信息系统安全与计算机犯罪,本文主要内容关键词为:计算机论文,信息系统安全论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
1 问题的提出
本文所称的信息系统,是指计算机信息系统,不包括建立在手工处理基础上的信息系统,即是指“由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统”[1]。 计算机尽管功能强大,技术先进,但是仍有缺陷的一面,由于受到自身因素和外部条件的限制,产生了一些不安全因素。这些不安全因素对于信息系统来说,具体体现在:(1)从计算机软硬件方面看可能受到的破坏和篡改;(2)从信息系统功能方面看在数据的输入、输出、存贮、传输过程中存在的不安全因素;(3)从信息系统运行的环境方面看如电力系统的中断、 自然灾害的危害等;(4)从信息系统的主体——人来看, 人为因素如操作失误、违法犯罪等造成的危害。美国的调查表明,计算机信息系统安全问题已使一半以上的美国公司遭受到了经济损失,有的公司一次损失超过100万美元[2]。
计算机犯罪最早出现于40年代末期,1958年美国就有了计算机滥用事件的记录。1973 年美国召开了首届计算机安全与制止犯罪的会议, 1983年国际信息处理学会联合会(IFIP)成立了第十一技术委员会——计算机安全委员会,负责计算机安全与犯罪研究。进入90年代以来,计算机犯罪现象更加猖獗,造成的危害也更大。美国旧金山计算机安全研究所进行的调查结果表明,1998 年计算机犯罪活动比1997 年上升了16%,64%的公司和机构曾被黑客光顾。美国计算机安全协会1997年的调查表明,563家美国公司、政府部门、金融机构和大学有3/4遭受了因破坏计算机安全行为而造成的财物损失——金融诈骗损失2490万美元,电信诈骗损失2270万美元,窃取专利情报损失2100万美元,破坏数据或网络损失430万美元,计算机病毒损失1250万美元[3]。实际损失肯定更大,因为大量存在尚未发现和发现而未报告的案件。
近几年来,随着计算机在各行业的广泛应用,计算机犯罪行为在我国正以每年30%的速度递增,我国95%的与因特网相联的网络管理中心都遭到过境内外黑客的攻击或侵入,其中银行、金融和证券机构是黑客攻击的重点。在上海召开的全国计算机安全学术交流会透露,我国计算机犯罪1998年比1997年增长了7倍。据公安部门消息, 我国计算机犯罪案件的数量、种类与国外有差距,但发展势头不可低估。计算机犯罪案件的迅猛增加已引起了我国社会各界的广泛关注。
因此,研究由于计算机犯罪而引起的信息系统安全问题是我们面临的必须解决的重大问题。这一问题在开放式信息系统中显得尤为重要。
2 信息系统的安全
2.1 信息系统安全的概念
美国信息系统专家阿沃德教授曾从系统的安全性、完整性、保密性和机密性四个方面来定义信息系统的安全问题[4]; 国内有人认为信息系统安全是指组成信息系统的硬件、软件和数据资源受到妥善的保护,系统中的信息资源不因自然和人为因素而遭到破坏、更改或泄露,信息系统能连续正常运行。并提出信息系统安全包括信息系统实体的安全、软件的安全、数据的安全和运行的安全四个部分。所谓的信息系统实体的安全是指保护计算机系统硬件和存储媒介的安全;软件的安全是保护各种程度及其文档不被任意篡改、失效和非法复制;数据安全是保护所存储的数据资源不被非法使用和修改;运行安全是保护信息系统能连续正确地运行[5]。
