第 1 章 网络安全概述
学习目标 1.知识目标 了解网络所面临的安全威胁 了解网络信息安全在国家安全中的地位与作用 理解网络安全六大特征的内涵 掌握保证网络安全的方法和途径 掌握信息安全等级保护方法及其与信息安全风险评估之间的关系 了解目前我国网络信息安全的有关法律法规 2.能力目标 能根据网络犯罪类型分析其主客体要件 能开展网络安全状况调查工作 能对网络安全材料和影像资料进行归纳和总结 案例引入 案例一:卡巴斯基称病毒“火焰”在中东多国爆发,意在收集情报① 中广网北京(2012 年)5 月 31 日消息:据中国之声《央广新闻》报道,网络安全公司 卡巴斯基实验室日前公布数据显示,火焰电脑病毒已经在中东多国爆发,其主要目的就是收 集情报。 联合国下属国际电信联盟网络安全协调员马尔科•奥比索向联合国成员国发出警告称,近 来在伊朗和中东发现的火焰病毒是迄今为止“最强大”的间谍工具。卡巴斯基实验室数据显示, 伊朗已经发生 189 起火焰病毒感染事件,约旦河西岸发生了 98 起,苏丹 32 起,叙利亚 30 起, 黎巴嫩、沙特以及埃及都有计算机系统被感染的记录。这一次的病毒和中断伊朗系统的震网病 毒不同,“火焰”并不会中断终端系统,其目的就是收集情报。它就像蠕虫病毒,从一台电脑 跳到另一台电脑上,很难确定哪些数据被复制了。 有证据显示,开发火焰病毒的国家可能和开发 2010 年攻击伊朗核项目蠕虫病毒的国家相 通,而卡巴斯基实验室在其网站上称,这种新发现的病毒的复杂性和功能超过现在所有已知的 网络病毒,而有美国专家则表示,“火焰”的袭击目标就是特定的个体,它的构成方式和我们 以前见过的都不同,个体庞大就像用原子能武器来砸核桃一样。目前,伊朗还没有公布火焰病毒造成的损失,这种病毒的源头也还不清楚,但是他们主 要的怀疑对象是以色列。此外,以色列副总理摩西•亚阿隆的评论也增加了这种可能,他说无 论谁是伊朗威胁的重要威胁,都可能采取各方面的行动,包括那些束缚伊朗的行动。 案例二:慕尼黑安全政策会议聚焦网络安全① 网络安全是第四十八届慕尼黑安全政策会议的最后一个议题。会议方设定的主题是:“主 动进攻是否是保护网络安全的最佳方式?”。美国前中央情报局局长海顿、意大利国防部长迪 保拉、俄罗斯网络安全公司卡巴斯基总裁卡巴斯基等在发言中对“网络进攻”这一建议的必要 性和可行性提出了反驳,认为当前重要的是加强网络安全意识教育,以及进行国际间对话。 1.网络安全不等于网络战 海顿认为,加强网络安全最重要的不是凭借技术的难易,而是战略思维。早在 10 多年前, 美国军方就将网络空间列为陆地、海洋、天空,以及太空之外的“第五空间”。促使美方进一 步警觉的是一年多前的“震网”蠕虫病毒。海顿说,“震网”足以让人回想起 1945 年的原子弹 实验,因为这是人类历史上第一次由软件系统攻击造成物理破坏的先例,宛如出现了一种“新 式武器”。 卡巴斯基说,网络安全问题应当根据不同表现归成 4 类:首先是网络犯罪,比如盗用信 用卡。其次是网络黑客行为。政府机构如不加强管理,网络黑客容易演变成网络恐怖主义。再 次是网络间谍。最后是网络战争。后两类同主权国家相关,需要加强国际间的谈判与协调。 2.中国是网络袭击的受害者 在讨论会上,一些与会者屡屡提及“中国和俄罗斯的网络窃密问题”。主持人、德国电信 公司董事克莱门斯质问卡巴斯基:俄罗斯和中国为什么拒绝参加 1 月底在伦敦召开的网络安全 会议?为什么这两个国家不加入欧洲理事会推出的反网络犯罪公约?著名学者约瑟夫·奈则 要求研究如何阻止所谓中国利用网络盗取工业机密这一行为。 迪保拉对此表示,在网络安全方面需要同中国加强接触,而不是批评。正如卡巴斯基指 出的,网络是匿名的,很难确定网络攻击的真正来源。欧盟委员会副主席克洛斯则说,中国和 印度是网络安全比较薄弱的国家,欧盟正同它们展开对话,加强合作。 