時間:2023-06-05 09:58:46
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇網絡安全法,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
【關鍵詞】個人信息;網絡安全;法律問題
前言
對于個人信息的概念界定,目前在國際和國內立法上比較傾向于采用識別法,主要是通過利用個人信息所提供的信號能否可以直接或間接識別出信息主體的的一種識別定義方法。其中詳細包括信息個人的姓名、族別、性別、身高、血型、年齡、身份證號、聯系方式、家庭住址、身體健康狀況、以及網絡使用過程中的IP地址和網銀支付信息等。在我國學術界和立法界對這種以“識別”作為基本要素的個人信息定義方法得到了普遍認可和適用。[1]當前,網絡作為繼報紙、電視、廣播之后出現的一種新型的社會資源。隨著互聯網信息技術日新月異迅猛發展,伴隨而來的計算機網絡安全問題也日益凸顯,在網絡犯罪、網絡病毒、黑客入侵等方面網絡安全問題亟待解決。個人信息安全的問題隨著新興技術的產生發展層出不群,近幾年來,“人肉搜索”和“艷照門”事件不斷引發公眾熱議,帶來十分惡劣的影響,以及關于個人網絡信息的泄密事件頻發,使我國對于個人信息網絡安全問題必須置于一個新高度關注。
一、個人信息網絡安全保護的必要性分析
(一)侵犯主體十分廣泛
個人網絡信息的侵權主體可以包括自然人和單位,而自然人不僅包括完全民事行為能力人,主體擴大至限制民事行為能力人和無民事行為能力人,最大的區別點即在于不同主體承擔責任的方式不同。這里我們所指的自然人實際上即指網絡使用者,他們主要通過以互聯網為媒介泄露國家或他人信息和秘密竊取、篡改個人信息等方式進行一些侵權行為。此外,還包括網絡服務提供商(InternetServiceProvider,簡稱ISP)和網絡內容提供商(InternetContentProvider,簡稱ICP)兩大主體。網絡服務提供商是指一些大型經營機構主要為互聯網使用者提供信息存儲、傳遞、處理等服務的一些提供商,ISP在中國主要存在的企業形式有中國電信通訊、中國聯通通訊和中國移動通訊。[2]違反限制其行為時就會構成侵權行為的發生:一方面為違反保持中立義務,干涉他人發送、信息獲取的方法。另一方面指違反保密義務,通過利用職務優勢泄露他人信息或者進行商業盈利活動。而網絡內容提供商是指借助互聯網平臺給上網用戶提供具體信息服務的主體,[3]例如,新浪,網易,騰訊、CSDN等網站。它的主要功能是網絡用戶可以通過互聯網媒體平臺進行信息共享以及在ICP管理的域內查詢信息。[4]而ICP在信息時很容易未經信息主體同意將侵犯他人個人信息的內容擅自提供給他人利用。
(二)侵權的客體兼具雙重屬性
雙重屬性即指人格性和財產性。凡是與人格形成與發展相關是都可以構成人格權客體。[5]由于個人信息的獨特性,對人格性理解主要是信息主體的人格尊嚴問題,當個人網絡信息遭到侵權后,間接會到侵犯到網絡用戶的姓名權、隱私權或者名譽權等,實際上對于網絡用戶來說即侵害到其人格權。而信息技術的發展又凸顯了個人信息的財產屬性。一些消費者的個人信息對于商家來說具有潛在的商業機會和利益,因此商家就會利用這種便利借助各種可能的渠道收集并且出售給第三者。尤其是在電子商務和各種社交娛樂方式的出現后,許多人將自己的個人信息到網絡,例如購物網站的聯系方式、注冊聊天交流網站時填寫的興趣愛好和年齡等。一方面,在利益的驅動下,商家為了尋找擴大消費者群體,就會想方設法獲得有利信息;另一方面,當網絡信息提供者ISP和ICP主體就會通過允許他人收集和使用其他人信息使自己獲得經濟利益。
二、我國個人信息網絡安全存在的法律問題
(一)缺乏系統的法律保障
憲法修正案第二十四條明確規定“國家尊重和保護人權”,對個人信息領域的保護實際上就是一種對人權的尊重與保護,它通過規定個人信息主體的權利與義務從而實現憲法對人權的保護,其中詳細確定的知情權、安全保障等一系列內容為個人信息保護提供了方向。目前,很多國家都制定了個人信息保護法,部分國家因為現實需要還制定了專門處理個人信息的單行法。雖然我國也進行了保護個人網絡信息的立法研究,但專門的個人信息保護法卻因為種種原因并沒有出臺,其中齊愛民先生與周漢華先生對于個人信息保護方面先后提出了自己的意見,但結果不容樂觀。在網絡上關于個人信息保護的法律條款就更是少之又少。我國主要通過部分法律法規的條款以及一些網站的隱私保護聲明來實現對個人信息網絡安全的保護。盡管刑法從刑事保護方面對個人信息提供了支撐,但刑法主要針對的是侵犯他人的信息安全已經達到了嚴重危害社會的程度才適用刑法的保護,對情節達不到嚴重標準的,自然無法規制普遍遭遇到的信息泄漏或被他人非法利用的情形。[6]此外,我國法律還存在結構單一的問題,無法應對隨著信息技術的發展產生的新型個人信息的網絡安全問題。因此,缺乏系統的法律保障,使得對個人信息網絡安全得不到應有的保障與救濟。[7]
(二)行業自律規范缺乏強制性
行業自身規范對于個人信息的保護方面發揮著十分重要的作用。個人信息的安全問題主要針對于互聯網行業,其中以騰訊,網易網站為例,在隱私政策保護方面,雖然也對網站在信息處理過程中規定了信息安全和知情同意的相關內容,但在責任劃分方面并沒有具體規定,個人信息泄漏后由誰承擔責任,以及由誰對信息消費者補償的問題仍然沒有解決,即便有行業自律機制,個人信息主體的賠償也無法落實,承擔責任與法律救濟形同虛設。[8]CTOC模式是一種簡單的用戶對用戶的交易模式,指在一個大型交易網站中,有成千上萬的買家和賣家,通過網絡交易平臺進行交易活動,淘寶網和京東網就是典型的代表。但這種模式也存在著弊端,臨時性和買賣雙方身份的隨意性是一個很大的問題,易導致交易的不穩定和出現安全隱患。
(三)刑事程序立法仍需完善
在個人信息網絡安全的保護方面,刑法雖然發揮了其作用,在他人侵犯個人信息網絡安全時,利用刑法的規制方法進行制裁時仍然受到了很多限制,在刑法程序方面,對個人信息網絡犯罪的調查取證程序規定時,并不明確具體,導致對很多個人信息侵權案件的舉證帶來了很多困難。在《公安機關辦理刑事案件程序規定》中,僅僅規定了電子郵件作為扣押書證、物證的范圍,電子郵件實際上只是一種用戶互相交流的方式之一,也是互聯網信息網絡的其中一個功能,因此不論在網絡的調查范圍,還是取證方式上都存在弊端,無法涵蓋所有的網絡用戶的信息傳遞渠道,對于信息網絡犯罪案件中的調查取證問題仍然是一個漏洞。[9]另外,在程序立法方面,與傳統法律相結合的兼容性也不夠,導致刑事程序立法過程中,并沒有很好的結合實際情況,導致出現一個執法過程的真空地帶。
(四)網絡知識產權保護力度不夠
在知識信息時代,知識經濟是以區別于有形資產而存在的以知識和技術作為經濟增長與發展的主推動力的一種經濟形態。知識產權在促進經濟發展方面的作用日益增大,當然必不可少的會成為違法犯罪分子的關注的焦點。目前在我國在著作法保護領域,仍然未提及到數據庫保護。個人網絡信息安全其中很大一部分涉及到知識產權領域,例如著作權、專利權、商標權和地理性標志等。由于網絡發展迅速的特點,網絡的傳輸和儲存過程中勢必會導致很多的作品涉及到作者的信息被復制、篡改等惡意使用行為的出現,大數據時代下,跨境傳輸過程中的個人信息網絡安全也不容小覷。
三、完善我國個人信息網絡安全的建議
(一)加快制定出臺《中華人民共和國個人信息保護法》
隨著互聯網網絡的蓬勃發展,網絡與信息安全領域的法制建設于2014年正式被提上實現“中國夢”的重要議程,互聯網疆域越來越成為了國家安全的重要保護對象,我國與其他國家在共同推進網絡安全領域法制化達成了共識。目前,我國主要應著眼于立足國家網絡安全層面對中國網絡技術的安全保密及其他技術水平的提高進行理性的認識。切實保障國家網絡信息安全是保障個人網絡信息安全的前提,一方面可以通過建立國家信息網絡安全平臺,在法律法規中明確對個人網絡信息安全的具體權利與義務,另一方面從執法和監督兩方面都要緊緊把握從嚴的原則,完善刑事訴訟程序,嚴厲打擊侵犯信息網絡安全的犯罪主體,改進監督管理機制,建立一套公眾參與的高效監管和應急系統。
(二)完善互聯網行業自律
我國互聯網行業主要考慮的是對信息管理者的處理和篩選而忽視了網絡用戶真實利益的實現,缺乏行業自律性。結合國外一些國家的現有法律法規和我國對個人信息保護的現實需要,對于互聯網行業自律可以通過互聯網協會起到一定監督與促進作用:第一,對于互聯網行業的自律規范,可以經過政府信息資源主管部門的審查批準,已獲得更高的審查批準標準,防止信息的濫用。第二,建立適當的評估機構,做到對各大網站不定期定量抽查活動。
(三)完善個人信息網絡安全刑事立法
近幾年,個人信息網絡侵權案件屢屢發生,“人肉搜索”和“艷照門”事件更是數不勝數,嚴重侵犯了個人的隱私權、名譽權等人身權利,因此個人信息的刑事立法迫在眉睫。電子數據的保護應該從它的取證、鑒定到處理都必須要經過嚴格的程序,通過制定個人信息網絡安全刑事立法,一方面對嚴厲打擊個人信息侵權的犯罪主體,減少信息侵權案件的發生,另一方面,通過嚴格的刑事立法,執法人員嚴格執法,防止執法人員肆意濫用權利,借助自身優勢自身侵犯公民權利,公眾參與監督,保證個人信息的在法制保障下真正可以實現多方面的強制保護。
(四)健全知識產權保護及個人數據保護機制
知識產權的保護在很大程度上涉及公民的隱私等各種權利,我國現行法律對與公民的隱私權給予了一定的保護,《中華人民共和國憲法》第四十條明確規定“中華人民共和國公民的通信自由和通信秘密受法律保護”。但是,大數據時代的到來,資源共享的同時大量的個人數據在收集存儲的過程中,個人數據的安全收到了極大的威脅。許多外國國家個人數據的保護對信息數據可以進行再處理,在修改,在信息的源頭提供安全保護,網絡用戶對信息侵權享有要求賠償的權利。[9]我國對于個人信息的網絡安全保護仍然處于空白階段,因此,可以根據我國國情借鑒國外的立法經驗,健全知識產權保護及個人數據保護機制。
參考文獻:
[1]馬民虎.信息安全法研究[M].西安:陜西人民出版社,2004.377.
[2]楊立新.中華人民共和國侵權責任法精解[M].知識產權出版社,2010.
[3]王蕓,電子商務法規[M].高等教育出版社,2010.
[4]楊立新.電子商務侵權法[M].北京:知識產權出版社,2005.
[5]張玉編.民法[M].北京:高等教育出版社,2007.
[6]陳之贊.關于信息安全管理的法律問題研究[D].復旦大學,2012.
[7]沈耀璘.論個人信息網絡安全的法律保護[D].西南政法大學,2012.
[8]王偉.我國信息網絡安全立法問題研究[D].西安理工大學,2006.