笔者认为信息系统安全的概念实际上可分为两个层次,广义上的信息系统安全涉及到组成信息系统的各组成要素以及环境因素,如同文献[5]所定义的一样,即不仅指“信息”的安全, 而且指“系统”的安全。狭义上的信息系统安全仅指信息的安全。美国SRI 国际公司计算机安全专家Donn Parker认为信息安全就是保护计算机数据的机密性、 完整性和可用性,机密性是指防止未授权人员窃取系统的信息;完整性是指系统的信息不受篡改;可用性是指系统信息对合法的实体一经提出要求就能存取和使用无误[6]。 本文的讨论仍从广义上信息系统安全的范畴出发。不论信息系统如何组织、何种结构,没有足够的安全性,若一旦受到攻击,则后果难以设想。
2.2 信息系统安全的影响因素
文献[5]从信息系统的组成要素角度出发, 认为信息系统安全的影响因素主要包括实体、软件和数据安全三方面[7]:
(1)影响信息系统中实体安全运行的因素包括设备的偶然故障、 设备的失窃及人为破坏、信息系统运行环境的影响、电源的影响、电磁的干扰、重要信息记录和磁介质的管理、窃听等。
(2 )影响信息系统软件和数据安全的因素可归纳为系统软件和应用软件自身的缺陷、计算机病毒、计算机犯罪、软件的非法复制、业务人员的越权操作、数据的保密措施不足等。
如果从产生信息系统问题的外部条件来看,信息系统安全主要受到三个方面的威胁——自然灾害、意外事故和人为破坏,这三个方面中又以人为破坏最常见,威胁性最大,后果也最严重。有人根据造成威胁的人员对计算机的接近程度不同将其分为四种类型——外部人员、物理存取人员、系统存取人员和编程特权人员,认为每一类的人员对计算机具有的威胁不同,并具体分析了这些威胁的主要形式和手段[8]。 实际上,在人为破坏中,依实施者的目的不同又可分为两类,一类是为达到某种政治或军事目的,对信息系统的硬件和设施进行报复性攻击,从而破坏社会经济秩序。另一类是利用计算机犯罪,这一类占人为破坏的绝大多数。因此讨论信息系统的安全就不能不对计算机犯罪进行全面系统的分析探讨。
3 计算机犯罪
3.1 计算机犯罪的概念
利用计算机作为犯罪工具或以计算机作为犯罪对象,是传统犯罪形态以外的另一种新的犯罪形态,因其花样繁多,形态各异,对什么是计算机犯罪在学术界颇有争议。
文献[8]曾列举出6种定义方法[9]。在计算机犯罪的定义上, 有一派认为计算机犯罪不应与其它的犯罪行为相混,该犯罪行为必须是与计算机直接有关的。如盗用密码获取存款只能被认为是盗窃或欺诈。这种观点被认为是狭义说。另一派认为计算机犯罪指以下两种行为:其一,以计算机为工具,从事欺骗、偷窃、隐瞒活动,以企图获取财物、财产、商业或劳务之利益者;其二,对计算机本身造成威胁者,如偷窃计算机硬件或软件、损毁计算机,及以计算机为勒索的目标。
本文认为,所谓的计算机犯罪,是指存在计算机介入的犯罪行为,计算机的介入方式有以破坏计算机硬件或软件系统为目的直接介入和以计算机为工具进行欺诈、勒索等非法行为的间接介入。
犯罪从手段上说可分为暴力犯罪和非暴力犯罪两种,计算机犯罪应当是一种高智能犯罪,犯罪行为人必须有相当程度的计算机专业知识,而单纯利用暴力手段对计算机资产实施物理性破坏,如使用武器摧毁系统设备和设施,炸毁计算机中心等活动,都不属于计算机犯罪。
3.2 计算机犯罪的类型
计算机犯罪可视为犯罪学上一种特殊的犯罪形态,其犯罪行为并无统一而明确的要件。事实上,计算机犯罪的行为种类繁多、变异甚大,且有些内容为传统犯罪所无法包容。专家学者对此曾有专门研究[10~12]。本文认为计算机犯罪可分为以下7种类型。
3.2.1 破坏计算机系统
