電子虛擬空間的信息犯罪分層研究

周 健，孫麗艷

(1.安徽財經大學 管理科學與工程學院，安徽 蚌埠 233041;2.北京郵電大學 計算機學院，北京 100083)

電子虛擬空間的信息犯罪分層研究

周 健1,2，孫麗艷1

(1.安徽財經大學 管理科學與工程學院，安徽 蚌埠 233041;2.北京郵電大學 計算機學院，北京 100083)

具有非暴力、強隱蔽性和跨時空特點的信息犯罪難于跟蹤取證，容易造成信息犯罪的蔓延和不可控性。針對電子虛擬環境中的信息犯罪取證問題，在分析虛擬環境電子證據的內容和表現形式的基礎上，提出了基于虛擬環境的犯罪行為層次和特點的電子證據數據鏈。該數據鏈將犯罪行為所經過的物理層、網絡層、操作系統層、應用層和表示層作為現實虛擬鏈、物理技術鏈、數據鏈和軟件工具鏈，將犯罪證據在每個層次的遺留痕跡形成一個完整邏輯的犯罪證據鏈。電子證據數據鏈不僅能夠為信息犯罪提供更為完整的證據，有效提高了強隱蔽性和跨時空虛擬環境中犯罪證據的可追溯性，而且加強了犯罪數據保護，可為在虛擬和現實空間的犯罪證據提供連接橋梁，為在分層的虛擬空間中犯罪行為的研究提供新方法。

信息犯罪；信息犯罪層次；電子證據；電子虛擬環境

0 引 言

伴隨信息技術的發展,信息犯罪[1-3]作為一種日漸獨立的犯罪形態登上歷史舞臺，引起了高度關注。它具有豐富的內涵，是一種非常復雜的社會行為和現象[4-5]。信息技術的觸角幾乎涉及所有行業，這也導致信息犯罪覆蓋了社會的各個層面[6]。自從1958年在美國發生第一起計算機犯罪起，從棱鏡門的國家間的信息對抗、蘋果和FBI的國家與公司的保密技術爭端，到個人信息泄露、污染、盜用等等[7]，利用信息技術的犯罪行為大幅上升,且每年以10%～15%的速率增長。保護信息安全成為國家安全的重要內容[8]，習近平在中央網絡安全和信息化領導小組第一次會議中強調：“沒有網絡安全就沒有國家安全。”在這種背景下,深入研究信息犯罪的相關問題，無疑是十分必要的。然而信息犯罪與其他形式的犯罪有著顯著的區別，尤其信息犯罪借助電子虛擬環境，具有其獨特的社會行為特點和技術特點[9-10]，因此，深入研究電子虛擬環境中信息犯罪的分層種類、電子證據、數據鏈具有重要意義。針對虛擬環境中的電子取證問題，對虛擬環境進行了分層，并根據層次建立了信息犯罪的數據鏈，因而可以構建完整、有效、可循的電子證據。

1 信息犯罪的定義和特點

信息科學的開放性、虛擬性、隨機性、智能性、擴散性、高傳輸等特點[11]使得信息犯罪具有高智能、強隱蔽、時空跨越、多樣性、非暴力性、低風險、非接觸性和復雜性等特點[12-13]。

高智能:體現在高知識的犯罪人和高技術的軟件工具。早期信息犯罪中，犯罪分子一般具有較高的文化程度，受過信息化專業技能訓練，具有足夠的專業知識和技能，針對特定的某一種數據，能夠熟練使用信息化工具。隨著信息化技術的普及，各種信息工具的不斷涌現，一般技術者可以充分利用多種信息工具的組合實施信息犯罪，例如盜號軟件破解密碼實施金融詐騙，信息犯罪具有從高學歷人群擴散到一般學歷人群的趨勢。

強隱蔽:行為人良好的教育背景和高智商具有很強的欺騙性，信息犯罪隱藏于虛擬環境中，分層次的透明體系結構也決定頂層的用戶無法感知底層的數據運行狀況。以二進制代碼為數據形式的信息系統和信息數據可視化程度較低，數據的使用和實體世界的物品使用具有很大差別，實體世界的物品難于復制，使用中往往留下痕跡，難于銷毀，虛擬世界的數據可以不留痕跡地使用、復制和刪除。

時空跨越:在傳統犯罪中，時間和空間往往占有重要的位置，而信息犯罪侵害過程充分利用信息技術的自動化、智能化，是超越時空的犯罪。信息犯罪往往是通過網絡實施的，而互聯網的覆蓋范圍十分廣泛，行為人有條件也有時間在網絡上尋找適合自己的作案目標，一段惡意代碼可以被多重復制，往往并發侵害多個目標。

