1、完整性要求信息保持原样,确保信息的正确生成、正确存储、正确传输。影响信息完整性的主要因素有:设备故障、误码、人为攻击、计算机病毒等。(4)可靠性可靠性是指系统能在规定的条件和规定的时间内完成规定的功能的特性。它包括三方面:一是抗毁性,即系统在人为破坏下的可靠性。增强抗毁性可以有效地避免因各种灾害(如战争、地震)造成的大面积瘫痪事件。二是生存性,即系统在随机破坏下的可靠性。随机性破坏是指系统部件因为自然老化等造成的自然失效。三是有效性,它主要反映在网络信息系统的部件失效情况下,满足业务性能的可靠性。(5)可用性可用性是指网络信息可被授权用户并按需求使用的特性,它是网络信息系统面向用户的安全性能。
2、(6)不可否认性不可否认性是指在网络信息系统的信息交互过程中,确信参与者的真实同一性,所有参与者都不可能否认或抵赖曾经完成的操作和承诺。数字签名技术是解决不可否认性的手段之一。(7)可控性可控性是对网络信息的传播及内容具有控制能力的特性。对于电子政务系统而言,可控性是十分重要的特点,所有需要公开发布的信息必须通过审核后才能发布。3、电子政务中信息安全面临的威胁威胁不仅来自于外部,也来自于内部。不仅间谍、罪犯可能对电子政务系统进行攻击,各种人员、机构出于各自的目的也可能对电子政务系统进行攻击。与传统政务不同,电子政务对信息技术有很大的依赖性,因此,信息系统自身存在的漏洞和缺陷会对政务机关业务的开
3、展和连续运行造成安全隐患。电子政务面临的安全威胁可以分成两大类:(1)非人为的安全威胁。非人为的安全威胁分为两种: 自然灾害,如地震、水灾等。电子政务系统都是在一定的地理环境下运行的,自然灾害可能对电子政务系统造成毁灭性的破坏。 技术上的局限性。信息技术可能存在的漏洞和缺陷,如系统、硬件、软件的设计漏洞,配置漏洞等。信息系统的高度复杂性和技术的高速发展变化,使得信息系统的技术漏洞问题越来越被重视。(2)人为的安全威胁。人为的安全威胁根据行为人的主观意思不同,分为两种: 非恶意威胁,指行为人没有破坏政务信息系统的故意,但其行为对政务信息系统实际造成了威胁,如内部人员因经验不足、培训不足而进行的错
4、误操作。错误操作的后果可能将敏感数据、文件泄露,也可能造成数据的严重损坏,破坏系统的正常运行。 恶意威胁,指出于各种目的对政务系统实施的攻击。人为的恶意威胁根据行为的方式不同,可以分为:主动攻击。典型的例子如:A恶意修改数据和安全配置参数。B恶意建立未授权的网络连接,如拨号连接。非法的网络连接除了会造成信息泄露外,还可能被人用来攻击政务信息系统。C恶意的物理损坏。D越权。这是对政令发布执行、权限管理、责任认定、流程管理最大的威胁之一。E利用软件、系统的故障和后门,等等。被动攻击。这类攻击主要包括监视、接收、记录开放的通信信道上的信息传递,行为人主要是了解所传递的信息,一般不易被发现。A监视通信
5、数据。B通信流量分析。C口令截获。口令一旦被截获,很容易被攻击者用来破坏政务信息系统。接近攻击。在政务信息系统中,接近攻击容易发生在保安措施不到位的地方,攻击者在地理上尽量接近被攻击的网络、系统和设备,目的是收集、修改信息,或者破坏系统。接近可以是秘密的,也可以是公开的。接近攻击的典型例子如:偷取磁盘后又放回。偷窥屏幕信息。收集作废的打印纸。D物理毁坏通信线路。E利用电磁辐射和泄露接收信息。分发攻击。是指攻击者在政务系统软件、硬件的开发、生产、运输和安装阶段,恶意修改设计、配置的行为。4、我国电子政务面临的信息安全问题有调查表明,我国大部分的政府网站目前还没有设置防火墙。国家有关部门通过模拟攻
6、击,对650个政府上网单位的信息安全工作进行了检查,发现其中80%的网站没有安全措施,有的甚至被黑客攻击之后也不向有关部门报告。我们不清楚这些网站后面有多少政府部门内部的办公系统和存储秘密信息的数据库相连,所以无法准确判断多少政务信息面临被泄露、修改、删除的危险。 在黑客技术十分发达的,这种现状对电子政务信息安全是个极大的威胁。总的说来,我国电子政务面临的信息安全问题主要表现在:一是政府信息网络安全存在隐患。网络非常脆弱,各种安全隐患普遍存在。掌握了一定技术的人可以轻易获取网络服务器上的用户账号信息和口令文件,并可进入系统修改、删除重要数据文件。一旦这些系统被非法侵入和破坏,将不能正常工作,甚
