信息犯罪与安全管理实务.ppt

1、1,林宜隆 博士 中央警察大學資訊管理學系、研究所教授 網路犯罪問題研究室召集人TWNIC網路安全委員會委員 教育部網路法律諮詢委員會委員 中華民國九十一年08月26日13:3016:30,資訊犯罪與安全管理,I-Long Lin for Cybercrime Cybercrime is used throughout this text to refer to any crime that involves computers and networks, including crimes that do not reply heavily on computers.(Eoghan Casey

2、, Digital Evidence and Computer Crime, Academic Press,2000.),I-Long Lin for Cybercrime & Cyberpolice, CPU, 2002,7,網際網路犯罪(資訊犯罪)之刑事政策?,8,壹、前言,美國新聞周刊稱一九九五年是國際網際網路年。 農業經濟時代:土地、自然資源與人力 工業經濟時代:技術、資本與工業材料 服務業經濟時代:以服務性的勞力投入為主 知識經濟時代:知識、科技與企業精神(KM,EC and Ethics) 知識經濟時代網路社會(Cybersociety)裡日益猖獗的(資訊)網路犯罪(Interne

3、t Crime or Cybercrime)。 1997年九月台灣網際網路用戶約 100 萬戶。 1999年三月台灣網際網路用戶約 300 萬戶。 前(2000)年一月台灣網際網路用戶約 500 萬戶。 去(2001)年十月台灣網際網路用戶約 750 萬戶。 今(2002)年五月台灣網際網路用戶約 850 萬戶。(寬頻用戶約 150 萬戶),I-Long Lin for Cybercrime & Cyberpolice, CPU, 2002,9,知識經濟時代網路社會的演進,I-Long Lin for Cybercrime & Cyberpolice, CPU, 2002,10,網路社會與真實

4、社會相互影響,I-Long Lin for Cybercrime & Cyberpolice, CPU, 2002,11,2.1 (資訊)網路犯罪之基本理論,(資訊)網路犯罪根據古典學派犯罪學之理性選擇犯罪理論 (Rational Choice Theory)及日常活動犯罪理論(Routine Activity Theory)。 美國犯罪學者L. Cohen and M. Felson在1979年所提日常活動犯罪理論，其認為犯罪是人們日常生活型態的一種結果，且犯罪事件要發生必須有三種要素(M-O-P)在時空的聚合： (1)有能力的犯罪者 (Motivation)。 (2)犯罪標的物 (Obje

5、ct)。 (3)抑制犯罪發生者的不在場(Protection)。如圖一所示。(E1,E2及E3分別表示家庭環境,學校環境及社會環境),12,日常活動犯罪理論之M-O-P犯罪三要素動態模式,I-Long Lin for Cybercrime & Cyberpolice, CPU, 2002,13,2.1 (資訊)網路犯罪之基本理論(Cont.),得知下列一個推論：當網際網路使用愈普及，則(資訊)網路犯罪愈是必然發生，為防止網路犯罪發生，必須相對提高網路安全科技(如防火牆,防毒,IDS,VPN,PKI/CA及密碼系統設置, 即代表P) 及儘速制定網路使用管理辦法(如美國反垃圾電子郵件法案, 英國電

6、子郵件檢查法及電子簽章法(90/10/31)即代表M)或資訊使用相關法令(如網站內容管理法, 即代表O)等以確保資訊網路系統之安全。,I-Long Lin for Cybercrime & Cyberpolice, CPU, 2002,14,參、(資訊)網路犯罪之類型與特性3.1 (資訊)網路犯罪之類型,依網路於犯罪中扮演的角色 以網路空間作為犯罪場所（被動性） 網路色情, 販售禁藥, 販賣軍火 以網路為犯罪工具（針對特定目標） 網路恐嚇, 網路詐騙, 以網路為攻擊目標（破壞性） 網路入侵（駭客）, 網路竊聽, SQL Injection,I-Long Lin for Cybercrime &

7、 Cyberpolice, CPU, 2002,15,(資訊)網路犯罪之分類及其常見型態,I-Long Lin for Cybercrime & Cyberpolice, CPU, 2002,16,3.3 (資訊)網路犯罪之特性與網路犯罪行為人之特質3.3.1 (資訊)網路犯罪之特性,從犯罪學之觀點來看， (資訊)網路犯罪具有下列特性： (一)(資訊)網路犯罪為智慧型犯罪(?) (二)(資訊)網路犯罪具有高犯罪黑數之特性 (1)為預防犯罪，電腦(網路)系統多設有安全防護設施，給予系統入侵者有可乘之機。 (2)電腦(網路)犯罪往往涉及該單位的祕密與信譽。 (3)偵查與蒐證工作困難。 (4)某些電

