前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇网络空间安全的意义范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
5月9日,国务院召开常务会议,研究部署推进信息化发展、保障信息安全工作。健全安全防护和管理和加快安全能力建设成为本次国务院会议颁布的《关于大力推进信息化发展和切实保障信息安全的若干意见》(下称《意见》)的工作重点。
《意见》强调,要健全重要信息系统和基础信息网络要与安全防护设施同步规划、同步建设、同步运行,强化技术防范,严格安全管理,切实提高防攻击、防篡改、防病毒、防瘫痪、防窃密能力;加强地理、人口、法人、统计等基础信息资源的保护和管理,强化企业、机构在网络经济活动中保护用户数据和国家基础数据的责任;完善网络与信息安全基础设施,加强信息安全应急等基础性工作,提高风险隐患发现、监测预警和突发事件处置能力;加大信息安全技术研发力度,支持信息安全产业
发展。
英国政府高度重视信息安全,在近三年之内连续两次出台了国家网络安全战略,2011年11月25日的《英国网络安全战略》对英国信息安全建设做出了战略部署和具体安排,英国推进信息安全建设的做法对我国有哪些借鉴意义?
英式样本
《英国网络安全战略》全文共43页,文件正文由“网络空间驱动经济增长和增强社会稳定”、“变化中的威胁”、“网络安全2015年愿景”和“行动方案”四个部分组成,介绍了战略的背景和动机,并提出了未来四年的战略计划以及切实的行动方案。该战略继承了2009年英国的网络安全战略,并继续在高度重视网络安全基础上进一步提出了切实可行的计划和方案。
《英国网络安全战略》的一个总体愿景是在包括自由、公平、透明和法治等核心价值观基础上,构建一个充满活力和恢复力的安全网络空间,并以此来促成经济大规模增长以及产生社会价值,通过切实行动促进经济繁荣、国家安全以及社会稳定。
在此愿景下,其设立的四个战略目标分别为应对网络犯罪,使英国成为世界上商业环境最安全的网络空间之一;使英国面对网络攻击的恢复力更强,并保护其在网络空间中的利益;帮助塑造一个可供英国大众安全使用的、开放的、稳定的、充满活力的网络空间,并进一步支撑社会开放;构建英国跨层面的知识和技能体系,以便对所有的网络安全目标提供基础支持。
为实现上述目标,英国政府配套出台了三个行动原则。第一是风险驱动的原则:针对网络安全的脆弱性和不确定性,在充分考虑风险的基础上建立响应机制。第二是广泛合作的原则:在国内加强政府与私营部门以及个人的合作,在国际上加强与其他国家和组织的合作。第三是平衡安全与自由私密的原则:在加强网络安全的同时充分考虑公民隐私权、自由权和其它基础自由权利。
与此同时,《英国网络安全战略》还规定了个人、私营机构和政府的规范和责任。它要求个人在网络空间应做到基本的自我保护,懂得基本的安全操作知识,也要为各自在网络空间中的行为承担责任;私营机构在网络空间不仅要做到主动的安全防御,还要与政府机构和执法机关等互相合作来面对挑战,另外还要抓住网络安全产业发展带来的机遇;政府在网络空间要在降低政府系统本身风险的同时,发挥其在网络安全构建方面的主导作用。
在具体实施细则方面,《英国网络安全战略》配套制定了八个行动方案支撑点,分别是:
明确战略资金在各机构的分配方式。该战略明确了未来四年中投入的6.5亿英镑的分配方式,以确保英国以一种更积极的方法来应对网络威胁。在英国国家通信总局的支持下,一半左右的资金将被用于加强英国检测和对抗网络攻击的核心功能。
加强网络安全国际合作。英国将积极与其他国家和国际组织展开合作,以共同开发网络空间行为的国际规范或“交通规则”。
降低政府系统和关键基础设施的风险。英国将结合本国国情,与掌控关键基础设施的私营机构展开合作,开发严格的网络安全标准,推动建设威胁信息共享的“网络交换机”。
建立网络安全专业人才队伍。英国将采取认证培训、学科教育、资金支持以及继续举行网络安全挑战赛等方式建立核心专业人才队伍,并鼓励有“道德感的”黑客参与进来。
构建网络犯罪法律体系。英国将在鼓励举报网络犯罪的同时,针对网络犯罪行为构建强力的法律框架,以支持执法机构应对网络犯罪。英国还将致力于建立应对跨国网络犯罪的合作机制,以杜绝“避风港”的存在。
提高公众网络安全意识。英国将运用媒体宣传来帮助大众了解和应对网络威胁,普及不同层次的网络安全教育,与互联网提供商合作以帮助个人确认是否受到网络侵害,将为所有人提供明确的网络安全建议。
增强商业网络安全功能。英国认为商业领域是网络空间犯罪和经济间谍活动的最大受害者,政府应与消费者和私营结构一起增强商业网络安全功能,包括建立信息共享的网络“交换机”、制定相关标准以及重点确保在线消费安全等。
培育网络安全商业机会。英国将在国家通信总局等部门的技术支持下,化威胁为机遇,在网络空间中树立网络安全竞争优势,以促进经济增长,最终将之转化为英国的竞争力优势之一。
战略背后
无疑,《英国网络安全战略》旨在提升网络安全产业国际竞争力,确保英国拥有一个安全的网络环境。《英国网络安全战略》中不止一次提到要确保英国在网络安全产业处于国际领先地位。
与美国的《网络空间国际战略》相比,英国政府并不谋求网络空间的主导地位,而是将注意力集中在维护本国网络安全、加强本国网络安全产业竞争力、创造网络安全商业机遇等方面。作为该战略核心的“英国2015年愿景”中,在短短的60余字中分别两次提到“促进经济大规模增长”和“促进经济繁荣”,充分表明英国政府通过网络安全促进经济发展的
决心。