一、大學生網絡法律規范適用、網絡違法違規問題法律規范引導、保障大學生網絡行為活動合法性、合規性
而大學生網絡行為活動的依法展開,對網絡社會具有指引和保障作用。大學生對網絡法律規范的適用主要由網絡法律實踐活動來體現,即大學生按照網絡法律法規規范進行網絡行為,利用法律手段來維護自己合法的網絡權利,積極使用網絡法律法規來解決出現在網絡世界中的各類麻煩、糾紛。在網絡活動中大學生不會主動依法約束自己違法失范的行為,在遇到糾紛時不借助法律反而消極應對,這是致使高等院校網絡法制教育困難重重,收效不大的重要原因之一。其一是與網絡的特殊性相關,因網絡具有虛擬性、隱蔽性、快速性等特性,造成了司法實踐中“偵破案件難、訴訟審判困難、影響消除艱難”等復雜困境,一定程度上降低了大學生適用網絡法律的信心。其二是由于我國現階段網絡法律法規建設不完善,法律法規體系性不健全,個別處存在不一致;高位階法律側重比例小;低位階規范側重太多,對不良信息行為的執法解釋不明確,公眾理解不一,導致部分網絡行為無法可依。部分高校大學生在傳統性網絡活動中的守法、用法及承擔責任等方面都表現得比較規范,但還有一些大學生的網絡行為隨意性太強,缺失規范性,出現網絡行為問題時候,傾向于自認倒霉等非法律手段解決。
二、大學生網絡行為法律規范問題與安全教育關系
大學生網絡行為法律規范問題和安全教育聯系密切。一方面,加強和改進安全教育,說到底就是要讓大學生及安全教育工作者適應時展、變化后的育人環境。在信息技術日新月異大環境下,網絡作為安全教育的新環境,已給安全教育活動帶來了新問題、新情況、新挑戰。我們必須要借助網絡長處,降低、消滅網絡違法失范行為,塑造大學生健康人格,保證大學生健康成長。另一方面,網絡平臺教育將會成為安全教育的新手段和新途徑。新型的網絡平臺教育方式與傳統安全教育大不相同,對網絡行為進行法律安全教育是傳統安全教育在工作領域、工作方式及工作手段上的拓展和延伸,單向灌輸為主的傳統安全教育變得雙向互動,借助網絡平臺使教師和學生在教學過程中的互動,從而做到了安全教育內容的內化成為現實。最后,大學生網絡行為法律規范問題和安全教育對策研究中運用了大量法學教育的理論與方法,而網絡行為安全教育的目標也是網絡行為法律規范問題教育的目標。所以,大學生網絡行為法律規范研究本身就具有安全教育的功能。將大學生網絡行為法律規范問題與安全教育結合是時展的必然要求和安全教育創新的重要契機。
三、大學生網絡行為安全教育對策
(一)確立網絡安全法律教育目標,優化安全教育師資隊伍現在的大學生幾乎人人玩轉網絡,雖然他們的網絡使用能力很強,但對網絡安全的法律、法規、條例卻很少涉獵,網絡安全防范意識比較淡漠。現今,高校校園網絡受外來非法侵入現象加重,要想大學生正確利用網絡,合理規劃大學生涯,必須從學生內因上進行思想突破,讓大學生自覺樹立主人翁意識,確定網絡安全教育目標。目前高校安全教育工作基本是由大學生指導教師承擔。但由于指導教師除了日常思想教育工作外,還需要處理瑣碎日常管理事務性工作,導致安全教育工作出現不少漏洞。因此,高校要加強安全教育教師的建設,每所高校的安全教育教師不僅要熟悉高校安全教育規律和掌握大學生身心成長規律,同時需要具備比較系統的法律學科知識和較高的法律素養。高校應結合本校特點,立足實際,有專職、兼職、外聘多樣化的方式,組建具有全面系統安全教育背景的專職教師為主力,外聘常年從事心理健康、司法或法學教育工作的兼職安全教師為輔助力量,構筑起一個高質、高效、全面的的安全教育師資力量。
(二)優化網絡安全法律教育的內容要做好大學生網絡安全法律教育,就一定要在網絡安全法律教育的講授內容進行科學布置,不能簡單地停留在按圖索驥的階段,要“守法”意識深入人心。把當代大學生學習和生活息息相關的網絡典型案例的分析和討論,如:班會、研討會、專題講座等方式,并在每一次探討中總結、歸納。激發起高校大學生們對學習網絡法律知識的興趣,這樣就能更好增強他們網絡行為法律意識和培養起法律觀念。把網絡安全法律教育引入到課堂教學,開設網絡安全法規選修課。選修課可以系統地介紹計算機網絡有關的安全法律法規,通過教學灌輸網絡安全意識,讓每一個走出校園的大學生都具備掌握網絡安全知識,了解國家的網絡安全法律法規,從根源上有效防范或控制網絡安全風險,促使大學生形成自律的規范。完善相關的網絡安全法律教育的考核評價,促使安全教育不流于形式,不走過場,并將這種評價納入學生年度考核中,提高安全教育的成效。
(三)拓展網絡安全法律教育的渠道努力辦好校園BBS,正視網絡帶來的積極和消極影響,充分發揮校園主流輿論的導向作用。目前各大高校都發展自己智慧校園網絡系統,因此校園主頁網站中設置具有當代大學生特色的安全網絡平臺,充滿互動性、開放性,作為普及網絡安全法規教育主陣地。網絡平臺中不僅要有常用的法律條文的案例與解析,還要有特定性地對網絡犯罪進行介紹典型案例,也要結合常見的網絡安全問題或社會現象進行“正能量”的宣傳和引導。也可以通過BBS、微信、QQ等平臺讓學生參與討論,及時察覺學生的思想安全動態,在線及時交流和錯時互動,安全教育教師要掌握網絡輿論表達權、領導權,努力地將校園網絡建設成一個綠色安全網絡平臺。
作者:吳學政 單位:南京郵電大學保衛處
一、社會網絡安全精神文化建設
在社會網絡安全精神文化建設方面,首先要重視社會網絡安全觀念的強化,通過網絡風險意識的教育與宣傳來培養社會大眾的網絡倫理道德。在安全文化的傳播過程中,宣傳與教育是主要的方式,通過對這種方式的運用,社會大眾能夠樹立良好的網絡安全思想、態度、理念以及行為習慣,從而在社會中構建起良好的網絡安全氛圍。社會網絡安全文化的構建、社會大眾網絡安全理念以及行為的培養都需要網絡安全氛圍來形成潛移默化的影響,并在長期堅持的基礎上推動網絡安全理念深入人心。在此方面,可以使用的方式方法包括課堂教育、安全理念與安全知識普及、安全行為的倡導,同時,網絡安全宣傳與教育有必要對傳統的宣傳手段與教育手段做出創新,通過發揮網絡本身的優勢來將網絡作為網絡安全宣傳與教育的有力媒介;二是強化網絡安全技術的探究與應用。網絡安全技術本身也屬于文化范疇,在網絡安全文化構建中重視先進技術的應用,有利于為網絡安全管理建立技術保障,并能夠在一定程度上推動網絡安全文化內容的發展與豐富。另外,先進網絡安全技術的應用有利于推動網絡發展,而這是強化網絡安全管理工作中重要的內在需求。
二、社會網絡安全制度文化建設
社會網絡安全制度文化建設的內容體現在以下四個方面:一是強化網絡安全法制建設。網絡安全法制是網絡安全文化中重要的組成內容,同時也是推動網絡安全管理規范化和法制化的必然要求。作為一種具有強制性的手段,網絡安全制度文化建設中的法制建設工作能夠有效推動網絡安全的實現。在此方面,需要以網絡特點為依據、確保網絡安全為目的來制定專門性的法律法規,同時雖然網絡環境下的網絡群體具有著明顯特性,但是也具有同樣作為社會群體的共性,因此,一般法律在網絡安全領域中也具有著一定的適應性,所以,重視對一般法律的完善也是強化網絡安全法制建設中的重要內容;二是對網絡安全文化的建設機制作出完善。在網絡安全制度文化建設過程中,有必要通過完善構建機制與機構來推動網絡安全文化的建設。在此方面,有必要構建完善的網絡舉報制度以及激勵機制,并對網絡安全文化的建設工作作出整體的規劃,同時有必要構建科學的人才培養機制與培訓機制,從而有效提高網絡文化建設的質量以及效率;三是構建健全、科學的網絡安全文化評價體系。在網絡安全文化的構建中,要對網絡安全文化的構建進程以及網絡所面臨的安全風險做出認識,就有必要構建合理科學的評價標準以及評價體系,并在此基礎上對網絡安全文化的構建做出度量。另外,由于不同文化背景中對網絡安全文化的理解以及對網絡安全尺度做出認定的標準具有差異性,所以網絡安全文化評價體系的構建有必要以網絡安全文化建設任務與目標為依據,從而提高網絡安全文化評價體系在我國社會中的適應性;四是構建公平合理的網絡安全管理體制和權利分配體制。當前互聯網最高管理機構為ICANN,雖然這一組織在名義上并不是盈利組織,但是下設的來自各個國家的顧問委員會并沒有實質發言權,擁有否決權和專控權的國家只有美國。很明顯,這種網絡管理體制是并不合理的,而這種不合理的管理體制以及權利分配也會對網絡安全的發展造成制約,因此,構建合理公平的網絡安全管理體制以及權利分配體制是十分必要的。
三、社會網絡安全物質文化建設
在社會網絡安全文化構建過程中,物質文化建設要求將精神文化建設內容與制度文化建設內容轉換為現實,尤其是要重視推動網絡安全技術產業化發展,在網絡工程的設計與施工過程中要體現出人本思想。在實踐過程中,要求網絡工程的設計與生產中選取具有更低輻射、更簡單操作以及更高安全性的設備來確保人的安全,同時要選取具有更高合理性、可靠性以及安全性的信息處理設備來確保信息的安全。網絡安全物質文化建設工作具有著復雜性特點,僅僅重視某個方面的物質文化建設是難以完成網絡安全物質文化建設目標的,因此,在網絡安全物質文化建設中,需要以人的安全、環境安全以及信息安全三個方面的內容為核心,并有意識的通過長期努力來構建優秀的網絡安全物質文化。
總之,社會網絡安全文化建設是一個系統的工程,其中社會網絡安全精神文化建設、制度文化建設以及物質文化建設缺一不可,在社會網絡安全文化的建設中,有必要從這三個方面入手來確保社會網絡安全文化建設的全面性,從而推動網絡以及網絡安全的健康發展。
作者:殷晏君 單位:江蘇省連云港工貿高等職業技術學校
關鍵詞:職業學校;網絡安全;教育
調查數據顯示,截至2013年年底,中國互聯網的使用人數已經超過了6億,并且以每年新增5000萬左右人數的速度向上攀升,且調查發現處于10歲到29歲年齡段的群眾幾乎全部都在使用互聯網。互聯網為人們的日常生活、工作辦公以及自主學習都帶來了很多便捷,豐富的信息資源更加可以幫助學生認識外界的社會。但是凡事有利就有弊,網絡上雖然有著豐富的信息資源,但是網絡上的信息也魚龍混雜。學生經常接觸到不良的信息,對于思想發展并不夠成熟的青少年學生容易造成巨大的危害。公安機關公布的數據顯示,青少年犯罪者中有近八成的是受到網絡不良信息誘惑的學生。他們在網絡世界中受不良信息的蠱惑,沉迷于網絡或游戲當中。這類沉迷網絡的青少年十分容易進行搶劫、打架斗毆以及等犯罪行為。目前國內職業學校的辦學規模以及招生數量都日漸提高,在職業學校內如何展開網絡安全教育已經是一個十分重要的問題,指導青少年學生們的成長健康是職業學校義不容辭的責任。
一、國內青少年學生上網情況調查
筆者為了保證本篇文章的針對性,在青少年學生當中做了一個關于上網情況的調查。在上網地點的選項當中,90%的學生是在家上網;13%的學生是在網吧上網;4%的學生是在同學或者親戚家上網;僅僅只有2%的學生是在學校機房上網。在處理不良信息方法的選項當中,30%的學生表示從來不關心,隨它去;21%的學習表示擔心但是并不知道怎么解決;48%的學生會下載綠色上網軟件;還有2%的學生會惡作劇一般故意傳播給其他人。根據調查數據顯示,目前大部分青少年上網的時候依然存在許多的安全隱患。在上網地點的選擇當中,在家上網以及在網吧上網的選擇人數最多,而在家上網以及在網吧上網的時候缺乏家長的監管,極容易接觸到不良信息。同時大部分的青少年學生上網主要在使用聊天軟件或者玩網絡游戲,真正在網絡上自主學習的學生所占的比例較低。并且我們發現大部分的學生在面對不良信息的時候沒有引起重視,只是任由不良信息傳播而未告訴家長或老師。
二、目前國內職業學校網絡安全教育情況
