- 信息安全与网络安全法
- 网络安全法首页
- 网络安全法与信息技术法概述
- 网络安全法目标
- 知识产权
- 网络安全策略
- 降低网络风险的政策
- 网络安全
- 2000年信息技术法
- 数字和电子签名
- 违法行为和处罚
- 网络安全法总结
- 网络犯罪常见问题解答
- 网络安全法资源
- 网络安全法 - 快速指南
- 网络安全法 - 有用资源
- 网络安全法 - 讨论
网络安全法 - 快速指南
网络安全法 - 简介
网络空间
网络空间可以定义为一个复杂的环 境,涉及人员、软件和服务之间的交互。它由全球信息和通信技术设备和网络的分布维护。
随着技术进步带来的益处,如今的网络空间已成为公民、企业、关键信息基础设施、军事和政府的常用资源池,使得在这些不同群体之间难以界定明确的界限。随着网络和连接到它的设备的增加,预计网络空间在未来几年将变得更加复杂。
网络安全
网络安全指的是旨在保护计算机、网络和数据免受网络罪犯通过互联网进行的非法访问、漏洞和攻击的技术和程序。
ISO 27001 (ISO27001) 是国际网络安全标准,它提供了一个创建、应用、运行、监控、审查、维护和改进信息安全管理体系的模型。
印度政府通信和信息技术部提供了一个名为国家网络安全政策的战略纲要。该政府机构的目的是保护公共和私有基础设施免受网络攻击。
网络安全政策
网络安全政策是一项发展中的任务,服务于整个信息和通信技术 (ICT) 用户和提供商领域。它包括 -
- 家庭用户
- 中小型企业
- 政府和非政府实体
它充当一个权威框架,定义和指导与网络空间安全相关的活动。它允许所有部门和组织设计合适的网络安全政策以满足其需求。该政策提供了有效保护信息、信息系统和网络的框架。
它使人们了解政府在该国网络空间安全方面的方针和策略。它还概述了一些要点,以促进公共和私营部门之间的协作,以保护信息和信息系统。因此,该政策的目的是建立一个网络安全框架,从而导致详细的行动和计划,以提高网络空间的安全能力。
网络犯罪
《2000年信息技术法》或该国任何立法都没有描述或提及“网络犯罪”一词。它可以被全球认为是技术的阴暗面。传统犯罪与网络犯罪的唯一区别在于网络犯罪涉及与计算机相关的犯罪。让我们看下面的例子来更好地理解它 -
**传统盗窃** - 小偷闯入张三的家并**偷走**放在房子里的物品。
**黑客攻击** - 一名网络罪犯/黑客坐在自己家里,通过自己的电脑,入侵张三的电脑并**偷走**存储在张三电脑中的数据,而无需物理接触电脑或进入张三的房子。
《2000年信息技术法》定义了以下术语 -
在**第2(a)条**中访问计算机网络
在**第2(i)条**中计算机
在**第2(j)条**中计算机网络
在**第2(o)条**中数据
在**第2(v)条**中信息。
要理解网络犯罪的概念,您应该了解这些法律。网络犯罪中的犯罪对象或目标要么是计算机,要么是存储在计算机中的数据。
威胁的性质
21世纪最严峻的挑战之一是网络安全领域普遍存在的和潜在的威胁。威胁来自各种来源,并表现为破坏性活动,这些活动针对个人、企业、国家基础设施和政府。这些威胁的影响会对以下方面造成重大风险 -
- 公共安全
- 国家安全
- 全球互联国际社会稳定
信息技术的恶意使用很容易隐藏。很难确定犯罪的起源或身份。甚至破坏的动机也不容易查明。这些活动的罪犯只能从目标、影响或其他间接证据中推断出来。威胁行为者可以从几乎任何地方获得相当大的自由行动。破坏的动机可以是任何东西,例如 -
- 仅仅展示技术实力
- 盗窃金钱或信息
- 国家冲突的延伸等。
罪犯、恐怖分子,有时甚至是国家本身都充当这些威胁的来源。罪犯和黑客使用各种恶意工具和方法。随着犯罪活动每天都在呈现新的形式,有害行为的可能性也在增加。
赋能人民
用户缺乏信息安全意识,这些用户可能是简单的学生、系统管理员、开发人员,甚至是一家公司的首席执行官,这会导致各种网络漏洞。意识政策将以下行动和举措归类为用户意识、教育和培训的目的 -
在全国范围内推广完整的意识计划。
一个全面的培训计划,可以满足国家信息安全的需求(学校、学院和大学的 IT 安全课程)。
提高现有的信息安全培训计划的有效性。规划特定领域的培训计划(例如,执法、司法、电子政务等)
支持私营部门对专业信息安全认证的支持。
信息技术法
印度政府颁布了信息技术法,其主要目标如下 -
对通过电子数据交换 (EDI) 和其他电子通信方式进行的交易进行合法认可,通常称为**电子商务**或电子商务。目的是使用纸质通信和信息存储方法的替代品。
方便向政府机构电子提交文件,并进一步修订《印度刑法典》、《1872年印度证据法》、《1891年银行家账簿证据法》和《1934年印度储备银行法》以及与之相关的或附带的事项。
因此,《2000年信息技术法》作为2000年第21号法案获得通过。《信息技术法》于2000年6月9日获得总统批准,并于2000年10月17日生效。通过采用这项网络立法,印度成为世界上第12个采用网络法律制度的国家。
网络安全计划的使命和愿景
使命
以下使命服务于网络安全 -
保护网络空间中的信息和信息基础设施。
建立预防和应对网络威胁的能力。
通过结合制度结构、人员、流程、技术和合作,减少漏洞并最大限度地减少网络事件造成的损害。
愿景
为公民、企业和政府构建一个安全且有弹性的网络空间。
网络安全法 - 目标
最近爱德华·斯诺登关于美国监控计划棱镜的披露表明,在特定司法管辖区之外的法律实体网络和计算机系统如何在不知情的情况下受到监控。与拦截和窥探相关的网络案件正在以惊人的速度增加。为了遏制此类犯罪,网络法律正在定期修订。
网络安全法的兴起趋势
报告显示,未来几年将发生更多网络攻击。因此,建议组织通过更好的检查方法加强其数据供应链。
网络安全法的一些新兴趋势如下 -
许多国家/地区制定了严格的监管规则,以防止未经授权访问网络。此类行为被宣布为刑事犯罪。
移动公司利益相关者将呼吁世界各国政府加强网络法律体系和管理,以规范新兴的移动威胁和犯罪。
日益增长的隐私意识是另一个即将出现的趋势。谷歌首席互联网专家温特·瑟夫曾表示,*隐私实际上可能是一种异常现象*。
**云计算**是另一个主要的增长趋势。随着技术的不断发展,大量数据将流入云端,而云端并非完全不受网络犯罪的影响。
**比特币**和其他虚拟货币的增长是另一个值得关注的趋势。在不久的将来,比特币犯罪可能会增加。
数据分析的到来和接受是另一个需要关注的主要趋势,它要求对与**大数据**相关的问题给予适当的关注。
提高意识
虽然美国政府已宣布 10 月为国家网络安全意识月,但印度也正在效仿这一趋势,为公众实施一些严格的意识计划。