7、至全部瘫痪。二是网络犯罪活动日益增多。近年来,金融机构内部利用计算机犯罪案件大幅度上升;在互联网上泄露国家秘密的案件屡有发生;另外,境内外黑客攻击破坏网络的问题十分严重。他们通常采用非法侵入重要信息系统,修改或破坏系统功能或数据等手段,造成数据丢失或系统瘫痪,给国家造成重大政治影响和经济损失。三是管理体制不完善。管理问题主要体现在以下几个方面:组织管理不完善, 安全管理任务没有办法落实到人, 没有明确责权;管理规范未建立, 制度不完善; 技术管理不到位, 大多数只考虑防火墙、防病毒等基本技术安全措施, 并没有提高到管理程度;日常管理存在很多漏洞,计算机的日常使用, 信息保存、流转、归档都存在不
8、同程度的漏洞。由此可见,我国电子政务信息安全不仅是技术的问题,还有人员意识问题、管理问题等。为了保证电子政务的安全性,政府必须从不同方面做好防范措施。首先,在电子政务投入使用之前,必须设立电子认证机构,由认证机构通过密码技术来确认本人的身份以及电子邮件是否来自本人或政府机关;第二,必须大力开发计算机防病毒技术和计算机安全技术,防止不法分子篡改数据等犯罪行为;第三,必须在法律上逐步建立和完善相关的法案,给予电子签名与手写签名、盖章相同的法律保障,制定出规范电子政务安全性的法规,例如“禁止非法入侵网络法”、“电子银行法”、“网络信息保护法”等等;第四,必须在政府各部门建立安全管理体系,包括安全检测
9、、运行安全、信息安全、计算机安全、人员管理、计算机网络管理以及网络公共秩序安全等等;第五,必须不断完善密码技术,充分利用与电子政务相适应的电子安全技术,(包括用户身份的验证、网络的安全、主机的安全、内容的安全、系统的安全、通讯线路的安全等等),以便对系统的安全运行提供保障。二、网络犯罪与电子政务信息安全二十世纪七十年代以来,随着计算机在政府机关的广泛运用,大量重要机密的信息通过计算机处理,计算机系统也因此成为犯罪行为侵犯的目标。我国电子政务起步较晚,但面临的问题却是与世界同步。当计算机由单机应用发展到计算机网络,信息尚须通过线路传输,这使网络受到攻击的部位增多。为此,针对网络安全保护,出现了强
10、制性控制机制、完善的鉴别机制和可靠的数据加密传输措施。除了上述技术防范机制外,从法律上对危害信息安全的行为进行立法规范,其威慑力可使有犯罪企图的人产生畏惧心理,从而减少犯罪的可能。1978年出现了世界上第一部计算机犯罪法佛罗里达计算机犯罪法,而在此之前,对偷取信息、篡改信息是否有罪尚无法律依据。维护电子政务的信息安全,很重要的一项工作就是要打击针对政务信息系统的网络犯罪。网络犯罪,在这里特指通过网络侵犯计算机信息系统安全的犯罪。它受到两个方面的限制,第一,并不是所有通过网络进行的危害社会的行为都是网络犯罪;第二,法律没有明确规定为网络犯罪的,就不能追究其法律责任。关于网络犯罪的刑事立法,我国刑
11、法典有三个条文的规定。1、刑法典关于网络犯罪的三个条文(1) 第285条:非法侵入计算机信息系统罪条文:“违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。”(2) 第286条:破坏计算机信息系统罪条文第1款:“违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。第2款:“违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。第3款:“故意制作、传播计算机
12、病毒等破坏性程序,影响计算机系统正常运行,后果严重的,依照第一款的规定处罚。(3) 第287条:利用计算机实施的传统犯罪“利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的,依照本法有关规定定罪处罚。以上三个条文均适用于电子政务领域,其中第285条、第286条是针对信息安全所作的规定,而第287条并不是完全针对信息安全的,只有当行为人利用计算机实施的犯罪危及信息安全时,才是本文要探讨的内容。2、需要明确的几个问题(1)“违反国家规定”的含义刑法第96条规定:“本法所称违反国家规定,是指违反全国人民代表大会及其常务委员会制定的法律和决定,国务院制定的行政法规、规定的行政措施