8、腦(網路)犯罪其行為結果在時間上往往有所間隔。 (三)(資訊)網路犯罪常與行為人職務關係密切 (四)財產性電腦(網路)犯罪常造成龐大的損害 (五)對人類生命為害極大。,I-Long Lin for Cybercrime & Cyberpolice, CPU, 2002,17,3.3.2 (資訊)網路犯罪行為人之特質,從犯罪學之觀點來看，大體上(資訊)網路犯罪行為人(如網路駭客、快客及飛客)具有以下幾種特質： (一)、犯罪者的年齡： (二)、犯罪者的性別： (三)、犯罪者的特徵： (四)、犯罪者的職業： (五)、犯罪者的心態： (六)、犯罪者常為習慣犯：,18,肆、網路使用的法律問題與網路犯罪案

9、例分析4.1 E法律問題鳥瞰,電腦犯罪(刑法修正案) 86年8月10日修正公布 個人資料保護(個資法修正案) 84年8月11日公布 智慧財產權(著作權修正案,商標法,專利法 ) 網路廣告規範,通訊保障及監察法 ,電信法 網路內容管理(網路色情,援助交際)(網路內容管理法?) 消費者購物保護 數位簽章(電子簽章法90.10.31三讀通過) 垃圾郵件(Spam Mail)(電子垃圾郵件管理辦法?) 北市版網咖管理條例 (90.11.14). 網路基本法、網路管理法和網路使用者管理辦法等法律 .etc. (資訊)網路犯罪,I-Long Lin for Cybercrime & Cyberpolice

10、, CPU, 2002,19,I-Long Lin for Cybercrime & Cyberpolice, CPU, 2002,20,I-Long Lin for Cybercrime & Cyberpolice, CPU, 2002,21,(資訊)網路犯罪類型與適用法規,I-Long Lin for Cybercrime & Cyberpolice, CPU, 2002,22,4.2 (資訊)網路犯罪案例分析案例一,軍火教父案例及犯罪分析 )犯罪時間：民國86年9月9日凌晨 )犯罪地點：苗栗縣苑裡鎮住處 )犯罪事實：楊嫌於申請中華電信股份有限公司所提供服務之識別碼及密碼後，經由HINET

11、連線，進入電腦網站察看電腦資訊，於民國86年9月9日凌晨，在兩小時內先後四次進入奇摩網站，並登錄軍火教父之資訊佈告，提供網友察看，其資訊內容係將國外軍售網站翻譯成中文，在加註台灣買主的購買方式及販售廣告。 )犯罪者剖析：工專化學工程科畢業，但自修電子資訊，偏愛網際網路遊戲，無前科。,I-Long Lin for Cybercrime & Cyberpolice, CPU, 2002,23,案例一(Cont.),)犯罪造成損害：煽惑他人購槍犯罪 )起訴罪名：刑法第153條煽惑他人犯罪或違背法令罪 )犯罪方式：,I-Long Lin for Cybercrime & Cyberpolice, CP

12、U, 2002,24,案例二,網路毀謗案例之犯罪分析 )犯罪時間：民國86年11月26、28日 )犯罪地點：政治大學 )犯罪事實：政大邱姓學生因不滿趙姓教授教學及考試方式，遂於利用網際網路於校園版上，透過電子布告欄 (Bulletin Board System, BBS)，以另一種形式之強暴為題，指摘趙姓教授假借分數評鑑權柄，驅使整班學生為趙教授個人的學術事業活動等語，並將同一內容以大字報方式，張貼於政治大學的言論廣場上，經該教授提起自訴。,I-Long Lin for Cybercrime & Cyberpolice, CPU, 2002,25,案例二(Cont.),)犯罪者剖析：大學在學生

13、，非資訊科系與專長，無前科。 )犯罪造成損害：足以使人產生懷疑或貶抑被害人名譽之可能或危險。 )判決罪名：刑法第310條誹謗罪，判處拘役55日，得易科罰金。 )犯罪方式：使用宿舍電腦進入校園網路連線進入BBS站在站內散佈不當言論，誹謗他人名譽。,I-Long Lin for Cybercrime & Cyberpolice, CPU, 2002,26,案例三網路著作權問題之提出,我想要建立一個自己網站，從網路上抓取圖形與程式應用？ 在網路上賣大補帖，貼補學費？ 要交學校作業，從網路上找到幾篇不錯的文章 在個人網站上提供MP音樂、共享軟體、註冊碼供人下載？ 幫忙別人寫網頁打工賺錢，網頁的著作權是

