- 資訊安全與網路安全法
- 網路安全法首頁
- 網路安全法與資訊科技法概述
- 網路安全法目標
- 智慧財產權
- 網路安全策略
- 降低網路風險的政策
- 網路安全
- 2000年資訊科技法
- 數字和電子簽名
- 違法行為和處罰
- 網路安全法總結
- 網路犯罪常見問題解答
- 網路安全法資源
- 網路安全法 - 快速指南
- 網路安全法 - 有用資源
- 網路安全法 - 討論
網路安全法 - 快速指南
網路安全法 - 簡介
網路空間
網路空間可以定義為一個複雜的環 境,涉及人員、軟體和服務之間的互動。它由全球資訊和通訊技術裝置和網路的分佈維護。
隨著技術進步帶來的益處,如今的網路空間已成為公民、企業、關鍵資訊基礎設施、軍事和政府的常用資源池,使得在這些不同群體之間難以界定明確的界限。隨著網路和連線到它的裝置的增加,預計網路空間在未來幾年將變得更加複雜。
網路安全
網路安全指的是旨在保護計算機、網路和資料免受網路罪犯透過網際網路進行的非法訪問、漏洞和攻擊的技術和程式。
ISO 27001 (ISO27001) 是國際網路安全標準,它提供了一個建立、應用、執行、監控、審查、維護和改進資訊安全管理體系的模型。
印度政府通訊和資訊科技部提供了一個名為國家網路安全政策的戰略綱要。該政府機構的目的是保護公共和私有基礎設施免受網路攻擊。
網路安全政策
網路安全政策是一項發展中的任務,服務於整個資訊和通訊技術 (ICT) 使用者和提供商領域。它包括 -
- 家庭使用者
- 中小型企業
- 政府和非政府實體
它充當一個權威框架,定義和指導與網路空間安全相關的活動。它允許所有部門和組織設計合適的網路安全政策以滿足其需求。該政策提供了有效保護資訊、資訊系統和網路的框架。
它使人們瞭解政府在該國網路空間安全方面的方針和策略。它還概述了一些要點,以促進公共和私營部門之間的協作,以保護資訊和資訊系統。因此,該政策的目的是建立一個網路安全框架,從而導致詳細的行動和計劃,以提高網路空間的安全能力。
網路犯罪
《2000年資訊科技法》或該國任何立法都沒有描述或提及“網路犯罪”一詞。它可以被全球認為是技術的陰暗面。傳統犯罪與網路犯罪的唯一區別在於網路犯罪涉及與計算機相關的犯罪。讓我們看下面的例子來更好地理解它 -
**傳統盜竊** - 小偷闖入張三的家並**偷走**放在房子裡的物品。
**駭客攻擊** - 一名網路罪犯/駭客坐在自己家裡,透過自己的電腦,入侵張三的電腦並**偷走**儲存在張三電腦中的資料,而無需物理接觸電腦或進入張三的房子。
《2000年資訊科技法》定義了以下術語 -
在**第2(a)條**中訪問計算機網路
在**第2(i)條**中計算機
在**第2(j)條**中計算機網路
在**第2(o)條**中資料
在**第2(v)條**中資訊。
要理解網路犯罪的概念,您應該瞭解這些法律。網路犯罪中的犯罪物件或目標要麼是計算機,要麼是儲存在計算機中的資料。
威脅的性質
21世紀最嚴峻的挑戰之一是網路安全領域普遍存在的和潛在的威脅。威脅來自各種來源,並表現為破壞性活動,這些活動針對個人、企業、國家基礎設施和政府。這些威脅的影響會對以下方面造成重大風險 -
- 公共安全
- 國家安全
- 全球互聯國際社會穩定
資訊科技的惡意使用很容易隱藏。很難確定犯罪的起源或身份。甚至破壞的動機也不容易查明。這些活動的罪犯只能從目標、影響或其他間接證據中推斷出來。威脅行為者可以從幾乎任何地方獲得相當大的自由行動。破壞的動機可以是任何東西,例如 -
- 僅僅展示技術實力
- 盜竊金錢或資訊
- 國家衝突的延伸等。
罪犯、恐怖分子,有時甚至是國家本身都充當這些威脅的來源。罪犯和駭客使用各種惡意工具和方法。隨著犯罪活動每天都在呈現新的形式,有害行為的可能性也在增加。
賦能人民
使用者缺乏資訊安全意識,這些使用者可能是簡單的學生、系統管理員、開發人員,甚至是一家公司的執行長,這會導致各種網路漏洞。意識政策將以下行動和舉措歸類為使用者意識、教育和培訓的目的 -
在全國範圍內推廣完整的意識計劃。
一個全面的培訓計劃,可以滿足國家資訊安全的需求(學校、學院和大學的 IT 安全課程)。
提高現有的資訊安全培訓計劃的有效性。規劃特定領域的培訓計劃(例如,執法、司法、電子政務等)
支援私營部門對專業資訊安全認證的支援。
資訊科技法
印度政府頒佈了資訊科技法,其主要目標如下 -
對透過電子資料交換 (EDI) 和其他電子通訊方式進行的交易進行合法認可,通常稱為**電子商務**或電子商務。目的是使用紙質通訊和資訊儲存方法的替代品。
方便向政府機構電子提交檔案,並進一步修訂《印度刑法典》、《1872年印度證據法》、《1891年銀行家賬簿證據法》和《1934年印度儲備銀行法》以及與之相關的或附帶的事項。
因此,《2000年資訊科技法》作為2000年第21號法案獲得透過。《資訊科技法》於2000年6月9日獲得總統批准,並於2000年10月17日生效。透過採用這項網路立法,印度成為世界上第12個採用網路法律制度的國家。
網路安全計劃的使命和願景
使命
以下使命服務於網路安全 -
保護網路空間中的資訊和資訊基礎設施。
建立預防和應對網路威脅的能力。
透過結合制度結構、人員、流程、技術和合作,減少漏洞並最大限度地減少網路事件造成的損害。
願景
為公民、企業和政府構建一個安全且有彈性的網路空間。
網路安全法 - 目標
最近愛德華·斯諾登關於美國監控計劃稜鏡的披露表明,在特定司法管轄區之外的法律實體網路和計算機系統如何在不知情的情況下受到監控。與攔截和窺探相關的網路案件正在以驚人的速度增加。為了遏制此類犯罪,網路法律正在定期修訂。
網路安全法的興起趨勢
報告顯示,未來幾年將發生更多網路攻擊。因此,建議組織透過更好的檢查方法加強其資料供應鏈。
網路安全法的一些新興趨勢如下 -
許多國家/地區制定了嚴格的監管規則,以防止未經授權訪問網路。此類行為被宣佈為刑事犯罪。
移動公司利益相關者將呼籲世界各國政府加強網路法律體系和管理,以規範新興的移動威脅和犯罪。
日益增長的隱私意識是另一個即將出現的趨勢。谷歌首席網際網路專家溫特·瑟夫曾表示,*隱私實際上可能是一種異常現象*。
**雲計算**是另一個主要的增長趨勢。隨著技術的不斷發展,大量資料將流入雲端,而云端並非完全不受網路犯罪的影響。
**比特幣**和其他虛擬貨幣的增長是另一個值得關注的趨勢。在不久的將來,比特幣犯罪可能會增加。
資料分析的到來和接受是另一個需要關注的主要趨勢,它要求對與**大資料**相關的問題給予適當的關注。
提高意識
雖然美國政府已宣佈 10 月為國家網路安全意識月,但印度也正在效仿這一趨勢,為公眾實施一些嚴格的意識計劃。