復雜性:體現在涉及范圍和多種知識交叉。首先，信息網絡開放性消除了家庭、社會以及國境線的界限；其次，信息技術已經完全融入現今社會的所有部門，信息犯罪往往是涉及多種行業技術的交叉犯罪，龐大的數據量和多種數據表現形式增加了犯罪行為分析的難度；最后，信息犯罪行為很容易在開放的環境中隨機擴散，時間、地點的隨意性和開放性，導致受害目標的不確定性和隨機性。

非暴力傾向:信息犯罪很少涉及暴力沖突，一般沒有直接的人員傷害和對個人利益造成的直接損失。一方面信息犯罪斗智不斗勇，犯罪者在生理、心理條件與暴力犯罪的犯罪者具有顯著差異，犯罪人和受害者非直接接觸，作案工具也由軟硬件技術代替傷害性工具，電子虛擬環境中的數據成為犯罪者和被害者之間的工具、媒介和攻擊對象，難以造成視覺沖擊；數據侵害的危害效果具有延時性和隱蔽性，因此信息犯罪較少展現暴力，往往給公眾一種欺騙性，直觀印象造成公眾的警惕性不高。

短時間和低成本:信息犯罪作案時間一般較短，且大多不需要犯罪分子親臨現場承擔暴力風險，因此犯罪分子在作案時自我譴責和“現場”心理恐懼感大大降低，同時增加了犯罪行為的安全系數。被發現概率低、收集證據難、大多數受害者不愿報案致使信息犯罪案件的偵破難度大而且偵破率相對較低，例如美國第一起計算機犯罪直到1966年才被發現。信息犯罪具有高收益性，據美國斯坦福研究所統計，美國平均一起計算機犯罪案，罪犯獲利45萬美元，是常規犯罪案件的幾十倍。

這些特點造成信息犯罪不易掌握犯罪證據和確定罪與非罪的界限等特點，加之信息化建設的總體安全性較低，重效益、輕安全，邊設計邊投入使用、缺乏規范的系統管理，以及法律不健全，各國制定的信息犯罪法律法規各不相同，而電子虛擬環境又不像國土具有明確的界線，造成信息犯罪的國際化發展，給立法帶來了相應的困難，導致破案率和定罪率較低。在美國信息犯罪破案率不到10%，定罪不到3%。

目前學術界對信息犯罪的定義為“在信息活動的過程中，利用和針對信息而發生的犯罪現象就是信息犯罪，主要包括行為人以信息資源為侵害對象的犯罪和以信息科技為犯罪手段的犯罪兩種類型”。從實體概念出發的信息犯罪定義強調信息技術的資源性和手段性，以及對現實社會的危害性，然而信息犯罪具有特定的活動空間電子虛擬環境，以計算機和網絡限制電子虛擬環境過于狹隘，犯罪的實施主體可能是行為人和智能體的混合體。相對于普通犯罪，信息犯罪有特定的空間，即計算機和計算機網絡的虛擬空間，因此信息犯罪應定義為：在電子虛擬空間中，利用電子虛擬空間技術和針對電子虛擬空間資源而發生的犯罪現象，主要包括行為人、智能體或前兩者混合體以電子虛擬空間資源為侵害對象的犯罪和以電子虛擬空間技術為犯罪手段的犯罪兩種類型。

2 電子虛擬環境的犯罪行為分類

信息犯罪行為符合信息運動規律，研究信息犯罪在電子虛擬環境中的規律和特點有利于信息犯罪的分析與破案[14]。信息化規律的內涵包括五個方面：一是用于收集、加工、處理、輸送、發布各類信息所需的硬環境，典型技術包括傳感技術、通信技術和計算機技術；二是有一套完整的信息標準和科學的信息法規；三是有一套有效的經濟信息化的應用系統；四是有多方面反映國民經濟運行情況的各類數據庫；五是有符合要求的高素質的人力資源。電子虛擬環境具有典型的分層特點，對信息犯罪的分層，有利于對信息犯罪進行分析，掌握犯罪人的生理和心理特點，進而掌握犯罪人對數據的管控能力，從而有利于案件的偵破。