据路透社 2012 年 6 月 3 日报道,一名欧洲网络安全专家指出,至少有一部分强加给中国 的罪名其实并非来自中国,批评者出于各种目的,让中国“成了毫无疑问的替罪羊”。 日本《外交官》网络杂志主编杰森·迈克斯撰文指出,很多人宣称中国发动了网络袭击, 实际原因是由于中国网络安全基础薄弱,导致自身受到了网络袭击和操纵。 根据麦克菲网络安全公司不久前公布的报告,瑞典、以色列和芬兰在网络安全防护方面 做得最好,而中国、印度等国家面临很多挑战。战略与国际问题研究中心专家赛格尔指出,为 了加强网络安全,中国需要整合相关机构和保持政策的连贯性。 3.网络安全政策引发质疑 克洛斯表示,欧盟内部正在讨论网络安全问题,希望出台系统对应措施。德国新责任基 金会研究员安克此前撰文指出,北约正在讨论是否要将传统意义上的防务同盟扩展到网络安全 和基础设施保护领域。“网络安全挑战着防卫专家的传统思维,并带动相应对策的演进”。 ① http://world.people.com.cn/GB/57507/17024647.html
强化网络安全同保护个人隐私形成了矛盾的两个方面。在专题讨论上,不少与会者提出 如何保证互联网使用自由的问题。克洛斯也承认,西方“需要互联网自由来推动民主革命”。 意大利国防部长迪保拉强调,他主张互联网使用自由,但必须加强政府监管。美国智库“宪法 项目”不久前发布报告说,美国考虑出台的网络安全措施有建立一个全国性监听网络的风险, 这将导致所有网络用户的通信都不再保密。 在有关国家政府是否需要制订网络先发制人战略方面,海顿表示此举不具备可行性。迪 保拉也认为,与其制订攻击战略,不如加强网络用户的安全意识和国际间对话。卡巴斯基则警 告称,网络武器是一把双刃剑,受攻击的一方也可用它来反制对方。 思考: 1.讨论网络安全在整个国家安全中的地位和作用。 2.如何提升我国网络安全的整体水平?
1.1 网络安全面临的威胁
全球正在迎来新一轮信息技术革命,带来了全新的互联网应用和服务模式,将有越来越 多的关键基础设施与互联网相连,越来越多的公共服务、商业和经济活动在互联网上开展,虚 拟世界与现实、线上与线下的界限亦将日渐模糊。 据中国互联网络信息中心统计数据显示,截至 2011 年 12 月底,中国网民规模达到 5.13 亿,互联网普及率达到 38.3%,手机网民规模达到 3.56 亿。2010 年中国大陆有近 3.5 万个网 站被黑客篡改,数量较 2009 年下降 21.5%,但其中被篡改的政府网站却高达 4635 个,比 2009 年上升 67.6%。网络违法犯罪行为的趋利化特征明显,大型电子商务、金融机构、第三方在线 支付网站逐渐成为网络钓鱼的主要对象,黑客通过仿冒上述网站或伪造购物网站诱使用户进行 网上交易,从而窃取用户的账号密码,并且造成用户经济损失。2010 年国家互联网应急中心 共接收网络钓鱼事件举报 1597 件,较 2009 年增长 33.1%。“中国反钓鱼网站联盟”处理钓鱼 网站事件 20570 起,较 2009 年增长 140%。2010 年国家互联网应急中心全年共发现近 500 万 个境内主机 IP 地址感染了木马和僵尸程序,较 2009 年大幅增加① 。 目前,我国各类网络系统经常遇到的安全威胁有恶意代码(包括木马、病毒、蠕虫等), 拒绝服务攻击(常见的类型有带宽占用、资源消耗、程序和路由缺陷利用以及攻击 DNS 等), 内部人员的滥用和蓄意破坏,社会工程学攻击(利用人的本能反应、好奇心、贪便宜等弱点进 行欺骗和伤害等),非授权访问(主要是黑客攻击、盗窃和欺诈等)等。这些威胁有的是针对 安全技术缺陷,有的是针对安全管理缺失。 1.黑客攻击 黑客是指利用网络技术中的一些缺陷和漏洞,对计算机系统进行非法入侵的人。黑客攻 击的意图是阻碍合法网络用户使用相关服务或破坏正常的商务活动。黑客对网络的攻击方式是 千变万化的,一般是利用“操作系统的安全漏洞”、“应用系统的安全漏洞”、“系统配置的缺陷”、 “通信协议的安全漏洞”来实现的。