公眾部分了解與**病毒傳播**相關的犯罪。但是,他們沒有意識到可能影響其網路生活的威脅的更大圖景。大多數網際網路使用者對電子商務和網上銀行網路犯罪的瞭解非常缺乏。
在參與線上活動時,請保持警惕並遵循以下提示 -
過濾社交網站上個人資訊的可見性。
不要將任何電子郵件地址和密碼的“記住密碼”按鈕保持活動狀態
確保您的網上銀行平臺安全。
在網上購物時要密切關注。
不要在移動裝置上儲存密碼。
保護移動裝置和計算機等的登入詳細資訊。
發展領域
“2013年印度網路法律趨勢”和“2014年印度網路法律發展”是Perry4Law組織(P4LO)分別為2013年和2014年提供的兩項突出且值得信賴的與網路法律相關的研究成果。
有一些嚴重的與網路法律相關的問題值得印度政府立即考慮。這些問題是由P4LO和印度網路犯罪調查中心(CCICI)提供的2014年印度網路法律綜述提出的。以下是一些主要問題 -
- 構建更完善的網路法律和有效的網路犯罪預防戰略
- 網路犯罪調查培訓需求
- 制定專門的加密法律
- 雲計算的法律採用
- 電子郵件政策的制定和實施
- 線上支付的法律問題
- 線上賭博和線上藥店的合法性
- 比特幣的合法性
- 網站封鎖框架
- 移動應用的監管
隨著網路法律強制的形成,銀行在網路盜竊和網路犯罪方面的義務在不久的將來會大幅增加。印度銀行需要為此配備專門的網路法律專家團隊,或尋求外部專家的幫助。
隨著網路攻擊和網路犯罪的增加,印度保險行業應增加網路保險交易。
國際網路安全網路
為了建立國際網路安全網路,2014年3月在印度新德里舉行了一次會議。
國際網路法與網路犯罪會議設定的目標如下:
認識網路法的發展趨勢以及當前情況下影響網路空間的立法。
提高人們對打擊影響數字和行動網路所有投資者的最新網路犯罪型別的認識。
認識到數字和行動網路利益相關者需要進一步發展網路法的領域。
努力建立一個國際網路犯罪網路。法律當局隨後可以在全球網路犯罪和網路法律立法的進一步擴充套件中發揮重要作用。
網路法 - 智慧財產權
智慧財產權是指授予作品的所有者和發明者(即憑藉其智力創造力創造出某些東西的人)的特權的法律權利。與文學、音樂、發明等領域相關的人員可以獲得此類權利,然後可以將其用於他們的商業實踐。
創作者/發明者獲得排他性權利,以防止未經其事先告知而對作品進行任何濫用或使用。但是,為了保持平衡,這些權利的授予期限有限。
世界智慧財產權組織 (WIPO) 規定了以下受智慧財產權保護的活動清單:
- 工業設計
- 科學發現
- 防止不正當競爭
- 文學、藝術和科學作品
- 人類所有領域的發明
- 表演藝術家的表演、錄音製品和廣播
- 商標、服務標記、商業名稱和名稱
- 工業、科學、文學或藝術領域智力活動產生的所有其他權利
智慧財產權型別
智慧財產權可以進一步分為以下類別:
- 版權
- 專利
- 專利
- 商業秘密等。
智慧財產權的優勢
智慧財產權具有以下優勢:
為創作者或發明者提供獨佔權利。
鼓勵個人分發和共享資訊和資料,而不是將其保密。
提供法律保護併為創作者提供其工作的激勵。
有助於社會和經濟發展。
印度的智慧財產權
為了保護印度領土內的智慧財產權,印度已經定義了憲法、行政和司法框架的形成,無論它們暗示的是版權、專利、商標、工業設計還是智慧財產權的任何其他部分。
早在 1999 年,政府就根據國際慣例通過了一項重要立法,以保障智慧財產權。讓我們一睹其風采:
專利(修正案)1999 年法律促進了專利申請郵箱系統的建立。它提供長達五年的獨家市場權。
商標1999 年法案取代了 1958 年的貿易和商品標記法。
印度總統簽署了版權(修正案)1999 年法律。
sui generis立法獲得批准,並命名為 1999 年商品地理標誌(註冊與保護)法案。
工業設計1999 年法案取代了 1911 年的設計法。
專利(第二次修正案)1999 年法案,進一步修訂 1970 年的專利法,以符合 TRIPS 協議。
網路空間中的智慧財產權
技術領域的每一項新發明都會面臨各種威脅。網際網路就是其中一種威脅,它已經佔據了實體市場,並將其轉變為虛擬市場。
為了保護商業利益,至關重要的是要建立一個有效的財產管理和保護機制,同時考慮到網路空間中發生的鉅額商業活動。
如今,對於每個企業來說,制定有效的協作 IP 管理機制和保護策略至關重要。因此,可以監控和控制網路世界中不斷出現的威脅。
立法者已經設計了各種方法和法律,以提高在針對此類網路威脅提供安全配置方面的力度。但是,智慧財產權 (IPR) 所有者有責任透過採取積極措施來使罪犯的此類惡意行為無效並減少此類行為。
網路法 - 網路安全策略
為了設計和實施安全的網路空間,已經制定了一些嚴格的策略。本章解釋了為確保網路安全而採用的主要策略,其中包括:
- 建立安全的網路生態系統
- 建立保證框架
- 鼓勵開放標準
- 加強監管框架
- 建立 IT 安全機制
- 保護電子政務服務
- 保護關鍵資訊基礎設施
策略 1 - 建立安全的網路生態系統
網路生態系統涉及各種各樣的實體,如裝置(通訊技術和計算機)、個人、政府、私營組織等,它們出於多種原因相互互動。
此策略探討了擁有強大而穩健的網路生態系統的想法,在該生態系統中,網路裝置將來可以相互協作以防止網路攻擊、降低其有效性或找到從網路攻擊中恢復的解決方案。
這種網路生態系統將具有內建在其網路裝置中的能力,以允許在裝置組內和裝置組之間組織安全的操作方式。此網路生態系統可以由現有的監控技術進行監督,在這些技術中,軟體產品用於檢測和報告安全弱點。
強大的網路生態系統具有三個共生結構:自動化、互操作性和認證。
自動化 - 它簡化了高階安全措施的實施,提高了速度並優化了決策過程。
互操作性 - 它加強了協作行動,提高了意識並加速了學習過程。互操作性有三種類型:
- 語義(即基於共同理解的共享詞典)
- 技術
- 政策 - 在將不同的貢獻者整合到包容性的網路防禦結構中發揮重要作用。
認證 - 它改進了識別和驗證技術,以提供:
- 安全
- 可負擔性
- 易用性和管理
- 可擴充套件性
- 互操作性
攻擊比較
下表顯示了針對所需網路生態系統能力的攻擊類別比較 -
案例研究
吉爾伯特·蓋茨為《紐約時報》繪製了以下圖表,該圖表顯示了伊朗工廠是如何透過網際網路被駭客入侵的。
說明 - 設計了一個程式來自動執行伊朗核電站。不幸的是,一名不知情威脅的工人將該程式引入控制器。該程式收集了與工廠相關的所有資料,並將資訊傳送給情報機構,情報機構隨後開發並向工廠植入了蠕蟲。利用蠕蟲,工廠被不法分子控制,導致產生更多蠕蟲,結果工廠完全癱瘓。