13、、发布的决定和命令。”具体而言,包括:全国人民代表大会常务委员会关于维护互联网安全的决定、中华人民共和国计算机信息系统安全保护条例、中华人民共和国计算机信息网络国际联网管理暂行规定、中华人民共和国保守国家秘密法等法律、法规。国务院相关部委以及各级地方政府颁布实施的网络管理、信息安全的规章制度,如公安部发布的计算机信息网络国际联网安全保护管理办法,不包含在规定之中。(2)单位能否构成刑法第285、286条规定的犯罪的主体在此,主要是讨论单位能否构成非法侵入计算机信息系统罪和破坏计算机信息系统罪的主体。至于单位能否构成利用计算机网络进行的其他犯罪的主体,则根据刑法有关各罪的规定来确定。单位能否构成
14、上述两罪的主体,理论界有两种不同的观点。 一种观点认为可以构成两罪的主体。依据是:根据中华人民共和国计算机信息系统保护条例第七条规定,“任何组织或者个人,不得利用计算机系统从事危害国家利益、集体利益和公民合法利益的活动,不得危害计算机系统的安全。”在这里,“任何组织”包括单位,因此,单位可以构成犯罪主体。 另一种观点认为,两罪的主体只能是自然人。刑法第30条规定,“公司、企业、事业单位、机关、团体实施的危害社会的行为,法律规定为单位犯罪的,应当负刑事责任。”根据这条规定,只有法律明文规定单位可以构成犯罪的,单位才能成为犯罪的主体。刑法第285、286条均没有规定单位可以构成犯罪的主体,因而,两
15、罪的主体只能是自然人。以上两种观点,后一种更有说服力。因为中华人民共和国计算机信息系统保护条例只是行政法规,其效力等级不能用来确定犯罪与刑罚。因此,单位不能构成上述两罪的主体。但在实践中,单位可以实施非法侵入计算机信息系统、破坏计算机信息系统的行为,若要打击这类行为,宜修改现行刑法。即便承认单位可构成上述两罪的主体,在司法实践中,也存在例外情形。根据最高人民法院1999年6月18日关于审理单位犯罪案件具体应用法律有关问题的解释,个人为进行违法犯罪活动而设立公司、事业单位实施犯罪的,或者公司、企业、事业单位设立后,以实施犯罪为主要活动的,不得以单位犯罪论处,而以自然人犯罪定罪处罚。(3)过失能否
16、构成犯罪过失能否构成侵入计算机信息系统罪,不能一概而论。本文认为,如果电子政务的信息系统没有采取保护措施,行为人侵入该系统,可能涉及行为人对对象的认识错误问题,在这种情况下,也有可能构成意外事件。但如果电子政务系统采取了诸如设置密码之类的保护措施,行为人如果通过破解保护措施来侵入该系统,则不能认定为过失。根据刑法第398条的规定,泄露国家秘密行为的主观方面不论是故意还是过失,都可以构成犯罪,只不过罪名不同。故意泄露国家秘密罪与过失泄露国家秘密罪适用的法定刑幅完全相同,这在刑法上是极为少见的。因此,如果电子政务中涉及国家秘密泄露问题,则过失也可构成犯罪。总之,一般说来要构成网络犯罪,其主观方面应
17、是故意,包括直接故意也包括间接故意。3、三个条文的评释(1)非法侵入计算机信息系统罪 本罪侵犯的犯罪客体限于国家事务、国防建设、尖端科学技术领域的计算机信息系统安全。从实践中来看,这个客体范围明显过小。计算机已经普及到社会各领域,每个领域均有需保护的重要信息,如受到非法侵入,其社会危害性并不亚于上述三种信息被非法侵害所造成的危害,因此,本罪规定三类信息系统为犯罪对象过于狭窄,建议对该条进行修改,将范围适当放宽。 非法侵入计算机信息系统罪是行为犯,只要侵入这三类特定信息系统,即构成犯罪既遂。“侵入”是指擅自以非法解密等手段进入有关重要的计算机信息系统。主要方法有:冒充、技术攻击等。如果侵入后,行
18、为人实施了拷贝行为,则又可能构成非法获取国家秘密罪。如果行为人非法获取该秘密后又泄露给他人,则又可能构成泄露国家秘密罪。 外国人在中国领域外犯罪的法律适用问题。刑法典第8条规定,外国人在中国领域外对我国和我国公民犯罪,可以适用我国刑法,但有严格的限制。其限制条件有:A犯罪行为侵害了我国和我国公民的利益;B按我国刑法规定最低刑必须是3年以上有期徒刑;C按犯罪地的法律规定也应受处罚。根据刑法典第285条的规定,非法侵入计算机信息系统罪的刑幅是“处三年以下有期徒刑或拘役”,因此,外国人在中国领域外侵入中国的国家事务、国防建设、尖端科学技术领域的计算机信息系统,并不适用我国的刑法。这可能会造成法律漏洞