到目前为止,已经发现的攻击方式超过 2000 种,目前针 ① 国家计算机网络应急技术处理协调中心.2010 年中国互联网网络安全报告.http://www.cert.org.cn/ articles/docs/ common/2011042225342.shtml.对绝大部分黑客攻击手段已经有相应的解决方法。 2.非授权访问 非授权访问是指未经授权实体的同意获得了该实体对某个对象的服务或资源。非授权访 问通常是通过在不安全通道上截获正在传输的信息或者利用服务对象的固有弱点实现的,没有 预先经过同意就使用网络或计算机资源,或擅自扩大权限和越权访问信息。 3.计算机病毒、木马与蠕虫 对信息网络安全的一大威胁就是病毒、木马与蠕虫。计算机病毒是指编制者在计算机程 序中插入的破坏计算机功能、毁坏数据、影响计算机使用并能自我复制的一组计算机指令或程 序代码。木马与一般的病毒不同,它不会自我繁殖,也并不“刻意”地去感染其他文件,而是 通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种者电脑的门户,使施种者可以 任意毁坏、窃取被种者的文件,甚至远程操控被种者的电脑。蠕虫则是一种特殊的计算机病毒 程序,它不需要将自身附着到宿主程序上,而是传播它自身功能的拷贝或它的某些部分到其他 的计算机系统中。在今天的网络时代,计算机病毒、木马与蠕虫千变万化,产生了很多新的形 式,对网络的威胁非常大。 4.拒绝服务(DoS 攻击) DoS 攻击的主要手段是对系统的信息或其他资源发送大量的非法连接请求,从而导致系 统产生过量负载,最终使合法用户无法使用系统的资源。 5.内部入侵 内部入侵,也称为授权侵犯。是指被授权以某一目的使用某个系统或资源的个人,利用 此权限进行其他非授权的活动。另外,一些内部攻击者往往利用偶然发现的系统弱点或预谋突 破网络安全系统进行攻击。由于内部攻击者更了解网络结构,因此他们的非法行为将对计算机 网络系统造成更大的威胁。 未来网络安全威胁的 5 大趋势将是:新技术、新应用和新服务带来新的安全风险;关键 基础设施、工业控制系统等渐成攻击目标;非国家行为体的“网上行动能力”趋强;网络犯罪 将更为猖獗;传统安全问题与网络安全问题相互交织① 。
1.2 网络安全的特征
网络安全是指网络系统中的软、硬件设施及其系统中的数据受到保护,不会由于偶然的 或是恶意的原因而遭受到破坏、更改和泄露,系统能够连续、可靠地正常运行,网络服务不被 中断。网络安全通常包括网络实体安全、操作系统安全、应用程序安全、用户安全和数据安全 等方面,如图 1-1 所示。 网络安全已渗透到社会生活中的每一个领域,网络安全保护的对象可分为四个层面:国 家安全,即如何保护国家机密不因网络黑客的袭击而泄漏;商业安全,即如何保护商业机密, 防止企业资料遭到窃取;个人安全,即如何保护个人隐私(包括信用卡号码、健康状况等); ① 中国现代国际关系研究院唐岚.网络安全新趋势及应对.http://www.scio.gov.cn/ztk/hlwxx/06/6/201109/ t1018920.htm.网络自身安全,即如何保证接入 Internet 的电脑网络不因病毒的侵袭而瘫痪① 。 1.网络是否安全? (网络完整性 Network Integrity) 网络群体:网络控制,通信安全,防火墙 2.操作系统是否安全? (系统完整性 System Integrity) 系统群体:病毒,黑客入侵,风险评估,审计分析 3.用户是否安全?(用户完整性 User Integrity) 用户群体:安全配置,用户/组管理,登录鉴别 4.应用程序是否安全? (应用完整性 Application Integrity) 应用群体:访问控制,授权 5.数据是否安全? (应用保密性Application Confidentiality) 应用保密:加密
网络整体安全问题
