61阅读

大学生犯罪案例及分析-大学生心理困惑及异常心理案例分析AC178

发布时间:2017-12-30 所属栏目:亚文化

一 : 大学生心理困惑及异常心理案例分析AC178

大学生心理困惑及异常心理案例分析

A常见的心理困惑

随着社会的进步,生活节奏的加快,竞争的日益激烈,人们承受的心理压力越来越大,特别是大学生们。在高等教育逐渐大众化阶段的今天,大学校园已不再是悠悠的“象牙塔”大学生们在校期间面临着各方面的心理冲突与心理困惑。如果这些问题处理不当,会给大学生的心理健康带来不良的影响。大学生是现代社会的建设者和接班人,他们的心理健康与否关系着我国未来的发展,因此重视大学生的心理素质至关重要。

一、大学生普遍存在的心理困惑表现

1、 不适应带来的困惑

2、人际交往中的心理困惑

3、恋爱的心理困扰

4、自我意识的冲突与缺失

5、择业压力引发的心理障碍

二、大学生心理困惑产生的原因

1、社会因素

随着社会经济的发展,人们生活节奏正在日益加快,竞争的加剧,使人产生了时间的紧迫感与压力感,人际关系越来越复杂,不断趋于利益化与现实化;高等教育逐渐大众化,大学生毕业人数不断增加,人才市场竞争日益激烈,大学生面临着毕业就失业的危机;由于科学技术的飞速发展,知识爆炸性的增加迫使人们不断地进行技术知识的更新;工业化、都市化、人口高度集中,造成了居住与交通的日益拥挤;社会上不良风气的影响,等等,这些都可能给人们带来巨大的心理压力,从而给当今人类的身心健康造成严重的威胁,大学生作为敏感的知识分子群体,更容易感受到这种来自社会的压力。大学四年他们始终似乎都能感觉得到这种压力而经常处于这样的应急状态,恰恰是心理疾患产生的外界因素。

2、学校因素

学校是给学生进行教育的重要场所,因此学校给学生带来的影响是不容忽视的。首先,环境、角色变换、生活以及学习上的变化引起心理的不适应,这主要是进入大学后,亲情、友情和故乡自然之爱的缺失,导致他们在遇到困难时唤起了他们的思乡情绪。其次是教育过程的影响。中学时代的教育误导;有的学校强调知识教育,专业教育,不重视学生的全面素质的培养,突出智育成分,忽视思想道德教育及社会实践;专业设计不合理,根本就没有应有的师资与教学设备;有许多大学生“两耳不闻窗外事,一心只求把书读”,导致他们淡化参与各种有益活动的意识。同时极少数教师教书育人思想淡薄,“厌教”发牢骚,迎合学生的不良情绪,传播社会的现实与残酷 性,对学生产生负面消极的影响,比如因读书无用而产生的厌学情绪,是学习更加不适应。

3、家庭因素

家庭是学生自幼生活的环境,家庭环境或早期经历无疑深刻影响着大学生的人格。主要表现在父母对子女的态度与教养方式。具体表现如下:(1)父母对子女管教严格,强迫命令,批评指责多,子女在性格上虽然表现出诚实、礼貌、细心、负责,但往往缺乏适应社会的能力,人际交往方面表现出羞怯、自卑、敏感、唯唯诺诺;(2)父母过分满足,过分保护,惟恐孩子受挫,这类学生依赖性强,遇事退缩,自制能力和自信心差;(3)父母对其放任自流,很少约束,这种大学生很可能以自我为中心,不懂得尊重他人,很难适应集体生活。长期以来,家长在教育学生的过程中往往采用应试教育的方法,只重视智力教育,忽视学生心理素质与健康人格的培养,随着网络时代的到来,父母与子女之间的交流逐渐减少,特别是在子女考入大学后,父母将更精力转移到经济支持上来,而对子女的心理成长关注不够。因此家长的教育理念应随

着社会的发展有所更新,做好其心理工作的调节与疏导工作。

4、个人因素

从发展心理学的角度看,大学生的心里发张还不成熟,他们的思维情感处于变化发展动荡期之中,存在着各种各样的矛盾冲突,如:理想与现实的冲突、独立于依赖的冲突、自尊与自卑的冲突、竞争与求稳的冲突等;不能正确的评价自己与他人,不能正确的自我选择与发展,并影响与他人的发展,性的成熟带来性心理的变化,阅历不足理智性差导致的感情与荣誉之间强烈的心理失衡。

B常见的心理异常原因及案例分析

科学研究表明,心里异常的形成原因非常复杂,主要是生理,心理,社会诸种因素共同作用于个体的结果。

生物学因素:遗传因素,尤其是体型,气质,神经结构的活动特点,能力与性格

例如:家族神经性疾病的遗传

心理异常是指偏离正常的心理状态。

美国出版的《心理异常诊断与统计手册》第三次修订版将心理异常定义为:发生于个体的一种临床上有意义的行为或心理症候,其特征是与一种痛苦的症状相联系的,或涉及一种以上重要功能的损害。

其实,在心理学上对正常与异常很难做出一个明确的界定。

心理学上正常与异常仅仅是一种相对概念,差别大多只在量的方面。

对待心理异常的态度:处罚,认识,帮助。

案例1: 日常事烦心,我该怎么办?

X同学:我的朋友因为遇到了一些很郁闷的事,对生活失去了热情,觉得干什么都没意思,什么也不想做,只是为了活着而活着,本来很开朗、工作生活都充满热情的他,现在变得郁郁寡欢了,我该怎么办帮助他呢?

解决方法

你朋友遇到不开心的事情了,你想帮助他,他能有你这样的朋友是一件非常幸福的事情。你要帮助他,首先要去关心他,有事没事的多陪陪他聊聊天,说说话。再者,要与他做一些开心的事情,你可以去引导他,因为他什么也不想做,这样下去有可能会更加消沉,所以你要动员他去做其他的事情,转移他的注意力。还有,伤口的愈合是需要时间的,也要给他自我疗伤的时间和空间。

案例2:恋爱带来的压抑感——爱情需要两个人换位思考

X君:我女朋友对我很好,可是就是对我约束太多,依赖我太多,她需要我时刻陪着她。她说我如果不陪着她,她就做不好事。可我有时候也需要一点点自由的空间,一点男生的空间,她却常因为这个生气。我不想多吵架,我受不了,不管是精力上还是体力上,这样会影响两个人,但如果分开了,我又不知道生活又会如何,我该怎样取舍?

解决方法

初涉爱河的你们有争吵、有误解这都是正常的现象,但如何处理这些矛盾,是你在爱情的过程当中会慢慢体验、学习到的。

你们矛盾的产生,主要是由于各自只是站在自己的角度,没有为对方考虑。不仅仅是在爱情当中,在我们日常生活的方方面面,这种情况都是屡见不鲜。此时需要我们的换位思考。比方说,你可以站在女友的位置,想想你就是她,然后想象一下你是多么依恋并深深爱着你的男友,你觉得和他在一起做什么事情都有兴趣,都不会觉得累……这样想来,你或许就能理解女友的举动了,而且有人这样爱慕自己,不也是你的一种幸福吗?然而,你的女友也应该用这种换位思考的方式来理解你,考虑到你需要的自由与空间。这需要你们两个人心平气和的沟通,

找到一种两个人都能接收的方式。当你情绪较为冲动的时候试着转移一下注意力、缓冲一下自己激动的情绪。

其实,现在的挫折、困难都是一门课,会让你成长。在爱中学会如何去爱,希望你能尽快摆脱烦恼!

二 : 网络犯罪及案例分析(教材) 86

第一章 网络犯罪概述

随着科学的发展进步,计算机及网络技术同样也在飞速发展中。和任何一项技术一样,网络技术的发展是一把双刃剑。一方面,极大的促进了社会生产力的发展;而另一方面,各式各样的网络犯罪也随之产生。黑客入侵、计算机病毒的大肆制造与传播、各类情报机密的泄漏、网络资源遭到的任意破坏、各类信息系统受到恶意攻击而导致瘫痪等等现象层出不穷。从20世纪中叶起,全世界网络犯罪以惊人的速度增长,与传统的犯罪相比,网络犯罪所造成的损失及影响要严重得多,因此,网络犯罪的研究及预防已被世界各国所高度重视。 本章概要地讨论了网络犯罪的概念、发展趋势、研究概况等一般问题,使读者对本书有一个概括的认识,为以后章节的深入学习打下基础。

1.1计算机信息系统及计算机信息系统安全的定义

1.1.1计算机信息系统的定义

随着各种计算机信息系统的广泛建立和运用,一些特殊领域的计算机信息系统日益成为国家和社会中财富及信息集中的要害部门,同时也成为网络犯罪攻击的目标。根据《计算机信息系统安全保护条例》第2条规定,计算机信息系统(Computer Information System)是指由计算机及其相关和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。

为正确理解计算机信息系统的定义,应该把握以下两个方面:

1.计算机信息系统与计算机系统的区别

计算机信息系统是由计算机作为信息载体并由人操作实现的系统。而计算机系统则是在计算机使用之前,已经安装了操作系统和应用软件,并具有信息处理功能的系统。但由于其没有投入使用,进而没人进行操作而不能成为计算机信息系统,因而,不受《计算机信息系统安全保护条例》的保护,更不受《刑法》的保护。

2.网络系统与单机系统的区别

计算机信息系统既可以是网络系统,也可以是单机系统。根据《中华人民共和国计算机信息系统安全保护条例》第5条第2款规定:“未联网的微型计算机的安全保护方法,另行规定” 。因而,非法入侵计算机信息系统和破坏计算机信息系统罪侵犯的犯罪对象是指已实施联网的计算机信息系统。其范围可以是广域网,也可以是局域网。因而,本书稍后所指的计算机信息系统的犯罪问题主要是指网络犯罪问题。

1.1.2计算机信息系统安全的定义

计算机网络是计算机系统的一个特例,比一般的计算机系统增加了网络通信功能和分布特点。

计算机信息系统安全就是指计算机信息系统保密性、信息真实性和完整性以及信息的不可否认性(Non-repudiation)。

保密性是指计算机信息系统不是任何用户随时都可以访问的,只有合法用户才可以访问。网络犯罪则是在不具有访问权利的条件下,利用其他有关工具非法访问,打破其保密性,从而获得相关信息,使对方遭受利益上的损害。

真实性和完整性是指计算机信息系统的内容是否被破坏。如果其内容形式或其中的数据发生了改变,就意味着该计算机信息系统的真实性和完整性受到了侵犯,主要是指发生了非法增加、删除、修改其数据的行为。

不可否认性是指计算机信息系统的所有操作必须得到身份认证,通过认证后,才被承认或接受。不得拒绝合法者的合法操作。

目前,在计算机领域中,对计算机信息系统的犯罪主要涉及两类形式:一是单机犯罪,二是网络犯罪。

单机犯罪是指针对单机实施的制作、传播病毒的行为。所谓计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据、影响计算机使用,并能自我复制的一组计算机指令或程序代码。从修订后的《刑法》第286条第3款的规定来看,涉及单机犯罪的罪名只有制作计算机病毒罪和传播计算机病毒罪。

关于对网络犯罪的定义请参考本章1.3.1节所述。

1.2网络的概念和发展趋势

自20世纪90年代以来,网络在全球呈现出爆炸式增长趋势,这是最初的互联网发明者们也始料未及的,这和网络自身所具有的特点、优势及其组成构建上的特点是分不开的。

1.2.1网络的概念

1.网络的定义

1964年8月,美国兰德公司公布了一篇有关分布式通信的研究报告,首次使用了计算机网络的概念。

随着计算机网络的快速发展,人们对网络的定义有了新的理解,主要指“把分布在不同地点,具有独立功能的多台计算机通过线路和设备互相连接,利用功能完善的网络系统软件,按照网络协议进行通信,实现数据资源共享的系统环境,称为网络。”由这个定义可得出网络的特点和组成要件。

2.网络的特点

(1)互连性

计算机网络的互连性是计算机技术与通信技术相结合、计算机硬件技术与软件技术相结合的产物。网络软件主要包括通信协议(如TCP/IP协议等)、通信控制程序、网络操作系统和网络数据库等。

(2)独立性

网络上的计算机既相互连接,又相对独立,任何一台计算机都不能干预其他计算机的工作。

(3)共享性

网络的一个非常重要的特点就是实现资源共享,这也是我们上网的一个重要因素。从某种意义上讲,网络打破了国界与距离的限制,使地球变成了一个“地球村”。我们在使用网络共享资源的同时,也达到了信息的互动、交流和沟通。

(4)效率性

网络的效率性体现在两个方面:一是通过信息的高速传递,实现实时通信;二是通过均匀负荷和分布处理,提高工作效率。

(5)经济性

计算机网络的使用,实现了资源共享,提高了效率,从而节约了相关的成本,使总的性能价格比降低很多,这使得网络在经济领域的发展尤为迅速。经济是推动社会进步的根本动力,正是由于网络的经济性,才使得网络得以飞速发展。

3.网络的组成

要实现上网的目的,必须具备上网的物质基础,即网络软件和网络硬件。网络软件是挖掘网络潜力的工具,而网络硬件对网络的选择起着决定性的作用。

(1)网络软件

网络软件是指为了有效地管理、调度、分配和保护系统资源,控制享有系统中各种资源的网络用户行为,防止用户对数据和信息进行的不合理访问,避免造成系统的混乱和信息数据的破坏、丢失,系统所采用的各种软件工具及安全保密措施的总和。主要包括:

网络协议(如TCP/IP协议)和协议软件

网络通信软件

网络操作系统

网络管理软件

网络应用软件

(2)网络硬件

网络硬件是指将每个独立的计算机系统连接起来的网络设备的总称。主要包括: 线路控制器LC(Line Controllers)

通信控制器CC(Communication Controllers)

通信处理机CP(Communication Processor)

前端处理机FEP(Front End Processor)

集线器(Hub)

主机 (Host)

终端(Terminal)

1.2.2网络的发展趋势

1.国内网络发展的现状

我国第一个公用分组交换网(CHINAPAC或简称CNPAC),是由邮电部于1989年2月正式开通运行的。90年代以后,随着数据通信业务的迅速发展,邮电部决定采用分级的网络拓扑结构扩大公用分组交换网的规模,在北京、上海、广州、南京、武汉、成都、西安和沈阳八个大城市设立站点,建立全连通的网络结构,同时增加主干网的端口,使其从原有的500多个增加到5000多个,增加近10倍;扩大主干网的覆盖范围,使其从原来仅覆盖10个城市扩展到覆盖32个省会城市及计划单列市,扩展三倍多。

除邮电部建立的用于数据通信的公用分组交换网(CHINAPAC)外,公安部、军队、银行和民航售票系统等也相继建立了各自的专用计算机广域网,特别是银行和民用售票系统专用计算机网络的应用,不但大大加快了银行的资金周转,方便了旅客预订和购买飞机票,提高了工作效率,带来了巨大的经济和社会效益,而且使更多的人开始了解计算机和计算机网络,推动了国内商业、企业以及服务业对计算机技术的开发和应用。

2007年6月15日, 根据CNNIC在成立十周年庆典晚宴上公布了最新的统计数据,我国网络的发展呈现如下趋势:

(1) 中国网民总数以1.37亿再创新高,占总人口比例首次突破10%。

2007年1月23日下午,CNNIC(中国互联网络信息中心,CHINA INTERNET NETWORK INFORMATION CENTER)发布第十九次中国互联网发展状况统计调查报告,截止到2006年12月31日,中国的网民总人数为13700万人(1.37亿人),这一数据使得网民数在中国13.1亿总人口中的比例占到10.5%,占总人口比例首次突破10%,去年同期这一比例为8.5%。与去年同期相比,中国网民总人数在2006年一年增加了2600万人,增长率为23.4%。到2007年6月30日,网民总数又上升为1.62亿,在总人口中的比例上升到12.3%,其中,宽带上网人数1.22亿,可以看出中国的网民总数呈良好发展趋势。

按照经济发展规律,当普及率超过10%,就会迎来一个快速增长期。中国的网民普及率在2006年底达到10.5%,已进入快速跑道。而中国网民每年20%左右的增长率,已经将美国

不足10%的年增长率甩在了后面。中国互联网的发展速度可以说是世界上同等GDP国家中最快的。另一方面,中国巨大的发展空间也吸引着世界资本的目光,而且吸引力正在增大。当前世界互联网最发达国家的网民普及率也不超过80%,按此比例,美国还有10个百分点的增长余地,而中国还有70个百分点的巨大增长空间。处于一个新的加速点,背靠1/5的世界人口,中国互联网一定会跑的更快、更远。总有一天,中国会领跑世界互联网。

(2)3G到来引发上网新潮流,中国网民通过手机上网人数达到1700万人。

随着3G时代的临近,手机成为网民上网设备中的新兴成员,截止2007年6月30日,中国通过手机上网的网民人数为4430万人,占网民总数的32.%,中国使用手机上网的网民已经初具规模。这一数据代表着中国网民上网方式、上网终端设备的多样化发展。

(3) CN域名注册总量突破530万,达到5303115个,跃居世界各国国家顶级域名排名(ccTLD)第三。

2007年6月15日,中国互联网络信息中心(CNNIC)在成立十周年之际,在安徽黄山召开了CNNIC注册服务机构年中会议,在庆典晚宴上公布了最新的CN域名注册量:截至2007年5月底,中国国家顶级域名.CN注册量突破530万,达到5303115个,首次大幅度超越COM域名国内注册量,在世界各国国家顶级域名排名跃升至第三。这意味着CN域名在国内主流地位已经确定。

(4) 网站、网页数量增长迅猛,互联网信息资源大幅增加。

截止到2006年底,中国网站数约为843000个,年增长近15万个。其中广东省网站数首次超过北京市,跃居全国第一,北京屈居第二。调查结果还显示,中国网页总数有44.7亿个,与去年同期相比增加20.7亿个,增长率为86.3%;中国网页字节总数为122,306GB,随着网页总数的增长,网页字节数也有大幅增长,与去年同期相比增长55,005GB,增长率为81.7%。

除了网站、网页数量的大幅增加,报告中显示的中国域名数、IP地址数、国际出口带宽数等数据也不断上升,这表明中国互联网信息资源大幅增加,网上内容日益丰富。

(5)网民接入费用明显降低,中国互联网发展逐渐平民化。

中国网民平均每月实际花费的上网费用(仅限于上网接入费用及上网电话费,不包括使用网络服务的费用)为83.5元。与去年同期相比,网民平均每月实际花费的上网费用减少了20.1元,降幅为19.4%。接入费用的不断降低,显示中国互联网的发展逐渐平民化,这将更加有利于中国互联网的普及,有利于更多的人接触到互联网并成为互联网大军中的一员。

CNNIC的调查显示:在1999年的890万网民中,具有本科以上学历的高达52%,而到2006年底,这一比例则快速下降到28.5%。从用户属性的角度而言,互联网越来越趋向平民化。互联网走向平民是全球趋势,并且其平民化的速度远远超越了其他媒体。拥有5000万受众的发展规模,报纸用了50年,广播用了38年,电视用了13年,而互联网只用了4年。

2.国外网络发展的现状

进入20世纪90年代以后,电子邮件、FTP和新闻组等Internet应用越来越受到人们的欢迎。1983年,Internet连接了562台计算机,1993年,Internet连接的计算机超过了120万台,比十年前增长了2000多倍。这一年,Internet的重要作用和影响,以及其巨大的发展潜力,得到了社会各界的广泛认同,越来越多的人们开始熟悉和利用Internet。Internet连接的计算机数量也以惊人的速度增长,从1993年到1994年仅一年的时间,Internet连接的计算机达到2217000台以上,比上年翻了一翻,接近前十年发展的总和。

目前,Internet连接了世界上大部分的国家和地区。所涉及的领域包括政治、军事、经济、新闻、广告、艺术等各个领域。美国是世界上网络最发达的国家,有超过半数的国民上网,其网民占世界网民数的29%,与整个欧洲相当,其整个电子商务收入占世界的47%。

根据ComScore 2006年9月公布的目前全球网民人数统计,全球15岁以上网民数量已经达到了7.13亿人,其中21%来自美国,11%来自中国,7%来自日本。最近,美国因特网监测公司“网器”公司(Netcraft)宣布:网络上有1亿家有域名和内容的站点。据国外权威通讯社报道,全球网站数量在2005年增加了1700万,在2006年增加了2740万。美国、德国、中国、韩国和日本的网站发展速度最快。2006年8月全球各国域名主机数量的分布情况:美国遥遥领先,拥有域名主机的数量约占全球总数的70%。中国名列第五,拥有域名主机数不足美国数量的5%。人们上网的主要目的是获取信息、休闲娱乐、交友等,互联网已经成为世界各国人们生产和生活的必需。Internet已连接60,000多个网络,正式连接86个国家,电子信箱能通达150多个国家,有480多万台主机通过它连接在一起,用户有2500多万,每天的信息流量达到万亿比特(terrabyte)以上,每月的电子信件突破10亿封。

1.3网络犯罪现状概述

网络犯罪可以说是一种新兴的犯罪形式,是一种产生于网络空间中的犯罪现象。网络犯罪的现状是研究网络犯罪的最基本研究素材,是深入研究的最基本事实依据,它从社会、经济、法律和文化等方面,映射出网络犯罪存在的根本问题,是网络犯罪研究最重要的切入点。

1.3.1网络犯罪的概述和定义

1.网络犯罪现象概述

网络犯罪的现象是进入人们视野的基本事实,是进行犯罪学研究的原始素材。网络犯罪现象是客观存在的。人们发明了网络,就造就了网络犯罪。一方面,网络犯罪是网络的一部分,就如同病痛是人体的一部分一样,透过人体的病情症状可以确定人体内在的病理变化。透过网络犯罪现象,可以洞察出网络社会的组织形式、运作方式、规范体系以及社会价值等方面存在的弊端和缺陷。另一方面,网络犯罪在一定条件下,推动了网络技术的进步,进而推动了社会的变革。

目前,网络犯罪现象随着网络技术的不断发展也日趋严重,特别是在青少年当中的网络犯罪现象更是越来越多。青少年网络犯罪的现象,主要集中体现在沉溺于网络,或因无钱上网而盗抢,或因模仿网络暴力、色情游戏而构成其他犯罪。这些青少年大多是初中毕业或初中辍学后走上社会的,他们无所事事,整天泡在网吧里,沉迷于网络游戏中。在他们的心中,世界上只有网络没有法律,为了上网他们可以不顾一切,可以铤而走险,可以以身试法。近年来,此类犯罪团伙作案次数较多,模仿性较强,手段残忍,后果严重。其中不乏重大案件。例如,2006年1-5月底,瀍河检察院侦查监督科共受理审查逮捕青少年犯罪案件(23岁以下)17案43人,其中为筹措上网资金而实施抢劫、盗窃犯罪的有12案30人,占受理青少年案件数的70%。

2.网络犯罪的定义

关于网络犯罪的概念, 可谓众说纷纭。有学者认为网络犯罪是对计算机犯罪的另一种称谓。还有学者认为网络犯罪是指行为人在网络空间内,以计算机网络为犯罪工具或者攻击对象的严重危害社会的行为。但需要补充的是,网络犯罪不是刑法专业的一个具体罪名, 而是一类罪名, 属于犯罪学意义上的犯罪类型。网络犯罪与计算机犯罪有相同之处, 比如行为人都以计算机为工具。但二者毕竟是不同的事物,它们的区别主要表现为:

首先,网络犯罪是一种犯罪的新形态。一般而言,新经济形态会带来新的经济犯罪。网络犯罪正是经济一体化、网络全球化带来的负面影响。

其次, 网络犯罪必须在特定的空间内实施。网络犯罪常常发生在特定的场所——网络空间内, 有人称之为“虚拟空间”、“赛博空间”或“第五空间”。行为人通过计算机及其附属设备和调制解调器进入网络空间, 以特定的程序非法侵入他人的计算机系统, 或者对他

网络犯罪及案例分析(教材) 86_网络犯罪案例

人计算机中的数据进行篡改,或者侵犯他人隐私, 或者进行电脑诈欺, 或者制作、复制病毒,妨碍计算机系统正常运行。根据美国学者爱德华、A·卡瓦佐和加斐诺·莫林的观点, 网络空间又称赛博空间(cyberspace), 是指计算机网络化把全球的人、机器、信息源都连接起来形成的一种新型的社会生活和交往空间, 它区别于现实的生存生活空间, 是一个没有客观实体的世界,是一种数字化的虚拟空间、精神生活空间和文化空间。赛博空间代表的是为数众多的可以被远程访问的计算机网络, 而网络犯罪则必然发生在该空间内。网络犯罪,是一种高科技的恶意行为。它涉及了信息、电信等方面的资料与软件的不法行为。行为定义如下:所有以计算机作为工具或作为犯罪侵害对象的不法行为;所有的其方法或目的在于影响计算机运行的犯罪;所有以信息技术作为方法致使受害人受到或可能受到损害的,其行为人已经得到或可能得到利益的故意行为。基本范围包括:非法进入,系统截断,非善意或恶意地违反安全规则,侵害某个程序持有人的专属权,非法进入修改、删减或清除数据,干扰系统的运行等。

1.3.2国内网络犯罪现状

1986年深圳市公安局侦破了我国一起利用计算机网络盗窃储户存款的案件;1986年到1987年我国计算机犯罪仅发现9起,1989年达100多起,1990年我国发现计算机犯罪130起;据2002年全国公共信息网络安全监察会议透露,1998年,大陆立案侦察计算机网络犯罪为100余起,1999年增至400余起,2000年剧增至2700余起,比上年增幅达6倍之多,2001年又涨到4500余起,比上年上升70%。其中,90%以上的计算机违法犯罪涉及网络。我国计算机网络的应用和普及较晚,但其发展速度却十分迅猛。另据我国公安部公共信息安全局的一位官员透露,中国网络犯罪1998年比1997年增长了7倍,仅1999年上半年金融系统的发案数量就达到1998年全年的水平。因此,在我国计算机网络技术高速发展及其应用领域迅速发展的同时,加强对计算机犯罪的控制与预防已刻不容缓。中国2005年截获的新病毒数量达到72836个,较2004年翻了一番,其中90%以上带有明显商业利益驱动的特征;黑客、病毒和流氓软件的紧密结合已逐渐形成清晰的“产业链条”,而正规的互联网公司正日趋成为黑客和流氓软件的“第一推动力”。公安机关发布的数据统计显示,2005年,国内处理的网络安全犯罪近3万起,国内网民因为网络安全犯罪而造成的直接损失超过1亿元。银行等国内金融机构成为网络诈骗犯罪高发的“重灾区”,按照GDP和我国网络应用水平计算,国内金融系统全年因网络安全犯罪造成直接经济损失约10亿元人民币。而据综合估测,中国2005年因网络威胁造成的间接损失高达数十亿元。 据分析,黑客其实是互联网应用发展到一定程度的产物。在人们只是通过互联网阅读新闻的时代,类似流氓软件的浏览器插件并未出现,因为黑客还无法通过黑客程序获取利益。而网络购物、网络银行、网络游戏等产业的兴起和成熟,为黑客提供了利用黑客程序获利的空间。

据公安部资料显示:2005年,全国计算机信息系统的病毒感染率为80%,遭受间谍软件袭击的用户由2004年的30%激增到90%。仅2006年1月就发现病毒43667种,致使684万余台计算机被感染。这些恶意代码的传播最主要的目的就是窃取计算机中的信息,可能包括个人的隐私、国家秘密和各类账号密码等。2005年1月,犯罪分子对湖南省国税局电子税务申报系统实施非法攻击,致使全省1.5万户用户无法电子报税。2005年全国接到报案的有9100多个网站被恶意篡改,其中政府网站2027个;2006年1月就有391个政府网站被攻击篡改。2005年,采访了中国700多位信息技术专家后,全球管理与科技咨询公司爱森哲(Accenture)发现,79%的中国企业受到病毒的困扰,而70%的企业曾遭计算机蠕虫(Worm)攻击。2007年上半年《中国电脑病毒疫情及互联网安全报告》指出,2007年上半年,防病毒机构共截获新增病毒样本总计111,474种,与去年同期相比,新增病毒样本增加了23%;其中木马病毒的新增数占总病毒新增数的68.71%,高达76593种。

事实上,对能源、交通、金融、医疗卫生等涉及公共安全、公共利益的信息系统实施攻击破坏,可能产生灾难性后果,引起社会恐慌,从而跃升为国际反恐活动中越来越关注的“网络恐怖事件”。

1.3.3国外网络犯罪现状

美国是世界上网络发展最早也是网络最发达的国家。世界上第一起计算机网络犯罪案就发生在美国。1966年10月,美国学者帕克在斯坦福研究所调查与计算机有关的事故和犯罪时,发现一位电子计算机工程师通过篡改程序在存款余额上做手脚,由此引发了世界上第一例受到刑事诉讼追诉的计算机案件。

根据2002年4月7日公布的由美国联邦调查局(FBI)和电脑安全协会(CSI)联合举行的电脑犯罪和安全年度调查报告显示,在近500家接受调查的单位中,90%承认2001年发生过电脑安全事故,85%遭受了经济损失,估计有4.558亿。在所有安全事故中,专有数据失窃导致损失最为严重,高达1.708亿美元;金融欺诈损失为1.57亿美元;因内部员工滥用网络导致的损失为5000万美元。网络攻击正在由传统以摧毁数据为目的向以窃取可获利数据为目的转变。2006年3月7 日,赛门铁克发布了第九期《互联网安全威胁报告》:Internet有可能造成机密信息外泄的恶意程序代码威胁,从上一期50大恶意程序占提报样本中的74% ,窜升至本期的80%。有越来越多的攻击者利用Bot网络、模块化恶意程序代码以及针对Web应用程序与Web浏览器发动目标式攻击。网络犯罪相关威胁透过使用犯罪软件而持续成长,这些软件工具多以进行在线诈欺及窃取信息为目的。攻击者不再进行杂乱无章的大规模攻击,而是转向攻击区域性的目标、桌上型系统及Web应用软件以取得公司、个人、金融或机密信息,再利用这些信息进行网络犯罪活动,以谋取金钱利益。报告显示,攻击者可利用暗中执行Bot傀儡程序,未经授权即可获得计算机控制权,亦造成网络犯罪的增加。近年来,网络犯罪越来越普遍,数量增长迅速,每年给全球带来的经济损失数以十亿美元计。由于各国的调查、监督网络犯罪的方式方法不尽相同,目前全球还缺乏一个权威的统计数据,但可以肯定的是,网络犯罪的数量已经相当庞大,而且越来越庞大。同时,网络犯罪也日益国际化、无国界,任何一个国家的互联网用户都可能成为网络犯罪的受害者。

2007年,美国《CSO》杂志发布了2006年网络犯罪防范调查结果。调查结果表明,虽然每个调查对象遇到的安全事件的平均数量在继续减少(过去12个月平均34起,而2005年和2004年分别是86起和136起),但这些犯罪带来的影响却在加大,财务损失和业务损失可以表明这一点。63%的调查对象声称网络犯罪导致业务损失,40%声称导致财务损失(今年平均损失为74万美元,2005年平均损失为50.7万美元),另有23%声称导致本组织名誉受损。

从西方一些主要国家网络犯罪的调查情况可看出,网络犯罪主要集中在以下几个领域:

1.经济领域

经济目的是犯罪所追求的主要目的。计算机网络犯罪主要是白领阶层的犯罪(至少目前是这样),而支撑白领阶层的最重要的基础是财富经济。

2.文化领域

主要表现在对知识产权的侵犯,对隐私的侵害,传播色情等。即使在文化领域也往往夹杂着对财富的犯罪。

3.政治领域

主要表现在一些恐怖主义和一些极端分子利用网络传递犯罪信息,散布反社会、反人类的信息等。

4.军事领域

该领域刚刚被引起重视,但在今后的战争中将越来越重要。从海湾战争及科索沃战争等现代局部战争中,我们会惊奇地发现,信息网络战争正在成为军事斗争的新空间。

1.4网络犯罪的发展趋势

从目前网络犯罪的发展趋势上看,一类是伴随网络的飞速发展而快速膨胀的,以网络为原发模式的犯罪发展趋势。而另一类是传统犯罪在网络环境中不断转化的,利用先进的网络手段从事传统犯罪从而得到发展的趋势。

1.4.1我国网络犯罪的发展趋势

人类进入21世纪,计算机网络技术将更加深入我国的经济、政治、军事、医疗、教育以及日常生活的各个领域,我国社会对计算机系统会产生更加高度的依赖性。而以计算机网络技术为核心的信息社会结构精密、复杂,组织化程度高,在某种意义上来说,具有更高的敏感性与脆弱性,因而更容易受损伤,网络犯罪危害的面也将越来越广,一旦某个要害环节受到破坏干扰,后果将不堪设想。当前我国的网络犯罪呈现以下发展趋势:

1.危害国家安全的案件持续上升,危害性大。

随着计算机信息网络应用不断普及,国家、集体、个人的事务都逐渐运行到信息网络上,针对国家、集体或个人的犯罪将表现为利用或针对网络的犯罪。甚至国家之间的战争或仇视,也将主要表现为摧毁对方的重要计算机信息系统,危害性极大。如:有“法轮功”邪教组织及其顽固分子利用互联网宣传煽动、组织指挥、相互勾结,进行非法活动;有民族分裂分子利用互联网煽动民族歧视和仇恨,组织指挥境内民族分裂分子从事破坏活动;还有一些违法人员受境外敌对组织和敌对分子的蛊惑和影响,在网上传播恶意攻击我党、政府以及国家领导人的反动有害信息等。此外,随着信息和秘密越来越集中于计算机,利用网络窃取或泄露国家政治、经济、军事、科技等机密将成为间谍活动的主要手段,网上秘密争夺战将愈演愈烈。

2.侵犯公私财物的案件呈多发趋势。

随着货币电子化进程的加快及电子商务的兴起,财富将以电子形式出现,并逐渐集中到计算机中。实施侵财犯罪的嫌疑人逐渐把目光从过去的纸质货币和保险柜、钱包等转移到计算机上。侵财型犯罪将主要利用计算机、网络技术等手段实施。目前这类案件已由利用计算机盗窃发展到了网上诈骗、网上敲诈勒索、利用网络非法传销等等。同时,盗窃、诈骗等传统犯罪被犯罪分子移植到计算机网络后,高科技也给这类犯罪带来了更大的欺骗性和隐蔽性。

3.危害计算机信息网络安全的案件增幅较大。

2001年,计算机病毒在我国传播感染情况严重,特别是“红色代码”二型、“尼姆达”等恶性病毒在我国大面积传播,造成一些政府机构、教育科研单位等行业的网络通讯阻塞,甚至出现服务器瘫痪。同时,黑客的非法入侵也频频发生。2001年警方共查处此类犯罪案件600余起,和前年相比增幅高达58%。2002年以来,以电子邮件、特洛伊木马、文件共享等为传播途径的混合型病毒越演越烈,影响最大的"求职信"病毒持续6个月,高居感染率第一,严重危害了信息系统安全运行秩序。2006年截获的新病毒有60383种,较2005年增长56%,全国共有19319658台计算机感染了病毒,感染计算机病毒种类为66606种。经济利益驱使下传播病毒成为2006年的病毒发作主要特征。“威金”病毒成十大病毒之首。

4.侵犯公民人身权利和民主权利的案件增多。

由于传统型犯罪将逐渐计算机化、智能化,除强奸、偷渡等极少数犯罪外,其他传统型犯罪几乎都能利用计算机信息网络实施。其中侵犯公民人身权利和民主权利的案件明显增多,如利用网络进行人身攻击、诽谤等等。2001年警方共立案侦查此类案件186起,其中

刑事案件11起,违法案件175起,比2000年增长3倍多。

5.利用计算机制作、复制、传播色情、淫秽物品的案件十分突出。

随着多媒体和数字化技术的发展,电视机、录像机、电脑等将合而为一,“黄毒”的产生和传播的介质将主要是计算机及其网络。利用计算机及其网络制作、传播黄色淫秽物品将成为"黄毒"犯罪的主要形式。有关专家的调查显示,网络上的非学术性信息中,47%与色情有关,每天约有2万张色情照片进入互联网。这类案件的违法犯罪分子有的利用互联网出售色情光盘,有的非法提供色情网络链接,有的干脆直接设立色情网页。这类案件几乎占所有计算机案件的一半。

6.青少年网络犯罪增多。

我国的青少年网络犯罪主要表现在:利用计算机网络盗窃、信用卡犯罪、滥用电话网等。许多青少年实施网络犯罪,并不把自己的行为看作是犯罪,有的还认为是进行一种智力“游戏”。去年,合肥警方破获了数十起青少年利用网络实施暴力抢劫或在网吧里杀人等恶性案件。犯罪嫌疑人大多是十六、七岁的青少年,最大的不过二十岁,受害人也是年龄相当的年轻人。与其它网络犯罪案件相比,这些案件呈现出犯罪嫌疑人团伙化、低龄化、作案手段越来越凶残等鲜明的特征。这些网络暴力案件充分反映出网吧管理混乱、青少年自我保护意识和法制意识极其淡薄的现状。

7.网上诈骗、利用网络非法传销的案件增多。

此类案件主要是涉及众多不特定受害群体的网络经济犯罪,主要包括通过网络手段非法吸收公众存款、集资诈骗、传销、非法销售未上市公司股票等犯罪活动。它手段多样、欺骗性强,涉及金额巨大、人数众多,直接损害了广大人民群众切身利益。仅2006 年1月至11月,全国公安机关对此类案件共立案7.2万起,较去年同期的6.5万起上升10.1%。特别是非法网络传销案件,通过网络邮件等方式,更具有了扩散快,手段隐蔽,跨地域性广等特征。

1.4.2全球化背景下网络犯罪的发展态势

作为社会发展的伴生现象, 犯罪的发生有着深刻的社会背景。从某种程度上可以说, 计算机和网络技术的发展为犯罪的发展提供了强大的技术支持。在网络全球化和经济一体化的当今世界, 几乎所有犯罪都可以在网络空间中完成, 并且, 网络技术的运用大大方便了这些犯罪的实施。在全球化背景下以下几种犯罪将是今后发展较快且较为突出的:

1.妨害名誉

网络上发表不实言论,辱骂他人等行为,侵犯他人权益,妨害他人名誉。这种行为以在网络上假冒他人名义征求性伴侣,一夜情人及公布他人电话号码的案例最多。还有将他人头像移花接木到裸体照片上,成为不堪入目的假镜头。

2.伪造证件、货币

伪造护照、文凭,以及其他证件,已经不是一个国家内部的问题。现在,全球规模的伪造集团已经形成。由于网络的便利通讯方式,跨过发布伪造文凭、证件的广告,丝毫没有障碍。例如,一些人不定期地向电子邮件用户发送提供学位证书的宣传。美国参议院政务事务委员会下属的调查委员会指出,目前利用互联网伪造证件,占全美伪造证件案例的30%。利用互联网伪造证件有三种方法:一是从公开贩卖假证件的非法网站上,购买直接按照顾客名字制作的假证件;二是购买“模板”软件,自行伪造;三是利用网上公布的个人资料,据以伪造证件,加以贩卖牟利。

3.在网络上制造、传播计算机病毒十分猖獗

有些病毒具有攻击性和破坏性,可能破坏他人的计算机设备、档案。电子邮件已经成为计算机病毒最主要的传播方式,一举取代通过软盘存储和网络下载的病毒传播途径。

4.网络赌博

很多国家允许赌博行为或者开设赌场。因此有人认为在赌博合法化的国家开设网站,该国不禁止,就不犯有赌博罪。这种意识在设有赌博罪的国家普遍存在。其实,各国刑法都规定了管辖权制度,一般都能在其本国主权范围内处理这种犯罪。比如,对人的管辖权,特别是对行为的管辖权,犯罪的行为或者结果有一项在一国领域,该国即可管辖。

5.教唆、煽动各种犯罪,传授各种犯罪方法

除了教唆、引诱接触淫秽物品的网站外,还有形形色色的专业犯罪网站。有的本身就是犯罪组织所开设,比如各种邪教组织、暴力犯罪组织、恐怖主义组织等。普通人所开设的专业性的犯罪网站则更多。比如有一些专门的自杀网站,就曾引起网友相约自杀。网络上进行煽动危害一国安全的情况也值得关注。比如,敌视中国国家、政府、人民的网站就为数不少。在日本,有一个网站,公开宣扬“中国人就是犯罪人”,这和东京都警察部门在2000年向全社会发布的“看到有人像中国人,就报告警察”的宣传品没有什么差别。德国新纳粹分子也在相关法律并不非常严格的德国邻国,甚至在更远的国家设立网站,通过网络散布种族主义,并组织行动。

6.网络色情和性骚扰

各国公众和立法更多地关注互联网的内容,特别是性展示材料、淫秽物品的传播,成为今后的焦点,而个人和商务机构则发现了这种未经规范的派发和销售淫秽物品的方式。又由于淫秽网页的高点击率,吸引了部分广告商开发这些网页。目前,色情网站大部分在WWW上,也就是以建立homepage网页,在网页上提供各种色情信息,而建好的网页则通过向各种搜索引擎登记,或者在BBS和电子论坛Forum上作广告,以及通过向电子邮件用户群发邮件,来达到吸引用户访问网站、浏览网页,从而接受其所提供的服务的目的。这些色情网站的内容主要包括:

(1)提供超链接色情网站。也就是目前网络上一些网站专门搜集色情网站,又加以分类整理,提供超链接,以供不特定的人员上网时链接至相关色情网站主页,观赏淫秽图片。

(2)张贴淫秽图片。也就是在网络上设置网站,或者在网络上利用开放式的Forum或者BBS张贴淫秽图片。有的色情网站则定期向“订户”发送系列免费图片。

(3)贩卖淫秽图片、光盘、录像带。在网络上设置贩卖淫秽光盘或者录像带,或者在论坛和布告栏公布目录以及交易方式。

(4)散布性交易信息。在网络上提供、散布卖淫信息,提供给不特定第三人进行性交易,或者从事卖淫活动。目前网上聊天的匿名状况助长了现在的混乱,因为在此掩护之下大家都可以不遵守社会传统和规定,尽情地发泄心中的不快,包括对女性实施语言上的性骚扰。

7.侵入他人网站、主页、电子信箱

入侵他人网站后以指令、程序或者其他工具开启经过加密的档案,均可找到处罚依据。但是,入侵者在入侵他人网站后并未开启经过加密的档案,或者开启的档案并未经过加密处理,这种行为各国刑法规定较少。另外还发生入侵后窃取他人档案或者偷阅、删除电子邮件;将入侵获得的档案内容,泄露给他人;入侵后将一些档案破坏,致使系统无法正常运行,甚至无法使用;以及盗用他人上网账号,未经他人同意而拨号上网,而上网所发生的费用则由被盗用者承担,等等。据估计,全世界每年发生的广义上的网络入侵事件有30万起以上。其中,对网站进行攻击的事件愈演愈烈。而据不完全统计,在所统计的被攻陷次数最多的顶级域名中,前8位分别是:.com,.br,.net,.cn,.tw,.org,.edu,.us。台湾警方在其破获的色情网站及网络黑客案件中,发现有将近80%设有“特洛伊木马”程序。网络使用者从网站下载共享软件,或者进入色情网站下载软件,或者曾经被黑客攻击,就可能被植入该种程序,而且计算机内的资料完全被侵入。

8.贩卖违禁物品、管制物品、人体器官

网络犯罪及案例分析(教材) 86_网络犯罪案例

在网络上贩卖违禁物品、违禁药品、管制物品或者管制药品,比如枪支、毒品、春药等。台湾警方曾破获一起利用网络跨国订购、走私大麻的案件:台北市一邮局在验关时发现一包由美国旧金山邮寄到台北张姓男子的快件,其中夹寄了近300克大麻,也有少量新兴毒品“power”,其效力和“摇头丸”类似。经调查,该男子于当月2日上网向美国某知名网站订货,以刷卡付费方式购买大麻,以逃避警方的监视。各国都发现过拍卖人体器官的网络广告。“活体肾,200万!”,“5万元卖骨髓”,“出卖眼角膜。健康,视力1.5。真实,可靠。穷家为了穷孩子,紧急推出”。在互联网站“网易”的拍卖网页,就曾经出现过这样的人体器官买卖信息。从传统的伦理道德看,这是令人难以接受的。但是各国法律在这一方面还没有填补这一方面的空白。

9.销售赃物

在网络上以低价出售或者高价拍卖盗窃、诈骗、抢劫等犯罪得来的赃物。网络上充斥着各种待售的货物,尤其是二手货,其中有一些可能就是犯罪所得的赃物。

10.侵犯个人隐私

计算机记录及储存功能非常强大,随着网际网络的迅速兴起,个人数据的搜集与利用更为方便和快捷。网络信息化社会日渐形成,人们对科技手段的依赖性越来越强,个人隐私逐渐暴露于公众面前,隐私被侵犯的可能性大大增加。另外英特尔新产品Pentium III在上市时,其内置加入经过随机取样的特殊编码序号的安全序号功能;由于每个安全序号均属独一无二,使得每台计算机于网际网络环境中,其身分将更容易地被大众辨识出来。还有微软Windows操作系统“漏洞”将用户计算机信息秘密传送至微软网站(www.microsoft.com)等等。这些超级硬件和软件厂商直接从事着以自己的产品掌握用户隐私的活动。

11.贩卖盗版光盘

因为个人计算机可以轻易地拷贝信息,包括软件、图片和书籍等,而且信息又很容易极快地传送到世界各地,这使著作权的保护更为困难。在网络上贩卖盗版光盘,其内容可能是各类计算机软件、图片、MP3、音乐CD或者影视VCD、DVD等等。同时,有的因为包含色情内容,也成为取缔的对象。

12.欺诈

和传统犯罪一样,网络犯罪中,欺诈也是造成损失较多、表现形式最为丰富多彩的一种类型。目前,互联网上大致存在有以下欺诈犯罪方法:

(1)网络拍卖欺诈。售卖方要求消费者在网络上竞标,消费者在中标后,却收不到商品;消费者收到商品,但所得实物与售卖方所声称的商品相差很大;售卖方伪装成其他消费者,一同参与竞标,借以哄抬最后中标价格;售卖方在消费者中标后,以其他理由要求加价。

(2)网络服务欺诈。包括提供原本免费的服务而收取费用;支付在线或者网络服务的费用,却没有得到服务,或者得到不实服务。有的经营者在网络上刊登或者利用电子邮件寄发报告,推销旅游机会。消费者实际到达后,才发现与网络上所宣传的情况大不相同。

(3)信用卡欺诈。一种是针对消费者的欺诈,比如欺骗信用不佳的人申请信用卡。商家承诺消费者可以轻易获得信用卡,但是,在提供申请信用卡相关资料并依约预付头期款后,却并没有收到信用卡,甚至因别人盗刷信用卡而产生负债。还有的色情网站在网页上宣称,可以免费浏览网页,但是要求浏览者输入信用卡号,以证明自己已经成年。按照网页提示输入这些信息后,却接连不断地收到账单。另外一种是针对商家的诈欺,这是目前美国所有报案的网络诈欺案件中所占比例最高的一种。一般商家只注意交易是否获得授权,如果获得授权即予发货,最后却发现是使用了伪造的信用卡骗取授权。使用信用卡在网络上消费,在世界各国发展迅速,而网络上使用信用卡消费,只检查信用卡号码及到期日,无需持卡人签名确认。虽然这种交易方法以方便、快捷为前提,但对于安全及认证的保障还不完备,给予不法之徒以可乘之机。因此查获这些作案人,也不是轻而易举的事。

(4)多层次非法传销。一种是和过去的幸运信如出一辙的“老鼠会”,这些信件内容一般列有5个人的姓名、地址,信中指出收到该信的人,寄给名单上5位网友各若干钱,再将列与第一位的姓名自名单中去掉,将第二位以下的都向上递补,最后将自己的姓名列在第5位,以此类推。信中告诉网友当自己的姓名递补至第一位时,将可获得数额惊人的钱。另一种就是典型的传销。美国一家名为SKYBZ2000(空中商务网)的网络传销公司,以高额奖金为诱饵,以牟取暴利为目的,利用网站双线发展会员的方式,吸引一些根本不会使用计算机的人,花钱租用15MB的个人网页空间,不断发展下线,使成百上千人受害。

(5)虚假或夸大的商业信息。有人利用电子邮件或者网络广告,宣称他们掌握最时髦的快速致富方式,如在世界货币市场上套汇赚取利润等,或者有的经营者宣称某项投资可以获得可观的投资回报率,而且没有任何风险,以吸引人们投资。类似非法集资那样,用后来加入者的钱支付给先前加入者,以制造一些成功赚钱的事例,刺激更多的人加入。这种投资的风险,随着投资者金字塔的形成而越来越增加,最终必然会使一大批人血本无归。

(6)欺骗性中奖信息。包括要求中奖者先付税金再领奖品;赠品赠奖而又要求消费者先付费加入成为会员后才能得到赠品;引介他人加入后,自己可以免费成为会员。

13.恐吓、敲诈勒索

两位哈萨克斯坦黑客,成功地侵入了美国彭博信息公司的计算机系统,并且用电子邮件向该公司勒索200,000美元。FBI与彭博信息公司负责人麦克.彭博,说服黑客在伦敦的希尔顿饭店见面。当天,彭博与两位便衣警察一起赴约,当黑客提出勒索的条件后,当即遭到逮捕。一个名为“塞巴网络恐怖分子”的国际计算机匪帮,则通过设置逻辑炸弹,以破坏各网络公司的计算机系统来敲诈勒索,一家公司为了让这伙恐怖分子清除其埋藏在该公司计算机系统中的“软件炸弹”,不得不向匪徒们支付1950万美元。据统计,这伙国际计算机匪帮自称先后作案40余起,共勒索各计算机公司6亿多美元。

1.5网络犯罪研究概况

国内外专家学者对于网络犯罪的研究持续增温,投入大量人力物力,将网络犯罪的研究提升到了重要地位。从目前已有的一些研究成果来看,学者主要集中于探讨有关计算机犯罪和网络犯罪的技术防范、法制建设、侦查控制以及社会管理控制等方面。这些重要的研究理论和书籍都是我们值得借鉴的宝贵资料。

1.5.1国内网络犯罪研究概况

我国的网络犯罪研究相对于国外而言,还处于起步阶段。我国学者在借鉴国外相关研究的基础之上,结合我国网络发展的现状,从网络安全、网络犯罪理论和立法等多种角度对网络犯罪问题进行了深入的探讨,取得了很多有价值的研究成果。

从网络安全角度所开展的网络犯罪的技术防范研究,主要有网络安全评价标准和网络安全技术两个方面。我国在网络安全标准方面由公安部主持制定、国家技术标准局发布的中华人民共和国国家标准GB17895-1999《计算机信息系统安全保护等级划分准则》于1999年10月正式颁布,为我国计算机系统安全需求提供了一个评价标准。

在网络犯罪理论和立法控制方面,普遍认为网络犯罪不仅是技术问题和管理问题,还是一个法律问题。法律是网络安全的保护手段,以其强制力作为保障,成为网络安全的最后一道防线,如果缺少法律规范的权威性和强制性,网络安全措施就不可能产生普遍的约束力。因此,将着重研究网络环境下有关犯罪的立法、定罪、量刑等理论问题。

目前为止,网络犯罪的学术研究成果主要有:(1)孙伟平的《猫和耗子的游戏——网络犯罪及其治理》;(2)李双其主编的《网络犯罪防控对策》;(3)丁志刚主编的《网络犯罪定性争议与学理分析》;(4)王云斌的《网络犯罪》;(5)杨正鸣主编的《网络犯罪研究》;(6)

齐爱民、刘颖主编的《网络法研究》;(7)张楚主编的《网络法学》;(8)丁志刚的《虚拟空间中的刑法理论》;(9)赵廷光、朱华池的《计算机犯罪的定罪和量刑》;(10)孙铁成的《计算机与法律》;(11)蒋平的《计算机犯罪问题研究》;(12)刘广三的《计算机犯罪论》;张春江、倪健民主编的《国家信息安全报告》;(13)孙景仙、安永勇的《网络犯罪研究》等等。此外,还有相关论文成果若干篇值得借鉴。

1.5.2国外网络犯罪研究概况

网络犯罪的研究,国外比我国起步较早。网络是一个开放的、公众的和标准化的空间,在各国出现的网络犯罪形式往往是相同或者类似的,尤其是网络中的新发犯罪,如计算机病毒犯罪、非法入侵计算机系统犯罪等。因此他们的研究成果对于我们了解网络犯罪具有较高的参考价值。这其中有:

1.日本西田修的《浅谈电子计算机犯罪》 ;

2.美国尼古拉·尼葛洛帝的《数字化生存》 ;

3.英国尼尔·巴雷特的《数字化犯罪》 ;

4.美国劳拉·昆兰蒂罗的《赛博犯罪——如何防范计算犯罪》 ;

5.美国约翰森·罗森诺的《网络法——关于因特网的法律》 ;

6.美国罗拉德·费里拉等的《网络法——课文和案例》等等。

第二章 网络犯罪的特点及社会危害

2.1网络犯罪的特点

以计算机及网络的滥用为基本手段和特征的网络犯罪已经成为网络时代里严重的社会问题之一,受到各国际组织、各国政府和有关当局、各种商业和非商业机构的高度重视。如何防范网络犯罪不但是各国立法机关、司法机关及行政机关迫切要解决的问题,而且也成为计算机技术领域、法学及犯罪学研究领域中最引人关注的课题。