破坏计算机系统是指利用计算机技术知识故意破坏计算机硬件或软件,从而使计算机系统不能正常运行的犯罪行为。在大多数情况下,该类计算机犯罪的犯罪对象都是计算机的软件系统,主要是指篡改或销毁计算机的程序或数据。这种犯罪形式占了计算机犯罪的很大比例,成为一种严重的刑事犯罪。
3.2.2 盗用计算机系统
盗用计算机系统是指无权使用计算机系统者擅自使用计算机系统。其范围包括对机器的软、硬件设备和机时服务的盗用。
3.2.3 计算机财产犯罪
计算机财产犯罪是指以计算机为工具,利用计算机的特性达到欺诈、侵占、敲诈等各种犯罪目的的行为。因该类犯罪的对象多为财产,因而称计算机财产犯罪。如盗窃可用以支付的电子货币、帐单、银行帐目结算单、清单等,以改变公、私财产所有权。
3.2.4 侵入计算机系统
侵入计算机系统是指以技术性的方法突破或破坏计算机系统的安全措施,以窃取程序、资料等软件方面的资产,这在政治、经济、军事方面都很常见。不过侵入计算机系统不同于前述的盗用计算机系统,盗用计算机系统是以计算机系统所提供的服务为犯罪目标的,而侵入计算机系统一般是以计算机中所存储的程序、资料为盗窃物。
3.2.5 传播不良信息
在欧美国家,表现为一些利用计算机散布种族主义和色情内容的案件,我国也出现了利用计算机散布色情内容、宣传危害国家安全的内容等计算机犯罪事件。由于计算机网络的特点,这些不良信息的传播面广、速度快、不可控制,并且侦查犯罪人、确定责任、搜集证据困难,使得这类犯罪较之传统的犯罪的危害性更大。
3.2.6 侵犯知识产权
国内外对于计算机程序、视频图像、数据库和其它数据集都用以版权为核心的知识产权加以保护,然而盗版却是一种普遍存在的计算机犯罪行为。情节严重、造成巨大影响的,应当规定其为犯罪并予以刑事处罚。
3.2.7 其他的计算机犯罪
随着计算机技术和信息产业的发展,计算机犯罪不断呈现出新的形态,利用计算机为工具或以计算机系统为对象的犯罪行为远不止列举的这些,几乎传统的刑事犯罪中都可见到计算机的踪迹。
3.3 计算机犯罪的特征
计算机犯罪有许多与传统犯罪相异的特征,表现在:
(1)计算机犯罪是一种白领犯罪
计算机犯罪的行为人往往具有相当的社会地位,往往是利用职权上或业务上的方便,使其得以逃避安全系统的侦查,从而顺利地进入信息系统实施犯罪行为。
(2)计算机犯罪是一种高技术犯罪一般地说, 计算机信息系统安全系统的突破必须经过数道关卡,从信息系统中获得经济上的利益也必须经过周密的计划,因此犯罪行为人至少必须与安全系统的设计人具有同等的智力和技术水平。
(3)计算机犯罪的反社会性不易引起人们重视, 甚至反而被同情、鼓励或崇拜 社会上只认识到计算机与计算机从业人员象征着进步与智慧,传播媒介也往往片面地夸大计算机犯罪的才智,制造计算机犯罪神话,把计算机犯罪嫌疑人视为计算机天才,这些因素无不对计算机犯罪产生影响。
(4)计算机犯罪风险小获利大 与普通的诈骗、 勒索等刑事案件相比,计算机犯罪所承担的风险要小得多,只要操纵键盘上有限的按键即可轻松获利,且数额巨大。据美国联邦调查局统计,一起刑事案件的平均损失仅为2000美元,而一起计算机犯罪平均损失则高达50万美元。
(5)计算机犯罪难于发现、难于侦查往往有这种情况, 犯罪行为已经发生并记录于软件的资料中,但对计算机的运行却毫无影响,从外表看也没有什么变化,这就使得受害人很难察觉犯罪行为的发生。即使犯罪行为已被发现,但由于证据不易获得、犯罪现场不明确或执行上的困难,从而难以侦查。
4 对策探讨