攻擊型別
下表描述了攻擊類別:
| 攻擊類別 | 攻擊描述 |
|---|---|
| 損耗 | 用於破壞網路和系統的方法。它包括以下內容:
|
| 惡意軟體 | 任何用於中斷正常計算機操作並在未經所有者同意的情況下損害資訊資產的惡意軟體。任何來自可移動裝置的執行都可能增加惡意軟體的威脅。 |
| 駭客攻擊 | 試圖故意利用弱點以獲得不道德的訪問許可權,通常遠端進行。它可能包括:
|
| 社會戰術 | 使用欺騙和操縱等社會戰術獲取資料、系統或控制權的訪問許可權。它包括:
|
| 不當使用(內部威脅) | 組織中個人對資料和控制權的權利的濫用,違反了組織的政策。它包括:
|
| 物理操作/裝置丟失或被盜 | 人為驅動的攻擊,例如:
|
| 多元件 | 包含多種高階攻擊技術和元件的單一攻擊技術。 |
| 其他 | 諸如以下攻擊:
|
策略 2 - 建立保證框架
此策略的目標是透過傳統的產品、流程、人員和技術設計符合全球安全標準的框架。
為了滿足國家安全需求,開發了一個名為網路安全保證框架的國家框架。它透過“啟用和認可”行動來適應關鍵基礎設施組織和政府。
啟用行動由政府實體執行,這些實體是獨立於商業利益的自治機構。這些機構釋出“國家安全政策合規性要求”以及 IT 安全指南和檔案,以啟用 IT 安全實施和合規性。
認可行動涉及在滿足強制性資格標準後提供的盈利服務,其中包括:
ISO 27001/BS 7799 ISMS 認證、IS 系統審計等,這些本質上是合規性認證。
“通用標準”標準ISO 15408和密碼模組驗證標準,是IT安全產品評估和認證。
協助消費者實施IT安全(例如IT安全人力資源培訓)的服務。
可信公司認證
隨著外包市場的蓬勃發展,印度IT/ITES/BPO需要遵守安全和隱私方面的國際標準和最佳實踐。ISO 9000、CMM、六西格瑪、全面質量管理、ISO 27001等是一些認證。
現有的模型(如SEI CMM級別)專門用於軟體開發過程,並未解決安全問題。因此,人們做出了許多努力來建立基於自我認證概念並以美國卡內基梅隆大學軟體能力成熟度模型(SW-CMM)為基礎的模型。
這種行業與政府之間合作產生的結構包括以下內容:
- 標準
- 指南
- 實踐
這些引數幫助關鍵基礎設施的所有者和運營商管理與網路安全相關的風險。
戰略3 - 鼓勵開放標準
標準在定義我們如何跨地理區域和社會處理資訊安全相關問題方面發揮著重要作用。鼓勵開放標準以:
- 提高關鍵流程的效率,
- 實現系統整合,
- 為使用者提供衡量新產品或服務的標準,
- 組織安排新技術或商業模式的方法,
- 解釋複雜的環境,以及
- 促進經濟增長。
ISO 27001[3]等標準鼓勵實施標準的組織結構,客戶可以瞭解流程並降低審計成本。
戰略4 - 加強監管框架
本戰略的目標是建立一個安全的網路空間生態系統並加強監管框架。設想了一種24x7機制,透過國家關鍵資訊基礎設施保護中心(NCIIPC)應對網路威脅。計算機應急響應小組(CERT-In)被指定為危機管理的節點機構。
本戰略的一些亮點如下:
促進網路安全領域的研發。
透過教育和培訓計劃培養人力資源。
鼓勵所有組織(無論公私)指定一名首席資訊安全官(CISO),負責網路安全舉措。
印度武裝部隊正在建立網路司令部,作為加強國防網路和設施網路安全的一部分。
正在籌劃有效實施公私合作關係,這將極大地幫助建立應對不斷變化的威脅環境的解決方案。
戰略5 - 建立IT安全機制
為確保IT安全而採取的一些基本機制包括:面向鏈路的安全措施、端到端安全措施、面向關聯的措施和資料加密。這些方法在其內部應用功能以及提供的安全屬性方面有所不同。讓我們簡要討論一下它們。
面向鏈路的措施
它在兩個節點之間傳輸資料時提供安全保障,而不管資料的最終來源和目的地如何。
端到端措施
它是一種以受保護的方式從源到目的地傳輸協議資料單元(PDU)的媒介,這樣任何通訊鏈路的中斷都不會違反安全。
面向關聯的措施
面向關聯的措施是一組修改後的端到端措施,可以單獨保護每個關聯。
資料加密
它定義了傳統密碼和最近開發的公鑰密碼類的一些通用特徵。它以只有授權人員才能解密的方式對資訊進行編碼。
戰略6 - 保障電子政務服務
電子政務(e-governance)是政府提供公共服務的最寶貴的工具,可以以負責任的方式提供服務。不幸的是,在當前情況下,印度還沒有專門針對電子政務的法律框架。
同樣,印度也沒有關於強制性電子交付公共服務的法律。沒有比在沒有充分網路安全的情況下執行電子政務專案更危險和麻煩的事情了。因此,保障電子政務服務已成為一項至關重要的任務,尤其是在國家每天透過卡片進行交易的情況下。
幸運的是,印度儲備銀行已實施了印度卡片交易的安全和風險緩解措施,自2013年10月1日起生效。它將確保卡片交易安全的責任放在銀行而不是客戶身上。
“電子政務”或電子政府是指政府機構使用資訊和通訊技術(ICT)來實現以下目標:
- 高效交付公共服務
- 提高內部效率
- 公民、組織和政府機構之間輕鬆的資訊交流
- 行政流程的重組。
戰略7 - 保護關鍵資訊基礎設施
關鍵資訊基礎設施是一個國家國家安全和經濟安全的支柱。它包括髮電廠、高速公路、橋樑、化工廠、網路以及每天有數百萬人工作的建築物。這些可以透過嚴格的合作計劃和規範的實施來保障。
保護關鍵基礎設施免受不斷發展的網路威脅需要一種結構化的方法。政府需要定期與公共和私營部門積極合作,以防止、應對和協調緩解工作,防止對國家關鍵基礎設施的破壞企圖和不利影響。
政府需要與企業主和運營商合作,透過共享網路和其他威脅資訊來加強其服務和群體。
應與使用者共享一個通用平臺,以便他們提交意見和想法,可以共同努力,為保障和保護關鍵基礎設施建立更堅實的基礎。
美國政府於2013年釋出了一項名為“改善關鍵基礎設施網路安全”的行政命令,該命令優先考慮管理關鍵基礎設施服務交付中涉及的網路安全風險。此框架為組織提供了一個通用的分類和機制,以便:
- 定義其現有的網路安全狀況,
- 定義其網路安全目標,
- 在持續流程框架內對發展機會進行分類和優先順序排序,以及
- 與所有投資者溝通網路安全事宜。
網路法律 - 降低網路風險的政策
本章將引導您瞭解為最大程度地降低網路風險而制定的各種政策。只有制定明確的政策,才能減少網路空間中產生的威脅。
促進網路安全領域的研發
由於對網際網路的依賴日益增加,我們今天面臨的最大挑戰是如何保護資訊免受不法分子的侵害。因此,必須促進網路安全領域的研發,以便我們能夠提出強大的解決方案來降低網路風險。
網路安全研究