犯罪特点是指犯罪现象表现出来的犯罪和罪犯的个别或一般的特殊性或共同性。网络犯罪的特点是在网络犯罪状况的基础上对网络犯罪的较深层次上的理解,对网络犯罪特点的准确认识和把握,对于预防和控制网络犯罪是必不可少的环节。通过对网络犯罪特点的认识,我们可以总结出网络犯罪的一般规律,分析网络犯罪发生的原因,进而选择预防和控制网络犯罪的各种措施和机制。

这种在虚拟空间里实施的犯罪与在现实物理空间里实施的犯罪相比较,最基本的特点就是网络性,这点对于认识网络犯罪的特点具有很重要的意义。由于网络的数字化、犯罪行为的网络化以及虚拟的犯罪现场等,使得网络犯罪具有比传统犯罪更高的犯罪黑数。网络无国界的特性使得网络犯罪的跨国化较为普遍。网络的应用普及程度对网络犯罪的危害结果具有很大的影响。一般而言,网络犯罪的社会危害性的大小,取决于网络信息系统的社会作用,取决于社会资产网络化的程度和网络普及应用的程度,其作用越大,网络犯罪的社会危害性也越大。可以说,网络犯罪的网络性是其他诸多特点的原发因素。和现实世界的犯罪进行比较,网络犯罪有很多显著特点。

2.1.1网络犯罪主体特点

1.主体的年轻化

据统计, 网络犯罪分子的平均年龄约为24岁。在网络犯罪主体中,特别是黑客中,青少年所占的比例相当大。网络犯罪主体的年轻化与使用电子计算机者特别是上网者年轻人占较大的比例以及年轻人对网络的情有独钟和特有的心态有很大的关系。据CNNIC(中国互联网信息中心)2006年7月发布的《第十八次中国互联网络发展状况统计报告》: 53.8%的网民年龄在24岁以下,学生为网络的主要使用者之一,约占36%以上。未婚人士仍占大多数,约为总数的55.1%。这些年轻人虽然没有成年人网络犯罪的商业动机或者政治目的,但是侵入国家事务、国防建设、尖端科学技术领域的计算机系统所造成的社会和经济危害一样严重。

2.专业化程度高

网络犯罪是一种高技术的智能犯罪,犯罪分子主要是一些掌握计算机技术的专业研究人员或对计算机有特殊兴趣并掌握网络技术的人员,他们大多具有较高的智力水平,既熟悉计算机及网络的功能与特性,又洞悉计算机及网络的缺陷与漏洞。因而他们能够借助本身技术优势对系统、网络发动攻击,对网络信息进行侵犯,并达到预期的目的。

2.1.2网络犯罪的客观特点

1.犯罪黑数高

犯罪黑数是指所有不在犯罪统计上出现的犯罪数值,也就是未为公众所周知,或未受司法机关追究的犯罪数。在杀人、抢劫等重大犯罪中,犯罪黑数表现并不明显,但在盗窃、赌博、卖淫等多数犯罪中则大量存在。网络犯罪和盗窃、赌博等犯罪相比较,犯罪黑数更加明

显。据美国学者唐.派克估计,计算机犯罪的黑数约为85%,而德国有学者估计计算机犯罪的黑数约为80%。美国CSI和FBI近几年来的调查结果表明,已发生的计算机犯罪案件中,只有约17%到达侦查机关手中,即计算机犯罪的黑数约83%。这就是说实际发生的100件计算机犯罪中,约有83件未被发现或未受到法律制裁。至于单纯网络犯罪的黑数目前尚无一个较权威的统计数据,据估计网络犯罪的黑数比计算机犯罪的黑数还要高。美国联邦调查局国家计算机犯罪侦查队估计,85%~97%的计算机入侵犯罪没有被发觉。美国国防部在1995年前后进行了一次测试,对参加测试的8932个系统试图进行攻击,结果7860个系统被成功地攻入,其中只有390个系统察觉受到攻击,而报告受到攻击的系统仅19个。

网络犯罪黑数高,其原因主要有以下几个方面:一是由于网络犯罪极强的隐蔽性使网络犯罪很难被发现;二是虚拟的犯罪现场,有时甚至不存在犯罪现场;三是受害者对网络安全缺乏足够的认识,以致给犯罪人可乘之机,有的甚至于无法察觉受到侵害;四是网络犯罪被害人为了自身的信誉和保守秘密,或是由于反复受到侵害而钝化,或是对公力和自力救济有效性的质疑,或是出于其他动机不愿举报。

2.具有跨国性

计算机网络建构了一个虚拟的空间——赛博空间(cyberSPace),在这个空间里,既消除了国境的隔离,也打破了社会和阶级的界限,真正实现了“天崖若比邻”,使得网民们双向性、多向性地交流以及信息高速和广泛地传播成为可能。在覆盖全球的计算机网络上,信息传递的速度是以毫秒为单位计时的,从中国向美国传送一条信息花费时间不过600毫秒,即使向地球上距离我们最远的一个点传送,也不过费时1秒钟而已。这就意味着,在网络空间里,国内与国外、近与远的概念已变得十分模糊,跨国成为一种十分平常的网络犯罪形式。

从信息传播的范围和速度看,因特网具有“时空压缩化”的特点。当各式各样的信息通过因特网传送时,国界和地理距离的暂时消失就是空间压缩的具体表现。在网络上查阅资料、相互交谈、进行交易时,对象在万里之遥与在隔壁房间并无区别。这种国界和空间距离的暂时消失,为犯罪分子跨地域、跨国界作案提供了可能。犯罪分子只要拥有一台联网的计算机,就可以通过因特网到网络上任何一个站点实施犯罪活动。而且,可以在一个地方作案,通过联网的中间网络结点(计算机),使其它联网的计算机受害。曾有几个德国学生通过互联网先从德国登录到日本,然后从日本登录到美国的一所大学,再从这所大学登录到美国国防部的军用计算机系统为克格勃窃取军事机密。由于这种跨国界、跨地区的作案隐蔽性强、不易侦破,所造成的危害也就更大。

网络的跨国化给刑法和刑事诉讼法带来巨大的冲击。如何确定犯罪地?哪一国或几国的法院具有管辖权?对犯罪人应该适用哪一国法律?其中不仅涉及到犯罪人引渡的问题,还有取证也是极其艰难的事情,同时还掺杂一些国家、民族的因素。

3.隐蔽性强

网络犯罪实施的主要是对程序和数据等各种无形的信息进行的非法操作。犯罪分子可以从任何一个计算机网络终端实施犯罪行为,且不受时间的限制。犯罪行为实施终了后对信息载体等机器硬件可以不造成任何损坏,甚至不留下任何犯罪痕迹,所以犯罪行为不易被发现、识别和侦破,犯罪隐蔽性极高。

大多数的计算机犯罪,都是犯罪行为人经过狡诈而周密的安排,运用先进的专业计算机知识,所从事的智力犯罪行为。进行这种犯罪行为时,犯罪分子只需向计算机输入指令,篡改软件程序。作案时间短,且对计算机硬件和信息载体不会造成任何损害,作案不留痕迹,使一般人很难觉察到计算机内部软件上发生的变化。由于网络开放性,不确定性,超时空性等特点,使得网络犯罪有极高的隐蔽性。由于网络犯罪行为时间极短,往往在毫秒或微秒级完成一系列指令,而且犯罪是通过电脑内部电子流来实现的,只要足够谨慎,就可以不留下任何作案痕迹。另外,有些网络犯罪,需要经过一段时间后,犯罪行为才能发生作用而达到

网络犯罪及案例分析(教材) 86_网络犯罪案例

犯罪目的,如计算机“逻辑炸弹”,犯罪行为人可以设计犯罪程序在数月甚至数年后才发生破坏作用,也就是行为时间与结果分离,这对作案人起了一定的掩护作用,犯罪手段更趋隐蔽,这使得网络案件很难侦破。

4.取证困难

首先,“网络空间没有指纹”,因为网络犯罪本身经常是虚拟的,它的行为对象是计算机数据和程序,它们存储在电磁介质上,磁介质上的数据必须经特定算法转换后才能以人眼可见的形式表现出来,更因存入计算机的数据以数字或代号形成的匿名性,增加了取证的难度。其次,因数据高密度存储,体积小,携带方便,且可以不为人觉察地拷贝,故犯罪行为不易当场被发现。同时犯罪人、犯罪环境的虚拟化,犯罪手段的推陈出新,这一切都导致网络犯罪具有极强的隐蔽性,给侦查工作造成了相当大的难度。第三,犯罪现场的计算机系统内所存储的有关证据方面的数据很容易被破坏,再加上受害者不愿报案以及行为时间与结果时间的分离性,行为地与结果发生地的分离性等原因,使网络犯罪的取证工作十分困难。第四,电子证据的效力如何,法律没有规定,理论上意见不一。由于侦查人员获取的电子证据能否被法庭采信是一个未知数,因而影响了侦查人员办理该类案件的积极性。

5.具有连续性

网络犯罪具有连续性是由网络犯罪所具有很强的隐蔽性、低成本及犯罪主体的特点决定的。网络犯罪常常难以被发现,风险较小,所以行为人第一次犯罪得逞后,很少立即会被发现,其犯罪心理就会得到强化,使其犯罪欲不断升级而继续实施犯罪。另外,由于网络犯罪的主体多数是技术人员,他们在社会上代表着高科技和智慧,加上网络犯罪一般没有症状,社会危害性不直观,行为人实施犯罪后大多没有罪恶感,犯罪目的实现时,不仅给犯罪分子带来物质利益,同时也能满足其智力上的优越感。

6.犯罪对象的广泛化

随着社会中网络有关的应用越来越广泛,网络犯罪的危害也就越来越大,而且网络犯罪的危害性远非一般传统犯罪所能比拟。网络犯罪的对象从个人隐私到国家安全,从信用卡密码到军事卫星,无所不包,甚至网络本身也成为犯罪的对象。

据美国联邦调查局(FBI)称,目前在美国,计算机网络犯罪造成的损失每年超过670亿美元,达到了672亿美元。美国联邦调查局的一份报告显示,在美国硅谷,计算机犯罪正以每年400%的速度上升,能破案的只占10%,其中定罪的则不到3%。我国自从1986年发现首起计算机犯罪案件起,每年的网络案件发案率呈加速扩大之势。开始,计算机犯罪主要危害金融系统,现已危害到生产、科研、卫生、邮电、国家安全等几乎所有使用计算机的领域。其受害对象往往是一个行业、一个地区甚至整个国家。

7.犯罪手段的多样化

信息技术的迅速发展,计算机网络的普及与推广,为各种网络犯罪分子提供了日新月异的多样化、高技术的作案手段,诸如窃取秘密、调拨资金、金融投机、剽窃软件、偷漏税款、发布虚假信息、入侵网络等网络犯罪活动层出不穷,花样繁多。

8.犯罪成本低

网络犯罪成本是指行为人因实施网络犯罪行为所承受的精神性、物质性代价。成本由直接成本(包括心理成本和经济成本)和间接成本(包含法律成本和竞争成本)组成。网络犯罪的直接成本和间接成本都比传统犯罪要低。就直接成本而言,网络犯罪的心理成本不高,网络犯罪者实施犯罪行为常常是在极短的时间内完成的,作案时间的短促性使罪犯在作案时自我谴责和“现场心理恐惧感”大大降低,同时由于“网络犯罪伦理”的作用,相当多的网络犯罪者在实施犯罪行为时并没有认识到自己实施的是一种危害社会的行为,这样使它们的犯罪心理成本几乎等于零;网络犯罪与传统犯罪相比所冒的风险小而获益大,作案者只要轻轻按几下键盘,就可以使被害对象遭受巨大损失,而使罪犯获得巨大利益或对计算机系统入侵

的刺激和挑战给他的心里带来极大的满足,所以,网络犯罪经济成本极低。

就间接成本而言,因网络犯罪的发现率低,各国对付网络犯罪的立法参差不齐,网络立法的滞后及打击力度不够等原因,使网络犯罪的间接成本低下,有时甚至等于零。

2.1.3网络犯罪的其他特点

1.巨大的社会影响性

一般认为,计算机犯罪社会危害性的大小,取决于计算机信息系统的社会作用,取决于社会资产信息化的程度和计算机普及应用的程度,其社会作用和普及程度越大,计算机犯罪的社会危害性也越大。因此随着网络技术的飞速发展,网络的普及程度越来越高,人们越来越依赖于网络,网络犯罪的危害也就越来越大。而且网络犯罪的危害性远非一般传统犯罪所能比拟,网络犯罪不仅会造成财产损失,甚至可能危及公共安全和国家安全。涉及财产的网络犯罪,动辄就会造成上百万、上千万甚至上亿元的损失。仅一个Melissa病毒就造成了数十亿美元的损失,连英特尔、 微软公司都未能幸免。网络犯罪还会危及公共安全和国家安全,甚至会发动导致人类灭亡的核战争。随着计算机信息技术的不断发展,从国防、电力到银行和电话等很多行业现在都实现了数字化和网络化,与网络息息相关,一旦这些部门遭到侵入和破坏,后果将不堪设想。

2.网络犯罪与典型的计算机犯罪

目前对什么是计算机犯罪,理论界有多种观点,其中双重说(即行为人以计算机为工具或以其为攻击对象而实施的犯罪行为)的定义比较科学。早期(20世纪50年代~80年代)计算机单机时代,计算机犯罪仅仅是指电脑犯罪,主要是计算机诈骗、针对计算机内部信息的窃取和诈骗。后期(20世纪80年代至今)计算机网络时代,随着计算机网络的发展以及应用越来越广泛,计算机软件日益复杂化,安全措施日益普及化,针对单个计算机的犯罪转变为在整个网络上的各种犯罪行为。

网络犯罪比较常见的偷窥、复制、更改或者删除计算机数据、信息的犯罪;散布破坏性病毒、逻辑炸弹或者放置后门程序的犯罪,就是典型的以计算机为对象的犯罪。而网络色情传播犯罪、网络侮辱、诽谤与恐吓犯罪以及网络诈骗、教唆等犯罪,则是以计算机网络形成的虚拟空间作为犯罪工具、犯罪场所进行的犯罪。

3.犯罪本身的“虚幻”性

网络犯罪不同于传统的犯罪, 网络犯罪披上了一层文雅的面纱,使得人们并不将其视为一般的、真实的犯罪。网络犯罪通常不附加暴力, 犯罪者大多文质彬彬,喝着咖啡,坐在计算机前敲打几下键盘就可以实施犯罪。网络犯罪一般不直接针对公众, 使得其社会危害性在一定程度上被屏蔽。网络犯罪的这一特征, 极易导致人们特别是青少年判断上的偏差,很多青少年对网络犯罪投以崇敬的目光。

4.黑客攻击发案率高

国内外网络犯罪尚有区别,以黑客为例:在一些网络服务商看来,目前国内的“黑客”与国际上的“黑客”有着质的区别,国际“黑客”的动机大都是进行恶意攻击,他们在攻击一些网络系统的同时,自己并没有因此获得好处。而国内“黑客”的行为则更像是一种恶作剧,他们没有破坏系统的意图,但他们有着明确的目的,或是侵占一些网上货币,或是讹诈一套程序。与此同时,国内“黑客”的另一大特点是:他们总乐于在事先与服务商们打个客气的招呼。据北京一家服务商介绍,自遭遇第一位“黑客”以来,该公司遇到的“黑客”100%都是在校学生。这些少年“黑客”或假他人之名诈取源代码,或破译他人密码以盗取网上货币,或投放“邮件炸弹”。

在谈及“黑客”时,一些服务商对这些少年“黑客”对系统的潜在威胁也颇感忧虑。尽管这些少年“黑客”的破坏行为在很多网络服务公司只需花费一顿饭钱,或赠送一套程序便可以化

解,但若干年后,当这些少年长大成熟时,真正意义上的“骇客”会不会出现呢?

2.2网络犯罪的社会危害性

实质犯罪的含义在于,“行为不是因为它违反了刑法规范而在于它侵害了刑法所要保护的实质内容而成为犯罪”。网络犯罪的实质特征即网络犯罪侵害了刑法所保护的利益,具有社会危害性。

网络犯罪一直被视为新型犯罪,但不能无视的基本现实是:网络社会与现实社会有着不可分割的联系。我们看到互联网上大量出现的犯罪仍然是盗窃、色情、诽谤、赌博、贩毒和恐怖活动等犯罪,而像非法侵入计算机系统这样似乎全新的犯罪行为也可以看作是私闯民宅的网络翻版。

用传统犯罪学理论同样可以解释计算机网络犯罪。从刑法学的犯罪构成理论出发我们可以把现实世界的犯罪和网络空间的犯罪构成的四个要件,即犯罪主体要件、犯罪主观要件、犯罪客体要件及犯罪客观要件来逐一比较,我们不难发现两种行为都具有犯罪的实质特征——社会危害性。不同的只是网络越轨行为的某些对象或具体的行为方式与传统概念不同。从长远看,网络犯罪只是“一般犯罪”。现阶段计算机网络犯罪还仅仅处于初级阶段,随着计算机网络的日益普及和对人类日常生活的渗透越深入和广泛,“网络犯罪”也会成为犯罪新的普遍的存在形式。

2.2.1妨害互联网运行安全

妨害互联网运行安全的犯罪主要包括:侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统;故意制作、转播计算机病毒等破坏性程序,攻击计算机系统以及通信网络,致使计算机系统及通信网络遭受损害;违反国家规定,擅自中断计算机网络或者通信服务,造成计算机网络或者通信系统不能正常运行等。

在计算机网络犯罪中,黑客入侵和传播计算机病毒是最常见的犯罪方式,也是对社会造成的危害最大的网络犯罪方式。然而对网络上传播内容和形式的监管技术落后和监管力度不够的情况下,可以很容易的从网络上下载一些黑客软件。更有甚者,很多黑客在网络上组织软件论坛,一起讨论和交流黑客技术,炫耀自己编写的软件和破坏能力。通过这些黑客软件和论坛,即使是对网络技术一无所知的人也可能轻而易举的进行网络犯罪。如1992年初,一名叫“达克·埃尔格”(意为“恶毒的复仇者” )的人,向社会公然发行了他研究的一种“变换器”。可以在计算机上指示病毒编制人如何利用多形性技术,设计出更新的更难消除的“多形”病毒。这样使得黑客入侵和计算机病毒越来越容易,对互联网运行造成的危害也越来越大,给国家、社会和国防带来巨大的损失。

2.2.2妨害国家安全和社会稳定

妨害国家安全和社会稳定的犯罪主要包括:利用互联网造谣、诽谤或者发表、传播其他有害信息,煽动颠覆国家政权、推翻社会主义制度,或者煽动分裂国家、破坏国家统一;通过互联网窃取、泄露国家秘密、情报或者军事秘密;利用互联网煽动民族仇恨。民族歧视,破坏民族团结;利用互联网组织邪教组织、联络邪教组织成员,破坏国家法律、行政法规实施等。

由于网络具有跨国性,以及网络犯罪隐蔽性强、传播快速等特点,使得很多境内外的犯罪组织和个人自然地选择网络作为他们组织邪教、贩卖枪支、宣传反社会、反国家言论和进行间谍活动的工具。如1997年3月25日,美国加利福尼亚州的圣迭哥市发生了一起集体自杀事件。警方赶到现场后,发现一座别墅中有39具尸体,所有尸体都穿戴一致样式的服饰,自然而轻松地平躺在多张双层床上。调查结果表明,这39个死者都属于一个叫做“天堂之

门”的邪教 ,该组织对外的名称叫做“世界高级计算机宗教组织”。这39个教徒自杀的动机是相信他们可以和每3000多年才光顾一次地球的海尔——阿普尔彗星一同离开地球,升入真正的天堂。该组织的首领马歇尔在死前录像上称:“我的教会的成员来自太空,我们都想回到那里去,在波谱彗星到来之际,外星人会把我们带往一个新的精神世界,因为人生只是一生中的更高级存在的一个阶梯而已。”值得人们注意的是,该邪教的传教“布道”方式——利用计算机网络进行传播。该组织很早就在网络上创建了自己的网站,一个名叫“天堂之门”,一个叫“更高源泉”,前者用来宣传该组织的教义和所谓哲学,而后者则用来提供他们的网络服务。

2.2.3妨害市场经济秩序和社会管理秩序

妨害市场经济秩序和社会管理秩序的犯罪主要包括:利用互联网销售伪劣产品或者对商品、服务作虚假宣传;利用互联网损害他人商业信誉和商品声誉;利用互联网侵犯他人知识产权;利用互连网编造并传播影响证券、期货交易或者其它扰乱金融秩序的虚假信息;在互联网上建立淫秽网站、网页、提供淫秽站点链接服务,或者传播淫秽书刊、影片、音像、图片等。

由于通过计算机网络进行交易,资金更加容易安全换手,因而目前计算机网络已经成为一些黑社会洗钱的最佳场所。利用计算机洗钱的犯罪行为在中国已有发生。

利用网络银行洗钱是现在各国反洗钱机构面临的新问题。利用互联网洗钱的一个方法就是,首先设立一家公司,并且该公司提供的服务可以通过因特网支付;然后洗钱者利用这些服务,使用附属于他自己控制的账户(犯罪中包含犯罪收益)的信用卡或借记卡对提供的服务付费,并由该公司向信用卡公司出具发票。这样犯罪收益就变成了公司提供服务的报酬。在这种洗钱方法中,洗钱者实际上仅控制出具发票的账户和通过因特网提供服务的公司,信用卡公司、因特网服务提供商(ISP)以及犯罪过程中所涉及的银行都没有任何理由怀疑这些活动,因为他们只看到整个过程的一部分。

网络虚拟环境使得色情犯罪空前高涨,据网页过滤公司N2H2调查,目前互联网上的色情网页数量已经超过2.6亿,比五年前增加了20倍。这家公司称这个调查结果充分说明网络色情文化的高速发展已经成为一个严重的社会问题。仅以美国为例,高科技手段的运用也为美国的成人网站带来了丰厚的回报,为首的两家公司在2003年创造了20亿美元的营业额,比2002年高出10到15个百分点。同时,统计数据显示2003年12月共有3500万网民登陆过色情网站,也即美国每四个上网者就有一个上网浏览过色情内容。网络同样使得侵犯知识产权、销售伪劣产品等经济犯罪愈演愈烈。

2.2.4妨害人身、财产权利

妨害人身、财产权利的犯罪包括:利用互联网侮辱他人或者捏造事实诽谤他人;非法截取、篡改、删除他人电子邮件或者其他数据资料,侵犯公民通信自由和通信秘密;利用互联网进行盗窃、诈骗、敲诈勒索等。

利用计算机进行敲诈,是指犯罪人以摧毁他人的计算机程序、数据库,或者制约他人的计算机信息系统等为要挟而敲诈他人钱财物。这主要体现为网络黑客对于各大公司、银行等机构的敲诈,但是目前范围已经扩展。如:美国某人类学专家向全球寄发了二万多张计算机软盘,称这张软盘中含有可以最终治疗艾滋病的信息。但是,当用户调用软盘存储的信息后,用户的硬盘即被锁住,同时屏幕上出现的相应的告示,要求用户至少把189美元转到巴拿马某银行的账户上,以获取为硬盘解锁的密钥。另外,目前还出现了利用计算机获取他人的隐私资料或者某种个人秘密,进而要挟他人以获取钱财的案件。

互联网上利用技术监看他人的私人数据、电子邮件也是很普遍的现象。这与现实生活中

私拆他人信件属于同一性质问题,都是侵害他人隐私权的行为。但是,公司监看员工的电子邮件却又似乎被看做理所当然的事情,在美国,根据美国管理协会对1000家公司的调查发现,约45%的公司监视雇员的电子邮件,39%的公司监视或记录员工的电话,27%的公司查看并保存电子邮件的内容,16%的公司把工作人员的活动拍摄下来,84%的公司让雇员知道公司在监视。

妨害个人的犯罪除了强奸罪等必须以行为人自身或者他人的人身作为犯罪工具的传统型犯罪以外,其他犯罪基本上均可通过计算机加以实施,这甚至包括利用计算机杀人。例如,1994年,一名不法分子通过计算机网络访问了英国利物浦医院的计算机信息系统,他把医生给病人开的处方改了,给一名9 岁的男孩开了一张剧毒合剂的处方,幸亏药房医生核对了一下处方,男孩才幸免于难。

网络犯罪及案例分析(教材) 86_网络犯罪案例

第三章 网络犯罪的原因和手法

3.1网络犯罪的原因分析

网络犯罪不仅是刑法学研究的对象,也是犯罪学研究的对象。因而,研究网络犯罪的原因就成为犯罪学的一个重要课题。研究网络犯罪原因的目的是预防网络犯罪,两者犹如病因和治病的关系一样,只有病因诊断清楚,才能对症下药。网络犯罪原因是一个十分复杂的系统,犯罪结果的发生与犯罪现象的存在是罪因系统中众多致罪因素相互作用的复杂过程。

3.1.1研究网络犯罪原因的意义

一、有利于客观、全面地认识网络犯罪问题的复杂性,端正预防网络犯罪的工作态度。 对网络犯罪原因的深入研究,使人们充分看到网络犯罪行为的发生,不是简单的某一方面或某几方面的原因所致,可以使人们以科学全面的态度和方法来对待网络犯罪。影响网络犯罪的因素有很多,不仅有客观方面的原因,也有犯罪人主观方面的原因;不仅有生理心理方面的原因,而且有网络环境方面的原因;不仅有犯罪人方面的原因,而且还有被害人方面的原因。因此,网络犯罪原因是一个十分复杂的系统,犯罪结果的发生与犯罪现象的存在是罪因系统中众多治罪因素相互作用的复杂过程。而且,决定犯罪存在与规模大小的犯罪原因,也异常复杂,随着社会政治、经济形势、网络科技和法律制度的发展变化,其内部结构及其功能作用,均会不同。预防网络犯罪的工作是十分艰巨的,治理网络犯罪工作要花费漫长的时间,切忌期盼短期内能够根治,更不能幻想在不长时间内消灭网络犯罪,我们只能通过各种制度设计和防控手段减少和抑制网络犯罪。

二、有利于探明网络犯罪的规律,增强防控网络犯罪的能力。

要长期不懈的开展预防网络犯罪的工作,通过网络犯罪原因的研究,不断发现网络犯罪现象和网络犯罪行为的变化发展规律,就能够掌握规律、运用规律进行社会预防工作,不断提高网络犯罪预防的控制能力。

三、有利于不断地完善社会机制,弥补社会组织和个人的漏洞。

网络犯罪是一种综合病症,宏观社会环境(生产力、生产关系、上层建筑)和微观社会环境(家庭、学校、邻里街道、企事业单位、网络空间中的群体和个体)中的消极因素,对人的犯罪意识的形成与犯罪意识的外化起着至关重要的作用。分析社会中存在的问题,不仅能够查清网络犯罪原因的内部结构及对网络犯罪行为发生作用的过程,而且可以有针对性地对社会制度、社会组织和社会控制中存在的问题进行修正,从而使社会肌体更健康、更和谐、更完善。同时,对微观社会环境中各种组织和个人在网络中的漏洞进行补救,力图消除有利于网络犯罪行为发生的各种条件及其相关因素。

四、网络犯罪原因的研究对于国家立法有理论的指导意义。

研究网络犯罪原因,有利于端正国家立法工作的正义与公平的理念及形象,避免恶意执法乃至有可能出现的法律纵容网络犯罪的漏洞。

研究网络犯罪原因,可以使刑事立法工作更为科学,减少和克服现实工作中严重存在的“刑罚不足”与“刑罚过剩”的问题。

研究网络犯罪原因,特别是对青少年网络犯罪原因的研究,有利于社会性法律的制定。

五、研究网络犯罪原因对司法工作有理论指导意义。

研究网络犯罪原因,有利于公安机关借鉴这些理论成果,尤其是类型犯罪原因、个体犯罪原因的研究成果,设置预防犯罪的方案,及时侦查破案,有的放矢地依据罪因分析结论,审讯罪犯,从而加大打击力度,提高办案效率,达到政策攻心的目的。

研究网络犯罪原因,有利于检察院揭露犯罪人的主观恶性、犯罪行为的动机及其危害,及时对有关部门做出预防犯罪的司法建议,有利于人民法院准确地适用刑罚,并有针对性地根据犯罪原因尤其是犯罪人的主观程度,准确地定刑。

研究网络犯罪原因,有利于监狱等刑罚执行机关根据罪犯的不同犯罪原因,制定具有针对性地矫正罪犯的方案,进而提高改造罪犯的质量。

3.1.2网络犯罪的社会原因

网络犯罪的社会原因,是指引起犯罪发生的犯罪主体以外的社会现象。网络犯罪的社会原因包括政治、经济、文化、教育、思想道德、法制、人口等因素。这些社会因素相互联系相互作用,构成犯罪原因系统的次级系统。在这个次级系统中,各因素的作用和地位是有差别的,并且随着时间推移而变化。当然,这些犯罪的社会原因是犯罪原因中的外因,必须通过犯罪主体而起作用,本身并不能直接产生犯罪。

一、网络犯罪的经济原因

1.网络信息与财富的集中性

社会日益青睐于将各种无形的数据信息集中存储和处理,这些被集中的数据信息拥有巨大的经济价值,致使这些数据信息的丢失或者损坏将造成巨大的损失,同时它们也成了犯罪的目标。信息和财富的集中也使网络犯罪获利巨大,一起犯罪往往能获得巨额财富,比冒着生命危险实施抢劫等传统犯罪的“回报”要高出成百上千倍。

2.网络犯罪的经济成本低

数据信息的丢失或者损坏所造成的损失是巨大的。比起传统犯罪,很少的投入就能产生巨大的成果,而且网络犯罪的报复性和破坏性成本也较传统犯罪要低得多。

二、网络犯罪的文化原因

文化,从广义上说,是指人类社会历史演进过程中所创造的物质财富和精神财富的总和。从狭义上说,是指导社会的意识形态,以及与之相适应的制度与组织机构。文化,既是一定社会政治、经济的反映,又对一定社会的政治和经济产生巨大的反作用。

1.文化冲突对网络犯罪的影响

文化冲突对网络犯罪的影响主要表现在三个方面:其一,现代文化与传统文化的纵向冲突;其二,不同地域、民族、群体之间交往日益增多,不同文化之间产生的横向冲突;其三,随着社会对外开放程度的深入,国外的意识形态、文化价值观、生产方式向我国各方面渗透,从而形成了中外文化的冲突。

网络中,由于不受地理空间的控制,信息的无国界传播,空前实现了信息的普遍性和共享性,各国文化之间的相互影响迅速扩大,导致文化冲突更加彰显,主要表现为不同地域、国家、民族和群体网络空间交往中形成的横向冲突,国外的意识形态、宗教信仰、文化价值观念、风俗习惯、生活方式无孔不入地进入网络空间,与中国传统文化观念以及价值取向相异的西方文化自然和我国的传统文化产生激烈的冲突。诸多文化冲突形成文化价值观的多元化,必然导致与法律冲突的机会大大增加,意识形态中的无序状态和非平衡因素必然会对社会治安产生消极的影响。目前,性与色情在因特网上越来越多,涉及面越来越广,因文化冲突引起的社会问题已经在网上显现而且日益严重。

2.网络亚文化对网络犯罪的影响

现代网络世界兴起的网络亚文化(Cyber Culture),又称赛博文化,是指网络群体以计算机技术和通信技术融合为物质基础,在相互发送和接收信息活动过程中逐渐形成的特定的价值标准、行为方式及其现象的综合体。

网络亚文化的首要问题是黑客文化。网络本身是科技高度发展的结果,是智慧力量的体现,在网络中,智慧者是网民崇拜和恐惧的“王” ,通常,破坏是违规者显示自己智慧

力量的捷径。于是网络中崇尚“智慧” ,“破坏”的亚文化,促使网络犯罪的急剧蔓延。

现在“赛博空间”的英雄神话已经消解,现代“黑客”走向了自己的反面,他们利用高科技技术手段在网络中为所欲为,或非法入侵机密重地,或恶意捣毁,破坏系统,或者干脆打家劫舍截取账号盗窃钱财,甚至成立了许多臭名昭著的犯罪组织。一方面热衷于炫耀自己的电子技术才华;一方面藐视所有的法规。黑客精神的这两方面正是针对计算机犯罪和针对电子信息网络犯罪的观念根源。在我国的社会生活中,网络亚文化是促使网络犯罪的重要原因之一。

3.网络空间管理艰难、松弛,为不良文化的泛滥开了方便之门。

网络空间不像物理空间那样容易管理,它方便而松弛的管理使得网络成为自由的世界,使得世界范围内的不良文化在网络中泛滥,对网民尤其是青少年产生了消极的影响。

三、网络犯罪的伦理道德原因

1.网络伦理环境建设的忽视

对网络本质的理解存在片面化,人们普遍把网络看成是生活、工作的工具。在计算机网络飞速发展的同时,不仅要关注计算机、技术、软件等软硬件因素,而且要重视与其密切不可分的社会伦理文化因素。

我们对网络本质把握的缺失就在于忽视其社会伦理文化因素。每当谈及电子商务、网络安全、黑客行为的时候,人们关注的往往是如何加强网络技术的改进,而忽视了我们的生存方式、价值观、行为规范等对网络的影响。这种技术至上论常常挫伤人们发展网络的信心,尤其是在网络病毒蔓延,与黑客较量中,号称坚不可摧的技术频频告急的时候。这种观念也强化了伦理和技术的时滞效应。因此,网络世界具有深刻的伦理底蕴,我们不仅要重视技术的作用,也应关注伦理文化的实践意义。

网络是科技发展的必然产物。导致人们只以科技事物的眼光,而不是从社会文化的角度来看待网络和网络犯罪。

2.网络犯罪的伦理道德原因

影响网络犯罪的伦理道德原因表现在:

网络转型期带来的问题。在网络从科技事物向社会事物转型的过程中,网络道德的缺失和网络道德力量对人们行为的控制力的苍白,以及人们网络行为的失范,自然增加网络空间生活状态的无序和混乱。

道德观念、价值观念冲突激烈。在网络交流中,国外意识形态、道德价值观的渗透,也会形成中外道德、价值观念的碰撞与冲突。在复杂的道德观念面前,人们的心灵深受着多重意向的牵引,饱经着多种道德观念冲突的折磨,社会心理变得异常敏感和脆弱,人们心理上容易产生严重的失衡和信仰、是非危机,甚至会出现一些反道德的现象和心态,使一部分人走上违法犯罪的道路。

社会道德水准出现了下滑趋势。思想与道德教育的松懈,使得社会不良思潮对青少年的影响很大,青少年中亚文化群体有日益增长的趋势,这种文化道德的差异性群体在文化认同和社会道德规范认同上与社会要求存在巨大的差距。道德水准的下滑,必然导致道德失范现象的膨胀,而网络正是这种道德失范的隐蔽地和滋生地,网络犯罪行为自然会增多。

四、网络犯罪的法制原因

1.法律应对网络犯罪的滞后性。

包括两个方面:一是国内法律应对滞后;二是国际社会的认识和合作滞后。

2.网络犯罪的复杂性和隐蔽性,致使追究责任困难加大。

由于网络的时空跨度超过了传统的限制,而且操作具有长距离、大范围、易修改、不留痕迹等特点,因此网上违法犯罪行为在侦察和取证方面都有相当大的难度。据统计,网络犯罪大约只有1%被发现,而且只有大约4%的案件会被正式进行侦查。很大一部分犯罪行

为根本没有被受害者发现或报案。这使网络犯罪者更加胆大妄为,而实施这种犯罪的人数也不断增加。

3.法制观念淡薄。

有的青少年对自己行为的正当性缺乏最基本的认识和控制,不知道自己行为的边界,做了制造电脑病毒、破坏他人信息系统的违法犯罪之事,还洋洋得意。

4.网络犯罪法律成本低廉。

网络实施的犯罪在造成巨大损害或者获得巨大利益的同时,被捕入狱受到惩罚的可能性相对传统犯罪来讲却要低得多。网络犯罪风险小,导致犯罪分子产生侥幸心理,这对网络犯罪的发生具有巨大的诱因作用。

3.1.3网络犯罪的技术原因

计算机技术及其网络的出现为网络犯罪创造了条件。它一方面为人类社会的发展、科技的进步和文明的提高,发挥着巨大的推动和激励作用;另一方面,计算机和网络技术也使得社会丑恶的东西搭乘上了信息化快车,并演变为高智能化的网络犯罪。没有计算机和网络技术的存在和发展,就不会有网络犯罪存在和发展的可能。

一、网络空间的开放性原因

网络空间是我们的物理世界无法比拟的开放性的虚拟空间,犹如一个公用的四通八达的大广场。在这个大广场上,已经没有了界限和防线。没有了坚固的设防,开放、互动的计算机网络反倒给不法分子提供了一种十分便利和有效的工具,使那些在现实生活中无法作案的人在网上有了作案的条件,使现实生活中的违法行为在网上得到了扩张和加剧。

二、网络信息系统的脆弱性原因

1.我们目前采用的主要的网络安全防范手段存在缺陷,安全漏洞大大增加。

我国目前采用的主要网络安全防范手段是安装一般的防火墙,其安全功能是有限的,很难防范伪造的IP攻击。

计算机应用程序采用的安全手段,大部分是使用简单的请求/响应模式,由客户将密码传送给服务方来作身份认证,其中缺乏完善的密钥管理手段。

由于美国政府对安全的出口限制,我国进口的安全应用系统其中的安全漏洞可能会大大增加,如目前比较流行的SSL、HTTPS协议,按照安全要求,这些协议中的分组加密算法密钥长度至少为128位,公钥算法的密钥要求1024位,但出口到我国后这些密钥长度远远没达到这种要求,分组加密算法密钥长度是DES(64位),RC2(40位),而公钥加密算法密钥长度只有512位。

2.我国的网络信息系统存在独特的安全缺陷。

技术被动性引起的安全缺陷,我国在计算机硬件方面受制于人,目前尚不能自主生产CPU芯片,计算机网络系统其他部件的关键技术也都掌握在外国生产商手里,因此无法从核心硬件上来做技术防范。同时,在我国使用的大部分软件都存在安全隐患。在技术防范方面,要能够确保真正的安全,必须研制拥有自主知识产权的安全产品。

缺乏系统的安全标准所引起的安全缺陷。安全标准与安全问题存在密切的联系,有了严格的安全标准并依据标准进行管理就可以在一定程度上提高抵御危险的能力,反之,则会造成管理上的混乱,而且会使攻击者更加容易得手。

三、网络信息系统管理的复杂性原因

网络信息系统管理的复杂性和我国网络技术和管理人员素质问题所引起的安全缺陷。首先,计算机信息系统的功能日益强大,其硬件和软件也同时成倍地复杂化和庞大化,虽然各国都在努力使计算机系统的设计尽可能地完美和减少缺陷,但是事实证明这是不可能的。其次,我国网络从业人员及管理人员的素质状况是不能令人满意的,一方面是网络规模在不断

扩大,而另一方面却是人员素质的停滞不前甚至下降,这一矛盾就为我国的网络安全留下了隐患。

3.1.4网络犯罪的主体原因

犯罪主体因素是指存在于犯罪者主体方面的引起犯罪发生的生理和心理现象。因此,犯罪的主体原因主要指两方面:生理原因和心理原因。犯罪的主体因素与犯罪的社会因素相比,有如下两个特点:一是一定的自然属性;二是作用的直接性和决定性。因为意识支配行为,犯罪主体实施犯罪行为是由犯罪者自由意志决定的。另一方面,实施犯罪行为的主体毕竟是犯罪者,犯罪主体的生理因素对犯罪的产生具有直接和决定性的作用。

一、网络犯罪的生理原因

违法犯罪主体的生理因素主要是指个体的年龄、性别、其他的生理特征等。这些生理特点是影响违法犯罪心理形成和行为发生的相关因素,它为犯罪心理形成提供物质基础,影响着犯罪人的个性特征。影响网络犯罪的主要生理因素与传统犯罪因素相比,主要是年龄和智力因素。

1.年龄因素

年龄的大小,对违法犯罪的行为往往有着一定的影响。由于不同年龄阶段的人的身心发育程度不同,社会阅历不同,就会影响犯罪率的高低和犯罪人对犯罪类型、犯罪形式的不同选择。

根据各国的违法犯罪统计,违法犯罪率高的年龄,一般在14~25岁之间,也即青少年时期。青少年时期是一个人从幼稚走向成熟的时期,也是一个充满矛盾的时期:生理和心理的急剧变化和认识能力之间的矛盾;认识、感情、行为之间的矛盾;自我意识和社会意识之间的矛盾,表现得都比较突出。他们精力充沛,富于激情,容易冲动、自制力差、学习能力强、接受新鲜事物能力强,是违法犯罪的危险时期,更是网络犯罪的生力军。在青少年眼中,网络具有巨大吸引力,能够精通网络技术的人是他们心目中神通广大的“侠客”。对于那些懂得网络知识,掌握一些网络技术的青少年,各种网络攻击、入侵行为更被认为是最能体现和炫耀自己技术水平的方式。这些都为网络犯罪的产生提供了温床。

2.智力因素

网络犯罪是典型的智能型犯罪。网络是高科技发展的结果,只有能够使用网络的人才可能实施网络犯罪,这就是智力因素成为网络犯罪不可缺少的条件之一。尤其是对于网络黑客攻击来说,更是要求行为人具有高超的计算机技能。从我国目前网络犯罪的现状来看,作案者中有70%以上是从事计算机工作的专业人员,而采用的各种入侵手段更是不断翻新。

二、网络犯罪的心理原因

1.贪财图利

实施网络犯罪的动机多种多样,但是从数量上分析,多数的网络犯罪案件还是以贪财图利为目的。现阶段,各种以获取非法钱财为目的的网络犯罪,如网上敲诈、入侵银行系统、偷取客户资料、制作色情信息等,在网络犯罪中占绝大部分。美国司法部门委托斯坦福研究所对网络犯罪所作的调查表明,各种犯罪类型中,通过篡改帐号谋取钱财的犯罪发生率最高,高达42%。美国银行联合会十分谨慎地估计,利用计算机从银行里偷窃的款项,1988年仅仅通过信用卡诈骗给银行造成的损失就高达20亿美元左右。进入二十一世纪后,这类犯罪有增无减,仅2003年美国网络诈骗损失达24亿美元,而2005年一年美国因信息安全问题造成的经济损失高达670亿美元。给社会造成的危害程度是极其严重的。

2.显示智力

美国的一项研究表明促使犯罪者实施网络犯罪的最有影响力的因素是个人财产上的获利,其次是进行犯罪活动的智力挑战。这种犯罪心态在黑客中较为突出,他们除了获取金钱

网络犯罪及案例分析(教材) 86_网络犯罪案例

报酬之外,很多是为了显示自己的高智力和技术,证明其存在和作用。

一名自称“破坏博士”的黑客撰文说,黑客们习惯把自己看作是敢于挑战自己的精英分子,个个胸怀大志,都自认为是新的电子世界的拓荒者。一方面为了显示才华,一方面蔑视法规。这是黑客犯罪的精神根源。美国国防部曾多次遭黑客侵入,在联邦调查局、司法部、航空航天署等很多有关部门会同警方的一次调查中,将一名年仅18岁的以色列年轻人抓获。据说这名18岁的年轻“黑客”,曾数次进入美国国防部的电脑系统,但没有进行实质性破坏。犯罪嫌疑人称,他并不存在什么主观恶意,更没有险恶的犯罪动机,在他进入该系统时,还为系统弥补了几个安全上的漏洞。他感觉这样做“很棒”,甚至还觉得自己是高技术领域的“罗宾汉”。

3.心理空虚,寻求刺激

一些人进行电脑犯罪,没有明确的目的。由于他们精神空虚,寻求刺激,无所事事,与组织、政府以及社会名流开玩笑,从恶作剧开始,演变成为犯罪。往往从最初的开玩笑而导致造成严重的后果,进而演变成了网络犯罪行为。。电脑空间提供了一个方便的手段,一些人待犯罪造成了严重的后果后,才知道自己开玩笑开过头了。还有些人即使看见自己的恶作剧造成社会危害,也不认为自己在犯罪。

1998年,江西省公安机关破获一起电脑黑客案。犯罪嫌疑人马某从1998年7月19日起,在家中先后4次远程登陆该省169多媒体信息网,从服务器上下载用户资料文件,修改用户密码,并通过试猜密码方式获得超级用户口令,对系统程序进行删除,导致网络瘫痪,不能正常运行。审讯期间,马某还交待了利用相同方法先后远程攻击过广州、南京、哈尔滨等地的几十个网站。他的作案动机很单纯,觉得好玩、刺激,别人查不到他。

4.自控能力弱,辨别是非能力差

进行网络犯罪的人员特别是青少年,多数是网络的狂热爱好者,他们求知欲望和表现欲望强烈,敢于挑战网络空间的任何禁区,但是法律意识淡薄,对什么是法律允许的、什么是法律禁止的,没有明确的辨别能力。1988年11月2日,美国康奈尔大学计算机系研究生莫里斯在美国国防部高级研究计划署网(ARPANET)中释放的一个病毒程序,在8小时之内侵入了6000台运行Unix操作系统的VAX和Sun计算机,使它们全部瘫痪。1990年1月,莫里斯被判处3年缓刑、1万美元罚款和400小时的社会服务。莫里斯最初的设想是要设计一种能揭示Unix系统中sendmail程序和 finger程序中的漏洞的无害病毒程序,目的在于对既有计算机程序技术提出挑战,以促进技术的改善。他未料到,他精心设计的病毒程序一放进计算机网络之中就造成了计算机网络的大灾难。

5.性情孤僻,心理不健康

一些网络犯罪分子由于得不到家庭的温暖,在社会上受到歧视,于是就产生了性情孤僻等不健康的心理,往往产生只能到网络的虚拟世界上寻找安慰的错觉,从而容易走上网络犯罪的道路。有这样一则案例:美国著名的少年电脑黑客莫尼克自幼父母离异,后又受到父亲和继母的歧视和虐待,在学校经常受到同学们的嘲笑和欺辱,长大后性格孤僻,心理变态,以“让大人们,特别是有权有势的权贵知道我的厉害”为奋斗目标,终于制造了全球最大的破坏网络案件,1998年被美国联邦法院以电脑流氓罪判处七年监禁。

6.出于政治目的

一些网络犯罪是因为政治上原因而进行的。例如:邪教组织就经常利用发邮件的形式,向个人邮箱发放法轮功的反动宣传材料。

3.2网络犯罪的手法

3.2.1传播病毒

这是目前已知的计算机犯罪手段中攻击最为有效和破坏最为严重的方式。计算机病毒是指编制者在计算机程序中插入的破坏计算机功能或者数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。它具有可传播、可激发、可潜伏性,对于大、中、小、微型计算机和计算机网络都具有严重的危害性和破坏性,可能会夺走大量的资金、人力和计算机资源,甚至破坏各种文件及数据,造成机器瘫痪,带来难以挽回的损失。 几种常见的计算机病毒介绍:

一、“双料性”、“双重性”3783(TPVO)病毒

在国内外,屡杀不绝,到处感染,反复发作的病毒之一就是3783病毒。

3783病毒是从国外流蹿进来的,在国外也被称为“6789”病毒,该病毒即有“双料性”、“双重性”。所谓的“双料性”是指该病毒既能像引导型病毒一样感染软硬盘引导区,又能像文件型病毒一样感染可执行文件和覆盖文件。所谓的“双重性”是指该病毒既是DOS系统病毒,又是Windows系统病毒。

其DOS病毒的80%可感染Windows文件,主要是感染.com文件和部分文件的头两个字节是4D5A的文件等,但往往有的DOS病毒不识别Windows文件结构,在传染过程中计算错误,将文件传染坏,使文件不能运行;或只将病毒主体贴附在文件尾部,成为病毒僵尸,病毒不会被激活,但文件还可以运行。

当3783病毒要传染的文件头两个字节是4D5A(.EXE)文件时,病毒会自动判断是DOS 系统下运行的文件,还是Windows系统下运行的文件,并对其不同的文件结构实施不同的传染方式,病毒主体贴在文件尾部,并增加了3783个字节。

当染毒的系统引导后,该病毒驻留内存时,病毒利用自身的反串功能,使大多数反病毒软件查毒时,不能查出已经染有此毒的文件。此病毒对网络系统破坏极大,使网络系统工作不正常或瘫痪。使Window95/NT/2000系统瘫痪,或不能引导。轻易将硬盘主引导记录更换。 该病毒感染软硬盘引导区,在内存有病毒时,病毒虚假地恢复了主引导记录,使许多查毒软件产生漏查漏杀现象,用干净软盘引导系统,无法进入硬盘,所以这几种病毒流蹿极广,危害极大。

二、“CMOS设置破坏者”病毒

CMOS’Destroyer(COMS设置破坏者)病毒是引导区病毒,有A、B、C 三个变种,在国外被称为ANTCMOS(反COMS)病毒。该类病毒感染硬盘主引导区和软盘BOOT区,并且不分DOS、Windows、Windows NT、UNIX 等操作系统。因为它采用的是覆盖主引导记录的传染方式。该类病毒发作条件是先取得机器时间的秒数,与引导区第3H位相减,如果数值小于2,病毒就发作,但这种发作的概率很小。其中B型病毒发作时,不破坏机器的CMOS 设置,而是发出一种连续的颤动声,使机器死循环。C型病毒发作时,不破坏机器的CMOS设置,而是发出一种连续的怪叫声。A型病毒发作时,将机器的CMOS中的软驱和硬盘类型及参数全置为0,使机器不能引导,需人工再重新设置。

三、“蒙丽莎”病毒

1999年3月27日,一种隐蔽性、传播性极大的、名为“蒙丽莎”(又名“美丽杀手”)的Word97、Word2000宏病毒出现在网上,并以几何级数的速度在因特网上飞速传播,仅在一天之内就感染了全球数百万台计算机,引发了一场前所未有的“病毒风暴”。 “蒙丽莎”病毒最初是在一个成人新闻组里出现,并为来访用户提供色情网站清单及其访问密码。这个病毒专门针对微软的电子邮件服务器和电子邮件收发软件,它隐藏在一个Word97 格式的文件

里,以附件的方式通过电子邮件传播,善于侵袭装有Word97 或Word2000 的计算机。它可以攻击Word的注册器并修改其预防宏病毒的安全设置,使它感染的文件所具有的宏病毒预警功能丧失作用。当打开感染了该病毒的Word97、Word2000文档时,该病毒首先感染通用模板Normal.dot文件,并修改Windows注册表项:HKEY_CURRENT_USER \Software \Micsoft \Office等。在OUTLOOK电子邮件程序启动的情况下,将自动给地址簿的前50名发送信件,该信件的主题是:Important message from(user),该用户名(user)为地址簿里的已经存放的用户名,信件的内容是:Here is a document you ask for... don’t show any one esle并将该信件附加一个带毒文件,名为:list.doc,该文档包含大量色情网址。

由于是熟悉的人发送的,因此容易被人们忽视。同时,该病毒还会自动重复以上的动作,由此连锁反应,会在短时间内,造成邮件服务器的大量阻塞,直至“淹没”电子邮件服务器,严重影响人们的正常网络通讯。据计算,如果“蒙丽莎”能够按照理论上的速度传播,只需5次就可以让全世界所有的网络用户都收到一份。由于病毒自动进行自我复制,因而属于蠕虫类病毒。“蒙丽莎”的作者显然对此颇为得意,他在病毒代码中写道:“蠕虫类?宏病毒?Word 97病毒?还是Word 2000病毒?你们自己看着办吧!”

