安全運營簡介安全是發展的保障，發展是安全的目的。網絡安全是全球性挑戰，沒有哪個國家能夠置身事外、獨善其身，維護網絡安全是國際社會的共同責任。文字學習大國重器《中國超級計算機有多牛》拓展主題愛國主義、科技強國、技能強國在當今信息時代，安全運營逐漸成為一個熱門話題。信息安全事故層出不窮，大大影響了企業的正常運行，迄今為止已對世界各地企業造成了不可估量的損失，而安全運營是全方面保證企業業務持續安全運行的必要條件。本章節將介紹安全運營的基本概念，并且對安全運營需要具備的條件進行簡單介紹。學完本課程后，您將能夠：描述安全運營的概念了解安全運營的內容描述數據監控與分析的技術手段描述數據采集的過程使用威脅定位的技術安全運營概念安全運營概念安全運營基本要求安全運營內容簡述數據監控數據分析安全運營概念在企業信息安全建設初期，企業安全工作主要內容是通過購買一系列的安全設備部署在各個協議層以保證業務日常的穩定運行。而隨著安全問題頻發，如信息泄露事件、自然災害等，從業人員逐漸意識到僅僅部署安全設備并不能實現有效的安全運營。安全運營必須是資源、流程和管理的有效結合，才能達到保護企業業務安全持續穩定運行的目的。安全運營概念安全運營概念安全運營基本要求安全運營內容簡述數據監控數據分析安全運營基本條件安全運營涉及方方面面的要求，以下為安全運營的基本運營條件：安全運營業務連續性計劃物理安全管理安全運營事件預防及響應災難恢復計劃調查取證保護資源的配置理解和應用基本的安全操作原則采用資源保護技術執行和支持補丁及脆弱性管理參與和理解變更管理流程參與解決人身安全管理日志和監控行為實施事件管理操作和維護預防措施實施恢復策略執行災難恢復過程測試災難恢復計劃理解和支持調查理解調查取證類別的要求安全運營概念安全運營內容簡述業務連續性計劃事件響應管理災難恢復計劃調查取證數據監控數據分析業務連續性計劃業務連續性計劃（BusinessContinuityPlanning，BCP）的目標是在緊急情況下提供快速、沉著和有效的響應，從而增強企業立即從破壞性事件中恢復過來的能力。業務連續性計劃基本步驟項目范圍和計劃編制連續性計劃編制BCP文檔化業務影響評估項目范圍和計劃任何流程或計劃的制定都必須依據具體組織的實際業務的規模和性質，符合企業文化，并且遵守相關法律。如下是制定計劃初期無額定項目范圍的具體要求：業務組織分析BCP團隊組建資源要求法律和法規要求業務影響評估業務影響評估（BusinessImapctAssessment）確定了能夠決定組織持續發展的資源，以及對這些資源的威脅，并且還評估每種威脅實際出現的可能性以及出現的威脅對業務的影響。業務影響評估包含以下部分：確定優先級風險識別可能性評估影響評估資源優先級劃分連續性計劃編制上兩個階段主要用于確定BCP的工作過程以及保護業務資產的有限順序，在連續性計劃編制階段則注重于連續性策略的開發和實現，在這一階段涉及以下任務：2345計劃實現預備和處理培訓和教育計劃批準1策略開發BCP文檔化將BCP文檔化有助于在發生緊急事件時，此文檔能夠對BCP人員提供處理威脅事件的指導。同時，該文檔記錄了修改歷史，為后續處理類似事件或者文檔修改提供經驗借鑒。文檔的內容應當包含以下內容：連續性計劃的目標重要性聲明組織職責的聲明緊急程度和時限的聲明風險評估可接受的風險/風險調解重大記錄計劃響應緊急事件的指導原則維護測試和演習安全運營概念安全運營內容簡述業務連續性計劃事件響應管理災難恢復計劃調查取證數據監控數據分析事件響應管理并非所有的威脅事件都能被預防，業務連續性計劃提供了處理緊急事件的流程指導，盡快地對威脅事件進行響應，能夠盡量減少事件對組織的影響。響應緩解報告恢復修復檢測經驗教訓安全運營概念安全運營內容簡述業務連續性計劃事件響應管理災難恢復計劃調查取證數據監控數據分析災難恢復計劃在災難事件導致業務中斷時，災難恢復計劃開始生效，指導緊急事件響應人員的工作，將業務還原到正常運行的狀態。災難恢復計劃包括以下內容：實施恢復策略執行災難恢復過程測試災難恢復計劃安全運營概念安全運營內容簡述業務連續性計劃事件響應管理災難恢復計劃調查取證數據監控數據分析調查在采取措施之前，需要確定攻擊已經發生，攻擊發生之后需要對該安全事件進行調查和收集證據，調查是為了找出發生了什么，以及該事件的損害程度。