法建网络安全

　　★《中国经济周刊》见习记者梅立岗/北京报道

　　截止到2005年1月15日，我国内地民间为遭受海啸的东南亚人民捐款已到账2.8亿元，更为便捷的网上捐款形式也于1月11日由中华慈善总会开通。

　　与此相对照，此前的一条新闻却让人心寒：1月初，便有捐款者用搜索引擎查找到一 个名为“中华慈善总会”的假冒网站，利用网络进行虚假劝募、诈骗人们善款。近日来，在国内各大论坛上又相继出现了此类欺骗性帖子。

　　在此之前，“假网站”一词刚刚冲击了人们的视线和思维：2004年12月的众多假银行网站以及教育部定期公布的假学历信息网站方为唱罢，更为恶劣的行径又来登场。这种有恃无恐给了人们一个明显的信息：小打小闹的类似情况肯定更是不胜枚举。北京大学信息管理系教授周庆山印证了这一点：美国市场调研公司TowerGroup指出，2004年全球实际受到网页仿冒攻击的合计数量将超过3.1万件，2005年将增加到8.6万件以上。随着网上支付数额的增加，2005年一年网上损失的金额将骤增到57亿到156亿美元之间。

　　周庆山对《中国经济周刊》提到，这个局面不仅扰乱了公共和市场秩序，给相关主体的名誉和经济利益造成损失，同时，这类网络欺诈诱使网民提交密码和其他敏感信息，也直接侵害了消费者的隐私权，更为严重的是这使得网络的公信力降低，使网民缺乏安全感，从而使合法的电子商务和电子政务活动也受到影响。

　　然而面对这些假网站，有关部门除了提醒广大网民在繁杂的英文中参透假冒细节所在外，至今没有看到哪个部门站出来声称杜绝这一切的发生，是力所不能及，还是别的什么原因呢？

　　网络特点诱发“网络罪恶”

　　“网络技术的发展超出了我们的想象，但同时，由网络技术的特点衍射而出的负面影响更是我们始料不及的。”周庆山教授认为网络技术“双刃剑”的本性是造成这一现状的根本所在。不法之徒利用公众对于很多网站的具体网址缺乏了解以及网络中域名地址本身具有相似性的特点，利用仿冒网站或网页或进行病毒破坏来欺诈众多网民。

　　假冒者通常利用别人的机器秘密存放一个假冒网站，而且使用假域名，用户非常不容易识别。更加先进的手段是利用IE浏览器漏洞或用户的不当操作，在用户的计算机中植入专门的木马(一种非常危险的恶性程序)，只要用户在机器上输入账号和密码就会被截获。

　　近年出现较多的网页仿冒方式是网络钓鱼骗术，这是近来经常在网上出现的一种诈骗方式，犯罪人向别人发送垃圾邮件，将受害者引导到一个假的网站，这种网站通常会做的与电子银行等网站一模一样，某些粗心的用户往往就会不辨真假，乖乖填入自己的账户和密码。

　　网络病毒则是利用网络安全技术漏洞，非法窃取信息并从事欺诈活动，2004年4月，“网银大盗”病毒出现，当用户在窗口中输入“银行”“股票”“上网卡”等标题时，这种病毒能自动进行键盘记录，窃取账号密码等信息，并发送给病毒制造者。

　　“‘.com.net’的背后可能就是一个皮包公司。”周庆山认为这并非是危言耸听。

　　在技术上，网络欺诈大都具有瞬时性、广域性、专业性、时空分离性等特点，通常计算机罪犯很难留下犯罪证据，据统计，在号称“网络王国”的美国，计算机犯罪的破案率还不到10%，其中定罪的不到3%。这大大刺激了计算机高技术犯罪案件的发生。

　　立法与执法在缺陷中踯躅

　　“任何重大事物都被涵盖在法律之中，日渐重要的网络自不待言。但是现有的相关立法与执法中却存在着不少的缺陷。”周庆山进而详细地分析到：首先，网站域名注册管理上存在漏洞。虚假网站之所以出现，与目前我国域名注册管理上的不完善有一定关系。目前，我国域名注册的机构——中国互联网络信息中心只是中立的、非盈利性的服务和管理机构，由于域名注册实行的制度是“先申请，先注册”的自由申请原则，只要符合一般条件，均可以获得注册。例如，假工商银行的网络域名是www.1cbc.com.cn，与真的只有“1”和“I”一字之差。这样的域名注册显然故意混淆真实工商银行的网站，一般公众很难识别。