在发现“蒙丽莎”病毒后短短的数小时内,该病毒即通过因特网在全球传染数百万台计算机和数万台服务器,因特网在许多地方瘫痪。美国YAHOO、美国在线AOL几个大型网站公司,因为“蒙丽莎”堵塞了他们的邮件服务系统,迫使他们不能收信,也不能发信。

许多公司技术人员放弃了他们的周末,以应付这个“蒙丽莎”病毒所带来的意外情况,甚至像微软、朗讯、英特尔、Motorola这样的技术公司及数十所大学也不例外。对此,美国联邦调查局、美国国家设施保护中心有史以来第二次向全国发出紧急通告,我国中央电视台也数次报道。“蒙丽莎”最令人恐怖之处,还不在于“瘫痪”邮件服务器,而是大量涉及企业、政府和军队的核心机密有可能通过电子邮件的反复传递而扩散出去,甚至受损害用户连机密被扩散到了哪里都不知道。

四、CIH病毒

CIH病毒是一位名叫陈盈豪的台湾大学生所编写,从台湾传入大陆的。CIH的载体是一个名为“ICQ中文Chat模块”的工具,并以热门盗版光盘游戏如“古墓奇兵”或Windows95 /98/2000为媒介,经互联网各网站互相转载,使其迅速传播。目前传播的主要途径是通过Internet和电子邮件,当然随着时间的推移,其传播主要仍将通过软盘或光盘途径。

CIH病毒具有多个版本,感染Windows PE可执行文件,破坏用户硬盘以及用户主机BIOS程序的代码,感染ZIP自解压包文件,导致ZIP压缩包在解压时出现错误警告信息,发作日是每月26 日,特别是每年4月26日及6月26日。

3.2.2特洛伊木马术(Trojan Horse)

木马,也称特洛伊木马,名称源于古希腊特洛伊木马的故事。传说希腊人围攻特洛伊城,久久不能得手。后来想出了一个木马计,让士兵隐匿于巨大的木马中。大部队假装撤退而将木马丢弃于特洛伊城下,让敌人将其作为战利品拖入城内。木马内的士兵则乘夜晚敌人庆祝胜利放松警惕的时候从木马中爬出来,与城外的部队里应外合从而攻下了特洛伊城。

网络特洛伊木马是指任何提供了隐藏的、用户不希望的功能的程序。即表面上提供了一些合乎用户需要的功能,但由于在其中包含了一些用户不知道的未经授权的代码,使得该程序有一些不为用户所知的(也可能是不希望的)功能。这些额外的功能往往是有害的。特洛伊木马程序与病毒的区别是,前者是不依附于任何载体而独立存在,而病毒则须依附于其他载体且具有传染性。

就像希腊人将士兵藏在木马中,伪装进入敌人的城内一样,特洛伊木马也要进行精密的伪装,以进入预入侵的电脑中,发挥破坏功能。木马的入侵一般包含三个过程:伪装,植入

电脑,自动激活安装。伪装是前期的准备阶段,一般将木马程序伪装成计算机系统常用的软件或程序如服务端安装程序、捆绑程序或伪压缩软件等等;植入电脑就是通过一些网络工具如QQ、MSN或电子邮件将木马发送到预入侵的计算机;自动安装则是利用操作系统或其它软件功能将植入的木马激活,产生功能。

3.2.3蠕虫(Worms)

蠕虫是一种自包含的一个或一组程序,它可以从一台机器向另一台机器传播。蠕虫与计算机病毒不同,它不采用将自身拷贝附加到其他程序中的方式来复制自己。蠕虫一般由许多代码模块构成,欲将其隐藏在操作系统的文件中不太可能,因为它太大了。蠕虫与病毒的区别在于,病毒对计算机系统的攻击不依赖于操作系统设计中的错误和缺陷,而蠕虫是非法入侵者,它要窃取口令、特权,要借助于操作系统本身的错误和缺陷,由于过多的拷贝使系统超载导致网络崩溃。

根据使用者情况将蠕虫病毒分为两类:一种是面向企业用户和局域网而言,这种病毒利用系统漏洞,主动进行攻击,可以对整个互联网造成瘫痪性的后果。以“红色代码”、“尼姆达”以及最新的“SQL蠕虫王”为代表。另外一种是针对个人用户的,通过网络(主要是电子邮件、恶意网页形式)迅速传播的蠕虫病毒,以“爱虫病毒”、“求职信病毒”为代表。

蠕虫病毒利用软件和网络的漏洞(如UNIX系统的fingerd和gets问题),不停的繁殖自身,最终达到阻塞网络使网络瘫痪的目的。蠕虫病毒已成为目前危害最大的恶意软件,几乎每次蠕虫发作都会因其造成巨大的经济损失:2001年7月19日,CodeRed蠕虫爆发,在爆发后的9小时内就攻击了25万台计算机,造成的损失估计超过20亿美元;2001年12月至今求职信病毒使得大量病毒邮件堵塞服务器,损失达数百亿美元;2003年1月 SOL蠕虫王造成网络大面积瘫痪,银行自动提款机运做中断,直接经济损失超过26亿美元等等。

3.2.4后门和陷阱门

后门是进入系统的一种方法,通常由系统的设计者有意建立,但有时因偶然故障而存在。陷阱门是后门的一种形式,通常指在大型复杂程序的编写、测试或维护时供程序员使用的检验手段。有时为了适应某些使用者的特定要求,开发商可能会将包括很多功能系统中的某些功能块关闭,因为这样可以减少开发成本,而这些被关闭的功能块可能会成为另一种后门。后门或陷阱门造成威胁的发生频率,取决于后门及外界状况,是不可预测的,造成的严重性可能会很大,发现和预防均非常困难。

一、密码破解后门

这是入侵者使用的最早也是最老的方法,它不仅可以获得对UNIX机器的访问,而且可以通过破解密码制造后门。以后即使管理员封了入侵者的当前账号,这些新的账号仍然可能是重新侵入的后门。多数情况下,入侵者寻找口令薄弱的未使用账号,然后将口令改得难些。当管理员寻找口令薄弱的账号时,也不会发现这些密码已修改的账号。因而管理员很难确定查封哪个账号。

二、Rhosts++后门

在联网的UNIX 机器中,像Rsh 和Alogin 这样的服务基于rhosts 文件里的主机名使用简单的认证方法,用户可以轻易地改变设置而不需口令就能进入,入侵者只要向可以访问的某用户的rhosts文件中输入“ + + ”,就可以允许任何人从任何地方无需口令便能进入这个账号。特别当home目录通过NFS向外共享时,入侵者更热衷于此,这些账号也成了入侵者再次侵入的后门。许多人更喜欢使用Rsh,因为它通常缺少日志能力。许多管理员经常检查“ + + ”,所以入侵者实际上多设置来自网上的另一个账号的主机名和用户名,从而不易被发现。

三、校验和及时间戳后门

早期,许多入侵者用自己的trojan程序替代二进制文件。系统管理员便依靠时间戳及系统校验和的程序辨别一个二进制文件是否已被改变,如UNIX里的sum 程序。后来,入侵者又发展了使trojan 文件和原文件时间戳同步的新技术。它是这样实现的:先将系统时钟拨回到原文件时间,然后调整trojan文件的时间为系统时间。一旦二进制trojan文件与原来的精确同步,就可以把系统时间设成当前时间。sum程序是基于CRC校验,很容易骗过。入侵者设计出了可以将trojan的校验和调整到原文件的校验和的程序。MD5是被大多数人推荐的,MD5使用的算法目前还没人能骗过。

四、Login后门

在UNIX里,Login程序通常用来对telnet的用户进行口令验证。入侵者获取logill.c的源代码并修改,使它在比较输入口令与存储口令时先检查后门口令。如果用户敲入后门口令,它将忽视管理员设置的口令让用户长驱直入。这将允许入侵者进入任何账号,甚至是root。由于后门口令是在用户真实登录并被日志记录到utmp和wtmp前产生一个访问的,所以入侵者可以登录获取shell却不会暴露该账号。管理员注意到这种后门后,便用strings命令搜索login程序以寻找文本信息。许多情况下后门口令会原形毕露。入侵者就开始加密或者更好地隐藏口令,使strings命令失效。所以更多的管理员是用MD5校验和检测这种后门的。

五、服务后门

几乎所有网络服务都曾被入侵者作过后门。Finger、rsh、rexec、rlogin、ftp,甚至inetd等。有的只是连接到某个TCP端口的shell,通过后门口令就能获取访问。这些程序有时用ucp这样不用的服务,或者被加入inetd.conf作为一个新的服务。管理员应该非常注意哪些服务正在运行,并用MD5对原服务程序做校验。

“灰鸽子”是有关计算机的一款控制软件,也称后门。它具有丰富而强大的功能、灵活多变的操作以及良好的隐蔽性,如果使用它,就具有从事非法活动的嫌疑。

3.2.5逻辑炸弹

逻辑炸弹是指有意设置并插入程序的编码。这些编码只有在一个特定时间或者特定的条件下才可执行,就像以某种特定事务处理的传输作为触发信号而发起攻击的“炸弹”。逻辑炸弹是对系统的潜在威胁和隐患,有可能抹除数据,或者破坏系统功能,使整个系统瘫痪。

逻辑炸弹的破坏作用主要体现在可以被用来破坏或随机修改用户的计算机数据,造成各种直接或间接的损失。例如,在一个大的电子表格中改变一个单元,可以造成对某种分析或计算的破坏作用。在计算机被广泛使用的前提下,逻辑炸弹的破坏作用涉及范围更广。如果再加上用户对数据的备份不重视,其造成的损失往往是无法挽回的。

逻辑炸弹本身虽没有传播特性,但诱发其发作的逻辑诱因却是不可控制的,而且灵活得多。如果把计算机病毒看成是飞行中的导弹,而逻辑炸弹就是待发射的导弹或定时炸弹。一旦某个逻辑诱因满足,逻辑炸弹随时可能对用户造成无法预知的后果。

编写逻辑炸弹并不是一个很难的事情,然而它却很难被清除。因为它内含于正常功能的程序之中,在空间限制、编写方式及加密方式等方面都比计算机病毒更加灵活,必须对含有逻辑炸弹的程序进行破解,才有可能排除。而这项工作却是比较困难的。由于大多数应用程序都没有源程序代码,所以分析某个应用程序是否含有逻辑炸弹几乎是不可能的事情。在商业应用软件中,一般较少发现逻辑炸弹的存在,这是因为软件商要考虑商业信誉问题,一旦其发行的某种软件被发现具有逻辑炸弹的存在,软件商将面临巨大的利益风险。相反,多数可用于军事目的的设备中,如大型计算机、程控交换机等,都存在有逻辑炸弹的极大可能。在这些设备中安放逻辑炸弹,或者是为了窃取国家和军队的机密信息,或者是在某些关键时刻,使国家或军队的信息、通信系统崩溃。

网络犯罪及案例分析(教材) 86_网络犯罪案例

3.2.6电邮轰炸

电邮轰炸,也称“电子邮件炸弹”,它能使用户在很短的时间内收到大量电子邮件,使用户系统不能处理正常业务,严重时会使系统崩溃、网络瘫痪。电邮轰炸手段虽然简单,但是危害却非常巨大,它主要体现在下面几个方面:

一、破坏用户的资源。我们知道,一般的邮箱容量是有限的,如果我们反复接收到大容量的邮件,那么,我们的邮箱很快就会爆满,就有可能把正常的邮件给冲掉,从而影响正常的工作。

二、邮件的大量到来,使得E-mail 服务器异常繁忙,网络负载加剧,不仅消耗大量的存储空间,更会导致网络系统变得迟钝,影响其他用户的正常工作。更有甚者,导致服务器脱网,系统甚至可能崩溃。

目前没有很好的方法对付电邮的轰炸。防火墙会有所帮助,它可以阻止恶意信息的产生。防火墙可以确保所有外部的SMTP联接都只联接到E-mail服务器上,而不联接到站点的其他系统。当然,这不能阻止入侵,但可以将电邮轰炸的影响减到最少。因为这样,入侵只能影响E-mail服务器,而不会影响其他人的机器。

3.2.7拒绝服务攻击

拒绝服务攻击是一种破坏性攻击,它包括废弃某些系统,使端口处于停顿状态,在屏幕上发出杂乱数据,改变文件名称、删除关键程序文件,或扭曲系统的资源状态,使系统的速度降低。由于发生拒绝服务情况时,人们失去全部或部分电脑或信息的支配权,所以发现并不难,但预防却很困难。这种情况出现的频率难以预测,造成的严重性可能非常高。

这种攻击技术利用网络开放系统的特性,通过分布式的代理机制植入后门程序后远程遥控,方法是先入侵主机电脑,安装具有特定功能的后门程序,稍后再从远程发动攻击,被攻击的目标主机因一时无法应付处理大量的网络数据而导致瘫痪。主要有基于网络带宽消耗的拒绝服务攻击;消耗磁盘空间的拒绝服务攻击;消耗CPU资源和内存资源的拒绝服务攻击;基于系统缺陷的拒绝服务攻击;分布式拒绝服务等几种拒绝服务攻击类型。

3.2.8冒名顶替

通过非法手段获取他人口令或许可证明之后,冒充合法使用者从事欺骗或者其他犯罪活动。典型案例是在柜台外观察管理员手形猜测管理员密码,冒充部门经理骗取密码等,这种犯罪在单机环境多为内部人员所为,网络环境存在外部非法渗透的可能。冒充的方式:

一、利用网络设计缺陷,比如在因特网中,一种被称为“路线标定者”的特殊网络由计算机决定信息数据的确认和配送。行为人利用网络设计上的一个缺陷,采取欺骗“路线标定者”的办法冒充合法用户,从而得到受保护的计算机数据资源通道,控制了有关系统。

二、使用别人的访问代码冒充进入他人的计算机网络。

三、乘机而入,即行为人利用合法输入口令之机获取访问,或合法用户结束使用但未退出联机之前获得访问的一种方法。

四、利用非法程序或方法蒙骗正在向计算机登录的合法用户以进入系统。比如,寄生术。

3.2.9利用扫描工具

在Internet 安全领域,扫描工具是最出名的攻击工具。扫描工具是检测远程或本地系统安全脆弱性的软件,搜集目标主机相关信息,从而发现目标主机某些内在的安全弱点。

通过使用扫描工具,可以很快发现系统内在配置和软件上是否存在问题,系统和网络中是否存在重大的安全隐患。信息犯罪者使用扫描工具可以发现远程服务器的各种TCP端口的

分配及提供的服务和它们的软件版本,寻找系统漏洞,使其了解到一台主机的安全弱点,从而达到对系统资源或数据进行侵犯的目的。常用的扫描工具有:

一、X—SCAN软件

是由“安全焦点”开发的一个免费的漏洞扫描工具,运行于Windows操作系统。采用多线程方式对指定IP地址段(单机)进行安全漏洞检测。

二、网络映射程序Nmap

由Fyodor编写的Nmap是一个开放源代码的网络扫描工具。实现了绝大部分的扫描技巧和操作系统测试技巧,可以用来发现网络上存活的主机,以及这些主机开放了哪些TCP和UDP端口,运行什么操作系统及版本,正在使用的防火墙和过滤设备信息等。

三、STANT

前面的两个工具主要是用于发现目标和攫取信息两个阶段,而一次完整的漏洞扫描还应该包括“漏洞检测”这个阶段。STANT即“网络分析的安全管理工具”,它提供一整套安全管理、测试和报告的功能,可以用来搜集网络上主机的许多信息,可以识别并且自动报告与网络相关的安全问题。

3.2.10口令破解程序

口令验证是一种最基本的认证方式,是系统的第一道防线。无论是用户使用UNIX,还是Windows NT;使用文件传输服务,还是使用远程登录,系统总是要核实访问者的身份。通常这都是通过口令验证来进行的。即每个用户都有一个用户名和口令来向系统表明自己的合法身份。只有通过身份验证的用户才被允许使用系统本身及其资源。

一、获得口令(或密码)的方法

1.明文监听。许多网络服务协议都用明文密码。入侵者可利用协议分析器监视网络上的信息流,从而获取密码。

2.密文监听。有些网络访问协议,为了安全起见,利用了某种加密算法对口令进行加密。在这种情况下,入侵者会在口令上实施密码字典或暴力攻击,试图获取密码。

3.窃取口令文件。口令一般存储在计算机磁盘中,一旦入侵者得到这个文件,并对文件进行破解,攻破口令就可以登录系统。

4.注意观察。入侵者甚至可以在别人输入口令时,站在别人背后偷窥。

5.冒名骗取。一种常见而成功的做法是打电话给某人,冒充系统管理员或是他的同事骗取口令。

二、口令破解的破解程序

1.破解CMOS密码

破解方法一:利用DOS外部命令DEBUG进行修改。

打开DEBUG,然后输入 —o 70 10

—o 71 01

—q

破解方法二:主板放电

2.破解Office文件密码

破解方法:使用软件 Advanced Office 2000 Password Recovery。

3.破解邮箱密码

破解方法:使用软件MAILHACK。

4.破解WPS密码

破解方法:使用软件Edward’s WPS2000 Password Recovery。

5.破解局域网密码

破解方法:局域网超级工具(netsuper.exe)、局域网密码探测器(局域网密码探测器.exe)。

6.zip压缩文件的破解

破解方法:使用软件 Advanced ZIP Password Recovery。

7.rar压缩文件的破解

破解方法:使用软件Advanced RAR Password Recovery。

8.其他口令密码工具软件

PWLVIEW.EXE软件,用来破解Windows启动密码。

ANYPASSWORD.EXE 软件,利用系统的屏幕保护功能可以防止他人在用户不在的情况下偷用自己的计算机。同时,该软件还可以用来破解电源管理密码。

3.2.11运用网络嗅探器(SNIFFER)

嗅探器是能够捕获网络报文的设备,可以理解为一个安装在计算机上的窃听设备,它可以用来窃听计算机在网络上所产生的众多的信息。

网络的一个特点就是数据总是在流动中,从一处到另外一处,而互联网是由错综复杂的各种网络交汇而成的,也就是说,当你的数据从网络的一台电脑传输到另一台电脑的时候,通常会经过大量不同的网络设备,我们用tracert命令就可以看到这种路径是如何进行的。如果传输过程中,有人看到了传输中的数据,那么问题就出现了——这就好比你给别人寄发了一封信,在半路上被人拆开偷看一样,如果信里包含有企业的机密文件,或是你的信用卡账号和密码等,就很危险了。

使用嗅探器进行违法犯罪的目的,主要是窃听对方的信息,主要有两种方法:一是将侦听工具软件放到网络连接的设备或者放到可以控制网络连接设备的电脑上,比如网络服务器、路由器等;二是针对不安全的局域网(采用交换hub实现),放到个人电脑上就可以实现对整个局域网的侦听。

通过嗅探器可以获取:第一,口令,这是绝大多数黑客使用嗅探器的原因,嗅探器可以记录在网上传输的未加密的用户账号和密码;第二,金融帐户。通常,许多用户很放心在网上使用自己的信用卡或现金账号,然而,嗅探器可以很轻松截获在网上传送的用户姓名、口令、信用卡号码、截止日期和账号;第三,机密或敏感的信息。通过拦截数据包,入侵者可以很方便地记录其他用户之间传送的敏感信息,或者记录下整个使用电子邮件通信的内容;第四,低级的协议信息。通过对底层的信息协议记录,例如,记录两台主机之间的网络接口地址、远程网络接口IP地址、IP路由信息和TCP连接的字节顺序号码等。常见的嗅探器有:

一、Gobbler

Gobbler是在DOS平台上运行的嗅探器,它可以在个人电脑上执行,并且只分析区域内的封包,还可以设定每个封包的前200到300个字节,这其中包含了用户名和密码。通常,黑客有这些信息就足够了。Gobbler可以很轻易的看到每个封包的发出点是何处,目的地是何处,这就能使窃听工作变得针对性很强。

二、Ethload

Ethload是一个功能齐全的嗅探器,它可以在Novell odi、2Com/Micsoft Protocol Manager、PC/TCP/Clarkson等协议上运行。可以分析TCP/IP、DECnet、OSI、XNS、Netware、NetEBUI 等封包。

三、Netman

这是一个可以在X-windows 中运行的嗅探器。

四、Esniff.c

这是一个专门用来收集SUN平台封包的产品。原始的C语言代码只抓取封包的开始部分(用户账号和密码)。用户可以将它修改成抓取其他信息。

3.2.12电子欺骗术

电子欺骗术是一种利用目标网络的信任关系,即计算机之间的相互信任关系来获取计算机系统非授权访问的一种方法。入侵者不用输入用户账号和口令,就可以侵入目标。电子欺骗一般包括任何使用计算机进行欺骗的行为。主要包括:IP电子欺骗和Web电子欺骗。

一、IP电子欺骗

IP电子欺骗是指以某种欺骗手段将网络中的一台机器伪装成为另一台别的机器,即在网络中伪造或假冒某台主机IP地址的黑客行为,是一种主动攻击的方式,黑客通常是靠编写程序实现的。这种攻击能够破坏通信链路上的正常数据流并可能向通信链路上插入数据。几乎所有的欺骗都是基于在网络中某些机器之间的相互信任关系,其结果是:网络中的其他机器将进行了伪装或冒名顶替的机器当成可信任的。欺骗可能发生在IP系统的各个层次上,硬件层、接口层、IP层、传输层及应用层。

二、Web 电子欺骗

Web电子欺骗是指利用WWW的薄弱环节,对Web服务器进行攻击,获取控制权,通过Web服务器对与它同一网段内的计算机连接,欺骗用户,获取数据或其他机密信息。

3.2.13泄露机密信息

计算机的电磁介质存储信息比纸张等传统介质具有容量大、携带方便等优点,并且由于计算机存储介质中的信息肉眼不可识别,所以还具有隐蔽性好的特点;而且互联网的普及使得信息正在以前所未有的速度在世界各个角落传递。因此,利用计算机技术或网络从事泄露国家机密的活动,将具有迅速高效、隐蔽性强等特点。

与此同时,国家机密的安全也正在受到前所未有的挑战,传统的保密方式已经落伍,不足以应付日益先进的高科技发展。网上出现的主动泄密事件在我国不断增多。有的用户将泄密信息在与国际联网的计算机信息系统中存储、处理和传递,造成失密;有的政府机构、企事业单位对秘密信息缺乏必要的保护意识和措施。另一方面,在特殊部门工作的人员中“网虫”越来越多,其中有的人对知情的国家机密事项保密意识淡薄,特别是有的人总想自己“多知多懂”或者“消息灵通”,因此,在网络的环境中常有“情不自禁”泄露机密的现象发生。

3.2.14网络钓鱼

网上一些利用“网络钓鱼”手法,如建立假冒网站或发送含有欺诈信息的电子邮件,盗取网上银行、网上证券或其他电子商务用户的账户密码,从而窃取用户资金的违法犯罪活动不断增多。“网络钓鱼”的主要手法:

一、电子邮件,以虚假信息引诱用户中圈套

诈骗分子以垃圾邮件的形式大量发送欺诈性邮件,这些邮件多以中奖、顾问、对帐等内容引诱用户在邮件中填入金融账号和密码,或是以各种紧迫的理由要求收件人登录某网页提交用户名、密码、身份证号、信用卡号等信息,继而盗窃用户资金。

2006年2月份发现的一种骗取美邦银行(Smith Barney)用户的帐号和密码的“网络钓鱼”电子邮件,该邮件利用了IE的图片映射地址欺骗漏洞,并精心设计脚本程序,用一个显示假地址的弹出窗口遮挡住了IE浏览器的地址栏,使用户无法看到此网站的真实地址。当用户使用未打补丁的Outlook打开此邮件时,状态栏显示的链接是虚假的。当用户点击链接时,实际连接的是钓鱼网站http://**.41.155.60:87/s。该网站页面酷似Smith Barney银行网站的登陆界面,而用户一旦输入了自己的帐号密码,这些信息就会被黑客窃取。

二、建立假冒网上银行、网上证券网站,骗取用户帐号密码实施盗窃

犯罪分子建立起域名和网页内容都与真正网上银行系统、网上证券交易平台极为相似的

网站,引诱用户输入账号密码等信息,进而通过真正的网上银行、网上证券系统或者伪造银行储蓄卡、证券交易卡盗窃资金;还有的利用跨站脚本,即利用合法网站服务器程序上的漏洞,在站点的某些网页中插入恶意Html代码,屏蔽住一些可以用来辨别网站真假的重要信息,利用cookies窃取用户信息。

曾出现过的某假冒中国工商银行网站,网址为(Exploit.MhtRedir),后者利用IE浏览器的MHT文件下载执行漏洞,在用户不知情中下载恶意CHM文件http://www.dfxhsd.com/icyfox.js并运行内嵌其中的木马程序(Trojan/PSW.QQRobber.14.b)。木马程序运行后,把自身复制到系统文件夹,同时添加注册表项。在Windows启动时,木马得以自动运行,并将盗取用户QQ帐号、密码甚至身份信息。

五、利用用户弱口令等漏洞破解、猜测用户帐号和密码

不法分子利用部分用户贪图方便设置弱口令的漏洞,对银行卡密码进行破解。如2004年10月,三名犯罪分子从网上搜寻某银行储蓄卡卡号,然后登陆该银行网上银行网站,尝试破解弱口令,并屡屡得手。

实际上,不法分子在实施网络诈骗的犯罪活动过程中,经常采取以上几种手法交织、配合进行,还有的通过手机短信、QQ、msn进行各种各样的“网络钓鱼”不法活动。

网络犯罪及案例分析(教材) 86_网络犯罪案例

3.2.15积少成多法或意大利香肠术

“积少成多”这种犯罪手段主要是在银行等金融部门使用。犯罪分子通常是利用修改银行存款的计算机软件,使所有账户中的利息零头全部存入犯罪分子预设的账户中。就各个储户账目而言,被窃走的仅仅是微不足道的零头,通常可能仅仅是几厘钱,或者是“四舍五入” 被舍去的部分,但是计算机系统处理的账户数量一般都很大,长期不断地“积少成多”,就可以获得相当可观的非法所得。这种程序操纵是累积微小数目而汇集成为可观的数目,故称为积少成多法,国外称之为“意大利香肠术”。对于银行来说,犯罪程序能使计算机系统的总账持平,不致引起账目稽核的怀疑;对于储户来说,很少有人会注意自己账户上利息的几分几厘,即使发现有些不对之处也因数额微小而不愿与银行交涉,使得银行也无从知道有隐匿的犯罪分子存在。

3.2.16移花接木

有一些是专门在因特网上出现的骗局,如“拦截”调制解调器。首宗这类案子出现在1997年,有几个网站告诉浏览者:要获得更好的观看效果可下载一个软件。但是,这个软件的真实作用是关闭计算机的扬声器,并断开计算机与本地ISP的连接(即此时上网计算机正在使用的连接),然后,将该计算机重新拨号连接到较贵的国际线路上,即使用户离开了这个站点,连接仍然存在,令上网用户白白花了许多不明不白的钱。

3.2.17釜底抽薪与无米之炊

作案人出于报复的目的而破坏计算机信息系统,往往通过“釜底抽薪”而导致被害单位形成“无米之炊”的困难局面。2000年8月3日晚8时20分,湖北省利川市公安局“110”指挥中心接某银行报警,称该单位营业部主任邹某携带计算机密码突然出走,下落不明。丢失密码,银行营业部将无法打开主机,这意味着整个支行业务随时可能瘫痪,由此还可能造成储户挤兑现象,后果不堪设想。后经警方采取技术措施,才进入利川支行计算机系统。经检查发现,主机系统虽打开了,但其应用系统及帐务系统已被彻底破坏,绝大部分的数据备份也被“垃圾”数据所覆盖,大量的会计帐务资料丧失。2000年9月1日,该银行分行不得不在新闻媒体上发布公告:撤消利川支行。一个支行就这样被邹某破坏计算机信息系统而摧垮,造成了国有资产的重大损失。

3.2.18网上赌博

计算机网络的便捷性使得赌博这一古老的陋习有了新的生机,也有一些人把网上赌博公司看作是新兴的“产业”。尽管网上赌博缺少拉斯维加斯的狂热气氛,但网上赌博正开始吸引大批赌徒。网络空间尽管不能为赌客提供豪华旅馆、眩目的表演、通宵晚会以及超级大奖,但它能为赌客提供24小时服务而不管赌客身处何方,只要在他们家中的计算机上点一下鼠标就行。

3.2.19 真假李逵

在登录一些站点特别是那些提供个人服务(比如股票、银行)的站点时,站点往往会首先要访问者填写一些密码之类的个人信息后才能进入。一些“高明”的“黑客”正是利用了这个过程,精心伪造一个登录页面,抢在真正的登录页面之前出现,待你“认真”地写下登录信息并发送后,真正的登录页面才姗姗来迟,而这时你的秘密已被窃取了。今年9 月份台湾发生的一宗网络银行诈骗案,狡猾的犯罪分子用的就是这种伎俩。对付此种“黑客”,最佳的解决之道就是防患于未然,经常查看服务器的工作日志,若发现疑点要坚决及早处理,

将隐患消灭在萌芽状态之中。

3.2.20声东击西

一些“黑客”利用某些防火墙的漏洞,巧妙地将自己的IP请求设置成指向防火墙的路径,而不是受防火墙保护的主机,所以他们可以畅通无阻地接近防火墙,这时“黑客”已经达到了目的。因为此时他们完全可以虚晃一枪,利用防火墙作跳板,轻松地长驱直入,直捣主机。如果有这种情况发生,那就得考虑是否要更换防火墙了,或者升级原来的防火墙,为它打上补丁。

3.2.21 一针见血

能够“修炼”到这种境界的一般都是“黑客”中的高手。他们凭借自己高超的技术,通过分析DNS(域名管理系统)而直接获取Web 服务器等主机的IP地址,从而为打入“敌阵”彻底扫除障碍。对付这种“黑客”,几乎没有更好的办法,也许尽量不要接受免费域名服务是一个有点防范价值的措施,因为正规的注册域名服务一般都会有有效的安全手段,可以保证少受攻击或不受攻击。

3.2.22旁敲侧击

电子邮件其实是一种很脆弱的通讯手段,一方面,它的安全性很差,传送的资料很有可能丢失或被中途拦截;另一方面,“特洛伊木马”等黑客程序大都通过电子邮件这个途径进驻用户的机器。而电子邮件恰恰是网络上用得最多的东西,许多公众网站和大公司局域网,出于吸引访问者或工作的需要,提供免费邮件或内部邮件的服务,而邮件服务器就成了“黑客”们攻击的对象。前不久,大名鼎鼎的微软甚至也深受“黑客”之害,而被迫将邮件服务器关闭了一天。当然,防范这些“黑客”,可采用以下措施:如邮件服务器专设专用,不与内部局域网发生关系;开启防火墙的邮件中转功能,让中转站过滤所有出入邮件等等。

第四章 网络犯罪类型

4.1网络犯罪类型概述

科学划分网络犯罪不仅能够对制定网络犯罪的刑事立法、司法具有指导作用,而且对预防、控制网络犯罪也有着十分积极的意义。

网络犯罪,我国学术界目前存在广义说和狭义说两种观点。狭义说是严格按照我国现行刑法对有关计算机犯罪的规定来界定网络犯罪的,而广义说则是从犯罪学角度来界定的,比较注重在动态上全面把握网络犯罪。对此,我们可以从不同的角度将网络犯罪划分为不同类型。

1.刑法学意义上的分类

这种分类是基于现行刑法的规定,其具体划分依据是我国刑法典第285条、286条、287条的规定以及2000年12月全国人大常委会通过的《关于维护互联网安全的决定》。以此为依据,网络犯罪可以分为两类:

(1)以计算机信息系统安全为侵害对象的犯罪,具体包括:非法侵入计算机信息系统罪和破坏计算机信息系统罪。其中,非法侵入计算机信息系统罪,是指违反国家规定,故意侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的行为;破坏计算机信息系统罪,则是指违反国家规定,对计算机信息系统功能和信息系统中存储、处理、传输的数据和应用程序进行破坏,造成计算机信息系统不能正常运行,后果严重的行为。

(2)以计算机网络为工具的犯罪,具体包括:利用计算机网络实施的盗窃、诈骗罪;贪污、挪用公款或单位资金罪;窃取国家秘密罪;侵犯知识产权罪;传播淫秽物品罪;偷逃税款罪;侵犯通信自由罪;伪造公文证件罪;侮辱、诽谤罪;传播犯罪方法罪;敲诈勒索罪;操纵证券交易价格罪等。

上述列举的犯罪只是利用网络实施的一部分常见的传统犯罪。实际上,除了像抢劫罪、强奸罪、遗弃罪等少数一些无法通过网络实施的犯罪之外,几乎所有的传统犯罪都可以通过网络实施。随着网络的不断发展,采用网络形式实施的传统类型的犯罪将会大量出现。

2.犯罪学意义上的分类

由于犯罪学所研究的犯罪现象,不仅包括刑法中所规定的犯罪现象,而且还包括刑法中没有规定,但对社会具有比较严重危害的行为。所以,犯罪学意义上的网络犯罪的外延显然要大于刑法学意义上的网络犯罪的外延。

(1)法定的网络犯罪,即我国现行刑法典第285条、286条、287条和全国人大常委会通过的《关于维护互联网安全的决定》所规定的犯罪。按照罪刑法定原则的要求,刑法对这类犯罪都规定了明确的罪名和相应的刑罚,在司法实践中,我国司法机关也都是按照刑法的规定来处罚这类犯罪的。

(2)准网络犯罪,是指违反刑法之外的其它法律,损害网络利益,具有一定社会危害性,但情节轻微而不予以刑罚处罚的行为,以及尚未触犯法律但严重违反公序良俗原则,具有违法犯罪倾向的不良行为。目前,可以界定为准网络犯罪的行为主要包括:没有达到法定刑事责任年龄或不具有刑事责任能力的自然人实施的违反刑法典第285条、286条、287条和《关于维护互联网安全的决定》所规定的行为;触犯有关网络管理的行政法律法规,造成一定损害,但尚不够予以刑事处罚的行为;传播虚假网络信息、恶意侵占网络资源等严重违反网络道德规范的不良行为等。在犯罪学中探讨准网络犯罪的目的,是为了完整地把握网络犯罪进程,为刑事立法和刑事司法活动提供理论依据,以便更有效地预防和治理网络犯罪。

3.犯罪客体的分类

根据网络犯罪的客体不同,可以将其分为下列几类。2000年12月28日全国人大常委会通过的《关于维护互联网安全的决定》(以下简称《决定》)对网络犯罪作了进一步的规定。按该《决定》的规定,网络犯罪包括以下5类:

(1)妨害互联网运行安全的犯罪。包括侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统;故意制作、传播计算机病毒等破坏性程序,攻击计算机系统及通信网络,致使计算机系统及通信网络遭受损害;违反国家规定,擅自中断计算机网络或者通信服务,造成计算机网络或者通信系统不能正常运行等行为。

(2)利用或通过互联网实施的危害国家安全和社会稳定的犯罪。包括:用互联网造谣、诽谤或者发表、传播其他有害信息,煽动颠覆国家政权、推翻社会主义制度,或者煽动分裂国家、破坏国家统一;通过互联网窃取、泄露国家秘密、情报或者军事秘密;利用互联网煽动民族仇恨、民族歧视,破坏民族团结;利用互联网组织邪教组织、联络邪教组织成员,破坏国家法律、行政法规实施等行为。

(3)利用互联网实施的破坏社会主义市场经济秩序和社会管理秩序的犯罪。包括利用互联网销售伪劣产品或者对商品服务作虚假宣传;利用互联网损坏他人商业信誉和商品声誉的行为;利用互联网侵犯他人知识产权;利用互联网编造并传播影响证券、期货交易或者其他扰乱金融秩序的虚假信息;在互联网上建立淫秽网站、网页,提供淫秽站点链接服务,或者传播淫秽书刊、影片、音像、图片。

(4)利用互联网侵犯个人、法人和其他组织的人身、财产等合法权利的犯罪。包括利用互联网侮辱他人或者捏造事实诽谤他人;非法截获、篡改、删除他人电子邮件或者其他数据资料,侵犯公民通信自由和通信秘密;利用互联网进行盗窃、诈骗、敲诈勒索等行为。

(5)利用互联网实施上述行为以外的其他行为构成的犯罪。

因此,我国刑法中所涉及的网络犯罪是从广义上理解的,从其范围看,涵盖了刑法典分则各类犯罪中的绝大多数罪名。需要指出的是,这里的网络也是广义的,它不仅指国际互联网,还包括局域网,如各单位部门的网络、企业内部的网络、校园网等。

对于网络犯罪,在理论上也可以作不同的分类。如:有的认为,网络犯罪分为以计算机网络为工具实施的犯罪和以计算机网络为对象实施的犯罪。有的认为,网络犯罪可以分为三类,第一类是侵害系统的犯罪;第二类是侵害与计算机相关的财产的犯罪,这类犯罪同样会侵害系统,但一般仅篡改系统的财产性数据,而不影响系统的运行;第三类犯罪是以网络为手段的犯罪。这类犯罪除犯罪手段不同外,与传统犯罪并无太大区别。

上述两种分类中,第一类网络犯罪虽名称有异但实质相同,它们属于典型的网络犯罪,也可以说是狭义上的网络犯罪,这类犯罪在我国刑法中涉及两个罪名。与之相对的,则是利用或通过网络实施的犯罪,这些犯罪属于利用网络的技术特性而实施的行为,其侵害的法益与传统犯罪并无不同。明确网络犯罪的含义和范围,对于预防、查处网络犯罪以及正确适用法律惩罚网络犯罪具有重要意义。

4.本书对网络犯罪类型的选择

从上述分类选择看,基本都是以我国刑事法律为基础、以网络犯罪特点为标准进行划分的,并结合中外网络犯罪的实际发生的类型进行综合研究得出的结果。本书从研究网络犯罪的特征、研究有关区分网络犯罪和非网络犯罪的标准以及罪与非罪的界限着手,特别是研究网络犯罪的本质特征——网络信息性,综合研究涉及的网络犯罪有四个方面:(1)利用网络信息技术针对计算机网络信息系统实施的犯罪,有人称为纯正的网络犯罪,如我国《刑法》第285条和第286条规定的侵入计算机信息系统罪、破坏计算机信息系统罪、破坏计算机信息系统功能罪、制作、传播计算机病毒等破坏性程序罪等。(2)利用计算机网络,通过侵害网络信息从而达到犯罪的犯罪行为,如我国《刑法》第287条规定,利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的规定定罪处罚,指的就是该罪。

(3)以网络作为犯罪场所的犯罪,如在网上发布危害他人的信息,目前比较多见的是网络侵犯隐私、网络侮辱和诽谤罪等。(4)利用网络作为通讯手段,如打网络电话,发电子邮件,网络聊天等方式实施在网络上不能实施的犯罪。例如,强奸网上结识的女朋友等。

因此本书将网络犯罪分为两类:以网络信息系统为对象进行侵害的犯罪;利用网络技术和以网络作为犯罪场所的犯罪。前一类可以称之为网络对象犯罪或纯正的网络犯罪,即指利用网络信息技术针对计算机网络信息系统实施的犯罪,包括:(1)非法侵入计算机网络信息系统罪;(2)破坏计算机网络信息系统功能罪;(3)破坏计算机网络信息系统数据、应用程序罪;(4)制作、传播计算机网络病毒等破坏性程序罪。后一类可以称为网络工具犯罪或不纯正的网络犯罪,是指利用计算机网络信息技术侵害网络信息或利用网络散布不良信息造成对他人侵害的犯罪。主要包括利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的犯罪行为以及在网络上发布不良的信息危害国家和社会或者侵害他人权利和利益的犯罪。我们将在后文中详细论述这两类犯罪的犯罪构成。

4.2 网络对象犯罪类型

4.2.1 非法侵入计算机网络信息系统罪

1.概念

所谓计算机网络信息系统,是指计算机网络及其配套设备,按照一定的应用目标和规则对网络信息进行采集、加工、存储、传输、检索等处理的人机系统。

依据我国《刑法》第285条,非法侵入计算机网络信息系统罪,是指违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机网络信息系统的行为。侵入计算机网络信息系统,是一种危害十分严重的犯罪行为。据报道,1993年下半年有几个人打开了通往美国国防部机要计算机系统的密码。最典型的“侵入”事件有两起,一是1993年英国少年布里顿“侵入”美国国防部计算机系统,接触到了包括弹道武器研究报告、美国情报部门内部机要通讯材料在内的大量机密,并把部分机密输入了有3500万用户的国际互联网。另一起是1994年英国电信公司一位电脑操作员“侵入”本公司内部数据库,获得了英国政府防务机构和反间谍机构的电话号码和地址,其中包括英国情报机构、政府的核地下掩体、军事指挥部以及控制中心、英国导弹基地等机密电话号码和梅杰首相的住处以及白金汉宫的私人电话号码。

2.构成要件

(1)犯罪主体

本罪的主体是一般主体,指年满16周岁,具备刑事责任能力的自然人。实施该犯罪构成要件危害行为的主体,一般都具有较高水平的计算机网络技术知识和能力,主要是一些专业从事计算机网络研究与开发的专业技术人员,绝大多数为黑客。只要侵入国家事务、国防建设、尖端科学技术领域的计算机网络信息系统都构成本罪。

(2)犯罪主观方面

本罪在主观方面表现为直接故意。即明知是国家事务、国防建设、尖端科学技术领域的计算机网络信息系统,自己无权进入这种系统而仍然有意侵入。由于国家事务、国防建设、尖端科学技术领域的计算机网络信息系统均具有较强的安全防护机制,犯罪行为人如果不使用技术手段经过认真研究,根本就不可能侵入这些重要领域的计算机网络信息系统。因此,本罪只能由直接故意构成。如果过失进入后发现并及时退出,没有造成危害后果就不能认为是犯罪。如果过失进入后,没有能及时退出,而是继续浏览等,即已转化为故意犯罪;如果不仅不退出而且还实施复制、删改等犯罪行为,则应实行数罪并罚。

(3)犯罪客体

网络犯罪及案例分析(教材) 86_网络犯罪案例

本罪侵犯的客体比较复杂,它包括国家对计算机网络信息系统的安全管理秩序、国家的保密制度和国家事务、国防建设、尖端科学技术领域的正常活动。为了维护国家和社会发展利益、确保国家安全,我国制定刑事法律对国家事务、国防建设、尖端科学技术领域的计算机网络信息系统实行特殊的保护。本罪的行为对象只能是国家事务、国防建设、尖端科学技术三个领域的计算机网络信息系统。

(4)犯罪客观方面

从犯罪客观方面来说,侵入计算机网络信息系统,首先必须具备违反国家规定的事实。其次,具有“侵入”行为,而且侵入的是党政机关、军事部门和尖端科研机构的计算机网络信息系统。

本罪客观方面有两个构成要件,一方面是“违反国家规定”。所谓违反国家规定,主要是指违反《中华人民共和国计算机网络信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网安全保护管理办法》、《中华人民共和国保守国家秘密法》等法律、规章和命令。另一方面是行为人实施了非法侵入国家事务、国防建设、尖端科学技术领域的计算机网络信息系统的行为。所谓“侵入”,是指非法或越权“访问”计算机网络信息系统。“访问”,是指对一定计算机网络信息系统进行浏览和信息的输入与输出。为了维护信息安全,国家事务、国防建设、尖端科学技术领域的计算机网络信息系统,都设置了严密的访问控制机制。所谓控制机制,亦称安全防护体系,是指禁止和控制非法用户进入计算机网络信息系统,防止其浏览目录,打开文件、进行操作的一系列规则、加密措施和其他技术防护手段的有机整体。

3.定罪量刑及刑罚适用

(1)罪与非罪的界限

认定行为是否构成本罪,主要从如下两方面加以把握:首先,行为人非法侵入的必须是国家事务、国防建设、尖端科学技术领域的计算机网络信息系统,才能构成本罪;如果侵入的不是这三个领域的计算机网络信息系统,就不构成本罪。其次,行为人对自己侵入的国家事务、国防建设、尖端科学技术领域的计算机网络信息系统,必须有明确的认识,才能构成本罪;如果确实不知自己所侵入的是这三个领域的计算机网络信息系统,并能及时退出也没有造成什么损失,不能以犯罪论处。

(2)关于本罪形态问题

本罪是行为犯。行为犯可分为两类:一类是举止犯(亦称既成犯),指行为人只要着手实施刑法分则规定的构成要件的行为,就成立既遂犯;另一类是过程犯,指行为人实施并完成刑法分则所规定的构成要件的行为,才成立既遂。对于过程犯和行为犯来说,只有当构成要件的危害行为实施终了,犯罪才告完成。由于从着手实行构成要件的行为到行为实行终了,其间通常有一个较为复杂的动作过程,在此过程中行为人可能自动放弃犯罪,也可能因行为人意志以外的原因犯罪未能得逞,从而存在犯罪未遂和犯罪终止。非法侵入计算机信息系统罪是行为犯,并不要求以侵害结果发生为既遂要件。凡是通过盗用地址从网络外部登录到国家事务、国防建设、尖端科学技术领域的计算机网络信息系统网络中的载有信息的任何一台计算机就可以构成既遂,并不一定要求对数据、程序、系统功能造成破坏。

(3)非法侵入计算机网络信息系统犯罪的刑罚适用

根据我国《刑法》第285条的规定,犯非法侵入计算机网络信息系统罪的,处3年以下有期徒刑或者拘役。由于涉及到国家事务、国防建设、尖端科学技术领域的计算机网络信息系统,故本书认为,这个量刑较轻,可适当增加量刑。

4.2.2 破坏计算机网络信息系统功能罪

1.概念和表现形式

破坏计算机网络信息系统功能罪,就是指违反国家规定,对计算机网络信息系统功能进行删除、修改、增加和干扰,造成计算机网络信息系统不能正常运行、后果严重的行为。破坏活动有时针对硬件,如某一设备;有时针对软件,如某一数据或程序;有时对硬、软件同时进行破坏,比如有些计算机病毒既感染软件,又感染硬件。

本罪分为基本罪和派生的重罪两个构成类型。

破坏计算机网络信息系统一般有两种方式,一种是物理破坏,也叫机械破坏,就是通过爆炸、捣砸、摩擦、刺划、高温、浸湿、燃烧、短路等手段破坏计算机设备及其功能;另一种是逻辑破坏,也叫智能破坏,就是利用计算机知识和技能进行破坏活动,比如利用计算机病毒进行破坏。新刑法规定的破坏方式“删除、修改、增加、干扰”,应该认为是智能破坏。对于利用物理方法破坏计算机网络信息系统功能的,理论上也应认定为破坏计算机网络信息系统功能罪,但鉴于新刑法没有明确规定,可以按故意毁坏公私财物罪定罪处罚。常见的智能破坏方法有:(1)干扰,指人为地发射一种强大的扰动信号,用以干扰正常的运作状态或传输中的信号,使之不能正常工作或信号不能被正常输出或接收。(2)拒绝使用。拒绝使用本来是指在公用电话网中,没有可用线路时,给呼叫用户回送忙音的一种网络状态。在计算机安全中,是指废弃某系统、使端口处于停顿状态、在屏幕上发出杂乱数据、改变文件名称、删除关键程序文件或扭曲系统的资源状态,使系统运作紊乱或速度降低,最终导致处理结果降低价值或失去价值。(3)利用计算机病毒或其他破坏性程序进行破坏。

2.犯罪构成

(1)基本罪的构成要件

①犯罪主体

本罪的主体是一般主体,指年满16周岁且具备刑事责任能力的自然人。实施本罪行为的人,必须具有一定的计算机网络知识和操作技能,往往是黑客。随着计算机及其网络技术的普及程度不断推广,通晓计算机专业知识的人数逐渐增多,本罪的行为人必将从通晓计算机网络技术的专业人员扩大到社会各行业人员,甚至是在校学生。将本罪的主体局限于计算机网络专业人员,不符合社会发展的必然趋势,也不利于预防和惩治犯罪。

②犯罪主观方面

本罪在主观上表现为故意,指明知自己的行为可能造成计算机网络信息系统不能正常运行的危害后果,希望或放任这种危害后果发生的心理态度。行为人的目的和动机是多种多样的,主要是泄愤、要挟、讹诈等。无论出于何种目的、动机如何,均不影响本罪的构成。

③犯罪客体

首先,本罪侵犯的直接客体,是计算机网络信息系统安全保护管理秩序和计算机网络信息系统所有人的合法权利。其次,本罪的行为对象是计算机网络信息系统功能。根据1994年2月18日国务院颁布的《计算机网络信息系统安全保护条例》第2条规定,计算机网络信息系统,是指计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等人机系统。因此,计算机网络信息系统的功能,归根到底就是基于系统设计的特定目的而具有的自动化、智能化的信息处理功能。

④犯罪客观方面

本罪在客观方面必须具备下列三个构成要件:第一,违反国家规定是本罪的特定犯罪前提。所谓违反国家规定,是指违反《中华人民共和国计算机网络信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》等法律、法规、规章和命令。如果行为人没有违反国家有关规定,不能构成本罪。第二,实施破坏计算机网络信息系统功能的行为。这种危害行为共有删除、修改、增加、干扰四种并列选择的行为方式。只要以其中任何一种方式实施破坏系统功能的行为,均可构成本罪。第三,造成计算机网络信息系统不能正常运行,

后果严重。造成计算机网络信息系统不能正常运行,本身就是一种危害后果,但是仅仅造成系统不能正常运行并不够,还必须是“后果严重的”的行为。

(2)重罪的构成要件

本罪的重罪构成要件,是指罪行在符合基本罪的构成要件的基础上,后果特别严重的行为。

3.定罪量刑及刑罚适用

(1)罪与非罪的界限

破坏计算机网络信息系统功能罪属结果犯,其破坏行为必须造成计算机网络信息系统不能正常运行,而且后果严重,才构成犯罪。罪与非罪的区分,主要注意两个问题:①要看行为人实施破坏计算机网络信息系统功能的行为,是否造成了计算机网络信息系统不能正常运行和是否引起严重的后果。如果只是实施对计算机网络信息系统功能进行删除、修改、增加或干扰的行为,但未造成计算机网络信息系统正常运行或者危害后果尚未达到严重程度,一般不以犯罪论处。②要看行为人主观上是否出于故意。计算机是一种高新技术,操作使用者的技术水平参差不齐,有时也可能会发生误操作,以致引起严重后果的发生,如果行为人在主观上不具有破坏系统功能的故意,就不构成本罪。

(2)关于本罪的形态的问题

如果已经着手对重要计算机网络信息系统的重要功能进行破坏,意图造成该系统不能正常运行,希望发生严重的危害后果,其行为确实足以引起严重后果,由于行为人意志以外的原因,如危害行为被及时发现,经系统管理者采取有效的安全防范措施而使犯罪未能得逞的,应当按未遂犯处理;如果行为人在严重危害后果发生前自动放弃犯罪,应按中止犯处理。

(3)关于本罪的牵连犯罪问题

在实践中,犯罪分子往往利用计算机网络实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪,行为人在实施犯罪后,为了逃避惩罚,往往又采用破坏计算机网络信息系统功能的方法来消灭罪证。利用计算机实施犯罪后为毁灭罪证而破坏系统功能的问题,应当以诈骗罪和破坏计算机网络信息系统功能罪实行数罪并罚。

(4)破坏计算机网络信息系统功能罪的刑罚适用

根据我国《刑法》第286条规定,犯破坏计算机网络信息系统功能罪的,处5年以下有期徒刑或者拘役;犯重罪的,处5年以上有期徒刑。

4.2.3 破坏计算机网络信息系统数据和应用程序罪

1.概念

破坏计算机信息系统罪,是指违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰或对计算机信息系统存储、处理、传输的数据和应用程序进行删除、修改、增加的操作或故意操作、传播计算机病毒等破坏性程序,影响计算机网络系统正常运行,后果严重的行为。

2.犯罪构成

(1)本罪的基本构成要件

①犯罪主体

本罪的主体是一般主体,指年满16周岁且具有刑事责任能力的自然人。实施本罪行为的人,必须具有一定的计算机知识和操作技能,它们是一种捣乱破坏性的黑客。

②犯罪主观方面

本罪在主观方面表现为故意,即行为人明知自己的行为会造成危害社会的严重后果,希望或者放任这种危害结果发生的心理态度。依据我国刑法,过失不构成犯罪。但从法理和实际情况以及西方的有关法律的规定来看,有不同意见。学术界有主张应该有该罪的过失犯罪,

既能适应法理又能便于法律的实施。

③犯罪客体

首先,本罪侵犯的直接客体,是计算机网络信息系统安全保护管理秩序和计算机网络信息系统所有权人的合法权益。由于破坏计算机网络信息系统数据和应用程序的行为,具有严重的社会危害性,因此必须给予刑法惩处。其次,本罪的行为对象,是计算机网络信息系统中存储、处理或者传输的数据和应用程序。所谓数据,是指计算机输入、输出和以某种方式处理的信息。所谓应用程序,是操作系统程序以外的,为特定目的而设计、编写的、具有某种特定用途的程序,它通常是数据的一种使用方式、操作方法或检测工具。总之,本罪行为对象只限于计算机网络信息系统中存储、处理或者传输的数据和应用程序。

④犯罪客观方面

本罪在客观方面必须同时具备三个构成要件:第一,违反国家规定是本罪的特定犯罪前提。第二,对计算机网络信息系统中存储、处理或者传输的数据或应用程序实施了非法操作的行为。所谓“操作”,是指运用键盘等信息输入工具或方法,主动变更计算机网络信息系统中的数据和应用程序,主要表现为删除、修改、增加三种形式。第三,构成本罪还必须后果严重。何谓“后果严重”,有待司法解释做出明确规定。从刑法理论和司法实践来看,主要是指:破坏计算机网络信息系统数据和应用程序,严重影响被害单位和个人的正常工作,造成较大经济损失,或者造成恶劣的社会影响等。

(2)重要构成要件

我国《刑法》第286条第2款对罪状和法定刑的规定是:“违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。”而前款规定的破坏计算机网络信息系统功能罪,在罪刑配置上分为两个档次,即“后果严重的,处5年以下有期徒刑或者拘役;后果特别严重的,处5年以上有期徒刑。”由于第2款只规定了“后果严重的”,并没有“后果特别严重的”的规定。但实际上,破坏计算机系统中的数据和应用程序,不但会引起“后果严重的”情形,而且还可能会引起“后果特别严重的”情形,既然如此,我们对我国《刑法》第286条第2款规定的本罪,只有解释为包括“后果特别严重”,才符合立法的本意。

3.定罪量刑及刑罚适用

(1)罪与非罪的界限

理解罪与非罪的界限,主要注意三个问题:①本罪行为对象,只限于已经存放于计算机网络信息系统中的,处于运算和运行状态中的数据和应用程序。如果行为对象不是这种数据或程序,而是已经脱离计算机网络信息系统的,用磁盘、光盘、磁带、芯片等媒体设备保存的数据或应用程序,就不构成本罪。②本罪是结果犯,是否发生严重的危害后果,是罪与非罪的重要标志。③依据我国《刑法》,本罪在主观上只能由故意构成。如果行为人在操作使用计算机及其网络的过程中,由于疏忽大意或过于自信,过失地变更了计算机信息系统中的数据或应用程序,即使引起了严重后果,但因行为人在主观上对危害后果不是出于希望或放任的心理态度,所以不能认为是犯罪。但前面已经指出,应存在过失犯罪,这有待于进一步的论证和立法实践的确认。

(2)本罪与破坏计算机网络信息系统功能罪的界限

这两种犯罪在表面上看有某些相同之处,但也存在明显的不同。①犯罪对象不同。本罪的对象是计算机网络信息系统中存储、处理或者传输的数据和应用程序,而后者的对象是计算机网络信息系统功能。②行为发生完全不同。本罪的行为只表现为删除、修改或增加的变更操作行为,而后者不但对系统功能进行删除、修改而且还表现为干扰。③危害结果不完全相同。本罪只要求变更了计算机网络信息系统中的数据和应用程序的后果严重,而后者则要求造成计算机网络信息系统不能正常运行的后果严重。④犯罪形态不同。本罪不发生犯罪