14、否歸自己所有？,I-Long Lin for Cybercrime & Cyberpolice, CPU, 2002,27,網路上重製行為態樣,上傳(upload) 下載(download) 轉貼(post, repost) 轉寄(forward) 貼上(paste),儲存(save to H/D, disk, cache) 數位化(digitize) 瀏覽(browse) 列印(print),著作權法第三條所稱重製：指以印刷、複印、錄音、 錄影、攝影、筆錄或其他方法有形之重複製作。,I-Long Lin for Cybercrime & Cyberpolice, CPU, 2002,28,M

15、P3案件之探討,MP3為“Moving Picture Experts Group Audio Layer 3”的縮寫 是一種利用壓縮技術之數位音樂檔案格式 MP3是一種資訊科技，本身無違法可言 音樂著作或錄音著作以MP3格式呈現，易於儲存與傳送，廣受利用人歡迎 將音樂著作或錄音著作重製成MP3格式 放在電腦，燒錄成光碟片或其他儲存設備 將儲存有MP3的光碟加以散布 網路使用者藉由Email等方式傳輸MP3音樂 網站提供MP3音樂下載，或MP3音樂交換,I-Long Lin for Cybercrime & Cyberpolice, CPU, 2002,29,利用MP3所引發之法律爭議類型,將

16、合法購得之CD轉檔為MP3儲存於個人電腦或光碟片(?/X) 自非法MP3網站下載 (X) 設置網站提供非法MP3供人下載 (X) 非法MP3重製成CD出售 (X) 將提供非法MP3交換之網站平台 (X),I-Long Lin for Cybercrime & Cyberpolice, CPU, 2002,30,伍、(資訊)網路犯罪之防制對策與安全管理5.1 網路警察之成立,作者於八十五年八月第七屆中美防治犯罪研究會提出了網路警察(Cyber-police)一詞，並詮釋此名稱之意義： 網路警察乃結合電腦、電信及網路通訊等功能，防止不法之份子破壞、侵略、阻塞有關電信、電腦網路、通訊或其軟硬設備。

17、5.1.1網路警察之功能，作者認為網路警察應具備下列三大功能: )電信偵查之功能(含電信監察)。 )網路通訊偵查之功能。 )電腦偵查功能(含電腦犯罪偵查)。,I-Long Lin for Cybercrime & Cyberpolice, CPU, 2002,31,5.1.2 網路警察之工作範圍：,)電腦(網際)網路之安全管制與維護。 )有關電信法、有線電視法、廣播電視法規等規定有關電信案件之查處與取締。 )有關違法、違反通訊案件之查處、無線電之違法設站及無照使用無線電等等之違法行為。 )我國通資訊基礎建設安全機制(90年1月17日行政院院會通過)之犯罪偵防。 ) ISP之管理及監督。,I-L

18、ong Lin for Cybercrime & Cyberpolice, CPU, 2002,32,5.2 網路警察局(隊)之設立,33,我國網路警察與資訊犯罪偵查機制,5.2.1 國內網路警察現況與問題 為貫徹執行行政院NII推動小組於87.10.22日行政院第二 六一次院會中通過防制網路色情及犯罪及90.01.17 通過我國通資訊基礎建設安全機制計畫之配合措施， 行政院各部會紛成立或擴編相關單位： 1.法務部在八十六年四月十六日在臺灣高等法院檢察署 下成立電腦犯罪防治中心負責協調、整合相關單位資 源，並在各地方法院檢察署指派專責檢察官辦理電腦 犯罪相關案件。 2.八十九年在調查局資訊室下

19、成立第四科專責電腦犯罪 偵防工作。 3.內政部在八十八年七月將警政署刑事警察局電腦犯罪 偵防組擴編為專責偵查電腦犯罪的偵查第九隊。 4.交通部電信總局在八十六年八月成立電信警察隊協助 調查網路上之非法活動。 5.成立行政院國家資通安全會報(90年2月)之網路犯罪小組。,I-Long Lin for Cybercrime & Cyberpolice, CPU, 2002,34,我國網路警察與資訊犯罪偵查機制(續),中央警察大學林宜隆教授於八十五年八月第七屆中美防治犯罪研究會提出了網路警察(Cyber-police)一詞，並詮釋此名稱之意義：網路警察乃結合電腦、電信及網路通訊等功能，防止不法之份子

