性色av无码一区二区三区人妻,人妻精品久久久久中文字幕99,日韩久久中文字幕,人人爽人人爽人人爽av

搜索
Close this search box.

電子數(shù)據(jù)取證在企業(yè)信息風(fēng)險(xiǎn)管控中的應(yīng)用

作者:admin 發(fā)布日期:2017-05-31 10:01:17

問(wèn):我們公司經(jīng)常涉及到調(diào)查員工的計(jì)算機(jī)使用數(shù)據(jù)的問(wèn)題。假設(shè)員工的計(jì)算機(jī)知識(shí)與您一樣豐富,現(xiàn)在有很多第三方軟件擦除上網(wǎng)數(shù)據(jù),哪些數(shù)據(jù)是他不能夠擦出,哪些是他可以修改的?

答:我們這邊接觸做知識(shí)產(chǎn)權(quán)保護(hù)的案例比較多。公司的話(huà)都有相應(yīng)的特定策略,機(jī)器上可以安裝哪些軟件,不能安裝哪些軟件,這個(gè)都是有規(guī)定的。

電子取證

問(wèn):我的前提是員工假設(shè)有足夠的權(quán)限。

答:如果有足夠的權(quán)限的話(huà),他要做這樣的事情,那非常不幸,目前我們碰到的案例很難將他繩之以法。電子數(shù)據(jù)就算安裝了DLP系統(tǒng),因?yàn)殡娮訑?shù)據(jù)是可以更改和刪除的,所以權(quán)限不能放在一個(gè)人手里。我接觸的很多公司他的權(quán)限都是放在幾個(gè)人手里,你要去改動(dòng)幾個(gè)關(guān)鍵的數(shù)據(jù)必須要幾個(gè)人同時(shí)有這個(gè)權(quán)限進(jìn)去操縱。

問(wèn):我的意思是就針對(duì)個(gè)人電腦。公司裝的話(huà),IT會(huì)有一個(gè)管理員密碼,用于有不同的級(jí)別,但是有些用戶(hù)也是授予了管理員權(quán)限,可以自己裝、刪程序,在這種情況下是否也如您剛才所言......

答:首先從網(wǎng)絡(luò)安全管控的角度說(shuō),一般的用戶(hù)怎么會(huì)有管理員權(quán)限呢?之前我有碰到一個(gè)案件,公司里的銷(xiāo)售總監(jiān)和IT總監(jiān),把公司的商業(yè)核心機(jī)密都拷貝了。當(dāng)時(shí)我們就是質(zhì)疑這一點(diǎn),公司后來(lái)也承認(rèn)他們的管理是有問(wèn)題的。一個(gè)總監(jiān)能訪(fǎng)問(wèn)到所有資源的東西,他拷貝的時(shí)候公司也沒(méi)有進(jìn)行相應(yīng)的權(quán)限設(shè)置。后面要證明是這個(gè)人拷貝走的,公司也沒(méi)有相應(yīng)的日志記錄。一般這種資源被拷貝走的話(huà)服務(wù)器要有登錄的記錄,但是這個(gè)公司連登錄的記錄也沒(méi)有,如果要作為商業(yè)機(jī)密去報(bào)案,那么公安很難立案。因?yàn)檫@個(gè)銷(xiāo)售總監(jiān)有超級(jí)權(quán)限,他可以把登錄記錄刪除。所以這是公司的安全策略有問(wèn)題。我們是做取證,我們只能?chē)L試去做恢復(fù),去看有沒(méi)有相應(yīng)的痕跡。一個(gè)硬盤(pán)的數(shù)據(jù)恢復(fù)不是100%可以恢復(fù)的。如果擦出的好完全恢復(fù)不出來(lái)的。

問(wèn):現(xiàn)在的SSD硬盤(pán)假設(shè)刪除后又從垃圾箱清空了,這種是不是也無(wú)法恢復(fù)?

