时间:2023-06-11 09:32:39
关键词:网络安全现状;网络安全危机;对策
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2012) 18-0000-02
1 网络安全现状
计算机网络以难以想象的速度发展至今,网络应用也复杂到一定程度,社会、民众乃至国家对网络的依赖日渐加深。利用计算机网络进行黑客攻击的不法分子或以危害别国安全为目的的不法势力越来越猖獗,计算机网络安全问题日渐凸显,表现在:(1)网民的安全意识还很薄弱,计算机网络防范技术还处于不完善阶段;(2)计算机犯罪和网络侵权名列现代社会犯罪榜首。网络安全问题可能影响到整个国家的经济发展,甚至国家的社会稳定。必须认清网络安全现状,提前部署计算机网络安全防范对策。
2 应对计算机网络安全危机
如今科技进步离不开网络,信息交流离不开网络,计算机网络安全工作在我国社会发展过程中有着非常重要的地位和作用。应对计算机网络安全危机必须坚持管理手段和技术防范并重。管理上立足我国网络实际情况,逐步完善相应法律法规,加强监督监管;网络防护技术上加大研发力度,与时俱进。能够始终贯穿最新的网络安全管理规范,保证计算机网络的安全管理。坚持管理和技术防范并重的原则,下面介绍应对计算机网络安全的几个对策:
2.1 构建网络安全保障机构
计算机网络体系复杂,给全社会提供便捷的网络服务。要构建一套有效的网络安全保障系统也离不开全体社会,是一个需要聚全社会之力完成的社会工程。非常有必要建立有执行力的组织机构。下面结合实际从两个方面进行网络安全保障机构构建:
2.1.1 建立地方的网络安全组织
国家对于计算机网络安全方面有组织机构,如国家计算机病毒应急处理中心,定期做病毒预报和病毒监测,网民可以从互联网上获取到信息,但是广大民众并没有习惯关注这些信息,因此有必要建立地方的网络安全组织机构。该组织机构由地方多个相关的部门人员组成,地方信息办办及时掌握最新的网络安全信息,应当列入组织。地方公安部门对地方网络安全使用进行监控,地方国家安全局对境外敌对势力的网络侵袭进行监控,都属于该组织机构的成员。该组织的责任是更有效的防范计算机网络安全隐患,建立地方的网络安全法律法规和网络行为规范。在地方范围内更有效的开发计算机网络安全防范技术培训,让更多的民众了解计算机网络安全存在的危机,提高网络安全防范技术,推动地方计算机网络安全提高到一个新的水平。
2.1.2 建立本单位基层网络安全组织
使用网络的基层单位组织本单位的网络安全组织,负责人由单位主管领导担任,成员应该由各领域的人才组成,首先需要熟悉本单位计算机网络信息系统的计算机技术人员,对本单位网络的安全有基本的了解,对计算机网络漏洞和系统及时进行升级和病毒防护,同时根据实际情况制定本单位的关于计算机安全方面的制度和规范;其次需要负责单位教育培训的人事部门人员,不定期在单位开展关于网络安全方面的培训教育,增强本单位人员网络安全防范意识;还要有参与单位安防的人员组成,对计算机机房重地进行重点防护;单位的计算机机房是比较重要的网络设施,该地域的网络安全管理应该能够更加重视,因此对于本单位的基层网络建设而言,需要建立健全完善的网络安全组织。
2.2 突出重点工作领域
我国目前使用计算机网络的数量非常庞大,网络安全性在不同行业重要性有强弱之分,关系国计民生的行业,如金融、证券、铁路等国家经济命脉部门行业和国家要害部门的企业网络安全尤为重要。国家要将有限的人财物资源投入到优先保护的计算机网络,以更好的保障社会安定平稳运行。计算机网络安全由于应用非常广泛,因此在很多重要领域都有着计算机网络的身影。类似于国家政府机关的网络管理设施,需要相关部门对此进行更加深入的安全管理。因此,在网络化、信息化不断发展的今天,越来越多的信息开始变得网络化,一些国有企业、安全管理部门等也将信息放在网络这样的大平台上。原因在于通过网络平台可以更加安全方便的进行管理。也正是这样的原因,造成在网络上的信息过于重要,其所在领域的网络安全也更加得以重视。安全部门的网络安全管理,重点在于如果建立完善的网络管理机制,在管理过程中如何做到内部与外部的管理安全。
2.3 有针对性的开展技术防范工作
计算机网络是计算机技术发展到一定水平的高科技产品,网络发展同时推动了计算机软硬件技术的高速发展,计算机网络安全是建立在高科技软硬件平台上。符合标准的计算机机房及机房内性能良好的硬件设备是计算机网络运行良好的物理前提。机房建设应该按照GB50174-2008《电子信息系统机房建设规范》、GB50462-2008《电子信息系统机房施工及验收规范》标准规定执行,操作系统不定期补丁程序,计算机网络管理员要定期关注更新操作系统,及时打补丁完善网络操作系统,增加计算机网络的安全性。目前计算机网络上的应用软件门类繁多,存在不同程度的安全隐患,系统管理员同样要关注应用软件的更新。
对于单位性质不同,计算机网络的安全性要求高低不同。对重要单位的机房有各种要求,消防设施需要安装自动灭火装置,监控系统,报警系统等。计算机网络由专业机构进行等级评估,设置与单位性质匹配的安全防护策略及安全防护体系。建立必要的防火墙平台、入侵检测平台、漏洞扫描平台。防病毒软件选用公安部认可的产品,定时升级,设置定时更新和定时查杀,完善计算机网络系统。
2.4 逐步完善监管法律法规
互联网安全立法是非常紧迫的,由于计算机网络发展的速度非常快,运用网络防护技术保障计算机网络安全和社会提供立法保障应同步。立法规范网络安全要用相当长一段时间,只能逐步完善网络安全监管法律法规。有了相应的网络安全法律、法规,国家执法机关能充分运用法律手段履行国家赋予的职权,对影响安全的各种行为进行查处,震慑不法分子。
2.5 网络安全教育培训到位
网络不安全会危害广大网民,公众对网络安全有了充分认识后自我防范意识加强,网络安全性也会相应提高。定期开展网络安全教育培训,宣传网络犯罪行为表现,增强网民自我保护意识。有关单位和个人通过网络安全教育培训,了解网络使用规范,学习网络防护技术,对提高计算机网络监测和抗击能力,迅速应对和预警网络安全,推动我国信息化建设起到积极的作用。
3 结束语
计算机网络安全问题是值得全社会关注并采取措施的社会系统工程,采用先进的技术手段结合科学的管理模式,全民参与,提高社会整体的防范意识,并且要通过坚持不懈的努力,才能使我国的计算机网络安全问题改善,使我国计算机网络安全达到健康发展的水平。
参考文献
[1]谢希仁.计算机网络(第4版)[M].北京:电子工业出版社,2003
[2]胡铮著.网络与信息安全[M].科学出版社,2011,6.
[关键词] 网络危机 公关
在21世纪的今天,网络作为一种大众媒体,重要性日益得到重视,企业通过网络可以更好地宣传自身及产品,甚至利用网络完成企业经营中的一些重要职能,例如采购、支付及售后服务等,而公众通过网络可以更便捷地了解企业和产品,满足自己的消费需求。但是,正是网络传播的种种特点,为网络危机的产生提供了温床,使得网络成为企业经营的一把双刃剑。为此,如何防范和化解网络危机是每个企业都必须重视的课题。
一、网络危机的定义及表现形式
网络危机是指由网络产生、传播或扩散升级的具有严重威胁及不确定性的情境。网络危机及其后果可能会对企业及其员工、产品、服务、资产(股价)和声誉造成巨大的损害。例如巨能钙事件,雀巢奶粉事件,肯德基苏丹红事件以及最近的网易社区被黑事件等都是网络危机的典型。
网络危机的表现形式包括:
1.网络谣言。网络谣言是网络上十分常见的对企业具有很强杀伤力的网络危机。造谣者出于娱乐、发泄或者因商业竞争或政治斗争的需要散布网络谣言。例如,肯德基就曾经深受网络谣言之苦,该谣言声称肯德基是用转基因工程培育的快速成长的无头鸡来进行生产的,在世界各地传送,对肯德基的名誉打击不小。
2.病毒及黑客攻击。这是使企业网站及相关经营职能陷入停滞的常见原因。在2004年8月,世界软件业巨擘微软公司的网站遭到了黑客的攻击,一个多小时内无法访问,这次攻击甚至惊动了美国国土安全部。 2004年10月,黑客攻击索尼官方网站,导致首页出现许多辱骂言论,索尼只得更换域名指向才挽回局面。而在最近,国内最大的网络社区网易社区遭到黑客攻击,完全瘫痪达3天之久,造成了巨大的损失。
3.一般性事件的升级。一般性事件是指企业生产和经营中发生的个别的产品质量问题或者服务的纠纷。一般性事件经由网络扩大升级是一种常常被企业忽视或反应缓慢德网络危机。例如前段时间的Thinkpad笔记本飞线事件,本来主板飞线是笔记本生产过程中解决微小缺陷的正常办法,并不影响质量,联想集团一开始并没有重视,但是这一事件经过网络短时间内爆炸式的传播,成为联想收购Thinkpad之后一次严重的质量危机,也引发广大用户质疑联想能否延续Thinkpad稳定、出众的品质。
二、网络危机产生的原因
网络危机是在网络环境下产生的,所以网络危机产生的原因是和网络传播的特点相对应的,一般说来,网络危机产生的原因有:
1.网络作为媒体的自由度更高。传统媒体由于法律法规的限制以及传播范围上的约束,的信息一般来源于官方,故可信度较高,可以有效限制谣言及一般性事件的升级和扩大。而网络媒体由于论坛(BBS)、博客(BLOG)和网络社区的存在以及网络发言的匿名性,信息的来源复杂,审查也较传统媒体宽松,因此网络毁谤和传递谣言比以前更加容易;而对网络谣言的受害企业而言,与传统谣言和毁谤相比,网络谣言的威力和影响力都更大。2000年8月25日美国InternetWire网站于收到大学生雅各布发出的关于EmulexCorp科技公司的虚假消息的假新闻稿后将之登上网站,彭博等通讯社未经查证即广为引用,令Emulex股价在一天内大幅下泻60%,市值损失22亿美元。
2.网络的传播速度更快。据中国互联网络信息中心(CNNIC)统计,截至2003年12月31日,全国域名数为1187380个,网页总数为311864590个,在线数据库数为169867个。在这些网络资源中,大量的中小网站没有自己的采编队伍,因而大量采用转贴、复制或者直接引用的方式传播信息,使得同一信息在短时间内充斥各个网站和社区。这样的信息传播方式的速度比传统媒体那种采访、撰写、审查、刊登或者获得授权转载、引用的典型方式要迅速得多,成本也低得多,从而导致企业面对网络危机的反应时间大大缩短。一些小事件可以演变为难以控制的危机,一些原本站不住脚的谣言经过“三人成虎”似的复述以及添油加醋般的改编会影响广大受众的判断。
3.网络的脆弱性。整个互联网是由一个个相对独立又紧密连接的节点和终端组成的。网络的开放性和无界性造成了脆弱这一网络的特点。任何一个终端通过一定的路径、都可以访问到另一个终端,甚至可以更改、替换该终端的内容。据媒体报道,40岁的英国黑客格里・麦克金诺利用完全从网络上获取的技术,从家中的计算机上先后袭击了包括美国航天局(NASA)、五角大楼及美国海军基地在内的200多台电脑,造成了70多万美元的财产损失及其他无法估量的后果,被称为“历史上最具破坏性的军网黑客”。层层设防的美国军网尚且如此,普通企业的网站及网上经营的安全性就值得担忧了,很多网站几乎是毫无防备地暴露在危险之中。
4.网络的互动性。有人曾经说过:“网络让每一个人都有机会成为发言人。”这话虽然有一些夸张,但是网络的广泛参与性如此可见一斑。互联网的出现极大得刺激了广大公众参与社会事务的积极性。这样,通过网络讨论,一些普通事件和纠纷会升级到对整个品牌和企业的攻击;一些孤立的经济事件容易上升到政治和民族感情的高度,产生超越产品和服务本身的危机。例如之前美国耐克公司和日本立邦公司的广告风波经过各大论坛的讨论和渲染,都被上升到中美、中日关系的层面,大大超出了厂商的控制范围。
三、网络危机的防范
面对网络环境下传播模式的巨大变革,企业应对危机的传统公共关系策略遇到了空前的挑战甚至颠覆。如何有效
地建立并完善应对网络危机的公共关系策略成为摆在企业面前的重要课题。
在企业日常运营中,应加入防范网络危机的工作,使得防范网络危机日常化,制度化,力求从机制上减少或者快速发现危机的发生。为此,企业应该从以下几个方面入手:
1.设立网络安全专员。鉴于网络危机的破坏性以及预防和化解危机所需要的专门知识,企业有必要在公共关系部门或者网络部门下设网络安全专员。统筹企业日常的危机防范工作以及危机发生时的企业公关策略安排和资源配置。由于网络危机发生的根源可能存在于企业生产经营的各个过程而且可能牵扯多个部门,危机发生时很有可能出现职责不清的情况。这个时候,训练有素的网络安全专员就可以统筹规划,以标准的程序处理危机,而不会出现部门间扯皮的现象。
2.建立网络危机监测体系。化解网络危机最好的办法就是早期发现,这就需要企业建立完善的网络危机监测体系,把网络危机监测纳入到正常的经营活动中去,防微杜渐,最大可能在危机没有扩散的时候就消灭它。监测工作包括定期浏览三大门户网站(163,新浪,搜狐),各大传统媒体的网络版(人民日报网络版,新华网等)和主流的有较大影响的网络论坛和社区(天涯和猫扑等)查找和企业相关的信息,识别和分辨出可能的网络危机苗头;定期利用主要搜索引擎(Google、百度和雅虎等)以企业名以及企业的主要产品和服务名为关键字进行搜索,查看相关的新闻和评论,发现问题及时上报解决,杜绝不良信息上升为网络危机的可能;定期检查企业网络设备和防火墙系统的安全性和稳定性,及时更新和升级杀毒软件和防黑客攻击软件,使得企业网络更加安全。
3.建立、健全网络危机应急预案。网络的特点注定了网络危机的不可预测性,企业不可能知道网络危机在何时,何地,以何种形式,何种规模发生,所以必须在专门人员的指导下,于危机来临前就建立和健全网络危机处理应急预案,充分考虑网络危机发生时可能出现的状况,提前制定危机发生时企业将要采取的措施、步骤和人员安排。这样可以规范网络危机发生时的应急管理和应急响应程序,明确各部门的职责,可以有效提高企业抵御网络危机的能力。例如本次网易社区遭黑之后迟迟组织不起有效的技术力量进行维修,使得网络得不到及时恢复,说明该企业的网络危机处理预案存在不足。
4.加强全员网络安全培训。网络危机涉及企业的方方面面,和企业的每一个人都息息相关,不光是网络安全专员,网络部门或者是公关部门的事情。企业定期进行全员的网络安全培训可以增强员工的网络危机防范意识,熟悉网络危机应急的步骤和任务,在危机发生时可以更好的配合网络安全专员的工作,形成解决危机的“合力”。
四、网络危机发生时的应对策略
当企业确定网络危机发生时,企业应该迅速反应。公关专家帕金森(Parkinson)认为,网络危机中因为传播失误所造成的真空,会很快被颠倒黑白、胡说八道的谣言所占据,“无可奉告”类的外交辞令尤其会产生此类问题。网络危机的来临犹如野火燎原,蔓延迅速,所以企业在面临网络危机的时候务必迅速反应,以积极务实的态度面对问题,主动的抢占媒体先机。为此,企业可以采取的措施如下:
1.成立以企业高层领导为组长,网络安全专员牵头网络技术部门,生产部门,公关部门,客服部门和法律部门等各方组成的网络危机处理小组。由于网络危机形式的多样性和复杂性,危机处理小组必须由各个相关部门的同事组成,这样可以确保处理危机时需要的各项资源和专门知识;危机处理小组必须由企业高层挂帅,确保处理小组的工作畅通无阻。
2.发表企业声明或者道歉。在网络危机袭来之时,企业必须发表官方的声明以正视听,这样起到拨乱反正,澄清事实的效果。在产品和服务出现缺陷的时候,应该公开道歉。
企业发表官方声明和道歉的形式有:召开新闻会;在官方网站提供声明网页,并以首页链接或者自动弹出的方式出现;向主流报纸,电视台,专业杂志以及主流网络媒体发送声明新闻稿,并且利用与媒体的关系使声明在相关媒体显著位置出现;在主流讨论区和论坛发表官方声明帖,可能的话使之置顶显示。
官方声明和道歉必须显示出足够的诚意和耐心,必须正视问题而不能试图掩盖或者狡辩,那样做只能增加危机扩大的可能。例如亨氏公司在爆发苏丹红事件之后表示“工商部门检测表明,每瓶问题产品只含0.6‰的‘苏丹红’,只相当于抽半支烟。”这一好似狡辩的官方声明丝毫无助于问题的解决,舆论一片哗然。而当亨氏随即把责任全部推给供货商之后,这一品牌在消费者心目中的地位已经不可挽回;肯德基在苏丹红事件后的诚恳道歉迅速赢得了消费者的尊重和理解,圆满地化解了危机。正反两个事例说明了企业网络危机处理中态度的重要性。
3.采取行动解决根源问题。如果说发表声明对于解决网络危机是“治标”的话,那么在发表声明的同时采取一系列行动解决危机的根源才是“治本”的办法和关键 。只有实实在在的处理危机的行动才可能化解危机,赢得信任。
对于网络病毒以及黑客攻击可以采取的行动有:迅速组织技术力量进行维修,力求尽快恢复网站和服务;承诺加强网络维护的人员、技术和设备,给消费者和网民以信心;配合公安机关追查攻击来源,必要时运用法律武器维护自己的权益。对于网络谣言,企业可以:说明事实真相,必要时可以提供权威部门的质量检测报告等;指出谣言的不实之处及谬误,揭露谣言的险恶用心,这样可以赢得公众的信任和同情;表示欢迎消费者和舆论监督,可以邀请消费者和媒体代表参观企业及其供货商的生产过程,让公众眼见为实。对于企业发生的一般性的质量问题和纠纷,企业应该:保证退换或者召回相关产品;封存并销毁有问题的产品,可以邀请公众监督;对受到伤害的消费者进行及时赔偿;更换出现问题的原料的供货商;让权威部门出具整改后的检测报告。企业面对网络危机的时候只有采取这样以系列的行动,才有可能从源头上解决危机。
参考文献:
[1]熊源伟:《公共关系学》.安徽人民出版社,2000
[2]罗伯特・希斯著:《危机管理》.中信出版社,2001
关键词 计算机网络;危害;防范措施
中图分类号TP39 文献标识码A 文章编号 1674-6708(2013)93-0223-02
网络是一把双刃剑,既有利于我们在社会资源共享的发展,又能让社会在信息化的高速时代中畅所欲言,但是,网络毕竟存在的问题是相当大的,很也能会让我们个人的隐私悄然曝光,因此防范网络危害带来的损失已经是迫不及待[1]。
1网络危害的因素
网络造成的危害是多不胜数的,因此,作为使用者我们应当清晰的认识到网络危害所产生的恶劣性质,因此,本文将对网络如今的现状做了以下几个方面的网络危害的总结。
1.1网络系统内部所存在的问题
一方面网络的生活上是一个相对自由的生活环境,因为它不像现实社会环境那样,有这政府的约束管理,因而,网络的环境是虚拟的,可信度也相对较低。因为任何一个人都可以通过网络来进行交流沟通,这样可以让资源更加互动化,但是,正是由于自由太高,很多个人隐私以及较为重要的信息也容易造成损害甚至是窃密,导致个人或者是企业隐私的公开化;另一方面在网络内部的设置过程中,由于是仅仅发展了几十年,没有一个相对较为完善的内部操作系统,因而漏洞的存在导致很多信息的外泄,因为可以通过程序的设置、硬软件的设置不合理而导致资源外泄。尤其是在计算机网络中,最常见的黑客就是利用网络漏洞的高手。他可以利用这些系统上的漏洞,进而有侵入的机会来获取用户的信息,这样就给他们一个可乘之机,进行对客户的个人隐私的窃取[2]。
1.2网络外部的影响
每一台计算机都有它独特的设施设备,一方面这些设施和设备容易受到外界加工的影响而导致故障的出现,这样纯属于自然影响,但是这种对网络危害的效果较为小,仅仅只会导致用户在使用网络的时候中段而已。另一方面对网络危害最大的还是来源于网络的病毒,这种人为的网络病毒是计算机网络安全中最大的威胁来源,因为病毒正是黑客制造,目的就是为了窃取用户的信息,因而病毒入侵具有隐蔽性、传染性和破坏性等特点,这样会对计算机的信息安全带来极大的威胁,甚至在以后的网络发展当中,如果处置不当,这种威胁会日益增强,导致计算机无抗压的能力。最后一个方面就是非法途径的入侵,也就是利用没有本人同意而尚自越权进行对电脑的篡改和操纵,使之用户信息的迷失。
1.3计算机使用者的操作不慎
用户在计算机的使用过程当中,会缺乏一个安全的使用意识,他们会误认为自己的个人信息不会被黑客窃取,或者是较为重要的文件不加设密码而直接进行储存,这样不对于个人信息的安全防范,更加使黑客有路途侵入。
1.4监管系统的缺失
在一个较为安全的系统当中,当然是以预防黑客攻击为主的环境系统。所以网络需要一个监管系统,可以随时进行对网络的监管了解,并保证网络信息交易的安全,但是目前在网络当中正是缺少监管系统才导致黑客无处不存在的出现在网络体统的漏洞当中。
2网络危害的防范措施
网络带来的危害可以让使用者深刻的体会到其中的危害之大,因此,为了解决这一危害所带来的影响,本文讲对网络危害做了一下几个方面的防范措施:
2.1完善网络内部结构
对网络进行全面的检查并且创造一个安全可靠的内部结构环境,各个网络系统进行全面的安全操作,并逐步完善系统的各个所出现的漏洞,防止黑客攻击,此外得完善系统良好的存储功能以及能够让网络进行自我的修复,防止网络内部的遭受攻击。
2.2控制网络访问权限
做好入网权限的限制,可以有效保证计算机信息资源不被他人非法使用或者非法访问,减少信息泄露的可能性。例如,对登录计算机的不同用户进行账户名识别验证,限制检查账号登录情况。
2.3保证计算机硬件及运行环境优良
外部因素有很多方面,一方面我们需要对计算机进行及时的系统维护和设备检修,使设备处在最佳的运营状态,重点机房为了防止电磁泄漏可以采取电磁屏蔽,同时要做好机房的防火、防雷、防震、防静电措施;另一方面,我们需要对计算机安装防火墙设置和病毒杀毒的的安装,通过防火墙的设置和访问记录查询网络的运行状况,做出最详细的系统分析,得出详细的系统结论,并且对网络环境进行及时的杀毒,采取主要的防毒手段和防御,采用行之有效的技术和处理的手段来进行最佳的网络杀毒模式。
2.4加强网络使用者的操作安全意识
对于计算机网络安全运行最核心的基本还是使用者对于网络安全的重视,作为使用者要做到以下几条:
1)要进行及时的杀毒处理,对网络的交易不得轻易的泄露个人的隐私,保持一个较为严谨的态度;
2)作为一名网络的管理人员,应该对自身的工作加强其责任感,建立一个较为安全的网络系统,给网络创造一个优良的环境[3];
3)为防止数据丢失造成不可挽回的损失,使用者应该有及时备份重要数据的习惯;
4)合理使用密码保障网络信息安全。
2.5加强网络监管机制
针对国家网络系统而言,国家应该制定合理的法律法规来进行高效的监管,并组建一个较为专业素质较高的监管团队,时刻对网络环境进行多方位的监管工作,并且向广大网民听取其意见和建议,并积极的在网络上实行其好的措施,并与网民一起来监督网络机制。
3结论
随着计算机网络的发展,其安全问题将会越来越受到人们的重视。影响计算机网络安全的因素随之不断地变化,这就要求我们要不断地探索,从技术和管理上综合考虑安全因素,制定相关的法规、制度,采取相应的安全措施,不断完善计算机网络安全防护技术。
参考文献
[1][法]迪尔凯姆.社会学方法的准则[M].上海:商务印书馆,1995,84:142.
