信息安全催生完備可信的法律環(huán)境

申請免費試用、咨詢電話：400-8352-114

長期專注于信息安全領域的中科院許榕生教授，近年來忙于研究一個頗有開創(chuàng)性意味的應用領域--網(wǎng)絡取證。許教授坦言，對于這一新應用的關注，最早是在2000年，是從銀行家那里學來的。當時美國加州的某著名銀行，盡管已經(jīng)擁有強大的信息安全體系，但該銀行仍嫌不足以確保萬無一失，進而提出取證保護的需求。次年，美國信息安全界便提出，對于類似數(shù)字犯罪之類的行為，不一定非要通過防火墻拒之門外，轉而采取一種全新的策略：你膽敢攻擊我，我就設法記錄攻擊全過程，作為追究法律責任的憑證。

不久之后，安然公司財務危機東窗事發(fā)。安然公司提前銷毀了那些關鍵的紙質文件，并裝了整整兩大麻袋運出大樓。美國情報機構通過直升飛機，監(jiān)視到了這一舉動，但并未加以制止。信息安全專家說，不要緊，只要電腦在就行。因為即便數(shù)據(jù)被刪除，仍可以進行數(shù)據(jù)恢復，安然公司總部的100多臺PC隨即被查封。

2001年“9·11”事件之后，有不少公司派人去廢墟中尋找燒焦的PC中的光盤，哪怕是半張！在全球，已經(jīng)出現(xiàn)一批“法醫(yī)專家”。他們的職責就是使用軟件和硬件工具，對數(shù)據(jù)進行恢復、提取和保護，以應對日益嚴重的信息安全問題。

許榕生教授認為，網(wǎng)絡安全之所以棘手，是因為：(1)入侵渠道十分隱蔽，也越來越容易。（2）法律空白。法律界對IT十分不了解，對于數(shù)字的證據(jù)，目前大多都不認可。

目前，信息安全領域的魔道之爭，大多還停留在技術層面。在法律層面，由于數(shù)字證據(jù)太脆弱，很容易被篡改，而成為世界范圍內(nèi)的難題。為此，服務于法律訴訟需求的網(wǎng)絡取證概念應運而生。

許教授對于信息安全的現(xiàn)狀不無擔憂：“雖然現(xiàn)在所謂的安全網(wǎng)絡都實現(xiàn)了隔離，辦公室都快變成機房了，但是只要通過一些移動存儲設備，就可以徹底摧毀這種防御措施。數(shù)據(jù)失竊隨時都有可能發(fā)生。因此，僅僅有技術手段是不可的，還必須有法律保障。”

好在，許教授的看法，很快便得到了法律界專家的響應。北京京都律師事務所的白而強律師，長期關注IT領域的法律問題，近來干脆潛心研究網(wǎng)絡取證，并提出了一系列在現(xiàn)階段可供借鑒的保管箱思路，即數(shù)據(jù)請求保全當事人通過委托獨立第三人同步保管，對其請求的數(shù)據(jù)進行保全，作為法律上的憑證。同時，許教授也提出了數(shù)據(jù)黑匣子模型，即借鑒飛機黑匣子原理，通過設計一個可信的、大容量、高可靠性的存儲系統(tǒng)，對網(wǎng)絡數(shù)據(jù)進行全程記錄，然后通過專門的軟件進行證據(jù)分析。

為防范類似安然事件的發(fā)生，美國政府出臺了薩班-奧克斯利法案（SOX），以加強對公司財務的監(jiān)管，同時也針對公司的信息存儲和通信，提出了明確而嚴格的規(guī)范，本報應用與方案版于4月11日通過法規(guī)遵從性專題討論，對此做了比較及時而全面的介紹。該專題一經(jīng)刊出，讀者紛紛來信表示，信息安全立法也許還不是國內(nèi)最著急的事情，但終有一天我們必須面對。他們對于中國IT法規(guī)環(huán)境的空白無不深感關切和擔憂。

遺憾的是，目前國內(nèi)單純討論信息安全技術的聲音居多，類似討論法治的聲音依然小得可憐。我們主張，探討信息安全這樣一個日益影響到IT應用與運行環(huán)境全局的話題，除了IT、法律界專業(yè)人士的努力，用戶的力量更不可或缺。因為惟有用戶的需求主導，才可能催生出完備的可信的法律環(huán)境。也因此，那些有遠見、敢為人先的IT、法律界人士為此而做的一切努力，確實值得廣大信息化決策者和CIO給予必要的關注。

來源：CCW