时间:2023-05-16 15:31:47
序论:在您撰写计算机犯罪研究论文时,参考他人的优秀作品可以开阔视野,小编为您整理的7篇范文,希望这些建议能够激发您的创作热情,引导您走向新的创作高度。
关键词:计算机犯罪计算机取证电子证据
Abstract:Therapiddevelopmentofcomputertechnologyhaschangedthewayofliving,productionandmanagement.Italsopresentsnewguiltywaysforthecriminals.Thenewtypesofcrimesbytakingthecomputerinformationsystemastheobjectandtoolsareincreasing.It’sgettingmoreharmful.Howtogettheevidenceofcomputercriminalsisanewtaskforthelawandcomputersciencearea.Proofbycomputer,asascienceofcomputerandlawarea.becomesafocusofattention.
KeyWords:CrimeonComputer,ComputerEvidence,ElectronicEvidence
计算机犯罪是伴随计算机的发明和广泛应用而产生的新的犯罪类型。随着计算机技术的飞速发展。计算机在社会中的应用领域急剧扩大。计算机犯罪的类型和领域不断增加和扩展。使“计算机犯罪”这一术语随着时间的推移不断获得新的涵义。
1什么是计算机犯罪
在学术研究上.关于计算机犯罪迄今为止尚无统一的定义(大致说来,计算机犯罪概念可归为五种:相关说、滥用说、工具说、工具对象说和信息对象说)。根据刑法条文的有关规定和我国计算机犯罪的实际情况,计算机犯罪是指行为人违反国家规定.故意侵入国家事务、国防建设、尖端科学技术等计算机信息系统,或者利用各种技术手段对计算机信息系统的功能及有关数据、应用程序等进行破坏。制作、传播计算机病毒。影响计算机系统正常运行且造成严重后果的行为。
利用计算机进行犯罪活动,无外乎以下两种方式:一是利用计算机存储有关犯罪活动的信息;二是直接利用计算机作为犯罪工具进行犯罪活动。计算机犯罪具有犯罪主体的专业化、犯罪行为的智能化、犯罪客体的复杂化、犯罪对象的多样化、危害后果的隐蔽性等特点。使计算机犯罪明显有别于传统一般刑事犯罪。近年来,计算机犯罪案例呈逐年上升趋势。给国家带来不可估量的严重后果和巨大的经济损失,甚至威胁到国家的安全,破坏了良好的社会秩序。所以,打击利用计算机进行的犯罪,确保信息安全对于国家的经济发展和社会稳定具有重大现实意义。为有效地打击计算机犯罪,计算机取证是一个重要步骤。存在于计算机及相关设备(包括网络介质)中的电子证据已经成为新的诉讼证据之一。
2什么是计算机取证
计算机取证又称为数字取证或电子取证,是指对计算机入侵、破坏、欺诈、攻击等犯罪行为利用计算机软硬件技术,按照符合法律规范的方式进行证据获取、保存、分析和出示的过程。从技术上,计算机取证是一个对受侵计算机系统进行扫描和破解,以对入侵事件进行重建的过程。
计算机取证包括物理证据获取和信息发现两个阶段。物理证据获取是指调查人员到计算机犯罪或入侵的现场,寻找并扣留相关的计算机硬件;信息发现是指从原始数据(包括文件,日志等)中寻找可以用来证明或者反驳的证据,即电子证据。与传统的证据一样,电子证据必须是真实、可靠、完整和符合法律规定的。
2.1物理证据的获取
物理证据的获取是全部取证工作的基础。获取物理证据是最重要的工作,保证原始数据不受任何破坏。无论在任何情况下,调查者都应牢记:
(1)不要改变原始记录;
(2)不要在作为证据的计算机上执行无关的操作;
(3)不要给犯罪者销毁证据的机会;
(4)详细记录所有的取证活动;
(5)妥善保存得到的物证。
若现场的计算机处于工作状态。取证人员应该设法保存尽可能多的犯罪信息。由于犯罪的证据可能存在于系统日志、数据文件、寄存器、交换区、隐藏文件、空闲的磁盘空间、打印机缓存、网络数据区和计数器、用户进程存储器、文件缓存区等不同的位置。要收集到所有的资料是非常困难的。关键的时候要有所取舍。如果现场的计算机是黑客正在入侵的目标。为了防止犯罪分子销毁证据文件,最佳选择也许是马上关掉电源;而如果计算机是作案的工具或相关信息的存储器。应尽量保存缓存中的数据。
2.2信息发现
取得了物理证据后。下一个重要的工作就是信息发现。不同的案件对信息发现的要求是不一样的。有些情况下要找到关键的文件、邮件或图片,而有些时候则可能要求计算机重现过去的工作细节(比如入侵取证)。
值得注意的是。入侵者往往在入侵结束后将自己残留在受害方系统中的“痕迹”擦除掉。犹如犯罪者销毁犯罪证据一样,尽量删除或修改日志文件及其它有关记录。殊不知一般的删除文件操作,即使在清空了回收站后,若不将硬盘低级格式化或将硬盘空间装满,仍可将“删除”的文件恢复过来。在Windows操作系统下的windowsswap(page)fde(一般用户不曾意识到它的存在)大概有20-200M的容量,记录着字符处理、Email消息、Internet浏览行为、数据库事务处理以及几乎其它任何有关windows会话工作的信息。另外。在windows下还存在着fdeslack,记录着大量Email碎片(Fragments)、字符处理碎片、目录树镜像(snapshot)以及其它潜在的工作会话碎片。以上这些都可以利用计算机取证软件来收集。事实上。现在的取证软件已经具有了非常好的数据恢复能力,同时,还可以做一些基本的文件属性获得和档案处理工作。
数据恢复以后。取证专家还要进行关键字的查询、分析文件属性和数字摘要、搜寻系统日志、解密文件等工作。由于缺乏对计算机上的所有数据进行综合分析的工具,所以,信息发现的结果很大程度上依赖于取证专家的经验。这就要求一个合格的取证专家要对信息系统有深刻的了解。掌握计算机的组成结构、计算机网络、操作系统、数据库等多方面的相关知识。
最后取证专家据此给出完整的报告。将成为打击犯罪的主要依据,这与侦查普通犯罪时法医的角色没有区别。
3一些取证工具的介绍
在计算机取证过程中。相应的取证工具必不可少,常见的有tcpdump,Argus,NFR,EnCase,tcpwrapper,sniffers,honeypot,Tripwires,Networkmonitor,镜像工具等。在国外计算机取证过程中比较流行的是镜像工具和专业的取证软件。下面以EnCase作为一个计算机取证技术的案例来分析。EnCase是目前使用最为广泛的计算机取证工具,至少超过2000家的去律执行部门在使用它。EnCase是用C++编写的容量大约为1M的程序,它能调查Windows,Macintosh,Anux,Unix或DOS机器的硬盘,把硬盘中的文件镜像或只读的证据文件。这样可以防止调查人员修改数居而使其成为无效的证据。为了确定镜像数据与原的数据相同。EnCase会与计算机CRC校验码和MD5台希值进行比较。EnCase对硬盘驱动镜像后重新组织文件结构,采用WindowsGUI显示文件的内容。允许调查员使用多个工具完成多个任务。
在检查一个硬盘驱动时,EnCase深入操作系统底层查看所有的数据——包括fileslack.未分配的空司和Windows交换分区(存有被删除的文件和其它潜生的证据)的数据。在显示文件方面,EnCase可以由多种标准,如时间戳或文件扩展名来排序。此外.EnCase可以比较已知扩展名的文件签名。使得调查人员能确定用户是否通过改变文件扩展名来隐藏证据。对调查结果可以采用html或文本方式显示。并可打印出来。
在计算机取证的过程中还有一种常用的方法是在被入侵的系统上巧妙地设立HoneyPot,模拟先前被入侵的状态来捕获入侵者的信息,即采用诱敌深入的计策达到取证的目的。