关键词:网络信任;电子商务;网络伦理?
1 网络信任危机成为电子商务发展的障碍?
所谓网络信任危机是指计算机网络中人与人之间缺乏必要的信任,人们对网络安全、网络信用体系缺乏足够的信任,从而导致网络人际交往和电子商务发展的困境。目前,网络信任危机主要表现在如下几个方面:?
(1)网络技术安全的权威尚未建立起来。网络病毒的肆虐、骇客及骇客行为的频频发生、网络犯罪的侵袭,对网络安全构成威胁,严重危及网络环境的安宁,加上网络安全技术发展的滞后和网络服务商安全意识的淡薄,使人们对网络技术安全缺乏必要的信任,甚至有人把网络技术视为不安全技术的代表。 ?
(2)网络公司信誉和网络营销体系的信誉尚未确立。网络公司是一种新型公司,网络交易体系采用的也是一种全新的模式。由于博弈次数不够,或由于一开始人们就有上当受骗的经历,产品质量、商家信誉和售后服务的良好形象尚未确立起来,人们对这种新型的网络营销体系缺乏起码的信任,甚至有人极端地认为网络公司是皮包公司的代名词。 ?
(3)电子商务信用工具的缺乏和不完善。信用工具和信用体系是市场经济长期发展的产物,由于网络经济发展时间不长,使电子商务赖以生存和发展的信用体系的不成熟。这一方面表现为缺乏足够多的网络信用工具,另一方面表现为这些信用工具的不完善,加上人们对网络信息传输过程的安全性心存疑虑,从而导致人们对电子商务信用工具的不信任。 ?
(4)网络公民诚实信用的形象尚未树立起来。由于网络中的大部分行为具有匿名性,“网络中没人知道你是一只狗”的观念大行其道,网民自我角色意识淡化,良心机制在网民行为中的自我监督作用减弱,使网络行为变得漂浮不定,难以保证确定性,从而网民互相之间缺乏足够的信任。?
(5)网络前途的不确定性。作为新经济的网络经济一度成为人们关注的热点,吸引了众多的眼球和风险投资。由于其仍处于探索的发展阶段,出现了一些问题,碰到了一些困难。目前,网络经济正处于高潮过后的低谷时期。这是网络经济的转折时期,对其前途人们众说纷纭,甚至出现一些所谓的“悲观主义”者,“网络泡沫”的说法不绝于耳,这种人气的低迷使人们对网络未来的信心大打折扣。?
2 网络诚信危机的成因?
2.1 网络诚信危机实质上是网络主体之间的信任危机?
人们在行为互动中,为了降低交易和人际交往方面的不确定性,逐渐形成了一些规则。这些规则可以使你预期别人会干什么,别人也可以据此预期你要干什么。如果网络主体之间没有共同的行为规范,没有共同的信念,那么,彼此就难以预期对方将做什么,而一旦彼此不能预期对方的行为,那么彼此之间就会缺乏必要的信任,没有信任就会导致进一步的行为规范难以形成和确立,从而导致一种“诚信”的恶性循环。?
2.2 网络的虚拟性?
网络生活的虚拟性特征,使网络生活产生着巨大的诱惑力。虚拟不一定是现实的,但却是真实的。在虚拟社会中,网络主体表现得不完整、不充分。现实社会生活中,个人的性别、年龄、相貌、职业、财产、地位、名誉等自然属性和社会属性都充分地展现在交往对象面前。而在虚拟社会中,人类自然的、社会的特性,甚至人的一切特性都被剥离了,剩下的只是代表交往对象的一个符号,甚至连这个“符号”也是不确定、不统一的。这样就使网络主体在现实交往中丰富多彩的特性转变成枯燥单一的符号或数字。处在这种环境中的网络主体必然产生主体感淡漠化的倾向,网络主体退到终端的背后,主体间的关系呈现出间接的性质,在这种情形下,社会舆论的承受对象极为模糊,直面的道德舆论抨击难以进行,从而使社会舆论作用下降。网络的虚拟性,给处在这种环境中的电子商务交易主体提供了不诚信的温床。?
2.3 经济利益的不良驱动?
透过扑朔迷离的网络社会现象,我们不难发现,网络诚信危机背后隐藏着深刻的经济根源。正是由于不正当的经济利益和商业利润才驱使人们藐视道德和法律,而在网络这个“自由时空”中为所欲为。例如,由于经济利益的不良驱动,从电子信箱的收费开始,引发了一系列网络免费服务变成收费服务的大行动。网络公司纷纷“背信弃义”,将各种先前承诺的免费服务单方面地改为收费服务或缩小服务范围,这对整个电子商务来说更加剧了网络诚信危机,给本来就先天发育不足的电子商务人文环境造成了严重后果。?
3 构建诚信网络空间?
3.1 大力发展网络安全技术?
信息安全是电子商务正常进行的保证,信息安全是指通过保护信息资源,防止不良外来信息的入侵和防止信息的泄露、修改和破坏,以保证信息安全和可靠。信息安全的重点问题主要体现在系统安全和数据安全上。信息网络技术同任何其他技术一样,其本身存在着两面性,网络在给人们带来方便的同时,也把人们引入了安全陷阱。不可否认,网络诚信危机是由于技术的不完善或技术本身的发展而引起的。一方面网络诚信危机可以通过技术完善或技术的进一步发展来控制或解决。我国现在已经开始重视有关电子商务发展的安全问题。由中国人民银行牵头组织的安全认证中心正加紧建立,一些城市的认证中心也已经建立。与安全标准、电子签名、密码系统等相关核心技术的开发已得到重视并加大了投入力度。另一方面,一些网络社会问题不仅仅是一个技术问题, 它同时也是一项复杂的社会系统工程。?
3.2 加强信用制度建设?
网络经济是信用经济,而市场经济是契约经济,信用是一切经济活动的基础,到了互联网时代,信用几乎是电子商务的灵魂。不道德行为在电子商务中的泛滥,其中一个很重要的原因是缺乏规范信用的机制。在长期以来的计划经济体制下,我国的信用体系很不完善,企业的信用评估、个人的资信状况都不甚了了。急需建立个人和企业完善的信用体系和规定信用查询制度,以实现在具体化、可靠性基础上所进行的“虚拟化”交易。?
(1)应该从法律角度进行信用制度的立法。制定个人、企业、政府信用制度管理办法,先在部分经济发达地区做试点,然后推广到全国,在全国建立信用网络管理体系。?
(2)设置相应的监管部门,加强信用制度的监督力度。如加强行业自律,为交易的弱势方提供信用担保;加强失信的惩罚力度,提高失信方的失信成本。?
(3)早日设立信用认证机构,为交易双方提供信用认证。建立信用评估机构及标准,信用档案登记及管理机制,信用资料公开查核机制,信用风险预警和防范机制,公安、法院、银行、工商、税务、海关等相关机关的信息互通机制,失信惩罚机制,社会开放查询等机制,从而为全社会提供信誉咨询服务,促进信用意识的形成。?
3.3 借鉴发达国家网络伦理的建设经验?
电子商务的发展离不开完善的法律环境,这是一个在制度层面上影响着电子商务在中国应用和发展的关键性因素,随着我国电子商务的快速发展,这个问题已逐渐成为制约我国电子商务发展的瓶颈。同时,电子商务是一种全新的商务模式,其生存和发展所必需的法律、道德和其他公共政策问题仍处在不断发展和变化中。法律和道德是所有商业环境监管部分中的关键组成部分。事实上,电子商务发展中的最大障碍就是法律、道德及相关的公共政策问题。
(1)关于网络安全、文明的立法。从世界范围看,美国已经颁布了《联邦电信法》(1966) 、《金融秘密权利法》(1970) 、《伪造存取手段及计算机诈骗与滥用法》(1986) 、《联邦计算机安全处罚条例》(1987) ,瑞典在1973 年颁布了《数据法》,英国在1985 年颁布了《版权(计算机软件) 修改法》,澳大利亚、匈牙利、菲律宾、新加坡、韩国等30 多个国家也都制订了有关计算机安全监管的法律、法规。1997 年6 月13 日,德国联邦下议院通过了世界上第一部规范计算机网络服务和使用的单行法律《为信息与电信服务确立基本规范的联邦法》。在德国,此法亦简称为《多媒体法》。法律管制与道德教化相辅相成才能实现网络的安全与文明,发达国家的管理机制对我国的计算机安全立法工作是很有借鉴意义的。我国的计算机网络管理还处于单行条例、法规的管理阶段,我们应当走出这一困境,着手对分散制订的计算机安全法规进行梳理,对不完善的地方进行修正、充实,争取尽早制订《计算机网络安全监管法》。?
(2)守则的制订。据资料显示,美国南加州大学规定的六条网络守则和美国计算机伦理协会制。?
订的十条戒律对各种各样的网络不规范行为,甚至利用网络犯罪行为都有积极的约束作用。美国特拉华州立大学也制订了这样的一个制度:新生入学后必须接受一次计算机使用道德方面的教育,校方为此专门制订了一本计算机网络使用守则,供学生学习参考,经过短期培训后,学生还必须参加一次以守则为内容的网上考试,成绩合格者才有资格使用校园网。这对我国网络道德公约和守则的制订有着重要启示。?
3.4 加强商业伦理道德教育?
商业伦理道德是维系市场经济健康有序发展的精神动力,是链接现代文明的纽带,是关乎改革进程和社会协调发展的根本理念之一。在中国由计划经济向市场经济的转型中,伦理价值的失范现象十分严重,一些企业家认为市场经济就只讲钱,为了赚钱可以不择手段。因此,加强商业伦理的教育和新的伦理道德建设非常迫切。?
(1)要注重道德教化,强化监督,大力提高国民素质,弘扬诚信道德观念,让诚信观念深入人心。?
只有当诚实守信内化成为自觉意识时,守信才能成为自觉的行为;只有当诚实守信成为一种普遍的社会风气时,失信行为才能受到公众的谴责,失信者才无利可图,并且还将付出极高的道德成本。?
【关键词】计算机技术 网络安全 互联网技术
计算机技术的迅猛发展,正给人们的生活带来翻天覆地的变化,而计算机网络也逐渐渗透到人们生活的方方面面,通讯、游戏、网上购物、网上支付等,手机和电脑正成为人们生活中的必需品。但随着网络的愈加开放,人们的生活也愈加容易受到网络安全的影响。2010年,Google宣布其将退出中国市场,而据其公告,造成此结果的重要原因就是其网站在国内遭到黑客攻击。而2011年,国内的几大购物网站都受到黑客攻击,导致用户信息泄露。网络信息传输越俞发达的同时,网络加深技术对网络安全的保障越来越重要。
1 网络安全概述
计算机网络安全指通过实施各种保障技术及管理措施,使网络系统得以正常运行,从而保障信息传输的安全、完整,及可用。而根据国际标准化组织的论述,网络安全则是指为网络系统建设技术及管理上的保护,从而保障计算机的软硬件以及数据不会因为偶然或者有目的性的攻击或破坏,而保护数据的安全及完整。计算机网络安全,大概可以分为以下三个方面:
1.1 物理安全
网络安全的前提保障是计算机网络系统的物理安全。网络的物理安全主要指构成计算机网络的主机、服务器、交换机,以及网络线路等各种网络设备的正常运行,不受破坏。通常我们所说的计算机系统,就是由计算机主机、服务器,以及各种计算机终端等组成。网络的物理安全,一是要保障网络设备的不受损坏,例如主机等物理设备的安全;二是要注意建设计算机系统的周围环境的安全,包括其主机选址、线缆设置等,确保在遭受自然灾害时,其环境基础设施能保障整个计算机系统的安全运行,不被破坏。
1.2 系统安全
所谓系统安全既包括整个网络操作平台及网络硬件平台的安全,也包括网络拓扑结构设计的安全。目前来说,是没有完全安全的操作系统的,无论是Windows或者是Unix系统,其系统都会有其漏洞的地方。因此大多数系统在此的改善方式是对系统加强安全设置,以及加强用户认证,限制用户的操作权限等,以此来维护整个系统的安全。同时,网络拓扑结构也是可以直接影响整个系统的安全的。外网跟内网的无保护链接,会导致内网信息的漏洞等。
1.3 管理安全
管理是系统安全里面一个非常重要的部分。管理职责的不明确以及操作的失误等,会导致对系统的管控不够严格,这样就容易给外界造成入侵系统的漏洞。当系统受到安全威胁时,无法及时掌控现状,无法及时进行监控及处理等,这对系统的危害是非常巨大的。因此,要维护网络安全,就要对管理做到足够的重视。
2 危害网络安全的因素分析
现实中很多方面都有可能对我们的计算机及网络系统造成危害,例如黑客的攻击、木马程序、电脑病毒,以及自然灾害等。通常,常见的会对网络系统造成危害的因素如下:
2.1 黑客攻击
网络系统是一个高度开放的系统,这是信息得以快速传播的原因之一,但是许多黑客也抓住了这一特点,对网络系统进行攻击。黑客经常会通过其技术优势侵入我们的计算机系统,他们的目的通常是盗取数据资料以及偷用权限,或者破坏数据,造成网络系统功能的丧失甚至整个系统的瘫痪。
2.2 系统及程序安全漏洞
计算机系统及软件的漏洞是造成网络系统风险的主要因素之一,这也是目前网络系统安全中的薄弱环节,许多普通用户就深陷其害。非法者通过在网页界面或者软件程序包中编入异常程序,对浏览网页以及下载安装程序的电脑进行控制,或者进行网络攻击。依靠众多的软件及程序漏洞,黑客们就可以不知不觉地对网络及计算机造成危害。
2.3 病毒及木马程序等
计算机病毒,通常是某些人利用计算机软硬件本身的缺陷编写的指令及程序代码。它通过某种途径潜伏在计算机系统内,当其经过某种操作而被激活,就可修改电脑程序并进行自我拷贝等,通过程序的传播传到下一台计算机,从而对其他计算机造成感染并破坏计算机资料等。计算机病毒及木马程序的传染性大,传播隐蔽,对用户造成的危害通常非常严重。
3 加强网络安全策略分析
网络加深技术对计算机及网络安全的意义重大,特别是关键技术的掌握。但是,通常情况下,只要我们注意做好以下几个方面,那我们就可以给网络安全带来基本的防护。
3.1 提升网络安全技术
技术的漏洞还得用技术来补。因此我们如果要提升网络安全,就要有相应安全防护技术的提升。其中主要包括:
3.1.1 杀毒软件技术
对于一般用户来说,杀毒软件给计算机安全带来极大的好处与方便,一是其可获得性高,二是其便捷。杀毒软件,既查杀病毒的软件,只要其病毒库更新及时,就可以有效地发现并防止病毒的入侵。
3.1.2 防火墙技术
防火墙,通过在内部网络及因特网之间设置一堵墙,以检测及防御外部网络对内部信息的攻击及获取,从而维护内部信息安全,防止不法信息的入侵及损坏内部数据。作为在企业中最广泛使用的网络安全技术,其效果非常显著。
3.1.3 攻击检测技术
攻击检测技术,又称入侵检测技术,其通过特定手段对网络中的信息流进行匹配、分析等,来检测是否存在潜在攻击行动或者是危害信息的存在。其能有效地监视及对系统做出及时评估,对于防止黑客的入侵也是非常有重要意义的。
3.2 提高安全意识,注意日常网络使用的安全防范。
网络使用的重要保护来自于我们的安全意识的提高。在日常使用中,我们要注意监测软件的合法性及来源的正规性,同时对一些安全性未知的网页及邮件等,不轻易打开。同时,注意对自身用户名及密码的保护,采用安全性较高的用户名,密码尽量复杂化、差异化等,这都能有效防止不法分子对我们的入侵。良好的上网习惯以及安全意识的提升,对我们的网络安全有着极大的保护作用。
3.3 严防安全漏洞的出现。
绝大部分网络危害的发生,都是由于漏洞的不及时修补而给黑客造成了入侵机会。当漏洞出现时,我们就要注意及时进行修补及做好相应防护。这要求我们不但要重视系统漏洞,还有软件漏洞,注意经常做好监测,及时给系统及软件打补丁,不给不法分子带来可乘之机,严防网络安全威胁的出现。
参考文献
[1]郭腾.计算机应用中的网络加深技术[J].煤炭技术,2013,32(1).