操作型調查犯罪調查民事調查監管調查電子發現證據為了成功地檢舉犯罪，必須提供足夠的證據來證實犯罪行為。證據的類型分為：實物證據文檔證據言辭證據調查取證流程事故確認請求執法證據收集及保存約談個人提起訴訟本章主要介紹如何通過技術手段獲取有效信息，并針對獲取的信息分析，定位安全風險與威脅。數據的收集可以從互聯的網絡設備中采集，也可以檢查提供服務的終端系統。在安全事件發生前，通過數據的監控和分析，主動分析網絡的安全風險，加固網絡；在安全事件發生后，通過數據的監控和分析，迅速定位安全威脅，為攻擊防御與取證提供支持。安全運營概念安全運營內容簡述數據監控主動分析被動采集數據分析主動分析主動分析：在攻擊發生前，對網絡的狀況進行安全評估，對暴露的問題進行及時的改正，加固網絡，提升網絡的安全性。安全評估方法如圖所示：安全評估方法1.安全掃描2.人工審計3.滲透測試4.調查問卷5.訪談調研安全掃描工作目標：為了充分了解目標系統當前的網絡安全漏洞狀況，需要利用掃描分析評估工具對目標系統進行掃描，以便發現相關漏洞。工作內容：系統開放的端口號系統中存在的安全漏洞是否存在弱口令SQL注入漏洞跨站腳本漏洞工作輸出掃描工具生成結果安全掃描人工審計滲透測試問卷調查訪談調研掃描工具工具類型工具名稱用途掃描類型端口掃描軟件superscan

功能強大的端口掃描軟件：通過Ping來檢驗IP是否在線；檢驗目標計算機提供的服務類別；檢驗一定范圍目標計算機的是否在線和端口情況。Nmap是Linux下的網絡掃描和嗅探工具包。基本功能：一是探測一組主機是否在線；其次是掃描主機端口，嗅探所提供的網絡服務；還可以推斷主機所用的操作系統。漏洞掃描工具Sparta集成于Kali內的漏洞掃描工具，能夠發現系統中開啟的服務以及開放端口，還可以根據字典，暴力破解應用的用戶名和密碼。應用掃描BurpSuiteBurpSuite是用于滲透web應用程序的集成平臺。它包含了許多工具，并為這些工具設計了許多接口，以促進加快攻擊應用程序的過程。Superscan工具使用展示如圖，使用Superscan對實驗環境中的web服務器進行掃描，測試如圖：查看Superscan掃描結果在“Scan”菜單欄，點解“ViewHTMLResult”查看掃描結果，如下圖：Nmap工具使用展示選擇“Application”中的“InformationGathering”，點擊“Nmap”，如圖：查看Nmap掃描結果根據Nmap工具的參數規則，對目標系統進行信息收集，如下圖是對主機開放的TCP端口進行掃描：Sparta工具使用展示選擇“Application”中的“VulnerabilityAnalysis”，點擊“Sparta”，如圖：查看Sparta掃描結果在操作界面添加要掃描的地址網段或主機地址，進行掃描，如圖展示了目標主機開放的端口及應用，而且可以查看操作系統的信息：BurpSuite使用展示BurpSuite會向應用發送請求并通過payload驗證漏洞。它對下列的兩類漏洞有很好的掃描效果：客戶端的漏洞，像XSS、Http頭注入、操作重定向；服務端的漏洞，像SQL注入、命令行注入、文件遍歷。BurpSuite掃描結果在Results界面，自動顯示隊列中已經掃描完成的漏洞明細。人工審計工作目標人工審計是對工具評估的一種補充，它不需要在被評估的目標系統上安裝任何軟件，對目標系統的運行和狀態沒有任何影響，在不允許安裝軟件進行檢查的重要主機上顯得非常有用。工作內容安全專家對包括主機系統、業務系統、數據庫、網絡設備、安全設備等在內的目標系統進行人工檢查。檢查的內容視檢查目標不同將可能涵蓋以下方面：是否安裝最新補丁是否使用服務最小化原則，是否開啟了不必要的服務和端口防火墻配置策略是否正確安全掃描人工審計滲透測試問卷調查訪談調研滲透測試滲透測試是作為外部審查的一部分而進行的。這種測試需要探查系統，以發現操作系統和任何網絡服務，并檢查這些網絡服務有無漏洞。