作者:浙江工業(yè)大學(xué)軟件開(kāi)發(fā)環(huán)境重點(diǎn)實(shí)驗(yàn)室 趙小敏 陳慶章
目前,打擊計(jì)算機(jī)犯罪的關(guān)鍵是如何將犯罪者留在計(jì)算機(jī)中的“痕跡”作為有效的訴訟證據(jù)提供給法庭���,以便將犯罪者繩之以法����。此過(guò)程涉及的技術(shù)便是目前人們研究與關(guān)注的計(jì)算機(jī)取證(Computer Forensics)技術(shù)�����,它是計(jì)算機(jī)領(lǐng)域和法學(xué)領(lǐng)域的一門(mén)交叉科學(xué)�����。計(jì)算機(jī)取證被用來(lái)解決大量的計(jì)算機(jī)犯罪和事故���,包括網(wǎng)絡(luò)入侵���、盜用知識(shí)產(chǎn)權(quán)和E-mail欺騙等,它已成為所有公司和政府部門(mén)信息安全保證的基本工作��。
Lee Garber在IEEE Security發(fā)表的文章中認(rèn)為���,計(jì)算機(jī)取證是分析硬盤(pán)驅(qū)動(dòng)�����、光盤(pán)����、軟盤(pán)���、Zip和Jazz磁盤(pán)�、內(nèi)存緩沖以及其它形式的儲(chǔ)存介質(zhì)以發(fā)現(xiàn)犯罪證據(jù)的過(guò)程�。計(jì)算機(jī)取證資深專(zhuān)家Judd Robbins對(duì)此給出了如下的定義:計(jì)算機(jī)取證是將計(jì)算機(jī)調(diào)查和分析技術(shù)應(yīng)用于對(duì)潛在的、有法律效力的證據(jù)的確定與獲取�����。計(jì)算機(jī)緊急事件響應(yīng)組和取證咨詢公司New Technologies進(jìn)一步擴(kuò)展了該定義:計(jì)算機(jī)取證包括了對(duì)以磁介質(zhì)編碼信息方式存儲(chǔ)的計(jì)算機(jī)證據(jù)的保護(hù)���、確認(rèn)��、提取和歸檔�。SANS公司則歸結(jié)為:計(jì)算機(jī)取證是使用軟件和工具,按照一些預(yù)先定義的程序�����,全面地檢查計(jì)算機(jī)系統(tǒng)����,以提取和保護(hù)有關(guān)計(jì)算機(jī)犯罪的證據(jù)。
因此�����,計(jì)算機(jī)取證是指對(duì)能夠?yàn)榉ㄍソ邮艿?、足夠可靠和有說(shuō)服力的、存在于計(jì)算機(jī)和相關(guān)外設(shè)中的電子證據(jù)(Electronic Evidence)的確定����、收集、保護(hù)���、分析�、歸檔以及法庭出示的過(guò)程����。
電子證據(jù)
計(jì)算機(jī)取證主要是圍繞電子證據(jù)來(lái)展開(kāi)工作的��,其目的就是將儲(chǔ)存在計(jì)算機(jī)及相關(guān)設(shè)備中反映犯罪者犯罪的信息成為有效的訴訟證據(jù)提供給法庭���。電子證據(jù)也稱(chēng)為計(jì)算機(jī)證據(jù)��,是指在計(jì)算機(jī)或計(jì)算機(jī)系統(tǒng)運(yùn)行過(guò)程中產(chǎn)生的����,以其記錄的內(nèi)容來(lái)證明案件事實(shí)的電磁記錄物。電子證據(jù)在計(jì)算機(jī)屏幕上的表現(xiàn)形式是多樣的��,尤其是多媒體技術(shù)的出現(xiàn)����,更使電子證據(jù)綜合了文本、圖形��、圖像�、動(dòng)畫(huà)、音頻及視頻等多種媒體信息����,這種以多媒體形式存在的計(jì)算機(jī)證據(jù)幾乎涵蓋了所有傳統(tǒng)證據(jù)類(lèi)型。