背景
在信息化时代,信息技术的快速发展为企业的创新和运营提供了机遇,同时也带来了前所未有的挑战。如何在信息安全、数据保护、员工行为管理等方面做到依法合规,成为了各类企业和组织必须面对的问题。企业内部调查不仅是在法律框架下明确权利与责任,更是依托取证技术手段保障企业合法发展的关键环节。尤其在应对内部数据泄露、不当行为等事件时,依法取证与合规处理不仅影响企业当前利益,还关乎企业声誉、市场竞争力和社会责任的履行。
01
企业真实案例
案例一
针对一起十年前的历史案件,通过最新的取证技术调查发现某公司的技术负责人A在管理技术团队过程中,与其他零部件制造商存在不正当合作,并从中谋取个人利益;后来在外部培养技术团队、成立公司,最终逐渐掌握了本公司的核心技术。期间,负责人A通过公司配发的电脑,使用聊天工具指导新公司的选址、装修、人员任命和技术分享,甚至通过聊天工具直接传输带有本公司签名的关键图纸。不仅给该公司带来了直接的经济损失,甚至影响了公司在行业内的发展。
案例二
某互联网公司拥有大量用户数据和敏感的金融交易信息。员工B负责公司数据库管理,拥有公司较高的管理权限。在公司即将进行一轮融资时,员工B突然宣布辞职。在调查中发现,员工B在离职前一周,其使用的笔记本电脑中安装了数据擦除和加密软件,调查人员通过更深层次的技术恢复了删除的财务报表、客户信息和个人的使用记录等信息。分析笔记本的使用记录发现,员工B在离职前一周频繁访问多个数据库。进一步查看USB设备插拔记录,发现其在访问数据库期间插入了未知USB设备,可能用于传输数据。结合其他线索发现员工B的行为构成侵犯公民个人信息和侵犯商业秘密。
案例三
某大型跨国科技公司,拥有严格的信息安全管理体系,全部核心代码、技术文档和研究报告都存储在受保护的内部云盘中并设置了基于角色的访问控制。然而,某天公司突然发现其正在开发的一项新技术的核心源代码被非法泄露到了外部。调查发现高级技术员C在泄露事件发生前一周,密集访问了公司核心项目的技术文档和源代码。通过云盘将技术文档下载至公司其他受限较小的云盘内,随后保存到个人办公电脑,并通过加密和隐写技术隐藏技术文档,以规避公司监控系统。最终通过邮件发送给业务人员D的个人邮箱,造成技术文章的外泄。
02
问题与挑战
在企业案例中,员工的不当行为无论是通过技术手段盗取核心数据,还是利用隐秘的方式转移或调用信息,都凸显了现代企业在信息安全和取证过程中面临的复杂情况。
技术难题
随着高级加密算法(如AES-256、RSA-4096等)的普及,破解高强度加密数据成为取证中的重大挑战;固态硬盘(SSD)由于其垃圾回收和磨损均衡机制,可能导致已删除数据被覆盖;此外,数据隐写技术使敏感信息能够隐藏在图片、音频等普通文件中;云环境中,复杂的数据访问控制策略更增加了取证难度等等。
但部分技术也存在历史局限性,随着加密标准的提高和取证技术的发展,一些加密的即时通讯记录现在能够被破解和恢复。例如,早期部分即时通讯数据,借助当前取证工具已经可以顺利解析。这一进展不仅为过去证据不足的案件“沉冤昭雪”提供了可能,也凸显了科技在追求公正过程中的重要作用。
人员博弈
随着技术的发展,也逐渐出现了一个不法人员与取证人员的博弈过程,比如:
-
员工学习计算机加密机制,使用隐写技术传输关键技术成果。
-
员工为了躲避调查使用BitLocker加密办公电脑硬盘并谎称忘记密码。
-
员工使用数据擦除手段躲避调查。
-
员工通过外接移动硬盘存储用户数据,并随身携带。
-
员工在接受调查前秘密更换笔记本硬盘。
03
鉴定方法
在技术手段层出不穷的背景下,企业内部违规行为的隐蔽性愈发增强。问题往往隐藏在复杂的系统逻辑和庞杂的权限控制中,稍有疏忽就可能导致证据链断裂。这种背景下,鉴定方法的选择直接决定了问题解决的效率与质量。
以上述案例为例:
案例一
针对历史案件,大部分属于重新鉴定。根据《司法鉴定程序通则》第三章第三十二条:“接受重新鉴定委托的司法鉴定机构的资质条件应当不低于原司法鉴定机构”。重新鉴定一般使用原始检材,为避免检材污染,需确保其哈希值与原鉴定意见书一致。
查看某即时通讯软件历年来的功能更新记录、公开的技术报告,根据早期版本研究和逆向分析文档显示,聊天记录存储为明文或简单加密(如RC4或异或运算),在2006年推出的新版本,开始将明文存储更改为加密存储(.db文件),但仍有第三方工具能够解密。
本案例中,使用专业取证软件加载检材电脑硬盘镜像,解析即时通讯的聊天记录,并未发现相关记录。根据鉴定材料中的监控视频分析发现,该员工每天上下班有插拔移动硬盘的动作,再次查看移动硬盘的镜像文件,发现存在“Tencent Files”目录。使用取证软件加载检材硬盘镜像,成功解析出即时通讯软件相关聊天记录。进一步分析聊天记录给本案件带来新的突破方向。
案例二
针对电脑硬盘中有准备的数据删除,尽量避免电脑再次通电使用,应当第一时间通过只读的方式制作硬盘镜像文件,固定其原始状态。
本案件中,根据委托方描述“电脑桌面上新增了‘Eraser’等软件。”初步判断其为数据擦除软件。
