入侵檢測技術(shù)第11章

11.1網(wǎng)絡(luò)空間中的法律問題11.2入侵證據(jù)的保全11.3處理入侵證據(jù)的方法第11章相關(guān)的法律問題本章介紹與網(wǎng)絡(luò)安全和入侵檢測相關(guān)的法律問題，涉及網(wǎng)絡(luò)空間中運(yùn)用法律時(shí)的特定問題以及與入侵檢測直接相關(guān)的若干問題，包括支持取證和訴訟的情況。目前，世界上主要國家采用的法律體系主要分為3類：民事法、普通法和伊斯蘭法。近年來隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，特別是互聯(lián)網(wǎng)的迅速普及，網(wǎng)絡(luò)空間中發(fā)生的犯罪活動日趨增多，且危害后果更為嚴(yán)重。世界各國都對此問題作出了法律反應(yīng)，制定了對應(yīng)的法律法規(guī)。在美國，管理計(jì)算機(jī)犯罪的主要法律是“計(jì)算機(jī)欺詐和濫用法案”，最早在1984年國會通過，并于1994年和1996年進(jìn)行了兩次修改，以適應(yīng)不斷變化的威脅環(huán)境。該法案定義如下行為屬于危害計(jì)算機(jī)系統(tǒng)安全的犯罪行為：11.1網(wǎng)絡(luò)空間中的法律問題●未經(jīng)許可進(jìn)入計(jì)算機(jī)系統(tǒng)；●偷竊計(jì)算機(jī)系統(tǒng)中的信息；●未經(jīng)許可修改計(jì)算機(jī)系統(tǒng)或者其中存放的數(shù)據(jù)內(nèi)容。在我國，八屆人大五次會議1997年3月通過的新《刑法》，首次將計(jì)算機(jī)犯罪納入到刑法立法體系之中，為打擊日益嚴(yán)重的計(jì)算機(jī)犯罪活動提供了法律依據(jù)。新《刑法》在妨害社會管理秩序罪一章的第3條第5款中規(guī)定了擾亂計(jì)算機(jī)信息系統(tǒng)安全秩序管理的4種罪名：非法侵入計(jì)算機(jī)信息系統(tǒng)罪；刪除、修改、增加、干擾計(jì)算機(jī)信息系統(tǒng)功能罪；刪除、修改、增加計(jì)算機(jī)信息系統(tǒng)中數(shù)據(jù)和應(yīng)用程序罪；故意制作、傳播計(jì)算機(jī)病毒等破壞性程序罪。同時(shí)在第285條規(guī)定：“違反國家規(guī)定，侵入國家事務(wù)、國防建設(shè)、尖端科學(xué)技術(shù)領(lǐng)域計(jì)算機(jī)系統(tǒng)的，處3年以下有期徒刑或者拘役”。另外，新《刑法》在第287條規(guī)定：“利用計(jì)算機(jī)實(shí)施金融欺詐、盜竊、貪污、挪用公款、竊取國家秘密或者其他犯罪的，依照本法有關(guān)規(guī)定處理”。此條是指采用計(jì)算機(jī)作為工具或手段進(jìn)行傳統(tǒng)犯罪的法律規(guī)定，其結(jié)果是可以按照傳統(tǒng)犯罪處罰規(guī)定或者依照第285條規(guī)定處罰。目前，關(guān)于計(jì)算機(jī)信息系統(tǒng)管理方面，國家頒布的行政法規(guī)和條例主要包括：1991年5月24日國務(wù)院頒布的《計(jì)算機(jī)軟件保護(hù)條例》；1994年2月18日國務(wù)院頒布的《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》；1996年2月1日國務(wù)院發(fā)布并于1997年5月20日修正的《中華人民共和國計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》；1997年12月8日由國務(wù)院信息化工作領(lǐng)導(dǎo)小組發(fā)布的《中華人民共和國