信息系统应用安全（张爱芳）第四章计算机证据.pptVIP

* * * * * * * * * * * * * * 如何判断电子证据的真伪－案例 面对这份证据，张尔申认为是有人进入其办公室利用其电话并盗用了自己的信箱及密码进行了伪造。 ????而邵达立提供了电信局的证明显示，发信的用户PC机在WINDOW中定义的名称为CZ，这个名称一般是每台电脑各不相同的，除非用户自己重新命名，但这情况很少。如果张尔申还要否认，一定是有人从张尔申处获悉了邮箱地址及密码，借用了张尔申的专用笔记本电脑，并且在张尔申的私人办公室里用张的办公室电话上网，但这种几率很小，张尔申也未能举出存在这种可能性的证据。 如何判断电子证据的真伪－案例 CHAP验证为三次握手验证,口令为密文(密钥),适用于安全性要求高的环境。CHAP验证过程如下: 验证方向被验证方发送一些随机产生的报文，并同时将本端的主机名附带上一起发送给被验证方； chap认证: 1) Auth 向 Client 发送 ID + Auth主机名 + 随机值 2) Client 将 Auth 发送过来的进行md5得到hash 3) Client 向 Auth 应答 发送ID + HASH + Client + 主机名 4) Auth 把第1次发送给Client的随机值抽取出来散列计算 和 第3步中接受到的数据 进行对比. 5) 向Client 发送验证结果 success / failed 以上证据相互印证，以“上网设备特征（电脑的IP地址和主机名）＋传输设备特征（上网所用的电话号码）＋被告的办公室”锁定“空间”，以“上网时间＋上班时间＋被告的在场证据”锁定“时间”，时间加上空间，即锁定了被告在特定时间和地点实施侵权行为的可能性和唯一性。以“上网口令（上网帐号和密码）”排除其他人“盗用”的可能性，从反面证明了以上结论的正确性。法院认为，被告否认上述邮件系其所写所发，未提供充分证据，故不予采信，最后判决：被告利用电子邮件侵犯原告名誉权行为成立，判决被告予以书面致歉，同时赔偿原告精神损失2000元，及经济损失1536元。　 电子证据真实性判断 联合国国际贸易法委员会的《电子签名统一规则（草案）》（1999）第5条“完整性的推定”的规定及菲律宾《电子证据规则》（2001）规则5第1条“证明真实性的责任”的规定等，应从以下方面审查判断电子证据的真实性的内容： 　 　　1．电子证据的生成。即要考虑作为证据的数据电文是怎样形成的：如数据电文是在正常业务中按常规程序自动生成还是人工录入的，自动生成数据电文的程序是否可靠，有没有非法干扰；由人工录入数据电文时，录入者是否按照严格的操作规程、采用可靠的操作方法合法录入。另外，该电子证据所依赖的计算机系统或其他类似设备，在所有关键时刻是否处于正常运行状态，若关键时刻不处于正常运行状态，该事实是否影响电子记录的真实性；该电子证据是在正常业务中制作的还是为诉讼目的制作的，前者的可靠性要高于后者。　 　　2．电子证据的传送与接收。数据电文通常要经过网络的传递、输送，所以要考虑传递、接收数据电文时所用的技术手段或方法是否科学、可靠，传递数据电文的“中间人”如网络运营商等是否公正、独立，数据电文在传递过程中有无加密措施，数据电文的内容是否被改变等。　 　　 电子证据真实性判断 　　3．电子证据的存储。即要考虑作为证据的数据电文是怎样存储的：如存储数据电文的方法是否科学，存储数据电文的介质是否可靠，存储数据电文者是否公正、独立，数据电文是由不利方储存的还是有利方储存的或是中立的第三方储存的，不利方储存的数据电文的可靠性最高，第三方储存的数据电文的可靠性次之，有利方储存的数据电文的可靠性最低。存储数据电文时是否加密，所存储的数据电文是否被改动，等等。　 　　4．电子证据的收集。即要考虑作为证据的数据电文是由谁来收集的，收集者与本案有无利害关系，如果收集者与本案有利害关系，那么其收集的电子证据的可靠性要低。另外，是否是经公证机关获得的电子证据，经公证机关获得的电子证据的可靠性较高；司法机关在收集电子证据的过程中是否遵守了法律的有关规定；司法机关以秘密方式收集电子证据时是否经过授权，是否符合法定的秘密取证程序；收集电子证据的方法（如备份、打印输出等）是否科学、可靠；收集者在决定对数据电文进行重组、取舍时，所依据的标准是什么、所采用的方法是否科学、可靠，等等。　 注： 如上计算机取证原则及步骤都是基于一种静态的视点，即事件发生后对目标系统的静态分析。随着计算机犯罪技术手段的提高，这种静态的视点已经无法满足要求，发展趋势是将计算机取证结合到入侵检测等网络安全工具和网络体系结构中，进行动态取证。整个取证过程将更加系统并具有智能性，也将更加灵活多样。