滲透測試的流程如下：1信息收集、分析2制定滲透方案、實施準備3前段信息匯報、分析4提升權限、滲透實施5滲透結果總結6輸出滲透測試報告7提出安全解決建議安全掃描滲透測試問卷調查訪談調研滲透測試調查問卷調查對象網絡系統管理員、安全管理員、技術負責人等調查內容業務、資產、威脅、脆弱性（管理方面）。設計原完整性、具體性、簡潔性、一致性安全掃描滲透測試問卷調查訪談調研滲透測試訪談調研訪談對象安全管理員、技術負責人、網絡系統管理員等訪談內容確認問卷調查結果詳細獲取管理執行現狀聽取用戶想法和意見安全掃描滲透測試問卷調查訪談調研滲透測試安全運營概念安全運營內容簡述數據監控主動分析被動采集數據分析被動獲取被動獲取：當攻擊發生時，及時采集數據，分析攻擊使用的方法，以及網絡存在的問題，進行及時的補救，減少損失。數據采集方式如下所示：數據采集抓包命令行抓包軟件端口鏡像日志網絡設備日志操作系統日志抓包-命令行(1)命令行：查看OSPF鄰居建立過程。<Switch>debuggingospfeventApr12201812:03:16.370.1-05:00SW3RM/6/RMDEBUG:FileID:0x7017802dLine:1136Level:0x20OSPF1:Nbr4RcvHelloReceivedStateDown->Init.Apr12201812:03:16.380.1-05:00SW3RM/6/RMDEBUG:FileID:0x7017802dLine:1732Level:0x20OSPF1:Nbr4Rcv2WayReceivedStateInit->2Way.Apr12201812:03:16.390.1-05:00SW3RM/6/RMDEBUG:FileID:0x7017802dLine:1732Level:0x20OSPF1:Nbr4RcvAdjOk?State2Way->ExStart.Apr12201812:03:16.400.1-05:00SW3RM/6/RMDEBUG:FileID:0x7017802dLine:1845Level:0x20OSPF1:Nbr4RcvNegotiationDoneStateExStart->Exchange.Apr12201812:03:16.410.1-05:00SW3RM/6/RMDEBUG:FileID:0x7017802dLine:1957Level:0x20OSPF1:Nbr4RcvExchangeDoneStateExchange->Loading.Apr12201812:03:16.430.1-05:00SW3RM/6/RMDEBUG:FileID:0x7017802dLine:2359Level:0x20OSPF1:Nbr4RcvLoadingDoneStateLoading->Full.抓包-命令行(2)命令行：查看OSPF報文信息具體內容。<Switch>debuggingospfpacketApr12201812:05:42.930.2-05:00SW3RM/6/RMDEBUG:SourceAddress:4Apr12201812:05:42.930.3-05:00SW3RM/6/RMDEBUG:DestinationAddress:Apr12201812:05:42.940.1-05:00SW3RM/6/RMDEBUG:Ver#2,Type:1(Hello)Apr12201812:05:42.940.2-05:00SW3RM/6/RMDEBUG:Length:48,Router:4Apr12201812:05:42.940.3-05:00SW3RM/6/RMDEBUG:Area:,Chksum:4dcfApr12201812:05:42.940.4-05:00SW3RM/6/RMDEBUG:AuType:00Apr12201812:05:42.940.5-05:00SW3RM/6/RMDEBUG:Key(ascii):********dApr12201812:05:42.940.6-05:00SW3RM/6/RMDEBUG:NetMask:eApr12201812:05:42.940.7-05:00SW3RM/6/RMDEBUG:HelloInt:10,Option:_E_Apr12201812:05:42.940.8-05:00SW3RM/6/RMDEBUG:RtrPriority:1,DeadInt:40Apr12201812:05:42.940.9-05:00SW3RM/6/RMDEBUG:DR:4Apr12201812:05:42.940.1-05:00SW3RM/6/RMDEBUG:BDR:3Apr12201812:05:42.940.2-05:00SW3RM/6/RMDEBUG:#AttachedNeighbors:1Apr12201812:05:42.940.3-05:00SW3RM/6/RMDEBUG:Neighbor:3抓包-工具(1)使用wireshark抓包工具，查看OSPF鄰居建立過程。抓包-工具(2)使用wireshark抓包工具，查看OSPF報文信息具體內容。端口鏡像端口鏡像是指設備復制從鏡像端口流經的報文，并將此報文傳送到指定的觀察端口進行分析和監控。監控設備鏡像端口觀察端口Client1Client2Client3網絡設備日志以USG6330為例，支持日志與報表，當硬盤不在位時，僅能查看并導出系統日志及業務日志。硬盤不在位：硬盤在位：防火墻日志格式防火墻支持的日志格式：格式使用場景二進制格式會話日志以二進制格式輸出時，占用的網絡資源較少，但不能在FW上直接查看，需要輸出到日志服務器查看。Syslog格式話日志、丟包日志以及系統日志以Syslog格式輸出時，日志的信息以文本格式呈現。Netflow格式對于會話日志，FW還支持以Netflow格式輸出到日志服務器進行查看，便于管理員分析網絡中的IP報文流信息。Dataflow格式業務日志以Dataflow格式輸出，在日志服務器上查看。系統日志以防火墻USG6000為例，查看系統日志：選擇“監控>日志>系統日志”，查看防火墻的系統日志信息。業務日志以防火墻USG6000為例，查看業務日志：選擇“監控>日志>業務日志”，查看防火墻的業務日志信息。告警信息以防火墻USG6000為例，查看業務日志：選擇“監控>日志>告警信息”，查看防火墻的告警信息。操作系統日志以windows為例，點擊“開始”，右鍵“計算機”，選擇“管理”，選擇“系統工具>事件查看器>Windows日志”，如下圖：以windows操作系統為例，操作系統日志分為：系統日志應用程序日志安全日志Windows日志分類Windows系統日志類型：日志類型作用Vista/Win7/Win8//Win10/Server2008/Server2012存儲位置系統日志記錄操作系統組件產生的事件，主要包括驅動程序、系統組件和應用軟件的崩潰以及數據。%SystemRoot%\System32\Winevt\Logs\System.evtx應用程序日志包含由應用程序或系統程序記錄的事件，主要記錄程序運行方面的事件。%SystemRoot%\System32\Winevt\Logs\Application.evtx安全日志記錄系統的安全審計事件，包含各種類型的登錄日志、對象訪問日志、進程追蹤日志、特權使用、帳號管理、策略變更、系統事件。%SystemRoot%\System32\Winevt\Logs\Security.evtxWindows日志存儲位置以安全日志為例，選擇“屬性”，查看日志的具體信息，如下圖：Windows日志事件類型日志事件類型：事件類型作用信息（Information）應用程序、驅動程序或服務的成功操作的事件。警告（Warning）不是直接的、主要的，但是會導致將來問題的發生。例如，當磁盤空間不足或未找到打印機時，都會記錄一個“警告”事件。錯誤（Error）錯誤事件通常指功能和數據的丟失。例如,如果一個服務不能作為系統引導被加載，那么它會產生一個錯誤事件。成功審核（Successaudit）成功的審核安全訪問嘗試，主要是指安全性日志，這里記錄著用戶登錄/注銷、對象訪問、特權使用、賬戶管理、策略更改、詳細跟蹤、目錄服務訪問、賬戶登錄等事件，例如所有的成功登錄系統都會被記錄為“成功審核”事件。失敗審核（Failureaudit）失敗的審核安全登錄嘗試，例如用戶試圖訪問網絡驅動器失敗，則該嘗試會被作為失敗審核事件記錄下來。