提供侵入、非法控制计算机信息系统程序、工具罪的认定
苏家成(作者单位:浙江省宁波市鄞州区人民法院)
【裁判要旨】行为人违反规定,向他人提供专门用于侵入、非法控制计算机信息系统的程序、工具,情节严重的,构成提供侵入、非法控制计算机信息系统程序、工具罪。
■案号一审:(2011)甬鄞刑初字第1358 号再审:(2012)浙甬刑抗字第2 号
再审:(2012)甬鄞刑再字第2 号
【案情】
原公诉机关:浙江省宁波市鄞州区人民检察院。
原审被告人:冯慧志。
浙江省宁波市鄞州区人民法院经审理查明:被告人冯慧志为获利制作了钓鱼网站和木马病毒程序,专门用于在互联网上盗取他人使用的QQ 聊天工具。2010年8 月至2011 年6 月,被告人冯慧志以贩卖的形式将其制作的钓鱼网站和木马病毒程序提供给覃某、王忠某、王鹏某、王某等人使用,利用户名为刘某、潘某、韦某等人的银行卡收钱,非法获利达10000 余元。覃某、王忠某、王鹏某、王某等人利用被告人冯慧志提供的钓鱼网站和木马病毒程序实施诈骗行为,
分别以诈骗罪被判处有期徒刑5 年至1 年8 个月并处罚金的刑罚。
【审判】
浙江省宁波市鄞州区人民法院认为,被告人冯慧志非法向他人提供专门用于侵入、非法控制计算机信息系统的程序、工具,情节严重,
其行为已构成提供侵入、非法控制计算机信息系统程序、工具罪,公诉机关指控的罪名成立。被告人冯慧志在庭审中能自愿认罪,可酌情予以从轻处罚。依照刑法第二百八十五条第三款、第六十一条、第六十四条,和最高人民法院、最高人民检察院《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第3 条第1款第(5)项之规定,判决:一、被告人冯慧志犯提供侵入、非法控制计算机信息系统程序、工具罪,判处有期徒刑1 年2 个月,并处罚金人民币1 万元;二、被告人冯慧志违法所得人民币10000 元,予以没收,上缴国库;三、责令被告人退还给各被害人相关经济损失。
判决生效后,浙江省宁波市人民检察院于2012 年9 月18 日以有新的证据证明原审判决原审被告人冯慧志犯罪事实确有错误,并导致量刑畸轻为由,以甬检刑抗[2012]2 号刑事抗诉书,向浙江省宁波市中级人民法院提出抗诉。
浙江省宁波市人民检察院抗诉认为,有新的证据证明原审被告人冯慧志为获取非法利益,制作钓鱼网站和木马病毒程序,有偿提供他人用于互联网上盗取腾讯QQ聊天账号和密码。2010 年8 月至2011 年6 月,原审被告人冯慧志将其制作的钓鱼网站和木马病毒程序有偿提供给王忠某、王鹏某等众多人使用,至少136 次。王忠某、王鹏某等人利用冯慧志提供的钓鱼网站和木马病毒程序,实施了诈骗犯罪行为。原审判决在认定事实错误的前提下,适用法律不当,导致量刑畸轻。对原审被告人冯慧志应依据最高人民法院、最高人民检察院《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》
第3 条规定,认定为属于刑法第二百八十五条规定的提供侵入、非法控制计算机信息系统程序、工具罪情节特别严重的情形,应对其判处3 年以上7 年以下有期徒刑,并处罚金。
2012 年9 月20 日,浙江省宁波市中级人民法院以(2012)浙甬刑抗字第2 号再审决定书指令宁波市鄞州区人民法院另行组成合议
庭对本案进行再审。宁波市鄞州区人民法院依法另行组成合议庭,于2012 年10 月25 日对本案进行了不公开开庭审理。
再审中,原审被告人冯慧志对抗诉机关的抗诉意见和新证据没有异议,并承认非法获利30000 元左右。
再审中,原审被告人冯慧志的辩护人提出:1.抗诉机关当庭演示的光盘不能作为本案的再审依据;2. 抗诉机关和侦查机关对原审被告人冯慧志进行讯问的过程可能违法;3.抗诉机关提交的原审被告人冯慧志的QQ 聊天内容记录获取的方法也可能不合法,且不属于新发现的证据范畴,不属于新证据;4.原审被告人冯慧志QQ 聊天内容记录中后一次向对方提供的是否是其制作的钓鱼网站和木马病毒,证据尚不充分。
浙江省宁波市鄞州区人民法院经再审查明,原审被告人冯慧志为非法获利制作了钓鱼网站和木马病毒程序,专门用于在互联网上盗取他人使用的QQ 号、冒用QQ号主人身份行骗。2010 年8 月至2011 年6 月间,原审被告人冯慧志以贩卖的形式将其制作的钓鱼网站和木马病毒程序提供给王忠某、王鹏某等众人使用,至少136次。冯慧志利用户名为刘某、潘某、韦某等人的银行卡收钱,非法获利22000 余元。
王忠某、王鹏某等人利用原审被告人冯慧志提供的钓鱼网站和木马病毒程序,实施了骗行为。
浙江省宁波市鄞州区人民法院再审认为,原审就原审被告人冯慧志非法向他人提供专门用于侵入、非法控制计算机信息系统的程序、工具,本着存疑有利于被告人的原则,就低认定原审被告人冯慧志非法获利1 万余元,属情节严重,其行为已构成提供侵入、非法控制计算机信息系统程序、工具罪,原公诉机关指控的罪名成立,原审以此为据对原审被告人冯慧志依法作出判决并无不当。但现有新的证据证明原审被告人冯慧志将其制作的钓鱼网站和木马病毒程序提供给王忠某、王鹏某等众多人使用,至少136 次,属情节特别严重。原审认定的事实有误,适用法律不当,但责任不在原审。检察机关的抗诉理由成立,应予支持。原审被告人冯慧志再审中自愿认罪,具有一定的悔罪表现,可酌情从轻处罚。原审中,原审被告人冯慧志在三次庭审中均供述其非法获利1 至2 万元,再审庭审中,原审被告人冯慧志供述其非法获利3 万元左右,结合检察机关在原判决生效后对原审被告人所作的讯问,原审被告人冯慧志供述就每次提供钓鱼网站和木马病毒程序后,收取的非法获利数额相加后为22000 余元,故以认定原审被告人冯慧志非法获利22000 元为宜。抗诉机关在抗诉的同时,向法院提交了原审被告人冯慧志QQ 聊天内容记录和以此为依据制作的光盘,属于原判决生效前已经收集,但未在原审庭审中质证、认证的证据,应认定为新证据。从公安机关出具的情况说明来看,公安机关经过审批,运用技术侦查手段收集该新证据,新证据在再审
庭审中予以质证、认证,可以作为再审的定案证据使用,且原审被告人冯慧志对该新证据也无异议,足以证明原审被告人冯慧志的犯罪事实。其辩护人提出该证据不属于新证据、不能作为再审的证据和该证据尚不充分的辩护意见,不予支持。抗诉机关在再审开庭前向法院提交了侦查机关和抗诉机关提押记录,未发现侦查机关和抗诉机关讯问原审被告人冯慧志时存在违法现象。原审被告人冯慧志在再审庭审中也未提出侦查机关及抗诉机关讯问其时存在违法。其辩护人提出侦查机关和抗诉机关对原审被告人冯慧志进行讯问的过程可能违法的辩
护意见,法院也不予采纳。现根据原审被告人冯慧志的犯罪事实、犯罪性质、情节和对于社会的危害程度,经法院审判委员会讨论决定,对原审被告人冯慧志依照刑法第二百八十五条第三款、第六十一条、第六十四条,和最高人民法院、最高人民检察院《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第3 条第1款第(2)项、第(6)项的规定,判决:一、维持本院(2011)甬鄞刑初字第1358 号刑事判决书第(三)项。二、撤销本院(2011)甬鄞刑初字第1358 号刑事判决书第(一)项、第(二)项的判决,即被告人冯慧志犯提供侵入、非法控制计算机信息系统程序、工具罪,判处有期徒刑1年2 个月,并处罚金人民币1 万元。被告人冯慧志违法所得人民币10000 元,予以没收,上缴国库。三、原审被告人冯慧志犯提供侵入、非法控制计算机信息系统程序、工具罪,判处有期徒刑3 年6 个月,并处罚金人民币30000 元。四、原审被告人冯慧志违法所得人民币22000 元予以没收,上缴国库。
【评析】
