【正文】 ， 從道德上和法律上說都應(yīng)當(dāng)尊重不小心獲取的任何關(guān)于客戶代理人的信息 ，不能把這些信息泄露出去 。 計算機取證的步驟（ 1） ? 第一 ， 在取證檢查中 ， 保護(hù)目標(biāo)計算機系統(tǒng) ，避免發(fā)生任何的改變 、 傷害 、 數(shù)據(jù)破壞或病毒感染； ? 第二 ， 搜索目標(biāo)系統(tǒng)中所有的文件 。 包括現(xiàn)存的正常文件 ， 已經(jīng)被刪除但仍存在于磁盤上（ 即還沒有被新文件覆蓋 ） 的文件 ， 隱藏文件 ，受到密碼保護(hù)的文件和加密文件； ? 第三 ， 全部 （ 或盡可能 ） 恢復(fù)所發(fā)現(xiàn)的已刪除文件； 計算機取證的步驟（ 2） ? 第四 ， 最大程度地顯示操作系統(tǒng)或應(yīng)用程序使用的隱藏文件 、 臨時文件和交換文件的內(nèi)容； ? 第五 ， 如果可能并且如果法律允許 ， 訪問被保護(hù)或加密文件的內(nèi)容； ? 第六，分析在磁盤的特殊區(qū)域（最典型的是難以訪問的區(qū)域）中發(fā)現(xiàn)的所有相關(guān)數(shù)據(jù)。 計算機取證的步驟（ 3） ? 第七 ， 打印對目標(biāo)計算機系統(tǒng)的全面分析結(jié)果 ，以及所有可能有用的文件和被挖掘出來的文件數(shù)據(jù)的清單 。 然后給出分析結(jié)論 ， 包括系統(tǒng)的整體情況 ， 已發(fā)現(xiàn)的文件結(jié)構(gòu) 、 被挖掘出來的數(shù)據(jù)和作者的信息 ， 對信息的任何隱藏 、 刪除 、保護(hù) 、 加密企圖 ， 以及在調(diào)查中發(fā)現(xiàn)的其它的相關(guān)信息； ? 第八 ， 給出必需的專家證明和 /或在法庭上的證詞 。 計算機取證的階段和注意事項 （ 1） ? 概括說來 ， 計算機取證可劃分為三個階段：獲取 、 分析和保存 。 – 獲取階段：保存計算機系統(tǒng)的狀態(tài)，以供以后分析用。這與從犯罪現(xiàn)場拍攝照片，采集指紋，提取血樣或輪胎紋理相類似。和自然的世界里一樣，我們并不知道哪些數(shù)據(jù)將作為證據(jù)，所以這一階段的任務(wù)就是保存所有電子數(shù)據(jù)，至少要復(fù)制硬盤上所有已分配和未分配的數(shù)據(jù)，這就是通常所說的映像。在這一階段中，可以利用相關(guān)的工具把可疑存儲設(shè)備上的數(shù)據(jù)復(fù)制到可信任的設(shè)備上。這些工具必須盡可能少地更改可疑設(shè)備，并且復(fù)制所有數(shù)據(jù)，即要保證數(shù)據(jù)的完整性。 計算機取證的階段和注意事項 （ 2） ? 分析階段：取得已獲取的數(shù)據(jù) ， 然后分析這些數(shù)據(jù)確定證據(jù)的類型 。 我們尋找的證據(jù)主要有三種： – 使人負(fù)罪的證據(jù)：支持已知的推測； – 辨明無罪的證據(jù)：同已知的推測相矛盾； – 篡改證據(jù)：此證據(jù)本身和任何推測并沒有聯(lián)系 ， 但是可以證明計算機系統(tǒng)已被篡改而無法用來作證 。 計算機取證的階段和注意事項 （ 3） ? 陳述階段卻是完全依賴政策法規(guī)，這對不同的機構(gòu)來說是不同的。此階段將給出調(diào)查所得結(jié)論及相應(yīng)的證據(jù)。在一個企業(yè)調(diào)查中，聽眾往往包括普通辯護(hù)律師，智囊團(tuán)和主管人員。保密法規(guī)和公司政策將指導(dǎo)陳述。在法律機構(gòu)中，聽眾往往是法官和陪審團(tuán)，所以律師必須事先評估證據(jù)。 第 4節(jié) 相關(guān)法律需求 ? 電子證據(jù)的真實性 ? 電子證據(jù)的證明力 ? 計算機取證面臨的其他困難和挑戰(zhàn) 電子證據(jù)的真實性 ? 