如果有未經(jīng)授權(quán)的入侵者入侵了你的網(wǎng)絡(luò)，且破壞了數(shù)據(jù)，除了從備份系統(tǒng)中恢復(fù)數(shù)據(jù)之外，還需要做什么呢？

　　從事網(wǎng)絡(luò)安全工作的人都知道，黑客在入侵之后都會(huì)想方設(shè)法抹去自己在受害系統(tǒng)上的活動(dòng)記錄。目的是逃脫法律的制裁。

　　而許多企業(yè)也不上報(bào)網(wǎng)絡(luò)犯罪，其原因在于害怕這樣做會(huì)對(duì)業(yè)務(wù)運(yùn)作或企業(yè)商譽(yù)造成負(fù)面影響。他們擔(dān)心這樣做會(huì)讓業(yè)務(wù)運(yùn)作因此失序。更重要的是收集犯罪證據(jù)有一定困難。因此，CIO們應(yīng)該在應(yīng)急響應(yīng)系統(tǒng)的建立中加入計(jì)算機(jī)犯罪證據(jù)的收集與分析環(huán)節(jié)。

什么是“計(jì)算機(jī)犯罪取證”？

　　計(jì)算機(jī)取證又稱為數(shù)字取證或電子取證，是指對(duì)計(jì)算機(jī)入侵、破壞、欺詐、攻擊等犯罪行為利用計(jì)算機(jī)軟硬件技術(shù)，按照符合法律規(guī)范的方式進(jìn)行證據(jù)獲取、保存、分析和出示的過程。從技術(shù)上，計(jì)算機(jī)取證是一個(gè)對(duì)受侵計(jì)算機(jī)系統(tǒng)進(jìn)行掃描和破解，以及對(duì)整個(gè)入侵事件進(jìn)行重建的過程。

　　計(jì)算機(jī)取證包括物理證據(jù)獲取和信息發(fā)現(xiàn)兩個(gè)階段。物理證據(jù)獲取是指調(diào)查人員到計(jì)算機(jī)犯罪或入侵的現(xiàn)場(chǎng)，尋找并扣留相關(guān)的計(jì)算機(jī)硬件；信息發(fā)現(xiàn)是指從原始數(shù)據(jù)(包括文件，日志等)中尋找可以用來證明或者反駁的證據(jù)，即電子證據(jù)。

　　除了那些剛?cè)腴T的“毛小子”之外，計(jì)算機(jī)犯罪分子也會(huì)在作案前周密部署、作案后消除蛛絲馬跡。他們更改、刪除目標(biāo)主機(jī)的日志文件，清理自己的工具軟件，或利用反取證工具來破壞偵察人員的取證。這就要求我們?cè)诜慈肭值倪^程中，首先要清楚我們要做什么？然后才是怎么做的問題。

物理取證是核心任務(wù)

　　物理證據(jù)的獲取是全部取證工作的基礎(chǔ)。獲取物理證據(jù)是最重要的工作，保證原始數(shù)據(jù)不受任何破壞。無論在任何情況下，調(diào)查者都應(yīng)牢記5點(diǎn)：(1)不要改變?cè)加涗洠?2)不要在作為證據(jù)的計(jì)算機(jī)上執(zhí)行無關(guān)的操作；(3)不要給犯罪者銷毀證據(jù)的機(jī)會(huì)；(4)詳細(xì)記錄所有的取證活動(dòng)；(5)妥善保存得到的物證。如果被入侵的計(jì)算機(jī)處于工作狀態(tài)，取證人員應(yīng)該設(shè)法保存盡可能多的犯罪信息。