当前包括英国在内的欧洲依然处于金融危机导致的困境,例如经济发展低迷、政府赤字居高不下、失业率持续增加等。英国政府敏锐的意识到了网络安全行业带来的经济机遇,不惜斥资6.5亿英镑改善网络安全环境,增加网络安全竞争力,以抢占网络安全行业市场,确保其“先行者优势”。
此外,战略中明确提出了要建立相应的法律体系和执法队伍,利用英国先进的相关技术支持网络安全部门的发展,健全网络安全国家响应机制,提高在线公共服务水平,分享网络安全信息,以及杜绝网络犯罪国际“避风港”等。这些措施的目的是确保英国拥有安全的网络环境,并在网络安全领域处于优势地位。
我们注意到,《英国网络安全战略》细化了战略实施方案,强调多方合作机制。英国推进信息安全建设非常注重战略等文件的可操作性,如其更加强调战略的实施细节,并在附录中详细阐述了针对四个战略目标的具体实施方案。战略实施方案分别从政策导向、执法体系、机构合作、技术培训、人才培养、市场培育以及国际合作等各方面提出了实施细则,具有很强的可操作性。
针对网络空间结构的复杂性,英国政府认识到网络安全需要网络空间构成各方的广泛参与,该战略从多维度提出建设多方合作机制,包括在英国国内增强政府与私营机构、政府与个人、私营机构与个人之间的合作,以确保三方在构建安全网络空间发挥各自的角色;在国际上加强本国政府与他国政府、本国政府与国际组织之间的合作,以确保英国在网络安全领域的国际主导地位。
再造
英国在重视网络安全的基础上,提出将网络安全作为新的经济增长点,以便刺激经济增长、摆脱当前的经济困境。英国针对网络安全的具体做法对我国有着重要的借鉴意义。
一是加快制定我国的网络安全战略。近年来,各个国家愈发重视网络空间安全问题,将网络安全提升到国家战略高度。例如美国了《网络空间国际战略》,印度推出了《国家网络安全策略草案》等。我国虽然对网络安全发展也非常重视,但是尚停留在安全保障、被动防御的阶段,还没有形成推进网络安全的战略体系,还没有出台过国家网络安全战略。因此,国家应立足国家层面,加快制定并出台我国网络安全战略,明确网络空间是我国的新疆域,并将保障网络空间安全作为新时期维护国家利益的重要任务,确定我国网络安全发展战略目标、战略重点和主要主张,全方位指导我国网络安全建设。
二是制定切实可行的战略实施方案。网络安全战略的实施任务多、涉及面广,必须由各部门联合制定切实可行的实施方案,协作推进,确保战略实施。《英国网络安全战略》非常注重战略的可实施性,可操作性。这一点对我国具有非常大的参考价值。我们应进一步加强网络与信息安全领导小组对我国网络安全的统一领导和协调职责,提高保障网络安全、应对网络犯罪、推动网络应用和宣传推广等工作的协调能力。同时,在网络与信息安全领导小组统一领导和协调下,各职能部门要相互配合,针对战略目标从政策导向、执法体系、机构合作、技术培训、人才培养、市场培育、以及国际合作等方面制定切实可行的实施方案,确保我国网络安全战略的顺利实施。
三是重视网络安全产业,促进经济发展。英国网络安全战略地亮点之一是英国政府不仅敏锐地意识到了网络安全行业带来的经济机遇,而且将网络安全产业作为英国新经济增长点。《英国网络安全战略》明确提出未来四年将斥资6.5亿英镑改善英国网络安全环境,充分表明英国政府通过网络安全促进经济发展的决心。这一点对我国制定网络安全战略也有重要的启示作用。我国制定网络安全战略不仅应着眼于构建安全的网络空间,还应该高度重视网络安全行业带来的经济增长。在制定国家战略时,应明确提出鼓励网络安全产业发展的政策、资金、法律等方面措施,推动我国网络安全企业做大做强和安全产业快速发展,充分发挥网络安全产业在我国经济增长中的带动作用。
网络安全事关国家安全
网络安全失守,对国家来说,可能意味着对整个国家安全的威胁。网络安全之所以关乎国家安全和国家权益,是由互联网强大而独特的信息功能所决定的。梅特卡夫定律认为,网络价值随网络用户数增长而呈几何级数增加。互联网的大面积普及使得其应用功能和应用价值实现了从量变到质变的跨越,成为承载全人类信息传播、管理控制和社会运行的战略基础设施,从而对国家安全产生了根本性影响。
我国正处在一个矛盾频现、危机频发、风险丛生的社会转型期,由于我国社会在人口、地域、民族、历史沿革和现实发展条件等方面存在着巨大的差异,社会问题和社会矛盾也具有多样化的特征,这就使得社会风险呈现出极大的复杂性。而在互联网普及的时代,国际争斗中最常用、最危险的手段,不是军事武力,而是网络渗透和控制。某些国家凭借网络技术优势,可以掌握其他国家的政治、经济和军事绝密情报,可以瘫痪其通信网络、金融信息系统和军事指挥系统,实现不战而屈人之兵。因此,强化网络治理工作,保障网络空间的清朗、稳定、和谐和安全已成为党和政府的重要任务和挑战。
一个安全稳定繁荣的网络空间,对各国乃至世界都具有重大意义。网络空间成为继陆、海、空、天之后的第五大空间,大国博弈的又一个主战场。2011年美国《网络空间国际战略》和《网络空间行动战略》,将网络空间与海陆天空并列为领域,还成立了网络军队司令部。全世界已有30多个国家已经制定了网络空间战略及相关政策。在这种形势下,网络空间是一个国家的构成部分,侵犯一个国家的网络空间,就是侵犯一个国家的。
网络安全是社会共同责任
网络安全是全球性挑战,没有哪个国家能够置身事外、独善其身,维护网络安全是国际社会的共同责任。去年出访巴西时曾指出,虽然互联网具有高度全球化的特征,但每一个国家在信息领域的权益都不应受到侵犯,互联网技术再发展也不能侵犯他国的信息。在信息领域没有双重标准,各国都有权维护自己的信息安全,不能一个国家安全而其他国家不安全,一部分国家安全而另一部分国家不安全,更不能牺牲别国安全谋求自身所谓绝对安全。国际社会要本着相互尊重和相互信任的原则,通过积极有效的国际合作,共同构建和平、安全、开放、合作的网络空间,建立多边、民主、透明的国际互联网治理体系。