根據(jù)法律要求，作為定案依據(jù)的證據(jù)，應(yīng)當(dāng)符合 “ 真實性、合法性和關(guān)聯(lián)性 ” 這三者的要求，電子證據(jù)也不例外。 ? 業(yè)界對此難題提出的解決方案是：對電子證據(jù)附加上 “ 電子簽名 ” 。它是指通過技術(shù)方案賦予每個電子證據(jù)發(fā)出人電子證據(jù)一個代表其身份特征的電子密碼。當(dāng)證據(jù)被簽發(fā)時，電子密碼結(jié)合證據(jù)內(nèi)容，就會自動生成一個新的特征碼即 “ 電子簽名 ” 附加在電子證據(jù)之上，成為與證據(jù)內(nèi)容不可分割的一部分。以后無論任何人（包括電子證據(jù)發(fā)出人）對電子證據(jù)進(jìn)行篡改后，電子證據(jù)的特征就會與原特征碼不符，人們就會知道：電子證據(jù)被篡改了。如果相符，則意味著電子證據(jù)未被改動過。 電子證據(jù)的證明力 （ 1） ? 證據(jù)的證明力指的是證據(jù)對證明案件事實所具有的效力，即該證據(jù)是否能夠直接證明案件事實還是需要配合其他證據(jù)綜合認(rèn)定？根據(jù)我國《民事訴訟法》第63條規(guī)定，法定證據(jù)共七種：（ 1）書證；（ 2）物證；（ 3）視聽資料；（ 4）證人證言；（ 5）當(dāng)事人陳述；（ 6）鑒定結(jié)論；（ 7）勘驗筆錄，其中，并未考慮電子證據(jù)在內(nèi)。 電子證據(jù)的證明力 （ 2） ? 可見，證據(jù)的 “ 出身 ” ，即屬于何種類型的證據(jù)，直接決定了其證明力的大小。那么，電子證據(jù)屬于何種證據(jù)類型呢？這正是網(wǎng)絡(luò)法律界正在爭論的一個新課題：電子證據(jù)屬于 “ 視聽資料 ” 還是“ 書證 ” 問題。 計算機取證面臨的其他困難和挑戰(zhàn)（ 1） ? 和法律相關(guān)的問題外 ， 在計算機取證過程中還面臨其他一些困難： – 大量的電子證據(jù)需要大容量的存儲介質(zhì) ， 所以在取證過程中 ， 可能會因為存儲容量不夠而無法及時保存證據(jù) 。 為此 ， 必須備有冗余介質(zhì)來存儲這些數(shù)據(jù) ，這對個人或企業(yè)來說將是一筆額外的開銷； – 管轄區(qū)問題 。 互聯(lián)網(wǎng)聯(lián)系世界各國 ， 所以取證過程中可能容易涉及不同國家或地區(qū)的管轄區(qū) ， 必須充分考慮各轄區(qū)的政策法規(guī)以及時區(qū)等問題 。 計算機取證面臨的其他困難和挑戰(zhàn)（ 2） ? 目前 ， 具備計算機取證專業(yè)素質(zhì)的人員相當(dāng)缺乏 。 由于計算機取證是一本新興科學(xué) ， 且涉及計算機科學(xué)和法律這兩個本不太相關(guān)的方面 ，因此同時具備這兩方面知識的人很少 ， 熟悉法律的人可能對計算機系統(tǒng)和網(wǎng)絡(luò)知識一無所知 ，而計算機系統(tǒng)和網(wǎng)絡(luò)方面的專家可能對法律及訴訟流程并不了解 。 但在取證過程中 ， 一個豐富經(jīng)驗和專業(yè)素質(zhì)的計算機取證人員是很重要的 。 因此 ， 必須培訓(xùn)這方面的人才 ， 并建立相關(guān)的資格認(rèn)證機制 ， 對該類人員進(jìn)行審核 、 認(rèn)證 ， 總之這一系列措施必須規(guī)范化 ， 而不能像普通的計算機能力培訓(xùn)那樣 。 第五章 安全網(wǎng)絡(luò)管理 ? 第 1節(jié) 安全網(wǎng)管 ? 第 2節(jié) 網(wǎng)絡(luò)監(jiān)控 ? 第 3節(jié) 風(fēng)險管理 第 1節(jié) 安全網(wǎng)管 ? 概念 ? 功能 ? 技術(shù) 概念 ? 網(wǎng)絡(luò)管理技術(shù)是隨著網(wǎng)絡(luò)技術(shù)產(chǎn)生而同步發(fā)展的 ， 有效和高效的網(wǎng)絡(luò)管理技術(shù)是網(wǎng)絡(luò)技術(shù)得以有效運行和快速普及的重要因素之一 。 