略论信息犯罪及其安全对策,本文主要内容关键词为:对策论文,信息论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
今天,以微电子学理论为基础,以微电子技术和现代通信技术为主体,以国际互联网的形成为标志的网络技术革命已把人类社会推向了信息网络化的时代,这不仅改变了长期以来我们既有的社会经济结构,而且更重要的是改变了我们的价值观念和社会生活方式,形成了全新的社会生活空间——网络环境。但就在全球上下一片高歌猛进迎接信息化时代的同时,各种信息犯罪活动也频频发生,给国家安全、知识产权以及个人信息权带来了巨大的威胁,引起了世界各国的极大忧虑和社会各界的广泛关注,并日益成为困扰人们现代生活的又一新问题。
一、信息犯罪的基本类型
网络环境是信息化的直接产物,在网络环境中,信息无所不有,无处不在,尤其是计算机网络的技术的更新与发展成了信息流动、交换的根本手段和重要途径。因此,各国对信息犯罪的研究也多集中在计算机犯罪上,反映在信息犯罪的分类上也是如此。我们则依据信息犯罪的实际情况,按照对信息资源的侵犯方式,并考虑到其安全对策,把信息犯罪划分以下几种基本类型:
1、信息窃取和盗用。 信息窃取和盗用是信息犯罪中最为常见的类型之一,尤其在经济领域里,信息窃取和盗用活动十分猖獗。据美国中央情报局公布,美国公司仅在1992年一年就因经济信息与商业秘密被窃取和盗用而损失高达1000亿美元以上,从1993年起,美国中央情报局的谍报活动经费就有三分之二用到了经济谍报上。特别是近一两年来,伴随信息技术的进步与提高,各国信息窃取和盗用活动也愈演愈烈,其中最为典型的是计算机窃取和电话网络的盗用上。计算机窃取主要表现为可以用以支付的电子货币、帐单、银行帐目结算单、清单等达到改变公私财产所有权。如德国的一起发票盗用案,一个程序员通过改变公司的工资数据、帐单和结算单的程序,窃取了19万多马克。盗用电话网等通信网络主要表现为盗码并机使用不纳费电话号码、买卖外国电话卡号码、盗用共用电话用的电话卡等,这种信息犯罪行为给电信部门和合法用户造成了很大的损失和混乱。如法国一电脑高手从1994年8 月起的四个月中,窃入美国联邦调查局的通讯网络线路,利用联邦调查局帐号,拨打国际长途电话以及在电脑网络上和全球各地的电脑迷聊天,使美国联邦调查局蒙受了高达25万美元的经济损失。
2、信息欺诈和勒索。其中较为典型的是通过伪造信用卡、 制作假票据、篡改电脑程序等手段来欺骗和诈取财物的犯罪行为。据报道,全球使用假信用卡的非法所得金额在1991年就已超过了1亿美元, 如发生在匈牙利的一个信息诈骗案例中,案犯在一个月内仅靠一张复制的信用卡,取款就达1583次,而且每次都得以成功。在美国,也曾发生过一件惊震世界的信息欺诈案:美国前证券投资公司由于业务衰落不振,亏损严重,于是便合伙设计出一个“具有划时代的特点”的程序,操作计算机来伪造保险合同,通过造假帐来粉饰太平,一个名为“塞巴网络恐怖分子”的国际电脑匪帮,就是专干设置“逻辑炸弹”的勾当,他们通过破坏各网络公司的电脑系统来敲诈勒索。1995年,一家公司为了让这伙恐怖分子清除其埋藏在该公司电脑系统中的“软件炸弹”,不得不向匪徒们支付1950万美元。据统计,这伙国际电脑匪帮自1993年以来,先后作案40余起,共勒索各电脑公司共6亿多美元。
3、信息攻击和破坏。 信息攻击和破坏是指行为人以非法的方式故意对信息资源实施破坏性攻击的信息犯罪行为。在这类犯罪行为中,绝大多数是属于非暴力性手段,即其攻击和破坏的主要对象是计算机程序或数据,例如以电磁铁使磁带活磁盘上的数据或程序灭失、消灭或更改原有的资料使系统的操作不能达到设计的目的等。信息攻击和破坏所造成的损失往往是难以估量的,尤其是随着计算机网络的不断发展,以计算机病毒的方式进行信息攻击和破坏的现象十分严重,已成为当今的一大社会公害。如世界上第一个将黑手伸向军用计算机系统的美国15岁少年米尼克,运用破译电脑密码的特殊才能,成功地打入了“北美防空指挥中心电脑系统”,并将美国瞄准前苏联的核弹头绝密资料浏览无余。据不完全统计,目前全世界已发现的计算机病毒近4000种,著名的如“黑色星期五”、“米开朗基罗”等,都曾造成过世界性的恐慌,其所造成的损失根本无法估量。我国也于1989年首次发现计算机病毒感染,并出现了国产病毒如“中国病毒一号”、“中国炸弹”等。
