导图社区 信息安全知识产权法法律法规网络犯罪知识思维导图
信息安全知识产权法法律法规网络犯罪,导图内容简洁、逻辑清晰、重点突出,尤其适用于需要考试的学生党/上班族哦,大家一起快乐的学起来吧
编辑于2023-02-26 13:40:44 广东信息安全知识产权法法律法规网络犯罪知识思维导图
计算机犯罪法律的关键
计机犯罪法律
有时称为网络法律(cyberlaw)
未授权的修改和破坏
泄露敏感信息以及使用恶意软件
犯罪类型
计算机辅助犯罪(computer-assisted crime)
使用计算机作为工具来帮助实施犯罪
针对计算机的犯罪(computer-targeted crime)
是指计算成为专门针对它们(及其所有者)进行攻击的受害者
计算机牵涉型攻击(computer is incidental)
计算机不一定是攻击者或被攻击者,只是攻击发生时碰巧涉及其中
计算机辅助犯罪示例
攻击金融系统,盗窃资金与敏感信息
通过攻击军事系统和情报材料
通过攻击竞争对手,从事工业间谍活动并收集机密的商业数据
通过攻击重要的国家基础设施系统来展开信息站
从事激进主义活动,即通过攻击政府或公司的系统或者修改它们的网络来抗议它们的行为
针对计算机犯罪示例
分布式拒绝服务攻击(DDos)
捕获密码或其他敏感数据
安装恶意软件造成破坏
安装rootit和嗅探器以达到恶意目的
实施缓冲区溢出攻击以控制一个系统
网络犯罪的复杂性
电子资产
数据、产品蓝图、社会安全号、医疗信息、信用卡号码、个人信息、商业秘密、局势部署及策略等
攻击的演变
脚本小子
后门
僵尸程序
上传rootkit工具等
木马等等
法律的类型
民法(民事准则)
是基于准则而非优先权的法律
民法体系主要关注成文法或书面法律
民法是世界上分布最广的法律体系,也是欧洲最常用的法律系统
在民法中,下级法院不被强制执行上级法院做出的判决
普通法
包括民法
民法处理针对个人或公司、造成伤害或损失的犯罪行为
也称侵权法
处罚结果是经济赔偿或社区服务,不是坐牢
刑法
在一个人违反政府法律时使用,为了保护公众
通常是坐牢
行政/管理法
主要处理用于监管表现和行为的规范标准
通常对公司及特定行业内的人员生效
习惯法
处理个人行为和行为模式
宗教法律体系
以该地区的宗教信仰为基础
混合法律体系
联合使用、累计或交互应用的两个或几个法律体系
常见的由民法和普通法组成
知识产权法
类别
工业产权
如发明(专利)、工业设计和商标
版权
涵盖了文学和艺术作品
商业秘密
商业秘密法保护某些类型不被未授权使用或公开
商业秘密是公司特有的资产,对其生存和盈利有很大作用
被声明是商业秘密的资源必须是机密的,并且应该以某些安全防范和行为进行保护
商业秘密还可以是一个新算法、一个程序的源代码、制作软糖的方法或开肉酱的成分
版权
版权法保护作者控制其原作品公开发行、翻印、展览和修改的权利
版权法通常用于保护作者的作品、艺术家的画作、程序员的源代码和音乐家创作的旋律和结构
计算机程序可以像文学作品一样由版权法进行保护,版权法保护源代码和目录代,目录代码可以是一个操作系统、应用程序或数据库
商标
用于保护一个单词、名称、符号、声音、形状、颜色、设备或这些项的组合
公司不能使用数字或常用词来注册商标
专利
是授予个人或公司的法律所有权,是他们能够拒绝其他人使用或复制专利所指的发明
与商标类似,国际专利也由WIPO(全球知识产权组织),除非相关国家协商同意接受WIPO,否则WIPO不会改变专利规则
专利是最强的知识产权保护形势
知识产权的内部保护
确保特定资源也可以由内部采取措施来保护机密的资源获得适当的标识及保护
必须告诉员工该资源的秘密或机密级别,并向员工解释关于该资源所期待的员工行为
适当关注 适当勤奋
软件盗版
指的是一个作者的智力或创造性工作被其他人使用或复制,但闻得到作者许可或对作者进行赔偿
软件许可
免费软件
是公众可以免费使用的软件,而且能够不受限制地使用、复制、研究、更改和更新分发
共享软件或试用版软件
供应商使用共享软件或试用版软件来推销他们的产品,免费试用版
商业软件
是一种以商业目的而销售或提供的软件
学术软件
是为学术目的而提供的成本较少的软件,它可以是开放源代码、免费软件或商业软件
软件许可形式
销售许可证