HoneyPot和Honeynet都是专门设计来让人“攻陷”的网络。一旦被入侵者攻破,入侵者的一切信息、工具都将被用来分析学习。
通常情况下,HoneyPot会模拟常见的漏洞。而Honeynet是一个网络系统,而非某台单一主机。这一网络系统隐藏在防火墙后面,所有进出的数据都受到关注、捕获及控制。这些捕获的数据可被用来研究分析入侵者使用的工具、方法及动机。
4当前计算机取证技术的局限和反取证技术
计算机取证的理论和软件是近年来计算机安全领域内取得的重大成果。然而,在实际取证过程中。我们发现目前的计算机取证技术还存在着很大的局限性。首先,有关犯罪的电子证据必须没有被覆盖:其次,取证软件必须能够找到这些数据。并能知道它代表的内容。但从当前软件的实现情况来看。许多取证分析软件并不能恢复所有被删除的文件。
正是由于技术上的局限性。使得一些犯罪分子认为有机可乘。因此在取证技术迅速发展的同时.一种叫做反取证的技术也悄悄出现了。反取证技术就是删除或隐藏证据,使取证调查无效。现在反取证技术主要分为三类:数据擦除、数据隐藏、数据加密。这些技术还可结合使用,使取证工作变得很困难。
数据擦除是最有效的反取证方法。它清除所有的证据。由于原始数据不存在了。取证自然就无法进行。数据隐藏仅在取证者不知道到哪里寻找证据时才有效。为逃避取证,犯罪者还把暂时不能删除的文件伪装成其他类型的文件或把他们隐藏在图形或音乐文件中。也有人将数据文件隐藏在磁盘的隐藏空间中。
加密文件的作用是我们所熟知的。对可执行文件的加密是因为在被入侵主机上执行的黑客程序无法被隐藏,而黑客又不想让取证人员有方向地分析出这些程序的作用,因此,在程序运行前先执行一个文本解密程序。来解密被加密的代码。而被解密的代码可能是黑客程序。也可能是另一个解密程序。
此外,黑客还可以利用RootKit(系统后门、木马程序),绕开系统日志或利用盗窃的密码冒充其他用户登陆。这些反取证技术给取证工作带来极大的困难。
5结束语
在各种各样的计算机犯罪手段与信息安全防范技术对垒的形势下。目前的研究多着眼于入侵防范对于入侵后的取证技术的研究相对滞后。仅仅通变现有的网络安全技术打击计算机犯罪已经不能够适应当前的形式。因此需要发挥社会和法律的力量去对付计算机和网络犯罪。计算机取证学的出现和矗用是网络安全防御理论走向成熟的标志。也是相多法律得以有效执行的重要保障。
参考文献:
【1】高铭喧主编<新编中国刑法学>1998年版
【2】蒋平主编‘计算机犯罪问题研究)2000年版
[关键词]计算机犯罪构成认定
***
新刑法第285条规定了侵入计算机信息系统罪;第286条规定了破坏计算机信息系统功能罪、破坏计算机数据和应用程序罪和制作传播破坏性程序罪。现就这四种犯罪的构成要件与认定时应注意的问题分析如下:
一、侵入计算机信息系统罪
所谓计算机信息系统,是指由计算机及其相关和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。侵入计算机信息系统罪,是指违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的行为。
侵入计算机信息系统,是一种危害十分严重的犯罪行为。据报道,1993年下半年有几个人打开了通往美国国防部机要计算机系统的密码。1995年,美国五角大楼的电脑系统受到25万人的“拜访”。近年最典型的“侵入”事件有两起,一是1993年英国少年布里顿“侵入”美国国防部计算机系统,接触到了包括弹道武器研究报告、美国情报部门内部机要通讯材料在内的大量机密,并把部分机密输入了有3500万用户的国际计算机网络。另一起是1994年英国电信公司一位电脑操作员“侵入”本公司内部数据库,获得了英国政府防务机构和反间谍机构的电话号码和地址,其中包括英国情报机构、政府的核地下掩体、军事指挥部以及控制中心、英国导弹基地等机密电话号码和梅杰首相的住处以及白金汉宫的私人电话号码。这是两起令世界震惊的“高技术侵入”事件。
从犯罪客观方面来说,侵入计算机信息系统,首先,必须具备违反国家规定的事实。目前,我国关于计算机信息系统管理方面的法规有:《计算机信息系统安全保护条例》、《计算机信息网络国际联网管理暂行规定》、《计算机信息网络国际联网出入信道管理办法》、《中国公用计算机互联网国际联网管理办法》、《专用网与公用网联网的暂行规定》等。其次,具有“侵入”行为(intrude),而且侵入的是党政机关、军事部门和尖端科研机构的计算机信息系统。“侵入”的方法有:
(一)冒充(masquerading/mimicking)。冒充的方式有:一是利用网络设计缺陷,比如在Internet(全球计算机网络)中,一种被称为“路线标定者”的特殊网络由计算机决定信息数据的确认和配送。“侵入者”则利用网络设计上的一个缺陷,采取欺骗“路线标定者”的办法冒充合法用户,从而得到受保护的计算机数据资源通道,控制了有关系统。二是使用别人的访问代码冒充进入他人的计算机网络。三是“乘机而入”,即“侵入者”利用合法用户输入口令(password)之机获取访问(access),或合法用户结束使用但未退出联机之前获得访问的一种方法。这就像小偷正要撬门而有人进出便混入大门一样。四是利用非法程序或方法蒙骗正在向计算机登录的合法用户以进入系统。比如,利用寄生术(piggyback),寄生术是指跟随其他用户的合法访问操作混入计算机系统作案的一种方法。
(二)技术攻击(technologicalattack),即使用技术打败技术,而不采取其他方法,比如猜想程序,猜出口令等。进行技术攻击的主要目的是绕过或取消硬件及软件存取控制机制以进入系统。
(三)后门(backdoor),后门一般是由软件作者以维护或其他理由设置的一个隐藏或伪装的程序或系统的一个入口。例如,一个操作系统的口令机构可能隐含这样一个后门,它可以使一定序列的控制字符允许访问经理的帐号。当一个后门被人发现以后,就可能被未授权用户恶意使用。
(四)陷阱门(trapdoor),也叫活门。在计算机技术中,是指为了调试程序或处理计算机内部意外事件而预先设计的自动转移条件。陷阱一般只有制造商知道,不告诉用户。程序调好后应关闭陷阱。如果厂商交货时忘记关闭陷阱,就会被人利用而绕过保护机制,然后进入系统。这种犯罪的主体,一般是具有相当水平的计算机操作人员。这些“侵入者”可按其犯罪故意的不同划分为两类:一类叫“计算机玩童”(naughty)。他们侵入计算机信息系统往往是出于好奇,或者是为了恶作剧,有的则为了检验自己的计算机技能。另一类叫“计算机窃贼”(hacker),也译“赫尔克”。这些人“侵入”纯粹出于犯罪目的。
侵入计算机信息系统罪属行为犯,只要有“侵入”的事实,即构成犯罪既遂。
二、破坏计算机信息系统功能罪
计算机信息系统一般具有采集、加工、存储、传输、检索信息的功能。所谓采集,是指在数据处理中,对要集中处理的数据进行鉴别、分类和汇总的过程;所谓加工,是指计算机为求解某一问题而进行的数据运算,也叫数据处理;所谓存储,是指将数据保存在某个存储装置中,供以后取用;所谓传输,是指把信息从一个地点发送到另一个地点,而不改变信息内容的过程;所谓检索,是指计算机从文件中找出和选择所需数据的一种运作过程。破坏计算机信息系统功能罪,就是违反国家规定,对计算机信息系统功能进行删除、修改、增加和干扰,造成计算机信息系统不能正常运行,后果严重的行为。破坏活动有时针对硬件,如某一设备;有时针对软件,如某一数据或程序;有时对硬软件同时进行破坏,比如有些计算机病毒既感染软件,又感染硬件。
破坏计算机信息系统一般有两种方式,一种是物理破坏,也叫机械破坏,就是通过爆炸、捣砸、摩擦、刺划、高温、浸湿、燃烧、短路等手段破坏计算机设备及其功能;另一种是逻辑破坏,也叫智能破坏,就是利用计算机知识和技能进行破坏活动,比如利用计算机病毒进行破坏。新刑法规定的破坏方法“删除、修改、增加、干扰”,应认为是智能破坏方法。对于利用物理方法破坏计算机信息系统功能的,理论上也应认定为破坏计算机信息系统功能罪,但鉴于新刑法没有明确规定,所以,可以按故意毁坏公私财物罪定罪处罚。常见的智能破坏方法有:
(一)干扰(jamming),指人为地发射一种强大的扰动信号,用以干扰正常的运作状态或传输中的信号,使之不能正常工作或信号不能被正常输出或接收。干扰分为电磁干扰(electromagnetieinterfere-nce)和射频干扰(radiofrequencyinterference)两种。电磁干扰是指由高能电扰动引起的感应电磁场,它不仅对无线电通信形成干扰,而且能导致沿电缆传送的数据、信息遭受破坏或丢失。射频干扰是通过发射射频电磁辐射干扰计算机工作电路。
(二)拒绝使用(denialofservice)。拒绝使用本来是指在公用电话网中,当没有可用线路时,给呼叫用户回送忙音的一种网络状态。在计算机安全中,是指废弃某系统、使端口处于停顿状态、在屏幕上发出杂乱数据、改变文件名称、删除关键程序文件或扭曲系统的资源状态,使系统运作紊乱或速度降低,最终导致处理结果降低价值或失去价值。
(三)利用计算机病毒或其他破坏性程序进行破坏。
破坏计算机信息系统功能罪属结果犯,其破坏行为必须造成计算机信息系统不能正常运行,而且后果严重,才构成犯罪。
三、破坏计算机数据和应用程序罪
所谓数据,是指计算机输入、输出和以某种方式处理的信息。所谓应用程序是指在计算机程序设计中,为某些用户编写的具有特定用途的程序。破坏计算机数据和应用程序罪,是指违反国家规定,对计算机信息系统中存储、处理或传输的数据和应用程序进行删除、修改、增加的操作,后果严重的行为。这种犯罪所侵犯的数据和应用程序必须处于“存储、处理或传输”状态,否则,不构成本罪。这种犯罪多发生在数据输入输出过程中,记录、传送、编辑、校对、调试、变更、转移等各个环节都可能是犯罪分子下手的时候。
破坏计算机数据和应用程序的方法除了新刑法规定的“删除、修改、增加”之外,还有损坏(就部分而言)、毁灭(就整体而言)、瓦解(致使数据或应用程序处于混乱状态)、隐匿等方法。计算机病毒或其他破坏性程序,也是破坏计算机数据和应用程序的常用手段这种犯罪属结果犯,处理时,应依新刑法第286条第2款定破坏计算机数据和应用程序罪,但是依照该条第1款破坏计算机信息系统功能罪的处罚规定予以处罚。
四、制作、传播破坏性程序罪
所谓破坏性程序,是指有意损坏数据、程序或破坏计算机系统安全的任何程序。常见的破坏性程序主要有以下几种:
(一)计算机病毒(computerviruses)。计算机病毒是指隐藏在计算机系统数据资源中,影响计算机系统正常运行,并可通过系统数据共享的途径蔓延传染的有害程序。计算机病毒输入计算机后,即会隐藏寄生在开机时的程序、应用程序及作业系统程序中,有时会依附在可供执行的电脑程序上,或者隐藏在其他周边设备程序或资料库内,或以伪装方式潜伏在磁碟片、硬式磁碟机或计算机记忆体内。当间隔一段时间后,它会不断地自动复制程序本身,蔓延并衍生出许多拷贝,或自动增加无益的程序,连续扩散,直至占满整个记忆体或磁碟机的空间为止,将其资料蚕食、吞噬、覆盖,最后使计算机运用缓慢、中止或停止。有的病毒如被发现,它还会潜逃到其他地方寄生,经流传变化或拷贝交换,病毒会侵入别人的磁碟上,甚至透过计算机网络连线,侵入别的计算机或磁碟上。
(二)特洛伊木马(Trojanhorse)。计算机安全中的特洛伊木马是指表面上在执行一个任务,但实际上在执行另一个任务的任何程序。这种程序与病毒的区别在于,病毒需要一个宿主(host)把自己隐藏其中,而且都能自我复制,而特洛伊木马不需要宿主,而且不自我复制。实际上,有些计算机病毒是特洛伊木马完成使命后的衰变产物。特洛伊木马能做任何软件能做的任何事情,包括修改数据库,写入基本工资、传递电子邮件或消除文件等。
(三)逻辑炸弹(logicbomb)。逻辑炸弹是指修改计算机程序,使其在某种特殊条件下按某种不同的方式运行的一种非法程序。这种程序不自我复制。逻辑炸弹被用来盗窃财物、毁坏存储资料。
(四)定时炸弹(timebomb)。定时炸弹是指在一定的日期或时刻激发的一种逻辑炸弹。这种逻辑炸弹启用的特殊条件就是实际日期或时刻与预置的日期或时刻相吻合。一但条件形成,该破坏性程序就被执行。但这种程序只隐藏自身,不自我复制。
(五)蠕虫(worm)。蠕虫是一种将自己的拷贝传染到入网计算机的程序。这种病毒主要攻击小型机,其自我复制能力很强,并主要通过自我复制来对计算机系统进行攻击,其传染途径主要是计算机网络和软磁盘。蠕虫与一般病毒的区别在于它不一定需要宿主,因为它是典型的主机型病毒,不必对用户隐藏。
以上五种程序也叫凶猛程序(rogueprogramm)。
(六)野兔(rabbit)。野兔是一种无限制地复制自身而耗尽一个系统的某种资源(CPU时间、磁盘空间、假脱机空间等等)的程序。它与病毒的区别在于它本身就是一个完整的程序,它不感染其他程序。
制作、传播破坏性程序罪,是指故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的行为。
对于没有制作和传播行为,而是利用计算机病毒等破坏性程序,破坏计算机信息系统功能,后果严重的,应当定破坏计算机信息系统功能罪。因为,有些计算机病毒既感染软件,又感染硬件,它对计算机信息系统的功能有直接破坏作用。
对于利用计算机病毒等破坏性程序,瓦解、损坏、毁灭计算机信息系统中存储、处理或者传输的数据和应用程序,后果严重的,则应定破坏计算机数据和应用程序罪。
关键词:计算机犯罪;刑事法;冲击;立法完善
随着信息技术突飞猛进的发展,尤其是计算机技术与网络技术的结合,人类社会产生了前所未有的巨大变革。然而,科学技术历来就是一把双刃剑。绚丽多姿的网络世界,就像“潘多拉魔盒”在给人类社会带来希望的同时,也释放出“飘过世纪的乌云”———计算机犯罪1.国外一位犯罪学家指出:比起现实世界,人们似乎更倾向于在网络上犯罪
1.随着社会信息化程度的不断提高,计算机犯罪日益严重地渗透到社会生活的各个层面,遭受计算机犯罪侵害的领域越来越广泛,危害的程度也越来越高。这给我国的刑事法造成了诸多冲击,亟待研究解决。
计算机犯罪对相关罪名立法之冲击在我国第一部刑法(1979年刑法)立法时,由于当时的计算机发展水平不高,计算机在我国的应用范围极其有限,故该部刑法未对计算机犯罪作出任何规定。随着计算机技术的不断发展和应用范围的不断扩大,1986年在深圳发生了我国首例以计算机为犯罪工具的金融诈骗案件2.此后,类似的案件不断增多。对于此类以计算机为犯罪工具的案件,1979年刑法还能勉强应对,可以按其目的行为所触犯的罪名如诈骗罪、盗窃罪、贪污罪等进行处罚。然而,对于随后发生的纯正的计算机犯罪,即以计算机信息系统为侵害对象的非法侵入和破坏行为,1979年刑法就显得无能为力了。针对这种冲击,修订后刑法(1997年刑法)作出了一定的回应,以第285条和第286条专门规定了非法侵入计算机信息系统罪和破坏计算机信息系统罪两个罪名。但是,由于计算机犯罪是一种全新的犯罪形式,加之立法经验和立法水平不足,这两个罪名的立法本身就不尽完善。再加之立法的回应跟不上一日千里的计算机发展和应用速度,计算机犯罪又对修订后刑法发出诸多冲击,使得1997年刑法在层出不穷的计算机犯罪面前又显得相对滞后。这种滞后在罪名问题上主要表现为:
(一)已有罪名的立法缺陷已日益显现
