电子商务中的计算机犯罪及防范措施.doc

电子商务中的计算机犯罪及防范措施（西安翻译学院信息工程系 710105）摘要：21世纪将是一个以计算机网络为核心的信息时代，互联网络正在人们的工作、学习、生活中正扮演着越来越重要的角色。随着科学技术的进步，基于互联网的电子商务在我国得到了飞速的发展，但是种种的不安全因素也渐渐显露出来，计算机犯罪日益成为一种新型的危害社会、破坏经济发展的邪恶力量，其自身技术更新迅速，作案手段多样，为破案造成了很大的难度。因此我们需要通过正确认识和理解计算机犯罪及防范措施分析和论述，进而对计算机犯罪的定义、特点以及犯罪方式提出了自己的观点，目的在于减少或避免计算机犯罪的发生，并防治各种计算机犯罪行为，推动计算机犯罪相关法律的制定步伐，加快互联网的推广及应用，扫除我国电子商务发展过程中的犯罪障碍，促进电子商务健康有序地发展。 Abstract: The 21st century will be a computer network at the core of the information age, the Internet is the peoples work, study and live Chiang Kai-shek to play an increasingly important role. With the progress in science and technology, the Internet-based e-commerce in China has been rapid development, but a variety of factors of insecurity has gradually come to light, computer crime is increasingly becoming a new type of social harm, damage to the economic development of the forces of evil, Its own rapid updates techniques, and diverse means of crime, in order to solve the case caused a great deal more difficult. That is why we need a correct understanding of understandable and computer crime prevention measures and analysis and discussion, and the definition of computer crime, crime, as well as the characteristics of the way their views to reduce or avoid the occurrence of computer crime, computer crime and a variety of prevention and treatment Act, computer crime laws to promote the development pace of the Internet to speed up the promotion and application of e-commerce development in China to remove the obstacles to the crime, and promote the healthy and orderly development of e-commerce.关键词：计算机犯罪；电子商务；防范；措施Keywords: Computer crime; Electronic commerce; Precaution; Preventive measures 20世纪90年代以来，基于Internet的电子商务（以下简称电子商务）迅速发展起来这种新经济模式一开始就预示出巨大的商业利润，促使世界各国纷纷全力发展本国的电子商务，我国也十分重视电子商务建设，但是，电子商务发展毕竟发展时间很短，在技术、管理、法律规范等方面远没有成熟，存在很多阻碍电子商务发展的因素，其中包括电子商务领域计算机犯罪。