[2]程立明.浅谈计算机网络安全防范措施[J].电脑知识与技术,2010,6(6).
关键词:计算机;网络技术;安全管理;维护对策
众所周知,经济和科技的快速发展已经使得计算机网络技术渗透到我们生活中的各个方面,计算机网络技术在与我们生活相关的众多领域中应用广泛,并发挥着越来越重要的作用。同时,由于计算机网络的一些特点,比如高度开放性、网民的良莠不齐等等,会使得计算机网络在安全性方面出现一些威胁或危险,因此我们应当未雨绸缪,针对出现的问题提出有效的安全管理维护对策,以保障计算机网络环境的安全通畅。
1 计算机网络安全技术
所谓计算机网络安全技术,就是指利用技术将网络信息进行保密保管,将网络信息资源完整准确地传播给所需要的网民,同时网民能够安全地通过计算机网络随时接收他人的网络信息,每个网民都应受到切实的利益保护。下面我们将讨论几种常见的计算机网络安全技术。
1.1病毒防范技术
病毒是计算机网络的一大威胁,病毒的恶意传播极大地威胁着计算机网络的安全性,对病毒的防范技术是计算机网络安全得到保障的重要技术之一。计算机病毒的主要危害有:阻塞计算机网络,使计算机系统瘫痪,,肆意篡改计算机文件信息等,这些危害威胁到计算机网络的安全。而病毒防范技术不仅能够有效阻止病毒的传播,而且还能够检测到入侵的病毒。这种技术的实现通常是在内部网络中的每一个服务器及主机上都安装上病毒检测软件,一旦发现病毒入侵便可及时隔离或消灭病毒。此外,病毒检测软件可以进行定期病毒库的更新升级,以保证病毒库处于最新的工作状态。或者可以通过病毒检测软件对服务器或主机的核心区域进行周期性的病毒扫描,以及时检测出病毒。这种技术有效地防范了病毒的入侵。
1.2 防火墙技术
目前,防火墙技术是计算机网络安全技术中使用最为普遍的技术,它能够实现对计算机软硬件的同时防护。计算机防火墙在网络连接的边界,有效地保护网络进出端的信息安全,同时能够在取得相关的访问控制权限之后,实现对有效信息的过滤。防火墙技术不仅可以通过防范外部网络的恶意攻击来保证网络资源的安全接收,而且能够保证信息的安全传出。截至到目前,防火墙技术主要通过应用级网关和过滤防火墙来实现。
第一,应用级网关。它主要针对特定的网络,比如可以对网络服务协议下的指定数据进行过滤,并可以针对数据的分析和统计进行完善地报告。应用级网关的防护可以进行精细化、复杂化的访问控制。与此同时,应用级网关可以对进出的数据进行检查,对传送的数据进行复制,这样一来可以有效地阻止客户主机和危险服务器形成直接联系。第二,过滤防火墙。它主要应用了数据包过滤技术,数据包过滤技术就是对网络数据包进行选择与分析,并通过数据包的地址、协议等信息来审查信息数据源能否安全通过。
1.3 数据加密技术
数据加密技术是在目前非常复杂的网络环境下,最安全最基本的技术之一。简单地说,数据加密技术就是通过将受保护的信息按一定的规则转换成密文,并以密文的形式对信息进行储存或者传输的方式来实现对信息的保护。数据加密安全系数可以用来表征数据加密的安全程度,此系数很大程度上取决于密文的长度以及密文的转换规则,在不同状态下的密文,其保密程度是不一样的。现在,数据加密技术主要应用对称密码和非对称密码来进行加密。所谓对称密码,是指在对数据包进行加密和解密时,使用的是同一个密码。而非对称密码,就是指在对数据包进行加密和解密时,使用的是不同的密码。可以看出,使用非对称密码进行加密比使用对称密码加密要更加安全。
2 计算机网络安全管理维护对策
为了提高网络安全性,给网络用户提供更加可靠的网络环境,我们就要提出相关的措施来维护计算机网络的安全,因此我们提出以下几个方面的对策。
2.1 健全网络安全制度
计算机网路技术与安全管理需要切实可行的制度规范来支撑,作为网络安全管理员,我们要建立健全网络安全制度,制定出可以有效应对突发性威胁网络安全事件的处理流程和办法,同时,我们要跟随时代的进步不断创新网络安全制度。网络安全制度主要包括以下几个内容:网络安全设备定期检查和维护制度;重要存储介质保存、销毁管理制度;数据密码管理制度;意外事件处理制度;危险事件报告制度。此外,我们还要制定安全责任制度,以制度的形式约束责任承担人;制定重要信息保密制度,从法律法规的角度保证信息的秘密性。
2.2 提高网络安全保护意识
随着网络上信息的纷繁复杂化,作为网络安全管理员,我们应该加大对网络安全保护的重视,提高网络安全的保护意识,努力学习加强网络安全的技术,把学到的技术技能应用到实际的网络安全保护工作当中去,以更好地做到网络信息安全。比如,我们可以监测控制好连接到网络的硬件和软件系统,检查清楚威胁网络安全的不良因素,并及时做出必要的纠正,以减少网络危险可能带来的损失。
2.3 做好日常维护网络安全工作
网络信息安全保护需要做好日常维护网络安全工作,网络管理员在日常的维护工作中需要做好定期的网络监测,以更好地避免因网络系统漏洞而出现的网络隐患。同时,我们还要做好日常的维护记录工作,对所监测的网络设备进行记录,尤其是那些重要的数据要进行定期备份,以防止因突况导致的重要数据的损坏或丢失。另外,我们在进行日常维护网络安全工作时,要分清工作的主次顺序,对威胁网络安全的危险进行重点防范,如增设防火墙、升级病毒库、增加入侵检测设备等。
3 小结
综上所述,随着计算机网络的快速发展和广泛应用,我们面临的计算机网络安全方面的问题也越来越多,越来越复杂化,我们必须加大对计算机网络安全的重视。具有开放性这一显著特征的计算机网络正逐步渗透我们生活的方方面面,因此加强计算机网络安全管理工作就显得日益重要和迫切,只有将计算机网络技术和网络安全管理技术二者有机结合,才能提高计算机网络的安全性,使计算机网络更好地服务于我们。
参考文献
[1]张伟杰.计算机网络技术安全与网络防御分析[J].硅谷,2014,(16):197-197,199.
①存在大的攻击消耗。作为现在人类日常生活中重要的部分,计算机网络侵害和攻击的主要对象就是网络中的计算机,绝大时候都会给计算机用户引入严重的毁坏,发生体系彻底无法恢复或者丢失许多数据的事故。②影响社会的整体安全。作为当今社会的必要设备,不只是我们每个公民个体,政府以及企业,也都使用计算机进行相应的工作。其攻击的主要对象是著名企业或重要政府部门的计算机网络,很容易给国家引入重大的安全危害。③不易发现的攻击方式。伴随计算机网络先进技术的飞速成长,攻击网络的方式也越来越多。攻击者一般是用获取用户登录的密码,完成攻击计算机网络;通过得到的数据,获取重要的保密文件。这类方式给整个网络引入了非常大的危害,而且非常不容易被发现,这给防备安全引入非常大的不便。
2构成网络安全的缘由
(1)固有因素。在日常计算机利用进程中,肯定会受到自有的缘由或者人为操作的作用,发生安全故障。计算机自身的防备水平不够,当受到攻击时非常容易造成数据的丢失或者毁坏硬件的现象,影响了整个网络的信息安全及其完善性。在固有因素当中大都属于静电危害,这也是最不好解决的危害。主要原因是,对于计算机核心器件CPU和ROM,因为其是利用MOS工艺进行设计的多功能电路,其很容易受到静电的影响,而呈现很多方面的毁坏。(2)对网络安全没有足够的认识。在计算机发展进程中,也出现了复杂的网络框架,其也高要求网络安全的整体管理。而从现实中考虑,每一个用户对网络安全没有足够的认识,意识非常匮乏。表现在,在进行网络浏览时,没有一定的操作规范,很有可能下载到对网络安全构成危险的软件。(3)计算机系统还有很多的Bug。这些Bug存在是,很容易让黑客侵入,破坏整个通信网络。没有对系统Bug进行修补和排查,给黑客提供了便利的攻击条件。因此及时修补系统中的Bug,养成良好的上网习惯,防范黑客攻击。(4)安全管理也有很多漏洞。作为网络安全的必要屏障,对网络安全的匮乏认识,直接会导致整个网络的瘫痪,特别是构建网络安全防范体系,尚未有成熟的安全体系。基于计算机的关于网络通信安全方面的问题愈来愈凸显,表1是一般网络安全的需求。
3网络安全预防方法
对于网络安全问题,其主要危害有很多方面,大部分都是黑客通过系统Bug对整个网络进行攻击。现在网络安全预防手段中,大部分都是使用杀毒软件和设置防火墙进行双重保护。可是伴随攻击方式的多元性,杀毒和防火墙的双重保护只能防范普通的病毒,并且在防火墙设置时也增加了相应的访问权限,这给网络安全留下了非常大的隐患。因此网络安全预防中,既要配置杀毒和防火墙的双重保护,也要切实进行网络安全的系统管理工作。
3.1认真做好保护系统稳定性的工作
对于网络系统,其本身肯定会有一些Bug存在,这些Bug就是网络安全的危害。因此真人分析网络系统中的每一个方面,针对每一个可能具有的Bug或者已经有的Bug进行防范和保护,尽可能地防止黑客和病毒的入侵。配置杀毒软件和防火墙设置,主动地对整个网络系统进行一定的防护,当病毒或者黑客还没有入侵到网络系统时,就要采取一定的防御措施。而且用户可以在网络系统中设置一个不易被发现的系统,当文件侵入网络系统时,对其进行清除,防备网络攻击引入的危害。
3.2改进相应的四周环境
在日常的活动当中,四周环境非常容易影响计算机的正常运行。比如断电及雷击,都可能影响到整个网络系统的安全。因此在日常使用进程中,经常对网络系统进行线路的检查,尽快处理已经出现了的相关问题;切实做好网络系统的防雷措施,对于计算机工作室,配置避雷针或者相应的抗干扰装置,尽可能保证固有因素对网络系统的影响。而且作为网络安全中重要的核心因素,相应的防备工作也要积极开展。比方计算机工作室内,配置防静电的地板,同时保证其和装备之间的接地,如此就有益于室内积累的静电传送到大地。
3.3基于计算机关于网络通信安全的先进技术
对于防备网络系统安全问题,其相应的先进技术非常多,主要有基于密码学的先进技术,基于防火墙的先进技术,基于入侵探测的先进技术,其都为防备网络系统安全中非常重要的部分。(1)对于基于密码学的先进技术,在防范网络系统安全进程中,其可以成功避免非正常用户以及恶性文件和软件的侵入,对于保护个人私人资料,密码是最最基本的一条防线。而对于设置密码方面,用户还没有足够的认识,通常只进行简单的密码设置,这个简单的形式提供给黑客攻击的有利条件,很容易发生密码被盗的事故。因此,不能简单地对密码进行设置,应该设置为没有规律可循的字符和数字随机组合的密码,同时不定期地进行密码更换,以防被黑客入侵。(2)对于基于防火墙的先进技术,用防火墙网络系统划分,构成不一样级别的模块。同时经过访问控制判断以及身份的鉴别方法,尽可能地控制不同区域的系统安全。而且对于网络系统安全的需求,防火前也具有不一样的职责,是因为防火前具有庞大的体系。(3)基于入侵探测的先进技术,对于防御整个网络安全,入侵探测属于主动保护的体系。这个系统可以分析所获取的关键信息,随时可以观测到整个网络的安全情况,并针对影响安全的行为进行一定的打击。和防火墙相比,入侵探测可以成功提升整个网络系统的安全。
4结束语
2008年世界经济危机的爆发,掀动新一轮经济周期。新一轮经济周期从由次贷危机引发的经济衰退开始。金融危机传递到实体工商业,导致整个经济体系的全面停滞甚至负增长。①不同于往次衰退的商业过量存货、消费量下降、技术创新乏力、资本积累不足症状,这一轮周期的起点与房地产泡沫、金融结构失衡、财政不足等有关。衰退是市场经济结构严重失衡的表现形态,一大批企业破产倒闭;应对衰退实质上是市场结构的重大调整,大批企业兼并重组,新的产业则在酝酿兴起。市场结构调整同时是世界管理体系变革,两者都以效率/效益来源及其影响因素变化为基础。在全球开放环境下,应对危机中产生的创新管理方式方法势必通过国际投资与合作机制向我国传递,对我国管理体系产生重要影响。我国经过30多年改革开放与发展的努力,经济总量上去了,跃上了世界大国行列,但适应世界开放环境的经济管理还是低水平的,管理的低水平是难以实现由经济大国到经济强国的转变的,也是难以完成由经济发展方式转变提出的管理方式转型要求的。管理方式转型过程中如何借鉴、吸收世界优秀管理思想成果和好的管理方法,在继承中变革,在变革中创造性地发展;如何在发展方式与管理方式转型中注入国外先进的管理理念与管理模式;如何借助管理上“有形的手”将外部市场商品(服务)内部化为主体可控的生产要素组合,实现基于人性价值的组织效率/效益目标。
2008年经济危机发生后,学者们基于社会责任从学理上反思发生的源头,考察现行经济体系和政策背后的机理问题,为应对复杂诡谲的环境变化和新的不确定性,遏制衰退蔓延以及可能的社会动乱,世界发达市场经济体沿“阻止衰退恶化”的思维模式倾力找寻问题的原因与应对之策。遏制二次衰退,需解读危机发生的缘由,缘因在市场结构过度失衡。科茨•大卫(Kotz,David,2009)等从体制结构上对经济危机进行了比较研究;魏德曼(JensWeid-mann)深入研究了欧洲金融危机的影响,认为危机的“病灶”在欧洲货币联盟的制度框架存在缺陷,众多成员国也存在各自的结构性缺陷;“私人债务国家化”演进为“国家债务国际化”的债务危机深化;金融自由化与高杠杆化问题;危机的全球负外部性问题与危机治理的长效机制以及公共产品的全球合作开发;新形态国际分工发展;新贸易保护主义与国别文化差异等。也有着眼未来,从后危机时期不确定性问题出发,研究世界经济发展的趋势变化,包括各国危机应对、绿色产业发展、网络经济以及结构性变革;研究跨国公司的全球战略调整,譬如战略平台、战略中心、战略方向与组织结构等。在管理层面上,一些学者从不同角度研究了安全管理问题。朱建明、SrinivasanRaghunathan,基于博弈论,对由防火墙、入侵检测系统和容忍入侵技术构成的三层安全体系结构分析,提出信息安全技术评价模型。在对入侵检测系统评价基础上,重点研究了防火墙、入侵检测与容忍入侵的相互影响和关系。研究表明,IDS的检测率、误报率与防火墙的性能有密切关系,系统安全配置直接影响信息安全机制的性能和成本效益,容忍入侵机制取决于入侵的损失评估、系统的成本和防火墙与IDS的性能。信息安全机制的优化配置对于信息安全的效果具有重要影响。孟祥宏、孙薇等根据信息安全的博弈特征,建立了信息安全的攻防博弈模型和防守博弈模型,进行攻防博弈和防守博弈的均衡分析,并结合我国国情实际提出调解信息安全问题的策略建议。但基于新经济周期的世界管理变革与我国管理选择的研究较少。为此,本文从以2008年世界金融危机发生为标志的新经济周期出发,考察世界管理变革的趋势与特点,结合我国管理实际,重点从宏观管理变革创新角度探讨和思考新时期我国管理结构变革与重组的有关问题。
二、新经济周期中的世界管理变革
经济周期(BusinessCycles)的本义是一个从初起(或衰退、复苏)、扩张到达顶峰,产生衰退,退到谷底转而复苏、扩展,再到高峰的周而复始运动。经济周期视角的管理是一个相对市场变化的起伏过程。如果说,工商经济活动在起步成长和扩张阶段,人们很容易为市场的成功所陶醉,而常常旁落管理的话,那么在衰退和复苏阶段则是凸显管理价值与意义,检验主体组织管理质量与水平的重要时期。衰退期的外部市场环境恶劣,对将外部市场商品(服务)内部化为产品(服务)产出的企业等主体来说,不得不以新的技术,新的管理方法适应世界结构变革,获取绩效,因而衰退时势常常成为激发经济主体进行技术、管理创新的重要契机。在外部市场升降大变化情况下,如何有效组合生产要素,实现组织效率/效益目标,是检验其能否在危机中生存、发展的头等重要大事。总结世界经济危机史,不难看出,应对危机的动力除常说的技术创新、需求刺激,还有由外部市场内部化而产生的管理变革与调整。如果说,经济危机是市场结构失衡的表现,是超市场的协调缺失的结果,是工商经济活动扩张阶段宏观管理滞后以至于在周期顶部管理失控,那么,危机的应对之策就是调整市场机制与管理机制的关系,以管理创新加大微观与宏观双层管理的力度,从而为经济复苏奠定坚实的组织基础与实力。1929年世界经济大恐慌以后,世界各国基于商品市场失衡的现实,加强政府对市场均衡的管理作用。历经80年的发展后,2007-2008年次贷危机引发了以资本市场结构失衡为特征的世界金融经济危机,世界由此而进入一个新的经济周期。新经济周期的管理变革在以往政府对市场的管理体系的基础上,承传历史,又因时因势求新,赋予全球化时代新内涵。其特点有:第一,各国政府间协调市场的管理作用进一步加强。以往政府应对经济衰退的货币、财政政策工具大多限于本国范围,但由于近10多年来的经济全球化快速推进和互联网因素,各国的市场经济活动、信息传递大大超越国界,对这样一种世界性市场,一国政府的调控是无效的,而需各国政府会同利益攸关方协同调节市场。2008年世界金融危机爆发后,以美国为代表的发达国政府用比以往更大更强的力度干预金融市场,同时大大增强了各国政府联手应对危机的能力和协同性。比如20国集团会议,以跨国组织协调,阻遏经济衰退;各类国际经济组织,作为世界经济协调重要力量,积极行动,限制危机的国际间传递及其对世界经济的冲击。第二,预期管理更加系统,更有实用价值。这次危机不同以往,从次贷金融危机开始,然后传导到整个经济领域,由经济危机又带出国家债务危机,导致经济二次衰退。在总结历史基础上,欧美发达国家采取更加积极的财政金融政策,同时根据经济周期规律加强了预期管理平台的搭建。理性预期经济周期模型成为宏观管理的模拟参照系,将预期管理的关口前移,突出政府与经济主体的管理分工与协调。由于经济周期变化系内外在因素共同作用的结果,而每次周期波动又总有某些主体和某些因素起首要作用(如新技术革命、政治事件、新资源发现等),把握这些主因素成为预期管理或反危机管理的关键,为此,增强对重要微观主体和关键因素的预警与预期管理。此外是除加强预期管理外,加大对带有偶然性和难以预测性的非周期性影响因素的理性分析,通过构建应对非周期性波动的政府反应模型,增强对突发危机事件的应对能力。第三,跨国公司的超国家管理作用。跨国公司控制着世界贸易的50%,投资的90%,是经济全球化和经济周期运行的主体,也是世界管理变革的驱动力。跨国公司通过对外直接投资、跨国并购、内部贸易、资金流、转移定价和技术转移等活动,对东道国或多国的经济环境、投资区位、经济结构发生直接作用,影响世界经济的运行与结构变化;同时以实力强势将自己的管理理念与管理模式传递或施加给东道国和业务相关的国家,从而推动世界管理变革。通过经济周期不同阶段的投资计划、产业分布、组织定价、内部贸易与信息规制等,对世界新经济周期起超国家规制作用。从国际间的双边协调、区域多边协调、全球性缔约等多方面和多层次分析跨国公司的超国家规制实现路径。这些影响作用同时是将全球化视角的管理理念和管理方式传递给东道国,促进世界管理变革。管理变革体现在投资、贸易、技术研发和技术移出等多个领域。法律手段和行业自律及国际非政府组织的监督等多方面把握跨国公司的规制手段。这里顺便指出的一点是各级主体的经济管理加强对世界经济周期的影响。历史表明,危机的周期已变得越来越短。据统计,资本主义社会的经济危机,在18世纪每隔70年才有一次;在19世纪缩短为20-30年;到20世纪则为8-14年;而21世纪才开始不到10年,就已经发生两次了。周期的缩短,很大程度上是由于世界主要国家政府的反周期干预。比如说,大量的财政刺激延缓了危机发生的时间。预期管理的适用性加强以及跨国公司的超国家管理作用等,也在一定程度上改变早期市场经济结构的自调整方式与世界经济发展的周期特点。本文主要从政府作用、经济安全、跨行业管理三方面突出新经济周期下的世界管理变革趋势与特点。