與傳統(tǒng)證據(jù)一樣���,電子證據(jù)必須是:可信的�、準(zhǔn)確的、完整的��、符合法律法規(guī)的�����,即可為法庭所接受的�����。但是�,電子證據(jù)還具有與傳統(tǒng)證據(jù)有別的其它特點(diǎn):例如,高科技性����,電子證據(jù)的產(chǎn)生、儲(chǔ)存和傳輸�����,都必須借助于計(jì)算機(jī)技術(shù)����、存儲(chǔ)技術(shù)���、網(wǎng)絡(luò)技術(shù)等,離開(kāi)了高科技含量的技術(shù)設(shè)備�,電子證據(jù)就無(wú)法保存和傳輸;無(wú)形性,不是肉眼直接可見(jiàn)的��,必須借助適當(dāng)?shù)墓ぞ?易破壞性�����,可能被篡改甚至刪除而不留任何痕跡��。因此���,如何對(duì)電子物證收集、保護(hù)���、分析和展示����,成了司法和計(jì)算機(jī)科學(xué)領(lǐng)域新的研究課題����。
電子證據(jù)的來(lái)源很多���,主要有系統(tǒng)日志,IDS�����、防火墻���、ftp�、www和反病毒軟件日志�����,系統(tǒng)的審計(jì)記錄(Audit trails)����,網(wǎng)絡(luò)監(jiān)控流量(Network monitor traffic),E-mail�,Windows操作系統(tǒng)和數(shù)據(jù)庫(kù)的臨時(shí)文件或隱藏文件,數(shù)據(jù)庫(kù)的操作記錄�,硬盤(pán)驅(qū)動(dòng)的交換(swap)分區(qū)、slack區(qū)和空閑區(qū)�����,軟件設(shè)置,完成特定功能的腳本文件����,Web瀏覽器數(shù)據(jù)緩沖,書(shū)簽���、歷史記錄或會(huì)話日志���、實(shí)時(shí)聊天記錄等等。
值得注意的是�,聰明的入侵者往往在入侵結(jié)束后將自己殘留在受害方系統(tǒng)中的“痕跡”擦除掉���,猶如犯罪者銷(xiāo)毀犯罪證據(jù)一樣盡量刪除或修改日志文件及其它有關(guān)記錄���。殊不知一般地刪除文件操作,即使在清空了回收站后�,要不是將硬盤(pán)低級(jí)格式化或?qū)⒂脖P(pán)空間裝滿,仍可將“刪除”的文件恢復(fù)過(guò)來(lái)�����。在Windows操作系統(tǒng)下的windows swap(page)file(一般用戶不曾意識(shí)到它的存在)�����,大概有20-200M的容量,記錄著字符處理�����、Email消息�、Internet瀏覽行為、數(shù)據(jù)庫(kù)事務(wù)處理以及幾乎其它任何有關(guān)windows會(huì)話工作的信息��。另外���,在windows下還存在著file slack��,記錄著大量Email碎片(Fragments)����、字符處理碎片����、目錄樹(shù)鏡像(snapshot)以及其它潛在的工作會(huì)話碎片。以上這些都可以利用計(jì)算機(jī)取證軟件來(lái)收集�����,作為潛在的電子證據(jù)。
計(jì)算機(jī)取證的原則和步驟
根據(jù)電子證據(jù)的特點(diǎn)���,計(jì)算機(jī)取證的主要原則有以下幾點(diǎn):
1)盡早搜集證據(jù)����,并保證其沒(méi)有受到任何破壞;
2)必須保證“證據(jù)連續(xù)性(chain of custody)”�����,即在證據(jù)被正式提交給法庭時(shí)�����,必須能夠說(shuō)明在證據(jù)從最初的獲取狀態(tài)到在法庭上出現(xiàn)狀態(tài)之間的任何變化�����,當(dāng)然最好是沒(méi)有任何變化;