随着信息化时代的到来,各类计算机犯罪也接踵而至,其犯罪手法之高、专业化之强给刑法的规制带来了严峻挑战。为有力回应和直面这一挑战,刑法修正案(七)增补了原有的计算机犯罪的条款,增设了非法获取计算机系统数据罪和提供用于侵入、非法控制计算机信息系统的程序、工具罪。2011 年8月,最高人民法院、最高人民检察院发布了《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(以下简称《解释》),为提供用于侵入、非法控制计算机信息系统的程序、工具案件提供了可操作的标准。但审判实务中对如何认定提供用于侵入、非法控制计算机信息系统的程序、工具罪仍有诸多需要厘清之处,本文拟结合冯慧志案阐明提供用于侵入、非法控制计算机信息系统的程序、工具罪的司法认定。
根据刑法第二百八十五条第三款的规定,提供用于侵入、非法控制计算机信息系统的程序、工具罪是指提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的行为。本罪并无对于犯罪主体的特别规定,因此是一般主体;而对于本罪的犯罪客体,一般认为是指计算机信息系统安全。对本罪主体和客体的把握容易理解,而对于本罪罪状的司法认定与把握,应当突出对本罪的客观方面和主观方面的理解。
一、客观方面:被告人制作专门程序、工具供他人实施违法犯罪活动。
本罪的客观方面表现为两种情况:一是提供专门用于侵入、非法控制计算机信息系统的程序、工具。二是明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具。其中有以下几个方面的问题需要明确:
1.本罪的犯罪对象:专门抑或其他程序、工具。
从罪状规定来看,本罪的犯罪对象有两种,即专门用于侵入、非法控制计算机系统的程序、工具以及其他程序、工具。对于第二种犯罪对象,需要对罪状进行合理解释,即这种程序、工具应当是有其他用途但也可用于侵入、非法控制计算机信息系统的程序和工具。这实际包含了两层意思:一是这种程序和工具必须具有对计算机信息系统安全造成侵犯的可能性,在功能上可以实现对计算机信息系统的非法控制和侵入;二是这种程序不以专门性为必要,既可以是具有其他用途,但在不当使用时即会产生危害后果。
“所谓专门用于非法侵入计算机系统的程序、工具,主要是指专门用于非法获取他人登录网络应用服务、计算机系统的账号、密码等认证信息以及智能卡等认证工具的计算机程序、工具;所谓专门用于非法控制计算机信息系统的程序、工具,主要是指可用于绕过计算机信息系统或者相关设备的防护措施,进而实施非法入侵或者获取目标系统中数据信息的计算机程序。”①因此,前述的第一种犯罪对象,实际排除了该项工具、程序具有合法用途的可能性。《解释》第2 条对于这种类型的犯罪对象进行了明确的界定:(1)具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权获取计算机
信息系统数据的功能的;(2)具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权对计算机信息系统实施控制功能的;(3)其他专门设计用于侵入、非法控制计算机信息系统、非法获取计算机信息系统数据的程序、工具。而第二种犯罪对象,则强调有造成危害后果的可能性即可,其本身的用途并无限制。这说明,若提供的是专门的程序、工具,被提供者是否实际使用,不影响犯罪的成立;若提供的不是专门的,而是普通的程序、工具,只有被提供者实际使用,才能认定提供者构成犯罪。
2.本罪的客观行为:提供。
本罪的客观行为从罪状规定上较为简单,仅表述为“提供”一词。“提供”在我国刑法各罪的规定中并不少见,就该词本身而言,也属于耳熟能详的普通用语。立法机关将提供解释为向他人供给,也有观点解释的更为宽泛,是指研制、出售和无偿提供。这里的提供并不限于有偿提供,只是客观上实施了向他人供给的行为,使得他人实现了对物的控制。当然,在此还需要注意的是,对于提供后的行为或者状态对于提供行为界定的影响。从刑法基本原理来看,诸如提供、介绍等行为一般是对于某项犯罪的实行行为的帮助,本身并不能构成独立的实行行为。但立法者也会考虑到某些帮助行为本身就具有较大的社会危害性,有单独评价的必要,因此,便将较为严重的帮助行为直接规定为实行行为。这也意味着通过法律拟制而成为实行行为的帮助行为,在社会危害性的严重程度上,和一般意义的实行行为是等量齐观的。具体到本罪,对于提供的判断也要建立在行为人会造成危害后
果的基础之上。如果提供行为所造成的社会危害性并不严重到和计算机犯罪的实行行为相当的程度,就不宜将其认定为犯罪。
本案中,被告人冯慧志为获利制作了钓鱼网站和木马病毒程序,专门用于在互联网上盗取他人使用的QQ 聊天程序、工具,该程序、工具本身具有避开或者突破计算机信息系统安全保护措施的功能,或者具有获取计算机信息系统数据、控制计算机信息系统的功能,且避开或者突破计算机信息系统安全保护措施及其获取数据和控制功能,在设计上即能在未经授权或者超越授权的状态下得以实现。被告人冯慧志将制作的病毒程序、工具有偿提供给他人使用,促使他人利用该程序、工具实现侵入、非法控制计算机信息系统而从事非法诈骗活动,危害计算机信息系统的安全,符合本罪客观方面的基本特征。
二、主观方面:被告人故意提供程序、工具从中获利。
1.本罪包括间接故意犯罪。
从罪状规定来看,本罪属于典型的故意犯罪,但对于是否包括间接故意的情形,理论上存在一定的争议。大多数论述并未将本罪严格限制为直接故意犯罪,但也有论者指出:“行为人不可能将上述程序、工具放任他人占有,因而不可能出于间接故意的犯罪态度。”笔者认为,不宜对此处的故意犯罪进行限缩解释,本罪也应当包括间接故意的情形。这是因为:第一,从我国的刑事立法习惯来看,从未在罪状中将一项犯罪明确规定为只能由直接故意构成。而这往往是通过刑法解释来完成的。这主要体现在目的犯的范畴中:当刑法条文中出现了对犯罪目的抑或犯罪动机的描述时,基于通说对于“间接
故意犯罪中不存在犯罪目的和犯罪动机”的认识,排除了间接故意存在于上述犯罪中的可能性。但本罪中并无犯罪动机和犯罪目的的法定表述,而且,从目前的司法实践来看,也并未将本罪视为非法定的目的犯,即并不在条文中规定某一犯罪所需的特殊目的,而需要法官根据一定的原则予以补充的情形。因此,将本罪限定为直接故意犯罪缺乏法律依据,也不符合司法实践现状。第二,从本罪的特殊性来看,也不宜将本罪限定为直接犯罪。虽然刑法中大多数的故意犯罪在实践中都体现为直接故意犯罪的状态,本罪也不例外,但完全有可能出现行为人在明知自己的提供行为可能会造成危害计算机信
息系统安全的后果,但依然放任该危害后果发生的情况。这是由本罪犯罪对象的特殊性所决定的。对于第一种犯罪对象,由于强调程序、工具在危害计算机信息系统安全上的专门性,而这种专门性的判断具有相当的专业性,可能行为人对此也只是一知半解,无法确定自己的提供行为是否就会造成危害后果,对此持一种听之任之的放任态度。对于第二种犯罪对象,由于其可能危害到计算机系统安全,但行为人的提供行为也不一定就意味着其希望他人使用该工具实现危
害后果的发生。因为完全可能出现他人未使用行为人的程序、工具的情形,或者使用该程序、工具从事正当操作的情形。这在多人同时向同一人提供程序、工具的情形时,体现得更为明显。因此,笔者认为,本罪在主观方面上应当包括间接故意的情形。
2.明知的证明与推定。
对于提供用于侵入、非法控制计算机信息系统的专门工具、程序
的行为,并没用对于明知内容的法定规定;而对于提供具有危害性可能的非专门工具、程序的行为,则需要明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为为必要。相比较而言,立法者认为后者在法律适用时需要参照更为严格的标准。那么,对于这里的明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为应当如何理解呢?