20、破壞、侵略、阻塞有關電信、電腦網路、通訊或其軟硬設備。 內政部警政署雖於八十七年八月在全國各縣市警察局成立任務編組電腦犯罪偵防小組，惟因人力無法全心投入，導致績效不彰，警政署遂於八十九年八月起要求各縣市警察局成立電腦犯罪偵防專責組。,I-Long Lin for Cybercrime & Cyberpolice, CPU, 2002,35,我國網路警察與資訊犯罪偵查機制(續),5.2.2 資訊犯罪機制之建立 一、網路警察之成立：網路警察應具備下列三大功能 1.電信偵查之功能(含電信監察)。 2.網路通訊偵查之功能。 3.電腦偵查功能(含電腦犯罪偵查)。 網路警察局 資通警察局 另對於網路警察之

21、工作範圍，則應包括下列各項： 1.電腦(網際)網路之安全管制與維護。 2.有關電信法、有線電視法、廣播電視法規等規定有關 電信案件之查處與取締。 3.有關違法、違反通訊案件之查處、無線電之違法設站 及無照使用無線電等等之違法行為。 4.我國通資訊基礎建設安全機制(90年1月17日行政院院 會通過)之犯罪偵防。 5.ISP之管理及監督。,36,我國網路警察與資訊犯罪偵查機制(續),二、加速防制資訊犯罪法律之增修： 1.應加速制訂網路基本法、網路管理法和網路使用者管 理辦法等法律。(如刑法修正案電腦網路犯罪專章(92.06) 2.對資訊犯罪新型態之科技犯罪法律另行規定。 三、政府打擊資訊犯罪政策的

22、配合 (A)法務部高檢署於86年9月成立電腦犯罪防治中心,制訂五大工作目標： 1.研擬防治資訊犯罪的政策。 2.溝通檢、警、調及各相關執行、研究機關的見解及作法。 3.加強執法人員在職訓練。 4.強化國內外電腦犯罪及資訊犯罪的研究，建立資訊犯 罪研究資料庫。 5.加強教育宣導，以建立適用電腦及網路社會的倫理及 秩序，以減少資訊犯罪的發生。 (B)成立國家級資通安全鑑識科學研究中心。 (C)成立行政院國家資通安全會報(90年2月)之網路犯罪小組。 四、偵查技術與工具之輔助。,37,我國網路警察與資訊犯罪偵查機制(續),五、資訊犯罪偵查人員培育之加強 中央警察大學資訊管理學系及研究所是負責培 育未

23、來從事資訊犯罪偵查工作之尖兵 ，為推動 資訊警察教育，特於八十九年九月將資訊管理 研究所分為兩組：(林宜隆教授規劃) 1.資訊管理組為一般資訊科技結合管理科學的 相關課程研究，如何應用於警察機關及警察 工作、協助警察辦案，並提昇警察組織效能 及工作效率 。 2.資訊警察組則為培育網路警察之目標而 設計了一系列專業課程，內容著重於打擊資 訊犯罪相關技術及理論的研究，運用最新的 電腦鑑識及數位證據科技理論來探討當前資 訊犯罪的技術與方法，進而研發及協助實務單位偵 查資訊犯罪工作。(成立資通安全鑑識與犯罪研究中心),I-Long Lin for Cybercrime & Cyberpolice, C

24、PU, 2002,38,5.3 (資訊)網路犯罪之防範對策,網路犯罪之防範對策可從政策面、法律面、安全技術面、甚至利用網路的普及性及方便性之教育面上，透過道德倫理觀念（如網路倫理）的宣導，提昇網路使用者自我控制的能力（即網路自律）及避免犯罪，進而達到犯罪預防目標。,39, 資訊犯罪之防範對策一、政策面-1,法務部高檢署於86年9月成立電腦犯罪防治中心，其運作加快腳步，制訂出五大工作目標(86.09.26)，使其有效遏止電腦網路犯罪的蔓延及擴大。其五大工作目標如下： 1.研擬防治電腦犯罪及網路犯罪的政策。 2.溝通檢、警、調及各相關執行、研究機關的見解及作法。 3.加強執法人員在職訓練。 4.強

25、化國內外電腦犯罪及網路犯罪的研究，建立網路犯罪研究資料庫。 5.加強教育宣導，以建立適用電腦及網路社會的倫理及秩序，以減少網路犯罪的發生。 我國通資訊基礎建設安全機制(90年1月17日行政院院會通過)之犯罪偵防。 成立行政院國家資通安全會報(90年2月15日)之網路犯罪小組。 成立國家級資通安全鑑識科學研究中心,40, 資訊犯罪之防範對策一、政策面-2,美國聯邦政府1996年修訂頒佈聯邦自動化資訊資源之安全。 美國NIST亦據以於1998年訂頒資訊科技系統安全計畫指南。 英國政府訂定之資訊安全管理規範-BS7799亦廣為各國參考使用。 國際電腦稽核協會在1996年訂定之資訊及相關技術控制目標（