由于计算机信息系统的有关法律不健全或不完善,信息系统安全技术与现实需要存在一定的差距,从而造成了计算机犯罪活动的日趋增加和严重。所以我们必须采取相应的对策以保护信息系统的安全,防范计算机犯罪现象的发生。为此必须用“综合治理”的方法,从技术、管理和法律三方面着手。
4.1 技术上
随着信息系统普遍朝着联网的方向发展,形成信息网络系统,故它受到来自各方面的安全威胁。信息系统屡屡遭到攻击和侵入,与其自身的安全技术不过关有相当大的关系。特别是我国信息系统建设仍处于初级阶段,安全系统脆弱,给计算机犯罪留下了可乘之机。对上海、深圳等地几十家证券机构进行模拟黑客攻击测试的结果表明,这些机构的信息系统普遍存在漏洞,例如,测试者仅用一台笔记本电脑,由一条缆线接入其信息系统的任何一点,就可在一分钟内侵入系统核心,随意划转资金和更改信息。从功能上看,信息网络存在着通信子网与资源子网,信息系统的安全保护应该在通信子网和资源子网间构建安全子网。防火墙是普遍采用的一种信息系统安全技术。一般来说采取的技术措施可在以下几方面加以考虑。
(1)硬件的安全保护。 硬件的安全保护功能是信息系统中实施安全保护的基础,最突出的设备是存贮器。对存贮器内实现数据保护的通常方法如使用界限寄存器、使用锁和钥匙、使用虚拟存贮器等。
(2)操作系统的安全保护。 操作系统是系统软件中最重要的组成部分,对此操作系统应能够在监督、存取控制和隔离等措施上提供安全保护。如监督用户的合法权力,保证系统中的所有操作都是在验证后才被执行。
(3)数据库的安全保护。 数据库中存放的大量的数据是信息系统组成中必不可少的重要资源,数据的安全保护问题更加突出和困难。数据库的安全保护可通过数据库管理系统(DBMS)、操作系统和硬件系统来实现。
(4)通信的安全保护。通信是信息系统技术中重要的组成部分, 为此可对通信设备和通信软件进行必要的安全保护。前者如加电磁屏蔽,防止磁辐射而造成信息外窃,后者如信息加密措施等。
加密是保障信息系统安全的常见办法。给信息编制密码,确保信息在没有电子钥匙开启的情况下就无法阅读。科学家已研制出多种加密方法,并且正在研究一些创新的加密方法,如量子技术加密法,它利用物理定律输送阅读加密数据所需要的密码。此外追踪搜寻黑客的新技术也在开发研制出来,如英国已开发出可以利用若干程序恢复被黑客所删除的数据的最新技术。英国还开发出一种名为“分析员笔记本”的高级数据库,该数据库使得包括电子表格、照片和文件在内的复杂信息的分析和显示变得更为容易。新的智能视觉分析系统、神经计算机技术将成为保护信息系统安全在技术上的有力武器。我国开发的首套拥有自主知识产权的电子商务安全认证系统也已通过国家组织的技术鉴定,该系统可对网上客户进行身份识别和商业信用识别,防止电子商务中的黑客和欺诈行为。为电子商务在我国的发展提供了可靠的安全保证。
值得注意的是,对任何技术上的安全措施来说,它的实现都是有代价的,在一定程度上会影响到信息系统的性能。
4.2 管理上
仅仅从技术上采取安全防范措施是不够的,应该承认在安全方面根本就不存在无懈可击的信息系统,总是有人能够想方设法侵入信息系统。因此还必须在管理措施上予以确保。
(1)加强计算机安全管理。诸如机房、终端室、 网络控制室等关键场所应加强安全保卫;主要的部位或区域要用电子门锁,用计算机控制人员出入;对高度机密的部门或区域应有核对指纹、声波的设备;要害部位应有电视监视系统或自动报警系统。
(2)对工作人员进行识别、验证。 常用的方法是设置口令和密码,口令和密码应经常更换,以保证只有授权的人员才能访问计算机系统和数据。并且系统操作人员、系统管理人员及稽查人员应分别设置,使其相互制约,避免身兼数职的管理人员权限过大,建立健全行政性安全管理机制。