公众部分了解与**病毒传播**相关的犯罪。但是,他们没有意识到可能影响其网络生活的威胁的更大图景。大多数互联网用户对电子商务和网上银行网络犯罪的了解非常缺乏。
在参与在线活动时,请保持警惕并遵循以下提示 -
过滤社交网站上个人信息的可见性。
不要将任何电子邮件地址和密码的“记住密码”按钮保持活动状态
确保您的网上银行平台安全。
在网上购物时要密切关注。
不要在移动设备上保存密码。
保护移动设备和计算机等的登录详细信息。
发展领域
“2013年印度网络法律趋势”和“2014年印度网络法律发展”是Perry4Law组织(P4LO)分别为2013年和2014年提供的两项突出且值得信赖的与网络法律相关的研究成果。
有一些严重的与网络法律相关的问题值得印度政府立即考虑。这些问题是由P4LO和印度网络犯罪调查中心(CCICI)提供的2014年印度网络法律综述提出的。以下是一些主要问题 -
- 构建更完善的网络法律和有效的网络犯罪预防战略
- 网络犯罪调查培训需求
- 制定专门的加密法律
- 云计算的法律采用
- 电子邮件政策的制定和实施
- 在线支付的法律问题
- 在线赌博和在线药店的合法性
- 比特币的合法性
- 网站封锁框架
- 移动应用的监管
随着网络法律强制的形成,银行在网络盗窃和网络犯罪方面的义务在不久的将来会大幅增加。印度银行需要为此配备专门的网络法律专家团队,或寻求外部专家的帮助。
随着网络攻击和网络犯罪的增加,印度保险行业应增加网络保险交易。
国际网络安全网络
为了建立国际网络安全网络,2014年3月在印度新德里举行了一次会议。
国际网络法与网络犯罪会议设定的目标如下:
认识网络法的发展趋势以及当前情况下影响网络空间的立法。
提高人们对打击影响数字和移动网络所有投资者的最新网络犯罪类型的认识。
认识到数字和移动网络利益相关者需要进一步发展网络法的领域。
努力建立一个国际网络犯罪网络。法律当局随后可以在全球网络犯罪和网络法律立法的进一步扩展中发挥重要作用。
网络法 - 知识产权
知识产权是指授予作品的所有者和发明者(即凭借其智力创造力创造出某些东西的人)的特权的法律权利。与文学、音乐、发明等领域相关的人员可以获得此类权利,然后可以将其用于他们的商业实践。
创作者/发明者获得排他性权利,以防止未经其事先告知而对作品进行任何滥用或使用。但是,为了保持平衡,这些权利的授予期限有限。
世界知识产权组织 (WIPO) 规定了以下受知识产权保护的活动清单:
- 工业设计
- 科学发现
- 防止不正当竞争
- 文学、艺术和科学作品
- 人类所有领域的发明
- 表演艺术家的表演、录音制品和广播
- 商标、服务标记、商业名称和名称
- 工业、科学、文学或艺术领域智力活动产生的所有其他权利
知识产权类型
知识产权可以进一步分为以下类别:
- 版权
- 专利
- 专利
- 商业秘密等。
知识产权的优势
知识产权具有以下优势:
为创作者或发明者提供独占权利。
鼓励个人分发和共享信息和数据,而不是将其保密。
提供法律保护并为创作者提供其工作的激励。
有助于社会和经济发展。
印度的知识产权
为了保护印度领土内的知识产权,印度已经定义了宪法、行政和司法框架的形成,无论它们暗示的是版权、专利、商标、工业设计还是知识产权的任何其他部分。
早在 1999 年,政府就根据国际惯例通过了一项重要立法,以保障知识产权。让我们一睹其风采:
专利(修正案)1999 年法律促进了专利申请邮箱系统的建立。它提供长达五年的独家市场权。
商标1999 年法案取代了 1958 年的贸易和商品标记法。
印度总统签署了版权(修正案)1999 年法律。
sui generis立法获得批准,并命名为 1999 年商品地理标志(注册与保护)法案。
工业设计1999 年法案取代了 1911 年的设计法。
专利(第二次修正案)1999 年法案,进一步修订 1970 年的专利法,以符合 TRIPS 协议。
网络空间中的知识产权
技术领域的每一项新发明都会面临各种威胁。互联网就是其中一种威胁,它已经占据了实体市场,并将其转变为虚拟市场。
为了保护商业利益,至关重要的是要创建一个有效的财产管理和保护机制,同时考虑到网络空间中发生的巨额商业活动。
如今,对于每个企业来说,制定有效的协作 IP 管理机制和保护策略至关重要。因此,可以监控和控制网络世界中不断出现的威胁。
立法者已经设计了各种方法和法律,以提高在针对此类网络威胁提供安全配置方面的力度。但是,知识产权 (IPR) 所有者有责任通过采取积极措施来使罪犯的此类恶意行为无效并减少此类行为。
网络法 - 网络安全策略
为了设计和实施安全的网络空间,已经制定了一些严格的策略。本章解释了为确保网络安全而采用的主要策略,其中包括:
- 创建安全的网络生态系统
- 创建保证框架
- 鼓励开放标准
- 加强监管框架
- 创建 IT 安全机制
- 保护电子政务服务
- 保护关键信息基础设施
策略 1 - 创建安全的网络生态系统
网络生态系统涉及各种各样的实体,如设备(通信技术和计算机)、个人、政府、私营组织等,它们出于多种原因相互交互。
此策略探讨了拥有强大而稳健的网络生态系统的想法,在该生态系统中,网络设备将来可以相互协作以防止网络攻击、降低其有效性或找到从网络攻击中恢复的解决方案。
这种网络生态系统将具有内置在其网络设备中的能力,以允许在设备组内和设备组之间组织安全的操作方式。此网络生态系统可以由现有的监控技术进行监督,在这些技术中,软件产品用于检测和报告安全弱点。
强大的网络生态系统具有三个共生结构:自动化、互操作性和认证。
自动化 - 它简化了高级安全措施的实施,提高了速度并优化了决策过程。
互操作性 - 它加强了协作行动,提高了意识并加速了学习过程。互操作性有三种类型:
- 语义(即基于共同理解的共享词典)
- 技术
- 政策 - 在将不同的贡献者整合到包容性的网络防御结构中发挥重要作用。
认证 - 它改进了识别和验证技术,以提供:
- 安全
- 可负担性
- 易用性和管理
- 可扩展性
- 互操作性
攻击比较
下表显示了针对所需网络生态系统能力的攻击类别比较 -
案例研究
吉尔伯特·盖茨为《纽约时报》绘制了以下图表,该图表显示了伊朗工厂是如何通过互联网被黑客入侵的。
说明 - 设计了一个程序来自动运行伊朗核电站。不幸的是,一名不知情威胁的工人将该程序引入控制器。该程序收集了与工厂相关的所有数据,并将信息发送给情报机构,情报机构随后开发并向工厂植入了蠕虫。利用蠕虫,工厂被不法分子控制,导致产生更多蠕虫,结果工厂完全瘫痪。