首先,刑法第285条规定:“违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统,处三年以下有期徒刑或拘役”。该条将非法侵入计算机信息系统罪的犯罪对象仅限于国家事务、国防建设和尖端科技领域的计算机信息系统,保护范围显得过于狭窄。这种规定,明显落后于时展的需要,与计算机技术日新月异的发展及其在我国各行各业的广泛应用状况极不相称。目前我国许多单位,尤其是金融、邮电、医疗、交通、高校等部门都建立了计算机信息系统。这些信息系统关系到社会生活的各个方面,许多系统与公众利益息息相关,如果我们对这些计算机信息系统不从刑法上加以保护,那么对这些系统的非法侵入将无法用刑罚加以制裁,这极不利于打击犯罪,保护国家、社会和个人的合法权益。因此,在刑法中对其保护范围作适当的扩大,显得很有必要。再者,根据刑法第286条的规定,破坏计算机信息系统罪,是指违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰或对计算机信息系统中储存、处理、传输的数据和应用程序进行删除、修改、增加的操作,或故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,造成严重后果的行为。本条旨在保护计算机信息系统安全,但该条的规定也显示出一些不足之处。本条将传播计算机病毒的行为规定为实害犯,即需要造成严重后果的才能构成犯罪。这一规定不尽合理。计算机病毒往往具有潜伏性,使得感染病毒的计算机系统不一定立刻受到病毒的影响。例如风行全球的CIH病毒,就经历了一个较长的潜伏期之后,才全面爆发。如果按本条的规定以实害犯标准加以衡量,那么在潜伏期内就看不出其实质的危害结果,从而很难适用本条对其加以惩处。但如果以危险犯标准,即计算机病毒可能给信息系统造成多大危害来加以衡量,则可以通过估测病毒感染的范围以及从程序代码的分析结果中估测其可能具有的破坏力大小,只要其对计算机信息系统安全的威胁达到一定程度就能成罪。因而,若将本条中传播计算机病毒的行为由实害犯改为危险犯并单独成罪,则更加合理、可取。
(二)罪名阙如,法网不密
我国现行刑法关于计算机犯罪的规定,尚存许多立法空白,从而导致法网不密。这主要表现在:(1)没有规定窃用计算机服务罪。在我国现行刑法中,窃用计算机服务的行为并未受到应有的重视,这使刑法与时展的要求产生一定的脱节。在现代社会中,由计算机系统所提供的信息服务也是一种商品,它是与信息采集、加工、处理、查询等相关的一种劳务。使用计算机信息服务需要向提供方支付一定的费用,因此,窃用他人计算机信息系统的服务,则侵犯了所有人对系统的使用权和收益权,并给所有人造成了经济损失。对于这种行为,理应作为犯罪予以打击。然而,我国现行刑法并未规定窃用计算机服务为犯罪,这使得实践中对一些案件无法处理或打击不力。(2)没有规定盗窃计算机软件、数据罪。计算机系统内部的数据,有些是属于知识产权的软件,有些属于商业秘密的资料,有些则是属于国家秘密,窃取这些数据或软件的行为,虽然可以适用相应罪名来加以处罚,但是,计算机系统中还有相当一部分数据并不属于以上的内容,却具有广泛的知识性和十分重要的价值。从知识经济的角度考虑,窃取这些数据的行为也应规定为犯罪,否则就会造成盗窃有形的物质财产构成犯罪,而盗窃无形的知识财富不构成犯罪的畸形状态。(3)没有规定破坏计算机设备罪。计算机设备包括计算机实体硬件、系统软件或其他附属设备。尽管对破坏计算机设备的行为也可以依照毁坏公私财物罪定罪处罚,但由于毁坏公私财物罪的法定刑较低,按此罪处理打击力度显然不够。由于计算机本身在现代社会生产和人民生活中的地位非常重要,所以对计算机设备应像对交通工具、电力设备等一样予以特别保护。因而,单独规定破坏计算机设备罪很有必要。
(三)罪名类型归属不当,应作调整
随着信息化程度的不断提高,社会对计算机系统的依赖程度亦越来越高,计算机犯罪的社会危害性变得越来越大,因而也越来越具有危害公共安全的性质。现行刑法将计算机犯罪归属于分则第六章妨害社会管理秩序罪当中,这一归类不甚妥当。将计算机犯罪的部分罪种由妨害社会管理秩序罪调整至分则第二章危害公共安全罪当中,将随着社会的发展变得越来越有必要。
计算机犯罪对犯罪主体问题之冲击
计算机犯罪主体的低龄化是一个不可忽视的趋势。世界各国的学校教育都将计算机操作作为一种基本内容加以普及,这对于社会的技术化进程无疑具有巨大的推动作用。但是,这也造就了一大批精通计算机技术的未成年人,这些人利用计算机技术的违法犯罪在一些国家已成为一个社会问题。我国的教育制度现在也强调此种教育,因而此种主体低龄化的趋势也可能在我国发生。至少未成年人制作计算机病毒的案件就已发生多起3.然而,我国刑法第17条第2款规定:“已满14周岁不满16周岁的人,犯故意杀人、故意伤害致人重伤或者死亡、、抢劫、贩卖、放火、爆炸、投毒罪的,应当负刑事责任。”这就是说,除了该条款中规定的,种犯罪以外,该年龄段的人实施的任何危害社会的行为都不作犯罪处理。因而,我国刑法中的非法侵入计算机信息系统罪、破坏计算机信息系统罪的主体就不包括该年龄段的未成年人。但从司法实践来看,少年“黑
客”是一种不可小觑的破坏力量,这就对我国刑法关于刑事责任年龄的规定产生了冲击。为了应对这种冲击,笔者认为,我国刑法应把已满14周岁不满16周岁的未成年人纳入计算机犯罪的主体范围。
此外,从司法实践来看,单位利用计算机网络实施非法侵入、破坏计算机信息系统的行为已不鲜见。例如,1997年,北京江民新技术公司为防止盗版,在其产品“KV3LL++”杀毒软件中加入“逻辑锁”,致使许多计算机不能正常运行4.再如,一些企业为了达到破坏其竞争对手商业信誉的目的而侵入、破坏他人计算机网络,这样的行为时有发生。然而,根据我国刑法第30条、第285条、第286条的规定,单位不能成为侵入计算信息系统罪和破坏计算机信息系统罪的主体。因而,上述的单位危害行为又对我国刑法造成了冲击。为此,有必要将单位主体纳入计算机犯罪的规制范围。
计算机犯罪对刑罚问题之冲击
根据我国刑法第285条、第286条的规定,我国刑法对计算机犯罪仅规定了自由刑,未规定财产刑和资格刑,并且自由刑的法定刑较低(第285条仅规定3年以下有期徒刑或拘役;第286条对一般情形只规定5年以下有期徒刑或拘役,对造成严重后果的,亦只规定5年以上有期徒刑)。这一刑罚制度在日益猖獗的计算机犯罪面前,威慑力不足,从而使刑罚效果大打折扣,不利于实现刑罚的一般预防与特殊预防的目的。
计算机犯罪的主体往往是掌握计算机技术的智能型犯罪人,其犯罪目的通常是为了谋取非法利益或进行技术挑战。为了有效地打击、威慑和预防此类犯罪,应对现行刑法的刑种作出调整,增设以下财产刑和资格刑:(1)罚金。立法时可以采取倍比罚金制,即对犯罪人处以非法所得若干倍的罚金,使之真正起到惩戒和预防犯罪的双重效果。(2)没收财产。主要适用于以非法牟利为目的,情节严重的计算机犯罪。(3)剥夺犯罪人的职业资格。例如剥夺从事与计算机相关行业的资格等。这主要适用于对计算机形成瘾癖的所谓“网虫”的犯罪人。
计算机犯罪的显著特征就是容易成功,获利大,风险小,不易侦破,定罪困难,后果严重。根据罪责刑相适应原则,不施重刑,难以防止和打击,只有提高法定刑幅度,才能有效地回应其挑战,防患于未然。我国台湾地区的电脑犯罪立法即体现了这种精神,例如其“刑法”第318条规定:“利用电脑或其他相关设备犯第316至318条之罪,加重其刑至二分之一。”其316至318条之规定为电脑资讯犯罪,其泄露资讯因电脑的特质所造成的损害远较传统犯罪为大,所以立法明确规定加重刑罚,这种做法无疑会对遏制电脑犯罪起到较好作用。因此按照罪责刑相适应原则,调高计算机犯罪的法定刑标准,避免罪刑失衡,是我国刑法为回应计算机犯罪的冲击而应当作出的选择。
计算机犯罪对刑事管辖权之冲击
