入侵檢測技術(shù)第11章

11.1網(wǎng)絡(luò)空間中的法律問題11.2入侵證據(jù)的保全11.3處理入侵證據(jù)的方法第11章相關(guān)的法律問題本章介紹與網(wǎng)絡(luò)安全和入侵檢測相關(guān)的法律問題，涉及網(wǎng)絡(luò)空間中運用法律時的特定問題以及與入侵檢測直接相關(guān)的若干問題，包括支持取證和訴訟的情況。目前，世界上主要國家采用的法律體系主要分為3類：民事法、普通法和伊斯蘭法。近年來隨著計算機網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，特別是互聯(lián)網(wǎng)的迅速普及，網(wǎng)絡(luò)空間中發(fā)生的犯罪活動日趨增多，且危害后果更為嚴重。世界各國都對此問題作出了法律反應(yīng)，制定了對應(yīng)的法律法規(guī)。在美國，管理計算機犯罪的主要法律是“計算機欺詐和濫用法案”，最早在1984年國會通過，并于1994年和1996年進行了兩次修改，以適應(yīng)不斷變化的威脅環(huán)境。該法案定義如下行為屬于危害計算機系統(tǒng)安全的犯罪行為：11.1網(wǎng)絡(luò)空間中的法律問題●未經(jīng)許可進入計算機系統(tǒng)；●偷竊計算機系統(tǒng)中的信息；●未經(jīng)許可修改計算機系統(tǒng)或者其中存放的數(shù)據(jù)內(nèi)容。在我國，八屆人大五次會議1997年3月通過的新《刑法》，首次將計算機犯罪納入到刑法立法體系之中，為打擊日益嚴重的計算機犯罪活動提供了法律依據(jù)。新《刑法》在妨害社會管理秩序罪一章的第3條第5款中規(guī)定了擾亂計算機信息系統(tǒng)安全秩序管理的4種罪名：非法侵入計算機信息系統(tǒng)罪；刪除、修改、增加、干擾計算機信息系統(tǒng)功能罪；刪除、修改、增加計算機信息系統(tǒng)中數(shù)據(jù)和應(yīng)用程序罪；故意制作、傳播計算機病毒等破壞性程序罪。同時在第285條規(guī)定：“違反國家規(guī)定，侵入國家事務(wù)、國防建設(shè)、尖端科學技術(shù)領(lǐng)域計算機系統(tǒng)的，處3年以下有期徒刑或者拘役”。另外，新《刑法》在第287條規(guī)定：“利用計算機實施金融欺詐、盜竊、貪污、挪用公款、竊取國家秘密或者其他犯罪的，依照本法有關(guān)規(guī)定處理”。此條是指采用計算機作為工具或手段進行傳統(tǒng)犯罪的法律規(guī)定，其結(jié)果是可以按照傳統(tǒng)犯罪處罰規(guī)定或者依照第285條規(guī)定處罰。目前，關(guān)于計算機信息系統(tǒng)管理方面，國家頒布的行政法規(guī)和條例主要包括：1991年5月24日國務(wù)院頒布的《計算機軟件保護條例》；1994年2月18日國務(wù)院頒布的《中華人民共和國計算機信息系統(tǒng)安全保護條例》；1996年2月1日國務(wù)院發(fā)布并于1997年5月20日修正的《中華人民共和國計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》；1997年12月8日由國務(wù)院信息化工作領(lǐng)導小組發(fā)布的《中華人民共和國計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定實施辦法》；1997年12月12日由公安部發(fā)布的《計算機信息系統(tǒng)安全專用產(chǎn)品檢測和銷售許可證管理辦法》；1997年12月11日國務(wù)院批準、12月30日由公安部發(fā)布的《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法》；1996年原郵電部發(fā)布的《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)出入口信道管理辦法》和《中國公用計算機互聯(lián)網(wǎng)國際聯(lián)網(wǎng)管理辦法》等。管理計算機系統(tǒng)安全的法律總是處于不斷的動態(tài)修訂過程中。網(wǎng)絡(luò)環(huán)境下運用法律程序所要涉及的一個特定問題就是管轄權(quán)的問題，特別是網(wǎng)絡(luò)犯罪中涉及的刑事管轄權(quán)問題。網(wǎng)絡(luò)環(huán)境下管轄權(quán)的沖突是不可避免的問題。具體到中國而言，有學者建議，對《刑法》第6條第3款所規(guī)定的“犯罪結(jié)果”應(yīng)該在網(wǎng)絡(luò)環(huán)境下做出廣義延伸解釋，即認為是犯罪所造成的結(jié)果，或者是不法狀態(tài)影響至我國領(lǐng)域內(nèi)，均可適用中國刑法。由于存在著司法管轄權(quán)等問題，入侵者就可能在通過互聯(lián)網(wǎng)絡(luò)攻擊另一個國家的系統(tǒng)時，有意通過若干個中間國家內(nèi)的結(jié)點，而這些國家通常對計算機犯罪的法律規(guī)定并不完善，從而達到避免法律制裁的目的。