計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定實(shí)施辦法》；1997年12月12日由公安部發(fā)布的《計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品檢測和銷售許可證管理辦法》；1997年12月11日國務(wù)院批準(zhǔn)、12月30日由公安部發(fā)布的《計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法》；1996年原郵電部發(fā)布的《計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)出入口信道管理辦法》和《中國公用計(jì)算機(jī)互聯(lián)網(wǎng)國際聯(lián)網(wǎng)管理辦法》等。管理計(jì)算機(jī)系統(tǒng)安全的法律總是處于不斷的動態(tài)修訂過程中。網(wǎng)絡(luò)環(huán)境下運(yùn)用法律程序所要涉及的一個(gè)特定問題就是管轄權(quán)的問題，特別是網(wǎng)絡(luò)犯罪中涉及的刑事管轄權(quán)問題。網(wǎng)絡(luò)環(huán)境下管轄權(quán)的沖突是不可避免的問題。具體到中國而言，有學(xué)者建議，對《刑法》第6條第3款所規(guī)定的“犯罪結(jié)果”應(yīng)該在網(wǎng)絡(luò)環(huán)境下做出廣義延伸解釋，即認(rèn)為是犯罪所造成的結(jié)果，或者是不法狀態(tài)影響至我國領(lǐng)域內(nèi)，均可適用中國刑法。由于存在著司法管轄權(quán)等問題，入侵者就可能在通過互聯(lián)網(wǎng)絡(luò)攻擊另一個(gè)國家的系統(tǒng)時(shí)，有意通過若干個(gè)中間國家內(nèi)的結(jié)點(diǎn)，而這些國家通常對計(jì)算機(jī)犯罪的法律規(guī)定并不完善，從而達(dá)到避免法律制裁的目的。網(wǎng)絡(luò)空間內(nèi)司法管轄的問題，必須通過國際社會的共同努力來解決。對于使用入侵檢測系統(tǒng)的專業(yè)人士來說，還存在著特定的法律問題。首先，對于采用了入侵檢測系統(tǒng)作為組織安全保護(hù)策略一部分的商業(yè)組織而言，如果因?yàn)槿肭謾z測系統(tǒng)沒有及時(shí)地發(fā)現(xiàn)安全問題而導(dǎo)致了企業(yè)組織對外提供的服務(wù)中止、機(jī)密資料泄漏等損失情況，則有可能對相關(guān)的安全管理人員和廠商提出賠償損失的民事訴訟。其次，如果入侵者通過第一個(gè)組織的系統(tǒng)來攻擊下一個(gè)組織的系統(tǒng)，并造成相應(yīng)的損失，則第二個(gè)組織可能對第一個(gè)組織的所有者提出賠償要求。最后，當(dāng)系統(tǒng)管理員根據(jù)入侵檢測系統(tǒng)的虛假警報(bào)結(jié)果，對某個(gè)用戶采取了錯(cuò)誤的終止服務(wù)操作時(shí)，該用戶也可能要求服務(wù)商對其錯(cuò)誤而導(dǎo)致的商業(yè)損失進(jìn)行賠償。入侵檢測系統(tǒng)的主要設(shè)計(jì)目的就是及時(shí)檢測到潛在和正在發(fā)生的入侵行為并采取適當(dāng)?shù)捻憫?yīng)措施。入侵檢測系統(tǒng)所提供的電子證據(jù)是否能夠成為法律證據(jù)，關(guān)鍵是看其是否符合法定形式。根據(jù)中國現(xiàn)有的《刑事訴訟法》、《民事訴訟法》和《行政訴訟法》的相關(guān)規(guī)定，電子證據(jù)都沒有被直接列為法定的證據(jù)形式。最貼近的是把電子證據(jù)歸為“視聽資料”一類證據(jù)之中。