攻击政府网站和信息港的黑客并不高明,但是,这种事件却时有发生,为什么?如果有效利用计算机取证工具,就可以制裁网络犯罪。计算机取证(Computer Forensics)也称计算机法医学,它把计算机看作是犯罪现场,运用先进的辨析技术,对电脑犯罪行为进行法医式的解剖,搜寻确认罪犯及其犯罪证据,并据此提起诉讼。网络犯罪手段与网络安全防御技术的关系正如现实社会中的罪犯和警察的关系一样,是魔和道的较量。如果单靠网络安全技术应付网络犯罪效果是非常有限的,还需要借助社会和法律的强大威力对付网络犯罪。法律手段中重要的一条就是证据,计算机取证技术的出现标志着网络安全防御理论走向成熟。
在目前网络安全严峻的形势下,实施并推广计算机取证具有十分重要的意义。但是,目前,我国现有的网络安全方面的法规,例如《计算机信息网络国际互联网安全保护管理办法》、1997年3月颁布的新《刑法》等,都较少涉及网络安全中违法行为的法律证据问题,这使得计算机取证举步为艰。
从技术角度看,目前,计算机取证的最大的障碍就是证据的真实有效性。熟悉黑客攻击的人都知道,一方面,黑客在攻击目标时,一般都会采用各种手段伪造身份,尽可能销毁各种证据;另一方面,犯罪的证据是很容易被更改,而有些人可以借此故意扩大自己的损失。如何确保收集到的证据是真实的和有效的是计算机取证的关键所在。有关专家认为,以上问题可以通过在网络中建立一个“黑匣子”,将网络运行的整个过程记录下来的方式加以解决。目前,这类产品还处于研发阶段。
作为用户,企业的网络技术人员和负责人也需要更新观念。面对攻击,以往首先想到的是如何尽快恢复系统,其实,保留证据对保护自己和起诉罪犯很重要。我们在对几次分布式攻击事件定位过程中就遇到了这种问题,由于用户重新格式化了硬盘而无法最终定位攻击线索的遗憾局面。其次,技术人员和企业负责人也要克服报告安全事件时的矛盾心理,不要因为担心损害企业的声誉,或担心自己有管理疏忽之嫌,而对所受到的网络攻击隐瞒不报,因为,网络犯罪同现实社会中的犯罪一样是不可避免的,它并不代表所谓的管理或技术问题。