目前國內的職業學校在安全教育方面的情況分為兩種:一種是高等專業人才教育方面的院校,大多數的院校將教育重點放在專業人才的培養方面,并沒有開設網絡安全專業,而就算有網絡安全專業的院校也普遍教材內容老舊、教學方法過時并且缺乏專業教師;另一種便是在普及教育方面,僅僅有一部分院校在通識教育當中開設了公選課,而在大部分院校當中僅僅是在計算機文化基礎課程當中捎帶提起,只是十分簡略地提到了一些網絡安全意識的基礎概念。以廣東省的一個職業院校為例,該院校在計算機學院中并沒有信息安全專業,而在應用數學學院當中有信息安全專業,但是每屆僅僅只招生兩個班,總共學生人數不過百人。該校在通識教育當中計算機學院開設有網絡與信息安全以及信息安全風險評估的公選課,但是每個學期的選修人數也不過三百左右。而計算機學院中每個學生都必修的計算機文化基礎課程中并未提及網絡安全教育內容,學校也并沒有在學生當中宣傳網絡安全意識的重要性。由此可見,國內大多數的職業學院對青少年網絡安全意識教育并未引起重視。國內的職業院校對于青少年網絡安全教育不夠重視,青少年學生的網絡安全意識不夠成熟,極容易出現安全隱患,比如:青少年網絡安全意識淡薄,缺少使用安全上網軟件的意識,對安全防護措施不夠重視;過于依賴安全上網軟件,大多數青少年學生在安裝了安全上網軟件之后便完全失去安全意識,甚至覺得上網安全跟自己無關了,當安全事故發生時便完全不知道如何應對;對于個人信息的保護意識薄弱,對于某些網站需要填寫身份證號、真實姓名、聯系電話以及真實家庭住址這些私密信息的時候沒有保護意識,極容易造成個人信息的泄露;青少年學生往往對他人的警惕性較低,極容易受到網友的欺騙;對網絡安全沒有責任心,青少年學生由于責任心不夠成熟且比較單純,經常不清楚自己在無心的時候已經造成了網絡安全事故的發生,并且影響到了其他網民的用網安全;青少年學生對于網絡安全的法律法規不夠了解,有部分學生因為好奇心、好勝心、沒有抵制住經濟利誘或者純粹是一種找樂子的心態而學習黑客知識或是鉆研電腦病毒知識,對他人的電腦進行入侵或者破壞,常常并不知道自己已經犯法。
三、網絡安全教育的重要性
目前,國內的大多數職業院校在網絡課程教學當中仍然在重點研究教學策略以及教學內容的質量,向學生們灌輸網絡發展的重要性以及網絡在全社會當中的作用,卻并未向學生們強調網絡不良信息的危害。許多的職業院校中的法律基礎公開課以及計算機網絡專業課沒有將網絡安全教育以及網絡安全法律法規教育加入教學大綱當中,更加不存在相關課程的制訂計劃。國內的大多數青少年學生都未能及時接受系統的網絡安全教育以及網絡安全法律法規教育,網絡安全意識薄弱,對于網絡犯罪的定義以及網絡犯罪的后果認知模糊。許多沉迷于網絡的青少年學生由于自身的思想并未成熟,受到網絡不良信息的影響,導致暴力、自私、孤僻甚至厭世的性格,還有的學生走上了犯罪的道路,由此可見網絡的不良信息對于思想并為發展成熟的青少年學生來說危害巨大。在這個網絡發展速度以及網絡普及速度都越來越快的社會,在職業院校中開展網絡安全教育是刻不容緩的,是保障青少年學生健康成長的重要教育任務。開設專門的網絡安全教育課程以及網絡安全法律法規課程,全面建立起青少年學生的網絡安全意識,提升青少年學生的網絡安全素質,是目前國內職業院校中最為重要的教育內容。只有在青少年學生中建立起明確的網絡安全意識,加強對青少年學生的網絡安全教育,才能夠避免青少年學生受到網絡不良信息的危害,才能夠幫助青少年學生們健康成長。
四、開展網絡安全教育的方法
1.網絡安全法律法規知識教育
在網絡世界當中最為顯著的標簽就是自由,但是網絡世界中的自由與現實世界當中的自由一樣需要有法律法規來進行約束。我國在互聯網方面有著明確的法律規定,讓互聯網世界有法可依、有法必依。職業院校需要針對網絡法律條例以及計算機法律基本知識對青少年學生進行系統的教育。教育內容應該以《刑法》《計算機軟件保護條例》《中國公用計算機互聯網國際聯網管理辦法》《計算機信息系統國際聯網保密管理規定》以及《中華人民共和國計算機信息系統安全保護條例》這些國家規定的網絡安全條例為基礎展開。
2.青少年學生網絡安全自律教育
青少年學生對于外界的誘惑力抵抗力較弱,尤其是在信息豐富的網絡世界。他們的好奇心使得他們容易沉迷于網絡世界,而青少年學生們的自我保護意識薄弱,網絡安全素質較低,極容易受到網絡不良信息的危害。首先職業院校網絡中心的防火墻需要加強對校內微機房的信息安全管理,加強校園網絡對外界網絡隔離的可靠性。同時職業院校需要加強對青少年學生網絡安全自律意識的教育,讓青少年學生們清楚地認識到網絡不良信息以及網絡攻擊的后果的嚴重性。除此之外要培養青少年學生們對網絡攻擊的防范技術,加強青少年學生們的防范意識,能夠有效地避免他們受到網絡不法分子的危害。
3.在教育當中多采用疏導的方法
青少年學生由于其自身的安全意識以及自律意識薄弱,容易沉迷于網絡,若是沒有及時發現并有效改善青少年學生的上網習慣,他們便容易走入歧途。家庭教育以及學校教育都極為重要,但是家庭教育以及學習教育的方法需要改善。大多數沉迷網絡的青少年學生容易出現交友觀以及性格的扭曲,需要通過疏導的方式讓他們宣泄出內心壓抑的情緒并指引他們去外面進行真實的人際交流,建立起正確的交友觀以及世界觀,幫助他們體驗到現實中人際交往的樂趣,建立起他們的自信心。若是采取強硬的教育方式反而容易導致青少年學生們因為逃避和叛逆心理更加抗拒真實世界。
五、小結
綜上所述,幫助青少年學生們建立起網絡安全意識,健全學生們的素養教育,已經成為了目前職業學校極為重要的任務。在網絡安全教育方面,西方發達國家對此極其重視,而國內對于網絡安全教育的開展和重視程度都略微低于國外,職業院校學生們的網絡安全意識都不夠成熟。因而職業院校應該全面開展網絡安全教育,重點培養青少年學生們的網絡安全意識,讓學生們避免受到網絡不良信息的侵害,幫助學生們健康成長。
參考文獻:
[1]張立敏,李玉堂,趙瑞蘭等.北京市順義區中學生健康危險行為現狀調查[J].職業與健康,2011(10).
[2]陳瑞.中職校開展職業安全健康教育的路徑探索——以南京市莫愁中等專業學校為例[J].江蘇教育研究,2014(30).
32學時 2學分
《網絡法概論》課程屬于法學本科專業的選修課程。該課程主要適用于法學本科專業,也可適用于非法學專業的選修課程。
本課程將系統地講述網絡法的基本范疇、基本制度和基本原理,網絡法的概念、特征、體系、淵源,國外電子簽名法,中國電子簽名法,電子商務主體制度,電子商務合同制度,電子商務消費者保護制度,電子政務法律制度,政府信息公開法律制度,國外的網絡安全法律制度,我國的網絡安全法律制度,網絡金融安全保護制度,網絡人格權保護制度,網絡個人信息保護制度,網絡知識產權保護制度,網絡虛擬財產保護制度,網絡犯罪制度,網絡管轄權制度,網絡證據法律制度等內容。
通過該課程的學習,使學生了解本學科的學科性質,熟悉學科的基本框架,準確理解學科的基本概念和基本理論,能夠靈活運用學科知識和理論分析和解決現實的法律問題。
一、課程目標
本課程力求以課程內容體系為綱,結合國內外網絡法研究中的最新成果和前沿觀點,及時反映中國網絡領域的最新進展和實踐探索。通過該課程的學習,使學生了解和掌握網絡法的基本概念、基本理論、基本技術方法和發展動態;在傳遞知識和思想的同時,引導和鍛煉學生的思維能力,能夠運用所學的理論和方法分析、解決網絡法實踐中的問題,對當代中國進行的法治建設進行正確的理解和判斷;結合學生的不同需求,設置相關的話題、案例和討論,增強學生適應社會、解決問題的能力,為未來從事相關工作打下堅實的基礎。
二、課程內容、要求及學時分配
1.主要教學內容
序號
章節
內容及要求
學時
備注
1
第1章
網絡法導論
理解網絡法的基本概念
了解網絡法的法律體系、法律淵源和基本原則
掌握網絡法的調整對象和內容體系
2
2
第2章
電子簽名法
掌握電子簽名和電子簽名法的基本概念
了解國外的電子簽名法
掌握我國的電子簽名法律制度
4
3
第3章
電子商務法
掌握電子商務和電子商務法的基本概念
掌握電子商務主體制度
掌握電子商務合同制度
掌握電子商務消費者保護制度
4
4
第4章
電子政務法
掌握電子政務和電子政務法的基本概念
掌握信息公開法法律制度
了解電子政務法的立法趨勢
4
5
第5章
網絡安全法
熟悉網絡安全與網絡安全立法的基本概況
了解國外網絡安全法的立法和發展
掌握我國網絡安全法律制度
4
6
第6章
隱私與個人信息保護法
掌握網絡環境隱私權保護制度
掌握個人信息保護法律制度
4
7
第7章
網絡財產法律制度
掌握網絡中的知識產權:版權、商標、域名等等
掌握虛擬財產的法律保護
6
8
第8章
網絡犯罪與網絡法律糾紛的解決
掌握網絡犯罪法律制度
掌握網絡管轄制度
掌握網絡證據制度
4
合 計
32
2.實驗安排內容
序號
實驗名稱
內容及要求
學時
合 計
三、師資隊伍
本課程負責人應具備副教授及以上職稱,原則上必須畢業于法學專業,多年從事法學專業的教學和科研工作,并具備五年以上相關課程的教學經驗。
本課程的教學隊伍可由2~4名教師組成。主講教師師資隊伍應該年齡層次合理,學歷層次為研究生,并且系統具備法學的基礎理論及良好的研究能力。
四、教材及教學參考
1.建議教材
劉品新.網絡法學(第2版).北京:中國人民大學出版社,2015
2.教學參考資料
1)李艷.網絡法(第2版).北京:中國政法大學出版社,2017
2)馬克·A.萊姆利.軟件與互聯網法(上).北京:商務印書館,2014
3)羅勝華.網絡法法案例評析.北京:對外經貿大學出版社,2012
3.其他教學資源
1)網絡教學資源:亞太網絡法研究中心、最高人民法院網、中國裁判文書網等
2)微信公眾號:審判研究、法學學術前沿、法律讀庫、首席法務等
3)研論文資料(由任課教師指定)
五、教學組織
總體而言,本課程將以教學大綱和教學日歷為主線,以學生的學習需求為落腳點,以問題引導教學,以互動啟發思考,以講解釋疑解惑。授課教師可以根據最新的立法和司法動態做必要的調整和更新。
本課程將突出參與、對話和分享的理念,使學生由被動接受到主動求知,更加關注教學過程。課上講授和課下學習相結合,主講教師按照教學大綱和教學日歷認真備課,學生根據教學日歷提前預習所學內容、閱讀所提供的教學材料。在對基礎知識、概念和理論進行講授的基礎上,突出每章的重點和難點,在傳遞知識的同時,更加注重訓練學生的思維能力。
探索多種教學方法和形式,如分組討論、辯論、案例教學、專題教學等,培養學生主動學習能力、合作能力、溝通能力。積極挖掘課堂教學中的隱性知識和潛在問題,進行啟發式教學和反思式教學,既可以舉一反三,又能夠為學生留有思考的空間。
課堂講授面向所有學生,梳理課程內容的基本體系和輪廓,突出課程內容的思路和方法,強調重點和難點問題。結合網絡法較強的理論性和實踐性特征,及時選取最新的話題、案例和立法政策等,同時鼓勵學生自行尋找相關素材,尤其是發生在現實身邊的物權法問題,進行研究型學習。
本課程安排至少兩次次正式的集中答疑,時間擬為課程中期和課程結課。根據實際教學進程開展至少2次課程作業,作業可以是針對講授期間的需求安排課上進行,也可以是受時間所限課上沒有展開的內容。作業形式,可以是問答式、是非判斷、小論文、個人讀書報告等。教師的批閱反饋,可以是作業本批閱、PPT課堂展示、個人速遞反饋等形式。
六、課程考核
本課程采取開卷考試或考查的方式,成績由平時成績(30%)和期末成績(70%)構成。
其中,平時成績可以由考勤、平時作業、討論、課堂表現等組成。
七、說明
1)本課程標準從法學類2016級開始使用,課程標準的變更應由課程負責人提出,專業負責人審批并報學院和教務部備案。
2)學習本課程的學生應及時了解網絡法理論或實踐中的熱點和難點,熟悉網絡法的立法和司法的最新進展,觀察和思考現實生活中的網絡法律問題,并有條件的情況下積極參與相關司法活動。
制定者:×××
論文關鍵詞:高師計算機專業;信息安全;法律法規課程
人類進入21世紀,現代信息技術迅猛發展,特別是網絡技術的快速發展,互聯網正以其強大的生命力和巨大的信息提供能力和檢索能力風靡全球.
