本文目录一览:
网络犯罪的对策
(一)以技术治网
网络犯罪是利用计算机技术和网络技术实施的高科技犯罪,因此,防范网络犯罪首先应当依靠技术手段,以技术治网。主要措施有:
防火墙(Firewall)技术。该软件利用一组用户定义的规则来判断数据包(Package)的合法性,从而决定接受、丢弃或拒绝。
数据加密技术。在计算机信息的传输过程中,存在着信息泄漏的可能,因此需要通过加密来防范。
掌上指纹扫描仪。该仪器可以将用户的指纹记录下来,存入指纹档案库。当用户登记使用该电脑系统时,扫描仪还会将用户的指纹与库中的指纹相对照,只有当指令与指纹均相符时,才能进入系统。
通信协议。通过改进通信协议增加网络安全功能,是改善网络措施的又一条途径。
日本学者西田修认为:计算机犯罪完全可能发生。从电子计算机使用系统的现状来看,它根本无法防范。而且在现阶段无法防范也决不是什么“耻辱”的事情。我们所要做的只是随着时间的推移,使电子计算机的“防御系统”强健起来。这件事是使用电子计算机的企业对社会应负的责任。怎样才能使计算机和网络信息系统的“防御系统”强健起来不少学者进行了认真的探讨。有学者指出:网络犯罪行为人往往都精通电脑及网络技术,包括安全技术,因而侦察与反侦察、追捕与反追捕的战斗,将在很大程度上体现为一场技术上的较量。只有抢占技术制高点,才有可能威慑罪犯,并对已经实施的网络犯罪加以有效打击。
(二)依法治网
如果仅从技术层面来防范网络犯罪,还是不够的,因为再先进的技术,总有破解的方法,而一旦陷入攻防循环之中,就有可能造成社会财富的极大浪费,而且达不到预防犯罪的目的。所以,要更有效地防范网络犯罪,还得靠法律,实行依法治网。
有关针对计算机和电子信息网络的犯罪的立法虽然较及时较丰富,但有一些问题可能还需要探讨。
1.有关立法的观念问题。黑客行为犯罪化是计算机技术和电子信息网络技术发展到一定阶段后的产物。黑客行为是否需要全部犯罪化,黑客行为的犯罪化能在何种程度上起到防控黑客行为(即防控这种犯罪)的作用,都是需要认真调查研究并会有多种不同答案的问题。网络犯罪的构成需不需要考虑主观方面的因素,应不应该有过失犯罪,故意犯罪和过失犯罪在刑事处罚的量刑上是否应该有所区别?在司法过程中如何区分确定过失犯罪与故意犯罪?也应该都是可以探讨的问题。还有一个更为根本性的问题是:时下所有将黑客行为犯罪化的立法都是站在维护既存社会秩序、保护既得者利益的基础上,而比较忽视计算机技术和电子信息网络技术进一步发展的有关要求。对此,不仅黑客们提出抗议,一些政界人物也提出了自己的看法。如,美国民主党参议员帕特里克·莱希认为:“我们不能限制13岁孩子好奇的天性,如果任由他们今天自由试验,明天他们也许就会开发出带领我们进入21世纪的通讯和电脑技术。他们代表着我们的未来和最好的希望。”另一方面,可以说正是有关法规对网络信息系统的禁限,正是大企业集团、政府机构、军事当局等对信息资源和网络信息系统的垄断,刺激出了更多的黑客行为。“在计算机一步步向统治机器演变的过程中,许多知识成为禁地。黑客应运而生。”所以,即使仅从犯罪防控的角度看,有关计算机犯罪和网络犯罪的立法也必须认真考虑社会观念的问题。
