主動攻擊是指以各種方式有選擇性的破壞網絡信息系統及其信息(如添加、修改、刪除、偽造、重放、亂序、冒充、病毒等)。被動攻擊是在不干擾網絡信息系統正常工作的前提下,進行偵聽、截獲、竊取、破譯、業務流量分析以及電磁泄露等。

一次完整的攻擊過程主要包含三個階段:

1.攻擊前的準備過程。一般來說,攻擊前的準備工作有:(1)隱藏位置;(2)網絡探測和資料收集;(3)弱點挖掘;(4)掌握控制權;(5)隱藏行蹤。

2.攻擊過程。攻擊者進行了上述的必要準備后,就開始實施攻擊。不同的攻擊者有不同的攻擊目的,可能是為了獲得機密文件的訪問權,也可能是破壞系統數據的完整性,也可能是整個系統的控制權,以及其他目的等。

3.攻擊之后的后續過程。一次成功的入侵通常要耗費攻擊者的大量時間與精力,所以精于算計的攻擊者在退出系統之前會在系統中制造一些后門,以方便自己的下次入侵。

從以上三個階段的攻擊過程可以看出:無論是獲取目標的信息,還是獲得目標系統的一般訪問權或目標系統的管理權,這些攻擊之所以能夠成功,就在于目標系統存在這樣或那樣的安全漏洞或弱點。攻擊者的攻擊過程能否成功的關鍵就在于攻擊者發現并利用這些漏洞或弱點的能力。

1.掃描攻擊技術及其防范

(1)掃描器

掃描器是一種自動檢測遠程或本地主機安全性弱點的程序,通過使用掃描器,可以不留痕跡的發現服務器的各個端口的分配、提供的服務及軟件版本,進而發現系統的安全缺陷。

掃描器通過選用遠程TCP/IP不同的端口的服務,并記錄目標給予的回答來搜集目標主機的有用信息。了解這些信息,攻擊者能夠間接或直觀地了解到遠程主機所存在的安全問題,進而為確定網絡攻擊策略提供依據。

掃描器不僅是攻擊者必備的安全工具,而且是防御者常用來評估網絡系統的安全風險。但掃描器并不是一個直接的攻擊網絡漏洞的程序,它僅能幫助發現目標機的某些內在的弱點。一個好的掃描器能對它得到的漏洞資料進行分析,幫助查找目標主機的漏洞,同時給出修補漏洞的建議,但它不會提供進入一個系統的詳細步驟。掃描器一般有三個功能:①發現一個主機或網絡;②一旦發現一臺主機,能夠發現該主機正在運行何種服務;③通過測試這些服務,發現內在的漏洞。

(2)掃描器攻擊的防范

掃描器能發現系統和網絡在安全方面的弱點。被黑客使用,他將會努力尋找系統中的安全漏洞,嘗試做出突破系統安全防線的行為,這對系統安全是極大的威脅。但是如果系統管理員使用了掃描工具,將直接有助于加強系統安全性。

掃描器攻擊的防范方法主要有兩種:一是基于包檢測的實時分析,二是基于日志的事后分析。

基于包檢測的實時分析的原理是:在主機上運行一個網絡監聽進程,獲取發送至該主機的所有數據包。定義一個規則集,包含一個預定義規則,例如,在一個連續的時間內,收到一定頻率以上的SYN或FIN請求,就可認為檢測到SYN/FIN掃描。通過匹配算法,將接受的數據包與規則進行匹配,以確定屬于何種掃描攻擊?;诎鼨z測的實時分析具有實現簡單、實時監測與反應快等優點,目前被廣泛應用于入侵檢測系統(IDS)與防火墻中。但實時監測的系統開銷較大,尤其是大流量的網絡通信時,會影響系統效率。

基于日志的事后分析主要使用Syslog日志。Syslog日志是一個非常有用的消息日志工具,最初為基于BSD Unix系統開發的Syslog作為sendmail的附屬工具,現在已包含在各種Unix系統中?;谌罩镜氖潞蠓治鼍哂邢到y開銷低、可以利用現有工具等優點,但不能實

時監測。通常情況下,是將兩種方法結合起來而達到較好的效果。

2.緩沖區溢出攻擊及其防范

(1)緩沖區溢出的概念與工作原理

緩沖區溢出是由于程序設計或編寫錯誤所帶來的程序錯誤(Bug)。緩沖區溢出是一種非常普遍、非常危險的漏洞,在各種操作系統、應用軟件中廣泛存在。利用緩沖區溢出攻擊可以導致程序運行失敗、系統死機、重新啟動等后果。更為嚴重的是,可以用它執行非授權指令,甚至可以取得系統特權,進而進行各種非法操作。

緩沖區溢出的工作原理是:向一個有限的緩沖區中拷貝過長的字符串,造成緩沖區的溢出,從而破壞程序,使程序轉而執行其他指令,以達到攻擊的目的。

緩沖區溢出攻擊的目的在于擾亂具有某些特權運行的程序的功能,這樣可以使得攻擊者取得程序的控制權,如果該程序具有足夠的權限,那么整個主機就被控制了。在緩沖區溢出攻擊中,攻擊者常采取兩種方法:①在程序的地址空間里安排適當的代碼的方法;②通過適當的初始化寄存器和內存,讓程序跳轉到攻擊者安排的地址空間執行。