笔者认为,此处明知的规定,只需要行为人对于他人实施侵入、非法控制计算机信息系统的一种或者某种违法犯罪行为的可能性即可,对于具体的违法犯罪行为的内容、后果不需要认识。同时,即便是行为人对于他人实施侵入、非法控制计算机信息系统的违法犯罪活动持怀疑态度,认为其可能实施违法犯罪活动,也可能不实施,但如前所述,本罪属于一般意义的故意犯罪,间接故意也可构成本罪,因此,这种相对模糊的认识也不影响本罪的认定。由于立法对于此种情形的主观明知做出了直接规定,因此自然成为了一个重要的待征事实。
对于明知的证明标准,立法并未明确,需要司法实践从严把握。笔者认为,除了需要仔细分析被告人供述外,还要采取刑事推定的方法予以证明。该明知的证明标准为:(1)被告人供述其提供的程序、工具时,明知他人利用该程序、工具实施如获取支付结算、证劵交易、期货交易等网络金融服务的身份认证信息等违法犯罪活动;(2)被提供者供述被告人提供程序、工具时,明知其利用该程序、工具侵入、非法控制计算机信息系统而从事违法犯罪活动;(3)被告人
在提供程序、工具时,宣称该程序、工具具有避开或者突破计算机信息系统安全保护措施的功能,或者具有获取计算机信息系统数据,控制计算机信息系统的功能,且可以利用该程序、工具从事违法犯罪活动,进而获取非法利益的目的;(4)被告人提供侵入、非法控制计算机信息系统的程序、工具的目的是从中获利或以此为主要生活来源;(5)有QQ聊天记录,证实被告人提供程序、工具时,明知被提供人实施违法犯罪活动;(6)其他明知或应当明知的情形。
本案中,冯慧志制作钓鱼网站和木马病毒程序,作为专门提供他人侵入、非法控制计算机信息系统的程序、工具,以100 至500 元不等的价格有偿获利,希望或放任他人侵入、非法控制计算机信息系统而获取数据,进而实施诈骗行为。因此,被告人冯慧志在犯罪活动中,制作专门侵入、非法控制计算机信息系统的木马病毒程序、工具,提供给他人就有可能被利用而实施违法犯罪活动。
三、情节方面:被告人的犯罪行为达到情节特别严重的标准。
根据《解释》第3 条的规定,提供侵入、非法控制计算机信息系统的程序、工具,具有下列情形之一的,应当认定为刑法第二百八十五条第三款规定的情节严重:(一)提供能够用于非法获取支付结算、证券交易、期货交易等网络金融服务身份认证信息的专门性程序、工具5 人次以上的;(二)提供第(一)项以外的专门用于侵入、非法控制计算机信息系统的程序、工具20 人次以上的;(三)明知他人实施非法获取支付结算、证券交易、期货交易等网络金融服务身份认证信息的违法犯罪行为而为其提供程序、工具5人次以上
的;(四)明知他人实施第(三)项以外的侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具20 人次以上的;(五)违法所得5000 元以上或者造成经济损失1 万元以上的;(六)其他情节严重的情形。实施前款规定行为,具有下列情形之一的,应当认定为提供侵入、非法控制计算机信息系统的程序、工具情节特别严重:(一)数量或者数额达到前款第(一)项至第(五)项规定标准5 倍以上的;(二)其他情节特别严重的情形。该《解释》从使用次数、违法所得、经济损失数额等方面对情节严重进行了界定,但笔者认为,由于情节是具有综合性的要件,因此在把握上不宜局限于《解释》所明确规定的几种情形。具体而言,笔者认为可以从违法所得、提供工具次数、所帮助的犯罪的社会危害性程度来把握本罪的情节严重。除了《解释》所规定的情形外,还应当包括以下几种情况:(1)专门性工具、程序被大量下载、复制,流传范围较广,行为人对此明知或者应当明知的;(2)在提供的专门性工具中,能够实现对国家机关、金融机构等重要单位的计算机信息系统的侵入和非法控制的:(3)提供专门性工具侵入、控制计算机信息系统是为了搜集重要情报、公民身份认证信息的;(4)明知他人实施了较为严重的计算机犯罪而提供帮助的;(5)有下游犯罪,且造成了严重的危害后果,行为人在提供程序、工具时对其明知或者应当明知的;等等。
本案经再审认定,被告人冯慧志将其制作的钓鱼网站和木马病毒程序提供给诈骗犯罪被告人王忠某、王鹏某等众多人使用,至少136
次,从中获利22000 元,达到《解释》第3 条规定的明知他人实施其他侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具达到20 人次的五倍以上,属情节特别严重的情形,因此,再审的判决量刑符合法律规定。
案例一: 2011年11月,何彬(另案已处理,已判刑)在东莞市石龙镇华南花园信息科技园A04号成立东莞市百易网络科技有限公司,并担任法定代表人。期间,何彬从黑客手中购买大量侵入他人计算机信息系统权限wXXXXXll(一种权限的名称,涉及商业密码,故需用XXX标识),在未得到网站权属所有人同意下,多次使用wXXXXXll侵入他人网站,其中包含https://www.doczj.com/doc/e011393342.html,等41个政府网站。何彬为谋取利益,将客户广告以超链接的形式挂靠在侵入网站上,以提高客户网页的点击率提高客户网页在网络搜索引擎的排名。期间,何彬聘用任涛及梁梓峰、邓亮(后2人均已判刑)协助侵入他人计算机信息系统工作,将超连接文件复制、粘贴后保存在侵入网站源文件里。2012年10月26日,公安机关通过技侦手段,在东莞市石龙镇华南花园信息科技园A04号东莞市百易网络科技有限公司内,将被告人任涛抓获归案,并当场缴获电脑主机9台、笔记本电脑1台等作案工具。经统计,何彬等人通过网络支付工具支付宝收到客户支付145660.1元利益。 法院认为,任涛无视国法,违反国家规定,侵入国家事务的计算机信息系统,其行为均已构成非法侵入计算机信息系统罪,依法应予惩处。公诉机关(即检察院)指控任涛犯非法侵入计算机信息系统罪,事实清楚,证据确实、充分,
罪名成立。在何彬、任涛及梁梓峰、邓亮的共同犯罪中,任涛起次要及辅助作用,是从犯,依法应当从轻处罚,且任涛归案后如实供述其罪行,依法可以从轻处罚。 判决:任涛犯非法侵入计算机信息系统罪,判处有期徒刑八个月。 案例二: 2015年4月27日至2015年5月11日期间,邓某某与齐某某(另案处理)预谋后,利用工作便利,盗用河南省洛阳市公安局交通警察支队车辆管理所民警黄某、秦某二人的计算机操作口令,非法侵入洛阳市公安局交通警察支队车辆管理所计算机信息系统,共为齐某某办理四十七台大型货车的年审业务。2015年4月27日、28日,邓某某采取相同手段,非法侵入洛阳市公安局交通警察支队车辆管理所计算机信息系统,为贾某办理四辆小型轿车的年审业务。 邓某某违反国家规定,侵入国家事务领域的计算机信息系统,其行为已经构成非法侵入计算机信息系统罪。公诉机关指控的罪名依法成立,本院予以支持。 判决:邓某某犯非法侵入计算机信息系统罪,判处有期徒刑一年零四个月。 案例三:
[摘要]本文探讨了新刑法规定的侵入计算机信息系统罪、破坏计算机信息系统功能罪、破坏计算机数据和应用程序罪、制作传播破坏性程度罪的概念、构成要件和认定时应注意的问题。作者运用计算机专业知识重点论述了四种计算机犯罪的客观方面表现,尤其是对犯罪方法和犯罪对象进行了系统研究。 [关键词]计算机犯罪构成认定 新刑法第285条规定了侵入计算机信息系统罪;第286条规定了破坏计算机信息系统功能罪、破坏计算机数据和应用程序罪和制作传播破坏性程序罪。现就这四种犯罪的构成要件与认定时应注意的问题分析如下: 一、侵入计算机信息系统罪 (二)技术攻击(technologicalattack),即使用技术打败技术,而不采取其他方法,比如猜想程序,猜出口令等。进行技术攻击的主要目的是绕过或取消硬件及软件存取控制机制以进入系统。 (三)后门(backdoor),后门一般是由软件作者以维护或其他理由设置的一个隐藏或伪装的程序或系统的一个入口。例如,一个操作系统的口令机构可能隐含这样一个后门,它可以使一定序列的控制字符允许访问经理的帐号。当一个后门被人发现以后,就可能被未授权用户恶意使用。 (四)陷阱门(trapdoor),也叫活门。在计算机技术中,是指为了调试程序或处理计算机内部意外事件而预先设计的自动转移条件。陷阱一般只有制造商知道,不告诉用户。程序调好后应关闭陷阱。如果厂商交货时忘记关闭陷阱,就会被人利用而绕过保护机制,然后进入系统。 这种犯罪的主体,一般是具有相当水平的计算机操作人员。这些“侵入者”可按其犯罪故意的不同划分为两类:一类叫“计算机玩童”(naughty)。他们侵入计算机信息系统往往是出于好奇,或者是为了恶作剧,有的则为了检验自己的计算机技能。另一类叫“计算机窃贼”(hacker),也译“赫尔克”。这些人“侵入”纯粹出于犯罪目的。 侵入计算机信息系统罪属行为犯,只要有“侵入”的事实,即构成犯罪既遂。 二、破坏计算机信息系统功能罪 计算机信息系统一般具有采集、加工、存储、传输、检索信息的功能。所谓采集,是指在数据处理中,对要集中处理的数据进行鉴别、分类和汇总的过程;所谓加工,是指计算机为求解某一问题而进行的数据运算,也叫数据处理;所谓存储,是指将数据保存在某个存储装置中,供以后取用;所谓传输,是指把信息从一个地点发送到另一个地点,而不改变