三、全球化下混合经济新发展与政府管理新作用
混合经济原生于私人经济的社会交换与发展过程中。19世纪后期以来市场自由竞争的放任与市场失效,从反面激发了资本主义国家政府对市场经济的调节,促进了混合经济的形成。混合经济有两个基本条件:一是市场失效,并逐渐为人们所认识。随着资本主义的发展,自由竞争的市场失效事实逐渐为越来越多的人们所认识。尤其表现在公共产品或准公共产品上。市场失效不遏制势必威胁到资本的价值和经济社会的均衡可持续性。二是政府有为。随着市场经济发展,政府不断加强对资本主义自由竞争经济活动的调控,产生基于政府与私营企业之间的混合经济。调控主要是政府运用财政、税率、货币政策工具,调节和干预自由竞争经济。因而,资本主义混合经济既是政府的自由竞争干预,又是市场竞争结构的调整,而在管理层面上则是政府以规制形式对私营企业管理的介入与渗透。2008年爆发的世界金融危机,本质是功能上市场与宏观管理的结构性失效。管理跟不上市场动态变化,以致于虚拟经济过度脱离实体经济,发生经济危机。面对危机,以美国为首的世界各国政府采取措施,增强政府对市场的调控管理。由于政府的财政、税率、货币政策工具运用,混合经济在新经济周期得到新的发展。新发展无论在内容上还是形式上都与上世纪二三十年代的混合经济存在很大的不同。面对自由竞争的结构失衡问题,世界经济周期主导国美国及一些发达国家摈弃了上世纪80年代“华盛顿共识”中“经济自由、私有化、减少管制”理念与新自由主义精神,突出了政府对自由竞争经济的调控作用,使混合经济在世界范围内得到了更新。更新总的来说是更广范围、更有重点、更大深度地强化政府作用。包括对过分依赖虚拟经济的结构调整、加强金融监管、政府接管公司或收购股权、高管薪酬设限、就业扶助、降低贴现率和基准利率、向金融体系注资、无限量向金融机构贷款等。以金融监管为例。2008年金融危机凸显监管的短板,各国加强了金融监管。2009年美国通过了《多德弗兰克法案》,由该法案又出台了限制金融业混业经营的条列,设立金融稳定监管委员会,增加金融监管机构之间的协调和沟通。2010年末至2011年初,欧盟组建了集宏微观审慎监管于一体新金融监管制度结构,即“三局一会”②。这是全球首个带有超国家性质的泛欧金融监管体系。新的体系不仅融合了宏观和微观审慎监管,也融入了国家和国家联盟层面的元素,体现加强宏微审慎监管的有效融合以确保威胁金融稳定的风险能被识别和处理这样一种理念。国家接管公司或国有化,有如美国政府接手通用汽车公司重组后的70%股权。混合经济的新发展显示出世界市场新格局,意味着世界生产效率和经济效益来源的重大变化,也标志着世界管理体系的结构变革。变革除政府对自由经济的管理作用增强外,还表现在行业协调管理和企业风险管理方面。行业协调管理的特点是,适应产业价值链的全球分工发展要求,实行宽领域的行业协调管理,更多行业的交叉与协同。
四、国际互联网下信息网络安全监管职能增强
经济安全已成为一个全球性关注的重大问题。按需要层次理论,安全需求是人们生理需要得到基本满足后而渐显强烈的需求,它通过安全供给来实现、满足。从安全需求结构看,当今安全需求比较突出的是信息网络安全、金融安全、环境安全、产业安全等。安全问题的凸现与经济社会开放扩大条件下经济交易主体增多和交换关系扩大直接相关。交换关系的扩大,使到经济社会的不确定性扩大与多样。不确定性主要是“横向不确定性”(不清楚他人正在干什么)和“纵向不确定性”(不清楚未来会发生什么)。这在新经济周期中表现尤其明显。就信息网络安全而言,随着国际互联网的经济社会应用范围的扩大,互联网的经济社会资源配置的基础性、全局性作用日益显著,影响也越来越大。互联网和重要数据库越来越成为黑客或犯罪分子觊觎的对象与攻击的目标,信息系统受侵可能会给用户造成巨大损失,特别是在军事、金融方面。网络安全已成为互联网应用和经济社会发展的重要保障。从近几年的统计数字可见,有关信息安全、网络安全的事件正随时间的演进而迅速增长,并呈愈演愈烈之势。信息网络安全事件又以电脑病毒、网络攻击、网络犯罪③、网络侵权、色情和垃圾信息泛滥为主要。从中国互联网安全环境看,据CNNIC最新调查显示:2011年上半年,在互联网使用基础安全方面,中国遇到病毒或者木马攻击的网民数半年增加735万人,达到2.17亿,比例为44.7%;有过账号或密码被盗经历的网民达到1.21亿人,半年增加2107万人,占网民总数的24.9%,较2010年底增加了3.1个百分点;网络消费安全环境方面,有8%的网民在网上遇到过消费欺诈,该群体规模达到3880万人。黑客活跃在网络的各个角落,从经济、社会、军事各个方面进行攻击破坏,危害国家安全、社会稳定的针对性事件大幅增加。对此,世界各国政府都给予了极大的管理关注。美国、英国、法国、德国、日本等发达国家都在主张网络自由的同时,加强了对网络治理和信息安全监管。中国也在根据对信息安全的理解,强调安全管理。国际互联网条件下世界信息网络安全监管职能增强趋势明显,主要有如下几个特点:一是提升网络安全监管级别。比如美国《2009年网络安全法案》中强调:“网络安全的独特性需要新的领导模式”,并授予总统更大的网络安全管理权限。英国、法国等发达国家也不甘人后,强调以创新网络技术为动力,推动网络管理升级,提升网络安全监管级别。再有在军事政治上,美国于2009年6月23日宣布成立网战司令部,成为全球首个公开将军事机构引入互联网安全维护的国家。④二是统分结合的信息网络安全监管体系。分,即进一步健全信息内容分级管理体制。统,即按国家网络价值理念与利益关联原则将多头管理部门统一,以实现网络的有效管理。美国为解决网络监管力量分散,多头管理的不协调问题,提高网络安全管理的有效性,将国土安全委员会和国家安全委员会合二为一,设立国家网络安全顾问办公室,配备专门的网络安全协调员等。一些国家则根据新经济形势下的管理目标新定位对组织机构、职能与人员进行归一。三是政府、私营部门、民间组织和公众的多方共同网络治理。政府在信息网络安全的规制上作用明显,但也有其局限性,为此,网络发达国家愈来愈重视政府与私营部门、民间组织、公众共同的网络安全维护与治理。美国《2009年网络安全法案》从国家网络安全优先性出发,明确政府在维护互联网安全和自由、保护公民隐私方面的作用;提出政府公共部门与私营部门建立合作伙伴关系,要求国家网络安全与通信中心和私营部门共享安全信息等;强调公民的国家网络安全意识,提高公众对网络安全问题的关切和认识。把私营部门和公众纳入网络安全保障体系,形成多方共同治理结构。四是网络人才的培养与管理。黑客正对网络安全构成巨大的挑战。黑客利用漏洞攻击、在普通网民的电脑中安装流氓软件、在网站上放置木马病毒等手段进行网络攻击;窃取个人资料从QQ密码、网游密码发展到银行账号、信用卡账号等,或用木马病毒敲诈,安全威胁极大。为此,网络发达国家都在主动招募和培养自己的网络战队伍,一些国家通过运用“以毒攻毒”的方式,采用了一系列黑客技术手段,来达到网络防范与安全管理的目的。
五、开放环境下跨行业管理的宽领域与大协调
全球开放和国际互联网环境下的产业经济发展,大大超越了以往的国界和行业边界。新时期的跨行业管理具有前所未有的宽领域特征,也提出了跨行业管理的大协调要求。主要有:
(1)产业的网络经济性。国际互联网已成为一种生产力引擎,一方面是催生大量以网络产品和服务为主打的网络企业与产业,另一方面是大范围地延伸、渗透到各个领域与各个行业。电子商务的大范围扩展,深刻地改变了产业结构与流程。各产业组织为获得这种网络经济性,将研发、采购、生产、服务、营销和管理过程越来越多地链接到互联网技术体系中,使管理体制与网络技术有效地结合起来。其中提出了许多具有革命性意义的管理新理念、新思想和新范畴,如产业网络管理、数据库管理、虚拟组织管理、跨文化管理、低碳管理等等。这要求有实体管理与虚拟网络管理的协同。
(2)产业发展的多种形态交错。我国产业发展正处在一个重要转型期,转型包涵着传统农业⑤、中期工业化、加速信息化、产业生态化的多元并举,其中有传统产业的现代化,有对结构性不足的补充与完善,也有战略性新兴产业的培育。也因之而提出不同于以往的行业管理新涵义、新表达与多形态管理协调要求。
(3)产业开放发展与本土化成长的相互推动。产业越是开放,其本土化成长问题就越显突出。世界技术革命和全球市场的互动,极大地冲击着产业的边界,原先产业壁垒已不再铁板一块,产业间互相进入的成本降低,跨行业、行业交叉与综合的现象大大增多。产业联系也随核心竞争力考量而重组,有将生产环节或业务外包出去,也有内接进来;有市场外部化也有企业内部化。更多跨国公司进来,也有更多本土企业走出去。近些年来中国企业参与发达国家资本市场竞争活动不论在数量上还是结构层次上都在上升,包括企业购并、企业扩建、股权交易、营销网点布局等等。在全球开放环境中,跨国经营有进有出,也就有国际管理思想与管理文化的交汇与融合,管理的“融合发展”势所必然。这是一种本土管理文化与外国管理文化的兼收并包容。本土产业组织的管理也不再是乡土局限的代名词,而是开放环境下对传统管理文化中的精粹与全球开放视域的向上精神的管理融合协调。
(4)基于全球产业价值链竞争的宽领域跨行业管理。全球化下的供应链系统依赖着一个互联的网络,其中有如运输基础设施和路径、信息技术及计算机和能源网络等。技术的、社会的犯罪和自然灾害的侵害都可能危及国家安全利益。全球的供应链安全问题已上升为一些国家的国家战略⑥。近些年来世界经济中暴露出来的问题产品越来越多,正是这种管理不足的一种反映。问题产品的事后召回制度并不能从根本上解决问题。问题产品的背后是包括生产管理在内的整个产业体系管理问题。现代国际性企业生产,一方面是随着创新竞争趋势而越来越多的新技术应用于生产过程,另一方面是随着环节分工的越来越精细,产业联系越来越紧密,一个产品的生产链条不仅仅是一个行业的事情,而且牵涉众多行业的模块。就拿当今热议的食品安全问题来说,食品生产不只是食品行业本身的事,还包括农业生态、生物工程、化学工业、物流服务业、市场管理等众多领域,而且涉及整个流程的质量安全监督管理问题。特别是全球开放环境下,产业链条越长,跨行业管理范围就越宽,涉及的领域就越多。这些管理问题不是传统的企业管理所能实现的,也不是传统的行业协调所能达到的,而需要国家打破传统的行业管理界限,实行跨行业管理。跨行业管理正因全球价值链竞争而变得更大范围更宽领域。一些国家或地区严格加工食品追溯制度,从原料来源、生产养殖、加工原料配制、加工制造、运输仓储直到销售全过程中的每个阶段每个环节进行登记和跨行业宽领域管理,就是明证。这启示我们,新经济周期中我国产业发展方式转变要同时兼具跨行业宽领域管理转型;实行从原料来源、生产养殖、加工原料配制、加工制造、运输仓储直到销售全过程每个阶段每个环节的登记管理制度,做大跨度的管理协调。
六、世界管理的横向传递与中国选择
按波峰年的经济增长率计算,1978年以来中国经历了1978年(11.7%)—1984年(15.2%)周期、1984年(15.2%)—1992(14.2%)年周期和1992年(14.2%)—2007年(11.9%)周期等3个周期后,2008年开始进入第4个周期。第4个周期不同于以往的一个很重要特点是与2008年世界经济危机紧密联系在一起,越来越多地显示出与世界经济周期同步的特征。当前,世界经济正处于第五次长波的下降阶段,该阶段预计将于2035年左右结束,然后在新技术革命引发的产业革命推动下步入第六次长波的上升阶段。因此,未来25年,是世界经济新兴产业的酝酿时期,也是中国经济发展的关键时期。中国已成为世界开放环境中一个大国,其宏观管理体系也越来越具有世界性。中国管理是世界管理之林中的一部分,按照世界管理思想传递理论,国外的有效管理方式方法势必会通过交互机制传递给我国经济主体,产生互相借鉴互相作用。新经济周期中的世界各国旨在应对结构调整而引发的管理变革,正对我国管理领域产生外部影响。基于经济发展方式转变提出的我国管理变革与转型,不可避免要受国外管理主流的直接或间接的影响。如何使外部管理思想内部化为我国有效的管理模式,如何在吸收国外先进经验的基础上,更加突出“管理的公共利益影响”,使新时期经济管理的系统深化与社会管理的创新加强成为可持续发展主题下相互驱动的双轮,是一项值得重视与研究的新课题。新经济周期中世界管理结构变革对作为新兴经济体的中国的一个重要启示是:因应开放环境下转变管理方式,重构中国式管理体系。在金融危机深刻地改变世界经济的行为方式之时,中国企业也开启了新一轮的管理模式变革。
1.重构政府管理体系。政府管理的作用不是要取代中观行业管理,不是对微观企业的“父爱主义”,而是超越市场失效的、行业与企业的宏管理。宏管理不同于以前国家层面的宏观经济管理,而是确立全球开放环境下经济社会生态大系统观,从国民可持续发展的高度去明确国民经济管理目标,并为之追求;从国家利益出发,争取在国际重大经济问题上有利有节的决策权与话语权;在主动参与世界市场竞争中提高全球性综合效率能力和环境社会协调能力;增强国家应对国际突发事件、重大自然灾害的快速反应能力和应对反经济周期的风险管理能力。
2.增强中观行业管理的协调能力。中观行业管理的基础在企业,主角在行业协会。要让行业协会成为真正行业协会,有属于自己的行业协调功能。要充分发挥我国行业协会的组织协调作用,改变我国中介组织管理职能弱小状况;建立和健全产业动态调控机制,增强对战略新兴产业的导入能力和对金融行业的监管能力;大力开发全球化下宽领域的跨行业协调功能。
3.从国家利益出发,基于国土安全考虑加强对海外跨国公司的投资审查以及管理;另一方面,鼓励有实力的企业走出去,善用东道国有关法律法规条文指导本土企业跨国界发展中的正当权益维护与支持;超越传统的企业管理模式,增强企业对社会责任和公共利益部分管理,使之与企业的社会性,与企业的社会责任管理趋势一致;重点保护和激励民营经济的创造力与活力,是一个亟待重视的管理问题。
内容提要: 恶意公布、售卖计算机安全漏洞,几乎是所有网络犯罪的源发行为。在网络犯罪已经逐渐开始形成“产业链”的今天,从源头上打击具有巨大社会危害性的恶意公布、售卖计算机安全漏洞行为,可以起到釜底抽薪的作用。在传统刑法视野中,恶意公布、售卖计算机安全漏洞往往会被评价为其他网络犯罪的帮助行为,因而造成了此类行为在定罪量刑上的天然依附性,造成了司法实践中难以定罪和量刑过低的司法困境。考察帮助行为在立法上进行实行犯化的具体模式,将恶意公布、售卖计算机安全漏洞行为加以独立入罪化是当务之急。
