安全生产_信息犯罪与安全管理实务

1 林宜隆博士中央警察大學資訊管理學系 研究所教授網路犯罪問題研究室召集人TWNIC網路安全委員會委員教育部網路法律諮詢委員會委員中華民國九十一年08月26日13 30 16 30 資訊犯罪與安全管理 I LongLinforCybercrime Cyberpolice CPU 2002 2 報告大綱 壹 前言貳 資訊 網路犯罪之基本理論及問題參 資訊 網路犯罪之類型與特質肆 資訊 網路使用的法律問題與犯罪案例分析伍 資訊 網路犯罪之防範對策與安全管理陸 結論與建議 I LongLinforCybercrime Cyberpolice CPU 2002 3 資訊 網路使用的犯罪概念 I LongLinforCybercrime Cyberpolice CPU 2002 4 網路安全與資訊犯罪 教育面 含資訊倫理 政策 管理面法律 偵查面安全技術面資訊及網路安全 I LongLinforCybercrime Cyberpolice CPU 2002 5 安全 VS 犯罪 電腦安全 A 1950 網路安全 B 1970 網際網路安全 C 1990 I LongLinforCybercrime Cyberpolice CPU 2002 6 資訊 網路犯罪之定義 資訊 網路 犯罪 Cybercrime 之定義網路犯罪 是指利用網路之特性 以網路及連結在網路上的電腦系統作為犯罪場所或作為犯罪客體的犯罪行為 蔡美智 資訊法務透析88年1月 資訊 網路 犯罪是電腦犯罪之延伸 為電腦系統與通訊網路相結合之犯罪 但更偏重網際網路之應用 換言之 犯罪人在過程中必須藉助網路才能遂行其犯罪意圖之犯罪 林宜隆 網際網路與犯罪問題之研究 2000 02 2001 12 ComputerCrimeisaspecialtypeofCybercrime Cybercrimeisusedthroughoutthistexttorefertoanycrimethatinvolvescomputersandnetworks includingcrimesthatdonotreplyheavilyoncomputers EoghanCasey DigitalEvidenceandComputerCrime AcademicPress 2000 I LongLinforCybercrime Cyberpolice CPU 2002 7 網際網路犯罪 資訊犯罪 之刑事政策 8 壹 前言 美國新聞周刊稱一九九五年是 國際網際網路年 農業經濟時代 土地 自然資源與人力工業經濟時代 技術 資本與工業材料服務業經濟時代 以服務性的勞力投入為主知識經濟時代 知識 科技與企業精神 KM ECandEthics 知識經濟時代網路社會 Cybersociety 裡日益猖獗的 資訊 網路犯罪 InternetCrimeorCybercrime 1997年九月台灣網際網路用戶約100萬戶 1999年三月台灣網際網路用戶約300萬戶 前 2000 年一月台灣網際網路用戶約500萬戶 去 2001 年十月台灣網際網路用戶約750萬戶 今 2002 年五月台灣網際網路用戶約850萬戶 寬頻用戶約150萬戶 I LongLinforCybercrime Cyberpolice CPU 2002 9 知識經濟時代網路社會的演進 I LongLinforCybercrime Cyberpolice CPU 2002 10 網路社會與真實社會相互影響 I LongLinforCybercrime Cyberpolice CPU 2002 11 2 1 資訊 網路犯罪之基本理論 資訊 網路犯罪根據古典學派犯罪學之理性選擇犯罪理論 RationalChoiceTheory 及日常活動犯罪理論 RoutineActivityTheory 美國犯罪學者L CohenandM Felson在1979年所提日常活動犯罪理論 其認為犯罪是人們日常生活型態的一種結果 且犯罪事件要發生必須有三種要素 M O P 在時空的聚合 1 有能力的犯罪者 Motivation 2 犯罪標的物 Object 3 抑制犯罪發生者的不在場 Protection 如圖一所示 E1 E2及E3分別表示家庭環境 學校環境及社會環境 12 日常活動犯罪理論之M O P犯罪三要素動態模式 