未遂问题,而后者有犯罪未遂问题。

(3)破坏计算机网络信息系统数据和应用程序罪的刑罚适用

根据《刑法》第286条第2款及第1款的规定,犯本罪基本罪处5年以下有期徒刑或者拘役;犯重罪的,处5年以上有期徒刑。这种犯罪属结果犯,处理时,应依据新《刑法》第286条第2款定破坏计算机数据和应用程序罪,但是依照该条第1款破坏计算机网络信息系统功能罪的处罚规定予以处罚。

4.2.4 制作、传播计算机网络病毒等破坏性程序罪

1.概念及形式

所谓破坏性程序,是指有意破坏数据、程序或破坏计算机系统安全的任何程序。制作、传播计算机网络病毒破坏性程序罪就是指故意制作、传播计算机网络病毒破坏性程序,影响计算机系统正常运行,造成严重后果的行为。这是一个选择性罪名,在司法实践中应当根据具体案情,选择适用或者并合适用。本罪还分为基本罪和派生的重罪两个构成类型。

常见的破坏性程序主要有以下几种形式:(1)计算机病毒(Computer viruses)。计算机病毒是指隐藏在计算机系统数据资源中,影响计算机系统正常运行,并可通过系统数据共享的途径蔓延传染的有害程序。(2)特洛伊木马(Trojan-horse)。计算机安全中的特洛伊木马是指表面上在执行一个任务,但实际上在执行另一个任务的任何程序。(3)逻辑炸弹(Logic -bomb)。逻辑炸弹是指在某种特殊条件下按某种不同的方式运行的一种非法程序。这种程序不会自我复制。逻辑炸弹被用来盗窃财务、毁坏存储资料。(4)定时炸弹(Time-bomb)。定时炸弹是指在一定的日期或时刻激发的一种逻辑炸弹。这种逻辑炸弹启用的特殊条件就是实际日期或时刻与预置的日期或时刻相吻合。一旦条件形成,该破坏程序就被执行。(5)蠕虫(Worm)。蠕虫是一种将自己的拷贝传染到入网计算机的程序。这种病毒主要攻击小型机,其自我复制能力很强,并主要通过自我复制来对计算机系统进行攻击,其传染途径主要是计算机网络和软磁盘。(6)野兔(Rabbit)。野兔是一种无限制地复制自身而耗尽一个系统的某种资源(CPU时间、磁盘空间、假脱机空间等等)的程序。它与病毒的区别在于它本身就是一个完整的程序,不感染其他程序。

2.犯罪构成

(1)本罪构成要件

①犯罪主体

本罪的主体是一般主体,指年满16周岁且具有刑事责任能力的自然人。其中,制作计算机病毒等破坏性程序的人,通常是受过高等专业教育或具有较高计算机技术水平的人,尤其是受过计算机专业教育的技术人员,当然也不排除个别具有熟练编程技能的计算机爱好者;传输计算机病毒等破坏性程序的人,可以是该病毒等破坏性程序的制作者,也可以是一般人。

②犯罪主观方面

根据刑法规定,本罪在主观方面只能出于故意,即明知制作、传播计算机病毒等破坏性程序会发生危害社会的严重后果,希望或者放任这种危害结果发生的心理态度。从目前已经发生的犯罪看有如下几种情况:(i)显示自己才能的表现型;(ii)恶作剧型;(iii)报复型;(iv)出于政治、军事上目的(作为武器);(v)勒索型;(vi)经济利益型,为出售其编制的软件以获取经济利益;(vii)不正当竞争型。无论行为人制作、传播计算机病毒等破坏性程序出于何种动机,都不影响本罪的成立。

③犯罪客体

首先,本罪侵犯的直接客体,是计算机网络信息系统安全保护管理秩序和计算机网络信息系统所有人的合法权利。其次,本罪的行为对象是计算机病毒等破坏性程序。这是构成

网络犯罪及案例分析(教材) 86_网络犯罪案例

本罪不可缺少的要件。破坏性是这一构成要件的根本属性。计算机病毒本身就是一种破坏性程序,但是也还有非病毒的其他破坏性程序。根据1994年2月国务院发布的《计算机信息系统安全保护条例》第28条的规定:“计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组指令或者程序代码。”计算机网络病毒具有以下四个基本特征:(i)感染性;(ii)潜伏性;(iii)可触及性;(iv)破坏性。

④犯罪客观方面

本罪在客观方面必须具备下列两个构成要件,缺少即不能构成本罪。这两个构成要件的具体内容和表现形式为:第一,实施了制作、传播计算机网络病毒破坏性程序的行为。第二,影响计算机网络信息系统正常运行,后果严重。引起了严重后果的,才能成立犯罪的既遂。

(2)重罪的构成要件

我国《刑法》第286条第3款,对本罪的罪状和法定刑的表述是:“故意制作、传播计算机病毒破坏性程序,影响计算机网络信息系统的运行,后果严重的,依照第1款的规定处罚”,这就是说,本罪援引第1款之罪的法定刑。但是,第1款规定的破坏计算机网络信息系统功能罪,在罪刑配置上分为两个档次,即“后果严重的,处5年以下有期徒刑或者拘役;后果特别严重的,处5年以上有期徒刑。”第3条只规定“后果严重的”,并没有“后果特别严重的”规定,但我们认为本罪应该有基本罪和重罪。重罪的构成要件是:罪行在符合基本罪的构成要件的基础上,后果特别严重的行为。

3.定罪量刑及刑罚适用

(1)罪与非罪的界限

罪与非罪的区分,主要注意两个问题:①本罪行为的对象,是否是计算机病毒等破坏性程序。②行为人制作、传播的计算机病毒等破坏性程序的行为,是否影响了计算机网络信息系统正常运行及后果严重程度。

(2)本罪与破坏计算机网络信息系统功能罪的界限

①行为对象不同。本罪的行为对象是计算机病毒等破坏性程序;破坏计算机网络信息系统功能罪的行为对象是计算机网络信息系统的功能。②行为方式不同。本罪的行为方式是“制作、传播”计算机病毒等破坏性程序;破坏计算机网络信息系统功能罪的行为方式是对系统功能进行“删除、修改、增加、干扰”等。③对危害结果的要求不同。本罪是“影响”计算机网络信息系统正常运行且后果严重的;破坏计算机网络信息系统功能罪是“造成”计算机网络信息系统不能正常运行且后果严重的。

(3)本罪与破坏计算机网络信息系统数据、应用程序罪的界限

①行为对象不同。本罪的行为对象是计算机病毒等破坏性程序;破坏计算机网络信息系统数据、应用程序罪的行为对象则是计算机网络中存储、处理或者传输的数据或应用程序。②行为方式不同。本罪的行为方式是“制作、传播”计算机病毒等破坏性程序;破坏计算机网络信息系统数据、应用程序罪的行为方式只是对系统中的数据和应用程序进行“删除、修改、增加的操作”,而不存在“干扰”的行为方式。③对危害结果的要求不同。本罪是“影响”计算机网络信息系统正常运行且后果严重的;破坏计算机网络信息系统数据、应用程序罪只要求“后果严重”。④犯罪形态不同。前罪存在中止犯和未遂犯的形态,而后罪则不存在犯罪的未完成状态。

(4)刑罚适用

根据我国《刑法》第286条第2款及第1款规定精神,犯本罪基本罪的,处5年以下有期徒刑或者拘役;犯重罪的,处5年以上有期徒刑。

4.3网络工具犯罪类型

网络工具犯罪类型或称为不纯正的网络犯罪类型,主要涉及到网络财产犯罪类型和非网络财产犯罪类型。网络财产犯罪是指犯罪行为人通过对计算机网络信息系统所处理的数据信息进行篡改和破坏,从而达到非法取得和占有或者非法破坏他人财产的行为。非网络财产犯罪是指犯罪行为人通过对计算机网络信息系统所处理的数据信息进行侵害或发布不良信息侵害他人的非财产利益的犯罪行为。我国《刑法》第287条规定:“利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的,依照本法有关规定定罪处罚。” 关于将网络财产犯罪按其他犯罪进行定罪处罚的规定,学术界有学者认为这种规定不是很妥当。认为网络财产犯罪的特征是以非法占有财产为目的,通过计算机网络系统来实现犯罪的目的。虽然在这类犯罪中对计算机网络信息系统的侵害只是一种手段,但是在客观上仍然造成了对计算机网络信息系统正常运行的侵害和威胁。因此网络财产犯罪实际上侵害了两个客体:计算机网络安全和财产安全。对于网络财产犯罪,认为有两种方法来处罚:一是按照数罪并罚,凡是利用网络犯罪和实施财产犯罪实行数罪并罚;二是修改刑法,凡是利用网络实施财产犯罪,都制定比单纯的财产犯罪严厉得多的处罚。

4.3.1 利用网络实施金融犯罪

1.概念、手段及类型

(1)概念

所谓网络金融犯罪,是指在金融电子化时代,行为人以计算机网络为作案工具或侵害对象而实施的,危害金融领域正常的交易秩序、管理秩序,侵害公私财产所有权,情节严重的行为。

(2)手段

①逻辑炸弹

是指有意设置并插入程序的编码。这些编码只有在一个特定时间或者特定的条件下才可执行,如以某种特定事务处理的传输作为触发信号而发起攻击的“炸弹”。逻辑炸弹是对系统的潜在威胁和隐患,有可能抹除数据文件,或者破坏系统功能,使整个系统瘫痪。

②拒绝服务

拒绝服务攻击是一种破坏性攻击,它包括废弃某些系统,使端口处于停顿状态,在屏幕上发出杂乱数据,改变文件名称、删除关键程序文件,或扭曲系统的资源状态,使系统的速度降低,使得服务器或网络会因堵塞而停止服务。

③非法入侵

这种方法是指外部或内部人员通过网络远程登录到主机,在登录过程中采用欺骗手段盗用高级用户密码和口令,拥有较大的权限后,破坏计算机系统或窃取、修改计算机网络数据。

④计算机病毒

这是目前已知的计算机犯罪手段中最为有效和进行攻击最为严重的方式。计算机病毒是隐藏在可执行程序中或数据文件中在计算机内部允许的一种干扰程序,它具有可传播、可激发、可潜伏性,对于大、中、小、微型计算机和计算机网络都具有巨大的危害性和破坏性,可能会夺走大量的资金、人力和计算机资源,甚至破坏各种文件及数据,造成机器瘫痪,带来难以挽回的损失。

(3)类型

我国《刑法》里,从第170条到198条共有29条内容涉及到金融犯罪。分为两大类:破坏金融管理秩序罪25种和金融诈骗罪8种,但发生得比较多的网络金融犯罪主要包括网

上偷窃、欺诈、黑客入侵、破坏和病毒侵害金融的计算机网络系统功能和网络储存的金融电子数据。“黑客”的恶意攻击,轻则导致电子银行资源被非法盗用,重则可能使银行业务阶段性中断,客户大量流失。例如在美国,每年因黑客犯罪造成的损失约为15亿美元。计算机病毒感染,轻则改变和破坏银行业务的数据,重则可使银行系统整体瘫痪。网络犯罪动机主要有三个:金钱利益、商业竞争和个人成就感。电子银行恰恰能为犯罪者提供“最全面”的满足。在美国,银行一般欺诈案的平均损失是1.9万美元,破案率80%以上;而银行电脑犯罪案的平均损失达45万美元,破案率仅为2%左右。对于欺诈与反欺诈者,电子银行也是一个频繁较量的“舞台”。

2.犯罪构成

(1)犯罪主体

本罪的主体是一般主体和特殊主体,即已满16周岁具有刑事责任能力的自然人和具有特殊身份从事网络金融管理的自然人以及法人。一类是一般人,另一类是掌握计算机网络专业技术知识的专业人士;还可以是自然人和法人类的网络金融犯罪。

(2)犯罪主观方面

本罪在主观方面表现为故意犯罪,并且具有非法占有公私财物的目的。有些网络金融犯罪应该有过失罪,如负责计算机网络金融管理的,由于过失造成重大经济损失和其他严重后果,应该承担相应责任。

(3)犯罪客体

金融业的计算机网络数据。计算机网络数据在金融业中主要以货币形式、电子公文形式和商业资料形式存在。

(4)犯罪客观方面

电子货币形式在目前国内外的金融业中正发生着巨大的变化。传统的货币、票据正在逐步消失,取而代之的是计算机网络系统中的帐户数据、交易数据。资金的转移随着交易数据的转移而转移,资金的变化由计算机网络数据来体现。

金融行业的各级机构,一般具有相当庞大的计算机网络数据,这些数据一方面包含了客户信息、帐号资料和交易信息,另一方面也体现了一个金融机构的经营状况。因此计算机网络数据直接体现为商业秘密和技术秘密。

3.定罪量刑及刑罚适用

(1)首先应分清罪与非罪的界限

网络金融犯罪涉及的内容复杂繁多,因此在划分罪与非罪的界限时还要划分研究不同类型的网络金融犯罪。从我国刑法的规定来看,①破坏金融管理秩序罪有:伪造货币罪,出售、购买、运输假币罪,金融人员购买假币、以假币换取货币罪,持有、使用假币罪,改造货币罪,擅自设立金融机构罪,伪造、变造、转让金融机构经营许可证罪,高利转贷罪,非法吸收公众存款罪,伪造、变造金融票证罪,伪造、变造国家有价证券罪,伪造、变造股票、公司、企业债券罪,擅自发行股票、公司、企业债券罪,内幕交易、泄漏内幕信息罪,编造并传播证券、期货交易虚假信息罪,诱骗投资者买卖证券罪,操作证券交易价格罪,违法向关系人发放贷款罪,违法发放贷款罪,用帐外客户资金非法拆借、发放贷款罪,非法出具金融证罪,对违法票据承兑、付款、保证罪,逃汇、洗钱罪,骗购外汇罪。②金融诈骗罪有:集资诈骗罪,贷款诈骗罪,票据诈骗罪,金融凭证诈骗罪,信用证诈骗罪,信用卡诈骗罪,有价证券诈骗罪,保险诈骗罪。

金融业的计算机网络数据在金融业中主要以电子货币形式、电子公文形式和商业资料形式存在。电子货币、票据正在逐步消失,取而代之的是计算机网络系统中的帐户数据、交易数据。资金的转移随着交易数据的转移而转移,资金的变化由计算机网络数据来体现。金融行业的各个机构一般具有相当庞大的计算机网络数据,这些数据一方面包含了客户信息、

帐户资料和交易信息,另一方面也体现了一个金融机构的经营状况。因此计算机网络数据直接体现为商业秘密和技术秘密。

(2)网络金融犯罪的刑罚适用

网络金融犯罪是人的行为,是人的一系列复杂心理活动和外在条件的共同结果。从我国《刑法》第286、287条及相关规定内容来看,金融领域计算机犯罪不是一个单一罪名,而是一个复合罪名。它涉及的两大类型犯罪:破坏型犯罪和贪利型犯罪构成要件不同,处罚轻重也不同,因此,此罪与彼罪必须分清:

①犯罪目的不同。前者在多数情况下是由于泄私愤、图报复、自以为是、展示才华等目的;后者则是贪财。

②计算机网络在犯罪活动中所扮演的角色不同。在破坏型犯罪情况下,计算机网络信息是侵害对象或“受害者”,被行为人故意非法删除、增加、修改、干扰,使其不能发挥正常功能;在贪利型犯罪情况下,计算机网络信息又成为行为人实施犯罪行为的工具或“帮凶”,利用它去实施诈骗、盗窃、贪污、挪用公款、窃密等犯罪活动。

③适用法律不同。破坏型犯罪是按照《刑法》第286条的规定定罪量刑,后果特别严重的,处5年以上有期徒刑;而贪利型犯罪则是按刑法相关条文中的规定定罪量刑,最高刑罚可至死刑。

4.针对金融业网络犯罪的对策

应对方法主要是预防,其次才是严惩。控制金融业的网络犯罪主要应在组织机构、法律制度、技术防范三个方面进行。

(1)组织机构

组织机构的目标是制定分析计算机犯罪的动向、技术特点。制定有关的安全策略、有关制度以及设计各种安全技术防范措施、手段和技术方案。同时应加强对计算机系统及其相关业务系统的审计,及时调整各种策略,确保安全策略和相关措施的可靠性。

(2)法律制度

由于电子货币的存在必须依赖于计算机系统和网络,因此电子货币的使用中带来的另一个问题是对电子货币拥有者身份的合法性判断,传统的方式主要是采用签名和印鉴,并在法律上明确了其地位,而电子货币,最简单的方式是用户码+密码,其后是变码印鉴、CA认证等。作为唯一的身份标识,数字签名必须具有唯一性、防篡改性、抗抵赖性。要保证电子公文的安全性、真实性,同时还必须明确电子文书的法律地位。

(3)技术手段

目前防范计算机犯罪、保障计算机技术安全的手段有很多,主要有:采用数据存储加密、数据认证控制和定期备份、核对的方式防止数据被非法修改,采用提高系统安全级别、合理分配系统权限的方法防止系统被非法入侵等技术手段。

4.3.2 利用网络实施诈骗罪

1.概念及主要表现形式

(1)概念

诈骗罪,是指以非法占有为目的,采用虚构事实或者隐瞒事实真相的方法,骗取数额较大的公私财物的行为。利用网络实施诈骗罪就是依托计算机网络技术以非法占有为目的,采用虚构事实或者隐瞒事实真相方法,骗取数额较大的公私财物的行为。网络本身的特点更具有虚构的便利,因此利用网络实施诈骗罪就更容易得逞。

网络中的诈骗罪,是以非法占有为目的,通过网络信息系统虚构事实或者隐瞒真相,骗取公私财物(包括以数字形式体现的财物),数额较大的行为。它是类罪,包括普通诈骗罪、金融诈骗罪、合同诈骗罪等罪。

(2)主要表现形式

计算机网络环境下诈骗他人财物的方法多种多样,从组织形式上冒充网络商品是最常见的。网络的隐蔽性和神秘性为网络诈骗创造了便利条件。而被害人由于经不起诱惑往往冒险一试,结果上当受骗。有人把利用网络实施诈骗总结提炼成四大典型骗术:

①金字塔诈骗:“只需四个星期, 5美元变成6美元”,是最可能出现的“金字塔”或“Ponzi”骗术的诱骗手段。

②无风险投资:互联网上数不胜数的“无风险”投资大都承诺一定时间内还本,并能赚很多利益。投资诈骗是行为人利用人们想发财的基本心态,成立一个投资会,保证加入者将获得巨额投资回报,从而骗取他人钱财。

③电话欺诈:你会收到一封催你拨打“809”区号的电话号码的电子邮件。诱饵一般是:你在一次竞赛中获胜或赢得一笔奖金。而“809”是加勒比海地区的区号,并且拨打的电话将出现在你下个月的电话帐单上,价格高达每分钟20美元。

④信用卡欺诈:在互联网上公布信用卡号与在电话中说出它一样危险。消费者在网上用信用卡购物应小心谨慎,应当只在著名网上公司用信用卡购物,还应当对要求你提供信用卡号的请求多一个心眼。

本罪分为基本罪和派生的重罪、极重罪三个构成类型。

2.犯罪构成

(1)基本罪的构成要件

①犯罪主体

本罪的主体是一般主体,即已满16周岁具有刑事责任能力的自然人。修改后的《刑法》,已将金融诈骗从诈骗罪中分解出去,另规定为若干新罪名,从而形成普通诈骗罪和特别诈骗罪的竞合关系。本罪是普通诈骗罪。由于现行我国刑法关于单位诈骗行为另有规定,所以本罪的主体不再包括单位。

②犯罪主观方面

本罪在主观方面表现为直接故意,并且有非法占有公私财物的目的,间接故意和过失不构成本罪。

③犯罪的客体

本罪侵犯的客体是公私财物的所有权。犯罪对象是合法所有的公私财物。非财物的其他利益不是本罪的犯罪对象。

④犯罪客观方面

本罪在客观方面必须具备两个构成要件:首先,行为人实施了诈骗行为。所谓诈骗行为,是指虚构事实或者隐瞒真相,使财物所有人或管理人信以为真,“自愿地”交出财物的行为。虚构事实和隐瞒真相,是本罪行为的两种并列选择形式,只要实施其中一种行为,便可构成本罪。至于采用什么方式虚构事实和隐瞒真相,法律未作限定,因此,利用计算机网络技术虚构事实和隐瞒真相,骗取公私财物同样可以构成本罪。

其次,诈骗财物数额较大。这是构成本罪不可缺少的特定危害结果。至于何谓数额较大,最高人民法院于1996年12月16日《关于审定诈骗案件具体应用法律的若干问题的解释》中曾经规定:个人诈骗公私财物2000元以上的,属于“数额较大”。各省、自治区、直辖市高级人民法院可根据本地区经济发展状况,并考虑社会治安状况,在“2000元至4000元”的幅度内,确定本地区执行“数额较大”的起点标准。

(2)本罪重罪和极重罪的构成要件

①重罪构成要件

指在罪行符合基本罪的构成要件的基础上,数额巨大或者有其他严重情节的行为。“数额巨大”和“其他严重情节”,是构成重罪的选择条件,所谓“数额巨大”,是指个人诈骗公

网络犯罪及案例分析(教材) 86_网络犯罪案例

私财物3万元以上的。各省、自治区,直辖市高级人民法院可根据本地区经济发展状况,并考虑社会治安情况,应在“3万元至5万元”的幅度内,确定本地区执行“数额巨大”的起点标准。

②极重罪构成要件

指在罪行符合基本罪的构成要件的基础上,数额特别巨大或者其他特别严重情节的行为。“数额特别巨大”和“其他特别严重情节”,是构成极重罪的选择要件,只要具备其中一项,极重罪便可成立。根据司法解释,所谓“数额特别巨大”,是指个人诈骗公私财物20万元以上的。所谓“情节特别严重”,是指诈骗数额在10万元以上,又具有重罪构成“其他严重情节”所列九项情形之一的行为。

3.定罪量刑及刑罚适用

(1)严格区分罪与非罪和基本罪与重罪的界限

本罪是侵犯财产的犯罪,诈骗数额较大、巨大或者特别巨大是罪与非罪和基本罪、重罪和极重罪的分界线。如果诈骗公私财物数额较小,尚未达到本地区执行“数额较大”的起点标准的,不构成诈骗罪;其次,非法占有公私财物的目的,是本罪主观方面不可缺少的构成要件

(2)实施其他罪行因诈骗财物而转化为本罪的规定

其转化有两个条文:一是我国《刑法》第210条第2款规定:“使用欺骗手段骗取增值税专用发票或者可以用于骗取出口退税、抵扣税款的其他发票的”,应当以诈骗罪论处。二是我国《刑法》第300条第3款规定“组织和利用会道门、邪教组织或者利用迷信……诈骗财物的”,应当以诈骗罪论处。

(3)本罪与其他诈骗罪的竞合问题

新刑法在保留诈骗罪罪名的同时,将原属于本罪的金融诈骗罪进行了分解从而使它们同本罪形成特别诈骗罪与普通诈骗罪的关系。当特别法条规定与普通法条规定发生竞合时候,实行特别法条优于普通法条的原则。

(4)利用计算机实施诈骗罪的刑罚适用根据

我国《刑法》第287条关于“利用计算机实施……其他犯罪的,依照本法有关规定定罪处罚”的规定,是认定利用计算机实施诈骗犯罪的法律前提,但是具体行为必须符合我国《刑法》第266条规定的诈骗罪的构成要件;不能同时满足其全部犯罪构成要件的,不能构成本罪,同时具备诈骗罪的构成要件,是确认利用计算机实施该种犯罪的唯一根据。

我国《刑法》第287条和第266条规定,犯本罪基本罪的,处3年以下有期徒刑、拘役或者管制,并处或者单处罚金;犯重罪的,处3年以上10年以下有期徒刑,并处罚金;犯极重罪的,处10年以上有期徒刑或者无期徒刑,并处罚金或者没收财产。

· 4.3.3 利用网络实施盗窃罪

1.概念及主要表现形式

(1)概念

利用网络实施盗窃罪,是指以非法占有为目的,利用网络实施窃取他人上网账号、信用卡账号、QQ号、游戏装备等手段,秘密取得数额较大的公私财产的行为。

(2)主要表现形式

①利用计算机网络盗用电信服务

盗用电信服务是指行为人非法获取、使用他人电信密码号或者账号,或者非法侵入电信部门计算机网络信息系统接受电信服务的行为。有三种形式:(i)利用计算机复制他人电信号码并非法使用。(ii)利用试探密码的方法窃取密码。(iii)盗用个人的电信账号和密码。

②利用计算机盗窃金融系统的电子货币

所谓电子资金过户系统,是指通过光、电或者信号,使用计算机在财务帐目上记录资金增减,从而代表一定的经济活动的计算机控制的收付系统,如定点销售系统(POS)、自动存取款机(ATM)、自动化票据交换所(ACH)等。存在于电子资金过户系统中代表一定的资金财物所有关系的电子数据记录,被称为电子货币,利用计算机网络盗窃电子货币的犯罪在国内外都有表现,犯罪人往往使用计算机网络技术涂抹金融计算机管理系统中合法客户的存款帐目,采取另设帐号转移资金的办法窃取金融系统的资金。

2.犯罪构成

(1)犯罪主体

本罪的主体是一般主体,指年满16周岁具有刑事责任的自然人,可以是具有计算机网络专业技术的自然人,也可以是一般自然人。

(2)犯罪主观方面

本罪在主观方面表现为直接故意。盗窃一般财物的,必须具有非法占有公私财物的目的;盗接他人通信线路、复制他人电信号码、上网账号或者明知是盗接、复制的电信设备、设施而使用的,必须以牟利为目的。

(3)犯罪客体

本罪行为方面表现为窃取数额较大的公私财物的行为。盗窃公私财物“数额较大”,是本罪在客观方面的一个选择要件。最高人民法院1998年3月10日发布的《关于审理盗窃案件具体应用法律若干问题的解释》的规定,所谓数额较大,是指个人盗窃公私财物价值人民币5000~20000元以上。“数额较大”是成立本罪的法定选择要件;如果盗窃数额不是较大,又不符合其他选择要件的,不能认为是犯罪。但是,上述司法解释又规定:盗窃公私财物接近“数额较大”的起点,具有下列情形之一的,可以追究刑事责任:①以破坏性手段盗窃,造成公私财产损失的。②盗窃残疾人、孤寡老人或者丧失劳动能力人的财物的。③造成严重后果或者具有其他恶劣情节的。④ “多次盗窃”是本罪在客观方面的另一选择要件。“多次盗窃”有三点限制:(i)次数上3次以上。(ii)时间上必须是在1年内实施的3次以上盗窃。(iii)地点上只限于入户盗窃和在公共场所扒窃。

(4)犯罪客观方面

本罪侵犯的客体是公私财产所有权。犯罪对象是公私财物,包括国有财产、集体所有财产、公民个人所有财产、多种所有制经济成分混合组成的法人、非法人的社团的财物。作为本罪对象的财物,必须是具有一定经济价值且可为人力所控制、支配、转移、使用的财物,包括有形财物、无形财物和有价服务。

3.定罪量刑及刑罚适用

(1)罪与非罪

区分本罪与非罪的界限,要注意把握如下几点:

①盗窃数额较大,是罪与非罪的基本分界线。

②盗窃公私财物虽已达到“数额较大”的起点,但情节轻微并具有下列情形之一的,可不作为犯罪处理:

(i)已满16周岁但不满18周岁的未成年人作案的;(ii)全部退赃、退赔的;(iii)主动投案的;(iv)被胁迫参加盗窃活动,没有分赃或者获赃较少的;(v)其他情节轻微,危害不大的。

③多次盗窃

即1年内入户盗窃和在公共场所扒窃3次以上,如果在1年内没有实施3次盗窃行为,或者3次盗窃行为不完全是入户盗窃或者在公共场所扒窃的,不能认定为多次盗窃因而不构成犯罪。

(2)盗窃计算机互联网信息经营单位的有价信息服务

非法侵入信息提供商(ISP)的计算机网络信息系统,并自行设立非法账号、密码,自己使用或者让他人使用,从而无偿获得信息服务的行为,应当以盗窃罪论处。如果在获得服务后又为躲避法律责任而有进行删改等破坏性行为的,与破坏计算机网络信息系统功能罪竞合,择一重罪处罚。

(3)注意传统盗窃和网络盗窃的方式的差异

二者都是“秘密窃取”。“秘密窃取”,是盗窃行为的基本形式,也是本罪与其他侵犯财产罪相区别的主要特征。所谓“秘密窃取”,是指行为人必须采取自认为不被财产所有人或保管人知道的方法,将财物取走。至于客观上是否为被害人所知或觉察不影响本罪的成立。而利用计算机网络等高科技设备,通过破解密码、篡改数据、下载信息、盗接通信线路、复制电信号码等手段,也能实施盗窃金融资金、储户存款、有价计算机网络数据(含昂贵软件)、无偿获得电信服务等盗窃行为,这些窃取方式除窃取电子货币外,都可以在不取走原物情况下达到窃取经济利益的目的。

(4)刑罚适用

根据《刑法》第287条和第264条规定,犯基本罪的,处3年以下有期徒刑或者管制,并处或者单处罚金;

重罪,犯重罪的,处3年以上10年以下有期徒刑,并处罚金;犯重罪的处10年以上有期徒刑或者无期徒刑,并处罚金或者没收财产;犯极重罪的,处无期徒刑或者死刑,并没收财产。本罪的重罪,是指罪行在符合基本罪的构成要件的基础上,“盗窃公私财物数额巨大或者有其他严重情节”的行为。盗窃“数额巨大”和“其他严重情节”,是构成重罪的两个选择要件,只要具备其中一项,重罪便可成立。根据有关司法解释,个人盗窃公私财物价值人民币5000~20000元以上的,为“数额巨大”。盗窃数额达到“数额较大”并具有下列情形之一的,可以认定为“其他严重情节”:①犯罪集团的首要分子或者共同犯罪中情节严重的主犯;②盗窃金融机构的;③流窜作案危害严重的;④累犯;⑤导致被害人死亡、精神失常或者其他严重后果的;⑥盗窃救灾、抢险、防汛、优抚、扶贫、移民、救济、医疗款物、造成严重后果的;⑦盗窃生产资料,严重影响生产的;⑧造成其他重大损失的。

更重罪,是指罪行在符合基本罪的构成要件的基础上,“盗窃公私财物数额巨大或者有其他严重情节”的行为。盗窃“数额特别巨大”和“其他特别严重情节”,是构成重罪的两个选择要素,只要具备其中一项,重罪便可成立。根据前述司法解释,个人盗窃公私财物价值人民币3万?10万元以上的,为“数额特别巨大”。盗窃数额达到“数额巨大”的起点并具有下列情形之一的,可以认定为“其他特别严重情节”:①犯罪集团的首要分子或者共同犯罪中情节严重的主犯;②盗窃金融机构的;③流窜作案危害严重的;④累犯;⑤导致被害人死亡、精神失常或者其他严重后果的;⑥盗窃救灾、抢险、防汛、优抚、扶贫、移民、救济、医疗款物、造成严重后果的;⑦盗窃生产资料,严重影响生产的;⑧造成其他重大损失的。

极重罪,是指罪行在符合基本罪的构成要件的基础上,有下列情形之一的行为: ①盗窃金融机构,数额特别巨大;②盗窃珍贵文物,有严重情节的。根据司法解释,“数额特别巨大”是指人民币3万?10万元以上的。“盗窃珍贵文物,情节严重”,主要是指盗窃国家一级文物后造成损毁、流失、无法追回;盗窃国家二级文物3件以上或者盗窃国家一级文物1件以上,并具有下列情况之一的行为:①犯罪集团的首要分子或者共同犯罪中情节严重的主犯;②流窜作案危害后果严重的;③累犯;④造成其他严重损失的。

4.3.4 利用网络实施贪污和挪用公款犯罪

1.概念及主要表现形式

(1)利用网络实施贪污犯罪、挪用公款罪的概念

贪污罪,是指国家工作人员利用职务上的便利,侵吞、窃取、骗取或者以其他手段非法占有公共财物的行为。本罪分为基本罪和派生的轻罪、重罪和更重罪四个构成类型。

挪用公款罪,是指国家工作人员利用职务上的便利,挪用公款归个人使用,进行非法活动的,或者挪用公款数额较大、进行营利活动,或者挪用公款数额较大、超过三个月未还的行为。本罪分为基本罪和派生的重罪、极重罪三个构成类型。

利用网络实施贪污和挪用公款罪,就是利用计算机网络对存在计算机网络上的用数字信息表达的财物实施侵害的犯罪行为。

(2)主要表现形式

由于计算机网络信息系统在财经部门应用极为广泛,如金融财税部门的电子财务会计系统、电子资金过户系统,电信部门的自动计费系统等。贪污罪和挪用公款罪主要有如下两种表现:

①非法操作计算机侵占单位资金

利用计算机处理财务的部门,一般都有不同层次的安全防范措施和安全管理制度。操作这些计算机信息系统的人员,要求具有相应的专业知识。他们能够在日常工作中利用职务上的便利,实施非法占有单位资金的贪污和挪用公款行为。如农业银行广西东兴支行江平营业所记帐员苏某利用计算机系统进行数据篡改,将储户155万元的存款划拨到自己名下,随后分两次从农业银行储蓄网点提取现金149.2万元。

②利用计算机财务系统存在的漏洞和缺陷窃取单位资金

计算机信息系统由计算机硬件和软件系统组成,硬件设计和软件开发难免存在某种漏洞和缺陷,从而给犯罪分子留下非法占有单位资金的便利。

2.犯罪构成

(1)利用网络实施贪污罪的犯罪构成分为基本罪和派生的轻罪、重罪和更重罪四个构成类型。

①基本罪的构成要件

(i)犯罪主体

本罪的犯罪主体是特殊主体,即国家工作人员。具体包括以下四种人员:国家机关中从事公务的人员;国有公司、企业、事业单位、人民团体中从事公务的人员;国家机关、国有公司、企业、事业单位委派到非国有公司、企业事业单位、人民团体中从事公务的人员; 其他依照法律从事公务的人员。

(ii)犯罪主观方面

本罪在主观方面表现为故意,而且具有非法占有公共财产的目的。

(iii)犯罪客体

贪污罪的犯罪客体是复杂客体,既侵犯了国家工作人员职务行为的廉洁性,又侵犯了公共财产的所有权。其中前者是主要客体。本罪的犯罪对象必须是公共财物。

(iv)犯罪客观方面

本罪在客观方面有三个构成要件:一是行为人利用职务上的便利。这是构成本罪的犯罪前提。二是以侵吞、窃取、骗取或者以其他手段实施非法占有公共财物的行为。三是“数额较大”。具体数为最高人民法院《关于办理违反公司法受贿、侵占、挪用刑事案件适用法律若干问题的解释》规定的5000~20000元以上的。

②轻罪的构成要件

罪行在符合基本罪构成要件的基础上,个人贪污数额不满5000元,“情节严重”的行为。

③重罪的构成要件

罪行在符合基本罪构成要件的基础上,贪污数额巨大的行为。所谓数额巨大,是指“个人贪污数额在5万元以上不满10万元”。

④最重罪的构成要件

罪行在符合基本罪构成要件的基础上,贪污数额特别巨大的行为。所谓数额特别巨大 ,是指“个人贪污在10万元以上”。

(2)利用网络实施挪用公款罪的犯罪构成分为基本罪和派生的重罪、极重罪三个构成类型。

①基本罪的构成要件

(i)犯罪主体。本罪的主体是特殊主体,即国家工作人员,其具体范围与刑法规定的贪污犯罪的主体相同。

(ii)犯罪主观方面。本罪在主观方面表现为直接故意。犯罪目的是非法取得公共款物的使用权,如果行为人出于非法占有公款的目的,则不构成本罪。

(iii)犯罪客体。本罪侵犯的客体是复杂客体,即国家工作人员职务行为的廉洁性和公款的部分所有权。本罪的犯罪对象必须是公款,包括货币、有价证券等形态的公共财产。

(iv)犯罪客观方面。本罪在客观方面必须具备如下三个构成要件:一是利用职务上的便利。二是实施挪用公款归个人使用,进行非法活动、营利活动或者超过三个月未还的行为。三是挪用公款数额较大。

②重罪和最重罪的构成要件

(i)本罪的重罪构成要件,是指罪行在符合基本罪构成要件的基础上,情节严重的行为。所谓情节严重,根据司法解释是指:一是挪用公款“数额巨大”,进行营利活动或者超过3个月未还的,或者挪用公款数额虽未达到巨大,但挪用公款手段恶劣;多次挪用公款;因挪用公款严重影响生产、经营,造成严重损失等情形。本项所说的“数额巨大”,其起点为挪用公款15万元至20万元。二是挪用公款“数额巨大”,进行非法活动,或者挪用公款数额虽未达数额巨大,但挪用公款手段恶劣;多次挪用公款;因挪用公款严重影响生产、经营,造成严重损失等情形。本项所说的“数额巨大”,其起点为挪用公款5万元至10万元。 (ii)本罪的最重罪构成要件,是指罪行在符合基本罪构成要件的基础上,挪用公款数额巨大不退还的行为。其“数额巨大”,根据司法解释,因挪用的用途不同而有两种不同的规定:一是挪用公款进行营利活动或者其他合法用途的,其“数额巨大”的起点为15万元至20万元;二是挪用公款进行非法活动,其“数额巨大”,为5万元至10万元以上。

3.定罪量刑及刑罚适用

(1)贪污罪、挪用公款罪与非罪的界限

认定行为人是否构成贪污罪和挪用公款罪的关键,除了行为人的特殊身份和是否利用职务之便外,关键是非法占有的财物是否达到“数额较大” 的起点。但对于贪污罪来说,贪污的数额不满5000元的,是否“情节较重”则是罪与非罪的分水岭。如果贪污公共财物不满5000元且“情节较轻的”;或者侵占本单位财物尚未达到“数额较大的”,不能认为是犯罪。

(2)关于利用计算机实施贪污犯罪、挪用公款罪有无未遂的问题

利用计算机网络实施贪污犯罪、挪用公款罪,只能发生在通过银行网络进行电子结算的单位,因而利用计算机网络将单位资金换转入个人账户,到行为人实际使用被窃取的单位资金,通常有一个过程。在行为人尚未能够使用这笔资金之前,其犯罪行为就被发现,被害单位通过挂失和报警,及时冻结了行为人存放赃款的帐户。这种情况应定为犯罪未遂。如果存放赃款的帐户未被冻结,行为人已提取的现金和网络上使用的数额,应认为犯罪既遂;反之,未被行为人使用的数额,成立犯罪未遂。

(3)利用计算机犯贪污罪的刑罚适用

网络犯罪及案例分析(教材) 86_网络犯罪案例

①根据我国《刑法》第287条和第383条第1款第3项规定,利用计算机犯基本罪的,处1年以上7年以下有期徒刑;情节严重的处7年以上10年以下有期徒刑。个人贪污的数额在5千元以上不满1万元,犯罪后有悔改表现、积极退赃的,可以减轻处罚或者免于刑事处罚,由其所在单位或者上级主管机关给予行政处分。

②根据我国《刑法》第287条和第383条第1款4项规定,利用计算机犯轻罪的,处2年以下有期徒刑或者拘役。

③根据我国《刑法》第287条和第383条第1款2项规定,利用计算机犯重罪的,处5年以上有期徒刑,可以并处没收财产;情节特别严重的,处无期徒刑,并没收财产。

④根据我国《刑法》第287条和第383条第1款1项规定,利用计算机犯重罪的,处10年以上有期徒刑,可以并没收财产;情节特别严重的,处死刑,并没收财产。

(4)利用计算机实施挪用公款的刑罚适用

我国《刑法》第287条关于“利用计算机实施......挪用公款......或者其他犯罪的,依照本法有关规定定罪处罚”的规定,是认定利用计算机实施本类犯罪的法律前提,但是具体行为必须符合我国《刑法》第384条挪用公款罪的构成要件:行为具备其中一罪的全部构成要件,是确认利用计算机实施挪用公款罪的唯一根据。

根据我国《刑法》第287条和第384条规定,利用计算机犯挪用公款罪基本罪的,处5年一下有期徒刑或者拘役;犯重罪的,处5年以上有期徒刑;犯极重罪的,处10年以上有期徒刑或者无期徒刑。挪用用于救灾、抢险、防汛、优抚、移民、救灾款物归个人使用,从重处罚。

4.3.5 利用网络实施侵犯商业秘密罪

1.概念及主要表现形式

(1)概念

侵犯商业秘密罪是世界各国普遍的经济犯罪现象。随着计算机网络技术的发展和广泛应用,利用计算机实施窃取商业秘密或泄露商业秘密的犯罪案件也不断出现。计算机技术的发展,能够给权利人提供商业秘密的有效使用手段,同时又给不法分子提供了侵犯他人商业秘密的新方法。

(2)主要表现形式

①利用技术窃取商业秘密。②利用计算机披露非法获取的商业秘密,或者违反约定披露商业秘密。

2.犯罪构成

本罪具有基本罪和派生的重罪两个构成类型

(1)基本罪的构成要件

①犯罪主体

本罪是选择主体,个人或单位均可构成。犯本罪的自然人是一般主体,但通常是合同约定负有保密义务的当事人和本公司、企业知悉或掌握商业秘密的人;犯本罪的单位,法律未作限定。但从司法实践中看应该有本罪的法人犯罪。

②犯罪主观方面

本罪在主观上表现为故意。指明知是权利人已采取保密措施加以保护的商业秘密,而故意实施侵犯商业秘密的行为。

③犯罪客体

首先,本罪侵犯的直接客体是商业秘密的专有权。商业秘密已经使用即可取得财产利益,因而商业秘密权是一种财产权;其次,本罪的犯罪对象是商业秘密。根据《刑法》第219条的规定,“商业秘密,是指不为公众所知悉,能为权利人带来经济利益,具有实用性并经

权利人采取保密措施的技术信息和经营信息。”

④本罪客观方面

本罪在客观方面有两个构成要件:首先,实施了侵犯他人商业秘密的行为。以盗窃、利诱、胁迫或者其他不正当手段获取权利人的商业秘密;披露、使用或者允许他人使用前项手段获取的权利人的商业秘密;违反约定或者违反权利人有关保守商业秘密的要求,披露、使用或者允许他人使用其所掌握的商业秘密。只要实施了上述任一侵害行为,即构成本罪。其次,本罪是结果犯,侵犯商业秘密的行为必须给权利人造成重大损失。所谓重大损失,指经济上的重大损失,包括在竞争中处于不利地位,产品大量积压、营利性服务严重受挫、减少盈利、增加亏损等等。

(2)重罪的构成要件

本罪的重罪构成要件,是指罪行在符合基本罪的构成要件的基础上,造成特别严重后果的行为。一般是指给权利人的生产经营造成特别重大的经济损失或者导致公司、企业破产等。

3.定罪量刑及刑罚适用

(1)罪和非罪的界限

构成本罪必须是侵犯商业秘密“造成重大损失”的行为,如果没有造成重大损失,不能构成本罪。

(2)本罪与泄露国家秘密罪、非法获取国家秘密罪的竞合问题

本罪泄露的是商业秘密,侵犯的是商业秘密所有人或使用人的商业秘密权,它属于财产权的范畴,而后者所泄露的是国家秘密,侵犯的是国家秘密制度,事关国家的安全与利益;实施本罪是一般主体,大多是因为一定的工作关系而知悉经济秘密的人,后者的主体则是国家机关工作人员。如果公司、企业的某项商业秘密事关国家的经济利益,从而被列为国家秘密的,行为人侵犯这种商业秘密的,也按照从一重罪处罚的原则处理。

(3)利用计算机实施侵犯商业秘密罪的刑罚适用

我国《刑法》第287条关于“利用计算机实施……其他犯罪的依照本法有关规定定罪处罚”的规定,是认定利用计算机实施本类犯罪的法律前提,但是具体行为必须符合《刑法》第219条规定的侵犯商业秘密罪的构成要件;如果不能同时满足其全部构成要件,不能构成本罪。同时具备侵犯商业秘密罪的构成要件,是确认利用计算机实施侵犯商业秘密罪的根据。

根据我国《刑法》第287条和第219条、第220条的规定,个人利用计算机犯本罪基本罪的,处3年以下有期徒刑或者拘役,并处或者单处罚金;犯重罪的,处3年以上7年以下有期徒刑,并处罚金。单位犯利用计算机犯本罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照个人犯本罪的规定处罚。

4.3.6 利用网络实施非法获取国家秘密罪

1.概念和表现形式

(1)概念

非法获取国家秘密罪,是指以窃取、刺探、收买方法,非法获取国家秘密的行为。利用网络实施非法获取国家秘密罪是指利用计算机网络技术非法获取存储于网络上的国家秘密的犯罪行为。

(2)表现形式

①攻击计算机网络信息系统获取国家秘密

有两种:一种是行为人利用计算机网络信息系统安全防范制度的疏漏,违反使用特定计算机网络信息系统的权限,而非法直接操作计算机网络信息系统获取国家秘密;另一种是行为人利用计算机网络技术,破解存储国家秘密的计算机网络信息系统,通过网络窃取国家秘密。

②非攻击计算机网络信息系统获取国家秘密

指行为人不直接针对计算机网络信息系统进行操作或者攻击,而是对计算机网络信息系统处理后的有关电子数据载体进行分析,从而获取国家秘密。

2.犯罪构成

根据我国《刑法》第287条关于“利用计算机网络实施……其他犯罪的,依照本法有关规定定罪处罚”的规定,是认定利用计算机网络实施本类犯罪的法律前提,但是具体行为必须符合我国《刑法》第282条规定的非法获取国家秘密罪的构成要件;如果不能同时满足其全部构成要件,不能构成本罪。完整的非法获取国家秘密罪的构成要件,是确认利用计算机网络实施本罪的根据。

本罪分为基本罪和派生的重罪两个构成类型。

(1)基本罪的构成要件

①犯罪主体

本罪主体是一般主体,即年满16周岁具有刑事责任能力的自然人。大都是精通计算机网络技术专业的自然人。

②犯罪主观方面

本罪在主观方面表现为直接故意,即明知是自己不应该知悉的国家秘密而仍然非法获取。

③犯罪客体

本罪侵犯的直接客体是国家的保密制度。犯罪对象是国家秘密。所谓国家秘密,是指关系到国家安全和利益,依法确定在一定时间内只限于一定范围的人员知悉的事项。国家秘密分为三级:绝密、机密、秘密。

④犯罪客观方面

本罪在客观方面表现为违反国家保密法规,获取国家秘密的行为。首先,违反国家保密法规是构成本罪的前提条件。其次,非法获取国家秘密的行为,必须是以窃取、刺探、收买三种方法实施。第三,必须是非法“获取国家秘密”。如果没有获取国家秘密,不能认为是犯罪。

(2)重罪的构成要件

本罪的重罪构成要件,是指罪行在符合基本罪的构成要件的基础上情节严重的行为。所谓情节严重,目前尚无司法解释。

3.定罪量刑及刑罚使用

(1)严格区分罪与非罪的界限

主观上是直接故意,并采取窃取、刺探、收买三种方法非法获取了国家秘密,才能构成犯罪。窃取、刺探、收买是获取国家秘密的法定手段,即如果采取其他手段就不能认定为本罪。另外本罪必须是非法获取,反过来说合法获取就不构成本罪。合法获取是指本身就有权获得或因为授权访问而获取国家秘密。

(2)本罪与为境外窃取、刺探、收买、非法提供国家秘密情报罪的区别

两者在表现行为方式上都有窃取的行为,但有本质的区别:①侵害的直接客体不同。前者侵害的是国家保密制度,而后者侵害的是国家安全。②行为对象范围不同。前者仅指国家秘密,范围较窄,而后者包括的范围较广。③犯罪行为方式不同。前者是以窃取、刺探、收买方法,非法获取国家秘密,而后者除了为境外的机构、组织、人员窃取、刺探、收买等获取国家秘密或者情报外,还包括非法提供的行为。④本罪分为基本罪和重罪两个构成类型,法定最高刑为7年有期徒刑,而后者则分为基本罪、重罪和轻罪三个构成类型,法定最高刑为可以判处死刑。

(3)本罪的刑罚适用

根据我国《刑法》的287条和第282条第1款规定,利用计算机网络犯基本罪的,处3年以下有期徒刑、拘役、管制或者剥夺政治权利;犯重罪的,处3年以上7年以下有期徒刑。

我国《刑法》第287条关于“利用计算机网络实施……其他犯罪的,依照本法有关规定定罪处罚”的规定,是认定利用计算机网络实施本类犯罪的法律前提,但是具体行为必须符合我国《刑法》第282条归定的非法获取国家秘密罪的构成要件。如果不能同时满足其全部构成要件,不能构成本罪。

4.3.7 利用网络实施恐怖主义犯罪

1.概念

利用网络实施恐怖主义犯罪是指恐怖分子以进行恐怖活动为目的,利用网络组织,实施恐怖活动,危害公共安全的犯罪行为。

2.犯罪构成

(1)犯罪主体

本罪主体是一般主体,年满16周岁具有行为能力的自然人可以构成本罪的主体。也有法人主体,即国家和地区组织实施恐怖主义活动,如国家恐怖主义。

(2)犯罪主观方面

行为人在主观上具有故意,并且以进行恐怖活动为目的。

(3)犯罪客体

本罪的客体是社会的公共安全。社会的公共安全即不特定的多人的生命、健康、重大公私财产以及正常的生产、工作、生活的安全。犯罪行为可能危害的对象,不是针对某个人、某几个人的人身安全或某项财产权,而是不特定的对象。危害公共安全行为一旦实施,其犯罪后果就具有严重性与广泛性,容易造成很大范围的恐慌。关键是社会的每一个人或物都有可能成为侵害的对象。如果其犯罪行为只是指向特定的某个或者某些人的人身权的安全或者特定的公私财产权的安全,则不构成危害公共安全罪,而属于其他犯罪。

(4)犯罪客观方面

客观方面表现为组织、实施恐怖活动组织的行为。恐怖活动,是指以实施杀人、爆炸、绑架等恐怖活动。组织恐怖活动,实质上是鼓动、召集若干人建立或组织恐怖活动的一种集团犯罪行为。行为人只要实施了组织、领导了恐怖活动组织的行为,就应构成犯罪。

3.定罪量刑及刑罚适用

(1)罪与非罪的区别

首先看主体的构成,恐怖组织的活动即个人一般都是恐怖主义组织的成员。其次看犯罪对象,大都是不特定的人或人群或者是物,恐怖活动往往选择人群密集的地区或者建筑比较有规模的地方。这样容易引起人们的恐怖心态和恐怖情绪。

(2)本罪与散布恐怖性谣言的区别

网上造谣是与网上恐怖活动有所不同的另一种犯罪行为。网上造谣的后果有时可能造成人们的恐慌和恐惧,而有时仅是针对特定组织、个人的名誉或隐私的。网上造谣往往是一些个人行为,也可能是某些人的恶作剧,不能一概认定为网络恐怖主义,而应具体分析犯罪构成的所有方面。

(3)刑罚适用

根据我国《刑法》第120、第287条规定,组织、实施恐怖活动的,处3年以上10年以下有期徒刑;其他参与的,处3年以下有期徒刑、拘役或者管制。犯前款罪并实施杀人、爆炸、绑架等犯罪的,依照数罪并罚的规定处罚。

4.针对利用网络实施恐怖主义犯罪的对策

(1)网络恐怖主义犯罪的现状

随着信息化社会的不断推进,信息对政府、企业乃至个人生活的作用会越来越重要。若恐怖分子切断一个人与信息的联系,则就像把这个人扣押或绑架一样。恐怖分子切断某个人、某个团体、社区或某个更广泛社会与外界的通信联系,就能够散布恐惧和恐慌。电脑网络空间的建立,使反政府分子的犯罪活动更具隐蔽性和危害性。美国司法部的一位官员披露,军用电脑系统是最容易受损害的,“它们甚至比大学里的电脑系统还不可靠”。这位官员指出,在海湾战争“沙漠风暴”行动期间,黑客们对军队的实际调动和计划中的调动都可能进行了跟踪。美国空军电脑犯罪研究小组组长詹姆斯·克里斯蒂为验证军方电脑系统的可靠性成立了一个黑客小组。他报告说,黑客们在“15秒内”闯入了五角大楼的系统,接着在无人报告甚至没有人察觉到系统被闯入的情况下,他们继续闯入了空军的200多个系统。

美国“9·11”事件发生后,国际社会同声谴责恐怖主义。恐怖主义有多种形式,从信息安全角度来说,网络恐怖主义已成为信息时代的一种新威胁,受到越来越多的重视。网络恐怖主义事实的信息攻击、破坏活动,其破坏性主要取决与两个因素。其一是现实世界对信息网络的依赖性。其二是信息网络自身的脆弱性。

从网络遭受破坏的实际情况看,近年来世界许多国家网站包括美国不少著名大网站及计算机网络均遭受过黑客攻击和病毒感染。网络恐怖主义是网络犯罪的恶性发展,也是信息时代恐怖主义手段和方式发展的新领域。

(2)针对网络恐怖主义犯罪的对策

网络犯罪与网络恐怖主义已引起世界各国的普遍关注。美国从上世纪90年代中期开始,就明确把网络恐怖主义作为未来美国将要面对的主要威胁之一,认为通过对一个国家的网络系统及计算机网络硬、软件设备的破坏,有可能对经济命脉或军事系统的正常运行造成重大影响,其战略破坏性将是以往任何武器都无法比拟的。“9·11”事件发生以来,美国在加强现实空间反恐怖行动的同时,也大力加强了网络空间的反恐怖措施。