答:SSD硬盤(pán)大多數(shù),老的有一些是可以恢復(fù)的,新的大多數(shù)是恢復(fù)不了的。

問(wèn):我們是一家跨國(guó)公司,我們電子郵件的服務(wù)器很多是架設(shè)在境外的。我們之前有一個(gè)案件涉及到電子郵件真?zhèn)蔚膯?wèn)題。本地的司法鑒定機(jī)構(gòu)從我們收到的本地的筆記本電腦把數(shù)據(jù)復(fù)制下來(lái)進(jìn)行鑒定。得出的結(jié)論是本地文件未見(jiàn)異常,但是因?yàn)闆](méi)辦法從國(guó)外的服務(wù)器上看到原始數(shù)據(jù)所以鑒定受限,不能做出郵寄絕對(duì)真實(shí)性的判斷。是不是這樣的情況,或者我們希望中國(guó)國(guó)內(nèi)的司法鑒定機(jī)構(gòu)在法律訴訟中做出這樣的結(jié)論的話(huà)需要具備哪些條件?

答:郵件做司法鑒定當(dāng)時(shí)我們考慮到以下幾點(diǎn):一,下載到本地的東西的確從記錄上可以修改的,如果要判斷說(shuō)郵件沒(méi)有進(jìn)行過(guò)修改首先第三方服務(wù)器機(jī)構(gòu)要出一個(gè)證明,說(shuō)該郵件是不能進(jìn)行篡改的。

問(wèn):國(guó)外會(huì)有這樣的機(jī)構(gòu)出示證明,國(guó)內(nèi)的鑒定機(jī)構(gòu)和司法機(jī)關(guān)可以接受嗎?

答:我們有這樣電子數(shù)據(jù)取證成功的案例。我們有一個(gè)新加坡廠商因?yàn)橄螺d到本地的東西是可以修改的,如果在境外的服務(wù)器上還有,因?yàn)橥泄艿脑?huà)前提是交給第三方做這樣一個(gè)操作的,不是說(shuō)公司搭的自己的郵件服務(wù)器。如果是公司自己搭的郵件服務(wù)器那要證明幾點(diǎn):一,郵件里的log日志,接收和發(fā)送的日志文件,本地文件和日志文件都要對(duì)應(yīng)起來(lái),雖然最后得出的結(jié)論依然是未發(fā)現(xiàn)修改,但是這個(gè)未發(fā)現(xiàn)修改比直接本地直接保存郵件的未發(fā)現(xiàn)修改的證明力要高很多。

問(wèn):很多公司電子郵件的保存和日志文件的話(huà)是有期限的。從事后糾紛的角度講,很可能我們?cè)谧霰H臅r(shí)候可能已經(jīng)超過(guò)了日志的保存期限。如果服務(wù)器的日志保存期限消失的話(huà)就沒(méi)有辦法做絕對(duì)真實(shí)性的判斷了。

答:對(duì),沒(méi)錯(cuò)。郵件下載到本地的話(huà)就是可以改的。前兩年我們碰到的一個(gè)案子是關(guān)于一個(gè)電子合同,市值很高,就是和你一樣的情況,但是像這種案件法院就是無(wú)法認(rèn)定。因?yàn)槲易鳛橐粋€(gè)專(zhuān)業(yè)人士我可以輕易的改一封郵件,從司法鑒定機(jī)構(gòu)完全看不出任何痕跡。

問(wèn):就是從服務(wù)器端做修改?

答:服務(wù)器端做修改也可以的。如果是日志的話(huà)郵件服務(wù)器交給第三方監(jiān)管的話(huà),不受自己本公司維護(hù),證明力要比公司維護(hù)好很多。如果第三方出具一個(gè)東西,你這個(gè)東西是你交給我來(lái)托管和運(yùn)營(yíng)的,然后你這邊只有訪(fǎng)問(wèn)的權(quán)限,沒(méi)有修改的權(quán)限,我這邊作為一個(gè)運(yùn)營(yíng)一直是正常的狀態(tài)的話(huà),那可以的。

問(wèn):你剛剛提到說(shuō)涉及國(guó)外鑒定機(jī)構(gòu)做的結(jié)論,如果國(guó)外有足夠資質(zhì)的鑒定機(jī)構(gòu)在國(guó)外的服務(wù)器上做這樣一個(gè)結(jié)論。中國(guó)的司法鑒定機(jī)構(gòu)和法院還是有可能接受的是嗎?