4、信息污染和滥用。近几年来, 信息犯罪中利用信息网络传播有害数据、发布虚假信息、滥发商业广告、随意侮辱诽谤他人、滥用信息技术等方面的犯罪行为越来越突出,已成为一种全球性的威胁。由于信息网络的特点,这些有害数据的传播面宽,速度快,难以控制,并且侦查犯罪嫌疑人,确定行为责任,搜集证据也较困难。这些信息污染和滥用现象,有的是出于经济动机,如德国一家最大的邮购性文章公司利用电信系统散发色情文章,通过德国电信公司的屏幕文本系统安排性接触,以收取费用。有的是出于各种非经济目的,如散布反动言论,或种族主义、恐怖主义的游戏软件等,则主要是出于危害国家安全,挑起种族情绪的目的;还有的是纯粹出于好奇或寻趣找乐,如1994年英国的一名电脑黑客访问了利物浦医院的信息系统,其目的仅仅是想看看“使用计算机能够制造出怎样的混乱”。
二、信息犯罪的主要特征
从信息犯罪类型中,我们可以发现信息犯罪是同信息技术的发展和信息网络中的交流紧密联系在一起的。在网络环境下,既有亲社会行为,又有反社会行为甚至犯罪行为的发生,而信息犯罪则是网络时代中一种新型的社会犯罪行为,它一般是指运用信息技术故意实施的严重危害社会,并应负刑事责任的行为。尽管,目前世界各国对信息犯罪的定义和量刑有着不同的看法,但信息犯罪的表现却大致相同,尤其与常规犯罪相比,具有以下显著不同的特征:
1、犯罪人员的智能性。 大多数信息犯罪人员都是具有相当高的专业信息技术和熟练的信息操作技能,作案前通常经过周密的预谋和精心的策划,通过互联网络,直接或间接地向计算机输入非法指令来篡改、伪造他人的银行帐户、存折和信用卡等,实施贪污、盗窃、诈骗、破坏等行为,甚至还非法侵入国家军政机关或企事业单位的网络系统,窃取政治、经济和军事机密等。如克罗地亚的3名中学生, 在操纵电脑遨游信息高速公路时,进入了美国军方的电脑系统,破译了五角大楼的密码,并从一个核数据库复制了五角大楼的机密文件,使其电脑系统遭到破坏,直接损失达5000多万美元。据美国官方人士称,1995年企图闯入五角大楼计算机系统的“电脑黑客”(hacker)多达25 万人次, 其中有65%即16.25万人次获得成功。 这些“电脑黑客”大多都是计算机高手,不仅成功率极高,而且不易被发现。
2、犯罪手法的隐蔽性。信息本身是看不见、摸不着的, 大多数信息犯罪是通过程序和数据等这些无形的操作来实现的,作案的直接对象也通常是这些无形的电子数据和信息,因此,信息犯罪是一种“无形犯罪”。正是由于信息犯罪的作案不受时间、地点的限制,犯罪行为实施终了后对机器硬件的信息载体可以不造成任何损坏,甚至不留下任何痕迹,所以犯罪行为不易被发现、识别和侦破,犯罪成功率极高。同时,由于信息犯罪的证据又主要存在于软件之中,这也使得犯罪分子很容易转移或毁灭罪证,尤其是利用远程计算机通信网络实施的犯罪,罪犯远在异国他乡,实施犯罪以后往往难以追寻,即使查出某些蛛丝马迹,犯罪分子也早已逃之夭夭,从而增加了破案难度。据统计,在号称“网络王国”的美国,计算机犯罪的破案率还不到10%, 其中定罪的则不到3%。
3、犯罪手段的多样性。随着全球信息网络化的发展, 尤其是信息技术的普及与推广,也为各种信息犯罪分子提供了与时俱增的多样化高技术作案手段,诸如偷窃机密、调拨资金、金融投机、剽窃软件、偷漏税款、盗码并机、发布虚假信息、私自解密入侵网络资源等信息犯罪活动层出不穷,花样繁多。例如,彩色复印机可以复印出以假乱真的纸币;激光音像录制技术可以生产出与原始音像源媲美的高保真激光唱盘;个人计算机利用电话线就可以连接上全球性的计算机网络中的大型主机等等,而且这些犯罪活动操作起来极为方便。如美国纽约多尔顿中学的一名中学生通过电话线进入了北美的计算机通信网络, 成功地打进了20多家企业的计算机系统 ,并将异常数据塞入计算机正常运行的程序之中,使这些企业蒙受了巨大的损失。
