时间:2023-06-05 09:58:46
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇网络安全法,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
【关键词】个人信息;网络安全;法律问题
前言
对于个人信息的概念界定,目前在国际和国内立法上比较倾向于采用识别法,主要是通过利用个人信息所提供的信号能否可以直接或间接识别出信息主体的的一种识别定义方法。其中详细包括信息个人的姓名、族别、性别、身高、血型、年龄、身份证号、联系方式、家庭住址、身体健康状况、以及网络使用过程中的IP地址和网银支付信息等。在我国学术界和立法界对这种以“识别”作为基本要素的个人信息定义方法得到了普遍认可和适用。[1]当前,网络作为继报纸、电视、广播之后出现的一种新型的社会资源。随着互联网信息技术日新月异迅猛发展,伴随而来的计算机网络安全问题也日益凸显,在网络犯罪、网络病毒、黑客入侵等方面网络安全问题亟待解决。个人信息安全的问题随着新兴技术的产生发展层出不群,近几年来,“人肉搜索”和“艳照门”事件不断引发公众热议,带来十分恶劣的影响,以及关于个人网络信息的泄密事件频发,使我国对于个人信息网络安全问题必须置于一个新高度关注。
一、个人信息网络安全保护的必要性分析
(一)侵犯主体十分广泛
个人网络信息的侵权主体可以包括自然人和单位,而自然人不仅包括完全民事行为能力人,主体扩大至限制民事行为能力人和无民事行为能力人,最大的区别点即在于不同主体承担责任的方式不同。这里我们所指的自然人实际上即指网络使用者,他们主要通过以互联网为媒介泄露国家或他人信息和秘密窃取、篡改个人信息等方式进行一些侵权行为。此外,还包括网络服务提供商(InternetServiceProvider,简称ISP)和网络内容提供商(InternetContentProvider,简称ICP)两大主体。网络服务提供商是指一些大型经营机构主要为互联网使用者提供信息存储、传递、处理等服务的一些提供商,ISP在中国主要存在的企业形式有中国电信通讯、中国联通通讯和中国移动通讯。[2]违反限制其行为时就会构成侵权行为的发生:一方面为违反保持中立义务,干涉他人发送、信息获取的方法。另一方面指违反保密义务,通过利用职务优势泄露他人信息或者进行商业盈利活动。而网络内容提供商是指借助互联网平台给上网用户提供具体信息服务的主体,[3]例如,新浪,网易,腾讯、CSDN等网站。它的主要功能是网络用户可以通过互联网媒体平台进行信息共享以及在ICP管理的域内查询信息。[4]而ICP在信息时很容易未经信息主体同意将侵犯他人个人信息的内容擅自提供给他人利用。
(二)侵权的客体兼具双重属性
双重属性即指人格性和财产性。凡是与人格形成与发展相关是都可以构成人格权客体。[5]由于个人信息的独特性,对人格性理解主要是信息主体的人格尊严问题,当个人网络信息遭到侵权后,间接会到侵犯到网络用户的姓名权、隐私权或者名誉权等,实际上对于网络用户来说即侵害到其人格权。而信息技术的发展又凸显了个人信息的财产属性。一些消费者的个人信息对于商家来说具有潜在的商业机会和利益,因此商家就会利用这种便利借助各种可能的渠道收集并且出售给第三者。尤其是在电子商务和各种社交娱乐方式的出现后,许多人将自己的个人信息到网络,例如购物网站的联系方式、注册聊天交流网站时填写的兴趣爱好和年龄等。一方面,在利益的驱动下,商家为了寻找扩大消费者群体,就会想方设法获得有利信息;另一方面,当网络信息提供者ISP和ICP主体就会通过允许他人收集和使用其他人信息使自己获得经济利益。
二、我国个人信息网络安全存在的法律问题
(一)缺乏系统的法律保障
宪法修正案第二十四条明确规定“国家尊重和保护人权”,对个人信息领域的保护实际上就是一种对人权的尊重与保护,它通过规定个人信息主体的权利与义务从而实现宪法对人权的保护,其中详细确定的知情权、安全保障等一系列内容为个人信息保护提供了方向。目前,很多国家都制定了个人信息保护法,部分国家因为现实需要还制定了专门处理个人信息的单行法。虽然我国也进行了保护个人网络信息的立法研究,但专门的个人信息保护法却因为种种原因并没有出台,其中齐爱民先生与周汉华先生对于个人信息保护方面先后提出了自己的意见,但结果不容乐观。在网络上关于个人信息保护的法律条款就更是少之又少。我国主要通过部分法律法规的条款以及一些网站的隐私保护声明来实现对个人信息网络安全的保护。尽管刑法从刑事保护方面对个人信息提供了支撑,但刑法主要针对的是侵犯他人的信息安全已经达到了严重危害社会的程度才适用刑法的保护,对情节达不到严重标准的,自然无法规制普遍遭遇到的信息泄漏或被他人非法利用的情形。[6]此外,我国法律还存在结构单一的问题,无法应对随着信息技术的发展产生的新型个人信息的网络安全问题。因此,缺乏系统的法律保障,使得对个人信息网络安全得不到应有的保障与救济。[7]
(二)行业自律规范缺乏强制性
行业自身规范对于个人信息的保护方面发挥着十分重要的作用。个人信息的安全问题主要针对于互联网行业,其中以腾讯,网易网站为例,在隐私政策保护方面,虽然也对网站在信息处理过程中规定了信息安全和知情同意的相关内容,但在责任划分方面并没有具体规定,个人信息泄漏后由谁承担责任,以及由谁对信息消费者补偿的问题仍然没有解决,即便有行业自律机制,个人信息主体的赔偿也无法落实,承担责任与法律救济形同虚设。[8]CTOC模式是一种简单的用户对用户的交易模式,指在一个大型交易网站中,有成千上万的买家和卖家,通过网络交易平台进行交易活动,淘宝网和京东网就是典型的代表。但这种模式也存在着弊端,临时性和买卖双方身份的随意性是一个很大的问题,易导致交易的不稳定和出现安全隐患。
(三)刑事程序立法仍需完善
在个人信息网络安全的保护方面,刑法虽然发挥了其作用,在他人侵犯个人信息网络安全时,利用刑法的规制方法进行制裁时仍然受到了很多限制,在刑法程序方面,对个人信息网络犯罪的调查取证程序规定时,并不明确具体,导致对很多个人信息侵权案件的举证带来了很多困难。在《公安机关办理刑事案件程序规定》中,仅仅规定了电子邮件作为扣押书证、物证的范围,电子邮件实际上只是一种用户互相交流的方式之一,也是互联网信息网络的其中一个功能,因此不论在网络的调查范围,还是取证方式上都存在弊端,无法涵盖所有的网络用户的信息传递渠道,对于信息网络犯罪案件中的调查取证问题仍然是一个漏洞。[9]另外,在程序立法方面,与传统法律相结合的兼容性也不够,导致刑事程序立法过程中,并没有很好的结合实际情况,导致出现一个执法过程的真空地带。
(四)网络知识产权保护力度不够
在知识信息时代,知识经济是以区别于有形资产而存在的以知识和技术作为经济增长与发展的主推动力的一种经济形态。知识产权在促进经济发展方面的作用日益增大,当然必不可少的会成为违法犯罪分子的关注的焦点。目前在我国在著作法保护领域,仍然未提及到数据库保护。个人网络信息安全其中很大一部分涉及到知识产权领域,例如著作权、专利权、商标权和地理性标志等。由于网络发展迅速的特点,网络的传输和储存过程中势必会导致很多的作品涉及到作者的信息被复制、篡改等恶意使用行为的出现,大数据时代下,跨境传输过程中的个人信息网络安全也不容小觑。
三、完善我国个人信息网络安全的建议
(一)加快制定出台《中华人民共和国个人信息保护法》
随着互联网网络的蓬勃发展,网络与信息安全领域的法制建设于2014年正式被提上实现“中国梦”的重要议程,互联网疆域越来越成为了国家安全的重要保护对象,我国与其他国家在共同推进网络安全领域法制化达成了共识。目前,我国主要应着眼于立足国家网络安全层面对中国网络技术的安全保密及其他技术水平的提高进行理性的认识。切实保障国家网络信息安全是保障个人网络信息安全的前提,一方面可以通过建立国家信息网络安全平台,在法律法规中明确对个人网络信息安全的具体权利与义务,另一方面从执法和监督两方面都要紧紧把握从严的原则,完善刑事诉讼程序,严厉打击侵犯信息网络安全的犯罪主体,改进监督管理机制,建立一套公众参与的高效监管和应急系统。
(二)完善互联网行业自律
我国互联网行业主要考虑的是对信息管理者的处理和筛选而忽视了网络用户真实利益的实现,缺乏行业自律性。结合国外一些国家的现有法律法规和我国对个人信息保护的现实需要,对于互联网行业自律可以通过互联网协会起到一定监督与促进作用:第一,对于互联网行业的自律规范,可以经过政府信息资源主管部门的审查批准,已获得更高的审查批准标准,防止信息的滥用。第二,建立适当的评估机构,做到对各大网站不定期定量抽查活动。
(三)完善个人信息网络安全刑事立法
近几年,个人信息网络侵权案件屡屡发生,“人肉搜索”和“艳照门”事件更是数不胜数,严重侵犯了个人的隐私权、名誉权等人身权利,因此个人信息的刑事立法迫在眉睫。电子数据的保护应该从它的取证、鉴定到处理都必须要经过严格的程序,通过制定个人信息网络安全刑事立法,一方面对严厉打击个人信息侵权的犯罪主体,减少信息侵权案件的发生,另一方面,通过严格的刑事立法,执法人员严格执法,防止执法人员肆意滥用权利,借助自身优势自身侵犯公民权利,公众参与监督,保证个人信息的在法制保障下真正可以实现多方面的强制保护。
(四)健全知识产权保护及个人数据保护机制
知识产权的保护在很大程度上涉及公民的隐私等各种权利,我国现行法律对与公民的隐私权给予了一定的保护,《中华人民共和国宪法》第四十条明确规定“中华人民共和国公民的通信自由和通信秘密受法律保护”。但是,大数据时代的到来,资源共享的同时大量的个人数据在收集存储的过程中,个人数据的安全收到了极大的威胁。许多外国国家个人数据的保护对信息数据可以进行再处理,在修改,在信息的源头提供安全保护,网络用户对信息侵权享有要求赔偿的权利。[9]我国对于个人信息的网络安全保护仍然处于空白阶段,因此,可以根据我国国情借鉴国外的立法经验,健全知识产权保护及个人数据保护机制。
参考文献:
[1]马民虎.信息安全法研究[M].西安:陕西人民出版社,2004.377.
[2]杨立新.中华人民共和国侵权责任法精解[M].知识产权出版社,2010.
[3]王芸,电子商务法规[M].高等教育出版社,2010.
[4]杨立新.电子商务侵权法[M].北京:知识产权出版社,2005.
[5]张玉编.民法[M].北京:高等教育出版社,2007.
[6]陈之赞.关于信息安全管理的法律问题研究[D].复旦大学,2012.
[7]沈耀璘.论个人信息网络安全的法律保护[D].西南政法大学,2012.
[8]王伟.我国信息网络安全立法问题研究[D].西安理工大学,2006.