3)整個(gè)檢查���、取證過(guò)程必須是受到監(jiān)督的,也就是說(shuō)��,由原告委派的專(zhuān)家所做的所有調(diào)查取證工作,都應(yīng)該受到由其他方委派的專(zhuān)家的監(jiān)督�����。
計(jì)算機(jī)取證過(guò)程和技術(shù)比較復(fù)雜����,在打擊計(jì)算機(jī)犯罪時(shí),執(zhí)法部門(mén)還沒(méi)有形成統(tǒng)一標(biāo)準(zhǔn)的程序來(lái)進(jìn)行計(jì)算機(jī)取證工作��。根據(jù)我們的研究和工作經(jīng)驗(yàn)����,計(jì)算機(jī)取證步驟應(yīng)有以下幾點(diǎn):
1、保護(hù)目標(biāo)計(jì)算機(jī)系統(tǒng)
計(jì)算機(jī)取證時(shí)�����,第一件要做的事是凍結(jié)計(jì)算機(jī)系統(tǒng)��,不給犯罪分子破壞證據(jù)提供機(jī)會(huì)�����。在這方面����,計(jì)算機(jī)取證與普通警察封鎖犯罪現(xiàn)場(chǎng)��、搜索證物沒(méi)有區(qū)別�����。避免發(fā)生任何的更改系統(tǒng)設(shè)置����、硬件損壞����、數(shù)據(jù)破壞或病毒感染的情況。
2��、電子證據(jù)的確定
現(xiàn)在存儲(chǔ)介質(zhì)容量越來(lái)越大�,必須在海量的數(shù)據(jù)中區(qū)分哪些是電子證據(jù),相對(duì)計(jì)算機(jī)取證來(lái)說(shuō)哪些是垃圾數(shù)據(jù)��。因此��,根據(jù)系統(tǒng)的破壞程度���,應(yīng)確定哪些由犯罪者留下的活動(dòng)記錄作為主要的電子證據(jù)���,確定這些記錄存在哪里、是怎樣存儲(chǔ)的�����。
3����、電子證據(jù)的收集
1)調(diào)查員要記錄系統(tǒng)的硬件配置,把各硬件之間的連接情況記錄在案���,以便計(jì)算機(jī)系統(tǒng)移到安全的地方保存和分析的時(shí)候能重新恢復(fù)到初始的狀態(tài)���。
2)用磁盤(pán)鏡像工具(如Safe back、SnapBack DatArret 和DIBS RAID等)對(duì)目標(biāo)系統(tǒng)磁盤(pán)驅(qū)動(dòng)中的所有數(shù)據(jù)進(jìn)行字符流的鏡像備份���。鏡像備份后就可對(duì)計(jì)算機(jī)證據(jù)進(jìn)行處理���,萬(wàn)一對(duì)收集來(lái)的電子證據(jù)產(chǎn)生疑問(wèn)時(shí),可用鏡像備份的數(shù)據(jù)恢復(fù)到系統(tǒng)的原始狀態(tài)���,作為分析數(shù)據(jù)的原始參考數(shù)據(jù)�,使得分析的結(jié)果具有可信性。
3)用取證工具(如EnCase�,詳見(jiàn)取證工具的Encase例子)收集相關(guān)的電子證據(jù),對(duì)系統(tǒng)的日期和時(shí)間進(jìn)行記錄歸檔�,對(duì)可能作為證據(jù)的數(shù)據(jù)通過(guò)加密手段發(fā)送給取證服務(wù)器進(jìn)行分析。對(duì)UNIX系統(tǒng)可能還需要一些命令做輔助�,收集有關(guān)信息,對(duì)操作情況要做記錄歸檔��。對(duì)關(guān)鍵的證據(jù)數(shù)據(jù)用光盤(pán)備份��,有條件的可以直接將電子證據(jù)打印成文件證據(jù)��。