在互联网成为人们生活必备要素的新时代,互联网为我们的生活带来了前所未有的便利与进步,但是,由于互联网自身成为越来越重要的利益载体,因而不断地遭受着黑客们的攻击与破坏。近年来,计算机病毒类型呈现出激增状态,瑞星公司《2008年度中国大陆地区电脑病毒疫情&互联网安全报告》指出,2008年的病毒数量比2007年增长12倍以上。仅在2008年1月至10月,瑞星公司就截获新病毒样本930余万个,而2007年截获的新病毒样本有91万余个,2006年为53万余个,2005年为16万余个,2004年为6万余个{1}。计算机病毒类型的爆发式增长,严重冲击着网络安全。病毒的激增很大程度上依赖于病毒制造的产业化,而恶意公布甚至有偿出售计算机信息系统中的安全漏洞,则是病毒“产业链”中最关键的一环。瑞星公司《2008年度中国大陆地区电脑病毒疫情&互联网安全报告》指出:“从技术上讲,目前的病毒产业链条由四个部分组成:挖掘安全漏洞、制造网页木马、制造盗号木马、制造木马下载器(病毒下载者)。这些环节形成了分工明确、效率快捷的工业化‘生产线’。”由此可见,挖掘安全漏洞并加以恶意公布和售卖,已经成为病毒“产业链”中重要的一环。
一、安全漏洞及其可能引发的危害
计算机病毒之所以能够进入计算机信息系统,其根本原因就在于:计算机自身存在着一定的安全漏洞,这给了计算机病毒以可乘之机。
(一)安全漏洞的概念
顾名思义,安全漏洞,是指计算机信息系统在使用过程中存在的安全隐患。这些漏洞因何而生,需要进行专业上的探究。从专业角度讲,“漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统”{2}。由此可以看出,漏洞在本质上是一种缺陷。简单地进行类型划分,此种缺陷又可以细化为3个方面,即硬件缺陷、软件缺陷与协议缺陷。具体来说,硬件缺陷如在Intel penti-um芯片中存在的逻辑错误;软件缺陷如在Sendmail早期版本中的编程错误;协议缺陷如在NFS协议中认证方式上的弱点,在Unix系统管理员设置匿名Ftp服务时配置不当的问题。这些缺陷都可能被攻击者使用,威胁到系统安全,因而都可以认为是系统中存在的安全漏洞{2}。
(二)安全漏洞的性质
“安全漏洞”这一术语,单从表面上看,具有的一定的专业性,不易于理解。那么,应该如何理解安全漏洞的性质呢?微软中文网站有一段对安全漏洞进行定义的文字,它可以帮助理解安全漏洞的性质:“即使使用者在合理配置了产品的条件下,由于产品自身存在的缺陷,产品的运行可能被改变以产生非设计者预期的后果,并可最终导致安全性被破坏的问题,包括使用者系统被非法侵占、数据被非法访问并泄露,或系统拒绝服务等。我们将这些缺陷称为安全漏洞。”{3}这一定义将微软设计的软件称之为产品,而将微软设计的软件自身所具有的缺陷称之为安全漏洞。由此可见,存在于计算机中的安全漏洞,其本质即为产品缺陷。这种缺陷并非计算机软、硬件的制作者由于疏忽大意遗留下来的缺陷,而更多地属于一种在计算机软、硬件的设计过程中所不可避免的缺陷。
应当说,安全漏洞是计算机软、硬件产品所固有的缺陷。安全漏洞的固有性表现为,计算机软、硬件虽然经过研发人员的层层检测,但是,仍然避免不了存在安全漏洞。随着计算机用户的不断深入使用,软、硬件的漏洞会不断地被发现,这些漏洞虽然可以用供应商的软件补丁进行修补,但是,修补之后的系统又会引发新的漏洞。实际上,“安全漏洞的出现,是因为人们在对安全机制理论的具体实践中发生了错误,是意外出现的非正常情况。而在一切由人类实现的系统中都会不同程度的存在实现和设置上的各种潜在错误。因而在所有系统中必定存在某些安全漏洞。”{2}由此可见,安全漏洞的本质是产品缺陷,这种缺陷又具有固有性、隐蔽性、不可避免性。
(三)安全漏洞可能引发的危害
安全漏洞虽然是计算机软、硬件所固有的属性,但是,由于它具有隐蔽性,通常情况下不易被发现与利用。然而,安全漏洞一旦被别有用心的黑客们发现,黑客们就会利用这些安全漏洞,编写有针对性的攻击程序,非法进入用户的个人电脑进行攻击。具体而言,这些黑客的攻击可以分为两种类型,即破坏性攻击和窃密型攻击。破坏性攻击是指入侵者利用计算机软、硬件的安全漏洞,对目标计算机的运行程序进行破坏性攻击。这种攻击又可以细分为两类:一类为直接对计算机系统自身的破坏;一类为对网络服务的破坏。对计算机系统的破坏,例如,2000年前后出现的只能感染Windows 95/98操作系统的CIH病毒。[1]这种病毒即是一种利用系统的安全漏洞对计算机系统硬件进行破坏的恶性病毒。对网络服务的破坏,例如,最近几年频发的拒绝服务攻击(Dos)与分布式拒绝服务攻击(DDoS) {4},这种攻击的破坏性在于,利用网络协议(TCP协议)自身存在的缺陷,发送大量伪造的TCP连接请求,使被攻击方的资源耗尽,CPU满负荷或者内存不足,从而使被攻击的主机或网络无法及时接收并处理外界请求,或无法及时回应外界请求,造成网络瘫痪。[2]窃密型攻击是指入侵者利用计算机配置的软件漏洞,向用户的计算机植入木马程序,以此盗取用户的私密信息,例如,网银帐号和密码、网游帐号和密码、秘密信息资料等。可以说,安全漏洞是黑客发动攻击所必须依赖的路径,安全漏洞一旦被黑客挖掘并恶意利用,将会对计算机用户产生不同程度的危害。
二、安全漏洞的挖掘及其后续处置行为的模式
安全漏洞是计算机软、硬件(产品)固有的、不可避免的缺陷,此种(产品)缺陷一旦被发现(挖掘),将成为黑客们进行攻击的导火索,引发不同程度的使网络受到威胁甚至是破坏的安全事件。
(一)关注和挖掘安全漏洞行为的主体
计算机软、硬件作为一种应用产品被研制开发出来之时,安全漏洞必然同时伴生。安全漏洞一旦被恶意利用,就能够给计算机用户的系统安全带来直接的威胁甚至是破坏,因此安全漏洞成为黑客与维护网络安全的专家们共同关注的问题。由此,挖掘安全漏洞的行为也因行为主体与行为动机的不同而具有了不一样的性质与地位。
关注安全漏洞的主体可以分为两大阵营:一方面为黑客;另一方面为维护网络安全的专家。黑客们关注和挖掘安全漏洞,是为了利用安全漏洞实施攻击;而维护网络安全的专家们关注和挖掘安全漏洞,是为了在黑客发现安全漏洞之前修复漏洞,使计算机软、硬件能够在安全的环境下使用,避免发生网络安全事件。另外,一些普通的计算机用户,在使用计算机的过程中,也可以在无意中发现安全漏洞。这一部分主体既可能成为黑客阵营的帮凶,也可能成为维护网络安全专家的同盟,其主体地位具有一定的特殊性。值得注意的是,实践中已经出现软、硬件厂商的研发人员出于各种目的而私下恶意公布、售卖安全漏洞的行为。
(二)安全漏洞在黑客“产业链”中的作用和地位
挖掘安全漏洞、恶意无偿公布和售卖安全漏洞已经成为黑客产业链中重要的一环。挖掘、发现安全漏洞是病毒制作、传播的重要前提,可以说,没有安全漏洞,就没有病毒传播的空间。挖掘安全漏洞在黑客“产业链”中具有至关重要的地位。在黑客行为的最初发展阶段,攻击过程一般都是由黑客个人完成的,即黑客个人自行发现计算机系统的安全漏洞,并针对此项安全漏洞编写病毒程序实施黑客攻击;但是,随着互联网的快速发展,黑客行为已经发展为一条庞大的具有明确分工的“产业链”。在这一条黑客“产业链”中,挖掘、发现安全漏洞已经成为独立的一环。一部分黑客专门负责寻找、挖掘、发现安全漏洞,再将发现的安全漏洞提供、售卖给负责编写病毒程序的黑客,甚至是恶意地将安全漏洞公布在互联网上,而“黑客组织购买了漏洞信息后,利用这些信息编写强大的新病毒”{1},最终实现黑客攻击。从理论上讲,计算机软、硬件的漏洞均可以被黑客挖掘利用,但是,目前被黑客利用最多的则是软件漏洞。计算机软件漏洞已经成为黑客们制造、传播病毒和实施黑客攻击的一个重要前提,“通过用户电脑系统中安装的软件存在的漏洞,病毒可以快速的在用户不知情的情况下进入互联网用户电脑”{1}。由此可见,挖掘、发现安全漏洞在黑客产业链中具有举足轻重的地位。如果没有对安全漏洞进行挖掘与发现,黑客们就无法制作可以侵入计算机系统的病毒程序,但是,如果没有对安全漏洞进行公布或者售卖,黑客“产业链”就难以扩大,其社会危害性也就无法加以无限度地扩张。
(三)安全漏洞被挖掘后的去向分析
安全漏洞被挖掘之后,它的去向可以分为3个部分:一部分为直接提供、售卖给黑客或黑客组织;另一部分为在网上公开披露;一部分为向软、硬件厂商报告。
1.将安全漏洞直接提供、售卖给黑客或者黑客组织
就安全漏洞被直接提供给黑客或者黑客组织这一去向来说,这一部分挖掘安全漏洞的行为人按其对安全漏洞的处理方式可以划分为以下两种类型:第一种是挖掘、发现安全漏洞的黑客直接归属于某一黑客集团,仅为某一固定组织挖掘安全漏洞。这些挖掘安全漏洞的黑客作为黑客集团完成某项黑客攻击行为的参与者,专门为这一黑客集团挖掘安全漏洞,与黑客集团具有隶属协作关系;第二种是挖掘、发现安全漏洞的人员不归属于任何一个黑客集团,而专门以公开售卖安全漏洞为生。“有些黑客专门从系统上寻找漏洞,找到之后就可以到地下交易网站进行出售,最便宜的漏洞也可以卖到数百欧元,高的甚至可达五六千欧元。”{1}(如图1)在此种地下交易中,由于黑客组织先于软件厂商发现并利用了安全漏洞,致使新病毒在软件厂商提供有效的修复补丁之前,便能够在互联网上大量传播,造成危害严重的ODay[3]攻击。[4]另外,应当注意的是,这些售卖安全漏洞的人员,既可以是黑客,也可以是软、硬件厂商的研发人员。图1:安全漏洞名称和售卖价格表[5]
───────────────────┬───────────┬───────────────────
│Title │System │Bidderer(s) │
├───────────────────┼───────────┼───────────────────┤
│PostgreSQL │PostrgreSQL │Gaskets 600* │
│ │ │Mumps 700 *Gaskets 800* │
├───────────────────┼───────────┼───────────────────┤
│Safesri │Mac0SX │Saunders 300* │
├───────────────────┼───────────┼───────────────────┤
│C A Personal Firewall │Windows XP │Whitehome 300* │
├───────────────────┼───────────┼───────────────────┤
│php Shop #1 │Web application │Betchless 500* │
├───────────────────┼───────────┼───────────────────┤
│VideloLAN VLC │Windows XP │Froissart 700* │
├───────────────────┼───────────┼───────────────────┤
│Symantec Back up Exec │Wndows XP │Bandland 500* │
├───────────────────┼───────────┼───────────────────┤
│SAP MaxDB │I i.mc │nev sky 3000* │
├───────────────────┼───────────┼───────────────────┤
│Free Radius │Linz │folurvita 500* │
├───────────────────┼───────────┼───────────────────┤
│Reo Networks Helix Server │Linux │Whitehome 1000* │
├───────────────────┼───────────┼───────────────────┤
│Php Shop │Web application │Galap 200* │
├───────────────────┼───────────┼───────────────────┤
│Samba │FreeBSD │Groissart 500* │
├───────────────────┼───────────┼───────────────────┤
│Qaiktime │Windows XP │Froissart 500* │
├───────────────────┼───────────┼───────────────────┤
│Cl-AV │Linux │Valeorum 600* │
├───────────────────┼───────────┼───────────────────┤
│IBM DB2#2 │Windows 2000 │Valeorum 1050* │
├───────────────────┼───────────┼───────────────────┤
│IBM DB2 #1 │Windows 2000 │Valeomm 1050* │
├───────────────────┼───────────┼───────────────────┤
│SAP client wlner ability #2 │Windows XP │Valeomm 5100* │
───────────────────┴───────────┴───────────────────
2.将安全漏洞报告直接在网络空间中加以公布
这种安全漏洞被公开披露的方式所产生的影响也有两方面:一方面,由于网络信息传播高速快捷,安全漏洞一旦被公开披露,黑客组织可以在最短时间内对安全漏洞加以利用,编写病毒程序,引发网络安全事件;另一方面,安全漏洞的公开披露,也加速了软件厂商研发安全漏洞补丁的进程,可以减少黑客攻击行为的威胁与危害。网络资源的共享性与即时性,使得安全漏洞在互联网中的公开披露具有相当大的影响力。一旦安全漏洞被公开披露,就只能寄希望于软件厂商的研发人员能够在黑客进行黑客攻击之前,编写出修复补丁,以避免爆发大规模的网络安全事件。
3.将安全漏洞报告给软件、硬件的生产厂商
就安全漏洞报告给软、硬件厂商这一去向来说,这一部分挖掘安全漏洞的行为人可以被分为两种类型:一是软、硬件厂商内部的研究工作人员。这部分研究人员专门负责检测和挖掘软、硬件厂商开发的软、硬件产品中的安全漏洞,研究人员发现漏洞后,再将此漏洞信息秘密报告给软、硬件厂商,厂商再针对漏洞信息,提供修复程序,通过自动更新或者发布公告的形式让用户安装最新版本,消除安全威胁{1};二是使用计算机的普通用户。这些普通用户没有为软、硬件厂商提供安全漏洞信息的职责,但是,他们却自愿地为软、硬件厂商提供他们发现的安全漏洞信息。以微软公司为例,该公司每年都要处理成千上万份安全漏洞报告{3}。在这些报告中,经过微软公司研发人员的仔细甄别,确实发现了存在于微软产品中的安全漏洞,使得微软公司可以在第一时间发布修复相关漏洞的更新信息,消除网络安全威胁。
三、恶意公布、售卖计算机安全漏洞行为的社会危害性
将安全漏洞报告给软件、硬件的生产厂商,是一种值得鼓励的合法行为,属于一种“善意”报告行为,此种行为不是刑法评价的对象。但应当思考的是,无论是黑客还是普通用户,也不论是软件、硬件的设计人员还是其他人员,如果在发现安全漏洞之后,将安全漏洞直接提供、售卖给黑客或者黑客组织,或者将安全漏洞报告直接在网络空间中加以恶意公布的,应当如何评价?
(一)利用安全漏洞的网络黑客行为的社会危害性
众所周知,计算机和网络已经深入我们生活的每个角落:每天数以亿计的计算机用户都在利用计算机存储、处理重要资料;几乎所有的公司企业都在使用计算机和网络处理每天的业务信息甚至商[3]May泛指所有在官方发布该作品之前或者当天。它主要涵盖了影视、软件、游戏、音乐、资料等方面,由一些特别小组以一定的格式打包发布的数码内容。网络安全意思上的May就是指一些没有公布补丁的漏洞,或者是还没有被设计发现的漏洞进行攻击的工具。由于这种利用漏洞进行攻击的程序对网络安全具有巨大威胁,因此ODay也成为黑客的最爱。业机密,而全球各大银行的金融结算和汇兑业务如果离开计算机和网络将会顿时瘫痪掉;几乎所有的政府部门都在不同程度地利用着计算机和网络,甚至利用其存储和处理重要的公民信息或者国家机密……可以说,计算机和网络已经承载了人类社会巨大的利益,这也注定了黑客对计算机和网络的攻击行为具有巨大的社会危害性。例如,“ 1995 -1996年,一个来自阿根廷的黑客利用国际网络进入美国一所大学的计算机系统,并由此进入美国海军研究实验室和其它国防设施、国家宇航局及洛斯阿拉莫斯国家实验室的计算机网络。这些系统中保存有飞机设计、雷达技术、卫星工程等敏感研究信息。而美海军无法确认究竟哪些信息被偷窃或泄漏出去,更无法估计损失究竟有多大。”{5}
现实中,黑客的网络攻击行为有很多种方式,例如,通过电子邮件进行攻击、利用网络系统漏洞进行攻击、进行解密攻击、利用后门软件进行攻击等,其中,利用计算机安全漏洞是重要的黑客攻击手段之一{6}。而利用安全漏洞实施的网络黑客行为又可以具体表现为两种形式:(1)直接对计算机系统和正常的网络连接造成损害,使计算机数据丢失、损坏等,或者使网络服务器瘫痪,网络连接中断;(2)通过黑客的攻击行为,非法获取或者篡改重要信息,或者非法控制计算机信息系统。