物理層犯罪行為：處于信息犯罪的最底層，涉及傳感、通信和計算機技術，只有特定的人群才具有實施的行為能力，犯罪人具有專業知識和系統處理數據的能力，以特定硬件設備資源為工具或攻擊目標，包括損壞信息傳輸設備、降低信息設備效率、獲取權限，受害者應對此類犯罪行為能力弱且隱蔽性強，具有很強的危害性。如使用匯編語言編寫的系統級計算機病毒、無線信道密碼破解等。

網絡層犯罪行為：涉及通信和計算機技術，以網絡資源為攻擊目標，犯罪人具有專業知識和系統處理數據的能力，改變傳輸路徑，破壞信道傳輸質量和環境的信息犯罪，受害者物理分布廣泛，危害性強，具有專業知識的人群具有實施的行為能力，如借助互聯網的各種網絡數據竊取，數據流失控等。

操作系統層犯罪行為：涉及計算機軟硬件技術，通過偽造身份獲取非法控制某一系統權利的信息犯罪，如身份欺詐，犯罪人摧毀或制約他人的信息系統、數據庫，具有專業知識的人群具有實施的行為能力，受害者是使用某一特定系統的特定人群。如軍事系統入侵、金融財務系統入侵等。

應用層犯罪行為：涉及計算機軟件技術，破壞或改變應用軟件功能為目標的信息犯罪，犯罪人熟悉特定的系列軟件工具，受害者使用的軟件具有缺陷，各種植入式木馬、利用計算機資源盜竊。

表示層犯罪行為：涉及計算機軟件技術，犯罪人使用特定的軟件工具作為盈利或損害他人利益，以獲取各種信息為目的或借助信息技術獲利的犯罪，如各種淫穢制品的散布，危害公共安全的謠言發布，信息污染、知識產權的破壞、個人信息盜取等。

信息犯罪行為的層次見圖1。

圖1 信息犯罪行為的層次

數據的分層和棧處理形式，決定了越靠近底層的信息犯罪行為危害性更大，隱藏性更深，也更不容易偵破。每個層次的犯罪也蘊含信息化五個方面的內容，物理層犯罪行為、網絡層犯罪行為和操作系統層犯罪行為可以歸結為高層次犯罪，具有物理層犯罪能力的行為人也必然具有發起高層信息犯罪的能力，反之則不然。物理層、網絡層和操作系統層側重信息資源破壞，而應用層和表示層側重使用信息技術手段進行犯罪行為。

信息犯罪各層次特點見表1。

表1 信息犯罪各層次特點

信息犯罪的層次行為特征見表2。

表2 信息犯罪的層次行為特征

3 虛擬環境的犯罪數據鏈

電子虛擬環境中的資源和工具都是數據，信息運動規律在數據基礎上，因此研究信息犯罪就必須重視電子虛擬環境中的數據，以及數據在動態環境中構建的數據鏈，完整的數據鏈將為犯罪行為提供必要的證明。

信息犯罪形成的數據鏈包括：

(1)現實虛擬鏈。如圖2所示，電子虛擬環境建立在現實世界基礎上，信息犯罪建立在電子虛擬環境基礎上，信息犯罪通過電子虛擬環境構建現實世界的聯系必然會在電子虛擬環境和現實世界留下痕跡，因此信息犯罪存在實體->虛擬->實體的數據證據鏈路。同時，信息犯罪往往伴隨其他犯罪行為，尤其在應用層和表示層信息犯罪中，由于信息犯罪處于紐帶和催化地位，成為連接犯罪行為中重要的一環，構建虛擬現實的電子證據鏈尤為必要。

(2)物理技術鏈。軟件建立在一定的硬件基礎上，完全擺脫硬件設施的信息犯罪是不可能的，因此首先重視信息犯罪的硬件將為信息犯罪的偵破提供一個非常必要的前提條件。以傳感技術、通信技術和計算機技術構成電子虛擬環境，三種技術都需要特定的硬件基礎和規范，形成數據鏈，如監控攝像獲取影像信息，竊聽器獲取音頻信息；網絡技術獲取個人社交信息；利用數據挖掘技術進行數據分析和處理。

(3)數據鏈。信息犯罪本質上仍是一種信息活動，則其必然遵守信息科學的一般規律，具有信息的產生、提取、變換、檢測、傳遞、存貯、識別和處理，包括尋求利用信息實現最優系統的途徑，在數據處理上形成數據鏈。信息犯罪在犯罪實施過程中形成一個數據鏈，包括數據終端、數據傳輸、數據處理、數據庫、數據倉庫、數據使用。數據在數據鏈中的處理、轉發、存儲和分析都會為犯罪行為留下痕跡。