一、大学生网络法律规范适用、网络违法违规问题法律规范引导、保障大学生网络行为活动合法性、合规性
而大学生网络行为活动的依法展开,对网络社会具有指引和保障作用。大学生对网络法律规范的适用主要由网络法律实践活动来体现,即大学生按照网络法律法规规范进行网络行为,利用法律手段来维护自己合法的网络权利,积极使用网络法律法规来解决出现在网络世界中的各类麻烦、纠纷。在网络活动中大学生不会主动依法约束自己违法失范的行为,在遇到纠纷时不借助法律反而消极应对,这是致使高等院校网络法制教育困难重重,收效不大的重要原因之一。其一是与网络的特殊性相关,因网络具有虚拟性、隐蔽性、快速性等特性,造成了司法实践中“侦破案件难、诉讼审判困难、影响消除艰难”等复杂困境,一定程度上降低了大学生适用网络法律的信心。其二是由于我国现阶段网络法律法规建设不完善,法律法规体系性不健全,个别处存在不一致;高位阶法律侧重比例小;低位阶规范侧重太多,对不良信息行为的执法解释不明确,公众理解不一,导致部分网络行为无法可依。部分高校大学生在传统性网络活动中的守法、用法及承担责任等方面都表现得比较规范,但还有一些大学生的网络行为随意性太强,缺失规范性,出现网络行为问题时候,倾向于自认倒霉等非法律手段解决。
二、大学生网络行为法律规范问题与安全教育关系
大学生网络行为法律规范问题和安全教育联系密切。一方面,加强和改进安全教育,说到底就是要让大学生及安全教育工作者适应时展、变化后的育人环境。在信息技术日新月异大环境下,网络作为安全教育的新环境,已给安全教育活动带来了新问题、新情况、新挑战。我们必须要借助网络长处,降低、消灭网络违法失范行为,塑造大学生健康人格,保证大学生健康成长。另一方面,网络平台教育将会成为安全教育的新手段和新途径。新型的网络平台教育方式与传统安全教育大不相同,对网络行为进行法律安全教育是传统安全教育在工作领域、工作方式及工作手段上的拓展和延伸,单向灌输为主的传统安全教育变得双向互动,借助网络平台使教师和学生在教学过程中的互动,从而做到了安全教育内容的内化成为现实。最后,大学生网络行为法律规范问题和安全教育对策研究中运用了大量法学教育的理论与方法,而网络行为安全教育的目标也是网络行为法律规范问题教育的目标。所以,大学生网络行为法律规范研究本身就具有安全教育的功能。将大学生网络行为法律规范问题与安全教育结合是时展的必然要求和安全教育创新的重要契机。
三、大学生网络行为安全教育对策
(一)确立网络安全法律教育目标,优化安全教育师资队伍现在的大学生几乎人人玩转网络,虽然他们的网络使用能力很强,但对网络安全的法律、法规、条例却很少涉猎,网络安全防范意识比较淡漠。现今,高校校园网络受外来非法侵入现象加重,要想大学生正确利用网络,合理规划大学生涯,必须从学生内因上进行思想突破,让大学生自觉树立主人翁意识,确定网络安全教育目标。目前高校安全教育工作基本是由大学生指导教师承担。但由于指导教师除了日常思想教育工作外,还需要处理琐碎日常管理事务性工作,导致安全教育工作出现不少漏洞。因此,高校要加强安全教育教师的建设,每所高校的安全教育教师不仅要熟悉高校安全教育规律和掌握大学生身心成长规律,同时需要具备比较系统的法律学科知识和较高的法律素养。高校应结合本校特点,立足实际,有专职、兼职、外聘多样化的方式,组建具有全面系统安全教育背景的专职教师为主力,外聘常年从事心理健康、司法或法学教育工作的兼职安全教师为辅助力量,构筑起一个高质、高效、全面的的安全教育师资力量。
(二)优化网络安全法律教育的内容要做好大学生网络安全法律教育,就一定要在网络安全法律教育的讲授内容进行科学布置,不能简单地停留在按图索骥的阶段,要“守法”意识深入人心。把当代大学生学习和生活息息相关的网络典型案例的分析和讨论,如:班会、研讨会、专题讲座等方式,并在每一次探讨中总结、归纳。激发起高校大学生们对学习网络法律知识的兴趣,这样就能更好增强他们网络行为法律意识和培养起法律观念。把网络安全法律教育引入到课堂教学,开设网络安全法规选修课。选修课可以系统地介绍计算机网络有关的安全法律法规,通过教学灌输网络安全意识,让每一个走出校园的大学生都具备掌握网络安全知识,了解国家的网络安全法律法规,从根源上有效防范或控制网络安全风险,促使大学生形成自律的规范。完善相关的网络安全法律教育的考核评价,促使安全教育不流于形式,不走过场,并将这种评价纳入学生年度考核中,提高安全教育的成效。
(三)拓展网络安全法律教育的渠道努力办好校园BBS,正视网络带来的积极和消极影响,充分发挥校园主流舆论的导向作用。目前各大高校都发展自己智慧校园网络系统,因此校园主页网站中设置具有当代大学生特色的安全网络平台,充满互动性、开放性,作为普及网络安全法规教育主阵地。网络平台中不仅要有常用的法律条文的案例与解析,还要有特定性地对网络犯罪进行介绍典型案例,也要结合常见的网络安全问题或社会现象进行“正能量”的宣传和引导。也可以通过BBS、微信、QQ等平台让学生参与讨论,及时察觉学生的思想安全动态,在线及时交流和错时互动,安全教育教师要掌握网络舆论表达权、领导权,努力地将校园网络建设成一个绿色安全网络平台。
作者:吴学政 单位:南京邮电大学保卫处
一、社会网络安全精神文化建设
在社会网络安全精神文化建设方面,首先要重视社会网络安全观念的强化,通过网络风险意识的教育与宣传来培养社会大众的网络伦理道德。在安全文化的传播过程中,宣传与教育是主要的方式,通过对这种方式的运用,社会大众能够树立良好的网络安全思想、态度、理念以及行为习惯,从而在社会中构建起良好的网络安全氛围。社会网络安全文化的构建、社会大众网络安全理念以及行为的培养都需要网络安全氛围来形成潜移默化的影响,并在长期坚持的基础上推动网络安全理念深入人心。在此方面,可以使用的方式方法包括课堂教育、安全理念与安全知识普及、安全行为的倡导,同时,网络安全宣传与教育有必要对传统的宣传手段与教育手段做出创新,通过发挥网络本身的优势来将网络作为网络安全宣传与教育的有力媒介;二是强化网络安全技术的探究与应用。网络安全技术本身也属于文化范畴,在网络安全文化构建中重视先进技术的应用,有利于为网络安全管理建立技术保障,并能够在一定程度上推动网络安全文化内容的发展与丰富。另外,先进网络安全技术的应用有利于推动网络发展,而这是强化网络安全管理工作中重要的内在需求。
二、社会网络安全制度文化建设
社会网络安全制度文化建设的内容体现在以下四个方面:一是强化网络安全法制建设。网络安全法制是网络安全文化中重要的组成内容,同时也是推动网络安全管理规范化和法制化的必然要求。作为一种具有强制性的手段,网络安全制度文化建设中的法制建设工作能够有效推动网络安全的实现。在此方面,需要以网络特点为依据、确保网络安全为目的来制定专门性的法律法规,同时虽然网络环境下的网络群体具有着明显特性,但是也具有同样作为社会群体的共性,因此,一般法律在网络安全领域中也具有着一定的适应性,所以,重视对一般法律的完善也是强化网络安全法制建设中的重要内容;二是对网络安全文化的建设机制作出完善。在网络安全制度文化建设过程中,有必要通过完善构建机制与机构来推动网络安全文化的建设。在此方面,有必要构建完善的网络举报制度以及激励机制,并对网络安全文化的建设工作作出整体的规划,同时有必要构建科学的人才培养机制与培训机制,从而有效提高网络文化建设的质量以及效率;三是构建健全、科学的网络安全文化评价体系。在网络安全文化的构建中,要对网络安全文化的构建进程以及网络所面临的安全风险做出认识,就有必要构建合理科学的评价标准以及评价体系,并在此基础上对网络安全文化的构建做出度量。另外,由于不同文化背景中对网络安全文化的理解以及对网络安全尺度做出认定的标准具有差异性,所以网络安全文化评价体系的构建有必要以网络安全文化建设任务与目标为依据,从而提高网络安全文化评价体系在我国社会中的适应性;四是构建公平合理的网络安全管理体制和权利分配体制。当前互联网最高管理机构为ICANN,虽然这一组织在名义上并不是盈利组织,但是下设的来自各个国家的顾问委员会并没有实质发言权,拥有否决权和专控权的国家只有美国。很明显,这种网络管理体制是并不合理的,而这种不合理的管理体制以及权利分配也会对网络安全的发展造成制约,因此,构建合理公平的网络安全管理体制以及权利分配体制是十分必要的。
三、社会网络安全物质文化建设
在社会网络安全文化构建过程中,物质文化建设要求将精神文化建设内容与制度文化建设内容转换为现实,尤其是要重视推动网络安全技术产业化发展,在网络工程的设计与施工过程中要体现出人本思想。在实践过程中,要求网络工程的设计与生产中选取具有更低辐射、更简单操作以及更高安全性的设备来确保人的安全,同时要选取具有更高合理性、可靠性以及安全性的信息处理设备来确保信息的安全。网络安全物质文化建设工作具有着复杂性特点,仅仅重视某个方面的物质文化建设是难以完成网络安全物质文化建设目标的,因此,在网络安全物质文化建设中,需要以人的安全、环境安全以及信息安全三个方面的内容为核心,并有意识的通过长期努力来构建优秀的网络安全物质文化。
总之,社会网络安全文化建设是一个系统的工程,其中社会网络安全精神文化建设、制度文化建设以及物质文化建设缺一不可,在社会网络安全文化的建设中,有必要从这三个方面入手来确保社会网络安全文化建设的全面性,从而推动网络以及网络安全的健康发展。
作者:殷晏君 单位:江苏省连云港工贸高等职业技术学校
关键词:职业学校;网络安全;教育
调查数据显示,截至2013年年底,中国互联网的使用人数已经超过了6亿,并且以每年新增5000万左右人数的速度向上攀升,且调查发现处于10岁到29岁年龄段的群众几乎全部都在使用互联网。互联网为人们的日常生活、工作办公以及自主学习都带来了很多便捷,丰富的信息资源更加可以帮助学生认识外界的社会。但是凡事有利就有弊,网络上虽然有着丰富的信息资源,但是网络上的信息也鱼龙混杂。学生经常接触到不良的信息,对于思想发展并不够成熟的青少年学生容易造成巨大的危害。公安机关公布的数据显示,青少年犯罪者中有近八成的是受到网络不良信息诱惑的学生。他们在网络世界中受不良信息的蛊惑,沉迷于网络或游戏当中。这类沉迷网络的青少年十分容易进行抢劫、打架斗殴以及等犯罪行为。目前国内职业学校的办学规模以及招生数量都日渐提高,在职业学校内如何展开网络安全教育已经是一个十分重要的问题,指导青少年学生们的成长健康是职业学校义不容辞的责任。
一、国内青少年学生上网情况调查
笔者为了保证本篇文章的针对性,在青少年学生当中做了一个关于上网情况的调查。在上网地点的选项当中,90%的学生是在家上网;13%的学生是在网吧上网;4%的学生是在同学或者亲戚家上网;仅仅只有2%的学生是在学校机房上网。在处理不良信息方法的选项当中,30%的学生表示从来不关心,随它去;21%的学习表示担心但是并不知道怎么解决;48%的学生会下载绿色上网软件;还有2%的学生会恶作剧一般故意传播给其他人。根据调查数据显示,目前大部分青少年上网的时候依然存在许多的安全隐患。在上网地点的选择当中,在家上网以及在网吧上网的选择人数最多,而在家上网以及在网吧上网的时候缺乏家长的监管,极容易接触到不良信息。同时大部分的青少年学生上网主要在使用聊天软件或者玩网络游戏,真正在网络上自主学习的学生所占的比例较低。并且我们发现大部分的学生在面对不良信息的时候没有引起重视,只是任由不良信息传播而未告诉家长或老师。
二、目前国内职业学校网络安全教育情况