網路安全研究是致力於尋找解決網路犯罪問題的方案的領域。隨著網際網路攻擊、高階持續性威脅和網路釣魚數量的增加,未來需要大量的研究和技術發展。
網路安全研究 - 印度視角
近年來,印度見證了網路技術的巨大發展。因此,需要對網路安全的研究與開發活動進行投資。隨著本地網路安全公司的出現,印度也取得了許多成功的研究成果,並將其轉化為商業化。
威脅情報
印度已經開始進行緩解網路威脅的研究工作。已建立了主動響應機制來應對網路威脅。印度各研究機構已經開始開展研發活動,以應對網路空間中的威脅。
下一代防火牆
基於多身份的專業知識(如下一代防火牆)為企業提供安全情報,並使它們能夠在網路邊界應用最合適的安全控制,這些也在開發中。
安全協議和演算法
協議和演算法研究是網路安全在技術層面上鞏固的重要階段。它定義了在網路空間中共享和處理資訊的規則。在印度,協議和演算法級別的研究包括:
- 安全路由協議
- 高效的身份驗證協議
- 增強型無線網路路由協議
- 安全傳輸控制協議
- 攻擊模擬演算法等。
身份驗證技術
金鑰管理、雙因素身份驗證和自動金鑰管理等身份驗證技術提供了在沒有集中式金鑰管理系統和檔案保護的情況下進行加密和解密的能力。人們正在不斷進行研究以增強這些身份驗證技術。
BYOD、雲和移動安全
隨著各種型別移動裝置的採用,關於移動裝置上安全和隱私相關任務的研究有所增加。移動安全測試、雲安全和BYOD(自帶裝置)風險緩解是一些正在進行大量研究的領域。
網路取證
網路取證是將分析技術應用於從系統或數字儲存介質中收集和恢復資料的過程。印度正在進行研究的一些具體領域包括:
- 磁碟取證
- 網路取證
- 移動裝置取證
- 記憶體取證
- 多媒體取證
- 網際網路取證
降低供應鏈風險
正式地,供應鏈風險可以定義為:
對手可能損壞、向其中寫入某些惡意函式、破壞設計、安裝、程式或維護供應物品或系統,從而導致整個功能下降的任何風險。
供應鏈問題
供應鏈是一個全球性問題,需要找出客戶和供應商之間的相互依賴關係。在當今情況下,重要的是要知道:SCRM問題是什麼?以及如何解決這些問題?
有效的SCRM(供應鏈風險管理)方法需要強大的公私合作關係。政府應擁有強大的權力來處理供應鏈問題。即使是私營部門也可以在許多領域發揮關鍵作用。
我們無法提供適用於所有情況的供應鏈風險管理解決方案。根據產品和行業的不同,降低風險的成本會有所不同。應鼓勵公私合作伙伴關係解決與供應鏈管理相關的風險。
透過人力資源開發降低風險
組織的網路安全政策可以有效,前提是所有員工都理解其價值並表現出強烈的實施承諾。人力資源主管可以透過應用以下幾點在保持組織網路安全方面發揮關鍵作用。
承擔員工帶來的安全風險責任
由於大多數員工沒有認真對待風險因素,駭客很容易將組織作為目標。在這方面,人力資源在教育員工瞭解其態度和行為對組織安全的影響方面發揮著關鍵作用。
確保安全措施實用且合乎道德
公司的政策必須與員工的思維和行為方式保持一致。例如,在系統上儲存密碼是一種威脅,但持續監控可以防止這種情況。人力資源團隊最適合提供建議,說明政策是否可能有效以及是否合適。
識別可能帶來特定風險的員工
有時,網路犯罪分子會藉助公司內部人員入侵其網路。因此,必須識別可能帶來特定風險的員工,並對他們制定嚴格的人力資源政策。
提升網路安全意識
印度的網路安全仍處於發展階段。這是提升網路安全相關問題意識的最佳時機。從基層,例如學校,很容易開展意識提升工作,讓使用者瞭解網際網路的工作原理及其潛在威脅。
每個網咖、家庭/個人電腦和辦公電腦都應透過防火牆進行保護。應透過服務提供商或閘道器指示使用者不要入侵未經授權的網路。應以粗體描述威脅並突出顯示影響。
在中小學和高校開設網路安全意識課程,使其成為持續的過程。
政府必須制定強有力的法律來執行網路安全,並透過電視/廣播/網際網路廣告等方式進行充分的宣傳。
資訊共享
美國提出了一項名為**2014 年網路安全資訊共享法案 (CISA)** 的法律,旨在透過加強網路安全威脅資訊共享來提高該國的網路安全。每個國家都需要制定此類法律來在公民之間共享威脅資訊。
網路安全違規需要強制報告機制
最近名為**Uroburos/Snake** 的惡意軟體是網路間諜活動和網路戰日益增多的一個例子。竊取敏感資訊已成為新的趨勢。然而,不幸的是,電信公司/網際網路服務提供商 (ISP) 沒有共享與其網路遭受網路攻擊相關的資訊。因此,無法制定強大的網路安全策略來應對網路攻擊。
可以透過制定良好的網路安全法律來解決這個問題,該法律可以為電信公司/ISP 的強制性網路安全違規通知建立監管制度。
自動化電網、熱電廠、衛星等基礎設施容易受到各種網路攻擊,因此違規通知計劃將提醒相關機構對它們採取措施。
實施網路安全框架
儘管公司在網路安全計劃上投入了大量資金,但資料洩露事件仍在繼續發生。《華爾街日報》報道稱,“據 Allied Business Intelligence Inc. 稱,2013 年關鍵基礎設施行業的全球網路安全支出預計將達到 460 億美元,比上年增長 10%。” 這要求有效實施網路安全框架。
網路安全框架的組成部分
該框架包含三個主要組成部分:
- 核心,
- 實施層級,以及
- 框架配置檔案。
框架核心
框架核心是一組網路安全活動和適用參考,具有五個同時且持續的功能:識別、保護、檢測、響應和恢復。框架核心具有確保以下方面的方法:
- 制定和實施程式以保護最關鍵的智慧財產權和資產。
- 擁有資源來識別任何網路安全漏洞。
- 在發生漏洞時恢復。
實施層級
框架實施層級定義了組織在其網路安全實踐中應用的複雜性和一致性水平。它有以下四個級別。
**第 1 層(部分)** - 在此級別,組織的網路風險管理概況未定義。組織層面對組織的網路安全風險有部分意識。尚未認識到管理網路安全風險的組織範圍的方法。
**第 2 層(風險知情)** - 在此級別,組織建立了由高階管理層直接批准的網路風險管理政策。高階管理層努力制定與網路安全相關的風險管理目標並實施它們。
**第 3 層(可重複)** - 在此級別,組織採用正式的網路安全措施,這些措施會根據需要定期更新。組織認識到其依賴關係和合作夥伴。它還接收來自他們的資訊,這有助於做出基於風險的管理決策。
**第 4 層(自適應)** - 在此級別,組織根據之前和當前的網路安全活動“即時”調整其網路安全實踐。透過結合高階網路安全技術、與合作伙伴即時協作以及持續監控其系統上的活動,組織的網路安全實踐可以快速應對複雜的威脅。
框架配置檔案
框架配置檔案是一個工具,為組織提供了一個儲存其網路安全計劃相關資訊的平臺。配置檔案允許組織清楚地表達其網路安全計劃的目標。
從哪裡開始實施框架?