图 1-1 网络整体安全结构图 网络安全就是网络上的信息安全。网络安全的特征主要有:系统的完整性、可用性、可 靠性、保密性、可控性,以及抗抵赖性等方面② 。 1.完整性 完整性是指网络信息数据未经授权不能进行改变,即网络信息在存储或传输过程中保持 不被偶然地或蓄意地删除、修改、伪造、乱序、重放、破坏以及丢失。完整性是网络信息安全 的最基本特征之一。其要求网络传输的信息端到端、点到点是保持不变的,在存储上能够保持 信息 100%的准确率,即网络信息的正确生成、正确存储和正确传输。 2.可用性 可用性是指网络信息可被授权实体访问并按需求使用,即网络信息服务在需要时允许授 权用户或实体使用,或者是网络部分受损或需要降级使用时仍能为授权用户提供有效服务。可 用性是网络信息系统面向用户的安全性能。网络信息系统最基本的功能是向用户提供服务,而 用户的需求是随机的、多方面的,有时还有时间要求。可用性一般用系统正常使用时间和整个 工作时间之比来度量。 3.可靠性 可靠性是指网络信息系统能够在规定条件和规定时间内完成规定的功能。可靠性是网络 信息安全的最基本要求之一,是所有网络信息系统建设和运行的目标。 4.保密性 保密性是指网络信息不泄露给非授权的用户和实体,或供其利用,即防止信息泄漏给非 授权个人或实体,信息只为授权用户使用。保密性是在可靠性和可用性基础之上保障网络信息 安全的重要手段。 5.可控性 可控性是指网络对其信息的传播内容具有控制能力,不允许不良信息通过公共网络进行 传输。 ① 姚奇富. 网络安全技术[M]. 杭州:浙江大学出版社,2006:10-11. ② 马民虎. 互联网信息内容安全管理教程[M]. 北京:中国人民公安大学出版社,2007:37-40.6.抗抵赖性 抗抵赖性是指在网络信息系统的信息交互过程中,确信参与者的真实同一性,即所有参 与者都不可能否认或抵赖曾经完成的操作和承诺。利用信息源证据可以防止发信方不真实地否 认已发送信息,利用递交接收证据可以防止收信方事后否认已经接收的信息。数字签名技术是 解决不可抵赖性的一种手段。
1.3 保证网络安全的方法和途径
先进的技术是实现网络信息安全的有力保障。针对网络信息安全的各种属性,人们提出 了许多增强信息安全的技术,例如:信息加密技术、身份验证技术、访问控制技术、安全内核 技术、防火墙技术、反病毒技术、安全漏洞扫描技术、入侵检测技术、虚拟专用网技术等 。 合理地综合运用这些安全技术,可以有效增强计算机网络的安全性① 。 1.信息加密技术 加密是指通过计算机网络中的加密机制,把网络中各种原始的数字信息(明文),按照某 种特定的加密算法变换成与明文完全不同的数字信息(密文)的过程。信息加密技术是提高网 络信息的机密性、真实性,防止信息被未授权的第三方窃取或篡改所采取的一种技术手段,它 同时还具有数字签名、身份验证、秘密分存、系统安全等功能。 2.防火墙技术 防火墙是指在内部网和外部网之间实施安全防范的系统,用于加强网络间的访问控制, 保护内部网的设备不被破坏,防止内部网络的敏感数据被窃取。其主要功能有:过滤进出网络 的数据包、管理进出网络的访问行为、封堵某些禁止的访问行为、记录通过防火墙的信息内容 和活动、对网络攻击进行检测和报警等。 3.防病毒技术 网络防病毒技术包括三类技术:预防病毒、检测病毒和清除病毒。对付病毒最基本的方 法是预防病毒进入系统,但由于系统的开放性,这个目标通常难以实现。一个比较可行的反病 毒方法是利用防病毒软件检测、识别病毒并加以清除。利用检测技术,在程序被感染时能够马 上察觉,并进而确定病毒的位置;利用识别技术,在发现病毒时确定已感染程序里面的病毒类 型;在识别出特定病毒后,删除已感染程序里面的所有病毒,使它恢复到最初的状态。在清除 病毒时,要从所有受感染的系统中删除该病毒,以防止该病毒继续扩散。 4.入侵检测技术 入侵检测是对面向计算资源和网络资源的恶意行为的识别和响应。