目前国内的职业学校在安全教育方面的情况分为两种:一种是高等专业人才教育方面的院校,大多数的院校将教育重点放在专业人才的培养方面,并没有开设网络安全专业,而就算有网络安全专业的院校也普遍教材内容老旧、教学方法过时并且缺乏专业教师;另一种便是在普及教育方面,仅仅有一部分院校在通识教育当中开设了公选课,而在大部分院校当中仅仅是在计算机文化基础课程当中捎带提起,只是十分简略地提到了一些网络安全意识的基础概念。以广东省的一个职业院校为例,该院校在计算机学院中并没有信息安全专业,而在应用数学学院当中有信息安全专业,但是每届仅仅只招生两个班,总共学生人数不过百人。该校在通识教育当中计算机学院开设有网络与信息安全以及信息安全风险评估的公选课,但是每个学期的选修人数也不过三百左右。而计算机学院中每个学生都必修的计算机文化基础课程中并未提及网络安全教育内容,学校也并没有在学生当中宣传网络安全意识的重要性。由此可见,国内大多数的职业学院对青少年网络安全意识教育并未引起重视。国内的职业院校对于青少年网络安全教育不够重视,青少年学生的网络安全意识不够成熟,极容易出现安全隐患,比如:青少年网络安全意识淡薄,缺少使用安全上网软件的意识,对安全防护措施不够重视;过于依赖安全上网软件,大多数青少年学生在安装了安全上网软件之后便完全失去安全意识,甚至觉得上网安全跟自己无关了,当安全事故发生时便完全不知道如何应对;对于个人信息的保护意识薄弱,对于某些网站需要填写身份证号、真实姓名、联系电话以及真实家庭住址这些私密信息的时候没有保护意识,极容易造成个人信息的泄露;青少年学生往往对他人的警惕性较低,极容易受到网友的欺骗;对网络安全没有责任心,青少年学生由于责任心不够成熟且比较单纯,经常不清楚自己在无心的时候已经造成了网络安全事故的发生,并且影响到了其他网民的用网安全;青少年学生对于网络安全的法律法规不够了解,有部分学生因为好奇心、好胜心、没有抵制住经济利诱或者纯粹是一种找乐子的心态而学习黑客知识或是钻研电脑病毒知识,对他人的电脑进行入侵或者破坏,常常并不知道自己已经犯法。
三、网络安全教育的重要性
目前,国内的大多数职业院校在网络课程教学当中仍然在重点研究教学策略以及教学内容的质量,向学生们灌输网络发展的重要性以及网络在全社会当中的作用,却并未向学生们强调网络不良信息的危害。许多的职业院校中的法律基础公开课以及计算机网络专业课没有将网络安全教育以及网络安全法律法规教育加入教学大纲当中,更加不存在相关课程的制订计划。国内的大多数青少年学生都未能及时接受系统的网络安全教育以及网络安全法律法规教育,网络安全意识薄弱,对于网络犯罪的定义以及网络犯罪的后果认知模糊。许多沉迷于网络的青少年学生由于自身的思想并未成熟,受到网络不良信息的影响,导致暴力、自私、孤僻甚至厌世的性格,还有的学生走上了犯罪的道路,由此可见网络的不良信息对于思想并为发展成熟的青少年学生来说危害巨大。在这个网络发展速度以及网络普及速度都越来越快的社会,在职业院校中开展网络安全教育是刻不容缓的,是保障青少年学生健康成长的重要教育任务。开设专门的网络安全教育课程以及网络安全法律法规课程,全面建立起青少年学生的网络安全意识,提升青少年学生的网络安全素质,是目前国内职业院校中最为重要的教育内容。只有在青少年学生中建立起明确的网络安全意识,加强对青少年学生的网络安全教育,才能够避免青少年学生受到网络不良信息的危害,才能够帮助青少年学生们健康成长。
四、开展网络安全教育的方法
1.网络安全法律法规知识教育
在网络世界当中最为显著的标签就是自由,但是网络世界中的自由与现实世界当中的自由一样需要有法律法规来进行约束。我国在互联网方面有着明确的法律规定,让互联网世界有法可依、有法必依。职业院校需要针对网络法律条例以及计算机法律基本知识对青少年学生进行系统的教育。教育内容应该以《刑法》《计算机软件保护条例》《中国公用计算机互联网国际联网管理办法》《计算机信息系统国际联网保密管理规定》以及《中华人民共和国计算机信息系统安全保护条例》这些国家规定的网络安全条例为基础展开。
2.青少年学生网络安全自律教育
青少年学生对于外界的诱惑力抵抗力较弱,尤其是在信息丰富的网络世界。他们的好奇心使得他们容易沉迷于网络世界,而青少年学生们的自我保护意识薄弱,网络安全素质较低,极容易受到网络不良信息的危害。首先职业院校网络中心的防火墙需要加强对校内微机房的信息安全管理,加强校园网络对外界网络隔离的可靠性。同时职业院校需要加强对青少年学生网络安全自律意识的教育,让青少年学生们清楚地认识到网络不良信息以及网络攻击的后果的严重性。除此之外要培养青少年学生们对网络攻击的防范技术,加强青少年学生们的防范意识,能够有效地避免他们受到网络不法分子的危害。
3.在教育当中多采用疏导的方法
青少年学生由于其自身的安全意识以及自律意识薄弱,容易沉迷于网络,若是没有及时发现并有效改善青少年学生的上网习惯,他们便容易走入歧途。家庭教育以及学校教育都极为重要,但是家庭教育以及学习教育的方法需要改善。大多数沉迷网络的青少年学生容易出现交友观以及性格的扭曲,需要通过疏导的方式让他们宣泄出内心压抑的情绪并指引他们去外面进行真实的人际交流,建立起正确的交友观以及世界观,帮助他们体验到现实中人际交往的乐趣,建立起他们的自信心。若是采取强硬的教育方式反而容易导致青少年学生们因为逃避和叛逆心理更加抗拒真实世界。
五、小结
综上所述,帮助青少年学生们建立起网络安全意识,健全学生们的素养教育,已经成为了目前职业学校极为重要的任务。在网络安全教育方面,西方发达国家对此极其重视,而国内对于网络安全教育的开展和重视程度都略微低于国外,职业院校学生们的网络安全意识都不够成熟。因而职业院校应该全面开展网络安全教育,重点培养青少年学生们的网络安全意识,让学生们避免受到网络不良信息的侵害,帮助学生们健康成长。
参考文献:
[1]张立敏,李玉堂,赵瑞兰等.北京市顺义区中学生健康危险行为现状调查[J].职业与健康,2011(10).
[2]陈瑞.中职校开展职业安全健康教育的路径探索——以南京市莫愁中等专业学校为例[J].江苏教育研究,2014(30).
32学时 2学分
《网络法概论》课程属于法学本科专业的选修课程。该课程主要适用于法学本科专业,也可适用于非法学专业的选修课程。
本课程将系统地讲述网络法的基本范畴、基本制度和基本原理,网络法的概念、特征、体系、渊源,国外电子签名法,中国电子签名法,电子商务主体制度,电子商务合同制度,电子商务消费者保护制度,电子政务法律制度,政府信息公开法律制度,国外的网络安全法律制度,我国的网络安全法律制度,网络金融安全保护制度,网络人格权保护制度,网络个人信息保护制度,网络知识产权保护制度,网络虚拟财产保护制度,网络犯罪制度,网络管辖权制度,网络证据法律制度等内容。
通过该课程的学习,使学生了解本学科的学科性质,熟悉学科的基本框架,准确理解学科的基本概念和基本理论,能够灵活运用学科知识和理论分析和解决现实的法律问题。
一、课程目标
本课程力求以课程内容体系为纲,结合国内外网络法研究中的最新成果和前沿观点,及时反映中国网络领域的最新进展和实践探索。通过该课程的学习,使学生了解和掌握网络法的基本概念、基本理论、基本技术方法和发展动态;在传递知识和思想的同时,引导和锻炼学生的思维能力,能够运用所学的理论和方法分析、解决网络法实践中的问题,对当代中国进行的法治建设进行正确的理解和判断;结合学生的不同需求,设置相关的话题、案例和讨论,增强学生适应社会、解决问题的能力,为未来从事相关工作打下坚实的基础。
二、课程内容、要求及学时分配
1.主要教学内容
序号
章节
内容及要求
学时
备注
1
第1章
网络法导论
理解网络法的基本概念
了解网络法的法律体系、法律渊源和基本原则
掌握网络法的调整对象和内容体系
2
2
第2章
电子签名法
掌握电子签名和电子签名法的基本概念
了解国外的电子签名法
掌握我国的电子签名法律制度
4
3
第3章
电子商务法
掌握电子商务和电子商务法的基本概念
掌握电子商务主体制度
掌握电子商务合同制度
掌握电子商务消费者保护制度
4
4
第4章
电子政务法
掌握电子政务和电子政务法的基本概念
掌握信息公开法法律制度
了解电子政务法的立法趋势
4
5
第5章
网络安全法
熟悉网络安全与网络安全立法的基本概况
了解国外网络安全法的立法和发展
掌握我国网络安全法律制度
4
6
第6章
隐私与个人信息保护法
掌握网络环境隐私权保护制度
掌握个人信息保护法律制度
4
7
第7章
网络财产法律制度
掌握网络中的知识产权:版权、商标、域名等等
掌握虚拟财产的法律保护
6
8
第8章
网络犯罪与网络法律纠纷的解决
掌握网络犯罪法律制度
掌握网络管辖制度
掌握网络证据制度
4
合 计
32
2.实验安排内容
序号
实验名称
内容及要求
学时
合 计
三、师资队伍
本课程负责人应具备副教授及以上职称,原则上必须毕业于法学专业,多年从事法学专业的教学和科研工作,并具备五年以上相关课程的教学经验。
本课程的教学队伍可由2~4名教师组成。主讲教师师资队伍应该年龄层次合理,学历层次为研究生,并且系统具备法学的基础理论及良好的研究能力。
四、教材及教学参考
1.建议教材
刘品新.网络法学(第2版).北京:中国人民大学出版社,2015
2.教学参考资料
1)李艳.网络法(第2版).北京:中国政法大学出版社,2017
2)马克·A.莱姆利.软件与互联网法(上).北京:商务印书馆,2014
3)罗胜华.网络法法案例评析.北京:对外经贸大学出版社,2012
3.其他教学资源
1)网络教学资源:亚太网络法研究中心、最高人民法院网、中国裁判文书网等
2)微信公众号:审判研究、法学学术前沿、法律读库、首席法务等
3)研论文资料(由任课教师指定)
五、教学组织
总体而言,本课程将以教学大纲和教学日历为主线,以学生的学习需求为落脚点,以问题引导教学,以互动启发思考,以讲解释疑解惑。授课教师可以根据最新的立法和司法动态做必要的调整和更新。
本课程将突出参与、对话和分享的理念,使学生由被动接受到主动求知,更加关注教学过程。课上讲授和课下学习相结合,主讲教师按照教学大纲和教学日历认真备课,学生根据教学日历提前预习所学内容、阅读所提供的教学材料。在对基础知识、概念和理论进行讲授的基础上,突出每章的重点和难点,在传递知识的同时,更加注重训练学生的思维能力。
探索多种教学方法和形式,如分组讨论、辩论、案例教学、专题教学等,培养学生主动学习能力、合作能力、沟通能力。积极挖掘课堂教学中的隐性知识和潜在问题,进行启发式教学和反思式教学,既可以举一反三,又能够为学生留有思考的空间。
课堂讲授面向所有学生,梳理课程内容的基本体系和轮廓,突出课程内容的思路和方法,强调重点和难点问题。结合网络法较强的理论性和实践性特征,及时选取最新的话题、案例和立法政策等,同时鼓励学生自行寻找相关素材,尤其是发生在现实身边的物权法问题,进行研究型学习。
本课程安排至少两次次正式的集中答疑,时间拟为课程中期和课程结课。根据实际教学进程开展至少2次课程作业,作业可以是针对讲授期间的需求安排课上进行,也可以是受时间所限课上没有展开的内容。作业形式,可以是问答式、是非判断、小论文、个人读书报告等。教师的批阅反馈,可以是作业本批阅、PPT课堂展示、个人速递反馈等形式。
六、课程考核
本课程采取开卷考试或考查的方式,成绩由平时成绩(30%)和期末成绩(70%)构成。
其中,平时成绩可以由考勤、平时作业、讨论、课堂表现等组成。
七、说明
1)本课程标准从法学类2016级开始使用,课程标准的变更应由课程负责人提出,专业负责人审批并报学院和教务部备案。
2)学习本课程的学生应及时了解网络法理论或实践中的热点和难点,熟悉网络法的立法和司法的最新进展,观察和思考现实生活中的网络法律问题,并有条件的情况下积极参与相关司法活动。
制定者:×××
论文关键词:高师计算机专业;信息安全;法律法规课程
人类进入21世纪,现代信息技术迅猛发展,特别是网络技术的快速发展,互联网正以其强大的生命力和巨大的信息提供能力和检索能力风靡全球.