(2)緩沖區溢出攻擊的防范

緩沖區溢出攻擊占了遠程網絡攻擊的絕大多數,這種攻擊可以使得一個匿名的Internet用戶有機會獲得一臺主機的部分或全部的控制權。如果能有效地消除緩沖區溢出的漏洞,則很大一部分的安全威脅可以得到緩解。防范最有效的方法是及時下載更新軟件的漏洞補丁。

3.拒絕服務攻擊

2000年2月初出現多起拒絕服務(Denial of Service)的網絡攻擊事件,使得Yahoo、Ebay拍賣網站、CNN新聞網、Amazon網絡書店等著名網站暫時性地處于癱瘓,這些攻擊事件仍未完全查出涉案的嫌犯。在該次攻擊事件中,使用了分布式拒絕服務攻擊(DDOS;Distributed Denial of Service),這種攻擊技術利用網站開放系統的特性,通過分布式的代理機制植入后門程序后再遠程遙控,方法是先侵入一部分有安全漏洞的主機,安裝具有特定功能的后門程序,稍候再從遠程發動攻擊,被攻擊的目標主機因一時無法應付處理大量的網絡數據包而導致網站癱瘓。在2006年,拒絕服務攻擊已經被提升到了利用僵尸網絡BotNet進行大批量攻擊的層次,其嚴重程度已經達到了阻塞國內網絡的程度。根據今年上半年監測的數據,中國擁有的“僵尸網絡”電腦數目最多,全世界共有470萬臺,而中國就占到了近20%,其嚴重性已不可忽視。

(1)拒絕服務攻擊的概念

拒絕服務攻擊是指攻擊者利用系統的缺陷,通過執行一些惡意的操作而使得合法的系統用戶不能及時地得到應得的服務或系統資源,如CPU處理時間、存儲器、網絡帶寬等。拒絕服務攻擊往往造成計算機或網絡無法正常工作,進而會使一個依賴于計算機或網絡服務的企業不能正常運轉。拒絕服務攻擊最本質的特征是延長服務等待時間。當服務等待時間超過某個閾值時,用戶無法忍耐而放棄服務。拒絕服務的關鍵在于所達到的效果:延遲或者阻礙合法的用戶使用系統提供的服務,對關鍵性和實時性服務造成的影響最大。拒絕服務攻擊與其他的攻擊方式相比較,其獨特性在于拒絕服務攻擊是對系統向外提供的服務進行攻擊,同時可協助其他攻擊。其行為本身并不會破壞資料的內容。

(2)拒絕服務攻擊的種類

攻擊行為的本身并不需要入侵密碼文件或取得敏感資料,可能針對任何暴露于網絡上服務器或客戶端的軟件、硬件或服務進行干擾,迫使遭受攻擊的網絡主機服務暫時性失效。

①基于網絡帶寬消耗的拒絕服務攻擊

攻擊者有意制造大量的數據包或傳輸大量文件以占用有限的網絡帶寬,致使合法的用戶無法正常使用網絡資源,從而實現攻擊者的意圖。

②消耗磁盤空間的拒絕服務攻擊

這種拒絕服務攻擊利用系統的缺陷,制造大量的垃圾信息。典型的攻擊方法如垃圾郵件、故意制造大量日志信息等。

③消耗CPU資源和內存資源的拒絕服務攻擊

操作系統需要提供的CPU和內存資源給許多進程共用,攻擊者利用系統的存在的缺陷,有意使用大量的CPU和內存資源,從而導致系統服務性能下降甚至造成系統崩潰。典型的攻擊方法是蠕蟲程序,如“紅色代碼”和“尼姆達”(Nimda)病毒。

④基于系統缺陷的拒絕服務攻擊

攻擊者利用目標系統的漏洞和通信協議的弱點來實現拒絕服務攻擊。例如,一些系統口令輸入次數超過若干次數或注冊等待時間超過某個時間值,系統就會停止該用戶系統的使用權。攻擊者利用系統這個安全弱點,有意輸錯口令而導致系統鎖定該用戶的賬號,致使該用戶得不到服務。

⑤分布式拒絕服務

分布式拒絕服務攻擊主要是指植入后門程序后遠程遙控攻擊,攻擊者可從多個已入侵的跳板主機控制數個代理攻擊主機,所以攻擊者可同時對控制下的代理攻擊主機激活干擾命令,以對受害主機大量攻擊。這種通過攻擊者的代理機制進行入侵干擾已成日前較新的攻擊方法。

(3)拒絕服務攻擊的防范

拒絕服務攻擊雖然不會竊取目標系統的資料,但它會造成服務中斷,間接產生重要的時間和經濟損失,因此,有必要制定防范策略,采取保護措施,防止拒絕服務攻擊。防止拒絕服務攻擊的主要手法有:

①監控計算資源的使用。例如建立資源分配模型圖,統計敏感的計算資源使用情況。使用限額方法及早檢測計算資源出現異常情況。主要包括:統計CPU使用狀況;觀察系統的性能,確立系統正常的界線,估計非正常的磁盤活動;檢查網絡流量使用狀況。

②修補漏洞。例如給操作系統或應用軟件包升級。

③關掉不必要TCP/IP服務。關掉系統中不需要的服務,以防止攻擊者利用。

④過濾網絡異常包。例如通過防火墻配置阻斷來自Internet的惡意請求。

6.4.5病毒及其防治技術

1.計算機病毒的概念

關于計算機病毒的定義,國內外看法并不統一,主要分為兩類:一類認為計算機病毒只具有感染性,而不要求具有破壞性,如計算機病毒之父Fred Cohen博士所下的定義:“計算機病毒是一種計算機程序,它通過修改其他程序把自身或其演化體插入它們中,從而感染它們”。另一類認為計算機病毒不僅具有感染性,還具有破壞性,如《中華人民共和國計算機信息系統安全保護條例》的定義:“計算機病毒,是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數據,影響計算機使用,并能自我復制的一組計算機指令或者程序代碼?!蔽覈谭]有對計算機病毒進行解釋,但從刑法第286條的規定“??計算機病毒等破壞性程序??”來看,計算機病毒屬于破壞性程序,因此,本文研究的計算機病毒,是指后者定義的計算機病毒。

2.計算機病毒犯罪的發展現狀

計算機病毒之禍由來已久,早在20世紀80年代就已經出現。每次病毒攻擊都給社會以強烈震蕩,如1988年網絡“蠕蟲”病毒攻擊了互聯網上的大量計算機信息系統,經濟損失超過9000萬美元。20世紀90年代以來,計算機病毒災難更頻繁地發生,CIH、Melissa、“愛蟲”、HAPPY99等惡性計算機病毒接踵而來,信息網絡安全經歷了一次又一次的沉重打擊。2007年上半年《中國電腦病毒疫情及互聯網安全報告》,報告指出,2007年上半年,防病毒

機構共截獲新增病毒樣本總計111,474種,與去年同期相比,新增病毒樣本增加了23%;其中木馬病毒的新增數占總病毒新增數的68.71%,高達76593種。更令人擔憂的是,計算機病毒發展進入所謂“后病毒時代”。據科技日報消息,法國通過監視互聯網上對網絡發起的攻擊行為和分析攻擊行為的變化及結果后表示,在網絡攻擊中最具“毒”性的是“混合性攻擊”,即利用結合計算機病毒、黑客技術、網絡蠕蟲和拒絕服務等技術于一體的“混合性病毒”,它專門針對大型軟件的缺陷,是經過網絡傳播、類似于病毒的程序。計算機病毒種類越來越多,對抗反計算機病毒技術的能力越來越強,計算機病毒對信息網絡安全的危害也越來越大,依賴計算機、網絡運作的社會活動受到嚴重影響。

3.計算機病毒的特點

計算機病毒種類繁多,特征各異,但它們都具有以下基本特點:

(1)主動傳染性

計算機病毒能夠主動感染宿主計算機,并進一步感染其他計算機。因此,計算機病毒一旦被釋放,被感染的計算機數量就會呈指數增長。主動傳染性將計算機病毒與特洛伊木馬程序等破壞性程序區別開來,計算機病毒侵害的是不確定的眾多的計算機系統,而特洛伊木馬程序如BO、Netspy等,雖然也能夠秘密植入他人計算機系統,但不會主動感染其他計算機,影響的往往是特定的或是較少的計算機信息系統。

(2)潛伏性和可觸發性

計算機病毒傳染宿主計算機后,往往不立即進行破壞,而是潛伏一段時間,在潛伏期內計算機病毒繼續秘密傳染其他計算機程序或者計算機信息系統。潛伏性和主動傳染性相互作用,計算機病毒潛伏得越好,其傳染范圍就越廣泛,反之,傳染的范圍就十分有限。

(3)破壞性

當破壞條件滿足時,計算機病毒就會對計算機信息系統進行破壞,或者破壞系統功能,或者破壞系統中的數據或者應用程序,有的甚至破壞硬件設備。計算機病毒破壞作用的大小,取決于計算機病毒程序制作者的意圖和目的。

4.網絡病毒防治

怎樣有效地在網絡環境下防治病毒,這是一個比較新的課題,各種方案、技術很多。業內人士在基本原則、策略方面已基本趨于達成共識。首先來談一談原則和策略。

(1)防重于治,防重于管

防治網絡病毒應該利用網絡的優勢,從加強網絡管理的根本上預防網絡病毒。如果消極地在網絡感染病毒后再去殺毒,只能起到亡羊補牢的作用。在網絡環境下應以防為主,以治為輔。一般來講,計算機病毒的防治在于完善操作系統和應用軟件的安全機制,但在網絡環境下,可相應采取新的防范手段。網絡防病毒最大的優勢在于網絡的管理功能,可以從兩方面著手解決:一是嚴格管理制度,對網絡系統啟動盤、用戶數據盤等從嚴管理與檢測,嚴禁在網絡工作站上運行與本部門業務無關的軟件;二是充分利用網絡系統安全管理方面的功能。