通常的“電子證據(jù)”的含義，是指在計(jì)算機(jī)或計(jì)算機(jī)系統(tǒng)運(yùn)行過程中產(chǎn)生的以其記錄的內(nèi)容作為證明案件事實(shí)的電磁記錄物。與書面證據(jù)比較，電子證據(jù)主要是磁性介質(zhì)，11.2入侵證據(jù)的保全其記錄存儲的數(shù)據(jù)內(nèi)容可能會被專業(yè)人士輕而易舉且不留痕跡地刪改。而一旦發(fā)生爭議，就使得電子證據(jù)的真實(shí)性受到質(zhì)疑。在具體的訴訟過程中，電子證據(jù)能否被真實(shí)采用是一個(gè)關(guān)鍵的問題。搜集和保護(hù)關(guān)于計(jì)算機(jī)入侵的一系列證據(jù)，并使它在法庭上發(fā)揮作用，這對系統(tǒng)管理員和執(zhí)法機(jī)構(gòu)來說始終是一個(gè)巨大的挑戰(zhàn)。IDS所提供的電子證據(jù)是否能夠作為有效的合法證據(jù)？首先應(yīng)該認(rèn)識到大多數(shù)IDS在具體構(gòu)建時(shí)主要考慮了有效性、性能和可用性等方面的因素，并沒有提供對法律訴訟的有力支持；其次，在法律訴訟中，能夠證明曾經(jīng)發(fā)生過明確的入侵也只是證明刑事犯罪或民事責(zé)任的一個(gè)步驟，問題在于細(xì)節(jié)，在于各種類型IDS的設(shè)計(jì)目標(biāo)和法律系統(tǒng)的需求之間的分歧。IDS設(shè)計(jì)的首要目標(biāo)是檢測入侵，并做出響應(yīng)以避免可能的危害后果。其次，才是產(chǎn)生對應(yīng)的系統(tǒng)日志。顯然，單一的證據(jù)流不太可能具備確鑿的法律效力。若要對復(fù)雜的入侵行為進(jìn)行起訴并獲得成功，其關(guān)鍵是能找到多個(gè)相對獨(dú)立的并且能相互印證的證據(jù)數(shù)據(jù)流?，F(xiàn)行的中國法律框架下，電子證據(jù)尚未有明確的法律界定。因而，入侵檢測系統(tǒng)在提供法律訴訟證據(jù)方面的法律效力還有待觀察分析。但是，隨著信息網(wǎng)絡(luò)的進(jìn)一步發(fā)展和立法工作的進(jìn)展，這方面的工作必定會得到不斷的完善。法律訴訟中提出的證據(jù)通常包括實(shí)物證據(jù)、目擊證人證言、環(huán)境證據(jù)，以及專家證詞。證據(jù)的價(jià)值是由兩個(gè)因素決定的：可用性和重要性。為了保證證據(jù)的可用性和重要性，需要注意若干證據(jù)收集和處理的策略：⑴需要建立強(qiáng)有力的證據(jù)“保管鏈”，即必須能夠清楚地描述入侵證據(jù)的整個(gè)發(fā)現(xiàn)過程，并且能夠提供從發(fā)現(xiàn)入侵證據(jù)到呈交法庭之間發(fā)生的每件事情的詳盡解釋。這就意味著需要把原始日志數(shù)據(jù)保存到安全的地方，例如寫入只讀光盤中，并且限制能夠有權(quán)訪問相關(guān)重要證據(jù)的人員數(shù)目。11.3處理入侵證據(jù)的方法⑵用于收集證據(jù)的方法和機(jī)制應(yīng)該具備“透明性”，即允許第三方獨(dú)立地對這些收集方法進(jìn)行自由驗(yàn)證。如果不具備保護(hù)機(jī)制的透明性要求，則無法使用這些證據(jù)。⑶保證證據(jù)的正確性，包括生成證據(jù)過程的準(zhǔn)確性和證據(jù)記錄內(nèi)容的準(zhǔn)確性兩個(gè)方面。通常，如果源自可靠的、安全的數(shù)據(jù)源，原始事件日志被認(rèn)為是可信的證據(jù)。如果入侵檢測系統(tǒng)僅僅存儲對原始數(shù)據(jù)（例如，系統(tǒng)日志或者網(wǎng)絡(luò)數(shù)據(jù)包）進(jìn)行分析后生