包括董事在內的最高管理層應首先熟悉該框架。之後,董事應與管理層詳細討論組織的實施層級。
教育管理人員和員工瞭解框架將確保每個人都瞭解其重要性。這是成功實施強有力網路安全計劃的重要一步。有關現有框架實施的資訊可能有助於組織制定自己的方法。
網路法律 - 網路安全
網路安全是指為網路提供的防止未經授權訪問和風險的安全保障。網路管理員有責任採取預防措施來保護其網路免受潛在的安全威脅。
參與政府、個人或企業內部定期交易和通訊的計算機網路需要安全保障。保護網路資源最常見和最簡單的方法是為其分配唯一的名稱和相應的密碼。
網路安全裝置型別
主動裝置
這些安全裝置阻止多餘的流量。防火牆、防病毒掃描裝置和內容過濾裝置是此類裝置的示例。
被動裝置
這些裝置識別和報告不需要的流量,例如入侵檢測裝置。
預防性裝置
這些裝置掃描網路並識別潛在的安全問題。例如,滲透測試裝置和漏洞評估裝置。
統一威脅管理 (UTM)
這些裝置充當多合一安全裝置。示例包括防火牆、內容過濾、Web 快取等。
防火牆
防火牆是一種網路安全系統,它根據某些協議管理和調節網路流量。防火牆在受信任的內部網路和網際網路之間建立了一個屏障。
防火牆既可以作為在硬體上執行的軟體存在,也可以作為硬體裝置存在。基於硬體的防火牆還提供其他功能,例如充當該網路的 DHCP 伺服器。
大多數個人電腦使用基於軟體的防火牆來保護資料免受網際網路威脅。許多在網路之間傳遞資料的路由器包含防火牆元件,反之亦然,許多防火牆可以執行基本路由功能。
防火牆通常用於私有網路或**內聯網**中,以防止來自網際網路的未經授權的訪問。每個進入或離開內聯網的訊息都必須經過防火牆檢查,以確保安全措施。
理想的防火牆配置由基於硬體和軟體的裝置組成。防火牆還有助於透過安全的身份驗證證書和登入提供對私有網路的遠端訪問。
硬體和軟體防火牆
硬體防火牆是獨立產品。這些也存在於寬頻路由器中。大多數硬體防火牆提供至少四個網路埠以連線其他計算機。對於更大的網路(例如,出於商業目的),可以使用商業網路防火牆解決方案。
軟體防火牆安裝在您的計算機上。軟體防火牆保護您的計算機免受網際網路威脅。
防病毒
防病毒是一種用於檢測和刪除惡意軟體的工具。它最初旨在檢測和刪除計算機中的病毒。
現代防病毒軟體不僅可以提供針對病毒的保護,還可以提供針對蠕蟲、特洛伊木馬、廣告軟體、間諜軟體、鍵盤記錄器等的保護。一些產品還提供針對惡意 URL、垃圾郵件、網路釣魚攻擊、殭屍網路、DDoS 攻擊等的保護。
內容過濾
內容過濾裝置篩選令人不快和冒犯性的電子郵件或網頁。這些用作企業以及個人電腦中防火牆的一部分。當有人嘗試訪問任何未經授權的網頁或電子郵件時,這些裝置會生成“拒絕訪問”訊息。
內容通常會篩選色情內容,以及暴力或仇恨導向的內容。組織還會排除購物和與工作相關的內容。
內容過濾可以分為以下類別:
- Web 過濾
- 篩選網站或頁面
- 電子郵件過濾
- 篩選垃圾郵件
- 其他令人反感的內容
入侵檢測系統
入侵檢測系統,也稱為入侵檢測和預防系統,是監控網路中惡意活動的裝置,記錄此類活動的資訊,採取措施阻止它們,並最終報告它們。
入侵檢測系統有助於針對網路中的任何惡意活動發出警報,丟棄資料包並重置連線以儲存 IP 地址免受任何阻塞。入侵檢測系統還可以執行以下操作:
- 糾正迴圈冗餘校驗 (CRC) 錯誤
- 防止 TCP 序列問題
- 清理不需要的傳輸和網路層選項
網路安全法 - 資訊科技法案
如第一章所述,印度政府頒佈了資訊科技 (I.T.) 法案,其主要目標是提供和促進合法的電子、數字和線上交易,並減輕網路犯罪。
資訊科技法案的主要特徵
資訊科技法案的主要特徵如下:
數字簽名已被電子簽名取代,使其成為一項更具技術中立性的法案。
它詳細闡述了犯罪行為、處罰和違規行為。
它概述了網路犯罪的司法系統。
它在一個新章節中定義了“網路咖啡館是指任何提供網際網路接入的場所,任何人在其日常經營中向公眾提供此類服務”。
它規定成立網路監管諮詢委員會。
它以1860年《印度刑法典》、1872年《印度證據法》、1891年《銀行家賬簿證據法》、1934年《印度儲備銀行法》等為基礎。
它在第81條中增加了一項規定,該規定指出該法案的規定具有優先效力。該規定指出“本法案中的任何內容均不得限制任何人行使《1957年版權法》賦予的任何權利”。
資訊科技法案的體系
以下要點定義了資訊科技法案的體系:
資訊科技法案包含13章和90條。
資訊科技法案2000年版中的最後四條,即第91條至第94條,涉及對1860年《印度刑法典》、1872年《印度證據法》、1891年《銀行家賬簿證據法》和1934年《印度儲備銀行法》的修正,已被刪除。
它從第1章的初步方面開始,第1章處理第1條中該法案的簡稱、範圍、生效日期和適用範圍。第2條提供定義。
第2章處理電子記錄、數字簽名、電子簽名的認證等。
第11章處理犯罪和處罰。在本法案的這一部分中,提供了一系列犯罪行為及其相應的處罰。
此後,陳述了關於盡職調查、中介機構的作用以及一些雜項規定的條款。
該法案附有兩個附錄。第一附錄處理本法案不適用的檔案或交易。第二附錄處理電子簽名或電子認證技術和程式。第三和第四附錄已被刪除。
資訊科技法案的適用範圍
根據第1條第(4)款,“本法案中的任何內容均不適用於第一附錄中指定的檔案或交易”。以下是不適用本法案的檔案或交易:
流通票據(支票除外),如1881年《流通票據法》第13條所定義;
委託書,如1882年《委託書法》第1A條所定義;
信託,如1882年《印度信託法》第3條所定義;
遺囑,如1925年《印度繼承法》第2條第(h)款所定義,包括任何其他遺囑處分;
任何涉及不動產銷售或轉讓或該財產權益的合同;
中央政府可能通知的任何此類檔案或交易。
資訊科技法案的修訂
資訊科技法案透過第91-94條對四部法規進行了修訂。這些變化已在附錄1-4中提供。
第一附錄包含對刑法典的修訂。它擴大了“檔案”一詞的範圍,將其納入電子檔案的範圍。
第二附錄處理對印度證據法的修訂。它涉及將電子檔案納入證據定義中。
第三附錄修訂了銀行家賬簿證據法。此修訂改變了“銀行家賬簿”的定義。它包括儲存在軟盤、光碟、磁帶或任何其他形式的電磁資料儲存裝置中的資料的列印輸出。在“認證副本”的表達中也進行了類似的更改,將其範圍擴充套件到包括此類列印輸出。
第四附錄修訂了印度儲備銀行法。它涉及透過銀行之間或銀行與其他金融機構之間的電子方式進行資金轉賬的監管。
中介機構責任
處理任何特定電子記錄的中介機構是指代表他人接受、儲存或傳輸該記錄或提供與該記錄相關的任何服務的人.
