咨询电话:0571-88904011/13
服务热线:400-675-9388
业内新闻

电子数据取证在企业信息风险管控中的应用

发布时间:2017-05-31     来源:华军数据恢复中心     [打印]
问:我们公司经常涉及到调查员工的计算机使用数据的问题。假设员工的计算机知识与您一样丰富,现在有很多第三方软件擦除上网数据,哪些数据是他不能够擦出,哪些是他可以修改的?

答:我们这边接触做知识产权保护的案例比较多。公司的话都有相应的特定策略,机器上可以安装哪些软件,不能安装哪些软件,这个都是有规定的。

电子取证

问:我的前提是员工假设有足够的权限。

答:如果有足够的权限的话,他要做这样的事情,那非常不幸,目前我们碰到的案例很难将他绳之以法。电子数据就算安装了DLP系统,因为电子数据是可以更改和删除的,所以权限不能放在一个人手里。我接触的很多公司他的权限都是放在几个人手里,你要去改动几个关键的数据必须要几个人同时有这个权限进去操纵。

问:我的意思是就针对个人电脑。公司装的话,IT会有一个管理员密码,用于有不同的级别,但是有些用户也是授予了管理员权限,可以自己装、删程序,在这种情况下是否也如您刚才所言......

答:首先从网络安全管控的角度说,一般的用户怎么会有管理员权限呢?之前我有碰到一个案件,公司里的销售总监和IT总监,把公司的商业核心机密都拷贝了。当时我们就是质疑这一点,公司后来也承认他们的管理是有问题的。一个总监能访问到所有资源的东西,他拷贝的时候公司也没有进行相应的权限设置。后面要证明是这个人拷贝走的,公司也没有相应的日志记录。一般这种资源被拷贝走的话服务器要有登录的记录,但是这个公司连登录的记录也没有,如果要作为商业机密去报案,那么公安很难立案。因为这个销售总监有超级权限,他可以把登录记录删除。所以这是公司的安全策略有问题。我们是做取证,我们只能尝试去做恢复,去看有没有相应的痕迹。一个硬盘的数据恢复不是100%可以恢复的。如果擦出的好完全恢复不出来的。

问:现在的SSD硬盘假设删除后又从垃圾箱清空了,这种是不是也无法恢复?

答:SSD硬盘大多数,老的有一些是可以恢复的,新的大多数是恢复不了的。

问:我们是一家跨国公司,我们电子邮件的服务器很多是架设在境外的。我们之前有一个案件涉及到电子邮件真伪的问题。本地的司法鉴定机构从我们收到的本地的笔记本电脑把数据复制下来进行鉴定。得出的结论是本地文件未见异常,但是因为没办法从国外的服务器上看到原始数据所以鉴定受限,不能做出邮寄绝对真实性的判断。是不是这样的情况,或者我们希望中国国内的司法鉴定机构在法律诉讼中做出这样的结论的话需要具备哪些条件?

答:邮件做司法鉴定当时我们考虑到以下几点:一,下载到本地的东西的确从记录上可以修改的,如果要判断说邮件没有进行过修改首先第三方服务器机构要出一个证明,说该邮件是不能进行篡改的。

问:国外会有这样的机构出示证明,国内的鉴定机构和司法机关可以接受吗?

答:我们有这样电子数据取证成功的案例。我们有一个新加坡厂商因为下载到本地的东西是可以修改的,如果在境外的服务器上还有,因为托管的话前提是交给第三方做这样一个操作的,不是说公司搭的自己的邮件服务器。如果是公司自己搭的邮件服务器那要证明几点:一,邮件里的log日志,接收和发送的日志文件,本地文件和日志文件都要对应起来,虽然最后得出的结论依然是未发现修改,但是这个未发现修改比直接本地直接保存邮件的未发现修改的证明力要高很多。

问:很多公司电子邮件的保存和日志文件的话是有期限的。从事后纠纷的角度讲,很可能我们在做保全的时候可能已经超过了日志的保存期限。如果服务器的日志保存期限消失的话就没有办法做绝对真实性的判断了。

答:对,没错。邮件下载到本地的话就是可以改的。前两年我们碰到的一个案子是关于一个电子合同,市值很高,就是和你一样的情况,但是像这种案件法院就是无法认定。因为我作为一个专业人士我可以轻易的改一封邮件,从司法鉴定机构完全看不出任何痕迹。

问:就是从服务器端做修改?

答:服务器端做修改也可以的。如果是日志的话邮件服务器交给第三方监管的话,不受自己本公司维护,证明力要比公司维护好很多。如果第三方出具一个东西,你这个东西是你交给我来托管和运营的,然后你这边只有访问的权限,没有修改的权限,我这边作为一个运营一直是正常的状态的话,那可以的。

问:你刚刚提到说涉及国外鉴定机构做的结论,如果国外有足够资质的鉴定机构在国外的服务器上做这样一个结论。中国的司法鉴定机构和法院还是有可能接受的是吗?

答:不是。不是国外的鉴定机构去做这个操作。是邮件服务器的托管机构出具证明说我托管了你们公司的邮件服务器,然后把相应的权限给中国的司法鉴定机构,证明说你们公司只有在上面收取发送邮件,没有对邮件的内容进行修改的权限,那是可以的。但是目前为止要找国外的鉴定机构来做鉴定,首先国外没有司法鉴定机构,一般是叫专家证人,他们出的鉴定报告中国是不承认的。

问:也就是说如果是一个国外服务器,像我们这样一个情况很有可能在中国国内的诉讼中很难做出一个绝对真实性判断,是吗?

答:不,就是找你那个运营单位给你出具一个证明。

问:如果是我们自己操作的,不是第三方托管的话那可能就不具备这样一个条件了是吧?

答:那你必须提供日志。

 

问:想问一下从您的角度出发怎么样签署一个商业合同会比较保险。听下来如果用电子签名的方式,即便用国外的技术,在中国的证明效力也是非常有限的。如果在国内让别人盖了公章用扫描件的方式用电子邮件发送过来,这样的方式可以吗?我们想避免的问题是大量的合同在日常的工作中要不停的寄送,原件的保存对我们造成了很大的困扰。如果希望在这方面进行电子化又同时不希望在电子化的过程中以后证明效力有影响,那怎么样会比较合适。

答:我建议你用一些第三方的存证服,比如电子合同,你在传输的过程中它那边也有备份的。而且整个过程都是经过校验值计算的。只是通过扫描件的方式如果有心要改还是可以改的。电子合同的托管服务,你发给我的时候他们同时存证一份,何时发送,原始校验值是多少。

问:所以如果是通过他们这种方式都不需要签字或扫描,只要通过电子的方式进行操作,是吗?

答:对的。有好多公司对电子邮件用类似第三方机构做电子数据取证存证服务,且法院和检察院都承认的第三方机构很多。

网站地图 |  关于我们 |  合作伙伴 |  快递运输 |  数据博客 |  数据论坛
Copyright @ 2013-2023 杭州华军科技有限公司, All rights reserved. 360网站安全检测平台
杭州华军科技有限公司 版权 所有 京ICP备05073010号-1