终端用户许可协议(End User Licensing Agreement,EULA)
软件保护协会(Software Protection Association,SPA)
由一些大公司构成
该协会致力于保护自己的软件开发,同时也帮助其他公司保证他们的软件获得适当的许可
美国联邦饭软件盗版(Federation Against Software Theft,FAST)
商业软件联盟,提供与SPA类似的功能,并努力保护全球的软件
隐私
法律、法令和法规
Sarbanes-Oxley法案(SOX)
该法案使用在美国上市的任何公司,其中许多法律被用于监管会计行为以及公司上报财务状况所使用的办法
某些部分(特别是404条款)直接适用于信息技术
对公司如何追踪、福安里和报告财务信息提出了专门要求,这包括保护财务数据并保证它的完整性与真实性
采用适当的流程和控制来保护数据
健康保险便利及责任法案(HIPAA)
是一个联邦法规,它已经实施并未个人医疗信息和保健数据的存数、使用及传输提供了国家标准及措施
该法规提供了一个框架和指导原则,以便在处理机密医疗信息时确保数据的安全、完整和隐私
概述了应当如何对任何创造、访问、共享或破坏医疗信息的设施in行安全管理
Gramm-Leach-Bliley 法案 1999
该法案(Gramm-Leach-Bliley Act of 1999,GLBA)
也称为金融法案,它要求金融机构开发隐私通告,并允许其客户选择禁止银行与非成员第三方共享他们的信息
该法案规定董事会负责金融机构内所有的安全事件,并指出必须实现风险管理,需要对全体员工就信息安全问题进行培训
所实施的安全措施必须经过安全测试,
它还要求制订书面形式的安全策略
计算机欺诈与滥用法案
Computer Fraud and Abuse Act)
联邦隐私法案(1974)
Subtopic
Basel II
国际结算银行(The Bank for Intermational Settlements)
设计出了一种方法来防止银行因过度扩张而导致破产
Basel II采用更加准确的方法来确定每个金融机构的实际风险漏洞并考虑缓解风险,从而促使成员机构关注和投资于安全措施
信息安全是Basel II不可或缺的部分,寻求减少他们必须持有的资本数量的成员机构,必须经常评估它们的风险漏洞,同通过执行安全控制和缓解策略来保护它们的数据
3个组成部分
最小资本要求(Minimum Capital Requirements)对风险进行测评,并详细说明确定最小资本的计算过程
监管(Supervision)
为监督和审查提供一个框架,以继续分析风险,完善安全措施
市场约束(Market Discipline)
要求成员机构披露他们的风险漏洞并确认适当的市场成本
支付卡行业数据安全标准(PCI DSS)
持卡人信息安全保护(Cardholder Information Security Protection,CISP)
Subtopic
Payment Card Industry Date Security Standard,PCI DSS
适用于任何处理、传输、存储或接受信用卡数据的组织机构
PCI数据安全标准由12个要求组成
使用和维护一个防火墙
将系统密码和其他安全参数重置为供应商提供的默认值
保护持卡人数据的安全
在持有卡数据通过公共网络传输时对其进行加密
使用和更新防病毒软件
开发系统和应用程序时必须牢记安全
必须通过业务的“知其所需“来限制对持卡人数据的访问
使用就算几访问的每个人都必须被指派一个唯一的ID
对持卡人数据的物理控制访问应当受到限制
必须追踪与监视对网络资源和持卡人数据的所有访问
必须定期测试安全系统和措施
必须维持一个保护地址信息安全的策略
分为6大类
构建和维护一个安全网络
保护持卡人数据
维持一个脆弱性管理计划
实施严格的访问控制措施
定期健康和测试网络
维持一个信息安全策略
PCI DSS是一个由私有行业发起的计划,不是一部法律
计算机安全法案(1987)
该法案要求美国联邦机构标识出可能含有面干信息的计算机系统
机构必须针对每个系统开发一个安全策略和计划,并对将操作、管理或使用这些系统的人员进行阶段性的培训
联邦机构的员工必须经过安全意识培训,并了解该机构如何定义可接受的计算机和使用和实践
