中国流氓软件及治理对策研究第十二章

中国流氓软件及治理对策研究第十二章［作者：佚名转贴自：Internet点击数：1888更新时间：2007-8-13文章录入：onegreen］第十二章中国现有流氓软件治理对策及效果评估12.1中国治理流氓软件的对策针对流氓软件日益猖獗的情况，中国已经有多种治理对策。尤其是2006年6月以来，媒体频繁曝光流氓软件的恶劣影响，全面报道打击流氓软件的动态。同时，网民、企业、行业协会等多方面力量积极参与治理流氓软件的行动。目前中国治理流氓软件的主要治理方式有：行业自律、网民起诉、软件查杀、媒体曝光、主管部门监督等等。行业自律行业自律是站在促进行业健康发展的高度采取措施，旨在通过行业成员加强自律，坚决抵制流氓软件，共同维护产业的整体利益、营造良好产业环境。目前，主要的行业自律行动有：2005年6月15日，国内的信息安全厂商瑞星公司发出了《规范软件产品行为倡议书》，呼吁国内软件和互联网企业拒绝“流氓软件”，维护广大用户的权益和整个行业的社会声誉。2005年6月21日，瑞星、新浪、搜狐、网易等16家网络和软件企业共同签署了《软件产品行为安全自律公约》，通过企业自律，共同抵制流氓软件。公约倡导软件企业遵守软件编写规范，开发安全的软件产品，互联网企业应阻止不符合规范的软件产品的发布和传播。2006年11月13日在“保护共享软件权益，构建绿色发展环境”研讨会上，与会共享软件企业代表发出“绿色软件倡议”：拒绝生产、传播流氓软件，倡导行业自律和可持续发展的健康理念，支持政府主管部门早日制定应对措施，切实保护广大用户的正当权益不受侵害。2006年11月7日下午，暴风影音、FlashGet等八家共享软件商共同签署《共享软件绿色公约》，希望通过共享软件的自律来遏制流氓软件。2006年10月至11月，中国互联网协会组织30余家互联网公司对“流氓软件”定义进行讨论，并且成立“反流氓软件协调工作组”。2006年11月22日，中国互联网协会正式公布“流氓软件定义”，同时列出流氓软件八大特征。中国互联网协会希望以行业自律的方式组织成员单位共同抵制流氓软件的传播，并准备签署和发布《抵制流氓软件自律公约》。网民起诉2006年9月，一群包括30余位律师的网友自发成立“中国反流氓软件联盟”，计划分批起诉流氓软件的相关公司，运用法律手段向流氓软件宣战。2006年9月4日，中国反流氓软件联盟以涉嫌流氓软件为由起诉中搜，打响了民间大规模反流氓软件第一枪。2006年9月11日、9月18日、9月20日，中国反流氓软件联盟先后对雅虎中国、很棒小秘书和eBay易趣提出了诉讼。此后，反流氓联盟先后起诉了十余家IT公司。2006年10月27日，中国反流氓软件联盟起诉中搜案在北京海淀人民法院开庭，成为国内开庭的第一例起诉流氓软件的案件。12月18日，法院一审宣判原告败诉，原因是证据不足。2006年11月9日,北京朝阳区人民法院对反流氓软件联盟起诉雅虎中国一案做出一审判决，判定原告败诉。原因是“证据不足,驳回原告诉讼请求”。知情人士透露,败诉的真正原因是反流氓软件取证难的问题。2006年12月7日，反流氓软件联盟成立“九四网维”的非营利性公司，以公司化运作继续打击流氓软件，同时也打击范围将从流氓软件扩大到网络非法广告、电子商务欺诈、著作权保护等领域。软件查杀通过软件查杀流氓软件是最直接的办法，目前主要有两种：一种是一般软件商或软件作者提供的流氓软件清理工具；另一种是有信息安全厂商研发推出的专杀工具。一般软件商或软件作者提供的流氓软件清理工具多以免费下载的形式提供给网民使用。目前网民使用较多的有超级兔子、Windows优化大师、完美卸载等，这些软件具有查找和卸载流氓软件的功能；2006年7月，奇虎公司与卡巴斯基合作推出的“360安全卫士”软件具有查杀流氓软件的功能、ＩＥ修复、插件管理等功能。信息安全厂商拥有强大的技术实力和丰富的反病毒经验，因此它们推出流氓软件专杀工具具有得天独厚的优势。目前国内主要的信息安全厂商均推出了自己的流氓软件专杀工具。