攻击类型
下表描述了攻击类别:
| 攻击类别 | 攻击描述 |
|---|---|
| 损耗 | 用于破坏网络和系统的方法。它包括以下内容:
|
| 恶意软件 | 任何用于中断正常计算机操作并在未经所有者同意的情况下损害信息资产的恶意软件。任何来自可移动设备的执行都可能增加恶意软件的威胁。 |
| 黑客攻击 | 试图故意利用弱点以获得不道德的访问权限,通常远程进行。它可能包括:
|
| 社会战术 | 使用欺骗和操纵等社会战术获取数据、系统或控制权的访问权限。它包括:
|
| 不当使用(内部威胁) | 组织中个人对数据和控制权的权利的滥用,违反了组织的政策。它包括:
|
| 物理操作/设备丢失或被盗 | 人为驱动的攻击,例如:
|
| 多组件 | 包含多种高级攻击技术和组件的单一攻击技术。 |
| 其他 | 诸如以下攻击:
|
策略 2 - 创建保证框架
此策略的目标是通过传统的产品、流程、人员和技术设计符合全球安全标准的框架。
为了满足国家安全需求,开发了一个名为网络安全保证框架的国家框架。它通过“启用和认可”行动来适应关键基础设施组织和政府。
启用行动由政府实体执行,这些实体是独立于商业利益的自治机构。这些机构发布“国家安全政策合规性要求”以及 IT 安全指南和文件,以启用 IT 安全实施和合规性。
认可行动涉及在满足强制性资格标准后提供的盈利服务,其中包括:
ISO 27001/BS 7799 ISMS 认证、IS 系统审计等,这些本质上是合规性认证。
“通用标准”标准ISO 15408和密码模块验证标准,是IT安全产品评估和认证。
协助消费者实施IT安全(例如IT安全人力资源培训)的服务。
可信公司认证
随着外包市场的蓬勃发展,印度IT/ITES/BPO需要遵守安全和隐私方面的国际标准和最佳实践。ISO 9000、CMM、六西格玛、全面质量管理、ISO 27001等是一些认证。
现有的模型(如SEI CMM级别)专门用于软件开发过程,并未解决安全问题。因此,人们做出了许多努力来创建基于自我认证概念并以美国卡内基梅隆大学软件能力成熟度模型(SW-CMM)为基础的模型。
这种行业与政府之间合作产生的结构包括以下内容:
- 标准
- 指南
- 实践
这些参数帮助关键基础设施的所有者和运营商管理与网络安全相关的风险。
战略3 - 鼓励开放标准
标准在定义我们如何跨地理区域和社会处理信息安全相关问题方面发挥着重要作用。鼓励开放标准以:
- 提高关键流程的效率,
- 实现系统集成,
- 为用户提供衡量新产品或服务的标准,
- 组织安排新技术或商业模式的方法,
- 解释复杂的环境,以及
- 促进经济增长。
ISO 27001[3]等标准鼓励实施标准的组织结构,客户可以了解流程并降低审计成本。
战略4 - 加强监管框架
本战略的目标是创建一个安全的网络空间生态系统并加强监管框架。设想了一种24x7机制,通过国家关键信息基础设施保护中心(NCIIPC)应对网络威胁。计算机应急响应小组(CERT-In)被指定为危机管理的节点机构。
本战略的一些亮点如下:
促进网络安全领域的研发。
通过教育和培训计划培养人力资源。
鼓励所有组织(无论公私)指定一名首席信息安全官(CISO),负责网络安全举措。
印度武装部队正在建立网络司令部,作为加强国防网络和设施网络安全的一部分。
正在筹划有效实施公私合作关系,这将极大地帮助创建应对不断变化的威胁环境的解决方案。
战略5 - 创建IT安全机制
为确保IT安全而采取的一些基本机制包括:面向链路的安全措施、端到端安全措施、面向关联的措施和数据加密。这些方法在其内部应用功能以及提供的安全属性方面有所不同。让我们简要讨论一下它们。
面向链路的措施
它在两个节点之间传输数据时提供安全保障,而不管数据的最终来源和目的地如何。
端到端措施
它是一种以受保护的方式从源到目的地传输协议数据单元(PDU)的媒介,这样任何通信链路的中断都不会违反安全。
面向关联的措施
面向关联的措施是一组修改后的端到端措施,可以单独保护每个关联。
数据加密
它定义了传统密码和最近开发的公钥密码类的一些通用特征。它以只有授权人员才能解密的方式对信息进行编码。
战略6 - 保障电子政务服务
电子政务(e-governance)是政府提供公共服务的最宝贵的工具,可以以负责任的方式提供服务。不幸的是,在当前情况下,印度还没有专门针对电子政务的法律框架。
同样,印度也没有关于强制性电子交付公共服务的法律。没有比在没有充分网络安全的情况下执行电子政务项目更危险和麻烦的事情了。因此,保障电子政务服务已成为一项至关重要的任务,尤其是在国家每天通过卡片进行交易的情况下。
幸运的是,印度储备银行已实施了印度卡片交易的安全和风险缓解措施,自2013年10月1日起生效。它将确保卡片交易安全的责任放在银行而不是客户身上。
“电子政务”或电子政府是指政府机构使用信息和通信技术(ICT)来实现以下目标:
- 高效交付公共服务
- 提高内部效率
- 公民、组织和政府机构之间轻松的信息交流
- 行政流程的重组。
战略7 - 保护关键信息基础设施
关键信息基础设施是一个国家国家安全和经济安全的支柱。它包括发电厂、高速公路、桥梁、化工厂、网络以及每天有数百万人工作的建筑物。这些可以通过严格的合作计划和规范的实施来保障。
保护关键基础设施免受不断发展的网络威胁需要一种结构化的方法。政府需要定期与公共和私营部门积极合作,以防止、应对和协调缓解工作,防止对国家关键基础设施的破坏企图和不利影响。
政府需要与企业主和运营商合作,通过共享网络和其他威胁信息来加强其服务和群体。
应与用户共享一个通用平台,以便他们提交意见和想法,可以共同努力,为保障和保护关键基础设施建立更坚实的基础。
美国政府于2013年发布了一项名为“改善关键基础设施网络安全”的行政命令,该命令优先考虑管理关键基础设施服务交付中涉及的网络安全风险。此框架为组织提供了一个通用的分类和机制,以便:
- 定义其现有的网络安全状况,
- 定义其网络安全目标,
- 在持续流程框架内对发展机会进行分类和优先级排序,以及
- 与所有投资者沟通网络安全事宜。
网络法律 - 降低网络风险的政策
本章将引导您了解为最大程度地降低网络风险而制定的各种政策。只有制定明确的政策,才能减少网络空间中产生的威胁。
促进网络安全领域的研发
由于对互联网的依赖日益增加,我们今天面临的最大挑战是如何保护信息免受不法分子的侵害。因此,必须促进网络安全领域的研发,以便我们能够提出强大的解决方案来降低网络风险。
网络安全研究