该法案希望确保联邦政府机构内部的所有人员和系统都满足一定水平的认知和保护
经济间谍法案(1996)
提供了处理间谍案例的必要框架,并进一步定义商业秘密涉及技术、业务、工程、科学或金融方面
员工隐私问题
对键盘、电子邮件进行监视监控,要确保员工知道这些类型的监控可能会发生
监控必须与工作相关
监控还要以一致的方式,监控全体员工
隐私保护回顾
政府法规
SOX、HIPAA、GLBA、BASEL
自我约束
支付卡行业(PCI)
个体用户
密码、加密、意识
员工要签署”隐含的合法期待“(Reasonable Expectation Of Privacy,REP)的弃权文件
义务及其结果
概念
适当关注
是指公司应该做的、试图阻止安全违规的努力,同时公司采用合理的步骤来确保在发生安全违规时通过适当的控制或策略减轻锁遭受的破坏
适当关注意味着公司执行的常规谨慎管理及责任的行为
适当勤奋
是指公司对所有可能的缺陷和脆弱性都进行了适当的调查
高级管理人员
有义务保护公司免受可能会对公司造成负面影响的活动损害,包括保护公司不受恶意代码、自然灾害、隐私侵犯、触犯法律等伤害
职责
指某一方的义务和预期的活动及行为
义务
可以有一套规定好的明确的动作,或是更广泛、更开放的途径,从而使该方能决定它该如何实现这些义务
可问责性
是一方对某些动作或非动作负责的能力
个人信息
医疗等信息
黑客入侵
适当关注
保护措施,安全机制
调查
事故响应
事故响应策略应当清楚且简介
事故响应小组
可联系或汇报的外部机构及资源列表
概述角色和责任
联系这些角色和外部组织机构的呼叫树
可联系的计算机或取证专家名单
如何保护及保护保存证据的步骤
提交给管理层甚至法庭的报告中应包含的条款列表
说明在这种情况下如何处理不同的系统(如,将其从Internet和网络上断开或断电
首先事故响应团队应对报告进行调查,并判定确实发生了犯罪,然后立刻告知管理层
事故响应策略需要规员工应如何与外部实体(如媒体、政府和执法部门(进行沟通,
这种特殊沟通是一个受司法职权范围、犯罪的状态和类型以及证据类型影响的复杂问题
计算机紧急响应团队(computer emergency response team)CERT
负责监控,并对用户及公司提出关于安全准备和安全违规的建议
事故响应措施
分类
确定事故类别
调查
调查事故严重程度,并设定如何处理事故的优先级别
遏制
缓解破环程度
适当的遏制战略为事故响应团队郑去了对事故根本原因进行正确调查和判定的实际
遏制战略应当基于攻击的类别(攻击来自内部还是外部)
受事故影响的资产以及这些资产的关键程度
分析
充分了解受事故影响的系统、系统和应用程序的脆弱性以及网络和系统的配置
追踪
追踪可能与分析和检查并行进行,
恢复
进行必要的修复工作,以确保此类事故不会再发生
包括
阻止某些端口
禁用易受攻击的服务或功能
切花到另一份处理措施
应用一个补丁等
也称遵循恢复措施
必须首先确保系统能够经受另一次攻击
在黑客群体内,很容易就会得知存在在线的脆弱系统
经过培训的信息安全人员应当测试系统的脆弱性,以提供信息爆炸
模拟现实攻击的脆弱性测试攻击能帮恢复团队针对各种攻击来强化系统
如何向新闻界、客户和股东解释所发生的事故
可能需要公安部门、管理层、人力资源部门(如果员工参与进来)、IT部门和法律部门
计算机取证和适当的证据收集
取证
是一门科学及艺术
取证人员必须掌握与防醉行为所涉及的电子数据的恢复、身份验证和分析相关的专业技能
它融合了计算机科学、信息技术、工程与法律
计算机取证包含
计算机使用的重建
剩余数据的检查
通过技术分析或解释数据技术特性表而对数据进行的身份验证
为了是证据在法庭上可被接受而必须遵循的计算机使用
取证专门工具
证据收集笔记薄
应当不能是螺旋形装订的,必须是捆绑型的,这样人们可以看出是否存在被取走的页码
容器
照相机
证据标识标记
国际计算机证据组织
Intermational Organization on Computer Evidence,IOCE)
目的是制定收集和处理数字证据的国际原则,从而使各国的法庭都通用认可和使用这些证据
数字证据科学工作组(Scientific Working Group on Digital Evidence,SWDGE)
