【正文】 ， 從道德上和法律上說都應當尊重不小心獲取的任何關于客戶代理人的信息 ，不能把這些信息泄露出去 。 計算機取證的步驟（ 1） ? 第一 ， 在取證檢查中 ， 保護目標計算機系統(tǒng) ，避免發(fā)生任何的改變 、 傷害 、 數(shù)據(jù)破壞或病毒感染； ? 第二 ， 搜索目標系統(tǒng)中所有的文件 。 包括現(xiàn)存的正常文件 ， 已經被刪除但仍存在于磁盤上（ 即還沒有被新文件覆蓋 ） 的文件 ， 隱藏文件 ，受到密碼保護的文件和加密文件； ? 第三 ， 全部 （ 或盡可能 ） 恢復所發(fā)現(xiàn)的已刪除文件； 計算機取證的步驟（ 2） ? 第四 ， 最大程度地顯示操作系統(tǒng)或應用程序使用的隱藏文件 、 臨時文件和交換文件的內容； ? 第五 ， 如果可能并且如果法律允許 ， 訪問被保護或加密文件的內容； ? 第六，分析在磁盤的特殊區(qū)域（最典型的是難以訪問的區(qū)域）中發(fā)現(xiàn)的所有相關數(shù)據(jù)。 計算機取證的步驟（ 3） ? 第七 ， 打印對目標計算機系統(tǒng)的全面分析結果 ，以及所有可能有用的文件和被挖掘出來的文件數(shù)據(jù)的清單 。 然后給出分析結論 ， 包括系統(tǒng)的整體情況 ， 已發(fā)現(xiàn)的文件結構 、 被挖掘出來的數(shù)據(jù)和作者的信息 ， 對信息的任何隱藏 、 刪除 、保護 、 加密企圖 ， 以及在調查中發(fā)現(xiàn)的其它的相關信息； ? 第八 ， 給出必需的專家證明和 /或在法庭上的證詞 。 計算機取證的階段和注意事項 （ 1） ? 概括說來 ， 計算機取證可劃分為三個階段：獲取 、 分析和保存 。 – 獲取階段：保存計算機系統(tǒng)的狀態(tài)，以供以后分析用。這與從犯罪現(xiàn)場拍攝照片，采集指紋，提取血樣或輪胎紋理相類似。和自然的世界里一樣，我們并不知道哪些數(shù)據(jù)將作為證據(jù)，所以這一階段的任務就是保存所有電子數(shù)據(jù)，至少要復制硬盤上所有已分配和未分配的數(shù)據(jù)，這就是通常所說的映像。在這一階段中，可以利用相關的工具把可疑存儲設備上的數(shù)據(jù)復制到可信任的設備上。這些工具必須盡可能少地更改可疑設備，并且復制所有數(shù)據(jù)，即要保證數(shù)據(jù)的完整性。 計算機取證的階段和注意事項 （ 2） ? 分析階段：取得已獲取的數(shù)據(jù) ， 然后分析這些數(shù)據(jù)確定證據(jù)的類型 。 我們尋找的證據(jù)主要有三種： – 使人負罪的證據(jù)：支持已知的推測； – 辨明無罪的證據(jù)：同已知的推測相矛盾； – 篡改證據(jù)：此證據(jù)本身和任何推測并沒有聯(lián)系 ， 但是可以證明計算機系統(tǒng)已被篡改而無法用來作證 。 計算機取證的階段和注意事項 （ 3） ? 陳述階段卻是完全依賴政策法規(guī)，這對不同的機構來說是不同的。此階段將給出調查所得結論及相應的證據(jù)。在一個企業(yè)調查中，聽眾往往包括普通辯護律師，智囊團和主管人員。保密法規(guī)和公司政策將指導陳述。在法律機構中，聽眾往往是法官和陪審團，所以律師必須事先評估證據(jù)。 第 4節(jié) 相關法律需求 ? 電子證據(jù)的真實性 ? 