2.程序法与实体法的衔接问题。黑客行为犯罪化之后带来的一个重要问题就是如何认定黑客行为(犯罪行为)。认定犯罪的关键在证据。黑客犯罪行为针对的是网络信息系统,留下的犯罪痕迹不是传统意义上的犯罪痕迹,可作为证据的材料也往往不是传统意义上的证据材料。这就要求刑事诉讼中扩展证据概念的内涵,将电子证据规定为证据。我国刑事诉讼法第42条已将视听资料规定为证据,将电子证据纳入视听资料证据之中(通过必要的司法解释)或将电子证据作为另一项证据,应该都是可行的选择。如果这一问题解决了,司法程序中还需解决有关电子证据的提取、鉴定等问题。提取证据往往会涉及隐私权问题,而如何鉴定证据的真实性,可能更为棘手。
3.法律规定的具体实施问题。有了好的法律规定,对之作具体的实施就成了关键。其中,有没有一支好的警察队伍是至关重要的。警察工作应该能揭露犯罪、侦破犯罪并查获罪犯。这不仅需要警察工作者具有足够的法律知识和传统侦查工作技能,而且要求他们熟练掌握计算机技术和电子信息网络技术。今天,对于计算机犯罪和网络犯罪的警察队伍的建设越来越受到各国政府的重视。我国一方面开始重视利用计算机和电子信息网络打击遏制各类犯罪,一方面也很重视对付计算机和网络犯罪的警察队伍的建设。我国公安机关对计算机系统和电子信息网络的治安性管理已经制度化,而且成效显著,在此基础上的有关犯罪防控工作也取得了成效。
4.加强法制教育方面。在健全法制的同时,要大力宣传有关互联网方面的法律法规,使广大网民依法依规上网。在对人们进行法制教育的同时,重点培养人们的法制观念。笔者认为,法律知识的学习固然重要,但要通过学习法律知识,领会法律的精义,建立起适应现代生活的法律观念,则是提高人们法律素质、预防任何形式的犯罪的关键。网络犯罪的高发率在很大程度上恰恰反映了人们法律精神欠缺。虽然网络犯罪的手段和方式与普通犯罪有所不同,但其危害是相同的,都造成了对公共安全、他人的人身财产权利的侵害,都是违反法律的,犯罪行为造成的危害并不因网络的虚拟性而消失或减轻。因此,如果我们在对人们进行法律知识普及的同时,更注重对人们的法律精神、法律观念的培养,则人们不仅在现实世界而且在网络世界中也会成为真正自觉守法的高素质群体。正如马克思所指出的,努力向公众传播新的权利义务观念和法律的基本原理和精神,似乎比向他们灌输大量的法律条文更容易收到预期的效果。
(三)以德治网
网上交往的虚拟性,淡化人们的道德观念,削弱了人们的道德意识,导致人格虚伪。加强网络伦理道德教育,提倡网络文明,培养人们明辨是非的能力,使其形成正确的道德观,是预防网络犯罪的重要手段之一。当前,开展网络行为道德宣传教育活动,就是要把公民道德建设纲要的内容作为网上道德宣传教育的主要内容,利用声、光、电等多种现代化手段,把“爱国守法、明礼诚信、团结友善、勤俭自强、敬业奉献”的基本道德规范灌输给广大网民,从而提高他们的道德素质,使网民能识别和抵制网上的黑色、黄色和灰色信息,主动选择有积极意义的信息,形成良好的上网习惯,坚决抵制网络色情等不良信息的诱惑,自觉地遵守有关网络规则,不做违法犯罪的事情,不断推动网民的道德自律 。
如何判定黑客正在攻击某个终端或网络?如何反制黑客侦察?