(2)綜合防護

整個網絡系統的安全防護能力,取決于系統中安全防護能力最薄弱的環節。網絡病毒防治同樣也適用于這種理論。在某一特定狀態下整個網絡系統對病毒的防御能力只能取決于網絡中病毒防護能力最薄弱的一個節點或層次。網絡的安全威脅主要來自計算機病毒、黑客攻擊及系統崩潰等方面,因此,網絡的安全體系也應從防病毒、防黑客、災難恢復等幾方面綜合考慮,形成一整套的安全機制。防病毒軟件、防火墻產品通過設置、調整參數,能夠相互通信,協同發揮作用。這也是區別“單機防病毒”技術與“網絡防病毒”技術的重要標志。

(3)尋求網絡防毒與占用網絡系統資源之間的最佳均衡

要采取網絡防病毒措施,肯定會導致網絡系統資源開銷的增加,如增加系統負荷、占

網絡犯罪及案例分析(教材) 86_網絡犯罪案例

用CPU時間、占用網絡服務器內存等。針對這一問題,有業內人士對網絡防病毒技術提出了“最小占用原則”,以保證網絡防病毒技術在發揮其正常功能的前提下,能夠最小占用網絡資源。安裝網絡防病毒軟件可能會對網絡的吞吐形成“瓶頸”,對系統資源占用過高的網絡防病毒技術對用戶來說是不可取的,特別是一些在特定時間網絡吞吐量特別大(如每天下班前結算或匯總)的網絡。

(4)管理與技術并重

解決網絡病毒問題應從加強管理和采取技術措施兩個方面著手,在管理方面形成制度。加強網管人員的防病毒觀念,在業務活動中,如內部網與外界交換數據等自覺地進行有效控制和管理,同時,抵制盜版軟件或來路不正軟件的使用。管理工作由于涉及因素較多,往往知易行難,因此,還要輔以技術措施,選擇和安裝網絡防病毒產品。

(5)多層次防御

新的網絡防毒策略是把病毒檢測、多層數據保護和集中式管理功能集成起來,形成多層次的防御體系。它易于使用和管理,也不會對管理員造成額外的麻煩,極大地降低了病毒的威脅性,同時,也使病毒防護任務變得更經濟、更簡單、更可靠。由于多層次防御病毒軟件把病毒檢測、多層數據保護和集中式管理的功能集成在同一產品內,因而極大地減輕了反病毒管理的負擔,而且提高了全面的病毒防護功能。

(6)注意病毒檢測的可靠性

經常定期地對網絡或單機上的文件卷進行病毒檢測。但要注意,檢測結果沒有發現病毒并不等于就真的沒有病毒,這是因為先有病毒,后才有反病毒軟件。反病毒軟件必須盡量做到及時升級,現在國際上公認的升級周期為一個月,如果在這個周期內得不到升級維護,它在理論上就應被視為無效。

6.4.6黑客及其防治技術

1.“黑客”行為的出現

國際上將非法入侵計算機信息系統者稱為“黑客”(Hacker),也有人將“黑客”稱為信息第三者插足,并將其分為突然性信息插足、技術性信息插足、欺騙性信息插足和商貿性信息插足等幾種情況。

就全世界范圍來看,比較典型的“侵入”事件有三起:一是1993年英國少年布里頓“侵入”美國國防部計算機系統,接觸到了包括彈道武器研究報告、美國情報部門內部機要通訊材料在內的大量機密,并把部分機密輸入了有3500萬用戶的國際計算機網絡。二是1994年英國電信公司一位計算機操作員“侵入”本公司內部數據庫,獲得了英國政府防務機構和反間諜機構的電話號碼和地址,其中包括英國情報機構、政府的核地下掩體、軍事指揮部以及控制中心、英國導彈基地等機密電話號碼和梅杰首相的住處以及白金漢宮的私人電話號碼。第三起是美國政府機關遭入侵事件。1996年8月和9月,美國司法部和中央情報局先后遭入侵。

2.“黑客”行為的現狀與特點

自從有了三次典型的黑客入侵事件后,著名的黑客入侵事件就接連不斷。僅在2000年一年,較為著名的事件就包括以下幾起:在蒙特利爾,加拿大警方逮捕了一名15歲的男孩,這名男孩涉嫌發起了一系列網絡攻擊,致使幾家著名的因特網網站陷于癱瘓,給網站造成了數億美元的損失。在北京,根據中國有關網絡公司統計,黑客的襲擊導致中國40%的網站受到嚴重破壞,44%的公司的在線信息被破壞。在莫斯科,來自俄羅斯、英國、巴西的黑客把俄羅斯軍方的因特網主頁換成了用英語寫成的辱罵俄羅斯軍隊及軍方領導人的內容。在東京,計算機黑客闖入了日本政府的因特網網址,留下了辱罵和攻擊日本戰時歷史的英文和中文信息。在紐約,黑客向Ebay在線拍賣網站和Qmazon.com、buy.com等購物網站發送潮水