目前,大量存在着利用安全漏洞直接攻击、控制或者损害计算机系统和网络的黑客攻击。客观地讲,“电脑病毒中最疯狂的是什么呢?答案当属木马病毒。黑客们疯狂地利用漏洞向网民发起挂马攻击。”“近日,瑞星公司发布《2009年上半年中国大陆地区互联网安全报告》,上半年瑞星‘云安全’系统拦截到的挂马网页数累计达2.9亿个(第一季度为1.9亿,第二季度为1亿),共有11.2亿人次网民遭木马攻击,平均每天有622万余人次网民被挂马网站攻击。”{7}利用安全漏洞进行的攻击是极为普遍的,瑞星公司曾于2009年7月23日“向网民发出警告:Adobe公司的流行软件Flash爆出严重漏洞,该漏洞影响所有版本的Flash、PDF程序。据介绍,用户打开含有该漏洞的PDF文件以及Flash文件后,电脑会自动下载大量盗号木马。该漏洞是针对Flash以及含有Flash的PDF文档进行攻击,它不仅限于Windows系统、IE浏览器,而且linuxFirefox等操作系统及浏览器也可能遭到侵害。由于Flash技术在大量网页和文档中被应用,此漏洞危害极大”{7}。
相对来说,利用安全漏洞实施的非法获取、篡改数据的行为具有更大的社会危害性。黑客获得或者篡改的各种信息可能涉及个人的电子货币账户、银行账户、企业竞争资料、商业秘密甚至国防机密等,一旦非法使用或者篡改此类信息,将会对社会造成重大的损失。“目前,黑客已经变得越来越贪婪。病毒编写者不再单纯炫耀技术,获取经济利益几乎成为他们编写病毒的惟一目的,‘偷’、‘抢’、‘骗’已经成为目前计算机病毒的主要特征。”{8}例如,网购已经成为“假日新经济”的主要力量,而黑客们往往会在假期开始大面积作恶,用户一旦点击登录到含有恶意代码的网页时就会感染病毒,病毒通常会下载多个木乌程序,其中大部分是盗号木马,盗窃目标基本包括当前主流的网络游戏、网银账号密码等,从而给用户造成严重的经济损失{9}。2004年4月21日,台北市警方侦破首宗网络银行欺诈盗领案,案中的两名犯罪嫌疑人无意间发现玉山银行的支付系统eCoin (玉山银行合法发行的“网络新台币”,)“便利付”的漏洞,于是,通过购买大量信用卡资料,由网络转账从中盗领,初步估计银行损失数百万元{10}。2007年7月,一位名叫王立科的网络黑客偶尔发现“剑侠情缘网络版2”的系统存在漏洞,便在几个月内与人合谋成功盗取大量虚拟货币,然后低价盗卖,致使北京金山数字娱乐科技有限公司损失近700万元{11}。
一般来讲,利用计算机安全漏洞实施的单次黑客攻击行为就可能造成非常大的损害。而网络具有无限的延伸性,一个黑客可以面对数以亿计的计算机,因而一台计算机也往往要承受成千上万个黑客的威胁,因此出现的客观结果就是网络攻击行为横行。据统计,早在1995年,美国国防部系统的网络计算机在一年之内就遭受到25万次不同身份入侵者的袭击{5}。这一数据充分说明了利用安全漏洞实施黑客攻击行为的巨大社会危害性。而实际上,这种网络攻击行为泛滥的背后往往会存在着另外一种令人关注的行为,即恶意公布、售卖安全漏洞行为。
(二)恶意公布、售卖安全漏洞使黑客行为的危害性被无限放大
利用安全漏洞实施的黑客攻击行为具有极为巨大的社会危害性,但是,此种攻击行为得以实施的前提是已经挖掘、发现了相应的计算机和网络安全漏洞。如果由黑客亲自挖掘安全漏洞,然后再利用此类漏洞实施攻击,那么此种黑客攻击行为不仅周期长,而且攻击者也是很有限的,因为发现安全漏洞本身就具有一定的难度。而安全漏洞的恶意公布、售卖行为,尤其是恶意公布行为则使得黑客攻击的危害性无限放大。在传统的产业结构中,分工的细化和信息的共享必定产生数倍、数十倍的制造能力。同理,如果在网络上公开发布安全漏洞,则会因为网络的无限延伸性和黑客分工的日益细化,而使得针对于该漏洞的计算机病毒的制造和传播能力成千上万倍地剧增。
现实中,恶意售卖安全漏洞的行为时有发生,并日益显示出非常大的危害性。据世界著名的反病毒机构卡巴斯基实验室提供的消息,一名发现Windows Meta File(WMF,视窗中介文件格式)安全漏洞的俄罗斯黑客于2005年12月初在网上叫卖该安全漏洞后,在一周内就发现了上千条针对该漏洞的恶意代码,而安全机构直到12月27日才发现该漏洞{12}。相比之下,免费恶意公布安全漏洞行为的社会危害性会更大,因为没有交易行为的阻却,安全漏洞在网络上的传播会更加迅速、更加广泛,甚至导致数以万计的黑客利用公布的漏洞实施有针对性的网络攻击行为。据瑞星公司统计,“从2004年4月14日LSASS ( Local Security Authority Subsys-tem Service)溢出漏洞(MSO4-011)被公布到5月1日利用此漏洞进行破坏的震荡波病毒(Worm Sas-ser)出现仅仅用了短短17天”{13}。随着网络和计算机技术的发展,黑客攻击和恶意公布、售卖安全漏洞之间的联系越来越紧密,“ 2009年4月30日,国内安全研究者公布暴风影音ActiveX远程溢出漏洞。5月1日,网络上即出现了针对该漏洞的大量可疑恶意脚本。” “2009年2月,Adobe两款产品相继爆出零日漏洞(ODay),Adobe Acrobat和AdobeReader存在PDF零日漏洞。利用该漏洞的恶意代码和详细的技术分析,已经在互联网上被公开,并被广泛转载。通过被公开的技术资料,黑客能够轻易利用该漏洞传播各类恶意软件。”{14}
可见,此种恶意公布、售卖安全漏洞的行为使得黑客的攻击行为不仅在数量上无限地增多,而且在攻击的时间上也大幅度地提前,从而使黑客行为的社会危害性被无限地放大。而此种被无限放大后的社会危害性不仅凸显了恶意公布、售卖安全漏洞作为黑客攻击帮助行为的社会危害性,也使其具有了超过单次黑客行为的巨大社会危害性。此外,恶意公布、售卖安全漏洞行为的巨大社会危害性,还可以从另外一个侧面清晰地显现出来:研究人员公布的攻击代码或者安全漏洞正将更多的系统、数据库和人员置于“险地”。有的计算机安全专家表示,从被公布到被攻击之间的时间正在缩短,如果漏洞公布缺乏统一和规范的流程,研究行业很可能起到助长网络犯罪的作用{15}。也就是说,同时提出补救措施的善意公布安全漏洞的行为也会客观上促进网络犯罪的蔓延,就更不用说恶意公布、售卖安全漏洞对网络世界的巨大冲击了。
(三)恶意公布、售卖安全漏洞行为入罪化的必要性
恶意公布、售卖安全漏洞行为因为无限放大了黑客攻击行为而使其本身具有巨大的社会危害性,此种危害性必将随着计算机和网络在社会各个方面使用的更加普遍化和深入化而得到凸显,在这种形势下,应当将此类行为加以入罪化处置。
不可否认,恶意公布、售卖安全漏洞的行为客观上给相关硬件、软件的生产商指出了产品的缺陷,也因此会在客观上促进计算机和网络技术的发展,但是,此种轻微的积极作用与其巨大的社会危害性相比是微不足道的;况且还有善意公布安全漏洞的行为存在可以改进软、硬件的不足。甚至极端地说,假设只有一个或者若干个恶意行为人挖掘到相关安全漏洞,如果不向社会公众公布或者售卖,那么该漏洞就不成其为漏洞,就没有必要制定相关的安全补丁了。
综上所述,恶意公布、售卖安全漏洞行为的巨大社会危害性,往往比单次黑客攻击行为的要高无数倍,或者说单次黑客行为的社会危害性仅仅是其危害性的一部分,对于此种具有极大社会危害性的网络行为,民事手段甚至行政手段总是显得那么无能为力:(1)不仅民事赔偿没有惩罚的功效,而且当事人也面临着巨大的举证困难,因为要让当事人证明恶意公布、售卖安全漏洞行为与损害结果的因果关系是非常困难的;(2)恶意公布、售卖安全漏洞的行为人,要么是为了炫耀自己的技术能力,要么是为了获得巨大经济利益,而网络行为的隐蔽性使得行为人在面临这种难以被发觉而且相对较轻的行政处罚时没有丝毫怯意。因此,即使考虑到刑法的谦抑性,也必须动用刑罚的手段才能有效遏制此种具有巨大社会危害性的安全漏洞恶意公布、售卖行为。
四、恶意公布、售卖计算机安全漏洞行为的司法困境及其原因
根据现行的刑事立法,恶意公布、售卖安全漏洞行为并不构成单独的犯罪,追究其刑事责任的惟一可行途径,是将其作为后续网络犯罪行为的帮助行为加以处置。换句话,就是将其作为他人利用安全漏洞所实施网络犯罪的帮助犯进行定罪处罚,这就是现行刑事法律提供的人罪化途径。然而,即使这一处置模式,运用起来也是障碍重重。
(一)恶意公布、售卖安全漏洞行为的司法困境:不处理或者量刑过低
现实生活中,利用安全漏洞实施的网络黑客攻击行为十分常见,有些案件会因为其具有极大的社会危害性而引起人们的广泛关注。随着司法观念的发展,司法实践中已经有多起作为犯罪处理的案件。例如,2004年12月,祁建编制了一套截取“传奇”网络游戏用户虚拟设备的cmcc木马程序,并将该cmcc木马程序发送给被告人陈珲等人。陈珲为了窃取“传奇”网络游戏用户的虚拟装备进而牟取非法利益,雇佣曾涛非法入侵金华市公安局网吧管理系统的网站,将cmcc木马程序加入其中,致使大量在各网吧内上网的“传奇”网络游戏用户账号、密码被截取。陈珲利用截取的账号、密码大量盗取“传奇”网络游戏用户虚拟装备,并通过交易网站牟利。该案所盗取的网络游戏账号至少有十几万个,涉案金额近百万元,浙江省金华市婺城区人民法院认定各位被告人构成破坏计算机信息系统罪,系共同犯罪,其中判处的最长刑期为1年零6个月{16}。又如,2006年张乾、刘林和戴觐播3名“黑客”在异地利用系统漏洞,突破防火墙,在近2个月内先后侵入成都两家网络公司网站大肆盗取各类游戏点卡并低价卖出,获利达1.68万元。2007年,四川省成都市中级人民法院终审以盗窃罪判处张乾有期徒刑3年零6个月,刘林、戴觐播2人因有从轻情节则被分别判处有期徒刑3年、缓刑5年和有期徒刑2年零6个月,缓刑4年,并各处罚金2000元{17}。再如,“2008年初开始,张某与同伙利用‘黑客’手段,获取了重庆市两家科技公司的账号和密码,盗得久游币、联众币和魔兽点卡价值14万余元,并在淘宝网上低价出售,截至案发,共获利8911.2元,2009年重庆市九龙坡区人民法院一审判处‘黑客’张某有期徒刑10年零6个月,并处罚金5万元。”{18}
在上述3个案例中,司法机关都对相关的黑客行为进行了刑法评价,对涉案黑客判处了相应的刑罚,这是值得肯定的;但是,遗憾的是,都没有进一步去关注另外一个问题,即黑客实施网络攻击时利用的安全漏洞是从何而来的呢?这些安全漏洞不排除被恶意公布、售卖的可能性,那么对这种恶意公布、售卖安全漏洞的行为为什么不进行追根问底式的追查并且定罪处罚呢?可以说,在包括这3起案件在内的几乎所有计算机犯罪和网络犯罪案件中,对恶意公布、售卖安全漏洞的行为都没有作为犯罪处理,司法机关也是从来不对其予以关注和过问的。
但是,即使司法机关本着负责的态度通过各种努力或者完全是巧合般地找到了恶意公布、售卖安全漏洞的行为人,并且追究其刑事责任,那么也只能导致一种结果:把恶意公布、售卖安全漏洞的行为作为黑客攻击行为的帮助行为,对行为人按照黑客犯罪的从犯定罪量刑,进而从轻、减轻甚至免除处罚。本着朴素的正义观,我们会发现此种模式会导致明显的不公平:前面已经提到,恶意公布、售卖安全漏洞的行为与单次的黑客攻击行为相比具有超出无数倍的巨大社会危害性。单单通过某次黑客攻击行为对其进行“帮犯”型的刑法评价,是远远不够的。这不仅违背了罪刑相适应的刑法基本原则,而且对于打击恶意公布、售卖安全漏洞的恶性行为也是力不从心的。
(二)恶意公布、售卖安全漏洞行为司法困境的原因反思
既然现行刑事法律提供了对此类行为加以刑法评价的途径,为什么在司法实践中对于恶意公布、售卖安全漏洞这一具有巨大社会危害性的行为不进行处理,或者即使处理也量刑过低呢?笔者认为主要有以下原因:
1.不进行处理的原因之一:将其作为帮助行为有时无法被认定为共犯
有学者在评论案例时指出:“2005年8月,犯罪嫌疑人陈某通过向福建的刘某等人出售‘网银大盗3’恶意代码获利数万元,刘某等人随后通过传播该恶意代码盗取上千个工商银行的网上银行账号和密码,并窃取大量资金。但根据现行法律规定,陈某制作、贩卖用于盗窃网络银行账号的恶意代码的行为,无法定罪处罚。”{19}一般认为,网络空间中帮助犯的故意仅限于直接故意,那么如果将恶意公布、售卖安全漏洞行为作为后续实行犯罪的帮助行为,将很难被认定为共犯:因为恶意公布、售卖安全漏洞行为人虽然在公布、售卖安全漏洞方面是恶意或者直接故意的,但是对于后续的黑客犯罪往往只是一种盖然性的认知。行为人对于具体黑客犯罪—虽然不排除持积极追求的态度—一般也只是持放任的态度,即在主观方面大多是间接故意,那么对于大多数恶意公布、售卖安全漏洞行为是很难进行定罪处罚的。
2.不作为犯罪处理的原因之二:利用该漏洞的网络攻击行为可能不构成犯罪
我国实行二元的法律结构,即对违法行为划分为刑事违法和非刑事违法(一般违法),在这种二元立法结构下,往往根据有没有“实害”乃至“严重程度的实害”把犯罪与一般违法严格区分开来{20}。在总则方面,《刑法》第13条规定:“……但是情节显著轻微危害不大的,不认为是犯罪”;在分则方面,很多犯罪都存在着反映危害程度的定罪情节。例如,在破坏计算机信息系统罪和《刑法修正案(七)》新增加的非法获取计算机信息系统数据罪、非法控制计算机信息系统罪和提供侵入、非法控制计算机信息系统程序、工具罪中,都规定了“后果严重”、“情节严重”等定罪情节,如果没有达到这些情节,即使实施了某种危害行为也不作为犯罪处理。
在虚拟世界里,利用安全漏洞实施黑客攻击的行为大量存在,但是其中很大一部分是没有达到犯罪程度的,司法机关无法从刑法角度对此类行为进行评价,难以追究其刑事责任。但是,这种法律现状间接地造就、支持了无数此类违法犯罪行为的恶意公布、售卖计算机安全漏洞行为,由于只能作为此类行为的帮助行为进入刑法的评价视野,这直接导致司法机关也无法对具有巨大社会危害性的恶意公布、售卖安全漏洞行为进行刑法评价。这是真正的司法困境所在。
3.不进行处理的原因之三:侦查取证困难
虽然恶意公布、售卖安全漏洞行为人对后续黑客网络犯罪大多持间接故意,但是仍然存在持直接故意的行为人,那么为何没有出现行为人被作为帮助犯处理的案例呢?此外,共同犯罪的理论通说认为,帮助犯的故意包括直接故意和间接故意,帮助犯明知他人准备犯罪或者正在犯罪,而对其进行帮助的,就构成帮助犯,而无论帮助者是否知道具体犯罪性质、犯罪的时间、地点、方式、对象等。这一学说也是大陆法系和前苏联的通说{21}。如果按照此种通说理论,大部分恶意公布、售卖安全漏洞行为因为构成后续黑客犯罪的帮助犯可以被追诉,但这就更加令人疑惑,为何至今也没有对恶意公布、售卖安全漏洞行为进行处理的案例呢?经过分析可以发现,这里存在着更为重要的理由,即在对作为黑客犯罪帮助犯的恶意公布、售卖安全漏洞行为进行定罪处罚时,存在巨大的侦查取证困难。
根据共犯从属性理论,对恶意公布、售卖安全漏洞行为追究刑事责任的前提是:利用该漏洞实施的黑客攻击行为被认定为犯罪,所以对恶意公布、售卖安全漏洞行为侦查取证的困难,首先是因为对黑客行为的侦查取证方面。利用安全漏洞的黑客犯罪行为可能包括几乎所有的网络犯罪,网络犯罪作为一种新型的犯罪类型,对其展开调查取证要克服很多困难:第一,网络犯罪发生在互联网的虚拟空间,无传统刑法上的“犯罪现场”之说,黑客犯罪分子可能跨省,甚至跨国实施犯罪行为,这就给公安机关的侦查取证造成很大的困难,由于必须通过国际合作展开联合行动才能奏效,这就使公安机关的反应变得迟缓,从而错失良机;第二,网络犯罪具有极大的隐蔽性,犯罪分子可以充分利用网络空间的无线延伸性隐藏自己,例如,利用网吧等实施攻击,司法机关很难找到线索;第三,对网络犯罪的侦查过程就是与犯罪分子展开一场围绕着计算机技术进行的较量过程,由于网络犯罪所涉及的领域广、技术要求各异,而侦查人员很难掌握其全部技能,这客观上也增加了网络犯罪的侦查难度与取证难度{22}第四,电子证据易于损坏,不宜提取,往往在保存之后存在取信于法庭的困难{23}。所以,大部分网络犯罪难以被追诉,甚至难以被发现,“据美国联邦调查局国家计算机犯罪侦查队估计,85%-97%的计算机侵入犯罪没有被发现,犯罪黑数非常大”{22}42-46,在我国当前很难找到这方面的统计数据,但是形势肯定不容乐观。如果这种作为实行行为的黑客攻击网络犯罪行为没有被发现,或者即使被发现但因为证据不足而不能让法官采信的话,那么对恶意公布、售卖安全漏洞的危害行为就不能作为犯罪处理。
即使颇费周折地收集到了从事攻击行为的黑客的犯罪证据,也会碰到另外一个棘手的问题,即需要找到恶意公布、售卖安全漏洞的行为人并且证明其实施了该行为;此外,还要证明其恶意公布、售卖安全漏洞行为与后来的黑客网络攻击行为存在刑法意义上的因果联系等。这一系列问题都让司法机关的侦查行为举步维艰,司法机关往往没有足够的精力去调查和取证,或者即使有足够的精力也很难在侦查阶段取得实质性进展,从而在客观上导致司法机关对恶意公布、售卖安全漏洞的危害行为很少在刑法层面上对其进行处理。
4.作为犯罪处理时往往量刑过低,其直接原因是受制于从犯制度