根據(jù)我們目前的研究�����,在缺乏自主知識(shí)產(chǎn)權(quán)的計(jì)算機(jī)取證工具的前提下�����,收集電子證據(jù)上傳到取證服務(wù)器統(tǒng)一保護(hù)和分析����,采用基于代理(Agent)的C/S結(jié)構(gòu)(見(jiàn)圖一)。client端即目標(biāo)系統(tǒng)端程序采用主動(dòng)搜索和被動(dòng)接受兩種相結(jié)合的方式將電子證據(jù)上傳給取證服務(wù)器��。定義已知常見(jiàn)的電子證據(jù)來(lái)源如系統(tǒng)名稱(chēng)�、時(shí)期時(shí)間、系統(tǒng)日志�����、應(yīng)用軟件日志����、郵件數(shù)據(jù)、臨時(shí)文件信息���、Email數(shù)據(jù)等���,利用程序的自動(dòng)搜索功能,將可疑為電子證據(jù)的文件或數(shù)據(jù)羅列出來(lái)����,由調(diào)查員確認(rèn)發(fā)送給取證服務(wù)器。對(duì)數(shù)據(jù)量特別大的電子證據(jù)文件如網(wǎng)絡(luò)防火墻和NIDS的日志����,可由調(diào)查員先對(duì)其光盤(pán)備份進(jìn)行原始數(shù)據(jù)保全,然后將可疑為入侵者IP的相關(guān)信息挖掘出來(lái)發(fā)送給取證服務(wù)器���。由受害方提供的其它相關(guān)信息也可通過(guò)client端程序上傳���。
Server端的取證服務(wù)器采用LDAP目錄形式組織上傳的電子證據(jù)����,由控制臺(tái)對(duì)電子證據(jù)進(jìn)行管理���。各類(lèi)電子證據(jù)上傳時(shí)���,將相關(guān)的文件證據(jù)存入取證服務(wù)器特定目錄并將存放目錄、文件類(lèi)型(是系統(tǒng)日志����,應(yīng)用日志,還是郵件文件或是其它臨時(shí)文件等)����、來(lái)源(IP)等信息存入取證服務(wù)器的數(shù)據(jù)庫(kù)中。
控制臺(tái)主要用于電子證據(jù)加密上傳的密鑰分配����,電子證據(jù)的審計(jì)與分析、產(chǎn)生報(bào)告并打印,結(jié)案后管理員對(duì)電子證據(jù)的處理等��。
4�����、電子證據(jù)的保護(hù)
由于電子證據(jù)可能被不留痕跡的修改或破壞���,應(yīng)用適當(dāng)?shù)膬?chǔ)存介質(zhì)(如Mess storage或CD-ROM)進(jìn)行原始的鏡像備份?�?紤]到在計(jì)算機(jī)取證中有些案例可能要花上兩三年時(shí)間來(lái)解決��,取證調(diào)查時(shí)可將鏡像備份的介質(zhì)打上封條放在安全的地方���。對(duì)獲取的電子證據(jù)采用安全措施進(jìn)行保護(hù)�,非相關(guān)人員不準(zhǔn)操作存放電子證據(jù)的計(jì)算機(jī)����。不輕易刪除或修改與證據(jù)無(wú)關(guān)的文件以免引起有價(jià)值的證據(jù)文件的永久丟失。
5����、電子證據(jù)的分析
由于原始的電子證據(jù)是存放在磁盤(pán)等介質(zhì)里,具有不可見(jiàn)性,需要借助計(jì)算機(jī)的輔助程序來(lái)查看����。同時(shí),沒(méi)有相當(dāng)IT知識(shí)的人也很難理解電子證據(jù)的信息���。因此�,對(duì)電子證據(jù)的分析并得出結(jié)果報(bào)告是電子證據(jù)能否在法庭上展示����,作為起訴計(jì)算機(jī)犯罪者的犯罪證據(jù)的重要過(guò)程。分析需要很深的專(zhuān)業(yè)知識(shí)���,應(yīng)由專(zhuān)業(yè)的取證專(zhuān)家來(lái)分析電子證據(jù)�。
