网上扫“黑”难在取证

编者按：《关于维护网络安全和信息安全的决定（草案）》的出台，结束了我国互联网安全基本上无法可依的状态。但是对于破坏互联网安全的黑客们，法律取证却成为制裁他们的最大障碍。

互联网应用正在广泛深入地发展。但技术专家认为互联网目前存在安全上的致命弱点，如果网络遭到黑客恶意攻击或被摧毁关键性骨干节点，则互联网的瘫痪只是一瞬间的事。因此，现存的互联网是一个危机四伏的网络。

2000年6月在芝加哥召开的网络安全技术交流会上，国际与会代表使用频率很高的一个单词，即Forensic，意指网络安全上的取证问题。

在现实生活中，我们有多种有效的法律取证手段，对盗窃、杀人等犯罪行为可在报案后最短时间内用现代技术手段取证完毕，转入分析破案。而在网络虚拟空间，发现一个明显的网上入侵或攻击，却由于数字化本身的记录容易被伪造或被篡改，难以作为法律上的直接证据。例如，某个网站的主页被对方攻黑，你不能拿着服务器的硬盘记录来起诉对方。这种数字证据还不能简单地被法律界所接受，因为第三者乃至更多的人（或程序）可以修改、覆盖原始的记录，以至这种数字犯罪不可能像现实社会中一样通过获取指印、利用警犬等工具迅速拿到证据与线索。研究电脑取证工作，我国有关部门十分重视，但至今还没有提供足够有效的工具或产品给社会法律界使用。曾有几位律师受理企业的知识产权问题，虽然手头掌握了足够准确的电脑文件证据，但却不能正式提交作为目前公认的法律上的取证。也就是说，如果这些电子文件不是当场获取、或由公证机构直接获取的，它不足以作为法律的取证。

目前黑客普遍使用的网上入侵手段，包括典型的基于互联网应用（远程登录、匿名文件访问、WEB、邮件服务）的入侵和其他非授权访问尝试，预攻击探测，可疑活动，协议解码，系统代理攻击等。因此，在防范黑客入侵的同时，必须使用工具来主动监视关键文件以获取被篡改的迹象，这就是前面提到的在受黑客的入侵方取证的问题。在自身的机器上采取措施，以获得入侵或受攻击的有效的法律证据是目前国际上的一道难题，Forensic就是要努力来解决这一问题的。

数字取证的技术难点在于如何让记录设备旁路在网络中，对用户和黑客而言都是透明的，既不影响用户任何应用的运行效率，又采用了各种自我保护措施，避免审计设备本身遭到可能的攻击，保证取证系统自身的安全。其次，是大流量信息的获取所需要的记录速度与记录空间设计。再就是，如何保证这些记录不会被篡改，也就是公证系统的可提供性。法律部门可根据这些记录分析出时间、部位、行为及有关的犯罪证据来。