根据我国刑法第6条至第11条的规定,我国刑法的刑事管辖权是以属地原则为主,兼采其他原则。而传统意义上的地域(即领域)仅含领陆、领水、领空和拟制领土,它是一个具体的,可触及的物理空间,其界限相对分明。然而,计算机网络的出现,创造了一个全新的“虚拟世界”或“虚拟空间”———赛博空间(CyberSpace)。这一空间是属于真实的物理架构“(即多种线路及多种计算机设备所连结构成的系统)的数字化空间,人们不能物理地进入这一空间,但通过各种数字化的界面,却可以进行多种多样的活动”5.这一“虚拟空间”,有学者称之为“第五空间”,并认为传统刑法的属地管辖仅包括领陆、领水、领空、拟制领土“4个空间”,不包括“虚拟世界”的计算机网络系统这一“第五空间”,因而对于发生在本国领域外,又非直接针对本国及其公民的“第五空间”的犯罪,以属地原则为主、其他属人、保护原则为辅的传统刑法的管辖权显然难以覆盖。例如,无国籍人某B在Z国X网站实施了通过因特网传授教义并发展组织的行为,访问该网站的任何人因此均可在该网站主页上读到其教义并在线入教。这样,某B的行为无疑涉嫌构成中国刑法第300条规定的有关组织的犯罪。然而对于本案,中国刑法很难管辖。因为因特网域既非领陆、领水、领空,也非拟制领土,不属于上述四大领域之任一部分,本案行为及结果又不发生在我国“领域内”,加之行为人某B既不是中国公民,又不是针对特定的中国国家或公民的犯罪,因而根据中国现行刑法关于空间效力的规定,中国刑法无权管辖6.然而,此类犯罪毕竟对于我国具有严重的社会危害性,若无权管辖又有放纵犯罪之嫌。由此可见,互联网络这一“虚拟空间”的出现,无疑对传统的刑事管辖权问题产生了巨大的冲击。对此,我国和国际社会应该反思传统刑法对于网络空间管辖规定之不足,尽早地对这种冲击作出回应,构想出超前性的刑法新“领域”,将刑法的“领域”适当地扩大到该“虚拟空间”。
计算机犯罪对刑事侦查及刑事证据制度之冲击
计算机犯罪作为一种与高科技相伴生的犯罪,它与传统犯罪有着许多不同的地方。计算机犯罪的行为人大多受过一定的教育和技术训练,具有相当高的计算机专业知识和娴熟的计算机操作技能,他们作案时多种手段并用,手法高明巧妙,作案前一般又往往经过周密的预谋和精心的策划,具有很强的反侦查能力,体现了智能型犯罪的特点,这加大了被识别、被发现的难度。计算机犯罪,特别是网络犯罪,多数是在“虚拟空间”里进行,因而其犯罪现场已不具有传统犯罪现场的物理性和确定性,难以按照传统的方法和习惯进行现场勘查、收集证据。计算机具有强大的运算能力,犯罪分子可以在很短的时间内作案,侦查机关很难现场追踪犯罪分子,也给监控带来困难。计算机犯罪具有行为地与结果发生地、行为时与结果发生时的分离性,因而难以在现场直接抓获犯罪人。计算机犯罪的证据多存在于电磁介质(如硬盘、软盘)中,信息在其中以数字方式储存,具有隐含性,人的肉眼难以分辨,必须借助专门的计算机和软件的支持才能看到,并且电磁介质极易受到有意和无意的损伤而失去证据意义,这给侦查取证工作带来了不少困难。出于以上因素的影响,在现实生活中,计算机犯罪的发现率和侦破率都是极低的,这给刑事侦查工作造成了不小的冲击。为了应对这种冲击,我国的侦查机关应当加强对计算机犯罪侦查问题的研究,加强侦查人员的计算机技术培训,建立健全专门的侦查机构,组建反计算机犯罪特别警察队伍,加强国际社会计算机犯罪侦查的合作与交流,采取切实有效的措施提高计算机犯罪的侦破率。
计算机犯罪也给我国的刑事证据制度造成了一定的冲击。我国现行刑事诉讼法第42条规定:证明“案件真实情况的一切事实,都是证据。证据有以下7种:(1)物证、书证;(2)证人证言;(3)被害人陈述;(4))犯罪嫌疑人、被告人供述和辩解;(5)鉴定结论;(6)勘验、检查笔录;(7)视听资料”。在上述7种证据种类中,计算机犯罪中的电子证据———电磁记录,究竟属于哪一种证据?由于计算机犯罪中的证据问题是一个全新的问题,我国法学界和司法实践部门对其认识还不统一,对于它的法律定位,产生了“视听资料说”、“书证说”、“鉴定结论说”、“独立证据说”和“混合证据说”等不同观点7.笔者认为,计算机证据主要有3个特点:其一,是以其所存储信息的内容来证明犯罪事实;其二,其存在方式是以二进制代码的形式(即数字式形式)存储于存储介质中;其三,在感知方式上,它必须借助电子设备,且不能脱离特定的系统环境。第一个特点使计算机证据具有书证、视听资料的某些特征,但后两个特点又使它区别于所有证据种类。数字化信息的一个突出特点就是它以“0”或“1”两个数的不同编码存储,信息一旦数字化就可以利用计算机随意加码、编辑,而不具有其他证据相对稳定直观的特点。因此,将计算机证据归属于刑事诉讼法第42条中的任何一种证据,都是不妥当的。随着计算机犯罪案件的不断增多,计算机电磁证据将大量涌现,为了避免区分认定证据上的分歧与争论,刑事诉讼法应该作出恰当的回应,有必要将计算机证据规定为一种新的证据种类,给它一个明确的法律定位。超级秘书网
注释:
1.赵廷光,朱华池,皮勇.计算机犯罪的定罪与量刑[M]北京-人民法院出版社。2000.13。
2.康树华.犯罪学通论[M]北京-北京大学出版社。1993.330。
3.于志刚.计算机犯罪研究[M]北京中国检察出版社,1999.31。
4.廖天华.KV300L++“逻辑锁”事件有结论[N]电脑报1997-09-12。
5.李文燕.计算机犯罪研究[M]北京:中国方正出版社,2001.3.13。
关键词:计算机犯罪侦查;信息安全;培养方.案;课程体系;
中图分类号:G642 文献标识码:A
1 引言
随着信息化的发展,虚拟空间的计算机犯罪呈快速发展的趋势,严重影响了信息化社会的健康发展,影响了现实社会的社会安定、社会安全和国家安全。为了应对新型的计算机犯罪问题,公安部组建并成立了公共信息网络安全监察局,并拥有覆盖全国的相关机构,以处理不断增多、形式多样的计算机犯罪问题。在和公安部下属的院校、研究所,以及普通科研机构中科院下属的软件研究所和高能物理研究所,北京大学、武汉大学等高等院校也展开了对计算机犯罪问题的研究工作。
信息安全学科是由数学、计算机科学与技术、信息与通信工程等学科交叉形成的一门综合性学科。信息安全专业是一个综合性的专业,它以计算机、通信、数学、法学等专业为基础,主要研究领域涉及现代密码学、计算机系统安全、计算机与通信网络安全、信息系统安全、电子商务/电子政务系统安全、信息隐藏与伪装等。
计算机犯罪侦查专业目前主要在公安院校设立,2004年首先在中国人民公安大学、沈阳刑警学院的计算机科学与技术专业发展而来。本文结合作者在中国人民公安大学信息安全工程系的教学工作,就如何在计算机犯罪侦查专业教学中设置信息安全相关课程进行了探讨,包括课程设置、实践环节设计、实验室建设等内容。
2 课程设置
2.1 课程设置原则
课程设置要符合专业知识体系特点,由于计算机犯罪侦查专业是交叉学科,要求的基础面比较宽,不可能开设所有相关的专业基础课,因此对这些基础课程必须进行一些取舍。专业课程设置可分为专业基础课、专业主干课、专业提高课和专业实验实践课。为了培养多方面多层次的人才,在课程设置上还应注重多层面内容的结合,特别加强了专业实验实践教学来提高学生运用知识的能力。其中在专业提高课中,注重学生的分流,对有深造愿望的一部分学生加强专业理论的学习,对就业的大部分同学加强专业知识的实践运用。专业实验实践课程主要加强在公安实践中的专业知识的运用。
课程方案基于2004年版中国人民公安大学计算机犯罪侦查专业培养方案(以下简称原有方案)的课程体系进行设计,参照了国内外院校信息安全专业课程设置的相关材料,既体现计算机科学与技术学科基础,突出信息安全学科专业方向内容,同时又保持我校公安侦查特色与优势。
2.1 课程设置方案
根据原有课程设置方案,计算机犯罪侦查专业课程设置大致分为通识教育内容、专业教育内容和公安学教育内容三个部分,每个部分又包含若干个知识体系。通识教育内容包括:人文社会科学、自然科学、思想教育、外语、计算机信息技术、体育和实践动手能力训练等7个知识体系。专业教育课程大致包括:专业基础课程、专业主干课程、专业提高课程、专业实验实践课程等4个知识体系。公安学教育内容包括刑法学、公安学、侦查学、刑事科学技术、治安学和警体技能等6个知识体系。