网络已成为人们尤其是大学生获取知识、信息的最快途径.网络以其数字化、多媒体化以及虚拟性、学习性等特点不仅影响和改变着大学生的学习方式生活方式以及交往方式,而且正影响着他们的人生观、世界观、价值取向,甚至利用自己所学的知识进行网络犯罪,所有这些使得高师学生思想政治工作特别是从事网络教学、实践的计算机专业的教育工作者来说,面临着前所未有的机遇和挑战,这不仅因为,自己一方面要传授学生先进的网络技术,另一方面也要教育学生不要利用这些技术从事违法活动而从技术的角度来看,违法与不违法只是一两条指令之间的事情,更重要的是高师计算机专业学生将来可能成为老师去影响他的学生,由此可见,在高师计算机专业学生中开设与信息安全有关的法律法规课程有着十分重要的意义.如何抓住机遇,研究和探索网络环境下的高师计算机专业学生信息安全法律法规教学的新特点、新方法、新途径、新对策已成为高师计算机专业教育者关心和思考的问题.本文主要结合我校的实际,就如何在高师计算机专业中开设信息安全法律课程作一些探讨.
1现有的计算机专业课程特点
根据我校人才培养目标、服务面向定位,按照夯实基础、拓宽专业口径、注重素质教育和创新精神、实践能力培养的人才培养思路,沟通不同学科、不同专业之间的课程联系.全校整个课程体系分为“通识教育课程、专业课程(含专业基础课程、专业方向课程)、教师教育课程(非师范除外)、实践教学课程”四个大类,下面仅就计算机专业课程的特点介绍.
1.1专业基础课程专业基础课是按学科门类组织的基础知识课程模块,均为必修课.目的是在大学学习的初期阶段,按学科进行培养,夯实基础,拓宽专业口径.考虑到学科知识体系、学生转专业等需要,原则上各学科大类所涵盖的各专业的学科专业基础课程应该相同.主要内容包括:计算机科学概论、网页设计与制作、C++程序设计、数据结构、操作系统等.
1.2专业方向课程各专业应围绕人才培养目标与规格设置主要课程,按照教育部《普通高等学校本科专业目录》的有关要求,结合学校实际设置必修课程和选修课程.同时可以开设2—3个方向作为限选.学生可以根据自身兴趣和自我发展的需要,在任一方向课程组中选择规定学分的课程修读.主要内容包括:计算机网络、汇编语言程序设计、计算机组成原理、数据库系统、软件工程导论、软件工程实训、计算机系统结构等.
1.3现有计算机专业课程设置的一些不足计算机技术一日千里,对于它的课程设置应该具有前瞻性,考虑到时代的变化,计算机应用专业旨在培养一批适合现代软件工程、网络工程发展要求的软件工程、网络工程技术人员,现有我校的计算机专业课程是针对这一目标进行设置的,但这一设置主要从技术的角度来考虑问题,没有充分考虑到:随着时代的发展,人们更广泛的使用网络、更关注信息安全这一事实,作为计算机专业的学生更应该承担起自觉维护起信息安全的责任,作为高师计算机专业的课程设置里应该考虑到教育学生不得利用自己所学的技术从事不利于网络安全的事情.
2高师计算机专业学生开设信息安全法律法规的必要性和可行性
2.1必要性信息安全学科群体系由核心学科群、支撑学科群和应用学科群三部分构成,是一个“以信息安全理论为核心,以信息技术、信息工程和信息安全等理论体系为支撑,以国家和社会各领域信息安全防护为应用方向”的跨学科的交叉性学科群体系.该学科交叉性、边缘性强,应用领域面宽,是一个庞大的学科群体系,涉及的知识点也非常庞杂.
仅就法学而言,信息安全涉及的法学领域就包括:刑法(计算机犯罪,包括非法侵入计算机信息系统罪、故意制作传播病毒等)、民商法(电子合同、电子支付等)、知识产权法(著作权的侵害、信息网络传播权等)等许多法学分支.因此,信息安全教育不是一项单一技术方面的教育,加强相关法律课程设置,是信息安全学科建设过程中健全人才培养体系的重要途径与任务.
高师计算机专业,虽然没有开设与信息安全专业一样多与信息安全的有关技术类课程.但这些专业的学生都有从事网络工程、软件工程所需要的基本编程能力、黑客软件的使用能力,只要具备这些能力且信息安全意识不强的人,都可能有意识或无意识的干出违反法律的事情,例如“YAI”这个比CIH还凶猛的病毒的编写者为重庆某大学计算机系一名大学生.由此可见,在高师计算机专业的学生中开设相关的法律法规选修课程是必要的.
2.2可行性技术与法律原本并不关联,但是在信息安全领域,技术与法律却深深的关联在一起,在全世界各国都不难发现诸如像数字签名、PKI应用与法律体系紧密关联.从本质上讲,信息安全对法律的需求,实际上来源于人们在面临信息技术革命过程中产生的种种新可能的时候,对这些可能性做出选择扬弃、利益权衡和价值判断的需要.这也就要求我们跳出技术思维的影响,重视信息安全中的法律范畴.
根据前面对信息安全法律法规内容的特点分析可知:信息安全技术与计算机应用技术有着千丝万缕的联系.从事计算机技术的人员很容易转到从事信息安全技术研究上,加之信息安全技术是当今最热门技术之一,因此,在高师计算机专业中开设一些基本的信息安全技术选修课程、开设一些与法律体系紧密关联的信息安全法律法规选修课程学生容易接受,具有可操作性.
3信息安全技术课程特点
信息安全技术课程所涉及的内容众多,有数学、计算机、通信、电子、管理等学科,既有理论知识,又有实践知识,理论与实践联系十分紧密,新方法、新技术以及新问题不断涌现,这给信息安全课程设置带来了很大的难度,为使我校计算机专业学生了解、掌握这一新技术,我们在专业课程模块中开设《密码学基础》、《网络安全技术》、《入侵检测技术》等作为专业选修课.我校本课程具有以下特点:
(1)每学期都对知识内容进行更新.
(2)对涉及到的基本知识面,分别采用开设专业课、专业选修课、讲座等多种方式,让学生了解信息安全知识体系,如有操作系统、密码学基础、防火墙技术、VPN应用、信息安全标准、网络安全管理、信息安全法律课程等.
(3)对先修课程提出了较高的要求.学习信息安全技术课程之前,都可设了相应的先行课程让学生了解、掌握,如开设了计算机网络基本原理、操作系统、计算机组成原理、程序设计和数论基础等课程.
(4)注重实践教学.比如密码学晦涩难懂的概念,不安排实验实训,不让学生亲手去操作,就永远不能真正理解和运用.防火墙技术只有通过亲手配置和测试.才能领会其工作机理.对此我们在相关的课程都对学生作了实践、实训的要求.
4涉及到信息安全法律法规内容的特点
信息安全的特点决定了其法律、法规内容多数情况下都涉及到网络技术、涉及到与网络有关的法律、法规.
4.1目的多样性作为信息安全的破坏者,其目的多种多样,如利用网络进行经济诈骗;利用网络获取国家政治、经济、军事情报;利用网络显示自己的才能等.这说明仅就破坏者方面而言的信息安全问题也是复杂多样的.
4.2涉及领域的广泛性随着网络技术的迅速发展,信息化的浪潮席卷全球,信息化和经济全球化互相交织,信息在经济和社会活动中的作用甚至超过资本,成为经济增长的最活跃、最有潜力的推动力.信息的安全越来越受到人们的关注,大到军事政治等机密安全,小到防范商业企业机密泄露、青少年对不良信息的浏览、个人信息的泄露等信息安全问题涉及到所有国民经济、政治、军事等的各个部门、各个领域.
4.3技术的复杂性信息安全不仅涉及到技术问题,也涉及到管理问题,信息安全技术又涉及到网络、编码等多门学科,保护信息安全的技术不仅需要法律作支撑,而且研究法律保护同时,又需要考虑其技术性的特征,符合技术上的要求.
4.4信息安全法律优先地位综上所述,信息安全的法律保护不是靠一部法律所能实现的,而是要靠涉及到信息安全技术各分支的信息安全法律法规体系来实现.因此,信息安全法律在我国法律体系中具有特殊地位,兼具有安全法、网络法的双重地位,必须与网络技术和网络立法同步建设,因此,具有优先发展的地位.
5高师信息安全技术课程中的法律法规内容教学目标
对于计算机专业或信息安全专业的本科生和研究生,应深入理解和掌握信息安全技术理论和方法,了解所涉到的常见的法律法规,深入理解和掌握网络安全技术防御技术和安全通信协议.
而对普通高等师范院校计算机专业学生来说,由于课程时间限制,不能对信息安全知识作较全面的掌握,也不可能过多地研究密码学理论,更不可能从法律专业的角度研究信息安全所涉到的法律法规,为此,开设信息安全法律法规课程内容的教学目标定位为:了解信息安全技术的基本原理基础上,初步掌握涉及网络安全维护和网络安全构建等技术的法律、法规和标准.如:《中华人民共和国信息系统安全保护条例》,《中华人民共和国数字签名法》,《计算机病毒防治管理办法》等.
6高师信息安全技术法律法规课程设置探讨
根据我校计算机专业课程体系结构,信息安全有关的法律法规课程,其中多数涉及信息安全技术层面,主要以选修课、讲座课为主,作为信息安全课程的补充.主要可开设以下选修课课程或讲座课程.
(1)信息安全法律法规基础讲座:本讲座力图改变大家对信息安全的态度,使操作人员知晓信息安全的重要性、企业安全规章制度的含义及其职责范围内需要注意的安全问题,让学生首先从信息安全的非技术层面了解与信息安全有关的法律、法规,主要内容包括:国内信息安全法律法规概貌、我国现有信息安全相关法律法规简介等.
(2)黑客攻击手段与防护策略:通过本课程的学习,可以借此提高自己的安全意识,了解常见的安全漏洞,识别黑客攻击手法,熟悉提高系统抗攻击能力的安全配置方法,最重要的还在于掌握一种学习信息安全知识的正确途径和方法.
(3)计算机犯罪取证技术:计算机取证是计算机安全领域中的一个全新的分支,涉及计算机犯罪事件证据的获取、保存、分析、证物呈堂等相关法律、程序、技术问题.本课程详细介绍了计算机取证相关的犯罪的追踪、密码技术、数据隐藏、恶意代码、主流操作系统取证技术,并详细介绍了计算机取证所需的各种有效的工具,还概要介绍了美国与中国不同的司法程序.