信息科技部 系统访问控制程序 A版 2011年6月1日发布2011年6月1日实施
目录 1 目的 (3) 2 范围 (3) 3 相关文件 (3) 4 职责 (3) 5 程序 (3) 5.1 各系统安全登录程序 (3) 5.2 用户身份标识和鉴别 (4) 5.3 口令管理 (5) 5.4 系统实用工具的使用 (5) 5.5 登录会话限制 (6) 5.6 特殊业务链接时间的限定 ...................................................... 错误!未定义书签。 6 记录 (6)
1 目的 为规范阜新银行信息科技部对各系统的访问控制,预防对系统的未授权的访问特制定此文件。 2 范围 本程序适用于阜新银行信息科技部核心系统及外围系统的维护、登录与管理。 3 相关文件 《口令管理规定》 4 职责 4.1 副总经理负责核心系统及外围系统的运行维护管理指导。 4.2 中心机房管理员负责中心机房的维护、运行及管理。 4.3 信息科技部其他人员配合中心机房管理员的工作。 5 程序 5.1 各系统安全登录程序 5.1.1 由中心机房管理员对登录程序应进行检查确保登录程序满足如下要求: (a)不显示系统或应用标识符,直到登录过程已成功完成为止; (b)在登录过程中,不提供对未授权用户有帮助作用的帮助消息; (c)仅在所有输入数据完成时才验证登录信息。如果出现差错情况,系统不应指出数据的哪一部分是正确的或不正确的; (d)限制所允许的不成功登陆尝试的次数(推荐3次)并考虑: 1)使用策略或其他手段记录不成功的尝试; 2)在允许进一步登录尝试之前,强加一次延迟,或在没有特定授权 情况下拒绝任何进一步的尝试;
计算机信息系统安全管理制度 第一章总则 第一条为了保护计算机信息系统的安全,促进信息化 建设的健康发展,根据国家和辽宁省相关规定,结合本院实际,制定本规定。 第二条本院信息系统内所有计算机的安全保护,适用 本规定。 第三条工作职责 (一)每一个计算机信息系统使用人都是计算机安全员,计算机安全员负责本人在用计算机信息系统的正确使用、日常使用维护,发现故障、异常时及时向计算机信息系统管理员报告; (二)计算机信息系统管理员负责院内: 1、计算机信息系统使用制度、安全制度的建立、健全; 2、计算机信息系统档案的建立、健全,计算机信息系统使用情况的检查; 3、计算机信息系统的日常维护(包括信息资料备份, 病毒防护、系统安装、升级、故障维修、安全事故处理或上报等); 4、计算机信息系统与外部单位的沟通、协调(包括计 算机信息系统相关产品的采购、安装、验收及信息交换等);5、计算机信息系统使用人员的技术培训和指导。 (三)计算机信息系统信息审查小组负责局机关计算机信息系统对内、对外发布信息审查工作。
第二章计算机信息系统使用人员要求 第四条计算机信息系统管理员、计算机信息系统信息 审查员必须取得省计算机安全培训考试办公室颁发的计算 机安全培训合格证书,并由局领导任命,在计算机信息系统安全管理方面接受局领导的直接领导。 第五条计算机安全员必须经安全知识培训,经考核合 格后,方可上机操作。 第六条由计算机信息管理员根据环境、条件的变化, 定期组织计算机安全员开展必要的培训,以适应计算机安全防护和操作系统升级的需要。 第三章计算机信息系统的安全管理 第七条计算机机房安全管理制度 (一)计算机机房由计算机信息管理员专人管理,未经计算机信息系统管理员许可,其他人员不得进入计算机房。 (二)计算机房服务器除停电外一般情况下全天候开机;在紧急情况下,可采取暂停联网、暂时停机等安全应急措施。如果是电力停电,首先联系医院后勤部门,问清停电的原因、何时来电。然后检查UPS电池容量,看能否持续供电到院内开始发电。 (三)计算机房服务器开机时,室内温度应控制在17度,避免温度过高影响服务器性能。 (四)计算机房应保证全封闭,确保蚊虫、老鼠、蟑螂等不能进入机房,如在机房发现蚊虫、老鼠、蟑螂等,应及时杀灭,以防设备、线路被破坏。
“非法获取计算机信息系统数据罪”涉及的若干认定标准《中华人民共和国刑法》第285条包含三种计算机犯罪类型,其中第二款规定的情形为“非法获取计算机信息系统数据罪”,该罪名是2009年刑法修正案补充的罪名。由于刑法规定过于笼统,为对该罪名进行准确的定罪量刑,2011年,最高院又颁布了《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》,对该罪名适用进行了更加详细的规定。本文试结合司法解释的规定和司法实践对该罪名的构成及认定标准进行探讨。 一、非法获取计算机信息系统数据罪的构成要件 《刑法》第285条规定:违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。 根据上述规定,“非法获取计算机信息系统数据罪”应当具备以下构成要件: 1、行为人为自然人,单位不构成本罪; 2、行为人的行为违反了国家规定; 3、行为人非法侵入进入计算机系统或类似侵入的其他技术手段; 4、行为人获取了系统中的数据; 5、行为达到了“情节严重”的标准。 对于“情节严重”的标准,根据《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第一条的规定:非法获取计算机信息系统数据或者非法控制计算机信息系统,具有下列情形之一的,涉嫌非法侵入计算机信息系统罪:(一)获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上的; (二)获取第(一)项以外的身份认证信息五百组以上的; (三)非法控制计算机信息系统二十台以上的; (四)违法所得五千元以上或者造成经济损失一万元以上的; (五)其他情节严重的情形。 实施前款规定行为,具有下列情形之一的,应当认定为非法侵入计算机信息系统罪规定的“情节特别严重”: (一)数量或者数额达到前款第(一)项至第(四)项规定标准五倍以上的; (二)其他情节特别严重的情形。 二、单位是否适用本罪 根据《刑法》第30条的规定:公司、企业、事业单位、机关、团地事实的危害社会的行为,