網(wǎng)絡(luò)空間內(nèi)司法管轄的問題，必須通過國際社會的共同努力來解決。對于使用入侵檢測系統(tǒng)的專業(yè)人士來說，還存在著特定的法律問題。首先，對于采用了入侵檢測系統(tǒng)作為組織安全保護策略一部分的商業(yè)組織而言，如果因為入侵檢測系統(tǒng)沒有及時地發(fā)現(xiàn)安全問題而導致了企業(yè)組織對外提供的服務(wù)中止、機密資料泄漏等損失情況，則有可能對相關(guān)的安全管理人員和廠商提出賠償損失的民事訴訟。其次，如果入侵者通過第一個組織的系統(tǒng)來攻擊下一個組織的系統(tǒng)，并造成相應(yīng)的損失，則第二個組織可能對第一個組織的所有者提出賠償要求。最后，當系統(tǒng)管理員根據(jù)入侵檢測系統(tǒng)的虛假警報結(jié)果，對某個用戶采取了錯誤的終止服務(wù)操作時，該用戶也可能要求服務(wù)商對其錯誤而導致的商業(yè)損失進行賠償。入侵檢測系統(tǒng)的主要設(shè)計目的就是及時檢測到潛在和正在發(fā)生的入侵行為并采取適當?shù)捻憫?yīng)措施。入侵檢測系統(tǒng)所提供的電子證據(jù)是否能夠成為法律證據(jù)，關(guān)鍵是看其是否符合法定形式。根據(jù)中國現(xiàn)有的《刑事訴訟法》、《民事訴訟法》和《行政訴訟法》的相關(guān)規(guī)定，電子證據(jù)都沒有被直接列為法定的證據(jù)形式。最貼近的是把電子證據(jù)歸為“視聽資料”一類證據(jù)之中。通常的“電子證據(jù)”的含義，是指在計算機或計算機系統(tǒng)運行過程中產(chǎn)生的以其記錄的內(nèi)容作為證明案件事實的電磁記錄物。與書面證據(jù)比較，電子證據(jù)主要是磁性介質(zhì)，11.2入侵證據(jù)的保全其記錄存儲的數(shù)據(jù)內(nèi)容可能會被專業(yè)人士輕而易舉且不留痕跡地刪改。而一旦發(fā)生爭議，就使得電子證據(jù)的真實性受到質(zhì)疑。在具體的訴訟過程中，電子證據(jù)能否被真實采用是一個關(guān)鍵的問題。搜集和保護關(guān)于計算機入侵的一系列證據(jù)，并使它在法庭上發(fā)揮作用，這對系統(tǒng)管理員和執(zhí)法機構(gòu)來說始終是一個巨大的挑戰(zhàn)。IDS所提供的電子證據(jù)是否能夠作為有效的合法證據(jù)？首先應(yīng)該認識到大多數(shù)IDS在具體構(gòu)建時主要考慮了有效性、性能和可用性等方面的因素，并沒有提供對法律訴訟的有力支持；其次，在法律訴訟中，能夠證明曾經(jīng)發(fā)生過明確的入侵也只是證明刑事犯罪或民事責任的一個步驟，問題在于細節(jié)，在于各種類型IDS的設(shè)計目標和法律系統(tǒng)的需求之間的分歧。IDS設(shè)計的首要目標是檢測入侵，并做出響應(yīng)以避免可能的危害后果。其次，才是產(chǎn)生對應(yīng)的系統(tǒng)日志。顯然，單一的證據(jù)流不太可能具備確鑿的法律效力。若要對復雜的入侵行為進行起訴并獲得成功，其關(guān)鍵是能找到多個相對獨立的并且能相互印證的證據(jù)數(shù)據(jù)流。現(xiàn)行的中國法律框架下，電子證據(jù)尚未有明確的法律界定。因而，入侵檢測系統(tǒng)在提供法律訴訟證據(jù)方面的法律效力還有待觀察分析。但是，隨著信息網(wǎng)絡(luò)的進一步發(fā)展和立法工作的進展，這方面的工作必定會得到不斷的完善。法律訴訟中提出的證據(jù)通常包括實物證據(jù)、目擊證人證言、環(huán)境證據(jù)，以及專家證詞。證據(jù)的價值是由兩個因素決定的：可用性和重要性。為了保證證據(jù)的可用性和重要性，需要注意若干證據(jù)收集和處理的策略：⑴需要建立強有力的證據(jù)“保管鏈”，即必須能夠清楚地描述入侵證據(jù)的整個發(fā)現(xiàn)過程，并且能夠提供從發(fā)現(xiàn)入侵證據(jù)到呈交法庭之間發(fā)生的每件事情的詳盡解釋。這就意味著需要把原始日志數(shù)據(jù)保存到安全的地方，例如寫入只讀光盤中，并且限制能夠有權(quán)訪問相關(guān)重要證據(jù)的人員數(shù)目。11.3處理入侵證據(jù)的方法⑵用于收集證據(jù)的方法和機制應(yīng)該具備“透明性”，即允許第三方獨立地對這些收集方法進行自由驗證。如果不具備保護機制的透明性要求，則無法使用這些證據(jù)。⑶保證證據(jù)的正確性，包括生成證據(jù)過程的準確性和證據(jù)記錄內(nèi)容的準確性兩個方面。通常，如果源自可靠的、安全的數(shù)據(jù)源，原始事件日志被認為是可信的證據(jù)。如果入侵檢測系統(tǒng)僅僅存儲對原始數(shù)據(jù)（例如，系統(tǒng)日志或者網(wǎng)絡(luò)數(shù)據(jù)包）進行分析后生