根据共同犯罪理论和我国刑法典的体例,犯罪的实行行为是由刑法分则明确规定的,而其他犯罪行为只能依托于实行行为,进而根据共同犯罪制度进行定罪处罚。恶意公布、售卖安全漏洞行为如果没有触犯特定的刑法分则条文,例如,故意泄露国家秘密罪等,就只能依托相关的刑法分则罪名按照非实行犯处理。实际上根据其行为特点,一般只能将其作为帮助行为,即对恶意公布、售卖安全漏洞的行为人作为特定实行犯的帮助犯予以定罪处罚。
现行《刑法》第27条规定:“在共同犯罪中起次要或者辅助作用的,是从犯。对于从犯,应当从轻、减轻处罚或者免除处罚。”从理论上讲,虽然帮助犯没有被排除认定为主犯的可能性,但是一般情况下,在我国刑事司法实践中,帮助犯会被认定为从犯,进而在从犯制度的制约下,对于此种恶意公布、售卖安全漏洞的行为只能作为网络黑客犯罪的从犯,对其从宽处罚。
(三)恶意公布、售卖安全漏洞行为陷入司法困境的本质原因:作为帮助犯的障碍
有相当一部分学者已经认识到,“目前打击网络犯罪的压力的确很大,但是现行刑事立法不能适应信息技术和网络发展的特征规律,明显滞后,不能为公安机关提供有效的法律依据”{19}。综合上述4种直接原因可以发现,之所以在司法实践中对恶意公布、售卖安全漏洞行为不作为犯罪处理或者即使作为犯罪处理也处刑较轻,其根本原因是根据现行《刑法》规定,此种具有巨大社会危害性的行为只能作为相关网络犯罪的帮助犯来处理:(1)把恶意公布、售卖安全漏洞的行为作为相关网络犯罪帮助犯,导致了在刑事诉讼过程中,司法机关不仅必须证明相关网络犯罪的存在,而且必须证明恶意公布、售卖安全漏洞行为作为刑法意义上的帮助行为也存在。这就使该行为的定罪面临两大难题,即实体方面上主观的间接故意阻却共犯的成立,以及诉讼方面要面临巨大的侦查取证困难。如果不把其作为相关网络犯罪的帮助犯,那么上述诉讼中的侦查取证难题就基本上不复存在了。(2)把恶意公布、售卖安全漏洞行为作为相关网络犯罪的帮助犯,导致了这样一种结果,即只有作为实行行为的某种相关网络黑客行为构成犯罪,该行为才有可能构成犯罪。而在现实中,大量利用安全漏洞实施黑客攻击的行为没有达到入罪的程度,从而导致引发黑客违法行为的恶意公布、售卖安全漏洞的行为被阻却在刑法评价范畴之外。(3)把恶意公布、售卖安全漏洞行为作为相关网络犯罪的帮助犯,即使可以作为犯罪处理,也会在量刑上受制于从犯制度。换句话说,即使通过复杂艰难的诉讼程序证明恶意公布、售卖安全漏洞行为构成犯罪,但是在从犯制度下,对于实施该行为的犯罪分子也只能作为相关网络犯罪的从犯定罪并且从宽处罚,进而导致刑法评价的不公平。
五、恶意公布、售卖计算机安全漏洞行为入罪化的模式
通过对恶意公布、售卖安全漏洞行为的司法困境之分析,可以发现一种有效遏制此种具有巨大社会危害性行为的途径渐渐明晰起来,即通过“共犯行为的正犯化模式”,将此种行为直接独立入罪,规定为一种独立犯罪的实行行为。
(一)恶意公布、售卖安全漏洞行为应当“实行犯化”
笔者认为,在当今网络时代,恶意公布、售卖安全漏洞行为应当“实行犯化”,这不仅是朴素的公平正义观念和罪刑相适应的刑法基本原则的要求,也是网络背景下刑法转型的必要措施。
1.“实行犯化”的功利性依据:摆脱作为帮助犯的入罪依附性
既然把恶意公布、售卖安全漏洞行为作为后续性黑客犯罪的帮助犯的刑法评价模式是导致其刑事责任无法落实的本质原因,那么寻找对该行为进行公正刑法评价的出路就只能是在刑事立法上让它摆脱对帮助犯的依附。笔者认为,这一途径就是帮助行为的“实行犯化”,即把恶意公布、售卖安全漏洞行为直接独立化入罪,直接规定为一种独立犯罪的实行行为而进入刑法典。这样上述问题就会迎刃而解:(1)利用安全漏洞的具体后续黑客犯罪是行为不再成为行为人主观方面的具体内容,行为人无论对后续具体黑客犯罪是积极追求还是放任甚至过失,都可以对其按照“实行犯化”后的独立犯罪定罪量刑;(2)司法机关不再需要对后续黑客犯罪行为的存在,以及恶意公布、售卖安全漏洞行为和该后续黑客犯罪行为之间的因果联系承担举证责任,这就极大地便利了诉讼,避免了刑法的虚设;(3)即使后续的黑客攻击行为不构成犯罪,对于恶意公布、售卖安全漏洞行为也可以按照“实行犯化”后的独立犯罪进行定罪处罚;(4)对恶意公布、售卖安全漏洞行为人直接按照“实行犯化”后独立犯罪的法定刑量刑,不再受从犯制度下的量刑制约问题。
可能有人会认为,这样做犯了一个错误,即为了追求效率而简化诉讼,却使得实体正义也被消减。其实这是不必担忧的,因为:第一,实体正义并不是单独存在的,它需要程序正义的支持。实体正义和程序正义是辩证统一的,“及时,亦即效率的要求。这是司法公正的重要价值,它的基本含义是按照法律规定的期限,如期处理案件,避免久拖不决。很多时候,正义是跟一定的时间联系在一起的,所谓‘迟到的正义不是正义’,就是从这个意义上说的。正义不能及时‘运送’,有时就会变得没有意义或者其意义大打折扣。高效及时运行的司法程序不仅缩短当事人的诉讼时间,还节约国家和个人的司法成本,也有利于堵塞漏洞、防止司法腐败”{24}。第二,传统刑法理论和行为无价值理论允许行为犯的存在。我国传统刑法理论重视对犯罪主观方面和行为危险的评价,譬如,现行《刑法》总则中规定了犯罪预备、未遂、中止制度,另外,《刑法》分则中规定了大量的行为犯、情节犯、危险犯,例如,强奸犯罪和资助恐怖活动犯罪。而“一般认为,行为无价值论主张违法的本质是违反刑法背后的社会伦理规范”{25},对于恶意公布、售卖安全漏洞行为来说,它本身就对社会造成了极大的危险,应该受到社会的否定性评价。此外,行为人也具有较大的主观恶性,因此从鱼水情节犯甚至行为犯的层面对其进行定罪量刑并不违背实体正义。
当前,安全漏洞的恶意公布、售卖等许多新问题随着计算机应用的深入逐渐显露出来,利用计算机网络进行网络违法犯罪之势愈演愈烈,而计算机犯罪难发现、难捕捉、难取证,难定性,完善计算机领域的法律、法规仍然任重道远{26}。因此,应当用发展的眼光看待计算机和网络犯罪的立法问题。基于诉讼效率和刑法司法适用的现实性需要,有必要对恶意公布、售卖安全漏洞的行为在《刑法》分则中进行“实行犯化”。
2.“实行犯化”的本质依据:帮助行为的危害性远远大于实行行为
恶意公布、售卖安全漏洞的行为自身具有巨大的社会危害性,此种危害往往是利用该漏洞实施的单次黑客攻击行为无法达到的。2009年2月,“瑞星发出了2009年度首个红色(一级)安全警报,由于针对IE7新漏洞(MS09-002)的病毒攻击代码在网上公布,导致利用该漏洞的新木马病毒大量出现。根据瑞星‘云安全’系统的统计,受新木马病毒的暴增影响,仅在2月19日就截获了高达866万人次的挂马网站攻击,相比前一天增加了一倍。瑞星‘恶意网站监测网’显示,近日,利用该漏洞的挂马网站拦截量直线上升,已升为目前危害最严重的漏洞。”{27}之所以会出现这种情况,是因为安全漏洞在网络上被公开恶意售卖尤其是被恶意公布后,往往会有数以万计的网络黑客立即投入相应计算机病毒和专门侵入、非法控制软件的研制中。这种高效的运作会产生巨大的“创造力”,无数种病毒会迅速产生,基于各种目的对计算机和网络的疯狂攻击也会接踵而至。可以说,一次对安全漏洞的恶意、售卖行为可能会促成上万次甚至上百万次的黑客攻击行为,在这种整体的社会危害性面前,其中一次的黑客攻击行为已经显得微不足道了。
基于司法的惯性等因素,恶意公布、售卖安全漏洞行为往往被评价为黑客网络攻击犯罪行为的帮助型从犯,因而导致对于行为人的处罚往往会远轻于实施黑客攻击行为的实行犯;但是,如果由恶意公布、售卖安全漏洞行为造成、引起的数起甚至数十起网络黑客攻击犯罪行为被司法机关同时追诉,那么恶意公布、售卖安全漏洞行为人所受的刑罚就可能大于单次黑客犯罪行为人所受的刑罚,此时,就不会再存在从犯制度的制约问题,似乎恶意公布、售卖安全漏洞行为人得到了应有的刑罚制裁,在此种情况下,还会存在刑罚评价不全面和量刑过低的问题吗?笔者认为,答案是肯定的,其理由是:(1)网络犯罪的隐蔽性导致其很难被发现,而一次安全漏洞恶意公布、售卖行为引起的数起乃至数万起网络犯罪同时被发觉的可能性近乎等于零;(2)即使数起乃至数万起网络犯罪被同时发现,仍然会有因恶意公布、售卖同一漏洞引起的数以十万、百万计的其它黑客攻击行为被深深地隐藏起来。这就说明,对于恶意公布、售卖安全漏洞行为作为帮助行为予以定性,仍然存在明显的刑法评价不足和量刑过低问题。因此,对于此种帮助行为的社会危害性明显大于实行行为的情况,惟有将帮助行为直接规定在刑法分则中,对其单独进行刑法评价并设定独立、适当的法定刑,才能做到量刑均衡。
(二)帮助行为“实行犯化”模式的实证法考察
刑法分则并不是各种条文的的简单累加,而是一个由规定各种具体犯罪的条文按照犯罪类型组成的有机整体。那么,恶意公布、售卖安全漏洞行为的“实行犯化”应当如何在刑法分则中实现呢?观察我国现行刑法典的立法模式,可以发现帮助行为实行化的基本模式有以下几种:
1.紧挨实行行为条文在同一类罪中规定为独立犯罪
在刑法分则中,很多帮助行为“实行犯化”是采用这种模式的。例如,《刑法》第358条第3款规定:“协助组织他人卖淫的,处5年以下有期徒刑,并处罚金;情节严重的,处5年以上10年以下有期徒刑,并处罚金。”协助组织卖淫行为实质上是组织卖淫行为的帮助行为,在现行刑法典中被“实行犯化”后规定为独立的犯罪;再如,经《刑法修正案(七)》修正后的《刑法》第285条第3款规定:“提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的,依照前款的规定处罚。”认真分析可以发现,提供侵入、非法控制计算机信息系统程序、工具的行为,本质上是一种帮助型行为,但是在这里被“实行犯化”为独立的提供侵入、非法控制计算机信息系统程序、工具犯罪。
此外,某种类罪之下若干种具体犯罪的帮助行为也可以被“实行犯化”为一种独立的犯罪。例如,《刑法》第107条规定:“境内外机构、组织或者个人资助境内组织或者个人实施本章第102条、第103条、第104条、第105条规定之罪的,对直接责任人员,处5年以下有期徒刑、拘役、管制或者剥夺政治权利;情节严重的,处5年以上有期徒刑。”资助危害国家安全犯罪活动行为实质上是背叛国家等6种危害国家安全行为的帮助行为,在现行刑法典中被“实行犯化”为独立的资助危害国家安全犯罪活动犯罪。
在此种模式中,被“实行犯化”的帮助行为和实行行为被规定在同一类罪名之下,两者针对同一犯罪客体,在法益侵害性上具有同质性,在行为的内涵和外延上是一种并列关系,在适用上是相互排斥的关系,因此,在定罪量刑时直接适用“实行犯化”后的独立犯罪及其罪名,不再适用《刑法》总则中关于共同犯罪的规定。对这种犯罪的帮助行为“实行犯化”有以下合理性:(1)实现对帮助行为的刑法直接评价,即使由于某种具体情形导致了实行行为自身不够成犯罪,也可以对具有较大社会危害性的帮助行为定罪处罚;(2)在立法上对帮助行为直接规定法定刑,从而对司法权进行一定的限制,避免量刑畸轻。
但是,此种“实行犯化”模式也具有一定的局限性:一方面,在司法适用的时候,往往仍然是在将其作为特定类型实行行为的帮助行为层面上进行犯罪事实认定,因此,在证据的搜集和举证程序方面并没有得到简化;另一方面,这仅仅是对某一种或某几种特定具体犯罪的帮助行为的“实行犯化”,因此,如果实施其它类似犯罪的帮助行为,就难以适用这一“实行犯化”后的罪名去单独定罪。例如,只有为他人实施组织卖淫犯罪提供帮助的,才能适用《刑法》第358条规定的协助组织卖淫罪;为他人实施强迫卖淫罪提供帮助的,就无法套用独立化后的新罪名进行评价。
2.跨越实行行为类罪规定为独立犯罪
此种帮助行为的“实行犯化”模式具有一定的隐蔽性,其中的帮助行为在“实行犯化”前是作为实行犯的帮助犯形态出现的,但是一旦被“实行犯化”,似乎就与原来的实行犯脱离了实质上的共犯关系。例如,我国《刑法》第128条第2款和第3款规定了非法出租、出借枪支犯罪,即“依法配备公务用枪的人员,非法出租、出借枪支的,依照前款的规定处罚。依法配置枪支的人员,非法出租、出借枪支,造成严重后果的,依照第一款的规定处罚。”有的学者根据刑法的体系解释得出了以下结论:“行为人明知他人使用枪支实施杀人、伤害、抢劫、绑架等犯罪行为,而出租、出借枪支给他人的,与他人成立相应犯罪的共犯。”{28}根据这一结论,似乎这种情况并不适用该条的规定,也就是说作为故意杀人、伤害等犯罪帮助行为的非法出租、出借枪支行为并不是《刑法》第128条第2款和第3款规定的行为。笔者认为,仅从该条文看,行为人出租、出借枪支,不但可以基于为他人提供非犯罪使用的目的,而且可以基于对结果放任的心态,更可以基于为他人提供犯罪使用的目的。如果行为人明知他人使用枪支实施故意杀人、故意伤害等犯罪行为,而依然出租、出借枪支的,那么行为人的行为就同时构成非法出租、出借枪支罪和故意杀人罪、故意伤害罪等其他犯罪(帮助犯),根据想象竞合犯理论,对其择一重罪处罚。一般会认定为“与他人成立相应犯罪的共犯”,这样在逻辑上才是合理的。所以在该种情形下,该条款规定的犯罪行为在实质意义上就是故意杀人、故意伤害等实行行为的帮助行为,只不过被立法者“实行犯化”了。当然跨越类罪加以“实行犯化”后,非法出租、出借枪支犯罪就具有了独立的内涵,它不仅可以作为众多具体犯罪的帮助行为,而且还包括基于非犯罪目的而出租、出借枪支的行为。通过以上分析可以看出,立法者之所以要将非法出租、出借枪支的行为在《刑法》分则中“实行犯化”为独立的犯罪,很可能是考虑到非法出租、出借枪支行为的目的不限于为他人提供犯罪帮助,它本身就具有独立的较大的社会危害性,具有区别于后续犯罪的特殊的法益侵害性—危害枪支管理秩序和公共安全—需要刑法对其进行单独评价。此外,这也使得特定情况下对该危害行为的追诉更加便利,因为在无法证明行为人实施该行为的目的是为其他犯罪行为提供帮助时,也可以对其进行追诉,这种诉讼的便利其实是公平正义的要求。
可见,把实质上的帮助行为跨类罪“实行犯化”为独立的犯罪,是现行刑法典的已有模式。很明显,这种帮助行为“实行犯化”模式的优点是:(1)已经完全脱离实行行为对于帮助行为进行刑法评价,这种“实行犯化”后的帮助行为已经独立为较为纯粹的实行行为,从而真正实现对帮助行为的单独评价;(2)诉讼便利,极大地缩短了刑事证明的因果链条。
需要指出的是,刑法典中上述两种帮助行为的“实行犯化”模式本身并没有优劣之分,只是在针对某种具体帮助行为加以实行化时,存在适合与否的问题。
(三)恶意公布、售卖安全漏洞行为独立人罪化的模式
在对于帮助行为的“实行犯化”模式进行实证考察之后,综合考虑恶意公布、售卖安全漏洞行为的特性和推动其实行犯化的因素,可以看出,恶意公布、售卖安全漏洞行为的实行犯化应当采取下列模式:
1.跨越各种黑客犯罪规定为独立犯罪
如前所述,恶意公布、售卖安全漏洞的行为使得黑客的攻击行为不仅在数量上无限地增多,而且在攻击的时间上也大幅度地提前,导致黑客行为的社会危害性被无限放大。而此种无限放大的社会危害性不仅凸显了恶意公布、售卖安全漏洞作为黑客攻击帮助行为的社会危害性,也使得它具有了超过单次黑客行为的独立的巨大社会危害性;另外,利用公布或者售卖的漏洞进行网络攻击的单个黑客行为可能因情节轻微不构成犯罪;但是,由于网络的无限延伸性和开放性,恶意公布、售卖安全漏洞所造就、引发的网络病毒和网络恶意攻击行为在数量上却是巨大的,这更加说明了它具有黑客犯罪之外的独立社会危害性。这种独立的社会危害性具有很广泛的外延,它不仅是单次黑客犯罪无法包容的,也是利用安全漏洞实施的非法入侵计算机系统犯罪、盗窃犯罪等某一类网络黑客犯罪无法包容的。例如,一次安全漏洞恶意公布行为可能会导致无数起非法侵入计算机信息系统犯罪、非法获取计算机信息系统数据犯罪、非法控制计算机信息系统犯罪和网络盗窃犯罪等各种网络黑客犯罪行为,这就排除了适用第一种模式的正当性。另外,第一种模式也无法解决侦查取证和刑事司法证明极为困难的司法难题。而采用第二种“实行犯化”模式,即把恶意公布、售卖安全漏洞行为跨越各种黑客犯罪在刑法分则中规定为一种独立的犯罪显然是可取的,这不仅实现了对具有较大独立社会危害性的恶意公布、售卖安全漏漏洞行为的全面准确评价,而且也大大地简化了刑事司法证明,使刑事诉讼能够真正得以进行。
如果采用第二种“实行犯化”模式,那么还存在另外一个问题,即应当规定在哪个章节呢?计算机和网络发展到今天,已经开始以独特的方式承载巨大的社会利益,同时相关的计算机和网络犯罪无论种类还是数量都日益剧增,除了与计算机有关的传统犯罪以外,计算机和网络犯罪不仅数量日益增多,而且具有独特的犯罪客体,需要刑法在该独特犯罪客体层面上进行单独评价,即需要将计算机和网络犯罪刑事法规单列为一章增加到原刑法典中去,法国和俄国就是采用这种立法模式{29}。所以,笔者认为,应设立单独的“计算机和网络犯罪”章节,并且把恶意公布、售卖安全漏洞行为规定于其中。
2.规定为情节犯且法定刑不宜太高
根据我国刑法理论,《刑法》分则规定的既遂犯可以分为行为犯、情节犯、结果犯等犯罪类型,那么恶意公布、售卖安全漏洞行为在《刑法》分则中应当规定为何种类型的犯罪呢?
