電腦鑑識(Cyber Forensic)又稱數位鑑識(Digital Forensic),泛指蒐集及分析以數位方式存在於資訊設備或網路媒體上的犯罪跡證,以作為起訴證據的一種科學辦案方法。事實上,建構有利於電腦鑑識的資訊網路環境,可以有效的嚇阻電腦犯罪(Cyber Crime),對單位或企業的資訊安全絕對有正面的幫助。
為有防範資訊安全事件的發生及事後的追查與分析,資訊管理人員在應用資訊安全的工具上,通常會包括防火牆、防毒牆、入侵偵測系統(IPS)、與虛擬私有網路設備(VPN)等網路防禦設備。這些設備雖對於防範非法的網路連線有顯著的功效,但對於內部員工合法的對外連線卻缺乏有效的管制與威嚇手段。在資訊安全事件發生後的的追查上,也僅能在主機及防火牆所產生的巨量系統與連線紀錄上,尋找蛛絲馬跡。另一方面,經常發生的是網管人員在有效時間內並未發現資訊安全事件發生,肇至電腦鑑識所需的跡證完整性毀損。在這些狀況下蒐集的資訊對電腦鑑識是否有幫助,並進而可以成為法庭上證明電腦犯罪所要的呈堂證據,顯然仍有很大的差距。
對電腦鑑識而言,單位或企業敏感資料的外流產生的資訊安全事件應變作為中,必須盡可能保存在第一時間相關的數位證據。保存資料與方式不當,不僅無證據力,並且也無法估算損失,造成單位或企業無法追償或日後資訊安全風險控管的困難。而數位證據的保存,依據海巡總局高大宇科長的說法,必須把握「記錄來源網址」、「釐清案發時間」、「還原事件經過」與「分析相關理由」等原則進行。紀錄的保存以「正向證明」較具證據力,例如多次系統登入失敗的紀錄,僅能佐證登入意圖,並無法證明試圖登入者為元凶,因為洩密是由登錄成功者所為。所以任何資安事件最好能記錄來成功登陸使用的帳號、來源及目的網址與埠號、發生時間、使用協定、及洩密內容等資訊,以有利於電腦鑑識還原事件經過。
事有千慮,終有一疏。安全的資訊作業環境,不僅要盡力建置需要的資訊安全管制設備或系統,以防範資訊安全事件發生於未然;在資訊安全系統建置的規劃上,亦須考量建構有利於電腦鑑識,可完整記錄連線資訊的資訊安全設備,不但可以利於電腦鑑識事後追訴與風險控管,亦可對意圖資訊安全洩密者產生威嚇作用。
|