论非法侵入计算机信息系统罪 计算机络无疑是当今世界最为激动人心的高新技术之一。它的出现和快速的发展,尤其是Internet(国际互联,简称因特)的日益推进和迅猛发展,为全人类建构起一个快捷、便利的虚拟世界。在这个空间里也有它的黑暗的一面,计算机络犯罪正是其中一个典型的例子。20XX年4月,美国航天航空局声称其计算机系统被一个少年入侵(1);20XX年7月20日,美国白宫站遭到黑客成功攻击(2);美国国防部站每天都遭到黑客袭击(3);在20XX年4月份,中国站遭受黑客攻击数百起,政府站占12% (4);而20XX年3月开始的美伊战争更是引发黑客攻击浪潮,美国站每天遭袭2500起。(5) 一、非法侵入计算机信息系统罪概述 非法侵入计算机信息系统罪就是指违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的行为。我国《刑法》第285条规定:违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处3年以下有期徒刑或者拘役。 随着计算机信息系统的广泛建立和运用,一些特殊领域的计算机信息系统日益成为国家和社会中财富、信息集中的要害部门,关系到国计民生的国家事务管理、经济建设、国防建设、尖端科学技术领域的计算机信息系统的正常运行,对于保障国家安全、经济发展以及人民生命财产安全等方面,起着十分重要的作用。同时,也正因为如此,这些系统就成为罪犯攻击的目标。这些信息系统一旦成为犯罪对象而被非法侵入,就可能导致其中的重要数据遭到破坏,或者某些重要、敏感的信息被泄露,事关国家安全、经济发展等。因而论者认为,我国刑法制定该罪既能保障国家重要领域计算机信息系统安全的完整性、保密性,又能震慑、防止行为人将犯罪行为延伸为窃取国家机密、泄漏国家机密或破坏计算机信息系统的行为。 随着黑客技术的发展和黑客的增多,以最近的20XX年为例,全年共发现了57977次明显的数字攻击,这是有数字记录以来攻击次数最多的一年。并且,黑客攻击事件仍在以每年64%的速度增加!(1)出现这种系统攻击现象的原因在于计算机系统本质上是一种数字处理系统,所有的计算机安全系统都是基于一定数学算法来建立的,因此从理论上分析,任何一个计算机系统只要同外界相,那么他就有可能被上的其他人员查找到其系统的漏洞或破解开其系统密码,其他的只是时间长短的问题,甚至万年之久。但是,事实上,随着计算机软硬件技术
ISO27001信息网络访问控制程序 1 目的 为加强内部企业网、Internet网络及网络服务的管理,对内部和外部网络的访问均加以控制,防止未授权的访问给网络和网络服务带来的损害,特制定此程序。 2 范围 本程序适用于内部企业网、Internet网络及网络服务的管理。 3 相关文件 4 职责 4.1 网络管理员负责对网络服务的开启与管理。 4.2 网络管理员负责审批与实施内网、外网的开启。 4.3 信息科技部内部员工必须遵守此程序,网络管理员有监督检查的责任。 4.4 文档管理员负责文档的收录与管理。 5 程序 5.1 网络和网络服务使用策略 5.1.1 IT信息科技部定期(每年)对机关办公楼各部(中心)人员的网络配置情况进行一次全面的普查和登记,填写《市行机关办公楼、内外网络接入申请单》备档,严格控制外网入网的人员数量,决不允许一机器登录双网(采用双网卡或双网线)的现象出现,登陆外网的计算机必须装有病毒查杀软件,确保现有的网络资源和网络安全。
5.1.2 IT各部(包括信息科技部)后续需要增加使用内外网结点数量,开展IT 业务,要填写《市行机关办公楼、内外网络接入申请单》如果需要某种网络服务的话请在“网络接入需求原因中体现”,经所在部门总经理签字后递交给信息科技部,由网络管理员实施并交由文档管理员进行备案。 5.1.3 申请使用Internet网,应当具备下列条件之一。 (1)IT开展的营业活动必须要通过网上查询交易的。 (2)助理以上的机关领导干部工作需要上网的。 (3)因工作需要,经部门总经理批准的本部门员工(不能超过员工总数的1/3)。 5.1.4 经批准允许登录内外网的工作人员不得从事下列危害计算机网络安全和信息安全的业务: (1)制作或者故意传播计算机病毒以及其他破坏性程序; (2)非法侵入计算机信息系统或者破坏计算机信息系统功能、数据和应用程序; (3)相关法律、行政法规所禁止的其他行为; (4)有损IT形象的行为; 5.1.5 经批准允许登录Internet网络工作人员不得利用互联网制作、复制、查阅、发布、传播含有下列内容的信息; (1)外泄IT内部商业机密; (2)反对宪法所确定的基本原则的; (3)危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的; (4)损害国家荣誉和利益的; (5)煽动民族仇恨、民族歧视,破坏民族团结的; (6)破坏国家宗教政策,宣扬邪教和愚昧迷信的; (7)散布谣言,扰乱社会秩序,破坏社会稳定的; (8)散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的; (9)侮辱或者诽谤他人,侵害他人合法权益的; (10)法律、行政法规禁止的其他内容。
计算机和信息系统安全保密管理规定 第一章总则 第一条为加强公司计算机和信息系统(包括涉密信息系统和非涉密信息系统) 安全保密管理,确保国家秘密及商业秘密的安全,根据国家有关保密法规标准和中核集团公司有关规定,制定本规定。 第二条本规定所称涉密信息系统是指由计算机及其相关的配套设备、设施构成的,按照一定的应用目标和规定存储、处理、传输涉密信息的系统或网络,包括机房、网络设备、软件、网络线路、用户终端等内容。 第三条涉密信息系统的建设和应用要本着“预防为主、分级负责、科学管理、保障安全”的方针,坚持“谁主管、谁负责,谁使用、谁负责”和“控制源头、归口管理、加强检查、落实制度”的原则,确保涉密信息系统和国家秘密信息安全。 第四条涉密信息系统安全保密防护必须严格按照国家保密标准、规定和集团公司文件要求进行设计、实施、测评审查与审批和验收;未通过国家审批的涉密信息系统,不得投入使用。 第五条本规定适用于公司所有计算机和信息系统安全保密管理工作。 第二章管理机构与职责 第六条公司法人代表是涉密信息系统安全保密第一责任人,确保涉密信息系统安全保密措施的落实,提供人力、物力、财力等条件保障,督促检查领导责任制落实。 第七条公司保密委员会是涉密信息系统安全保密管理决策机构,其主要职责: (一)建立健全安全保密管理制度和防范措施,并监督检查落实情况; (二)协调处理有关涉密信息系统安全保密管理的重大问题,对重大失泄密事件进行查处。 第八条成立公司涉密信息系统安全保密领导小组,保密办、科技信息部(信息化)、 党政办公室(密码)、财会部、人力资源部、武装保卫部和相关业务部门、单位为成 员单位,在公司党政和保密委员会领导下,组织协调公司涉密信息系统安全保密管理工作。 第九条保密办主要职责: (一)拟定涉密信息系统安全保密管理制度,并组织落实各项保密防范措施; (二)对系统用户和安全保密管理人员进行资格审查和安全保密教育培训,审查涉密信息系统用户的职责和权限,并备案; (三)组织对涉密信息系统进行安全保密监督检查和风险评估,提出涉密信息系统安全运行的保密要求; (四)会同科技信息部对涉密信息系统中介质、设备、设施的授权使用的审查,建立涉密信息系统安全评估制度,每年对涉密信息系统安全措施进行一次评审; (五)对涉密信息系统设计、施工和集成单位进行资质审查,对进入涉密信息系统的安全保密产品进行准入审查和规范管理,对涉密信息系统进行安全保密性能检测;(六)对涉密信息系统中各应用系统进行定密、变更密级和解密工作进行审核;(七)组织查处涉密信息系统失泄密事件。 第十条 科技信息部、财会部主要职责是: (一)组织、实施涉密信息系统的规划、设计、建设,制定安全保密防护方案;(二)落实涉密信息系统安全保密策略、运行安全控制、安全验证等安全技术措施;每半年对涉密信息系统进行风险评估,提出整改措施,经涉密信息系统安全保密领导
随着网络技术的发展,现在这个社会网络手机电脑我们已经离不开了,但现在很多黑客也行动起来了,为了盗取信息非法侵入计算机信息系统。怎么防止非法侵入计算机信息系统呢?铱迅入侵防御系统(英文:Yxlink Intrusion Prevention System,简称:Yxlink IPS),是铱迅信息结合多年在应用安全理论与新一代动态检测防御实践经验积累的基础上,自主研发的一款应用级防止非法侵入计算机信息系统。 铱迅入侵防御系统(英文:Yxlink Intrusion Prevention System,简称:Yxlink IPS),是铱迅信息结合多年在应用安全理论与新一代动态检测防御实践经验积累的基础上,自主研发的一款应用级入侵防御系统,它可以在线地检测网络和系统资源,发现攻击后能够实施有效的阻断,防止攻击到达目标网络或主机。可给您网络中的各网络单元提供2-7层的全方位的保护,为网络提供深层次的、有效的安全防护。 该产品致力于解决黑客攻击、蠕虫、网络病毒、后门木马等恶意流量带来的信息系统侵害,广泛适用于“政府、金融、运营商、公安、能源、工商、社保、交通、卫生、教育、电子商务”等所有涉及网络应用的各个行业。部署铱迅入侵防御系统产品,可以帮助客户主动防护网络、主机系统,为用户的信息安全提供最大的保障。 万兆高并发与请求速率处理技术 铱迅入侵防御系统,通过对网络协议底层的深层次的优化,可以达到百万级别的并发连接。