网络安全研究是致力于寻找解决网络犯罪问题的方案的领域。随着互联网攻击、高级持续性威胁和网络钓鱼数量的增加,未来需要大量的研究和技术发展。
网络安全研究 - 印度视角
近年来,印度见证了网络技术的巨大发展。因此,需要对网络安全的研究与开发活动进行投资。随着本地网络安全公司的出现,印度也取得了许多成功的研究成果,并将其转化为商业化。
威胁情报
印度已经开始进行缓解网络威胁的研究工作。已建立了主动响应机制来应对网络威胁。印度各研究机构已经开始开展研发活动,以应对网络空间中的威胁。
下一代防火墙
基于多身份的专业知识(如下一代防火墙)为企业提供安全情报,并使它们能够在网络边界应用最合适的安全控制,这些也在开发中。
安全协议和算法
协议和算法研究是网络安全在技术层面上巩固的重要阶段。它定义了在网络空间中共享和处理信息的规则。在印度,协议和算法级别的研究包括:
- 安全路由协议
- 高效的身份验证协议
- 增强型无线网络路由协议
- 安全传输控制协议
- 攻击模拟算法等。
身份验证技术
密钥管理、双因素身份验证和自动密钥管理等身份验证技术提供了在没有集中式密钥管理系统和文件保护的情况下进行加密和解密的能力。人们正在不断进行研究以增强这些身份验证技术。
BYOD、云和移动安全
随着各种类型移动设备的采用,关于移动设备上安全和隐私相关任务的研究有所增加。移动安全测试、云安全和BYOD(自带设备)风险缓解是一些正在进行大量研究的领域。
网络取证
网络取证是将分析技术应用于从系统或数字存储介质中收集和恢复数据的过程。印度正在进行研究的一些具体领域包括:
- 磁盘取证
- 网络取证
- 移动设备取证
- 内存取证
- 多媒体取证
- 互联网取证
降低供应链风险
正式地,供应链风险可以定义为:
对手可能损坏、向其中写入某些恶意函数、破坏设计、安装、程序或维护供应物品或系统,从而导致整个功能下降的任何风险。
供应链问题
供应链是一个全球性问题,需要找出客户和供应商之间的相互依赖关系。在当今情况下,重要的是要知道:SCRM问题是什么?以及如何解决这些问题?
有效的SCRM(供应链风险管理)方法需要强大的公私合作关系。政府应拥有强大的权力来处理供应链问题。即使是私营部门也可以在许多领域发挥关键作用。
我们无法提供适用于所有情况的供应链风险管理解决方案。根据产品和行业的不同,降低风险的成本会有所不同。应鼓励公私合作伙伴关系解决与供应链管理相关的风险。
通过人力资源开发降低风险
组织的网络安全政策可以有效,前提是所有员工都理解其价值并表现出强烈的实施承诺。人力资源主管可以通过应用以下几点在保持组织网络安全方面发挥关键作用。
承担员工带来的安全风险责任
由于大多数员工没有认真对待风险因素,黑客很容易将组织作为目标。在这方面,人力资源在教育员工了解其态度和行为对组织安全的影响方面发挥着关键作用。
确保安全措施实用且合乎道德
公司的政策必须与员工的思维和行为方式保持一致。例如,在系统上保存密码是一种威胁,但持续监控可以防止这种情况。人力资源团队最适合提供建议,说明政策是否可能有效以及是否合适。
识别可能带来特定风险的员工
有时,网络犯罪分子会借助公司内部人员入侵其网络。因此,必须识别可能带来特定风险的员工,并对他们制定严格的人力资源政策。
提升网络安全意识
印度的网络安全仍处于发展阶段。这是提升网络安全相关问题意识的最佳时机。从基层,例如学校,很容易开展意识提升工作,让用户了解互联网的工作原理及其潜在威胁。
每个网吧、家庭/个人电脑和办公电脑都应通过防火墙进行保护。应通过服务提供商或网关指示用户不要入侵未经授权的网络。应以粗体描述威胁并突出显示影响。
在中小学和高校开设网络安全意识课程,使其成为持续的过程。
政府必须制定强有力的法律来执行网络安全,并通过电视/广播/互联网广告等方式进行充分的宣传。
信息共享
美国提出了一项名为**2014 年网络安全信息共享法案 (CISA)** 的法律,旨在通过加强网络安全威胁信息共享来提高该国的网络安全。每个国家都需要制定此类法律来在公民之间共享威胁信息。
网络安全违规需要强制报告机制
最近名为**Uroburos/Snake** 的恶意软件是网络间谍活动和网络战日益增多的一个例子。窃取敏感信息已成为新的趋势。然而,不幸的是,电信公司/互联网服务提供商 (ISP) 没有共享与其网络遭受网络攻击相关的信息。因此,无法制定强大的网络安全策略来应对网络攻击。
可以通过制定良好的网络安全法律来解决这个问题,该法律可以为电信公司/ISP 的强制性网络安全违规通知建立监管制度。
自动化电网、热电厂、卫星等基础设施容易受到各种网络攻击,因此违规通知计划将提醒相关机构对它们采取措施。
实施网络安全框架
尽管公司在网络安全计划上投入了大量资金,但数据泄露事件仍在继续发生。《华尔街日报》报道称,“据 Allied Business Intelligence Inc. 称,2013 年关键基础设施行业的全球网络安全支出预计将达到 460 亿美元,比上年增长 10%。” 这要求有效实施网络安全框架。
网络安全框架的组成部分
该框架包含三个主要组成部分:
- 核心,
- 实施层级,以及
- 框架配置文件。
框架核心
框架核心是一组网络安全活动和适用参考,具有五个同时且持续的功能:识别、保护、检测、响应和恢复。框架核心具有确保以下方面的方法:
- 制定和实施程序以保护最关键的知识产权和资产。
- 拥有资源来识别任何网络安全漏洞。
- 在发生漏洞时恢复。
实施层级
框架实施层级定义了组织在其网络安全实践中应用的复杂性和一致性水平。它有以下四个级别。
**第 1 层(部分)** - 在此级别,组织的网络风险管理概况未定义。组织层面对组织的网络安全风险有部分意识。尚未认识到管理网络安全风险的组织范围的方法。
**第 2 层(风险知情)** - 在此级别,组织建立了由高级管理层直接批准的网络风险管理政策。高级管理层努力制定与网络安全相关的风险管理目标并实施它们。
**第 3 层(可重复)** - 在此级别,组织采用正式的网络安全措施,这些措施会根据需要定期更新。组织认识到其依赖关系和合作伙伴。它还接收来自他们的信息,这有助于做出基于风险的管理决策。
**第 4 层(自适应)** - 在此级别,组织根据之前和当前的网络安全活动“实时”调整其网络安全实践。通过结合高级网络安全技术、与合作伙伴实时协作以及持续监控其系统上的活动,组织的网络安全实践可以快速应对复杂的威胁。
框架配置文件
框架配置文件是一个工具,为组织提供了一个存储其网络安全计划相关信息的平台。配置文件允许组织清楚地表达其网络安全计划的目标。
从哪里开始实施框架?