可通过Ping命令来测试,若发现Ping超时或丢包严重(假定平时是正常的),则可能遭受了流量攻击,此时若发现和你的主机接在同一交换机上的服务器也访问不了了,基本可以确定是遭受了流量攻击。当然,这样测试的前提是你到服务器主机之间的ICMP协议没有被路由器和防火墙等设备屏蔽,否则可采取Telnet主机服务器的网络服务端口来测试,效果是一样的。不过有一点可以肯定,假如平时Ping你的主机服务器和接在同一交换机上的主机服务器都是正常的,突然都Ping不通了或者是严重丢包,那么假如可以排除网络故障因素的话则肯定是遭受了流量攻击,再一个流量攻击的典型现象是,一旦遭受流量攻击,会发现用远程终端连接网站服务器会失败。
相对于流量攻击而言,资源耗尽攻击要容易判断一些,假如平时Ping网站主机和访问网站都是正常的,发现突然网站访问非常缓慢或无法访问了,而Ping还可以Ping通,则很可能遭受了资源耗尽攻击,此时若在服务器上用Netstat -na命令观察到有大量的SYN_RECEIVED、TIME_WAIT、FIN_WAIT_1等状态存在,而ESTABLISHED很少,则可判定肯定是遭受了资源耗尽攻击。还有一种属于资源耗尽攻击的现象是,Ping自己的网站主机Ping不通或者是丢包严重,而Ping与自己的主机在同一交换机上的服务器则正常,造成这种原因是网站主机遭受攻击后导致系统内核或某些应用程序CPU利用率达到100%无法回应Ping命令,其实带宽还是有的,否则就Ping不通接在同一交换机上的主机了
通常进行计算机系统犯罪取证的方法有哪几种
一、计算机犯罪的定义
我国公安部定义:计算机犯罪是以计算机为工具或以计算机资源位对象实施的犯罪行为。《中华人民共和国刑法》规定了四个罪名:一是非法入侵计算机信息系统罪;二是破坏计算机信息系统功能罪;三是破坏计算机信息系统数据、应用程序罪,四是制作、传播计算机病毒等破坏性程序罪。具体为《刑法》第285条和第286条。以上是典型性计算机犯罪,另外还有非典型计算机犯罪,即利用计算机进行的其他犯罪或准计算机犯罪,就是指既可以用信息科学技术实施也可以用其他方法实施的犯罪,在《刑法》第287条中举例并规定的利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪。
二、计算机犯罪的主要手段
计算机的犯罪手段随着计算机技术的发展不断推陈出新,技术含量越来越高,案件的侦破难度越来越大,计算机犯罪常用的手段如下:
1.意大利香肠术
这种计算机犯罪是采用不易被察觉的方法,使对方自动做出一连串的细小让步,最后达到犯罪的目的,这是典型的金融系统计算机犯罪。
2.盗窃身份
盗窃身份主要是指通过某种方法窃取用户身份,享用用户身份的权限,从而可以以授权用户的身份进入计算机操作系统,进行各种破话操作。破解用户密码是盗用用户身份的最常用方法。
3.活动天窗
所谓活动天窗就是指程序设计者为了对软件进行调试和维护,在设计程序时设置在计算机软件中的“后门”程序,通过“后门”黑客可以绕过程序提供的正常安全性检查而进入计算机软件系统,并且可能法制木马程序,达到其入侵的目的。
4.计算机病毒
计算机病毒的破坏能力是绝对不可小觑的,轻则导致应用程序无法正常使用,丢失尚未保存的临时数据,严重的可能导致系统瘫痪,并且丢失所有数据,甚至可以损坏计算机硬件。
5.数据欺骗
数据欺骗是指非法篡改计算机输入、处理和输出过程中的数据或者输入虚假数据,以这样的方法实现犯罪目的,这是一种相对简单的计算机犯罪手段。
三、计算机取证的定义和步骤
关于计算机取证的定义还没有权威组织给出确切的定义。著名的计算机专家Judd Robbins对计算机取证的定义是:“计算机取证不过是将计算机调查和分析技术应用于潜在的、有法律效力的证据的确定与获取”。计算机取证实际上就是对计算机犯罪的证据进行获取、保存、分析和出示的法律规范和科学技术,即对计算机证据的保护、提取和归档的过程。
在司法鉴定的实施过程中的计算机取证的基本步骤如下:
1.案件受理
案件受理是调查机关了解案情、发现证据的重要途径,是调查活动的起点,是依法开展工作的前提和基础。受理案件时,要记录案情,全面的了解潜在的与案件事实相关的电子证据。
2.保护现场