随着高中校园网的普及,学校逐步实现了管理网络化和教学手段现代化,提高了管理水平和教学质量,为师生的教学和学习带来了方便,信息获取更加迅速方便。但是网络化的办公及教学也带来了网络的安全问题,数据的安全性和学校自身的利益都受到了一定的威胁。因此,实现高中校园网络系统的安全和正常运转便成为高中校园网络管理所面临的一个现实问题。
二、高中校园网络安全存在的主要问题
1.计算机病毒
计算机病毒是威胁高中校园网络安全的主要因素之一,计算机病毒是指人为设计的影响计算机使用并且能够自我复制的一种程序。在网络中存有大量计算机病毒,并且不断地复制变异。学生使用U盘等移动存储设备、下载、浏览网页、玩游戏、QQ等都有造成病毒传播的可能。大量病毒不仅侵占网络资源、降低网络运行效率,有时还会对学校网络设备、服务器等造成不可估量的破坏,对整个高中校园的网络系统的正常运作产生严重影响,甚至可能造成网络瘫痪、数据丢失等。
2.系统漏洞
高中校园网络服务器采用的Windows操作系统、TCP/IP协议等都有可能存在安全漏洞,同时高中校园网络上运行着高中校园网站和各部门基于Web的业务管理系统,为全校师生及社会提供资源,但是站点代码在编写设计过程中不够严谨或者留有后门,都有可能给攻击者留下入侵的途径。另外,一些高中校园网络硬件设备如交换机、防火墙等也存在着一些程序上的漏洞。这些都给高中校园网络安全留下了隐患。
3.高中校园网络宽带的滥用
高中校园网络主要是为了给广大师生提供学习和教研的平台,但也存在着严重的资源滥用及被盗用的问题,一些师生滥用网络做一些与工作学习不相干的事情,迷恋网络游戏、访问一些不健康网站等。这些行为严重影响宽带流量,造成网络拥堵、速度变慢等问题,甚至有些用户将免费的高中校园宽带资源提供给商业用途,占用学校的网络宽带资源。这些行为都会对高中校园网络产生不良影响,干扰学校正常用户的使用。
4.高中校园网络安全缺乏管理
当前众多高中校园网络建设普遍存在着重硬件轻软件及重运行轻管理的问题,由于网络管理员不具备丰富的网络安全管理经验和技术防范能力,所以网络管理只集中于简单的日常事务管理方面,如排除网络线路的故障、开通和维护用户账号、服务器的常规管理和系统的日常维护等工作。另外,有些学校缺乏网络安全管理人员,难以应对庞大的复杂多变的网络环境。高中校园网络安全制度不健全;监管机制存在严重的漏洞;高中校园网络安全法规的宣传力度不够;缺乏相关的网络安全规定;等等。
5.人为因素
高中校园网络的用户十分庞大,网络环境也较复杂,师生安全防范意识淡薄, 在网络上随意浏览或下载一些可能带有病毒的文件,造成高中校园网络故障。另外,有些教师或学生认为高中校园网络的安全是网管人员的责任,跟自己无关。高中校园网络道德教育严重缺乏,恶意使用高中校园网络资源、浏览不健康网站,接受、不良信息等问题日趋严重。
三、高中校园网络安全的应对策略
1.健全高中校园网络安全管理制度
学校应制订健全的校园网络安全管理规章制度,并严格执行,用规章制度约束校园网络用户的行为,不断强化相关网络管理人员的专业技能和责任意识的培训学习,不断提高他们的工作责任心和工作热情。
同时学校要进一步加大对师生的网络安全教育力度,积极开展高中校园网络安全法律法规的宣传教育活动,并将高中校园网络安全的相关教育融入日常教学活动中,使师生深知网络犯罪的危害,使教师和学生严格遵守学校制定的网络安全管理制度,人人都树立网络安全意识,自觉养成文明上网的良好习惯。
2.加强网络安全的技术应用
威胁高中校园网络安全最主要的因素就是计算机病毒,计算机病毒对高中校园网络的威胁必须得到重视,因此,建立全面完善的防御体系十分重要。
一方面,学校可以利用防火墙技术提高高中校园网络安全。使用防火墙技术经济、简单易行,该技术在高中校园网络安全建设中被广泛运用。利用防火墙技术加强学校内、外网之间的访问控制,防止学校内部资源被盗取。
另一方面,学校可根据高中校园网络的大小,部署正规的防病毒服务器,选择正版病毒防护软件,并在使用的过程中及时升级更新,及时修补其中存在的安全漏洞;制订对应的网络安全策略,实时监控高中校园网络动态,及时发现并隔离异常网络行为,限制非法用户对高中校园网络资源的访问。
3.做好备份和镜像技术
随着数字化高中校园的创建,高中校园网在教学和工作中占有不可替代的作用,一旦瘫痪,会给师生的教学、科研等工作带来极大的不便和不可估量的损失。而学校防范手段不可能设计得面面俱到,因此,必须做好备份与恢复,备份不仅包括校园网络重要数据的备份,也要做好校园网络中核心设备的系统备份。数据备份可以使用移动存储设备备份、异地备份等方法。最后,高中校园网络管理人员也应具备完整的应急修复方案,以便在发生网络故障后快速恢复,保障高中校园网络的安全、正常运行。
4.重视高中校园无线网的安全管理
随着信息技术的快速发展和教育信息数字化进程的推进,无线网技术在高中校园网络中的应用逐渐普及。无线网技术的传输介质是开放的,高中校园无线网络具有方便、灵活的组网方式和适用环境广等优点。数据在传播通信过程中有可能被一些非法的接收设备窃取,而且高中校园无线网络使用者比较多,网络覆盖范围广,终端设备种类多,因此无线网更易遭受攻击,在无线高中校园网络管理上可采取身份认证、访问控制等方式加强管理。
5.大力开展师生网络道德教育,增强师生网络安全道德意识
目前很多学校还没有把网络道德教育、信息安全教育引入课堂,致使高中校园网络道德教育滞后,学生网络犯罪频发。各学校应将网络道德教育纳入教学计划,运用多种方式进行宣传教育,如课堂教学、广播、宣传栏、讲座等形式,教育和规范师生的上网行为,避免一些师生因不懂网络安全法而导致网络犯罪。
在信息技术飞速发展的社会,网络已经成为人们工作、学习、生活中必不可少的工具。在使用网络的过程中养成良好的网络安全职业道德,一方面有助于加强彼此之间的理解和沟通,另一方面可以避免非主观意愿的计算机网络犯罪行为。
四、结语
随着计算机技术的快速发展,人们的工作、学习和生活越来越离不开网络,各个学校都在推行数字化高中校园建设。高中校园网络在数字化高中校园建设中担当着至关重要的角色,而在高中校@网络使用过程中,网络安全问题日益突出。
此次大会由杭州市人民政府、中国网络空间安全协会、浙江省网信办、浙江省公安厅、浙江省经信委、云栖大会组委会指导,中国信息产业商会信息安全产业分会、阿里云计算有限公司、杭州安恒信息技术有限公司主办,浙江省计算机信息系统安全协会、杭州市网络安全协会、北京洋浦伟业科技发展有限公司、飞塔信息科技(北京)有限公司、北京元支点信息安全技术有限公司、北京珊瑚灵御科技有限公司协办。
本届大会以“安若磐石,云之所栖”为主题,以全新的国际视野,洞悉全球云安全发展趋势;围绕“中国网络安全创新分享”这一主题,共同研讨探索适应我国国情的网络安全发展的道路,共商凝聚共识,整合资源的网络安全创新新模式。
大会由公安部第一研究所原所长、计算机安全专委会主任严明主持,并宣读了杭州市委副书记、市政府党组书记、市长张鸿铭对大会发来的贺信。参加本次大会的致辞和重要演讲的嘉宾有,中央网信办网络安全协调局副局长胡啸,浙江省公安厅副厅长石小忠,浙江省经信委总工程师厉敏,中国信息产业商会信息安全产业分会理事长朱胜涛,公安部网络安全保卫局总工程师郭启全,国家信息中心专家委员会副主任、国家信息化专家咨询委员会委员宁家骏等领导和专家。另外,来自全国各地政府机构、公安部门、信息安全科研单位、央企、金融、运营商、互联网、军工各行业信息安全决策人员、信息安全主管、CIO、媒体等1500余人出席了本次大会。
专家论道产业安全
郭启全总工在演讲“加强创新和能力协同 全力保卫国家关键信息基础设施安全”中提到,国家对网络安全提出了新的要求,首先就是要健全和完善国家信息安全等级保护制度,强化关键信息基础设施保护。《网络安全法(草案)》中也提出明确要求,国家实施网络安全等级保护制度。
等级保护在网络安全保障、网络强国建设方面起着至关重要的作用。基础信息网络与重要信息系统面临着日益严峻的威胁与挑战。
为适应新技术的发展,解决云计算、物联网、移动互联和工控领域信息系统的等级保护工作的需要,从2014年3月开始,由公安部牵头组织开展了信息技术新领域等级保护重点标准申报国家标准的工作,等级保护正式进入了2.0时代。
全新的《网络安全等级保护基本要求》涵盖了6个部分的内容:安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求、工业控制安全扩展要求以及大数据安全扩展要求。
宁家骏指出,开展关键信息基础设施网络安全检查至关重要,安全检查是从涉及国计民生的关键业务入手,理清可能影响关键业务运转的信息系统和工业控制系统,准确掌握关键信息基础设施的安全状况,科学评估面临的网络安全风险,以查促管、以查促防、以查促改、以查促建,同时为构建关键信息基础设施安全保障体系提供基础性数据和参考。
他建议,充分借鉴国外关键基础设施网络安全保护相关法律,分析我国现有立法的不足和主要问题,抓紧建立我国关键基础设施网络安全法律体系,从法律层面明确关键基础设施的定义和范围、界定政府部门的职责、规范运营者何所有者的运营资质要求。同时通过关键基础设施网络安全态势感知、积极稳妥推动关键基础设施相关产品的国产替代、开展安全检查评测督促关键基础设施运营单位加强管理等方案促进我国关键基础设施网络安全与信息化的大发展。
聚焦G20杭州峰会安保
安恒信息CSO刘志乐在演讲中表示,杭州安恒信息技术有限公司作为本次大会网络安保和应急支撑工作的主要技术支撑单位,历经近360天精心准备、投入309位技术骨干参与到G20峰会网络安保任务。通过企业自主知识产权的最新大数据态势感知系统及应急处置工具箱、工控检查工具箱等二十多种产品平台,为G20峰会网络安保构建了全网全程网络安保和应急支撑监测体系、防御体系和服务体系,经过G20峰会全程考验,安恒信息圆满完成为本次峰会相关重要信息系统、关键基础设施、省市两级重要信息系统提供网络安全保障的安保任务。
安恒信息网络安保团队以远程和现场人员安全检测,结合部署基于云与大数据技术的远程安全监测、大会系统现场各重要驻点安全值守、会议安保指挥中心四方互联,多地支撑的形式,为大会召开保驾护航。他以本次峰会核心信息系统为例介绍道,安恒信息安保团队共发现高危以上漏洞438个,共拦截3300万次攻击。经风暴中心分析,攻击来自于41个国家和地区。
DT时代的云计算安全
阿里云安全资深总监肖力表示,云计算时代所面临的安全挑战并不比传统安全所面临的问题要少,甚至于相较之下更加复杂。通过10多年在安全领域的积累,阿里云建立了一支全球顶级的云计算安全团队,有完善的基础设施,并且有更快的安全应急时间,能及时发现高危的安全漏洞信息,用最短时间修复,帮助用户应对安全问题。