由于网络无国界,网络犯罪和网络恐怖主义通常具有跨国犯罪的特征,打击网络犯罪和网络恐怖主义正在成为世界各国的共同行动。2000年10月26日,西方八国集团在柏林召开会议,专门讨论如何提高网络安全水平和防范网上犯罪的问题。

重视对网络恐怖主义的防范工作,对于我国来说也是加强国家和国防信息安全的现实需要。近年来网络犯罪在我国也成为社会犯罪的常见形式。国家重大信息基础设施及国防信息系统泄密、窃密和遭受非法入侵的事例屡有发生;境内外邪教组织、民族分裂势力和各种反华势力利用网络造谣煽动,无所不至;境外间谍机关利用网络从事间谍活动,也从未停止过。我们对于网络犯罪和网络恐怖主义威胁也不可掉以轻心。

4.3.8 利用网络侵犯著作权罪

1.概念

利用网络侵犯著作权罪,是指以营利为目的,未经著作权人与著作权有关的权益人认可,利用网络复制刊登他人享有专有出版权的图书,未经录音录像制作者许可复制发行其制作的音像制品,违法所得数额较大或者有其他严重情节的行为。

2.犯罪构成

(1)犯罪主体

本罪的犯罪主体,是一般主体,包括个人和单位。

(2)犯罪主观方面

本罪的主观方面,必须出于直接故意,并且具有营利的目的。否则,不构成本罪。

(3)犯罪客体

本罪的客体是他人的著作权与著作权相关的权益。所谓著作权,指公民依法对文学、

网络犯罪及案例分析(教材) 86_网络犯罪案例

艺术和科学作品所享有的各种权利的总称。其中包括著作人身权和著作财产权。所谓与著作有关的权益,指传播作品的人对他赋予作品的传播形式所享有的权利,也即著作邻接权,包括出版者、表演者、电台、电视台和录音录像者的权利。本罪的犯罪对象是他人依法享有著作权的作品。

(4)犯罪客观方面

本罪的客观方面,必须具备如下三个要件:

①实施了侵犯著作权的行为。(i)未经著作权人许可,在网上复制刊登其文字作品、音乐、电影、电视、录像作品、美术、计算机网络软件及其他作品。(ii)刊登他人享有专有出版权的图书。(iii)未经录音录像制作者的许可,复制刊登其制作的录音、录像。(iv)在网上刊登、销售假冒他人署名的美术作品。

②在著作权有效保护期限内实施侵权行为。这是本罪的特定犯罪时间。如果行为发生在著作权保护以后,不构成本罪。

③违法所得数额较大或者有其他严重情节。所谓数额较大,根据最高人民法院1998年12月11日发布的《关于审理非法出版物刑事案件具体应用法律若干问题的解释》,指个人违法所得在5万元以上20万元以下。单位违法所得数额在20万元以上100万元以下的。所谓有其他严重情节,指有下列三种情况:(i)因侵犯著作权曾经两次以上被追究行政责任或者民事责任,两年内又实施前述侵犯著作权的行为之一的。(ii)个人非法经营数额在20万员以上,单位非法经营数额在100万元以上的。(iii)造成其他严重后果的。

3.定罪量刑及刑罚适用

(1)要看侵权行为是否属于我国《刑法》第217条规定的四种侵权行为,凡是不属于这四种行为的,一律不得以犯罪论处。

(2)要看行为人是否具有营利目的,凡是不以营利为目的的,不能以犯罪处罚。

(3)要看违法所得是否数额较大或者有无其他严重情节。如果违法所得尚未达到数额较大的起点,或者没有其他严重情节的,不能以犯罪处罚。

(4)根据我国《刑法》第287条、第217条和第220条规定,利用网络犯本罪的,处3年以下有期徒刑或者拘役,并处或者单处罚金;犯重罪的,处3年以上7年以下有期徒刑,并处罚金。单位犯本罪,对单位判处罚金,并对直接负责的主管人员和其他直接责任人员,依照个人犯本罪的规定处罚。

4.3.9 利用网络实施侵害名誉罪

1.概念和特点

(1)概念

利用网络实施侵害名誉罪是利用网络侮辱或诽谤他人,公然败坏他人名誉,情节严重的行为。侮辱指利用暴力或其他的方法,公然败坏他人的名誉。诽谤是指捏造并散布某种事实,足以败坏他人名誉。侮辱和诽谤都是公然败坏他人的名誉和人格,并且犯罪的对象必须都是自然人。二者的主要区别在客观方面不同:①侮辱并不要求具有捏造事实的行为,而诽谤必须具有捏造事实的行为。②侮辱罪可以用暴力手段也可以采取其他手段,而诽谤只能采取口头或图文等方式进行。

(2)特点

①隐蔽性强。网络用户可以被虚拟成游动在数以亿计的站点上的用户名,同一个人还可以有多个用户名,凭借网络上的用户名,难以确定行为人的真实身份。而且许多的网络服务如电子邮件、网络讨论等都可以匿名进行。因此,利用网络实施侮辱诽谤罪,确定行为人的身份就更加困难。

②影响范围广泛,后果严重。由于计算机网络连接世界各地,范围广泛,在公用网络

上的用户不限于一个地区、一个国家的犯罪,侮辱诽谤他人的信息可以传播到世界各地,比利用传统方法要大得多,对被害人人格名誉的损害是不堪设想的。

2.犯罪构成

(1)犯罪主体

本罪指已年满16周岁具有刑事责任能力的自然人。一般分精通计算机网络技术的人和一般自然人。

(2)犯罪主观方面

主观上只能直接故意,即行为人明知自己的侮辱行为会造成败坏他人名义的危害结果并且希望这种结果发生。行为人的目的是为了败坏他人名誉,如果行为人无意识地实施了有损于他人名誉的行为,则不能认定为侮辱、诽谤罪。

(3)犯罪客体

作为侮辱、诽谤罪的客体的名誉仅指社会名誉。当然由于本人的社会名誉受到损害必然会引起对自己和有关方面的伤害。

(4)犯罪客观方面

犯罪的客观方面包括两点:①行为人进行侮辱、诽谤罪必须有败坏他人名誉的行为。目前在网上实施侮辱、诽谤行为主要是通过文字、图形、动画等方式进行。行为人一般是把诬蔑、谩骂和捏造的事实,输入计算机网络,形成电子文档,然后上传到网上,进行传播。②侮辱、诽谤的对象必须是特定的人。特定的人既可以是一人,也可以是数人,但必须是具体的,可以确认的。在网络上进行不特定对象的侮辱,不构成侮辱罪。死者不能成为侮辱罪对象,但行为人表面上侮辱、诽谤死者,实际上是侮辱、诽谤死者家属的,则应认定为侮辱、诽谤罪。

3.定罪量刑及刑罚适用

(1)分清罪与非罪的界限

主体必须是具有刑事责任能力的自然人;行为人主观上是故意利用网络实施侵害他人名誉,手段是采取侮辱和诽谤等方式,造成对受害人的名誉损害的结果。

(2)法人能否成为本罪的对象问题

《民法通则》规定:“法人享有名誉权”。因此,法人就可以成为侮辱、诽谤的对象。但我国《刑法》分则第四章规定的是“侵犯公民人身权利、民主权利罪”。没有对该罪的法人进行规定。

(3)在线服务商和主页所有者的责任范围

在线服务商和主页所有者是否应当在其所提供的服务范围内对第三人的侵权行为负责。根据我国的国情,参考相关资料,采取过错责任和严格责任原则。在线服务商和主页所有者因自己本身的故意或过失制作、提供信息等行为造成他人名誉权损害的,应依据一般侵权行为的构成要件来认定和承担责任;在线服务商和主页所有者仅提供纯粹接入服务的,因其本身无法知悉和控制第三人的信息内容和发表言论行为,对侵权结果的发生没有过错,故不承担责任。对网络侵权受害主体要有所限制,即要将普通受害者与社会公众人物、国家公务人员在法律上的保护进行区别对待。

(4)刑罚适用

根据《刑法》第287条和第246条规定,利用网络实施侮辱、诽谤罪的,处3年以下有期徒刑、拘役、管制或者剥夺政治权利。我国《刑法》第246条第2款规定,犯侮辱、诽谤罪,“告诉的才处理,但是严重危害社会秩序和国家利益的除外”。所谓“严重危害社会秩序和国家利益的除外”,是指在下列两种情况下,由人民检查院提起诉讼:①侮辱、诽谤情节特别严重,引起了被害人自杀身亡或者精神失常等后果,被害人失去自诉能力的;②侮辱、诽谤党和国家领导人、国家元首、外交代表等特定对象,既侵害他人名誉,又危害国家利益

的。

最高人民法院1998年12月11日《关于审理非法出版物刑事案件具体应用法律若干问题的解释》第6条规定:“在出版物中公然侮辱他人或者捏造事实诽谤他人,情节严重的。依照《刑法》第246条的规定,分别以侮辱罪或者诽谤罪定罪处罚。”行为人在网络上公开发布的数据文件,也是一种非法出版物,应对网络侵犯了名誉权的问题承担责任。

4.3.10 利用网络制作、贩卖、传播淫秽物品罪

1.概念

利用网络制作、贩卖、传播淫秽物品罪,是指违反法律规定在网络上建立淫秽网站、网页,提供卖淫站点链接服务,或者传播淫秽书刊、影片、音像、图片的行为。其犯罪构成分为基本犯罪和重罪犯罪构成。

2.犯罪构成

(1)基本犯罪构成

①犯罪主体

本罪的主体可以是个人,也可以是单位。犯本罪的个人是一般主体,指年满16周岁有刑事责任能力的自然人;犯本罪的单位法律未作规定,即任何单位均可构成。

②犯罪主观方面

本罪在主观方面表现为故意,即明知是淫秽物品而在网上予以制作、复制、贩卖、传播,并且必须以牟利为目的。至于是否获利或获利多少,不影响本罪的成立。

③犯罪客体

本罪侵犯的客体是国家对文化市场的管理秩序、网络内容的管理和社会善良的道德风尚。本罪的犯罪对象是淫秽物品。所谓淫秽物品,是指具体描绘性行为或者露骨宣扬色情的淫秽性的书刊、影片、录像带、录音带、图片以及以上数字形式存在的物品。

④犯罪客观方面

本罪在客观方面表现为制作、复制、贩卖、传播淫秽物品四种行为,行为人只要实施其中一种行为,便可构成犯罪。所谓制作,是指利用计算机网络、网络技术,编写网页,将淫秽的文字、图片、动画等与其链接的行为。所谓复制,是指通过翻印、复印、复录等方式对已有的淫秽物品进行仿造的行为。所谓贩卖,是指通过网络批发、零售、倒卖、销售淫秽物品的行为。所谓传播,是指网络播放、邮寄等网络传输等方式,致使淫秽物品流传扩散的行为。

(2)重罪的犯罪构成

本罪的重罪,是指罪行在符合基本罪的构成要件的基础上,情节严重的行为。所谓情节严重,根据最高人民法院《关于审理非法出版物刑事案件具体应用法律若干问题的解释》

第8条第2款规定,是指下列情形之一:①制作、复制、出版淫秽影碟、软件、录像带250~500张(盒)以上,淫秽音碟、录音带500~1000张(盒)以上,淫秽扑克、书刊、画册500~1000副(册)以上。淫秽照片、画片2500~5000以上的;②贩卖淫秽影碟、软件、录像带500~1000张(盒)以上,淫秽音碟、录音带1000~2000张(盒)以上,淫秽扑克、书刊、画册1000~2000副(册)以上,淫秽照片、画片5000~100000张以上的;③向他人传播淫秽物品达1000~2000人次以上或者组织播放淫秽影像达50~100场次以上的;④制作、复制出版、贩卖、传播淫秽物品,获利3000~5000元以上的。

极重罪,是指罪行在符合基本罪的构成要件的基础上,情节特别严重的行为。所谓情节特别严重,根据上述司法解释第8条第3款规定,是指制作、复制、出版、贩卖、传播淫秽物品的犯罪数量(数额),达到成立重罪的犯罪数量(数额)的5倍以上。

3.定罪量刑及刑罚适用

(1)区分罪与非罪的界限

主观上是否以营利为目的,如果只是家庭自己观赏一般不能认定为犯罪。另外要注意到“情节显著轻微,危害不大的”也不能认定为本罪。

(2)刑法适用

根据《刑法》第287条、第363条、第366条规定,以营利为目的,个人利用网络、计算机网络技术制作、复制、贩卖、传播淫秽物品构成基本罪的,处3年以下有期徒刑,并处罚金;犯极重罪的,处10年以上有期徒刑或者无期徒刑,并处罚金或者没收财产。单位利用计算机网络犯本罪的,对单位判处罚金,并对直接负责的主管人员和其他责任人员,依照个人犯本罪的规定处罚。

根据《刑法》第287条、第364条第1款、第366条规定,个人利用计算机网络犯传播淫秽物品罪的,处2年以下有期徒刑、拘役或者管制;单位利用计算机网络犯本罪的,对单位判处罚金,并对直接负责的主管人员和其他责任人员,依照个人犯本罪的规定处罚。

4.3.11 利用网络实施传授犯罪方法罪

1.概念和方法

(1)概念

利用网络传授犯罪方法罪,是指通过网络,故意用语言、文字或者其他方法向他人传授犯罪方法的行为,此罪是指利用网络提供犯罪方法的行为。此种犯罪与我国现行刑法规定的传授犯罪方法罪具有两个明显的不同特点:一是网上传播计算机网络犯罪方法罪不仅传授网上犯罪方法,还提供网上犯罪的工具。二是网上传播计算机网络犯罪方法罪传授的对象是不特定的多数人,一般没有特定的传播对象。网上传播计算机网络犯罪方法的严重危害性,是难以想象的。任何人只要在网上搜索中键入“黑客”即可发现大量的中外文黑客教材、黑客工具和使用说明书等。难怪有专家惊呼,对此类犯罪如不加以有力遏制,网络犯罪的平民化,势必将在新的时代愈演愈烈,导致网络犯罪总量的更大攀升。

(2)具体方法

利用计算机网络传播犯罪方法的手段至少有以下几种:①在网络中的电子公告栏上,刊发阐述和讲解某种或某些犯罪方法的文字、图像,提供被害人网址和侵入口令、秘密等,向不特定的网络用户传授犯罪方法;②设立文件下载网络站点,提供犯罪方法的文字、图像或用于非法侵入计算机网络信息系统的“黑客”工具软件等,这类网络站点在国际网络上大量存在,仅次于儿童淫秽图片站点;③建立专门的网络站点,制作犯罪方法教学软件,讨论和传授犯罪方法,建立发送服务器,定时给他人发送有关犯罪方法的资料;④通过电子邮件,给他人传递有关犯罪方法的信件;⑤制作、传递传授犯罪方法的光盘、磁盘等,使接受人利用计算机网络等信息处理工具学习犯罪方法。

2.犯罪构成

(1)基本罪的犯罪构成

①犯罪主体

本罪的主体是一般主体,即年满16周岁具有刑事责任能力的自然人。他们一般具有相当高的计算机网络专业知识和操作技能,往往还是惯犯,前科累累。实践中往往是那些主观恶性较大的惯犯和累犯。

②主观方面

本罪在主观方面表现为故意,即行为人明知是实施某种或某些犯罪的方法而有意向他人传授,希望或放任他人利用所传授的犯罪方法去实施犯罪的心理态度。如果不具有这种心理态度,就不能认为是犯罪。比如,教他人在钥匙丢失时怎么打开自己的锁,行为人的心理态度是显然不同的。行为人的犯罪动机可能有多种,但犯罪动机不影响本罪的认定。

③犯罪客体

本罪侵犯的直接客体是社会管理秩序。本罪的行为对象有二:(1)所传授的必须是用以实施犯罪的方法,如果所传授的不是犯罪方法当然不构成本罪;(2)被传授的对象是他人,即可以是自然人,也可以是单位。

④犯罪客观方面

本罪在客观方面表现为向他人传授犯罪方法。传授犯罪方法的内容是有关犯罪的各种方式、步骤、技能、经验和反侦查手段等;在网络上传授的方式一般表现为用语言、文字、图像等形式;既可以采用公开的形式传授,也可以采用秘密的形式传授;可以是传授一种犯罪方法,也可以传授多种犯罪方法。本罪是行为犯,只要行为人实施了传授犯罪方法的行为,就构成本罪。传授犯罪方法的行为对象是其他人,至于被传授犯罪方法的他人是否具有刑事责任能力,是否是特定的自然人,不影响本罪的成立。

(2)重罪和最重罪的构成要件

本罪的重罪构成要件,是指罪行在符合基本罪构成要件的基础上,情节严重的行为。 本罪的最重罪构成要件,是指罪行在符合基本罪构成要件的基础上,情节特别严重的行为。

3.定罪量刑及刑罚适用

(1)要严格区分罪与非罪的界限

确认是否利用计算机网络实施传授犯罪方法罪,关键是要注意行为人向他人传授的是否犯罪方法,有无希望或放任他人利用所传授的犯罪方法去实施犯罪的心理。所传授的是否犯罪方法,还要受行为人有无希望或放任他人利用该方法去实施犯罪的心理态度所制约。如果行为人没有这种心理态度,或者只希望或放任被传授人去作一般违法行为,都不能认为是犯罪。

(2)关于在网络上公开破坏程序的问题

目前在网络上,有不少是攻击计算机网络系统的“黑客”工具程序,这些工具程序可以被他人利用于非法侵入或者恶意破坏计算机网络信息系统,从而实际上起到了使他人掌握犯罪方法的作用。如果行为人公开的破坏性计算机网络程序有较大的社会危害性,或者该程序极易被改造成破坏性较大的计算机网络程序,行为人对这种情况有明确认识,而且希望或放任他人接受该程序并利用其进行犯罪的,则构成本罪,否则不能认为是犯罪。

(3)关于建立网络站点连接,传播他人犯罪方法的问题

行为人在自己或者他人的网站上,通过一定的技术,故意建立链接,在网络站点之间建立连接关系,只要用鼠标点击链接,就能够将一定站点上的犯罪方法信息传输给其他站点用户。如果建立链接,故意将他人贮存的犯罪方法信息传输给不特定的第三人,即构成本罪。

(4)刑罚适用

根据我国《刑法》第287条和第295条规定,利用计算机网络犯本罪基本罪的,处5年以下有期徒刑、拘役或者管制;犯重罪的,处5年以上有期徒刑;犯极重罪的,处无期徒刑或者死刑。依据我国《刑法》第287条、第295条规定:“传授犯罪方法的,处5年以下有期徒刑、拘役或者管制;情节严重的,处5年以上有期徒刑;情节特别严重的,处无期徒刑或者死刑。”

网络犯罪及案例分析(教材) 86_网络犯罪案例

第五章 网络犯罪的侦查和认定

5.1网络犯罪的发现

网络犯罪是指行为人利用网络专业知识,以计算机为工具对存在于网络空间里的信息进行侵犯的严重危害社会的行为。“网络犯罪是信息时代的产物。无论是国外还是国内,在信息技术突飞猛进,信息产业蓬勃发展的同时,网络空间的计算机犯罪案件每年都以几倍甚至十几倍的速度增长,其所造成的损害远远大于现实空间的犯罪......”。网络犯罪具有极强的跨国性、专业化程度高、隐蔽性强、取证困难,而且犯罪主体年轻化,犯罪分子常常连续作案,造成的社会危害后果十分严重。从总体上说,侦查网络犯罪一方面应借鉴侦查传统犯罪的方法,另一方面应针对网络犯罪的特点寻找切实可行的对策。

网络犯罪跨越物理与虚拟两大空间。网络犯罪与发生在物理空间里的犯罪相比有其自身的特点,其突出特点之一便是犯罪行为难以发现及被害人不愿举报,这一特点决定了要发现网络犯罪是相当困难的。鉴于此,有必要探寻获取网络犯罪案源的方法,无案源,侦查工作也就无从谈起。

获取网络犯罪案源,除了采用传统的发现案源线索的方法外,还可以采用以下一些方法:

1.建立网络监控系统

从各个要素入手,建立一个完善的获取犯罪信息的网络系统,通过此系统搜集案源线索。首先,从组织要素考虑,组建反网络犯罪机构,如目前成立的网络监察队伍。其次,从意识要素入手,建立相应的规章制度。第三,为系统的顺利运行提供必要的物质保障。第四,在满足有关要素的基础上,使系统运行起来,通过该系统搜集与网络犯罪有关的线索。如,国际刑警组织与美国的atom tangerine公司合作,建立反计算机犯罪情报网络,该网络可以收集计算机及网上犯罪活动的情报,特别是犯罪分子即将攻击的目标和他们可能使用的手段。我国可以参照国际刑警组织的做法,在国内建立同样的网络系统。

2.建立严格审查制度

第一,建立严格审查制度,监控国家事务、国防建设和尖端科学技术领域的计算机信息系统机房是否有可疑人员闯入;第二,建立严格审查制度,监控系统管理员、程序员及操作员是否有超越本职责的越权使用计算机行为;第三, 建立严格审查制度,保证系统管理员,程序员及操作员是否严格按照制度,保证网络安全及严格遵守保密制度。

3.监控网络系统是否正常运行

第一,监控计算机信息系统出现严重故障,不能正常运行时,及时报告网络监控管理人员;第二,监控计算机存储的信息非正常丢失、更改等。

4.成立互联网欺诈投诉中心发现案件

即针对网络欺诈日益突出之状况,成立专门的互联网欺诈投诉中心,建立消费者投诉数据库,通过投诉发现线索。这与物理空间里的投诉活动一样,所不同的只是网络犯罪中的欺诈举报可通过网络投诉的形式进行,相关的接报主体可建设消费者投诉数据库,以便尽可能多地获取有关情况。如美国联邦贸易委员会建立的“消费者哨兵”投诉数据库,在1999年就收到18600条互联网欺诈投诉。2000年5月,美国司法部和联邦调查局还共同创建了一个专门监督互联网欺诈行为的网站 http://www.ifccfbi.gov,消费者和商业企业可以利用这个网站进行投诉,报告他们受到的网络欺诈。近年来,网上购物人数和金额与日俱增,有观察家预言,网上年消费额将从1999年的150亿美元猛升至2003年的780亿美元。面对这一局势,建立“消费者哨兵”将成为越来越重要的发现网络欺诈犯罪活动的手段。

5.2网络犯罪的立案

网络犯罪案件是一类刑事案件,因而在程序上必须遵守《刑事诉讼法》关于一般刑事案件侦查的程序规定。但由于其内在的特殊性,每个程序阶段都有注意事项。

5.2.1 网络犯罪的受案

1.公民报案

根据《刑事诉讼法》第84条规定,任何单位和个人发现有犯罪事实或者犯罪嫌疑人的,有权利也有义务向公安机关、人民检察院或者人民法院报案或者群报。被害人对侵犯其人身、财产权利的犯罪事实或者犯罪嫌疑人,有权向公安机关、人民检察院或者人民法院报案或者控告。公安机关、人民检察院或者人民法院对于报案、控告、举报,都应当接收。对于不属于自己管辖的,应当移送主管机关处理,并且通知报案人、控告人和举报人;对于不属于自己管辖而又必须采取紧急措施的,应当先采取紧急措施,然后移送主管机关。

接到公民报案后,公安机关必须认真对待,立即受理,问明情况,制作笔录,不得以任何理由对报案人推诿敷衍。同时,必须填写统一印制的《报案登记表》(一式三联),并将其中的《报警回执》联交报案人。报案人或事主凭《报警回执》可随时向接警单位查询案件办理情况。对确定不属于受理单位管辖的报案,受理的公安机关应将有关报案材料移送至有管辖权的机关,并通知报案人或受害人。如遇紧急情况,受理的公安机关应当及时采取紧急措施,妥善处理。报案人如果不愿公开自己姓名或报案行为的,公安机关应当为其保密。如有需要,应当保障报案人及其亲属的安全。

受理公民报网络犯罪案件时,应当注意以下几点:

(1)最好让懂网络技术,并掌握相关专业知识的民警受理,便于及时问明情况。

(2)在受理后尽可能请教相关专家,从技术上弄懂各个环节,从技术上进行先期甄别。

(3)尽可能组织初查,尽快做出是否立案的决定。计算机犯罪案件往往很难在短时间内判明案情,影响及时立案,但如果不及时立案,就不能采取侦查措施,可能贻误战机。因此,尽可能组织有关人员进行初查。

2.平时工作中发现犯罪线索

《刑事诉讼法》第83条规定:“公安机关或者人民检察院发现犯罪事实或者犯罪嫌疑人,应当按照管辖范围,立案侦查。”

5.2.2 网络犯罪的立案

公安机关,检察机关及其他有权受理报案的司法机关接报后,经审查,认为有犯罪事实发生,依法需要追究刑事责任,属于案件管辖范围的,经县级以上司法机关(地级市公安分局以上)负责人批准,予以立案。依法不追究刑事责任的,经县级以上司法机关(地级市公安分局以上)负责人批准,不予立案,并制作《不予立案通知书》,在7日内送达报案人。报案人对公安机关不立案决定不服的,可向原决定的公安机关申请复议,或向同级人民检察院提出异议。对于人民检察院认为不立案理由不能成立的,公安机关在接到人民检察院要求立案的通知后,应及时立案。立案阶段有两种情况:第一种情况是公安机关自己认为有犯罪事实存在的,决定立案;第二种情况是人民检察院责成公安机关立案。不论哪一种的情况都有前提即“认为有犯罪事实发生”。

5.3网络犯罪的取证

根据我国《刑事诉讼法》第42条第2款规定的10种证据:物证、书证、证人证言、被害人陈述、犯罪嫌疑人、被告人供述和辩解、鉴定结论、勘验、检查笔录、视听资料。因此,

在网络犯罪中,网络犯罪现场与电子证据检查,确保现场勘验检查的质量就显得尤为重要。

证据的内容和特点在各种犯罪中都是一样的,比较能够反映出网络犯罪特点的是物证、鉴定结论和勘验、检查笔录。从某种意义上来说,物证、鉴定结论和勘验、检查笔录是证明网络犯罪事实发生及犯罪嫌疑人的关键性证据。在刑事诉讼中规定收集证据是公安、司法人员为查明案件事实真相,依照法定程序调查、发现、取得和保存一切与案件有关的情况和材料的活动。法律赋予公安、司法机关进行勘验、检查、搜查、扣押等各项专门调查工作和采取拘留、逮捕等强制措施的广泛权利,是收集证据的保障。

5.3.1 网络犯罪证据的提取

网络犯罪证据大部分表现形式是电子证据,因此,网络犯罪的取证其实主要是针对电子证据的取证。

电子证据的取证规则、取证方式都有别于传统证据,传统的证据收集手段、认证都不能完全照搬使用。因为网络犯罪中证据的提取、固定有一定难度。尽管如此,还是可以针对案件的具体情况。利用电子证据自身的特点进行取证,为案件的侦破提供帮助。

1.电子证据的一般取证方式

一般取证:是指电子证据在未经伪饰、修改、破坏等情形下进行的取证。主要的方式有:

(1)打印。对网络犯罪案件在文字内容上有证明意义的情况下,可以采取直接将有关内容打印在纸张上的方式进行取证。打印后,可以按照提取书证的方法,予以保存,固定,并注明打印的时间、数据信息在计算机中的位置(如存放的路径)、取证人员等。如果是普通操作人员进行的打印,应当采取措施监督打印过程,防止操作人员实施修改、删除等操作行为。

(2)拷贝。这是将计算机文件拷贝到软盘、活动硬盘或光盘中的方式。首先,取证人员应当检验所准备的软盘、活动硬盘或光盘.确认没有病毒感染。拷贝之后,应当及时检查拷贝的质量,防止保存方式不当等原因而导致的拷贝不成功或感染有病毒等。取证后,注明提取的时间并封闭取回。

(3)拍照、摄像。如果该证据具有视听资料的证据意义可以采用拍照、摄像的方法进行证据的提取和固定,以便全面、充分地反映证据的证明作用。同时对取证全程进行拍照、摄像,还具有增加证明力,防止翻供的作用。

(4)制作司法文书。一般包括检查笔录和鉴定。检查笔录是指对于取证证据种类、方式、过程、内容等在取证中的全部情况进行的记录。鉴定是专业人员就取证中的专门问题进行的认定,也是一种固定证据的方式。使用司法文书的方式可以通过权威部门对特定事实进行认定,作为证据具有专门性、特定性的特点,具有较高的证明力。主要适用于对具有网络特色的证据的提取:如数字签名、电子商务等。目前,在我国专门从事这种网络业务认证的中介机构尚不完善。

(5)查封、扣押。对于涉及案件的证据材料、物件。为了防止有关当事人进行损毁、破坏,可以采取查封、扣押的方式,将有关材料置于司法机关保管之下。可以对通过上述几种方式导出的证据进行查封、扣押,也可以对于一些已经加密的证据进行查封、扣押。如在侵犯商业秘密的案件查办中,公安机关依法查封、扣押了办公用具及商业资料,将硬盘从机箱里拆出,在笔录上注明“扣押X品牌X型读写硬盘一块”。由于措施得当,证据提取及时,既有效地证实了犯罪,也防止了商业秘密的泄露。对于已经加密的数据文件进行查封、扣押,往往需要将整个存储器从机器中拆卸出来并聘请专门人员对数据进行还原处理。这种情况下进行的查封、扣押措施必须相当审慎,以免对原用户或其他合法客户的正常工作造成侵害。一旦硬件损坏或误操作导致数据不能读取或数据毁坏,其带来的损失将是不可估量的。

2.电子证据的复杂取证方式

复杂取证:是指需要专业技术人员协助进行的电子证据的收集和固定活动。多使用用于电子证据不能顺利获取,如被加密或是被人为地删改、破坏的情况以及对于计算机病毒、黑客的袭扰等这种情况下常用的取证方式,主要包括:

(1)解密所需要的证据已经被行为人设置了密码,隐藏在文件中时,就需要对密码进行解译。在找到相应的密码文件后,请专业人员选用相应的解除密码口令软件,如用Word软件制作的密码文件,选用Word软件解译解密后,对案件有价值的文件,即可进行一般取证。在解密的过程中,必要的话,可以采取录像的方式,同时应当将被解密文件备份,以防止因解密中的操作使文件丢失或因病毒损坏。如在办理一起某国际投资公司的职务犯罪案件中,侦查人员在搜查办公室时发现,其使用办公桌的抽屉和文件橱内有11张微机软盘,怀疑盘内存有其犯罪的重要证据,取回后立即送技术科进行检验,技术人员按要求进行了详细检验,无病毒,并查清了这张软盘中用Word软件所制作的文件已加入了密码。即针对所用软件采用了advanced Word 97 Password Recovery 1. 23软件成功破译了密码。利用其中的密码,解出了108份文件,从而掌握了其犯罪的重要书证,扩大了办案线索,使案件深入发展。

(2)恢复。大多数计算机系统都有自动生成备份数据和恢复数据的功能,有些重要的数据库安全系统还会为数据库准备专门的备份。这些系统一般是由专门的设备、专门的操作系统组成,一般是较难篡改的。因此,当发生了网络犯罪,其中有关证据已经被修改、破坏的,可以通过对自动备份数据和已经被处理过的数据证据进行比较、恢复,获取定案所需证据。如1997年7月底,重庆市某农业大学学生处计算机办公网遭到破坏,直接影响到8月份即将开始的招生工作。侦查人员在接到报案后,及时进行了现场保护。从网络的5号无盘站上得到了一个破坏程序正对系统进行的破坏过程。这一破坏程序的运行痕迹是由于犯罪人疏忽没能把自身删掉而遗留的。侦查人员通过这个线索找到了源程序,破获了全案。如果数据连同备份都被改变或删除,可以在系统所有者的协助下通过计算机系统组织数据的链指针进入小块磁盘空间。从中发现数据备份或修改后的剩余数据进行比较分析、恢复部分或全部的数据。另外,也可以使用一些专业的恢复性软件。如Recxmer98、Recover NT EXPD等。

(3)测试。电子证据内容涉及电算化资料的,应当由司法会计专家对提取的资料进行现场验证。验证中如发现可能与软件设计或软件使用有关的问题时,应当由司法会计专家现场对电算化软件进行数据测试(侦查实验),主要是使用事先制作的测试文件,经测试确认软件有问题时,则由计算机专家对软件进行检查或提取固定。

5.3.2 网络犯罪证据的扣押、保全

1.网络犯罪证据的固定、复制与保全方法

网络犯罪证据有一定的特殊性,对于将可擦写的原始软件、查获的媒体作为证据的,为了保证其证据的不变性,应当在现场对所有原始软件、查获的媒体采取写保护措施,并由现场见证人、当事人签名(盖章),捺指印。如在利用网络进行色情传播的犯罪中,网络犯罪证据就是硬盘上的黄色影片,AVI或RM格式的文件就是一种网络犯罪证据,可以按照这种方式、方法进行证据的扣押。

所有有用的证据都应及时固定,按照有关规定要求拍摄现场全过程的照片、录像,制作《现场勘查笔录》及现场图,并记录现场照相、录像的内容、数量以及现场图的种类和数量。

对一些网络犯罪证据进行文书化,打印后标明提取时间、地点、工具、提取人、见证人。在网络犯罪证据文书化后,在文书材料右上角加盖印章并逐项填写。如在某些特定的计算机案件中。如网络遭受黑客攻击,应收集的证据包括:系统登录文件、应用登录文件、AAA登录文件(比如RADIUS登录)、网络单元登录(Network Element logs)、防火墙登录、RIDS事件、磁盘驱动器、文件备份、电话记录等等。收集证据时要注意:在移动或拆卸任

何设备之前都要拍照。在信息收集中要至少有两人,以防止篡改信息。应记录所采取的所有步骤以及对配置设置的任何改变,要把这些记录保存在安全的地方。也可以通过采用相关的设备或设置陷阱跟踪捕捉犯罪嫌疑人。

网络犯罪证据的备份一般应当将存储介质中的内容按其物理存放格式(如主扇区、包括坏扇区)进行备份。作为证据使用的电子证据存储介质,应记明案由、对象、内容、录取、复制的时间、地点、规格和类别。

要妥善保管存储网络犯罪数据证据的介质,远离高磁场、高温环境,避免静电、潮湿、灰尘、挤压和试剂的腐蚀。使用纸袋装计算机元件或精密设备,不能使用塑料袋,防止静电和消磁。证据要集中保存,以备随时重组、试验或展示。

2.网络犯罪证据固定与保全的一般原则

根据网络犯罪证据的特点,对于搜查、扣押单位和个人提供的可以证明犯罪嫌疑人有罪或无罪的网络犯罪证据,保管这些网络犯罪证据的载体时应当遵循:

多备份原则,即对于网络犯罪证据的媒体起码要制作两个副本,以备在原始数据遭到破坏的时候可以继续案件的侦查分析。

环境安全原则,差错或人为的故意都可能使网络犯罪证据的真实性发生变化。例如,静电、磁场、高温、高湿、灰尘等不符合计算机证据媒体保管物理要求的环境都可能使媒体的物理性质发生改变。

严格管理过程原则,媒体的移交、保管、开封、拆卸的过程必须由侦查人员和保管人员共同完成。对于移动媒体包装的封印、必须每个环节都检查封印的真实性和完整性,并制作详细的笔录,由行为人共同签名。

责任原则,保管人员有义务真实可靠地保管好证据并按司法机关的要求提交证据。如果违反保管义务,将受到相应的法律制裁。保管人有义务在法庭上就证据保管作证并提供笔录,以协助法庭判断保管过程的真实性。

5.3.3 网络犯罪证据的审查

网络犯罪证据的审查判断,是司法人员对于收集的证据进行分析,研究和鉴别,找出它们与案件事实之间的客观联系,找出证据材料的证明力,从而对案件事实做出正确认定的一种活动。

在刑事诉讼中,需要对各种鉴定结论进行全面的审查,包括其科学可靠性、合法性和证明价值。应当根据案件的具体情况,审查证据的合法性:

违反法定程序收集的证据,其虚假的可能性比合法收集证据的要大得多。因此,在审查判断网络犯罪证据时,要了解证据是以什么方法、在什么情况下取得的,证据是否符合法定程序和要求,是否有影响证据效力的其他违法情形。

应当根据案件的具体情况,从以下方面审查证据的真实性:证据形成的原因;发现证据时的客观环境;证据是否为原件、原物;复制件、复制品与原件、原物是否相符;提供证据人与当事人是否具有利害关系;影响证据真实性的其他因素。

考虑到电子证据一旦被篡改、伪造,将难以被识破,难以回复,所以运用电子数据证据定案,在证据采信过程中,主要体现在:第一,证据的来源必须是客观存在的,排除臆造出来的可能性;第二,确定证据来源的真实可靠性,根据电子证据形成时间、地点、对象、制作人、制作过程及设备情况,明确电子数据证据所反映的是否真实可靠,有无伪造和删改的可能。

在查验电子证据的证据效力时,应结合电子文件的特点,考虑:

电子证据有无误操作、人为改动与删除;有无计算机通信网络出现故障、存储设备的差错;

网络犯罪及案例分析(教材) 86_网络犯罪案例

电子证据生成、储存、传输和发送人身份确定的旁证材料;

电子证据之间、电子证据与传统证据之间、单个证据与全案证据之间有无矛盾、是否吻合,差异点能否得到合理的解释;

电子证据的来源,如网络银行出具的支付、结算凭据,EDI中心提供的提单签发、ISP登录、存储、传输记录,CA认证中心提供的认证或公证书等的可靠性。

对鉴定结论,有下列情形之一的,证据不采纳:鉴定人不具备鉴定资格;鉴定程序严重违法;鉴定结论错误、不明确或者内容不完整。

对委托或者指定的鉴定部门出具的鉴定书,应当审查是否具有:鉴定的内容;鉴定时提交的相关材料;鉴定的依据和使用的科学技术手段,鉴定的过程;明确的鉴定结论;鉴定部门和鉴定人鉴定资格的说明;鉴定人及鉴定部门签名盖章。

审查电子数据证据与事实的联系:查明电子数据证据反映的事件和行为同案件事实有无关系。只有与案件相关的事实或逻辑上是相关的事实才能被认为是证据。电子证据之间,电子数据证据和其他证据之间有无矛盾,是否吻合,差异点能否得到合理解释。电子数据证据本身的技术含量及加密条件、加密方法。判断电子数据证据是否真实、有无剪裁、拼凑、伪造、篡改等,对于自相矛盾、内容前后不一致或不符合情理的电子数据证据,应谨慎审查。

根据唯一性的原则结合其他证据进行审查判断:多个连续的电子数据证据经过时间空间上的排列、组合之后,应同网络犯罪行为的发生、发展过程和结果一致,形成一个完整的证明体系,相互印证。审查有无电子数据证据所反映的事实,同有关书证、物证、证人证言是否相吻合,是否有矛盾。如果与其他证据能一致,共同指向同一事实,就可以认定其效力,可以作为定案依据,反之则不能作为定案依据。

5.4网络犯罪的侦查

网络犯罪的侦查是网络犯罪案件破获的关键,现就几种典型案件的侦查做出侦查分析。

5.4.1 操作系统案件WINDOWS系统侦查

1.在线侦查

对于正在运行的计算机信息系统,正常关闭计算机或断开电源会导致系统缓存内容、临时文件等数据丢失,网络连接状态和正在进行的会话内容也因此无法获取。此外,犯罪嫌疑人也可能会在系统中安装木马程序,在系统重新启动时删除犯罪痕迹。为此,侦查人员在调查Windows系统时,需要根据具体情况判断是否断开电源、关闭计算机。当调查正在进行的犯罪行为时,需要对处于运行状态的计算机进行在线调查。这就要求侦查人员必须具备在现场响应期间提取出所有需要的证据并进行复制的能力。

(1)获取系统日志

几乎Windows系统中的每一项事务都可以在一定程度上被审计,侦查人员通过检查Windows操作系统维护的各种日志可以获得以下信息:确定计算机在某一时间段内被使用和登录系统的用户;跟踪登录者对特定应用程序的使用;跟踪审核策略的变更,看是否有防御性的策略改变;跟踪用户权限 (如非法提高的访问权限)的变化,以及用户和组的变更。

在Windows系统中应用程序、系统和安全日志(EVENTLOG),以及Internet服务的日志(LOG)文件一般存于默认位置\Windows\system32\Log-Files目录下,其他应用程序(如防火墙、入侵检测系统)的服务有它们自己的目录,并且一般都把目录放在其自己的程序目录下。这样,侦查人员需要建立一个完整的侦查计划来查看日志文件。侦查人员必须仔细浏览和分析这些日志,以识别它们是否包含证据内容。

Windows使用一种特殊的格式来存放它的日志文件,这种格式的文件可以被事件查看器(Event Viewer)读取。计算机管理员可以使用事件查看器的Filter选项根据一定条件选择要

查看的日志条目,查看条件包括类别、用户和消息类型。下图显示了通过事件查看器显示的应用程序界面。

图5-1 通过Event Viewer查看应用程序的界面

每一个事件ID代表一个指定类型的系统事件,计算机犯罪的相应活动会激发相应的事件ID。表5—1为部分安全日志事件ID。更详细的事件ID可登录微软网站进行查询。

表5-1 部分安全日志事件ID

ID

316

517

528

529

531

538

576

578

595

(2)查看注册表

Windows操作系统使用注册表存储硬件、软件和组件的信息。可以把注册表看成一个日志文件,它包含很多对侦查人员来说有用的信息。注册表可以显示出过去安装的软件、机器的安全配置、DLL木马和启动程序以及很多不同的应用程序最近使用的文件。通过

Windows目录下的regedit.exe程序可以存取注册表数据库。图5—2给出了利用注册表编辑器检查注册表。

功能功能 某些审核时间记录被删除审核日志被清除权限策略的改变 新的信任域 成功的登录审核策略的改变 失败的登录添加新的账号 失败的登录、锁定账号权限的分配和使用启用新的账号 帐号组的改变 成功的注销删除的用户账号 特权服务的使用用户账号的改变 间接访问对象域策略的改变

图5-2 注册表编辑器

注册表包含五个根键(也称为hives:HKEY—CLASSE—ROOT、HKEY—

CURRENT_USER、HKEY、LOCAL—MACINE、HKEY—USERS、HKEY—CUR—RENT—CONFIG。这五个配置单元由系统中的四个主要文件生成:SAM、SECURITY、SOFTWARE和SYSTEM。在注册表中,所有的数据都是通过一种树状结构以键和子键的方式组织起来,十分类似于目录结构。每个键都包含了一组特定的信息,每个键的键名都是和它所包含的信息相关的。

①HKEY—CLASSES—ROOT根键存储文件关联和COM(Component Object Model)对象注册信息,由此,Windows系统根据安装的应用程序和扩展名相关联。

②HKEY—CURRENT-EUSER根键包含本地工作站中存放的当前登录的用户信息,包括用户登录用户名和暂存的密码(注:此密码在输入时是隐藏的)。用户登录Windows时,其信息从HKEY—USERS中相应的项拷贝到HKEY—CURRENT—USER中。

③HKEY—LOCAL—MACHINE根键存放本地计算机系统相关配置信息,此根键下的子关键字包括在system.dat中。该根键中的许多子键与System.ini文件中设置项类似。

④HKEY—USERS根键保存了存放在本地计算机口令列表中的用户标识和密码列表。每个用户的预配置信息都存储在}HKEY—USERS的根键中。HKEY—USERS是远程计算机中访问的根键之一。

⑤HKEY—CURRENT—CONFIG根键存放着定义当前用户桌面配置(如显示器等)的数据,最后使用的文档列表和其他有关当前用户的Windows系统的安装信息。

⑥HKEY—DYN—DATA根键存放了系统在运行时的动态数据,此数据在每次显示时都是变化的,因此,此根键下的信息没有放在注册表中。

Windows的注册表文件存放位置:%system%\system32\config,该目录下扩展名为log或sav的文件中包含的是历史信息,可以通过时间浏览器来查看。例如sav文件是在最近一次系统正常引导过程中保存的,而log文件则记录了注册表审核功能启用过程中对注册表所进行的修改。当一个用户准备运行一个应用程序时,注册表提供应用程序信息给操作系统。注册表保存关于缺省数据和辅助文件的位置信息、菜单、按钮条、窗口状态和其他可选项。它同样也保存了安装信息(如日期)、安装软件的用户、软件版本号和日期、序列号等。

根据安装软件的不同,它包括的信息也不同。侦查人员对于重要注册表数据的现场恢复,仔细地进行检查,可以找到犯罪嫌疑人犯罪活动的蛛丝马迹。

(3)获取文件的修改、创建和访问时间

获取目标系统上的所有文件的大小以及访问、修改和创建的时间是侦查人员现场勘查的重要步骤。如果侦查人员能鉴别出计算机犯罪案件发生的时间范围,则时间/日期戳就变成了那个文件被攻击者接触、上传、下载和执行的证据。

Windows系统中可以使用dir命令参数按照文件的修改、创建和访问时间控制显示。例如,dir c:/t:w/a/S/o:d。命令参数控制C驱动器上所有修改时间的递归目录列表显示,其中,参数-W是修改时间,若为-C则指创建时间,-A指上次访问时间。

(4)获得系统密码

针对所有的计算机犯罪案件调查时,侦查人员都需要在现场访问时获得系统管理员的账号和密码,在有不合作的用户时更是如此。如果对操作系统进行磁盘镜像复制,可能需要系统密码来启动系统后才能进入原有Windows2000/XP操作系统。首先需要使用类似pw dump的工具从SAM数据库中转储密码。然后在离线的鉴定分析工作站上使用John the Ripper、LOphtcrack或其他Windows密码破解工具进行破解。

(5)转储系统RAM

在Windows系统中,有两种转储内存中的内容的方法:通过GUI或通过编辑注册表。如果选择了编辑注册表,必须以当前所有的文件系统为基础 (FAT或NTFS)。除非能使用远程系统上的网络驱动器,内存转储过程才能在目标硬盘驱动器上创建了一个文件。不管采用哪种方法,都需要重新启动系统。

(6)证据介质复制

在任何案件的侦查过程中都必须遵循所有的证据规则,这就要求侦查人员在搜索系统时保护原始数据,确保证据的有效性不被破坏。为此,通常情况下,对证据介质复制需要进行完整复制,后继工作中使用从复制映象中恢复的备份进行深人分析。

在不同的情况下,可以采取以下三种方法来复制证据介质:

①利用磁盘镜像工具对证据介质进行复制。这是使用最广泛的一种方法,即侦查人员可以携带一个专用的取证工具箱,其中具有可移动的驱动器机架和许多用于现场复制的存储空间。通过将存储介质从可疑计算机上移走并连接到取证工具箱上,使用Safeback、Unix的dd命令或EnCase分别建立映象。

②通过添加一个硬盘驱动器的方法创建映像。这种建立映像的方法是向目标计算机中添加一个硬盘驱动器,与第一种方法一样,其应用也很广泛。这两种方法的过程实质上是相同的。但这种方法是使用可疑系统作为建立映像的平台,有可能会出现硬件无法正常运转的故障。

③通过网络发送映像。通过网络发送映像通常是在使用Unix系统作为制作映像平台时进行。其中包括创建支持多种磁盘和网络接口硬件的Linux启动盘或CD—ROM。侦查人员通常使用标准以太双绞线或快速以太交换机来建立从证据系统到司法鉴定工作站的点对点连接。

无论使用哪一种方法创建司法鉴定的副本,都需要对原始驱动器和最后的映像文件执行数据完整性校验,以确定所建立的副本是否具有法律效力。

2.离线侦查

侦查人员在现场勘查结束后,需要对可疑计算机建立映像,并在离线环境下进行深入分析。所谓“离线分析”(Offline Analysis),是指在受控制的操作系统(如Linux或Windows系统)或环境(如EnCase)中访问还原映像驱动器的数据。在离线分析的过程中,要确保原始映像没有被破坏和人为改动,并且是在受控制的条件下检查还原映像,此时该映像是只读的

且不能更改。

(1)建立离线分析环境

建立离线分析环境的方法有两种:一种是通过Windows 9x系统使用NTFS DOS(通过Sys internals)来浏览分区的内容。另一种是在Linux中装入还原映像,即以只读方式装入映像,并且访问还原映像,而不必担心它会被更改。这两种方法各有优缺点,前者可能会更改还原映像,后者不便于分析Windows的逻辑文件。为此,调查人员通常使用Linux作为主机操作系统来进行原始文件分析和字符串搜索,然后将还原的映像输出到Windows系统以进行逻辑文件分析。该方法具体包括以下步骤:

①在Linux下以只读模式装入还原映像,并检验装入操作是否成功。

②在SAMBA下建立共享,SAMBA允许Linux操作系统提供与标准Windows网络协议兼容的文件共享。

③使用装有诸如Quick View Plus、Microsoft Word、Outlook和其他可以访问专用数据格式的应用程序的Windows系统,查看还原映像的页面。

VMware的研发和使用简化了上述过程,并且可以用一个单一的系统检查Windows2000/XP驱动器。使用VMware,可以在Linux操作系统中装入还原的NTFS驱动器,然后从基于Windows的操作系统,通过文件共享浏览还原的NTFS驱动器的文件结构。

在重建离线分析环境的过程中,启动原始操作系统的最后一步要求登录到还原的系统上。因此,必须知道管理员级别的用户账号和密码。在这些情况下,侦查人员可以采用以下几个方法解决:

①在线调查期间使用pwdump获取SAM数据库,使用一些工具(如John the Ripper或Lophtcrack)破解密码。

②在离线分析期间获取SAM数据库,使用密码破解工具得到密码。

③通过更改注册表,绕过登录到目标计算机所需的用户身份验证。

④改变SAM中的密码。

(2)检查所有相关的日志

若想从离线系统浏览事件日志,侦查人员必须取得相关日志文件的副本。如前所述,Windows系统的日志(包括系统日志、应用程序日志、安全日志)文件通常存储在默认位置\Windows\System32\Config。在EventViewer中,选取Log/Open并指定复制的扩展名为.evt文件的路径。侦查人员通常需要执行以下步骤离线访问日志:

①打开控制面板/服务,然后为Event Log项目选择Disable(这一改变只有在重新启动工作站后才能生效),从而禁用离线分析工作站上的EventLog服务。

②改变离线分析工作站的审核策略,使其不再作任何日志记录。这是为了防止离线分析工作站向证据副本系统的安全日志写入日志。

③重新启动离线分析工作站,然后浏览控制面板/服务,检验EyentLog服务是否已经停止。

④将日志副本.evt文件放入\Windows\System32\Config目录,因为EventViewer自动默认存放在该路径下的三个.evt文件,所以需要将离线分析工作站的.evt文件改名或覆盖系统目前使用的日志文件。

⑤使用控制面板/服务,通过选取Manual Start来启用Eventlog服务。

⑥打开EventViewer,就可以浏览证据事件日志了。

如果要调查一个运行Windows Internet Information Services(IIS)的Windows2000/XP服务器,需要检查每个IIS服务(特别是Web服务器)所对应的日志文件。这些日志通常都存储在\WINNT\Systern32\LOGFiles目录下每个服务对应的子目录中。

另外,在离线检查日志时,可以使用专用工具将事件日志导入Excel或数据库中,从而

网络犯罪及案例分析(教材) 86_网络犯罪案例

在日志检查期间,提供更快的检查速度,并能更容易地生成报表和进行综合分析。

(3)进行关键字搜索

在大多数计算机犯罪案件调查过程中,对目标硬盘驱动器执行字符串搜索是非常重要的。常用关键字组合包括用户ID、密码、敏感数据(代码字)、已知的文件名和具体的主题词(如人名、地名、职称和侮辱性词汇)。

字符串搜索可以在逻辑文件结构上执行,也可以在物理层次上执行(以便检查整个驱动器的内容)。

关键字搜索技术和工具是侦查人员必须熟练掌握的。最为简单的关键字搜索可以在Windows的资源管理器上进行,但该方法不能对驱动器执行物理层次的字符串搜索,因此可以借助于磁盘搜索工具。这类工具要求使用一个受控制的启动软盘或其他介质引导目标系统,然后运行该工具,这是因为不能用物理层次的方法读一个正在Windows操作系统运行的驱动器。国内侦查人员通常使用EnCase作为磁盘搜索工具。EnCase有一种字符串搜索能力 (一种物理层次的字符串搜索),能够在它生成的证据映像文件上执行。

(4)检查可疑文件

在Windows2000/XP系统中,几乎所有发生在系统上的活动都会留下一些发生的痕迹。因此,Windows2000/XP系统中的临时文件、高速缓存文件、跟踪最近使用文件的注册文件、保留删除文件的回收站和无数的存储运行时间数据的其他位置,都是侦查人员需要分析挖掘线索的重点。可以使用JASC Software公司制作的Quick View Plus来识别可疑文件。

(5)检查可疑的电子邮件文件

电子邮件经常是所调查的犯罪嫌疑人选择的通信方式。每个最常用的电子邮件客户端(如Outlook、Netscape Messenger和Foxmail等)都有其专用的存储格式。Microsoft Outlook以其专用的格式保留邮件消息。通常可以在Documents and Settings\<User Account>\Local Settings\Application Data\Microsoft\OutLook目录下找到Windows系统的以扩展名.pst存在的Outlook文件。因为用户可以把存档文件*.pst配置在驱动器的任何位置,所以必须进行文件名搜索,以确定其位置。

离线分析另一个系统的PST文件时,需要把PST文件复制到离线分析工作站中,然后再使用Outlook客户端浏览该文件。选择File/Open/Personal Folder File,以便浏览离线分析工作站来导入目标Outlook存档文件(可疑的PST文件)。