作为一种主动的网络 安全防护措施,入侵检测系统(IDS)是对防火墙的必要补充,它从系统内部和各种网络资源 中主动采集信息,从中分析可能的网络入侵或攻击。入侵检测系统既可以及时发现闯入系统和 网络的攻击者,也可以预防合法用户对资源的误操作。 5.虚拟专用网技术 采用互联网技术实现在特定范围加密的安全通信技术称为虚拟专用网(VPN)技术。这 项技术的核心是采用隧道(Tunneling)技术将企业专用网的数据加密封装后通过虚拟的公网 ① 董玉格,金海,赵振. 攻击与防护—网络安全与实用防护技术[M]. 北京:人民邮电出版社,2002.隧道进行传输,从而防止敏感数据被窃取。
1.4 等级保护与信息安全风险评估
1.4.1 等级保护 2004 年 9 月 15 日,由公安部、国家保密局、国家密码管理局和国务院信息办四部委联合出 台了《关于信息安全等级保护工作的实施意见》(公通字[2004]66 号),明确了实施信息安全等级 保护制度的原则和基本内容,并将信息和信息系统划分为五个等级:自主保护级、指导保护级、 监督保护级、强制保护级和专控保护级。2007 年 6 月 22 日,四部委联合出台了《信息安全等级 保护管理办法》(公通字[2007]43 号),为开展信息安全等级保护工作提供了规范保障。 根据《信息安全等级保护管理办法》,我国所有的企事业单位都必须对信息系统分等级实 行安全保护,对等级保护工作的实施进行监督、管理。具体划分如下: 第一级,自主保护级:信息系统受到破坏后,会对公民、法人和其他组织的合法权益造 成损害,但不损害国家安全、社会秩序和公共利益。 第二级,指导保护级:信息系统受到破坏后,会对公民、法人和其他组织的合法权益产 生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。 第三级,监督保护级:信息系统受到破坏后,会对社会秩序和公共利益造成严重损害, 或者对国家安全造成损害。 第四级,强制保护级:信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损 害,或者对国家安全造成严重损害。 第五级,专控保护级:信息系统受到破坏后,会对国家安全造成特别严重损害。 企事业单位在构建网络信息安全架构之前都应根据《信息安全等级保护管理办法》经由 相关部门确定单位的信息安全等级,并依据界定的信息安全等级对单位可能存在的网络安全问 题进行网络安全风险评估。 信息安全等级保护是国家信息安全基本制度,信息安全风险评估是科学的方法和手段, 制度的建设需要科学方法的支持,方法的实现与运用要体现制度的思想。信息安全等级保护制 度在建设中涉及的一系列技术问题(对不同系统的安全域采用什么强度的安全保护措施,措施 的有效性是否能够达成,如何调整措施以满足系统的安全需求等)都可通过风险评估的结果来 进行判断与分析。等级保护的整个过程包括系统定级、安全实施和安全运维三个阶段,这三个 阶段和风险评估的关系如图 1-2 所示。 1.4.2 信息安全风险评估 信息安全风险评估是指从风险管理角度,运用科学的方法和手段,系统地分析网络与信 息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生所造成的危害程度,提出有针 对性的抵御威胁的防护对策和整改措施。 信息安全风险评估是建立信息安全管理体系(ISMS)的基础。ISMS 的概念最初来源于英 国国家标准学会制定的 BS7799 标准,并伴随着其作为国际标准的发布和普及而被广泛地接受。 ISO/IECJTC1SC27/WG1(国际标准化组织/国际电工委员会信息技术委员会安全技术分委员会/第一工作组)是制定和修订 ISMS 标准的国际组织。 图 1-2 等级保护的三个阶段和风险评估的关系映射图 ISO/IEC 27001:2005(《信息安全管理体系要求》)是 ISMS 认证所采用的标准。目前我国 已经将其等同转化为中国国家标准 GB/T 22080-2008(《信息技术 安全技术 信息安全管理体 系要求》)。