網絡已成為人們尤其是大學生獲取知識、信息的最快途徑.網絡以其數字化、多媒體化以及虛擬性、學習性等特點不僅影響和改變著大學生的學習方式生活方式以及交往方式,而且正影響著他們的人生觀、世界觀、價值取向,甚至利用自己所學的知識進行網絡犯罪,所有這些使得高師學生思想政治工作特別是從事網絡教學、實踐的計算機專業的教育工作者來說,面臨著前所未有的機遇和挑戰,這不僅因為,自己一方面要傳授學生先進的網絡技術,另一方面也要教育學生不要利用這些技術從事違法活動而從技術的角度來看,違法與不違法只是一兩條指令之間的事情,更重要的是高師計算機專業學生將來可能成為老師去影響他的學生,由此可見,在高師計算機專業學生中開設與信息安全有關的法律法規課程有著十分重要的意義.如何抓住機遇,研究和探索網絡環境下的高師計算機專業學生信息安全法律法規教學的新特點、新方法、新途徑、新對策已成為高師計算機專業教育者關心和思考的問題.本文主要結合我校的實際,就如何在高師計算機專業中開設信息安全法律課程作一些探討.
1現有的計算機專業課程特點
根據我校人才培養目標、服務面向定位,按照夯實基礎、拓寬專業口徑、注重素質教育和創新精神、實踐能力培養的人才培養思路,溝通不同學科、不同專業之間的課程聯系.全校整個課程體系分為“通識教育課程、專業課程(含專業基礎課程、專業方向課程)、教師教育課程(非師范除外)、實踐教學課程”四個大類,下面僅就計算機專業課程的特點介紹.
1.1專業基礎課程專業基礎課是按學科門類組織的基礎知識課程模塊,均為必修課.目的是在大學學習的初期階段,按學科進行培養,夯實基礎,拓寬專業口徑.考慮到學科知識體系、學生轉專業等需要,原則上各學科大類所涵蓋的各專業的學科專業基礎課程應該相同.主要內容包括:計算機科學概論、網頁設計與制作、C++程序設計、數據結構、操作系統等.
1.2專業方向課程各專業應圍繞人才培養目標與規格設置主要課程,按照教育部《普通高等學校本科專業目錄》的有關要求,結合學校實際設置必修課程和選修課程.同時可以開設2—3個方向作為限選.學生可以根據自身興趣和自我發展的需要,在任一方向課程組中選擇規定學分的課程修讀.主要內容包括:計算機網絡、匯編語言程序設計、計算機組成原理、數據庫系統、軟件工程導論、軟件工程實訓、計算機系統結構等.
1.3現有計算機專業課程設置的一些不足計算機技術一日千里,對于它的課程設置應該具有前瞻性,考慮到時代的變化,計算機應用專業旨在培養一批適合現代軟件工程、網絡工程發展要求的軟件工程、網絡工程技術人員,現有我校的計算機專業課程是針對這一目標進行設置的,但這一設置主要從技術的角度來考慮問題,沒有充分考慮到:隨著時代的發展,人們更廣泛的使用網絡、更關注信息安全這一事實,作為計算機專業的學生更應該承擔起自覺維護起信息安全的責任,作為高師計算機專業的課程設置里應該考慮到教育學生不得利用自己所學的技術從事不利于網絡安全的事情.
2高師計算機專業學生開設信息安全法律法規的必要性和可行性
2.1必要性信息安全學科群體系由核心學科群、支撐學科群和應用學科群三部分構成,是一個“以信息安全理論為核心,以信息技術、信息工程和信息安全等理論體系為支撐,以國家和社會各領域信息安全防護為應用方向”的跨學科的交叉性學科群體系.該學科交叉性、邊緣性強,應用領域面寬,是一個龐大的學科群體系,涉及的知識點也非常龐雜.
僅就法學而言,信息安全涉及的法學領域就包括:刑法(計算機犯罪,包括非法侵入計算機信息系統罪、故意制作傳播病毒等)、民商法(電子合同、電子支付等)、知識產權法(著作權的侵害、信息網絡傳播權等)等許多法學分支.因此,信息安全教育不是一項單一技術方面的教育,加強相關法律課程設置,是信息安全學科建設過程中健全人才培養體系的重要途徑與任務.
高師計算機專業,雖然沒有開設與信息安全專業一樣多與信息安全的有關技術類課程.但這些專業的學生都有從事網絡工程、軟件工程所需要的基本編程能力、黑客軟件的使用能力,只要具備這些能力且信息安全意識不強的人,都可能有意識或無意識的干出違反法律的事情,例如“YAI”這個比CIH還兇猛的病毒的編寫者為重慶某大學計算機系一名大學生.由此可見,在高師計算機專業的學生中開設相關的法律法規選修課程是必要的.
2.2可行性技術與法律原本并不關聯,但是在信息安全領域,技術與法律卻深深的關聯在一起,在全世界各國都不難發現諸如像數字簽名、PKI應用與法律體系緊密關聯.從本質上講,信息安全對法律的需求,實際上來源于人們在面臨信息技術革命過程中產生的種種新可能的時候,對這些可能性做出選擇揚棄、利益權衡和價值判斷的需要.這也就要求我們跳出技術思維的影響,重視信息安全中的法律范疇.
根據前面對信息安全法律法規內容的特點分析可知:信息安全技術與計算機應用技術有著千絲萬縷的聯系.從事計算機技術的人員很容易轉到從事信息安全技術研究上,加之信息安全技術是當今最熱門技術之一,因此,在高師計算機專業中開設一些基本的信息安全技術選修課程、開設一些與法律體系緊密關聯的信息安全法律法規選修課程學生容易接受,具有可操作性.
3信息安全技術課程特點
信息安全技術課程所涉及的內容眾多,有數學、計算機、通信、電子、管理等學科,既有理論知識,又有實踐知識,理論與實踐聯系十分緊密,新方法、新技術以及新問題不斷涌現,這給信息安全課程設置帶來了很大的難度,為使我校計算機專業學生了解、掌握這一新技術,我們在專業課程模塊中開設《密碼學基礎》、《網絡安全技術》、《入侵檢測技術》等作為專業選修課.我校本課程具有以下特點:
(1)每學期都對知識內容進行更新.
(2)對涉及到的基本知識面,分別采用開設專業課、專業選修課、講座等多種方式,讓學生了解信息安全知識體系,如有操作系統、密碼學基礎、防火墻技術、VPN應用、信息安全標準、網絡安全管理、信息安全法律課程等.
(3)對先修課程提出了較高的要求.學習信息安全技術課程之前,都可設了相應的先行課程讓學生了解、掌握,如開設了計算機網絡基本原理、操作系統、計算機組成原理、程序設計和數論基礎等課程.
(4)注重實踐教學.比如密碼學晦澀難懂的概念,不安排實驗實訓,不讓學生親手去操作,就永遠不能真正理解和運用.防火墻技術只有通過親手配置和測試.才能領會其工作機理.對此我們在相關的課程都對學生作了實踐、實訓的要求.
4涉及到信息安全法律法規內容的特點
信息安全的特點決定了其法律、法規內容多數情況下都涉及到網絡技術、涉及到與網絡有關的法律、法規.
4.1目的多樣性作為信息安全的破壞者,其目的多種多樣,如利用網絡進行經濟詐騙;利用網絡獲取國家政治、經濟、軍事情報;利用網絡顯示自己的才能等.這說明僅就破壞者方面而言的信息安全問題也是復雜多樣的.
4.2涉及領域的廣泛性隨著網絡技術的迅速發展,信息化的浪潮席卷全球,信息化和經濟全球化互相交織,信息在經濟和社會活動中的作用甚至超過資本,成為經濟增長的最活躍、最有潛力的推動力.信息的安全越來越受到人們的關注,大到軍事政治等機密安全,小到防范商業企業機密泄露、青少年對不良信息的瀏覽、個人信息的泄露等信息安全問題涉及到所有國民經濟、政治、軍事等的各個部門、各個領域.
4.3技術的復雜性信息安全不僅涉及到技術問題,也涉及到管理問題,信息安全技術又涉及到網絡、編碼等多門學科,保護信息安全的技術不僅需要法律作支撐,而且研究法律保護同時,又需要考慮其技術性的特征,符合技術上的要求.
4.4信息安全法律優先地位綜上所述,信息安全的法律保護不是靠一部法律所能實現的,而是要靠涉及到信息安全技術各分支的信息安全法律法規體系來實現.因此,信息安全法律在我國法律體系中具有特殊地位,兼具有安全法、網絡法的雙重地位,必須與網絡技術和網絡立法同步建設,因此,具有優先發展的地位.
5高師信息安全技術課程中的法律法規內容教學目標
對于計算機專業或信息安全專業的本科生和研究生,應深入理解和掌握信息安全技術理論和方法,了解所涉到的常見的法律法規,深入理解和掌握網絡安全技術防御技術和安全通信協議.
而對普通高等師范院校計算機專業學生來說,由于課程時間限制,不能對信息安全知識作較全面的掌握,也不可能過多地研究密碼學理論,更不可能從法律專業的角度研究信息安全所涉到的法律法規,為此,開設信息安全法律法規課程內容的教學目標定位為:了解信息安全技術的基本原理基礎上,初步掌握涉及網絡安全維護和網絡安全構建等技術的法律、法規和標準.如:《中華人民共和國信息系統安全保護條例》,《中華人民共和國數字簽名法》,《計算機病毒防治管理辦法》等.
6高師信息安全技術法律法規課程設置探討
根據我校計算機專業課程體系結構,信息安全有關的法律法規課程,其中多數涉及信息安全技術層面,主要以選修課、講座課為主,作為信息安全課程的補充.主要可開設以下選修課課程或講座課程.
(1)信息安全法律法規基礎講座:本講座力圖改變大家對信息安全的態度,使操作人員知曉信息安全的重要性、企業安全規章制度的含義及其職責范圍內需要注意的安全問題,讓學生首先從信息安全的非技術層面了解與信息安全有關的法律、法規,主要內容包括:國內信息安全法律法規概貌、我國現有信息安全相關法律法規簡介等.
(2)黑客攻擊手段與防護策略:通過本課程的學習,可以借此提高自己的安全意識,了解常見的安全漏洞,識別黑客攻擊手法,熟悉提高系統抗攻擊能力的安全配置方法,最重要的還在于掌握一種學習信息安全知識的正確途徑和方法.
(3)計算機犯罪取證技術:計算機取證是計算機安全領域中的一個全新的分支,涉及計算機犯罪事件證據的獲取、保存、分析、證物呈堂等相關法律、程序、技術問題.本課程詳細介紹了計算機取證相關的犯罪的追蹤、密碼技術、數據隱藏、惡意代碼、主流操作系統取證技術,并詳細介紹了計算機取證所需的各種有效的工具,還概要介紹了美國與中國不同的司法程序.