电子商务安全控制要求：有信息保密性、交易者身份的确定性、不可否认性、不可修改性等，并提出电子商务发展的核心和关键问题是交易的安全性，为保障电子商务的安全运营，人们提出安全电子交易协议（SET：Secure Electronic Transaction）等技术规范，构筑电子交易的安全体系。但是，电子商务的安全运营不仅涉及技术问题，同时也涉及管理问题和法律问题，如电子商务交易管理规则、电子商务认证机构管理规则以及涉及电子商务的刑法、民法、行政法律规范等等。我国成功交易的第一笔Internet上电子商务是在1998年3月6日，电子商务系统内机构的组合协调工作远没有完成，电子商务体系建设刚刚起步，其正常运行有待规范化，电子商务交易的管理标准还没有系统制定，电子商务法制建设尚处于摸索阶段，这表明我国电子商务建设正处于规范化过程中。但是，由于电子商务领域急剧集中了巨额社会财富，对社会生活的影响日益强大，而电子商务的安全建设才蹒跚学步，这一状况必然对各类犯罪具有巨大的吸引力，我国起步中的电子商务发展面临犯罪的严峻挑战。一、计算机犯罪的概念和特点及其构成要件1.计算机犯罪的概念随着计算机普及率的提高，人们利用计算机从事的活动日益增多，与此同时计算机犯罪的类型和领域也不断地增加和扩展，从而使“计算机犯罪”这一术语随着时间的推移而不断获得新的涵义。结合刑法条文的有关规定和我国计算机犯罪的实际情况，计算机犯罪的概念可以有广义和狭义之分：广义的计算机犯罪是指行为人故意直接对计算机实施侵入或破坏，或者利用计算机实施有关金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或其他犯罪行为的总称。狭义的计算机犯罪仅指行为人违反国家规定，故意侵入国家事务、国防建设、尖端科学技术等计算机信息系统，或者利用各种技术手段对计算机信息系统的功能及有关数据、应用程序等进行破坏，制作、传播计算机病毒，影响计算机系统正常运行且造成严重后果的行为。2.计算机犯罪的特点（1）作案手段智能化、隐蔽性强。大多数的计算机犯罪都是行为人经过狡诈而周密的安排，运用计算机专业知识所进行的智力犯罪行为。进行这种犯罪行为时，犯罪分子只需要向计算机输入错误指令，篡改软件程序，作案时间短且对计算机硬件和信息载体不会造成任何损害，作案不留痕迹，使一般人很难觉察到计算机内部发生的变化。另外，计算机犯罪所采用的犯罪手段较为隐蔽，所以很难被觉察。例如2001年美国东部时间2月8日，也就是雅虎网站遭袭后第二天，尽管世界各著名网站已经高度 警惕，但还是再次遭到这些神秘黑客的袭击。世界最著名的网络拍卖行eBay因神秘黑客袭击而瘫痪了整整两个小时，以致任何的用户都无法登录该站点；赫赫有名的美国有线新闻网 CNN随后也因遭神秘黑客的袭击而瘫痪近两个小时；风头最劲的购物网站A也被 迫关闭一个多小时! （2）犯罪侵害的目标较集中。就国内已经破获的计算机犯罪案件来看，作案人主要是为了非法占有财富和蓄意报复，因而目标主要集中在金融、证券、电信、大型公司等重要经济部门和单位，其中以金融、证券等部门尤为突出。例如1999年6月，eBay网站因遭黑客袭击而瘫痪了整整22个小时，从而使公司股值在五天的时间内损失了26%！去年11月，该网站在三天时间内因遭黑客袭击再次瘫痪4个多小时。伺候，公司被迫投资1800万美元用于改善网络的安全运作。既便如此，eBay网站在此次系集中仍未能逃脱瘫痪的厄运。（3）侦查取证困难，破案难度大，存在较高的犯罪黑数。犯罪黑数，其基本含义是指实际发生，但在正式的犯罪统计中却没有反映出来的数字。计算机犯罪黑数相当高，据统计，99%的计算机犯罪不能被人们发现。另外，在受理的这类案件中，侦查工作和犯罪证据的采集相当困难。对于1999年eBay网站被黑客攻击一事，当年美国司法部和联邦调查局的代表都承认，他们并没有掌握任何有关于这次袭击事件的线索，并不知道谁是这些袭击事件的幕后指使，有多少台计算机卷入了这些袭击事件，袭击的原因和袭击的地点也不知道。