包括董事在内的最高管理层应首先熟悉该框架。之后,董事应与管理层详细讨论组织的实施层级。
教育管理人员和员工了解框架将确保每个人都了解其重要性。这是成功实施强有力网络安全计划的重要一步。有关现有框架实施的信息可能有助于组织制定自己的方法。
网络法律 - 网络安全
网络安全是指为网络提供的防止未经授权访问和风险的安全保障。网络管理员有责任采取预防措施来保护其网络免受潜在的安全威胁。
参与政府、个人或企业内部定期交易和通信的计算机网络需要安全保障。保护网络资源最常见和最简单的方法是为其分配唯一的名称和相应的密码。
网络安全设备类型
主动设备
这些安全设备阻止多余的流量。防火墙、防病毒扫描设备和内容过滤设备是此类设备的示例。
被动设备
这些设备识别和报告不需要的流量,例如入侵检测设备。
预防性设备
这些设备扫描网络并识别潜在的安全问题。例如,渗透测试设备和漏洞评估设备。
统一威胁管理 (UTM)
这些设备充当多合一安全设备。示例包括防火墙、内容过滤、Web 缓存等。
防火墙
防火墙是一种网络安全系统,它根据某些协议管理和调节网络流量。防火墙在受信任的内部网络和互联网之间建立了一个屏障。
防火墙既可以作为在硬件上运行的软件存在,也可以作为硬件设备存在。基于硬件的防火墙还提供其他功能,例如充当该网络的 DHCP 服务器。
大多数个人电脑使用基于软件的防火墙来保护数据免受互联网威胁。许多在网络之间传递数据的路由器包含防火墙组件,反之亦然,许多防火墙可以执行基本路由功能。
防火墙通常用于私有网络或**内联网**中,以防止来自互联网的未经授权的访问。每个进入或离开内联网的消息都必须经过防火墙检查,以确保安全措施。
理想的防火墙配置由基于硬件和软件的设备组成。防火墙还有助于通过安全的身份验证证书和登录提供对私有网络的远程访问。
硬件和软件防火墙
硬件防火墙是独立产品。这些也存在于宽带路由器中。大多数硬件防火墙提供至少四个网络端口以连接其他计算机。对于更大的网络(例如,出于商业目的),可以使用商业网络防火墙解决方案。
软件防火墙安装在您的计算机上。软件防火墙保护您的计算机免受互联网威胁。
防病毒
防病毒是一种用于检测和删除恶意软件的工具。它最初旨在检测和删除计算机中的病毒。
现代防病毒软件不仅可以提供针对病毒的保护,还可以提供针对蠕虫、特洛伊木马、广告软件、间谍软件、键盘记录器等的保护。一些产品还提供针对恶意 URL、垃圾邮件、网络钓鱼攻击、僵尸网络、DDoS 攻击等的保护。
内容过滤
内容过滤设备筛选令人不快和冒犯性的电子邮件或网页。这些用作企业以及个人电脑中防火墙的一部分。当有人尝试访问任何未经授权的网页或电子邮件时,这些设备会生成“拒绝访问”消息。
内容通常会筛选色情内容,以及暴力或仇恨导向的内容。组织还会排除购物和与工作相关的內容。
内容过滤可以分为以下类别:
- Web 过滤
- 筛选网站或页面
- 电子邮件过滤
- 筛选垃圾邮件
- 其他令人反感的内容
入侵检测系统
入侵检测系统,也称为入侵检测和预防系统,是监控网络中恶意活动的设备,记录此类活动的信息,采取措施阻止它们,并最终报告它们。
入侵检测系统有助于针对网络中的任何恶意活动发出警报,丢弃数据包并重置连接以保存 IP 地址免受任何阻塞。入侵检测系统还可以执行以下操作:
- 纠正循环冗余校验 (CRC) 错误
- 防止 TCP 序列问题
- 清理不需要的传输和网络层选项
网络安全法 - 信息技术法案
如第一章所述,印度政府颁布了信息技术 (I.T.) 法案,其主要目标是提供和促进合法的电子、数字和在线交易,并减轻网络犯罪。
信息技术法案的主要特征
信息技术法案的主要特征如下:
数字签名已被电子签名取代,使其成为一项更具技术中立性的法案。
它详细阐述了犯罪行为、处罚和违规行为。
它概述了网络犯罪的司法系统。
它在一个新章节中定义了“网络咖啡馆是指任何提供互联网接入的场所,任何人在其日常经营中向公众提供此类服务”。
它规定成立网络监管咨询委员会。
它以1860年《印度刑法典》、1872年《印度证据法》、1891年《银行家账簿证据法》、1934年《印度储备银行法》等为基础。
它在第81条中增加了一项规定,该规定指出该法案的规定具有优先效力。该规定指出“本法案中的任何内容均不得限制任何人行使《1957年版权法》赋予的任何权利”。
信息技术法案的体系
以下要点定义了信息技术法案的体系:
信息技术法案包含13章和90条。
信息技术法案2000年版中的最后四条,即第91条至第94条,涉及对1860年《印度刑法典》、1872年《印度证据法》、1891年《银行家账簿证据法》和1934年《印度储备银行法》的修正,已被删除。
它从第1章的初步方面开始,第1章处理第1条中该法案的简称、范围、生效日期和适用范围。第2条提供定义。
第2章处理电子记录、数字签名、电子签名的认证等。
第11章处理犯罪和处罚。在本法案的这一部分中,提供了一系列犯罪行为及其相应的处罚。
此后,陈述了关于尽职调查、中介机构的作用以及一些杂项规定的条款。
该法案附有两个附录。第一附录处理本法案不适用的文件或交易。第二附录处理电子签名或电子认证技术和程序。第三和第四附录已被删除。
信息技术法案的适用范围
根据第1条第(4)款,“本法案中的任何内容均不适用于第一附录中指定的文件或交易”。以下是不适用本法案的文件或交易:
流通票据(支票除外),如1881年《流通票据法》第13条所定义;
委托书,如1882年《委托书法》第1A条所定义;
信托,如1882年《印度信托法》第3条所定义;
遗嘱,如1925年《印度继承法》第2条第(h)款所定义,包括任何其他遗嘱处分;
任何涉及不动产销售或转让或该财产权益的合同;
中央政府可能通知的任何此类文件或交易。
信息技术法案的修订
信息技术法案通过第91-94条对四部法规进行了修订。这些变化已在附录1-4中提供。
第一附录包含对刑法典的修订。它扩大了“文件”一词的范围,将其纳入电子文件的范围。
第二附录处理对印度证据法的修订。它涉及将电子文件纳入证据定义中。
第三附录修订了银行家账簿证据法。此修订改变了“银行家账簿”的定义。它包括存储在软盘、光盘、磁带或任何其他形式的电磁数据存储设备中的数据的打印输出。在“认证副本”的表达中也进行了类似的更改,将其范围扩展到包括此类打印输出。
第四附录修订了印度储备银行法。它涉及通过银行之间或银行与其他金融机构之间的电子方式进行资金转账的监管。
中介机构责任
处理任何特定电子记录的中介机构是指代表他人接受、存储或传输该记录或提供与该记录相关的任何服务的人.
