时间:2023-12-28 11:53:16
目前,网络空间安全人才的培养得到了许多国家的高度重视,美国、欧盟、俄罗斯、日本等50多个国家出台了国家网络安全战略,制定了专门的网络安全人才培养计划。2010年4月,美国启动“国家网络空间安全教育计划”(National Initiative of Cy-bersecurity Education , NICE ) ,期望通过国家的整体布局和行动,在信息安全常识普及、正规学历教育、职业化培训和认证等三个方面开展系统化、规范化的强化工作,来全面提高美国的信息安全能力。2013年2月,欧盟《网络安全战略》,提出各成员国要在国家层面重视网络安全方面的教育与培训,学校要开展网络安全培训,对计算机科学专业学生进行网络安全、网络软件开发以及个人数据保护的培训,对公务员进行网络安全方面的培训2A2016年11月,英国政府启动新一轮的“国家网络安全战略2016-2021 ",提出英国政府将在未来五年投资19亿英镑(约合157亿元人民币)加强互联网安全建设,并利用英国政府的权力和影响力,面向学校和整个社会,投资人才发展计划,解决英国网络安全技术短缺的问题29。俄罗斯联邦委员会于2014年1月10日公布了《俄罗斯联邦网络安全战略构想》,将完善网络安全骨干培养工作和组织措施列人网络安全保障方向并通过支持卡巴斯基等网络安全公司的创新,为俄罗斯网络安全战略提供人才和技术支撑。日本于2016年3月31日正式敲定了担负网络安全对策中枢职能的人才培养计划,主要内容是在未来4年内培养近千名专家,要求中央政府各部门制定培养项口,设立“网络安全与信息化审议官”一职以统管人才培养等工作,强调构建人才培养系统,形成人才供需的良吐循环并从2017年度起对相关职员给予收人上的优待。
为加强我国高素质网络空间安全人才的培养,2015年6月,“网络空间安全”正式被国务院学位办和教育部获批为国家一级学科。2016年6月,经中央网络安全和信息化领导小组同意,中央网信办、发改委、教育部、科技部、工信部和人社部六部门联合印发了《关于加强网络安全学科建设和人才培养的意见》,该意见要求:在已设立网络空间安全一级学科的基础上,加强学科专业建设。发挥学科引领和带动作用,加大经费投人,开展高水平科学研究,加强实验室等建设,完善本专科、研究生教育和在职培训网络安全人才培养体系。有条件的高等院校可通过整合、新建等方式建立网络安全学院。通过国家政策引导,发挥各方面积极性,利用好国内外资源,聘请优秀教师,吸收优秀学生,下大功夫、大本钱创建世界一流网络安全学院。近两年,各相关高校响应国家培养网络安全人才的急需,陆续设立了“网络空间安全学院”,仅2015年以来,四川大学、电子科技大学、暨南大学、杭州电子科技大学、北京邮电大学、中国科学院大学等高校相继成立了“网络空间安全学院”或“网络空间研究院”。在《网络安全法》颁布后的仅一个多月,2016年12月27日,经中央网络安全和信息化领导小组批准,国家互联网信息管理办公室《国家网络空间安全战略》提出,实施网络安全人才工程,加强网络安全学科专业建设,打造一流网络安全学院和创新园区,形成有利于人才培养和创新创业的生态环境。
网络技术人才的培养、储备和运用应当采用培养与引进相结合的原则,尤其我国网络技术领军人才的需求显得非常急迫,应当重点以引进为主培养为辅,网络技术领军人才的引进不仅仅要看其业务技术层面,更重要的是政治强和作风好。关于网络安全人才的培养机制和模式,应当重点发挥高等院校、科研机构和网信企业的协同作用。笔者认为,培养网络安全人才的机制和模式,应当在4个方面重点发力。
1 夯实重点和特色高校的网络安全学科建设
这也是培养网络安全高端专业人才的基础。在培养模式上要与发达国家对标,采取“学习、科研、实训、实战”四位一体的培养模式。着重培养四大领域的专家人才:一是网络安全战略专家;二是网络安全国际法专家;三是核心领域技术专家;四是网络技术创新专家。
2 推动高等院校、科研机构与行业企业深度合作和协同创新
从网络技术人才的培养口标、课程设置、教材编制、实验室建设、实训基地、课题研究、联合演练等各个环节都应当加强高等院校、科研机构与企业的协同效益,共同构造基于网络安全技术人才供给侧模式下的网络安全培养与教育模式的改革。
3 强化全产业链模式下的网络安全师资队伍建设
中央网信办管理部门、各级地方政府和教育行政部门应当积极创造条件,制定和出台鼓励高校、职业院校、网络安全培训机构与网信企业的网络安全技术专家进行双向交流的机制和制度。通过政府引导和校企协商的模式,形成高校和职业学校的专业教师到企业参与网络技术研发的工作制度,同时高等院校要积极吸引企业从事网络安全的技术人才来高校或职业学校从事网络安全教学工作。
关键词:气象远程教育培训系统;网络构建;系统应用
中图分类号:G434文献标识码:A
0引言
气象远程教育培训系统是依托气象卫星综合应用业务系统,采用当代最新的卫星通信、计算机网络、多媒体等技术而构建的适合部门业务特点的远程教育培训体系。新疆自治区信息培训中心自构建远程教育培训系统以来,不断利用先进网络技术,完善了教育培训平台建设,为全区气象职工创设了更多的学习培训机会,成为新形势下新疆自治区气象事业跨越式发展的重要举措。
1气象远程教育培训系统的地位和作用
随着计算机、网络及多媒体技术的飞速发展,发展远程教育、提高气象培训质量已是大势所趋,该系统充分利用了气象卫星通信系统、计算机网络技术等,对解决面授教学方式有限、扩大受教育面、解决工学矛盾和培训经费短缺等问题具有明显的优势,在实施“人才强局”战略中具有重要作用和独特地位。远程教育方式可以实施教育资源的共享,丰富教学资源,提高培训效率;而且有利于加快行业成果推广速度,缩短新技术应用周期;同时还可提高集中在校培训的质量和效益,帮助学员在参与集中培训前通过远程培训方式学习掌握基础知识,为在校集中培训打下良好的基础。新疆信息工程学校通过构建远程直播教学系统和多媒体网络教学系统,加强了新疆气象教育培训能力建设,强化了区局气象培训中心教育培训职能,为全区气象部门培训工作搭建起了气象现代远程教育培训与资源共享平台,在气象人才教育培训中心发挥着重要作用。
2系统构建设计
新疆气象远程教育培训平台遵循省(区)级构建设计标准,实现与中国气象局培训中心主站的远程实时双向交互教学、讨论及答疑等,可组织收看主站播放的教学节目,同时还可根据主站统一要求,对本台站学员进行辅导并向主站反馈教学信息,同时根据全区气象业务工作实际,制作网络教学课件,通过远程教育平台面向全区气象职工开展岗位专业技术培训或特色业务项目培训。
2.1设备选型
系统服务器以及PC机是进行网络操作和应用的窗口和平台,根据此设备管理性能、稳定性能、安全性能及综合性能性价比等因素,新疆自治区采用DELL POWEREAGE服务器,将IBM ThinkCentre及部分其他品牌机作为教师机和学生机,并将一款非线性编辑机用于课件录制。
2.2网络结构设计
远程教育培训网络系统主要采取星型网络拓扑结构,由主干交换机通过光纤连接网管中心接入Internet,其中应用子网由支干交换机和主交换机相联,包括远程培训教室、计算机网络教教室和教师工作用机;其中网络主干为三层交换的千兆以太网(VLAN),应用子网则为百兆以太网。利用Internet实现了自治区站教育培训平台与国家气象局培训中心远程教育培训系统的连接。
2.3网络安全管理
网络安全管理是分层理论的,按照ISO七层网络协议,不同的安全层次其安全管理重点不同,通常可将其划分为网络层安全和应用层安全两个方面。网络系统设计涵盖网络层及应用层的安全控制和管理的一套立体、全方位的WebST网络安全解决方案,WebST包含着一套安全产品组件,可全面适用Inernet/Extranet的安全保障,并包括NetSEAL、NetSEAT、WebSEAL以及JAVA CONSOLE等,是解决局域网及广域网安全问题的重要手段。
2.4系统管理技术
为确保网络系统的安全有效运行,应严格加强系统管理,对系统数据加密、审核日志和网络资源进行集中管理,提供对访问对象的身份验证,并按授权层级对访问对象进行权限控制;而且在学员学习培训结束后,可利用网络实行考核以检验学员学习效果;学员在学习过程中通过系统管理记录一些课程上网学习次数,累计网上学习时间等。
3系统应用
利用远程教育培训网络系统进行远程培训工作不受时空和自治区内地域限制,可经常性开展实施,而且网络系统还具有灵活性、自主性和普及性,每一位学员都根据自身需求自由选取学习的章节段落。新疆自治区气象局人事教育处和新疆气象培训中心积极响应中国气象局培训中心关于“落实省局远程培训师资研修班相关内容”的通知,通过举办全疆气象远程培训管理与教学平台使用培训班,加强了来自全疆各地州市和区局直属单位的远程教育管理人员的远程教育培训新平台的使用方法、发展思路、网络安全与管理等的培训学习。
多年应用结果告诉我们,气象远程教育培训系统丰富的教育培训资源以及不受时空、空间限制的优势是当前其他培训模式无法替代的,得到了培训学员的好评并取得了良好的效果,为新疆自治区吸引、培养和用好气象人才作出了全面部署,在较短时间内提升了全区气象业务人员服务能力水平,在面对政府决策、公众需求以及应对灾害性天气等各类气象服务时表现出了较强的专业能力和服务水平,并得到了当地政府和社会公众的认可。2012年6月26日,通过区地县三级远程视频培训,新疆气象信息中心承办了新疆“省级自动站实时数据质量控制及反馈系统”的业务技术基本操作培训,并利用区地县三级远程视频互动交流,及时有效解决了各地州和台站在培训中存在的疑惑,保证全疆各地气象局自动站中心站和105个部级台站顺利进入了业务运行。
关键词:网络安全;病毒;网络技术实训室;计算机
电子计算机技术和我们日常的生活息息相关,相关人才的需求也就越来越大,很多学校都开设了相关的计算机学习课程。而计算机网络技术实训室就是学习计算机课程的重要场所。
学生日常的计算机基础课、计算机专业课,以及一些上机实验课和各种计算机考试等都需要在计算机网络技术实训室中进行。但是随着网络技术实训室使用频率不断增加,很多安全管理问题也逐渐暴露出来,这些问题往往会带来很多的损失,所以,需要对计算机网络技术实训室的有效安全管理能力措施进行分析和探究。
1 计算机网络安全的重要性
计算机的发明和普及为人们的日常生活带来了翻天覆地的变化,计算机网络技术也被广泛的应用在各个行业之中,随着应用范围的不断扩大,一些弊端也显现出来。一些重要的秘密信息被网络入侵者窃取,还有一些人利用网络对别人的系统和数据进行干扰和破坏。除了其他因素对网络的破坏,一些系统自身的弊端也会造成非常巨大的损失。在网络技术实训室的教学中也存在着许多的问题,例如计算机类实训室系统软件自身的漏洞问题、计算机病毒和木马等恶意程序的威胁、个人安全保护意识不强等等问题,这些问题对于教学非常的不利,也容易产生其他的问题,所以探究对计算机网络技术实训室的安全管理具有十分重要的意义。
2 当前计算机类实训室存在的主要网络安全威胁
2.1 计算机类实训室系统软件的漏洞问题
现在一般网络技术实训室使用的都是Windows操作系统,主要包括Windows XP,Windows2003 Server,Windows7等等[1]。Windows操作系统本身就存在着一些漏洞,这些漏洞往往就成为网络黑客的侵入点,虽然Windows操作系统本身也会不断的更新来完善系统,但是系统毕竟不会经常进行更新,一旦在系统更新之前出现了漏洞,很容易造成数据丢失或者网络瘫痪,带来巨大的损失。除了系统之外,很多软件自身都存在着很多的漏洞,例如Microsoft Office就经常会出现文件数据丢失,或者编辑时程序忽然中断,从而导致编辑好的文字和数据丢失。这些问题都会对教学产生影响,严重时也可能造成更大的损失。
2.2 计算机病毒和木马等恶意程序的威胁
系统自身的漏洞还可以通过不断更新进行弥补,那么一些病毒和木马就很难避免了。首先网络上就有很多的木马和病毒,有一些不良网站和一些链接里就带有木马和病毒[2]。其次W生经常会携带U盘出入计算机网络技术实训室,U盘中很可能就携带了一些病毒,这些病毒通过U盘感染了某一台电脑之后,就会通过网络连接使所有的电脑感染病毒,影响一些数据的读取和软件的使用名,最终甚至会造成整个网络的瘫痪,对教学产生非常大的影响。
2.3 个人安全保护意识不强
此外,计算机网络安全管理中还有一个非常重要的隐患就是因为一些教师和学生的个人安全意识非常薄弱,例如没有为电脑设置密码的习惯,或者给自己的QQ和邮箱等设置非常简单的密码,很容易就被人破解了,从而导致自己的号码被盗用,造成个人的损失。很多计算机没有安装杀毒软件,使电脑很容易被病毒侵袭,而且没有定期更换密码的习惯,在其他电脑上登录了自己的账号也没有及时清除记录的习惯,这些行为都会对个人和电脑造成非常严重的威胁,增加了计算机被病毒侵害的风险。
3 计算机类实训室网络安全的防范措施
3.1 定期扫描更新系统软件的漏洞
为了防止系统漏洞造成的危害,应该对网络技术培训室的计算机定期进行系统更新,同时对系统漏洞进行扫描,保证系统的安全。需要注意的是,一般网络技术培训室中的计算机往往都会安装原卡,根据系统提示进行更新的时候往往会占据很多的资源,而且整个培训室的电脑数量众多,如果同时更新,可能会拖慢网络速度。所以为了让培训室中的电脑系统能获得及时的更新又不影响上网速度可以新增一个补丁升级服务器,把一些用于更新系统的补丁和常用软件更新的安装包都下载到补丁升级服务器之中[3]。然后需要更新系统的计算机再利用这个服务器下载所需要的内容,这样既能够保障系统的及时更新,也不会影响到网络。
3.2 制定严格的实训室管理制度
相关数据表明,目前实训室中出现的很多问题都和操作不规范有着密切的关系。所以想要为学生创造更好的课堂环境,还需要建立一套完备合理的实训室管理制度。这就需要制定关于网络安全的管理制度、登录账号管理规则、实训室标准操作规范,以及学生每次上机的注意事项和禁忌事项等等,这些规范制定好之后打印出来贴在墙上公示,实训室的维护人员、教师和学生都必须按照相关的规章制度执行和操作。为了方便管理也为了避免学生因为争夺机位而发生矛盾,教师应该为学生安排固定的座位。同时每节课的教师都应该对实训室的使用时间和用途进行详细的记录,同时对于一些设备的故障和其他的问题也要进行细致的记录,并通知维护人员进行维修。
3.3 提高学生计算机网络安全防范意识
学生网络安全意识淡薄也是对计算机网络安全造成威胁的主要原因。为了给学生创造一个更加安全的网络环境,也需要提高学生对于网络安全的重视程度,培养相关的安全意识。加强网络安全意识的宣传,建议学生更改更复杂的密码,并养成定期清除账号记录和定期更换密码的习惯。培养学生正确使用网络的观念,让学生将学到的知识和操作应用到工作和学习中,防止学生使用网络进行犯罪。
3.4 密码访问技术的使用
密码访问技术就是在每次学生或教师使用电脑时,都需要利用账号和密码对学生和教师的身份进行核实和认证,只有认证成功之后,才可以对电脑和网络进行使用。这样能够有效的防止其他人员进入网络技术培训室之后对培训室的计算机进行恶意的破坏,或向电脑中植入病毒和木马等行为,保障了实训室中计算机设备的安全。摘 要:随着社会的不断发展,计算机网络技术在人们的生活中发挥着越来越大的作用,国家也越发地重视对相关人才的培养。计算机网络技术实训室,就是培养计算机人才的重要场地。近年来在网络技术实训室进行教学的过程中,往往会由于网络安全问题带来很多的损失,所以对计算机网络技术实训室的安全管理就成为了非常重要的一个环节,文章的写作目的就是对当前网络技术实训室安全管理中存在的一些问题进行分析,并提出相应的对策。
关键词:网络安全;病毒;网络技术实训室;计算机
计算机课程是一门非常重要的科目,也是每个学生都应该掌握的一门技能。为了保证在网络技术实训室中的教学效果,就需要为学生营造一个安全的上网环境。现在网络实训室中还存在着系统漏洞、木马和病毒的威胁、学生和教师网络安全意识淡漠等问题。这就要求相关负责人要定期为计算机设备进行系统更新,建立病毒库对电脑定期进行杀毒,利用密码访问技术防止外来人员的非法入侵等等。只有把这些问题都一一解决,才更有可能为学生创造一个安全的网络学习环境,让学生更好的进行计算机学习。
参考文献
[1]唐垒,冯浩,封宇华.计算机网络管理及相关安全技术分析[J].电子世界,2012(3):136-137.