根據上述定義,它包括以下內容:
- 電信服務提供商
- 網路服務提供商
- 網際網路服務提供商
- 網路託管服務提供商
- 搜尋引擎
- 線上支付網站
- 線上拍賣網站
- 線上市場和網路咖啡館
修訂法案的亮點
新修訂的法案具有以下亮點:
- 它強調隱私問題並突出資訊安全。
- 它詳細闡述了數字簽名。
- 它澄清了企業合理的安全實踐。
- 它側重於中介機構的作用。
- 增加了網路犯罪的新形式。
網路安全法 - 簽名
數字簽名
數字簽名是一種驗證數字訊息或文件合法性的技術。有效的數字簽名為接收者提供了保證,即訊息是由已知的傳送者生成的,這樣傳送者就不能否認傳送了該訊息。數字簽名主要用於軟體分發、金融交易以及存在偽造風險的其他情況下。
電子簽名
電子簽名或電子簽名表示聲稱建立訊息的人就是建立訊息的人。
簽名可以定義為與個人相關的示意性指令碼。文件上的簽名表示該人接受文件中記錄的目的。在許多工程公司,數字印章也需要作為另一層身份驗證和安全措施。數字印章和簽名與手寫簽名和蓋章相同。
從數字簽名到電子簽名
數字簽名是2000年舊版資訊科技法案中定義的術語。電子簽名是修訂後的法案(2008年資訊科技法案)中定義的術語。電子簽名的概念比數字簽名更廣泛。該法案第3條規定透過附加數字簽名來驗證電子記錄。
根據修訂案,透過電子簽名或電子認證技術驗證電子記錄應被視為可靠的。
根據聯合國國際貿易法委員會 (UNCITRAL),電子認證和簽名方法可以分為以下幾類:
基於使用者或接收者知識的方法,即密碼、個人識別號碼 (PIN) 等。
基於使用者物理特徵的方法,即生物識別。
基於使用者擁有物件的方法,即儲存在磁卡上的程式碼或其他資訊。
不屬於上述任何類別的身份驗證和簽名方法,但也可能用於指示電子通訊的發起者(例如手寫簽名的傳真或電子訊息底部鍵入的姓名)。
根據聯合國國際貿易法委員會關於電子簽名的示範法,目前正在使用的技術包括:
- 公共金鑰基礎設施 (PKI) 中的數字簽名
- 生物識別裝置
- 個人識別號碼 (PIN)
- 密碼
- 掃描的手寫簽名
- 數字筆簽名
- 可點選的“確定”或“我接受”或“我同意”複選框
網路安全法 - 犯罪和處罰
全球互聯的加速發展催生了大量的網路犯罪,這些犯罪的增多導致了對法律保護的需求。為了與不斷變化的時代同步,印度議會通過了2000年資訊科技法案,該法案的概念源於聯合國國際貿易法委員會 (UNCITRAL) 的示範法。
該法律詳細定義了犯罪行為,並對每一類犯罪行為規定了相應的處罰。
犯罪行為
網路犯罪是指以巧妙的方式實施的非法行為,其中計算機要麼是工具,要麼是目標,或者兩者兼而有之。
網路犯罪通常包括以下內容:
- 未經授權訪問計算機
- 資料篡改
- 病毒/蠕蟲攻擊
- 計算機系統盜竊
- 駭客攻擊
- 拒絕服務攻擊
- 邏輯炸彈
- 特洛伊木馬攻擊
- 網際網路時間盜竊
- 網站劫持
- 郵件轟炸
- 蠶食攻擊
- 物理損壞計算機系統。
2000年資訊科技法案中包含的犯罪行為如下:
- 篡改計算機原始碼檔案。
- 駭客攻擊計算機系統。
- 以電子形式釋出淫穢資訊。
- 控制器的指示權。
- 控制器指示使用者擴充套件解密資訊的功能。
- 受保護系統。
- 虛假陳述的處罰。
- 違反保密性和隱私權的處罰。
- 釋出某些細節虛假的數字證書的處罰。
- 出於欺詐目的的出版物。
- 該法案適用於在印度境外實施的犯罪或違規行為沒收。
- 處罰或沒收不應影響其他處罰。
- 調查犯罪行為的權力。
示例
2000年資訊科技法案下的犯罪行為
第65條。篡改計算機原始碼檔案
任何人明知或故意隱瞞、銷燬或更改,或明知或故意唆使他人隱瞞、銷燬或更改用於計算機、計算機程式、計算機系統或計算機網路的任何計算機原始碼,而該計算機原始碼根據當時有效的法律需要儲存或維護,則處三年以下有期徒刑,或處以不超過二十萬盧比的罰款,或二者並罰。
說明:就本條而言,“計算機原始碼”是指以任何形式列出的程式、計算機命令、設計和佈局以及計算機資源的程式分析。
目的:本條的目的是保護對計算機投入的“智慧財產權”。它試圖保護計算機原始碼檔案(程式碼),超出《版權法》的保護範圍。
本條的基本要素
明知或故意隱瞞
明知或故意銷燬
明知或故意更改
明知或故意唆使他人隱瞞
明知或故意唆使他人銷燬
明知或故意唆使他人更改。
本條擴充套件到《版權法》,並幫助公司保護其程式的原始碼。
處罰:任何治安法官均可審理第65條規定的案件。
此為可逮捕且不可保釋的犯罪。
處罰:最高3年有期徒刑和/或
罰款:二十萬盧比。
下表顯示了針對資訊科技法案中所有提及條款的犯罪行為和處罰:
| 條款 | 犯罪行為 | 處罰 | 可保釋性和可逮捕性 |
|---|---|---|---|
| 65 | 篡改計算機原始碼 | 最高3年有期徒刑或最高20萬盧比罰款 | 此為可保釋、可逮捕的犯罪,由初級治安法官法院審理。 |
| 66 | 與計算機相關的犯罪 | 最高3年有期徒刑或最高50萬盧比罰款 | 此為可保釋、可逮捕的犯罪, |
| 66-A | 透過通訊服務等傳送攻擊性資訊… | 最高3年有期徒刑和罰款 | 此為可保釋、可逮捕的犯罪,由初級治安法官法院審理 |
| 66-B | 不誠實地接收被盜的計算機資源或通訊裝置 | 最高3年有期徒刑和/或最高10萬盧比罰款 | 此為可保釋、可逮捕的犯罪,由初級治安法官法院審理 |