1)做一系列的關(guān)鍵字搜索獲取最重要的信息����。因?yàn)槟壳暗挠脖P(pán)容量非常大,取證專(zhuān)家不可能手動(dòng)查看和評(píng)估每一個(gè)文件��。因此需要一些自動(dòng)取證的文本搜索工具來(lái)幫助發(fā)現(xiàn)相關(guān)的信息�����。
2)對(duì)文件屬性、文件的數(shù)字摘要和日志進(jìn)行分析�����,根據(jù)已經(jīng)獲得的文件或數(shù)據(jù)的用詞�����、語(yǔ)法和寫(xiě)作(編程)風(fēng)格��,推斷出其可能的作者���。如果政策允許可利用數(shù)據(jù)解密技術(shù)和密碼破譯技術(shù),對(duì)電子介質(zhì)中的被保護(hù)信息進(jìn)行強(qiáng)行訪問(wèn)以獲取重要信息�。
3)評(píng)估windows交換文件,file slack�,未分配的空間。因?yàn)檫@些地方往往存放著犯罪者容易忽視的證據(jù)�。在這方面,專(zhuān)業(yè)的取證公司NTI的IPFilter和Guidance Software公司的EnCase都可以幫助取證專(zhuān)家獲取重要的信息����。用恢復(fù)工具如EasyRecovery恢復(fù)被刪除的文件,尤其是被犯罪者刪除的日志文件����,以發(fā)現(xiàn)其蹤跡����。
4)對(duì)電子證據(jù)做一些智能相關(guān)性的分析��,即發(fā)掘同一事件的不同證據(jù)間的聯(lián)系���。隨著計(jì)算機(jī)分步式技術(shù)的發(fā)展����,犯罪者往往在同一時(shí)間段內(nèi)對(duì)目標(biāo)系統(tǒng)做分步式的攻擊以分散管理員的注意力����。在分析電子證據(jù)時(shí),應(yīng)對(duì)其進(jìn)行關(guān)聯(lián)分析�����。如在某一時(shí)間段內(nèi)�,來(lái)自攻擊者的IP在不同系統(tǒng)中留下的痕跡按一定的順序?qū)⑵淞_列出來(lái),并評(píng)估它們的相關(guān)性�。
5)取證專(zhuān)家完成電子證據(jù)的分析后應(yīng)給出專(zhuān)家證明,這與偵查普通犯罪時(shí)法醫(yī)的角色沒(méi)有區(qū)別�����。
6、歸檔
在計(jì)算機(jī)取證的最后階段�,應(yīng)整理取證分析的結(jié)果供法庭做為訴公證據(jù)。主要對(duì)涉及計(jì)算機(jī)犯罪的日期和時(shí)間��、硬盤(pán)的分區(qū)情況���、操作系統(tǒng)和版本����、運(yùn)行取證工具時(shí)數(shù)據(jù)和操作系統(tǒng)的完整性�、計(jì)算機(jī)病毒評(píng)估情況、文件種類(lèi)�����、軟件許可證以及取證專(zhuān)家對(duì)電子證據(jù)的分析結(jié)果和評(píng)估報(bào)告等進(jìn)行歸檔處理�����。尤其值得注意的是���,在處理電子證據(jù)的過(guò)程中�,為保證證據(jù)的可信度�����,必須對(duì)各個(gè)步驟的情況進(jìn)行歸檔以使證據(jù)經(jīng)的起法庭的質(zhì)詢���。
計(jì)算機(jī)取證工具