網(wǎng)絡(luò)管理的基本概念至少包括網(wǎng)絡(luò)設(shè)備管理 、 網(wǎng)絡(luò)運行狀態(tài)的管理 、 網(wǎng)絡(luò)計費和網(wǎng)絡(luò)帶寬管理等的內(nèi)容 。 隨著互聯(lián)網(wǎng)的普及和各種網(wǎng)絡(luò)系統(tǒng)規(guī)模的擴大 ， 網(wǎng)絡(luò)安全問題已成為網(wǎng)絡(luò)技術(shù)進(jìn)一步發(fā)展和應(yīng)用的瓶頸 ， 傳統(tǒng)的網(wǎng)絡(luò)管理技術(shù)已不能很好的適應(yīng)有效和高效的網(wǎng)絡(luò)管理功能 ，甚至網(wǎng)絡(luò)管理系統(tǒng)自身也常常會遭受不同程度的網(wǎng)絡(luò)攻擊 ， 這樣的背景催生和發(fā)展了安全網(wǎng)絡(luò)管理技術(shù) 。 功能 ? 作為一種更為有效的網(wǎng)絡(luò)管理技術(shù) ， 安全網(wǎng)絡(luò)管理技術(shù)首先具有網(wǎng)絡(luò)管理的一般功能；為有效評估和解決網(wǎng)絡(luò)系統(tǒng)的安全威脅 ， 安全網(wǎng)絡(luò)管理系統(tǒng)還需要提供諸多與網(wǎng)絡(luò)安全相關(guān)的功能 ， 比如：攻擊行為的檢測 、 惡意網(wǎng)絡(luò)行為的控制 、網(wǎng)絡(luò)系統(tǒng)用戶行為的審計 、 網(wǎng)絡(luò)系統(tǒng)安全威脅的狀態(tài)等 。 技術(shù)（ 1） ? 不嚴(yán)格的說 ， 防火墻技術(shù) 、 IDS技術(shù) 、 虛擬專網(wǎng)技術(shù)也應(yīng)該是一類功能針對性很強的安全網(wǎng)絡(luò)管理技術(shù) ， 而在防火墻 、 IDS和虛擬專網(wǎng)系統(tǒng)加入適當(dāng)?shù)膶徲嫷染W(wǎng)絡(luò)管理功能 ， 則是一個不錯的安全網(wǎng)絡(luò)管理方案 。 一般情況下 ， 我們所說的安全網(wǎng)絡(luò)管理技術(shù)則更保證網(wǎng)絡(luò)審計管理功能的同時 ， 更強調(diào)對被管網(wǎng)絡(luò)系統(tǒng)整體上的安全防護(hù) ， 包括對網(wǎng)絡(luò)行為的控制 、 威脅的靜態(tài)或動態(tài)評估等 ， 安全網(wǎng)絡(luò)管技術(shù)是一類更高層面解決網(wǎng)絡(luò)安全問題的技術(shù) 技術(shù)（ 2） ? 當(dāng)前較為流行的安全網(wǎng)絡(luò)管理解決方案包括：內(nèi)聯(lián)網(wǎng) （ 含一般意義的局域網(wǎng) ）監(jiān)控技術(shù) 、 網(wǎng)絡(luò)安全審計技術(shù)和安全風(fēng)險管理技術(shù)等 。 以下分別對這幾類安全網(wǎng)絡(luò)管理技術(shù)進(jìn)行介紹 。 第 2節(jié) 網(wǎng)絡(luò)監(jiān)控 ? 基于邊界控制的網(wǎng)絡(luò)監(jiān)控體系 ? 基于代理的網(wǎng)絡(luò)監(jiān)控體系 ? 基于監(jiān)聽技術(shù)的網(wǎng)絡(luò)監(jiān)控體系 基于邊界控制的網(wǎng)絡(luò)監(jiān)控體系 基于代理的網(wǎng)絡(luò)監(jiān)控體系 基于監(jiān)聽技術(shù)的網(wǎng)絡(luò)監(jiān)控體系 第 3節(jié) 風(fēng)險管理 ? 確定分析的范圍 ? 找出風(fēng)險 ? 評估風(fēng)險 ? 分析結(jié)果 確定分析的范圍 找出風(fēng)險 ? NMap ? Nessus 評估風(fēng)險 ? 審計 風(fēng)險響應(yīng) ? 升級 ? 補丁 ? 更新配置 演講完畢，謝謝觀看！