I LongLinforCybercrime Cyberpolice CPU 2002 13 2 1 資訊 網路犯罪之基本理論 Cont 得知下列一個推論 當網際網路使用愈普及 則 資訊 網路犯罪愈是必然發生 為防止網路犯罪發生 必須相對提高網路安全科技 如防火牆 防毒 IDS VPN PKI CA及密碼系統設置 即代表P 及儘速制定網路使用管理辦法 如美國反垃圾電子郵件法案 英國電子郵件檢查法及電子簽章法 90 10 31 即代表M 或資訊使用相關法令 如網站內容管理法 即代表O 等以確保資訊網路系統之安全 I LongLinforCybercrime Cyberpolice CPU 2002 14 參 資訊 網路犯罪之類型與特性 3 1 資訊 網路犯罪之類型 依網路於犯罪中扮演的角色以網路空間作為犯罪場所 被動性 網路色情 販售禁藥 販賣軍火以網路為犯罪工具 針對特定目標 網路恐嚇 網路詐騙 以網路為攻擊目標 破壞性 網路入侵 駭客 網路竊聽 SQLInjection I LongLinforCybercrime Cyberpolice CPU 2002 15 資訊 網路犯罪之分類及其常見型態 I LongLinforCybercrime Cyberpolice CPU 2002 16 3 3 資訊 網路犯罪之特性與網路犯罪行為人之特質 3 3 1 資訊 網路犯罪之特性 從犯罪學之觀點來看 資訊 網路犯罪具有下列特性 一 資訊 網路犯罪為智慧型犯罪 二 資訊 網路犯罪具有高犯罪黑數之特性 1 為預防犯罪 電腦 網路 系統多設有安全防護設施 給予系統入侵者有可乘之機 2 電腦 網路 犯罪往往涉及該單位的祕密與信譽 3 偵查與蒐證工作困難 4 某些電腦 網路 犯罪其行為結果在時間上往往有所間隔 三 資訊 網路犯罪常與行為人職務關係密切 四 財產性電腦 網路 犯罪常造成龐大的損害 五 對人類生命為害極大 I LongLinforCybercrime Cyberpolice CPU 2002 17 3 3 2 資訊 網路犯罪行為人之特質 從犯罪學之觀點來看 大體上 資訊 網路犯罪行為人 如網路駭客 快客及飛客 具有以下幾種特質 一 犯罪者的年齡 二 犯罪者的性別 三 犯罪者的特徵 四 犯罪者的職業 五 犯罪者的心態 六 犯罪者常為習慣犯 18 肆 網路使用的法律問題與網路犯罪案例分析 4 1E法律問題鳥瞰 電腦犯罪 刑法修正案 86年8月10日修正公布個人資料保護 個資法修正案 84年8月11日公布智慧財產權 著作權修正案 商標法 專利法 網路廣告規範 通訊保障及監察法 電信法網路內容管理 網路色情 援助交際 網路內容管理法 消費者購物保護數位簽章 電子簽章法90 10 31三讀通過 垃圾郵件 SpamMail 電子垃圾郵件管理辦法 北市版網咖管理條例 90 11 14 網路基本法 網路管理法和網路使用者管理辦法等法律 etc 資訊 網路犯罪 I LongLinforCybercrime Cyberpolice CPU 2002 19 I LongLinforCybercrime Cyberpolice CPU 2002 20 I LongLinforCybercrime Cyberpolice CPU 2002 21 資訊 網路犯罪類型與適用法規 I LongLinforCybercrime Cyberpolice CPU 2002 22 4 2 資訊 網路犯罪案例分析案例一 軍火教父案例及犯罪分析 犯罪時間 民國86年9月9日凌晨 犯罪地點 苗栗縣苑裡鎮住處 犯罪事實 楊嫌於申請中華電信股份有限公司所提供服務之識別碼及密碼後 經由HINET連線 進入電腦網站察看電腦資訊 於民國86年9月9日凌晨 在兩小時內先後四次進入 奇摩網站 並登錄 軍火教父 之資訊佈告 提供網友察看 其資訊內容係將國外軍售網站翻譯成中文 在加註台灣買主的購買方式及販售廣告 犯罪者剖析 工專化學工程科畢業 但自修電子資訊 偏愛網際網路遊戲 無前科 I LongLinforCybercrime Cyberpolice CPU 2002 23 案例一 Cont 犯罪造成損害 煽惑他人購槍犯罪 起訴罪名 刑法第153條煽惑他人犯罪或違背法令罪 犯罪方式 I LongLinforCybercrime Cyberpolice CPU 