据普华永道统计,目前69%的企业正在使用基于云的安全服务,阿里云保护云上37%的数百万的网站,每天防御8亿次各类攻击,每天识别并防御35000个恶意IP,每天防御2000次DDoS攻击。安全从来就不是云平台、用户或者安全厂商某一方的单打独斗。云计算厂商需要建立强大的生态让用户个性化的安全需求能够快速有效的解决,云上客户需要与SaaS服务商和安全厂商的虚拟化产品协同作战,目前阿里云安全生态市场已有包括安恒信息在内的79家生态厂商、168款安全产品。
阿里云首席安全研究员、云盾负责人吴翰清在大会上首次了“阿里云云盾混合云解决方案”,混合云解决方案由阿里云安全团队与数梦工场联合开发、交付,支持公共云、专有云、线下IDC全场景覆盖,让企业拥有与阿里云一样的世界级安全能力与体验效果:包括安全态势感知大屏、海量宽带和快速扩容、大数据安全分析、威胁情报支持和0DAY快速反应能力。
模块化是混合云云盾解决方案的一大体验亮点。阿里云云盾的安全能力和服务,用“可插拔”的模式,模块化输入。用户可以按需购买,按需启用,解决以往线下解决方案不灵活、投入大的缺点。
安恒密盾2.0
安恒密盾安全产品经理杨锦峰做题为“打造你的钉钉移动应用安全之路(密盾2.0)”的演讲。
关键词:和谐社会;和谐;网络;安全
随着信息化时代的到来,互联网已经深入到我们生活的方方面面。网络是当今信息化社会的一个重要标志性部分,通过实现网络的稳定和谐,促进整个社会的稳定和谐,因而构建和谐网络对构建社会具有重要意义。
一、和谐网络的内涵
在汉语中“和”与“谐”是同义的,《广雅》中说,“和,谐也。”而《尔雅》中又有“谐,和也。”和谐网络具有以下三个方面的含义:
(一)和谐网络是共建共享的网络。网络是属于所有网民的,它不是某个人或某个团体所私有的财产。因而,网络需要所有网民共同建设、维护和享用,每个网络的使用者都有权利和义务对网络的方方面面负责。
(二)和谐网络是规范和有序的网络。规范和有序不仅是和谐网络的基础,更是和谐社会存在的基础。规范和有序作为一种行为准则,是维护和谐、保持稳定的工具。而这规范和有序必须是大多数网络成员认可的,才能起到规范网络、维护和谐的作用。
(三)和谐网络是矛盾和冲突正确表达的网络。构成社会的行为主体的个体性和差异性正是社会冲突的根源。同样,在网络当中也存在矛盾和冲突,要调和矛盾首先要承认矛盾的存在,然后在尊重和维护网络成员正当利益的基础之上,找到解决矛盾的途径,建立安全诚信的网络。
二、网络中存在的不和谐性
随着全社会信息化程度的提高,互联网在服务、教育、科研、管理等方面都发挥了不可替代的作用。然而,伴随着网络的快速发展,网络的不和谐性日益突出。频频出现的黑客事件、网络犯罪事件不仅给当事人带来巨大损失,更有悖于和谐社会的构建。目前网络中存在的不和谐性主要表现为以下几个方面:
(一)网络本身存在的安全缺陷
1.网络协议安全性不高。网络协议就是计算机网络中各种设备为相互通信而建立的标准、规则的集合。它相当于通信设备之间相互“沟通”、“交流”的“语言”。目前网络上使用的协议在最初设计时为了获得高效的运行效率,没有充分考虑安全性,而且该协议是公开的,任何人都可以去研究、分析它。所以协议的安全性不高,被人破坏和利用的可能性很大。
2.软件存在的安全漏洞。软件是使用网络的目的和手段。网络上安装了种类繁多,功能各异软件系统。软件在开发设计时虽然力求安全性能无懈可击,但或是考虑不全面,或是为了实现某一功能而暴露出一定设计缺陷和安全漏洞。面对互联网上横行的病毒、木马,如不及时更新有设计缺陷的软件,查补漏洞,这些安全漏洞很容易被攻击,导致机器中毒。
(二)网络带宽有限
随着Internet规模的扩大,最近十年来各种类型的网络用户数量激增。据2007年7月CNNIC的中国互联网发展状况统计报告显示,国内网民总人数达到1.62亿,普及率达12.3%。相比之下,网络带宽自身增长的速度跟不上网民对网络带宽的需求速度。随着电子商务,电子政务的开展以及视频、声音等多媒体在网络中的广泛应用,对网络带宽的需求越来越大。然而,由于网络的安全性,可靠性和可管理性不高,网络的带宽十分有限,直接影响了网络数据业务的正常运营。
(三)黑客恶意攻击
近年来网络上黑客泛滥成灾,每年各类网络遭受黑客攻击的次数屡创新高。由于所使用的软件存在不同程度的安全漏洞,并且现在网络上每天都有新的软件漏洞被发现,而从发现漏洞到黑客利用新漏洞进行网络攻击这段时间越来越短。网络受到黑客攻击事件屡屡发生。据统计,Internet每天受到的攻击数达4967541次,平均每小时206981次。
三、和谐网络构建对策
和谐网络构建对策就是针对当前网络的实际情况,在网络建设的整个过程中,具体对各种网络安全问题采取的相应措施。
(一)强化网民上网安全意识,提高安全防护能力
加强网络安全防护首先要强化网民的安全意识。为了提高广大网络用户的网络安全意识,可以通过签署入网协议或定期开展网络安全培训等形式给网络用户普及基本的网络使用和安全知识,使其了解网络的安全管理制度,并明确网络使用中的职责和义务。同时,对网络管理人员进行相关的技术培训和指导,培养出技术精、能力强的和谐网络安全卫士。
(二)完善网络安全法律法规
在网络安全建设上如果没有切实可行的安全法规和保障制度,和谐网络建设就变成了一纸空谈。在高度信息化的今天,网络安全立法问题受到越来越多的国家重视,尤其是信息化程度发达的欧美国家。当今信息技术发展日新月异,网络黑客、网络犯罪事件屡打不绝,这与构建和谐网络的要求相去甚远。这就要求相关部门必须颁布网络行为规范和具体处罚条例。严格落实这些法律法规,对违法违规者严惩不贷,自觉维护和谐网络的建设。
(三)弘扬积极健康网络文化,净化网络空间
互联网是当今的主要媒体,要利用互联网宣传科学真理,弘扬社会正气,倡导和谐理念。随着互联网在社会生活各个领域的推广,和谐的网络还要加强网络的诚信建设。诚信关乎互联网未来的前途命运。失信的互联网是没有前途的网络,最终是要走向死亡的。因此,网络各级管理单位和广大网民要齐心协力,以网络相关法律规范为依托,自觉履行文明办网承诺,自觉开展文明上网行为,构建诚信为本、守信光荣的和谐网络。
总之,和谐网络的构建是一个复杂的系统工程。我们应当全面考虑综合运用各种技术手段以及提高网络用户安全防范意识等多项措施,互相配合,加强管理,综合提高网络的和谐性,从而建立一个规范有序、安全诚信的和谐网络。
参考文献:
[1]胡道元.网络安全的挑战和对策[J].信息网络安全,2008,(01).
[2]李漫丽.浅谈学校网络安全防护[J].湖南医科大学学报,2008,(5).
2015年,Jeep切诺基Uconnect 车载系统漏洞就曾被曝出,攻击者通过漏洞能远程控制汽车娱乐系统、制动甚至油门等功能,对高速行驶中的汽车驾驶者而言,这是生死攸关的安全问题。该事件导致克莱斯勒不得不在美国召回140万辆汽车,并对其车载软件进行升级。
车联网信息安全隐患已非个案。国家层面也在积极推动、探索汽车行业与信息安全交叉领域的安全规范及标准建设。2016年11月正式出台的《中华人民共和国网络安全法》明确要求网络运营者(车厂、车联网运营者)应“采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性”。
这意味着国家层面已经意识、关注并不断推动车联网信息安全的防御体系建设,通过加合国世界车辆法规协调论坛(简称WP29),积极参与联合国汽车信息安全法律法规的起草、修订工作。作为中国受邀单位,东软集团也由网络安全事业部物联网研发中心主任陈静相作为代表,出席于今年3月1日在美国召开的ISO和SAE联合工作组第二次会议。
汽车安全防护意识抬头
目前,汽车行业ISO标准体系已明确汽车功能安全规范,但并未做强制性推行。2016年,WP29就着手拟定汽车信息安全相关草案,计划将其作为一个国际交通系统必须遵守的强制性法律法规推出。
“东软之所以能作为中方代表参与其中,是因为我们在汽车电子行业以及安全领域有了近20年的积累。在将安全与车联网相关联并量产的实际能力方面东软有一定优势。”东软集团副总裁兼网络安全事业部总经理杨纪文表示,他们是想通过自身的一些积累,在推动汽车安全领域无论是国内标准还是国际标准的过程中贡献力量。
WP29推国际交通系统强制性法规,这对国内企业触动极大,同时也将影响智能网联汽车、无人驾驶汽车未来的市场格局。作为中方代表参与WP29国际法规建设,尤其是联合国汽车信息安全标准建设的具体工作,陈静相也坦诚压力。
“一方面,国内车厂此前在汽车信息安全方面普遍没有太多涉猎和积累,而我们参与提案的内容对现有产业格局会产生影响,势必会有阻力,这是难点一;另一方面,在汽车信息安全技术维度,欧洲主导加密技术,美国更注重整个管理流程、周期上的安全规范,东软如何代表国内汽车行业群体,把握好技术的主导方向,同时也要考虑将区域市场中的一些技术需求反映到国际汽车组织中,这是难点二。”
由东软集团股份有限公司、公安部第三研究所、长安集团、中国电子科技集团公司第十五研究所、中国信息安全认证中心、中国软件测评中心、恩智浦(中国)、长安汽车股份有限公司、奇瑞汽车股份有限公司等共同组成的车载信息安全产业联盟(Automotive Cybersecurity Industry Alliance,缩写:ACIA)2016年正式在京成立,该联盟正式对外了《车载信息安全技术标准白皮书》。东软集团也同期了国内首款车载信息安全产品――东软S-Car整体解决方案。
而东软也一直积极与国内各个车厂进行沟通,希望借此打消国内汽车厂商对现阶段的测试部署是否符合未砉际标准的顾虑,并希望凭借自身的努力,在真正的汽车安全行业标准落地后,保证前期介入制定的各项标准能够切实为汽车厂商提供应用支撑、提升安全防护。
深耕车载信息安全
陈静相介绍说,车载信息安全分为终端安全和网络安全两部分,与传统安全有着巨大差异。“这是一条更艰难的道路。”陈静相表示,“车载信息安全系统对车辆的操作性、实时性要求非常高,其所涉及到的技术难度是从量变到质变的过程。”例如,车载信息系统在加入安全元素之后,在流量的传输上也将带来更大成本,同时,车载信息安全系统需要做双向认证,在车辆每次断网再连网时,需要再做一次安全部署。而车载实时操作系统内存非常有限,传统的算法在其上无法直接运行,这一切无疑都是一个巨大挑战。
而汽车行业对设备的性能也有着异常严苛的要求。陈静相举例说明,宝马汽车在测试一款即将在欧洲车型上装配的收音机部件时,甚至派出工程师坐着样车环绕欧洲开了好几圈,测试收音机在不同地区不同频段是否会出现细微吱吱声,并随时记录以便改进。
对此,东软选择的技术路线是由内而外,通过在汽车底层网络中构建、部署汽车智能信息安全系统的方式来提升整个车联网系统的安全防御能力。