（4）犯罪后果严重，社会危害性大。国际计算机安全专家认为，计算机犯罪社会危害性的大小，取决于计算机信息系统的社会作用，取决于社会资产计算机化的程度和计算机普及应用的程度，其作用越大，计算机犯罪的社会危害性也越大。当今世界上，平均每20秒钟就有一起黑客事件发生，仅在美国每年造成的经济损失就超过100亿美元。2000年2月Ebay、E-Trade、Amazon等电子商务网站相继挂彩，其商务受到严重影响；Yahoo，全球第二大搜索引擎站点，注册用户一亿，平均日浏览页次4.85亿，也无可奈何地瘫痪了三个多小时。2月9日，全美因特网运行性能下降26.8%，三日内，受害公司损失超十亿。网络犯罪对社会管理秩序和国家安全造成的危害更是一个让人关注的问题，正如某伪专家所说：“如果一国利用高技术破坏或者扰乱他国的主要计算机信息系统，就足以使该国的军事指挥系统失灵，一旦一国掌握了另一国的重要信息，就可以达到不战而屈人之兵的目的。从这个意义上来看，网络犯罪已不仅仅是一个单纯的犯罪问题了，他可能危及到整个国家的安全。”二、计算机犯罪产生的原因1.计算机网络的开放性网络空间是开放的，具有跨地域性、跨国界性、信息共享性和互动性，网络信息可以迅速传播，基本上没有时空限制。一方面计算机网络的这些优点推动了社会信息化的进程，但另一方面社会丑恶的东西也搭乘上了信息化快车，并演化为高智能的网络犯罪。因此，网络色情信息、反动信息、网络病毒等无法杜绝。即使禁止了本国的相关网站，也不能有效地将他国的网站拒之门外。这些不良信息可以肆意散播，影响范围极其广泛。2.贪图钱财和谋取私利到目前为止，全球有意识的计算机网络犯罪活动中多数是盗取非法钱财。1986年，我国发现的首例计算机网络犯罪案就属于谋财类型，犯罪人利用计算机伪造存折和印鉴，将客户的3万元港币存款窃走。每年计算机网络偷盗、诈骗、贪污的案件都在上百起，最高金额达1000多万元。对钱财的贪婪始终是违法犯罪的原始动力，而在网络社会中也同样是如此，难怪网上财产犯罪在所有计算机犯罪中增长比例是最大的。随着金融部门日益依赖于电子资金转送系统，计算机网络犯罪的机会大大增加。一旦密码落到罪犯手中，巨额资金就会神不知鬼不觉地转向罪犯指定的任何地点。这类犯罪活动在各国都有，金额从几十美元到几亿美元，对银行、保险公司、电话公司等的危害最大。3.计算机网络犯罪成本低犯罪成本是指行为人因利用计算机或以计算机资产作为攻击对象而实施的严重危害社会的行为所承受的精神性、物质性代价，是一种成本支出。计算机成本由直接成本（包括心理成本和经济成本）和间接成本组成。计算机犯罪筹划阶段一般较长，但一旦进入系统执行一项犯罪指令则只需很短的时间。所以计算机犯罪作案时间的短促性使罪犯在作案时自我谴责和“现场”心理恐惧感大大降低，心理成本不高。计算机犯罪与传统手段的犯罪相比所冒的风险小而获益大，作案者只要轻轻按几下键盘，就可以使被害对象遭受巨大损失，而使罪犯获得巨大利益或对计算机系统入侵的刺激和挑战给他的心理带来极大的满足，所以经济成本很少。计算机犯罪行为如不被发现，其制约成本就等于零。4.网上违法犯罪侦破困难由于网络犯罪具有隐蔽性、智能性、连续性、无国界性和巨大的危害性，决定了其侦查困难。正是对网络犯罪侦查、取证的困难，在一定程度上导致了犯罪的日益猖獗。调查显示，网络犯罪作案人员大多数具有大专以上学历，且智商较高，计算机网络方面的知识和技能更为突出。而在网上不但有黑客学校、黑客组织，还有任何人都可以轻松得到的黑客工具。这些都让网络犯罪变得更加简单，而使侦查工作变得更为繁杂。5.网上防范技术落后计算机安全防范技术落后于计算机技术的发展，因此在对付网络犯罪方面往往显得力不从心。例如：对计算机病毒的防范，杀毒技术基本上是滞后于计算机病毒制作技术。2000年初，微软公司、亚马逊、雅虎等著名网站遭到黑客袭击，充分暴露了计算机网络系统内部安全的脆弱性。网络犯罪者中多数是熟悉计算机网络技术的专业人士和精通计算机的未成年人，他们对计算机达到了痴恋的程度，能够洞悉计算机网络的漏洞，从而利用高技术手段突破网络安全系统的防护，实现其犯罪目的。