理论教育 服务外包与网络安全:关键挑战与应对策略

服务外包与网络安全:关键挑战与应对策略

时间:2023-05-27 理论教育 版权反馈
【摘要】:2013年,金林软件服务外包公司与九州互联网公司签订协议,定时维护其网站安全运营,排除其潜在的安全隐患,金林软件服务外包公司指派被告人李丙龙作为项目工作人员对网站进行维护工作。被害人九州互联网公司发现这一情况,立即报案。上海市徐汇区人民检察院提起公诉后,人民法院认定李丙龙的行为构成破坏计算机信息系统罪,结合量刑情节,判处李丙龙有期徒刑五年。在服务外包的过程中,服务外包也可能成为威胁网络安全的一个缺口。

服务外包与网络安全:关键挑战与应对策略

【引导案例】

服务外包与信息网络安全

一、案情

被告人李丙龙系金林软件服务外包公司程序员。2013年,金林软件服务外包公司与九州互联网公司签订协议,定时维护其网站安全运营,排除其潜在的安全隐患,金林软件服务外包公司指派被告人李丙龙作为项目工作人员对网站进行维护工作。2014年,被告人李丙龙为牟取非法利益,利用其工作便利,以修改大型互联网网站域名解析指向的方法,劫持互联网流量访问相关赌博网站,获取境外赌博网站广告推广流量提成,导致网站不能正常运行,访问量锐减。被害人九州互联网公司发现这一情况,立即报案。

上海市徐汇区人民检察院提起公诉后,人民法院认定李丙龙的行为构成破坏计算机信息系统罪,结合量刑情节,判处李丙龙有期徒刑五年。

该案的起诉和判决,明确了修改域名解析服务器指向,强制用户偏离目标网站或网页进入指定网站或网页,造成计算机信息系统不能正常运行的域名劫持行为,属于破坏计算机信息系统。

二、法律分析

(一)破坏计算机信息系统罪的相关法律规定

我国《刑法》第二百八十六条规定,违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。

故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的,依照第一款的规定处罚。

(二)破坏计算机信息系统罪的犯罪构成

首先,主体要件是本罪的主体为一般主体,即年满16周岁具有刑事责任能力的自然人均可构成本罪。实际能构成其罪的,通常是那些精通计算机技术、知识的专业人员,如计算机程序设计人员及计算机操作、管理维修人员等。

其次,本罪所侵害的客体是计算机信息系统的安全。对象为各种计算机信息系统功能及计算机信息系统中存储、处理或者传输的数据和应用程序。

再次,本罪在主观方面必须出于故意,过失不能构成本罪。如果因操作疏忽大意或者技术不熟练甚或失误而致使计算机信息系统功能或计算机信息系统中存储、处理或者传输的数据、应用程序遭受破坏,则不构成本罪。至于其动机,有的是想显示自己在计算机方面的高超才能,有的是想泄愤报复,有的是想窃取秘密,有的是想谋取利益,等等。但不管动机如何,不会影响本罪成立。(www.daowen.com)

最后,本罪在客观方面表现为违反国家规定,破坏计算机信息系统功能和信息系统中存储、处理、传输的数据和应用程序,后果严重的行为。根据本条规定,包括下列3种情况:破坏计算机信息系统功能;破坏计算机信息系统中存储、处理或者传输的数据和应用程序;故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行。

(三)全国人民代表大会常务委员会《关于维护互联网安全的决定》

为了保障互联网的运行安全,对有下列行为之一,构成犯罪的,依照刑法有关规定追究刑事责任:

(1)故意制作、传播计算机病毒等破坏性程序,攻击计算机系统及通信网络,致使计算机系统及通信网络遭受损害;

(2)违反国家规定,擅自中断计算机网络或者通信服务,造成计算机网络或者通信系统不能正常运行。

利用互联网实施本决定第一条、第二条、第三条、第四条所列行为以外的其他行为,构成犯罪的,依照刑法有关规定追究刑事责任。利用互联网实施违法行为,违反社会治安管理,尚不构成犯罪的,由公安机关依照《治安管理处罚条例》予以处罚;违反其他法律、行政法规,尚不构成犯罪的,由有关行政管理部门依法给予行政处罚;对直接负责的主管人员和其他直接责任人员,依法给予行政处分或者纪律处分

(四)破坏计算机信息系统罪与非罪的界限

有无严重后果发生,是本罪与非罪行为的分水岭。如果对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,或者对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,或者故意制作、传播计算机病毒等破坏性程序,计算机病毒等破坏性程序尚处于潜伏期,虽然可能占用一定的系统资源,但没有造成严重后果的,均不构成本罪。这就是说,从这种高科技犯罪的特点上考察,本罪不存在预备犯、未遂犯和中止犯三种犯罪未完成形态。因为在没有发生严重后果的情况下,认定行为人主观方面的罪过形式存在一定的难度,容易将技术水平不高或操作失误的行为作为犯罪来处理,可能扩大打击面,同时也不利于计算机技术的普及和我国信息产业的发展。

(资料来源:http://wenshu.court.gov.cn/)

案例思考:

1.服务外包中的破坏信息系统安全有哪三种形式?

2.破坏计算机信息系统罪与非罪的界限是什么?

网络天生就处于风险中,黑客攻击、未经授权的入侵和其他网际威胁风险正在增加。而且网络本身的复杂性和多样性,也决定了并不是每一个利用网络的单位,都可以管理网络的方方面面。虽然个体单位的网络安全意识在不断加强,安全花费和管理花费也在上涨,但这些问题的复杂度和变化频率也在提高。对于网络安全,仅靠市场上的网络安全产品或是一般的企业自身的技术力量无法从根本上解决,用户需要完整的企业安全解决方案和建立完整的企业信息安全策略,由此安全外包成为一种趋势。在服务外包的过程中,服务外包也可能成为威胁网络安全的一个缺口。

免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。

我要反馈