(4)軟件工具鏈。目前的信息犯罪，并非像過去自己開發一段代碼進行犯罪活動，很多信息犯罪首先借助各種軟件工具，而且組合式使用，這些工具有特定的應用環境，能夠為犯罪行為提供證明。

圖2 信息犯罪與電子虛擬環境、現實世界的關系

4 虛擬環境的電子證據

國內司法的指導思想是以事實為依據，以法律為準繩，打擊計算機信息犯罪，法律依據就是對事實的證明，事實證明離不開證據。《中華人民共和國電子簽名法》的第三條和第七條規定了電子證據的有效性和不可歧視性，電子證據作為八大證據類型之一[15]。計算機信息犯罪的特殊性在于，其一般不會在現實世界中留下一些傳統意義上的證據，如物證、書證等，其證據一般是在計算機或網絡的電子虛擬世界里，以電子證據的形式存在。因此，為了打擊這類犯罪，必須研究電子證據的應用。電子證據的提取應遵循以下原則：確定電子證據的存儲形式、位置、格式、附屬文件或包頭；不得損害目標設備中電子數據的完整性、真實性；電子證據與物理載體的無關性；不得將提取、生成的數據存儲在原存儲設備中；不得在原存儲設備中安裝新的程序；詳細記錄在線分析和提取的過程。

電子證據是指能夠證明案件相關事實的電子數據文件，屬于電子數據，遵從信息科學規律，在馮諾依曼結構計算機中，明確將存儲列為核心，所有的數據處理、數據傳輸都以存儲器為中心，在網絡技術中，分組傳輸和數據封裝成為一個基礎。因此，電子證據具有三個特征：二進制為基礎的數字化存在形式；不固定依附特定的載體；可以多次原樣復制。這也導致電子證據與傳統證據體系的部分規則存在矛盾，如最佳證據原則(只能采用的證據應該是最具證明力和說服力的證據形式，即證據原件，電子證據顯然不符合)、非法證據排除等。同時，由于電子信息的動態性，它分為靜態電子證據和動態電子證據。靜態電子證據是指保存在非易失存儲設備中的電子證據不會因外部環境變化(如斷電)而丟失數據，如硬盤中的電子證據；動態電子證據是指網絡傳輸、易失存儲設備中的電子證據，當外界環境發生變化，其數據易發生變化，如內存中的電子證據。最后，電子證據的內容分為內容信息電子證據和附屬信息電子證據。內容電子證據是指記載一定社會活動內容的電子證據，也是證據的正文；附屬信息電子證據是指記錄內容信息電子證據的形成、處理、存儲、傳輸、輸出等與內容信息電子證據相關的環境和適用條件等附屬信息的證據。由于數據包采用分組傳輸和封裝形式，因此某一層次的數據包的下一層次的數據報頭是該數據包的附屬信息電子證據。電子證據在信息犯罪的層次內容不同，物理層電子證據包括二進制文件、電磁信號等；網絡層電子證據包括電子日志、網絡地址、控制信令、數據包、網絡協議等；系統層電子證據包括數據庫文件、高級程序文件、電子日志、超文本等；應用層電子證據包括字處理軟件、圖形圖像處理軟件、視頻音頻處理軟件、格式等；表示層電子證據包括字處理文件、圖形圖像文件、視頻音頻文件、電子虛擬物品等。

5 信息犯罪的數據保護手段

數據在信息化中處于核心地位，電子證據的保護屬于數據保護，因此信息犯罪的防治也應將數據保護擺在一個核心位置。信息犯罪的防治包括技術、法律、倫理等手段，這里著重論述技術手段。在技術層面上，根據信息犯罪的層次特征采取應對措施:

(1)構建面向打擊信息犯罪的網絡安全架構，如火車票和無線通信卡的實名制購買。

(2)重視現代新型信息保密技術的開發利用，既能“對癥下藥”，又是長遠之計。信息保密技術包括人工智能與專家系統、信息資源保密技術、信息對抗技術、反動態跟蹤技術、計算機系統安全技術、密碼技術和密碼分析技術、數據庫安全技術、軟件加密技術、數據加密技術等。

(3)信息犯罪提供建立可視化技術，即利于對犯罪行為的直觀認識，也利于信息犯罪的立案和偵破。

(4)進一步豐富數據管理和分析方法，只有讓可記錄、有限制的網絡行為，信息平臺終端對數據的操作行為具有限定性和可記錄性。

(5)建立在信息技術層面上的網絡行為的懲罰機制，如同刑事懲罰一樣，當行為人利用網絡實施非法行為時，通過限制、懲罰其網絡行為，達到威懾力。

(6)建立不同層次的信息犯罪電子證據的獲取方法，對電子證據的讀寫權限進行限制。

6 結束語

信息犯罪依托的電子虛擬環境與現實社會具有顯著差別，盡早開展虛擬環境下的信息犯罪行為研究和技術保護有利于虛擬環境的秩序，通過對虛擬環境的分層，分析各層的犯罪行為，從而建立信息犯罪的數據鏈，有利于信息犯罪證據的收集、分析和保護。

[1] Choudhury R R,Basak S,Guha D.Cyber crimes-challenges & solutions[J].International Journal of Computer Science and Information Technologies,2013,4(5):729-732.