Windows日志格式Windows日志由兩部分組成：頭部字段和描述字段。安全運營概念安全運營內容簡述數據監控數據分析日志分析分析工具介紹數據分析打擊計算機網絡犯罪的關鍵，是如何在計算機系統中提取和分析計算機犯罪分子留在計算機中的“痕跡”，使之成為能夠追蹤并抓獲犯罪嫌疑人的重要手段和方法。網絡中發生的重要事件都會被記錄在日志中，因此，對日志的分析尤為重要。網絡設備日志操作系統日志事件WhoWhenWhereHowWhat日志分析事件日志分析要點Who用戶訪客When時間where位置設備接口服務How有線無線VPNWhat行為設備類型資源網絡設備日志分析以防火墻為例，可以通過日志，分析攻擊行為。如下圖，通過“威脅日志”發現存在IPSpoofAttack，并可以獲得攻擊的時間，使用的協議，接收接口等信息。操作系統日志分析由于日志中記錄了操作系統的所有事件，在大量的信息中快速篩選出關鍵信息尤為重要。Windows操作系統中可以根據需要篩選關鍵事件，如下圖：用戶登錄與注銷事件分析使用場景：判斷哪些用戶登錄過操作系統。分析用戶對操作系統的使用情況。事件ID：4624–登陸成功（安全日志）4625–登錄失敗（安全日志）4634–注銷成功（安全日志）4672–使用超級用戶（管理員）進行登錄（安全日志）用戶登錄成功與失敗事件如圖，分別展示了安全日志中記錄的用戶登陸成功，登錄失敗的具體日志信息。用戶注銷與特權登錄事件如圖，分別展示了安全日志中記錄的用戶注銷與使用特權登錄的具體日志信息。修改系統時間事件分析使用場景：查找用戶修改系統時間的證據。事件ID：1–Kernel-General（系統日志）4616–更改系統時間（安全日志）修改系統時間事件日志如圖，分別展示了系統日志與安全日志中記錄的修改系統時間的事件。外部設置使用事件分析使用場景：分析哪些硬件設備何時安裝到系統中。事件ID：20001/20003–即插即用驅動安裝（系統日志）外部設置使用事件日志如圖，展示了系統日志中記錄的外部設備驅動安裝的事件。安全運營概念安全運營內容簡述數據監控數據分析日志分析分析工具介紹日志分析工具LogParser是微軟公司出品的日志分析工具，它功能強大，使用簡單，可以分析基于文本的日志文件、XML文件、CSV（逗號分隔符）文件，以及操作系統的事件日志、注冊表、文件系統、ActiveDirectory。但需要能夠熟練的使用SQL語言。LogParserLizard使用圖形界面，比較易于使用，甚至不需要記憶繁瑣的命令，只需要做好設置，寫好基本的SQL語句，就可以直觀的得到結果。LogParserLizard使用展示(1)如圖，展示了使用LogParserLizard篩選“TOP1000WindowsEvent”的結果。LogParserLizard使用展示(2)如圖，展示了使用LogParserLizard篩選“CounteventtypesfromSystem”的結果。安全評估方法不包括以下哪個選項？（）安全掃描人工審計滲透測試調查取證Windows日志分類不包括以下哪個選項？（）系統日志安全日志應用程序日志業務日志業務連續性計劃和災難恢復計劃有什么區別？安全運營概念安全運營內容簡述數據監控：主動分析、被動采集數據分析：日志分析、分析工具介紹電子取證推進全球互聯網治理體系變革是大勢所趨、人心所向。國際網絡空間治理應該堅持多邊參與、多方參與,發揮政府、國際組織、互聯網企業、技術社群、民間機構、公民個人等主體作用。文字學習民族品牌強大的中國芯拓展主題愛國主義、科技強國、技能強國隨著信息技術的不斷發展，計算機越來越多地參與到人們的工作與生活中。與計算機相關的法庭案例，如電子商務糾紛、計算機犯罪等也不斷出現。判定或處置各類糾紛和刑事案件過程中，一種新的證據形式——電子證據，逐漸成為新的訴訟證據之一。電子證據本身和取證過程的許多有別于傳統物證和取證方法的特點，對司法和計算機科學領域都提出了新的研究課題。本章我們將通過介紹電子取證的過程，展示電子取證使用的技術和工具。