26、COBIT)。 行政院研考會訂頒的資訊安全指導原則(1998)及成立行政院國家資通安全會報(2001)-推動ISO17799/BS7799。,41,行政院研考會研訂行政院及所屬各機關資訊安全管理要點(1998),逐步建立整體性的政府資訊安全管理機制(ISMS)： 資訊安全政策訂定。 資訊安全權責分工。 人員管理及資訊安全教育訓練。 電腦系統安全管理。 網路安全管理。 系統存取控制管理。 系統發展及維護安全管理。 資訊資產安全管理。 實體及環境安全管理。 業務永續運作計畫管理。,42,資訊安全管理安全模型 (ISMS-ISO17799/BS7799 part I),43,資訊犯罪之防範對策二、法

27、律面：,因應日新月異的電腦及網路等新科技型態的犯罪型態，立法院院會通過中華民國刑法修正草案(86.10.08完成修正案三讀) 。 其次更應加速制訂網路基本法、網路管理法和網路使用者管理辦法等法律，並配合網際網路迅速發展及複雜網路犯罪問題，以利我國NII計畫推展及提昇國家競爭力。 英國通過電子郵件檢查管理法(2000/08)。 我國電子簽章法90.10.31三讀通過。 教育部校園網路使用規範 (90年12月26日核定 ) 刑法修正案電腦網路犯罪專章(92.06),I-Long Lin for Cybercrime & Cyberpolice, CPU, 2002,44,5.3 (資訊)網路犯罪之

28、防範對策三、安全技術面,資訊安全技術所需探討的議題就不只是傳統的電腦安全而已，網路的安全技術反成為最迫切需討論研究的重點。要使網際網路的發展能繼續維持榮景，並對人類生活有幫助，就必需研究網路安全技術(防火牆技術,密碼技術及PKI/CA認證制度)與資訊安全管理系統(如BS7799, ISO17799)， ，讓人類在使用網路時，除了方便外，還要有免於恐懼的自由。 藉由探討網路相關安全問題及其所可能遭遇的威脅，針對網際網路上之資料安全、軟體安全、操作安全、環境安全、管理安全及安全稽核等六大方面，研訂安全的預防策略或研發安全偵測及防範軟體，強化網路資訊系統的安全性，從而建立完整網路資訊安全系統，提供安

29、全控管的能力。,I-Long Lin for Cybercrime & Cyberpolice, CPU, 2002,45,5.3 (資訊)網路犯罪之防範對策四、教育面,網路上的新新人類-駭客(Hacker)，往往只為了一時的好奇與試探，但卻不知自己的行為以為法所不容，在這種情形之下，政府機關必須負起全部的責任，及加強宣導網路之法律問題及電腦(網路)的安全問題，讓民眾有適法的空間及條件。透過家庭、學校教育，甚至設立加強社會控制的網站及遊戲，提昇自我控制的能力，以避免觸入法網。 另外法務部高檢署於86年9月成立電腦犯罪防治中心，其制訂出五大工作目標中，有關教育面工作者，即加強法制教育宣導，以建立

30、適用電腦及網路社會的倫理及秩序，並有效遏止電腦網路犯罪的蔓延及擴大，以減少犯罪的發生。 教育部於90年11月成立網路法律諮詢委員會,I-Long Lin for Cybercrime & Cyberpolice, CPU, 2002,46,陸、結論與建議6.1結論-1,網路犯罪為一新穎的犯罪型態，它是少數人利用電腦網路從事各種犯罪行為，而成為犯罪學上一個新的研究課題。 新興的網路犯罪學(Cyber-criminology)更已經成為犯罪學的新論點。這種電腦(網路)犯罪已經跳脫重電腦(網路) 而輕犯罪的舊有巢臼，慢慢轉向重犯罪而輕電腦(網路) 的境界。 最近由於國內資訊教育的普及與網際網路的發達，此類案件有逐漸蔓延的趨勢。從接二連三的網路色情、強暴、網路恐嚇、破壞、網路入侵(SQL Injection)、軍火教父、隱私權受侵害、毀謗、侵害著作權.等等網路犯罪的事件層出不窮，顯示台灣網路犯罪率明顯的提高，引起大眾對資通安全問題的重視。,47,陸、結論與建議6.1結論-2,任何一個網