根据上述定义,它包括以下内容:
- 电信服务提供商
- 网络服务提供商
- 互联网服务提供商
- 网络托管服务提供商
- 搜索引擎
- 在线支付网站
- 在线拍卖网站
- 在线市场和网络咖啡馆
修订法案的亮点
新修订的法案具有以下亮点:
- 它强调隐私问题并突出信息安全。
- 它详细阐述了数字签名。
- 它澄清了企业合理的安全实践。
- 它侧重于中介机构的作用。
- 增加了网络犯罪的新形式。
网络安全法 - 签名
数字签名
数字签名是一种验证数字消息或文档合法性的技术。有效的数字签名为接收者提供了保证,即消息是由已知的发送者生成的,这样发送者就不能否认发送了该消息。数字签名主要用于软件分发、金融交易以及存在伪造风险的其他情况下。
电子签名
电子签名或电子签名表示声称创建消息的人就是创建消息的人。
签名可以定义为与个人相关的示意性脚本。文档上的签名表示该人接受文档中记录的目的。在许多工程公司,数字印章也需要作为另一层身份验证和安全措施。数字印章和签名与手写签名和盖章相同。
从数字签名到电子签名
数字签名是2000年旧版信息技术法案中定义的术语。电子签名是修订后的法案(2008年信息技术法案)中定义的术语。电子签名的概念比数字签名更广泛。该法案第3条规定通过附加数字签名来验证电子记录。
根据修订案,通过电子签名或电子认证技术验证电子记录应被视为可靠的。
根据联合国国际贸易法委员会 (UNCITRAL),电子认证和签名方法可以分为以下几类:
基于用户或接收者知识的方法,即密码、个人识别号码 (PIN) 等。
基于用户物理特征的方法,即生物识别。
基于用户拥有对象的方法,即存储在磁卡上的代码或其他信息。
不属于上述任何类别的身份验证和签名方法,但也可能用于指示电子通信的发起者(例如手写签名的传真或电子消息底部键入的姓名)。
根据联合国国际贸易法委员会关于电子签名的示范法,目前正在使用的技术包括:
- 公共密钥基础设施 (PKI) 中的数字签名
- 生物识别设备
- 个人识别号码 (PIN)
- 密码
- 扫描的手写签名
- 数字笔签名
- 可点击的“确定”或“我接受”或“我同意”复选框
网络安全法 - 犯罪和处罚
全球互联的加速发展催生了大量的网络犯罪,这些犯罪的增多导致了对法律保护的需求。为了与不断变化的时代同步,印度议会通过了2000年信息技术法案,该法案的概念源于联合国国际贸易法委员会 (UNCITRAL) 的示范法。
该法律详细定义了犯罪行为,并对每一类犯罪行为规定了相应的处罚。
犯罪行为
网络犯罪是指以巧妙的方式实施的非法行为,其中计算机要么是工具,要么是目标,或者两者兼而有之。
网络犯罪通常包括以下内容:
- 未经授权访问计算机
- 数据篡改
- 病毒/蠕虫攻击
- 计算机系统盗窃
- 黑客攻击
- 拒绝服务攻击
- 逻辑炸弹
- 特洛伊木马攻击
- 互联网时间盗窃
- 网站劫持
- 邮件轰炸
- 蚕食攻击
- 物理损坏计算机系统。
2000年信息技术法案中包含的犯罪行为如下:
- 篡改计算机源代码文件。
- 黑客攻击计算机系统。
- 以电子形式发布淫秽信息。
- 控制器的指示权。
- 控制器指示用户扩展解密信息的功能。
- 受保护系统。
- 虚假陈述的处罚。
- 违反保密性和隐私权的处罚。
- 发布某些细节虚假的数字证书的处罚。
- 出于欺诈目的的出版物。
- 该法案适用于在印度境外实施的犯罪或违规行为没收。
- 处罚或没收不应影响其他处罚。
- 调查犯罪行为的权力。
示例
2000年信息技术法案下的犯罪行为
第65条。篡改计算机源代码文件
任何人明知或故意隐瞒、销毁或更改,或明知或故意唆使他人隐瞒、销毁或更改用于计算机、计算机程序、计算机系统或计算机网络的任何计算机源代码,而该计算机源代码根据当时有效的法律需要保存或维护,则处三年以下有期徒刑,或处以不超过二十万卢比的罚款,或二者并罚。
说明:就本条而言,“计算机源代码”是指以任何形式列出的程序、计算机命令、设计和布局以及计算机资源的程序分析。
目的:本条的目的是保护对计算机投入的“知识产权”。它试图保护计算机源代码文件(代码),超出《版权法》的保护范围。
本条的基本要素
明知或故意隐瞒
明知或故意销毁
明知或故意更改
明知或故意唆使他人隐瞒
明知或故意唆使他人销毁
明知或故意唆使他人更改。
本条扩展到《版权法》,并帮助公司保护其程序的源代码。
处罚:任何治安法官均可审理第65条规定的案件。
此为可逮捕且不可保释的犯罪。
处罚:最高3年有期徒刑和/或
罚款:二十万卢比。
下表显示了针对信息技术法案中所有提及条款的犯罪行为和处罚:
| 条款 | 犯罪行为 | 处罚 | 可保释性和可逮捕性 |
|---|---|---|---|
| 65 | 篡改计算机源代码 | 最高3年有期徒刑或最高20万卢比罚款 | 此为可保释、可逮捕的犯罪,由初级治安法官法院审理。 |
| 66 | 与计算机相关的犯罪 | 最高3年有期徒刑或最高50万卢比罚款 | 此为可保释、可逮捕的犯罪, |
| 66-A | 通过通信服务等发送攻击性信息… | 最高3年有期徒刑和罚款 | 此为可保释、可逮捕的犯罪,由初级治安法官法院审理 |
| 66-B | 不诚实地接收被盗的计算机资源或通信设备 | 最高3年有期徒刑和/或最高10万卢比罚款 | 此为可保释、可逮捕的犯罪,由初级治安法官法院审理 |