可见网络技术防范的落后已成为计算机违法犯罪的一个外部因素。我国在计算机硬、软件方面受制于人，目前使用的核心部件CPU芯片以及计算机操作系统大都是国外的产品，也就是计算机系统的关键技术都掌握在外国生产商手里，因此无法从核心硬件、软件上来做技术防范。由于我国在信息安全方面起步较晚，与世界先进水平有较大差距，因此国内使用的大部分软件都存在安全隐患。目前，我国90%的运行网站都存在安全漏洞，在技术防范方面，要想能够真正确保安全，就必须研制拥有自主知识产权的安全产品。三、计算机犯罪的防范对策上文提到过了计算机犯罪的种种特点与危害，而在今后的若干年中，计算机无论从数量还是应用领域都将大幅度的增加，社会发展和经济建设对互联网络的整体依赖性也会大幅度的增长，计算机犯罪的危害也将日益严重。面对日益猖獗的计算机犯罪，我们应该有一系列的方式方法来对待。1.加强技术性防范减少计算机犯罪及所带来的损失，最好的办法就是预防与防范。网络使用部门应不断提高安全技术防范意识，增强防病毒侵袭、黑客攻击的能力。按照国家保密委的政策，安全设施建设费用要不低于基础设施投入的15%，网络安全产品的应用消费已逐渐提到企业和行业预算中来。随着我国宏观经济走势强劲，国家信息化水平的提高和用户安全意识的增强，我国网络信息安全产品日趋成熟，2001年我国网络安全市场达到50亿元。计算机犯罪的主要防范措施有：（1）防火墙（Firewall）技术利用一组用户定义的规则来判断数据包（Package）的合法性，从而决定接收、丢弃或拒绝。其强大威力在于可以通过报告、监控、报警和登录到网络逻辑链路等方式把对网络和主机的攻击减少到最低限度。万一因为规则定义不当等原因出现了安全问题，该软件的记录文件也可以提供佐证，便于追踪线索。我们可以看成防火墙是在可信任网络和不可信任网络之间的一个缓冲，防火墙可以是一台有访问控制策略的路由器（Route+ACL），一台多个网络接口的计算机，服务器等，被配置成保护指定网络，使其免受来自于非信任网络区域的某些协议与服务的影响。所以一般情况下防火墙都位于网络的边界，例如保护企业网络的防火墙，将部署在内部网络到外部网络的核心区域上。防火墙成为了与不可信任网络进行联络的唯一纽带，我们通过部署防火墙，就可以通过关注防火墙的安全来保护其内部的网络安全。并且所有的通信流量都通过防火墙进行审计和保存，对于网络安全犯罪的调查取证提供了依据。总之，防火墙减轻了网络和系统被用于非法和恶意目的的风险。（2）数据加密技术所谓数据加密（Data Encryption）技术是指将一个信息（或称明文，plain text）经过加密钥匙（Encryption key）及加密函数转换，变成无意义的密文（cipher text），而接收方则将此密文经过解密函数、解密钥匙（Decryption key）还原成明文。加密技术是网络安全技术的基石。数据加密技术要求只有在指定的用户或网络下，才能解除密码而获得原来的数据，这就需要给数据发送方和接受方以一些特殊的信息用于加解密，这就是所谓的密钥。其密钥的值是从大量的随机数中选取的。按加密算法分为专用密钥和公开密钥两种。专用密钥，又称为对称密钥或单密钥，加密和解密时使用同一个密钥，即同一个算法。如DES和MIT的Kerberos算法。单密钥是最简单方式，通信双方必须交换彼此密钥，当需给对方发信息时，用自己的加密密钥进行加密，而在接收方收到数据后，用对方所给的密钥进行解密。当一个文本要加密传送时，该文本用密钥加密构成密文，密文在信道上传送，收到密文后用同一个密钥将密文解出来，形成普通文体供阅读。在对称密钥中，密钥的管理极为重要，一旦密钥丢失，密文将无密可保。这种方式在与多方通信时因为需要保存很多密钥而变得很复杂，而且密钥本身的安全就是一个问题。对称密钥是最古老的，一般说“密电码”采用的就是对称密钥。由于对称密钥运算量小、速度快、安全强度高，因而目前仍广泛被采用。DES是一种数据分组的加密算法，它将数据分成长度为64位的数据块，其中8位用作奇偶校验，剩余的56位作为密码的长度。第一步将原文进行置换，得到64位的杂乱无章的数据组；第二步将其分成均等两段；第三步用加密函数进行变换，并在给定的密钥参数条件下，进行多次迭代而得到加密密文。