庞大内置特征库 特征库主要用于检测各类已知攻击,对网络中传输的数据包进行高速匹配,确保能够准确、快速地检测到此类攻击。 铱迅入侵防御系统装载权威的专家知识库,提供总数超过10000条的规则库进行支持与匹配,提供高品质的攻击特征介绍和分析,基于高速、智能模式匹配方法,能够精确识别各种已知攻击,包括病毒、特洛伊木马、P2P应用、即时通讯等,并通过不断升级攻击特征,保证第一时间检测到攻击行为。
ISO27001系统访问控制程序 1 目的 为规范IT信息科技部对各系统的访问控制,预防对系统的未授权的访问特制定此文件。 2 范围 本程序适用于IT核心系统及外围系统的维护、登录与管理。 3 相关文件 《口令管理规定》 4 职责 4.1 副总经理负责核心系统及外围系统的运行维护管理指导。 4.2 中心机房管理员负责中心机房的维护、运行及管理。 4.3 信息科技部其他人员配合中心机房管理员的工作。 5 程序 5.1 各系统安全登录程序 5.1.1 由中心机房管理员对登录程序应进行检查确保登录程序满足如下要求: (a)不显示系统或应用标识符,直到登录过程已成功完成为止; (b)在登录过程中,不提供对未授权用户有帮助作用的帮助消息; (c)仅在所有输入数据完成时才验证登录信息。如果出现差错情况,系统不应指出数据的哪一部分是正确的或不正确的;
(d)限制所允许的不成功登陆尝试的次数(推荐3次)并考虑: 1)使用策略或其他手段记录不成功的尝试; 2)在允许进一步登录尝试之前,强加一次延迟,或在没有特定授权 情况下拒绝任何进一步的尝试; 3)断开数据链路链接; 4)如果达到登录的最大尝试次数,向系统控制台(或向中心机房管 理员)发送警报消息; 5)结合口令的最小长度和被保护系统的价值(风险评估的结果或内 部存储信息的价值)设置口令重试的次数; (e)限制登录程序所允许的最大和最小次数。如果超时,则系统应终止登录; (f)在成功登陆完成时,显示下列信息: 1)前一次成功登陆的日期和时间; 2)上次成功登陆之后的任何不成功登陆尝试的细节; (g)不显示输入的口令或考虑通过符号隐蔽口令字符; (h)不再网络上以明文传输口令。降低口令被网络上的网络“嗅探器”捕获的可能。 5.1.2 登录程序满足上述要求后,任何核心系统或外围系统的登录操作应被相关负责人授权方可进行登录。 5.1.3 相关职能人员得到授权后,对核心系统或外围系统操作完毕后必须将系统至于登录状态或注销当前用户将系统至于登录状态,防止未授权访问发生的可能。 5.1.4 其他部门人员因业务需要,需登录信息科技部核心系统或外围系统时,必须由中心机房管理人员全程陪同。 5.2 用户身份标识和鉴别 5.2.1 IT信息科技部应确保所有业务人员在登录核心系统或外围系统时每名业务人员应有唯一的、专供个人使用的用户ID及口令。
非法获取计算机信息系统数据罪 ”涉及的若干认定标准 中华人民共和国刑法》第 285 条包含三种计算机犯罪类型,其中第二款规 重 ”的标准,根据《关于办理危害计算机信息系统安全刑事案 件应用法律若干问题的解释》 第一条的规定: 非法获取计算机信息系统数据或者 罪:(一)获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息 组以上的; 定的情形为 “非法获取计算机信息系统数据罪 ,该罪名是 2009 年刑法修正案补 充的罪名。由于刑法规定过于笼统,为对该罪名进行准确的定罪量刑, 2011 年, 最高院又颁布了《关于办理危害计算机信息系统安全刑事案件应用法律若干问题 的解释》,对该罪名适用进行了更加详细的规定。本文试结合司法解释的规定和 司法实践对该罪名的构成及认定标准进行探讨。 、非法获取计算机信息系统数据罪的构成要件 刑法》第 285 条规定:违反国家规定,侵入国家事务、国防建设、尖端科 学技术领域的计算机信息系统的, 处三年以下有期徒刑或者拘役 违反国家规定, 侵入前款规定以外的计算机信息系统或者采用其他技术手段, 获取该计算机信息 系统中存储、 处理或者传输的数据, 或者对该计算机信息系统实施非法控制, 节严重的,处三年以下有期徒刑或者拘役, 并处或者单处罚金; 情节特别严重的, 处三年以上七年以下有期徒刑,并处罚金。 根据上述规定, 非法获取计算机信息系统数据罪 ”应当具备以下构成要件: 1、行为人为自然人,单位不构成本罪; 2、行为人的行为违反了国家规定; 3、行为人非法侵入进入计算机系统或类似侵入的其他技术手段; 4、行为人获取了系统中的数据; 5、行为达到了 “情节严 重 ”的标准。 对于“情节严 非法控制计算机信息系统, 具有下列情形之一的, 涉嫌非法侵入计算机信息系统
来源:重庆智豪律师事务所编辑:张智勇律师(重庆市律师协会刑事委员会副主任)刑事知名律师张智勇释义破坏计算机信息系统罪的概念及犯罪构成 破坏计算机信息系统罪的概念及犯罪构成 一.概念: 破坏计算机信息系统罪,是指违反国家规定,对计算机信息系统功能或计算机信息系统中存储、处理或者传输的数据和应用程序进行破坏,后果严重的行为。破坏计算机信息系统罪的概念及犯罪构成 二.构成特征 主体要件 本罪的主体为一般主体,即年满l6周岁具有刑事责任能力的自然人均可构成本罪。实际能构成其罪的,通常是那些精通计算机技术、知识的专业人员,如计算机程序设计人员、计算机操作、管理维修人员等。 犯罪客体 本罪所侵害的客体是计算机信息系统的安全。对象为各种计算机信息系统功能及计算机信息系统中存储、处理或者传输的数据和应用程序。 破坏计算机信息系统罪的概念及犯罪构成 主观要件 本罪在主观方面必须出于故意,过失不能构成本罪。如果因操作疏忽大意或者技术不熟练甚或失误而致使计算机信息系统功能,或计算机信息系统中存储、处理或者传输的数据、应用程序遭受破坏,则不构成本罪。至于其动机,有的是显示自己在计算机方面的高超才能,有的是想泄愤报复,有的是想窃取秘密,有的是想谋取利益,等等。但不管动机如何,不会影响本罪成立。 客观要件 本罪在客观方面表现为违反国家规定,破坏计算机信息系统功能和信息系统中存储、处理、传输的数据和应用程序,后果严重的行为。根据本条规定,包括下列3种情况: 1、破坏计算机信息系统功能 2、破坏计算机信息系统中存储、处理或者传输的数据和应用程序
3、故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行破坏行为必须造成严重后果,才能构成其罪。
GB17859-1999《计算机信息系统安全保护等级划分准则》 发布时间:2009-07-23 作者:国家质量技术监督局 1、范围 本标准规定了计算机信息系统安全保护能力的五个等级,即: 第一级:用户自主保护级; 第二级:系统审计保护级; 第三级:安全标记保护级; 第四级:结构化保护级; 第五级:访问验证保护级; 本标准适用于计算机信息系统安全保护技术能力等级的划分.计算机信息系统安全保护能力随着安全保护等级的增高,逐渐增强. 2、引用标准 下列标准所包含的条文,通过在标准中引用而构成本标准的条文.本标准出版时,所示版本均为有效.所有标准都会被修订,使用本标准的各方应探讨使用下列标准最新版本的可能性. GB/T5271 数据处理词汇 3、定义 出本章定义外,其他未列出的定义见GB/T5271. 3.1 计算机信息系统computer information system 计算机信息系统是由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统. 3.2计算机信息系统可信计算基trusted computing base of computer information system 计算机系统内保护装置的总体,包括硬件、固件、软件和负责执行安全策略的组合体。它建立了一个基体的保护环境并提供一个可信计算系统所要求的附加用户服务。 3.3 客体object 信息的载体。 3.4 主体subject 引起信息在客体之间流动的人、进程或设备等。 3.5 敏感标记sensitivity label