[2] 文 軍.信息社會信息犯罪與信息安全[J].電子科技大學學報:社會科學版,2000,2(1):21-25.

[3] 朱曉征.信息犯罪原因探析[J].法制與社會,2015(23):287-288.

[4] 徐瀾波.計算機信息犯罪研究[J].社會科學，2004(4)：51-57.

[5] 馬海群.論信息犯罪及其控制[J].中國圖書館學報,1996,22(1):41-43.

[6] Laybats C,Tredinnick L.Information security[J].Business Information Review,2016,33(2):76-80.

[7] Liu Lu.The study on invading personal information crime in criminal law[J].Software Engineering and Knowledge Engineering:Theory and Practice,2012(44):927-934.

[8] Traunmueller M,Quattrone G,Capra L.Mining mobile pho-ne data to investigate urban crime theories at scale[C]//International conference on social informatics.[s.l.]:Springer International Publishing,2014:396-411.

[9] 馬進保.高科技語境下的電子信息犯罪[J].中國人民公安大學學報:社會科學版,2009(3):152-157.

[10] 賀曙敏，李錫海.現代化與信息犯罪[J].山東大學學報:哲學社會科學版，2010(4)：35-42.

[11] 李菊萍.信息犯罪探析[J].安徽工業大學學報:社會科學版，2002,19(2)：63-64.

[12] 張 莉.網絡環境下我國信息犯罪的分析及對策研究[J].農業圖書情報學刊，2005，17(7)：131-134.

[13] 高德勝，馬海群.信息犯罪新論[J].求是學刊，2006,33(3)：92-96.

[14] 張 磊，許慧敏.電子證據在打擊計算機信息犯罪中的應用研究-以《刑法修正案》(七)為契機[J].安徽警官職業學院學報，2011，10(1)：60-63.

[15] 常 怡，王 健.論電子證據的獨立地位[J].法學論壇，2004,18(6)：66-74.

Investigation on Stratification of Information Crime in Electronic Virtual Environment

ZHOU Jian1,2,SUN Li-yan1

(1.School of Management Science and Engineering,Anhui University of Finance and Economics,Bengbu 233041,China;2.School of Computer,Beijing University of Posts and Telecommunications,Beijing 100083,China)

Information crime has characteristics including non-violence,high covert and across space and time so that the evidence is difficult to acquire and track due to the uncontrollable spread in information crime.To deal with the question of achieving information crime proof in electronic virtual environment,on the basis of analyzing the content and form of information crime proof in electronic virtual environment,the chain of electronic proof based on layer and characters of crime in virtual environment has been presented.Furthermore the virtual chain,physical technology chain,data link and software tool chain have been formed when the crime behavior happens in the physical layer,network layer,operating system layer,application layer and presentation layer.The chain of electronic proof in the electronic virtual environment layer has been constructed,which not only provides the more comprehensive proof for information crime to improve the traceability of evidence in strong concealment and train-time-space electronic virtual environment,but also strengthens the protection of data on information crime,and the traces of crime have been left behind in every level for the emerging of complete criminal evidence.Therefore the chain has built the bridge between the virtual and the reality on information crime.Investigations on electronic virtual environment layer have provided new method for studies on information crime.

information crime;information crime level;electronic proof;electronic virtual environment

2016-04-18

2016-08-03 網絡出版時間：2017-06-05

國家自然科學基金資助項目(61402001)；安徽省高校自然科學研究項目(KJ2013B001)；安徽財經大學校級重點科研課題(ACKY1517ZDB))

周 健(1979-)，男，博士，副教授，博士后，CCF會員，研究方向為密鑰管理、無線網絡安全、深空網絡。

http://kns.cnki.net/kcms/detail/61.1450.TP.20170605.1506.008.html

TP309

A

1673-629X(2017)08-0125-05

10.3969/j.issn.1673-629X.2017.08.026