该标准运用 PDCA 过程方法和 133 项信息安全控制措施帮助组织解决信息安全问 题,实现信息安全目标。图 1-3 所示为 ISMS 认证证书。 图 1-3 ISMS 认证证书 ISO/IEC 27001:2005(GB/T 22080-2008)标准适用于所有类型的组织(商业企业、政府机 构和非赢利组织等)。该标准从组织的整体业务风险的角度,为建立、实施、运行、监视、评 审、保持和改进文件化的 ISMS 规定了要求。它规定了为适应不同组织或其部门的需要而定制 的安全控制措施的实施要求。 ISO/IEC 27001:2005 认证是一个组织证明其信息安全水平和能力符合国际标准要求的有 等级 保护 系统定级 安全实施 安全运维 风险 评估 以信息系统的安全域进行风险评估,包括风险 评估的准备、资产、威胁、脆弱性以及安全措 施的识别,并通过关联分析判断系统面临的潜 在安全风险。将风险评估的结果作为确定系统 等级的一个参考依据。 依据信息安全等级保护国家标准的技术准则进 行系统安全实施。可采用风险评估的各种方法, 如渗透测试和漏洞扫描等来判断所采用的安全 措施是否达到了其所要求的各项指标。如未达 到,则调整安全措施直至达到。 通过风险评估判断在采取目前这一强度的安全 措施后的残余风险是否在可接受的范围内。如 果是,则继续进行等级的维护;如果风险评估 值在可接受的范围外,就需要对安全措施的强 度进行调整,采取相应强度的安全措施以降低、 控制风险。即通过风险评估进行安全调整。
效手段,它将帮助组织节约信息安全成本,增强客户、合作伙伴等相关方的信心和信任,提高 组织的公众形象和竞争力。该认证能为组织带来的收益有:使组织获得最佳的信息安全运行方 式,保证组织业务安全,降低组织业务风险,避免组织损失,保持组织核心竞争优势,提高组 织业务活动中的信誉,增强组织竞争力,满足客户要求,保证组织业务的可持续发展,使组织 更加符合法律法规的要求等。
1.5 网络信息安全法律法规
2012 年 3 月,吴邦国委员长在十一届全国人大五次会议的报告中首次提出完善网络法律 制度,即“完善网络法律制度,发展健康向上的网络文化,维护公共利益和国家信息安全。” 我国现在尚没有经过全国人大通过的正式的关于网络的立法,只有一些部门法。由于我国关于 互联网的相关法律的立法层级低,很难在其下建立起一个不同层级的法律体系。 1994 年,我国颁布了第一部计算机安全法规《中华人民共和国计算机信息系统安全保护 条例》。随后又颁布了《中国人民共和国计算机信息网络国际联网管理暂行规定》、《计算机信 息网络国际联网安全保护管理办法》。2000 年 12 月 28 日,全国人大常委会通过了《关于维护 互联网安全的决定》。2002 年先后出台了《计算机信息系统国际联网保密管理规定》、《互联网 信息内容服务管理办法》等一系列部门规章。 1.5.1 网络安全立法 网络安全立法体系可分为法律、行政法规、地方性法规和规章以及规范性文件四个层面。 目前我国与网络安全相关的法律主要有《宪法》、《刑法》、《刑事诉讼法》、《保守国家秘密法》、 《行政诉讼法》、《国家赔偿法》、《人民警察法》、《治安管理处罚条例》、《国家安全法》、《电 子签名法》以及《全国人大常委会关于维护互联网安全的规定》等。《全国人大常委会关于维 护互联网安全的规定》是我国第一部关于互联网安全的法律。该法从保障互联网的运行安全、 维护国家安全和社会稳定、维护社会主义市场经济秩序和社会管理秩序以及保持个人、法人和 其他组织的人身、财产等合法权利等四方面,明确规定了对构成犯罪的行为依照刑法有关规定 追究刑事责任。 与网络安全有关的行政法规有《计算机信息系统安全保护条例》、《计算机信息网络国际 联网管理暂行规定》、《计算机信息网络国际联网安全保护管理办法》、《互联网信息服务管理 办法》、《电信条例》、《商用密码管理条例》、《计算机软件保护条例》等。