2002 24 案例二 網路毀謗案例之犯罪分析 犯罪時間 民國86年11月26 28日 犯罪地點 政治大學 犯罪事實 政大邱姓學生因不滿趙姓教授教學及考試方式 遂於利用網際網路於校園版上 透過電子布告欄 BulletinBoardSystem BBS 以 另一種形式之強暴 為題 指摘趙姓教授 假借分數評鑑權柄 驅使整班學生為趙教授個人的學術 事業 活動 等語 並將同一內容以大字報方式 張貼於政治大學的言論廣場上 經該教授提起自訴 I LongLinforCybercrime Cyberpolice CPU 2002 25 案例二 Cont 犯罪者剖析 大學在學生 非資訊科系與專長 無前科 犯罪造成損害 足以使人產生懷疑或貶抑被害人名譽之可能或危險 判決罪名 刑法第310條誹謗罪 判處拘役55日 得易科罰金 犯罪方式 使用宿舍電腦進入校園網路 連線進入BBS站 在站內散佈不當言論 誹謗他人名譽 I LongLinforCybercrime Cyberpolice CPU 2002 26 案例三 網路著作權問題之提出 我想要建立一個自己網站 從網路上抓取圖形與程式應用 在網路上賣大補帖 貼補學費 要交學校作業 從網路上找到幾篇不錯的文章在個人網站上提供MP 音樂 共享軟體 註冊碼供人下載 幫忙別人寫網頁打工賺錢 網頁的著作權是否歸自己所有 I LongLinforCybercrime Cyberpolice CPU 2002 27 網路上重製行為態樣 上傳 upload 下載 download 轉貼 post repost 轉寄 forward 貼上 paste 儲存 savetoH D disk cache 數位化 digitize 瀏覽 browse 列印 print 著作權法第三條所稱重製 指以印刷 複印 錄音 錄影 攝影 筆錄或其他方法有形之重複製作 I LongLinforCybercrime Cyberpolice CPU 2002 28 MP3案件之探討 MP3為 MovingPictureExpertsGroup AudioLayer3 的縮寫是一種利用壓縮技術之數位音樂檔案格式MP3是一種資訊科技 本身無違法可言音樂著作或錄音著作以MP3格式呈現 易於儲存與傳送 廣受利用人歡迎將音樂著作或錄音著作重製成MP3格式放在電腦 燒錄成光碟片或其他儲存設備將儲存有MP3的光碟加以散布網路使用者藉由Email等方式傳輸MP3音樂網站提供MP3音樂下載 或MP3音樂交換 I LongLinforCybercrime Cyberpolice CPU 2002 29 利用MP3所引發之法律爭議類型 將合法購得之CD轉檔為MP3儲存於個人電腦或光碟片 X 自非法MP3網站下載 X 設置網站提供非法MP3供人下載 X 非法MP3重製成CD出售 X 將提供非法MP3交換之網站平台 X I LongLinforCybercrime Cyberpolice CPU 2002 30 伍 資訊 網路犯罪之防制對策與安全管理 5 1網路警察之成立 作者於八十五年八月第七屆中美防治犯罪研究會提出了網路警察 Cyber police 一詞 並詮釋此名稱之意義 網路警察乃結合電腦 電信及網路通訊等功能 防止不法之份子破壞 侵略 阻塞有關電信 電腦網路 通訊或其軟硬設備 5 1 1網路警察之功能 作者認為網路警察應具備下列三大功能 電信偵查之功能 含電信監察 網路通訊偵查之功能 電腦偵查功能 含電腦犯罪偵查 I LongLinforCybercrime Cyberpolice CPU 2002 31 5 1 2網路警察之工作範圍 電腦 網際 網路之安全管制與維護 有關電信法 有線電視法 廣播電視法規等規定有關電信案件之查處與取締 有關違法 違反通訊案件之查處 無線電之違法設站及無照使用無線電等等之違法行為 我國通資訊基礎建設安全機制 90年1月17日行政院院會通過 之犯罪偵防 ISP之管理及監督 I LongLinforCybercrime Cyberpolice CPU 2002 32 5 2網路警察局 隊 之設立 33 我國網路警察與資訊犯罪偵查機制 5 2 1國內網路警察現況與問題為貫徹執行行政院NII推動小組於87 10 22日行政院第二六 一次院會中通過 防制網路色情及犯罪 及90 01 17通過 