确保取证团队之间的一致性
IOCE和SWDGE为计算机型证据的标准化恢复制定原则受属性支配
所有法律体系的一致性
允许使用通用语言
持久性
跨越国际边境使用的能力
为证据的完整性建立信心的能力
适用于所有取证证据
使用于每一个级别、包括个人、机构和国家
ICOE/SWDGE原则
处理数字证据时,必须应用所有通用取证和过程化原则
在查封数字证据时,采取的行动不得改变这些证据
如果一个人需要访问原始的数字证据,那么这个人必须经过专门培训
所有与数字证据查封、访问、存储或传输有关的活动必须完全记录在案,加以保护并可进行审查
如果阻止机构拥有数字证据,那么应由专人负责所有关于数字证据的动作
任何负责查封、访问、存储或传输数字证据的机构都应遵守上述原则
动机、机会和方式
Motive、Opportunity、And Means,MOM)
理解犯罪动机是判断谁会采取这种行为的重要部分
机会是犯罪中的”何时“与”何地“
机会常常在特定的脆弱性出现时发生
方式关系到罪犯需要获得成功的能力
计算机犯罪行为
惯用手法(Modus Operandi,MO)
使用罪犯的MO 与签名行为也可以引导控制心里犯罪情急分析(定型),
定形提供了对攻击者思考过程的洞察,并且可以用于标识攻击者,或者至少标识攻击者用于实施犯罪的工具
事故调查员
能够标识可疑活动,如端口扫描、SQL注入尝试或者隐藏在描述锁发生危险活动的日志中的证据
Subtopic
理解取证措施和证据收集问题,制定如何分析某种情况以决定采取何种行为,并且能够从系统日志中找出线索
各种评估
网络分析
通信分析
日志分析
路径追踪
介质分析
磁盘镜像
MAC事件分析(修改、访问、创建)
内容分析
松弛空间分析
隐藏秘密信息
软件分析
逆向工程
恶意代码审查
漏洞审查
取证调查过程
步骤
标识
保存
收集
检查
分析
呈现
决定
取证调查过程
包括了刑事学的原则,这些原则是:
犯罪现场的标识
防治环境受到污染以及证据丢失
证据和潜在证据源的标识以及证据的收集
就最小污染程度而已,不能改变犯罪现场(无论是物理的还是数字的)是非常重要的
关键在于,是改变最小化,并且记录进行的而处理、原因以及犯罪现场受到怎样的影响
磁记忆介质,位置
注册表和缓存
进程表和ARP缓存
系统内存中的内容
临时文件系统
磁盘上的数据
数字证据可以存在于出计算机系统以外的许多设备中。PDA、手机、USB设备、笔记本电脑、GPS设备和存储卡
大多数情况下,调查员的笔记本不能用作法庭证据,调查员只能使用它在行动过程中刷新记忆
取证现场工具箱
文档工具
标记、标签和有时间的表单
拆卸工具
防静电袋子、老虎钳、镊子、螺丝刀、钢丝钳等
包装和运输设备
防静电包、证据包和磁带、捆绑带等
证据的保管链
保管链应当密切注意证据的完整性生命周期,从标识开始,到销毁、永久归档或返回所有者为止
要复制证据是,必须满足某些标准,以确保质量和可靠性
使用专门的软件、副本必须能独立验证,并且必须防篡改
每件证据都必须以某种形式标记出来
日期、时间、收集者缩写签名以及相关的案件编号(如果分配有相关编号的话)
磁盘表面不得标记
证据应封于容器内,容器应标记上同样的内容
应当使用证据带密封容器,如果可能的话,应在带子上写字,这样破坏密封的行为就可以被发现
证据保管链规定,所有的证据都必须贴上信息标签,指出由谁对其进行保护及确证
电线和线缆应贴上标签,并在其真正被拆卸之前拍好照片,介质应进行写保护,存储是密钥灰尘,在室温下进行保护,不太潮湿,当天要避免接触强磁场
应尽可能的拍摄犯罪现场,如果涉及物理闯入,那么还应该拍摄计算机背面。对文档、文件以及设备进行处理时都应使用布手套,并将其放入容器内密封。所有存储介质应当包含在内,因为数据即使已被擦除,但还是可能获得
数据链
是一个历史记录,它展示如何收集、分析、传输以及保存证据,从而可呈现在法庭上
由于电子证据很容易被修改,因此清晰定义的保管链能证明这种证据可信任的
分析
确定证据的特征如可作为主证据或间接证据被接受每一集证据的来源、可靠性与持久
比较来自不同来源的证据,以确定事件的时间顺序
事件重建,包括被删除文件的恢复和系统上的其他活动
由于硬件只读锁和取证软件的参与,所以这些工作可以在一个受控的实验环境中进行
对分析的解释应当呈献给适当的人
如,法官、律师或董事会
绝密或公司机密的调查结果应当只呈现给授权方
可能是法律部门或任何帮助调查的外部法律顾问
法庭上的可接受证据
证据的生命周期
收集和标识
存储、保管和运输
法庭出示
讲证据返还给受害者或所有者
证据
最佳证据
是法庭使用的基本证据,提供最大的可靠性
口头证据不被视为最佳证据,因为没有第一手证明材料科证明其有效性,所以不具备与法律文件一样的地位
口头证据不得用来辩驳法律文件,但可用来解释文件
辅助证据
辅助证据在证明无辜或有罪时并不那么可靠和强大,口头证据(如证人陈词及原始文件的复印件)数据辅助证据的范畴
直接证据
直接证据本身就能证明一些事实,而不必参考备份信息
在使用直接证据时,并不需要假定
直接证据的一个示例为某人证人的陈词,该证人目睹了犯罪的发生
尽管该口头证据本质上可能数据辅助证据,也就是说案件不能仅有其决定:它同样是直接证据,意味着律师不必提供其他证据支持它
直接证据常常是基于证人5种感官收集的信息
决定性证据
决定性证据是不能驳倒的,并且不得被抵触,决定性证据本身非常强大,无须进行进一步的证实
间接证据
是支持性证据,用来帮助提供一个想法或观点
它本身并不成立,但可作为一个补充工具来帮助证明证据的基本部分
观点证据
当一个证人作证时,观点规则要求他必须仅对事实作证,而不是加入自己的观点
这与使用专家正人有一点区别,因为专家正人主要使用他自己的教育观点
传闻证据
是指法庭上陈述的口头或书面证据,它们使二手的,并没有关于其正确性和可靠性的第一手证明
证据被法庭接受的基础
收集和维护证据的措施
如何避免错误的证据
确定管理员和技能
合理解释
为什么采取某些行动
为什么避开某些措施
证据必须呈现全部真想,所有证据(甚至辩护证据)都必须提交
要使证据充分可信,必须有充分的说服力来使一个讲道理的人相信调查的真实性
要使证据可靠或准确,必须与事实一直
监控、搜索和查封
监视
物理监视
采用了尅捕获证据的安全照相机、保安和闭路电视(CCTV)
也可以被秘密机构用于连接嫌疑人的消费情况、家庭和朋友 和个人习惯
计算机监视
计算机监视与审计事件有关,它通过使用网络嗅探器、键盘监控器、窃听器和有线监控设备来被动地监控事件
搜索和查封
搜查许可证授权
执法机构可能查封不在许可范围内的证据
访谈和审讯
审讯的目的是获得用于审判的证据,所以讨论和文化的主体应事先准备好,并以系统和冷静的方式提出
作为审讯员的员工应该比受到怀疑的员工地位更高
应该在一个秘密的地方进行,嫌疑人应相对舒适轻松
几种不同类型的攻击
salami攻击
攻击者实施几个小型犯罪,希望他们结合起来的较大范围不会引起人们的注意
数据欺骗
对现有数据的更改
通过使用访问和账户控制、监管、债权人、审计、责任分离和授权限制进行防范
过度授权
一个用户拥有比往常任务所需的更大计算机权利,许可和授权
密码嗅探
嗅探网络通信,希望能够捕捉到计算机之间发送的密码
IP欺骗
手动修改IP数据包,使其指向另一个地址
垃圾搜寻
翻看其他人的垃圾箱,以寻找丢弃的文件、信息和其他可用来对该人或该公司不利的珍贵的物品
合法,但不道德
工业间谍,信用卡盗窃等
发射捕获
利用特定的工具捕获电子设备发射的电波,转到自己的计算机系统中,
并且必须靠近正在发射这些波的建筑物
屏蔽,特殊建筑材料,或无线网络安全技术
搭线窃听
窃听工具
无线扫描器、无线电接收器、麦克风接收器、录音器、网络嗅探器和电话窃听设备
道德
计算机道德协会(Computer Ethics Institute)
是一个非营利组织,以道德形式推进技术发展
Internet体系机构研究委员会
Internet Architecture Board,IAB)
是用于Internet设计、工程和管理的协调委员会
它负对Internet工程任务组(Internet Engineering Task Force,IETF)的活动
Internet标准流程(Internt Standards Process)的监督和上诉
注释请求(Request for Comment,RFC)的编程进行体系结构监督
企业道德计划
美国联邦组织机构判罚指导原则(FSGO)
为道德要求建立了一个大纲