般的數據,使這些網站的計算機無法立即處理,致使網站陷于癱瘓。

2007年,一家國際黑客組織利用叫作“pharming”的新型病毒攻擊了世界65家金融企業和網上交易企業,竊取個人賬戶信息。這輪攻擊在澳大利亞首次啟動,此后迅速在多國擴散,平均每天就將1000名以上電腦用戶引入偽裝網站,乘機竊取網絡銀行用戶名和密碼等信息。英國的巴克萊銀行、蘇格蘭銀行,美國的捷運信用卡、世界最大網絡拍賣企業eBay等很多著名企業都在攻擊中相繼受損。韓國花旗銀行網上信用卡結算代辦系統也遭到黑客攻擊,造成20名顧客賬戶的5000余萬韓元(1000韓元約合7元人民幣)被自動劃轉。

根據美國國防部計算機安全專家對其掛接在Internet上的12000臺計算機進行的一次安全測試,證明有88%的入侵是成功的,甚至有96%的嘗試破壞行為未被發現。

3.黑客行為出現的存在必然性

客觀上講,對于非法侵入計算機信息系統的技術防范難以達到杜絕此類犯罪的目的,而且在技術上也根本不可能實現此種目標。正如有的學者所言,由于計算機系統本質上是數字處理系統,因而所有的計算機安全系統都是基于一定的數學算法來建立的。從理論上分析,任何一個計算機系統只要同外界相聯系,那么無論它采用什么安全系統都是可以破解的,只是有些算法相當復雜,破解它需要的理論時間可能長達幾十萬年之久,從而被某些人認為是不可能被破解的。

伴隨著計算機網絡的逐步連接和廣泛應用以及信息高速公路的建立,計算機網絡的安全問題已經成為目前亟待解決的課題,非法侵入計算機信息系統的犯罪的嚴重社會危害性已經開始逐步顯示出來。正確認識“黑客”行為及其危害性,對于規范計算機操作行為和確立正確的計算機道德,具有重要意義。

4.建立黑客入侵防范體系

學術界有學者認為,以動態、多層次的黑客入侵防范體系模型—EPPDRR-SM模型為基礎,給出黑客入侵防范體系的實現框架。建立黑客入侵防范體系,主要內容有:選擇相關的產品和工具,制定典型環境下的安全策略及在實際網絡環境中的應用和實施。

采用的安全技術和工具主要包括防火墻、安全掃描、評估分析、入侵檢測、網絡陷阱、入侵取證、備份恢復和病毒防范。這些技術在網絡系統的安全解決方案中都很重要,缺少任何一種都會產生巨大的危險,入侵防范應以一個整體概念來把握。

(1)防火墻:用于實現網絡的邊界安全防護功能。主要采用包過濾、電路網關、應用網關、網絡地址轉化、病毒防火墻、郵件過濾等技術。作為內網與外網之間的門戶,對其間的信息交流進行全面管理,對用戶使用網絡進行控制和記錄。

(2)網絡隱患掃描系統:用于對網絡系統的安全漏洞及安全隱患進行掃描評估,指出目標節點的安全隱患并給出對應的解決方法。

(3)入侵檢測系統:用于對定義的攻擊特征進行模式匹配,判斷網絡行為是否為惡意入侵或者攻擊??梢员O控網絡攻擊、后門、病毒傳輸等不良行為,且實現了電子郵件等的過程回放功能。

(4)系統安全固化:系統的安全措施將首先為操作系統提供防范性好的安全保護傘,并為數據庫和應用軟件提供整體性的安全保護。主要針對開放源碼的Linux、FreeBSD的操作系統,加強上述操作系統的安全防護性能。

(5)事件響應:事件響應是指網絡安全系統對安全事件的自動響應。目前在使用的事件響應方法大體上分為3類:報警、阻塞和反擊。在其體系中對安全事件的響應方式采用報警與人工響應相結合為主,阻塞響應為輔,成立安全事件響應小組,負責處理相關安全事件。

(6)基于文件的抗毀系統:主要針對服務器上的關鍵文件進行實時的一致性檢查,一旦發現文件的內容、屬主、時間等被非法修改就及時報警,并在極短的時間內實時恢復

(7)陷阱網絡:作為一種積極主動的防御方法,陷阱網絡將黑客的入侵行為引入一個

可以控制的范圍,消耗其資源,了解其使用的方法和技術,追蹤其來源,記錄其犯罪證據。

(8)入侵取證:入侵取證為安全防護體系提供取證和事后分析的依據,它針對日志保密存放和防篡改及日志的審計功能設計一套有效的審計取證系統,可解決當前電子犯罪難于取證并難于找到問題根源的問題。

(9)數據備份恢復:為了防止數據丟失,需要作好詳細的災難恢復計劃,還要定期進行災難演練??梢岳锰蕴臋C器或多余的硬盤進行災難模擬,以熟練災難恢復的操作過程,并檢驗所生成的災難恢復軟盤和災難恢復備份是否可靠。