受理案件后第一时间制作检材电脑硬盘镜像,仿真查看软件Eraser的使用记录,发现主页面“Erase Schedule”中共两条记录,进一步分析发现其运行方式为“Run manually(手动运行)”,但根据“Erase Schedule”中记录的相关任务的路径并未发现相关文件记录。
调查人员尝试使用数据恢复软件R-Studio扫描检材电脑硬盘镜像,查看上述相关任务路径中的删除记录,成功发现已删除的相关文件。
案例三
针对拥有严格的信息安全管理体系和访问控制的大型公司,一般调查取证的困难在于发现目标。但可以根据已发生事实,依靠较为完善的日志记录,逐步缩小范围。
案件初期,多位鉴定专家去往现场,与该公司多个部门从系统逻辑漏洞、访问权限、堡垒机日志、数据库日志等多个方面展开调查。最终结合时间线,通过访问日志锁定目标,随后进行重点核查。
根据员工笔记本电脑中邮件客户端软件Foxmail的邮件接收记录,发现一封附件大小为50MB的图片文件。
使用X-Ways Forensics查看该图片文件头,确认其是一个有效的图像文件格式(.JPG),查看二进制结构中开头FF D8和结尾FF D9,发现以FF D9结尾后仍存在大量数据。
查看结尾后的字符有“%PDF-”字样,猜测其为PDF文件,查找PDF标准文件尾“%%EOF”,验证其为PDF文件,手工复制“%PDF-”到“%%EOF”的部分,保存为新的PDF文件。经与公司密点文件做比较,发现95%字符一致。
科学、严谨的调查方案一定需要企业大力配合,其中确保鉴定材料的原始性、真实性尤为重要。比如,企业应该在重要岗位员工离职前,通过电子取证手段全面固定其办公使用的电子设备、云盘和邮件记录等,确保数据原始性和可追溯性。此外,企业应注意设备检查与回收,应当记录设备唯一识别码,如笔记本电脑不仅需要记录电脑的唯一识别码,而且电脑中硬盘的SN码也尤为重要,避免其被偷偷调换导致数据丢失。
04
调查准备工作
1
制定合理合规的调查方案
企业在调查过程中应当与取证团队和律师团队充分沟通,注意合法性、合规性和完整性,确保在调查过程中能够取得充分、有效的证据,以支持后续的法律行动。例如应当注意时效性,针对正在运行的计算机应当及时制作内存镜像,第一时间尝试恢复数据等。
2
监控视频记录
在电子数据取证过程中,监控视频可以作为重要的辅助分析资料。通过监控视频,可以揣摩个人行为习惯、异常举动及违规操作,为取证工作提供关键线索。
3
物证保存
物证保存是调查取证的黄金时间。特殊岗位的员工离职前需要固定其电子设备(如电脑、硬盘、服务器等),要注意固定隐秘的证据,例如隐秘的存储设备或被加密的数据存储载体。同时也要注意物品的所有权,确保其属于调查方所有。
4
专业的鉴定机构和鉴定报告
选择具有资质的专业鉴定机构出具技术报告,是确保证据合法性和权威性的关键。鉴定报告需要详细说明数据来源、技术方法以及结论,做到科学、严谨、公正。这样的报告在司法程序中具有更高的采信力,在内部调查、报案甚至民事诉讼过程中都可以进行强有力的支撑。
在信息时代的浪潮中,依法取证不仅是维护企业合法权益的重要手段,更是与员工不合规行为做斗争的坚实盾牌。作为专业的司法鉴定机构,我们深知每一份证据的分量,每一次调查的意义。
我们持续专注于提升取证技术的精准性和法律服务的合规性,确保在每一次的调查中,都能够严格遵守法律法规,为企业提供强有力的支持。努力营造一个公平、正义、有序的商业环境,为企业的可持续发展和社会的和谐进步贡献力量。
奇安信集团旗下有北京、上海、西安三家司法鉴定所:北京网神洞鉴科技有限公司司法鉴定所、盘石软件(上海)有限公司计算机司法鉴定所与陕西西安洞鉴云侦声像资料司法鉴定所。其中,上海所是上海第一家通过 CNAS 认证认可的民营计算机类司法鉴定机构。三所均通过了CMA资质认定,是目前国内少数能够通过自主研发软件进行取证与分析的电子数据司法鉴定机构,具有独立的实验室场所,其中包括:案件受理区、数据恢复区、手机取证区、计算机取证区、屏蔽室、无尘工作间和物证室,并配备多种国内外先进的技术检验及辅助设备。经过多年的时间积累和发展,现拥有一批胜任鉴定工作的专业技术人员,以专业的技能和丰富的经验,来开展声像资料和电子数据司法鉴定工作。开展的鉴定服务范围包括:声像资料鉴定、电子数据司法鉴定、计算机证据固定和获取、手机终端取证与分析、数据恢复、密码破解以及涉及电子设备的民事调查等。
鉴定热线&地址:
010-56509288(北京)
北京市西城区西直门外南路26号院1号-奇安信安全中心B1
021-52658848(上海)
上海市闵行区合川路2555号科技绿洲三期五-3号楼4层
029-86196688(西安)
陕西省西安市经济技术开发区凤城二路1幢经发大厦B座10607室
原文始发于微信公众号(网络安全与取证研究):从数据泄露到权益维护:企业调查的硬核实战指南!
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论