(6)删除文件的恢复与检查

在很多情况下,计算机犯罪侦查需要恢复丢失的文件,这些文件可能是被恶意的用户为了掩盖犯罪事实而删除的。通常情况下,可以对以下三种文件进行恢复操作:

①恢复被删除的文件。计算机内被删除的文件并非真正被删除了,而只是被标记为删除,也就是说这些文件仍保存完好,直到新数据的写入覆盖这些被删除文件所在硬盘驱动器的物理空间。

很多工具可实现删除数据的恢复工作,如File Scavenger、Norton—Utilities Protect和EasyRecovery。只要删除文件所占用的硬盘驱动器空间没被最近的I/O存储器使用过,就能恢复它们,甚至可能在磁盘被重新格式化后还能进行恢复。

②检查回收站中的文件。回收站是Windows系统的一个特征,它是用来防止意外的文件删除。删除到回收站中的文件会一直保留到用户决定清空回收站的时候。但是,回收站只保留从Windows资源管理器和其他支持回收站的应用程序(如Microsoft Office应用程序)删除的文件。命令行删除的内容或第三方软件删除的内容通常不能保留在回收站中。同样,在移动存储介质或在共享的网络驱动器上删除的文件也不能进入回收站。

回收站进程为每个不同的用户都创建一个目录。该目录是在用户第一次删除一个文件时创建的。要恢复回收站的文件,首先必须找到Windows系统上隐藏的回收站所在的目录。

到分区的根目录(驱动器名),然后进入隐藏的RECYCLER目录,就可以找到回收站的内容。图5—3显示了怎样使用带有/a扩展的dir命令列出隐藏的RECYCLER目录。注意,RECYCLER目录子目录基于用户的安全标识符的方式,并且RECYCLER目录中的文件没有保留其原有的名字,尽管时间日期戳保留了与原始文件相同的内容。

RECYCLER\<SID>目录中有一个隐藏文件,称为INFO,它是一个二进制文件,将被删除文件的真实文件名和时间日期映射到RECYCLER目录中包含的要被删除的文件。可以使用特定的工具浏览这一文件,如EasyRecovy 和EnCase或Scott Ponder的Internet Explorer History Viewer。

图5-3 检查回收站的内容

③检查临时文件。很多应用程序,如Web浏览器、电子邮件客户端和其他类型的终端用户应用程序,都生成临时文件以确保正常工作。侦查技术人员检查通过检查所有扩展名为*.tmp的文件,可以找到一些多年前被删除的文档、旧的Power Point演讲稿和以附件形式接收的文件。

(7)检查注册表

离线调查注册表是一个非常简单的工作,可以从默认位置通常是\Windows\System32\Config,把注册表文件复制到离线分析工作站,然后运行regedit,选择Registry\

ImportRegistry导入这些文件即可。

(8)检查交换文件

交换文件可以包括文档、密码和用户在本地系统上最近浏览或输入的其他信息的文本的片段。Windows系统的交换文件被命名为pagefile.sys(Windows9x中的永久性交换文件被称为win386.swp)。由于交换文件中的大部分内容是以二进制格式记录,所以很少使用十六进制编辑器或其他的浏览器浏览交换文件。对交换文件进行字符串搜索也许对获取证据更有帮助。另外,某些情况下,正常关闭系统将会造成交换文件被清除,所以要谨慎操作。

(9)检查Internet历史记录

很多计算机犯罪活动涉及Internet服务,需要检查Internet历史记录。如访问WWW服务时,用户使用Netscape和Internet Explorer,它们都有各自的日志文件。通常浏览器都记录浏览历史以及跟踪最近访问的网站,也保存包含一定量的最近浏览的实际文件和Web网页的缓存。Internet Explorer在\Windows\Profiles\<UserId>\Local Settings\Temporary Internet Files\ContentXX目录的index.dat文件中保留临时Internet文件,实际的html和文件存储在Internet Explorer缓存文件中,通常可以在\Windows\Temporary Internet Files目录中找到。Windows2000在不同的目录中存储这些文件,但是它们包含类似的信息。Windows2000在\Documents and SettingS\<User Account>\Local Settings\Temporary Internet Files中保留Web浏览器缓存。Windows2000中的index.dat文件将缓存的html网页映射到实际的日期、时间和具体的URI,它位于\Documents and Settings\<User Account>\Application Data\Microsoft\Internet Explorer\UserData目录中。

Internet Explorer History Viewer和EnCase都是提供自动处理系统Web活动的明显特性的工具。

(10)检查未授权的用户账号或组

目前,在运行系统上审核用户账号和用户组的方法有以下几种:

①检查用户管理器,寻找未授权的用户账号。

②使用NTRK的usrstat浏览域控制器中所有的域账号,寻找可疑的项目。

③检查安全日志,筛选出事件ID为624(添加新账号)、626(启用用户账号)、636(改变账号组)和642(改变用户账号)的项目。

④检查系统上的\Windows\Profiles目录。如果用户账号存在,但是对应的\Windows\Profiles\<User Account>目录不存在,说明该用户账号还没有登录过系统。如果该目录确实存在,但是用户账号没有出现在用户管理器或注册表(HKLM\SAM\SAM\Domains\Account\Users\Names)中,则该用户ID曾经存在但不再继续存在。

⑤检查注册表中的SID,它位于HKLM\Software\Microsoft\Windows\Current Version\Pro fileList下。当一个用户账号被删除时,相关的Prfile目录项目不会被删除,相关的SID还保留在注册表中。

(11)检查可疑的进程

当检查一个正在运行的系统时,需要查找鉴别可疑的进程。因为这些进程大部分要监听网络连接或探测网络以获得纯文本的用户ID和密码,所以这些进程很容易在执行过程中被发现。可以使用pslist命令列出正在运行的进程名,listdlls提供每个运行中的进程的完整的命令行参数,fpoit显示监听的进程以及它们所监听的端口。

(12)寻找异常或隐藏文件

攻击者在成功入侵系统后往往需要隐藏他的文件以备后用或使一些文件不可见。攻击者通常利用NTFS文件流,在合法文件后隐藏数据。NTFS有一个在一个文件项目下存储文件数据的多重实例的功能,这一功能最初是在Macintosh Hierarchical File System(HIFS)上开发的。这些多重数据流可以用于隐藏数据,因为Windows资源管理器不显示附加流的存在。

例如,cp filel file2:filel.该命令行工具就成功地将file2隐藏在filel中,并且没有改变文件大小,但是时间/日期戳却被改变了。另外,还可以通过改变文件的扩展名或特意将文件命名为类似于重要系统文件的名字等方法来隐藏文件。

sfind、Streanms、EnCase等取证工具可以很准确地辨别出文件是否异常。

(13)检查未授权的访问点

当侦查人员调查一个被入侵的系统时,必须鉴别系统的访问点以确定访问的方式。一些工具(如netstat和port)都是鉴别系统访问点的重要工具。它们使用API调用以读取内核及用户空间的TCP和UDP连接表的内容。如果想捕获这一信息,需要允许通过还原映像引导系统。如果想在检查运行系统时完成这一步,则要在关闭系统以进行映像之前,比较这两个操作的结果,它们的差异表明存在未授权的后台程序。

①检查远程控制。实现远程控制可以使用诸如PC Anywhere、AT&T Virtual Network Computing、“冰河”等应用程序。使用这些应用程序,远程用户可以完全地控制系统,包括键盘、显示屏幕和鼠标。要监测系统上的远程控制软件,必须使用netstat、fport和pslist寻找开放的端口。也可以仔细查看文件系统以确定是否安装了远程控制软件。

②检查管理共享。所有的Windows系统都有管理共享,它是在每次引导进程结束后自动提供给远程用户的共享。这些管理共享被认为是隐藏的共享,它们的名字后面都附有“$"字符。最常用的隐藏共享是IPC$,但是每个逻辑驱动器也是一个管理共享。如果一个远程用户能鉴别和访问任何管理共享,他就能访问逻辑驱动器上的所有文件。所以,侦查人员需要对系统的管理共享进行检查。

5.4.2 路由器案件侦查

若利用网络进行犯罪,路由器等网络设备上必将会留有犯罪的某些信息,所以对这些设备进行仔细的检查,就有可能得到网络犯罪的电子证据。

1.针对路由器的攻击与入侵

对路由器的直接入侵是攻击者在获得对路由器的交互式或特权级访问,从而达到对路由器控制和对存储在路由器上数据进行非授权访问的行为。对路由器进行管理员级访问的方法包括Telnet、控制台、SSH、Web、SNMP、调制解调器和TFTP访问。由于路由器是按功能模型设计的,交互式的访问即使不在管理员级别时也是危险的。

对路由器的攻击与入侵主要有以下两种:

(1)密码攻击

大多数路由器访问的方法需要密码。路由器的不同服务(如Telnet、SNMP和授权访问)可以拥有不同的密码。攻击者可通过多种不同的方法得到路由器的密码,最直接的获取方式是通过暴力破解进行密码猜测。攻击者使用自动方式暴力破解进行密码的猜测攻击都会被IDS(入侵检测系统)截获,因此IDS在调查期间是很有用的。如果系统管理员使用的密码是非常难以猜出的(包含字母、数字和特殊字符,且长度超过8个字符等),通过暴力破解进行密码猜测就可能不是一种有杀伤力的方法。密码可以被存储在配置文件中,或者以纯文本的方式,或者使用Vigenere Cipher或MD5算法进行加密。快速地检查一下所使用的密码及加密算法能为侦查员提供一些线索。攻击者获得密码的另外一种方法是通过网络嗅探,传输纯文本数据和认证信息的协议都易受到网络嗅探的攻击,如SNMP、Telnet、HTTP和TFTP。

可使用控制台访问路由器的人员能通过重新启动和适当的过程对路由器进行管理员级访问。在调查期间,侦查人员通过系统正常运行时间信息可获得路由器上次重新启动的时间。另外,如果一台调制解调器连接到路由器,最后一个合法的用户就有可能没有正确注销,从而使攻击者不需要密码就能访问路由器。另一种危害的方法是TFTP,路由器使用TFTP在网络上存储和重新载入配置文件。TFTP是一种UDP协议,它不需要认证,所有的数据都

是以明文形式传输的。路由器配置文件经常使用如<hostname>-config或<hostname>.cfg的命名惯例。攻击者只需要扫描网络以找到路由器和TFTP服务器即可利用这些因素。攻击者还通过DNS解析得到路由器的主机名,并从TFTP服务器上请求配置文件。在样,攻击者就能够使用配置文件中的密码信息来访问路由器,或者修改配置文件,然后上传到TFTP服务器等待网络重载。

路由器可以使用多种协议更新它们的路由表,这些协议包括RIP (Route Information Protocol,路由信息协议)、OSPF、(Open Shortest Path First,开放最短路径优先)、EIGRP(Enhanced Interior Gateway Routing Protocol,增强型内部网关路由选择协议)、IGRP(Interior Gateway Routing Protocol,内部网关路由选择协议)、BGP(Border Gateway

Protoc01,边界网关协议)等。这些协议把网络间最佳路径的信息传送给与它们相邻的路由器,它们具有不同的安全级别。有些协议不提供认证能力,如RIP,路由器不要求任何认证就会接受一个RIP更新。其他的协议都有要求提供密码的能力,但是实现密码的安全性是管理员的责任。涉及路由表操纵的攻击,危及的是路由器的功能,而不是路由器本身。如果在路由表中出现了不熟悉的静态路由,路由器就可能遭受到了入侵或非法更改了配置。

(2)拒绝服务(DoS)攻击

针对路由器的拒绝服务(DoS)攻击是通过强迫路由器停止转发数据包,从而使路由器之后的所有主机都被有效地禁用。针对路由器的DoS攻击有以下三类:

①破坏路由器活动能力的攻击,如删除配置信息或拔去电源。

②降低路由器活动能力的攻击,如同时打开很多到路由器的连接。

③耗尽路由器网络带宽容量的攻击。

侦查人员在调查DoS攻击时,确定DoS攻击的类型是调查中最容易的部分。如果路由器完全不工作,则可能是破坏型攻击。首先检查比较明显的问题,如电源、电缆和配置。判断路由器是不时地重新启动,还是其性能在均匀下降。一台间歇性重新启动的路由器可能是点对点攻击造成的,即针对该路由器的攻击。而性能的均匀下降可能是由于资源或带宽消耗攻击造成的。对于任何一种情况,都可以使用网络流量监视显示出其详细信息。

如果正在监听路由器上的一个端口,那么直接到达路由器的数据包通常只影响该路由器。对路由器的数据包拥塞也可以引起性能下降。如果路由器打开了端口,过多的SYN或类似的数据包可以影响路由器的性能。另外,即使路由器没有打开端口,流量拥塞也可以影响路由器或占用带宽以使网络性能极大地下降。

2.需要收集的数据

如果对路由器数据的收集发生在路由器断电或重启之后,那么一些重要的数据如当前路由表、监听服务和当前密码等对于取证来说相当重要的数据将会丢失,取证达不到理想的效果,所以,我们对路由器中数据的取证要在其断电之前。对路由器数据的收集包括以下几方面:

(1)建立连接

要调查路由器,侦查人员必须先建立起到路由器的连接。连接路由器最好的方法就是从控制台端口访问,借助于特定硬件直接连接路由器。优点是:被正在进行网络访问的攻击者察觉的可能性较小。除非紧急情况,否则不使用Telnet连接到路由器,以避免使用嗅探器的攻击者因觉察到网络的流量并意识到调查正在进行。如果控制台访问行不通,拨号连接或一个像SSH的加密协议都是比Telnet更好的选择。

侦查人员在建立起到路由器的连接后,使用超级终端要选择Transfer Capture Text选项,确保把整个会话记入日志。

(2)获取电子证据

①记录系统时间。调查的首要步骤之一就是记录系统时间。在Cisco路由器上,可以使

网络犯罪及案例分析(教材) 86_网络犯罪案例

用show clock命令获取系统时间。

②获取登录用户信息。调查是否有其他人登录到路由器可以使用show user或systat命令。

③确定路由器的正常运行时间。使用show version命令可以获取上一次重新启动开始的系统在线时间。在反馈的信息中,软件和硬件信息将清晰地展现在侦查技术人员的眼前。

④获取路由器的端口开放信息。路由器可以提供多个允许远程连接的服务。其中最著名的是Telnet,但是还有其他一些服务。要想确定路由器上正在运行哪些服务,可使用外部端口扫描程序检测或检查配置文件。

⑤获取路由器配置信息。路由器的配置信息是侦查人员分析案情的一个重要线索。对于Cisco路由器,所有的配置信息都存储在NVRAM配置文件中。它规定了路由器行为的所有方面,当路由器启动时将使用已存储的配置。然而,可以不修改存储在NVRAM中的配置文件而直接改变路由器的配置。对配置的改变是在RAM中进行,只有执行管理性命令时才会将配置存储到NVRAM中。这样,既可以改变RAM中的配置,又可以改变NVRAM中的配置。

要存储配置文件,必须具有对路由器的授权(或特权)级别。可使用show running-config命令或使用与之等价的write terminal命令来查看当前路由器所加载的配置。

⑥获取路由表信息。路由器根据路由表内信息确定如何转发数据包。如果攻击者能够操纵路由表,他就可以改变数据包被发送到的地方。使用show ip route命令可以查看路由表。某些情况下,如攻击者只修改了路由器的静态路由信息,则路由器重新启动会造成该信息丢失,就找不到攻击者的任何痕迹了。为了避免这种情况发生,侦查人员要注意保存RAM和NVRAM中的配置。

⑦获取接口配置信息。侦查人员可以通过show ip interface命令查看每个路由器接口的配置信息,也可以从配置文件中得到这些信息。

⑧获取ARP缓存信息。路由器在ARP缓存中存储着本地广播域中所有设备的MAC地址和IP地址。攻击者有时候使用欺骗的IP或MAC地址绕过安全控制,因此在调查这些类型的攻击时ARP缓存可以有所帮助。侦查人员可以使用show ip arp命令查看ARP缓存信息。

5.4.3 应用程序服务器案件侦查

在涉及计算机和网络的违法犯罪中,侵入应用程序服务器或破坏应用程序服务器的案件屡有发生。本节主要介绍一些调查Web服务器、DNS服务器和FTP服务器的技巧。

1.WEB服务器的调查

WWW服务是Internet上应用最广泛的服务之一,针对Web服务器的攻击也是对公众心理及消费者信息最具破坏力的一种攻击类型。

Web攻击一般可以分为三类:第一,攻击服务器本身(通过请求访问服务器)。第二,攻击服务器内容(篡改站点网页)。第三,攻击公司或机构(盗窃产品或信息)。

对大多数Web攻击应该按照一定的步骤进行调查,具体还要根据Web服务器上运行的操作系统而定。检查日志文件的设置,以确定这些记录是否有价值是案件调查的重点和关键所在。这里,主要针对市场上占主导地位的两种Web服务器,即Apache和Microsoft公司的Internet Information Server(IIS),对调查Web服务器的方法进行分析。

(1)调查Web服务器日志文件

日志有助于检测攻击的发生,通过对多种日志文件进行深入的分析有助于侦查人员确定突发事件的发生,然后进一步确定攻击事件的类型、严重程度、起因以及来源。

①IIS日志。IIS的日志文件默认存储在\Windows\System32\Logfile\W3VC1下,

日志文件名依当前日期而定,格式为exyymmdd.log(其中yy为年份后两位,mm为月,dd为日)。每天都会产生一个新的日志文件。日志文件默认格式为W3C(WoAd Wide Web Consortium,万维网联盟)扩展日志文件格式,这是一种标准格式,许多第三方实用工具能够解释并分析此种格式。这种日志格式允许每小时、每天、每星期或者每月进行一次日志记录。在默认情况下,日志文件会存储访问时间、客户端IP地址、访问方法 (GET、POST等)、URL项(请求的资源或网页)以及HTTP状态(以数字状态代码表示)。

大多数日志字段含义一目了然,无须加以说明,但是HTTP状态字段需要作一些解释。一般来说,在200到299之间的HTTP数字状态代码标志着成功。通常情况下,数字状态代码200表示客户端请求得到满足。300到399之间的不同数字状态代码代表客户端要完成请求所必须采取的行动,这意味着需要自动重定向到其他地方,例如,在Web站点的内容移到了另一个位置的情况下就必须如此。400到499以及500到599之间的数字状态代码分别标志着客户端以及服务器端的各种错误。400到499之间的数字状态代码中最常见的是404和403,其中404代表请求的资源在服务器上找不到,而403代表请求的资源被禁止访问。

②Apache日志。Apache日志默认情况下的存储位置是/us/local/apache/logs,主要有Access-log访问日志、ssl-request-log SSL请求日志以及ssl engine log SSL引擎日志。

Access-log访问日志包含关于客户端IP地址的多个字段,分别为唯一个人识别码(常常是空白)、用户名(在要求认证的情况下)、访问日期、访问方法、请求资源、连接协议所用版本、HTTP状态、传输的字节数。访问方法、所请求的资源和协议版本位于名为Method Resource Protocol的字段中。

在对日志文件进行分析时,要注意信息是以一种简单易读的方式进行存储的。调查可能的攻击事件时比较重要的字段包括时间/日期戳、源IP地址、HTTP状态代码以及请求的来源。

(2)调查Web服务器网页篡改攻击

对Web站点网页的篡改是最普通的攻击行为之一。侦查人员只要检查网站的变化,即可确认Web服务器是否受到攻击。首先需要保存被篡改的网页作为证据,接下来需要系统地检查日志文件,尤其是操作系统的安全日志。因为要对Web站点发动篡改网页的攻击,攻击者必须拥有对该Web站点根目录的写访问权。写访问权属于管理员权限,攻击者获取这一特权行为会记录到日志中。

(3)调查针对Web应用程序的攻击

应用程序级攻击主要是针对Web站点的功能。攻击者操作应用程序以得到他们想要的信息,或者使应用程序以不同于管理机构规定的方式运行,服务器将来自攻击者的每一个请求作为独立个体进行分别处理。

许多应用程序级的攻击利用cookies、基本认证以及URI编码技术获取用户的登录情况、系统访问情况以及其他必要信息,所以,这些文件是侦查人员的检查重点。此外,对日志的分析,也应有所侧重,应检查可疑的请求,以确定攻击者究竟干了些什么,以及攻击活动是否有可疑的模式存在,是否发现不同用户名却来源于同一IP地址的多次查询,是否存在与某个IP地址相关的大量错误,等等。

(4)确定攻击来源

对Web服务器的攻击常使用TCP/IP协议组。TCP的一个特征就是连接状态难于伪装,如果攻击者使用自己的计算机直接发起攻击,则日志文件中记录的地址就是发动攻击的源IP地址。为此,大多数攻击者会使用中介系统重定向他们所发出的HTTP请求。更有可能的是,攻击者会利用开放的、人员流动复杂的上网环境掩盖攻击的真正发源地,例如,从图书馆、互联网咖啡屋、网吧甚至匿名代理服务器上发动攻击。一般情况下,攻击者会登录到一个受危及的系统上(可能使用了端口重定向),然后从该系统登录到另一个受危及的系统

上,依此类推,直到他感觉距离原系统位置足够远,最后再从这些受危及系统中的某一个点发起攻击。在这种情况下,日志文件中记录的IP地址确实是攻击来源的地址,但并不是真正的攻击起始点。调查此类攻击时,难度较大,需要更多地借助传统侦查手段。

2.DNS服务器的调查

域名系统(Domain Name System,DNS)服务器既容易受到危及其功能的攻击,又容易受到针对服务器本身的直接攻击。DNS服务器响应对DNS发出的将FQDN(F'ull Qualified Domain Name,完全合格域名)转换为相应的数字IP地址的请求,反之亦然。

(1)调查直接攻击

直接DNS服务器攻击是攻击者利用DNS漏洞,以该DNS服务器运行的任意权限级别(通常为超级权限)对其进行远程登录。在配置为默认设置的服务器上几乎没有留下证据。默认情况下,大多数日志记录和错误信息都存储在syslog或信息文件中,通常在/var/log目录下。这些文件中存储的信息包括已命名的DNS服务器启动的时间,有时还包括其停止时间。

(2)调查针对DNS缓存的攻击

为进行DNS欺骗,攻击者可以操纵DNS服务器的运转方式并据此制造问题:通过修改DNS的缓存,可以使用户对DNS发出的域名解析请求指向攻击者精心设计的非法IP地址,而不是Internet上的原来与其对应的合法IP地址上。

DNS服务器缓存的DNS条目保持的时间是预先设置且有限的。一般来说,将缓存条目的生存期(Time-To-Live,TTL)设置为几天。对侦查人员来说,这是一个相对较小的时间段,由于考虑到要利用缓存的信息,因此必须首先确定突发事件已经发生并怀疑其中涉及了缓存破坏。当然,当确信缓存已经被破坏时,可以转储DNS服务器缓存中的内容以寻找不适当的条目。

3.FTP服务器的调查

FT'P服务器是共享文件和信息所使用的应用程序服务器。针对FTP服务器的攻击以多种形式出现,直接攻击FTP服务器和文件存储滥用是较常见的两种类型。

(1)调查对FTP服务器的直接攻击

FTP服务器漏洞允许攻击者直接危害主FTP服务器系统,如通过暴力破解进行猜测、网络嗅探或社交方式获取账号密码。此外,在允许用户上传文件的FTP服务器上,特洛伊木马可以被植入合法用户的主目录以执行攻击者的命令。调查这一类型攻击时,网络日志和主机日志提供了有价值的记录,有助于确定这种危害发生的方式、时间和来源。连接日志列出了时间、日期和源地址,主机日志和一些IDS日志也可能记录了其他有价值的信息。

(2)调查FTP文件存储滥用攻击

FTP服务器的设计允许用户上传和下载文件,如果有一些由未经授权的用户上载非法文件或含有不良信息的文件,并利用FTP服务器进行这些资料的交易,执法机构就会查封该单位的FTP服务器,并根据该案例的处理方式扣押几天甚至更长时间。

5.4.4 黑客案件侦查

在计算机犯罪案件侦查中,尤其是涉及非法侵入计算机信息系统案件的勘查过程中,可能会发现很多黑客工具。分析这些工具的文件名、源代码和功能,可以达到以下目的:防范将来的类似攻击;评估攻击者的技能或危险等级;确定危及的范围;确定是否已经有了什么损失;确定入侵者的数量和类型;如果一旦抓到攻击者,准备好确凿的证据。

1.黑客工具编译过程分析

攻击者有很多方法编译源代码,通过分析黑客工具的编译过程和方法,侦查人员可以了解黑客的技术水平。

(1)静态链接的程序

静态链接的可执行文件包括成功运行该应用程序所需的所有代码,一般没有任何依赖性。这就意味着该程序可以不依赖操作系统的特定版本而运行。从Internet上下载的一些商业应用程序就是经过静态编译的,这样,它们就可以不依赖于系统的任何库文件。

(2)动态链接的程序

几乎所有的现代操作系统都支持共享程序库的使用,共享程序库通常包括了常用功能和例程。通过把程序编译成使用共享程序库,程序员可以在程序需要使用那些功能和例程时,在内存中的某处引用它们,而不用把所有代码都合并进应用程序本身。这就减小了可执行文件的大小,节约了系统内存,并且允许在无须改变任何原文件的情况下更新共享程序库。使用共享程序库的程序就是动态编译的。每个动态编译的程序都会引用位于内存中的共享程序库的单个副本。

(3)使用debug选项编译的程序

在个别情况下,会遇到用debug模式编译的黑客工具。debug编译一般是软件开发人员在程序开发的早期阶段使用的,帮助他们查找并排除故障以及优化代码,起用了debug选项时,编译器将会包括许多有关程序和源代码的信息。

(4)被剥离的程序

剥离(Strip)是一种会丢弃来自目标代码的所有符号从而使文件更小、也许更优化了执行速度的功能。剥离以后,动态编译的程序就会得到最小的可执行文件,在侦查人员使用字符串和符号提取技术分析时,侦查人员对这些类型的文件进行分析通常是最困难的。

(5)用UPX打包的程序

UPX(Ultimate Packer fore Xecutables)是一个高效的可执行文件压缩工具, Linux和

Win32应用程序都可以使用UPX压缩。

2.黑客工具的静态分析

静态分析是在不实际执行代码的情况下进行的黑客工具分析。其主要步骤如下:

(1)确定正在检查的文件类型

在识别出需要工具分析的可执行文件之后,下一步就是确定可执行文件是怎样编译的,以及它们本来的操作系统和体系结构。

(2)查看ASCII和UNICODE字符串

目标代码的静态分析包括检查二进制文件的ASCII格式字符串。通过识别关键字、命令行参数和变量,可以在一定程度上识破程序的用途。用来提取ASCII字符串的命令是Strings。基于Windows的黑客程序需要使用UNICODE字符串搜索。此外,十六进制编辑器也是侦查人员的可选工具,它可以在文件中同时看到UNICODE和ASCII字符串。在对黑客程序进行ASCII和UNICODE字符串检查时,应重点寻找以下几项:在应用程序被编译之前,源代码的名称;用于创建文件的编辑器;工具中的“help"字符串;程序显示的错误消息;静态变量的值。

(3)进行在线搜索

确定该工具是否在计算机安全或黑客网站上公开可用,把所有已在线确定的工具与正在分析的工具作比较。

(4)检查源代码

有了可以检查的源代码,就能够准确地确定黑客程序到底做了些什么。在这一环节中,需要侦查人员熟悉常见黑客程序的编程知识,如ANSIIC和Microsoft Visual.Basic脚本。

3.黑客工具的动态分析

黑客工具的动态分析是在执行代码以及解释它与主机操作系统的交互时发生。使用动态分析法时,侦查人员需要特别关注:监视时间/时间戳,确定工具影响了什么文件;运行

程序截取它的系统调用;运行网络监视确定是否生成了网络流量;监视基于Windows的可执行文件怎样和注册表交互。

(1)创建测试环境

动态分析实际上就是执行黑客程序,从而鉴别它对系统的影响。因此,需要建立适当的测试环境。

首先,确定拥有正确执行目标代码所需的操作系统和体系结构,并且要在测试系统上安装VMWare。VMWare允许在可控环境中运行该工具,而且不会破坏执行了黑客工具的测试环境。其次,确认测试系统没有连接Internet。此外,需要在黑客工具执行过程中,对网络流量进行监控。

(2)在Unix系统上进行动态分析

大多数应用程序在定义为用户空间的内存区域中运行。一般情况下,禁止用户空间的应用程序直接访问计算机硬件和资源,这些资源由内核控制以加强安全性,保持着非同时性的使用,并提供系统的稳定性。用户应用程序请求内核代表应用程序执行操作,从而访问资源,用户应用程序通过系统调用对内核发出请求。Strace可以帮助侦查人员完成在Unix系统上对黑客工具的追踪。

(3)在Windows系统上进行动态分析

对基于Windows的应用程序进行动态分析的工作流程是:运行黑客程序代码,使用实用程序监视黑客程序怎样与文件系统、注册表、应用程序编程接口(API)和操作系统交互。对Windows应用程序进行动态工具分析,可以使用File Monitor、Registry Monitor、listdlls、foort和pslist等。其中File Monitor用于截获一个程序对文件系统进行的所有访问和查询。Registry Monitor可以监听程序和Windows注册表的交互。listdlls能够显示一个程序所需的所有DLL。它列举了程序装载的动态链接库(d11)的完整路径名。foort和pslist是在Windows系统上进行动态分析的关键工具。fport应该在执行黑客工具之前和之后使用以确定是否有

黑客工具打开任何网络套接字。Pslist用于确定黑客工具在执行后是否改变了它的程序名。

5.4.5网络地址侦查

计算机犯罪侦查的主要任务是揭露犯罪事实,查明犯罪嫌疑人。但网络使犯罪嫌疑人身份确定变得非常复杂。在互联网这一虚拟社会中,IP地址、MAC地址和电子邮件地址都可以引导侦查人员确定攻击者的身份。

1.IP地址的侦查

Internet是基于TCP/IP(Transfer Control Protocol/Internet Protocol)参考模型构建的网络,任意主机都必须使用唯一的IP地址进行网络通信,因此IP地址是侦查人员追踪犯罪嫌疑人的关键线索。

然而,确定IP地址的过程是复杂的,可能出现如下情况:

(1)源IP地址可能被欺骗或被伪造。

(2)用于攻击的源IP地址可能是真正攻击来源经过多个跃点后形成的。侦查人员必须跟踪很多个也许互不相关的跃点。

(3)在某些情况下(如拨号接入 Internet),IP地址并不是静态地固定分配给一台主机,而是动态分配的。但是一个IP地址在特定时间对应一个特定系统。

下面介绍获取IP地址的常用方法:

(1)使用nslookup命令。在IPv4版本中,IP地址是一个32bit的二进制数,常用点分十进制描述,但仍然不便于用户记忆和使用。DNS(Domain Name Service)解决了这一问题,使用户可以用域名地址来访问网络服务。例如,IP地址210.40.208.2属于一个名为

WWW.ynpsc.edu.cn的系统,Unix和Windows操作系统都有一个简单的命令nslookup,可以

网络犯罪及案例分析(教材) 86_网络犯罪案例

实现这个转换。

(2)使用traceroute/tracert命令。Windows系统上的traceroute/tracert是一个系统命令,可以用于跟踪数据包从源IP地址到目标地址所经过的每一个路由器。侦查人员使用traceroute/tracert命令确定一个系统的物理位置,甚至一个网络的拓扑结构。

(3)使用Whois数据库。Whois数据库是一个中心存储库,包含在Internet上注册的每一个域的联系信息。如同Internet上的“电话簿”,侦查人员使用Whois数据库查询某个机构、公司、大学或其他实体所拥有的IP地址,并获得连接点。Unix系统带有whois命令行工具,能用于查询很多Whois数据库。Windows系统没有直接的系统命令提供该功能,因此,需要第三方应用程序或登录网站(如ARIN等)查询Whois数据库。

(4)调查动态IP地址。每一台接入Internet的主机必须拥有一个合法且唯一的IP地址。但是某些情况下,如某单位的固定IP地址数量短缺,或者用户为了隐藏网络的内部结构,需要使用动态IP地址技术。

动态IP地址意味着某个Internet上的系统在每个时间都会有不同的IP地址。相反,静态IP地址就意味着系统连接Internet的每个时刻都保留同样的IP地址。网络地址转换(Network Address Translation,NAT)和动态主机配置协议(Dynamic Host Configuration

Protocol,DHCP),这两项技术都提供动态的IP地址分配。动态IP地址一般分配给那些拨号连接Internet服务供应商的用户、使用DHCP网络的公司用户和公司拨号用户。

获取DHCP中的IP地址。DHCP服务器为访问网络的主机提供动态IP地址。不管DHCP服务器使用的是哪种操作系统,IP地址分配通常有日志记录,从中可以查询获知具体哪台主机(通过MAC地址)在某一特定时间拥有特定的IP地址。如果DHCP服务器是Unix系统,那么DHCP服务器 (名为dhcpd)使用syslogd程序记录IP地址的动态分配情况。Windows系统中,该信息存储在名为Dhcp Srvlog的文本文件中。

获取NAT中的IP地址。执行NAT的系统保留一个易失的表,称为地址转换表。该表跟踪专用网络和Internet之间的每个会话,以便正确地转发数据包。只要NAT系统从内部系统收到一个数据包,它就在地址转换表中保存内部系统保留的、不可路由的IP地址和源端口号。地址转换表中至少包含下列信息:源计算机的IP地址、源计算机的端口号、NAT系统的IP地址、NAT系统被分配的端口号。

用户不能在执行了NAT的Unix系统上访问地址转换表。但是,可以通过show ip nat translation命令获取Cisco路由器上的动态转换信息。防火墙,如CiscoPIX和Checkpoints FireWall-1,Cisco路由器,Linux,FreeBSD、OpenBSD和NetBSD都可以用于构建NAT系统。

2.MAC地址侦查

IP地址工作在TCP/IP参考模型的网络层,用于子网间通信时选择路由。而在子网内部需要使用MAC地址进行寻址。

ARP协议用于将逻辑的IP地址映射为物理的MAC地址。当计算机只知道它需要通信的计算机的IP地址,但是还需要知道那台计算机的MAC地址以建立正确的数据链路层的数据帧时,就需要使用ARP了。

(1)获取ARP表。每台计算机都存有一个记录MAC地址与IP地址对应关系的ARP表。如果ARP表中的远程计算机没有活动连接,那么在大多数系统中这个表大约30秒更新一次。ARP表被看做是用于包含系统最近30秒内与之会话的计算机的MAC地址。可以使用arp-a命令列出计算机ARP表的内容。

(2)获取当前主机的MAC地址。在运行Windows 9x的计算机上,使用Winipcfg命令。在运行Windows NT/2000系统的计算机上,使用ipcofig/a11命令。在运行Unix、Linux以及Solaris的计算机上,使用ifconfig-a命令。

5.4.6电子邮件侦查

电子邮件服务是Internet应用最为广泛的服务之一。在计算机犯罪侦查过程中,电子邮件的内容和电子邮件地址都是案件的重要线索和证据。

1.电子邮件结构

对于电子邮件证据而言,邮件内容是至关重要的。电子邮件的内容包括邮件头、邮件正文、附件信息等部分。通常,邮件头包括发件人的地址和日期、收信人的地址和主题信息。一般情况下,电子邮件软件会自动填入发信人的地址和日期。但是,发信人地址可以伪造。例如,专门用于发送E-mail炸弹的攻击软件会自动修改发送方的电子邮件地址。这样,收到的E-mail发信地址可能根本就不存在,而且发信时地址是随时变化的,要根据发信人地址追查到扔“炸弹”的人相当困难。从计算机违法犯罪案件涉案的电子邮件中获取案件线索是案件调查中的一项重要的工作。在对电子邮件的线索分析中,除信件内容外,对电子邮件信头的分析非常重要,了解、掌握电子邮件信头字段主要内容是正确分析信头的基础。现对信头基本内容介绍如下:

(1)电子邮件常用信头

电子邮件常用信头字段表如表5-2所示:

表5-2电子邮件常用信头字段表 字段名称

FROM

SENDER

REPLY-TO

TO

CC

BCC

MESSAGE-ID 描述 字段名称 描述 信件写信人信件创建日期 信件发信人信件MTA轨迹 发信回复人发信人地址 信件主收信人信件主题 信件辅收信人(抄送)信件的密件抄送收信人关于信件的其他说明信件的主题关键字 信件唯一标识符加密信息

信件长度 信件被回复到重新分发创建的字段REFERENCES 信件源STATUS

X-* 由MUA插入标识是否新信件、已阅读、回复等 信件扩展字段,由开发者创建的非标准字段

Received字段:表明信件MTA轨迹。MTA(Mail Transfer Agent)为邮件传送代理,从各种来源接收邮件,再确定邮件要路由到哪里和如何路由。处理一个信件的所有MTA必须在信件头的开始部分增加一个Received字段,该字段要求特定的顺序,以提供信件跟踪信息。

Received字段主要含有"from"、"by" 、"via"、"with"、"id"、"for"、""、"date-time"等项。from用于指定发送信件机器名字。其后圆括号注解通常指定SMTP连接另一端机器名和IP地址,是通过获得TC P连接的远方机器IP地址,并使用D N S把IP地址转换成域名。by用于指定接收机器的域名。id字段用于表示处理信件时用于信件的MTA的唯保留处理的信件的日志记录,它允许信件与MTA日志项相连接。 for用于rcpt命令中给定的收信人地址。Date-time指定Received字段插入的时间

Message-id字段:唯一标识一个信件, MTA产生。字段使用@把字段分为左右两部件形式表示,左部以时间、进程标识符,大多数日志项连接。由M U A或信件通过的第一部分,通常情况下右部以电子邮件形式表示符、左部以时间、进程表示符、同一时间邮件顺:序号的形式表示。

MUA(M ail User Agent,邮件用户代理),负责为用户提供管理邮件的界面,主要有POP、IMAP两种。POP是指邮局协议,从远程邮件服务器将邮件下载到用户的收件箱。IM AP是

指Internet信件访问协议,用户操作远程服务器的邮件文件夹。

例如:Message—id:<2007021114213.234876.l@sohu.com>

2007021114213为产生时间,234876为进程序列号,1为同一时间产生电子邮件的顺序号。

In-reply-to和Reference字段。In-reply-to表示含有用于标识当前信件回复的信件信息的信息,通常使用Message-id中的信息。

Reference字段标识一个信件所有先驱,用做In-reply-to字段的一个附属,当一个信件是对一个回复的回复时,前面信件的In-reply-to则追加到字段Reference字段

From、Date和Return—path字段。From字段可由用户自定义或由MUA插入。Date字段通常由MUA自动插入,指示信件何时被发送。Return-path字段由最后一个MTA在信件前面增加。

To和Subject字段,即邮件的收件人和邮件题目,由用户自定义。

(3)电子邮件涉及的时区

见表5-3。

表5-3 电子邮件涉及的时区表 时区

UT

GMT

EDT

EST

CDT

全称 偏移 时区 MDT MST PST 全称 偏移 世界时间格林威治标准时间东方夏时制时间中部夏时制时间北京时间中部标准时间山区夏时制时间山区标准时间太平洋标准时间 东方标准时间太平洋夏时制时间根据表5-3,例如,CST时间凌晨1时,换算成北京时间为当日15时,即CST时间相对格林威治标准时间6小时,北京时间相对格林威治标准时间+8小时,二者相差14小时。在案件调查中还经常遇到一些假冒、地址欺骗的电子邮件,对此我们在工作中还应不断地总结积累。

2.追踪邮件地址

用户可以通过Telnet命令直接连接到邮件服务器上,并且手动执行SMTP命令HELLO、MAIL、FROM、RCPTTO、DATA等。这些是邮件服务器能够识别的命令,并且在发送电子邮件时必须要执行。一般看不到这些命令,因为Netscape Messenger和其他电子邮件客户端执行这些低层命令。

识别和追踪邮件地址需要查看收到的电子邮件的报头,可以在Outlook中来查看邮件的报头。

3.追踪基于WEB的电子邮件

基于Web的电子邮件账户使得确定邮件的发送者更加困难。可以在每次发送电子邮件时都申请一个新的在线Web mail账户。很多使用者都在使用hotmail和yahoo的免费电子邮箱,这些站点中的大多数都会记录每一个访问在线Web邮件用户连接的IP地址。侦查人员可以通过查询该公司的邮件服务器获取Web邮件账户的登录时间及登录IP地址。

5.4.7 其他在网络犯罪侦查中使用的技术

嗅探(Sniff)是在网络中通过侦听的方式对通讯数据包进行监视、采集与分析的技术手段,它属于网络监听技术范畴。嗅探器(Sniffer)则是用于实现网络嗅探的程序或工具。在ISS(Internet Security Systems)中的定义为:Sniffer是利用计算机的网络接口截获目的地和其它计算机通讯数据包的一种工具。侦查人员可以利用嗅探器完成网络犯罪侦查。

1.侦查网络中是否安装了嗅探器

(1)网卡工作模式

首先侦查人员要判断系统是否被安装了嗅探器,要看当前是否有进程使你的网络接口处于混杂(Promiscuous)模式下。如果任何网络接口处于混杂模式下,就表示有可能系统被安装了网络嗅探器。但一些合法的网络监视程序和协议分析程序也会把网络接口设置为混杂模式。检测到网络接口处于混杂模式下,并不意味着系统中有嗅探器程序正在运行。

使用ipconfig命令就可以知道系统网络接口是否处于混杂模式下:

#/path-of-clean-ifconfig/ifconfig –a。

一些工具程序可帮助检测系统内的嗅探器程序:cpm (Check Promiscuous Mode)-Unix;ifstatus-Unix;neped等。但是,侦查人员必须考虑一些针对FreeBSD、Linux、HP-UX、IRIX和Solaris系统的模块,可以擦除IFF PROMISC标志位,从而使嗅探器逃过此类工具的检查。现在,LKM(Loadable Kernel Model,可加载内核模块)的广泛应用,也增加了检测难度。

(2)网络流量分析

侦查人员可以通过网络流量来判断是否在网络中安装了嗅探器。通常,嗅探器自身不发送数据包,但由于它会在工作中产生异常的网络流量,因此,网管通过运行自己的嗅探程序或网络流量监测软件,如Snoop, Net Monitor等,来监控网络通讯流量的变化,可从侧面发现嗅探器的存在。这些异常的网络流量状况可以表现为:异常高的网络通讯掉包率、某主机长时间占据较大网络带宽;SNMP监控或集线器/交换机指示灯显示其中存在异常连接;DNS流量查询显示有大量对不正常的IP地址进行的DNS查询等等。

(3)系统资源分析

混杂模式下嗅探器的抓包并不依赖硬件进行流量过滤,所以会在工作中占据和耗费系统资源,因此通过对本机系统资源的利用情况进行监测也可帮助发现嗅探器的存在。如通过在本机中安装入侵检测系统,利用其异常发现功能,对系统的CPU利用率、硬盘空间、内存占用等指标进行监控;或对怀疑有嗅探器存在的主机发送ICMP包并计算其响应时间以及对其进行大流量负载冲击测试等,都可帮助判断其中是否有嗅探器存在。同时,嗅探器程序的日志文件的大小会急剧增加。使用df程序查看文件系统的某个部分的大小是否太大,也可以发现嗅探器程序的蛛丝马迹。

(4)引诱策略

侦查人员也可以利用引诱策略来进行网络犯罪侦查,利用嗅探器抓包中识别判断的弱点,可针对性地实施引诱性查询。常见的如Ping方式和ARP方式,前者构造一个不正常的Ping包,其中的MAC地址是伪造的;后者构造一个含有非正常MAC地址的ARP请求包。上述两种数据包可发往怀疑含有嗅探器的主机,在正常情况下此类包将被丢弃,如果收到该主机的回应,则说明该主机上很可能存有嗅探器:引诱策略可扩展为多种形式,可利用多种能在目标主机上产生错误回应的协议:如TCP连接请求或使用端口7的UDP协议、能够产生ICMP错误的无效IP报头值等。不过此方式一般用于共享式局域网环境下,在交换网中交换机会将无效MAC地址数据包发往所有端口,因此无效。

(5)反嗅探工具

同时,侦查人员可以利用一些现有的反嗅探工具,可以帮助网管发现嗅探器的存在:如Anti-sniff,该软件是网络级商业化反嗅探测试工具。按照LOpht的软件介绍,Anti-sniff发送特定的数据包到网络中,以便发现混杂模式下系统的回应。它可进行3种不同类型的测试:操作系统详细测试、DNS测试和系统潜伏问题测试。其它的同类工具还有Sentinel,neped,promise等。

2.嗅探器在网路犯罪侦查的使用

(1)共享式网络下的嗅探

以太网是目前应用最广泛的计算机联网方式,其工作方式是将要传送的数据包发往本网段所有主机,这种以广播方式发送数据包的形式使得任何网络接收设备都可接收到所有正在传送的通讯数据,不过只将判断为应该接收的数据包传给上层应用程序处理。

在通常情况下,一个合法的网络接口只响应这样的两种数据包而对其它通过的数据流量不予接收;一是该数据包的目的MAC地址与本机网卡的MAC地址相匹配,另一种情况就是此数据包具有一个广播地址。

一般情况下,每块网卡都具有一种称为混杂(promiscuous)模式的工作方式,在此工作方式下,网卡不再比较数据包与本机网卡的MAC地址是否匹配,而是接收所有到达的数据包,在此情况下该主机就实现了对本网段所有通讯主机的嗅探。网络嗅探器就是这种能将本机网卡设置为混杂工作方式的软件,并在此基础上实现对所有正在网络上传输的数据进行截获、接收与分析。嗅探器的工作处于网络环境中的底层,只是静态被动地数据接收,较难被发现。

(2)交换式网络下的嗅探

随着交换机成本和价格的大幅度降低,交换式网络的比重正逐渐加大。由于交换式网络采用与共享式网络完全不同的数据传送方式,曾一度使得网络嗅探完全失效。在交换以太网中,网段被分割成端口,不同主机之间的相互通讯是通过交换机内部的不同端口间的存储转发来完成的。最常见的交换机在网络层根据数据包目标地址进行转发,而不采取以太网集线器的广播方式。从理论上讲,一个主机无法再利用数据包的广播或网卡的混杂模式对其它端口的通讯进行侦听,因此,原有的嗅探手段无法在交换式网络下实施。

不过,交换网络下的嗅探也并非完全不能进行,但要采取其它相应的策略或手段。 通过诱骗或入侵部署的关键设备与服务器。通常黑客无法直接对交换网络互连设备进行物理上的设置或改动,不过通过利用网管人员的疏忽或麻痹,采用其它入侵手段(如木马或后门程序),在成功取得系统Root控制权后,就可将嗅探器安装在数据传输的关键位置,如交换机监听端口、HUB与交换机的连接端口、核心路由服务器等。

在共享式网络环境下,HUB只是简单地把这个数据包广播到它的所有端口上,而交换环境下交换机的每个端口与一个主机的MAC地址相对应,因此数据包只传到具有相同MAC地址的端口上,所以在交换网络环境下即使将网卡设置为混杂模式也无法接收到发给其它主机的数据包。ARP欺骗与MAC地址伪造是交换网络下最主要的嗅探手段。

基于ARP (Address Resolution Protocol)地址解析协议的特点,即每个主机都含有一个MAC/IP地址映射表,ARP表是根据MAC/IP地址映射而动态刷新变化的。当通讯双方在本机ARP表中没有发现对方的MAC/IP映射对时,就会产生一个ARP地址请求包,该包在交换网络中以广播形式传送,只有符合条件的目的主机才会响应并返回一个ARP应答包以告知对方白己的MAC地址,而接收到此ARP应答包的主机就会对自己原有的ARP表进行刷新。

ARP欺骗(ARP Spoofing)利用主机响应A RP应答包并对其缓存中的ARP表进行更新的原理来实现嗅探,当嗅探器检测到以广播形式发送的ARP请求包时,会伪造虚假的ARP应答包发给请求主机,由于ARP协议规定并不只在发送了ARP请求后才接收ARP应答包,所以请求主机在接到伪造的ARP应答包后也会更新自己的ARP映射表。如果伪造的ARP应答包提供了嗅探器所在主机的MAC地址,那么,嗅探器就会捕获到发往原目的主机的数据包。为了不影响正常的原有通讯,嗅探器必须具备将收到的数据包再转发给原目的主机的机制,这种ARP重定向功能是通过嗅探器实现IP转发完成的。

MAC地址伪装的嗅探技术通常用于对交换机进行欺骗。在交换机中同样维护着一个MAC/Port对的动态映射表,该表的更新是由交换机在接收和发送数据包时不断学习积累的,交换机根据此表将具有不同MAC地址的数据包发往相应的端口。如果嗅探主机对自身的MAC地址加以改变并伪装成目标主机的MAC地址,就可迷惑交换机,将原本应发往目标

网络犯罪及案例分析(教材) 86_网络犯罪案例

主机的数据包发给嗅探主机,从而达到嗅探的目的。

MAC地址虽然是由生产厂商设置并且确保其惟一性,但并非不可改变,目前修改MAC地址的办法有:修改注册表(Windows)、利用网络命令(Linux/L1nix下的(ifconfig)、使用网卡提供的功能进行修改或者采用重写EPROM的办法来永久改变网卡的MAC地址。

上述做法在实现上都有局限性,首先是只能实现对单个目标主机通讯数据的嗅探而仍无法采集整个网段的通讯数据;其次是增大了实现难度,容易被发现:另外由于ARP表或交换机的MAC/Port映射表都处于动态更新状态,所以上述方案只能用于少量包的采集。

路由欺骗技术:如果嗅探器获得权限可以发送ICMP重定向消息或者IRDP路由发现协议消息,就可使同一网段的所有主机都对其路由表加以修改,采用此方式,嗅探器将自身主机设定为缺省路由器,使其它主机数据包要通过嗅探主机来进行路由转发,从而就实现了嗅探其它主机通讯数据的目的。路由欺骗技术与ARP欺骗相类似,路由表的工作机制也类似于ARP表,同样为了维持原有正常的网络通讯路由状况,嗅探主机也必须进行IP转发。

MAC地址淹没(Flood)攻击:嗅探器通过持续不断地发送大量的具有虚假MAC地址的数据包,使交换机不断更新其缓存中的MAC/lPort映射表,由于其缓存空间是有限的,大量虚假信息会使交换机无法进行正常数据交换,最终退回到集线器工作模式,即采用广播方式将包发往所有端口,这样,嗅探器就可接收到所有主机的通讯数据。此方式破坏了交换机的正常工作状态,属于非正常嗅探手段。

(3)利用嗅探器分析数据包

侦查人员在网络中使用了嗅探器后,可以分析数据包得到有利于网络犯罪侦查的证据,侦查人员首先必须对TCP/IP报头的概念有深刻的理解和认识,那么就为在网络上执行俘获和追踪做好了准备。当寻找“无内容”(non content)或者事务(transactional)信息时,可以在网络上使用司法部门所称的笔录记录器/俘获和追踪(pen regester/trap and trace)。在基于Internet的网络上,应用俘获和追踪意味着监测IP报头和TCP报头(或者其他传输层协议报头),而不必监视任何用户提供的数据包中的内容。这是用来确定网络攻击的来源或者探测网络流量异常(诸如会破坏常规的侵入探测系统的后门程序)的非侵入方法。这些俘获和追踪监视可以使用诸如tcpdump、snoop、snort之类的免费的标准工具或者由诸如netmon(用于Windows)之类的图形用户界面(GUI)工具来完成。

tcpdump和snoop是为时甚久的工业标准(snoop对Solaris计算机有效),一个名为

WinDump的用于Windows的tcpdump实用工具与tcpdump完全兼容,可以根据与tcpdump相同的规则来监视和诊断网络流量。它运行在Windows 95/98、Windows NT和Windows 2000系统上。Tcpdump和Windump捕获具有相同二进制格式的文件,因此,可以使用tcpdump捕获通信,而使用Windump查看它。以下命令行启动不进行过滤的俘获和追踪,并将结果打印到屏幕上:

[root@linux taps] # tcpdump

tcpdump:listening on eth0

如果在繁忙的网络上工作,会看到许多tcpdump标题行的迭代,能够创建从IP和TCP报头转换的带有许多字段的报头。不要侵犯他人隐私,使用俘获和追踪时要考虑的主要问题是如何避免在捕获用户提供的数据的同时侵犯他人的隐私。侦查人员必须清楚,许多工具默认情况下可以获取一些字节,可能会偶然获取到数据包的某些内容。对于司法部门来说,能够证实俘获和追踪没有捕获到具体内容是非常重要的。IP和TCP报头通常是40个字节长,但是各种选项会使该值变大。tcpdump程序默认每个数据包捕获68个字节,但是如果选择将输出打印到屏幕上,就可以非侵入地查看网络上的流量。

假定有一台计算机连续崩溃,但是不知道什么原因,就可以在崩溃计算机的相同网段上放置一个嗅探器来分析数据包,进行俘获和追踪来查看与崩溃计算机接触的所有流量。

以下命令行将会开始捕获在监测箱上接触网络适配器的所有流量的报头信息:

[ root@homer/ root] # tcpdump > traptracel

如果所在网络很繁忙,最好迅速停止tcpdump程序,因为traptracel文件可能会在短期内变得很大。侦查人员查看捕获文件,可以使用诸如cat、more之类的UNIX命令或者Linux专用的less命令。

可能经常需要把文件写进一个二进制输出文件,因为这是保持数据的永久记录的一种方法。要把这些值写进一个二进制文件,可以在tcpdump或者WinDump中使用-w选项。在使用snoop时,可以使用-o选项。

