從稽核管理出發 建立營運與研發機密資料安全管理

中華民國電腦稽核協會理事長林宜隆。

中華民國電腦稽核協會理事長林宜隆博士，針對「證據保全與數位鑑識之新思維與新趨勢」議題做介紹。林宜隆在資安與數位鑑識領域服務多年，並身兼多家學校、研究、實驗與公家機關等單位的教授或召集人，目前也是台灣國際資安與數位鑑識產業發展協會召集人。

他認為近年來許多高科技犯罪、資安重大威脅事件，在各國政府打擊犯罪的過程中，同時也通過證據保全與數位鑑識等法案，以確保資通安全。而我們國家沒有像歐美那樣的「電子證據法」，只有刑事訴訟法。我國將數位證據視為傳統證據，刑法修正第38章第358條等相關法律，但電腦犯罪分析專家說民國92年至今被判刑確定者不到2人。由此凸顯我國在資安相關法令尚未完備，讓犯罪者逍遙法外，這也是他大力倡導「證據保全」與「數位鑑識」的原因。

IT人才的知識不足  致使資安問題亮紅燈

當今CyberSpace(數位匯流)涵蓋的Internet、IoT/IoE、Web x.y、Facebook、Big Data、Line、MDM、BYOD/C/S (D？C？S為裝置？雲端？安全)等新興資訊科技與觀念，為人類帶來了許多便利。在資訊使用安全上，除了從資訊倫理來規範，亦要從法治面來制定資訊法律，導入安全管理與數位偵查？鑑識，以全面杜絕資訊犯罪。

政府及企業資通安全相關問題，可分為外部問題(如企業間諜？企業駭客？APT)與內部問題: 企業資安人力？資安稽核人力？經費及能量不足、資安事件通報意願不高、委外開發軟體的品質問題、資訊作業委外處理衍生資安管理問題、人員資安意識不足、各企業橫向機制尚未建立(DEFSOP)、資訊相關法令未完備、證據保全與數位鑑識。

以近期的重大資安威脅事件來看，如IDC機房火災、國安局遭駭客攻擊、南韓多家企業因受駭而停擺、eTag系統設計問題、戶役政系統當機、台鐵電車斷線，以及高鐵跳電等事件，大多數是CIP(關鍵基礎設施保護)？CIIP(關鍵訊息基礎設施保護)上的認知不足，尤高鐵還欠缺數位鑑識機制，以追查問題發生的原因。

因此推動證據保全與數位鑑識，可讓企業在發生資安問題時，在訴訟過程中，提供有利的證據。

導入數位證據與鑑識  強化企業風險管理

數位證據與傳統證據有很大的不同處，由於數位證據可以被複製、修改、移除，具備可列印？不可列印，可讀？不可讀，可執行？不可執行等特性。林宜隆因此提出了「證據保全」的新觀念，亦即如何強化數位鑑識的有效期，讓該證據受到保護且能成為有效的訴訟工具。

至於所謂的電腦鑑識(數位鑑識)，其定義就是以周延的方法及程序來保存、識別、抽取、記載及解讀電腦及網路媒體證據與分析其成因之科學。其方法與基本原則是：1. 在不改變或破壞證物的情況下取得原始證物(I完整性)；2. 證明所抽取的證物來自扣押的證物(P正確性)；3. 在不改變證物的情況下進行分析(C一致性)。

配置資安專業人才  推動數位鑑識實施

林宜隆說明美國在數位鑑識能量的投入，從施行沙賓、Basel II法案開始，數位鑑識為公司風險管理之重要基礎，國際四大會計師事務所皆成立相關部門來推動，以打擊網路犯罪、強化數位鑑識能量與直髮人員訓練、並建立SOP與DEFSOP。在我國的數位鑑識發展規劃中，亦從實驗室、軟體工具、人才、標準程序等四個構面來實施。

有關他提出的DEFSOP(數位鑑識標準程序)，綜合各國學者的觀點，不外乎有準備工作、搜尋、保存、復原、分析、檢查、鑑定、呈現結果。而DEFSOP更具備有效性的4P(預防、防護、保全、呈現)模型，並具備適法性、完整性、正確性、一致性等特點。

林宜隆列舉個資法條文裡，許多也牽涉到他所提出的數位鑑識、DEFSOP、各種規範資安的ISO國際標準，需要各種資安專業人才(包括資安防護、攻擊、鑑識、偵查、教育、治理等人才)。

然在企業導入各種資安制度與專才的過程中，數位鑑識須符合國際標準(如推行中的ISO17025)、鑑識工具須符合國際認(ISO17025)、蒐證流程須符合國際規定(ISO27037)。