参考全国高校本科信息安全专业本科教学规范和相关高校计算机学院信息安全专业的人才培养方案,结合公安业务部门一线需求实践,保留我校计算机犯罪侦查专业的特色和优势,我们可以对原有方案的课程设置做如下调整:
(1)大学通识教育课程和公安学课程类保持不变。
(2)对专业基础课程进行调整,使其涵盖数学、计算机、电子、通信学科的基础内容。在原有方案中,增加“电路与电子技术”、“通信原理”两门课程。同时把“离散数学”改为“信息安全数学基础”,增加数论和群环域等代数内容,侦查学课程只保留侦查学概论(公安学课程类中已讲)、侦查程序内容。
(3)对专业主干课程进行调整。专业特色课程包括原有方案的“现代密码学”、“网络安全”、“信息网络安全监察技术”、“计算机犯罪侦查技术”,以及新增的“信息安全体系结构”和“计算机犯罪取证技术”。
(4)在专业提高课程中,对专业提高课进行了增减,包括原有“数字信号处理”、“嵌入式系统”、“多媒体技术”、“JAVA与面向对象程序设计”、“Linux原理与应用”以及新增的“信息隐藏与数字水印”、“电磁防护与物理安全”、“信息内容安全”、“信息安全新技术讲座”、“电子取证技术”和“网络程序设计”等。调整后的提高课程,增加了信息安全与计算机侦查技术的知识广度,同时加强了学生程序开发能力。专业提高课程是按知识结构进行了简单的分类,而在学生选修课程时可以打破选修方向限制,可根据兴趣同时选修每个方向的每门课程。
(5)专业实验实践课程,在下一节介绍。
表1给出了计算机犯罪侦查专业方向的课程设置方案。
3 计算机犯罪侦查专业实验实践教学的设计
计算机犯罪侦查是一个实践性很强的学科,尤其适应公安网监等部门的业务要求,要求学生有更强的解决实际问题的能力,计算机犯罪侦查专业必须加强实践环节的教学。因此我校特别加强了专业实验实践课,包括独立实验课程、专业课题设计、项目实践、毕业课题、科技创新、公安认知型实践、公安专业业务实习等多种形式。
(1)专业实验课程。包括原有方案中的“密码技术应用实验”、“微机系统与接口实验”、“计算机取证技术训练”和“计算机组成实验”,以及新增的“计算机网络实验”、“信息安全综合实验”、“网络安全实验”等。
(2)专业课程设计。在专业课教学中,由任课教师安排组织学生组成若干项目组,根据教学内容设计题目进行编程开发和系统实现。可进行“嵌入式系统设计”、“计算机网络系统设计”和“信息安全工程系统设计”等一般性课程设计,也可以进行“程序设计综合训练”、“信息安全系统软件”等大型应用软件课程设计。
(3)项目实践。引导有特长的学生参与到系部老师在研的项目中,进行实际项目开发与工程实践。
(4)科技创新。系部资助经费,鼓励学生参加程序设计大赛、电子设计大赛、嵌入式系统大赛、科技创新或发明大赛、创新或创业设计大赛、撰写学术论文等。
(5)毕业课题设计。由指导教师确定题目或结合公安实习单位相关项目,进行技术专题研究或工程设计。
(6)公安认知型实践。主要在大一和大二的暑假,要求学生参与基层派出所工作,初步了解基层公安工作,树立警察意识,培养警察职业的感性认识和适应能力。
(7)公安专业业务实习。大三和毕业实习中,深入了解公安业务,参与到网监部门工作,掌握警察执勤办案程序,并结合所学计算机犯罪侦查专业,参与到实习单位项目开发中,培养独立工作能力。
表2给出了一个计算机犯罪侦查专业的实践教学的安排。
公安大学计算机犯罪侦查实验室结合了公安专业特色,目前建了计算机基础实验室、计算机软件工程实验室、计算机硬件实验室、网络攻防实验室、计算机犯罪侦查实验室和信息安全实验室。我校信息安全工程系和安全防范系合作申请部级“电子证据实验室”,主要以我国公安、司法部门针对计算机犯罪应用的法律和技术方面相关需求为导向,开展面向电子证据取证的技术、标准、检验方法、取证模型等领域的研究。
公安大学计算机基础实验室主要完成全校计算机公共课的实验教学。计算机软件工程实验室主要面向计算机犯罪侦查系专业课学习,可进行软件工程、面向对象语言等教学实验。计算机硬件实验室为“数字逻辑实验”、“微机系统与接口实验”和“计算机组成实验”等实验教学服务。网络攻防实验室主要进行网络攻击与防御技术、计算机病毒原理与防治、入侵检测等实验教学。计算机犯罪侦查实验室主要进行计算机犯罪侦查技术、计算机犯罪取证技术和侦控、监控技术的教学实验。信息安全实验室主要为现代密码学等相关内容的教学实验服务。在申请的“电子证据实验室”将为学生可以提供计算机犯罪侦查和电子取证的综合软硬件的实验实践场所。
1998年招商银行开通网上银行服务,随即各大银行也推出各自的网上银行业务。目前“网银”已经成为中国各大银行的一个重要业务渠道。然而,据CNNIC的调查统计,中国网络用户对网上银行表示不太满意和很不满意的占16%,且仅有1/3的客户在网上购物时,选择网上支付货款。不愿意选择网上银行的客户中有76%是出于安全考虑,担心网上银行的安全性。
二、网络银行存在的安全性问题
1.对实体的威胁和攻击。对实体的威胁和攻击主要指对银行等金融机构计算机及其外部设备和网络的威胁和攻击,如各种自然灾害、人为破坏以及各种媒体的被盗和丢失等。
2.对银行信息的威胁和攻击。对银行信息的威胁和攻击主要是指信息泄漏和信息破坏。信息泄漏是指偶然或故意地获得目标系统中的信息,尤其是敏感信息而造成泄漏事件;信息破坏是指由于偶然事故或人为破坏,使信息的正确性、完整性和可用性受到破坏。
3.计算机犯罪。计算机犯罪是指破坏或者盗窃计算机及其部件或者利用计算机进行贪污、盗窃、侵犯个人隐私等行为。有资料指出,目前计算机犯罪的年增长率高达30%。与传统的犯罪相比,计算机犯罪所造成的损失要严重得多。
4.计算机病毒。犯罪分子通过计算机病毒入侵网银用户以非法获取个人隐私等,严重危及网银用户的安全。
三、网络银行的安全技术措施
1.操作系统及数据库。许多银行业务系统使用Unix网络系统,黑客可利用网络监听工具截取重要数据;或者利用用户使用telnet、ftp、rlogin等服务时监听这些用户的明文形式的账户名和口令等等。
2.网络加密技术。网络加密的目的是保护网上传输的数据、文件、口令和控制信息的安全。信息加密处理通常有两种方式:链路加密和端到端加密。
3.网络安全访问控制。访问控制的主要任务是保证网络资源不被非法使用和非法访问,通过对特定的网段和服务建立有效的访问控制体系,可在大多数的攻击到达之前进行阻止,从而达到限制非法访问的目的,是维护网络系统安全保护网络资源的重要手段。
4.身份认证。身份认证统指能够正确志别用户的各种方法,可通过三种基本方式或其组合形式来实现:用户所知道的密码(如口令),用户持有合法的介质(如智能卡),用户具有某些生物学特征(如指纹、声音、DNA图案、视网膜扫描等)。
5.网络入侵检测系统。入侵检测技术是近年出现的新型网络安全技术,是对入侵行为的监控,它通过对网络或计算机系统中的若干关键点收集信息并进行分析,从中发现网络或系统中是否有违反安全策略的行为或被攻击的迹象。
6.防病毒技术。
7.备份和灾难恢复。备份和灾难恢复是对银行网络系统工作中可能出现的各种灾难情况(如计算机病毒、系统故障等)进行的保证系统及数据连续性和可靠性的一种防范措施。
四、正确安全使用网络银行的方法
1.确保计算机系统的安全可靠,及时更新操作系统及浏览器的各种补丁。
2.应妥善保管自己的卡号、密码、身份证件号、开卡日期等资料,不要随手丢弃银行回单,确保自身账户安全。
3.应熟记开户银行的网上银行网址,如交通银行的网上银行是,不要登陆不熟悉的网上银行,输入自己的银行卡号和密码。
4.不要使用连续数字、电话号码、生日等作为密码,设置的银行密码最好与证券等非银行用密码不同,不要在网吧等公共场合使用网上银行。
5.在自己的计算机上安装防火墙及防病毒软件,并定期更新病毒库及检测病毒。
6.定期更新操作系统和互联网浏览器。
7.切勿打开可疑电邮内含的超级链接或附件,切勿浏览可疑网站。
参考文献:
[1]于志刚.计算机犯罪研究[M].北京:中国检察出版社,1999.