　　尽管在《中国互联网络域名注册暂行管理办法》中规定，注册域名“不得使用他人已在中国注册过的企业名称或者商标名称；不得使用对国家、社会或者公共利益有损害的名称。”但是无法审查和决定，使得它在规范域名注册审查上显得力不从心，不能从源头卡住恶意注册人。

　　其次，虽然我国网络有关的行政法规多达几十部，但是，法规不完善，执法可操作性差的状况非常突出。

　　北京市一格律师事务所律师于国富对《中国经济周刊》说：“目前国家对于网络的立法，大多停留在行政法规、部门规章的层面上。各级部委从自身执法角度和部门利益出发，制定了多部相互割裂的法规。”周庆山也说：“我国缺少一部将目前各类行政法规整合成一个具有更高效力和更加具有全面系统性的法律，目前网络规范散乱的局面让很多部门不知道自己该做什么，文件虽多，效果却不好。”

　　同时，现行法规不完备，没能根据形势进行相应的修改补充。例如，我国还没有完善的规范网络银行以及网络捐赠等相关规范。应根据因特网具有跨国性、信息内容的转瞬即逝性和易失散性，以及信息技术日新月异的特点，修改现有法律，并在必要的情况下制定新的与因特网相适应的法律法规。于国富深有感触地说到：“虽然根据相关的规定，经营性网站、非经营性网站要分别办理批准和备案手续。但目前绝大部分互联网站没有办任何登记、备案手续。从严格意义来讲，绝大部分互联网站在非法运营！”

　　另外现有的处罚机制还不足以起到足够的震慑作用。在网络犯罪中，特别是黑客中，青少年的比例比较大。如沈阳市最近成功破获一起罕见的伪造银行网站盗窃储户资金及特大网络诈骗案，6名犯罪嫌疑人中最小年龄仅为15岁，而这个年龄可以不用对此类犯罪负刑事责任。

　　再次，执法难与执法不力也放任了这种现状的蔓延。

　　“当然执法难也是事实，特别是对于网络欺诈，”周庆山介绍到，目前最大的问题是网络非中心化和国际化带来的管辖难问题。网络是一个全球信息系统，无法利用物理空间概念加以分割。当事人的住所、国籍、财产、行为、意志等因素之所以成为管辖的基础是因为他们和某管辖区域存在着物理空间的关联和固定，如住所和财产的位置、行为发生和结果的地点、国籍的归属。但是，一旦这些因素用在网络空间则它们与物理空间之间的关联性就顿时丧失。

　　多管齐下还网络蓝天

　　“任何事情在解决之初都是极为困难的，但是也总会找到解决的办法。网络的重要性和危害性已把我们逼到了必须解决的境地，并且刻不容缓。任何托辞都是不负责任的表现。”于国富发出意味深长的告诫。

　　周庆山认为首先应当根据现有法律的不足进行相应的修改和补充。他建议我国积极研究和制定《网络安全法》，以改变目前网络法规散乱的现状。鉴于网络主体和内容包罗万象，应当研究制定《网络服务商管理条例》，从网络主体的责任、权利、义务角度加以规范。在管辖问题上，也需要研究和制定相关的网络行政、刑事和民事诉讼法律法规，或者研究完善现有的诉讼程序法，包括计算机证据相关的立法和规范，积极加强执法上的国际协作。在法定刑的规定上，应当提高法定最低刑而处以重刑。还可以增加资格刑。

　　周庆山特别指出建立网络时代的网络信用制度的重要性。法制体系有事后调节作用，而信用体系却能够达到事前预防的效果。他认为，完善的信用体系应当包括企业的基本信息、资质证明、产品信息与证明、交易情况与信用状况以及权威部门颁发的认证。

　　企业应当采取的措施主要是要从信息安全入手，只有不断的更新技术，研制新型产品，增加网络的自我防护能力，堵塞安全漏洞和提供安全的通信服务，加强关键保密技术项目的研制和改进，不跟任何计算机犯罪可乘之机，才能营造一个安全有序的虚拟社会。同时，要积极主动地宣传自己的网站，及时提醒用户谨防上当，将自己网站的域名加以宣传和公开，避免客户由于不了解相关信息造成误认。发生假冒网站问题后，企业应当及时报案，并协助公安机关及时查处案件，并及时通过大众媒体发布信息警示，提醒客户，也要采取法律措施来维护自己企业的声誉和挽回影响，对于客户可能发生的经济损失要根据事先预防性措施妥善加以处理，不能采取回避和漠视的态度。

　　更多精彩评论，更多传媒视点，更多传媒人风采，尽在新浪财经新评谈频道，欢迎访问新浪财经新评谈频道。