在計(jì)算機(jī)取證過(guò)程中����,相應(yīng)的取證工具必不可少��,常見(jiàn)的有tcpdump����,Argus,NFR���,tcpwrapper����,sniffers�,honeypot,Tripwires��,Network monitor,鏡像工具等�����。在國(guó)外計(jì)算機(jī)取證過(guò)程中比較流行的是鏡像工具和專(zhuān)業(yè)的取證軟件�����。表一是SC infoSecurity雜志評(píng)選出來(lái)的比較優(yōu)秀的磁盤(pán)鏡像工具�����。表二是2002年計(jì)算機(jī)取證軟件的優(yōu)秀商業(yè)產(chǎn)品����。
下面以EnCase做為一個(gè)計(jì)算機(jī)取證技術(shù)的案例來(lái)分析。EnCase是目前使用最為廣泛的計(jì)算機(jī)取證工具�,至少超過(guò)2000家的法律執(zhí)行部門(mén)在使用它。它提供良好的基于windows的界面(如圖二)���,左邊是case文件的目錄結(jié)構(gòu),右邊是用戶訪問(wèn)目錄的證據(jù)文件的列表����。
EnCase是用C++編寫(xiě)的容量大約為1M的程序�����,它能調(diào)查Windows����,Macintosh��,Linux���,Unix或DOS機(jī)器的硬盤(pán)���,把硬盤(pán)中的文件鏡像成只讀的證據(jù)文件,這樣可以防止調(diào)查人員修改數(shù)據(jù)而使其成為無(wú)效的證據(jù)����。為了確定鏡像數(shù)據(jù)與原始數(shù)據(jù)相同,EnCase會(huì)計(jì)算機(jī)CRC校驗(yàn)碼和MD5哈希值進(jìn)行比較�。 EnCase對(duì)硬盤(pán)驅(qū)動(dòng)鏡像后重新組織文件結(jié)構(gòu)�����,采用Windows GUI顯示文件的內(nèi)容,允許調(diào)查員使用多個(gè)工具完成多個(gè)任務(wù)。
在檢查一個(gè)硬盤(pán)驅(qū)動(dòng)時(shí),EnCase深入操作系統(tǒng)底層查看所有的數(shù)據(jù)——包括file slack,未分配的空間和Windows交換分區(qū)(存有被刪除的文件和其它潛在的證據(jù))的數(shù)據(jù)。在顯示文件方面��,EnCase可以由多種標(biāo)準(zhǔn)如時(shí)間戳或文件擴(kuò)展名來(lái)排序。此外�����,EnCase可以比較已知擴(kuò)展名的文件簽名����,使得調(diào)查人員能確定用戶是否通過(guò)改變文件擴(kuò)展名來(lái)隱藏證據(jù)���。對(duì)調(diào)查結(jié)果可以采用html或文本方式顯示,并可打印出來(lái)����。
計(jì)算機(jī)取證涉及的法律問(wèn)題
我國(guó)有關(guān)計(jì)算機(jī)取證的研究與實(shí)踐尚在起步階段,只有一些法律法規(guī)涉及到了部分計(jì)算機(jī)證據(jù)���,如《關(guān)于審理科技糾紛案件的若干問(wèn)題的規(guī)定》����、《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》�、《計(jì)算機(jī)軟件保護(hù)條例》等�����。目前在法律界對(duì)電子證據(jù)作為訴公證據(jù)也存在一定的爭(zhēng)議�。在刑事��、民事程序法規(guī)定的七類(lèi)法定證據(jù)中未明確規(guī)定電子證據(jù)做為合法的證據(jù)類(lèi)型�,但民事訴訟理論界在司法實(shí)踐時(shí)通常將計(jì)算機(jī)證據(jù)歸入“視聽(tīng)資料”類(lèi)證據(jù)�����。我國(guó)在1999年3月15日通過(guò)的《合同法》���,第11條規(guī)定“合同的書(shū)面形式是指合同書(shū)�����、信件和數(shù)據(jù)電文(包括電報(bào)�����、電傳、傳真����、電子數(shù)據(jù)交換和電子郵件)等可以有形地表現(xiàn)所載內(nèi)容的形式”����。第一次在法律上確定了包括電子郵件在內(nèi)的數(shù)據(jù)電文的書(shū)面形式地位����,使得它相當(dāng)于我國(guó)訴訟法中的一種書(shū)證���。