電子證據(jù)的證明力 ? 計算機取證面臨的其他困難和挑戰(zhàn) 電子證據(jù)的真實性 ? 根據(jù)法律要求，作為定案依據(jù)的證據(jù)，應當符合 “ 真實性、合法性和關聯(lián)性 ” 這三者的要求，電子證據(jù)也不例外。 ? 業(yè)界對此難題提出的解決方案是：對電子證據(jù)附加上 “ 電子簽名 ” 。它是指通過技術方案賦予每個電子證據(jù)發(fā)出人電子證據(jù)一個代表其身份特征的電子密碼。當證據(jù)被簽發(fā)時，電子密碼結合證據(jù)內容，就會自動生成一個新的特征碼即 “ 電子簽名 ” 附加在電子證據(jù)之上，成為與證據(jù)內容不可分割的一部分。以后無論任何人（包括電子證據(jù)發(fā)出人）對電子證據(jù)進行篡改后，電子證據(jù)的特征就會與原特征碼不符，人們就會知道：電子證據(jù)被篡改了。如果相符，則意味著電子證據(jù)未被改動過。 電子證據(jù)的證明力 （ 1） ? 證據(jù)的證明力指的是證據(jù)對證明案件事實所具有的效力，即該證據(jù)是否能夠直接證明案件事實還是需要配合其他證據(jù)綜合認定？根據(jù)我國《民事訴訟法》第63條規(guī)定，法定證據(jù)共七種：（ 1）書證；（ 2）物證；（ 3）視聽資料；（ 4）證人證言；（ 5）當事人陳述；（ 6）鑒定結論；（ 7）勘驗筆錄，其中，并未考慮電子證據(jù)在內。 電子證據(jù)的證明力 （ 2） ? 可見，證據(jù)的 “ 出身 ” ，即屬于何種類型的證據(jù)，直接決定了其證明力的大小。那么，電子證據(jù)屬于何種證據(jù)類型呢？這正是網(wǎng)絡法律界正在爭論的一個新課題：電子證據(jù)屬于 “ 視聽資料 ” 還是“ 書證 ” 問題。 計算機取證面臨的其他困難和挑戰(zhàn)（ 1） ? 和法律相關的問題外 ， 在計算機取證過程中還面臨其他一些困難： – 大量的電子證據(jù)需要大容量的存儲介質 ， 所以在取證過程中 ， 可能會因為存儲容量不夠而無法及時保存證據(jù) 。 為此 ， 必須備有冗余介質來存儲這些數(shù)據(jù) ，這對個人或企業(yè)來說將是一筆額外的開銷； – 管轄區(qū)問題 。 互聯(lián)網(wǎng)聯(lián)系世界各國 ， 所以取證過程中可能容易涉及不同國家或地區(qū)的管轄區(qū) ， 必須充分考慮各轄區(qū)的政策法規(guī)以及時區(qū)等問題 。 計算機取證面臨的其他困難和挑戰(zhàn)（ 2） ? 目前 ， 具備計算機取證專業(yè)素質的人員相當缺乏 。 由于計算機取證是一本新興科學 ， 且涉及計算機科學和法律這兩個本不太相關的方面 ，因此同時具備這兩方面知識的人很少 ， 熟悉法律的人可能對計算機系統(tǒng)和網(wǎng)絡知識一無所知 ，而計算機系統(tǒng)和網(wǎng)絡方面的專家可能對法律及訴訟流程并不了解 。 但在取證過程中 ， 一個豐富經驗和專業(yè)素質的計算機取證人員是很重要的 。 因此 ， 必須培訓這方面的人才 ， 并建立相關的資格認證機制 ， 對該類人員進行審核 、 認證 ， 總之這一系列措施必須規(guī)范化 ， 而不能像普通的計算機能力培訓那樣 。 第五章 安全網(wǎng)絡管理 ? 第 1節(jié) 安全網(wǎng)管 ? 第 2節(jié) 網(wǎng)絡監(jiān)控 ? 