[2]何江.浅谈计算机网络管理技术的发展趋势[J].山西电子技术,2014(2):94-95.
关键词:信息安全技术;实训项目;资源建设;资源共享
中图分类号:TP393.08 文献标识码:A 文章编号:1009-3044(2013)24-5481-02
随着互联网时代的到来,计算机网络已经越来越普及,人们可以通过互联网收发电子邮件,传输文件,网络购物等等。互联网给人们带来便利的同时随之而来的是信息安全问题。
如果政府机关网站、数据库服务器被入侵,可能导致重要数据泄露,关系到国家的安全。如果个人的数据泄露可能导致个人财产和个人隐私的安全。为了保证互联网数据、信息安全,需要有专门的人才维护信息安全。为了满足社会对该类人才的需求,不少院校相继开设了信息安全技术专业。
由于是新开设的专业,在课程教学过程中,普遍存在缺乏配套实验室和实验环境,缺乏硬件设备及专业机房。许多高职院校硬件实验条件相对落后,只能进行理论知识教学,很多实验、实训不能开展。因此导致目前很多院校比较注重信息安全纯理论和技术知识的传授,而对于如何培养学生实际动手操作能力、如何培养学生在实际工作岗位中职业技能、如何配置安全的操作系统、数据库系统、如何进行网络攻防实训,如何设计网络安全策略等涉及甚少,但这些正是信息安全技术人员需要掌握的,也是学生就业的职业技能。
根据高职信息安全技术专业人才培养方案,围绕专业核心能力和实际岗位需要,各高职院校迫切需要建立适应行业需要的信息安全技术实训资源库,通过完整的信息安全实训项目,培养学生信息安全综合技术能力,解决实际问题能力。该文根据实际教学经验总结,给出了适合当前高职信息安全技术专业学生核心能力训练的完整实训项目。
1 高职信息安全技术专业实训项目存在主要问题
目前很多高职院校在建设课程体系时,主要考虑各学科知识的系统性和完整性,而没有考虑社会、企业对人才的实际需求,这样使课程的设置与实际岗位脱节。学生毕业以后,很难快速适应工作岗位。信息安全技术专业也存在这样的问题,设置课程中实训环节少,实训条件不够,很多都是纸上谈兵,遇到实际的安全技术问题就难以解决。
由于信息安全技术专业实验设备少,实训项目资源不足,在专业建设人才培养方案制定时,往往重视理论课程安排,而较少考虑学生实际动手操作课程,这样的人才培养方案制定出来培养的学生理论知识较强,而实际动手操作能力较差。这与高职的教育教学理念相违背,培养的学生不能胜任实际工作岗位的需求。
因此需要研究适合高职信息安全技术专业人才培养需求,同时对硬件设备要求较低的实训项目。该类实训项目的设计实施,可以提高高职信息安全技术专业学生的实际动手能力,同时在普通机房可以实施,对于信息安全专业的实验设备要求较低,在高职信息安全技术专业起步阶段发展非常重要。
2 高职信息安全技术专业实训项目资源建设探讨
首先,我们调研本地区对信息安全职业岗位的需求,然后在此基础上进行信息安全技术专业岗位分析职业能力分析,然后根据岗位职业能力要求,开发设计了信息安全技术专业实训项目,通过完整的实训项目训练,使同学们的实际动手能力得到切实的锻炼。
经过对本地区信息安全人才需求社会调研,可确定信息安全技术专业的职业岗位群包括“网络安全管理员”、“网络安全工程师”、“信息安全工程师”、“网络管理工程师、“网站设计管理工程师””等岗位。为了使学生能够更好地就业,高职信息安全技术专业不仅面向信息安全方向,还可以面向网络安全、网络应用等基础方向,这样学生就可以根据自己的专长和实际水平选择合适的职业岗位。
根据信息安全工程师、网络安全管理员等职业岗位的需求,信息安全专业需要培养具有局域网组建基本能力;具有网络攻防技术基本能力;具有计算机病毒防范基本能力;具有路由和交换基本能力;具有信息安全产品配置与应用基本能力;具有系统运行安全与维护基本能力;具有数据备份与恢复的基本能力具有安全扫描与风险评估的基本能力。根据这些职业能力要求,需要构建培养学生网络攻防能力、主机加固、部署IDS、防护墙安全策略部署等综合能力的实训项目,重点培养学生实际动手操作能力。
3 信息安全技术专业实训项目资源开发
在信息安全技术专业的学生技能培养中,明确专业培养目标、学生需要掌握的技能目标是一个非常重要的环节。在根据岗位实际需求分析的基础上,我们开发了一套完整的信息安全技术实训项目。实训项目资源开发的设计思路是先让学生掌握实际网络攻防过程,了解黑客攻击网络以及主机的全过程,然后再进行系统主机加固以及网络IDS部署、防护墙安全策略部署,这样设计的目的是让学生了解信息安全的实际作用和意义,从而知道网络安全策略及部署的重要性,以及后期网络安全维护的重要性。下表1-1给出完整设计开发的信息安全技术专业实训项目。
表1 信息安全技术实训项目
[项目一 服务器入侵及防御\&模块一 服务器入侵\&模块二服务器防御\&任务1 服务器主机信息收集\&任务1 防御服务器主机信息收集\&任务2 服务器端口扫描\&任务2 防御服务器端口扫描\&任务3 服务器弱口令猜解\&任务3 防御服务器口令拆解\&任务4 系统服务入侵\&任务4 防御系统服务入侵\&任务5 服务器IIS权限探测\&任务5 防御服务器IIS权限漏洞\&任务6 服务器web网站SQL注入攻击\&任务6 防御web网站SQL注入攻击\&项目2 安全网络策略部署及主机加固\&模块1 漏洞定位\&模块2 主机加固\&模块3 部署搭建IDS\&模块4 设置防火墙策略\&]
该实训项目可通过虚拟实验平成与实现,虚拟实验平台利用web技术、虚拟主机技术构建的开放式网络化的虚拟实验教学系统,能够保证以上实训项目实施。虚拟实验平台只需要利用服务器安装运用后,同学们通过访问该服务器完成相关实训项目,对信息安全相关硬件设备要求较低,只需要普通的服务器和计算机就可以实现,一般的高职院校都可以开展。实训项目的实施既可解决信息安全技术专业实训环境的短缺,又可提高教学质量,增强学生动手能力。
4 结束语
本文通过调研分析信息安全技术职业岗位,分析岗位能力,开发设计一套完整的信息安全实训项目,训练学生动手能力及安全知识的自我学习能力。该实训项目可通过虚拟实验平台进行实施,因此对信息安全硬件设备要求较低,可以在高职院校开设信息安全技术专业中推广,个方面提高学生的信从而能够真正从理论和实践两息安全知识,培养高素质的专业人才,以适应社会对信息安全技术人才的需求。
参考文献:
[1] 彭维平.信息安全专业实训课程教学模式改革与实践[J].北京电子科技学院学报,2011,19(2):87-93.
[2] 周德富,李亚琴.高职院校实训课程设计实践研究[J].继续研究,2011(3):107-109.
[3] 徐川,唐建,唐红.网络攻防对抗虚拟实验系统的设计与实现[J].计算机工程与设计,2011(3):1268-1271.
[4] 张艳伶,黄声烈,高艳华.网络信息安全教学实验系统平台的构建[J].实验技术与管理,2008,23(10):66-68.
[5] 王陈章.网络信息安全教学实验系统[D]. 吉林:吉林大学,2006.
1NISTSP800-16的版本演变过程
1998年4月出版的SP800-16第一版首次提出IT安全连续学习统一模型,并设计基于角度和表现的培训模型。该模型按政府工作人员的职能将受训人员分为6种角色,即管理人员、采购人员、设计与开发人员、操作人员、检查测评人员以及普通使用人员。模型针对这6种角色设计了3个基本的培训领域(法律和法规、安全项目管理以及信息系统安全),并为此设计了安全培训课程框架,提出了培训有效性的评估方案。2009年3月NIST了SP800-16的第一次修订草案。一是明确信息安全培训职责,即对涉及信息安全培训的机构领导、首席信息技术执行官、高级机构信息安全官、管理人员、培训设计专家、对信息安全负有重要责任的人员以及用户等7类人员的职责划分。二是在信息安全培训课程的学习层次上强调知识水平的连贯性。三是对第一版的基于角色的培训提出了一个教学设计模型,即针对政府人员的信息安全需求,依次进行需求分析、课程设计、课程开发、培训实践和教学评估等五大环节,这使得信息安全的培训可以迭代改进。2013年10月NIST了对SP800-16的第二次修订版本草案,这次修订中首次提出了网络空间安全培训,因为美国2010年4月启动了《国家网络空间安全教育计划》(NationalInitiativeofCyberSecurityEducation,NICE),该计划旨在通过促进教育和培训来改善人的网络行为、技能和知识,从而增强美国整体的网络空间安全。这意味着美国政府已着手于将网络空间安全上升到国家安全的战略层面上来。2013年版的改动有以下几个方面:一是强调信息安全意识的培训应当在网络空间的背景下进行设计;二是在信息安全培训的目标对象中加入了对重要信息技术和网络空间安全负有责任的政府工作人员;三是对信息安全培训的评估体系进行了细化,即明确提出了评估培训的4个目的。不到半年时间,NIST再次了SP800-16的第三次修订草案,这个版本改动较小,主要是在信息安全培训的组织责任中加入了网络空间培训管理员/首席学习执行官。其职责包括:一是确保培训教材针对具体人员进行设计;二是确保培训教材对目标人员的有效性;三是为信息安全培训提供有效的反馈信息;四是对信息安全培训教材进行及时更新;五是重视培训效果的跟踪和汇报。
2NIST特别出版物版本演变带来的启示
纵览美国历时17年对信息技术安全培训指南的修订过程,其发展特点如下:首先,该指南进行了顶层设计,即提出IT安全连续学习统一模型,设计基于角度和表现的培训模型,对需要接受信息安全培训的目标对象进行角色划分,按照角色需求从法律法规、安全项目管理以及信息系统安全3个领域进行课程设计,初步提出了课程的评估框架。此后的3个版本都是在该体系结构下,从角色划分、培训领域和课程评估方法等3个方面进行充实、完善。其次,该指南具有可扩展性,即该指南的最初版本就设计了连续学习统一体,为培训对象的知识结构发生变化后,如何满足其信息安全的知识结构留下了足够的学习空间。第三,该指南的实时更新性,即结合信息安全领域的新技术,对培训目标对象和培训课程进行实时更新。如在美国NICE计划颁发之后,指南很快在培训环节增加了对国家网络空间安全的培训内容。目前,我国的信息安全教育工作主要侧重于专业技术人才的培养,对涉及使用信息系统的广大普通用户的相关信息安全常识的教育重视不够,更确切地说,对公众的信息安全常识教育的计划和实施体系尚未建立。我国有关部门应该参照NISTSP800-16和SP800-50出台适合我国国情的有关信息安全常识和培训纲要的规范指南,以便完善我国的信息安全教育的完整体系,推进提高全民信息安全意识和技能的工作,为构建我国信息安全保障体系提供人员安全素质方面的基础保证。
3结语
美国已经认识到“国家正处于危险之中,政府和关键基础设施中的网络空间安全漏洞将会危及国家安全、公共安全和经济繁荣”,必须“启动一个聚焦于网络空间安全意识、教育、培训和职业发展方面的综合性国家计划”,以保证“促进和加强全国范围内的网络空间安全力量,并建立一个灵活的、高度熟练的队伍以应对动态和快速发展的一系列威胁”。这标志着美国信息安全工作进入了一个新的里程碑时期,必将对其网间安全状况的改善、实现更加安全的数字国家、并在国际上占据主动优势地位产生深远的影响,值得我们深思和借鉴。
作者:黎妹红赵琳张大伟杜晔单位:北京交通大学计算机与信息技术学院北京交通大学国家保密学院
关键词:电厂 网络 教育培训
一、搭建网络教育培训平台的意义
(1)引进外部优质培训资源的需要
1.一是电力企业内部培训资源相对不足,不能较好满足安全、技能培训需要
电力单位工种多,如果配齐所有工种的培训师资、实习设备和场地,难度很大,也不现实。而电力远程教育网具有丰富的培训课程资源,如果能与企业培训资源结合使用,就能弥补一些专业、工种培训资源的不足,也可为同工种的培训提供更多可选择的培训资源,从而更好地为企业培训工作服务。
2.电力员工对职业技术教育、学历教育有广泛的需求
如果能够引进高校远程学历教育资源,就能有效减少工学矛盾,方便员工学习。根据电力企业员工培训相关规定,电力新就业人员(包括农民工)在上岗前必须进行1 年以上的职业技术教育,电力的班组长要求全部达到大专以上学历,安全生产管理人员、专业技术人员需要持续提升学历。这些需求都可借助行业协会、高校远程教育网络进行教学,使员工在提升素质方面能有更多的选择。
3.开拓电力经营管理人员和专业技术人员职业资格培训的方式
如电力安全生产管理人员需要取得安全资格证书,中、高层管理人员需要取得工商管理或职业经理人培训证书,专业技术人员需要继续教育合格证书等,而远程教育可以提供这些培训,使管理人员不出企业就可参加培训,从而节省很多时间,做到工作、培训双兼顾。四是电力员工更新知识的需要。电力管理人员、专业技术人员和一线操作人员需要及时跟踪学习电力新的科学技术,了解新法规、新理论、新设备、新技术、新工艺,而电力远程教育网络能够为企业打开一扇门窗,开辟一个经济适用的渠道,使员工不出企业就能了解有关知识和信息。
(2)整合内部优质培训资源的需要