4、犯罪后果的严重性。与传统手段的犯罪相比, 信息犯罪所产生的影响和后果要严重得多,尤其在信息技术日益高度发达的今天,犯罪分子有时只需在键盘上轻轻敲几下,就可以窃取巨额的款项。如1996年英格兰警方就破获了一起利用电子信息技术企图从英国银行盗走一亿英磅的盗窃集团。此外,信息犯罪对知识产权的有效保护、个人隐私和国家安全也带来了巨大的威胁,尤其是涉及国家机密或战略决策的计算机系统一旦遭到侵犯或破坏,就可能给国家主权与安全带来灾难性的后果。如美国康奈尔大学的研究生莫里斯,通过美国最大的计算机网络系统,把自己设计的病毒程序输入五角大楼远景规划网络,结果导致美国军事基地和国家航天航空局的6000多台电脑全部瘫痪,给美国造成直接经济损失近一亿美元。
5、犯罪行为的复杂性。在网络环境下, 全球已结成一个庞大的信息网,其使用之多、发展之快,内容之广泛都是空前的,但同时它也存在着许多不足之处,尤其是与传统的法律体系相比,其在定罪和量刑上更为复杂。如由于信息网络在管理上是一个无主人的网,容易存在法律空白,这实际就为一些人利用信息而犯罪提供了可乘之机。又由于计算机有一个致命的弱点就是它只认口令不认人,因此,只要掌握了口令,谁都能够打入计算机系统实施犯罪行为,而要在法律上确定谁是真正的责任行为人却十分困难,主要是因为行为人往往具有多种身份,可能是网络提供者,也可能是业务提供者,也可能是信息提供者,还可能兼而有之,这无疑在很大程度上加重了破案工作的难度。
三、信息犯罪的安全对策
在信息化时代,信息不仅是社会财富的主要形态,而且也是决策的重要依据和科技的直接先导,它在国民经济增长和劳动生产率提高方面所起的作用,将大大超过资本所起的作用。同时,信息资源的脆弱性特点也决定了我们必须保证信息安全,以加强信息资源的保密性、完整性和可控性。今天,随着信息网络化的日益发展,信息犯罪愈演愈烈,人们对信息犯罪的安全对策也提出了越来越迫切的要求。根据国内外对信息安全问题的大量研究,我们特提出以下几个方面的安全对策:
1、技术对策。 可以从五个层次上来加强信息技术的安全对策:(1)加强工作站的认证,实行芯片卡制度。 芯片卡实际上是一个由密码保护的微处理机,它带有使用者标识符,其功能有利于计算文件密钥和计算会昭密钥,使用时可提供识别芯片卡携带者个人的特别编号; (2)在DOS、WINDOWS、MT等平台上增设安全性软件,同时,工作站的硬盘入口必须受到监控或予以加密,以杜绝通过计算机存储器盗窃数据的可能性;(3)确保网上PC 服务器的安全。 要保障Novell 服务器、 LanManger服务器、Banyan服务器等网上PC服务器的安全,就必须确保认证的连续性,保证传输期间的秘密,以加密方式存储数据,防止被阻断;(4)在许多大的场所设立二级信息处理系统,即UNIX 计算机工作站或服务器,以弥补信息管理中心往往不可能控制工作站的不足;(5 )为使网络接入达到最大安全性, 访问数据应当经存储卡检查后方能接入PC系统 ,数据转移应以加密方式进行,并在访问数据库时要由数据库端口的软件主芯识别,审核存储器卡中的授权是否有效。当然,信息安全的技术对策本身也是一项十分复杂的技术,它受制于人类社会科学技术发展的整体水平,而我们目前所采用的各种信息安全技术措施,只能是相对的、临时性的“补救”措施而已,还无法从根本上来解决信息安全问题,这或许正如美国的计算机软件专家科恩(Fred Cohen)所说:“我们甚至有理由怀疑,绝对可靠的防范措施可能永远找不到。”