| 66-C | 身份盗窃 | 处以三年以下有期徒刑或者罚款十万卢比,或二者并罚。 | 此为可保释、可逮捕的犯罪,由初级治安法官法院审理 |
| 66-D | 利用计算机资源进行假冒欺诈 | 处以三年以下有期徒刑或者罚款十万卢比,或二者并罚。 | 此为可保释、可逮捕的犯罪,由初级治安法官法院审理 |
| 66-E | 侵犯隐私 | 处以三年以下有期徒刑或者罚款二十万卢比,或二者并罚。 | 此为可保释、可逮捕的犯罪,由初级治安法官法院审理 |
| 66-F | 网络恐怖主义 | 处以无期徒刑。 | 此罪为非保释性、可逮捕性罪行,由地方法院审理。 |
| 67 | 以电子形式发布或传播淫秽材料 | 初犯:处以三年以下有期徒刑或者罚款五十万卢比,或二者并罚。累犯:处以五年以下有期徒刑或者罚款一百万卢比,或二者并罚。 | 此为可保释、可逮捕的犯罪,由初级治安法官法院审理 |
| 67-A | 以电子形式发布或传播包含性行为等内容的材料 | 初犯:处以五年以下有期徒刑或者罚款一百万卢比,或二者并罚。累犯:处以七年以下有期徒刑或者罚款一百万卢比,或二者并罚。 | 此罪为非保释性、可逮捕性罪行,由初级治安法庭审理。 |
| 67-B | 以电子形式发布或传播描绘儿童进行性行为等的材料 | 初犯:处以五年以下有期徒刑或者罚款一百万卢比,或二者并罚。累犯:处以七年以下有期徒刑或者罚款一百万卢比,或二者并罚。 | 此罪为非保释性、可逮捕性罪行,由初级治安法庭审理。 |
| 67-C | 中介机构故意或明知违反关于信息保存和留存的指示 | 最高3年有期徒刑和罚款 | 此罪为可保释性、可逮捕性罪行。 |
| 68 | 未遵守监管机构的指示 | 处以二年以下有期徒刑或者罚款十万卢比,或二者并罚。 | 此罪为可保释性、不可逮捕性罪行。 |
| 69 | 未协助第(3)款中提到的机构拦截、监控或解密任何通过计算机资源的信息 | 处以七年以下有期徒刑并处罚款。 | 此罪为非保释性、可逮捕性罪行。 |
| 69-A | 中介机构未遵守关于阻止公众通过任何计算机资源访问任何信息的指示 | 处以七年以下有期徒刑并处罚款。 | 此罪为非保释性、可逮捕性罪行。 |
| 69-B | 中介机构故意或明知违反第(2)款的规定,通过任何计算机资源监控和收集网络安全相关的流量数据或信息 | 最高3年有期徒刑和罚款 | 此罪为可保释性、可逮捕性罪行。 |
| 70 | 任何违反第70条规定获取或试图获取受保护系统访问权限的人员 | 处以十年以下有期徒刑并处罚款。 | 此罪为非保释性、可逮捕性罪行。 |
| 70-B | 印度计算机应急响应小组作为国家事件响应机构。任何服务提供商、中介机构、数据中心等,未提供要求的信息或未遵守ICERT发布的指示。 | 处以一年以下有期徒刑或者罚款十万卢比,或二者并罚。 | 此罪为可保释性、不可逮捕性罪行。 |
| 71 | 向监管机构或认证机构提供虚假信息 | 处以二年以下有期徒刑或者罚款十万卢比,或二者并罚。 | 此罪为可保释性、不可逮捕性罪行。 |
| 72 | 违反保密和隐私 | 处以二年以下有期徒刑或者罚款十万卢比,或二者并罚。 | 此罪为可保释性、不可逮捕性罪行。 |
| 72-A | 违反合法合同披露信息 | 处以三年以下有期徒刑或者罚款五十万卢比,或二者并罚。 | 此罪为可逮捕性、可保释性罪行。 |
| 73 | 发布在某些方面虚假的电子签名证书 | 处以二年以下有期徒刑或者罚款十万卢比,或二者并罚。 | 此罪为可保释性、不可逮捕性罪行。 |
| 74 | 出于欺诈目的发布 | 处以二年以下有期徒刑或者罚款十万卢比,或二者并罚。 | 此罪为可保释性、不可逮捕性罪行。 |
罪行的和解
根据《信息技术法》第77-A条,任何有管辖权的法院可以对罪行进行和解,但本法规定处以无期徒刑或三年以上有期徒刑的罪行除外。
如果以下情况,则不得对罪行进行和解:
被告人因先前定罪而应处以加重处罚或不同种类的处罚;或
罪行影响到国家的社会经济状况;或
罪行针对的是未满18岁的儿童;或
罪行针对的是女性。
被指控犯有本法所述罪行的人员可以向法院提交和解申请。然后,该罪行将处于审判待决状态,并将适用《刑事诉讼法》第265-B条和第265-C条的规定。
网络法律 - 摘要
网络法律是打击网络犯罪的唯一救星。只有通过严格的法律才能为国家信息提供牢不可破的安全保障。印度《信息技术法》作为一项专门法律,旨在解决网络犯罪问题。2008年的修订法案进一步强化了该法。
网络犯罪时有发生,但报告率仍然很低。因此,提交法院的网络犯罪案件很少。在收集、存储和理解数字证据方面存在实际困难。因此,该法案还有很长的路要走才能真正有效。
在本教程中,我们试图涵盖与网络法律和IT安全相关的所有当前和主要主题。我们想引用著名网络法律专家和最高法院律师帕万·杜格尔先生的结语来结束本教程。
虽然立法者在消除印度网络法律中的各种缺陷,使其在技术上保持中立方面做出了值得称道的贡献,但似乎国家期望与修订后的法律产生的效果之间存在很大差距。新修订中最奇怪和最令人震惊的一点是,这些修订试图将印度网络法律变成一部对网络犯罪有利的法律;一部对网络罪犯心慈手软的法律;一部通过减轻现有法律规定的对他们的处罚来鼓励网络罪犯的法律;……一部将《信息技术法》中规定的大多数网络犯罪定为可保释罪行的法律;一部可能导致印度成为世界潜在网络犯罪之都的法律。
网络法律 - 常见问题解答
1. 什么是网络犯罪?