目前,优质培训资源分布不均,他们都有各自的优势培训专业和项目,但也有劣势的专业和项目。尤其是一些小型电厂,培训资源不足,不能满足培训需要。因此,作为电力企业集团,有必要将企业现有的优质培训资源按专业进行统一整合,让企业最优秀的教师、最好的教材、最实用的培训方法、最先进的培训技术等借助远程教育网络培训平台,打破机构、单位、地域、时间的限制,使其在集团更大范围内发挥作用,达到优质资源共享,从而弥补一些单位培训资源的不足,优化一些单位的资源结构,加速电力先进知识、技术的培训普及,提升员工队伍素质。
(3)方便员工自主学习的需要
搭建起企业远程教育培训网络平台,在网上为员工提供电力各专业、工种、岗位所需的安全知识、岗位技能、学历教育、职业资格、继续教育等培训,员工既可通过参加培训班培训,也可利用业余时间通过个人上网完成学习,参加相应考试考核,取得资格证书、学历证书等,将会极大方便员工学习,减少对实体培训资源的依赖和对培训时间的占用,降低培训支出,起到常规培训难以达到的效果。这也符合人人、时时、处处享有学习资源,能够自主学习的学习型企业建设目标。事实上,电力远程教育网络已经具备这些培训功能,企业只要将网上培训资源引进企业,搭建相应平台就可实现这些目标。
二、搭建远程教育网络培训平台的途径
(1)建设远程教育网站
电力企业通过与行业协会、电力高校等远程教育网络资源的所有者签订远程教育网络使用协议,通过按期缴纳年费,获得远程教育使用权和建设企业远程教育网站权。根据协议,网络培训资源所有者负责向电力企业提供培训资源服务,电力企业在协议规定的范围内,获取使用网上培训课程、课件等资源,提供给培训机构、基层单位、员工个人。同时,电力企业应与网络拥有单位建立网上学历教育、职业资格等培训合作项目,充分依托远程教育网络拥有者的培训资质和学历教育资质等开展相应培训,使企业网站成为培训机构、电力高校的校外机构或远程分校,这样,远程教育网站的功能就能得到进一步扩展,成为空中大学、空中课堂,为高校架起通向企业的桥梁,为企业提供服务。
(2)组建企业远程教育编辑制作平台
电力远程教育网上资源如何得到有效利用,开通网络还不够,还要有一个中间转换、筛选、处理的环节来保证远程教育网站能够为受众使用。这个过程的实现由相应组织机构来完成:企业建立远程教育网站之后,要建立远程教育网站使用管理机构,负责管理使用网上培训资源:
1.要对远程教育网络资源进行下载、筛选、分类、编辑、储存等,为特定的培训受众提供简便、快捷、高效的网络培训资源。
2.合理编排布置网上面向大众、全天候的培训资源,包括合理规划编排培训内容、安排培训时间,及时更新培训内容,满足各种人群的培训学习需要。
3.要保证远程教育网络培训的互联、互动。远程教育网络培训平台,应以能够实现授课教师与受众、培训机构与培训机构、培训学员间的交流、互动为条件,这样才能保证远程教育作用的充分发挥。四是能够采编、录播授课实况和实现网络同步传输。
(3)搭建远程教育传送及终端接收系统
电力远程教育的终端用户应定位到什么程度,其实没有一个统一标准。根据电力安全生产的实际,笔者认为,电力企业远程教育网络培训平台的终端用户应包括:
1.企业的所有培训机构。这是实现培训机构资源互联、互通、共享的需要。
【关键词】 网络技术 教学计划 教学内容
【中图分类号】 G423 【文献标识码】 A 【文章编号】 1006-5962(2012)10(a)-0184-01
随着计算机网络技术的快速发展,计算机网络几乎教育的每一个环节都息息相关,从教育局域网的规划、组建、运行和升级维护,到教育网站的运行,从网络安全的管理到数据库管理、存储管理以及网络和人员管理等制度建立,都和计算机网络相关联。计算机网络这门课程的实用性很强,发展变化较快,新知识层出不穷。如何在有限的课时内让学生具有较强的实践操作技能,对广大教师来说是一个很大的挑战。这里以笔者在计算机网络实践教学中的教学计划与教学内容等方面的体会与大家做一探讨。
1 计算机网络实践教学的教学计划
计算机网络课程设计的目的是让学生综合利用所学的网络知识,解决一些实际问题。能够完成一些简单的网络管理、组建、维护等工作。
1.1 总体培养目标
旨在培养掌握局域网的组建、管理与维护,网络产品销售,信息安全保护,网络系统的规划与实施,特别是网络设备的安装、配置和调试等知识和技能的实用型人才。
1.2 专业培养目标
计算机网络技术专业人才的培养目标:面向政府机关、企事业单位、专业机构、IT公司、学校等,培养具有扎实的基本功、宽广的知识面、较强的语言应用能力和较高的业务素质的复合型、应用型人才。毕业生能从事网络管理、网络产品售前技术支持、网络产品售后服务、IT产品营销、信息安全服务、网络建设工程实施等技术性和操作性较强的工作
1.3 职业能力要求
掌握软硬件安装与配置、WindowsXP配置与安全管理、信息安全技术、Linux操作系统安装与配置、网络设备安装配置与调试、网络综合布线设计与施工、网络系统规划、网页设计与制作等专业技能。 掌握计算机网络原理、Internet应用技术、电子电工基础、Java面向对象程序设计、IT市场营销等专业基础知识。
在正式上课之前,还应对网络在实际中的具体应用、网络的发展概况、在网络应用中常出现的问题等进行详细分析,制订出切合实际的教学计划。在制订教学计划的过程中针对学生的知识基础和学习能力,将该课程中学生不易接受的内容转换成学生易接受的,并且侧重于锻炼学生的实际操作能力。
2 计算机网络实践教学的内容
众观国外网络安全意识培养与教育的各项规划和措施,我国网络安全意识培养的还处于起步阶段,缺乏具体的教育培养模式和实施措施。2014年2月27日网络安全和信息化领导小组的成立将经济、政治、文化、社会及军事等各个领域的网络安全和信息化作为国家安全未来发展的目标之一,也开启了推动国家网络安全和信息化法治建设,增强网络安全保障能力的里程碑。全国各地不断开展强化国民网络安全意识的主题教育活动,如北京确立网络安全日、国际网络安全大会召开、中国互联网安全大会、全国各大企业开展的网络安全论坛、全国各大高校申办的网络安全新专业等一系列的措施都已经展现出我国在大力提升全民对网络安全的认识,努力提高全民网络安全意识的培养。为了更好的推动全民网络安全意识提升,我校在2014年首设网络安全与执法专业,此前我们的专业培养目标是网络安全与计算机犯罪侦查方向,多年的教学理念使得我们在开展相关专业学生教学过程中,为培养对象探索一种基本专业课程体系教育为核心引导的网络安全意识培养模式,进一步深化专业大学生网络安全意识的强化与养成,提升专业大学生的网络安全意识的思维,同时对于创新相关专业的学生培养模式引出新内容新思路。
2高校大学生网络安全意识培养的重要意义
许多的调查数据表明,网络安全问题大多都是由于管理措施不力、安全配置不正确等网络安全意识不强的原因诱发,在多数情况下网络安全问题已经不再是技术难题而是安全意识问题。例如:很多个人网络用户使用的网络虚拟身份的密码设置安全系数过低,个人信息不慎重,网络浏览痕迹不清除不处理等基本网络安全保护意识缺乏。一个只认为管理和技术就可以安全实现网络安全的人不会在思想上意识到网络安全的重要性,也就无法树立牢固的网络安全意识。而网络安全意识的培养与强化能够缓解和避免网络使用过程中安全威胁、安全隐患给人们社会生活带来的不利影响。高校大学生是网民别的一类群体,他们获取知识信息量大且要求较高,作为年轻人,其贴近时尚,追求新事物,学习新科技,掌握新手段,领悟新知识都十分迅速,同时也是培养个人意识形态与习惯的最好阶段,高校大学生是未来国家网络安全建设的主力军,也是未来网络信息的管理者与使用者,强化和提升高校大学生网络安全意识培养,提高高校大学生网络安全技能,会使得很多的高校大学生在步入社会后已经掌握了网络虚拟社会中的安全防范方法,拥有网络安全意识习惯,对于保护个人、企业、事业和国家的安全都有着十分必要的意义。
3依托专业课程提高大学生网络安全意识
3.1专业课程是大学生教学体系中的核心重要内容
很多的高校开展教学过程中已经依据自身的培养目标建立了完善的教学体系,我校多年来已经形成了有着自身特色的教学模式,并针对各个专业制定了相应的培养方案,大多数专业的教学模式主要分为公共必修、法律知识、警务技能、学科基础、专业课程、实践教学等多个模块。其中专业课程是各系部根据行业对人才能力标准的要求选择开设的课程,这些专业课程的教学是专业人才培养的核心。随着近年来国际上众多国家对网络安全及其相关建设的重视,我们国家也更加进一步提出了加强“网络强国”建设的目标,与此同时开展全方位的制度、技术、文化、设施、人才等方面任务的实施。这为我国高等院校特别是对于院校中相关专业的发展也提出了明确的发展方面。公安信息系是我校成立十多年系部,多年来一直设立网络安全与计算机犯罪侦查专业,2014新设本科专业网络安全与执法,专业教学要培养能在公安机关网络安全保卫部门及相关领域从事与预防网络犯罪、控制网络犯罪和处置网络犯罪相关的执法工作的应用型公安专门实战人才。在制定这些专业学生的培养计划时我们设立了《恶意代码分析与防范》、《网络安全技术与防范》、《信息网络安全管理与监察》等专业核心课程,这些专业课程的设立、教学内容的选择、教学方法的实施不仅培养了大学生理论知识和实践实训能力等专业能力,同时也为加强大学生网络安全意识的养成奠定了基础。其中《网络安全技术与防范》是专业培养方案中的重要核心专业课程,其在实现学生素能培养方面有着十分重要的作用,多年来教学目标定位以掌握网络安全相关技术为主线,强调实践应用型技能素质培养,在一定程度对于网络安全意识培养重视不够。为更好的依托专业课程教学过程强化大学生网络安全意识,培养大学生网络安全优质习惯,我们将针对培养对象制定培养目标,不断努力探索提高大学生网络安全意识的方法与措施。
3.2依托专业课程提高大学生网络安全意识的方法
网络安全意识的培养是体系化过程,教师要依托专业课程这一核心,加之课余时间开展一系列其它形式的活动,达到提高大学生网络安全意识的目标。目标完成的主要方法以下三个方面。
(1)在专业课程教学过程中由浅入深的强化网络安全意识提高大学生网络安全意识有效的方法是将教育内容纳入学校所授课程中,其中《网络安全技术与防范》、《恶意代码分析与防范》等专业课程的教学过程一般分为理论教学内容和实训教学内容,授课过程中主要要求学生掌握网络安全相关技术理论知识外,在实训操作环节注重技术实际应用的理解和训练,通过理论讲授教学与实训操作训练相结合把难于理解的技术理论知识在实训操作训练过程中加深理解,从而通过整个教学环节由浅入深的强化网络安全意识。比如,我们在给学习讲解计算机操作系统策略篇配置过程上账户策略时,不但要求学习学习、理解和掌握账户策略在配置与使用在保护计算机系统安全体系中的重要地位,还要让学生真正理解“密码必须复合复杂性要求”或“账户锁定阈值”等内涵内容在实际应用中的重要意义和主要做法。
(2)针对学生兴趣加强宣传,组织形式多样的教育活动教育宣传活动的展开是扩大大学生网络安全意识教育受众面的最佳途径。一是开展专题讲座;专题讲座可以由学校相关管理部门组织,骋请校外或行业相关领域的专家主讲,以网络安全前沿动态、技术以及网络安全方面的精彩事件或案例,并结合最新发展的网络安全技术、工具使用、网络应用等方面知识开展专题式教育。二是开展网络安全知识、技能及意识普及活动,依据主题活动目标,通过问卷访问、演讲、海报、游戏、竞赛等多种多样的形式提升大学生网络安全意识。三是设立网络安全学习专题的网站,网站建立是新媒体形态下知识传播的良好方式,网站中通过文字、图片、视频等多种形式除了展示网络安全事件、普及知识,还可以介绍新技术、新动态,网络安全学习专题网站不仅给建立、维护网站的学生提供学习的机会,同时也给广大同学了解网络安全新事物,学习网络安全知识搭建了平台。
(3)组织学生参加网络安全技能大赛全国很多高校或单位积极组织形式多样的网络安全技能大赛,如单兵挑战赛、分组对抗赛,这些是很多高校大学生都希望踊跃参加的一种课外网络安全类科技活动。通过组织在校学生参加全国范围或省内各地高校大学生展开的网络安全技能大赛的过程,遴选、训练、指导参赛学生,在参加技能比赛的过程中能够培养高校大学生的实践创新意识、动手操作能力、团队协作精神、网络安全技能等多方面素养。这些不仅能够推动高等院校网络安全专业学科体制和课程内容的改革,加强网络安全实践类课程体系建设,对于推动高等院校实施素质教育,培养网络安全类专业技能人才,积极响应国家网络安全重点发展的战略规划起到重要的作用。
(4)成立网络安全学生社团学生成立网络安全社团是在课堂之外有组织的一种开展教育群体性教育活动的基础,在社团中可以通过开展形式多样的主题活动,如网络安全知识研讨;组织网络安全知识竞赛;开展校园内网络安全知识调查;参加国家、省部级等相关部门、院校组织的网络安全大赛等多种多样的内容与形式,进一步培养大学生的网络安全意识,提高学生网络安全技能。网络安全学生社团是学生组织的团体性组织,不同年级不同专业的学生都能参与,同学们加入一个团队,集思广义,深入讨论。不但能加大学生学习研究的兴趣,而且能够扩大网络安全意识养成的受众面,让网络安全知识以快乐而又自然的方式在大学生活中传播。
4结论
关键词:水电站;梯级调度网络;管理
1运行管理的安全原则
(1)制定并不断完善公司专用的安全策略。为了保护网络安全,最重要的事情就是编写安全策略,描述要保护的对象,保护的理由,以及如何保护它们。安全策略的内容最好具有可读性,同时,注意哪些是保密的,哪些是可以公开的。此外,应严格执行。最后,必须随时保持更新。