| 66-C | 身份盜竊 | 處以三年以下有期徒刑或者罰款十萬盧比,或二者並罰。 | 此為可保釋、可逮捕的犯罪,由初級治安法官法院審理 |
| 66-D | 利用計算機資源進行假冒欺詐 | 處以三年以下有期徒刑或者罰款十萬盧比,或二者並罰。 | 此為可保釋、可逮捕的犯罪,由初級治安法官法院審理 |
| 66-E | 侵犯隱私 | 處以三年以下有期徒刑或者罰款二十萬盧比,或二者並罰。 | 此為可保釋、可逮捕的犯罪,由初級治安法官法院審理 |
| 66-F | 網路恐怖主義 | 處以無期徒刑。 | 此罪為非保釋性、可逮捕性罪行,由地方法院審理。 |
| 67 | 以電子形式釋出或傳播淫穢材料 | 初犯:處以三年以下有期徒刑或者罰款五十萬盧比,或二者並罰。累犯:處以五年以下有期徒刑或者罰款一百萬盧比,或二者並罰。 | 此為可保釋、可逮捕的犯罪,由初級治安法官法院審理 |
| 67-A | 以電子形式釋出或傳播包含性行為等內容的材料 | 初犯:處以五年以下有期徒刑或者罰款一百萬盧比,或二者並罰。累犯:處以七年以下有期徒刑或者罰款一百萬盧比,或二者並罰。 | 此罪為非保釋性、可逮捕性罪行,由初級治安法庭審理。 |
| 67-B | 以電子形式釋出或傳播描繪兒童進行性行為等的材料 | 初犯:處以五年以下有期徒刑或者罰款一百萬盧比,或二者並罰。累犯:處以七年以下有期徒刑或者罰款一百萬盧比,或二者並罰。 | 此罪為非保釋性、可逮捕性罪行,由初級治安法庭審理。 |
| 67-C | 中介機構故意或明知違反關於資訊儲存和留存的指示 | 最高3年有期徒刑和罰款 | 此罪為可保釋性、可逮捕性罪行。 |
| 68 | 未遵守監管機構的指示 | 處以二年以下有期徒刑或者罰款十萬盧比,或二者並罰。 | 此罪為可保釋性、不可逮捕性罪行。 |
| 69 | 未協助第(3)款中提到的機構攔截、監控或解密任何透過計算機資源的資訊 | 處以七年以下有期徒刑並處罰款。 | 此罪為非保釋性、可逮捕性罪行。 |
| 69-A | 中介機構未遵守關於阻止公眾透過任何計算機資源訪問任何資訊的指示 | 處以七年以下有期徒刑並處罰款。 | 此罪為非保釋性、可逮捕性罪行。 |
| 69-B | 中介機構故意或明知違反第(2)款的規定,透過任何計算機資源監控和收集網路安全相關的流量資料或資訊 | 最高3年有期徒刑和罰款 | 此罪為可保釋性、可逮捕性罪行。 |
| 70 | 任何違反第70條規定獲取或試圖獲取受保護系統訪問許可權的人員 | 處以十年以下有期徒刑並處罰款。 | 此罪為非保釋性、可逮捕性罪行。 |
| 70-B | 印度計算機應急響應小組作為國家事件響應機構。任何服務提供商、中介機構、資料中心等,未提供要求的資訊或未遵守ICERT釋出的指示。 | 處以一年以下有期徒刑或者罰款十萬盧比,或二者並罰。 | 此罪為可保釋性、不可逮捕性罪行。 |
| 71 | 向監管機構或認證機構提供虛假資訊 | 處以二年以下有期徒刑或者罰款十萬盧比,或二者並罰。 | 此罪為可保釋性、不可逮捕性罪行。 |
| 72 | 違反保密和隱私 | 處以二年以下有期徒刑或者罰款十萬盧比,或二者並罰。 | 此罪為可保釋性、不可逮捕性罪行。 |
| 72-A | 違反合法合同披露資訊 | 處以三年以下有期徒刑或者罰款五十萬盧比,或二者並罰。 | 此罪為可逮捕性、可保釋性罪行。 |
| 73 | 釋出在某些方面虛假的電子簽名證書 | 處以二年以下有期徒刑或者罰款十萬盧比,或二者並罰。 | 此罪為可保釋性、不可逮捕性罪行。 |
| 74 | 出於欺詐目的釋出 | 處以二年以下有期徒刑或者罰款十萬盧比,或二者並罰。 | 此罪為可保釋性、不可逮捕性罪行。 |
罪行的和解
根據《資訊科技法》第77-A條,任何有管轄權的法院可以對罪行進行和解,但本法規定處以無期徒刑或三年以上有期徒刑的罪行除外。
如果以下情況,則不得對罪行進行和解:
被告人因先前定罪而應處以加重處罰或不同種類的處罰;或
罪行影響到國家的社會經濟狀況;或
罪行針對的是未滿18歲的兒童;或
罪行針對的是女性。
被指控犯有本法所述罪行的人員可以向法院提交和解申請。然後,該罪行將處於審判待決狀態,並將適用《刑事訴訟法》第265-B條和第265-C條的規定。
網路法律 - 摘要
網路法律是打擊網路犯罪的唯一救星。只有透過嚴格的法律才能為國家資訊提供牢不可破的安全保障。印度《資訊科技法》作為一項專門法律,旨在解決網路犯罪問題。2008年的修訂法案進一步強化了該法。
網路犯罪時有發生,但報告率仍然很低。因此,提交法院的網路犯罪案件很少。在收集、儲存和理解數字證據方面存在實際困難。因此,該法案還有很長的路要走才能真正有效。
在本教程中,我們試圖涵蓋與網路法律和IT安全相關的所有當前和主要主題。我們想引用著名網路法律專家和最高法院律師帕萬·杜格爾先生的結語來結束本教程。
雖然立法者在消除印度網路法律中的各種缺陷,使其在技術上保持中立方面做出了值得稱道的貢獻,但似乎國家期望與修訂後的法律產生的效果之間存在很大差距。新修訂中最奇怪和最令人震驚的一點是,這些修訂試圖將印度網路法律變成一部對網路犯罪有利的法律;一部對網路罪犯心慈手軟的法律;一部透過減輕現有法律規定的對他們的處罰來鼓勵網路罪犯的法律;……一部將《資訊科技法》中規定的大多數網路犯罪定為可保釋罪行的法律;一部可能導致印度成為世界潛在網路犯罪之都的法律。
網路法律 - 常見問題解答
1. 什麼是網路犯罪?