表示客体安全级别并描述客体数据敏感性的一组信息,可信计算基中把敏感标记作为强制访问控制决策的依据。 3.6 安全策略security policy 有关管理、保护和发布敏感信息的法律、规定和实施细则。 3.7 信道channel 系统内的信息传输路径。 3.8 隐蔽信道covert channel 允许进程以危害系统安全策略的方式传输信息的通信信道/ 3.9 访问监控器reference monitor 监控器主体和客体之间授权访问关系的部件。 4 、等级划分准则 4.1第一级用户自主保护级 本级的计算机信息系统可信计算基通过隔离用户与数据,使用户具备自主安全保护的能力。它具有多种形式的控制能力,对用户实施访问控制,即为用户提供可行的手段,保护用户和用户信息,避免其他用户对数据的非法读写与破坏。 4.1.1 自主访问控制 计算机信息系统可信计算基定义和控制系统中命名拥护对命名客体的访问。实施机制(例如:访问控制表)允许命名用户以用户和(或)用户组的身份规定并控制客体的共享;阻止非授权用户读取敏感信息。 4.1.2 身份鉴别 计算机信息系统可信计算基初始执行时,首先要求用户标识自己的身份,并使用保护机制(例如:口令)来鉴别用户的身份,阻止非授权用户访问用户身份鉴别数据。 4.1.3 数据完整性 计算机信息系统可信计算基通过自主完整性策略,阻止非授权用户修改或破坏敏感信息。 4.2 第二级系统审计保护级 与用户自主保护级相比,本级的计算机信息系统可信计算基实施了粒度更细的自主访问控制,它通过登录规程、审计安全性相关事件和隔离资源,使用户对自己的行为负责。 4.2.1 自主访问控制 计算机信息系统可信计算基定义和控制系统中命名用户对命名客体的访问。实施机制(例如:访问控制
最高人民法院研究室关于利用计算机窃取他人游戏币非法销售获利如何定性问题的研究意见 2014-04-22 来源:司法研究浏览次数:384 喻海松 有关部门就利用计算机窃取他人游戏币非法销售获利如何定性问题征求最高人民法院研究室意见。 我室经研究认为:利用计算机窃取他人游戏币非法销售获利行为目前宜以非法获取计算机信息系统数据罪定罪处罚。 【解读】 一、问题由来 被告人周某于2008年从网上购买了Pschare软件(一种木马软件,其作用是用于远程操纵他人的计算机信息系统,获取该计算机信息系统中存储、处理或者传输的数据),通过向聊天对象的计算机发送该软件,对他人的计算机进行远程操纵,获取对方游戏账号和密码,然后采取直接窃取或者修改密码的方式,盗窃他人“面对面365”网络游戏的游戏币,将对方的游戏币转移到其注册的账号中。之后,周某按照游戏币兑换人民币的比率,将盗窃的游戏币放到以其父亲的名字在淘宝网注册的网店销售牟利。自2009年3月起至8月,周某作案200余次。案发后,周某退回赃款20816.3元,公安机关追回赃款4700元。
对本案的定罪存在两种意见:多数意见认为被告人周某的行为构成盗窃罪;少数意见认为被告人周某的行为构成非法获取计算机信息系统罪。2010年10月,有关部门就利用计算机窃取他人游戏币非法销售获利如何定罪问题征求最高人民法院研究室意见。 二、主要问题及争议 周某利用计算机窃取他人游戏币非法销售获利如何定罪,涉及刑法理论和实务界长期争论的一个热门问题,即网络盗窃,特别是网络盗窃虚拟财产行为的定性之争。近年来,随着计算机信息技术和互联网业的快速发展,网络犯罪呈上升趋势,盗窃虚拟财产作为一种常见的网络犯罪,增长迅速。盗窃QQ号码、游戏装备等现象日益猖獗,甚至形成了产业链条。随着网络盗窃虚拟财产案件的不断增多,我国刑法实务界作出了相应判决,而理论界针对这些判决也进行了诸多评议。 关于网络盗窃、网络盗窃虚拟财产,刑法学界和实务界尚未形成统一的界定。结合司法实践的具体案件,我们认为,网络盗窃主要涉及如下几类对象:(1)与计算机信息系统安全相关的数据中最为重要的是用于认证用户身份的身份认证信息(如口令、证书等),此类数据通常是网络安全的第一道防线,也是网络盗窃的最主要对象,特别是非法获取电子银行、证券交易、期货交易等网络金融服务的账号、口令
计算机信息系统安全和保密管理制度 1 计算机信息系统安全和保密管理制度 为进一步加强我局计算机信息系统安全和保密管理,保障计算机信息系统和数据的安全,特制定本制度。 第一条严格落实计算机信息系统安全和保密管理工作责任制,各部门负责人为信息安全系统第一责任人。按照“谁主管谁负责、谁运行谁负责、谁公开谁负责”的原则,各处室在其职责范围内,负责本单位计算机信息系统安全和保密管理。 第二条办公室是全局计算机信息系统安全和保密管理的职能部门,信息中心具体负责技术保障工作。 第三条局域网分为内网、外网。内网运行各类办公软件,专用于公文的处理和交换,属涉密网;外网专用于各处室和个人浏览国际互联网,属非涉密网。上内网的计算机不得再上外网,涉及国家秘密的信息应当在制定的涉密信息系统中处理。 第四条购置计算机及相关设备须按照保密局指定的有关参数指标,信息中心将新购置的计算机及相关设备的有关信息参数登记备案后,经办公室验收后,方可提供上网IP 地接入机关局域网。 第五条计算机的使用管理应符合下列要求: (一)严禁同一计算机既上互联网又处理涉密信息; (二)信息中心要建立完整的办公计算机及网络设备技术档案,定期对计算机及软件安装情况进行检查和登记备案; (三)设置开机口令,长度不得少于8 个字符,并定期更换,防止口令被盗;
(四)安装正版防病毒等安全防护软件,并及时进行升级,及时更新操作系统补丁程序; (五)未经信息中心认可,机关内所有办公计算机不得修改上网IP 地址、网关、DNS服务器、子网掩码等设置; (六)严禁使用含有无线网卡、无线鼠标、无线键盘等具有无线互联功能的设备处理涉密信息; (七)严禁将办公计算机带到与工作无关的场所;确因工作需要需携带有涉密信息的手提电脑外出的,必须确保涉密信息安全。 第六条涉密移动存储设备的使用管理应符合下列要求: (一)分别由各处室兼职保密员负责登记,做到专人专用专管,并将登记情况报综合处备案; (二)严禁涉密移动存储设备在内、外网之间交叉使用; (三)移动存储设备在接入本部门计算机信息系统之前,应查杀病毒、木马等恶意代码; (四)鼓励采用密码技术等对移动存储设备中的信息进行保护; (五)严禁将涉密存储设备带到与工作无关的场所。 第七条数据复制操作管理应符合下列要求: (一)将互联网上的信息复制到内网时,应采取严格的技术防护措施,查杀 病毒、木马等恶意代码,严防病毒等传播; (二)使用移动存储设备从内网向外网复制数据时,应当采取严格的保密措
非法获取计算机信息系统数据罪涉及的若干认定标 准 Last revision on 21 December 2020
“非法获取计算机信息系统数据罪”涉及的若干认定标准 《中华人民共和国刑法》第285条包含三种计算机犯罪类型,其中第二款规定的情形为“非法获取计算机信息系统数据罪”,该罪名是2009年刑法修正案补充的罪名。由于刑法规定过于笼统,为对该罪名进行准确的定罪量刑,2011年,最高院又颁布了《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》,对该罪名适用进行了更加详细的规定。本文试结合司法解释的规定和司法实践对该罪名的构成及认定标准进行探讨。 一、非法获取计算机信息系统数据罪的构成要件 《刑法》第285条规定:违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。 根据上述规定,“非法获取计算机信息系统数据罪”应当具备以下构成要件: 1、行为人为自然人,单位不构成本罪; 2、行为人的行为违反了国家规定; 3、行为人非法侵入进入计算机系统或类似侵入的其他技术手段; 4、行为人获取了系统中的数据; 5、行为达到了“情节严重”的标准。 对于“情节严重”的标准,根据《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第一条的规定:非法获取计算机信息系统数据或者非法控制计算机信息系统,具有下列情形之一的,涉嫌非法侵入计算机信息系统罪:(一)获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上的; (二)获取第(一)项以外的身份认证信息五百组以上的; (三)非法控制计算机信息系统二十台以上的; (四)违法所得五千元以上或者造成经济损失一万元以上的; (五)其他情节严重的情形。 实施前款规定行为,具有下列情形之一的,应当认定为非法侵入计算机信息系统罪