以下命令行在tcpdump运行的当前工作目录中创建一个名为trapfilel的二进制输出文件。

[root@linux taps] # tcpdump – x –V –i eth0-w trapfilel

tcpdump:listening on eth0

因为确定snap长度的-o选项没有指定,因此tcpdump默认捕获每个数据包中的前68字节的信息。这对于俘获和追踪来说也许捕获的内容太多了,侦查人员来做的俘获和追踪工作量就太大,某些协议在前68个字节中包含了用户提供的信息,例如用户标识或者密码。如果IP报头和TCP报头的长度合计为40个字节,tcpdump就多捕获了28个字节的用户提供的信息。图5-4显示了WinDump在执行俘获和追踪之后的输出。

图5-4 windump查看捕获和追踪二进制文件

3.在网络中架设特殊网络侦查

侦查人员可以在需要侦查的网络内架设特殊网络,在被入侵的系统上巧妙地设立Honeypot(蜜罐技术),模拟先前被入侵的状况来捕获入侵者的信息。

Honeypot和Honeynet都是一个专门设计来让人“攻陷”的网络,一旦被入侵者所攻破,入侵者的一切信息、工具等都将被用来分析学习,同时获得了入侵者一个很详细的信息,包括入侵者团体之间的通信,诸如IRC(Internet在线聊天系统)等。捕获的数据也可以存储在一个攻击特征库中,如果在其它事件中,发现类似的特征代码,就可以轻易地判断出其攻击方式,对入侵者的范围也有了一个限制。

通常情况下,Honeypot会模拟某些常见的漏洞、摸拟其它操作系统或者是在某个系统上做了设置使其成为一台“牢笼”主机。比如The Deception Toolkit(下载),CyberCop Sting,以及Mantrap,它们是一些脚本的集合,模拟出了一些常见的系统漏洞:CyberCop Sting运行于NT平台,它模拟出多个不同系统的IP堆栈及inetd服务。Mantrap则是将Solaris系统进行了一些设置。

Honeynet是一个网络系统,而并非某台单一主机,这一网络系统是隐藏在防火墙后而的,所有进出的数据都受到关注、捕获及控制。这些被捕获的数据可被用来研究分析入侵者们使用的工具、方法及动机。在这个Honeynet中,可以使用各种不同的操作系统及设备,如Solaris, Linux, Windows NT, Cisco Switch等。这样建立的网络环境看上去会更加真实可信,同时,不同的系统平台上而运行着不同的服务,比如Linux的DNS Server,Windows NT的Web server或者一个Solaris的FTP server,这样可以学习不同的工具以及不同的策略,或许某些入侵者仅仅把目标定于几个特定的系统漏洞上。在Honeynet中的所有系统都是标准的机器,上面运行的都是真实完整的操作系统及应用程序,就像在互联网上找到的系统一样。没有刻意地模拟某种环境或者故意地使系统不安全。在Honeynet里找到的存在风险的系统,与在互联网上一些公司组织的网络系统毫无区别。(参考文献:计算机取证技术研究.梁锦华.计算机工程.2002.8)

4.分析文件进行网络犯罪侦查

侦查人员可以分析文件进行网络犯罪侦查,分析文件结构后,可以对网络犯罪侦查有一定积极意义。

十六进制编辑器可对Windows的Swap File进行分析,但分析一个文件,往往需要一天甚至一周的时间,一些工具软件的使用可把时间缩短为几分钟,如NTI的IP Filter可动态获取Swap File进行分析。系统关闭后,Swap File就被删除,恢复工具软件如GetFree可获取Swap File和Unallocated Space (Erased Files),GetSlack可获取File Slack并自动生成一个或多个文件。这些分析工具对文件File Slack, Unallocated Space (Erased Files)进行关键词检索、模式匹配配,能够识别有关Internet活动的文字、电话号码、信用卡号、身份证号、网络登录及密码、E-Mail等,并可自动识别未定义的关键字。

第六章 网络犯罪的预防和控制机制

6.1 建立网络警察队伍

我们所身处的时空,正在以一种几何速率为互联网所应用,没有人想排斥互联网的巨大魅力,进而被飞速发展的世界所抛弃。然而,互联网的复杂性又往往越出了人们的想象。在这个虚拟的世界中,罪恶发生的速率同样难以计算。当互联网以其无与伦比的信息沟通优势,“网”住越来越多的有心人时,随之而来的网络犯罪或者借助网络逃脱罪责的行为也越来越多,而且花样百出。

网络上并没有绝对的自由,在这个虚拟的世界里,同样有其游戏规则。任何意图破坏虚拟世界安定的行为,同样要受到制裁和惩罚。

网络犯罪的侦查由于前面说的特殊性,不可能依靠原来侦查普通刑事犯罪的侦查队伍去进行,必须建立一支新的既懂技术又懂法律的警察队伍。目前我国至少有20个省市已经建立了特殊的网络警察,以管理和维持飞速发展的计算机网络秩序。在我国,网络警察的全称是国际互联网安全监察专业警察,目前这支特殊的警察队伍已达数千人。这种新的警察部队的目标之一,是进行网上搜寻,以防范和跟踪在数秒钟之内犯下的,几乎不留下任何痕迹的各种不良行为和犯罪活动。

6.1.1队伍力量

我国目前在行政组织上建立了从公安部到省、市级的公共信息网络安全监察部门,专门从事打击计算机犯罪活动。网络犯罪的特点决定了计算机网络犯罪案件侦查的复杂性和困难性,因此必须有一批兼有高超计算机技术和法律知识的专业队伍。同时,面对计算机及互联网技术的快速发展,要求这部分从业人员知识更新的速度更快。一方面,他们自身应努力学习,不断用新的技术和理论提高自己;另一方面,管理部门应有计划的对其进行培训并给出一定的时间,专门研究网络犯罪问题。

针对我国目前的计算机犯罪状况及其发展趋势,吸收大量专业技术人员作为司法工作人员,同时,及时有效地对所有侦查人员进行计算机专业知识的培训,将是当务之急。 近年来,我国各级公安部门不断到大学和科研院所物色人才,引入电脑专业技术人员,扩大和加强网络警察队伍阵容。一些地方公安机关甚至在媒体公开招募电脑专业人才,以保障网络警察队伍的技术优势。

建立了专门的网络警察队伍,还要保证这支队伍的高素质和高水平,必须做好以下几方面:

第一,成员要严格挑选,纳入这支队伍的应该是那些思想素质、道德品质、业务素质都比较过硬的人员,避免执法者知法犯法。

第二,网络警察要由具备综合性知识和专业技术的人才组成。他们的专业类型至少应该包括:科技政策、法律、人事管理、计算机硬件与软件、计算机系统分析、电子通信、财务审计等。

第三,必须加强对执法人员的业务培训,尽可能提高其在计算机网络管理与执法方面的能力。现代计算机网络技术发展十分迅速,如果不定期补充、更新相关人员的知识结构,培训并提高其业务水平,学习相关的信息政策、法规条例,是很难胜任其工作的。因此需要对这支警察队伍进行大力培训,尤其是在计算机及网络技术和法规方面予以特别培训。

6.1.2队伍水平

对于网络警察这支年轻的警种来说,要求必须掌握以下技术:

1.解密技术

在一些计算机网络犯罪案件中,行为人为了逃避打击,往往对自己的一些重要文件进行加密处理,这类案件侦破的关键就是必须首先解密。

2.快速备份技术

对计算机网络犯罪使用的计算机系统,要进行分析,取证时首先要将系统备份,目前计算机存储技术发展较快,存储器的存储密度和存储容量越来越大,这就需要掌握快速、大容量的备份技术。

3.数据恢复技术

计算机网络犯罪发生后,案犯往往会破坏现场,毁灭证据。因此,对破坏和删除的数据要进行有效分析和恢复,才能从中发现蛛丝马迹。

4.数据分析和证据提取技术

对存储介质的文件、残留数据进行分析、比较,提取物证也是网络警察必须掌握的技术。这部分的详细内容参看第五章。

6.1.3队伍职能

1998年,湖北武汉市计算机国际互联网安全监察专业队伍组建完毕,是全国较早的网络警察。1999年底,他们正式获得刑事办案权。随后,安徽、广东、湖北等省相继出现了网络警察队伍。据公安部统计,至2007年6月,我国共有20多个省、市、自治区建制网络警察队伍,总数有数千人。

目前比较普遍的计算机网络犯罪归纳起来主要有以下一些类型:一是“黑客非法入侵”,破坏计算机信息系统;二是网上制作、复制、传播有害信息,如传播计算机病毒、黄色淫秽信息等;三是利用计算机实施金融诈骗、盗窃、贪污、挪用公款;四是非法盗用计算机资源,如盗用账号、窃取国家机密或企业商业秘密等;五是利用互联网进行恐吓、敲诈等其他犯罪。随着计算机犯罪活动的日益新颖化、隐蔽化,未来还会出现许多其他犯罪形式。网络警察针对上述种种犯罪现象,对职责做了几大划分:有的负责电子信箱,包括打击辱骂、恫吓和垃圾邮件等现象;有的负责调查青少年色情,包括色情画面和文字;有的负责电脑追踪恐怖活动,寻找闯入和破坏计算机网络信息的入侵者;有人负责调查经济诈骗等犯罪。由于有些“黑客”还是未成年的孩子,网络警察还增加了“家访”的任务,从打击和疏导两方面维护网络的安全。

6.1.4队伍素质

1.相关的计算机专业知识

根据网络犯罪的特点,要求网络警察应该具有较强的计算机网络专业方面的知识。拥有尖端计算机和网络技术知识,是网络警察和其他警种的标志性区别。网络警察最主要的工作是进行网上搜寻、防范网络犯罪幽灵、对网吧进行管理;检索出网上的淫秽、反动信息,根据线索侦破网络犯罪案件。大多数网络犯罪人员都具有相当高的专业技术和熟练的操作技能。1999年11月,一封发自湖北武汉的电子邮件震惊了香港某公司。3亿港元——发件人向该公司开出勒索天价,并威胁,如不给将遭受更大损失。当案犯被抓获时,这名武汉某大学的四年级学生感叹道:“我怎么也想不到,公安局还有网上破案的本事。”如果没有网络警察的尖端科技,这些成绩是难以想象的。

2.雄厚的法律功底

网络犯罪及案例分析(教材) 86_网络犯罪案例

网络安全作为一个综合性课题,涉及面广,所含内容多,单纯从技术角度只能解决一个方面的问题,而不能从长远角度和全面角度规范、保障网络安全。网络无论采用何种加密技术或其他技术预防措施,都只能给实施网络犯罪增加一些困难,不能彻底解决问题。而且技术性越强可能会更加激发具有猎奇心态的人进行网络犯罪的兴趣。许多黑客都是为了打败高度防卫的计算机,并以此为荣而侵入或破坏网络的。因此,对于网络犯罪应制定网络法律,充分利用法律的规范性、稳定性、普遍性、强制性,有效保护网络当事人的合法权益,增强对网络破坏者的打击处罚力度。因此,网络警察——战斗在打击网络犯罪第一线的执法者,毫无疑问必须具有雄厚的法律功底。

3.准确把握网络犯罪的能力

网络警察的主要任务是打击网络犯罪。准确把握网络犯罪是打击网络犯罪的前提,也是网络警察的核心素质。

网络犯罪是触犯刑法的严重危害社会的行为,其破坏性远非传统犯罪可比。网络犯罪对知识产权、个人隐私和国家安全也带来了巨大的威胁,尤其是涉及国家机密或决策的计算机系统,一旦遭到侵犯或破坏,就可能给国家主权与安全带来灾难性的后果。美国康奈尔大学的一名研究生把自己设计的病毒程序输入五角大楼远景规划网络,导致美国军事基地和国家航天航空局的6000多台电脑全部瘫痪,造成直接经济损失近1亿美元。

6.2 建立网络犯罪的防范机制

防范计算机网络犯罪需要计算机安全技术,安全管理也需要依靠安全技术。但是计算机安全技术受制于计算机技术的发展,目前所采用的各项技术和管理措施,只能是相对的,甚至在很大程度上只是“补漏洞”。可以说,世界上没有攻不破的网络,也没有摧毁不了的安全解决方案。因此,用司法手段发现计算机网络犯罪并在计算机及其网络中获取可以作为法庭证据的电子数据证据,是保证计算机系统安全、打击计算机网络犯罪技术的重要手段之一。

6.2.1加强网络道德教育与宣传

在“网络社会”这个崭新的信息世界里,主体的行为往往是在“虚拟世界”的情形上进行的。在网络技术的帮助下,每个人的行为方式、行为目标等都能够得到充分隐匿篡改。在网络道德初期,由于新旧道德规范并存、交替、更迭,从而造成了规范内容的冲突和衔接的脱节,并引发了大量的失范行为。网络犯罪的防范光靠法律规范和有关部门进行反袭击是不够的。防止网络犯罪固然要通过法律手段来使网络的运行规范化、程序化,并要设立专门的机构来保障网络法律的实行,但是,仅以它们来对付计算机和网络的不道德现象和犯罪现象是不够的。因为计算机和网络系统的种种非道德和犯罪现象,都具有隐蔽性、瞬时性、高智能、高技术、跨地域、更新快的特点,这大大削弱了外在制约的力度。

正确的舆论导向是预防网络犯罪的主要方式之一。通过舆论的力量,倡导褒扬善举德行,谴责缺德行为,从而使整个网络社会形成扬善惩恶的良好动力和压力,使主流文化不但在现实社会中,而且在网络空间中也占据主要阵地,使种种网络违法行为成为“过街老鼠”。因此,必须培养人们的网络道德。加强网络道德的教育主要通过两种方式:学校教育和大众传媒的宣传。

1.学校教育

大中小学各级学校教育是进行网络道德教育的主渠道。在中小学的网络道德教育中,应注重从道德角度引导学生正确认识计算机和网络的作用,提高他们对网络信息的辨别能力。要使学生认识到,无论是计算机还是网络,都是用来为人类服务的,而不是制约人类和支配人类的。网络本身虽然没有“德行”,但是使用它的人却有德行,网络的作用因使用主体的德行不同而发生正向或反向变化。

在大学的网络道德教育中,则要侧重于网络行为的一般规范和网络责任教育。大学网络道德教育的基本规范,可以借鉴国外的一些比较成熟的东西。通过对大学生的网络道德教育,要使他们能够以道德理性来规范自己的网络行为,明确认识到任何借助网络进行的破坏、偷窃、诈骗和人身攻击等等都是非道德的、违法的甚至是犯罪的行为。必须承担相应的责任或受到相应的制裁,从而杜绝任何恶意的网络行为。

2.大众传媒的宣传

除了课堂学习以外,社会各大媒体也应该加入网络道德的宣传的行列。应充分重视媒体对形成人们潜在的网络道德的巨大作用,展开声势浩大的网络道德舆论宣传,形成人们潜在的网络道德意识。尤其值得注意的是通过网络自身来传播网络道德,通过网络管理部门来监督、引进网络道德,形成注重网络道德的社会氛围。

6.2.2加强监管

1.加强内部管理

由于已经发现的网络犯罪案例多数是由企业内部或单位内部掌握了计算机管理权限或相当技术的人员所为,因此要防范网络犯罪,加强企业或单位内部的管理是必不可少的。对外部的入侵警惕很可能使人忽视内部的安全管理。美国信息安全杂志公布的一项调查表明:尽管网络安全方面的花费不断增加,网络犯罪仍然越来越猖獗。跨界网络犯罪使得人们忽视了来自自身企业内部的安全隐患。网络安全公司Check Point Software Technologies的主管Anthony Lim介绍说:“70%的网络入侵是来自组织内部的,不管他们的动机是故意的、无意的、带欺诈性还是纯粹的黑客。”Lim表示很难确定这些内部安全破坏行为为企业造成了多大损失,因为这些破坏行为很少正式公布出来。

2.事后的报告制度

要防范来自内部的攻击,企业有许多工作要做,其中严格的管理制度是必不可少的。有了严格的内部管理,并不能保证不会发生事故。在发生了攻击事件后,要有相应的报告制度,以避免类似事件的发生。一旦发生了攻击事件后,应该及时报告,而很多企业对此认识不足,担心事件一旦泄露,会导致公司的信誉降低。而不报告的后果会使得犯罪分子更加有恃无恐。各企业应该紧密合作与网上犯罪作斗争。一旦一个企业受到攻击,就可以向其他企业发出警报。及时的攻击预报再加上政府的法律行为将有助于发现和制裁罪犯,这也有助于维护整个业界的安全,促进电子商务的发展。事实上,很多单位已经有了这样的报告制度。如中科院植物所在2000年3月制定了关于计算机信息网络违法犯罪案件报案试行制度。

3.用户网络安全应急小组

先看一个典型的成功案例:美国一家名为底特律?爱迪生的公司,他们在安全难以保证,尤其是公司计算机几乎每月都会遭到病毒侵袭的情况下,下决心废除旧的安全管理模式,成立了一个由12位人员组成的应急小组,专门用来对付这类问题。这一决策带来的效果是十分明显的。1995年8月的一个星期五的深夜,一位公司员工发现有种病毒正在破坏用微软公司的WORD软件做的文挡,于是,他立即通知了安全应急小组。小组人员迅速与微软公司和反病毒软件开发商取得了联系,没多久,就拿出了应急处理方案。他们清除了病毒,又给公司的个人计算机、局域网、工作站安装了预防这种病毒的软件,到星期二,一切问题解决了。从这个案例可以看出,安全应急小组的应用,不仅仅在于处理已经发生的异常突发情况,而且可以为用户的系统安全提出建议,杜绝安全隐患,订立预防措施;并监视记录平时的系统活动,并对于异常的情况给予及时的标记、处理。因此,对于重要的用户,如大的公司企业、医院、军事机构、政府部门等单位建立像该案例中的网络安全应急小组是必要的而且是有效的。

4.企业间的合作

除了单个企业的努力,企业间的联合包括国际间企业的联合也是非常重要的,这是由网络犯罪的跨国性地区性决定的。

Interpol(国际刑警组织)的秘书长雷蒙德.肯多尔2000年10月警告说,各企业应该紧密合作与网络犯罪作斗争。他说,Interpol正在执行一系列的计划,以帮助企业对付网上犯罪。企业也必须行动起来,向不断增加的网络犯罪活动开战。Interpol的计划包括开发安全技术和工具,在互联网上搜索潜在的攻击或犯罪活动的证据。肯多尔还强调了开发与美国的Cert协作中心类似的欧洲早期预报系统的必要性,他说,“一旦一个企业受到攻击,就可以向其他企业发出警报”。他认为,及时的攻击预报再加上全球的法律行为将有助于发现罪犯。

此外,美国商务部于2000年1月16日宣布成立信息技术信息共享与分析中心。作为该中心的共同发起者——19家计算机大公司表示将联手打击计算机网络犯罪,保证计算机网络安全。新成立的机构的任务是解决计算机网络袭击时信息共享问题,创建全球范围的早期预警系统。具体涉及三个主要方面:

第一,及时通报与交流有关计算机犯罪以及防范措施信息,包括计算机事故、计算机受到攻击情况、计算机系统薄弱环节、安全防范经验及保护措施等;

第二,形成系统的保护上述信息交流与协调的管理机制;

第三,采取其他相应措施来保证前两项任务的完成。

5.企业与政府的合作

企业除了自己单独或与其他企业联合起来防范网络犯罪以外,与政府的合作尤其是很重要的,因为企业毕竟没有侦查网络犯罪的权力,抓获犯罪并将之送上法庭仍然需要政府来进行。两者之间可以说是相互补充的关系。

6.2.3立法完善

完善有关计算机网络犯罪的法规和法律,是打击计算机网络犯罪的重要基础,面对计算机技术及网络技术的不断发展,新形式的计算机网络犯罪增多的现象,必须建立和完善法律,为打击计算机网络犯罪提供法律依据,真正用法律威慑犯罪分子,用法律教育人民。

虽然我国目前已经建立了一批计算机方面的法律和法规,但随着计算机网络犯罪形式和种类的不断增加以及越来越大的社会危害性,现有的法律尚不能完全解决司法实践中出现的问题,需要进一步修改和完善。如:需要在刑法中修改和完善计算机犯罪罪名、量刑、刑罚种类等,需要在刑事诉讼法中完善证据制度等等。

法律的完善主要包括行政法、刑法及刑事诉讼法的完善,以及针对网络犯罪的网络法的制定等。我国已经陆续制定了一些有关计算机网络犯罪方面的法律。从法律的内容来看,行政法主要是规定一些计算机安全管理方面的规章制度。刑法主要是有关定罪量刑方面的规定。而刑事诉讼法规定的是有关网络犯罪侦查及取证方面的制度。这三个方面结合起来构成了打击网络犯罪的有效法律武器。此外,有的专家、学者提出了还应该建立针对网络犯罪的网络法。

美国一家研究机构2001年初完成的一项调查显示,全球大多数国家都缺乏惩治计算机犯罪的立法。此次调查共涉及52个国家,其中33个国家的法律没有任何与惩治计算机犯罪有关的条文;有10个国家对本国法律进行了修订,增加了惩治计算机犯罪的条款;还有9个国家表示正准备进行修订。调查发现惩治计算机犯罪的法律条款最为齐全的是菲律宾,这与“爱虫”病毒曾发源于菲律宾显然不无关系;另外一个打击计算机犯罪立法较为健全的国家是美国。舆论普遍认为,加强网络法制对于在一个高度网络化的社会里充分发挥电子商务的潜力是十分关键的。本次调查的研究者呼吁各国立即着手行动起来,加强打击电脑犯罪的立法工作,以保证网络的健康发展。

1.国外的立法现状

美国:1984年10月12日,里根总统签署了美国第一部联邦计算机犯罪成文法——《伪装进入设施和计算机欺诈及滥用法》;1986年又颁布了《计算机欺诈和滥用法》;1994年美国议会通过了《计算机滥用法修正案》。起初,美国将打击重点放在未经许可而故意进入联邦利益计算机的行为上,1993年以后主要扩大了计算机犯罪的责任犯罪和为计算机犯罪的受害者提供民事补偿。

英国:1981年英国颁布了《伪造文书及货币法》;1984年又颁布了《资料保护法》。针对日益泛滥的计算机犯罪,英国又于1990年颁布了《计算机滥用法》。打击重点在于未经许可而故意进入计算机的行为,确立了非法侵入计算机罪、非法修改计算机和内部程序或数据罪等。

俄罗斯:根据俄罗斯杜马1996年5月24日通过、1997年1月1日施行的《俄罗斯联邦法典》的规定,俄罗斯计算机犯罪有三种:一是不正当调取计算机信息罪;二是编制、使用和传播有害的电子计算机程序罪;三是反电子计算机系统或其网络的使用规则罪。

2.国内立法现状及分析

行政法方面。我国目前制定的有关计算机网络安全管理法律多是行政法方面的规定。主要有以下一些规定:《计算机信息网络国际联网保密管理规定》(自2000年1月1日起施行);《商用密码管理条例》(国务院1997年10月7日发布);《国家密码管理委员会办公室公告(第一号)》;《中华人民共和国计算机信息系统安全保护条例》(国务院1994年2月18日颁布);《关于对〈中华人民共和国计算机信息系统安全保护条例〉中涉及的“有害数据”问题的批复》(公安部1996年5月9日);《关于对国际互联网的计算机信息系统进行备案工作的通知》(公安部1996年1月29日);《关于加强信息网络国际联网信息安全管理的通知》(公安部1996年7月1日);《计算机信息网络国际联网安全保护管理办法》(1997年12月11日国务院批准;1997年12月30日公安部发布);《计算机信息系统安全专用产品检测和销售许可证管理办法》(公安部1997年12月12日发布实施);《中华人民共和国公共安全行业标准》;《计算机信息系统安全专用产品分类原则》;《公安部关于防病毒卡等产品属于计算机安全专用产品的批复》;《公安部关于严厉打击利用计算机技术制作、贩卖、传播淫秽物品违法犯罪活动的通知》。

在刑法方面。我国1997年修订的新《刑法》对计算机犯罪做了规定。新《刑法》第285条、第286条等对计算机犯罪作了规定。此外,九届全国人大党委会2000年12月28日通过了《关于维护网络安全的决定》,根据该决定15种网络犯罪将受惩处。

刑事诉讼法方面。我国几乎没有关于计算机侦查方面的特殊规定,而计算机犯罪惩治的最难点恰在于侦查的难度。如关于证据的取得及效力及一些侦查措施的合法性都需要在诉讼法上加以完善。这就加大了网络犯罪的侦查难度。

目前我国有关信息安全的立法十分薄弱。有关专家认为,中国的网络太脆弱、信息安全相关立法更脆弱,到应该制定一部统一的计算机信息安全法律的时候了。由于网络的技术含量相当高,法律界以及计算机相关技术的专家应坐到一起,共同研制制定计算机信息安全法。同时有关这方面的法律需要有一定的超前性,同时又不能统得太死,不能打击计算机爱好者正当的钻研积极性。

6.3 防控网络犯罪的法律依据和对策

6.3.1西方网络犯罪立法对策研究

1.加强行政立法,严格对计算机网络信息系统的管理

世界上第一部含有计算机网络处罚的保护计算机及网络数据的法律是1973年4月4日瑞典制定的《瑞典国家数据保护法》。该法对数据的收集、存储、传输、复制、处理、使用、

修改、销毁等都作了具体性的法律规定,如第21条规定,非法接近、变更、删除或伪造计算机电子数据的行为,构成数据侵害罪。

世界上第一个对互联网络应用与行为规范提出法律约束的国家是德国。德国政府为了加强对利用信息网络传播色情节目的管理,强调网络服务者在接入时应当禁止传播有关性和新纳粹的资料,否则将受到处罚。在这种背景下,1997年8月,德国颁布了《联邦多媒体法》。

在澳大利亚,因特网的生产和管理归澳大利亚通讯和信息部,而对不法犯罪活动的打击则由总检察部负责。澳大利亚政府修订了1992年制定的广播服务法,对因特网的内容和分类作了严格的限制和规定。广播服务法明确规定,在因特网上任何人不许非法加入暴力、淫秽和色情的内容,如有违犯,将以犯罪论处。

美国1970年颁布了《金融秘密权利法》,对一般个人或法人了解银行、保险业以及其他金融业的计算机中所存储的数据,规定了必要的限制。1978年,美国总统办公室颁布了计算机安全准则,制定了从计算机设备采购到计算机人员审查的一系列规定。1987年美国颁布了《联邦计算机安全处罚条例》。1996年2月8日美国总统克林顿签署了《电信法》,其中有一部分被称为《正当电讯法案》,该法案禁止有意使用计算机给未成年人提高“不正当资讯”。1998年2月,美国国会颁布了《通信领域行为规范法案》,目的是通过规范使各行业在利用互联网进行通信时符合法律要求,并使依法治理手段日臻完善和合理化。

美国各州关于网络犯罪的法律规定也十分先进。1978年佛罗里达州通过了第一个计算机犯罪法。

以上列举的几个国家主要是在网络管理行政立法的有关情况。从犯罪学的角度,该立法行为也是打击网络犯罪的立法行为。该立法行为不仅有利于加强对网络的管理,处罚违法行为,而且为打击网络犯罪的刑事立法奠定了基础,是刑事立法的先导。

2.加强刑事立法,严惩计算机网络犯罪行为

20世纪中期开始,美、英、法、德、俄等30多个国家,先后根据各自国家计算机网络犯罪的实际情况,制定、修改或补充了惩罚计算机犯罪的法律法规,并且刑法调整的范围日益扩大,制裁渐趋加重。

美国是世界上计算机网络最发达的国家,也是网络犯罪最多最严重的国家, 1978年8月,美国佛罗里达州第一个通过了《佛罗里达计算机犯罪法》,内容包括侵犯知识产权、侵犯计算机装置和设备、侵犯计算机用户等多项犯罪以及惩处的规定。随后美国50个州除佛蒙特州外都制定了专门的计算机网络犯罪法。其中主要包括:(1)明确规定了电子信息和计算机技术以及计算机程序和文件也是财产,侵犯也是犯罪;(2)许多州规定通过计算机网络技术给犯罪提供便利的也属犯罪;(3)严重侵犯知识产权的行为都是犯罪;(4)故意非法使用和妨碍计算机网络的合法使用的行为都是犯罪;(5)任何非法插入或毒害,如植入或传送“病毒”、“蠕虫”、“逻辑炸弹”等都是犯罪;(6)任何网络上侵犯隐私,既使没有篡改或抽取任何内容,也构成犯罪。

1984年美国国会通过了《联邦禁止利用电子计算机犯罪法》,该法律规定的三种犯罪均处罚未遂犯及预备犯。1986年美国国会通过了《计算机诈骗与滥用法》,1987年美国国会制定了《计算机安全法》。1994年颁布的《计算机滥用修正法》是美国联邦关于计算机网络犯罪的主要刑事立法,该法规定的七种犯罪行为,其打击重点是未经许可故意进入政府计算机网络系统的行为。

英国有关计算机及网络的刑事立法有:1978年的《伪造文书和货币法》,1984年的《资料保护法》(the Data Protection Act),1989年的《警察及刑事证据法》(the Police and Criminal Evidence Act)以及1990年制定的《计算机滥用法》(the Computer Abuse Act)。在《计算机滥用法》中重点规定了三种计算机犯罪:(1)非法侵入计算机罪,指行为人未经授权,故意侵入计算机系统以获取其程序或数据的行为。该罪可处2000英镑以下的罚金或6个月以内

网络犯罪及案例分析(教材) 86_网络犯罪案例

的监禁;(2)有其他犯罪企图的非法侵入计算机罪,如利用读取的信息进行诈骗等。根据危害结果可判5年以下的监禁或无上限的罚金;(3)非法修改计算机程序或数据罪。该罪可判处5年以下监禁或无上限的罚金。

法国于1988年1月5日实施计算机欺诈法,该法对计算机犯罪进行分类,主要有:(1)阻碍计算机系统功能罪;(2)以欺诈方法改变计算机“文件”和非法利用伪造文件;(3)试图进行以上犯罪;(4)共谋进行以上犯罪。1994年3月1日生效的新刑法把“计算机信息领域犯罪”单独列为一章,共规定了三种计算机信息领域犯罪:侵入资料自动处理设备;妨害资料处理系统运作罪;非法输入、取消、变更资料罪。

德国1986年8月1日实施的第二次经济犯罪防治法即对刑法进行了修正,加入有关防止计算机犯罪的规定,其主要有计算机诈骗罪;资料伪造罪;资料刺探罪;资料变更罪;计算机破坏罪等。关于计算机犯罪的处罚主要有监禁和罚金,最高为10年,同时对未遂犯罪也进行了规定。

澳大利亚在修订1992年的广播服务法时明确规定,在因特网上任何人不许非法加入暴力、淫秽和色情的内容,如有违犯,必须以犯罪论处。根据新的法规,凡在网上出版发行儿童色情照片的人,将处以11万澳元的罚款和坐牢5年,并没收用于制造、出版和传播的所有电脑和财产;对在因特网上兜售色情内容的公司,最高罚款达22万澳元,作案人员将处5至10年徒刑,其公司的董事、经理、行政人员也将视情节的程度受到罚款、判刑的惩罚。

日本刑法中,明显涉及网络犯罪的法律分则条文有:第157条之1款不实记载公证文书原本罪、第161条之2款不正当制作及提供电磁记录罪、第234条之2款损坏电子计算机等的业务妨害罪、第246条之2款使用电子计算机诈骗罪、第258款毁弃公用文书罪和第259条毁弃私用文书罪。

俄罗斯1996年刑法也以专章“计算机信息领域的犯罪”为名对计算机网络犯罪进行了规定。俄刑法第272条规定了“不正当调取计算机信息罪”:指不正当地调取受法律保护的计算机信息,且导致信息遗失、闭锁、变异或复制,使电子计算机、电子计算机系统或电子计算机网络的工作遭到破坏的行为。第273条规定了“编制、使用和传播有害的电子计算机程序罪”:指编制电子计算机程序或对现有程序进行修改,明知这些程序和修改会导致信息未经批准的遗失、闭锁、变异或复制,导致电子计算机、电子计算机系统或网络工作的破坏,以及使用或传播这些程序或带有这些程序的机器载体的行为。该条还规定:“上述行为,过失造成严重后果的,处3年以上7年以下的剥夺自由。”第274条规定了“违反电子计算机、电子计算机系统或其网络的滥用规则罪”。

3.西方关于网络犯罪的立法思考

(1)从上述国家的立法情况看,对网络犯罪的惩治犯罪主要集中在以下几方面: ①非授权访问计算机及其网络系统资源,包括计算机硬件及储存其中的信息;②非授权删除、篡改、添加、替换、干扰及破坏计算机及其网络系统,包括计算机硬件、软件及网络系统信息;③非法盗用计算机设备、资源、服务以及非授权获得的信息;④利用计算机及其网络信息系统进行传统犯罪。

(2)各国立法共同的特点:

①立法的保护对象比较广泛,涉及到政府、国防、外交以及金融系统,甚至个人的计算机网络信息系统。②制裁手段明确,量刑渐趋加重。如监禁型、罚金型、资格型并用;法人也是犯罪主体;过失也要负刑事责任。

(3)各国网络犯罪刑事法规的立法模式大致有三种:

①将计算机网络犯罪刑事法规单列为一章,增加在原刑法典中,如法国、俄罗斯等;②将计算机网络犯罪刑事法规分布在原刑法的各章之中,或对刑法典中原有条款进行修改,如日本、德国等;③制定单行的计算机网络犯罪刑事法规,如美国等。此三种模式均是根据

本国的法律制度和司法实践经验而制定,各有其特点。

6.3.2 我国网络犯罪的立法对策

1.我国网络犯罪的刑事立法现状

我国关于网络的刑事法律可以归纳为以刑法为中心,辅之以单行刑法、行政法规、司法解释、行政规章及其他规范性文件的框架体系。

(1)从立法阶段看我国网络犯罪的立法进程

按时间先后可以划分为三个阶段:第一阶段(1994年~1996年),我国第一部关于网络信息安全的法律文件是1994年2月18日国务院147号令发布的《中华人民共和国计算机信息系统安全保护条例》,紧接着1996年2月1日国务院195号令发布的《中华人民共和国计算机信息系统国际联网管理暂行规定》等,标志着网络立法的全面启动。第二阶段(1996年~1999年),全国人大1997年修订《中华人民共和国刑法》,其中三条规定了有关计算机网络信息系统犯罪的内容。另经国务院批准,1997年12月1日公安部33号令发布《计算机信息网络国际联网安全保护管理办法》,其中首次规定禁止利用国际互联网制作、复制、查阅和传播违法信息,为我国网络信息安全管理奠定重要基础。第三阶段(2000年~现在),最重要的是全国人大常委会2000年12月28日发布了《关于维护互联网安全的决定》,这是我国网络安全法律体系中具有最高效力的法律文件,其全面总结了我国网络违法犯罪的各种表现形式。

(2)从法律层次上看全国性的网络犯罪立法可以划分为四个层次:

①法律类,主要有《中华人民共和国刑法》、《全国人大常委会关于维护互联网安全的决定》等。

②行政法规类,主要有《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、《中华人民共和国电信条例》(2000年9月25日国务院发布施行)、《互联网信息服务管理办法》(2000年9月25日国务院发布施行)。

③司法解释,主要有《关于审理扰乱电信市场管理秩序案件具体应用法律若干问题的解释》(2000年5月12日最高人民法院发布,2000年5月24日起施行)。

④行政法规类,主要有《计算机信息网络国际联网出入口信道管理办法》(1996年4月9日原邮电部发布施行)、《计算机信息网络国际联网安全保护管理办法》(1997年12月11日国务院批准,1997年12月30日公安部发布并施行)。

2.我国网络犯罪立法的完善

(1)确定网络犯罪的内涵

在概念的使用上,网络或计算机网络比较符合计算机网络发展的实际,如我国1998年到2001年的计算机及其网络犯罪中90%涉及到网络;网络的含义应该包括局域网、广域网、国际互联网等。

(2)正确选择立法模式

按上述立法模式我国可以列为第一类模式,因为我国刑法关于网络犯罪的规定只是一章中的三个条款,没有单独成章。这主要是由于与西方发达国家相比我国计算机网络发展较晚和法律制度不发达的结果。我们主张关于惩治网络犯罪的立法模式的选择,应该考虑三个方面的因素:法律制度的发达性、我国的立法现状、网络犯罪的实际状况。因此采用渐进的立法模式,具体分三步:第一步,针对网络犯罪主要类型修订刑法。第二步,一是修改所有现有法律制度对现有或即将出现的网络犯罪惩治条款;二是修改刑法、扩大为专章,同时修订《决定》,增加对现有或即将出现的网络犯罪惩治条款,第三步,制定单行的惩治网络犯罪的法律。这种立法模式有利于保持法律体系的稳定性、连续性、先进性。

(3)增加刑法种类

我国《刑法》第285、286条对网络犯罪的处罚既没有规定罚金型,也没有规定资格型。从西方各国网络犯罪造成巨大的经济损失案例看,大部分或绝大部分网络犯罪都是为了经济目的,而且大都是专业技术人员所为。西方各国正是基于犯罪的主体的实际情况和犯罪动机而大量采用罚金型和资格型,特别是罚金型的普遍使用。

(4)科学划分网络犯罪类型

世界各国大都以犯罪客体进行分类,但西方国家还进行其他分类,主要是根据犯罪轻重程度的分类。根据我国网络犯罪的立法现状,应当扩大刑法的范围,如增加并规范量刑,增加轻型,减少重刑,以充分体现刑罚的公正原则、人道原则以及与国际接轨原则。我国可以采用侵害客体及罪行轻重程度两种分类方法并用,更有利于制定公正、公平的刑事法律(如在我国14~16岁在其他领域犯重罪就没有处罚的法律依据),更便利于刑事司法,以确保刑事立法和司法公平性、公正性和高效性。

(5)推进量刑适当

网络犯罪不仅可以直接造成严重的社会经济损失,而且有时会严重威胁整个国家计算机网络系统的安全,具有重大社会危害性。刑法上量刑的依据是刑事责任,而刑事责任的大小与犯罪构成因素有直接联系,主要表现为与主观和危害结果的联系;另外还要考虑犯罪成本和司法成本等因素。网络犯罪成本低表现在犯罪行为人心理成本、时间成本、经济成本、犯罪黑数大等。司法成本高,表现在侦查成本高、破案率极低等。因此,根据罪责刑相适应或罪刑相当的原则,应该加重现有刑法关于网络犯罪的量刑。

(6)完善网络犯罪构成

①针对犯罪对象,在修订或制定网络犯罪法律时,根据我国网络犯罪的实际情况,吸收西方发达的优秀立法成果,力争能够涵盖打击各种形式的网络犯罪。

②针对主体,我国只规定了自然人的网络犯罪,没有关于法人的网络犯罪的刑事法律规定。而从实践上看,有必要增加法人作为犯罪主体。

③针对主观方面,我国只规定了故意的网络犯罪,而没有规定过失的网络犯罪。实践中因重大过失并造成严重危害结果的行为就很难受到刑事制裁。这一点,有必要借鉴西方国家的网络犯罪立法,增加过失的网络犯罪立法。

(7)健全刑事证据法律

我国现行刑事诉讼法规定的七种证据,不包括电子数据证据。目前有的学者也对电子数据证据作了研究,但还是应该通过法律的形式来加以规范。对电子数据证据的记录、保存、保护的相关规定,为侦破和惩治网络犯罪提供司法诉讼上的保证。

6.3.3 遏制计算机犯罪的对策

1.提高对我国计算机网络犯罪的认识

在今后5年至10 年左右,计算机网络犯罪将成为全社会危害性最大、最危险、最凶恶的一种犯罪。对此,我们必须高度重视,坚决消除“网络世界是一个虚拟世界,不能够适用现实世界的法律”等错误认识。

2.完善对我国计算机网络犯罪的立法体系

我国有关计算机网络犯罪的法规、规章在实践中有的几经修改,在很大程度上解决了我国计算机犯罪的法律问题,但仍存在着一定的滞后性和刑种单一、量刑偏低、证据种类欠缺,以及难以适从的不足。为此,进一步完善我国计算机犯罪的立法体系刻不容缓。要根据出现的新情况新问题不断制定新法以增强法律的强制性,同时要及时修改和完善旧法来规范、监管网络的一切行为。要在刑法、诉讼法、行政法等法律中补充计算机犯罪内容的相关规定,建立配套的行政法规和部门规章,制定可操作性的实施细则,使之形成一个以计算机法为核心的,由基本法的相关内容为配套的,由行政法规和行政规章作补充的,由最高司法机关的

司法解释为法律实施说明的完整的法律体系。

3.遏制计算机网络犯罪必须实行综合治理

计算机网络犯罪发案率越来越高,而查证率相对较低的原因,除了其犯罪隐蔽性强和相关立法滞后外,还在于人们的警觉性不高和专业技术的滞后。因此,必须实行综合治理。

(1)加强计算机使用人员的职业道德教育和法制教育,明确并执行行业违规处罚。大力倡导社会主义集体观念,制定行业违规处罚制度。对以身试法、违规操作者,够刑罚的予以刑罚,不够刑罚的可以单处罚款、剥夺其短期或长期从事某种与计算机相关的职业和活动。采取教育与惩罚相结合的办法,营造中华文明的网络文化。

(2)计算机程序的所有者和使用者要在自己的程序中加装保护程序。如: ①设立防火墙,以防止“黑客”攻击、非法数据和非法用户的侵入;②安装带有隐私保护的杀毒软件,并经常升级病毒库;③设立身份认证,以防止个人资料、在线信用卡密码被破解、个人的电子账户被盗用;④加密与数字签名。

(3)整合司法资源,培训、招聘反计算机网络犯罪的专业技术干警。目前,我国司法机关严重缺乏反计算机犯罪的专业人才,尤其是基层司法机关更是如此。要想有力地打击和遏制计算机犯罪,整合现行司法资源,培训、招聘反计算机犯罪的专业技术干警是当务之急。要考虑在某些大专院校和科研机构的计算机专业设立专门性的反计算机犯罪人才培训基地, 一方面可以从大学生中选拔和培养未来的专业技术干警,另一方面也可以选送部分已有相当专业知识的司法技术人员外出学习日新月异的计算机知识,保证反计算机网络犯罪人才的专业知识始终处于计算机及其网络技术的前沿。

(4)建立计算机犯罪的前科登记制度。一般地讲,计算机犯罪的实施者普遍在技术的非法使用上具有相当的成瘾性和长期性。面对计算机犯罪的事实,逐步建立计算机网络犯罪前科数据库,对犯罪对象、犯罪行为及犯罪人技术特点的不同,分门别类地进行登记造册。这样,可以辅助侦查破案,掌握计算机犯罪的最新动向,促进与全国各地乃至国外的警务合作,有力地打击计算机犯罪。

(5)建立计算机犯罪的国际信息交流与技术支援机制。因为计算机犯罪具有跨国跨境性特点,为此,组建国际性的反计算机犯罪信息共享机构和建立计算机信息的固定交换机制,是遏制计算机犯罪的又一有效途径。这种联合,可以互利性地提供计算机犯罪的最新技术动向,并在反计算机犯罪的案件调查中相互提供技术支援,共同建立国际性的计算机犯罪信息库,储备并相互提供各国计算机犯罪分子的个人档案和资料。

6.3.4 网络犯罪的司法管辖问题

网络空间的出现使物理上的空间界线,甚至国境线变得模糊,对传统的刑事管辖理论和我们现行刑事管辖原则的规定提出了挑战。

根据我国刑法理论及现行刑法的规定,犯罪的行为或者结果有一项发生在中华人民共和国境内的,就认为是在我国领域内犯罪。随着利用国际互联网实施网络犯罪行为人数的猛增,跨国网络犯罪在网络空间所占比例的增大,如果不从理论上对我国刑事管辖理论进行必要的探讨,进而对现行刑法有关管辖的规定作进一步完善,将在打击跨国网络犯罪方面陷于被动。各国都在根据自己的实际采取相应的措施。

网络犯罪的一个显著特征是犯罪行为之无地域性,即任何一个国家的人,在任何地方,只要有一个调制解调器,一部电话,一台电脑,就可对任何一个国家及其公民实施犯罪。因此,运用传统的刑法管辖权原则来确定网络犯罪的管辖权则会出现矛盾和冲突。因此,确定网络犯罪的管辖原则,须首先避开属地管辖原则,对另外三个原则进行重新审视。

对于网络犯罪涉及不同国家之间,应适用哪国刑法和由哪国法院来行使管辖权的问题大致分为以下几部分:

1.国籍原则

国籍原则主张,不论犯罪人的行为是发生在国内或在国外,也不论被害人是本国公民或外国公民,只要是本国人犯罪的,都适用本国刑法。目前对网络犯罪和将来签署的国际公约规定以外的网络犯罪的刑事管辖权,宜首先采用国籍原则。也就是在一个行为同时触犯国内刑法和国外刑法时,优先适用国籍原则,这既体现主权原则,也便于司法管辖。

2.有限保护原则

保护原则主张凡是侵害本国国家和公民利益的行为,都适用本国刑法。所谓“有限”,是指在适用有限的保护原则时,要考虑外国人或无国籍人触犯本国刑法是故意的,还是无意的。若是故意的,适用本国刑法;若是无意的则不适用本国刑法。

3.最密切联系地原则

最密切联系地原则,是指网络犯罪可以适用于与行为人实施网络犯罪最密切相连地的国家的法律,最密切联系地的法院有刑事管辖权。所谓最密切联系地,实际上是指行为人在网络空间内作案的终端设备地、服务器设立的所在地。终端指供行为人使用的、与国际互联网、国内互联网、局域网相连接的网络接入服务器、计算机网络工作站、PC机、付款机传真机等。最密切联系地原则是为弥补国籍原则和有限保护原则而设立的。

4.普遍管辖原则

普遍管辖原则的含义是指无论犯罪人是何国人,无论在何处犯罪,也不管侵害了何国的利益,任何国家都可适用本国刑法。因此,对于网络犯罪要想适用普遍管辖原则,必须有国际公约的存在。就是说,世界各国可以将公认的严重危害国际社会的罪行通过公约的方式确定为犯罪,并实施普遍管辖原则。从目前来看,由于目前世界各国还未签署关于惩治网络犯罪方面的公约,故在此之前宜采用国籍原则、有限保护原则和最密切联系地原则。但对于网络犯罪应采取普遍管辖原则是历史发展的必然趋势。

6.4 网络犯罪的防范技术

网络犯罪的技术防范措施是预防网络犯罪的一个非常有效的方法。

6.4.1访问控制技术

1.访问控制的含义

访问控制就是对进入计算机系统进行控制。在网络环境中,访问控制必须用来保护每个单个的系统,并且也要避免允许非授权用户通过网络的一个子系统去访问其他的系统。

一般来说,访问控制的作用是对欲访问某个计算机系统的人进行识别,以确定其是否有权限对该系统进行访问。这包括验证两个主要的问题:你是哪个用户?你自称的用户是否为合法用户?

2.访问控制的目标

访问控制的目标是防止对任何资源进行未授权的访问。所谓未授权访问包括未经授权的使用、泄露、修改、销毁以及颁布指令等。访问控制直接支持机密性、完整性、可用性以及合法使用等基本安全目标,它对机密性、完整性和合法使用所引起的作用是显然的。访问控制是实施授权的一种方法,它既是通信安全的问题,又是计算机(操作系统)安全的问题,然而,由于必须在系统之间传输访问控制信息,因此它对通信协议具有很高的要求。

3.建立访问控制的方法

对一个系统进行访问控制主要有以下三种方法:第一种方法要求用户输入一些保密信息,如用户名和口令。第二种方法是采用一些物理识别设备,如钥匙,访问卡或令牌。第三种方法是采用生物统计学系统。该系统可以基于访问者的某种特殊的物理特征对访问者进行唯一性识别。其中后两种方法实现起来比较复杂,且费用昂贵,难以推广和应用,所以最常

网络犯罪及案例分析(教材) 86_网络犯罪案例

见的访问控制方法是口令。

(1)基于口令的访问控制方法

口令是一种容易实现并有效地只让授权用户进入系统的方法。给计算机系统设置一个安全有效的口令,侵入者闯入该系统就非常困难了。口令是只有系统和用户自己知道的简单字符串。只有口令保持机密,非授权用户才会无法进入计算机系统。最有效的口令是用户很容易记住但“黑客”很难猜测或破解的口令。

最好的口令应遵循下列原则:①口令字符串的组合应包括字母和数字字符;②口令的长度要尽可能地长;③最好不用英语单词;④在每个访问的系统上不要使用相同的口令;⑤不要使用名字;⑥别选择记不住的口令。

控制口令,使口令不被无关的人知道也是非常重要的。控制口令包括下列方面:口令更换;用户定期改变他的口令;系统生成的口令;登录时间限制;系统消息提示,当用户首次看到登录屏幕时系统可以提供警告信息,强烈表示反对非授权进入;限制登录次数;最后一次登录,该方法报告最后一次系统登录时间/日期,以及最后一次登录后发生过多少次未成功的登录企图。这可以提供线索,了解是否有人非法访问了自己的用户或多少次企图这样做但没有成功。

(2)基于令牌环的访问控制方法

为了强化身份鉴别机制,提高口令验证的安全性,人们提出了动态口令的技术,在这种技术中采用了一种具有计算能力的令牌环(Token Card)。用户登录系统的口令由它计算得到,每次动态变化,增加了系统的安全性。动态口令技术常用来控制主机、服务器等重要资源的访问,还应用于对某些特殊用户的控制访问,如系统的超级用户等。

使用令牌环,不需要增加诸如读卡机等额外的硬件设备,使用起来非常简单。具体过程与常规的系统登录一样,即在用户提示符下键入用户名,然后在口令提示符下输入令牌环上所正在显示的口令,就完成了整个系统的登录。

(3)基于生物特征识别技术的访问控制方法

生物特征识别设备是设计用来保证某种安全的简单机器,它测量某些对人而言是唯一的特征(经常是生物学上的或物理上的)。这可能包括指纹、声音图像、笔迹、打字图像或甚至人的视网膜血管图像。生物特征识别设备只用于访问控制极为重要的场合,用以极为细致地识别人员。有许多技术不同的生物特征识别设备。指纹是一种已被接受的唯一地识别一个人的方法。每个人都有唯一的指纹图像,它能被存储在计算机中,以备想进入系统时进行匹配识别。

在目前众多的计算机加密技术中,指纹加密最为可靠,因为每一个人的指纹各不相同,难于模仿。在计算机用户中,计算机登录的口令失窃、磁卡被盗或口令被破译的现象时有发生。但是计算机指纹扫描仪却拥有一对明察秋毫的“火眼金睛”,可以把人的手指与伪造的手指(蜡做的)或橡胶手套上的指纹分得一清二楚,使其无法蒙混过关。指纹识别技术很有发展前途,它可以在因特网上广为使用,确保用户放心地使用信用卡进行计算机购物。

手印被设计用来读取整个手而不是手指的特征和特性。一个人将他的手按在手印读入器的表面上,同时该手印则与存在计算机中的手印图像进行对比。在每个人说话中都有唯一的音质和声音图像,甚至两个人说话声音相似的人也是这样。识别声音图像的能力使人们可以基于某个短语的发音对人进行识别。此外,还可以通过其他方式来加以识别,比如:分析某个人的笔迹或签名不仅包括字母和符号的组合方式,还包括在书写签名或单词的某些部分时用的力的大小,或笔接触纸的时间的长短和笔移动中的停顿等细微的区别。

6.4.2信息加密技术

信息加密既是一个古老的话题,又是一个充满新策略、新技术的领域。对于加密的概念,

各种资料、文献说法不一。有的说加密(Encryption)是指将一个信息(或称明文,Plaintext)经过密钥(Key)及加密函数转换,变成无意义的密文(Cipher text),而接收方则将此密文经过解密(Decryption)函数、解密密钥还原成明文。也有的说,加密是通过对信息的重新组合,使得只有收发双方才能解码还原信息。有的定义很简单,即加密就是对信息进行一组可逆的数学变换。通过这些各种形式的定义,我们可以得出比较全面的概念:信息加密是指将明文信息采取数学方法进行函数转换成为密文,只有特定接收方才能将其解密还原成为明文的过程。明文是指加密前的原始信息;密文是指明文被加密后的信息,一般是毫无识别意义的字符序列。

加密技术是网络安全技术的基石,随着计算机自身性能的不断提高,使越来越复杂、越来越可靠的信息加密技术得以实施,网络对加密技术的应用更为广泛、深入。由于密码技术是网络、信息安全的核心技术,因此,必须立足国内自主研制高强度密码算法。

1.现代加密技术原理

加密技术也称密码技术,种类较多,不同场合下可采用不同形式的加密。加密一种主动的防卫手段,其优势是十分明显的。加密技术主要过程包括:加密,把数据转变为不可读的格式以确保安全;解密,即加密的反过程,使加密的数据转变为原来的可读的格式;认证,即识别个人用户、网络上的机器设备或机构;数字签名,将发送文件与特定的密钥捆绑在一起;签名识别,即数字签名的反过程,以证明签名有效。

采用密码加密技术自然要选择先进的加密算法,并要充分了解自己要保护什么,要在什么地方进行保护,以确定保密的级别、保密的程度、保密的时间、保密的周期以及对哪些人保密和保密范围等问题。因此首先我们要了解各种加密技术的基本原理及其特点。

(1)密钥加密

密钥(Key)是为了有效地控制加密、解密算法的实现,在设计算法的实现过程中需要有某些被通信双方所掌握的专门的、关键信息的参与,这些信息就称为密钥。加密在许多场合集中表现为密钥的应用,因此,密钥往往是保密与窃密的主要对象。密钥的载体有磁卡、磁带、磁盘、半导体存储器等。在网络应用中一般采取两种加密形式:对称加密(又称秘密密钥、单密钥)加密,非对称密钥(又称公开密钥)加密。

①对称密钥加密

对称密钥加密是传统的加密方式,又称专用密钥加密或单密钥加密。其常见加密标准为DES(1977年美国国家标准局颁布的DES算法即数据加密标准算法),传统密钥体制的特点是无论加密还是解密都共有一把密钥(Ke=Kd),又称对称加密。DES加密解密只是简单比特位处理的组合,因此速度快,密钥生成容易。但当用户树n增大时,通信密钥数按n(n-1)/2的几何级数增加,从而给密钥分配与管理带来困难。另外,由于DES算法是公开的,其安全性完全依赖于对密钥的保护,密钥只能让发送者和接收者知道,无论是用电话、软盘或书信交换密钥都显得不方便、不安全及速度较慢。因此,必须使用密文信道以外的途径来传递、分发密钥,如专门派遣信使传递密钥。所以,在网络时代单独使用DES就不适合了,特别是不适合网络环境。

②公开密钥加密

近年来,在网络中使用更多的是非对称密钥系统,即公开密钥加密,这种加密方法中,加密密钥和解密密钥是不同的。该算法为每个用户分配两个密钥:公钥和私钥,公钥予以公开,私钥要保密。两个密钥是互补的,就是说公钥加密的密文可以用私钥解密,反过来一样。假设甲要寄信给乙,他们互相知道对方的公钥。甲就是用乙的公钥加密邮件寄出,乙收到后就可以用自己的私钥解密出甲的原文。由于没别人知道乙的私钥,所以即使是甲本人也无法解密那封信,这就解决了信件保密的问题。公钥加密系统的另一个重要用途是数字签名,即与上面的例子相反,甲用私钥将邮件加密后发出,乙方为了鉴别收到的邮件是否由甲方所发,

就用甲的公钥解密,如果解得开,表明确实是甲所发,因为没有他人知道甲的私钥。甲用私钥将邮件加密就等于签署了自己的姓名。

(2)不可逆加密

这种加密算法的特征是不需要密钥来加密,并且经过加密的数据无法被解密,只有同样的输入数据经过同样的不可逆加密算法才能够得到相同的加密数据。不可逆加密算法不存在密钥保管和分发问题,适合于分布网络系统上使用,但其加密计算工作量相当可观,所以通常用于数据量有限的情形下的加密,如用户口令的加密等。

(3)量子加密

量子加密的基本原理早在20世纪70年代就已发现,但是直到现在,人们才发现了其真正的价值。量子加密法的工作原理是:使用量子加密法的两个用户各自产生一个私有的随机数字符串,发送方用户向接收方用户的接受装置发送代表数字字符串的单个量子序列(光脉冲),接收方从自己产生的字符串与接收装置接收到的字符串中取出相匹配的比特值,以这些匹配值组成密钥。在实际的应用中,随着光纤传输介质的普及,通过光纤的量子密钥将可以用于加密普通宽带数据通信所传送的信息,有关专家估计这种加密技术不久的将来就会商业化。目前,公钥加密法还是首选,因为该方法可以用于现有传输线路的网络,而且可以用于数字签名,量子加密法则无法做到。

2.加密协议及标准

加密协议及标准是指主要为网络信息加密而制定的协议和采用的标准。加密协议有两个要素:一是能把保密数据转换成公开数据,在公用网中自由发送;二是能用于授权控制,无授权人员无法解读。

3.网络传输信息加密

加密技术用于网络安全通常有两种形式,一种是面向网络,另一种是面向服务。面向网络的加密技术通常工作在网络层或传输层,使用经过加密的数据包传送、认证网络路由及其他网络协议所需的信息,从而保证网络的连通性和可用性不受损害。面向应用服务的加密技术是目前较为流行的加密技术,其优点在于实现相对简单,不需要对数据所经过的网络的安全性能提出特殊要求,可对电子邮件数据实现端到端的安全保障。对传输信息的加密保护在计算机网络中应用最为普遍,加密的方式主要有链路加密(Link Encryption)、节点加密(又称结点加密,Node Encryption)和端到端加密(End-to-End Encryption).