维护网络安全是全社会的共同责任,需要广泛动员各方面力量共同参与。在北京主持召开网络安全和信息化工作座谈会时指出:“网络安全为人民,网络安全靠人民,维护网络安全是全社会共同责任,需要政府、企业、社会组织、广大网民共同参与,共筑网络安全防线。”各级党委政府要完善政策、健全法制、强化执法、打击犯罪,推动网络空间法治化;互联网企业要切实承担起社会责任,保护用户隐私,保障数据安全,维护网民权益;网络社会组织要加强行业自律,推动网上诚信体系建设,有力惩戒违法失信行为;专家学者、新媒体代表人士、网络从业人员要发挥积极作用,切实形成全社会共同维护网络安全的强大合力。
人才是网络安全的基石
缺少网络安全人才,就没有网络安全而言,人才是网络安全的基石。当前,我国已有7亿网民和庞大的网络系统,而我国的网络安全人才培养规模和能力还远远不能适应发展需要。网络安全是技术性和专业性非常强的新兴领域,并且网络技术的更新发展极其迅速,网络安全专门人才尤为匮乏。加快网络安全人才建设迫在眉睫。
网络空间的竞争,归根结底是人才竞争。指出:“建设网络强国,要把人才资源汇聚起来,建设一支政治强、业务精、作风好的强大队伍。‘千军易得,一将难求’,要培养造就世界水平的科学家、网络科技领军人才、卓越工程师、高水平创新团队。”要聚天下英才而用之,为网信事业发展提供有力人才支撑。引进人才力度要进一步加大,人才体制机制改革步子要进一步迈开。
只有构建了具有全球竞争力的人才制度体系,才能源源不断地培养出、引进来具有全球竞争力的人才。不管是哪个国家、哪个地区的,只要是优秀人才,都可以为我所用。要建立灵活的人才激励机制,让作出贡献的人才有成就感、获得感。
构建关键基础设施安全保障体系
虽然我国的网信事业发展迅速,但是,与美国相比,我国的网络安全技术、特别是核心技术还有一定差距。核心技术受制于人、关键基础设施受控于人,已经成为我国网络安全的软肋。大力创新、积极使用自主可控的技术和产品,是维护国家网络安全、保障广大人民群众利益的根本之道,也是政府、企业和广大网民的应尽之责。
网络信息是跨国界流动的,信息流引领技术流、资金流、人才流,信息资源日益成为重要生产要素和社会财富,信息掌握的多寡成为国家软实力和竞争力的重要标志。信息技术和产业发展程度决定着信息化发展水平,要加强核心技术自主创新和基础设施建设,提升信息采集、处理、传播、利用、安全能力,更好惠及民生。
要通过持续技术创新和发展来做好网络安全防护,尤其是核心技术创新。强调:“建设网络强国,要有自己的技术,有过硬的技术。” 中国是典型的后发国家,是网络大国,但国际互联网发展至今,众多核心的技术,基本都掌握在西方国家特别是美国手中。维护国家网络安全,必须拥有自己的网络核心技术,而要拥有核心技术就必须开展网络技术创新,不断研发拥有自主知识产权的互联网产品,才能不受制于其他国家。
要加快构建高速、移动、安全、泛在的新一代网络和信息基础设施,加快构建关键信息基础设施安全保障体系,全天候全方位感知网络安全态势,增强网络安全防御能力和威慑能力。
指出:“要有良好的信息基础设施,形成实力雄厚的信息经济。”网络基础设施是一个国家重要的战略资源,对于一个国家而言,倘若网络和信息关键基础设施被控制、威胁、攻击或者破坏,国家整个网络系统必然面临威胁。从国家经济和社会层面来看,中国的网络关键基础设施信息系统发展较晚,关键技术落后,抗外部入侵和攻击能力较弱。这些关键基础信息系统一旦停止运行或者崩溃,不仅会影响到国家的网络安全,给国家经济带来重大损失,甚至会严重影响社会稳定。“十三五”规划纲要提出:“建立关键信息基础设施保护制度,完善涉及国家安全重要信息系统的设计、建设和运行监督机制。”
1.论信息安全、网络安全、网络空间安全
2.用户参与对信息安全管理有效性的影响——多重中介方法
3.基于信息安全风险评估的档案信息安全保障体系构架与构建流程
4.论电子档案开放利用中信息安全保障存在的问题与对策
5.美国网络信息安全治理机制及其对我国之启示
6.制度压力、信息安全合法化与组织绩效——基于中国企业的实证研究
7.“棱镜”折射下的网络信息安全挑战及其战略思考
8.再论信息安全、网络安全、网络空间安全
9.“云计算”时代的法律意义及网络信息安全法律对策研究
10.计算机网络信息安全及其防护对策
11.网络信息安全防范与Web数据挖掘技术的整合研究
12.现代信息技术环境中的信息安全问题及其对策
13.处罚对信息安全策略遵守的影响研究——威慑理论与理性选择理论的整合视角
14.论国民信息安全素养的培养
15.国民信息安全素养评价指标体系构建研究
16.高校信息安全风险分析与保障策略研究
17.大数据信息安全风险框架及应对策略研究
18.信息安全学科体系结构研究
19.档案信息安全保障体系框架研究
20.美国关键基础设施信息安全监测预警机制演进与启示
21.美国政府采购信息安全法律制度及其借鉴
22.“5432战略”:国家信息安全保障体系框架研究
23.智慧城市建设对城市信息安全的强化与冲击分析
24.信息安全技术体系研究
25.电力系统信息安全研究综述
26.美国电力行业信息安全工作现状与特点分析
27.国家信息安全协同治理:美国的经验与启示
28.论大数据时代信息安全的新特点与新要求
29.构建基于信息安全风险评估的档案信息安全保障体系必要性研究
30.工业控制系统信息安全研究进展
31.电子文件信息安全管理评估体系研究
32.社交网络中用户个人信息安全保护研究