陈静相将东软在汽车安全领域的“事业”形象地比喻为一个与苹果手机iOS系统紧密结合的安全模块,这个模块可以从底层真正解决用户的安全问题,其重要性不言而喻。
一、两份“流量劫持”有罪判决引发的思考
案件一:从2013年底至2014年10月,被告人付某等人租赁多台服务器,使用恶意代码修改互联网用户路由器的DNS设置,进而使用户登录“2345.com”等导航网站时,跳转至其设置的“5w.com”导航网站,再将获取的互联网用户流量出售给“5w.com”导航网站所有者杭州某公司。经查,两名被告人违法所得达75.47万余元。法院审理认为,被告人付某、黄某违反国家规定,对计算机信息系统中存储的数据进行修改,后果特别严重,已构成破坏计算机信息系统罪。[1]
案件二:2008年10月起,被告人施某在中国某有限公司重庆网络监控维护中心核心平台部工作,负责业务平台数据配置。2013年2月至2014年12月,被告人施某等人为谋取非法利益,违反国家规定,先后对某重庆分公司互联网域名解析系统(DNS)进行非法控制,施某等人分别获利157万余元不等。法院认为,被告人施某等共同违反国家规定,非法控制计算机信息系统的域名解析系统,后果特别严重,构成非法控制计算机信息系统罪。[2]
“流量劫持”作为新型的网络不正当竞争行为,长期处于刑事制裁的边缘。前述两个案件是庞大的“流量劫持”现象中的两个特例,也是目前仅有的两个有罪判决。其中,案件一被公认是国内首例“流量劫持”案。有罪判决具有鲜明的先例效应,成为今后追究“流量劫持”行为刑事责任的司法标杆。但是,在作为犯罪论处时,尚有诸多新问题需要厘清和解决。比如,同为以DNS攻击实施的“流量劫持”危害行为,两个有罪判决的定性存在较大差异。既暴露非法控制计算机信息系统罪与破坏计算机信息系统罪的司法竞合问题,也折射出当前立法应对新型网络犯罪的规范不足,更反映网络犯罪理论研究的深层次短板。
二、“流量劫持”的民事规制乏力
所谓“流量劫持”,一般是指“利用各种恶意软件修改浏览器、锁定主页或不停弹出新窗口,强制用户访问某些网站,从而造成用户流量损失的情形”。当前,可以分为域名劫持与数据劫持两大类型。典型的劫持方式包括DNS域名解析、植入木马、弹窗与广告插件等,具体做法包括Hub嗅探、MAC欺骗、MAC冲刷、ARP攻击、DHCP钓鱼、DNS劫持、CDN入侵、路由器弱口令、路由器CSRF、PPPoE钓鱼、蜜罐、WiFi弱口令、WiFi伪热点、WiFi强制断线、WLAN基站钓鱼等。但是,“流量劫持”作为严重的网络技术失范行为,并非纯粹的“偷流量”,“偷流量”中的“流量”一般是指网络流量或手机流量等,在实践中可能涉嫌构成盗窃罪或非法获取计算机信息系统数据罪。
“流量劫持”现象早已有之,甚至已经变成网络空间安全的“毒瘤”。《中国互联网法律与政策研究报告(2013)》指出,流量劫持作为新型的网络不正当竞争行为,亟待立法规制。[3]但是,长期以来,主要依靠两种民事救济方式:(1)民事起诉索赔。在“3B”大战一案中,360对百度搜索结果进行标注甚至篡改,并向用户宣传安装360浏览器,百度因此向法院起诉360。法院认定,360以用户安全为名义,对百度搜索结果进行插标,干扰他人互联网产品或服务的正常运行,判决其赔偿百度40万元。2015年底,百度与搜狗围绕“流量劫持”问题再次“互撕”。法院认定搜狗构成不正当竞争,责令赔偿经济损失。随后,今日头条、美团大众点评网、360、腾讯、微博、小米科技《六公司关于抵制流量劫持等违法行为的联合声明》。(2)民事诉前禁止令的先例。在2015年的“双十一”来临之际,天猫、淘宝向浦东法院提出诉前行为保全申请,请求法院禁止两家公司继续以“帮5淘”(“帮5买”网站推出的“帮5淘”网页插件,名为比价软件,实为劫持流量的恶意插件,安装后很难卸载。)网页插件的形式,对申请人实施不正当竞争行为。最终法院支持淘宝的诉前禁止令的请求。
当前,通过民事救济方式规制“流量劫持”行为,对维护互联网企业的公平竞争秩序有积极意义,却忽视用户的合法权益,更忽视保护网络安全的重要意义。然而,厚此薄彼的做法无法实现最大的治理效益。反而,由于刑法并无相关的直接规定,单纯民事救济手段容易导致“流量劫持”遁入“无法”的空间地带,间接充当纵容其成为网络环境下快速牟利的违法犯罪手段的帮凶。
三、“流量劫持”的刑事制裁原理
“流量劫持”首先侵犯用户、企业以及第三人的合法自主使用权益,也破坏网络市场经营秩序,更严重破坏网络空间安全。因此,民事救济方式具有局限性,将其入罪是刑法积极维护网络空间安全的必然体现。
(一)并非所有的“流量劫持”行为都应当入罪
“流量劫持”单纯作为网络技术行为而言,具有一定的中立性。然而,当其作为排斥竞争对手和牟取非法竞争利益时,则可能属于不正当竞争行为,甚至涉嫌构成犯罪。由此,部分严重的“流量劫持”行为可能构成犯罪。一般而言,“流量劫持”在实施方法或实现技术上可以分为软性与硬性两种。软性的“流量劫持”并未采取技术手段侵入计算机信息系统,而是采取核心关键词的替换等手段,典型的如“3B”大战一案,一般应当定性为不正当竞争行为。硬性的“流量劫持,是指采取破坏计算机信息系统正常运行的方式劫持流量,应当构成犯罪。换言之,当采用DNS劫持、用户端植入插件或代码等手段时,往往属于硬性的“流量劫持”,可能涉嫌破坏计算机信息系统安全,目前的两个有罪判决即是示例。无论属于软性还是硬性的“流量劫持”,对于用户而言,往往只能选择民事救济手段,除非伴随获取个人信息与窃取财产等危害行为。这也是民事救济方式的弊端之一所在。
(二)“流量劫持”构成破坏计算机信息系统罪的理由
当前,刑法并未规定“流量劫持”中的“流量”属于财产,用户流量流失以及各方遭受的经济损失也难以归入财产犯罪。但是,硬性的“流量劫持”行为客观上导致计算机信息系统被植入恶意软件,并危害网络的正常运行,是对计算机信息系统的破坏。换言之,采取域名解析等技术手段方式时,必然对网络用户的计算机信息系统中存储、处理的数据进行修改、增删等行为,从而具备破坏计算机信息系统罪的客观要件。从网络技术的属性看,“流量劫持”的本质是数据没有加密保护,传输中机密性和完整性就可能受损。据此,“流量劫持”破坏正常或完整的网络数据运行与程序活动,也直接破坏网络空间安全。因而,构成破坏计算机信息系统罪。
(三)“流量劫持”构成非法控制计算机信息系统数据罪的理由
在案件二中,虽然也采用DNS域名解析的方式,但法院最终认为构成非法控制计算机信息系统罪。其合理性在于:“流量劫持”首先表现为非法控制互联网域名解析系统,同时致使用户访问被劫持的网站时,强行跳转到另外的页面,用户实际访问的页面与用户输入的网址不同;或者致使在用户访问网站时,自动加入推广商的代码。这其实违背计算机信息系统合法用户的意愿,恣意操作该计算机信息系统或掌握其活动的行为。易言之,“流量劫持”行为未经权利人允许,违背用户与企业意愿,采取非法代替操作、非法掌握用户与企业的运行行为及数据等技术手段,导致正常的网络运行控制权丧失,[4]已经完全“非法控制”计算机信息系统。因此,构成非法控制计算机信息系统罪,但与破坏计算机信息系统罪产生竞合问题。
(四)“流量劫持”涉嫌构成破坏生产经营罪
“流量劫持”作为典型的网络流氓行为,实质是通过的网络技术手段,保持非法的垄断地位或非法侵占其他竞争对手的网络资源并牟取暴利。作为新型的网络不正当竞争行为,严重干扰正常的网络市场经营秩序,同时侵犯消费者的合法权益。特别是在“互联网+”时代,网络流量成为信息服务与数据竞争的核心因素,放任“流量劫持”行为不管,将严重破坏互联网企业、用户与第三方之间的良性网络竞争环境。因此,即使不采取破坏计算机信息系统等硬性方式实施,“流量劫持”也可能涉嫌构成破坏生产经营罪,而非必然只能由民事救济手段介入。但是,破坏生产经营罪的制定背景仍然是传统的现实物理社会,导致对网络经济的兼容性明显不足,明显匮乏规制新型网络经济犯罪的能力。[5]由此,传统意义的破坏生产经营罪介入“流量劫持”缺乏有效的规范依据,除非进行“网络化”改造并植入网络因素。
(五)提供“流量劫持”与帮助实施行为涉嫌构成犯罪
当前,两个有罪判决主要是对使用“流量劫持”行为加以制裁。但是,提供“流量劫持”技术或帮助实施“流量劫持”的行为同样值得处罚。首先,提供或明知他人实施侵入和非法控制计算机信息系统的,提供DNS等硬性的“流量劫持”程序或工具的,在达到情节严重时,构成《刑法》第285条的3款规定的提供侵入、非法控制计算机信息系统程序、工具罪。其次,当明知他人利用“流量劫持”等手段实施犯罪的,提供互联网接入、服务器托管、网络存储等技术支持或其他技术帮助的,构成第287条之二规定的帮助信息网络犯罪活动罪。显然,已有的两个有罪判决并未介入。
总之,“流量劫持”是严重的网络不正当竞争行为,明显干扰正常的网络市场经营秩序。然而,单纯依靠民事救济方式并不妥当,既忽视用户的自主权,也忽视网络安全的重要地位。无论是硬性还是软性的“流量劫持”行为,都可能侵犯网络安全刑法法益,受害者不再是独立的用户、企业或者市场经营秩序。这正是上升到刑事制裁层面的根本理由。两个有罪判决聚焦非法控制计算机信息系统罪与破坏计算机信息系统罪并无不当,却也遗漏“流量劫持”严重破坏网络市场经营秩序的客观事实,破坏生产经营罪的“网络化”转型刻不容缓。此外,对于非法提供“流量劫持”技术和帮助实施“流量劫持”的严重行为,应当加以处罚。
四、“流量劫持”的立法规制完善
“流量劫持”的适法困难暴露了网络犯罪立法规定仍有漏洞,司法竞合现象也暗示网络犯罪立法规定有待升级整合。现行刑法仍以传统物理现实社会为制定背景,逐渐脱离网络空间社会的代际变迁与新型需要。传统刑法理论体系的“网络化”是必然的发展趋势,“流量劫持”可以作为转型的一个切入口。
(一)司法竞合的客观必然性及其克服
对于“流量劫持”行为,实践中长期依靠民事规制手段有其客观性。除了网络安全保护思维更新迟缓外,刑法立法的不足是重要内因。进言之:(1)1997年《刑法》第286条早就规定破坏计算机信息系统罪,但是,司法机关一直未启用,首先表明尚未充分认识到网络安全的重要性、网络安全威胁的多样化。目前,尽管已有按照破坏计算机信息系统罪论处的判决,然而,搁置第286条而长期不启用,更从侧面反应司法保护理念的迟延,以及网络犯罪立法更新的不足。(2)《刑法修正案(七)》增加第285条第2款并确立非法控制计算机信息系统罪,“非法控制”作为危害行为的关键词,从规范角度可以阐明“流量劫持”作为技术危害行为的本质特征,是其被援引的主要原因。虽然丰富定罪的选项,却引发了非法控制计算机信息系统罪与破坏计算机信息系统罪的司法竞合难题。这说明立法修改未能全盘考虑,修改的“碎片化”痕迹过重。(3)破坏计算机信息系统罪与非法控制计算机信息系统罪,分别是1997年《刑法》与《刑法修正案(七)》的产物。相隔十二年的两个罪名,在互联网发生了翻天覆地的巨变之际,发生竞合现象,充分说明立法更新不足是重要的内因,已有立法规定对新生事物的适宜性不断下降。为此,应当从立法方面加以解决。(4)尽管立法完善是最终途径,然而,暂时可以考虑由最高人民法院或最高人民检察院指导性案例,发挥案例指导制度在解决新型、疑难、典型案件的法律适用上的独特作用。实际上,已有的两个有罪判决可以作为指导案例的来源,以此明确适用的法理基础与区分标准。
