【IT168专稿】新型网络犯罪的猖獗对全世界的立法工作都提出了严峻的挑战，我国也不例外。我国现行的刑法中只有三条和计算机犯罪有直接关联，但是在具体的法律适用方面存在很多困难，一些网络攻击行为无法被包括进去，只能从其他的法律条款中寻找支持。例如对于拒绝服务攻击，如果攻击者向被攻击者勒索钱财的话，就可以按照敲诈勒索罪起诉，但是如果没有勒索行为，就很难处罚了。在我国当前的地下产业链中，攻击者很多情况下并不需要用直接向被攻击者勒索的方式来敛财。造成这种局面的原因主要是因为法律对于新东西缺乏认识，鉴于迅速发展的互联网形势，法律仍显滞后，网络监管的法规也远远跟不上网络技术发展的步伐，法律在适用性方面也存在一定问题。

国家计算机网络应急中心（CNCERT/CC）副总工程师杜跃进博士

　　虽然我国有计算机安全方面的相关法规，但尚未上升到国家法律层面。管理的部门多了，法规层次不清、法规重复，法律空白在所难免。要想有效加强监管，必须制订专门的计算机安全相关的法律。在这一点上，我国已经有了一些起步，但是和国际方面比，还显得相对落后，从能否解决实际问题的角度，则更是还不能满足要求了。由于如今网络犯罪属于高速发展的高技术犯罪领域，网络安全的相关立法必须解决如何能够跟上形势的问题。在立法的过程中，既不能对攻击行为列得过于具体，从而使得不断出现新的未能包括的攻击形式，又不能写得过于宽泛，从而使界定具体的攻击案例的时候出现比较大的争议。这个要求对世界各国的立法都是一个挑战，因为无论什么样的法律体系，立法都是需要一个相对较长的过程的。我国《刑法》的相关修改是在10年前进行的，如今时代发展了，病毒制造者都与时俱进地搞出产业链了，我们的法律也必须与时俱进。

　　我们的舆论也需要发挥更大的作用。公众对很多安全事件都缺乏了解，立法和执法机关也是如此。媒体可以发挥提高公众意识的作用，既可以提醒更多的人避免受到新型网络攻击的危害，又可以引起整个社会对特定网络安全危害的关注和认识，从而有助于推动对某一类网络安全攻击行为的遏制和打击力度。同时媒体的宣传不能误导公众，让大家觉得网络中是可以为所欲为的，或者觉得能够实施网络攻击是有能力的表现，而是要让公众意识到这种行为是不道德的甚至会受到法律制裁的，从而加强自律。

　　相对于现实中的违法乱纪，网络犯罪举证更难。比如一个计算机用户被黑客控制了电脑，被种了木马实施网络欺诈活动。用户在自己不能解决问题的情况下经常会选择重新安装系统，也不愿和有关部门配合提取黑客活动的线索。这些线索经常是能够用于帮助其他的潜在受害人的，也是用于追查攻击者和打击犯罪的重要资料。

　　国家在网络安全保障方面有重要的责任。网络安全已经属于国家公共基础设施的安全问题，因此国家需要发挥自己应有的作用。这一点如今已经被多数国家认识到了，而我国在这方面的认识曾经走在世界前列。国家需要具备一些关键的能力来应对日益严峻的网络安全威胁，以保障国家重要的信息基础设施、关键应用和服务的安全，并且要避免信息网络中的安全事件给其他领域的涉及公众利益的重要领域带来严重危害。在优异的网络安全保障能力中，需要包括对网络中的危机事件的及时发现能力和危机控制能力。为了实现这些能力，需要在技术手段、组织体系、资源建设、基础研究等领域作出大量的工作。CNCERT/CC一直在做这方面的努力，但还有大量的工作需要继续完善。

　　系统化的漏洞处理，是安全保障能力建设中一项重要的基础工作。例如漏洞发现这个环节，美国的CERT/CC专门建立了分布式研究网络去发现漏洞，每年可以发现几千个，成为目前这方面的权威部门。英国也在大力建设自己的漏洞研究能力。我国在这方面的能力还很弱，更没有形成合力。

　　CNCERT/CC目前正在开展一些专项研究；以专项联盟的形式来搜集更多的数据，掌握更多的情况；建立信息共享和技术交流的合作机制，甚至在某些程度上加强事件处置方面的联动。被动防御不是最终的解决办法，必须各界联手进行主动防御，不仅要过滤攻击的流量，还要反溯谁在攻击，甚至走到司法的程序上，这需要建立一整套的社会保障机制。

　　对于纯技术的网络安全威胁交流是应该允许存在的，但是对于公布攻击工具应该明令禁止。因为向公众提供黑客软件下载和交易平台的网站，也涉嫌提供犯罪工具，极有可能会在类似案件中承担连带责任。

　　最后，我们要从三方面防范网络犯罪。一、从法治方面出发，需要修改和完善立法，使网络犯罪打击有法可依；二、公检法等部门应多做一些网络犯罪的研究，更加了解这些新的犯罪形式，以能够更好地增加对网络犯罪的打击力度；有关部门应该大力协助公检法等部门，加大对他们的培训；三、从社会防范的角度出发，社会各个部门应对自己的网络进行安全保护。

《中华人民共和国刑法》计算机犯罪的若干规定
 
　　在1997年3月15日全国人民代表大会通过的《中华人民共和国刑法》的第285条、286条、287条中对计算机犯罪进行了如下规定。

第二百八十五条

　　违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。

第二百八十六条

　　违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役；后果特别严重的，处五年以上有期徒刑。

　　违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，后果严重的，依照前款的规定处罚。故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，后果严重的，依照第一款的规定处罚。

第二百八十七条

　　利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的，依照本法有关规定定罪处罚。