隨著高中校園網的普及,學校逐步實現了管理網絡化和教學手段現代化,提高了管理水平和教學質量,為師生的教學和學習帶來了方便,信息獲取更加迅速方便。但是網絡化的辦公及教學也帶來了網絡的安全問題,數據的安全性和學校自身的利益都受到了一定的威脅。因此,實現高中校園網絡系統的安全和正常運轉便成為高中校園網絡管理所面臨的一個現實問題。
二、高中校園網絡安全存在的主要問題
1.計算機病毒
計算機病毒是威脅高中校園網絡安全的主要因素之一,計算機病毒是指人為設計的影響計算機使用并且能夠自我復制的一種程序。在網絡中存有大量計算機病毒,并且不斷地復制變異。學生使用U盤等移動存儲設備、下載、瀏覽網頁、玩游戲、QQ等都有造成病毒傳播的可能。大量病毒不僅侵占網絡資源、降低網絡運行效率,有時還會對學校網絡設備、服務器等造成不可估量的破壞,對整個高中校園的網絡系統的正常運作產生嚴重影響,甚至可能造成網絡癱瘓、數據丟失等。
2.系統漏洞
高中校園網絡服務器采用的Windows操作系統、TCP/IP協議等都有可能存在安全漏洞,同時高中校園網絡上運行著高中校園網站和各部門基于Web的業務管理系統,為全校師生及社會提供資源,但是站點代碼在編寫設計過程中不夠嚴謹或者留有后門,都有可能給攻擊者留下入侵的途徑。另外,一些高中校園網絡硬件設備如交換機、防火墻等也存在著一些程序上的漏洞。這些都給高中校園網絡安全留下了隱患。
3.高中校園網絡寬帶的濫用
高中校園網絡主要是為了給廣大師生提供學習和教研的平臺,但也存在著嚴重的資源濫用及被盜用的問題,一些師生濫用網絡做一些與工作學習不相干的事情,迷戀網絡游戲、訪問一些不健康網站等。這些行為嚴重影響寬帶流量,造成網絡擁堵、速度變慢等問題,甚至有些用戶將免費的高中校園寬帶資源提供給商業用途,占用學校的網絡寬帶資源。這些行為都會對高中校園網絡產生不良影響,干擾學校正常用戶的使用。
4.高中校園網絡安全缺乏管理
當前眾多高中校園網絡建設普遍存在著重硬件輕軟件及重運行輕管理的問題,由于網絡管理員不具備豐富的網絡安全管理經驗和技術防范能力,所以網絡管理只集中于簡單的日常事務管理方面,如排除網絡線路的故障、開通和維護用戶賬號、服務器的常規管理和系統的日常維護等工作。另外,有些學校缺乏網絡安全管理人員,難以應對龐大的復雜多變的網絡環境。高中校園網絡安全制度不健全;監管機制存在嚴重的漏洞;高中校園網絡安全法規的宣傳力度不夠;缺乏相關的網絡安全規定;等等。
5.人為因素
高中校園網絡的用戶十分龐大,網絡環境也較復雜,師生安全防范意識淡薄, 在網絡上隨意瀏覽或下載一些可能帶有病毒的文件,造成高中校園網絡故障。另外,有些教師或學生認為高中校園網絡的安全是網管人員的責任,跟自己無關。高中校園網絡道德教育嚴重缺乏,惡意使用高中校園網絡資源、瀏覽不健康網站,接受、不良信息等問題日趨嚴重。
三、高中校園網絡安全的應對策略
1.健全高中校園網絡安全管理制度
學校應制訂健全的校園網絡安全管理規章制度,并嚴格執行,用規章制度約束校園網絡用戶的行為,不斷強化相關網絡管理人員的專業技能和責任意識的培訓學習,不斷提高他們的工作責任心和工作熱情。
同時學校要進一步加大對師生的網絡安全教育力度,積極開展高中校園網絡安全法律法規的宣傳教育活動,并將高中校園網絡安全的相關教育融入日常教學活動中,使師生深知網絡犯罪的危害,使教師和學生嚴格遵守學校制定的網絡安全管理制度,人人都樹立網絡安全意識,自覺養成文明上網的良好習慣。
2.加強網絡安全的技術應用
威脅高中校園網絡安全最主要的因素就是計算機病毒,計算機病毒對高中校園網絡的威脅必須得到重視,因此,建立全面完善的防御體系十分重要。
一方面,學校可以利用防火墻技術提高高中校園網絡安全。使用防火墻技術經濟、簡單易行,該技術在高中校園網絡安全建設中被廣泛運用。利用防火墻技術加強學校內、外網之間的訪問控制,防止學校內部資源被盜取。
另一方面,學校可根據高中校園網絡的大小,部署正規的防病毒服務器,選擇正版病毒防護軟件,并在使用的過程中及時升級更新,及時修補其中存在的安全漏洞;制訂對應的網絡安全策略,實時監控高中校園網絡動態,及時發現并隔離異常網絡行為,限制非法用戶對高中校園網絡資源的訪問。
3.做好備份和鏡像技術
隨著數字化高中校園的創建,高中校園網在教學和工作中占有不可替代的作用,一旦癱瘓,會給師生的教學、科研等工作帶來極大的不便和不可估量的損失。而學校防范手段不可能設計得面面俱到,因此,必須做好備份與恢復,備份不僅包括校園網絡重要數據的備份,也要做好校園網絡中核心設備的系統備份。數據備份可以使用移動存儲設備備份、異地備份等方法。最后,高中校園網絡管理人員也應具備完整的應急修復方案,以便在發生網絡故障后快速恢復,保障高中校園網絡的安全、正常運行。
4.重視高中校園無線網的安全管理
隨著信息技術的快速發展和教育信息數字化進程的推進,無線網技術在高中校園網絡中的應用逐漸普及。無線網技術的傳輸介質是開放的,高中校園無線網絡具有方便、靈活的組網方式和適用環境廣等優點。數據在傳播通信過程中有可能被一些非法的接收設備竊取,而且高中校園無線網絡使用者比較多,網絡覆蓋范圍廣,終端設備種類多,因此無線網更易遭受攻擊,在無線高中校園網絡管理上可采取身份認證、訪問控制等方式加強管理。
5.大力開展師生網絡道德教育,增強師生網絡安全道德意識
目前很多學校還沒有把網絡道德教育、信息安全教育引入課堂,致使高中校園網絡道德教育滯后,學生網絡犯罪頻發。各學校應將網絡道德教育納入教學計劃,運用多種方式進行宣傳教育,如課堂教學、廣播、宣傳欄、講座等形式,教育和規范師生的上網行為,避免一些師生因不懂網絡安全法而導致網絡犯罪。
在信息技術飛速發展的社會,網絡已經成為人們工作、學習、生活中必不可少的工具。在使用網絡的過程中養成良好的網絡安全職業道德,一方面有助于加強彼此之間的理解和溝通,另一方面可以避免非主觀意愿的計算機網絡犯罪行為。
四、結語
隨著計算機技術的快速發展,人們的工作、學習和生活越來越離不開網絡,各個學校都在推行數字化高中校園建設。高中校園網絡在數字化高中校園建設中擔當著至關重要的角色,而在高中校@網絡使用過程中,網絡安全問題日益突出。
此次大會由杭州市人民政府、中國網絡空間安全協會、浙江省網信辦、浙江省公安廳、浙江省經信委、云棲大會組委會指導,中國信息產業商會信息安全產業分會、阿里云計算有限公司、杭州安恒信息技術有限公司主辦,浙江省計算機信息系統安全協會、杭州市網絡安全協會、北京洋浦偉業科技發展有限公司、飛塔信息科技(北京)有限公司、北京元支點信息安全技術有限公司、北京珊瑚靈御科技有限公司協辦。
本屆大會以“安若磐石,云之所棲”為主題,以全新的國際視野,洞悉全球云安全發展趨勢;圍繞“中國網絡安全創新分享”這一主題,共同研討探索適應我國國情的網絡安全發展的道路,共商凝聚共識,整合資源的網絡安全創新新模式。
大會由公安部第一研究所原所長、計算機安全專委會主任嚴明主持,并宣讀了杭州市委副書記、市政府黨組書記、市長張鴻銘對大會發來的賀信。參加本次大會的致辭和重要演講的嘉賓有,中央網信辦網絡安全協調局副局長胡嘯,浙江省公安廳副廳長石小忠,浙江省經信委總工程師厲敏,中國信息產業商會信息安全產業分會理事長朱勝濤,公安部網絡安全保衛局總工程師郭啟全,國家信息中心專家委員會副主任、國家信息化專家咨詢委員會委員寧家駿等領導和專家。另外,來自全國各地政府機構、公安部門、信息安全科研單位、央企、金融、運營商、互聯網、軍工各行業信息安全決策人員、信息安全主管、CIO、媒體等1500余人出席了本次大會。
專家論道產業安全
郭啟全總工在演講“加強創新和能力協同 全力保衛國家關鍵信息基礎設施安全”中提到,國家對網絡安全提出了新的要求,首先就是要健全和完善國家信息安全等級保護制度,強化關鍵信息基礎設施保護。《網絡安全法(草案)》中也提出明確要求,國家實施網絡安全等級保護制度。
等級保護在網絡安全保障、網絡強國建設方面起著至關重要的作用。基礎信息網絡與重要信息系統面臨著日益嚴峻的威脅與挑戰。
為適應新技術的發展,解決云計算、物聯網、移動互聯和工控領域信息系統的等級保護工作的需要,從2014年3月開始,由公安部牽頭組織開展了信息技術新領域等級保護重點標準申報國家標準的工作,等級保護正式進入了2.0時代。
全新的《網絡安全等級保護基本要求》涵蓋了6個部分的內容:安全通用要求、云計算安全擴展要求、移動互聯安全擴展要求、物聯網安全擴展要求、工業控制安全擴展要求以及大數據安全擴展要求。
寧家駿指出,開展關鍵信息基礎設施網絡安全檢查至關重要,安全檢查是從涉及國計民生的關鍵業務入手,理清可能影響關鍵業務運轉的信息系統和工業控制系統,準確掌握關鍵信息基礎設施的安全狀況,科學評估面臨的網絡安全風險,以查促管、以查促防、以查促改、以查促建,同時為構建關鍵信息基礎設施安全保障體系提供基礎性數據和參考。
他建議,充分借鑒國外關鍵基礎設施網絡安全保護相關法律,分析我國現有立法的不足和主要問題,抓緊建立我國關鍵基礎設施網絡安全法律體系,從法律層面明確關鍵基礎設施的定義和范圍、界定政府部門的職責、規范運營者何所有者的運營資質要求。同時通過關鍵基礎設施網絡安全態勢感知、積極穩妥推動關鍵基礎設施相關產品的國產替代、開展安全檢查評測督促關鍵基礎設施運營單位加強管理等方案促進我國關鍵基礎設施網絡安全與信息化的大發展。
聚焦G20杭州峰會安保
安恒信息CSO劉志樂在演講中表示,杭州安恒信息技術有限公司作為本次大會網絡安保和應急支撐工作的主要技術支撐單位,歷經近360天精心準備、投入309位技術骨干參與到G20峰會網絡安保任務。通過企業自主知識產權的最新大數據態勢感知系統及應急處置工具箱、工控檢查工具箱等二十多種產品平臺,為G20峰會網絡安保構建了全網全程網絡安保和應急支撐監測體系、防御體系和服務體系,經過G20峰會全程考驗,安恒信息圓滿完成為本次峰會相關重要信息系統、關鍵基礎設施、省市兩級重要信息系統提供網絡安全保障的安保任務。
安恒信息網絡安保團隊以遠程和現場人員安全檢測,結合部署基于云與大數據技術的遠程安全監測、大會系統現場各重要駐點安全值守、會議安保指揮中心四方互聯,多地支撐的形式,為大會召開保駕護航。他以本次峰會核心信息系統為例介紹道,安恒信息安保團隊共發現高危以上漏洞438個,共攔截3300萬次攻擊。經風暴中心分析,攻擊來自于41個國家和地區。
DT時代的云計算安全
阿里云安全資深總監肖力表示,云計算時代所面臨的安全挑戰并不比傳統安全所面臨的問題要少,甚至于相較之下更加復雜。通過10多年在安全領域的積累,阿里云建立了一支全球頂級的云計算安全團隊,有完善的基礎設施,并且有更快的安全應急時間,能及時發現高危的安全漏洞信息,用最短時間修復,幫助用戶應對安全問題。