(2)安全防范应基于技术、动机和机会3个方面考虑,以减少攻击者的成功率。从技术上讲,系统应同时需要相当高的通用技术和专用技术,从而避免不同级别的人员滥用系统。攻击者的动机方面,应消除攻击者的满足程度,使其感到受挫。每次攻击失败时,安全系统让攻击者移动到网络系统的其它地方,使攻击者工作很辛苦。
(3)应尽可能少地向攻击者提供可攻击的机会。首先关闭不用或不常用的服务,需要时再打开。第二,访问控制权限的管理应合理。第三,系统应能自我监视,掌握违反策略的活动。第四,一旦发现问题,如果有补救措施,应立刻采用。第五,如果被保护的服务器不提供某种服务,如FTP,那么,应封锁FTP请求。
(4)安全只能通过自己进行严格的测试,才能达到较高的安全程度。因为每个人都可能犯错误,只有通过完善的安全测试,才能找到安全系统的不足。要做到主动防御和被动防御相结合,应能提前知道自己被攻击。如果知道自己被攻击,其实已经赢了一半。安全系统不但防御攻击者,同时防御他们的攻击。因为攻击者经常失败后就换个地方,再次实行新的攻击,因此,不但防御攻击的源地址,同时防御主机周围灵活选择的范围。
(5)战时和训练相结合,也就是说,主动防御必须严格测试,并不断改进。同时,安全软件的选择应基于应用的重要性和产品的更新周期,保证安全系统应能跟上新技术的发展。应经常维护、定期测试和检查防御系统的每一个部件,避免安全系统的能力退化。
(6)在企业内部,应让每一为员工都深刻理解安全是大家的事,不是口号,而是警告,安全和业务可能有冲突,最好能够得到领导和业务人员的理解和支持。安全管理过程中,对人员的信任应合理、明智,不能盲目信任。在企业的安全防御系统中,除了采用常规的防御方案,应尽可能采用一些适合行业特点的新方案,对攻击者而言,也就多了一层堡垒。要有运行规范,包括管理制度、审计评估、网络安全规划、工程管理、安全监督和灾难恢复。
2运行管理的组织结构
为实现整个梯级调度的网络安全,需要各种保证网络安全的手段。网络安全功能的实现,必须从安全管理功能和管理员的职责上结合。企业的调度中心的信息部门应成立安全系统运行小组管理整个安全系统的运行,负责完成全企业的安全系统总体运行方案的编制,负责安全管理中心的建设,制订全企业范围的安全管理规范,对相关人员进行基本培训,指导各电站(厂)完成其安全系统的运行。应有专人负责网络安全,成立网络安全管理组,其成员包括领导、系统管理员、网络工程师以及网络安全专家等组成。
3运行管理的培训支持
3.1建立安全教育培训体系
为企业建立信息安全教育培训的制度,包括安全教育政策制订、安全教育计划制订和安全教育实施支持方案。此外,文档包括《企业信息安全组织管理》、《企业信息安全人员岗位指南》和《企业信息安全教育培训体系》。
3.2提供教育培训课程
(1)安全基础培训。
对象:企业全部与网络安全相关的人员。
容:系统安全、网络安全及增强安全意识的重要性、主要网络安全威胁、网络安全层次、网络安全度量、主机安全、黑客进攻步骤、安全防范措施和商用安全产品分类等。
目标:增强系统管理员的安全意识,基本了解安全的实际要领,能够分辩出系统中存在的安全问题。
(2)Unix/Windows系统安全管理培训。
对象:公司安全相关的系统管理员。
内容:掌握Unix/Windows系统的安全策略,常见的攻击手段分析,各种流行安全工具的使用,在实验环境中实际编译、配置和使用各种安全工具。
目标:能够独立配置安全系统,独立维护Unix/Windows系统安全。在没有防火墙的情况下,使Unix/Windows系统得到有效的保护。
(3)防火墙、入侵检测、安全扫描、防病毒和加密等技术方面的培训课程。
对象:企业的安全运行和管理人员。
内容:安全软件和设备的基本概念和原理、作用与重要性、局限性、分类、安全设备安全策略、设计、自身的安全与日常维护、安全设备代表产品的演示和上机。
目标:了解Internet防火墙的基本概念,基本原理和基本的设计方法。能够对安全设备作日常维护。能够根据系统需求,做出相应的安全设备设计。能够对现有安全产品有一定的了解。
要求:具有基本UNIX/Windows, TCP/IP的知识,了解网络设计常识。
(4)安全开发培训课程。
对象:应用系统设计开发中与安全相关的人员。
内容:TCP/IP协议和传统Socket编程、IPSpoofing的详细剖析、StackOverflow的详细剖析、其他流行进攻方法IP Sniff: Sniff, Deny of Service,Connection Killing, IP hijacking等的解释、并配有实验。
目标:使系统管理员掌握黑客进攻的手段、原理和方法;并能在实际工作中保护系统的安全性。
3.3安全人员考核
协助企业建立信息安全人员考核体系,包括制订信息安全人员考核标准和建立安全相关人员定期的评估和考核制度。此外,文档包括《企业信息安全人员考核体系》。
4运行管理的技术服务
可选择一家正规的、专业的、技术实力较强的公司,长期面向企业提供安全运行的技术服务,具体来说包括:(1)在IT行业,网络安全具有自己的特点,即黑客攻击随时可能进入,新病毒每天都在产生,也就是说,没有绝对安全,安全是一个不断完善的过程。(2)水电站的控制较复杂且系统很多,地域较广,而安全涉及到的产品也很多,集成商将它们实施后,必须有一个安全小组来负责安全的运行。(3)安全的运行也需要经验和规范,专业服务公司可以协助公司保证网络安全系统的成功运行。(4)企业的信息系统的建设过程中,新系统不断加入,需要对安全重新进行评估和漏洞扫描,找出问题,并及时给以解决。(5)安全的培训和宣传工作也很重要,工作量也是相当大的,最好有比较固定的人员和机构负责安全的培训。(6)安全产品包括软件和硬件,当产品升级时,公司最好及时升级,尤其是病毒防御。
企业所选择的专业安全服务公司的服务程序是:首先,从安全系统的实施开始介入,监督系统的可管理、可运行,保证系统可以从系统实施平滑到系统的运行。其次,安全相关的新技术和新产品的跟踪,并定期向企业报告,协助企业采用新技术和新产品。再次,完善企业的安全运行规范和制度,制定出一套适合企业的简洁的、实用的安全规范和制度,避免纸上谈兵。安全涉及的软硬件产品的技术支持,保证安全系统7X24运行。全产品升级过程中的方案设计、测试和技术支持。最后,整个安全系统运行过程中的风险管理,以及避免/降低和解决风险措施的制定。负责安全系统相关的培训工作,有计划、有目的地提高企业的安全意识和安全水平。
参考文献
[1]国家电力监管委员会.电网二次系统安全防护规定[S],2005. 2. 1
一、指导思想:认真落实浙政办发[xx]39号中《农村中小学教师素质提升工程实施办法》、《浙江省教育厅关于实施农村中小学教师素质提升工程的通知》(浙教师[xx]151号)、《镇海区开展农村中小学教师素质提升工程全员培训的指导意见》精神及相关计划,以“面向全体、突出骨干、追求实效”为原则,以“新课程、新理念、新技术”为重点。通过培训进一步提升我镇教师利用信息技术进行学习与教学的水平,促进我镇的可持续发展。二、培训目标要求:1.通过培训,进一步巩固和深化我校教师新课程培训成果,确立利用新技术和网络环境实施教育教学的理念。2.通过培训,进一步提高我镇教师利用信息技术进行学习与教学的水平,根据教育教学发展的要求和教师专业发展的需要,积极开展学习和讨论,把自己在课堂教学、学生管理和参加培训学习的收获提供给一线教师,实现信息资源共享。3、校本培训的内容主要针对教师专业发展与教学实践需要,努力提高教师掌握和运用专业知识的能力和水平,以课堂教学实践,网上学习、交流,专题竞赛为主要形式。三、培训对象:我镇全体在职教师(已参加省、市级及以上骨干培训的教师可以不再参加本地的集中理论培训,但须参加校本培训,并发挥引领作用。)四、培训内容:1、《信息化、网络学习与现代教育》2、《个人工作室(blog)的建立与应用》3、《计算机网络信息安全知识》4、《网络学习与研修(实践篇)》5、《信息技术在学科中的应用》五、培训形式和学时安排:结合我镇实际,采取集中培训、骨干、分学科和校本培训以及个人自学相结合的方式进行。《信息化、网络学习与现代教育》、《个人工作室(blog)的建立与应用》、《计算机网络信息安全知识》采用集中培训形式;《网络学习与研修(实践篇)》由进修学校对我镇骨干教师进行培训,在骨干培训基础上,负责组织对全镇教师进行培训。《信息技术在学科中的应用》由各学科分别进行培训。集中培训、骨干培训由区教师进修学校负责实施。集中培训力求做到精心组织,全员参与,严格考勤,努力提高培训的针对性和实效性。 在进行校本培训时,结合实际制定切实可行的《e环境下的中小学学科教学专题研修》课程校本培训计划,结合学习资料帮助教师理清学习的重点与难点,加强学习指导,督促教师做好读书笔记和进行实际操作培训,强调教师的自主学习,重视教师的实践反思,精心组织校本培训活动,让教师通过培训和实际操作对信息技术在学科中的应用能力有较大提高。五、培训安排 1、准备阶段(xx年4月-----xx年5月)。主要工作: a、针对我镇教师目前对信息技术掌握现状,确定具有本校特色的培训内容、培训形式,制定《e环境下的中小学学科教学专题》课程全员培训课程培训计划。 b、制定《e环境下的中小学学科教学专题》课程培训考核表。 c、根据《镇海区开展农村中小学教师素质提升工程全员培训的指导意见》和《e环境下的中小学学科教学专题》课程全员培训计划,结合学校实际,制定本校培训计划,并在xx年5月20日前报镇海教师进修学校审核确认。 d、选派《网络学习与研修(实践篇)》校本培训骨干一名(曹益伦),在xx年5月20日前报镇海教师进修学校审核确认。 2、实施阶段(xx年6月--xx年8月)。主要工作:a、组织骨干培训(进修学校)。(xx年5月底)时 间培训地点培训对象主 讲5月30日教师进修学校曹益伦郑国平;张 谊b、组织集中培训(进修学校)。(xx年6月底至7月初)时 间培训地点培训对象主 讲6月24日上午(8:00-11:00)骆驼中心学校报告厅我镇全体在职教师谢敏海;邬卫东;樊耀州c、组织校本培训。从xx年6月至8月,认真实施学校《e环境下的中小学学科教学专题》课程校本培训计划,精心组织两次校本培训活动,重点围绕《网络学习与研修(实践篇)》,组织教师进行理论学习和实际操作培训,联系各校实际进行交流研讨,重视本培训的过程管理。每位教师至少上交三次培训作业,作业内容参考本培训计划中的附件三《e环境下的中小学学科教学专题研修》培训指南。把培训教师的出勤和业情况及时记录在培训考核表上,并按要求上交培训考核表。具体培训进程、内容:①、5月份制订专题培训实施计划;②、5月下旬辅导员(曹益伦)参加区级培训;③、6月上旬开展第一次校本培训,并做好资料整理归档工作;培训内容:《e环境下的中小学学科教学专题研修》培训指南——第一部分“理论篇”; 《网络学习与研修(实践篇)》;发放“教师按需培训学习调查表”;建立学困人员专人帮困机制;完成作业1;④、6月中旬开展第二次校本培训,并做好资料整理归档工作;培训内容:《e环境下的中小学学科教学专题研修》培训指南——第二部分“操作篇” (结合“教师按需培训学习调查表”统计情况调整培训内容);《信息技术在学科中的应用》(分学科培训);完成作业2;⑤、6月下旬参加区级集中培训;培训内容:《信息化、网络学习与现代教育》、《个人工作室(blog)的建立与应用》、《计算机网络信息安全知识》;完成作业3;
共2页,当前第1页12
关键词: 高职教育; 应用型人才; 司法信息安全; 人才培养
中图分类号:G710 文献标志码:A 文章编号:1006-8228(2014)10-30-02
Discussion on applied talent cultivation of judicial information security
Huang Shaorong
(Guangdong Justice Police Vocational College, Guangzhou, Guangdong 510520, China)
Abstract: Based on analysis of the social demands for information security talents, the importance of training applied information security talent is pointed out. According to the characteristics of the judicial information security talents of vocational education, some advice is presented in curriculum system, construction of teachers and professional certifications. Its cultured goal is to train higher technology applied talents that are needed, good at theory and application.