例如,《计算机信息 网络国际联网安全保护管理办法》中规定:“任何单位和个人不得利用互联网危害国家安全、 泄露国家秘密,不得侵犯国家的、社会的、集体的利益和公民的合法权益,不得从事违法犯罪 活动。任何单位和个人不得利用国际联网制作、复制、查阅和传播有害信息。任何单位和个人 不得从事危害计算机信息网络安全的活动。任何单位和个人不得违反法律规定,利用国际联网 侵犯用户的通信自由和通信秘密。” 与网络安全有关的部门规章和规范性文件有公安部的《计算机病毒防治管理办法》、原信 息产业部的《互联网电子公告服务管理规定》、国家保密局的《计算机系统国际联网保密管理 规定》等。我国各省也出台了一些与网络安全相关的法规和规章。1.5.2 案例:非法侵入计算机信息系统罪 1.概念 非法侵入计算机信息系统罪(《刑法》第 285 条),是指违反国家规定,侵入国家事务、 国防建设、尖端科学技术领域的计算机信息系统的行为。 2.犯罪构成 (1)客体要件 该罪侵犯的客体是国家重要计算机信息系统安全。计算机信息系统是指由计算机及其相 关的和配套的设备、设施(含网络)构成并且按照一定的应用目标和规则对信息进行采集、加 工、存储、传输、检索等处理的人机系统。我国在国家事务管理、国防、经济建设、尖端科学 技术领域都广泛建立了计算机信息系统,特别是在关系到国计民生的民航、电力、铁路、银行 或者其他经济管理、信息办公、军事指挥控制、科研等领域。这些重要的计算机信息系统一旦 被非法侵入,就可能导致其中的重要数据遭受破坏或者某些重要、敏感的信息被泄露,不但系 统内可能产生灾难性的连锁反应,而且会造成严重的政治、经济损失,甚至还可能危及人民的 生命财产安全。因此,对于这种非法侵入国家重要计算机信息系统的行为必须予以严厉打击。 (2)客观要件 该罪在客观方面表现为行为人实施了违反国家规定侵入国家重要计算机信息系统的行 为。在这里,所谓“违反国家规定”,是指违反《中华人民共和国计算机安全保护条例》的规 定,该条例第 4 条规定:“计算机信息系统的安全保护工作,重点保护国家事务、经济建设、 国防建设、尖端科学技术等重要领域的计算机信息系统安全”。此罪的对象是国家重要的计算 机信息系统。所谓国家重要的计算机信息系统,是指国家事务、国防建设、尖端科学技术领域 的计算机信息系统。所谓“侵入”,是指未取得国家有关主管部门依法授权或批准,通过计算 机终端侵入国家重要计算机信息系统导致进行数据截收的行为。在实践中,行为人往往利用自 己所掌握的计算机知识、技术,通过非法手段获取口令或者许可证明后冒充合法使用者进入国 家重要计算机信息系统,有的甚至将自己的计算机与国家重要的计算机信息系统联网。 (3)主体要件 该罪的主体是一般主体。该罪的主体往往具有相当高的计算机专业知识和娴熟的计算机 操作技能,有的是计算机程序设计人员,有的是计算机管理、操作、维护人员。 (4)主观要件 该罪在主观方面是故意的,即行为人明白自己的行为违反了国家规定并且会产生非法侵 入国家重要计算机信息系统的危害结果,甚至主观地希望这种危害的发生。过失侵入国家重要 计算机信息系统的,不构成此罪。行为人的动机和目的是多种多样的,有的是出于好奇,有的 是为了泄愤报复,有的是为了炫耀自己的才能等,这些对构成犯罪均无影响。 3.处罚 犯此罪,处三年以下有期徒刑或者拘役。 4.法条及司法解释 (1)《刑法》条文 第 285 条 违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息 系统的,处三年以下有期徒刑或者拘役。
(2)相关决定 全国人民代表大会常务委员会《关于维护互联网安全的决定》:“ 一、为了保障互联网的 运行安全,对有下列行为之一,构成犯罪的,依照刑法有关规定追究刑事责任: (一)侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统。”