學完本課程后，您將能夠：描述電子取證的過程描述電子取證的技術使用電子取證的相關工具電子取證概覽計算機犯罪電子取證概述電子取證過程計算機犯罪定義：行為人違反國家規定，故意侵入計算機信息系統，或者利用各種技術手段對計算機信息系統的功能及有關數據、應用程序等進行破壞；制作、傳播計算機病毒；影響計算機系統正常運行且造成嚴重后果的行為。計算機犯罪無外乎以下兩種方式：利用計算機存儲有關犯罪活動的信息；直接利用計算機作為犯罪工具進行犯罪活動。計算機犯罪特點近年來，計算機犯罪案例呈逐年上升趨勢，且呈現以下特點：手段專業動機復雜、多樣形式隱蔽具有跨國性潛在危害巨大成員多且低齡化計算機犯罪特點計算機犯罪動機計算機犯罪的犯罪動機復雜、多樣，具體如下：惡作劇報復利益驅動揚名無知政治目的犯罪動機閑極無聊又具備一定的技能，總想訪問所有感興趣的站點證明自己的實力，得到同類的尊敬與認可被停職，解雇，降職或不公正的待遇，進行報復，后果很可怕正在學習計算機和網絡，無意中發現一個弱點漏洞可能導致數據摧毀或執行誤操作為獲巨額報酬受雇于人，幫人攻入目標系統盜竊或篡改信息破壞，竊取情報，信息戰計算機犯罪形式計算機犯罪形式多種多樣，下圖列舉了常見的幾種形式：木馬黑客后門DDoS病毒蠕蟲內、外部泄密網絡犯罪形式電子取證概覽計算機犯罪電子取證概述電子取證過程電子取證概述電子證據（ElectronicEvidence）電子證據是指在計算機或計算機系統運行過程中產生的，以其記錄的內容來證明案件事實的電磁記錄物。電子證據亦稱為數字證據、計算機證據。電子證據文本圖形圖像動畫音頻視頻電子證據來源司法實踐中常見的電子證據可分為三類：與現代通信技術有關的電子證據；與廣播技術、電視技術、電影技術等其他現代信息技術有關的電子證據；與計算機技術或網絡技術有關的電子證據。通信類手機錄音聊天記錄電傳資料傳真資料電視劇錄像電影廣播、電視、電影類數據庫操作記錄瀏覽器緩存記錄網絡監控流量操作系統日志計算機、網絡類電子證據特點電子證據必須借助計算機技術和存儲技術等，離開了高科技的技術設備，電子證據無法保存和傳輸。電子證據不是單一的數據、圖像或聲音，而是數據、聲音、圖像、圖形、動畫、文本的結合。由于對計算機等電子數字設備的依賴性，電子證據的形成、傳輸環節容易被破壞，很可能會使電子證據遭到破壞，無法反映真實情況。運用黑客手段入侵電腦網絡系統，盜用密碼對電子數據任意篡改，就會改變電子證據的本來面目，給證據認定帶來困難。電子證據是以電子形式存儲在各種電子設備上的，它以光、電、磁形式存在，不像傳統證據那樣能為人直接看到聽到接觸到。電子證據能夠反映的事實是一個動態連續的過程，較直觀地再現了現場情景，所以也具有生動形象性。高科技性多樣性脆弱性、易破壞性動態傳輸性、生動形象性無形性人為性電子證據特點計算機取證概念計算機取證（ComputerForensics）亦被稱為數字取證或電子取證。定義：計算機取證是指對能夠為法庭接受的、足夠可靠和有說服性的，存在于計算機和相關外設中的電子證據的確認、保護、提取和歸檔以及法庭出示的過程。電子取證相關規定與標準美國自1976年的FederalRulesofEvidence起，美國出現了一些法律解決由電子證據帶來的問題：TheEconomicEspionageActof1976：處理商業機密竊取問題；TheElectronicCommunicationsPrivacyActof1986：處理電子通信的竊聽問題；TheComputerSecurityActof1987(PublicLaw100-235)：處理政府計算機系統的安全問題。IETF早在2002年2月就發布了RFC3227((電子證據收集、保管指南》，而ITU則在2009年4月發布了電子證據法案》的草案和《了解網絡犯罪：針對發展中國家的犯罪》，并在2012年9月發布了《了解網絡犯罪：現象、挑戰和法律相應》。IETF國際標準化組織信息安全技術委員會在2012年10月發布了《電子證據識別、收集、獲取和保存指南》(ISO/IEC27037：2012)中國2005年《公安機關電子數據鑒定規則》明確要求公安機關電子數據鑒定人應當履行并遵守行業標準和檢驗鑒定規程規定的義務；2006年《公安機關鑒定機構登記管理辦法》(公安部令第83號)明確將鑒定機構遵守技術標準的情況納入公安登記管理部門年度考核的內容中；2007年《司法鑒定程序通則》(司法部令第107號)對鑒定人采納技術標準問題做出了詳細的要求。