公开密钥，又称非对称密钥，加密和解密时使用不同的密钥，即不同的算法，虽然两者之间存在一定的关系，但不可能轻易地从一个推导出另一个。有一把公用的加密密钥，有多把解密密钥，如RSA算法。非对称密钥由于两个密钥（加密密钥和解密密钥）各不相同，因而可以将一个密钥公开，而将另一个密钥保密，同样可以起到加密的作用。公开密钥的加密机制虽提供了良好的保密性，但难以鉴别发送者，即任何得到公开密钥的人都可以生成和发送报文。数字签名机制提供了一种鉴别方法，以解决伪造、抵赖、冒充和篡改等问题。数字签名一般采用非对称加密技术（如RSA），通过对整个明文进行某种变换，得到一个值，作为核实签名。接收者使用发送者的公开密钥对签名进行解密运算，如其结果为明文，则签名有效，证明对方的身份是真实的。当然，签名也可以采用多种方式，例如，将签名附在明文之后。数字签名普遍用于银行、电子贸易等。数字签名不同于手写签字：数字签名随文本的变化而变化，手写签字反映某个人个性特征，是不变的；数字签名与文本信息是不可分割的，而手写签字是附加在文本之后的，与文本信息是分离的。值得注意的是，能否切实有效地发挥加密机制的作用，关键的问题在于密钥的管理，包括密钥的生存、分发、安装、保管、使用以及作废全过程。（3）其他技术还有一些防范措施，如身份验证、设置访问控制权限、数据源点认证、数字签名、防止数据的非法存取、查明黑客来路的跟踪系统、计算机病毒的检测和数据密码技术等。相应的主流安全产品有防病毒、防火墙、VPN、密码产品、入侵检测、漏洞扫描、加密器、安全认证等安全产品，例如：在线银行、在线证券等在线交易都需要绝对的安全防护，而VPN以多种方式增强了网络的智能和安全性。但是，对于信息安全保障的威胁，从来就是来自于内、外两个方面，而且通常是“外因通过内因起作用”。一般说来，各机构的信息安全保护措施都是“防外不防内”，比如防火墙对内部人员攻击毫无作用，形同虚设。在我国，那些造成巨大损失的安全事件，总是与内部人员联系在一起的，这种来自内部人员的威胁已经成为信息安全部门的一个重要的研究专题。公安机关的调查也显示，大部分计算机犯罪案件是由于疏于管理造成的。因此，提高有关从业人员的法律观念，建立健全各项安全管理规章制度和安全组织，是防止犯罪的有效方法。2.强化法律意识和责任要有效地制止和减少计算机违法犯罪活动，就必须强化广大网民的法制意识，要通过全社会的努力来营造一种健康向上的网络环境。任何一个健康有序的环境都离不开法制规范，在网络世界里也是一样。然而，打击计算机网络犯罪只靠司法机关是不够的，更需要广大网民树立网络法制意识，自觉遵守法律规则，从而减少网上违法犯罪。在我国现阶段网络法制不健全，网络执法面临很大困难的情况下，提高网民的法制观念迫在眉睫。除了在技术上要加强国家事务、军事、尖端科技信息的安全保护之外，还应提倡全体网民树立国家主权和利益高于一切的法律意识，使维护国家主权和利益成为网民的一种自觉行为，并能主动与各种违法犯罪行为作斗争。要使网民意识到，在网上遵纪守法不仅是避免损害国家和他人利益的需要，同时也是保护自己合法权益的需要。如果大多数网民不能合法使用网络，那么网络的安全运行、国家利益和网民的个人利益都将得不到保障。因此公民在使用网络时，都应遵纪守法。例如，自觉抵制各种违法犯罪行为和有害信息，抵制盗版软件，树立著作权法律观念，不要使用虚假姓名对别人进行名誉侵权等。为加强广大网民的网络法制教育，应将计算机网络法制教育纳入国家的全民普法计划中，将国家已经颁布的计算机网络管理法规作为一种全民普法资料，号召网民学习并自觉遵守。3.加强执法队伍建设对于计算机犯罪的侦查和审判显然要求相关司法工作人员掌握一定计算机专业知识，所以，对执法人员进行计算机专业知识的培训也就成为当务之急。在这样的背景下便诞生了网络警察。1998年2月，武汉市计算机国际互联网安全监察专业队伍组建完毕，这是全国较早的网络警察。1999年11月，他们正式获得刑事办案权。随后，安徽、广东、湖北等省相继出现了网络警察队伍。据公安部统计，目前，全国共有20多个省、市、自治区建制网络警察，总数近千人。4.加强立法计算机网络安全的保护，立法才是根本之道。我国对计算机信息网络