33.信息安全与网络社会法律治理:空间、战略、权利、能力——第五届中国信息安全法律大会会议综述
34.三网融合下的信息安全问题
35.云计算环境下信息安全分析
36.信息安全风险评估研究综述
37.浅谈网络信息安全技术
38.云计算时代的数字图书馆信息安全思考
39.“互联网+金融”模式下的信息安全风险防范研究
40.故障树分析法在信息安全风险评估中的应用
41.信息安全风险评估风险分析方法浅谈
42.计算机网络的信息安全体系结构
43.用户信息安全行为研究述评
44.数字化校园信息安全立体防御体系的探索与实践
45.大数据时代面临的信息安全机遇和挑战
46.企业信息化建设中的信息安全问题
47.基于管理因素的企业信息安全事故分析
48.借鉴国际经验 完善我国电子政务信息安全立法
49.美国信息安全法律体系考察及其对我国的启示
50.论网络信息安全合作的国际规则制定
51.国外依法保障网络信息安全措施比较与启示
52.云计算下的信息安全问题研究
53.云计算信息安全分析与实践
54.新一代电力信息网络安全架构的思考
55.欧盟信息安全法律框架之解读
56.组织信息安全文化的角色与建构研究
57.国家治理体系现代化视域下地理信息安全组织管理体制的重构
58.信息安全本科专业的人才培养与课程体系
59.美国电力行业信息安全运作机制和策略分析
60.信息安全人因风险研究进展综述
61.信息安全:意义、挑战与策略
62.工业控制系统信息安全新趋势
63.基于MOOC理念的网络信息安全系列课程教学改革
64.信息安全风险综合评价指标体系构建和评价方法
65.企业群体间信息安全知识共享的演化博弈分析
66.智能电网信息安全及其对电力系统生存性的影响
67.中文版信息安全自我效能量表的修订与校验
68.智慧城市环境下个人信息安全保护问题分析及立法建议
69.基于决策树的智能信息安全风险评估方法
70.互动用电方式下的信息安全风险与安全需求分析
71.高校信息化建设进程中信息安全问题成因及对策探析
72.高校图书馆网络信息安全问题及解决方案
73.国内信息安全研究发展脉络初探——基于1980-2010年CNKI核心期刊的文献计量与内容分析
74.云会计下会计信息安全问题探析
75.智慧城市信息安全风险评估模型构建与实证研究
76.试论信息安全与信息时代的国家安全观
77.IEC 62443工控网络与系统信息安全标准综述
78.美国信息安全法律体系综述及其对我国信息安全立法的借鉴意义
79.浅谈网络信息安全现状
80.大学生信息安全素养分析与形成
81.车联网环境下车载电控系统信息安全综述
82.组织控制与信息安全制度遵守:面子倾向的调节效应
83.信息安全管理领域研究现状的统计分析与评价
84.网络信息安全及网络立法探讨
85.神经网络在信息安全风险评估中应用研究
86.信息安全风险评估模型的定性与定量对比研究
87.美国信息安全战略综述
88.信息安全风险评估的综合评估方法综述
89.信息安全产业与信息安全经济分析
90.信息安全政策体系构建研究
91.智能电网物联网技术架构及信息安全防护体系研究
92.我国网络信息安全立法研究
93.电力信息安全的监控与分析
94.从复杂网络视角评述智能电网信息安全研究现状及若干展望
95.情报素养:信息安全理论的核心要素
96.信息安全的发展综述研究
97.俄罗斯联邦信息安全立法体系及对我国的启示
98.国家信息安全战略的思考
一、两份“流量劫持”有罪判决引发的思考
案件一:从2013年底至2014年10月,被告人付某等人租赁多台服务器,使用恶意代码修改互联网用户路由器的DNS设置,进而使用户登录“2345.com”等导航网站时,跳转至其设置的“5w.com”导航网站,再将获取的互联网用户流量出售给“5w.com”导航网站所有者杭州某公司。经查,两名被告人违法所得达75.47万余元。法院审理认为,被告人付某、黄某违反国家规定,对计算机信息系统中存储的数据进行修改,后果特别严重,已构成破坏计算机信息系统罪。[1]
案件二:2008年10月起,被告人施某在中国某有限公司重庆网络监控维护中心核心平台部工作,负责业务平台数据配置。2013年2月至2014年12月,被告人施某等人为谋取非法利益,违反国家规定,先后对某重庆分公司互联网域名解析系统(DNS)进行非法控制,施某等人分别获利157万余元不等。法院认为,被告人施某等共同违反国家规定,非法控制计算机信息系统的域名解析系统,后果特别严重,构成非法控制计算机信息系统罪。[2]
“流量劫持”作为新型的网络不正当竞争行为,长期处于刑事制裁的边缘。前述两个案件是庞大的“流量劫持”现象中的两个特例,也是目前仅有的两个有罪判决。其中,案件一被公认是国内首例“流量劫持”案。有罪判决具有鲜明的先例效应,成为今后追究“流量劫持”行为刑事责任的司法标杆。但是,在作为犯罪论处时,尚有诸多新问题需要厘清和解决。比如,同为以DNS攻击实施的“流量劫持”危害行为,两个有罪判决的定性存在较大差异。既暴露非法控制计算机信息系统罪与破坏计算机信息系统罪的司法竞合问题,也折射出当前立法应对新型网络犯罪的规范不足,更反映网络犯罪理论研究的深层次短板。
二、“流量劫持”的民事规制乏力
所谓“流量劫持”,一般是指“利用各种恶意软件修改浏览器、锁定主页或不停弹出新窗口,强制用户访问某些网站,从而造成用户流量损失的情形”。当前,可以分为域名劫持与数据劫持两大类型。典型的劫持方式包括DNS域名解析、植入木马、弹窗与广告插件等,具体做法包括Hub嗅探、MAC欺骗、MAC冲刷、ARP攻击、DHCP钓鱼、DNS劫持、CDN入侵、路由器弱口令、路由器CSRF、PPPoE钓鱼、蜜罐、WiFi弱口令、WiFi伪热点、WiFi强制断线、WLAN基站钓鱼等。但是,“流量劫持”作为严重的网络技术失范行为,并非纯粹的“偷流量”,“偷流量”中的“流量”一般是指网络流量或手机流量等,在实践中可能涉嫌构成盗窃罪或非法获取计算机信息系统数据罪。