[2]周光斌.计算机犯罪与信息安全在国外[C].北京:中国信息化法制建设研讨会论文集,1997.
【关键词】计算机取证:易失性:内存取证;关联性分析:
【中图分类号】TP333 【文献标识码】A 【文章编号】1672-5158(2013)04-0026-01
1.引言
打击犯罪的关键在于获得充分、可靠和强有力的证据,取证涉及到法律和技术两个方面。一般犯罪证据的提取目前已经有很多较为成熟的技术,例如,指纹提取和识别、法医鉴定、DNA鉴定等等。随着计算机技术的发展和网络的普及,利用或以计算机为目标的犯罪事件频繁发生。由于计算机证据具有与一般犯罪证据不同的特点,所以对其获取和可靠性的保证一直是计算机犯罪案件和其他与计算机有关的犯罪案件侦破工作的难点。因此,计算机取证(computer forensics)技术的研究变得越来越迫切。计算机取证作为计算机科学和法学的交叉学科应运而生。
2.计算机取证综述
计算机取证,可以定义为对依靠计算机实施的犯罪行为利用计算机软硬件技术,按照符合法律规范的方式进行证据获取、保存、分析和出示的过程。亦即是将存于计算机及相关设备中的电子数据转化固定为实质的证据,以及鉴定这些电子证据属性的过程。从计算机取证的概念可以看出,电子证据是计算机取证的核心。电子证据,是指以数字形式保存于计算机主存储器或外部存储介质中,能够证明案件真实情况的数据和信息。从广义上讲,电子证据泛指一切用以证明案件事实的电子化信息资料和数据;从狭义上讲,电子证据仅指以数字形式存在于计算机系统中的能够证明案件事实的数据,包括计算机产生、传输、储存、记录以及打印的证据。其表现形式可能为文档、图形、图像、声音等形式。
当前计算机取证研究的一个比较活跃的领域是获取操作系统的易失性数据。易失性数据可以定义为当计算机系统失去电源以后不再存在的数据,而这些易失性信息通常保存在内存或硬盘的临时文件中。RFC3227文档给出了各种类型的信息按照易失性的程度的排序,依次为:
①寄存器,高速缓存
②路由表,ARP高速缓存,进程表,内核统计和内存
③临时文件系统
④硬盘
⑤远程登录和监控数据
⑥物理配置和网络拓扑
⑦归档媒体
其中内存取证研究处于易失性数据取证领域的前沿,是当前的研究热点。内存取证是指获取和分析正在运行的主机的物理内存的内容。
3.windows易失性内存取证技术
当前获取Windows操作系统易失性内存数据的技术主要包括两类:基于软件的和基于硬件的。可以通过操作的基本原理进行区分:软件技术依赖于Windows操作系统获取内存的镜像,而硬件技术则独立于具体的操作系统,直接访问计算机系统的内存。基于硬件的技术主要包括基于DMA(DMA:Direct MemoryAccess)的PCI卡、Firewire设备和虚拟机(如VMWare)等,这些方法虽然具有一定的研究价值,但大都存在固有的缺陷:如受限于实际的应用场景;又比如受内存映射IO(MMIO:Memory Mapped Io)特性的影响,导致获取的内存镜像与实际不符,因此还没有得到广泛应用。
原始Windows内存镜像是纯二进制比特信息,不能直接作为电子证据高级分析技术和工具的数据源,需要根据Windows内存组织和运行方式提取其中有价值的结构化数据(如进程和线程信息),已经有一些商用和研究的工具和技术支持物理内存的取证分析。所有成果中Volatility Framework除了具备大多数内存分析工具的功能以外,还具有以下特性:首先,它可以自动识别标准c语言的底层二进制数据流,并将它们映射到高层的标准c语言的数据结构类型,这样就可以使取证分析工作人员在高级语言层面分析内存中代码结构;其次,VolatilityFramework还可以通过内存镜像的物理地址信息,构建出内存的逻辑地址空间,使分析人员可以使用每个进程自己的虚拟地址空间分析问题,而不用考虑其真实的物理地址究竟映射在内存的什么地方。而且对c语言的指针可以直接访问到其指向的数据,不用过多考虑逻辑地址到物理地址空间映射的问题;另外,VolatilityFramework具有较好的可扩展性,支持通过编写插件等进一步对分析功能进行扩展。
总之,现有的Windows易失性内存取证方法和技术只能分析单个Windows内存镜像文件,并没有利用计算机技术智能分析相同性质案件所共有的典型特征,还不能自动地利用已经积累的案例信息智能地辅助调查取证人员处理同一类的计算机犯罪案件。此外,当前面向证据的设计模式限制了取证工具的横向功能扩展和纵向满足更高层次的应用发展,单一的证据很难在逻辑上形成具有相互关系的证据链,还无法实现智能推理等扩展功能,不能为高级应用提供支持。因此,迫切需要开展面向证据链重构的Windows易失性内存智能取证研究。
4.windows易失性内存取证模型
计算机取证过程必须遵循严格的程序流程,否则将导致获取证据的可信度降低或缺乏合法性,为此人们提出了许多种计算机取证模型,以规范取证过程、指导取证产品研发。然而,现有的取证模型也存在诸如过于注重细节,缺乏通用性;没有很好地把法律和技术结合起来;注重静态的取证分析而没有考虑取证模型随时间的变化等问题,特别是现有的取证模型还没有考虑Windows内存数据的易失性、瞬时性、阶段稳定性、实体信息多维性、实体相互关联性以及阶段内实体状态变化的可预见性等特点。
经过严谨的理论研究和应用测试,本文已经设计出具有较好通用性与可扩展性的实用的Windows易失性内存取证模型,共四层。第一层进行基本信息分析与提取;第二层进行实体信息的识别;第三层进行关联性分析;第四层进行电子证据的归档;对已获取的原始的Windows内存数据从高层次视图进行抽象。利用进程代数和规则制定辅助调查取证人员进行智能推理,并用软件实现了将多个相关的可疑证据组成一个整体,形成具有推理关系的证据链,重构计算机犯罪行为、动机以及嫌疑人特征。
参考文献
[1].许榕生,吴海燕等.计算机取证概述.计算机工程与应用,2001,37(21):7 8,144.
[2].丁丽萍,王永吉.计算机取证的相关法律技术问题研究.软件学报,2005,16(2):260 275.
