2009年2月28日,十一届全国人大常委会第七次会议通过了《中华人民共和国刑法修正案(七)》。这次修订,对打击网络犯罪,改善网络环境安全,无疑具有积极的意义。
这件事情首先让我想起有段时间我在到处“鼓吹”的一个观点。
2007年6月我在马德里参加国家级应急响应组织的一个研讨会时做过一场报告,题目是“国家级应急响应组织在应对僵尸网络问题中所能做的贡献”。报告中的一部分谈到“需要让政府理解”的问题,这其中又有一部分提出:改善网络安全状况,实际上有三个不同层面的工作。
. 第一层面是“提高抗打击能力”,就是提高自身的安全防护能力,使得面对各种安全威胁的时候,具有更强的应对能力。这个工作当然是靠用户自身努力来提高的。
. 第二层面是“降低打击能力”,就是限制“坏人”的破坏力,让攻击者无法轻易获得巨大的攻击能力优势,从而降低对防护能力造成的挑战。(对了,这就是为什么我们需要关注僵尸网络的原因!)
. 第三层面是“提高攻击成本”,就是提高坏人做坏事的代价,让他们不敢肆无忌惮地进行各种攻击。
很多人现在还限于通过第一层面保障安全,但是这样做现在已经完全不是攻击者的对手了。依靠反病毒系统,来一个病毒杀一个病毒?总会有漏网的时候,即便是你第二天修复了,前一天可能已经有人偷走了你的商业机密。防火墙、入侵检测、安全审计等等安全产品,也都处于一样的被动状态。数千万信用卡信息被从网上偷走,都是发生在这些安全设备就位的情况下。而象拒绝服务攻击、域名劫持等等,用户基本上完全无能为力,就是待宰羔羊。(不怕火!---哦,看什么火、多大火......)
通过建立类似应急响应体系之类的合作网络,可以一定程度上实现第二层面的目标。通过与ISP、域名注册商、产品供应商、应急/事件响应组等的合作,可以采取技术手段提高伪造IP的攻击难度、压制僵尸网络的规模、切断一些攻击源、在拒绝服务攻击形成巨大压力之前就进行遏制、等等。第二层面的努力能够使我们面对攻击者的破坏能力的时候,不至于显得过于被动。(谁来帮我阻止火越来越大!)
但是就算第二层面能够完全实现,网络安全也面临越来越大的挑战。一个重要原因就是,由于利益/风险比越来越高,导致攻击者越来越多,能力越来越强,攻击越来越猖狂。于是我们总是处于被动地疲于应付的状态。因此,改变这一现状的长远方法,就是打击网络犯罪,也就是第三层面的工作:让攻击者在做各种攻击的时候,心存顾忌;让他们知道,这种网络犯罪行为,是可能被抓到,并且会付出代价的。显然,第三层面的工作,主要需要政府部门发挥作用。(谁来帮我抓住放火者!)
刑法的这次修订,其重要意义就是有助于加强第三层面的工作。当然,一次法律修订还远远不能解决问题,因为还有很多很多具体问题需要解决,比如:
. 技术能力和配套法律问题。有了这个法律,执法部门可能依然抓不到攻击者,因为受到现在技术手段的限制,以及配套法律不健全导致的追踪、取证困难;
. 法律执行标准。原来的285条是“行为罪”,只要你侵入的是“国家事务、国防建设、尖端科学技术”这类系统的,就构成触犯,这个还是比较好认定的。修订以后,除了扩大侵入范围并且包含‘其他手段’之外,增加了“情节严重”的判断。在实际操作中,在这一点上经常出现纠缠不清的情况,因此恐怕需要在实施细则上还要多下些功夫。另外,除了认定标准制定以外,是否达到特定标准的认定,恐怕也是不容易的;
. 法律执行程序。法律执行原来遇到的诸如属地化限制等问题,依然存在;要求用户举证,对绝大多数用户依然是难以做到的。这些因素,依然会制约对网络犯罪的打击能力。
. 执法队伍。打击网络犯罪,对执法人员提出更高的要求。
尽管还存在很多问题和困难,但是这次修订,毕竟是个好的开始。
加强自身能力建设,让你不再虚弱;加强可信任的合作网络建设,让你不再孤军奋战;现在“坏人坏事”也有法可依了,让你不再徒呼奈何。----我们还有很多事可以做,我们也还有希望(最近学校这边有网络安全专家说,‘我们已经输掉这场战争了’,但是我们还不到放弃的时候吧?)。
#######################
附刑法相关条款(蓝色部分是这次新增加的):
第二百八十五条 违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。
“违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。”
“提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的,依照前款的规定处罚。”
第二百八十六条 违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。
违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。
故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的,依照第一款的规定处罚。
第二百八十七条 利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的,依照本法有关规定定罪处罚。