“流量劫持”现象早已有之,甚至已经变成网络空间安全的“毒瘤”。《中国互联网法律与政策研究报告(2013)》指出,流量劫持作为新型的网络不正当竞争行为,亟待立法规制。[3]但是,长期以来,主要依靠两种民事救济方式:(1)民事起诉索赔。在“3B”大战一案中,360对百度搜索结果进行标注甚至篡改,并向用户宣传安装360浏览器,百度因此向法院起诉360。法院认定,360以用户安全为名义,对百度搜索结果进行插标,干扰他人互联网产品或服务的正常运行,判决其赔偿百度40万元。2015年底,百度与搜狗围绕“流量劫持”问题再次“互撕”。法院认定搜狗构成不正当竞争,责令赔偿经济损失。随后,今日头条、美团大众点评网、360、腾讯、微博、小米科技《六公司关于抵制流量劫持等违法行为的联合声明》。(2)民事诉前禁止令的先例。在2015年的“双十一”来临之际,天猫、淘宝向浦东法院提出诉前行为保全申请,请求法院禁止两家公司继续以“帮5淘”(“帮5买”网站推出的“帮5淘”网页插件,名为比价软件,实为劫持流量的恶意插件,安装后很难卸载。)网页插件的形式,对申请人实施不正当竞争行为。最终法院支持淘宝的诉前禁止令的请求。
当前,通过民事救济方式规制“流量劫持”行为,对维护互联网企业的公平竞争秩序有积极意义,却忽视用户的合法权益,更忽视保护网络安全的重要意义。然而,厚此薄彼的做法无法实现最大的治理效益。反而,由于刑法并无相关的直接规定,单纯民事救济手段容易导致“流量劫持”遁入“无法”的空间地带,间接充当纵容其成为网络环境下快速牟利的违法犯罪手段的帮凶。
三、“流量劫持”的刑事制裁原理
“流量劫持”首先侵犯用户、企业以及第三人的合法自主使用权益,也破坏网络市场经营秩序,更严重破坏网络空间安全。因此,民事救济方式具有局限性,将其入罪是刑法积极维护网络空间安全的必然体现。
(一)并非所有的“流量劫持”行为都应当入罪
“流量劫持”单纯作为网络技术行为而言,具有一定的中立性。然而,当其作为排斥竞争对手和牟取非法竞争利益时,则可能属于不正当竞争行为,甚至涉嫌构成犯罪。由此,部分严重的“流量劫持”行为可能构成犯罪。一般而言,“流量劫持”在实施方法或实现技术上可以分为软性与硬性两种。软性的“流量劫持”并未采取技术手段侵入计算机信息系统,而是采取核心关键词的替换等手段,典型的如“3B”大战一案,一般应当定性为不正当竞争行为。硬性的“流量劫持,是指采取破坏计算机信息系统正常运行的方式劫持流量,应当构成犯罪。换言之,当采用DNS劫持、用户端植入插件或代码等手段时,往往属于硬性的“流量劫持”,可能涉嫌破坏计算机信息系统安全,目前的两个有罪判决即是示例。无论属于软性还是硬性的“流量劫持”,对于用户而言,往往只能选择民事救济手段,除非伴随获取个人信息与窃取财产等危害行为。这也是民事救济方式的弊端之一所在。
(二)“流量劫持”构成破坏计算机信息系统罪的理由
当前,刑法并未规定“流量劫持”中的“流量”属于财产,用户流量流失以及各方遭受的经济损失也难以归入财产犯罪。但是,硬性的“流量劫持”行为客观上导致计算机信息系统被植入恶意软件,并危害网络的正常运行,是对计算机信息系统的破坏。换言之,采取域名解析等技术手段方式时,必然对网络用户的计算机信息系统中存储、处理的数据进行修改、增删等行为,从而具备破坏计算机信息系统罪的客观要件。从网络技术的属性看,“流量劫持”的本质是数据没有加密保护,传输中机密性和完整性就可能受损。据此,“流量劫持”破坏正常或完整的网络数据运行与程序活动,也直接破坏网络空间安全。因而,构成破坏计算机信息系统罪。
(三)“流量劫持”构成非法控制计算机信息系统数据罪的理由
在案件二中,虽然也采用DNS域名解析的方式,但法院最终认为构成非法控制计算机信息系统罪。其合理性在于:“流量劫持”首先表现为非法控制互联网域名解析系统,同时致使用户访问被劫持的网站时,强行跳转到另外的页面,用户实际访问的页面与用户输入的网址不同;或者致使在用户访问网站时,自动加入推广商的代码。这其实违背计算机信息系统合法用户的意愿,恣意操作该计算机信息系统或掌握其活动的行为。易言之,“流量劫持”行为未经权利人允许,违背用户与企业意愿,采取非法代替操作、非法掌握用户与企业的运行行为及数据等技术手段,导致正常的网络运行控制权丧失,[4]已经完全“非法控制”计算机信息系统。因此,构成非法控制计算机信息系统罪,但与破坏计算机信息系统罪产生竞合问题。
(四)“流量劫持”涉嫌构成破坏生产经营罪
“流量劫持”作为典型的网络流氓行为,实质是通过的网络技术手段,保持非法的垄断地位或非法侵占其他竞争对手的网络资源并牟取暴利。作为新型的网络不正当竞争行为,严重干扰正常的网络市场经营秩序,同时侵犯消费者的合法权益。特别是在“互联网+”时代,网络流量成为信息服务与数据竞争的核心因素,放任“流量劫持”行为不管,将严重破坏互联网企业、用户与第三方之间的良性网络竞争环境。因此,即使不采取破坏计算机信息系统等硬性方式实施,“流量劫持”也可能涉嫌构成破坏生产经营罪,而非必然只能由民事救济手段介入。但是,破坏生产经营罪的制定背景仍然是传统的现实物理社会,导致对网络经济的兼容性明显不足,明显匮乏规制新型网络经济犯罪的能力。[5]由此,传统意义的破坏生产经营罪介入“流量劫持”缺乏有效的规范依据,除非进行“网络化”改造并植入网络因素。