Key words: higher vocational education; applied talent; judicial information security; talent cultivation
0 引言
在云计算和大数据技术快速发展的形势下,信息安全问题日显突出,信息安全形势持续恶化,信息安全事故不断发生,信息安全建设已经成为维护国家安全和社会稳定的一个焦点。目前,我国信息安全产业已经取得巨大成果,国家已制定了互联网方面的法律、行政法规、部门规章与地方性法规270多部,对信息和网络安全保护起到一定的作用,但信息安全形势仍然严峻,主要存在的问题包括:信息安全技术发展和相关法律法规制订滞后、信息安全科研和教育落后、信息安全人才存在巨大缺口[1]。信息安全专业人才是当前社会急需的专业人才,在许多领域需要大量掌握直接技能型知识、有更具体实践能力、动手能力强的应用型专业人才。因此,高职院校应加大信息安全人才培养力度,积极培养有良好职业道德和法律意识、有全面信息安全专业知识、能够防范计算机犯罪的专业执法人才和计算机网络应用与安全管理方面的应用型技术人才。
1 司法信息安全专业特点
“七分管理,三分技术”,信息安全不仅是单纯的技术问题,而是法律、管理和技术等问题相结合的产物,法律和管理在司法信息安全专业中发挥着重要作用。在对社会需求、行业需要、就业市场进行广泛调查,明确了人才需求情况的基础上,浙江警官学院、广东司法警官职业学院和北京政法职业学院等警察类高职院校先后开设了司法信息安全专业。
司法信息安全专业主要面向政法机关、行政机关和各类经济管理部门,以及企事业单位的网络管理中心、信息中心和信息安全部门,培养能够从事计算机信息管理与维护、网络管理与维护、信息安全设备维护和数据库系统的开发与维护等技术工作和信息安全管理工作的人才。该专业的学生不仅要有信息安全技术专业知识,而且要有法律法规等多方面的素养,毕业后能够在政府部门、商业、军事等信息安全防范工程应用领域及信息安全防范工程行业的企、事业单位从事网络信息安全工作。
司法信息安全专业的学生通过三年学习,必须具备如下三方面的能力。
⑴ 基本素质 具有较强的思维能力、语言文字表达能力和应变能力;具有良好的沟通、协作和公共关系协调能力;具备一般军事队列指挥、擒拿格斗、防身自卫及机动车驾驶等警体技能;具有较高的英语应用能力。
⑵ 信息安全处理能力 ①计算机操作能力:具有较好的专业理论基础和较强的计算机安全意识,能够操作和维护计算机信息系统。②信息安全和网络安全维护能力:掌握网络的基本原理,熟练应用网络安全防范技术、信息处理技术,能进行网络设备的日常维护、局域网络的设计实施和网络安全的监测及防范工作。③数据处理等能力:具有一定的数学推理和编程能力,能够用数据库解决基层部门的数据统计、管理等问题。
⑶ 法律与警察岗位基本能力 掌握我国有关计算机信息系统安全保护的法律、法规,具有较高的执法能力;掌握计算机与计算机安全犯罪的特点,能够主动采取相应的技术防范措施。
2 课程体系建设
司法信息安全专业培养的是法律与信息安全的复合型、应用型人才,围绕司法信息安全专业的核心目标以及毕业生的能力要求,课程体系设置必须以“强化能力,突出应用”为思想,以就业为导向,以岗位职业能力为主线[2]。我们根据社会需求设计课程体系和教学大纲,及时引入行业的最新技术,突出职业教育的应用实践性。注重法律基础知识,突出信息安全技术的专业性。
司法信息安全技术课程群建设可以从法律和信息安全技术专业的课程上进行外延和拓展,课程体系的设置可分为基本素质课程、职业核心能力课程、专业基础课、专业核心课程和拓展课程等。
⑴ 基本素质课程 包括大学生健康教育、大学英语、大学语文、形式逻辑、思想道德修养与法律基础、思想与理论体系概论、廉政教育、大学生就业指导、形势与政策、普通体育、警用枪械。
⑵ 职业核心能力课程 包括职业沟通、司法口才、礼仪训练、毕业项目设计与论文。
⑶ 专业基础课 包括法理、刑法、宪法、刑事诉讼法、网络信息安全法规、高等数学、计算机导论、数据结构、操作系统、多媒体技术及应用、计算机组装与维护、程序设计、数据库技术与应用、安全防范技术与应用、动态网页设计。
⑷ 专业核心课程 包括计算机网络技术、信息安全技术应用、网络监控、电子取证、加密技术。
⑸ 拓展课程 包括软件工程、网站建设与维护、信息检索技术、警察业务、应用文写作。
这样培养出来的学生即能从事法律方面的工作也能从事信息安全技术方面的工作,为学生提供了更多的就业机会和进一步的发展空间。在教学时间安排上,由于教学内容比较多,课内教学时数中包括有大量的实践性教学,实践课教学时数占总学时数50%以上[3]。
3 实践教学体系建设
司法信息安全是一个实践性非常强的专业,许多安全技术和方法必须在实践过程中才能认识和掌握,实验、实训、实习是实践教学的三个重要环节。在课程体系建设中,为了突出高职教育的应用性,我们开设了大量的实践类课程,包括计算机组装C语言程序设计实践、数据结构实验及课程设计、操作系统课程设计、数据库实验及课程设计、计算机网络技术实验、网络课程设计、网络安全技术仿真实验、网站建设综合实训等[4]。
高职院校的实训中心是组织实践教学、强化技能培养、实现人才培养目标的重要场所。为切实保障实践教学的顺利进行,给信息化人才提供先进的实践场所,必须完善专业核心能力培养所需场地与设施,积极推进实训基地建设,建立信息安全综合实训中心(包括信息安全综合实训室、网络安全攻防实验室、网络应用实训室、数据分析综合实训室、电子物证鉴定设备、电子商务实训室、计算机基础实训室、电子数据取证实训室等)和提高司法能力的实训环境(如三维模拟监控实训室、模拟监所现场、亚伟速录室、模拟法庭、安全监控实训室、刑事照相实验室等),形成系统的实训环境。
对于比较复杂的信息安全实验,需要的设备较多,如果目前的教学条件不能满足大量学生进行并发实验,也可以采用虚拟实验,借助多媒体、仿真和虚拟现实等技术在计算机上营造可辅助、部分替代甚至全部替代传统实验各操作环节的相关软硬件操作环境,学生像在真实环境中一样完成各项实训任务[5]。
加强校内实训的同时还要进行校外实践,学校应积极与企业合作,建设稳固校价企合作关系,联系定点的对口实习机构,或者建立校外实训基地,有计划地安排学生到实习机构或实训基地进行专业实践,配备校外指导人员,对学生实训、实习进行指导和考核,把实践性教学落到实处。同时引导建立司法行政单位、公安机关和企事业单位接收毕业生实习的制度,为学生实现教学与实习结合提供条件,实行“教学实习+顶岗实习”的实习模式,为培养学生的职业素质和职业能力提供了有效的保障。
4 师资队伍建设
教师资源是学校办学资源中最为关键的部分,建设一支双师型的教师队伍是高职教育发展必不可缺的重要条件[6]。信息安全技术快速更新,这就要求专业教师要掌握信息学科的多个领域及物理等学科的知识,而且还要不断跟踪信息安全的最新动态。学校应组建一支结构合理的司法信息安全教学团队,促进校内司法信息安全专业建设,为专业教师提供技术培训和进修学习的机会,及时派送教师进行行业培训以及参加各种学术交流会议,不断提高专业水平,更新知识结构和内容,同时要求教师积极参与科研,倡导教师之间互相学习、集体备课、讨论交流,进一步提高教学能力。为了提高教师的动手能力,学校还要有计划地选派专业教师到企事业单位进行挂职锻炼或顶岗实践。此外,也可邀请企事业单位一线专家、技术人员到学校承担一定的教学任务,指导学生实践操作,定期为学生开设讲座或座谈会,拓宽学生的知识面,提高学生综合素质。
5 引入职业资格认证
由于专业设置的特殊性,要求本专业的毕业生除了掌握信息安全防范技术的专业技能,还需要具有相应的IT行业从业资格。在国家职业大典中,网络信息安全行业的职业资格有网络技术人员、网络管理员、网络工程师、安全防范评估师、信息安全工程师、数据恢复工程师等,国家颁发相应的职业资格证书。高职院校应结合专业,引入适合的职业资格认证,同时跟企业合作,完成订单式人才培养计划,通过职业资格认证+订单培养,充分培养学生的职业能力[7]。
此外,为了提高教学质量,还必须在以下几方面继续改进:
⑴ 改革教学方法,以精品课程、视频公开课教学等方法推动项目驱动教学法、分层教学法、任务实训法、案例教学法和研究性教学法广泛采用,建立视频网站和教学资源库,进行交互教学,与课堂教学形成互补。
⑵ 以工作流导向的实训课程教学体系为基础,建立课程配套教学资源库,并以课程改革推动教材建设,编写基于工作流导向的任务式实训模式教材[8]。
⑶ 鼓励学生参加技能大赛,突出学生的面向应用实践能力,提高学生学习积极性。
⑷ 改进课程考核方式,实现无纸化考试,重点测试学生对知识的应用能力,以职业资格认证代替学科考试。
6 结束语
信息技术的高速发展,需要越来越多的信息安全专业人才,对其岗位能力的要求也越来越高。警察类高职院校必须从发展的角度来审视司法信息安全专业,时刻关注相关专业领域发展趋势和热点,加强高职司法信息安全专业标准订制、课程体系建设、实践教学体系建设、教学模式改革、师资队伍建设和实训基地建设,注重工学结合,与企事业单位形成良性互动,不断改进人才培养模式,提高人才的理论水平和实践技能,培养出真正符合社会需求的理论水平较高、实践能力强的高等技术应用型司法信息安全专业人才。
参考文献:
[1] 刘任熊,李畅.高职院校信息安全专业人才培养初探[J].江苏经贸职
业技术学院学报,2007.2:79-81
[2] 于璐.高职信息安全专业应用型人才培养模式探讨[J].太原城市职业
技术学院学报,2011.6:26-27
[3] 陈晓明.信息类技术专业课程设置分析与实现―以“司法信息技术”
专业建设为例[J].计算机教育,2010.14:56-60
[4] 蒋文保,李忱.高校信息安全专业应用型人才培养模型探讨[J].信息
安全与通信保密,2007.9:172-175
[5] 郑洪英,廖晓峰,李传冬等.设置信息安全专业教学体系的探讨[J].教
育教学论坛,2012.9:114-115
[6] 李振汕.高职信息安全技术专业课程体系的开发和设计[J].职业时
空,2011.7(6):33-35
[7] 沈洋.高职院校信息安全人才能力培养的研究与实践[J].厦门城市职
业学院学报,2012.14(2):13-16
内容提要: 网络空间中培训黑客技术的行为,具有巨大的社会危害性,由此导致计算机犯罪趋于成为低门槛、低龄化、产业化的普通犯罪,故而作为一种根源性行为的培训黑客技术行为,应当加以格外的关注。但是,无论是依据现行刑事立法还是传统刑法理论,都难以全面评价和制裁培训黑客技术的行为。本文认为,刑事立法上对于培训黑客技术行为加以评价的核心,是行为性质从“传授”向“传播”的转变,也是行为核心从“犯罪方法”向“‘双刃剑’技术”的转变;在此基础上,应当全面思索刑法干预的提前化和视角转换问题,从而增设新罪名,兼顾化地实现对于“技术传播”行为的保护和对于“技术滥用”行为的制裁。
在计算机犯罪爆炸式增加和传统犯罪网络异化的大背景下,计算机犯罪的门槛大幅度降低,开始由精英犯罪蜕变为平民犯罪,这是值得关注的巨大特点,而造就、推动这一现象形成的始作俑者便是黑客培训学校。”黑客学校的快速出现和泛滥,引发的不仅仅是黑客技术的传播,背后更是网络违法犯罪的快速增加。当前,利用网络传播黑客技术的现象十分普遍,在网络搜索引擎中输入“黑客培训”、“黑客辅导”,很快就会得到上千万条资料,例如,“黑客网站——大型专业级黑客学习培训基地”,等等。可见,黑客学校传播黑客技术已成为一种网络常见现象。但是,面对黑客学校的社会危害性,现行刑法却难以有效地进行调整和干预。形成这一司法尴尬的根本性原因,一是刑事理论界和实务界没有深刻认识到黑客学校的巨大社会危害性及其对于刑法传统理论的冲击,二是关于黑客学校的法律性质基于现行刑法规范存在着难以评价之处。
一、黑客培训学校的运作模式及其危害性
随着网络的普及以及部分网虫对黑客技术的青睐,使得各种“黑客培训班”、“黑客学校”开始兴起和风靡。伴生而来的涉及“黑客学校”传授黑客技术的案件愈来愈多,对于“黑客培训班”通过网络来传授木马编程、挂马、入侵、免杀、黑站并提供各种工具的行为,例如部分网站提供木马下载、木马免杀免疫功能下载,还配有最新脱壳破解培训班教程、最新黑客攻防班教程、网银终结者木马免杀与网马制作教程等各类“黑客培训”信息,应当如何处理,无论是在中国还是其他国家,都处于刑事立法和司法的打击半径之外,更处于刑法理论的真空地带,但是,此类案件的爆发态势,导致司法实践已经到了无法回避的地步。
(一)黑客培训学校的现状解析
近年来,每逢暑假,培训黑客的活动就进入一个高潮,公然教授黑客技巧,并以此来为所谓的“培训班”收费,巧立名目型、“挂羊头卖狗肉”式的广告从网上的社区、论坛蔓延到城市的街头,并以各种各样的优惠和诱惑,大肆招揽所谓的“黑客爱好者”。”这些黑客培训班的授课内容几乎囊括了各种病毒、木马制作技术和各种网络攻击技术,培训价格则由数百元到近万元不等。⑶透视中国黑客学校培训内幕,不难发现,问题的严重性非法典型地体现为黑客培训的产业化、专业化、广泛化。
1.黑客学校的培训类型
依据传授黑客技术的手段和所处的物理空间等的不同,可以大致将黑客培训学校的培训方式分为以下几类类型:
(1)开设黑客网站,讲授相关技术知识并提供黑客工具。黑客培训班的课堂主要依靠网络,在百度等知名搜索引擎上,输入黑客技术、黑客培训等关键字都可以点击近百个黑客培训网站。这些黑客学校通过在网上申请免费空间开办黑客网站,并以营利为目的,公然在网上招收学员,传授电脑黑客技术。在黑客网站上,黑客培训项目、收费标准等一应俱全,学习时间按照不同标准设置为设为短期、长期等类型。这些网站主要向会员传授成为网络黑客的技巧和方法,教授人们盗取别人银行账户密码以及网络游戏账户、密码,偷取别人电脑的数据资料。尤其值得关注的是,很多黑客培训网站都采用传销的组织模式:高级黑客成功培训徒弟后,再安排徒弟发展下线,组织非常严密。⑷例如,某“爱国者黑客”网站“学校”规模惊人,会员遍布各地,网友一旦成为“爱国者黑客”网站的vip会员,就可以享受在该网站免费下载各类黑客人侵教程的便利。⑸黑客网站向不特定学习者传播黑客技术,因此传授方式大多为“一对多”的传播。值得注意的是,某些黑客学校既在网上开办网站进行网上教学活动,在网下又租用一定场所进行现场教学,“爱国者黑客”学校就是如此,网站创办者李某在2003年11月,他开办一个“爱国者黑客黑鹰基地”论坛,并以营利为目的,公然在网上招收学员,传授电脑黑客技术,办公地点在某小区的居民楼内,其中一间房就是专门培训学员的地方,内有十台电脑。在2006年受到公安机关查处后,李某干脆将培训机构由地下转为地上,成立了河南许昌市黑鹰科技有限公司,对外号称从事互联网安全业务,网站实名为爱国者安全网。⑹