A. 網路犯罪是指在網路空間中出於犯罪意圖進行的所有活動。由於網際網路的匿名性,不法分子從事各種犯罪活動。網路犯罪領域才剛剛興起,隨著時間的推移,網路空間中出現的新形式的犯罪活動也層出不窮。
2. 我們是否有網路犯罪的詳盡定義?
A. 不幸的是,我們沒有網路犯罪的詳盡定義。但是,任何本質上觸犯人類良知的線上活動都可以被視為網路犯罪。
3. 網路犯罪有哪些不同的類別?
A. 網路犯罪基本上可以分為三大類:
- 針對個人的網路犯罪,
- 針對財產的網路犯罪,以及
- 針對政府的網路犯罪。
4. 詳細介紹一下針對個人的網路犯罪。
A. 針對個人的網路犯罪包括各種犯罪,例如傳播兒童色情製品、使用電子郵件進行騷擾和網路跟蹤。釋出和傳播淫穢材料是當今最主要的網路犯罪之一。
5. 網路騷擾也是網路犯罪嗎?
A. 網路騷擾是一種明顯的網路犯罪。網路空間中存在各種形式的騷擾。騷擾可以是性騷擾、種族騷擾、宗教騷擾或其他形式的騷擾。網路騷擾作為一種犯罪也使我們想到了另一個相關的領域,即侵犯網民的隱私。侵犯線上公民的隱私是一種嚴重的網路犯罪。
6. 什麼是針對財產的網路犯罪?
A. 針對所有形式財產的網路犯罪包括透過網路未經授權入侵計算機、計算機破壞、傳播有害程式以及未經授權獲取計算機化資訊。
7. 駭客攻擊是網路犯罪嗎?
A. 駭客攻擊是迄今為止最嚴重的網路犯罪之一。知道一個陌生人未經你的許可入侵了你的計算機系統並篡改了寶貴的機密資料,這是一種可怕的感覺。
殘酷的事實是,世界上沒有任何計算機系統能夠抵禦駭客攻擊。人們一致認為,任何系統,無論看起來多麼安全,都可能被駭客入侵。最近在eBay、雅虎和亞馬遜等熱門商業網站上發生的拒絕服務攻擊是一種新型別的網路犯罪,它正在逐漸發展成為一種極其危險的犯罪。
利用自身程式設計能力未經授權訪問計算機或網路是一種非常嚴重的犯罪。同樣,建立和傳播對計算機系統造成無法彌補的損害的有害計算機程式也是另一種網路犯罪。
8. 什麼是針對政府的網路犯罪?
A. 網路恐怖主義是針對政府的網路犯罪的一個典型例子。網際網路的發展表明,網路空間正在被個人和團體用來威脅政府,以及恐嚇一個國家的公民。當個人入侵政府或軍隊維護的網站時,這種犯罪就會表現為恐怖主義。
9. 目前是否有關於網路犯罪的綜合法律?
A. 截至目前,世界各國還沒有任何關於網路犯罪的綜合法律。這就是為什麼像聯邦調查局這樣的調查機構發現網路空間是一個極其困難的領域的原因。網路犯罪屬於網際網路法律的灰色地帶,既沒有被現有法律完全涵蓋,也沒有被部分涵蓋。但是,各國正在採取重要措施制定嚴格的網路犯罪法律。
10. 有沒有最近的案例證明在國家管轄範圍內製定關於網路犯罪的網路法律的重要性?
A. 最近的“我愛你”病毒案例證明了在不同國家管轄範圍內製定關於網路犯罪的網路法律的必要性。在釋出此功能的網路版本時,路透社報道稱,“菲律賓尚未逮捕涉嫌建立‘愛情蟲’計算機病毒的嫌疑人,因為它缺乏處理計算機犯罪的法律,一位高階警官說”。事實是,菲律賓沒有關於網路犯罪的法律。
11. 什麼是網路釣魚?
A. 網路釣魚是指利用電話系統進行的犯罪行為,通常使用網路電話(VoIP)提供的功能,以從公眾那裡獲取信用卡詳細資訊等敏感資訊。該術語是“語音”和網路釣魚的組合。
12. 什麼是郵件欺詐?
A. 郵件欺詐是美國聯邦法律規定的罪行,包括任何企圖非法獲取金錢或貴重物品的計劃,其中在犯罪的任何階段都使用了郵政系統。
13. 什麼是ID欺騙?
A. 它是利用電話網路在接收方的主叫號碼顯示屏上顯示一個並非實際源站號碼的號碼的做法。
14. 什麼是網路間諜活動?
A. 它是為了軍事、政治或經濟利益,利用網際網路上的非法開發方法,從個人、競爭對手、對手、團體、政府和敵人那裡獲取秘密的行為或做法。
15. 破壞的含義是什麼?
A. 蓄意破壞字面意思是指對任何機械或材料的故意損壞或工作中斷。在網路空間的背景下,它是對軍事活動中使用的計算機和衛星存在的威脅。
16. 哪個民主國家最先引入了《網路誹謗法》?
A. 韓國是第一個引入該法律的民主國家。
17. 什麼是機器人(Bots)?
A. 機器人(Bots)是當今網際網路面臨的最複雜型別的犯罪軟體之一。機器人因代表網路罪犯執行各種自動化任務而獲得了其獨特的名稱。它們在網際網路上的“拒絕服務”攻擊中發揮作用。
18. 木馬和間諜軟體是什麼?
A. 木馬和間諜軟體是網路罪犯可能用來在攻擊過程中獲得未經授權的訪問許可權並從受害者那裡竊取資訊。
19. 網路釣魚和域名劫持是什麼?
A. 網路釣魚和域名劫持是實施身份盜竊最常見的方式,身份盜竊是一種網路犯罪形式,犯罪分子利用網際網路竊取他人的個人資訊。
20. 提及一些預防網路犯罪的技巧。
瞭解駭客建立網路釣魚詐騙以獲取您個人資訊的最新方式。
在您的計算機上安裝防火牆,將不需要的威脅和攻擊降到最低。
開啟電子郵件和點選連結時要謹慎。從未經驗證的來源下載內容時,您應該仔細閱讀。
為儲存個人資訊的任何網站建立強密碼。