答:不是。不是國(guó)外的鑒定機(jī)構(gòu)去做這個(gè)操作。是郵件服務(wù)器的托管機(jī)構(gòu)出具證明說(shuō)我托管了你們公司的郵件服務(wù)器,然后把相應(yīng)的權(quán)限給中國(guó)的司法鑒定機(jī)構(gòu),證明說(shuō)你們公司只有在上面收取發(fā)送郵件,沒(méi)有對(duì)郵件的內(nèi)容進(jìn)行修改的權(quán)限,那是可以的。但是目前為止要找國(guó)外的鑒定機(jī)構(gòu)來(lái)做鑒定,首先國(guó)外沒(méi)有司法鑒定機(jī)構(gòu),一般是叫專(zhuān)家證人,他們出的鑒定報(bào)告中國(guó)是不承認(rèn)的。

問(wèn):也就是說(shuō)如果是一個(gè)國(guó)外服務(wù)器,像我們這樣一個(gè)情況很有可能在中國(guó)國(guó)內(nèi)的訴訟中很難做出一個(gè)絕對(duì)真實(shí)性判斷,是嗎?

答:不,就是找你那個(gè)運(yùn)營(yíng)單位給你出具一個(gè)證明。

問(wèn):如果是我們自己操作的,不是第三方托管的話(huà)那可能就不具備這樣一個(gè)條件了是吧?

答:那你必須提供日志。

 

問(wèn):想問(wèn)一下從您的角度出發(fā)怎么樣簽署一個(gè)商業(yè)合同會(huì)比較保險(xiǎn)。聽(tīng)下來(lái)如果用電子簽名的方式,即便用國(guó)外的技術(shù),在中國(guó)的證明效力也是非常有限的。如果在國(guó)內(nèi)讓別人蓋了公章用掃描件的方式用電子郵件發(fā)送過(guò)來(lái),這樣的方式可以嗎?我們想避免的問(wèn)題是大量的合同在日常的工作中要不停的寄送,原件的保存對(duì)我們?cè)斐闪撕艽蟮睦_。如果希望在這方面進(jìn)行電子化又同時(shí)不希望在電子化的過(guò)程中以后證明效力有影響,那怎么樣會(huì)比較合適。

答:我建議你用一些第三方的存證服,比如電子合同,你在傳輸?shù)倪^(guò)程中它那邊也有備份的。而且整個(gè)過(guò)程都是經(jīng)過(guò)校驗(yàn)值計(jì)算的。只是通過(guò)掃描件的方式如果有心要改還是可以改的。電子合同的托管服務(wù),你發(fā)給我的時(shí)候他們同時(shí)存證一份,何時(shí)發(fā)送,原始校驗(yàn)值是多少。

問(wèn):所以如果是通過(guò)他們這種方式都不需要簽字或掃描,只要通過(guò)電子的方式進(jìn)行操作,是嗎?

答:對(duì)的。有好多公司對(duì)電子郵件用類(lèi)似第三方機(jī)構(gòu)做電子數(shù)據(jù)取證存證服務(wù),且法院和檢察院都承認(rèn)的第三方機(jī)構(gòu)很多。


上一篇:勒索病毒全球蔓延 揭秘如何成功阻止災(zāi)難

下一篇:MySQL數(shù)據(jù)恢復(fù)的九大方法教程!

熱門(mén)閱讀

你丟失數(shù)據(jù)了嗎!

我們有能力從各種數(shù)字存儲(chǔ)設(shè)備中恢復(fù)您的數(shù)據(jù)

Scroll to Top