(10)防范體系管理平臺:網絡安全技術的不斷發展,使得各種網絡安全設備的配置和管理日趨復雜。使用防范體系管理平臺,對內部網絡進行全面監控,實現對防火墻、IDS、Scanner等工具的統一管理和配置,并具有一定的可擴展性。

三 : 20十三大學生犯罪案例及分析

20十三大學生犯罪案例及分析_大學生犯罪

20十三大學生犯罪案例一直呈增長趨勢,而且大學生犯罪向多樣化、智能化方向發展?!疤熘溩印币沧呱狭朔缸锏牡缆?。這些現象的出現決非偶然。

大學生自我價值觀發生了變化

價值觀是影響甚至支配人們行為的重要因素。隨著社會的發展,大學生自我價值出現了變化。在不否認主流是好的條件下,我們要指出有為數不少的人的思想出現了消極、頹廢的傾向。主要表現在:

a.對自身及社會認識的變化:看到社會中大學生比例的上增,大學生失業現象的頻繁,現代大學生已不再有過去大學生擁有的那種認為自己是出類拔萃的優秀者的想法,他們的自我預期下降。這使他們極易產生消極頹廢心理。

b.個人化個性化傾向:面對改革浪潮,大學生的價值觀念就出現了個人化、個性化傾向。這種傾向是對不承認合理的個人利益、個人價值的“反對”,具有一定的積極性,但如果不能把握合適的“度”,就很容易陷入個人主義的泥潭,從而容易產生犯罪。

大學生心理發展的不成熟性

大學生處于青年期,其心理正在迅速走向成熟但又未完全成熟,他們心理起伏比較大、易沖動、自我控制能力較差、做事情欠缺考慮;加上大學生人生體驗淺,而社會又極其復雜,故若沒有正確的引導,他們很容易走上歧途,甚至誘發犯罪。

大學生的心理發展的不成熟性還表現在:他們心理的脆弱性上面,這種心理的脆弱,主要有原因有:a.對自我的要求過分高于自身的素質、能力;b.客觀生活環境困難;c.父母過度關懷。曾經被媒體熱炒的清華大學學生劉海洋硫酸傷熊事件、北京某高校學生馬忠義攜帶仿真槍綁架案等等,都是因心理的脆弱而誘發的犯罪。

由于改革開放,國內出現了多種文化。一些非主流文化的負面影響及不同背景的西方文化、港臺文化對大學生產生的不可低估的影響,這些影響也是導致大學生犯罪的原因之一。社會的主流文化是健康向上的,對大學生起著積極的正面引導作用,但像色情、暴力、荒謬、享樂主義以及西方、港臺文化中所宣傳的私有化、極端個人主義文化及文化商業化作用下產生的文化糟粕,則在社會上起著極壞的影響,誘導大學生走上違法犯罪之路。

當代大學生犯罪的預防對策

預防是減少犯罪的最有利的辦法,預防大學生犯罪是對人才的珍惜,是對社會的責任。預防大學生犯罪,是學校的任務。也是司法機關和社會個方面的共同任務。

1.注重對大學生思想道德教育,引導大學生正確認識自我,認識社會,樹立正確的人生方向,追求目標,增強大學生的公德意識。

2.培養大學生良好的心理素質

針對大學生心理發展不夠成熟的特點,學校要有意識地開展心理健康知識講座、開設心理咨詢服務。幫助大學生形成健康向上的心理,當前尤為重要的是:A)引導大學生控制情緒,增強社會應變力,學會處理現實與愿望的矛盾,學會自我調試,做事前理智思考。B)注意引導大學生建立和諧的人際關系:大學生要放棄自卑心理,充滿信心地對待生活,能夠接納他人,使自己的心理處于輕松愉快之中。C)注意引導大學生正確處理戀愛與性問題,指導大學生以嚴肅的態度對待愛情,正視戀愛關系,保持穩定的情緒及健康的心理。

學校要進行全面教育,針對大學生中許多人不知法、不懂法、有的甚至是法盲的現象,我們強調要強化法制教育,使大學生知法、懂法、守法,指導大學生正確理解權利與義務的關系,在履行義務的前提下,合法行使自己的權利,幫助大學生形成依法辦事、同違反憲法、法律以及破壞我果法制的行為斗爭的思想意識。

以上20十三大學生犯罪案例可以看出預防犯罪首先必須保證良好的校園生活環境,保證校園是1個學習知識的場所,切實抵制社會不良文化的進入。學校要關心學生的生活,幫助學生解決生活中的各項困難。對大學生的培養與教育,不單是學校的事,社會個部門也都負有重大責任。家長要注重對自己孩子的了解,配合學校教育;司法機關也應該有重點地與大學定期聯系,幫助學校建立良好的校園環境,同時加強校內的司法宣傳教育;政府職能部門則應力所能及地為大學排憂解難。要切實采取可行的措施,優化社會大環境以及校園環境,加強教育領導,把大學生犯罪率降到最低限度。