在國(guó)外,1982年的歐洲理事會(huì)的《電子處理資金劃撥》秘書(shū)長(zhǎng)報(bào)告和1982年英國(guó)A.Kelman和R.Sizer的《計(jì)算機(jī)在法庭上的地位》中�����,就已經(jīng)提出計(jì)算機(jī)記錄相當(dāng)于書(shū)面文件作為證據(jù)的看法���。此后���,英美等國(guó)都制定相關(guān)的法律將電子證據(jù)作為合法的證據(jù)。聯(lián)合國(guó)貿(mào)法會(huì)于1996年通過(guò)的《電子商務(wù)示范法》第5條也規(guī)定:不得僅僅以某項(xiàng)信息采用數(shù)據(jù)電文形式為理由而否定其法律效力�、有效性和可執(zhí)行性。由此可見(jiàn)���,國(guó)外已確認(rèn)了電子證據(jù)的合法性����。
計(jì)算機(jī)取證遇到的困難
目前我國(guó)計(jì)算機(jī)取證工作無(wú)論是技術(shù)����、人們的意識(shí)形態(tài)還是法律執(zhí)行部門(mén)都存在一定的困難���。
1)技術(shù)上還缺乏自主知識(shí)產(chǎn)權(quán)的計(jì)算機(jī)取證工具。許多企業(yè)和政府部門(mén)的網(wǎng)絡(luò)甚至金融系統(tǒng)受到攻擊造成重大損失時(shí)沒(méi)法收集證據(jù)���,使犯罪者逍遙法外��。
2)隨著計(jì)算機(jī)入侵和病毒的泛濫����,信息安全需深入人心��。但在人們的意識(shí)當(dāng)中還只有被動(dòng)防護(hù)的概念���,只是盡量將自己的網(wǎng)絡(luò)和數(shù)據(jù)保護(hù)好��。殊不知再好的安全防范措施也會(huì)隨著技術(shù)的發(fā)展和人員的誤操作而變的不安全���。因此���,有必要教育IT從業(yè)人員跟上技術(shù)的發(fā)展��,將信息安全提高到主動(dòng)防護(hù)的高度��,一旦發(fā)現(xiàn)入侵事件馬上報(bào)告,并設(shè)法收集證據(jù)將犯罪者起訴至法庭���。
3)由于計(jì)算機(jī)取證的高科技性�,需要有專(zhuān)門(mén)的法律執(zhí)行調(diào)查取證機(jī)構(gòu)��,同時(shí)還要頒布相關(guān)的法律法規(guī)規(guī)范計(jì)算機(jī)取證����。在這方面我們還有很多工作要做���!
為了保護(hù)知識(shí)產(chǎn)權(quán)���,保障著作人權(quán)益,特此聲明:《網(wǎng)絡(luò)安全信息》雜志及稿件的原創(chuàng)者擁有合法權(quán)益��,任何媒體����、網(wǎng)站要刊登、轉(zhuǎn)載本站文章���。必須得到《信息網(wǎng)絡(luò)安全》雜志的認(rèn)可方可轉(zhuǎn)載���。具體相關(guān)事宜請(qǐng)和編輯部聯(lián)系。聯(lián)系方式為:editor@trimps.ac.cn違者將承擔(dān)全部責(zé)任并賠償因此造成的損失���,同時(shí)我們將保留追究由此引起的法律、經(jīng)濟(jì)責(zé)任的權(quán)利����。