國際標準化組織電子取證現狀與趨勢現狀形勢趨勢現狀1.我國的計算機普及與應用起步較晚，相關的法律法規仍不完善；2.學界對計算機犯罪的研究也主要集中于計算機犯罪的特點、預防對策及其給人類帶來的影響，取證技術己不能滿足打擊計算機犯罪、保護網絡與信息安全的要求；3.需要自主開發適合我國國情的、能夠全面檢查計算機與網絡系統的計算機取證的工具與軟件。趨勢1.取證技術融合其他理論和技術（如人工智能、機器學習、神經網絡和數據挖掘理論及信息安全技術）；2.取證工具的專業化和自動化；3.在網絡協議設計過程中考慮到未來取證的需要，為潛在的取證活動保留充足信息。電子取證概覽電子取證過程取證原則完整性合法性連續性全面性及時性原則盡早搜集證據，并保證其沒有受到任何破壞。在證據被正式提交時，必須能夠說明在證據從最初的獲取狀態到證據出示之間的變化。整個檢查、取證過程必須是受到監督的；如果可能并且法律允許，訪問被保護或加密文件的內容。搜索目標系統中的所有文件；全面分析結果，給出必要的專家證明。在取證檢查中，保護目標計算機系統，避免發生任何的改變、數據破壞或病毒感染。電子取證過程根據電子證據的特點，在進行計算機取證時，首先要盡早搜集證據，并保證其沒有受到任何破壞。取證工作一般按照下面步驟進行：保護現場獲取證據保全證據鑒定證據分析證據進行追蹤出示證據保護現場取證時首先必須凍結目標計算機系統，不給犯罪嫌疑人破壞證據的機會。避免出現任何更改系統設置、損壞硬件、破壞數據或病毒感染的情況。證據被正式提交時，必須能夠說明在證據從最初的獲取狀態到證據出示之間的變化，當然最好是沒有任何變化。特別重要的是，計算機取證的全部過程必須是受到監督。保護現場獲取證據保全證據鑒定證據分析證據進行追蹤出示證據獲取證據搜索目標系統中的所有文件。包括現存的正常文件，已經被刪除但仍存在于磁盤上（即還沒有被新文件覆蓋）的文件，隱藏文件，受到密碼保護的文件和加密文件。取證工具：硬件工具軟件工具保護現場獲取證據保全證據鑒定證據分析證據進行追蹤出示證據硬件取證工具(1)硬盤復制機：因為取證過程不允許對硬盤進行直接操作，硬盤復制機能夠對硬盤內容做鏡像，從而保證不會修改硬盤內的數據。硬盤只讀鎖：用于阻止硬盤的寫入通道，有效的保證存儲介質中的數據在獲取和分析過程中不會被修改，從而保證數據的完整性。硬盤復制機硬盤只讀鎖硬件取證工具(2)取證一體機：基于拷貝克隆，讀取，銷毀于一體的取證設備。取證塔：具有手機取證分析，手機鏡像，機芯片鏡像和介質取證等功能。介質修復設備：支持對電子硬盤、機械硬盤、鏡像文件、U盤、TF卡等各種電子數據存儲介質的修復。取證一體機取證塔介質修復設備軟件取證工具為了更好的用于研究和調查，開發人員創建了多樣的計算機取證工具。具體分類如下：圖片檢查工具ThumbsPlus反刪除工具HetmanUneraserCD-ROM工具CD-RDiagnostics文本搜索工具dtSearch驅動器映像程序SafeBackSnapBack、Ghost、DD磁盤擦除工具DiskScrub取證軟件軟件取證工具舉例EnCase是一個完全集成的基于Windows界面的取證應用程序，其功能包括：數據瀏覽、搜索、磁盤瀏覽、數據預覽、建立案例、建立證據文件、保存案例等。電子取證相關技術電子取證相關技術：網絡數據包分析取證；日志取證技術；蜜罐取證技術；隱蔽代碼取證技術；數據挖掘技術等。新型取證技術：芯片取證；云取證；物聯網取證；邊信道攻擊取證。數據包分析取證抓包工具及特點：工具名稱使用環境特點TcpdumpLinux采集過濾WiresharkLinux&Windows采集過濾SleuthKitLinux采集過濾，流重組，數據關聯ArgusLinux采集過濾，日志分析SniffersLinux&Windows網絡流量、數據包分析芯片取證JointTestActionGroup（聯合測試行動組）分析：通過芯片內部的TAP（TestAccessPort，測試訪問端口），訪問分析處理器的內部寄存器，即使