四 : 給學生一枝生花妙筆——自主探究作文教學的案例及評析

寫作教學應貼近學生實際,讓學生易于動筆,樂于表達,應引導學生關注現實,熱愛生活,表達真情實感。

在寫作教學中,應注重培養觀察、思考、表現、評價的能力。要求學生說真話、實話、心里話,不說假話、空話、套話。激發學生展開想像和幻想,鼓勵寫想像中的事物。

為學生的自主寫作提供有利條件和廣闊空間,減少對學生寫作的束縛,鼓勵自由表達和有創意的表達。提倡學生自主擬題,少寫命題作文。

——《語文課程標準》

一、創設自主探究的“境”:讓作文樂趣無窮。

?案例一?:上課鈴打響了,孩子們不是規規矩矩地在室內坐好,而是三個一群、五個一伙地自由組合,來到校園的花園里。老師沒有過多講解,只是提示孩子們觀察花朵的形狀、顏色、大小、味道等方面并和花朵說說悄悄話。

話剛說完,孩子們就如蝴蝶般翩翩飛行于花叢中,用眼看,用手摸,用鼻聞,用嘴說……往往令孩子們頭痛的作文課也能如此游玩似的快樂,孩子們能不主動學嗎?

?學生習作片斷?:

生1:菊花啊,菊花,你是那么美麗芬芳,紅的似火,粉的像霞,白的如雪,黃的像金,自由地在風中舞蹈,發出令人心醉的芳香。請你告訴我,是什么讓你如此五彩繽紛,香氣襲人?

生2:火紅火紅的一串紅喲,你多么像燃燒的火焰,又多么像串串鞭炮,你穿上了艷麗的禮服,也來參加這秋日的聚會嗎?

生3:粉紅的月季花,你可別低著頭呀!是不是太陽公公悄悄吻了你的臉,你害羞了?還是秋夜寒冷,你被凍紅了小臉?雪白的月季花,你嬌嫩的臉上怎么還有兩顆晶瑩的珍珠,難道是昨晚秋霜姑姑悄悄送給你的禮物嗎?

生4:“桂子花開,十里飄香?!泵臀豢?,空氣中凈是甜甜的味兒。瞧,你那么嬌小玲瓏,一叢叢、一簇簇,擠滿了樹的枝枝丫丫。你可要把我迷醉了。

生5:夾竹桃有紅有白,滿樹滿樹,幾朵幾朵湊在一塊,在風中沙沙作響,似乎在竊竊私語。你能告訴我你的悄悄話嗎?別只顧搖頭,你能再聽聽我的煩惱和憂愁嗎?

?評析?:首先,教師打破傳統的室內教學模式——閉門造車型,而是讓學生走進大自然,親近寫作素材,擁有第一手資料;其次讓學生自由組合,創設一種民主、和諧、愉悅的氛圍,使學生產生一種“自由感”,從而減輕學習上的精神負擔,能隨意觀察,充分發揮出學生的自主性;再者,教師的適當點撥提示,尤其是建議和花兒說說悄悄話,那可真是打開了孩子自由思維的寶匣,于是那靈動美妙的詩一般的語言便汩汩流出,這樣的習作,怎不令老師怦然心動,拍案叫絕!

?案例二?:老師正在指導學生看圖作文,第一幅圖:“小黑貓和小白貓在橋上看魚”;第二幅圖“小黑貓跳下河去捉魚”。孩子們看完第一、第二幅圖后很想知道結果,好奇心難以控制,到第三幅圖時老師別出心裁地只用了一個“?”,還反問一句:你們說結果會怎樣呢?

孩子們的思維就如開了閘的水,噴涌而出,滔滔不絕,如此引人入勝的開頭有幾個孩子不被吸引呢?

?學生習作片斷?

生1:鴨媽媽正好路過,聽到小白貓的呼喊聲,三步并作兩步沖過來,飛身一躍跳入河中,把小黑貓奮力往岸邊推,終于把它救了上來。

生2:“救命呀,救命呀!”小白貓急得大喊,小黑貓在水里拼命地手舞足蹈,沒想到,身體慢慢向上浮,它繼續使勁劃水……呀,它竟然學會貓刨式游泳了!

生3:小黑貓正咕咕咚咚喝水呢,游來一條金魚,她眨眨眼睛說:“貓哥哥,你別怕,我來救你,但你以后千萬別傷害我們,好嗎?”小黑貓只好連連點頭。沒想到,金魚送給它一個吸氧器,帶它到龍宮里走了一遭,呀!那個美景真是沒法說。從那以后,貓和魚還成了好朋友呢!

生4:小黑貓跳下河,打開了新設計的避水罩,頓時就像在陸地上一般。水底竟然也是那么美麗無比,魚兒生活得那么幸福、美滿,魚兒們還邀請它作客,送了它好多禮物,以后小黑貓怎么還忍心傷害他們呢?