據普華永道統計,目前69%的企業正在使用基于云的安全服務,阿里云保護云上37%的數百萬的網站,每天防御8億次各類攻擊,每天識別并防御35000個惡意IP,每天防御2000次DDoS攻擊。安全從來就不是云平臺、用戶或者安全廠商某一方的單打獨斗。云計算廠商需要建立強大的生態讓用戶個性化的安全需求能夠快速有效的解決,云上客戶需要與SaaS服務商和安全廠商的虛擬化產品協同作戰,目前阿里云安全生態市場已有包括安恒信息在內的79家生態廠商、168款安全產品。
阿里云首席安全研究員、云盾負責人吳翰清在大會上首次了“阿里云云盾混合云解決方案”,混合云解決方案由阿里云安全團隊與數夢工場聯合開發、交付,支持公共云、專有云、線下IDC全場景覆蓋,讓企業擁有與阿里云一樣的世界級安全能力與體驗效果:包括安全態勢感知大屏、海量寬帶和快速擴容、大數據安全分析、威脅情報支持和0DAY快速反應能力。
模塊化是混合云云盾解決方案的一大體驗亮點。阿里云云盾的安全能力和服務,用“可插拔”的模式,模塊化輸入。用戶可以按需購買,按需啟用,解決以往線下解決方案不靈活、投入大的缺點。
安恒密盾2.0
安恒密盾安全產品經理楊錦峰做題為“打造你的釘釘移動應用安全之路(密盾2.0)”的演講。
關鍵詞:和諧社會;和諧;網絡;安全
隨著信息化時代的到來,互聯網已經深入到我們生活的方方面面。網絡是當今信息化社會的一個重要標志性部分,通過實現網絡的穩定和諧,促進整個社會的穩定和諧,因而構建和諧網絡對構建社會具有重要意義。
一、和諧網絡的內涵
在漢語中“和”與“諧”是同義的,《廣雅》中說,“和,諧也。”而《爾雅》中又有“諧,和也。”和諧網絡具有以下三個方面的含義:
(一)和諧網絡是共建共享的網絡。網絡是屬于所有網民的,它不是某個人或某個團體所私有的財產。因而,網絡需要所有網民共同建設、維護和享用,每個網絡的使用者都有權利和義務對網絡的方方面面負責。
(二)和諧網絡是規范和有序的網絡。規范和有序不僅是和諧網絡的基礎,更是和諧社會存在的基礎。規范和有序作為一種行為準則,是維護和諧、保持穩定的工具。而這規范和有序必須是大多數網絡成員認可的,才能起到規范網絡、維護和諧的作用。
(三)和諧網絡是矛盾和沖突正確表達的網絡。構成社會的行為主體的個體性和差異性正是社會沖突的根源。同樣,在網絡當中也存在矛盾和沖突,要調和矛盾首先要承認矛盾的存在,然后在尊重和維護網絡成員正當利益的基礎之上,找到解決矛盾的途徑,建立安全誠信的網絡。
二、網絡中存在的不和諧性
隨著全社會信息化程度的提高,互聯網在服務、教育、科研、管理等方面都發揮了不可替代的作用。然而,伴隨著網絡的快速發展,網絡的不和諧性日益突出。頻頻出現的黑客事件、網絡犯罪事件不僅給當事人帶來巨大損失,更有悖于和諧社會的構建。目前網絡中存在的不和諧性主要表現為以下幾個方面:
(一)網絡本身存在的安全缺陷
1.網絡協議安全性不高。網絡協議就是計算機網絡中各種設備為相互通信而建立的標準、規則的集合。它相當于通信設備之間相互“溝通”、“交流”的“語言”。目前網絡上使用的協議在最初設計時為了獲得高效的運行效率,沒有充分考慮安全性,而且該協議是公開的,任何人都可以去研究、分析它。所以協議的安全性不高,被人破壞和利用的可能性很大。
2.軟件存在的安全漏洞。軟件是使用網絡的目的和手段。網絡上安裝了種類繁多,功能各異軟件系統。軟件在開發設計時雖然力求安全性能無懈可擊,但或是考慮不全面,或是為了實現某一功能而暴露出一定設計缺陷和安全漏洞。面對互聯網上橫行的病毒、木馬,如不及時更新有設計缺陷的軟件,查補漏洞,這些安全漏洞很容易被攻擊,導致機器中毒。
(二)網絡帶寬有限
隨著Internet規模的擴大,最近十年來各種類型的網絡用戶數量激增。據2007年7月CNNIC的中國互聯網發展狀況統計報告顯示,國內網民總人數達到1.62億,普及率達12.3%。相比之下,網絡帶寬自身增長的速度跟不上網民對網絡帶寬的需求速度。隨著電子商務,電子政務的開展以及視頻、聲音等多媒體在網絡中的廣泛應用,對網絡帶寬的需求越來越大。然而,由于網絡的安全性,可靠性和可管理性不高,網絡的帶寬十分有限,直接影響了網絡數據業務的正常運營。
(三)黑客惡意攻擊
近年來網絡上黑客泛濫成災,每年各類網絡遭受黑客攻擊的次數屢創新高。由于所使用的軟件存在不同程度的安全漏洞,并且現在網絡上每天都有新的軟件漏洞被發現,而從發現漏洞到黑客利用新漏洞進行網絡攻擊這段時間越來越短。網絡受到黑客攻擊事件屢屢發生。據統計,Internet每天受到的攻擊數達4967541次,平均每小時206981次。
三、和諧網絡構建對策
和諧網絡構建對策就是針對當前網絡的實際情況,在網絡建設的整個過程中,具體對各種網絡安全問題采取的相應措施。
(一)強化網民上網安全意識,提高安全防護能力
加強網絡安全防護首先要強化網民的安全意識。為了提高廣大網絡用戶的網絡安全意識,可以通過簽署入網協議或定期開展網絡安全培訓等形式給網絡用戶普及基本的網絡使用和安全知識,使其了解網絡的安全管理制度,并明確網絡使用中的職責和義務。同時,對網絡管理人員進行相關的技術培訓和指導,培養出技術精、能力強的和諧網絡安全衛士。
(二)完善網絡安全法律法規
在網絡安全建設上如果沒有切實可行的安全法規和保障制度,和諧網絡建設就變成了一紙空談。在高度信息化的今天,網絡安全立法問題受到越來越多的國家重視,尤其是信息化程度發達的歐美國家。當今信息技術發展日新月異,網絡黑客、網絡犯罪事件屢打不絕,這與構建和諧網絡的要求相去甚遠。這就要求相關部門必須頒布網絡行為規范和具體處罰條例。嚴格落實這些法律法規,對違法違規者嚴懲不貸,自覺維護和諧網絡的建設。
(三)弘揚積極健康網絡文化,凈化網絡空間
互聯網是當今的主要媒體,要利用互聯網宣傳科學真理,弘揚社會正氣,倡導和諧理念。隨著互聯網在社會生活各個領域的推廣,和諧的網絡還要加強網絡的誠信建設。誠信關乎互聯網未來的前途命運。失信的互聯網是沒有前途的網絡,最終是要走向死亡的。因此,網絡各級管理單位和廣大網民要齊心協力,以網絡相關法律規范為依托,自覺履行文明辦網承諾,自覺開展文明上網行為,構建誠信為本、守信光榮的和諧網絡。
總之,和諧網絡的構建是一個復雜的系統工程。我們應當全面考慮綜合運用各種技術手段以及提高網絡用戶安全防范意識等多項措施,互相配合,加強管理,綜合提高網絡的和諧性,從而建立一個規范有序、安全誠信的和諧網絡。
參考文獻:
[1]胡道元.網絡安全的挑戰和對策[J].信息網絡安全,2008,(01).
[2]李漫麗.淺談學校網絡安全防護[J].湖南醫科大學學報,2008,(5).
2015年,Jeep切諾基Uconnect 車載系統漏洞就曾被曝出,攻擊者通過漏洞能遠程控制汽車娛樂系統、制動甚至油門等功能,對高速行駛中的汽車駕駛者而言,這是生死攸關的安全問題。該事件導致克萊斯勒不得不在美國召回140萬輛汽車,并對其車載軟件進行升級。
車聯網信息安全隱患已非個案。國家層面也在積極推動、探索汽車行業與信息安全交叉領域的安全規范及標準建設。2016年11月正式出臺的《中華人民共和國網絡安全法》明確要求網絡運營者(車廠、車聯網運營者)應“采取技術措施和其他必要措施,保障網絡安全、穩定運行,有效應對網絡安全事件,防范網絡違法犯罪活動,維護網絡數據的完整性、保密性和可用性”。
這意味著國家層面已經意識、關注并不斷推動車聯網信息安全的防御體系建設,通過加合國世界車輛法規協調論壇(簡稱WP29),積極參與聯合國汽車信息安全法律法規的起草、修訂工作。作為中國受邀單位,東軟集團也由網絡安全事業部物聯網研發中心主任陳靜相作為代表,出席于今年3月1日在美國召開的ISO和SAE聯合工作組第二次會議。
汽車安全防護意識抬頭
目前,汽車行業ISO標準體系已明確汽車功能安全規范,但并未做強制性推行。2016年,WP29就著手擬定汽車信息安全相關草案,計劃將其作為一個國際交通系統必須遵守的強制性法律法規推出。
“東軟之所以能作為中方代表參與其中,是因為我們在汽車電子行業以及安全領域有了近20年的積累。在將安全與車聯網相關聯并量產的實際能力方面東軟有一定優勢。”東軟集團副總裁兼網絡安全事業部總經理楊紀文表示,他們是想通過自身的一些積累,在推動汽車安全領域無論是國內標準還是國際標準的過程中貢獻力量。
WP29推國際交通系統強制性法規,這對國內企業觸動極大,同時也將影響智能網聯汽車、無人駕駛汽車未來的市場格局。作為中方代表參與WP29國際法規建設,尤其是聯合國汽車信息安全標準建設的具體工作,陳靜相也坦誠壓力。
“一方面,國內車廠此前在汽車信息安全方面普遍沒有太多涉獵和積累,而我們參與提案的內容對現有產業格局會產生影響,勢必會有阻力,這是難點一;另一方面,在汽車信息安全技術維度,歐洲主導加密技術,美國更注重整個管理流程、周期上的安全規范,東軟如何代表國內汽車行業群體,把握好技術的主導方向,同時也要考慮將區域市場中的一些技術需求反映到國際汽車組織中,這是難點二。”
由東軟集團股份有限公司、公安部第三研究所、長安集團、中國電子科技集團公司第十五研究所、中國信息安全認證中心、中國軟件測評中心、恩智浦(中國)、長安汽車股份有限公司、奇瑞汽車股份有限公司等共同組成的車載信息安全產業聯盟(Automotive Cybersecurity Industry Alliance,縮寫:ACIA)2016年正式在京成立,該聯盟正式對外了《車載信息安全技術標準白皮書》。東軟集團也同期了國內首款車載信息安全產品――東軟S-Car整體解決方案。
而東軟也一直積極與國內各個車廠進行溝通,希望借此打消國內汽車廠商對現階段的測試部署是否符合未砉際標準的顧慮,并希望憑借自身的努力,在真正的汽車安全行業標準落地后,保證前期介入制定的各項標準能夠切實為汽車廠商提供應用支撐、提升安全防護。
深耕車載信息安全
陳靜相介紹說,車載信息安全分為終端安全和網絡安全兩部分,與傳統安全有著巨大差異。“這是一條更艱難的道路。”陳靜相表示,“車載信息安全系統對車輛的操作性、實時性要求非常高,其所涉及到的技術難度是從量變到質變的過程。”例如,車載信息系統在加入安全元素之后,在流量的傳輸上也將帶來更大成本,同時,車載信息安全系統需要做雙向認證,在車輛每次斷網再連網時,需要再做一次安全部署。而車載實時操作系統內存非常有限,傳統的算法在其上無法直接運行,這一切無疑都是一個巨大挑戰。
而汽車行業對設備的性能也有著異常嚴苛的要求。陳靜相舉例說明,寶馬汽車在測試一款即將在歐洲車型上裝配的收音機部件時,甚至派出工程師坐著樣車環繞歐洲開了好幾圈,測試收音機在不同地區不同頻段是否會出現細微吱吱聲,并隨時記錄以便改進。
對此,東軟選擇的技術路線是由內而外,通過在汽車底層網絡中構建、部署汽車智能信息安全系統的方式來提升整個車聯網系統的安全防御能力。
陳靜相將東軟在汽車安全領域的“事業”形象地比喻為一個與蘋果手機iOS系統緊密結合的安全模塊,這個模塊可以從底層真正解決用戶的安全問題,其重要性不言而喻。
一、兩份“流量劫持”有罪判決引發的思考
案件一:從2013年底至2014年10月,被告人付某等人租賃多臺服務器,使用惡意代碼修改互聯網用戶路由器的DNS設置,進而使用戶登錄“2345.com”等導航網站時,跳轉至其設置的“5w.com”導航網站,再將獲取的互聯網用戶流量出售給“5w.com”導航網站所有者杭州某公司。經查,兩名被告人違法所得達75.47萬余元。法院審理認為,被告人付某、黃某違反國家規定,對計算機信息系統中存儲的數據進行修改,后果特別嚴重,已構成破壞計算機信息系統罪。[1]
案件二:2008年10月起,被告人施某在中國某有限公司重慶網絡監控維護中心核心平臺部工作,負責業務平臺數據配置。2013年2月至2014年12月,被告人施某等人為謀取非法利益,違反國家規定,先后對某重慶分公司互聯網域名解析系統(DNS)進行非法控制,施某等人分別獲利157萬余元不等。法院認為,被告人施某等共同違反國家規定,非法控制計算機信息系統的域名解析系統,后果特別嚴重,構成非法控制計算機信息系統罪。[2]
“流量劫持”作為新型的網絡不正當競爭行為,長期處于刑事制裁的邊緣。前述兩個案件是龐大的“流量劫持”現象中的兩個特例,也是目前僅有的兩個有罪判決。其中,案件一被公認是國內首例“流量劫持”案。有罪判決具有鮮明的先例效應,成為今后追究“流量劫持”行為刑事責任的司法標桿。但是,在作為犯罪論處時,尚有諸多新問題需要厘清和解決。比如,同為以DNS攻擊實施的“流量劫持”危害行為,兩個有罪判決的定性存在較大差異。既暴露非法控制計算機信息系統罪與破壞計算機信息系統罪的司法競合問題,也折射出當前立法應對新型網絡犯罪的規范不足,更反映網絡犯罪理論研究的深層次短板。
二、“流量劫持”的民事規制乏力
所謂“流量劫持”,一般是指“利用各種惡意軟件修改瀏覽器、鎖定主頁或不停彈出新窗口,強制用戶訪問某些網站,從而造成用戶流量損失的情形”。當前,可以分為域名劫持與數據劫持兩大類型。典型的劫持方式包括DNS域名解析、植入木馬、彈窗與廣告插件等,具體做法包括Hub嗅探、MAC欺騙、MAC沖刷、ARP攻擊、DHCP釣魚、DNS劫持、CDN入侵、路由器弱口令、路由器CSRF、PPPoE釣魚、蜜罐、WiFi弱口令、WiFi偽熱點、WiFi強制斷線、WLAN基站釣魚等。但是,“流量劫持”作為嚴重的網絡技術失范行為,并非純粹的“偷流量”,“偷流量”中的“流量”一般是指網絡流量或手機流量等,在實踐中可能涉嫌構成盜竊罪或非法獲取計算機信息系統數據罪。
“流量劫持”現象早已有之,甚至已經變成網絡空間安全的“毒瘤”。《中國互聯網法律與政策研究報告(2013)》指出,流量劫持作為新型的網絡不正當競爭行為,亟待立法規制。[3]但是,長期以來,主要依靠兩種民事救濟方式:(1)民事起訴索賠。在“3B”大戰一案中,360對百度搜索結果進行標注甚至篡改,并向用戶宣傳安裝360瀏覽器,百度因此向法院起訴360。法院認定,360以用戶安全為名義,對百度搜索結果進行插標,干擾他人互聯網產品或服務的正常運行,判決其賠償百度40萬元。2015年底,百度與搜狗圍繞“流量劫持”問題再次“互撕”。法院認定搜狗構成不正當競爭,責令賠償經濟損失。隨后,今日頭條、美團大眾點評網、360、騰訊、微博、小米科技《六公司關于抵制流量劫持等違法行為的聯合聲明》。(2)民事訴前禁止令的先例。在2015年的“雙十一”來臨之際,天貓、淘寶向浦東法院提出訴前行為保全申請,請求法院禁止兩家公司繼續以“幫5淘”(“幫5買”網站推出的“幫5淘”網頁插件,名為比價軟件,實為劫持流量的惡意插件,安裝后很難卸載。)網頁插件的形式,對申請人實施不正當競爭行為。最終法院支持淘寶的訴前禁止令的請求。
當前,通過民事救濟方式規制“流量劫持”行為,對維護互聯網企業的公平競爭秩序有積極意義,卻忽視用戶的合法權益,更忽視保護網絡安全的重要意義。然而,厚此薄彼的做法無法實現最大的治理效益。反而,由于刑法并無相關的直接規定,單純民事救濟手段容易導致“流量劫持”遁入“無法”的空間地帶,間接充當縱容其成為網絡環境下快速牟利的違法犯罪手段的幫兇。
三、“流量劫持”的刑事制裁原理
“流量劫持”首先侵犯用戶、企業以及第三人的合法自主使用權益,也破壞網絡市場經營秩序,更嚴重破壞網絡空間安全。因此,民事救濟方式具有局限性,將其入罪是刑法積極維護網絡空間安全的必然體現。
(一)并非所有的“流量劫持”行為都應當入罪
“流量劫持”單純作為網絡技術行為而言,具有一定的中立性。然而,當其作為排斥競爭對手和牟取非法競爭利益時,則可能屬于不正當競爭行為,甚至涉嫌構成犯罪。由此,部分嚴重的“流量劫持”行為可能構成犯罪。一般而言,“流量劫持”在實施方法或實現技術上可以分為軟性與硬性兩種。軟性的“流量劫持”并未采取技術手段侵入計算機信息系統,而是采取核心關鍵詞的替換等手段,典型的如“3B”大戰一案,一般應當定性為不正當競爭行為。硬性的“流量劫持,是指采取破壞計算機信息系統正常運行的方式劫持流量,應當構成犯罪。換言之,當采用DNS劫持、用戶端植入插件或代碼等手段時,往往屬于硬性的“流量劫持”,可能涉嫌破壞計算機信息系統安全,目前的兩個有罪判決即是示例。無論屬于軟性還是硬性的“流量劫持”,對于用戶而言,往往只能選擇民事救濟手段,除非伴隨獲取個人信息與竊取財產等危害行為。這也是民事救濟方式的弊端之一所在。
(二)“流量劫持”構成破壞計算機信息系統罪的理由
當前,刑法并未規定“流量劫持”中的“流量”屬于財產,用戶流量流失以及各方遭受的經濟損失也難以歸入財產犯罪。但是,硬性的“流量劫持”行為客觀上導致計算機信息系統被植入惡意軟件,并危害網絡的正常運行,是對計算機信息系統的破壞。換言之,采取域名解析等技術手段方式時,必然對網絡用戶的計算機信息系統中存儲、處理的數據進行修改、增刪等行為,從而具備破壞計算機信息系統罪的客觀要件。從網絡技術的屬性看,“流量劫持”的本質是數據沒有加密保護,傳輸中機密性和完整性就可能受損。據此,“流量劫持”破壞正常或完整的網絡數據運行與程序活動,也直接破壞網絡空間安全。因而,構成破壞計算機信息系統罪。
(三)“流量劫持”構成非法控制計算機信息系統數據罪的理由
在案件二中,雖然也采用DNS域名解析的方式,但法院最終認為構成非法控制計算機信息系統罪。其合理性在于:“流量劫持”首先表現為非法控制互聯網域名解析系統,同時致使用戶訪問被劫持的網站時,強行跳轉到另外的頁面,用戶實際訪問的頁面與用戶輸入的網址不同;或者致使在用戶訪問網站時,自動加入推廣商的代碼。這其實違背計算機信息系統合法用戶的意愿,恣意操作該計算機信息系統或掌握其活動的行為。易言之,“流量劫持”行為未經權利人允許,違背用戶與企業意愿,采取非法代替操作、非法掌握用戶與企業的運行行為及數據等技術手段,導致正常的網絡運行控制權喪失,[4]已經完全“非法控制”計算機信息系統。因此,構成非法控制計算機信息系統罪,但與破壞計算機信息系統罪產生競合問題。
(四)“流量劫持”涉嫌構成破壞生產經營罪
“流量劫持”作為典型的網絡流氓行為,實質是通過的網絡技術手段,保持非法的壟斷地位或非法侵占其他競爭對手的網絡資源并牟取暴利。作為新型的網絡不正當競爭行為,嚴重干擾正常的網絡市場經營秩序,同時侵犯消費者的合法權益。特別是在“互聯網+”時代,網絡流量成為信息服務與數據競爭的核心因素,放任“流量劫持”行為不管,將嚴重破壞互聯網企業、用戶與第三方之間的良性網絡競爭環境。因此,即使不采取破壞計算機信息系統等硬性方式實施,“流量劫持”也可能涉嫌構成破壞生產經營罪,而非必然只能由民事救濟手段介入。但是,破壞生產經營罪的制定背景仍然是傳統的現實物理社會,導致對網絡經濟的兼容性明顯不足,明顯匱乏規制新型網絡經濟犯罪的能力。[5]由此,傳統意義的破壞生產經營罪介入“流量劫持”缺乏有效的規范依據,除非進行“網絡化”改造并植入網絡因素。
(五)提供“流量劫持”與幫助實施行為涉嫌構成犯罪
當前,兩個有罪判決主要是對使用“流量劫持”行為加以制裁。但是,提供“流量劫持”技術或幫助實施“流量劫持”的行為同樣值得處罰。首先,提供或明知他人實施侵入和非法控制計算機信息系統的,提供DNS等硬性的“流量劫持”程序或工具的,在達到情節嚴重時,構成《刑法》第285條的3款規定的提供侵入、非法控制計算機信息系統程序、工具罪。其次,當明知他人利用“流量劫持”等手段實施犯罪的,提供互聯網接入、服務器托管、網絡存儲等技術支持或其他技術幫助的,構成第287條之二規定的幫助信息網絡犯罪活動罪。顯然,已有的兩個有罪判決并未介入。
總之,“流量劫持”是嚴重的網絡不正當競爭行為,明顯干擾正常的網絡市場經營秩序。然而,單純依靠民事救濟方式并不妥當,既忽視用戶的自主權,也忽視網絡安全的重要地位。無論是硬性還是軟性的“流量劫持”行為,都可能侵犯網絡安全刑法法益,受害者不再是獨立的用戶、企業或者市場經營秩序。這正是上升到刑事制裁層面的根本理由。兩個有罪判決聚焦非法控制計算機信息系統罪與破壞計算機信息系統罪并無不當,卻也遺漏“流量劫持”嚴重破壞網絡市場經營秩序的客觀事實,破壞生產經營罪的“網絡化”轉型刻不容緩。此外,對于非法提供“流量劫持”技術和幫助實施“流量劫持”的嚴重行為,應當加以處罰。
四、“流量劫持”的立法規制完善
“流量劫持”的適法困難暴露了網絡犯罪立法規定仍有漏洞,司法競合現象也暗示網絡犯罪立法規定有待升級整合。現行刑法仍以傳統物理現實社會為制定背景,逐漸脫離網絡空間社會的代際變遷與新型需要。傳統刑法理論體系的“網絡化”是必然的發展趨勢,“流量劫持”可以作為轉型的一個切入口。
(一)司法競合的客觀必然性及其克服
對于“流量劫持”行為,實踐中長期依靠民事規制手段有其客觀性。除了網絡安全保護思維更新遲緩外,刑法立法的不足是重要內因。進言之:(1)1997年《刑法》第286條早就規定破壞計算機信息系統罪,但是,司法機關一直未啟用,首先表明尚未充分認識到網絡安全的重要性、網絡安全威脅的多樣化。目前,盡管已有按照破壞計算機信息系統罪論處的判決,然而,擱置第286條而長期不啟用,更從側面反應司法保護理念的遲延,以及網絡犯罪立法更新的不足。(2)《刑法修正案(七)》增加第285條第2款并確立非法控制計算機信息系統罪,“非法控制”作為危害行為的關鍵詞,從規范角度可以闡明“流量劫持”作為技術危害行為的本質特征,是其被援引的主要原因。雖然豐富定罪的選項,卻引發了非法控制計算機信息系統罪與破壞計算機信息系統罪的司法競合難題。這說明立法修改未能全盤考慮,修改的“碎片化”痕跡過重。(3)破壞計算機信息系統罪與非法控制計算機信息系統罪,分別是1997年《刑法》與《刑法修正案(七)》的產物。相隔十二年的兩個罪名,在互聯網發生了翻天覆地的巨變之際,發生競合現象,充分說明立法更新不足是重要的內因,已有立法規定對新生事物的適宜性不斷下降。為此,應當從立法方面加以解決。(4)盡管立法完善是最終途徑,然而,暫時可以考慮由最高人民法院或最高人民檢察院指導性案例,發揮案例指導制度在解決新型、疑難、典型案件的法律適用上的獨特作用。實際上,已有的兩個有罪判決可以作為指導案例的來源,以此明確適用的法理基礎與區分標準。