(五)提供“流量劫持”与帮助实施行为涉嫌构成犯罪
当前,两个有罪判决主要是对使用“流量劫持”行为加以制裁。但是,提供“流量劫持”技术或帮助实施“流量劫持”的行为同样值得处罚。首先,提供或明知他人实施侵入和非法控制计算机信息系统的,提供DNS等硬性的“流量劫持”程序或工具的,在达到情节严重时,构成《刑法》第285条的3款规定的提供侵入、非法控制计算机信息系统程序、工具罪。其次,当明知他人利用“流量劫持”等手段实施犯罪的,提供互联网接入、服务器托管、网络存储等技术支持或其他技术帮助的,构成第287条之二规定的帮助信息网络犯罪活动罪。显然,已有的两个有罪判决并未介入。
总之,“流量劫持”是严重的网络不正当竞争行为,明显干扰正常的网络市场经营秩序。然而,单纯依靠民事救济方式并不妥当,既忽视用户的自主权,也忽视网络安全的重要地位。无论是硬性还是软性的“流量劫持”行为,都可能侵犯网络安全刑法法益,受害者不再是独立的用户、企业或者市场经营秩序。这正是上升到刑事制裁层面的根本理由。两个有罪判决聚焦非法控制计算机信息系统罪与破坏计算机信息系统罪并无不当,却也遗漏“流量劫持”严重破坏网络市场经营秩序的客观事实,破坏生产经营罪的“网络化”转型刻不容缓。此外,对于非法提供“流量劫持”技术和帮助实施“流量劫持”的严重行为,应当加以处罚。
四、“流量劫持”的立法规制完善
“流量劫持”的适法困难暴露了网络犯罪立法规定仍有漏洞,司法竞合现象也暗示网络犯罪立法规定有待升级整合。现行刑法仍以传统物理现实社会为制定背景,逐渐脱离网络空间社会的代际变迁与新型需要。传统刑法理论体系的“网络化”是必然的发展趋势,“流量劫持”可以作为转型的一个切入口。
(一)司法竞合的客观必然性及其克服
对于“流量劫持”行为,实践中长期依靠民事规制手段有其客观性。除了网络安全保护思维更新迟缓外,刑法立法的不足是重要内因。进言之:(1)1997年《刑法》第286条早就规定破坏计算机信息系统罪,但是,司法机关一直未启用,首先表明尚未充分认识到网络安全的重要性、网络安全威胁的多样化。目前,尽管已有按照破坏计算机信息系统罪论处的判决,然而,搁置第286条而长期不启用,更从侧面反应司法保护理念的迟延,以及网络犯罪立法更新的不足。(2)《刑法修正案(七)》增加第285条第2款并确立非法控制计算机信息系统罪,“非法控制”作为危害行为的关键词,从规范角度可以阐明“流量劫持”作为技术危害行为的本质特征,是其被援引的主要原因。虽然丰富定罪的选项,却引发了非法控制计算机信息系统罪与破坏计算机信息系统罪的司法竞合难题。这说明立法修改未能全盘考虑,修改的“碎片化”痕迹过重。(3)破坏计算机信息系统罪与非法控制计算机信息系统罪,分别是1997年《刑法》与《刑法修正案(七)》的产物。相隔十二年的两个罪名,在互联网发生了翻天覆地的巨变之际,发生竞合现象,充分说明立法更新不足是重要的内因,已有立法规定对新生事物的适宜性不断下降。为此,应当从立法方面加以解决。(4)尽管立法完善是最终途径,然而,暂时可以考虑由最高人民法院或最高人民检察院指导性案例,发挥案例指导制度在解决新型、疑难、典型案件的法律适用上的独特作用。实际上,已有的两个有罪判决可以作为指导案例的来源,以此明确适用的法理基础与区分标准。
(二)危害行为竞合是实质内容
从当前两个有罪判决看,其实各有道理:(1)“流量劫持”既符合“非法控制”的危害行为特征,也满足“破坏”的危害行为属性。从“非法控制”与“非法破坏”的内在逻辑看,应当是特殊与普遍的关系,“非法控制”显然可以作为“破坏”的特殊行为对待。因而,论处非法控制计算机信息系统罪更妥。(2)从法定刑的档次看,破坏计算机信息系统罪严于非法控制计算机信息系统罪。如果遵循竞合形态一般所主张的“从一重处罚”原则,更宜论处破坏计算机信息系统罪。然而,同案同判的效果终至落空,不利于法治的统一。据此,非法控制与破坏都可以概括在“流量劫持”的技术特征与危害结果,是竞合的实质内容。进而,也促发两个关联法条之间的竞合,也即究竟是特殊优于普通、还是重法优于轻法的分歧,实践中可能基于重罚的立场而选择后者,却也忽视危害行为类型才是最重要的区分因素。(3)对于两个有罪判决暴露的竞合问题,刑法解释几乎鞭长莫及。无论将“流量劫持”严格解释为“非法控制”计算机信息系统的行为,还是限制解释为“破坏”计算机信息系统的行为,都难逃司法竞合的命运。因此,刑法解释在解决传统刑法理论的网络化问题时较为乏力。
(三)立法完善的基本思路
为了充分提升刑法保护网络安全的针对性,为了从立法环节克服“适用困难”现象,立法完善是避免当前处置“流量劫持”等新型问题时出现竞合难辨的合理出路。简言之:(1)优化网络危害行为的类型结构。1997年刑法以计算机1.0时代为背景,第285条和第286条的犯罪对象以及犯罪客体大同小异,危害行为分别是“侵入”和“破坏”。但是,从语言逻辑与罪状内容看,“破坏”可以包含任何网络危害行为,人为制造了竞合的内因。经过《刑法修正案(七)》修改后,第285条第2款、第3款分别增加“非法控制”、“非法获取”以及“非法提供”,但是,“破坏”仍可以包含新增的危害行为。[6]毕竟立法理念与技术并未脱离1997年刑法及其制定背景。《刑法修正案(九)》再次修改后,由于聚焦以信息网络为核心的网络2.0时代,所以,犯罪对象和犯罪客体发生了一定的变化。第286条之一、第287条之一、第287条之二分别增加“拒不履行”、“非法利用”和“帮助”三种具体行为,从而与“破坏”保持相对的界限。然而,对于“流量劫持”的规范评价而言,《刑法修正案(九)》对危害行为的补强难以产生直接作用。