進入內容區塊

澎湖縣政府警察局馬公分局

logo底圖
上一張 下一張 圖片載入中
少年警察隊 (另開視窗)

網路犯罪預防

分隔線
中央內容區塊

防護技術  犯罪類型  教學相長  左鄰右舍  網路法律  檢舉犯罪

一、防護技術
 
關於防火牆
 
近年來網際網路的風行,為企業帶來許多的便利與新的商機,愈來愈多的企業連上網際網路,應用也從早期的網站瀏覽到最近的線上報稅;將來企業網路與網際網路的整合已成趨勢也被大家習以為常地接受。但同時也帶給企業資訊安全新的挑戰。企業不僅需要擔心網路遭到入侵,也必須防止資訊外洩(如:客戶資料、研發資料等),電腦資源被破壞而停止運作,愈來愈多的應用系統將在這個網路上被執行,然而安全的問題是急待克服的難題。防火牆的設計是網際網路安全性考量的第一層把門關,有人說連上防火牆不見的就安全,其原因是很多人以為裝上防火牆就達到了安全的標準,其實防火牆只是一個網路安全的控管系統,重要的是企業有無一套安全的網路架構規劃以及控管機置存在。防火牆必須基於這樣的安全規劃下去執行其任務,方能保障企業網路的安全。
 
防火牆基本觀念
 
森林大火時,消防人員會趕快劈出一道防火牆,以阻絕火場避免蔓延,並將火勢控制在一定區域。沒錯,網路上的防火牆的概念也是一樣。Firewall最粗淺的概念,就是在Internet與組織的LAN之間設一Choke Point,以管制進出組織資料及組織內機器的安全。一般防火牆的做法都是在主機上插兩片或兩片以上的網路卡,其中一片連接可公開網路,另一片則是連接到被保護網路,而防火牆則是管理流經這兩片卡的資料封包。現在技術演進,已有新式防火牆的出現… 
 
防火牆之主要目的在於提供企業連結網際網路時之安全防護,阻止有心人士由外部網路入侵。但我們不能將防火牆視為網路資訊安全的萬靈丹,防火牆並沒有辦法防護企業內部網路的後門所造成的攻擊,也無法防禦來自內部的攻擊。但它卻具有以下的功能:
 
1、它必須能夠防止所有保全策略所禁止之資料存取,避免將主機重要資訊洩漏於網際網路上。
2、可記錄及統計網際網路的使用狀況,包括可疑的資料存取。
3、監視網路上不正常的使用,當有入侵行為發生時,它必須能夠對系統管理者提出警告。 
 
一般而言,系統的安全等級大都以USA國防部提出的Orange Book分為A1、B1、B2、B3、C1、C2、D為一評估標準。一般Firewall大都介於Class B與Class C之間。其中Class B是以系統強制控制安全機制,並結合可信賴作業系統,做到正規化的防護。Class C是人為控制的方式,可能因人為疏忽,導致某種漏洞。
 
目前市面上的防火牆功能日趨多樣化,單價也日益降低,該如何因應才能跳出選擇防火牆的迷思呢?專家建議可以兩道不同的防火牆來建構Internet安全防護,以提供更高等級的安全防護效果。兩道防火牆最好使用不同作業系統、不同硬體設備且不同廠牌的防火牆,以避免遇到具有相同的漏洞而同時被破解的情況。兩個防火牆的作業系統應符合C2以上的安全等級,並進行協同管制。第一道防火牆應符合下列的特性: 
 
1、最好是PC Server等級的產品:軟、硬體的價格較低廉。
2、最好採用封包過濾型(Packet Filtering)的防火牆軟體,其網路效能較佳。 
3、防火牆軟體應具有圖形(GUI)管理介面,較易於管理。
4、必須有完整的記錄能力(Logging),以便於管理及稽核。
5、必須有防止IP假冒攻擊的能力(IP Spoofing)。 
 
而第二道防火牆則應具備下列特性:
 
1、最好是工作站等級的產品,具有較高的穩定性。
2、最好採用應用系統閘道型(Application Gateway)的防火牆軟體,因其安全性較高。 
3、防火牆軟體應具有圖形(GUI)管理介面,減少管理上的負擔。 
4、必須有完整的記錄能力(Logging),以便於管理及稽核。 
5、必須提供足夠的代理程式(Proxy),才不會造成服務無法使用。 
6、最好具有出入管制規則模擬測試工具,以測試出入管制規則是否設定正確。 
 
不過,要維護網路的安全,並不是光靠單一的防火牆產品就可萬無一失。雖然目前的防火牆技術已非常純熟,駭客要入侵也不是一件容易的事,但若改從作業系統的漏洞下手,卻是輕而易舉的事。於是有人開始擔心防火牆會不會失效…  
 
防火牆根據其功能性,大致可區分為--Internet防火牆與Intranet防火牆。Internet防火牆位於Intranet與Internet之間,目的為防止Internet上惡意使用者的侵入及破壞,也可以防止內部使用者不當地使用外界的Internet資源,而且可以提供完整的稽核記錄供評估,並對安全事件主動示警。而Intranet防火牆則是位於公司內各部門之間,目的為防止部門間之非法侵入及破壞,也可以防止內部使用者不當地使用公司之Intranet資源,同時也可以提供完整的稽核記錄供評估,並對安全事件主動示警。
 
然而,防火牆只是資訊安全的一環而已,整體的資訊安全還必須注意到資料存取、防毒、稽核、資料交換、主機安全、加密、實體安全等課題,才能使企業得到完整的安全保障。我們知道,當連上網際網路,便成為地球村的一員,希望國內的企業及政府單位能提高安全意識,利用適當的安全防護工具,如此不但可運用網際網路的便利來提高競爭力,而又能避免成為”駭客族”的試驗所。
 
關於電腦病毒
 
電腦高手偶爾秀一下病毒絕技,常令全世界電腦族聞「毒」色變。幾年前台灣大同工學院的陳同學才創造出一場CIH的旋風,引起不小的震憾!!事實上,在資訊化的社會,不論是個人、企業或政府機關均高度依賴電腦化作業,電腦使用者平時最提心吊膽的一件事,莫過於電腦遭受病毒入侵感染… 
 
電腦病毒一般是指其程式設計具有自我重製或自我繁殖的能力,依其種類的不同,區分為啟動區寄生型病毒或檔案寄生型病毒,經由檔案系統的讀寫動作在使用者利用磁片或硬碟執行程式時,將電腦病毒程式重製於未受感染的資料檔案或程式中。因此,要防止電腦中毒,除非是該台電腦完全不和其它電腦有磁片或檔案的交換,否則就無法保證不中毒了,但事實上,誰都無法作如此的保證。因此,該如何針對個人電腦用戶、電腦中心及整個網路環境作正確的防毒規劃,將中毒機率減至最低,就變得非常重要了!
 
一、電腦個人用戶 
 
不要隨便用盜版軟體,是好的開始!其次,儘量用硬碟開機,如無硬碟,則開機磁片要記得貼上防寫貼紙;另外,要裝置真正有效的防毒軟體,以達到預防重於治療的目的。此外,如遇有外來檔案時,要先用防毒軟體所附之掃毒程式檢查過,才可放入硬碟內;最後,要養成每日備份資料及重要資料磁片貼上防寫貼紙的好習慣。
 
二、電腦中心
 
首先,要絕對嚴禁用外來磁片開機,所有開機磁片一律由電腦中心提供;其次,電腦中心至少要備有一套防毒軟體,並每天以防毒軟體對各台電腦進行一次檢查,而且,任何外來磁片及檔案都必需經中心主任以防毒軟體檢查無毒後,才可攜入;此外,電腦硬碟內之資料必需每天作備份,且電腦中心也必需採購各種原版軟體。 
 
三、網路工作環境
 
規劃網路防毒時,首要條件是要先了解網路的特性,是集中式的網路環境(Server Base),或是點對點式的網路環境(Peer to Peer),再者,是了解網路工作站的使用情形和開機方式,最後,再選擇有效的防毒免疫系統。
 
事實上現在的防毒軟體大多已經能夠做到即時監控網路流通的資料。因此各位只要做好防毒準備,就不必擔心Internet會把毒帶進您的電腦中。
 
若是還是不幸的中了病毒,也不須太緊張,只要依據正確的解毒程序,還是可以避免傷害的造成…
 
二、犯罪類型
 
色情網站
 
目前色情網站大部分是在WWW上,亦即建立網頁,在網頁上提供各種色情的資訊,而建好的網頁則透過向各搜尋引擎登記或在電子佈告欄上打廣告,這些色情網站的內容包括:
 
(一)張貼猥褻圖片:即在網路上設置網站或在網路上如貼圖網站或新聞討論群上張貼猥褻圖畫。若是以未滿十八歲之人為姦淫或猥褻行為對象,所拍攝或製造之圖畫、錄影帶、影片、光碟、電子訊號或其他物品,而散布、販賣、公然陳列或以他法供人觀賞前述猥褻物品的人,則依兒童及少年性交易防制條例第二十七條與第二十八條的規定將被處三年以下有期徒刑,得併科新台幣五百萬元以下罰金。
 
(二)販賣色情光碟、錄影帶:在網路上設置網站販賣色情光碟片或錄影帶,或在電子佈告欄或新聞討論群組上廣告公佈目錄及交易方式,以繳交會費方式連續多次傳送男女裸露、交媾等猥褻圖片;並以電子郵件與客戶進行色情光碟的交易。
 
(三)貼圖網站:設置貼圖網站供不特定第三人張貼色情、猥褻圖畫,在網站上提供連結至其他色情網站,賺取廣告費。這類貼圖網站站長的行為可能觸犯刑法第二百三十五條及兒童及少年性交易防制條例第二十八條罪或其幫助犯之罪。
 
(四)提供超連結色情網站:即目前網路上一些網站專門搜集國內外色情網站,又加以整理分類再提供超連結予網路上不特定人士上網連結至相關色情網站首頁,觀賞猥褻圖畫。目前這類提供超連結色情網站已有數起經法院判決確定有罪的案例。
 
(五)散布性交易訊息:在網路上提供、散布買春訊息,提供不特定第三人進行性交易或從事買春等行為,可能觸犯兒童及少年性交易防制條例第三十條以網路散布性交易訊息處五年以下有期徒刑。
 
網路交易
 

(一)販賣盜版光碟:網路上販賣俗稱泡麵或大補帖的盜版光碟,盜版光碟內容可能為作業系統、程式、圖型、MP3、電影VCD或音樂CD等等,其行為除觸犯著作權法外,若所販賣的光碟片有色情光碟片則可能觸犯刑法妨害風化罪,再如色情光碟片中有未滿十八歲之人則更可能會違反兒童及少年性交易防制條例第二十七條及第二十八條之規定。
 
(二)販賣違禁、管制物品:在網路上販賣違禁物、偽禁藥、合法管制藥品或管制物品,如槍、毒、FM2等,皆可能觸犯相關法令。凡是未經許可販賣、運輸或吸食皆可能觸犯毒品防制條例。
 
(三)贓物:在網路上以低價出售所竊的贓物,二手貨看板或網站到處可見各種待售的物品,其中隱藏為數不少贓物。不論是買者或是賣者皆可能觸犯刑法的贓物罪
 
網路詐欺
 
在網路上常見的詐欺行為可分為:
 
(一)虛設行號:網路上常見此類行為是在網路上販賣低價的行動電話手機,吸引消費者購買進而誘騙上當,而消費者依詐騙者指示將錢匯入對方帳戶後卻不見自己所購買的商品;或是收到不勘使用的貨品。如要再聯絡對方,通常是詐騙者已將手機換了號碼所以電話沒人接聽或既使有人接但接聽者推三阻四拒不出面或以其他理由搪塞。這種虛設行號之詐騙行為係觸犯刑法第三百三十九條之三之罪。
 
(二)偽卡刷卡:使用偽造信用卡在網路上刷卡消費,一般店家僅注意該筆交易是否獲得授權,如獲得授權即予出貨,最後卻發現是以偽卡騙取授權。因為目前各界都在推廣網路上使用信用卡消費,而網路上使用信用卡消費僅檢查信用卡號碼及到期日,勿需持卡人簽名。未經他人同意使用他人的信用卡號或使用偽卡號碼,上網消費、購物的行為係觸犯刑法第三百三十九條之三的罪。 
 
(三)網路老鼠會:這種又稱幸運信的網路老鼠會是自國外傳入,近年在國內也造成風潮,這些信件在國內各大電子佈告欄及新聞討論群流傳,其信件的內容一般列有五位人士姓名及地址,信中會指示收到該信的網友寄給名單上五位網友各一百元,再將列於第一位者之姓名自名單中除去,將第二位以下者皆往上遞補一順位,最後將自己姓名置於第五位,以此類推。信中並告訴網友當自己的姓名遞補至第一位時將可獲約七千萬元。發這種信件發展網路老鼠會的行為可能觸犯刑法第三百三十九條詐欺罪。
 
其它類型
 
(一)妨害名譽:網路上發表不實言論,辱罵他人等行為,侵犯他人權益,妨害他人名譽,可能觸犯刑法妨害名譽罪。這種行為以在網路上假冒他人名義徵求性伴侶、一夜情人及公布他人電話號碼的案例最多。上網冒用他人名義張貼信件,可能觸犯刑法偽造文書罪,而散佈不實流言妨害他人名譽可能觸犯刑法妨害名譽罪。 
 
(二)入侵他人網站:目前刑法對於嘗試入侵他人網站並未有明文處罰之規定,至於入侵他人網站後以指令、程式或其他工具開啟經過加密的檔案,可能構成刑法第三百十五條第一項後段之罪,即無故以開拆以外之方法,窺視其內容。但其構成之要件是該被開啟經過加密處理的電腦檔案或電磁紀錄應為第三百十五條第一項前段所稱之「封緘文書」。惟若入侵者在入侵網站後並未以指令、程式或其他工具開啟經過加密的檔案或所開啟之檔案並未加密處理,此種入侵行為目前並無明文處罰之規定。然入侵後如果竊取他人檔案或是電子郵件是否能依刑法第三百二十條竊盜罪處罰,亦有爭論。惟如果將入侵取得的檔案內容,洩露於他人則可能觸犯新訂的刑法第三百十八條之一洩漏因利用電腦設備等而知悉或持有他人祕密之罪。而如果入侵後將一些檔案毀損致使被入侵的系統無法正常運作,甚至無法使用,則可能觸犯刑法第三百五十二條之毀損文書罪,如再盜用所竊得的撥接帳號,未經他人同意撥接上網,致所有上網費用為被盜用者所支付,則可能再觸犯刑法第三百三十九條之三以不法方法將虛偽資料等輸入電腦等而不法取得利益罪。
 
(三)電腦病毒:在網路上散佈電腦病毒,有些病毒具攻擊性或破壞性,有些則無,如所散布的電腦病毒致使他人的電腦當機、檔案毀損或硬碟格式化等情形,散佈電腦病毒者可能觸犯刑法第三百五十二條干擾他人電磁紀錄之處理,足以生損害於公眾或他人的毀損文書或干擾他人電磁紀錄罪。 
 
(四)網路賭博:在我國賭博是禁止的,因此在網路上開設賭博網站供不特定第三人賭博財物亦為犯法的,同為觸犯刑法的賭博罪。再者,很多國家是允許賭博行為或開設賭場,因此有些人認為祇要將賭博網站設在國外,該國不禁止賭博就不觸犯賭博罪。事實並非如此,祇要犯罪的行為或結果有一在我國領域內,我國仍有司法管轄權。 
 
(五)個人資料:最常見的是在網路上販賣個人資料含高收入戶名單,高級車所有人名單等,而欲搜集或利用這些個人資料,事先需向主管機關提出申請,取得核准後方能合法搜集或利用個人資料,否則即觸犯電腦處理個人資料保護法的規定。販賣這些資料觸犯電腦處理個人資料保護法第十八、九條及三十三條之規定。
 
三、教學相長
 
關於駭客
 
若想成為一個駭客,首先你要"多讀書"…當然,光是這樣是不夠的囉!!常常有人在網路上詢問說,要如何才能成為一個駭客?然而,如果你想知道如何才能成為一位 hacker,有兩件事是很有關連的…
 
這可以追溯到十年前第一台 mincomputer 剛誕生,ARPAnet實驗也剛展開的時代。那時有一個由程式設計專家和網路名人所組成的,具有分享特質的文化族群。這種文化裏的成員創造了 `hacker' 這個名詞。這些 Hacker 建立了 Internet,創造出我們現在使用的 UNIX 作業系統,他們也使 Usenet 運作起來,並且讓 World Wide Web 動起來。如果你是這個文化的一部分,如果你對這些種種有所供獻,而且這個文化裏的其它成員也認識你,並稱你為 hacker,那麼你就是一位 hacker。
 
在精神上,hacker 並不單指(限制於)這種軟體 hacker 的文化。有人也把 hacker 的特質發揮在其它領域,例如:電子或者音樂方面。事實上你會發現。在任何一種科學或藝術的最高境界裏,你都可以發現 hacker的特質。軟體 hacker們認為,那些類似的精神也都可以稱為 "hacker"。有些人還主張 hacker的通性是獨立於任何媒介之上的,不特別屬於任何一種 hacker 所在的環境。但是,在這份我們將把重點放在軟體 hacker們所需的技能、態度和發明 `hacker' 這個詞的分享文化的傳統。
 
在精神上,hacker 並不單指(限制於)這種軟體 hacker 的文化。有人也把 hacker 的特質發揮在其它領域,例如:電子或者音樂方面。事實上你會發現。在任何一種科學或藝術的最高境界裏,你都可以發現 hacker的特質。軟體 hacker們認為,那些類似的精神也都可以稱為 "hacker"。有些人還主張 hacker的通性是獨立於任何媒介之上的,不特別屬於任何一種 hacker 所在的環境。但是,在這份我們將把重點放在軟體 hacker們所需的技能、態度和發明 `hacker' 這個詞的分享文化的傳統。
 
Hacker們解決了問題並創造新東西,他們相信自由並自願的互相幫助。想要被別人接受成為一位 hacker, 你必須發自內心的表現出這種態度。為了要很自發的表現出這種態度,你就必須先完全認同這些態度。如果你只是把學習 hacker 態度這件事當作一種能在這個文化裏贏得認同的途徑,那麼你己經乎略了真正的重點。由衷的接受這些態度是很這要的,這能幫助你學習並維持你的動機。就像那些具創造性的藝術一樣,成為一位大師的最有效方法是學習大師們的精神;並不只是學習知識和情緒而己。 
 
* 台灣的haker族群,目前大都分布在大學與研究所。一方面大學是學術研究重鎮,二來學術網路連線快速,網路資源也較多。不過在台灣的hacker們,以獨立運作的個體居多,像國外成群結黨的現象較為少見。較知名的有HIT(Hacker In Taiwan)與NTHU(National Taiwan Hacker University)兩個組織。不過關於這些組織的資料多半不易取得,原因是hacker大多不會承認自己就是hacker。
 
hacker 的精神態度是很重要的,但技術則更是重要。hacker 的態度雖然是無可取代。但在別人像做夢般的開始叫你 hacker 之前有些基本的工具和技術是必備的… 
 
成為一位 hacker,你不需要成為令人討厭的人(Nerd),反於社會常態。然而,這對你而言卻是非常有幫助的,而且有很多 hacker 也是讓人討厭的人。當一個社會的浪人有益於讓你專心在真正重要的事情上面,例如:思考和 hacking。因此,有很多 hacker 們接受了 `nerd' 這個符號,甚至是使用 `geek' 這個字眼, 並引以為傲 -- 這是一種說明他們獨主於世俗習慣之外的方法。
 
再一次的強調,要成為 hacker 就要了解 hacker 的精神。如果你並不玩電腦,那麼還是有一些事情可以幫助你,這些不能成為 hacker 的代替品,不過有不少的 hacker 經常做這些事,並認為這些事和 hacking 的本質有某種基本的關連。
 
* 閱讀科學小說,並參加小說的聚會(這是一個遇到 hacker 和原始 hacker們的好方法) 
* 增加對於俏皮話和文字遊戲的認識 
* 加強你的母語寫作能力。(有很驚人數量的 hacker,都是不錯的作家。) 
你做越多這些事,那麼你就越像一位逼真的 hacker(natural hacker material)。 
最後,有一些事千萬不要做… 
* 不要使用很蠢,宏偉的使用者 ID 和 screen name 
* 不要加入 Usenet 裏的戰火(或者任何地方的) 
* 不要自稱為 `cyberpunk',也不要浪費任何時間在這麼做的人身上 
* 不要 post 或 email 一些充滿錯字或文法錯誤的文章 
做了這些事的結果只是為你招來大家的責難和批評。Hacker 們的記憶力都很好,他們會一直記住你的所做所為,你可能要花數年的時間才有辨法讓他們重新接受你。 
網路上面有很多Haker的技術文件,對網路安全及駭客有興趣的人可以自行去網路上尋找…最重要的是,不要作非法的事情!!
 
四、左鄰右舍
國內相關網站
  1. 網路犯罪防制 
  2. 台灣電腦網路危機處理中心
  3. 教育部網路法律知識宣導網
  4. 法務部調查局
  5. 天堂受害兒之家
  6. 網路色情防治
  7. 547網路色情檢舉 
  8. 勵馨社會福利事業基金會 
  9. 內政部性侵害防治委員會 
  10. 成大醫學院---性侵害醫療諮詢中心 
  11. 網路安全 
  12. 成大電機密碼與網路安全實驗室
國外相關網站
  1. 網路犯罪防制
  2. CyberSpace Law Center
  3. FBI's National Computer Crime
  4. Squad (NCCS) 
  5. Organized Crime---A Crime Statistics Site
  6. CERT Coordination Center
  7. 網路色情防治
  8. Anti Pedophile Network
  9. Child Welfare League of America
  10. Directory of Children's Issues on the
  11. World Wide Web
  12. 網路安全
  13. Forum of Incident Response and
  14. Security Teams
  15. IETF 
  16. National Institute of Standards and 
  17. Technology
 
五、網路法律
 
既有法律皆以有形物體為對象。商業交易中被買賣的都是有形實物。不具形體的資訊,必須藉有形的媒介,如紙、光碟等媒體進行傳銷。其中,紙是我們熟悉的商業媒介。但在網路世界中,紙是不存在的。  
 
既有法律有區域限制的特性。但是網路上的活動並不存在於任何有形的領域中。既有法律面臨的挑戰在於,為了配合電子傳播的現況,它必須對那些在網路上進行商業行為的人提供一套清楚的遊戲規則。法律不確定,電子商務即無從發展。
 
隨著網際網路的快速發展,藉由電腦網路之利用,也產生了各種不同的犯罪態樣。而這些犯罪行為,已非傳統刑法之犯罪行為態樣所能涵蓋。網路犯罪刑態的多樣化發展,已無形中對治安形成莫大的威脅。此種新型態的犯罪,在偵查方面非但面臨著證據難以掌握以致偵破不易的窘境,而且在罪刑法定主義之原則下,也唯有透過立法之程序,或司法之解釋來規範新犯罪刑態之處罰,以期所有之犯罪,均能無所遁形。
 
刑法第 36 章 妨害電腦使用罪:
 第 358 條 無故輸入他人帳號密碼、破解使用電腦之保護措施或利用電腦系統之漏洞,而入侵他人之電腦或其相關設備者,處三年以下有期徒刑、拘役或科或併科十萬元以下罰金。
 
第 359 條 無故取得、刪除或變更他人電腦或其相關設備之電磁紀錄,致生損害於公眾或他人者,處五年以下有期徒刑、拘役或科或併科二十萬元以下罰金。
 
第 360 條 無故以電腦程式或其他電磁方式干擾他人電腦或其相關設備,致生損害於公眾或他人者,處三年以下有期徒刑、拘役或科或併科十萬元以下罰金。
 
第 361 條 對於公務機關之電腦或其相關設備犯前三條之罪者,加重其刑至二分之一。
 
第 362 條 製作專供犯本章之罪之電腦程式,而供自己或他人犯本章之罪,致生損害於公眾或他人者,處五年以下有期徒刑、拘役或科或併科二十萬元以下罰金。
 
第 363 條 第三百五十八條至第三百六十條之罪,須告訴乃論。
 
六、檢舉犯罪
 
如有發現任何不法情事,請撥打110