我國通資訊基礎建設安全機制 計畫之配合措施 行政院各部會紛成立或擴編相關單位 1 法務部在八十六年四月十六日在臺灣高等法院檢察署下成立電腦犯罪防治中心負責協調 整合相關單位資源 並在各地方法院檢察署指派專責檢察官辦理電腦犯罪相關案件 2 八十九年在調查局資訊室下成立第四科專責電腦犯罪偵防工作 3 內政部在八十八年七月將警政署刑事警察局電腦犯罪偵防組擴編為專責偵查電腦犯罪的偵查第九隊 4 交通部電信總局在八十六年八月成立電信警察隊協助調查網路上之非法活動 5 成立行政院國家資通安全會報 90年2月 之網路犯罪小組 I LongLinforCybercrime Cyberpolice CPU 2002 34 我國網路警察與資訊犯罪偵查機制 續 中央警察大學林宜隆教授於八十五年八月第七屆中美防治犯罪研究會提出了網路警察 Cyber police 一詞 並詮釋此名稱之意義 網路警察乃結合電腦 電信及網路通訊等功能 防止不法之份子破壞 侵略 阻塞有關電信 電腦網路 通訊或其軟硬設備 內政部警政署雖於八十七年八月在全國各縣市警察局成立任務編組 電腦犯罪偵防小組 惟因人力無法全心投入 導致績效不彰 警政署遂於八十九年八月起要求各縣市警察局成立 電腦犯罪偵防專責組 I LongLinforCybercrime Cyberpolice CPU 2002 35 我國網路警察與資訊犯罪偵查機制 續 5 2 2資訊犯罪機制之建立一 網路警察之成立 網路警察應具備下列三大功能1 電信偵查之功能 含電信監察 2 網路通訊偵查之功能 3 電腦偵查功能 含電腦犯罪偵查 網路警察局 資通警察局另對於網路警察之工作範圍 則應包括下列各項 1 電腦 網際 網路之安全管制與維護 2 有關電信法 有線電視法 廣播電視法規等規定有關電信案件之查處與取締 3 有關違法 違反通訊案件之查處 無線電之違法設站及無照使用無線電等等之違法行為 4 我國通資訊基礎建設安全機制 90年1月17日行政院院會通過 之犯罪偵防 5 ISP之管理及監督 36 我國網路警察與資訊犯罪偵查機制 續 二 加速防制資訊犯罪法律之增修 1 應加速制訂網路基本法 網路管理法和網路使用者管理辦法等法律 如刑法修正案電腦網路犯罪專章 92 06 2 對資訊犯罪新型態之科技犯罪法律另行規定 三 政府打擊資訊犯罪政策的配合 A 法務部高檢署於86年9月成立 電腦犯罪防治中心 制訂五大工作目標 1 研擬防治資訊犯罪的政策 2 溝通檢 警 調及各相關執行 研究機關的見解及作法 3 加強執法人員在職訓練 4 強化國內外電腦犯罪及資訊犯罪的研究 建立資訊犯罪研究資料庫 5 加強教育宣導 以建立適用電腦及網路社會的倫理及秩序 以減少資訊犯罪的發生 B 成立國家級 資通安全鑑識科學研究中心 C 成立行政院國家資通安全會報 90年2月 之網路犯罪小組 四 偵查技術與工具之輔助 37 我國網路警察與資訊犯罪偵查機制 續 五 資訊犯罪偵查人員培育之加強中央警察大學資訊管理學系及研究所是負責培育未來從事資訊犯罪偵查工作之尖兵 為推動資訊警察教育 特於八十九年九月將資訊管理研究所分為兩組 林宜隆教授規劃 1 資訊管理組為一般資訊科技結合管理科學的相關課程研究 如何應用於警察機關及警察工作 協助警察辦案 並提昇警察組織效能及工作效率 2 資訊警察組則為培育 網路警察 之目標而設計了一系列專業課程 內容著重於打擊資訊犯罪相關技術及理論的研究 運用最新的電腦鑑識及數位證據科技理論來探討當前資訊犯罪的技術與方法 進而研發及協助實務單位偵查資訊犯罪工作 成立 資通安全鑑識與犯罪研究中心 I LongLinforCybercrime Cyberpolice CPU 2002 38 5 3 資訊 網路犯罪之防範對策 網路犯罪之防範對策可從政策面 法律面 安全技術面 甚至利用網路的普及性及方便性之教育面上 透過道德倫理觀念 如網路倫理 的宣導 提昇網路使用者自我控制的能力 即網路自律 及避免犯罪 進而達到犯罪預防目標 39 資訊犯罪之防範對策一 政策面 1 法務部高檢署於86年9月成立 電腦犯罪防治中心 其運作加快腳步 制訂出五大工作目標 86 09 26 使其有效遏止電腦網路犯罪的蔓延及擴大 其五大工作目標如下 1 研擬防治電腦犯罪及網路犯罪的政策 2 溝通檢 警 調及各相關執行 研究機關的見解及作法 3 加強執法人員在職訓練 4 