2、管理对策。 由于信息市场秩序的相对混乱和信息交易行为的不规范,必然要求我们加强信息内容的安全管理,净化信息市场,保护知识产权,促进信息资源的共享,这不仅有利于防止数据丢失或被盗,阻止有害信息进入网络,危害社会,而且对于保障国家主权、维持社会治安和促进社会公德都具有十分重要的意义。对此,各国政府都寄予了高度的重视,如美国政府1996年初签发的有关信息安全管理条例,就要求在全美各地新生产的电视机上都安装“V芯片”, 因为它可以自动将带有伤风败俗内容的节目从计算机和电视屏幕上识别并去掉。德国政府对利用信息网络传播色情节目的做法也深感不安,并加强了这方面的管理力度,要求互联网的服务接入提供者禁止传播有关性和新纳粹的资料。新加坡、越南等发展中国家也于1996年纷纷作出决定,要求加强信息网络的管理工作,保障信息安全运行,坚决取缔任何有损国家主权和人民利益的服务。此外,各国政府还进一步积极建立健全信息网络的管理机构,加强统一管理。由于信息产业的发展具有很强的关联性、系统性和政策性,而目前许多国家管理多头、分散,政策不一的现象还大量存在,有些信息服务还根本无人管理,严重影响了信息产业的健康、有序、快速发展,因此,建立常设机构对信息网络实行有效的统一管理势在必行。同时,还应积极推行网络伦理的宣传教育工作,如美国计算机协会就倡导其网络成员遵守并支持下列一般的伦理道德和职业行为规范:(1 )为社会和人类作出贡献;(2)避免伤害他人;(3)要诚实可靠;(4)要公正并且不采取歧视性行为;(5)尊重包括版权和专利在内的财产权;(6)尊重知识产权;(7)尊重他人的隐私;(8 )保守秘密等。
3、法律对策。信息网络的巨量数据流、 高度流动性和非物质形态的特性,使得信息活动超出了传统概念的范畴,一个全新的网络环境正在加速形成。尤其是信息犯罪的涌现,使得传统的法律体系已越来越不适应信息技术与信息手段发展的需要,如权力的非完整性和义务的非确定性,使得权力和义务在实现过程中难以均衡。因此,建立全面的、有效的、结构严谨的新的法律体系来规范信息网络环境显得十分必要,而且这一新的法律体系至少应该具有以下几个特征:(1)开放性。 即应当全面体现和把握信息网络的基本特点及其法律问题,对于目前尚无法确定的问题应尽可能给出上位概念并在宏观上加以规范;(2 )兼容性。即应当与现行的法律体系保持良好的兼容性,使法律总体系变得更加科学和完整;(3)可操作性。 即应当从维护网络资源及其被合理使用,维护信息正常流通,维护用户正当权益出发,制订出便于当事人的起诉,便于司法机关办案的科学的法律体系。目前,世界各国有关信息犯罪的法律对策基本上是从两个方面入手:一是修改现行法律,如对宪法、刑法、专利法、版权法、反不正当竞争法等法律进行修改和补充,使之适用于惩罚信息犯罪,如美国1984年通过的《仿造信息存取手段及计算机欺诈与滥用法》,就对联邦刑法典进行了修改。1985年加拿大通过刑法修正案,也将非法使用计算机和损害资料的行为规定为犯罪;二是制定新的信息犯罪法规, 通过单独立法来集中打击信息犯罪活动, 如80年代中后期美国先后颁布实施的《联邦禁止利用计算机犯罪法》、《信用卡欺诈法》、《计算机安全法》等法律,就信息立法中的一些专门术语作了严格的定义,以杜绝罪犯玩弄技术术语逍遥法外的现象。在我国,虽然当前各种信息犯罪还远不及西方发达国家突出,但近几年来计算机盗窃、信用卡犯罪、滥用电话网等犯罪活动日趋严重。可以预料,在下个世纪初期,信息犯罪将会在我国大量发生,从而有可能成为我国社会危害性最大的一种犯罪。因此,站在社会发展与稳定的高度,在信息网络化起步阶段积极探索信息犯罪及其法律对策对国家来说具有极其重要的意义,其当务之急不仅是要通过信息立法来预防外国的信息侵略和境外电脑“黑客”的入侵,为打击各类信息犯罪活动提供法律依据,而且更要教育在信息网络上工作的中国公民遵纪守法,警戒那些试图进行信息犯罪的不稳定分子,以在信息领域形成一股良好的氛围。我们相信,随着信息安全技术的飞速发展,并配之以严格的管理和法制治理,在各国精诚合作、共同努力下,信息犯罪问题将会得到有效的防范和及时的处理,信息安全也会越来越有保障。
本文为国家社会科学基金课题的部分研究成果。