瑞星是国内最早对流氓软件采取措施的信息安全厂商之一。早在2002年3月，瑞星就在杀毒软件2002增强版中加入了网页监控、脚本监控功能，帮助用户应对恶意网页代码的侵扰，取得了很好的防治效果。2004年12月，瑞星杀毒软件2005版集成的“注册表监控”功能成为应对流氓软件的强大工具。2005年1月，瑞星发布免费的注册表修复工具。2005年6月28日，瑞星正式发布卡卡上网助手1.0版，以实际行动向流氓软件宣战。2006年11月14日，瑞星推出卡卡助手3.0，集成的“碎甲”独家技术，可以彻底查杀流氓软件，并承诺免费让用户使用。2006年11月，根据用户投诉信息，瑞星先后发布分别针对“my123”、“7939.com”、“3448.com”三个流氓软件的追杀令，坚决打击危害极大的流氓软件。国内的其他信息安全厂商也采取了针对性的措施。江民科技2006年9月21日正式向流氓软件宣战，在正式发布的KV2007中加入反流氓软件功能。金山于2006年11月14日，启动代号为“风卷残云”的封杀流氓软件行动，同时正式发布金山毒霸系统清理专家，供用户免费下载使用；2006年11月19日，启动“百城义诊”活动，帮助用户查杀流氓软件。媒体曝光自流氓软件出现以来，各地电视、网站、报纸、杂志等各类媒体对流氓软件发展和反流氓软件进展进行了广泛而深入地报道，特别是多次曝光了用户投诉集中的流氓软件。其中，央视《新闻联播》以及新闻频道《新闻360》对流氓软件典形案例、反流氓软件联盟、中国互联网协会等的相关动态进行了专门报道；新浪、搜狐、腾讯等网站对相关专家进行了访谈，制作了大量新闻专题，对流氓软件的发展及治理流氓软件的动态进行了跟踪报道，对网民进行了广泛调查；《人民日报》、《中国青年报》、《互联网周刊》等全国上百家报纸、杂志从不同角度对流氓软件进行了报道和分析。主管部门监督对于同时涉及到网民、网站、软件产商的流氓软件治理问题，作为政府主管部门的信息产业部在流氓软件的管理和监督方面具有不可或缺的重要作用。2006年11月13日,信息产业部软件与集成电路促进中心联合反流氓软件联盟、国内软件行业代表发布“绿色软件倡议书”，呼吁拒绝生产、传播流氓软件。2006年12月6日，信息产业部对外公布了流氓软件的举报电话(010-12321),开始接受用户的举报和投诉。网民、网站、安全厂商、行业协会、主管部门等各方的措施已经初步发挥了作用，有效地打击流氓软件的猖狂影响。但是，仍然还难以从根本上治理流氓软件，其中最根本的是目前法律上对“流氓软件”缺乏明确的定义，打击流氓软件缺乏有力的法律依据。目前，我国涉及计算机信息安全管理的法律法规有《刑法》、《计算机信息系统安全保护条例》、《计算机病毒防治管理办法》等等。其中《刑法》第二百八十六条规定：【破坏计算机信息系统罪】违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役；后果特别严重的，处五年以上有期徒刑。违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，后果严重的，依照前款的规定处罚。故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，后果严重的，依照第一款的规定处罚。很多流氓软件对计算机信息系统的功能进行删除修改或者增加，与破坏计算机信息系统罪比较吻合，但是，刑法上规定，破坏计算机信息系统罪的主体为年满16周岁并具有刑事责任能力的自然人。而互联网上流氓软件发布者大多为法人。所以，刑法对此不适用。《计算机病毒防治管理办法》第二条对计算机病毒进行了定义：本办法所称的计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。目前，调查显示大多数流氓软件更多表现的干扰用户的正常使用，只有很小部分流氓软件具有破坏性，但是尚不具有自我复制的特征，不符合计算机病毒的定义，因此《计算机病毒防治管理办法》中的规定对流氓软件缺乏约束力。