(2)利用qq或qq群等即时通讯软件或者电子邮件等方式传授。对于利用qq及电子邮件进行一对一交流的,被传授者是特定的。而利用qq群传授黑客技术的行为,与庞大的黑客培训网站相比,以qq群为模式的黑客培训班显得像散兵游勇,但是数量众多。通常的“培训”模式是:组建一个qq群,把木马软件放在空间里面,学员可随时下载,并请教群主。此类黑客简易课堂收费也相对低廉,通常也只需要百元左右。⑺
(3)技术论坛以及贴吧。在百度的贴吧上,有专门的黑客吧,其中,有不少人声称自己对学习黑客技术感兴趣,一些人想要成为黑客;与此同时,另外一些人在bbs等公共交流模板上发帖,讲解黑客技术,黑客技术学习的文章并提供黑客软件下载链接。随意浏览一些网络的技术论坛,可以发现,类似黑客高手“招生”的留言比比皆是。此类“黑客培训班”的招生大部分是以青少年和学生为目标,大都声称学费低廉,采用灵活的网上授课方式,并赠送各种黑客工具包,甚至提供网络攻击服务。⑻
2.黑客学校的授课内容
网上黑客培训班的名目繁多,有“网络安全基础班”、“中级黑客溢出班”、“高级脚本入侵班”、“木马专项班”、“软件破解班”、“软件免杀班”等,不管是windows系统还是lunix系统,黑客学校都有黑客技术传授。⑼这些“黑客培训班”的授课内容几乎囊括了各种病毒、木马制作技术和各种网络攻击技术,包括入侵系统与防御、盗qq号、简单的病毒制作、游戏账号破解与防御、网吧入侵与防御等,⑽此外,还包括木马编程、挂马、入侵、免杀,黑站还提供各种工具。有些网站除了有一些木马下载、木马免杀免疫功能下载外,网站上还有最新脱壳破解培训班教程、最新黑客攻防班教程、网银终结者木马免杀与网马制作教程等各类“黑客培训”信息。在这些培训教程中,多数都另外链接了各种培训用的工具下载地址。根据黑客培训学校的授课内容及方式的不同,主要有以下三种:(1)根据是否提供下载工具,可以分为两种类型,一是仅仅传授技术,但是不提供黑客程序的下载服务,也就是仅仅宣传自己的产品或者实力;二是传授黑客技术的同时提供黑客程序的下载服务。二者相比较,后者的危害性显然更大。(2)根据行为人所传播的黑客技术的性质,可以将其分为传授原创黑客技术的行为和转帖、传授他人创作的黑客技术的行为。对于传播原创黑客技术的行为,鉴于其是网上各种黑客技术泛滥的源泉,危害显然更为严重,应当在罪刑法定原则的范围内给予从严评价,进而给予严厉的制裁;对于转贴他人创作的黑客技术的行为,虽然其行为起到了推波助澜的作用,但是,其危害性毕竟不如原创者大,其转贴行为也并不一定就能完整无误地将黑客技术传授给学习者。⑾(3)根据行为人提供的服务类型的不同,可以将其分为讲授黑客技术知识的传播行为和提供黑客工具的传播行为。
(二)黑客培训学校的危害性分析
从表面上看,实质上属于“黑客学校”的所有类型的“黑客培训班”,大部分是以普及电脑知识为主,内容涉及编程、操作、软件设计和破解等。基本说法雷同,都以“提高安全意识”为遮掩,并对希望一下就能成为高手的记者称“必须不断学习”。⑿客观地讲,虽然此类培训内容都是以科技的名义出现和存在,但是,其实质却是在传播如何以“黑客”的技术和形式去进行电脑操作和控制,并利用对电脑的操作和控制,实现自己对他人资料、信息、隐私甚至是秘密的窥视和获取,有些甚至就是直接传授如何赤裸裸地对他人电脑资料、账户信息、网络密码等个人私有权益的非法攫取。此种操作技能和电脑管理知识不是为了使自己更好地利用电脑、开阔视野、增长知识,而是为了满足自己的不法欲望,达到对别人权益的肆意破坏和侵犯。⒀因此,从本质上讲,[2]应当在罪刑法定原则的范围内给予严厉的制裁,黑客学校传授黑客技术行为的危害性客观上是处于不断被复制和放大的趋势之中。
1.黑客培训的现实危害之一:推动病毒买卖与传播的产业化
黑客学校培训从某种程度上是黑客犯罪产业链形成的源头,如上文所述,黑客培训学校通过自己编造病毒程序的出售或者传播,或者通过学校、论坛传授。受利益的驱动,从编写程序到传播,到销售再到洗钱分账,病毒和攻击程序的买卖已形成了一条完整的产业链。于是,有利可图的培训黑客业务大行其道,这种高额的收入对年轻人构成了极大的吸引力。因此,形形色色的黑客培训班营运而生。由于没有法律上的明确规定,病毒产业链的从业者既能迅速非法获利,还基本上没什么法律风险,以至于许多木马开发者公开售卖木马,从业者可以通过正常的商业渠道打广告,比如各种所谓的网络安全培训班,实际上是入侵和盗窃技术的培训班。黑色产业链还可以在正常的商业网站上刊登承接ddos业务,拿站业务(入侵他人网站)的广告。在没有法律明确规定的情况下,杀毒软件只能在技术上疲于奔命,而不能从病毒制造以及传播源头上解决网民的安全问题。⒁
2.黑客培训的现实危害之二:推动黑客违法犯罪主体的日趋年轻化
大部分黑客培训班的主要招生对象是青少年和学生,这些青少年有时间,无约束,无理智,挡不住诱惑,一旦涉足此道,便不可自拔。有资料统计,我国计算机犯罪者主要是19—30岁的男性,平均年龄约为23岁,而央视《中国法治报道》则将这个平均年龄拉低到19岁。⒂越来越多的青少年加入黑客培训,病毒作者日趋年轻化,已经成为不可忽视的社会问题。目前,我国青少年利用黑客技术编写计算机病毒实施网络攻击的行为已十分严重,病毒制作者的年龄也在逐年降低,越来越多的初、高中生和大学生加入到了制作和传播计算机病毒的队伍,借以显示自己高超的技术能力。而网上的这股培训热潮,就是网络犯罪年轻化的一个典型缩影。⒃
3.黑客培训的现实危害之二:推动黑客犯罪的“平民化”和“全民化”
黑客技术培训的现实危害,首先表现在黑客技术的泛滥和广泛传播,使得黑客技术成为一种大众化的网络犯罪手段。好多黑客培训网站的页面贴满了类似“不需要学历,不需要经验,不需要懂英语,只要花上几百元钱,就能成为一个在互联网世界为所欲为的新时代黑客”的广告。黑客已经由原来的高素质高能力降低为一般化要求,从具有高超技能的“特殊主体”蜕变为一般主体,⒄其原因之一就在于黑客技术的传播。一般人认为实施“黑客”犯罪的都是“天才”,但是,实际上90%以上的犯罪嫌疑人只具有初级的电脑和网络知识。目前,网络上有许多现成的“黑客”工具,使“黑客”’犯罪的技术门槛大大降低。笔者曾浏览过一些黑客网站,发现其既有理论讲解,又有范例示范,同时还可以免费或者有偿下载一些黑客软件。此类网站一般都摘选前沿的黑客技术,讲解深入浅出,十分详细,学习者往往不需要具备任何计算机专业知识,甚至不需要具备较高的文化知识也能学会。有观点指出:由于病毒通过黑客培训网站的传播,已经催生了全民黑客时代的到来。⒅虽然“全民黑客时代”的言论有夸大其词的嫌疑,但是正如其所言,如果一种非法行为的实施极为容易且没有相应的法律加以规制,那么拥有数量庞大的参与者或者潜在参与者也就不足为奇,其危害性也就会十分明显且会快速延展,可能造成的潜在危害和冲击就会更为可怕。因此,对于设立专门的黑客培训网站传授黑客技术并提供有关黑客工具(病毒源代码,木马等人侵程序等)的下载,开设专题博客教授黑客技术知识等行为,其他危害性显然值得重新思考和评估。
黑客学校培训使得黑客技术与黑客工具泛滥,推动了网络黑客犯罪的增多。在网络空间中,只要掌握了黑客工具,即使没有很高的黑客技术,也可以随意地发起网络攻击,实施黑客犯罪。⒆现在的黑客站点在因特网上到处可见,黑客工具可任意下载。国内也有大量的中文黑客站点,任何人只要在搜狐或雅虎中国、新浪网上键入“黑客”即可发现,他们提供大量的中外文黑客教材、当前最新的漏洞列表、黑客工具和使用说明书,连外文和网络理论薄弱的中学生都可轻松地获取必要的黑客知识和工具,从而对我国的网络安全构成了极大的威胁。有的观点指出,对此类犯罪如果不加以有力地遏制,网络犯罪的平民化,势必将导致网络犯罪总量的更大攀升。⒇笔者深以为然,“平民化”是当然黑客违法犯罪的一个明显特点,但是,如果不加以整体防控,在快速成长的下一代年轻人之中,黑客违法犯罪的“全民化”或许真的会成为一个现实。
综上所述,笔者认为,黑客培训行为本身虽然仅仅带来一种潜在危险(即犯罪可能)而不是现实破坏(即实际犯罪),但是,由于此种危险的高度盖然性、向危害后果转化的高概率性和批量转化性,以及转化为现实危害之后难以估量的巨大社会危害性,故而仍然具备严重的社会危害性。
二、现行刑法应对“培训黑客技术”行为的司法困境
上文关于黑客学校的现状评析,表明了这样一个事实:黑客学校培训、传播黑客技术的性质,虽然迥异于一般意义上的犯罪行为,在技术上可能有着两面性,但是,鉴于目前缺乏有效地管理,其自身存在不可避免的社会危害性。而社会危害性及其程度,是决定一个行为是否在实质上构成犯罪并且受到刑法调整的根本性条件;另一方面,严重的社会危害性是所有犯罪的共性,具备这一特性即表明黑客学校在实质上与其他犯罪无异。因此,剩下的问题就是,现行刑法能否对于此类黑客培训培训行为加以恰当地评价:如果能,适用哪一个罪名进行评价?如果不能,就应当考虑这一行为的单独入罪化。
(一)司法尴尬之一:认定为“传授犯罪方法罪”时面临的困境
对于黑客培训学校传授犯罪方法尤其是传授计算机犯罪的犯罪方法的行为,司法实践中一般认为,如果传授行为有一定的针对性,根据目前的刑法理论,可以直接以传授犯罪方法罪追究刑事责任。例如,2006年2月21日,河南许昌“网上黑客学校”主要负责人就因涉嫌利用互联网传授犯罪方法或煽动扰乱社会秩序被依法刑事拘留。(21)2007年9月,某检察院以林某某等利用网站传授黑客教程及各种网游、网银木马病毒下载和使用方法的行为涉嫌传授犯罪方法罪向法院提起公诉。(22)刑法理论界也有学者认为,从特征、危害等方面分析,这种在互联网上肆意传播黑客技术的行为,情节严重的,可以构成传授犯罪方法罪,理由是:一方面,黑客技术从本质而言属于犯罪方法;另一方面,传播黑客技术的行为符合传播犯罪方法罪的行为要件。(23)但是,也有学者提出质疑:如果行为人是针对不特定人的提供犯罪工具,换言之,在网络中如果行为人是向不特定的多数人提供犯罪工具,是否还应当以传播犯罪方法罪处罚?(24)
1.困境之一:“犯罪方法”内涵的不周延性
现行刑法规定的传授犯罪方法罪,是指行为人故意用语言、文字、动作、图像或者其他方法,将犯罪的方法、技能等传授给他人的行为。此处的犯罪方法,主要是指犯罪的经验、技能以及反侦查、逃避审判的方法,还包括如何进行犯罪预备、如何在犯罪后逃匿、销毁罪证等方法。其只能是直接故意犯罪的方法。(25)具体到黑科学校在培训过程中传授的黑客技术是否属于此种概念上的方法,以及所提供的诸如病毒程序、木马等黑客工具是否属于严格意义上的犯罪方法,“犯罪方法”的概念呈现出外延与内涵的狭窄性。
(1)黑客技术是否应当被认定为犯罪方法存在争议
所谓黑客技术,简单地说,是对计算机系统和网络的缺陷和漏洞的发现,以及针对这些缺陷实施攻击的计算机操作技术。其主要手段包括获取口令、放置特洛伊木马程序、使用被篡改过的网页进行欺骗、电子邮件攻击、通过一个节点来攻击其他节点、利用缺省账号进行攻击、偷取特权等。(26)黑客技术实质上是中性的,因而黑客技术是否能被认定为犯罪方法存在着较为强烈的争议。例如,英国网络专家亚门·阿克丹尼兹认为,传授黑客技术本身并不违法,只有黑客活动是违法的,黑客学校如果不教唆学生们从事非法活动,那么就不违反任何法律。(27)比如现在也有很多“开锁培训班”,专门教授在没有原配钥匙的情况下如何打开门锁甚至保险柜的技术。肯定有人用学来的开锁技术去盗窃,但不能因此就认为“开锁培训班”是违法的。(28)
客观地讲,如何判定行为人就某种具体行为方法向他人进行传授的行为的性质,主要应当从以下两方面来考察:第一,如果一种方法的应用范围只能是违法和犯罪,例如扒窃技术,那么通常应当认定行为人的传授行为符合传授犯罪方法罪的客观要件。因为,行为人一旦将该种方法传授给他人,就对他人是用此方法实行犯罪还是实行一般违法行为难以控制,而且也很难想象被传授人学会该种方法后会只将其用于实行一般违法行为而不用于实行犯罪。所以,行为人传授该种方法的行为对社会的危害应视为已经达到构成犯罪的程度。第二,如果一种方法既可以用于违法犯罪,也可以用于正当合法的行为,则只能结合其整体传授过程,根据社会通常观念做出判断。具体来讲,主要应当考察以下几个方面的情况:行为人的个人情况;向他人传授该种方法的原因;被传授人基于何种原因向行为人学习该种方法;行为人和被传授人言行的倾向性(例如,有无指明该种方法是实行某种犯罪的方法),等等。(29)从这个角度来看,黑客技术显然属于后者,由于黑客技术在用途上的两面性,导致有些学者反对将黑客技术认定为犯罪方法:既然黑客技术并非只能用于违法和犯罪,而是也能用于正当目的,就不能一概而论,应当区别对待。(30)
(2)传播黑客犯罪工具不属于“犯罪方法”的范畴
如前所述,黑客学校的培训内容不仅局限于传授犯罪方法,还经常地表现为为学员提供黑客工具。显然,传授犯罪方法与提供犯罪工具是两个既相互联系又有所区别的概念。对于此类行为,再认定为传授犯罪方法似有不妥。因为此类行为中行为人提供的对象性质,已经明显超出了刑法规定的“犯罪方法”可能具有的含义,不能将提供此类黑客程序或者黑客工具的行为解释为传授犯罪方法罪所要求的行为。在网络空间中,明知他人将要利用自己提供的漏洞、僵尸网络、网站流量等从事网络攻击、窃财窃密、破坏计算机信息系统等具体犯罪行为的,应当以相应犯罪的帮助犯论处,实难以传授犯罪方法罪定罪处罚。因此,有学者认为此种行为与现行刑法规定的“传授犯罪方法罪”具有明显的不同特点,建议将此类行为增设为“传播犯罪方法罪”。(31)
2.困境之二:向网上不特定的多数人传授黑客技术是否构成传授犯罪方法罪?