由于“破坏”作为危害行为具有很强的包容性,“非法控制”可以理解为特殊行为,是导致网络罪名发生竞合的根本原因。因此,网络危害行为的类型化升级甚至重要,而且应当结合网络犯罪对象与网络安全法益作出同步的调整。(2)网络犯罪对象应当精确化。第286条是1997年刑法的产物,当时并未充分考虑到网络社会的高度发达以及网络犯罪的迅猛推进,犯罪对象是计算机信息系统及其运行安全。将“破坏”作为核心关键词,具有“兜底”之用,可以更好地涵盖第285条规定之外的其他计算机(信息)系统。易言之,“破坏”作为危害行为的实质内容,可以辐射范围较广的计算机信息系统及其运行情形。而且,《刑法修正案(七)》增加的第285条第2、3款仍以相同的犯罪对象为修改内容,导致后续增加的罪名与原有罪名之间容易出现竞合关系。相比之下,《刑法修正案(九)》的犯罪对象是信息网络及其管理秩序。[7]犯罪对象明显不同,相应的犯罪行为也不尽相同。由于注重设计新增罪名与既有罪名的罪状差异,避免了新旧罪名的行为竞合。第286条一共包括三款,各自的犯罪对象是系统功能、应用程序与数据,而其修改方向之一是拆分犯罪对象,拆分后的对象不应当存在重复或明显的交叉,力图避免与其他罪名的竞合。“流量劫持”的犯罪对象是信息系统与信息数据,考虑到第285条第2款可以保护网络系统安全法益,修改后的第286条便无需重复设置相同的犯罪对象。(3)具体网络安全法益的精细化。网络犯罪对象的精细化可以促使网络危害行为的类型化,而其前提是网络安全法益同步实现类型化,实现协同的效应。从而,可以在罪状层面实现无缝对接与内容整合,避免网络犯罪罪名的内部竞合,提高立法的科学化水平。总体而言:一方面,要逐步消除1997年刑法确定的计算机信息系统安全这一陈旧的法益内容。在网络空间社会全面覆盖之际,网络犯罪侵害网络安全法益,既包括网络信息安全,也包括大数据安全等。另一方面,不同的危害行为搭配不同的犯罪对象后,直接侵害的具体法益内容不尽相同。因此,直接法益的精细化至关重要,可以实现不同犯罪对象与危害行为的优化搭配。网络安全法益的类型化是合理布局网络犯罪立法的前提,从立法目的与立法技术层面可以预先排除竞合的概率。以《刑法修正案(九)》为例,新增加的第286条之一、第287条之一、第287条之二,将法益锁定为“信息网络安全管理秩序”,[8]分别通过拒不履行安全管理义务、非法利用的预备行为、非法的片面技术帮助行为共三种具体的危害行为类型加以体现,并作用于不同的信息对象。“流量劫持”主要破坏网络安全与信息系统的正常运行,更符合非法控制计算机信息系统罪保护的法益;第286条拆分后,具体法益的内容应当避免再次重复保护。
总之,“流量劫持”行为再次考验传统刑法理论应对新型网络安全风险的能力与适宜性。司法实践证明,传统刑法理念滞后与立法不足等老问题相继呈现。立法完善是解决“流量劫持”适法困难的终极途径,也再次说明传统刑法理论体系的“网络化”进化与变革应当加速推进。但是,依靠修修补补方式不足以应对现实挑战,网络犯罪立法需要有长远的规划、合理的布局,同步修改总则和分则的内容,协调立法修改与理论调整的步调。“网络刑法学”作为未来的刑法理论形态,是因应网络空间社会的“猜想”,具备自如应对诸如“流量劫持”等新问题与新挑战的能力,而有序的立法完善是促成“网络刑法学”实现的内生性动力。尽管如此,刑法解释、案例指导制度仍可以发挥一定的积极作用。
关键词:云平台;竞技教学;实验教学;教学模式
1前言
网络安全课程是现代计算机领域的重要分支,网络安全实验教学是理论转化为能力的重要途径,对学生实际掌握网络攻防的手段具有重要意义。但目前实验教学效果不甚明显,理论与实际脱离较为明显。竞技教学是解决上述问题的有效方法。本文针对网络安全课程所需要的基础理论及系统进行研究,对联系理论与实际应用能力效果较为明显。
2教学现状及分析
网络安全教学的目的,是为了让学生充分理解网络空间安全在现代计算机应用中的价值。因此,学生必须掌握最基础的数学、计算机网络、计算机组成原理、操作系统、数据结构算法、数据库原理、编程原理及代码分析、病毒的原理及防范手段,然后从OSI七层模型入手,了解各层次的协议。掌握这些理论知识后,在进行网络空间安全实验与实践时,才能游刃有余,知晓每个攻防实验环节涉及到的理论,也能更好地发挥主观能动性来进行系统的攻击和防御。这需要学生个人足够努力且教师能充分地把知识点传达给学生[1]。但目前的教学现状是两极分化。首先是自制力足够强的学生[2],对网络安全有兴趣,能主动学习课程,理论知识足够充分。但是由于实验环境限制,无法将理论充分发挥,他们通过网络寻找教程和视频,才能掌握多一些实践内容,他们对整个网络安全的体系架构基本能掌握八至九成。这部分学生往往只占3%-10%。另外一大部分学生由于缺少主动学习的兴趣,对课程掌握只求及格,大多依靠考试前的冲刺掌握理论知识。在平时的课程实验中,也未用心研究,只根据实验指导书完成实验内容,不会主动扩展,教师也无太多精力去引导学生进行自我拓展。因此这些学生实践能力薄弱,达不到企业的聘任要求。
3竞技教学的应用
3.1竞技教学的优势与意义
竞技教学是通过对学生进行分组,设置各组的目标,分别扮演入侵者和防御者角色,教师记录学生的操作,在攻防时间结束后提供技术讲解,学生使用各自在课堂外获取的理论、实践知识进行对抗。攻防在一定课时之后可以进行轮换攻守双方的角色,达到均锻炼攻守的目的。该方法的优势在于:(1)能极大地调动学生学习的热忱,利用学生的求胜和猎奇心理,达到主动学习的目的。(2)课前课后提供实验环境和理论知识的视频,节省了学生寻找学习资源所浪费的时间。(3)节省了教师重复讲解所使用的大量时间,可以让教师把时间更精准地使用在重点和难点上。(4)在课间分析流程的时候,教师可以通过模拟环境,方便硬件、系统、软件、人力等资源的管理,更为方便直观地指出一个网络生态的薄弱环节,结合网络安全法,对培养学生整个网络空间安全观具有极大的益处。(5)能引导学生由学习向竞赛发展。通过参赛既能提高技能、知晓自身水平,又能获得奖励增强自信心,还能见识到企业正在应用的前沿及主流技术,让学生在就业时能更快地融入到工作中去。