(3)防范自然灾害与意外事故。火灾、水灾、地震、停电、 战争或恶意攻击等都是信息系统受到威胁的来源,其中以火灾最易发生,故应成为重点防范对象。
4.3 法律上
为了保护信息系统的安全,预防和打击计算机犯罪,各国纷纷制定了法律对策,作为最终手段的刑事法律也相继出台。1973年瑞士通过了世界上第一部保护计算机的法律。美国自1978年佛罗里达州率先制定了计算机犯罪法规,目前已有47个州制定了有关法律,联邦政府也颁布了《伪造存取手段及计算机诈骗与滥用法》和《联邦计算机安全法》,国会还组建了一支由警方和特工人员组成的打击计算机犯罪的特别组织。美国联邦调查局还于1998年2月专门成立了计算机犯罪调查小组, 1999年成员将达125人,在美国7 个城市设有计算机犯罪调查小队[13]。1985年加拿大通过刑法修正案,将非法使用计算机和损坏数据的行为规定为犯罪;1986年德国将计算机犯罪的7个新条目列入刑法典;1987 年日本在刑法中增订了惩治计算机犯罪的若干条款,并规定了较重的刑罚。日本警察厅将花费19.5亿日元组建13个黑客特别调查小组和2 个计算机恐怖活动特别调查小组,以打击日益猖獗的计算机犯罪活动。该计划从1999年4月起实施[14]。 日本政府还制定了一项禁止未经授权进入计算机网络的法律草案,这项草案已于1999年6月提交国会审议。此外, 英国、法国、奥地利、澳大利亚等国也先后颁布了有关计算机犯罪的法规。1992年11月,经济合作与发展组织(OECD)发表了关于信息系统的安全指南,各成员国正遵循这一指南进行国内信息系统安全工作的调整。
我国自90年代起,有关这方面的法律法规也相继出台。1991年10月1日实施《计算机软件保护条例》,1983 年公安部计算机管理和监察局成立;1998年公安部公共信息网络安全监察局成立,并在公安机关建立了相应的机构,一支“网上警察”队伍正在逐步形成。1994年2月18 日又发布实施了《计算机信息系统安全保护条例》,1995年2月28日, 全国人大又通过了《警察法》,规定“监督管理计算机信息系统安全保护工作”。1997年3 月全国人大修订通过的新刑法首次规定了计算机犯罪,新刑法在“妨害社会管理秩序罪”一章中新增加了3 条有关计算机犯罪的条款[15]。1997年5月20日, 国务院公布了经过修订的《中华人民共和国计算机信息网络国际联网管理暂行规定》,其具体的实施办法也经国务院信息化工作领导小组制定并发布实施。这些法律法规的出台,结束了我国计算机信息系统安全及计算机犯罪领域无法可依的局面,并为打击计算机犯罪活动提供了法律依据。此外,一些地方性法规也相继出台,如1997年6月江苏省保密局、 公安厅联合制定了《江苏省计算机信息系统国际联网保密管理工作暂行规定》,明确规定全省计算机信息系统国际联网的安全保护工作由省公安厅主管,保密管理工作由省保密局负责。
此外,在打击计算机犯罪保证信息系统安全的活动中,民间组织发挥的协作作用也不可忽视。如总部在美国伊利诺伊州的“信息系统控制协会”(ISACA )就是有关信息系统风险管理的世界性组织。 日本于1998年6月在京都成立的“高技术犯罪信息中心”和1998年10 月在东京成立的“高技术犯罪调查分析中心”,也是这样的集中各领域成员(计算机技术工作者、律师、警察等)智慧的防止计算机犯罪的民间组织[16]。在我国,由众多大型网络用户和从事网络安全产品生产和服务的公司及个人组成的中国网络安全联盟也在筹备之中,并将于1999年5 月正式成立。这表明我国信息系统安全意识正在不断增强。