首先要冻案件现场的计算机系统,保护目标计算机,及时地维持计算网络环境的状态,保护数码设备和计算机设备等作案工具中的线索痕迹,在操作过程中必须避免发生任何更改系统设置、硬件损坏、数据破坏或病毒感染的情况发生,避免电子证据遭到破坏或丢失。
3.收集证据
主要收集以下数据信息:计算机审核记录(包括使用者账号、IP地址、使用和起止时间等)、客户登录资料(包括申请账号时填写的姓名、电话、地址等基本资料)、犯罪事实资料(证明该犯罪事实存在的数据资料,包括文本文件、屏幕截屏、原始程序等)。
4.固定证据
固定证据可以保证电子证据的完整性和客观性。首先对电子证据的存储要选用适当的存储介质,并且要进行原始的镜像备份。因为电子证据的实质是电磁信号,如果消磁便无法挽回,所以电子证据在运输和保管的过程中不应靠近磁性物质,不可放置在有无线电接收设备的汽车内,不能放置在高温或低温的环境中,要放置在防潮、干燥的地方,非相关人员不得操作存放电子证据的设备。
5.分析证据
在进行数据分析之前要将数据资料备份以保证数据的完整性,要对硬盘、U盘、PDA内存、存储卡等存储介质进行镜像备份,必要时还要重新制作数据备份材料,分析电子证据时应该对备份资料进行非破坏性分析,使用数据恢复的方法将删除、修改、隐藏的电子证据尽可能的进行恢复,然后再在恢复的资料中分析查找证据。
6.证据归档
应当把电子证据的鉴定结果进行分类归档保存,以供法庭诉讼时使用,主要包括对电子证据的检查内容:涉及计算机犯罪的时间、硬盘的分区情况、操作系统和版本;取证时,数据信息和操作系统的完整性、计算机病毒评估情况、文件属性、电子证据的分析结果和评估报告等信息。
四、计算机取证的主要技术
如今犯罪分子所采用的技术手段越来越多样,相对的计算机取证技术也在不断的提升,也加入了很多的先进技术。
1.主机取证技术
研究计算机犯罪发生后主机取证的有关技术,如计算机硬盘高速拷贝技术,就是主要研究读写硬盘数据的相关协议、高速接口技术、数据容错技术、CRC-32签名校验技术等。文档碎片分析技术主要是研究根据已经获得的数据编写风格推断出作者的分析技术、根据文件的碎片推断出其格式的技术。数据恢复技术主要研究把遭到破坏的数据或由于硬件原因丢失的数据或因误操作丢失的数据还原成正常数据。
2.网络数据取证技术
主要是研究对网络信息数据流进行实时捕获,通过数据挖掘技术把隐藏在网络数据中的有用数据分析并剥离出来,从而有效定位攻击源。因为网络传输的数据包能被共享信道的所有主机接收,因此可以捕捉到整个局域网内的数据包,一般从链路层捕获数据,按照TCP/IP的结构进行分析数据。无线网络的数据分析和一般以太网一样,逐层进行剥离。另外网络追踪技术是指发现攻击者后如何对其进行定位,研究快速定位和跟踪技术。
3.主动取证技术
主动取证技术是当前取证技术研究的重点内容,如入侵取证系统可以对所监听网段的数据进行高效、完整的记录,记录被取证主机的系统日志,防止篡改,保证数据的原始性和不可更改性,达到对网络上发生的事件完全记录。入侵取证系统在网络中是透明的,它就像摄像机一样完整记录并提供有效的网络信息证据。
随着计算机及网络的不断发展,我们的工作生活都逐步趋向网络化、无纸化、数字化,在享受这些便利的同时,滋生了越来越多的计算机犯罪。计算机犯罪在我国已呈现逐年上升的势头,并且智力难度越来越大,令人欣慰的是国家法律法规正在逐步完善,计算机犯罪取证技术不断提高,从一定程度上遏制了计算机犯罪的发展。
网络安全警察是怎样查处黑客的,是通过查找其IP地址么
网络安全警察是通过查找其IP地址的。
网警抓黑客的主要技术是计算机取证技术,又称为数字取证或电子取证。它是一门计算机科学与法学的交叉科学,是对计算机犯罪的证据进行获取、保存、分析和出示的一个过程。而黑客与网警较量的技术自然就叫计算机反取证技术,即删除或者隐藏证据从而使网警的取证工作无效。
扩展资料:
分析数据常用的手段有:
1.用搜索工具搜索所有的逻辑文件Slack磁盘空间、自由空间、未分配的空间中所有特定的数据。打个比方说:在上午10点的时候发生了入侵事件,那么在使用搜索工具时肯定是首先搜索记录时间为10点左右的文件 。
2.由于黑客在入侵时会删除数据,所以我们还要用数据恢复工具对没有覆盖的文件进行恢复 。
3.对系统中所有加密的文件进行解密 。
4.用MD5对原始证据上的数据进行摘要,然后把原始证据和摘要信息保存。
上面的就是网警在取证时所要进行技术处理的地方,然后根据分析的结果(如IP地址等等)来抓人。