第 3節(jié) 風險管理 第 1節(jié) 安全網(wǎng)管 ? 概念 ? 功能 ? 技術 概念 ? 網(wǎng)絡管理技術是隨著網(wǎng)絡技術產生而同步發(fā)展的 ， 有效和高效的網(wǎng)絡管理技術是網(wǎng)絡技術得以有效運行和快速普及的重要因素之一 。 網(wǎng)絡管理的基本概念至少包括網(wǎng)絡設備管理 、 網(wǎng)絡運行狀態(tài)的管理 、 網(wǎng)絡計費和網(wǎng)絡帶寬管理等的內容 。 隨著互聯(lián)網(wǎng)的普及和各種網(wǎng)絡系統(tǒng)規(guī)模的擴大 ， 網(wǎng)絡安全問題已成為網(wǎng)絡技術進一步發(fā)展和應用的瓶頸 ， 傳統(tǒng)的網(wǎng)絡管理技術已不能很好的適應有效和高效的網(wǎng)絡管理功能 ，甚至網(wǎng)絡管理系統(tǒng)自身也常常會遭受不同程度的網(wǎng)絡攻擊 ， 這樣的背景催生和發(fā)展了安全網(wǎng)絡管理技術 。 功能 ? 作為一種更為有效的網(wǎng)絡管理技術 ， 安全網(wǎng)絡管理技術首先具有網(wǎng)絡管理的一般功能；為有效評估和解決網(wǎng)絡系統(tǒng)的安全威脅 ， 安全網(wǎng)絡管理系統(tǒng)還需要提供諸多與網(wǎng)絡安全相關的功能 ， 比如：攻擊行為的檢測 、 惡意網(wǎng)絡行為的控制 、網(wǎng)絡系統(tǒng)用戶行為的審計 、 網(wǎng)絡系統(tǒng)安全威脅的狀態(tài)等 。 技術（ 1） ? 不嚴格的說 ， 防火墻技術 、 IDS技術 、 虛擬專網(wǎng)技術也應該是一類功能針對性很強的安全網(wǎng)絡管理技術 ， 而在防火墻 、 IDS和虛擬專網(wǎng)系統(tǒng)加入適當?shù)膶徲嫷染W(wǎng)絡管理功能 ， 則是一個不錯的安全網(wǎng)絡管理方案 。 一般情況下 ， 我們所說的安全網(wǎng)絡管理技術則更保證網(wǎng)絡審計管理功能的同時 ， 更強調對被管網(wǎng)絡系統(tǒng)整體上的安全防護 ， 包括對網(wǎng)絡行為的控制 、 威脅的靜態(tài)或動態(tài)評估等 ， 安全網(wǎng)絡管技術是一類更高層面解決網(wǎng)絡安全問題的技術 技術（ 2） ? 當前較為流行的安全網(wǎng)絡管理解決方案包括：內聯(lián)網(wǎng) （ 含一般意義的局域網(wǎng) ）監(jiān)控技術 、 網(wǎng)絡安全審計技術和安全風險管理技術等 。 以下分別對這幾類安全網(wǎng)絡管理技術進行介紹 。 第 2節(jié) 網(wǎng)絡監(jiān)控 ? 基于邊界控制的網(wǎng)絡監(jiān)控體系 ? 基于代理的網(wǎng)絡監(jiān)控體系 ? 基于監(jiān)聽技術的網(wǎng)絡監(jiān)控體系 基于邊界控制的網(wǎng)絡監(jiān)控體系 基于代理的網(wǎng)絡監(jiān)控體系 基于監(jiān)聽技術的網(wǎng)絡監(jiān)控體系 第 3節(jié) 風險管理 ? 確定分析的范圍 ? 找出風險 ? 評估風險 ? 分析結果 確定分析的范圍 找出風險 ? NMap ? Nessus 評估風險 ? 審計 風險響應 ? 升級 ? 補丁 ? 更新配置 演講完畢，謝謝觀看！