中华人民共和国刑法 第二百八十五条违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。 违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。 提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的,依照前款的规定处罚。 第二百八十六条违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。 违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。 故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的,依照第一款的规定处罚。 《中华人民共和国劳动合同法》
第三十九条劳动者有下列情形之一的,用人单位可以解除劳动合同: (一)在试用期间被证明不符合录用条件的; (二)严重违反用人单位的规章制度的; (三)严重失职,营私舞弊,给用人单位造成重大损害的; (四)劳动者同时与其他用人单位建立劳动关系,对完成本单位的工作任务造成严重影响,或者经用人单位提出,拒不改正的; (五)因本法第二十六条第一款第一项规定的情形致使劳动合同无效的; (六)被依法追究刑事责任的。 最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》已于2011年6月20日由最高人民法院审判委员会第1524次会议、2011年7月11日由最高人民检察院第十一届检察委员会第63次会议通过,现予公布,自2011年9月1日起施行。 二一一年八月一日 法释〔2011〕19号
提供侵入、非法控制计算机信息系统程序、工具罪的认定 苏家成(作者单位:浙江省宁波市鄞州区人民法院) 【裁判要旨】行为人违反规定,向他人提供专门用于侵入、非法控制计算机信息系统的程序、工具,情节严重的,构成提供侵入、非法控制计算机信息系统程序、工具罪。 ■案号一审:(2011)甬鄞刑初字第1358 号再审:(2012)浙甬刑抗字第2 号 再审:(2012)甬鄞刑再字第2 号 【案情】 原公诉机关:浙江省宁波市鄞州区人民检察院。 原审被告人:冯慧志。 浙江省宁波市鄞州区人民法院经审理查明:被告人冯慧志为获利制作了钓鱼网站和木马病毒程序,专门用于在互联网上盗取他人使用的QQ 聊天工具。2010年8 月至2011 年6 月,被告人冯慧志以贩卖的形式将其制作的钓鱼网站和木马病毒程序提供给覃某、王忠某、王鹏某、王某等人使用,利用户名为刘某、潘某、韦某等人的银行卡收钱,非法获利达10000 余元。覃某、王忠某、王鹏某、王某等人利用被告人冯慧志提供的钓鱼网站和木马病毒程序实施诈骗行为, 分别以诈骗罪被判处有期徒刑5 年至1 年8 个月并处罚金的刑罚。 【审判】 浙江省宁波市鄞州区人民法院认为,被告人冯慧志非法向他人提供专门用于侵入、非法控制计算机信息系统的程序、工具,情节严重,
其行为已构成提供侵入、非法控制计算机信息系统程序、工具罪,公诉机关指控的罪名成立。被告人冯慧志在庭审中能自愿认罪,可酌情予以从轻处罚。依照刑法第二百八十五条第三款、第六十一条、第六十四条,和最高人民法院、最高人民检察院《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第3 条第1款第(5)项之规定,判决:一、被告人冯慧志犯提供侵入、非法控制计算机信息系统程序、工具罪,判处有期徒刑1 年2 个月,并处罚金人民币1 万元;二、被告人冯慧志违法所得人民币10000 元,予以没收,上缴国库;三、责令被告人退还给各被害人相关经济损失。 判决生效后,浙江省宁波市人民检察院于2012 年9 月18 日以有新的证据证明原审判决原审被告人冯慧志犯罪事实确有错误,并导致量刑畸轻为由,以甬检刑抗[2012]2 号刑事抗诉书,向浙江省宁波市中级人民法院提出抗诉。 浙江省宁波市人民检察院抗诉认为,有新的证据证明原审被告人冯慧志为获取非法利益,制作钓鱼网站和木马病毒程序,有偿提供他人用于互联网上盗取腾讯QQ聊天账号和密码。2010 年8 月至2011 年6 月,原审被告人冯慧志将其制作的钓鱼网站和木马病毒程序有偿提供给王忠某、王鹏某等众多人使用,至少136 次。王忠某、王鹏某等人利用冯慧志提供的钓鱼网站和木马病毒程序,实施了诈骗犯罪行为。原审判决在认定事实错误的前提下,适用法律不当,导致量刑畸轻。对原审被告人冯慧志应依据最高人民法院、最高人民检察院《关
工作心得:破坏计算机信息系统罪与非法获取计算机信息系统数据 罪的区分 非法获取计算机信息系统数据罪与破坏计算机信息系统罪的主要区别有以下两点: (1)犯罪行为不同。前罪犯罪行为为非法获取数据,后罪犯罪行为为删除、修改、增加数据。 (2)犯罪对象不同。前罪犯罪对象为普通计算机信息系统中的数据,后罪为任意计算机信息系统中的数据和程序。 一、基本案情 被告人王某,男,1984年8月9日出生,汉族,大专文化,河北省内丘县人,内丘县车管分所临时工。 201X年11月份以来,被告人王某在担任内丘县车管分所负责新车上牌的微机操作员(临时工)期间,在一次操作选号机时,偶然进入邢台市车管所发放车牌号系统,由此掌握了侵入放号系统的窍门。此后,王某在明知机动车号牌为我国行政法规限制买卖物品的情况下,仍多次违规进入邢台市公安局交警支队车管所车牌号发放的计算机信息系统,从该系统中套取尚未发放车牌号80余个,并进行买卖,非法获利11万余元。 二、分歧意见
该案存在两种意见: 第一种意见认为,王某非法侵入邢台市车管所机动车发放车牌号系统,操作并获取该系统中未发放车牌号的行为,符合破坏计算机系统罪的主观及客观要件要求,应定为破坏计算机系统罪。 第二种意见认为,王某非法侵入邢台市车管所机动车发放车牌号系统,操作并获取该系统中未发放车牌号的行为,符合非法获取计算机信息系统数据罪中主、客观要件的定罪要求,应定为非法获取计算机信息系统数据罪定罪。 三、笔者意见 应对王某以非法获取计算机信息系统数据罪定罪处罚。其理由如下: 非法获取计算机信息系统数据罪,是指违反国家规定,侵入国家事务、国防建设、尖端科学技术领域以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,情节严重的行为。本罪侵犯的客体是计算机信息系统数据管理秩序,以及计算机信息系统的所有人和合法用户的权益。这一客观要件组成描述的是,行为人“侵入”计算机信息系统,“获取”该计算机信息系统中存储、处理或者传输的数据的行为。“非法”是指行为人主体不合法,不具有进入或访问该计算机系统的资格。“侵入”的常见方式是突破计算机信息系统的防火墙等安全设施,或利用该计算机信息系统的漏洞,获得该计算机信息系统的访问权、控制权,为实施下一步行为做准备;“获取数据”则指行为人非法获取该计算机信息系统中存储、处理或者传输的信息数据。从该罪行为结构来看,该罪的行为包括“非法侵入”+“获取数据”两个方面。其危害性在于,行为人侵入计算机信息系统,直接在计算机信息系统中获取帐号的各种