传授犯罪方法罪中的传授,是指将犯罪的方法教给他人。实践中,传授的方式多种多样,可以是公开地传授,也可以是秘密地传授;可以口头传授,也可以书面传授;可以向一人传授,也可以是向多人传授,等等。传授的犯罪方法并非是一切的犯罪方法,而只能是直接故意犯罪的犯罪方法。(32)基于此,行为人在网上向多数人传授黑客技术也可以构成传授犯罪方法罪,但是问题在于,“多数人”应当理解为特定的“多数人”。然而,从社会危害性的角度比较来看,向不特定的人员传授犯罪方法的行为比一般的传授犯罪方法的行为危害性更为严重。(33)向特定的人员传授犯罪方法的结果是有限的人员掌握了该犯罪方法,而向不特定的人员传授犯罪方法,由于其学习者不特定,从而难免会对潜在的犯罪行为疏于防范,亦即这种向不特定的人员传授犯罪方法的行为更容易造成侵害他人合法利益或者破坏社会公共秩序行为等的现实发生,其社会危害性相对较大。(34)因此,对于此类行为以传授犯罪方法罪加以评价就出现了进退维谷的尴尬局面,这也是“传授犯罪方法罪”不能有效涵盖黑客学校培训行为的固有缺陷。
(二)司法尴尬之二:将“黑客培训”认定为“共犯”时面临的困境
常见的另一种思路是,将上述黑客培训学校传授黑客技术的行为认定为特定计算机犯罪的共犯(帮助犯),可以克服以“传授犯罪方法罪”来制裁此类行为时的不周延性,并且能够解决提供黑客工具的行为的刑法调整问题。但是,这一解决问题的模式依然存在着问题:
1.关于黑客培训认定为网络犯罪帮助犯的主要条件
所谓帮助犯,是指故意帮助他人实行犯罪。而网络帮助犯,如前所述,应当是指通过网络在他人犯罪之时提供帮助之情形。将黑客技术培训行为认定为网络犯罪帮助犯应具备以下特征:(1)网络犯罪帮助故意之认定。所谓帮助故意,是指明知自己是在帮助他人实行犯罪,希望或者放任其帮助行为为他人实行犯罪创造便利条件,并希望或者放任实行行为造成一定的危害后果。(35)换言之,需要培训黑客技术的行为人“认识到正犯之行为由于自己之行为而容易实施或助其结果之发生”,并且希望或者放任通过自己的帮助行为,实行犯能够造成一定的危害后果。(36)值得注意的是,构成帮助犯,虽然要求行为人明知他人将要实施的是犯罪行为,但是明知不是确知,对于他人具体要犯的是什么罪以及犯罪的时间、地点等内容并不要求确切了解。也就是说,帮助犯明知他人准备犯罪,但不具体了解准备犯什么罪,而积极予以帮助,也构成帮助犯。(37)(2)帮助犯的帮助行为认定。所谓帮助实行犯罪,是指在他人实行犯罪之前或实行犯罪过程中给予帮助,使他人易于实行犯罪或易于完成犯罪行为。(38)网络帮助行为主要有以下几种形式:其一,物质帮助,也称有形帮助,主要是向相对人提供用于犯罪的各种资金、软件。通过网络向他人提供资金、软件,主要是指通过网络进行电子资金的转移以及发送软件的行为。其二,无形帮助,可分为精神鼓励与技术支持两种。前者主要是指通过电子邮件、聊天工具等为实行犯出主意、想办法,撑腰打气,强化其犯罪决意。另外,对实行犯技能之认可,夸耀其具有实施网络犯罪之技术能力,足以达到强化其犯罪意志之程度,亦属于精神鼓励之范畴。(39)后者是指明知他人将要实施网络犯罪,而为其提供所需技术的行为。技术支持行为,从行为表象上,是一种传授犯罪方法的行为,但是在本质上,因技术支持行为人具有共同犯罪之故意,而与传授犯罪方法行为有别。(40)
2.将培训黑客技术行为认定为网络犯罪帮助犯引发的困境
从以上两个角度来分析,可以发现,将培训黑客技术的行为认定为计算机犯罪的帮助犯,存在以下无法回避的问题:(1)困境之一:认定为网络犯罪的帮助犯,无法评价未造成犯罪后果的传授黑客技术行为。例如,第286条第1款的破坏计算机信息系统罪是结果犯,只有实施的行为造成危害后果才构成犯罪。而黑客培训传授黑客技术的行为只要实施既具有了造成危害后果的高度盖然性。但是,作为这些条文所表述的犯罪的共犯,却无法准确全面地将黑客学校传授黑客技术的行为囊括在内。(2)主观方面难于查证。依据传统刑法理论,作为具体犯罪的帮助犯,在主观上应当明知他人将要实施犯罪行为而故意提供帮助,并希望或者放任危害结果的发生。虽然可以将帮助者此种情形下之帮助故意认定为概括之故意,以实际发生危害之后果认定其犯罪因果关系之存在。但是,单纯考虑实际发生之危害后果,显然有悖于刑法之公正性,有客观归罪之嫌。因此,解决黑客学校培训的刑事责任问题的根本途径在于将黑客培训行为单独定罪处罚。(3)在被培训者未实施犯罪行为的情形下,无法追究培训黑客技术者的刑事责任。由于黑客培训学校所培训的是不特定的大多数人,是通过黑客技术的培训来帮助大量的人或者不特定人实施网络违法或者犯罪行为的,为网络空间带来极不稳定的因素。正是由于网络空间中有大量黑客技术的培训学校,以及黑客软件和黑客工具的出售,使盗窃个人信息的技术要求大幅降低,越来越多的年轻人在利益的诱惑下参与到网络犯罪当中。(41)但是,传统的帮助犯构成犯罪的前提在于被帮助者的行为构成犯罪,而在黑客培训学校传授黑客技术的形式下,存在着大量被帮助者没有实施犯罪行为的情形,或者是仅仅实施了网络违法行为,(42)此类情况下,根本无法按照传统的帮助犯理论来追究黑客培训学校传授黑客技术的刑事责任。(4)培训对象的不确定性对传统帮助犯理论的冲击。传统的帮助犯要求帮助者认识到被帮助者是特定的人,但在网络环境下,从黑客培训学校实施培训黑客技术行为的实质来考虑,即使行为人主观具有协助他人犯罪的故意,客观上实施了帮助犯罪的行为,且行为人对该帮助行为所具有的直接后果非常清楚,但是,由于帮助对象的不确定性,行为人难以不成立帮助犯。
(三)司法尴尬之三:适用《刑法修正案(七)》相关条款时面临的困境
《刑法修正案(七)》第9条第3款规定,“提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的,依照前款的规定处罚。”增设该条的目的,就是对于提供专门用于侵入、非法控制计算机系统的程序、工具的行为加以约束,以期严厉打击目前黑客培训、病毒制作、病毒加工、病毒贩卖、窃取信息等犯罪行为,切断网络上的灰色产业链。应当指出,由于入侵计算机信息系统和非法获取数据、非法控制他人计算机要求具有较高的技术水平,目前不法分子大多是通过向其他人购买现成的盗号木马、入侵程序等专用程序和工具,来达到实施和完成此类犯罪的主要手段。因此,当前职业化地制作、提供和出售此类程序已经成为网络犯罪大幅上升的主要原因之一。新设立的第285条第3款打击的就是此种为计算机犯罪提供专门程序、工具的犯罪行为,打击的是犯罪的“前行为”和“帮助行为”。可以说,《刑法修正案(七)》扩展了网络犯罪的保护对象,将刑法干预和打击的阶段向上游延伸,进一步严密了法网,增强刑法的威慑力。尤其是将提供非法黑客工具、软件的行为作为犯罪处理,对于网络上曾经一度逍遥法外的黑客学校、黑客网站来说,可以说是厄运当头,也会对于计算机犯罪的产业链产生震慑作用。但是,修正案这一条款的适用范围仅仅是打击提供“犯罪工具”的行为,却无法涵盖黑客培训学校单纯地传授黑客技术的所有培训行为,这是一个立法遗憾,更是导致培训黑客技术行为处于刑法真空之中的真正原因。
综上所述,笔者认为,无论是“传授犯罪方法罪”、计算机犯罪的共犯抑或是“提供专门用于侵入、非法控制计算机信息系统的程序、工具罪”,都不能全面应对黑客培训学校传授黑客技术行为的挑战。尽管上述三种解决模式可以在某种程度上和一定范围内给予黑客技术培训行为加以刑法评价和制裁,能够适度地抑制黑客学校的泛滥。但是,要从根本上解决黑客培训学校的刑事责任,恐怕还是要另寻他径。
三、网络空间中培训黑客技术行为的单独入罪化
基于以上分析,现行刑法条文难以有效应对黑客培训学校的挑战,虽然可以通过扩张解释的方法来寻求在最大范围内处理此类问题,但是,要最终解决此类问题,恐怕只能是通过立法完善而非司法变通。
(一)问题的根本:培训黑客技术行为的巨大危害性
网络犯罪行为的广度和深度,以及行为的目的性都要受到技术因素的制约。在虚拟的网络空间中,犯罪能力和技术能力是对等的,没有技术能力的犯罪企图,在网络空间中将被压缩为一种“犯意表示”。网络犯罪的技术依赖性在黑客犯罪中最为突出。现代互联网和通信技术的发展,用“日新月异”这四个字来形容最为恰当,几年前还属于站在时代前沿的尖端技术,今天可能即将被淘汰。犯罪能力和技术进步是此消彼长的关系,技术影响对网络硬件系统和软件环境的制约是根本性的,技术的发展性暗示了技术并不是完美的,必然存在缺陷和漏洞,由此也必然导致两个方面的违法和犯罪:一是缺陷和漏洞被恶意利用的违法犯罪,二是高新技术被恶意扭曲使用的违法犯罪。而这两类行为,正是所有黑客培训学校的培训重点。从理论上讲,只要有足够的时间,世界上没有任何一个计算机网络是无坚不摧的。既然以防护严密著称的美国国防部网络,也仍然不断地爆出被黑客攻破的传闻。而此类恶性黑客侵入和非法控制犯罪案件的发生和爆发式增长,绝大部分并非是专业的高技术人才所实施,而源于“技术新手”,而其技术来源则是类型各异的黑客培训学校。
客观地讲,由于网络犯罪对于技术性的先天依赖,缺乏技术技能的犯罪人为了完成犯罪,要么寻求特定共同犯罪人的技术支持(包括技术互补)而共同实施犯罪,要么借助于专门用于犯罪的程序、软件去实施共同犯罪,要么加盟专门的犯罪技术传授机构、网站等去获取专门用于犯罪的技术。因此,培训黑客技术的行为,直接导致了网络犯罪的技术门槛大幅度降低,进而大大地促进了网络犯罪的增长速率。
网络本身是技术进步的产物,网络技术的特殊性使得培训黑客技术的行为具有特殊的危害性,这一点具体表现为,培训黑客技术的行为,降低了网络犯罪的门槛,放大了其客观危害,却提高了制裁的难度:(1)网络的存在为一些原本不可能出现或不易出现的犯罪提供了新的犯罪手段、犯罪工具和犯罪平台,原本需要付出巨大体力成本的犯罪行为,可以简单地通过键盘操作来轻易完成,而其危害性较之过去却是有过之而无不及。例如,盗窃金融机构的行为,现在只需要借助一台电脑突破银行交易系统,然后就可以随心所欲的转账来完成犯罪,整个过程只是键盘的操作行为;再如,原本要付出巨大风险的煽动分裂国家行为,现在只需要在境外建立一个非法网站就可以向庞大的人群传播反动信息。(2)网络本身无限延展的特性和开放性的特征,导致了同一犯罪的客观危害往往会被无限制地放大和复制。例如,在现实空间中盗窃金融机构中的货币,只能以金融机构中存在的货币数量为限,而在网络实施盗窃的情况下,则在数额没有限制,可以无限额地实施盗窃。(3)网络犯罪的技术门槛并不总是高高在上,一旦跨越技术障碍,就很难再进行有效制约和防范,事后的侦查和制裁难度、成本也远远高于传统犯罪。也就是说,网络空间中犯罪的技术性特征大大提高了对于网络犯罪的侦破和制裁成本和难度,但是,对于犯罪分子而言,实施犯罪的成本和难度却大幅度地降低,而这一技术门槛的降低,往往是来自于黑客培训学校的“贡献”。
网络犯罪的技术特性是其根本特征,只要一定的黑客犯罪技术,任何人都可以通过简单的操作来实现网络犯罪的目的。因此,黑客培训学校所进行的培训黑客技术行为,在整个计算机违法犯罪过程中(或者说是“链条中”)有着独极为独特的地位和作用,在某种程度上已经远远超越了黑客技术学习者所实施的后续性的侵入、非法控制等犯罪行为的社会危害性。同时,在多数情况下,此类培训行为往往也与黑客技术学习者后续实施的侵入、非法控制等行为完全割裂和脱离,有着相当的独立性,有鉴于此,关于黑客学校培训传授黑客技术的行为完全是一种独立的危害行为,应当独立于具体的计算机犯罪来加以评价。
(二)问题的关键:从“传授”向“传播”的转变
现行刑法设置的“传授犯罪方法罪”,其犯罪行为模式在用语表述上之所以设定为“传授”,内含着传授对象的“特定性”因素,这也是该罪的本质特征所在。而黑客培训学校所实施的危害行为,其行为特点却是培训对象的不特定性,这也是其危害行为的本质特征,更是其行为危害性倍增的关键所在。培训对象的不特定性和不断变化、增加,表明行为的本质从特定化的“传授”向着不特定化的“传播”转变,而这一转变,不仅仅体现为传授对象在数量上的单纯增加,更体现为行为危害后果的扩大化和后续性侵入、非法控制等违法犯罪行为的无限扩大、无限复制和无限增加,在此基础上还进一步地体现为后续性行为的社会危害性无穷无尽地延伸,而这一切均源于培训黑客技术的行为。可以说,培训黑客技术行为的独立入罪化的关键理由之一,就在于危害行为由“传授”向“传播”的转。