国务院147号令《计算机信息网络国际联网安全保护管理办法》第六条规定：任何单位和个人不得从事下列危害计算机信息网络安全的活动：未经允许对计算机网络信息进行修改、删除的；未经允许对计算机系统信息网络功能进行删除、修改或者增加；未经允许对计算机信息网络中处理或者传输的数据和应用程序进行删除、修改或增加的；故意制作传播计算机病毒等破坏行为；其他危害计算机网络安全的。147号令第七条规定：用户的通信自由和通信秘密受法律保护，任何单位和个人不得违反法律规定，利用国际联网侵犯用户通信自由和使用。目前很多“流氓软件”对计算机信息的功能进行删除修改或者增加，或者破坏用户的隐私，故违反了该规定。但是因为很多流氓软件产生恶意行为具有瞬时性，很难在短时间内保存证据；同时流氓软件的危害具有相当强的隐蔽性，普通用户在缺乏技术支持的条件下，也难以发现流氓软件的恶意行为。所以，在实际应用这些法规时面临着取证等重重困难。其他法律法规如《消费者权益保护法》也有相关规定，但是都存在对“流氓软件”缺乏针对性或者规定缺乏可行性。因此，有关专家提议修订现有的法律，比如2006年11月14日，在中国软件协会召开了“流氓软件如何规范管理”主题研讨会上，与会的专家表示，2000年10月27日，信息产业部制定了《软件产品管理办法》，但由于技术先于法律法规，该办法并没有规定对流氓软件的具体管理办法。因此，专家提议修订《软件产品管理办法》实施软件产品登记制度，要求所有软件产品必须通过登记、检测和认证，任何软件不得含有未经用户许可的强制安装、强制使用、隐藏功能及不可完全安全卸载技术等内容。12.2中国现有治理对策的效果评估目前的这些治理措施在不同程度上都发挥了作用，具有积极的意义，但是同时也存在不足之处。行业自律更多是从道德层面发挥效果，由行业成员根据自律公约自觉抵制流氓软件，规范自身行为，但是公约缺乏有效的约束力，同时也缺乏有力的制裁措施。在巨大商业利益的驱动下，流氓软件背后的商业公司和个人仍然没有停止制作和传播流氓软件。目前，行业自律的实际效果尚不明显，但是对于打击流氓软件形成良好的产业环境具有重要意义。反流氓软件联盟起诉中搜、雅虎等案件都尚未胜诉，但是诉讼的效果是积极的。流氓软件诉讼案经过媒体广泛报道后，在业界已经形成了比较大的影响。一方面，现在大多数流氓软件开始收敛，不再进一步推广，涉嫌的公司也纷纷与流氓软件划清界限；另一方面，诉讼案引起了业界的广泛关注，引发了相关人士对立法治理流氓软件的讨论和呼唤。首先从法律的高度来治理流氓软件已经成为广泛的共识。信息安全厂商凭借自己强调的技术力量，通过提供专业的杀毒工具，能够帮助用户找出并有效地清理大部分流氓软件，具有良好的实际效果。来自瑞星的统计数据显示：从2006年11月14日至11月30日仅半个月时间，瑞星用户通过瑞星卡卡助手卸载流氓软件的次数就超过2.1亿次，金山毒霸的系统清理专家的下载量也突破了百万大关。但是安全厂商也面临着重重困难，一方面流氓软件不断变化，尤其是渐渐向病毒化发展，技术上还难以实现全面、彻底根除流氓软件；另一方面，信息安全厂商迫于某方面的压力，还不能充分发挥作用。此外，由于目前法律上对流氓软件的判定缺乏明确定义，如果处理不当，信息安全厂商可能会涉及到不正当竞争，面临潜在的法律风险。这方面，瑞星采用的方法值得借鉴。瑞星把是否删除流氓软件的决定权交给用户，由用户作主，这样的做法具有良好的可行性和创造性，既可以有效保护用户计算机安全，又可以规避可能的法律风险。媒体报道对于治理流氓软件形成了良好的舆论环境。一方面，媒体对流氓软件恶劣影响的曝光，提高了广大用户对流氓软件危害性的认识和警惕，对制作和传播流氓软件的网站也具有非常大的监督作用；另一方面，媒体对治理流氓软件措施和动态的报道，可以号召更多的机构和个人参与到治理流氓软件的行动中来，有利于扩大治理措施的影响和加强打击力度。政府主管部门发挥的管理和监督作用至关重要。信产部已经在12