前文已经指出,该行为“实行犯化”的重要推动因素之一是诉讼便利的需要,即通过该行为的“实行犯化”,免除司法机关对一系列相关问题的证明责任。如果采用结果犯的犯罪类型,司法机关同样很难克服由此带来的侦查取证和证明难题,达不到诉讼便利的目的,所以“结果犯”的模式不可取。此外,“在现实中,犯罪并不是那么容易威慑的,要威慑所有无效率的犯罪几乎是不可能达到的目标”{29}。在当今社会,由于各种原因,网络犯罪非常猖撅,已经成为了普遍存在的现实,恶意公布、售卖安全漏洞的行为也不例外。为了缩小刑法的打击面进而发挥刑法的效用,有必要设置一定的犯罪“门槛”,而且并不是所有的恶意公布、售卖安全漏洞行为都具有很大的社会危害性,如果公布的只是轻微的安全漏洞,利用其从事的网络黑客行为就不能对计算机和网络造成很大的冲击,因此,也不具有较大的社会危害性,所以没有必要把其划定在犯罪圈之内。综上所述,在将恶意公布、售卖安全漏洞行为的“实行犯化”而独立入罪之时,将其设定为“情节犯”可能是比较合适的。
对于恶意公布、售卖安全漏洞行为法定刑的设置,需要从罪刑均衡的角度进行考量。恶意公布、售卖安全漏洞一般具有较大的社会危害性,对网络安全造成巨大的冲击。但是,仅仅以恶意公布、售卖安全漏洞行为为依据,基于计算机和网络承载的抽象社会利益受损而适用重刑(尤其是无期徒刑,甚至死刑)是非常草率的。非法出租、出借枪支罪的最高法定刑也只有7年有期徒刑,因此,恶意公布、售卖安全漏洞行为加以“实行犯化”和独立入罪后的法定刑不宜太高,以有期徒刑为限。如果恶意公布、售卖安全漏洞行为导致极其恶劣的黑客犯罪,例如,数额特别巨大的网络盗窃犯罪(可能判处无期徒刑);又如,利用国防网络系统的安全漏洞实施的为境外窃取、刺探国家秘密、情报犯罪并且对国家和人民危害特别严重、情节特别恶劣(可能判处死刑),那么完全可以运用想象竞合犯理论,根据“从一重罪处罚”的规则,认定为盗窃罪和为境外窃取、刺探国家秘密、情报罪而适用无期徒刑或者死刑。
(四)恶意公布、售卖安全漏洞行为独立入罪化之前的司法对策
“由于立法程序的民主化和科学化程度的影响,有效率的结果并不必然出现,但是经过时间和历史的淘洗,以及不同法系、不同国家在立法制度、程序、内容上的相互影响,有效率的法律原则、制度总会更容易产生。”{30}88但是,任何法律的制定和修改都具有一定的滞后性,恶意公布、售卖安全漏洞行为“实行犯化”也是如此。该行为可能在以后相当长的一段时间内都会以黑客犯罪帮助犯的形式出现于法律上。虽然刑事立法有缺陷,但是根据罪刑法定原则,司法机关必须在刑事法律规定的范围之内进行定罪量刑,并且要在自由裁量权范围内尽可能做到刑事判决结果的公正。
在恶意公布、售卖安全漏洞行为独立入罪化之前,司法实践中在处理恶意公布、售卖安全漏洞行为时,往往会出现无法入罪或者量刑过轻的问题。笔者认为,为了尽可能避免这些问题的出现,司法机关应当在遵守罪行法定原则的前提下采取以下对策:第一,如果对恶意公布、售卖安全漏洞行为在网络黑客犯罪帮助犯层面上无法入罪,那么就要考虑其他入罪视角,例如,故意泄露国家秘密罪等;第二,如果对于恶意公布、售卖安全漏洞行为在网络黑客犯罪帮助犯层面上能够入罪,那么在量刑时只能“从轻”处罚,不能“减轻”更不能“免除”处罚;第三,如果对于恶意公布、售卖安全漏洞行为具有对黑客犯罪教唆的刑法解释余地,那么就应力求按照相应犯罪的教唆型主犯处理;第四,如果恶意公布、售卖安全漏洞行为引起的黑客攻击行为危害重大公私财产或者重大公共利益安全,那么就要进行扩张解释,在恰当的时候可以考虑按照以危险方法危害公共安全罪处理。
【注释】
[1]该病毒发作时,硬盘一直转个不停,所有数据都被破坏,硬盘分区信息也将丢失,甚至可能破坏某些类型的主板的电压,改写只读存储器的BIOS。
[2]2009年5月18日,我国江苏、安徽、广西、海南、甘肃、浙江等省份出现的罕见的断网故障,即为针对网络服务进行的分布式拒绝服务攻击的现实案例。
为了加强安全生产隐患排查治理和督办工作,结合近年来对高危行业隐患监管工作的实际情况,自治区开办了安全检查系统,将企业纳入网络化管理,对企业利用机关网络平台进行安全生产管理.实现了4级网上办公,为企业和执法人员提供自动化办公、法律、法规、标准规程、业务技术和信息等服务,还专门设置了举报投诉栏目。
从目前该网运行情况来看,企业和各级监管机构可利用网络信息平台对现场存在的安全隐患进行有效的监控,全区隐患排查治理工作逐步走向制度化、网络化监管。
一、网络创建的重要意义
1、网络化安全管理
近几年,内蒙古安全生产形势基本稳定,但重特大事故还时有发生,安全状况仍不容乐观。其中安全监管的手段单一,不适应我区高危企业多数散落在边远山区的特点,势必难保较好的现有安全形势。
为了改变我区对重点高危行业的监管采用的都是常规的手段这一现状,实现安全生产隐患排查治理工作规范化、制度化、经常化、信息化,能够及时掌握重点行业安全隐患治理情况和盟市、旗县区监管情况,做到各级监管者和企业都心中有数,更有效的监督、指导重点高危行业重点企业的工作,自治区人民政府下发了《内蒙古自治区高危行业隐患排查治理监督管理规定》,这是内蒙古安全生产隐患排查治理工作的第一份政府规范性文件,是自治区人民政府高度重视安全生产工作和隐患排查治理工作的具体体现,组织开展隐患治理工作,是“治大隐患、防大事故”的重要举措,是去年抓安全隐患排查工作的深入和继续。
内蒙古自治区安监局根据《内蒙古自治区高危行业隐患排查治理监督管理规定》要求,结合自治区近年来对高危行业隐患监管工作的实际情况,筹集经费42万元,创建了安全隐患网络排查治理信息系统,目前已进入正常运行,与此同时,全区发生各类事故13209起,死亡2074人。与上年同期相比事故起数下降5.92%,死亡人数下降11.59%。在数据上看安全网络的建设收到了一定的效果。
2、安全检查系统的使用
安全检查系统创建运行以后,在传真、邮寄等传统隐患上报的形式上,又增加了网上录报。网上录报不仅是增加了一种上报形式,四级平台的建立减少了工作量,更大大提高了工作效率。
自治区安监局要求:各盟市每季度负责对列入治理计划的重大隐患的排查、登记、治理工作进行一次全面核查;每季度对企业进行一次检查,每次检查面不得低于20%,并将检查情况录入信息网;对所监管企业检查查出的安全生产隐患,经过详细核实后,要及时录入信息网;及时督办列入治理计划的重大隐患和所监管企业的重大隐患;每半年对旗县安全生产监督管理部门安全生产隐患排查治理督办情况至少进行一次监督检查,并抽查其所监管企业。
各旗县区每月组织一次对所监管企业重大隐患的排查、登记、治理工作的现场核查;对所监管企业每月组织一次安全生产隐患检查,查出的一般隐患应责令企业立即整改,重大隐患应责令企业制定治理方案并监督其实施,并将检查情况录入信息网;检查企业查出的安全生产隐患,经过详细核实后,要及时录入信息网;及时督办企业上报和本级检查出的重大隐患排查治理工作。
各企业主管安全生产负责人应当组织进行经常性的隐患排查。企业主要负责人每月至少组织一次由安全管理人员、工程技术人员和职工等相关人员参加的隐患排查,并将检查情况录入信息网;企业要建立隐患排查治理报告制度,对排查出的重大隐患及隐患整改情况必须向所在地旗县(市、区)人民政府负责安全生产监督管理的部门报告,重大险情随时报告;企业各岗位、班组、工段、车间、厂矿、公司都要设立隐患登记台帐。企业应定时将各部位隐患台帐分类统计,经主要负责人核查无误后,录入安全生产隐患排查治理信息网;发现重大隐患,应立即组织排除,在隐患排除前或者排除过程中,无法保证安全的,应采取应急防范措施,必要时应停产、停业整改;企业负责人负责督办一般隐患排查治理工作。
二、安全网络化管理工作成绩
全区安监部门和重点高危企业紧紧围绕实现安全发展、科学发展目标,以贯彻落实《内蒙古自治区高危行业安全生产隐患排查治理监督管理规定》为重点,强化网络建设责任制,加大对网络系统的投入,注重对网络管理员的培训,利用网络开展安全生产隐患排查治理登记工作,取得了明显成绩,受到了国务院安委会安全生产综合督查组的好评。
内蒙古自治区安监局将企业纳入网络化管理,企业利用机关网络平台进行安全生产管理,这在全国还是首家,可以说没有现成的经验可借鉴。为把网络系统建成操作既方便又实用,又符合安全生产监督管理的要求,采取了发动群众边试用边征求意见的方法,不断完善和改进网络系统。
为实现对重点高危企业的安全生产监管工作规范化、制度化、信息化,自治区安监局首先明确责任,进行分工负责制,在网站试运行前全区12个盟市安监局,101个旗县区安监局,9个开发区,1297个重点高危企业相继成立了领导小组,明确了责任,区分了任务,形成了四级网络系统管理体系,为网络系统建设和网上办公打下了坚实的组织领导保障基础。
初计划要在三月底完成基础数据库建设,四月一日开始试运行,而内蒙古绝大多数高危企业都落户在边远山区,将遍布全区的1297个企业基本数据采集完并录入数据库就是一件不容易的事,在时间紧、任务重的情况下,自治区局精心组织,盟市局和旗县区局密切配合,企业积极参与,有关人员加班加点,在不到一个月时间完成了基础数据库建设,特别是赤峰市和鄂尔多斯市安监局在工作量大,困难多的情况下,按时保质保量完成了任务。
为使注册到安全生产网络系统的企业、机构、执法人员会使用网络系统,自治区安监局采取了网上培训的方法进行了有效的培训,呼和浩特市局、锡林郭勒盟、包头市局单位采取办班的方式进行了培训。目前全区12个盟市局管理员、89个旗县区管理员、60%的企业管理员都能熟练应用网络系统,和对本级用户的维护管理。
截至2月,内蒙古安全生产事故隐患排查信息系统注册机构134个、执法人员1515人,发文件322份,并将全区1127家重点高危企业纳入网络化管理。
去年4月1日至12月31日,网站已登记隐患5713个(一般隐患5645个,重大隐患56个,列入治理计划的重大隐患12个),期中,乌海市403个、赤峰市1935个、呼伦贝尔市788个、鄂尔多斯市437个。经企业整改,88.86%的一般隐患、80.88%的重大隐患、75.00%的列入治理的重大隐患验收销案。四级平台的建立减少了工作量,提高了工作效率,受到了企业和执法人员的好评。
三、网络管理的不足之处
在全区安监机构和重点高危企业的共同努力下,四级网络平台已建立起。企业和各级监管机构可利用网络信息平台对现场存在的安全隐患进行有效的监控,隐患排查治理工作逐步走向制度化、网络化管理和监管,但在实施用过程中还存在一些问题。
据不完全统计,内蒙古去年前11个月非煤矿山重点企业上报隐患10398项、危险化学品上报隐患4262项、烟花爆竹上报隐患744项,而网上录报分别只有1175条、1547条、565条,煤矿上报8000多条隐患、网上录报的是1847条,企业不及时如实填报隐患,造成非网上报的隐患和网上录入的隐患数相差甚大,使网络系统没有发挥应有的作用。
个别部门和企业领导不重视隐患排查信息网建设工作。一部分是认识不到位,没有认真学习相关规定和下发的网络建设的通知,没有意识到信息化管理的先进性和重要性,没有将其当作是今后一项长期的重要工作来抓,没有认识到抓网络建设是抓安全生产工作的重要手段之一;二是隐患排查治理工作制度不落实,不督促操作员和执法人员及时在网上录报隐患、当月的自查和检查情况;三是没有按要求配备专用电脑和操作人员;四是领导不带头学习电脑知识和使用网络系统。
个别单位没有指定专人负责网络系统工作,有些是临时指定兼此项工作,出现了忙时无人做此项工作的现象,人员的不固定和兼项工作过多,使操作员不能专心信息网络工作,不同程度影响了隐患录报工作。
企业和安监机构自查、检查制度落实不够好。按照规定企业主要负责人,每月至少要组织一次由安全管理人员、工程技术人员和职工等相关人员参加的隐患排查,并将自查情况录入到网络系统上。而我们的大部分企业和旗县区安监局没有按照规定办。
目前内蒙古各级安监执法人员不足,安全监管专业技术力量薄弱,对所辖区域企业监管存在盲点。从网上统计数据和隐患整改治理情况看,部分安监执法人员对隐患信息网还不会使用,对企业上报的隐患审核和督办存在滞后现象,有的企业上报重大隐患一周多时间,却无人去审核去督办。
四、下一步工作认识
在未来的工作中,我们要提高认识,加大对安全生产事故隐患排查信息系统管理和使用的力度。各单位主管要亲自抓,分管领导要具体抓,要落实分级责任制。领导要带头转变观念,不断提高网上办公重要性认识,带头学习信息网络知识,带头登陆安全生产信息系统,要充分利用网络平台组织、指导、督促、检查本单位隐患排查治理工作。
【关键词】网络通信安全 存在问题 解决措施
一、网络通信安全简述
网络通信安全是保证用户在使用网络工作时能够安全顺利的传输各种信息。很多情况下我们的网络操作存在着隐患,比如说,随着计算机等技术的发展,以及这个快速发展的时代,我们不仅在使用着一些聊天工具,而且随着网络购物的普遍存在,我们不可避免的使用着网上支付平台,种种使用网络的方式,都很容易导致用户信息的泄露。所以,在使用网络时要确保安全,网络通信安全就是要消除安全隐患,保证用户使用过程中的通信安全。
二、网络通信安全存在的问题
在这个开放的网络大环境下,网络通信安全问题显得越发重要,可能存在的问题可能有:
1、软件设施存在安全隐患。在我们上网浏览一些实名注册的网站,或者是利用网络聊天工具聊天,更或者说进行网络购物时,我们都是在利用网络软件来操作,然而并不是所有的软件都是相对安全的,这是因为有可能软件在设计过程中,一方面因为软件漏洞的原因造成了安全问题,另一方面可能是因为一些软件由于没有构建安全的网络防范体系进而在使用网络通信过程中很容易受到攻击,甚至出现一些重要信息被盗取的危害。
2、人为因素的破坏。这种情况的出现可能是一些网络操作人员,在操作过程中遭到黑客恶意攻击而导致一些数据被盗取或损坏的情况。一些常见的网络通信存在的安全威胁有:1、会出现一些盗取或盗听网络信息的行为2、有可能用户在使用网络过程中数据被拦截3、在传输信息过程中信息被篡改。
3、安全策略缺乏。这个情况是说一些网站可能会设置一些访问权限,网站内部人员可以对其进行查阅观看。这样就会出现有些内部人员会滥用情形的出现。另一方面来说,一些网络不法分子也会借用这个漏洞盗取网络中的相关信息从而给网络通信安全造成了很大的危害。
三、解决网络通信安全的措施
1、避免IP地址被盗取。在用户使用网络进行传输信息过程中,网络黑客就会通过盗取对方的IP地址来获取用户的信息。我们要防止信息泄露就要加强对IP地址的防护,第一种防护措施可以通过加强对交换机的控制来实现,在网络上,信息传输的有效途径是交换机,所以对交换机的严格控制能够防止网络IP地址被盗取,第二种防护措施是加强对路由器的隔离控制,对路由器的APP表定位进行检查和监测,获得MAC和IP相对应的关系的同时也要对比他们前后关系的变化,通过判断前后关系是否发生变化来确定访问是非法与否,如果是非法的就要采取一定措施来阻止非法访问,从而保证传输信息安全。
2、 改善与计算机关联的外部环境。所谓计算机关联的外部环境是指的由于断电、雷击等外部环境的影响而导致计算机不能正常工作,要做到防患于未然,安装避雷针等设备来确保计算机能够不受自然因素的影响,保证计算机的正常使用,另外,还要定期对计算机线路进行检查和维修。还有一种情况是避免静电对计算机网络的危害,因此可以将计算机接地的同时还要安装防静电地板。改善了计算机外部环境才能确保计算机处于安全状态下的正常使用。
3、计算机病毒的有效防范。之所以网络通信安全出现危险,很大程度上是因为计算机病毒的攻击,因此,选择功能完善、有针对性地软件就显得格外重要。确保网络通信安全具有十分重要的意义,不仅要针对各类病毒进行查杀同时也要强调杀毒方式能与互联网的有效结合。
四、总结
随着网络通信的不断发展,计算机网络已经成为现代人们生活中不可缺少的部分。在网络大环境下网络通信安全问题也不断增多,另外,还有网络黑客对网络通信信息的攻击,所以,保证网络通信安全是一个很重要的问题。根据本文对网络通信安全存在的问题做出了详细的介绍,同时也对解决网络通信安全的措施做出了详细的介绍。保证网络通信安全、有效地运行,推动我国通信事业的发展。
参 考 文 献
[1] 杨 军,毕 萍 . 浅谈计算机网络通信安全 [J]. 电子设计工程, 2012 , 5( 6 ): 132~133.
[2] 李 宁 . 网络通信安全分析及其安全防御对策研究 [J]. 建材与装饰,2013 , 15 ( 6 ): 93~94.
[3] 李知晓 . 浅析网络通信安全与计算机病毒防护 [J]. 中国新通信, 2014 , 7( 16 ): 46~47.
[4] 黄婷婷 . 网络通信安全分析及其安全防护措施 [J]. 科技传播, 2012 , 3( 15 ): 106~107.
[5] 崔娅萍,杨靖新 . 网络通信安全分析及其安全防御措施 [J]. 消费电子, 2012 , 11 ( 7 ): 16~17
关键词:计算机;网络安全;防护措施
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2011) 13-0000-01
Study on Security and Protection Measures of
the Computer Network
Su Yidong
(Fujian Economic and Trade School,Quanzhou362000,China)
Abstract:With the rapid development of the information age,is now,computer technology has expanded in various industry sectors,to become one of the necessary equipment industries,especially the development of the Internet for various industries to provide a convenience,and the Internet,the computer's global resources to achieve mainly through information sharing,this openness of information for the industry to bring convenience,it also brings the danger,then how to design a reliable,secure network is the most common topic of concern,which also makes computer network security is increasingly apparent,therefore,should enhance computer network security measures to enhance computer network defense capabilities.
Keywords:Computer;Network security;Protection measures
一、影响计算机网路安全的主要因素分析
(一)计算机网络技术的缺陷。由于网络时代近几年发展的迅猛,才被重视,他作为一种创新技能,人们对他的认知和技术发展还存在一定的局限性。使得计算机网络存在一定的缺陷,进而演变成为影响网络安全的危险分子。如:Internet作为全球使用最为广泛的信息网,其自身的开放性特点是其优越性也是其缺陷所在,其原因在于:开放性的信息资源延伸、拓展了信息共享资源,复杂多样的互联网络,使得TCP/IP协议在设计过程中不添加上任何的身份验证或者密码设定等功能,这也就使得信息在传送的过程中,容易带有源地址、目标、短号口等信息,几经周折,容易使其成为危险分子,影响网络的安全。(二)黑客、木马等病毒的侵入和攻击。计算机网络的共享、无控制机构,使得黑客、木马等病毒经常运用其自身体统的漏洞对其他计算机网络实施攻击,从而获取或者破坏攻击对象的相关机密信息,致使攻击对象的计算机网络系统呈现瘫痪状态。其黑客的重要攻击方法是:网络监听、电子邮件、口令攻击、远程控制等等。此外,还有木马等病毒,他们作为自己繁殖和传播的危险工具,对网络有着极大的危险性,他们变形种类繁多、传播速度快,有着发作、隐形发作等特点,其主要攻击方式有:文件下载、浏览非正常网页、QQ传递、邮件传递等等,只要人们一打开或者下载,病毒也就会随着潜伏在电脑的硬盘中,为网络安全有着极大的危害性,同时也是影响计算机网络安全的重要因素。(三)网络安全管理制度匮乏。一般行业中都知道网络安全的相关知识、如:黑客、木马、熊猫烧香等病毒,也都在自己的电脑上安装相关的杀毒软件,但是却没有真正意义上重视网络安全管理,更没有明确的相关制度。网络比较脆弱,管理的失败容易导致网络系统的失败,如:网络管理员运用配置不当或者是网络应用升级不及时,那么就很容易造成网络安全的漏洞。或者是管理安全意识不强,用同一个账号,实现多个网络共享,不设置拨号服务或者账号认证等限制的,都有可能使网络产生不稳定因素,影响网络的安全。
二、计算机网络安全的防护措施
(一)控制网络权限。控制网络权限主要是对网络资源的访问实施限制,即:设置密码或者识别代码、口令、资源授权等指定访问人员,确保网络的安全性,对于不明确的代码或者信息则有自动抵抗的能力,增强其防御能力。如:对网络的用户和用户组进行权限设置,控制用户组和用户可以访问的具体目录、文件以及其他资源,同时,还可以配置相关的文件、升华资源配置,建立控制列表等,维护网络安全,保护网络资源。(二)加强防火墙技术。防火墙是根据连接网络的数据包来进行监控的。通俗的说防火墙像是门卫,负责核实每位进出人的身份,当遇到不明确身份的人想要进入时,门卫对其会适时拦截。同样,防火墙的功能也正是如此,即:当他遇到不明确的程序想要进去系统时,则会第一时间实施拦截,并出现提示窗口,不经过允许,这个程序将无法进去到自己的系统中来。尤其面对黑客、木马等病毒时,防火墙会发出警示,便于人们及时的发现,删除。就目前来看,防火墙对于抵御病毒是一种行之有效的网络机制,他可以独立的安装在计算机硬盘上,限制网络互访,同时在下载文件或者浏览网页时,防火墙都会进行提示,最后由自己来决定是运行还是取消,是放行还是删除,除此之外,防火墙还能够记录所有可疑的事件,因此,运用防火墙能够有效的降低网络风险。如:在运用360杀毒软件过程中,在浏览网页时,会提示这个网络是否安全;下载文件时,会提示这个文件是否含有病毒,并在下载的过程中,自行的对文件实施病毒扫描;而当U盘或者移动硬盘,由外界插入时,360会及时的、自动的对其进行杀毒,当遇到病毒时,会提示。这样以来,就降低了病毒的侵入率,提升了网络病毒方面的安全性。(三)加强网络安全管理。制定完整的网络安全管理制度,加强对网络专业人员的培养,促使网络安全管理规范化、科学化、合理化,强化人员对网络安全的认知,提升人员对网络安全的防御意识。如:可以对文件等重要信息实施加密处理,这样当文件在传输过程中遇到危险分子,窃取的也只能是乱码,而接收方在可以通过解密来还原信息。此外,对于一些重要的防御软件要做到及时的升级,并制定相关的网络安全惩罚措施,借以约束、警戒人员运用计算机网络浏览、下载一些不稳定因素的资料或者图片,确保网络的安全。
三、结语
总之,计算机网络是非常脆弱的,需要集体的共同努力,形成一个系统性的防御体系,控制外来程序,运用杀毒软件、网络安全管理等,加强人们对网络安全的认知和防御意识,这样安全管理和安全技术相结合,双向发展,提高整个计算机网络的安全性。
参考文献:
[1]Andrew S.Tanenbaum计算机网络[M].北京:清华大学出版社1998,7
[2]张炜,郝嘉林,梁煜.计算机网络技术基础教程[M].北京:清华大学出版社,2005,9