(1)链路加密

链路加密又称在线加密,是用于保护两个相邻节点(Node)之间的链路上传送的数据。这些链路可以是微波、卫星、明线或同轴电缆。链路加密方式比较简单,实现起来也比较容易。只要把两个密码设备安装在两个节点(或结点)间的线路上,并使用同样的密钥(KEY)即可。这样,在线路上传送的是经过加密的数据,而通过链路间节点上的是未经加密的数据。实现链路加密的设备称为数据加密设备DEE(Data Encryption Equipment),DEE可以放在节点和相应的MODEM之间,也可以与MODEM安装在一起构成密码调制解调器。

(2)节点加密

节点加密指每对节点共用一个密钥,对相邻两节点间(包括节点本身)传送的数据进行加密保护。尽管节点加密能给网络数据提供较高的安全性,但它在操作方式上与链路加密是类似的:两者均在通信链路上为传输的消息提供安全性;都在中间节点先对消息进行解密,然后进行加密。因为要对所有传输的数据进行加密,所以加密过程对用户是透明的。然而,与链路加密不同,节点加密不允许信息在网络节点以明文形式存在,它是先把收到的消息进行解密,然后采用另一个不同的密钥进行加密,这一过程在节点上的一个安全模块中进行。在节点加密方式中,为了将报文传送到指定的目的地,线路上的每个节点必须检查路由选择信息,因此,只能对报文的正文进行加密而不能对报头加密,报头和路由信息以明文形式传

输,以便中间节点能得到如何处理该报文的信息,这样使得这种方法不利于防止攻击者分析通信业务。

(3)端到端加密

端到端加密又称脱线加密、包加密或首尾加密,是对两个用户之间传送的数据连续提供保护,并进入TCP/IP数据包加封,然后,作为不可阅读和不可识别的数据穿过互联网,当这些信息一旦到达目的地,将被自动重组、解密,成为可读数据。与前两种方式不同,端到端加密使数据从源点到终点的传输过程中始终以密文形式存在,即数据在初始节点上就被加密一直到达目的节点时才被解密,在中间节点和链路上均以密文形式传送。与节点加密一样,端到端加密只能对报文正文加密,而不能对路由选择信息(即报头)加密。采用端到端加密由于信息被传输时在到达终点之前不进行解密,所以,即使有节点被损坏也不会使消息泄露。端到端加密是将网络看成一种介质,通过该介质,数据信息可以从源点安全地到达目的点。该加密方式是通过在需保护的两端计算机或终端上安装密码设备来实现的。

(4)ATM网络加密

ATM(异步传输模式)是一种把信息分成等长的信元进行传输的通信方法。每个信元由53个8位字节组成,信元的前5个8位字节是信头,包含有源地址和目的地址信息。ATM是面向连接的网络,两个通信实体之间必须首先建立电路链接,但这种链接电路是虚拟的,并不占用物理链路。ATM是在服务方式上与其他网络不同的一种新技术,它使用固定长度且体积较小的包的快速交换方式,使它与帧中继、X.25的包交换相比具有硬件简单、交换延迟减少的优点。此外,ATM定义的协议允许语音、传真、数据、图像的传输等在一种网络结构中、实现,网络带宽的占用灵活、高效,网络效益很高。ATM是能够同时满足公用网和专用网需要的加密技术。

(5)卫星通信加密

对卫星通信信息的窃取在各国都普遍存在,接收技术已发展到很高的水平,所以,采用卫星通信网时,只要载荷信息的卫星信号一经送出,就可以认为它已被非法截获,并可能已受到破译攻击。卫星通信的加密方法可以分以下几种:①终端加密,相当于端到端加密。②信道加密,信道加密就是地面站的每一个用户终端与站控制器之间安装有加密机,该加密机负责信道信息的加解密。③群路加密,一个地面站会有若干个用户,各用户的业务性质可能不同,如数据用户、语音用户或图形图像用户等。各种业务性质的信息都先送群路保密机,由群路保密机分别对其相应的信息进行加密,群路加密机将加密后的密文送地面站控制器,由控制器发向通信卫星,通信卫星由发向相应地面站控制器,然后,由该控制器将经处理过密文送群路保密机,解密成为明文再分送各用户使用。

6.4.3数据鉴定技术

1.司法鉴定

(1)司法鉴定的基本概念

①司法鉴定

司法鉴定是在诉讼过程中,对案件中的专门性问题,按诉讼法的规定,经当事人的申请,司法机关决定,或司法机关主动决定,指派、聘请具有专门知识的鉴定人,运用科学技术手段,对专门性问题作出判断结论的一种核实证据的活动。简要地说,司法鉴定就是侦查、起诉、审判等诉讼活动中依法进行的鉴定。最高人民法院《关于审理科技纠纷案件的若干问题的规定》第62条的规定:确定技术成果的鉴定机构,除法定的鉴定单位外,可由当事人协商推荐共同信任的机构或专家进行鉴定;当事人不能协商一致的,由人民法院委托有关科委推荐的鉴定机构或聘请的有关专家组成的鉴定组进行鉴定。

②鉴定要求

根据《中华人民共和国刑事诉讼法》,鉴定结论是刑事证据的一种。鉴定结论,是指由公安机关、人民检察院和人民法院指派或聘请的具有专门知识或技能的人,对案件中某些专门性问题进行科学鉴定后所作出的书面结论。

公安部在《公安机关办理刑事案件程序规定》第235条规定:刑事技术鉴定,由县级以上公安机关刑事技术部门或者其他专职人员进行。第236条规定:需要聘请有专门知识的人进行鉴定,应当经县级以上公安机关负责人批准后,制作聘请书。

司法部《司法鉴定程序通则(试行)》(2001年8月31日发布)中规定:同一司法鉴定事项应由两名以上司法鉴定人进行。第一司法鉴定人对鉴定结论承担主要责任,其他司法鉴定人承担次要责任。司法鉴定结论应当由本机构内具有本专业高级技术职务任职资格的司法鉴定人复核。司法鉴定文书正本一式三份,其中一份交委托人,两份由司法鉴定机构存档。

③重新鉴定

办案部门或者侦查人员认为鉴定结论不确切或者有错误,经县级以上公安机关负责人批准,可以补充鉴定或者重新鉴定。当事人对人民法院委托的鉴定部门作出的鉴定结论有异议申请重新鉴定,提出证据证明下列情形之一的,人民法院应予准许:(i)鉴定部门或者鉴定人不具有相应的鉴定资格的;(ii)鉴定程序严重违法的;(iii)鉴定结论明显依据不足的;(iv)经过质证不能作为证据使用的其他情形。对有缺陷的鉴定结论,可以补充鉴定,重新鉴定或者补充质证等方式解决。

④法庭责任

根据诉讼法的规定,被告向人民法院提供的在行政程序中采用的鉴定结论,应当载明委托人和委托鉴定的事项、向鉴定部门提供的相关材料、鉴定的依据和使用的科学技术手段、鉴定部门和鉴定人鉴定资格的说明,并应有鉴定人的签名和鉴定部门的盖章。通过分析获得的鉴定结论,应当说明分析过程。对于出庭接受询问的鉴定人,法庭应当核实其身份、与当事人及案件的关系,并告知鉴定人如实说明鉴定情况的法庭义务和故意作虚假说明的法律责任。当事人对出庭的专业人员是否具备相应专业知识、学历、资历等专业资格等有异议的,可以进行询问。由法庭决定其是否可以作为专业人员出庭。

(2)司法鉴定的具体任务

司法鉴定的具体任务是由其对象和内容决定的,主要有以下几项:

①发现证据

发现证据是司法鉴定工作的出发点,是实现司法鉴定基本任务的前提和基础。假如没有发现案内证据,司法鉴定工作就成了无本之源,司法鉴定的其他各项手段便无法实施,发现证据是司法鉴定工作的基本任务。

②记录、提取证据

对于发现的案内证据,要全面、客观、准确、快速地固定、保存下来。必须采用科学技术方法进行记录与提取,使之具有法律效力,并为识别、鉴定和运用提供依据。

③分析、识别证据

就是运用科学原理与技术方法,鉴别案内可疑证据的真伪,判定证据与案件的关系,在此基础上根据证据自身的特点分析案情,为案件的侦查、调查活动提供线索和方向。

④鉴定证据

鉴定证据是司法鉴定的主要任务,也是鉴定手段最根本的目的。司法鉴定工作的最终目的是为定案提供科学证据,而涉及科学技术问题的证据必须通过鉴定才能确定。通过鉴定,达到如下目的:确定人或物的同一;认定客体的种属范围和种属异同;确定事件因果;确定事实的有无与真伪;查明证据的来源和出处。

2.计算机司法鉴定和检验

计算机司法鉴定是指在诉讼过程中涉及计算机的问题有法庭认可的人员作出专业判断

网络犯罪及案例分析(教材) 86_网络犯罪案例

的活动。公安部在《公安机关办理刑事案件程序规定》第234条明确将电子数据鉴定划入鉴定范围。在不同场合,检验和鉴定有不同的含义,既有联系又有区别。计算机司法检验是指在案件调查中由具有特定专业资质的人员对涉及计算机的证据进行收集、抽取、保存、归档等活动。即认为检验是比鉴定更加广泛的概念。

计算机司法检验的基本要求:必须使用司法意义上洁净的工作介质;检验过程必须保持原始介质的数据完整性;检验过程中生成的所有数据,无论是电子的、打印的或手写的,都应该适当地标记、控制、转送和保存。

计算机司法检验的对象主要是电子数据证据,其检验的方法主要有:利用专门的电子仪器、设备通过运行特定的软件对电子数据证据的形成过程进行检验和验证;利用技术和设备对电子数据证据真伪进行鉴别;利用证据间的逻辑关系来判明电子数据证据的原始与真实性。

(1)可执行文件的功能分析

对于黑客程序、逻辑炸弹等程序,需要进行代码分析,确认其功能。如果能够获取源代码,则可以直接阅读,分析其功能,如只有目标代码,则需要进行反汇编或反编译获取源代码,再进行代码分析。

(2)密码分析

计算机网络犯罪具有隐蔽性,其隐蔽措施之一是利用加密软件进行数据加密、邮件加密。许多常用的软件如OFFICE套装软件、压缩软件等都有加密功能。有加密就有解密,由于计算机网络技术的迅猛发展,一些过去难以解密的方法也许在现在变得很容易解密,或者由于加密方法不够周密而存在漏洞,或者由于使用不当而意外暴露密码等等,使得有可能对加密的文件进行解密。人们正在研究常用加密软件加密数据的搜索、提示、提取技术,常用安全电子邮件类软件加密生成文件的解读、还原和存储技术,加密文件的扫描、搜索、提示、提取技术;加密生成文件算法和形式判别技术、不同密码算法的封装存储技术,常用软件加密生成文件的解读、还原和存储技术,常用系统加密文件及口令等提取技术,可能的加密算法的特性和识别技术等等。在如今的网络时代,利用计算机网络分工协作,采用字典攻击方法,破解密码可能很容易。当然,如果能取得疑犯的合作或通过可信的第三方获取密钥或窃听等手段,则能够起到事半功倍的效果。

(3)数据恢复

已经被删除的文件可能为调查一个计算机系统在过去一段时间内的活动提供重要线索。恢复已被删除的文件在多数情况下有比较高的成功率。即使是在被删除文件所占有的磁盘区已经被重写的情况下,只要重写次数在一定限度之内,使用磁记录分析设备仍有可能将被覆盖的内容恢复过来。

对磁盘的检验、取证应当尽可能地在镜像磁盘进行,以免在不清楚原始盘的情况下意外破坏数据,尤其是计算机高级人员作案时,可能对磁盘数据进行特殊处理,隐藏罪证。镜像工具分为基于DOS的工具;基于Windows的工具;基于Unix/Linux系统的工具。软盘复制可利用工具软件来实现。

(4)克隆

在下列情况下,需要制作磁盘镜像:案子涉及巨大经济损失;案情可能需要恢复已经删除的文件;案情可能要求搜索自由空间及文件的磁盘残留空间。

6.4.4网络攻击及防治技术

现代的网络攻击具有不同于以往的明显特点:从以系统为主的攻击变到以网络为主的攻击;攻击者为了实现其目的,常常使用各种各样的工具,甚至由软件程序来自动完成目标攻击;网络攻击与病毒程序相结合,使得网络攻击更具有智能化和破坏性。

网络攻击有主动攻击和被动攻击。主动攻击是指以各种方式有选择性的破坏网络信息系统及其信息(如添加、修改、删除、伪造、重放、乱序、冒充、病毒等)。被动攻击是在不干扰网络信息系统正常工作的前提下,进行侦听、截获、窃取、破译、业务流量分析以及电磁泄露等。

一次完整的攻击过程主要包含三个阶段:

1.攻击前的准备过程。一般来说,攻击前的准备工作有:(1)隐藏位置;(2)网络探测和资料收集;(3)弱点挖掘;(4)掌握控制权;(5)隐藏行踪。

2.攻击过程。攻击者进行了上述的必要准备后,就开始实施攻击。不同的攻击者有不同的攻击目的,可能是为了获得机密文件的访问权,也可能是破坏系统数据的完整性,也可能是整个系统的控制权,以及其他目的等。

3.攻击之后的后续过程。一次成功的入侵通常要耗费攻击者的大量时间与精力,所以精于算计的攻击者在退出系统之前会在系统中制造一些后门,以方便自己的下次入侵。

从以上三个阶段的攻击过程可以看出:无论是获取目标的信息,还是获得目标系统的一般访问权或目标系统的管理权,这些攻击之所以能够成功,就在于目标系统存在这样或那样的安全漏洞或弱点。攻击者的攻击过程能否成功的关键就在于攻击者发现并利用这些漏洞或弱点的能力。

1.扫描攻击技术及其防范

(1)扫描器

扫描器是一种自动检测远程或本地主机安全性弱点的程序,通过使用扫描器,可以不留痕迹的发现服务器的各个端口的分配、提供的服务及软件版本,进而发现系统的安全缺陷。

扫描器通过选用远程TCP/IP不同的端口的服务,并记录目标给予的回答来搜集目标主机的有用信息。了解这些信息,攻击者能够间接或直观地了解到远程主机所存在的安全问题,进而为确定网络攻击策略提供依据。

扫描器不仅是攻击者必备的安全工具,而且是防御者常用来评估网络系统的安全风险。但扫描器并不是一个直接的攻击网络漏洞的程序,它仅能帮助发现目标机的某些内在的弱点。一个好的扫描器能对它得到的漏洞资料进行分析,帮助查找目标主机的漏洞,同时给出修补漏洞的建议,但它不会提供进入一个系统的详细步骤。扫描器一般有三个功能:①发现一个主机或网络;②一旦发现一台主机,能够发现该主机正在运行何种服务;③通过测试这些服务,发现内在的漏洞。

(2)扫描器攻击的防范

扫描器能发现系统和网络在安全方面的弱点。被黑客使用,他将会努力寻找系统中的安全漏洞,尝试做出突破系统安全防线的行为,这对系统安全是极大的威胁。但是如果系统管理员使用了扫描工具,将直接有助于加强系统安全性。

扫描器攻击的防范方法主要有两种:一是基于包检测的实时分析,二是基于日志的事后分析。

基于包检测的实时分析的原理是:在主机上运行一个网络监听进程,获取发送至该主机的所有数据包。定义一个规则集,包含一个预定义规则,例如,在一个连续的时间内,收到一定频率以上的SYN或FIN请求,就可认为检测到SYN/FIN扫描。通过匹配算法,将接受的数据包与规则进行匹配,以确定属于何种扫描攻击。基于包检测的实时分析具有实现简单、实时监测与反应快等优点,目前被广泛应用于入侵检测系统(IDS)与防火墙中。但实时监测的系统开销较大,尤其是大流量的网络通信时,会影响系统效率。

基于日志的事后分析主要使用Syslog日志。Syslog日志是一个非常有用的消息日志工具,最初为基于BSD Unix系统开发的Syslog作为sendmail的附属工具,现在已包含在各种Unix系统中。基于日志的事后分析具有系统开销低、可以利用现有工具等优点,但不能实

时监测。通常情况下,是将两种方法结合起来而达到较好的效果。

2.缓冲区溢出攻击及其防范

(1)缓冲区溢出的概念与工作原理

缓冲区溢出是由于程序设计或编写错误所带来的程序错误(Bug)。缓冲区溢出是一种非常普遍、非常危险的漏洞,在各种操作系统、应用软件中广泛存在。利用缓冲区溢出攻击可以导致程序运行失败、系统死机、重新启动等后果。更为严重的是,可以用它执行非授权指令,甚至可以取得系统特权,进而进行各种非法操作。

缓冲区溢出的工作原理是:向一个有限的缓冲区中拷贝过长的字符串,造成缓冲区的溢出,从而破坏程序,使程序转而执行其他指令,以达到攻击的目的。

缓冲区溢出攻击的目的在于扰乱具有某些特权运行的程序的功能,这样可以使得攻击者取得程序的控制权,如果该程序具有足够的权限,那么整个主机就被控制了。在缓冲区溢出攻击中,攻击者常采取两种方法:①在程序的地址空间里安排适当的代码的方法;②通过适当的初始化寄存器和内存,让程序跳转到攻击者安排的地址空间执行。

(2)缓冲区溢出攻击的防范

缓冲区溢出攻击占了远程网络攻击的绝大多数,这种攻击可以使得一个匿名的Internet用户有机会获得一台主机的部分或全部的控制权。如果能有效地消除缓冲区溢出的漏洞,则很大一部分的安全威胁可以得到缓解。防范最有效的方法是及时下载更新软件的漏洞补丁。

3.拒绝服务攻击

2000年2月初出现多起拒绝服务(Denial of Service)的网络攻击事件,使得Yahoo、Ebay拍卖网站、CNN新闻网、Amazon网络书店等著名网站暂时性地处于瘫痪,这些攻击事件仍未完全查出涉案的嫌犯。在该次攻击事件中,使用了分布式拒绝服务攻击(DDOS;Distributed Denial of Service),这种攻击技术利用网站开放系统的特性,通过分布式的代理机制植入后门程序后再远程遥控,方法是先侵入一部分有安全漏洞的主机,安装具有特定功能的后门程序,稍候再从远程发动攻击,被攻击的目标主机因一时无法应付处理大量的网络数据包而导致网站瘫痪。在2006年,拒绝服务攻击已经被提升到了利用僵尸网络BotNet进行大批量攻击的层次,其严重程度已经达到了阻塞国内网络的程度。根据今年上半年监测的数据,中国拥有的“僵尸网络”电脑数目最多,全世界共有470万台,而中国就占到了近20%,其严重性已不可忽视。

(1)拒绝服务攻击的概念

拒绝服务攻击是指攻击者利用系统的缺陷,通过执行一些恶意的操作而使得合法的系统用户不能及时地得到应得的服务或系统资源,如CPU处理时间、存储器、网络带宽等。拒绝服务攻击往往造成计算机或网络无法正常工作,进而会使一个依赖于计算机或网络服务的企业不能正常运转。拒绝服务攻击最本质的特征是延长服务等待时间。当服务等待时间超过某个阈值时,用户无法忍耐而放弃服务。拒绝服务的关键在于所达到的效果:延迟或者阻碍合法的用户使用系统提供的服务,对关键性和实时性服务造成的影响最大。拒绝服务攻击与其他的攻击方式相比较,其独特性在于拒绝服务攻击是对系统向外提供的服务进行攻击,同时可协助其他攻击。其行为本身并不会破坏资料的内容。

(2)拒绝服务攻击的种类

攻击行为的本身并不需要入侵密码文件或取得敏感资料,可能针对任何暴露于网络上服务器或客户端的软件、硬件或服务进行干扰,迫使遭受攻击的网络主机服务暂时性失效。

①基于网络带宽消耗的拒绝服务攻击

攻击者有意制造大量的数据包或传输大量文件以占用有限的网络带宽,致使合法的用户无法正常使用网络资源,从而实现攻击者的意图。

②消耗磁盘空间的拒绝服务攻击

这种拒绝服务攻击利用系统的缺陷,制造大量的垃圾信息。典型的攻击方法如垃圾邮件、故意制造大量日志信息等。

③消耗CPU资源和内存资源的拒绝服务攻击

操作系统需要提供的CPU和内存资源给许多进程共用,攻击者利用系统的存在的缺陷,有意使用大量的CPU和内存资源,从而导致系统服务性能下降甚至造成系统崩溃。典型的攻击方法是蠕虫程序,如“红色代码”和“尼姆达”(Nimda)病毒。

④基于系统缺陷的拒绝服务攻击

攻击者利用目标系统的漏洞和通信协议的弱点来实现拒绝服务攻击。例如,一些系统口令输入次数超过若干次数或注册等待时间超过某个时间值,系统就会停止该用户系统的使用权。攻击者利用系统这个安全弱点,有意输错口令而导致系统锁定该用户的账号,致使该用户得不到服务。

⑤分布式拒绝服务

分布式拒绝服务攻击主要是指植入后门程序后远程遥控攻击,攻击者可从多个已入侵的跳板主机控制数个代理攻击主机,所以攻击者可同时对控制下的代理攻击主机激活干扰命令,以对受害主机大量攻击。这种通过攻击者的代理机制进行入侵干扰已成日前较新的攻击方法。

(3)拒绝服务攻击的防范

拒绝服务攻击虽然不会窃取目标系统的资料,但它会造成服务中断,间接产生重要的时间和经济损失,因此,有必要制定防范策略,采取保护措施,防止拒绝服务攻击。防止拒绝服务攻击的主要手法有:

①监控计算资源的使用。例如建立资源分配模型图,统计敏感的计算资源使用情况。使用限额方法及早检测计算资源出现异常情况。主要包括:统计CPU使用状况;观察系统的性能,确立系统正常的界线,估计非正常的磁盘活动;检查网络流量使用状况。

②修补漏洞。例如给操作系统或应用软件包升级。

③关掉不必要TCP/IP服务。关掉系统中不需要的服务,以防止攻击者利用。

④过滤网络异常包。例如通过防火墙配置阻断来自Internet的恶意请求。

6.4.5病毒及其防治技术

1.计算机病毒的概念

关于计算机病毒的定义,国内外看法并不统一,主要分为两类:一类认为计算机病毒只具有感染性,而不要求具有破坏性,如计算机病毒之父Fred Cohen博士所下的定义:“计算机病毒是一种计算机程序,它通过修改其他程序把自身或其演化体插入它们中,从而感染它们”。另一类认为计算机病毒不仅具有感染性,还具有破坏性,如《中华人民共和国计算机信息系统安全保护条例》的定义:“计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。”我国刑法没有对计算机病毒进行解释,但从刑法第286条的规定“??计算机病毒等破坏性程序??”来看,计算机病毒属于破坏性程序,因此,本文研究的计算机病毒,是指后者定义的计算机病毒。

2.计算机病毒犯罪的发展现状

计算机病毒之祸由来已久,早在20世纪80年代就已经出现。每次病毒攻击都给社会以强烈震荡,如1988年网络“蠕虫”病毒攻击了互联网上的大量计算机信息系统,经济损失超过9000万美元。20世纪90年代以来,计算机病毒灾难更频繁地发生,CIH、Melissa、“爱虫”、HAPPY99等恶性计算机病毒接踵而来,信息网络安全经历了一次又一次的沉重打击。2007年上半年《中国电脑病毒疫情及互联网安全报告》,报告指出,2007年上半年,防病毒

机构共截获新增病毒样本总计111,474种,与去年同期相比,新增病毒样本增加了23%;其中木马病毒的新增数占总病毒新增数的68.71%,高达76593种。更令人担忧的是,计算机病毒发展进入所谓“后病毒时代”。据科技日报消息,法国通过监视互联网上对网络发起的攻击行为和分析攻击行为的变化及结果后表示,在网络攻击中最具“毒”性的是“混合性攻击”,即利用结合计算机病毒、黑客技术、网络蠕虫和拒绝服务等技术于一体的“混合性病毒”,它专门针对大型软件的缺陷,是经过网络传播、类似于病毒的程序。计算机病毒种类越来越多,对抗反计算机病毒技术的能力越来越强,计算机病毒对信息网络安全的危害也越来越大,依赖计算机、网络运作的社会活动受到严重影响。

3.计算机病毒的特点

计算机病毒种类繁多,特征各异,但它们都具有以下基本特点:

(1)主动传染性

计算机病毒能够主动感染宿主计算机,并进一步感染其他计算机。因此,计算机病毒一旦被释放,被感染的计算机数量就会呈指数增长。主动传染性将计算机病毒与特洛伊木马程序等破坏性程序区别开来,计算机病毒侵害的是不确定的众多的计算机系统,而特洛伊木马程序如BO、Netspy等,虽然也能够秘密植入他人计算机系统,但不会主动感染其他计算机,影响的往往是特定的或是较少的计算机信息系统。

(2)潜伏性和可触发性

计算机病毒传染宿主计算机后,往往不立即进行破坏,而是潜伏一段时间,在潜伏期内计算机病毒继续秘密传染其他计算机程序或者计算机信息系统。潜伏性和主动传染性相互作用,计算机病毒潜伏得越好,其传染范围就越广泛,反之,传染的范围就十分有限。

(3)破坏性

当破坏条件满足时,计算机病毒就会对计算机信息系统进行破坏,或者破坏系统功能,或者破坏系统中的数据或者应用程序,有的甚至破坏硬件设备。计算机病毒破坏作用的大小,取决于计算机病毒程序制作者的意图和目的。

4.网络病毒防治

怎样有效地在网络环境下防治病毒,这是一个比较新的课题,各种方案、技术很多。业内人士在基本原则、策略方面已基本趋于达成共识。首先来谈一谈原则和策略。

(1)防重于治,防重于管

防治网络病毒应该利用网络的优势,从加强网络管理的根本上预防网络病毒。如果消极地在网络感染病毒后再去杀毒,只能起到亡羊补牢的作用。在网络环境下应以防为主,以治为辅。一般来讲,计算机病毒的防治在于完善操作系统和应用软件的安全机制,但在网络环境下,可相应采取新的防范手段。网络防病毒最大的优势在于网络的管理功能,可以从两方面着手解决:一是严格管理制度,对网络系统启动盘、用户数据盘等从严管理与检测,严禁在网络工作站上运行与本部门业务无关的软件;二是充分利用网络系统安全管理方面的功能。

(2)综合防护

整个网络系统的安全防护能力,取决于系统中安全防护能力最薄弱的环节。网络病毒防治同样也适用于这种理论。在某一特定状态下整个网络系统对病毒的防御能力只能取决于网络中病毒防护能力最薄弱的一个节点或层次。网络的安全威胁主要来自计算机病毒、黑客攻击及系统崩溃等方面,因此,网络的安全体系也应从防病毒、防黑客、灾难恢复等几方面综合考虑,形成一整套的安全机制。防病毒软件、防火墙产品通过设置、调整参数,能够相互通信,协同发挥作用。这也是区别“单机防病毒”技术与“网络防病毒”技术的重要标志。

(3)寻求网络防毒与占用网络系统资源之间的最佳均衡

要采取网络防病毒措施,肯定会导致网络系统资源开销的增加,如增加系统负荷、占

网络犯罪及案例分析(教材) 86_网络犯罪案例

用CPU时间、占用网络服务器内存等。针对这一问题,有业内人士对网络防病毒技术提出了“最小占用原则”,以保证网络防病毒技术在发挥其正常功能的前提下,能够最小占用网络资源。安装网络防病毒软件可能会对网络的吞吐形成“瓶颈”,对系统资源占用过高的网络防病毒技术对用户来说是不可取的,特别是一些在特定时间网络吞吐量特别大(如每天下班前结算或汇总)的网络。

(4)管理与技术并重

解决网络病毒问题应从加强管理和采取技术措施两个方面着手,在管理方面形成制度。加强网管人员的防病毒观念,在业务活动中,如内部网与外界交换数据等自觉地进行有效控制和管理,同时,抵制盗版软件或来路不正软件的使用。管理工作由于涉及因素较多,往往知易行难,因此,还要辅以技术措施,选择和安装网络防病毒产品。

(5)多层次防御

新的网络防毒策略是把病毒检测、多层数据保护和集中式管理功能集成起来,形成多层次的防御体系。它易于使用和管理,也不会对管理员造成额外的麻烦,极大地降低了病毒的威胁性,同时,也使病毒防护任务变得更经济、更简单、更可靠。由于多层次防御病毒软件把病毒检测、多层数据保护和集中式管理的功能集成在同一产品内,因而极大地减轻了反病毒管理的负担,而且提高了全面的病毒防护功能。

(6)注意病毒检测的可靠性

经常定期地对网络或单机上的文件卷进行病毒检测。但要注意,检测结果没有发现病毒并不等于就真的没有病毒,这是因为先有病毒,后才有反病毒软件。反病毒软件必须尽量做到及时升级,现在国际上公认的升级周期为一个月,如果在这个周期内得不到升级维护,它在理论上就应被视为无效。

6.4.6黑客及其防治技术

1.“黑客”行为的出现

国际上将非法入侵计算机信息系统者称为“黑客”(Hacker),也有人将“黑客”称为信息第三者插足,并将其分为突然性信息插足、技术性信息插足、欺骗性信息插足和商贸性信息插足等几种情况。

就全世界范围来看,比较典型的“侵入”事件有三起:一是1993年英国少年布里顿“侵入”美国国防部计算机系统,接触到了包括弹道武器研究报告、美国情报部门内部机要通讯材料在内的大量机密,并把部分机密输入了有3500万用户的国际计算机网络。二是1994年英国电信公司一位计算机操作员“侵入”本公司内部数据库,获得了英国政府防务机构和反间谍机构的电话号码和地址,其中包括英国情报机构、政府的核地下掩体、军事指挥部以及控制中心、英国导弹基地等机密电话号码和梅杰首相的住处以及白金汉宫的私人电话号码。第三起是美国政府机关遭入侵事件。1996年8月和9月,美国司法部和中央情报局先后遭入侵。

2.“黑客”行为的现状与特点

自从有了三次典型的黑客入侵事件后,著名的黑客入侵事件就接连不断。仅在2000年一年,较为著名的事件就包括以下几起:在蒙特利尔,加拿大警方逮捕了一名15岁的男孩,这名男孩涉嫌发起了一系列网络攻击,致使几家著名的因特网网站陷于瘫痪,给网站造成了数亿美元的损失。在北京,根据中国有关网络公司统计,黑客的袭击导致中国40%的网站受到严重破坏,44%的公司的在线信息被破坏。在莫斯科,来自俄罗斯、英国、巴西的黑客把俄罗斯军方的因特网主页换成了用英语写成的辱骂俄罗斯军队及军方领导人的内容。在东京,计算机黑客闯入了日本政府的因特网网址,留下了辱骂和攻击日本战时历史的英文和中文信息。在纽约,黑客向Ebay在线拍卖网站和Qmazon.com、buy.com等购物网站发送潮水

般的数据,使这些网站的计算机无法立即处理,致使网站陷于瘫痪。

2007年,一家国际黑客组织利用叫作“pharming”的新型病毒攻击了世界65家金融企业和网上交易企业,窃取个人账户信息。这轮攻击在澳大利亚首次启动,此后迅速在多国扩散,平均每天就将1000名以上电脑用户引入伪装网站,乘机窃取网络银行用户名和密码等信息。英国的巴克莱银行、苏格兰银行,美国的捷运信用卡、世界最大网络拍卖企业eBay等很多著名企业都在攻击中相继受损。韩国花旗银行网上信用卡结算代办系统也遭到黑客攻击,造成20名顾客账户的5000余万韩元(1000韩元约合7元人民币)被自动划转。

根据美国国防部计算机安全专家对其挂接在Internet上的12000台计算机进行的一次安全测试,证明有88%的入侵是成功的,甚至有96%的尝试破坏行为未被发现。

3.黑客行为出现的存在必然性

客观上讲,对于非法侵入计算机信息系统的技术防范难以达到杜绝此类犯罪的目的,而且在技术上也根本不可能实现此种目标。正如有的学者所言,由于计算机系统本质上是数字处理系统,因而所有的计算机安全系统都是基于一定的数学算法来建立的。从理论上分析,任何一个计算机系统只要同外界相联系,那么无论它采用什么安全系统都是可以破解的,只是有些算法相当复杂,破解它需要的理论时间可能长达几十万年之久,从而被某些人认为是不可能被破解的。

伴随着计算机网络的逐步连接和广泛应用以及信息高速公路的建立,计算机网络的安全问题已经成为目前亟待解决的课题,非法侵入计算机信息系统的犯罪的严重社会危害性已经开始逐步显示出来。正确认识“黑客”行为及其危害性,对于规范计算机操作行为和确立正确的计算机道德,具有重要意义。

4.建立黑客入侵防范体系

学术界有学者认为,以动态、多层次的黑客入侵防范体系模型—EPPDRR-SM模型为基础,给出黑客入侵防范体系的实现框架。建立黑客入侵防范体系,主要内容有:选择相关的产品和工具,制定典型环境下的安全策略及在实际网络环境中的应用和实施。

采用的安全技术和工具主要包括防火墙、安全扫描、评估分析、入侵检测、网络陷阱、入侵取证、备份恢复和病毒防范。这些技术在网络系统的安全解决方案中都很重要,缺少任何一种都会产生巨大的危险,入侵防范应以一个整体概念来把握。

(1)防火墙:用于实现网络的边界安全防护功能。主要采用包过滤、电路网关、应用网关、网络地址转化、病毒防火墙、邮件过滤等技术。作为内网与外网之间的门户,对其间的信息交流进行全面管理,对用户使用网络进行控制和记录。

(2)网络隐患扫描系统:用于对网络系统的安全漏洞及安全隐患进行扫描评估,指出目标节点的安全隐患并给出对应的解决方法。

(3)入侵检测系统:用于对定义的攻击特征进行模式匹配,判断网络行为是否为恶意入侵或者攻击。可以监控网络攻击、后门、病毒传输等不良行为,且实现了电子邮件等的过程回放功能。

(4)系统安全固化:系统的安全措施将首先为操作系统提供防范性好的安全保护伞,并为数据库和应用软件提供整体性的安全保护。主要针对开放源码的Linux、FreeBSD的操作系统,加强上述操作系统的安全防护性能。

(5)事件响应:事件响应是指网络安全系统对安全事件的自动响应。目前在使用的事件响应方法大体上分为3类:报警、阻塞和反击。在其体系中对安全事件的响应方式采用报警与人工响应相结合为主,阻塞响应为辅,成立安全事件响应小组,负责处理相关安全事件。

(6)基于文件的抗毁系统:主要针对服务器上的关键文件进行实时的一致性检查,一旦发现文件的内容、属主、时间等被非法修改就及时报警,并在极短的时间内实时恢复

(7)陷阱网络:作为一种积极主动的防御方法,陷阱网络将黑客的入侵行为引入一个

可以控制的范围,消耗其资源,了解其使用的方法和技术,追踪其来源,记录其犯罪证据。

(8)入侵取证:入侵取证为安全防护体系提供取证和事后分析的依据,它针对日志保密存放和防篡改及日志的审计功能设计一套有效的审计取证系统,可解决当前电子犯罪难于取证并难于找到问题根源的问题。

(9)数据备份恢复:为了防止数据丢失,需要作好详细的灾难恢复计划,还要定期进行灾难演练。可以利用淘汰的机器或多余的硬盘进行灾难模拟,以熟练灾难恢复的操作过程,并检验所生成的灾难恢复软盘和灾难恢复备份是否可靠。

(10)防范体系管理平台:网络安全技术的不断发展,使得各种网络安全设备的配置和管理日趋复杂。使用防范体系管理平台,对内部网络进行全面监控,实现对防火墙、IDS、Scanner等工具的统一管理和配置,并具有一定的可扩展性。

三 : 20十三大学生犯罪案例及分析

20十三大学生犯罪案例及分析_大学生犯罪

20十三大学生犯罪案例一直呈增长趋势,而且大学生犯罪向多样化、智能化方向发展。“天之骄子”也走上了犯罪的道路。这些现象的出现决非偶然。

大学生自我价值观发生了变化

价值观是影响甚至支配人们行为的重要因素。随着社会的发展,大学生自我价值出现了变化。在不否认主流是好的条件下,我们要指出有为数不少的人的思想出现了消极、颓废的倾向。主要表现在:

a.对自身及社会认识的变化:看到社会中大学生比例的上增,大学生失业现象的频繁,现代大学生已不再有过去大学生拥有的那种认为自己是出类拔萃的优秀者的想法,他们的自我预期下降。这使他们极易产生消极颓废心理。

b.个人化个性化倾向:面对改革浪潮,大学生的价值观念就出现了个人化、个性化倾向。这种倾向是对不承认合理的个人利益、个人价值的“反对”,具有一定的积极性,但如果不能把握合适的“度”,就很容易陷入个人主义的泥潭,从而容易产生犯罪。

大学生心理发展的不成熟性

大学生处于青年期,其心理正在迅速走向成熟但又未完全成熟,他们心理起伏比较大、易冲动、自我控制能力较差、做事情欠缺考虑;加上大学生人生体验浅,而社会又极其复杂,故若没有正确的引导,他们很容易走上歧途,甚至诱发犯罪。

大学生的心理发展的不成熟性还表现在:他们心理的脆弱性上面,这种心理的脆弱,主要有原因有:a.对自我的要求过分高于自身的素质、能力;b.客观生活环境困难;c.父母过度关怀。曾经被媒体热炒的清华大学学生刘海洋硫酸伤熊事件、北京某高校学生马忠义携带仿真枪绑架案等等,都是因心理的脆弱而诱发的犯罪。

由于改革开放,国内出现了多种文化。一些非主流文化的负面影响及不同背景的西方文化、港台文化对大学生产生的不可低估的影响,这些影响也是导致大学生犯罪的原因之一。社会的主流文化是健康向上的,对大学生起着积极的正面引导作用,但像色情、暴力、荒谬、享乐主义以及西方、港台文化中所宣传的私有化、极端个人主义文化及文化商业化作用下产生的文化糟粕,则在社会上起着极坏的影响,诱导大学生走上违法犯罪之路。

当代大学生犯罪的预防对策

预防是减少犯罪的最有利的办法,预防大学生犯罪是对人才的珍惜,是对社会的责任。预防大学生犯罪,是学校的任务。也是司法机关和社会个方面的共同任务。

1.注重对大学生思想道德教育,引导大学生正确认识自我,认识社会,树立正确的人生方向,追求目标,增强大学生的公德意识。

2.培养大学生良好的心理素质

针对大学生心理发展不够成熟的特点,学校要有意识地开展心理健康知识讲座、开设心理咨询服务。帮助大学生形成健康向上的心理,当前尤为重要的是:A)引导大学生控制情绪,增强社会应变力,学会处理现实与愿望的矛盾,学会自我调试,做事前理智思考。B)注意引导大学生建立和谐的人际关系:大学生要放弃自卑心理,充满信心地对待生活,能够接纳他人,使自己的心理处于轻松愉快之中。C)注意引导大学生正确处理恋爱与性问题,指导大学生以严肃的态度对待爱情,正视恋爱关系,保持稳定的情绪及健康的心理。

学校要进行全面教育,针对大学生中许多人不知法、不懂法、有的甚至是法盲的现象,我们强调要强化法制教育,使大学生知法、懂法、守法,指导大学生正确理解权利与义务的关系,在履行义务的前提下,合法行使自己的权利,帮助大学生形成依法办事、同违反宪法、法律以及破坏我果法制的行为斗争的思想意识。

以上20十三大学生犯罪案例可以看出预防犯罪首先必须保证良好的校园生活环境,保证校园是1个学习知识的场所,切实抵制社会不良文化的进入。学校要关心学生的生活,帮助学生解决生活中的各项困难。对大学生的培养与教育,不单是学校的事,社会个部门也都负有重大责任。家长要注重对自己孩子的了解,配合学校教育;司法机关也应该有重点地与大学定期联系,帮助学校建立良好的校园环境,同时加强校内的司法宣传教育;政府职能部门则应力所能及地为大学排忧解难。要切实采取可行的措施,优化社会大环境以及校园环境,加强教育领导,把大学生犯罪率降到最低限度。

四 : 给学生一枝生花妙笔——自主探究作文教学的案例及评析

写作教学应贴近学生实际,让学生易于动笔,乐于表达,应引导学生关注现实,热爱生活,表达真情实感。

在写作教学中,应注重培养观察、思考、表现、评价的能力。要求学生说真话、实话、心里话,不说假话、空话、套话。激发学生展开想像和幻想,鼓励写想像中的事物。

为学生的自主写作提供有利条件和广阔空间,减少对学生写作的束缚,鼓励自由表达和有创意的表达。提倡学生自主拟题,少写命题作文。

——《语文课程标准》

一、创设自主探究的“境”:让作文乐趣无穷。

?案例一?:上课铃打响了,孩子们不是规规矩矩地在室内坐好,而是三个一群、五个一伙地自由组合,来到校园的花园里。老师没有过多讲解,只是提示孩子们观察花朵的形状、颜色、大小、味道等方面并和花朵说说悄悄话。

话刚说完,孩子们就如蝴蝶般翩翩飞行于花丛中,用眼看,用手摸,用鼻闻,用嘴说……往往令孩子们头痛的作文课也能如此游玩似的快乐,孩子们能不主动学吗?

?学生习作片断?:

生1:菊花啊,菊花,你是那么美丽芬芳,红的似火,粉的像霞,白的如雪,黄的像金,自由地在风中舞蹈,发出令人心醉的芳香。请你告诉我,是什么让你如此五彩缤纷,香气袭人?

生2:火红火红的一串红哟,你多么像燃烧的火焰,又多么像串串鞭炮,你穿上了艳丽的礼服,也来参加这秋日的聚会吗?

生3:粉红的月季花,你可别低着头呀!是不是太阳公公悄悄吻了你的脸,你害羞了?还是秋夜寒冷,你被冻红了小脸?雪白的月季花,你娇嫩的脸上怎么还有两颗晶莹的珍珠,难道是昨晚秋霜姑姑悄悄送给你的礼物吗?

生4:“桂子花开,十里飘香。”猛吸一口,空气中净是甜甜的味儿。瞧,你那么娇小玲珑,一丛丛、一簇簇,挤满了树的枝枝丫丫。你可要把我迷醉了。

生5:夹竹桃有红有白,满树满树,几朵几朵凑在一块,在风中沙沙作响,似乎在窃窃私语。你能告诉我你的悄悄话吗?别只顾摇头,你能再听听我的烦恼和忧愁吗?

?评析?:首先,教师打破传统的室内教学模式——闭门造车型,而是让学生走进大自然,亲近写作素材,拥有第一手资料;其次让学生自由组合,创设一种民主、和谐、愉悦的氛围,使学生产生一种“自由感”,从而减轻学习上的精神负担,能随意观察,充分发挥出学生的自主性;再者,教师的适当点拨提示,尤其是建议和花儿说说悄悄话,那可真是打开了孩子自由思维的宝匣,于是那灵动美妙的诗一般的语言便汩汩流出,这样的习作,怎不令老师怦然心动,拍案叫绝!

?案例二?:老师正在指导学生看图作文,第一幅图:“小黑猫和小白猫在桥上看鱼”;第二幅图“小黑猫跳下河去捉鱼”。孩子们看完第一、第二幅图后很想知道结果,好奇心难以控制,到第三幅图时老师别出心裁地只用了一个“?”,还反问一句:你们说结果会怎样呢?

孩子们的思维就如开了闸的水,喷涌而出,滔滔不绝,如此引人入胜的开头有几个孩子不被吸引呢?

?学生习作片断?

生1:鸭妈妈正好路过,听到小白猫的呼喊声,三步并作两步冲过来,飞身一跃跳入河中,把小黑猫奋力往岸边推,终于把它救了上来。

生2:“救命呀,救命呀!”小白猫急得大喊,小黑猫在水里拼命地手舞足蹈,没想到,身体慢慢向上浮,它继续使劲划水……呀,它竟然学会猫刨式游泳了!

生3:小黑猫正咕咕咚咚喝水呢,游来一条金鱼,她眨眨眼睛说:“猫哥哥,你别怕,我来救你,但你以后千万别伤害我们,好吗?”小黑猫只好连连点头。没想到,金鱼送给它一个吸氧器,带它到龙宫里走了一遭,呀!那个美景真是没法说。从那以后,猫和鱼还成了好朋友呢!

生4:小黑猫跳下河,打开了新设计的避水罩,顿时就像在陆地上一般。水底竟然也是那么美丽无比,鱼儿生活得那么幸福、美满,鱼儿们还邀请它作客,送了它好多礼物,以后小黑猫怎么还忍心伤害他们呢?

?评析?:组织教学时,教师没有把书上第三幅图的内容告诉给孩子们,而是有意留下空白,启发学生探究的兴趣,给学生留下自主探究的空间。不会游泳的小黑猫跳下了水,结果会怎样呢?让学生自由想像、填补“空白”,去自我发现、创新、表达,变“吸收——储存——再现”为“探究——鼓励——创新”。结果,百花齐放,设想大胆,境况美不胜收。

写在后面

由上述案例可见,创设自主探究的“境”,即提供自主探究的机遇,设计自主探究的情境,创设自主探究的氛围,能充分激发学生的习作兴趣,调动学生的学习积极性,最大限度地激活了学生潜在的学习欲望,使学生主动积极地参与到习作活动中来,成为学习的主人。教师应善于营造平等、民主、和谐、轻松的课堂气氛,使用最佳的教学艺术,采用灵活多样的方法,创造这种自主探究教学的“境”。“为学生自主写作提供有利条件和广阔空间,减少束缚……”使学生易于动笔,乐于表达,思维灵动,笔下生辉。写的文章自然就富有创新,富有真情实感和情趣。

二、开放自主探究的“度”:让作文丰富多彩。

?案例一?:教师深情地导入  :“常言道‘每逢佳节倍思亲’,一年中,无论是按公历还是农历,都有许多传统节日,而遇到佳节,你也许会回忆起许多美好的往事,也许会特别思念某个人,也许想起游玩过的迷人风景,也许想买个精致的玩具饰品,也许有许多话儿要向谁诉说……”

一石激起千层浪,课堂气氛立刻活跃起来:有的学生想起中秋节时,全家边尝月饼边吟诵“明月几时有,把酒问青天”的情景;有的学生想起“五一节”在公园游玩,一位救落水儿童的不知名的叔叔;有的学生想起“重阳节”时妈妈给奶奶送贺卡;有的学生想起“六一节”时爸爸给自己送的礼物;有的学生想起“十一”长假到外地游玩时的迷人风景……至此,教师提出作文要求:将你在那个日子里的所作所为、所见所闻、所思所感写下来,题目自拟,体裁自定,字数不限。

学生“沙沙沙”地挥笔直抒,在一节课时间里,多数同学轻松地完成了习作,而且写人、写事、写景、状物,书信、诗歌等,均精彩纷呈,各有千秋。

?评析?:组织教学时,教师首先将习作所涉及的范围适当拓宽,降低了运用知识的难度;其次又将习作的要求适当拓宽,扩大了完成习作的自由度;再加上教师精心创设的导入  ,又拓展了学生思维的宽广度,这样多一点“自助餐”,放弃了“配给制”,便于发挥学生的主体作用,而且便于再现学生储藏于大脑中的知识和经历,记忆的闸门一旦打开,写出好的作文自然也就水到渠成。

?案例二?:学生完成习作的初稿后,不急于誊写,而是根据习作要求互相评议修改;誊写完之后也不急于交给老师,再互相修改评议;然后老师再进行评改;最后集体讲评。如一位学生写自己班长的文章《我班的“老虎”》:

自评:我班的“老虎”就是班长,我写了两件事:一是班长管纪律严,像老虎;二是班长管我们打扫卫生很严,像老虎。语句通顺,写得生动。得“优”。

互评生1:文章条理清晰,叙述完整,但事情写得不够具体、生动,没有身临其境之感,请在我提示的地方修改。得“良”。

互评生2:我觉得题目很新颖,事情叙述完整,就是错别字较多,优美词句较少,望及时订正。得“优”。

师评:首先你很会动脑,一是题目新颖,二是文章选材真实可信;其次,写得很有条理,两件事情之间还有过渡句,值得表扬。建议你细细回忆“老虎”班长管理时的动作、神态、语言及他人的反应,把这些东西写具体,人物性格就会跃然纸上。得“优”。

?评析?:讲评的过程也是一个不断提高学生的写作水平,规范学生个性化语言的过程。改变以往老师一刀切的方式,扩大评改的宽度,教给讲评的方法,让学生自评、互评,再老师评、集体评。前者重点落实训练要求,后者又把欣赏评议融为一体。这样开放讲评的“度”,使学生在提高评议能力的同时,也有利于学生在审题、选材、谋篇布局、遣词造句等方面博采众长,飞速提高。

写在后面

由上述案例可见,开放自主探究的“度”,即拓宽作文题目、内容、体裁等的自由度,扩大习作评议的参与度,渲染佳作的知名度等,能充分激起学生自主探究的兴趣。使学生在互帮互学、友好合作的良好心境中,不时闪现出思维的火花,从而捕捉住灵感,下笔有神,妙笔生辉。充分体现了“注重培养学生观察、思考、表现、评价的能力”的新的课程理念。

(薛向红 金炜 《中国教师报》)

本文标题:大学生犯罪案例及分析-大学生心理困惑及异常心理案例分析AC178
本文地址: http://www.61k.com/1151502.html

61阅读| 精彩专题| 最新文章| 热门文章| 苏ICP备13036349号-1