(二)危害行为竞合是实质内容
从当前两个有罪判决看,其实各有道理:(1)“流量劫持”既符合“非法控制”的危害行为特征,也满足“破坏”的危害行为属性。从“非法控制”与“非法破坏”的内在逻辑看,应当是特殊与普遍的关系,“非法控制”显然可以作为“破坏”的特殊行为对待。因而,论处非法控制计算机信息系统罪更妥。(2)从法定刑的档次看,破坏计算机信息系统罪严于非法控制计算机信息系统罪。如果遵循竞合形态一般所主张的“从一重处罚”原则,更宜论处破坏计算机信息系统罪。然而,同案同判的效果终至落空,不利于法治的统一。据此,非法控制与破坏都可以概括在“流量劫持”的技术特征与危害结果,是竞合的实质内容。进而,也促发两个关联法条之间的竞合,也即究竟是特殊优于普通、还是重法优于轻法的分歧,实践中可能基于重罚的立场而选择后者,却也忽视危害行为类型才是最重要的区分因素。(3)对于两个有罪判决暴露的竞合问题,刑法解释几乎鞭长莫及。无论将“流量劫持”严格解释为“非法控制”计算机信息系统的行为,还是限制解释为“破坏”计算机信息系统的行为,都难逃司法竞合的命运。因此,刑法解释在解决传统刑法理论的网络化问题时较为乏力。
(三)立法完善的基本思路
为了充分提升刑法保护网络安全的针对性,为了从立法环节克服“适用困难”现象,立法完善是避免当前处置“流量劫持”等新型问题时出现竞合难辨的合理出路。简言之:(1)优化网络危害行为的类型结构。1997年刑法以计算机1.0时代为背景,第285条和第286条的犯罪对象以及犯罪客体大同小异,危害行为分别是“侵入”和“破坏”。但是,从语言逻辑与罪状内容看,“破坏”可以包含任何网络危害行为,人为制造了竞合的内因。经过《刑法修正案(七)》修改后,第285条第2款、第3款分别增加“非法控制”、“非法获取”以及“非法提供”,但是,“破坏”仍可以包含新增的危害行为。[6]毕竟立法理念与技术并未脱离1997年刑法及其制定背景。《刑法修正案(九)》再次修改后,由于聚焦以信息网络为核心的网络2.0时代,所以,犯罪对象和犯罪客体发生了一定的变化。第286条之一、第287条之一、第287条之二分别增加“拒不履行”、“非法利用”和“帮助”三种具体行为,从而与“破坏”保持相对的界限。然而,对于“流量劫持”的规范评价而言,《刑法修正案(九)》对危害行为的补强难以产生直接作用。由于“破坏”作为危害行为具有很强的包容性,“非法控制”可以理解为特殊行为,是导致网络罪名发生竞合的根本原因。因此,网络危害行为的类型化升级甚至重要,而且应当结合网络犯罪对象与网络安全法益作出同步的调整。(2)网络犯罪对象应当精确化。第286条是1997年刑法的产物,当时并未充分考虑到网络社会的高度发达以及网络犯罪的迅猛推进,犯罪对象是计算机信息系统及其运行安全。将“破坏”作为核心关键词,具有“兜底”之用,可以更好地涵盖第285条规定之外的其他计算机(信息)系统。易言之,“破坏”作为危害行为的实质内容,可以辐射范围较广的计算机信息系统及其运行情形。而且,《刑法修正案(七)》增加的第285条第2、3款仍以相同的犯罪对象为修改内容,导致后续增加的罪名与原有罪名之间容易出现竞合关系。相比之下,《刑法修正案(九)》的犯罪对象是信息网络及其管理秩序。[7]犯罪对象明显不同,相应的犯罪行为也不尽相同。由于注重设计新增罪名与既有罪名的罪状差异,避免了新旧罪名的行为竞合。第286条一共包括三款,各自的犯罪对象是系统功能、应用程序与数据,而其修改方向之一是拆分犯罪对象,拆分后的对象不应当存在重复或明显的交叉,力图避免与其他罪名的竞合。“流量劫持”的犯罪对象是信息系统与信息数据,考虑到第285条第2款可以保护网络系统安全法益,修改后的第286条便无需重复设置相同的犯罪对象。(3)具体网络安全法益的精细化。网络犯罪对象的精细化可以促使网络危害行为的类型化,而其前提是网络安全法益同步实现类型化,实现协同的效应。从而,可以在罪状层面实现无缝对接与内容整合,避免网络犯罪罪名的内部竞合,提高立法的科学化水平。总体而言:一方面,要逐步消除1997年刑法确定的计算机信息系统安全这一陈旧的法益内容。在网络空间社会全面覆盖之际,网络犯罪侵害网络安全法益,既包括网络信息安全,也包括大数据安全等。另一方面,不同的危害行为搭配不同的犯罪对象后,直接侵害的具体法益内容不尽相同。因此,直接法益的精细化至关重要,可以实现不同犯罪对象与危害行为的优化搭配。网络安全法益的类型化是合理布局网络犯罪立法的前提,从立法目的与立法技术层面可以预先排除竞合的概率。以《刑法修正案(九)》为例,新增加的第286条之一、第287条之一、第287条之二,将法益锁定为“信息网络安全管理秩序”,[8]分别通过拒不履行安全管理义务、非法利用的预备行为、非法的片面技术帮助行为共三种具体的危害行为类型加以体现,并作用于不同的信息对象。“流量劫持”主要破坏网络安全与信息系统的正常运行,更符合非法控制计算机信息系统罪保护的法益;第286条拆分后,具体法益的内容应当避免再次重复保护。
总之,“流量劫持”行为再次考验传统刑法理论应对新型网络安全风险的能力与适宜性。司法实践证明,传统刑法理念滞后与立法不足等老问题相继呈现。立法完善是解决“流量劫持”适法困难的终极途径,也再次说明传统刑法理论体系的“网络化”进化与变革应当加速推进。但是,依靠修修补补方式不足以应对现实挑战,网络犯罪立法需要有长远的规划、合理的布局,同步修改总则和分则的内容,协调立法修改与理论调整的步调。“网络刑法学”作为未来的刑法理论形态,是因应网络空间社会的“猜想”,具备自如应对诸如“流量劫持”等新问题与新挑战的能力,而有序的立法完善是促成“网络刑法学”实现的内生性动力。尽管如此,刑法解释、案例指导制度仍可以发挥一定的积极作用。
5月12日晚,一款名为“WannaCry” 的勒索软件病毒在全球迅速蔓延,用户只要开机上网,主机就会被攻击并导致存储文件被加密,只有以比特币形式支付赎金才可解锁。短短24小时内,该病毒席卷全球超过150个国家,感染电脑超过30万台。全球多个高校校内网、大型企业内网和政府机构专网中招,造成严重的危机管理问题。中国部分Windows操作系统用户遭受感染,校园网用户首当其冲,受害严重,大量实验室数据和毕业设计被锁定加密。
截至5月14日,国家互联网应急中心已监测到约242.3万个IP地址遭受勒索病毒攻击;被该病毒感染的IP地址数量近3.5万个,其中中国境内IP约1.8万个。目前,业界仍未找到破解该病毒恶意加密行为的有效办法。
更主动的进阶版“蠕虫”
据微软官方公告称,WannaCry本质仍是“蠕虫”病毒,只要在联网状态下,病毒远程就能自动扫描Windows TCP 445端口,随后利用其安全漏洞潜入电脑,加密用户文件。
但是,相比以往微软漏洞病毒的“默默无闻”,造成这次勒索病毒前所未有的爆发速度、蔓延态势及灾难性后果的原因或许在于,这次的病毒与传统蠕虫病毒存在许多特异之处。赛迪网络安全研究所所长刘权接受本报采访时表示,以往的病毒更“被动”,需要用户主动下载或打开后才会感染,相比之下,WannaCry“主动”得多,完全不需要用户操作,只要电脑联网且有漏洞,病毒就会主动攻击。通过这种方式,病毒传播速度更快、传播规模更大,危害也更严重。
另一方面,WannaCry“进阶”的破坏性也来自其独特的攻击模式。据WiFi万能钥匙首席安全官龚蔚告诉记者,这次的勒索病毒技术上并不复杂,但以往病毒往往只以控制用户电脑为目的,只要进行查杀或者重装系统就可恢复,但这次是将硬盘文件加密,简单的查杀并不能还原被黑客加密重要的文件,这一特性就导致事后弥补也无济于事。
勒索比特币或成趋势
对于此次病毒或将造成的深远影响,除了具备新特征的病毒在未来被模仿和复制外,采用虚拟“比特币”支付赎金的模式在未来变成趋势,也成为业界的一大担忧所在。与大多数实体货币不同,比特币不依靠特定货币机构发行,而是通过特定算法与大量计算产生,使用整个P2P网络中众多节点构成的分布式数据库来确认记录所有的交易行为,作为一种虚拟货币,既可以购买一些虚拟物品(如网络游戏中的衣物装备),也可以兑换成大多数国家的实体货币,因而在网络世界流行开来。
正是虚拟货币具备的这类特性,使得勒索比特币显得安全性更高。据刘权解释,与传统勒索实体货币不同,比特币产生与交易都在虚拟世界完成,账户也没有清晰的归属人信息,因此根据其勒索收款账号寻根溯源地追查也就无从谈起,这也是比特币受到黑客喜爱的一大原因所在。龚蔚则表示,这种勒索比特币的模式早在几年前就有,早先传播的渠道主要还是依靠邮件欺骗,所以传播速度和规模都有限,而此次借系统级高级别漏洞自动入侵传播病毒进行勒索则是首次,以前为利益趋势的攻击往往涉及很多地下产业渠道,导致这些攻击的变现过程繁杂,而比特币的简单模式只需要一个单一的个体就能完成从攻击到变现。龚蔚认为,随着这此次病毒事件影响力的传播,以后或许会出现更多类似变现的案例。
敲响国家网络安全警钟
此次WannaCry攻击的源头来自Windows系统的安全漏洞,但据微软官方表示,早在今年3月就针对此次攻击利用的安全漏洞了更新补丁MS07-010。同时,360的公告显示,由于以前国内多次爆发利用445端口传播病毒,部分运营商已在主干网上封禁了445端口,但是教育网及大量政企内网并没有此限制且未及时安装补丁,仍存在大量暴露的445端口和存在漏洞的电脑,导致目前WannaCry的泛滥。
对此,刘权提醒,虽然近年来我国不断完善网络安全保障措施,提升网络安全防护水平,但此次勒索病毒事件的蔓延,再次为我国网络安全防范敲响警钟,也表明社会大众尤其是政企单位亟须提高网络安全意识。同时,龚蔚也借此次事件带来的教训劝诫公众养成更新系统补丁的习惯,而不要觉得补丁只是锦上添花。“安全往往不是事后就能弥补的,以前你可以杀毒,现在你杀完也不解决问题,重要文件照样被锁。”除此之外,他也提醒公众平时注意备份文件,因为病毒千变万化,不会局限在单一Windows系统,下一次可能是智能电视或手机,而到事后再想到备份重要文件显然得不偿失。
更令公众惊骇的是,网络安全机构通报显示,WannaCry源自美国国家安全局(NSA)研发的黑客工具“EternalBlue”(永恒之蓝),在被黑客盗取后,才е麓舜未蠊婺9共损害。这也暗示美国政府部门对于该微软漏洞一直知情,甚至对其进行有目的性地的利用。网络安全也再次成为探讨国家安全边界的热议话题。