強化國內外電腦犯罪及網路犯罪的研究 建立網路犯罪研究資料庫 5 加強教育宣導 以建立適用電腦及網路社會的倫理及秩序 以減少網路犯罪的發生 我國通資訊基礎建設安全機制 90年1月17日行政院院會通過 之犯罪偵防 成立行政院國家資通安全會報 90年2月15日 之網路犯罪小組 成立國家級 資通安全鑑識科學研究中心 40 資訊犯罪之防範對策一 政策面 2 美國聯邦政府1996年修訂頒佈 聯邦自動化資訊資源之安全 美國NIST亦據以於1998年訂頒 資訊科技系統安全計畫指南 英國政府訂定之資訊安全管理規範 BS7799亦廣為各國參考使用 國際電腦稽核協會在1996年訂定之 資訊及相關技術控制目標 COBIT 行政院研考會訂頒的資訊安全指導原則 1998 及成立行政院國家資通安全會報 2001 推動ISO17799 BS7799 41 行政院研考會研訂 行政院及所屬各機關資訊安全管理要點 1998 逐步建立整體性的政府資訊安全管理機制 ISMS 資訊安全政策訂定 資訊安全權責分工 人員管理及資訊安全教育訓練 電腦系統安全管理 網路安全管理 系統存取控制管理 系統發展及維護安全管理 資訊資產安全管理 實體及環境安全管理 業務永續運作計畫管理 42 資訊安全管理安全模型 ISMS ISO17799 BS7799partI 43 資訊犯罪之防範對策二 法律面 因應日新月異的電腦及網路等新科技型態的犯罪型態 立法院院會通過 中華民國刑法修正草案 86 10 08完成修正案三讀 其次更應加速制訂網路基本法 網路管理法和網路使用者管理辦法等法律 並配合網際網路迅速發展及複雜網路犯罪問題 以利我國NII計畫推展及提昇國家競爭力 英國通過電子郵件檢查管理法 2000 08 我國電子簽章法90 10 31三讀通過 教育部校園網路使用規範 90年12月26日核定 刑法修正案電腦網路犯罪專章 92 06 I LongLinforCybercrime Cyberpolice CPU 2002 44 5 3 資訊 網路犯罪之防範對策三 安全技術面 資訊安全技術所需探討的議題就不只是傳統的電腦安全而已 網路的安全技術反成為最迫切需討論研究的重點 要使網際網路的發展能繼續維持榮景 並對人類生活有幫助 就必需研究網路安全技術 防火牆技術 密碼技術及PKI CA認證制度 與資訊安全管理系統 如BS7799 ISO17799 讓人類在使用網路時 除了方便外 還要有免於恐懼的自由 藉由探討網路相關安全問題及其所可能遭遇的威脅 針對網際網路上之資料安全 軟體安全 操作安全 環境安全 管理安全及安全稽核等六大方面 研訂安全的預防策略或研發安全偵測及防範軟體 強化網路資訊系統的安全性 從而建立完整網路資訊安全系統 提供安全控管的能力 I LongLinforCybercrime Cyberpolice CPU 2002 45 5 3 資訊 網路犯罪之防範對策四 教育面 網路上的新新人類 駭客 Hacker 往往只為了一時的好奇與試探 但卻不知自己的行為以為法所不容 在這種情形之下 政府機關必須負起全部的責任 及加強宣導網路之法律問題及電腦 網路 的安全問題 讓民眾有適法的空間及條件 透過家庭 學校教育 甚至設立加強社會控制的網站及遊戲 提昇自我控制的能力 以避免觸入法網 另外法務部高檢署於86年9月成立 電腦犯罪防治中心 其制訂出五大工作目標中 有關教育面工作者 即加強法制教育宣導 以建立適用電腦及網路社會的倫理及秩序 並有效遏止電腦網路犯罪的蔓延及擴大 以減少犯罪的發生 教育部於90年11月成立 網路法律諮詢委員會 I LongLinforCybercrime Cyberpolice CPU 2002 46 陸 結論與建議 6 1結論 1 網路犯罪為一新穎的犯罪型態 它是少數人利用電腦網路從事各種犯罪行為 而成為犯罪學上一個新的研究課題 新興的網路犯罪學 Cyber criminology 更已經成為犯罪學的新論點 這種 電腦 網路 犯罪 已經跳脫重 電腦 網路 而輕 犯罪 的舊有巢臼 慢慢轉向重 犯罪 而輕 電腦 網路 的境界 最近由於國內資訊教育的普及與網際網路的發達 此類案件有逐漸蔓延的趨勢 從接二連三的網路色情 強暴 網路恐嚇 破壞 網路入侵 SQLInjection 軍火教父 隱私權受侵害 毀謗 侵害著作權 等等網路犯罪的事件層出不窮 顯示