笔者认为,应当思考“传授”和“传播”的相互关系并在立法体系上加以体现。现行刑法中涉及到“传授”一词的罪名,仅有“传授犯罪方法罪”一个,而涉及到“传播”一词的罪名则有8个,包括:第一,走私淫秽物品罪。第152条规定,“以牟利或者传播为目的,走私淫秽的影片、录像带、录音带、图片、书刊或者其他淫秽物品的,……”。第二,编造并传播影响证券、期货交易虚假信息罪。第181条规定,“编造并且传播影响证券交易的虚假信息,扰乱证券交易市场,造成严重后果的,……”。第三,妨害传染病防治罪。第330条规定,“违反传染病防治法的规定,有下列情形之一,引起甲类传染病传播或者有传播严重危险的,……”。第四,妨害国境卫生检疫罪。第332条规定,即“违反国境卫生检疫规定,引起检疫传染病传播或者有传播严重危险的,……”。第五,传播淫秽物品牟利罪。第363条规定,“以牟利为目的,制作、复制、出版、贩卖、传播淫秽物品的……”。第六,传播淫秽物品罪。第364条规定,“传播淫秽的书刊、影片、音像、图片或者其他淫秽物品,情节严重的……”,“向不满十八周岁的未成年人传播淫秽物品的,从重处罚。”第七,传染病防治失职罪。第409条规定,“从事传染病防治的政府卫生行政部门的工作人员严重不负责任,导致传染病传播或者流行,情节严重的,……”。第八,破坏计算机信息系统罪。第286条第3款规定,“故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的……。”
反思上述八个罪名中使用的“传播”一词,可以清晰地体会出其中蕴含的传播对象“不特定”的含义,当然,这一传播对象的“不特定”,其中也包含着向“特定”对象的扩散,但是,向“不特定”对象的扩散是其打击的重点。例如,第286条第3款规定的故意“传播”计算机病毒等破坏性程序,显然就包括着向特定对象的“提供”型扩散和向“不特定”对象的扩散,后者显然是刑法干预和打击的重点。从这个角度来看,刑事立法中“传播”一词的使用,更倾向于打击向“不特定”对象的扩散,是“一对多”的扩散;而“传授”一词,则更倾向于向“特定”对象的扩散,是“一对一”的扩散。从这个意义来看,培训黑客技术行为具有的向“不特定对象”的“传播”性特点,是其独立人罪化的重要原因所在。同时,从这个意义讲,《刑法修正案(七)》第9条第3款增设的“提供专门用于侵入、非法控制计算机信息系统的程序、工具罪”,其不足和遗憾之处也是明显的:使用的是“一对一”意味更为突出的“提供”一词,更多地体现了向“特定对象”的扩散,而无法恰当地评价“一对多”的“传播”式的扩散。因此,《刑法修正案(七)》第9条第3款的理想条款应当是:“传播专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的,依照前款的规定处罚。”也就是说,将第一个“提供”修正为“传播”,从而既可以打击向不特定对象的扩散行为,也可以打击向特定对象的扩散行为,而且能够更为恰当和全面地涵盖对扩散对象主观上缺乏犯意联系的情况;而保留第二个“提供”,以恰当地评价提供者和接受者之间在主观上具有犯意联系的情况。
(三)问题的核心:从“犯罪方法”向“‘双刃剑’技术”的转变
现行刑法设置的“传播犯罪方法罪”,其传授的只能是“犯罪方法”。但是,黑客安全在用途上具有两面性,从贬义的角度来说,可以称之为“黑客技术”,因为它主要是被用于违法和犯罪;但是,从褒义的角度来看,此类技术往往被称之为“计算机安全技术”,也就是说,此类技术也可能被用于正当目的。正是基于这一点,黑客培训学校也往往打着“计算机安全技术培训”的幌子在“挂羊头卖狗肉”。
在传统犯罪之中,也往往存在着一些“中立化技术”或者“中立化业务”,例如,出租车司机明知他人在前往某地实施杀人行为仍然将其运往该地,五金商店的店员明知螺丝刀的购买者将会把螺丝刀用于盗窃,仍然将螺丝刀卖给购买者。(43)在传统刑法中,此类外表无害的“中立行为”(日常生活行为),在客观上帮助了正犯,此时能否成立帮助犯,也时时存在争议。基于此,许多国家的司法机关和刑法理论界也承认用以评价“中立技术行为”、“中立业务行为”的“技术中立原则”,将其作为传统帮助犯的免责事由。互联网时代如何评价和适用“技术中立原则”,是合法技术创新与技术滥用之间必然存在的对立和矛盾之一。客观地讲,刑法应当控制自身对技术行为的评价深度,以保护正常的技术应用活动,但是,刑法也不应当过于顾虑对于技术发展应用的影响而放弃对于技术扭曲使用行为的制裁,必须要承担起应有的职责,控制和约束因技术滥用带来的消极后果。对于培训计算机安全技术的行为,如果其所传授的是中性技术,那么无论技术被扭曲用于多么严重的犯罪,都不应当套用刑法去评价技术传授者的责任;但是,如果所传授的技术不再具有“中性”的特点,则该传授行为就可能已经进入了刑法打击的半径。“计算机安全技术”本身在用途上具有两面性,是一把典型的“双刃剑”,摆动于“保护计算机安全”和“侵入、非法控制计算机”之间;刑法对于“黑客技术”的评价也是一把“双刃剑”,摆动于“技术传播”和“技术滥用”之间。无论对于“安全技术”这一“双刃剑”,还是对于“技术使用”这一“双刃剑”,刑法所打击的永远只是“伤人”的“一刃”,不可能由于它在客观上是“双刃剑”,就在允许、鼓励其合法、合理的“一刃”存在的同时,就会放任、漠视其“伤人”的另“一刃”的存在。因此,是“计算机安全技术”还是“黑客技术”,是“技术传播”和“技术滥用”,在判断上虽然存在着临界地带和模糊地步,但是,这一地带的存在和由此导致的判断上的客观困难,并不是放任此类行为危害社会的理由,反而应当是加倍关注的重点,惟有如此,才能真正地兼顾到促进技术发展、传播和制裁技术滥用、扭曲使用。正如有的观点所指出,培训黑客技术行为是直接将技术传播作为行为的内容,行为的不法内涵就是技术的不法内涵,虽然技术的不法内涵的判定标准是一个重大的理论与实践课题,但是并非无法判定;虽然说技术因素的介入给网络犯罪的侦查、证据搜集等带来了全新挑战,但是,在涉及网络犯罪的理论研究中,要克服的只是面临技术强势之时的畏惧感,(44)而不是退避和推卸责任。客观地讲,无论技术行为和传统行为有多么大的不同,刑法对之评价的归宿都是一致的,即刑法着眼的是技术行为的刑法意义和法律后果,至于技术行为本身的特性,不过是评价的基底。
客观地讲,《刑法修正案(七)》第9条第3款增设的“提供专门用于侵入、非法控制计算机信息系统的程序、工具罪”,同样存在着对于“程序”和“工具”是否是“用于”、“专门用于”侵入、非法控制的用途上的判断,也即要判断“程序”、“工具”本身是用于合法用途还是“侵入、非法控制”的用途。既然立法机关在这一问题上没有丝毫的犹豫,那么,对于具有两面性用途的“安全技术”的用途评价即其中的不法内涵的评价,也就没有任何问题,因此,通过刑事立法打击培训“黑客技术”的危害行为,在立法技术上和司法操作上,都没有任何障碍。
(四)刑事立法的体系性思考:打击着力点的前移
从刑事立法的体系上来看,目前刑法惩罚计算机黑客犯罪的关注点或者说兴奋点,重心明显侧重于后期的成品化“产品”:在刑法制定之初,第286条第3款着力评价和打击的是“计算机病毒等破坏性程序”,在《刑法修正案(七)》之中,新增设的第285第3款着力评价和打击的是专门用于侵入、非法控制计算机信息系统的“程序、工具”。无论是前期的“程序”,还是新增设的“程序、工具”,都是一种技术滥用背景下的制造性“成品”。但是,在网络犯罪爆发式增长和网络犯罪的危害性日益倍增的情况下,刑事立法的打击着力点应当适度前移,应当从打击技术滥用后的制造、传播、提供“成品”的犯罪,前移到打击恶意的“黑客技术”的传播行为。
古语说,“授人以鱼,不如授人以渔”,其含义人皆共知。但是,如果从犯罪收益赠送(即“鱼”)和犯罪方法、恶意技术传授(即“渔”)的角度来思索,则“授人以鱼”和“授人以渔”在危害性上孰轻孰重,在刑法干预、打击的必要性上孰大孰小,似乎一目了然而无须进一步的论证。但是,当前刑事立法的注意力,恰恰止步于评价和打击“授人以鱼”之“鱼”,而无法评价危害性日益严重的“授人以渔”之“渔”,因此,将刑法打击的着力点适度前移,将传播黑客技术的危害行为加以独立人罪化,应当说是极有必要的。
(五)问题的解决模式:刑法干预的提前化和视角转换
基于以上分析,笔者认为,一方面,刑法干预应当加以提前化,不能等待后续性的侵入、非法控制等犯罪行为的出现,进而再套用传统的帮助犯理论;另一方面,刑法干预的角度应当适度地放宽,不能局限和止步于传统的“传授犯罪方法罪”这一罪名中的行为模式和传授对象。基于此,应当增设专门罪名,以严厉惩罚培训黑客技术的行为。具体条文,可以设定为:“传播用于侵入、非法控制计算机信息系统的方法,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。”
这里要解释的两个问题是:其一,为何使用了“方法”一词而没有使用“技术”一词。用于侵入、非法控制计算机信息系统的“方法”,更多地表明了一种倾向,即目的在侵入、非法控制计算机信息系统,无论是单一技术还是组合技术,培训黑客技术者往往正是通过传授组合式的“技术”甚至是“技巧”来实现被教授对象掌握一种“方法”;而“技术”则更多地是中性的表述,尤其是难以涵盖“技巧”性经验和方法在内。其二,为何没有使用“专门”一词来限定“用于侵人、非法控制计算机信息系统的方法”。在《刑法修正案(七)》中,立法者使用了“专门”一词来限定“用于侵入、非法控制计算机信息系统的程序、工具”,笔者认为,这既是刑法谦抑性的体现,也是“程序、工具”作为技术滥用后果的“成品”的特性所在。但是,有别于“成品”的特性,“技术”、“方法”具有一定的组合性,而且往往具有用途上的两面性甚至多面性,因此,需要具体案件具体对待,不能使用过于僵硬的词语加以表述制,而应当将这一判断的权力交由司法机关去行使。 注释与参考文献
⑴确切来讲,此处的“黑客学校”应当指通过网络进行黑客技术传授的黑客网站、黑客技术论坛等培训模式。考虑到用语习惯、用语的统一化和理解的方便,本文仍然使用黑客学校这一说法。
⑵参见《黑客培训班暑假招生以“网络安全”为名叫卖》,载/china/">中国黑客灰色产业链调查》,载http://hi.baidu.com/deking/blog/item/7e150197b3t3e26555ib962b.html,最后访问时间:2009年7月9日。
⑷参见《中国黑客灰色产业链调查》,载http://bbs.huixian.net/viewthread.php?tid=48466,最后访问时间:2009年7月9日。
⑸参见《40秒钟攻破qq密码,捣毁网上黑客学校》,载人民日报http://xiazai.zol.com,cn/article_topic/25/258673.html,最后访问时间:2006年9月12日。
⑹参见李怀胜:《黑客学校的刑法分析》,中国政法大学2009年刑法学硕士学位论文,第18页。
⑺参见《网络安全人才匮乏 黑客培训获千万风投欲洗白》,载http://arts.51job.com/arts/03/365210.html,最后访问时间:2009年7月9日。
⑻参见许朝军:《不能让黑客培训班普及“罪恶科学”》,载
⑼参见《黑客培训触目惊心 网络安全迫在眉睫》,载http:////economic/">经济参考报》2008年1月29日第004版。
⒇参见王继华、张承平:《论我国计算机犯罪的刑事立法完善》,载《学海》2001年第1期。
(21)参见王明浩:《河南许昌警方捣毁“网上黑客校”》,载http///nv101389.htm,最后访问时间:2009年8月3日。
(29)参见刘志伟、左坚卫:《传授犯罪方法罪中若干问题探究》,《河南省政法管理干部学院学报》2003年第2期。
(30)参见王作富、庄劲:《黑客行为与两极化的刑事政策》,《湖南社会科学》2004年第6期。
(31)参见张承平:《论我国计算机犯罪的刑事立法完善》,《学海》2001年第1期。
(32)参见王作富:《刑法分别实务研究(中)》,中国方正出版社2007年版,第1299页。
(33)参见于志刚主编:《计算机犯罪疑难问题司法对策》,吉林人民出版社2001年版,第388页。
(34)参见常宁:《网上传播黑客技术行为应构成传授犯罪方法罪》,《河南公安高等专科学校学报》2006年第5期。
(35)参见陈兴良著:《共同犯罪论》,中国社会科学出版社1992年版,第133页.
(36)参见马德鸿、李斌:《如何认定帮助犯的共谋犯意》,载《人民法院报》2005年5月11日。
(37)参见陈兴良:《共同犯罪论》,中国社会科学出版社1992年版,第134页。
(38)参见马克昌主编:《犯罪通论》,武汉大学出版社1999版,第549页。
(39)参见赵秉志、于志刚:《论计算机犯罪的定义》,《现代法学》1998年第5期。
(40)参见赵秉志、张新平:《试论网络共同犯罪》,《政法论坛》2002年第10期。
(41)参见《80后少年黑客偷qq自爆月赚达3万元》,载http://dailynews.dayoo.com/guangzhou/20080/17/53872_3473964.htm,最后访问时间:2009年8月3日。
(42)参见于志刚、陈强:《网络空间中的帮助违法行为及其入罪化》,《北京人民警察学院学报》2008年第5期。