19、。 中国人在中国领域外犯罪的法律适用问题刑法典第7条第一款规定,中国公民在中国领域外犯罪的,如果我国刑法规定的最高刑为三年以下有期徒刑的,可以不予追究。非法侵入计算机信息系统罪符合此规定。“可以不予追究”,具体而言,包括:A公安机关不立案。B检察院不起诉。C法院不定罪。“可以不予追究”,指的是可以不追究,也可以追究;可以不追究的是刑事责任,不影响其他法律责任的承担。根据刑法典第7条第二款的规定,国家工作人员和军人在中国领域外犯罪的,必须按我国刑法来定罪量刑,这是对特定犯罪主体的特别规定。(2)破坏计算机信息系统罪 行为方式有三种:A针对计算机信息系统功能进行的破坏;B针对计算机信息系统中存储、
20、处理或者传输的数据和应用程序进行的破坏;C故意制作、传播计算机病毒等破坏性程序的行为。 破坏计算机信息系统罪是结果犯,即以造成严重的破坏性后果为构成要件。(3)利用计算机实施的传统犯罪行为人利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密等犯罪行为,不构成真正意义上的计算机犯罪。刑法之所以作了第287条的规定,正是考虑到不少犯罪把计算机网络作为一种新的犯罪工具,即在犯罪手段上有的变化,但其社会危害性以及犯罪构成与传统的犯罪在实质上没有什么区别,所以,没有必要把利用计算机实施的犯罪都规定为新的犯罪。因此,该条规定依照所实施的具体犯罪行为定罪处罚。在分析非法侵入计算机信息系统罪时,已经列
21、明了外国人在中国领域外对我国和我国公民犯罪适用我国刑法的限制条件,根据这些条件,如果外国人在中国领域外犯罪,即使我国刑法规定最低刑为三年以上有期徒刑,但按其犯罪地的法律不受处罚的话,那么不能适用我国刑法。这方面在国外已有先例。1997年克罗地亚三名中学生在英特网上利用计算机破译了美国国防部五角大楼的计算机系统密码口令,侵入美国军事计算机系统,将美国战略战术导弹部署、军事卫星用途等高级机密文件资料饱览一通后从容退出。事后美国向克罗地亚提出引渡这三名中学生到美国受审的要求,遭到克罗地亚的拒绝,因克罗地亚的刑法不承认计算机入侵为犯罪。4、对刑法典立法取向的重申为了保障互联网的运行安全和信息安全,20
22、00年12月28日第九届全国人大常务委员会第十九次会议通过了关于维护互联网安全的决定,根据该决定第1条的规定,下列行为构成犯罪的,依照刑法有关规定追究刑事责任:(1) 侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统。(2)故意制作、传播计算机病毒等破坏性程序,攻击计算机系统及通信网络,致使计算机系统及通信网络遭受损害。(3)违反国家规定,擅自中断计算机网络或者通信服务,造成计算机网络或者通信系统不能正常运行。这个条款是针对网络犯罪的规定,它与刑法典的规定比较相似,如把“侵入”限定在国家事务、国防建设、尖端科学技术领域,只要侵入这三类信息系统,即构成犯罪既遂,这可以说是对刑法典规定内容
23、的重申。决定所说的“依照刑法有关规定”,主要就是依照刑法第285、286、287条的规定。三、计算机信息系统安全保护与电子政务信息安全1、计算机信息系统安全保护八项制度适用于电子政务1994年2月18日,我国颁布了中华人民共和国计算机信息系统安全保护条例(以下简称条例),这是我国第一个计算机安全法规,它完全能够适用于电子政务领域。它以法规的形式,在立法上确立了我国计算机信息系统安全保护的八项制度。条例主要规定了行政责任的方式来制裁危害计算机信息系统安全的行为。(1)保护等级制度根据条例第9条的规定,计算机信息系统实行安全等级保护,等级的划分标准和保护的具体办法,由公安部会同有关部门制定。之所以