(二)危害行為競合是實質內容
從當前兩個有罪判決看,其實各有道理:(1)“流量劫持”既符合“非法控制”的危害行為特征,也滿足“破壞”的危害行為屬性。從“非法控制”與“非法破壞”的內在邏輯看,應當是特殊與普遍的關系,“非法控制”顯然可以作為“破壞”的特殊行為對待。因而,論處非法控制計算機信息系統罪更妥。(2)從法定刑的檔次看,破壞計算機信息系統罪嚴于非法控制計算機信息系統罪。如果遵循競合形態一般所主張的“從一重處罰”原則,更宜論處破壞計算機信息系統罪。然而,同案同判的效果終至落空,不利于法治的統一。據此,非法控制與破壞都可以概括在“流量劫持”的技術特征與危害結果,是競合的實質內容。進而,也促發兩個關聯法條之間的競合,也即究竟是特殊優于普通、還是重法優于輕法的分歧,實踐中可能基于重罰的立場而選擇后者,卻也忽視危害行為類型才是最重要的區分因素。(3)對于兩個有罪判決暴露的競合問題,刑法解釋幾乎鞭長莫及。無論將“流量劫持”嚴格解釋為“非法控制”計算機信息系統的行為,還是限制解釋為“破壞”計算機信息系統的行為,都難逃司法競合的命運。因此,刑法解釋在解決傳統刑法理論的網絡化問題時較為乏力。
(三)立法完善的基本思路
為了充分提升刑法保護網絡安全的針對性,為了從立法環節克服“適用困難”現象,立法完善是避免當前處置“流量劫持”等新型問題時出現競合難辨的合理出路。簡言之:(1)優化網絡危害行為的類型結構。1997年刑法以計算機1.0時代為背景,第285條和第286條的犯罪對象以及犯罪客體大同小異,危害行為分別是“侵入”和“破壞”。但是,從語言邏輯與罪狀內容看,“破壞”可以包含任何網絡危害行為,人為制造了競合的內因。經過《刑法修正案(七)》修改后,第285條第2款、第3款分別增加“非法控制”、“非法獲取”以及“非法提供”,但是,“破壞”仍可以包含新增的危害行為。[6]畢竟立法理念與技術并未脫離1997年刑法及其制定背景。《刑法修正案(九)》再次修改后,由于聚焦以信息網絡為核心的網絡2.0時代,所以,犯罪對象和犯罪客體發生了一定的變化。第286條之一、第287條之一、第287條之二分別增加“拒不履行”、“非法利用”和“幫助”三種具體行為,從而與“破壞”保持相對的界限。然而,對于“流量劫持”的規范評價而言,《刑法修正案(九)》對危害行為的補強難以產生直接作用。由于“破壞”作為危害行為具有很強的包容性,“非法控制”可以理解為特殊行為,是導致網絡罪名發生競合的根本原因。因此,網絡危害行為的類型化升級甚至重要,而且應當結合網絡犯罪對象與網絡安全法益作出同步的調整。(2)網絡犯罪對象應當精確化。第286條是1997年刑法的產物,當時并未充分考慮到網絡社會的高度發達以及網絡犯罪的迅猛推進,犯罪對象是計算機信息系統及其運行安全。將“破壞”作為核心關鍵詞,具有“兜底”之用,可以更好地涵蓋第285條規定之外的其他計算機(信息)系統。易言之,“破壞”作為危害行為的實質內容,可以輻射范圍較廣的計算機信息系統及其運行情形。而且,《刑法修正案(七)》增加的第285條第2、3款仍以相同的犯罪對象為修改內容,導致后續增加的罪名與原有罪名之間容易出現競合關系。相比之下,《刑法修正案(九)》的犯罪對象是信息網絡及其管理秩序。[7]犯罪對象明顯不同,相應的犯罪行為也不盡相同。由于注重設計新增罪名與既有罪名的罪狀差異,避免了新舊罪名的行為競合。第286條一共包括三款,各自的犯罪對象是系統功能、應用程序與數據,而其修改方向之一是拆分犯罪對象,拆分后的對象不應當存在重復或明顯的交叉,力圖避免與其他罪名的競合。“流量劫持”的犯罪對象是信息系統與信息數據,考慮到第285條第2款可以保護網絡系統安全法益,修改后的第286條便無需重復設置相同的犯罪對象。(3)具體網絡安全法益的精細化。網絡犯罪對象的精細化可以促使網絡危害行為的類型化,而其前提是網絡安全法益同步實現類型化,實現協同的效應。從而,可以在罪狀層面實現無縫對接與內容整合,避免網絡犯罪罪名的內部競合,提高立法的科學化水平。總體而言:一方面,要逐步消除1997年刑法確定的計算機信息系統安全這一陳舊的法益內容。在網絡空間社會全面覆蓋之際,網絡犯罪侵害網絡安全法益,既包括網絡信息安全,也包括大數據安全等。另一方面,不同的危害行為搭配不同的犯罪對象后,直接侵害的具體法益內容不盡相同。因此,直接法益的精細化至關重要,可以實現不同犯罪對象與危害行為的優化搭配。網絡安全法益的類型化是合理布局網絡犯罪立法的前提,從立法目的與立法技術層面可以預先排除競合的概率。以《刑法修正案(九)》為例,新增加的第286條之一、第287條之一、第287條之二,將法益鎖定為“信息網絡安全管理秩序”,[8]分別通過拒不履行安全管理義務、非法利用的預備行為、非法的片面技術幫助行為共三種具體的危害行為類型加以體現,并作用于不同的信息對象。“流量劫持”主要破壞網絡安全與信息系統的正常運行,更符合非法控制計算機信息系統罪保護的法益;第286條拆分后,具體法益的內容應當避免再次重復保護。
總之,“流量劫持”行為再次考驗傳統刑法理論應對新型網絡安全風險的能力與適宜性。司法實踐證明,傳統刑法理念滯后與立法不足等老問題相繼呈現。立法完善是解決“流量劫持”適法困難的終極途徑,也再次說明傳統刑法理論體系的“網絡化”進化與變革應當加速推進。但是,依靠修修補補方式不足以應對現實挑戰,網絡犯罪立法需要有長遠的規劃、合理的布局,同步修改總則和分則的內容,協調立法修改與理論調整的步調。“網絡刑法學”作為未來的刑法理論形態,是因應網絡空間社會的“猜想”,具備自如應對諸如“流量劫持”等新問題與新挑戰的能力,而有序的立法完善是促成“網絡刑法學”實現的內生性動力。盡管如此,刑法解釋、案例指導制度仍可以發揮一定的積極作用。
5月12日晚,一款名為“WannaCry” 的勒索軟件病毒在全球迅速蔓延,用戶只要開機上網,主機就會被攻擊并導致存儲文件被加密,只有以比特幣形式支付贖金才可解鎖。短短24小時內,該病毒席卷全球超過150個國家,感染電腦超過30萬臺。全球多個高校校內網、大型企業內網和政府機構專網中招,造成嚴重的危機管理問題。中國部分Windows操作系統用戶遭受感染,校園網用戶首當其沖,受害嚴重,大量實驗室數據和畢業設計被鎖定加密。
截至5月14日,國家互聯網應急中心已監測到約242.3萬個IP地址遭受勒索病毒攻擊;被該病毒感染的IP地址數量近3.5萬個,其中中國境內IP約1.8萬個。目前,業界仍未找到破解該病毒惡意加密行為的有效辦法。
更主動的進階版“蠕蟲”
據微軟官方公告稱,WannaCry本質仍是“蠕蟲”病毒,只要在聯網狀態下,病毒遠程就能自動掃描Windows TCP 445端口,隨后利用其安全漏洞潛入電腦,加密用戶文件。
但是,相比以往微軟漏洞病毒的“默默無聞”,造成這次勒索病毒前所未有的爆發速度、蔓延態勢及災難性后果的原因或許在于,這次的病毒與傳統蠕蟲病毒存在許多特異之處。賽迪網絡安全研究所所長劉權接受本報采訪時表示,以往的病毒更“被動”,需要用戶主動下載或打開后才會感染,相比之下,WannaCry“主動”得多,完全不需要用戶操作,只要電腦聯網且有漏洞,病毒就會主動攻擊。通過這種方式,病毒傳播速度更快、傳播規模更大,危害也更嚴重。
另一方面,WannaCry“進階”的破壞性也來自其獨特的攻擊模式。據WiFi萬能鑰匙首席安全官龔蔚告訴記者,這次的勒索病毒技術上并不復雜,但以往病毒往往只以控制用戶電腦為目的,只要進行查殺或者重裝系統就可恢復,但這次是將硬盤文件加密,簡單的查殺并不能還原被黑客加密重要的文件,這一特性就導致事后彌補也無濟于事。
勒索比特幣或成趨勢
對于此次病毒或將造成的深遠影響,除了具備新特征的病毒在未來被模仿和復制外,采用虛擬“比特幣”支付贖金的模式在未來變成趨勢,也成為業界的一大擔憂所在。與大多數實體貨幣不同,比特幣不依靠特定貨幣機構發行,而是通過特定算法與大量計算產生,使用整個P2P網絡中眾多節點構成的分布式數據庫來確認記錄所有的交易行為,作為一種虛擬貨幣,既可以購買一些虛擬物品(如網絡游戲中的衣物裝備),也可以兌換成大多數國家的實體貨幣,因而在網絡世界流行開來。
正是虛擬貨幣具備的這類特性,使得勒索比特幣顯得安全性更高。據劉權解釋,與傳統勒索實體貨幣不同,比特幣產生與交易都在虛擬世界完成,賬戶也沒有清晰的歸屬人信息,因此根據其勒索收款賬號尋根溯源地追查也就無從談起,這也是比特幣受到黑客喜愛的一大原因所在。龔蔚則表示,這種勒索比特幣的模式早在幾年前就有,早先傳播的渠道主要還是依靠郵件欺騙,所以傳播速度和規模都有限,而此次借系統級高級別漏洞自動入侵傳播病毒進行勒索則是首次,以前為利益趨勢的攻擊往往涉及很多地下產業渠道,導致這些攻擊的變現過程繁雜,而比特幣的簡單模式只需要一個單一的個體就能完成從攻擊到變現。龔蔚認為,隨著這此次病毒事件影響力的傳播,以后或許會出現更多類似變現的案例。
敲響國家網絡安全警鐘
此次WannaCry攻擊的源頭來自Windows系統的安全漏洞,但據微軟官方表示,早在今年3月就針對此次攻擊利用的安全漏洞了更新補丁MS07-010。同時,360的公告顯示,由于以前國內多次爆發利用445端口傳播病毒,部分運營商已在主干網上封禁了445端口,但是教育網及大量政企內網并沒有此限制且未及時安裝補丁,仍存在大量暴露的445端口和存在漏洞的電腦,導致目前WannaCry的泛濫。
對此,劉權提醒,雖然近年來我國不斷完善網絡安全保障措施,提升網絡安全防護水平,但此次勒索病毒事件的蔓延,再次為我國網絡安全防范敲響警鐘,也表明社會大眾尤其是政企單位亟須提高網絡安全意識。同時,龔蔚也借此次事件帶來的教訓勸誡公眾養成更新系統補丁的習慣,而不要覺得補丁只是錦上添花。“安全往往不是事后就能彌補的,以前你可以殺毒,現在你殺完也不解決問題,重要文件照樣被鎖。”除此之外,他也提醒公眾平時注意備份文件,因為病毒千變萬化,不會局限在單一Windows系統,下一次可能是智能電視或手機,而到事后再想到備份重要文件顯然得不償失。
更令公眾驚駭的是,網絡安全機構通報顯示,WannaCry源自美國國家安全局(NSA)研發的黑客工具“EternalBlue”(永恒之藍),在被黑客盜取后,才е麓舜未蠊婺9共損害。這也暗示美國政府部門對于該微軟漏洞一直知情,甚至對其進行有目的性地的利用。網絡安全也再次成為探討國家安全邊界的熱議話題。