3.2竞技教学平台的搭建
考虑到网络空间安全教学和实验的实际需求,要求学生使用的平台具有自由性、安全性和管理便捷,可以考虑采用绿盟的ISTS信息安全实训平台搭配ISCS信息安全攻防竞技平台。该套设备基于KVM+Openstack技术的虚拟化调度和管理,通过对运算资源和存储设备的统一调度及管理,达到开机即用、结束即还原资源的效果。最重要是采用虚拟机搭配私有地址的形式,达到与原有网络架构隔离的目的[3]。在实际使用时,可以保证网络的安全,不受实验内容的影响。教学的设计思路可以分为三个部分:课前、课中、课后[4]。课前,可以提供给学生上课所需要的理论基础内容,可以由任课老师提前录制好该课程的视频上传至云端,提供虚拟机以及实验指导书,供学生课前课后使用,绿盟开发的攻防实训平台ISTS能提供此类功能。课间,同过使用绿盟的攻防竞技平台ISCS,可以让学生模拟扫描、分析、攻击、收尾等入侵和防御的整个流程。对于设备的管理,将设备架设在24小时运行的服务器机房之后,只需提供定期的安全检查和使用资源的清单,再加上对使用用户的增、删、改、查,就能满足基本的运行条件。课中,如需采用竞技教学方式,只需通过实验机房的PC,再通过指定的web端[5],就能登录竞技平台开启竞赛。设备管理员通过设置不同的登录账户,分为学生、教师及管理员三个角色,达到对竞技教学实验的管理。而且无需现场操作,只需通过远程或者提前预设,便能方便地完成教学任务。
3.3竞技教学案例分析
2019年5月,在设备架设完毕之后,导入了17级计算机科学与技术专业187名学生和17级网络工程238名学生。就目前在实验教学平台已经开展的教学实验有MySQL和SQLserver两种数据库技术、Linux操作系统、Windowsserver系列配置与管理、数据隐藏技术、扫描技术、KALI渗透、病毒分析与防护、密码学、漏洞扫描工具、应用系统安全、CSRF跨站请求伪造、Web安全工具、网络设备攻击与防御技术、wireshark工具使用及分析、入侵检测、防火墙实战等。一系列从网络硬件到操作系统再到软件应用等大部分信息安全的主干课程已经在平台开展。目前使用过该平台的班级有2017级的计算机网络安全技术、电子支付与安全和2018级的Linux操作系统等几门课程。现以计算机网络安全技术的教学为例进行分析:(1)课前:直接开放信息安全实训平台的MySQL和SQLserver、目标主机扫描、kali渗透、密码学、操作系统安全、系统安全策略配置技术共计7门在线实训课程,另外结合计算机专业学习的计算机网络、操作系统等基础内容即可完成信息收集扫描入侵反思检测修复的教学流程。该部分内容,可以由学生于课前自行在网络安全实训平台的虚拟系统完成学习。(2)课中:教师可以简单讲解次此课程的学习目标和手段并开启网络安全竞技平台,开启单兵作战模式,以两人或单人为一组,确保所有学生能得到网络隔离相对独立的攻击机和靶机,然后开始在课前预习所学的攻击流程。针对教学的时间,修改给予学生的攻击时间。当自由攻击时间结束之后,进行实验的分析,从使用的攻击手段,结合课程教学的理论进行流程分析,并指引学生以相对应的手段对所攻击的系统进行修复,达到教学目的。目前已开展的竞技教学实验内容如图2所示。(3)课后:可以给学生布置作业,以回忆、记录课堂中的攻击和防御手段以及优化方法为主,并提供给学生关于网络信息安全竞赛的CTF大赛的一些相关网站,让学生在该网站注册账号并练习。一方面熟悉理论知识,另一方面能结合理论知识对现今企业需求的前沿技术进行了解和学习,做到回忆加深、学以致用的目的。该环节也能引起学生对课程内容的思考,在持续一段时间的学习之后,可以掌握基本的理论知识及前沿技术,就能尝试对现有的体系进行突破,对未知区域进行探索,并有朝一日能发现更多的问题和答案。
3.4竞技教学效果
从2019年5月设备架设至今,已经使用竞技教学的网络安全相关课程统计425人。以电子商务安全独立实验为例,班级人数34人,其中90分以上的优秀学生为41.18%,平均分87.1,效果显著。学生应用能力明显提高。通过课堂交涉获悉,学生于课外利用碎片化时间学习,使得学习时间更为充裕,重复多次学习强化记忆,达到熟悉理论知识的目的。并通过使用虚拟机进行实际操作,对技术部分应用更为娴熟,大部分学生能达到学以致用的目的。竞技教学的应用,充分提高了学生的积极性和主观能动性,使得网络安全的教学更为简洁和高效。图3为2017级计算机9班同学成绩统计。由于开展竞技教学时间尚短,但已经取得良好的教学效果。从2017级计算机科学与网络工程专业派出参赛学生有几十名,已有16名进入线下赛,或选拔赛与全国学生同台竞技。有四位学生获得第十二届全国大学生信息安全竞赛创新实践能力竞赛三等奖。学生获奖项目如图4所示。
参考文献
[1]王杨惠,从立钢,底晓强.虚拟化仿真平台在网络信息安全实验教学中的应用研究.教育现代化,2019,6(16):122-124
[2]刘铭,齐万华.网络安全课程教学改革探究.科技视界,2019(06):185-186
[3]史建焘,李秀坤,张宏莉.虚拟仿真云平台下信息内容安全实验课建设.实验技术与管理,2017,34(04):9-13