A. 网络犯罪是指在网络空间中出于犯罪意图进行的所有活动。由于互联网的匿名性,不法分子从事各种犯罪活动。网络犯罪领域才刚刚兴起,随着时间的推移,网络空间中出现的新形式的犯罪活动也层出不穷。
2. 我们是否有网络犯罪的详尽定义?
A. 不幸的是,我们没有网络犯罪的详尽定义。但是,任何本质上触犯人类良知的在线活动都可以被视为网络犯罪。
3. 网络犯罪有哪些不同的类别?
A. 网络犯罪基本上可以分为三大类:
- 针对个人的网络犯罪,
- 针对财产的网络犯罪,以及
- 针对政府的网络犯罪。
4. 详细介绍一下针对个人的网络犯罪。
A. 针对个人的网络犯罪包括各种犯罪,例如传播儿童色情制品、使用电子邮件进行骚扰和网络跟踪。发布和传播淫秽材料是当今最主要的网络犯罪之一。
5. 网络骚扰也是网络犯罪吗?
A. 网络骚扰是一种明显的网络犯罪。网络空间中存在各种形式的骚扰。骚扰可以是性骚扰、种族骚扰、宗教骚扰或其他形式的骚扰。网络骚扰作为一种犯罪也使我们想到了另一个相关的领域,即侵犯网民的隐私。侵犯在线公民的隐私是一种严重的网络犯罪。
6. 什么是针对财产的网络犯罪?
A. 针对所有形式财产的网络犯罪包括通过网络未经授权入侵计算机、计算机破坏、传播有害程序以及未经授权获取计算机化信息。
7. 黑客攻击是网络犯罪吗?
A. 黑客攻击是迄今为止最严重的网络犯罪之一。知道一个陌生人未经你的许可入侵了你的计算机系统并篡改了宝贵的机密数据,这是一种可怕的感觉。
残酷的事实是,世界上没有任何计算机系统能够抵御黑客攻击。人们一致认为,任何系统,无论看起来多么安全,都可能被黑客入侵。最近在eBay、雅虎和亚马逊等热门商业网站上发生的拒绝服务攻击是一种新类型的网络犯罪,它正在逐渐发展成为一种极其危险的犯罪。
利用自身编程能力未经授权访问计算机或网络是一种非常严重的犯罪。同样,创建和传播对计算机系统造成无法弥补的损害的有害计算机程序也是另一种网络犯罪。
8. 什么是针对政府的网络犯罪?
A. 网络恐怖主义是针对政府的网络犯罪的一个典型例子。互联网的发展表明,网络空间正在被个人和团体用来威胁政府,以及恐吓一个国家的公民。当个人入侵政府或军队维护的网站时,这种犯罪就会表现为恐怖主义。
9. 目前是否有关于网络犯罪的综合法律?
A. 截至目前,世界各国还没有任何关于网络犯罪的综合法律。这就是为什么像联邦调查局这样的调查机构发现网络空间是一个极其困难的领域的原因。网络犯罪属于互联网法律的灰色地带,既没有被现有法律完全涵盖,也没有被部分涵盖。但是,各国正在采取重要措施制定严格的网络犯罪法律。
10. 有没有最近的案例证明在国家管辖范围内制定关于网络犯罪的网络法律的重要性?
A. 最近的“我爱你”病毒案例证明了在不同国家管辖范围内制定关于网络犯罪的网络法律的必要性。在发布此功能的网络版本时,路透社报道称,“菲律宾尚未逮捕涉嫌创建‘爱情虫’计算机病毒的嫌疑人,因为它缺乏处理计算机犯罪的法律,一位高级警官说”。事实是,菲律宾没有关于网络犯罪的法律。
11. 什么是网络钓鱼?
A. 网络钓鱼是指利用电话系统进行的犯罪行为,通常使用网络电话(VoIP)提供的功能,以从公众那里获取信用卡详细信息等敏感信息。该术语是“语音”和网络钓鱼的组合。
12. 什么是邮件欺诈?
A. 邮件欺诈是美国联邦法律规定的罪行,包括任何企图非法获取金钱或贵重物品的计划,其中在犯罪的任何阶段都使用了邮政系统。
13. 什么是ID欺骗?
A. 它是利用电话网络在接收方的主叫号码显示屏上显示一个并非实际源站号码的号码的做法。
14. 什么是网络间谍活动?
A. 它是为了军事、政治或经济利益,利用互联网上的非法开发方法,从个人、竞争对手、对手、团体、政府和敌人那里获取秘密的行为或做法。
15. 破坏的含义是什么?
A. 蓄意破坏字面意思是指对任何机械或材料的故意损坏或工作中断。在网络空间的背景下,它是对军事活动中使用的计算机和卫星存在的威胁。
16. 哪个民主国家最先引入了《网络诽谤法》?
A. 韩国是第一个引入该法律的民主国家。
17. 什么是机器人(Bots)?
A. 机器人(Bots)是当今互联网面临的最复杂类型的犯罪软件之一。机器人因代表网络罪犯执行各种自动化任务而获得了其独特的名称。它们在互联网上的“拒绝服务”攻击中发挥作用。
18. 木马和间谍软件是什么?
A. 木马和间谍软件是网络罪犯可能用来在攻击过程中获得未经授权的访问权限并从受害者那里窃取信息。
19. 网络钓鱼和域名劫持是什么?
A. 网络钓鱼和域名劫持是实施身份盗窃最常见的方式,身份盗窃是一种网络犯罪形式,犯罪分子利用互联网窃取他人的个人信息。
20. 提及一些预防网络犯罪的技巧。
了解黑客创建网络钓鱼诈骗以获取您个人信息的最新方式。
在您的计算机上安装防火墙,将不需要的威胁和攻击降到最低。
打开电子邮件和点击链接时要谨慎。从未经验证的来源下载内容时,您应该仔细阅读。
为存储个人信息的任何网站创建强密码。