24、把安全划分不同的等级,目的是避免平均用力,在人力、物力、财力等方面,按安全等级的不同需要,有针对性地投入。因此,安全等级不同,采取的安全保护措施也会有明显的差别。违反计算机信息系统安全等级保护制度,危害计算机信息系统安全的,由公安机关处以警告或者停机整顿(条例第二十条第一项规定)。(2)机房安全管理制度根据条例第10条的规定,计算机机房应当符合国家标准和国家有关规定,在机房附近施工,不得危害计算机信息系统的安全。计算机机房不符合国家标准和国家其他有关规定的,或者在计算机机房附近施工危害计算机信息系统安全的,由公安机关会同有关单位进行处理(条例第二十一条规定)。(3)国际联网备案制度根据条例第1
25、1条的规定,进行国际联网的计算机信息系统,由该系统的使用单位报省级以上人民政府公安机关备案。这项规定旨在保障跨境数据流的安全,是保障联网单位信息系统安全的重要措施。违反计算机信息系统国际联网备案制度的,由公安机关处以警告或者停机整顿(条例第二十条第二项规定)。有关国际联网的制度,在中华人民共和国计算机信息网络国际联网管理暂行规定(以下简称暂行规定)有比较具体的规范。该法规第二条明确规定:“中华人民共和国境内的计算机信息网络进行国际联网,应当依照本规定办理。”因此,我国电子政务中进行国际联网同样要遵守这些规定。这些规定与电子政务相关的主要内容有: 国务院信息化工作领导小组负责协调、解决有关国际联
26、网工作中的重大问题。领导小组办公室制定具体管理办法,明确国际出入口信道提供单位、互联单位、接入单位和用户的权利、义务和责任,并负责对国际联网工作的检查监督。 计算机信息网络直接进行国际联网,必须使用邮电部国家公用电信网提供的国际出入口信道。任何单位和个人不得自行建立或者使用其他信道进行国际联网。 接入网络必须通过互联网进行国际联网。接入单位拟从事非经营活动的,应当报经有权受理从事非经营活动申请的互联单位主管部门或者主管单位审批;未经批准的,不得接入互联网络进行国际联网。 从事国际互联网业务的各单位和个人,应当遵守国家有关法律、行政法规,严格执行安全保密制度,不得利用国际联网从事危害国家安全、泄
27、露国家秘密等违法犯罪活动。 暂行规定关于法律责任规定:违反暂行规定的,由公安机关责令停止联网,给予警告,可以并处15000元以下罚款;有违法所得的,没收违法所得。同时触犯其他有关法律、行政法规的,依照有关法律、行政法规的规定予以处罚;构成犯罪的,依法追究刑事责任。(4)计算机信息媒体进出境申报制度根据条例第12条的规定,运输、携带、邮寄计算机信息媒体进出境的,应当如实向海关申报。一张极普通的软盘,可以存储相当多的信息,携带方便,这就使得向海关如实申报进出境的计算机信息媒体,显得十分必要,这项制度有助于维护信息安全。运输、携带、邮寄计算机信息媒体进出境,不如实向海关申报的,由海关依照中华人民共和
28、国海关法和条例以及其他有关法律、法规的规定处理(条例第二十二条规定)。(5)使用单位安全责任制度根据条例第13条的规定,计算机信息系统的使用单位应当建立健全安全管理制度,负责本单位信息系统的安全保护工作。这项规定把安全责任放到各单位、各部门,有利于提高它们对计算机信息系统安全保护工作重要性的认识,有效落实安全责任制度。使用单位接到公安机关要求改进安全状况的通知后,在限期内不改进的,由公安机关处以警告或者停机整顿(条例第二十条第四项规定)。(6)危害信息系统安全案件强行报告制度根据条例第14条的规定,对计算机信息系统中发生的案件,有关使用单位应当在24小时内向当地县级以上人民政府公安机关报告。查
29、处危害计算机信息系统安全的违法犯罪案件,是各地公安机关的职责,实行24小时强行报告制度,有助于迅速及时地侦破计算机犯罪案件。使用单位不按规定时间报告的,由公安机关处以警告或者停机整顿(条例第二十条第三项规定)。(7)计算机病毒和有害数据防治归口管理制度根据条例第15条的规定,对计算机病毒和危害社会公共安全的其他有害数据的防治研究工作,由公安部归口管理。条例对“计算机病毒”作了定义:是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。“有害数据”,根据1996年5月9日公安部对条例中涉及的“有害数据”问题作出的批复,是指计算机信息系统及其存
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1
升级会员 