[3].王峰.基于Windows的易失性内存数据取证分析方法研究吉林大学硕士毕业论文
论文关键词 计算机取证 电子证据 规制
一、引言
随着计算机和网络的广泛应用,人们的工作和生活也越来越依赖这一现代化的工具了。但与此同时,利用计算机和网络的犯罪案例也急剧增加,它扰乱了社会的经济秩序,对国家的安全、社会文化等都构成了威胁。为了更好地打击计算机犯罪,计算机取证这一交叉于计算机和法学的学科应运而生。计算机取证过程中获得的电子证据与传统证据相比,具有易失性、脆弱性等特点,现实办案过程中,所获取的材料往往多用作办案线索而非定案证据,一直以来在证明力上保守质疑。为了能够得到法庭认可的证据,就应该规范取证的过程,规范取证的步骤,依据相关的操作规范进行取证工作。那么如何制定规范?是从技术角度还是从法律角度进行规范?计算机发展日新月异,技术或者法律的规制是否也应与时俱进呢?如何解决这些问题,不妨先看看国外在标准化方面的进程。下面先从计算机取证的含义谈起,着重介绍国际计算机取证标准化方面的工作。
二、计算机取证的含义
计算机取证没有统一、准确的定义。计算机取证资深专家JuddRobbins给出的定义:将计算机调查和分析技术应用于对潜在的、有法律效力的证据的确定与获取上。计算机紧急事件响应组CERT和取证咨询公司NTI扩展了该定义:计算机取证包括了对磁介质编码信息方式存储的计算机证据的保护、确认、提取和归档。系统管理审计和网络安全协会SANS归结为:计算机取证是使用软件和工具,按照一些预先定义的程序,全面地检查计算机系统,以提取和保护有关计算机犯罪的证据。
这些概念比较侧重于对证据的收集和获取,而没有涉及对证据的分析和法庭出示等问题,因此这几种定义是不完全的。
目前,比较全面且能广泛接受的概念是:计算机取证是指对能够为法庭接受的、足够可靠和有说服力的、存在于计算机和相关外设中的电子证据的确定、收集、保护、分析、归档以及法庭出示的过程。取证的目的是为了据此找出入侵者(或入侵的机器),并解释入侵的过程。
此外,和计算机取证相近的术语还有计算机取证、电子证据的收集等,虽然,业界有很多学者对它们的含义进行了区分和界定,实际上,笔者认为它们的含义大体相同,涉及的取证过程的步骤、原则、标准等理论也基本一致可以互通,所以并没有严格区分的必要。
三、计算机取证的基本步骤
计算机取证的工作流程目前并没有统一的规定,早在1999年,美国人法默和韦尼玛在一次电子取证分析培训班上率先提出了基本过程模型,遵循如下的基本取证流程:第一步,保护现场安全并进行隔离;第二步,对现场进行记录;第三步,系统地查找证据;第四步,对证据进行提取和打包;第五步,建立证据保管链。后来,相继有多种模型被提出,如:事件响应过程模型、执法过程模型、抽象过程模型、综合数字取证模型、增强式数字取证模型、基于需求的计算机取证过程模型、多维计算机取证模型、可信计算取证模型以及网络实时取证模型。总的来看,这些模型是分别立足于不同的取证环境或技术的,所反映出来的取证流程也有所差异。但大致都包含了如下几个部分:
(一)现场保护与勘查现场勘查是获取证据的第一步,是指计算机侦查人员依照规定,使用计算机科学技术手段和调查访问的方法,对与计算机案件有关的场所、物品及犯罪嫌疑人、被告人以及可能隐藏罪证的人的身体进行检查、搜索,并对于和犯罪相关的证据材料扣留封存的一种侦查活动。
(二)证据获取证据的获取是指识别物理设备中可能含有电子证据的电子数据,并对这些电子数据进行收集,或直接利用技术手段收集电子数据的过程。从本质上说,就是从众多的未知和不确定性中找到确定性的东西。所以,这一阶段的任务就是保存所有电子数据,至少要复制硬盘上所有已分配和未分配的数据,也就是通常所说的硬盘映像。除了硬盘数据外,网络数据也是要获取的证据。网络数据包括实时获取的网络通信数据流,网络设备上产生的日志文件,防火墙的日志文件以及与网络应用有关的日志和登陆日志文件等。
(三)证据鉴定计算机证据的鉴定主要是解决证据的完整性验证。计算机取证工作的难点之一是证明取证人员所收集到的证据没有被修改过。而计算机获取的证据又恰恰具有易改变和易损毁的特点,如果获取的电子数据不加以妥善保存,电子数据很容易受到破坏,甚至消失。所以,取证过程中应注重采取保护证据的措施。常用的电子数据的保存技术主要有物证监督链、数字时间戳技术、数字指纹技术、数据加密技术等等。
(四)证据分析分析证据是计算机取证的核心和关键,分析已获取的数据,然后确定证据的类型,包括检查文件和目录内容以及恢复已删除的内容,分析计算机的类型、采用的操作系统,是否为多操作系统或有无隐藏的分区;有无可疑外设;有无远程控制、木马程序及当前计算机系统的网络环境等,并用科学的方法根据已发现的证据推出结论。
(五)证据追踪上面提到的计算机取证步骤是静态的,即事件发生后对目标系统的静态分析。随着计算机犯罪技术手段的升级,这种静态的分析已经无法满足要求,发展趋势是将计算机取证与入侵检测等网络安全工具和网络体系结构技术相结合,进行动态取证,即计算机动态取证。
(六)证据提交这个步骤主要包括打印对目标计算机系统的全面分析和追踪结果,以及所有可能有用的文件和被挖掘出来的文件数据的清单,然后给出分析结论,主要涉及计算机犯罪的日期和时间、硬盘的分区情况、操作系统版本、运行取证工具时数据和操作系统的完整性、病毒评估情况、发现的文件结构、数据、作者的信息,对信息的任何隐藏、删除、保护、加密企图,以及在调查中发现的其他的相关信息,标明提取时间、地点、机器、提取人及见证人,给出必要的专家证明或在法庭上的证词。最后以证据的形式按照合法的程序提交给司法机关。
四、计算机取证的规制现状
在遵循取证原则的基础上,计算机取证的各个阶段所需要遵守的法律界限在哪里,如何把所获取的电子证据送上法庭以及如何呈送,这些问题的解决都需要与计算机取证相关的规则和制度的出现。
计算机取证的规制分技术规制和法律规制两个方面,前者从技术角度推动计算机取证的标准化,后者从法律角度促进计算机取证的合法化。它们之间存在着一定的界限。举例来说,在证据提交的这个步骤中,提交什么样格式的文档,文档中包含的内容和数据及其相互关系如何,是否需要统一界定,这属于技术规制的范畴。技术规制同其他自然科学一样,与政策和法律体制无关,因此,不同国家之间可以相互参考。
但法律规制则不然,显然无法照搬别国的法律条文,例如:就电子证据是否单独立法各个国家的作法就不尽相同,英美法系的国家大都有专门的法案,美国在1996年设立了《国家信息安全法案》,英国在1984年出台了《数据保护法》,而大陆法系的国家则不一定设有专门的法案,如:法国作为大陆法系的代表之一,没有专门的证据法典,只是在1992年通过、1994年生效的《刑法典》中专设了“计算机信息领域的犯罪”一章。
计算机取证的法律规制与技术规制区别明显,但这并不说明这两者之间不能转化,技术规制经过实践检验,法律确认后便可成为法律规制。正因为相互之间的可转化性,所以本文无法也没有必要单独从技术规制和法律规制两个角度分裂开来介绍目前的国外研究现状,而是从标准化草案和立法现状两个角度来介绍规制情况。
(一)标准化草案1.美国SWGDE组织提出的标准化草案计算机取证的标准化工作起源于“Digital Evidence:Standardsand Principles(数字证据:标准和原则)”一文的出版,该文由SWGDE(Scientific Working Group DigitalEvidence,数字证据科学小组,它是国际计算机证据组织在美国的分部)起草,并于1999年10月在伦敦举办的国际高技术犯罪和取证会议上公布,次年4月刊登在美国联邦调查局出版的《Forensic Science Communications》。目前,已被美国法律部门采纳为标准化草案。
“数字证据:标准和原则”一文中明确规定,为使数字证据以一种安全的方式进行收集、保存、检查和传输,以确保其准确性和可靠性,法律部门和取证机构必须建立一个有效的质量体系并需编制一份标准化操作规程(Standard Operating Procedures Manual, SOP,2011年6月已出第二版)。考虑到了计算机技术的飞速发展,SOP文件必须每年有权威机构审查一次,以确保其使用范围和有效性。在SOP文档中,规定了取证过程操作的技术规程,方法性的指导了取证的过程。考虑到处理证据过程中关注的角度不同,SOP文档分为实验室单元和现场单元两种类型的文档,现场单元文档中列举了在证据保存、动态内存数据获取、数据镜像、移动设备收集等环节过程中所需要软硬设备、局限性、处理过程的标准化建议,实验室单元文档中列举了在介质擦除、硬件拆除、BIOS检测、介质写保护等环节中所需要的软硬设备、局限性、处理过程的标准化建议。
2.FIRST会上提出的标准化2002年6月在夏威夷召开的第14届FIRST(Forum of Incident Response and Security Teams)年会上,巴西教授提出了一个新的标准化模型。该模型是一个两级分类结构,分为法律标准类和技术标准类:
