- 信息安全与网络法
- 网络法主页
- 网络法和信息技术法案概述
- 网络法目标
- 知识产权
- 网络安全策略
- 减轻网络风险的政策
- 网络安全
- 信息技术法,2000 年
- 数字和电子签名
- 罪行和处罚
- 网络法摘要
- 网络犯罪常见问题解答
- 网络法律资源
- 网络法 - 快速指南
- 网络法 - 有用资源
- 网络法 - 讨论
网络法 - 快速指南
网络法 - 简介
网络空间
网络空间可以定义为涉及人、软件和服务之间交互的复杂环境。它由全球分布的信息和通信技术设备和网络维护。
凭借技术进步所带来的好处,当今的网络空间已成为公民、企业、关键信息基础设施、军队和政府使用的公共空间,其方式使得这些不同群体之间很难划清清晰的界限。随着与其连接的网络和设备的增加,网络空间预计在未来几年将变得更加复杂。
网络安全
网络安全是指旨在保护计算机、网络和数据免受网络犯罪分子通过互联网的非法准入、弱点和攻击的技术和程序。
ISO 27001 (ISO27001) 是国际网络安全标准,提供了创建、应用、运行、监控、审查、保存和改进信息安全管理系统的模型。
印度政府通信和信息技术部提供了名为“国家网络安全政策”的战略纲要。该政府机构的目的是保护公共和私人基础设施免受网络攻击。
网络安全政策
网络安全政策是一项不断发展的使命,旨在满足整个信息和通信技术(ICT)用户和提供商领域的需求。它包括 -
- 家庭用户
- 小型、中型、大型企业
- 政府和非政府实体
它作为一个权威框架来定义和指导与网络空间安全相关的活动。它允许所有部门和组织设计合适的网络安全政策以满足其要求。该政策提供了有效保护信息、信息系统和网络的纲要。
它让人们了解政府在该国网络空间安全方面的方法和战略。它还概述了一些建议,以允许公共和私营部门开展协作,以保护信息和信息系统。因此,该政策的目的是创建一个网络安全框架,从而制定详细的行动和计划,以增强网络空间的安全保障。
网络犯罪
《2000 年信息技术法》或该国的任何立法均未描述或提及网络犯罪一词。它可以在全球范围内被视为技术的阴暗面。传统犯罪与网络犯罪的唯一区别在于网络犯罪涉及与计算机有关的犯罪。让我们看下面的例子来更好地理解它 -
传统盗窃- 小偷闯入拉姆的房子并偷走了房子里的一件物品。
黑客攻击- 网络罪犯/黑客坐在自己的房子里,通过他的计算机侵入 Ram 的计算机,并窃取Ram计算机中保存的数据,而无需实际接触计算机或进入 Ram 的房子。
2000 年 IT 法案定义了以下术语 -
第 2(a) 节中的计算机网络访问
第 2(i) 节中的计算机
(2j) 节中的计算机网络
第 2(0) 节中的数据
第 2(v) 节中的信息。
要了解网络犯罪的概念,您应该了解这些法律。网络犯罪的犯罪对象或目标是计算机或计算机中存储的数据。
威胁的性质
21 世纪最严峻的挑战之一是网络安全领域普遍存在的和可能的威胁。威胁来自各种来源,并以针对个人、企业、国家基础设施和政府等的破坏性活动为标志。这些威胁的影响会给以下方面带来重大风险 -
- 公共安全
- 国家安全
- 全球联系的国际社会的稳定性
对信息技术的恶意使用很容易被掩盖。很难确定罪犯的出身或身份。即使是破坏的动机也不是一件容易找出的任务。这些活动的犯罪分子只能从目标、效果或其他间接证据中查出。威胁Behave者几乎可以在任何地方以相当大的自由度进行行动。破坏的动机可以是任何东西,例如 -
- 简单地展示技术实力
- 盗窃金钱或信息
- 国家冲突的扩大等
犯罪分子、恐怖分子,有时甚至是国家本身,都是这些威胁的根源。犯罪分子和黑客使用不同类型的恶意工具和方法。随着犯罪活动每天都呈现出新的形式,有害Behave的可能性也在不断扩大。
帮助人们
用户(可能是一个普通的学生、系统管理员、开发人员,甚至公司的首席执行官)缺乏信息安全意识,会导致各种网络漏洞。意识政策对以下行动和举措进行分类,以提高用户意识、教育和培训 -
将在国家层面推广完整的意识计划。
适应国家信息安全需要的综合培训项目(中小学信息安全培训项目)。
提高现行信息安全培训计划的有效性。规划特定领域的培训计划(例如执法、司法、电子政务等)
支持私营部门对专业信息安全认证的支持。
信息技术法
印度政府颁布了《信息技术法》,其主要目标如下:
通过电子数据交换 (EDI) 和其他电子通信方式(通常称为电子商务)为交易提供合法认可。目的是使用纸质通信和信息存储方法的替代品。
促进向政府机构以电子方式提交文件,并进一步修订《印度刑法典》、《1872 年印度证据法》、《1891 年银行家账簿证据法》和《1934 年印度储备银行法》以及与之相关或附带的事项至此。
2000 年《信息技术法案》因此被通过,成为 2000 年第 21 号法案。该法案于 2000 年 6 月 9 日获得总统批准,并于 2000 年 10 月 17 日生效。通过这项网络立法,印度成为世界上第 12 个采用网络法制度的国家。
使命和愿景网络安全计划
使命
以下任务致力于网络安全 -
保护网络空间的信息和信息基础设施。
建立预防和应对网络威胁的能力。
通过机构结构、人员、流程、技术和合作的结合,减少漏洞并最大限度地减少网络事件造成的损害。
想象
为公民、企业和政府构建安全、有弹性的网络空间。
网络法 - 目标
爱德华·斯诺登 (Edward Snowden) 最近对美国监视计划“棱镜门” (PRISM) 的揭露表明,特定管辖范围之外的法人实体网络和计算机系统如何在该法人实体不知情的情况下受到监视。与拦截和窥探相关的网络案件正在以惊人的速度增加。为了遏制此类犯罪,网络法正在定期修订。
网络法的新兴趋势
报告显示,未来几年将遭受更多网络攻击。因此,建议组织通过更好的检查方法来加强其数据供应链。
下面列出了网络法的一些新兴趋势 -
许多国家制定了严格的监管规则,以防止未经授权的网络访问。此类Behave被宣布为刑事犯罪。
移动公司的利益相关者将呼吁世界各国政府加强网络法律体系和管理,以规范新兴的移动威胁和犯罪。
隐私意识的增强是另一个即将出现的趋势。谷歌首席互联网专家文特·瑟夫(Vint Cerf)表示,隐私实际上可能是一种反常现象。
云计算是另一个主要的增长趋势。随着技术的进步,大量数据将流入云端,而云端并不能完全免受网络犯罪的影响。
比特币和其他虚拟货币的增长是另一个值得关注的趋势。在不久的将来,比特币犯罪可能会增加。
数据分析的到来和接受是另一个需要遵循的主要趋势,这需要对大数据的问题给予适当的关注。
创建意识
尽管美国政府已宣布 10 月为国家网络安全意识月,但印度也紧随潮流,为公众实施了一些严格的意识计划。
公众对与病毒传播有关的犯罪Behave有一定了解。然而,他们并没有意识到可能影响他们网络生活的威胁的大局。大多数互联网用户对电子商务和网上银行网络犯罪严重缺乏了解。
当您参加在线活动时,请保持警惕并遵循以下提示 -
过滤社交网站中个人信息的可见性。
不要让任何电子邮件地址和密码的“记住密码”按钮处于活动状态
确保您的网上银行平台是安全的。
网上购物时请保持警惕。
不要在移动设备上保存密码。
保护移动设备和计算机等的登录详细信息。
发展领域
《2013年印度网络法趋势》和《2014年印度网络法发展》是Perry4Law Organization(P4LO)在2013年和2014年提供的两本著名且值得信赖的网络法相关研究著作。
印度政府应立即考虑一些与网络法相关的严重问题。这些问题是由 P4LO 和印度网络犯罪调查中心 (CCICI) 提供的 2014 年印度网络法综述中提出的。以下是一些主要问题 -
- 更好的网络法和有效的网络犯罪预防策略
- 网络犯罪调查培训要求
- 制定专用加密法
- 云计算的合法采用
- 电子邮件政策的制定和实施
- 网上支付的法律问题
- 在线赌博和在线药店的合法性
- 比特币的合法性
- 阻止网站的框架
- 移动应用程序的监管
随着网络法律强制措施的形成,银行对网络盗窃和网络犯罪的责任在不久的将来将大大增加。印度银行将需要保留专门的网络法律专家团队或在这方面寻求外部专家的帮助。
由于网络攻击和网络犯罪不断增加,印度保险业应该增加网络保险交易。
国际网络安全网络
为了创建国际网络安全网络,2014 年 3 月在印度新德里召开了一次会议。
国际网络法和网络犯罪会议设定的目标如下:
认识网络法的发展趋势以及当前形势下影响网络空间的立法。
提高人们的认识,以打击影响数字和移动网络所有投资者的最新类型的网络犯罪。
认识到数字和移动网络利益相关者需要进一步发展网络法的领域。
致力于创建国际网络犯罪网络。届时,法律当局可能会在网络犯罪和网络法律立法在全球范围内进一步扩大方面发挥重要作用。
网络法-知识产权
知识产权是一项法定权利,涵盖授予作品所有者和发明人并以其智力创造力创造出某些东西的个人的特权。与文学、音乐、发明等领域相关的个人可以被授予此类权利,然后可以在商业实践中使用这些权利。
创作者/发明者获得专有权,防止在没有他/她事先信息的情况下滥用或使用作品。然而,这些权利的授予是有期限的,以维持平衡。
世界知识产权组织(WIPO)制定了以下知识产权涵盖的活动清单 -
- 工业品外观设计
- 科学发现
- 防止不正当竞争
- 文学、艺术和科学作品
- 人类努力的各个领域的发明
- 表演艺术家的表演、录音制品和广播
- 商标、服务标记、商业名称和名称
- 工业、科学、文学或艺术领域的智力活动产生的所有其他权利
知识产权的类型
知识产权可进一步分为以下几类 -
- 版权
- 专利
- 专利
- 商业秘密等
知识产权的优势
知识产权具有以下优势:
为创作者或发明者提供专有权。
鼓励个人分发和共享信息和数据,而不是保密。
提供法律辩护并为创作者提供工作激励。
有助于社会和金融发展。
印度的知识产权
为了保护印度领土上的知识产权,印度制定了宪法、行政和司法纲要,无论它们是否暗示着版权、专利、商标、工业品外观设计或知识产权的任何其他部分。
早在1999年,政府就根据国际惯例通过了一项重要立法来保护知识产权。让我们看一下同样的情况 -
1999年《专利(修订)法》促进了专利申请邮箱系统的建立。它提供五年的独家营销权。
1999 年《商标法案》取代了 1958 年《贸易和商品商标法》
1999 年《版权(修正案)法》由印度总统签署。
这项特殊立法获得批准并命名为 1999 年《商品地理标志(注册和保护)法案》。
1999 年《工业品外观设计法案》取代了 1911 年《外观设计法案》。
1999 年《专利(第二修正案)法案》,进一步修订 1970 年《专利法》以符合 TRIPS。
网络空间的知识产权
技术领域的每一项新发明都会遇到各种威胁。互联网就是这样的威胁之一,它占领了实体市场并将其转变为虚拟市场。
为了维护商业利益,考虑到网络空间中发生的大量商业和商业活动,建立有效的财产管理和保护机制至关重要。
如今,制定有效、协作的知识产权管理机制和保护策略对于每个企业都至关重要。因此,可以监控和限制控制论世界中不断迫在眉睫的威胁。
立法者设计了各种方法和立法,以提高针对此类网络威胁提供安全配置的赌注。但知识产权权利人有责任采取积极措施,制止和减少犯罪分子的此类恶意Behave。
网络法 - 网络安全策略
为了设计和实施安全的网络空间,已经制定了一些严格的策略。本章解释了确保网络安全所采用的主要策略,其中包括以下内容 -
- 创建安全的网络生态系统
- 创建保证框架
- 鼓励开放标准
- 加强监管框架
- 建立IT安全机制
- 确保电子政务服务安全
- 保护关键信息基础设施
策略 1 – 创建安全的网络生态系统
网络生态系统涉及各种不同的实体,如设备(通信技术和计算机)、个人、政府、私人组织等,它们出于多种原因相互作用。
该战略探讨了建立一个强大而稳健的网络生态系统的想法,在该系统中,网络设备将来可以相互协作,以防止网络攻击、降低其有效性或找到从网络攻击中恢复的解决方案。
这样的网络生态系统将能够内置到其网络设备中,以允许在设备组内部和设备组之间组织安全的行动方式。该网络生态系统可以通过当前的监控技术进行监控,其中软件产品用于检测和报告安全漏洞。
强大的网络生态系统具有三种共生结构——自动化、互操作性和身份验证。
自动化- 它简化了高级安全措施的实施,提高了速度并优化了决策流程。
互操作性- 它加强了协作行动,提高了意识,并加速了学习过程。互操作性分为三种类型 -
- 语义(即基于共同理解的共享词典)
- 技术的
- 政策 - 对于将不同的贡献者纳入包容性网络防御结构非常重要。
身份验证- 它改进了识别和验证技术,以便提供 -
- 安全
- 负担能力
- 易于使用和管理
- 可扩展性
- 互操作性
攻击对比
下表显示了攻击类别与所需网络生态系统功能的比较 -
案例分析
下图是吉尔伯特·盖茨为《纽约时报》准备的,展示了伊朗工厂如何通过互联网遭到黑客攻击。
解释- 设计了一个程序来自动运行伊朗核电站。不幸的是,一名不知道威胁的工人将该程序引入了控制器。该程序收集了与该植物相关的所有数据,并将信息发送给情报机构,然后情报机构开发了一种蠕虫并将其插入该植物中。使用蠕虫,工厂被恶棍控制,导致产生更多蠕虫,结果工厂彻底失败。
攻击类型
下表描述了攻击类别 -
| 攻击类别 | 攻击描述 |
|---|---|
| 消耗 | 用于破坏网络和系统的方法。它包括以下内容 -
|
| 恶意软件 | 未经所有者同意,用于中断计算机正常运行、损害信息资产的恶意软件。从可移动设备执行任何操作都会增强恶意软件的威胁。 |
| 黑客攻击 | 试图故意利用弱点来获得不道德的访问,通常是远程进行的。它可能包括 -
|
| 社交策略 | 使用欺骗和操纵等社交策略来获取数据、系统或控制的访问权限。它包括 -
|
| 不当使用(内部威胁) | 组织中的个人滥用数据权和控制权,从而违反组织的政策。它包括 -
|
| 物理Behave/设备丢失或被盗 | 人为驱动的攻击,例如 -
|
| 多组件 | 单连接技术包含多种高级攻击技术和组件。 |
| 其他 | 攻击例如 -
|
策略 2 – 创建保障框架
该战略的目标是通过传统的产品、流程、人员和技术来设计符合全球安全标准的轮廓。
为了满足国家安全要求,制定了被称为网络安全保障框架的国家框架。它通过“支持和认可”行动容纳关键基础设施组织和政府。
扶持行动由政府实体执行,这些政府实体是不受商业利益影响的自治机构。由这些机构发布《国家安全政策合规要求》以及 IT 安全指南和文件,以实现 IT 安全实施和合规性。
认可行动涉及满足强制性资格标准后的盈利服务,包括以下内容 -
ISO 27001/BS 7799 ISMS认证、IS体系审核等,本质上都是合规认证。
“Common Criteria”标准ISO 15408和Crypto模块验证标准,它们是IT安全产品的评估和认证。
协助消费者实施IT安全的服务,例如IT安全人力培训。
值得信赖的公司认证
随着外包市场的发展,印度IT/ITES/BPO需要遵守安全和隐私方面的国际标准和最佳实践。ISO 9000、CMM、六西格码、全面质量管理、ISO 27001 等都是其中的一些认证。
现有模型(例如 SEI CMM 级别)专门用于软件开发过程,并不解决安全问题。因此,人们努力创建一个基于自我认证概念并效仿美国卡耐基梅隆大学软件能力成熟度模型(SW-CMM)的模型。
通过行业和政府之间的这种联系产生的结构包括以下内容 -
- 标准
- 指导方针
- 实践
这些参数可帮助关键基础设施的所有者和运营商管理网络安全相关风险。
策略 3 – 鼓励开放标准
标准在定义我们如何处理跨地理区域和社会的信息安全相关问题方面发挥着重要作用。鼓励开放标准 -
- 提升关键流程效率,
- 启用系统合并,
- 为用户提供衡量新产品或服务的媒介,
- 组织安排新技术或商业模式的方法,
- 解释复杂的环境,以及
- 支持经济增长。
ISO 27001[3] 等标准鼓励实施标准组织结构,客户可以在其中了解流程并降低审核成本。
策略 4 – 加强监管框架
该战略的目标是创建安全的网络空间生态系统并加强监管框架。预计通过国家关键信息基础设施保护中心(NCIIPC)建立 24X7 的机制来应对网络威胁。计算机紧急响应小组 (CERT-In) 已被指定为危机管理的节点机构。
该战略的一些亮点如下:
促进网络安全的研究和开发。
通过教育和培训计划开发人力资源。
鼓励所有组织,无论是公共组织还是私人组织,指定一人担任首席信息安全官(CISO),负责网络安全举措。
印度武装部队正在建立网络司令部,作为加强国防网络和设施网络安全的一部分。
公私伙伴关系的有效实施正在酝酿之中,这对于为不断变化的威胁形势制定解决方案大有帮助。
策略 5 – 创建 IT 安全机制
确保 IT 安全的一些基本机制包括:面向链路的安全措施、端到端安全措施、面向关联的措施和数据加密。这些方法的不同之处在于其内部应用程序功能以及它们提供的安全属性。让我们简要讨论一下它们。
链接导向的措施
它在两个节点之间传输数据时提供安全性,无论数据的最终来源和目的地如何。
端到端措施
它是一种以受保护的方式从源到目的地传输协议数据单元 (PDU) 的介质,任何通信链路的中断都不会违反安全性。
面向协会的措施
面向关联的措施是一组经过修改的端到端措施,可单独保护每个关联。
数据加密
它定义了传统密码和最近开发的公钥密码的一些一般特征。它以只有授权人员才能解密的方式对信息进行编码。
策略 6 – 确保电子政务服务安全
电子治理(e-governance)是政府以负责任的方式提供公共服务的最宝贵工具。不幸的是,在目前的情况下,印度没有专门的电子政务法律结构。
同样,印度也没有强制通过电子方式提供公共服务的法律。没有什么比在没有足够网络安全的情况下执行电子政务项目更危险和麻烦的了。因此,确保电子政务服务的安全已成为一项至关重要的任务,特别是当国家通过卡进行日常交易时。
幸运的是,印度储备银行已在印度实施卡交易安全和风险缓解措施,并于 2013 年 10 月 1 日起强制执行。它将确保卡交易安全的责任交给银行而不是客户。
“电子政务”或电子政府是指政府机构将信息和通信技术(ICT)用于以下目的 -
- 高效提供公共服务
- 炼化内部效率
- 公民、组织和政府机构之间轻松交换信息
- 重组行政流程。
策略 7 – 保护关键信息基础设施
关键信息基础设施是一个国家国家安全和经济安全的支柱。它包括发电厂、高速公路、桥梁、化工厂、网络以及数百万人每天工作的建筑物。这些可以通过严格的合作计划和严格的实施来确保。
保护关键基础设施免受不断发展的网络威胁需要采用结构化方法。政府需要定期与公共和私营部门积极合作,以预防、应对和协调缓解工作,以防止对国家关键基础设施的破坏和不利影响。
政府需要与企业主和运营商合作,通过共享网络和其他威胁信息来加强他们的服务和团体。
应与用户共享一个通用平台来提交意见和想法,这些意见和想法可以共同为保护关键基础设施奠定更坚实的基础。
美国政府于2013年通过了一项“改善关键基础设施网络安全”的行政命令,优先考虑关键基础设施服务提供过程中涉及的网络安全风险管理。该框架为组织提供了一个共同的分类和机制:
- 定义他们现有的网络安全方向,
- 定义他们的网络安全目标,
- 在持续流程的框架内对发展机会进行分类和优先排序,以及
- 与所有投资者就网络安全进行沟通。
网络法 - 减轻网络风险的政策
本章将带您了解为最大限度降低网络风险而制定的各种政策。只有制定明确的政策,才能减少网络空间中产生的威胁。
促进网络安全研发
由于对互联网的依赖不断增加,我们今天面临的最大挑战是信息安全免受不法分子的侵害。因此,有必要促进网络安全的研究和开发,以便我们能够提出强有力的解决方案来降低网络风险。
网络安全研究
网络安全研究是一个涉及准备应对网络犯罪的解决方案的领域。随着互联网攻击、高级持续威胁和网络钓鱼的数量不断增加,未来需要大量的研究和技术开发。
网络安全研究——印度视角
近年来,印度的网络技术取得了巨大的发展。因此,需要对网络安全的研发活动进行投资。印度还看到许多成功的研究成果通过当地网络安全公司的出现而转化为企业。
威胁情报
印度已经开始减轻网络威胁的研究工作。有一个主动响应机制来应对网络威胁。印度的各个研究组织已经开始开展研究和开发活动,以应对网络空间的威胁。
下一代防火墙
基于多身份的专业知识(例如下一代防火墙)也正在研究中,该技术为企业提供安全智能,并使他们能够在网络外围应用最适合的安全控制。
安全协议和算法
协议和算法的研究是技术层面巩固网络安全的重要阶段。它定义了网络空间信息共享和处理的规则。在印度,协议和算法级别的研究包括 -
- 安全路由协议
- 高效的身份验证协议
- 无线网络的增强型路由协议
- 安全传输控制协议
- 攻击模拟算法等
认证技术
密钥管理、双因素身份验证和自动密钥管理等身份验证技术提供了加密和解密的能力,而无需集中式密钥管理系统和文件保护。人们不断进行研究来加强这些身份验证技术。
BYOD、云和移动安全
随着各种类型移动设备的采用,对移动设备上的安全和隐私相关任务的研究不断增加。移动安全测试、云安全和 BYOD(自带设备)风险缓解是正在进行大量研究的领域。
网络取证
网络取证是应用分析技术从系统或数字存储介质收集和恢复数据。印度正在进行研究的一些具体领域是 -
- 磁盘取证
- 网络取证
- 移动设备取证
- 内存取证
- 多媒体取证
- 互联网取证
降低供应链风险
正式地,供应链风险可以定义为 -
任何对手可能损坏、写入恶意功能、解构供应项目或系统的设计、安装、程序或维护,从而导致整个功能退化的风险。
供应链问题
供应链是一个全球性问题,需要找出客户和供应商之间的相互依赖关系。在今天的情况下,重要的是要知道 - SCRM 问题是什么?以及如何解决这些问题?
有效的 SCRM(供应链风险管理)方法需要强大的公私合作伙伴关系。政府应该有强有力的权力来处理供应链问题。即使私营部门也可以在许多领域发挥关键作用。
我们无法提供一刀切的供应链风险管理解决方案。根据产品和行业的不同,降低风险的成本也会有所不同。应鼓励公私合作伙伴关系解决与供应链管理相关的风险。
通过人力资源开发降低风险
如果组织的所有员工都了解其价值并表现出实施这些政策的坚定承诺,那么组织的网络安全政策就可以有效。通过应用以下几点,人力资源总监可以在确保组织在网络空间中的安全方面发挥关键作用。
承担员工带来的安全风险
由于大多数员工并不重视风险因素,黑客很容易将组织作为目标。在这方面,人力资源部门在教育员工了解他们的态度和Behave对组织安全的影响方面发挥着关键作用。
确保安全措施实用且合乎道德
公司的政策必须与员工的思维和Behave方式保持一致。例如,在系统上保存密码是一种威胁,但持续监控可以防止这种威胁。人力资源团队最适合就政策是否可能有效以及它们是否适当提供建议。
识别可能带来特定风险的员工
网络犯罪分子也会在公司内部人员的帮助下入侵他们的网络。因此,识别可能带来特定风险的员工并为其制定严格的人力资源政策至关重要。
建立网络安全意识
印度的网络安全仍处于发展阶段。这是提高人们对网络安全相关问题认识的最佳时机。很容易从基层(例如学校)提高认识,让用户了解互联网的工作原理及其潜在威胁是什么。
每个网吧、家庭/个人计算机和办公室计算机都应通过防火墙进行保护。应通过其服务提供商或网关指示用户不要破坏未经授权的网络。应以粗体描述威胁并突出其影响。
应在学校和学院引入网络安全意识主题,使其成为一个持续的过程。
政府必须制定强有力的法律来加强网络安全,并通过电视/广播/互联网广告传播同样的内容,以提高人们的足够意识。
信息共享
美国提出了一项名为《2014 年网络安全信息共享法案》(CISA) 的法律,旨在通过加强有关网络安全威胁的信息共享来改善该国的网络安全。每个国家都需要此类法律来在公民之间共享威胁信息。
网络安全违规需要强制报告机制
最近名为Uroburos/Snake的恶意软件是网络间谍活动和网络战不断增长的一个例子。窃取敏感信息已成为新趋势。然而,不幸的是,电信公司/互联网服务提供商 (ISP) 并未共享有关针对其网络的网络攻击的信息。因此,无法制定强有力的网络安全策略来应对网络攻击。
这个问题可以通过制定良好的网络安全法来解决,该法可以建立电信公司/互联网服务提供商强制网络安全违规通知的监管制度。
自动化电网、热电厂、卫星等基础设施很容易受到各种形式的网络攻击,因此违规通知计划将提醒各机构对其进行处理。
实施网络安全框架
尽管公司在网络安全举措上投入了大量资金,但数据泄露事件仍在继续发生。据《华尔街日报》报道, “根据 Allied Business Intelligence Inc. 的数据,2013 年关键基础设施行业的全球网络安全支出预计将达到 460 亿美元,比上年增长 10%。” 这就需要网络安全框架的有效实施。
网络安全框架的组成部分
该框架由三个主要组成部分组成 -
- 核心,
- 实施层,以及
- 框架配置文件。
框架核心
框架核心是一组网络安全活动和适用的参考资料,具有五个同时且恒定的功能:识别、保护、检测、响应和恢复。框架核心有方法确保以下内容 -
- 制定并实施程序来保护最重要的知识产权和资产。
- 拥有适当的资源来识别任何网络安全漏洞。
- 如果发生违规,请从违规中恢复。
实施层
框架实施层定义了组织在应用其网络安全实践时所采用的复杂性和一致性水平。它有以下四个级别。
第 1 层(部分) - 在该级别中,未定义组织的网络风险管理配置文件。在组织层面对组织的网络安全风险存在部分认识。组织范围内管理网络安全风险的方法尚未得到认可。
第 2 层(风险知情) - 在这一级别,组织制定由高级管理层直接批准的网络风险管理政策。高级管理层努力制定网络安全相关风险管理目标并落实。
第 3 层(可重复) - 在此级别,组织采用正式的网络安全措施运行,并根据要求定期更新。该组织认识到其依赖性和合作伙伴。它还从他们那里接收信息,这有助于做出基于风险的管理决策。
第 4 层(自适应) - 在这个级别,组织“实时”调整源自先前和当前网络安全活动的网络安全实践。通过不断发展结合先进的网络安全技术、与合作伙伴的实时协作以及对其系统活动的持续监控,组织的网络安全实践可以快速响应复杂的威胁。
框架简介
框架配置文件是一种工具,为组织提供一个存储有关其网络安全计划的信息的平台。配置文件允许组织清楚地表达其网络安全计划的目标。
从哪里开始实施该框架?
包括董事在内的高级管理层应首先熟悉该框架。之后,董事应与管理层就组织的实施层级进行详细讨论。
对管理人员和员工进行框架教育将确保每个人都了解其重要性。这是成功实施强有力的网络安全计划的重要一步。有关现有框架实施的信息可以帮助组织采用自己的方法。
网络法 - 网络安全
网络安全是为网络提供的安全保障,防止未经授权的访问和风险。网络管理员有责任采取预防措施来保护其网络免受潜在的安全威胁。
政府、个人或企业内涉及常规交易和通信的计算机网络需要安全性。保护网络资源最常见和最简单的方法是为其分配唯一的名称和相应的密码。
网络安全设备的类型
有源设备
这些安全设备会阻止多余的流量。防火墙、防病毒扫描设备和内容过滤设备是此类设备的示例。
无源器件
这些设备识别并报告不需要的流量,例如入侵检测设备。
预防装置
这些设备扫描网络并识别潜在的安全问题。例如,渗透测试设备和漏洞评估设备。
统一威胁管理 (UTM)
这些设备作为一体化安全设备。示例包括防火墙、内容过滤、Web 缓存等。
防火墙
防火墙是一种基于某些协议对网络流量进行管理和调节的网络安全系统。防火墙在受信任的内部网络和互联网之间建立了屏障。
防火墙既作为在硬件上运行的软件又作为硬件设备存在。基于硬件的防火墙还提供其他功能,例如充当该网络的 DHCP 服务器。
大多数个人计算机使用基于软件的防火墙来保护数据免受来自互联网的威胁。许多在网络之间传递数据的路由器都包含防火墙组件,相反,许多防火墙可以执行基本的路由功能。
防火墙通常用于专用网络或内部网,以防止来自互联网的未经授权的访问。每条进入或离开 Intranet 的消息都会通过防火墙接受安全措施检查。
理想的防火墙配置由基于硬件和软件的设备组成。防火墙还有助于通过安全身份验证证书和登录提供对专用网络的远程访问。
硬件和软件防火墙
硬件防火墙是独立的产品。这些也存在于宽带路由器中。大多数硬件防火墙至少提供四个网络端口来连接其他计算机。对于较大的网络(例如,出于商业目的),可以使用商业网络防火墙解决方案。
您的计算机上安装了软件防火墙。软件防火墙可以保护您的计算机免受互联网威胁。
杀毒软件
防病毒软件是一种用于检测和删除恶意软件的工具。它最初的设计目的是检测和清除计算机中的病毒。
现代防病毒软件不仅可以防御病毒,还可以防御蠕虫、特洛伊木马、广告软件、间谍软件、键盘记录程序等。某些产品还可以防御恶意 URL、垃圾邮件、网络钓鱼攻击、僵尸网络、DDoS 攻击等。
内容过滤
内容过滤设备可以过滤令人不快和具有攻击性的电子邮件或网页。它们被用作公司和个人计算机中防火墙的一部分。当有人尝试访问任何未经授权的网页或电子邮件时,这些设备会生成“访问被拒绝”消息。
通常会筛选色情内容以及暴力或仇恨内容。组织还排除购物和工作相关的内容。
内容过滤可以分为以下几类 -
- 网页过滤
- 网站或页面的筛选
- 电子邮件过滤
- 筛选电子邮件中的垃圾邮件
- 其他令人反感的内容
入侵检测系统
入侵检测系统,也称为入侵检测和预防系统,是监视网络中的恶意活动、记录有关此类活动的信息、采取措施阻止它们并最终报告它们的设备。
入侵检测系统有助于针对网络中的任何恶意活动发送警报、丢弃数据包并重置连接以保护 IP 地址免受任何阻塞。入侵检测系统还可以执行以下操作 -
- 纠正循环冗余校验 (CRC) 错误
- 防止 TCP 排序问题
- 清理不需要的传输和网络层选项
网络法 - IT ACT
正如第一章所讨论的,印度政府颁布了《信息技术 (IT) 法案》,其主要目标是提供和促进合法的电子、数字和在线交易,并减少网络犯罪。
IT 法案的显着特点
IT法案的显着特点如下:
数字签名已被电子签名取代,使其成为一种更加技术中立的Behave。
它详细说明了罪行、处罚和违规Behave。
它概述了网络犯罪的司法分配系统。
它在一个新的章节中定义了网吧是指任何人在日常业务过程中向公众提供互联网访问的任何设施。
它规定了网络法规咨询委员会的组成。
它以 1860 年《印度刑法典》、1872 年《印度证据法》、1891 年《银行家账簿证据法》、1934 年《印度储备银行法》等为基础。
它在第 81 条中增加了一项规定,规定该法案的规定具有压倒性的效力。该条款规定,该法案中的任何内容均不得限制任何人行使 1957 年《版权法》赋予的任何权利。
信息技术法案计划
以下几点定义了 IT 法案的方案 -
IT 法案包含13 章90条。
最后四节,即 2000 年 IT 法第 91 至 94 节涉及对 1860 年印度刑法典、1872 年印度证据法、1891 年银行账簿证据法和 1934 年印度储备银行法的修订,已被删除。
它从第一章的预备部分开始,该部分涉及第 1 节中该法案的简短、标题、范围、生效日期和适用。第 2 节提供了定义。
第2章涉及电子记录的认证、数字签名、电子签名等。
第 11 章涉及罪行和处罚。该法的这一部分规定了一系列犯罪Behave和惩罚。
此后阐述了有关尽职调查、中介机构的作用和一些杂项规定。
该法案包含两个附表。第一附表涉及该法案不适用于的文件或交易。第二附表涉及电子签名或电子认证技术和程序。附表三、附表四被省略。
IT法的适用
根据第 1 条第 (4) 款,本法中的任何内容均不适用于附表 1 中指定的文件或交易。以下是该法案不适用于的文件或交易 -
1881 年《流通票据法》第 13 条定义的流通票据(支票除外);
1882 年《授权书法》第 1A 条定义的授权书;
1882年《印度信托法》第 3 条定义的信托;
1925年《印度继承法》第 2 条 (h) 款中定义的遗嘱,包括任何其他遗嘱处置;
任何出售或转让不动产或此类财产的任何权益的合同;
中央政府可能通知的任何此类文件或交易。
IT 法案的修正案
《信息技术法案》第 91-94 条对四项法规进行了修订。这些变化已在附表 1-4 中提供。
第一个附表包含《刑法典》的修正案。它扩大了“文档”一词的范围,将电子文档纳入其范围。
第二个附表涉及《印度证据法》的修正案。它涉及将电子文件纳入证据的定义中。
第三个附表修订了《银行家账簿证据法》。该修正案改变了“银行家账簿”的定义。它包括存储在软盘、光盘、磁带或任何其他形式的电磁数据存储设备中的数据的打印输出。“认证副本”一词也发生了类似的变化,将此类打印输出纳入其范围内。
第四个附表修改了《印度储备银行法》。它涉及银行之间或银行与其他金融机构之间通过电子方式进行资金转移的监管。
中介责任
处理任何特定电子记录的中介人是代表他人接受、存储或传输该记录或提供与该记录相关的任何服务的人。
根据上述定义,它包括以下内容 -
- 电信服务提供商
- 网络服务提供商
- 互联网服务提供商
- 网络托管服务提供商
- 搜索引擎
- 在线支付网站
- 在线拍卖网站
- 网上市场和网吧
修订法案的亮点
新修订的法案有以下亮点:
- 它强调隐私问题并强调信息安全。
- 它详细阐述了数字签名。
- 它阐明了企业合理的安全实践。
- 它重点关注中介机构的作用。
- 添加了网络犯罪的新面孔。
网络法 - 签名
电子签名
数字签名是一种验证数字消息或文档合法性的技术。有效的数字签名向接收者保证该消息是由已知的发送者生成的,使得发送者不能否认发送了该消息。数字签名主要用于软件分发、金融交易以及其他存在伪造风险的情况。
电子签名
电子签名或电子签名表明要求创建消息的人就是创建该消息的人。
签名可以定义为与人相关的示意性脚本。文件上的签名表明该人接受文件中记录的目的。在许多工程公司中,还需要数字印章来实现另一层身份验证和安全性。数字印章和签名与手写签名和盖章相同。
数字签名到电子签名
数字签名是 2000 年旧 IT 法案中定义的术语。电子签名是修订法案(2008 年 IT 法案)中定义的术语。电子签名的概念比数字签名更广泛。该法案第 3 条规定通过附加数字签名来验证电子记录。
根据修正案,通过电子签名或电子认证技术验证电子记录应被认为是可靠的。
根据联合国国际贸易法委员会(UNCITRAL)的规定,电子认证和签名方法可分为以下几类 -
基于用户或接收者的知识,即密码、个人识别码 (PIN) 等。
这些基于用户的身体特征,即生物识别。
那些基于用户拥有的对象,即存储在磁卡上的代码或其他信息。
不属于上述任何类别的身份验证和签名方法的类型也可用于指示电子通信的发起者(例如手写签名的传真,或在电子消息底部键入的姓名) 。
根据《贸易法委员会电子签名示范法》,目前正在使用以下技术 -
- 公钥基础设施 (PKI) 内的数字签名
- 生物识别设备
- PIN 码
- 密码
- 扫描的手写签名
- 数字笔签名
- 可点击“确定”或“我接受”或“我同意”点击框
网络法 - 犯罪与处罚
全球范围内更快的连接催生了大量的网络犯罪,这些犯罪Behave的增加导致需要法律的保护。为了跟上不断变化的一代人的步伐,印度议会通过了《2000 年信息技术法》,该法的概念是根据联合国国际贸易法委员会 (UNCITRAL) 示范法制定的。
该法律详细定义了犯罪Behave以及每类犯罪Behave的处罚。
罪行
网络犯罪是非法Behave,以计算机为工具或目标或两者兼而有之的方式进行。
网络犯罪通常包括以下内容 -
- 未经授权访问计算机
- 数据欺骗
- 病毒/蠕虫攻击
- 电脑系统失窃
- 黑客攻击
- 拒绝攻击
- 逻辑炸弹
- 木马攻击
- 互联网时间盗窃
- 网络劫持
- 电子邮件轰炸
- 萨拉米香肠袭击
- 对计算机系统造成物理损坏。
2000 年 IT 法案中包含的犯罪Behave如下:
- 篡改计算机源文件。
- 用计算机系统进行黑客攻击。
- 以电子形式发布淫秽信息。
- 控制器发出指示的权力。
- 控制器向订户发出扩展设施以解密信息的指示。
- 受保护的系统。
- 失实陈述的处罚。
- 违反保密和隐私的处罚。
- 在某些细节上发布虚假数字签名证书的处罚。
- 出于欺诈目的而发表。
- 针对在印度没收区之外犯下的罪行或违法Behave提出申请。
- 处罚或没收不得干扰其他处罚。
- 调查罪行的权力。
例子
2000 年 IT 法案下的犯罪Behave
第 65 条. 篡改计算机源文件
任何人故意或故意隐藏、破坏或更改,或者故意或故意导致他人隐藏、破坏或更改用于计算机、计算机程序、计算机系统或计算机网络的任何计算机源代码,而该计算机源代码需要保留或现行法律规定,可判处最高三年监禁,或最高二十万卢比罚款,或两者并罚。
解释 - 就本节而言,“计算机源代码”是指任何形式的计算机资源的程序、计算机命令、设计和布局以及程序分析的列表。
目标- 本节的目标是保护投资于计算机的“知识产权”。这是对计算机源文件(代码)的保护超出了版权法的范围的尝试
该部分的基本要素
故意或故意隐瞒
故意或故意破坏
故意或故意改变
故意或故意导致他人隐瞒
故意或故意造成他人破坏
故意或故意导致他人改变。
本节延伸至版权法,帮助公司保护其程序的源代码。
处罚 - 第 65 条可由任何治安法官审理。
这是可识别且不可识别的