?評析?:組織教學時,教師沒有把書上第三幅圖的內容告訴給孩子們,而是有意留下空白,啟發學生探究的興趣,給學生留下自主探究的空間。不會游泳的小黑貓跳下了水,結果會怎樣呢?讓學生自由想像、填補“空白”,去自我發現、創新、表達,變“吸收——儲存——再現”為“探究——鼓勵——創新”。結果,百花齊放,設想大膽,境況美不勝收。

寫在后面

由上述案例可見,創設自主探究的“境”,即提供自主探究的機遇,設計自主探究的情境,創設自主探究的氛圍,能充分激發學生的習作興趣,調動學生的學習積極性,最大限度地激活了學生潛在的學習欲望,使學生主動積極地參與到習作活動中來,成為學習的主人。教師應善于營造平等、民主、和諧、輕松的課堂氣氛,使用最佳的教學藝術,采用靈活多樣的方法,創造這種自主探究教學的“境”?!盀閷W生自主寫作提供有利條件和廣闊空間,減少束縛……”使學生易于動筆,樂于表達,思維靈動,筆下生輝。寫的文章自然就富有創新,富有真情實感和情趣。

二、開放自主探究的“度”:讓作文豐富多彩。

?案例一?:教師深情地導入  :“常言道‘每逢佳節倍思親’,一年中,無論是按公歷還是農歷,都有許多傳統節日,而遇到佳節,你也許會回憶起許多美好的往事,也許會特別思念某個人,也許想起游玩過的迷人風景,也許想買個精致的玩具飾品,也許有許多話兒要向誰訴說……”

一石激起千層浪,課堂氣氛立刻活躍起來:有的學生想起中秋節時,全家邊嘗月餅邊吟誦“明月幾時有,把酒問青天”的情景;有的學生想起“五一節”在公園游玩,一位救落水兒童的不知名的叔叔;有的學生想起“重陽節”時媽媽給奶奶送賀卡;有的學生想起“六一節”時爸爸給自己送的禮物;有的學生想起“十一”長假到外地游玩時的迷人風景……至此,教師提出作文要求:將你在那個日子里的所作所為、所見所聞、所思所感寫下來,題目自擬,體裁自定,字數不限。

學生“沙沙沙”地揮筆直抒,在一節課時間里,多數同學輕松地完成了習作,而且寫人、寫事、寫景、狀物,書信、詩歌等,均精彩紛呈,各有千秋。

?評析?:組織教學時,教師首先將習作所涉及的范圍適當拓寬,降低了運用知識的難度;其次又將習作的要求適當拓寬,擴大了完成習作的自由度;再加上教師精心創設的導入  ,又拓展了學生思維的寬廣度,這樣多一點“自助餐”,放棄了“配給制”,便于發揮學生的主體作用,而且便于再現學生儲藏于大腦中的知識和經歷,記憶的閘門一旦打開,寫出好的作文自然也就水到渠成。

?案例二?:學生完成習作的初稿后,不急于謄寫,而是根據習作要求互相評議修改;謄寫完之后也不急于交給老師,再互相修改評議;然后老師再進行評改;最后集體講評。如一位學生寫自己班長的文章《我班的“老虎”》:

自評:我班的“老虎”就是班長,我寫了兩件事:一是班長管紀律嚴,像老虎;二是班長管我們打掃衛生很嚴,像老虎。語句通順,寫得生動。得“優”。

互評生1:文章條理清晰,敘述完整,但事情寫得不夠具體、生動,沒有身臨其境之感,請在我提示的地方修改。得“良”。

互評生2:我覺得題目很新穎,事情敘述完整,就是錯別字較多,優美詞句較少,望及時訂正。得“優”。

師評:首先你很會動腦,一是題目新穎,二是文章選材真實可信;其次,寫得很有條理,兩件事情之間還有過渡句,值得表揚。建議你細細回憶“老虎”班長管理時的動作、神態、語言及他人的反應,把這些東西寫具體,人物性格就會躍然紙上。得“優”。

?評析?:講評的過程也是一個不斷提高學生的寫作水平,規范學生個性化語言的過程。改變以往老師一刀切的方式,擴大評改的寬度,教給講評的方法,讓學生自評、互評,再老師評、集體評。前者重點落實訓練要求,后者又把欣賞評議融為一體。這樣開放講評的“度”,使學生在提高評議能力的同時,也有利于學生在審題、選材、謀篇布局、遣詞造句等方面博采眾長,飛速提高。

寫在后面

由上述案例可見,開放自主探究的“度”,即拓寬作文題目、內容、體裁等的自由度,擴大習作評議的參與度,渲染佳作的知名度等,能充分激起學生自主探究的興趣。使學生在互幫互學、友好合作的良好心境中,不時閃現出思維的火花,從而捕捉住靈感,下筆有神,妙筆生輝。充分體現了“注重培養學生觀察、思考、表現、評價的能力”的新的課程理念。

(薛向紅 金煒 《中國教師報》)

本文標題:大學生犯罪案例及分析-大學生心理困惑及異常心理案例分析AC178
本文地址: http://www.3717115.live/1151502.html

61閱讀| 精彩專題| 最新文章| 熱門文章| 蘇ICP備13036349號-1

北京十一选五一定牛 股票代码分类 江西11选5常规走势图 内蒙古十一选五平台 快三吉林快三开奖直播 幸运赛车玩法介绍 微信赚钱的三大方法 快3河北 厦门 股票配资 三连码肖 云南时时彩官网走势