员工利用工作之便，利用企业商业机密谋取个人私利，而给企业带来巨大风险和损失，是当下很多企业面临的重要难题。

由于涉案人员通常会利用即时通信、电子邮件、网盘、移动介质，甚至屏幕拍照等方式来窃取、传输涉案秘密信息，而事后为了掩盖作案痕迹，往往会卸载相关软件，并利用文件粉碎机等工具破坏原始数据，毁灭证据。这也给企业的调查取证带来了高难度。

本文将结合案例介绍企业重要信息数据泄露时，如何开展取证调查。

电子数据取证要点

电子数据的转移输送需要通过网盘、邮件、移动介质等，企业便可以从这几个渠道出发，开展调查，找到有效的数据线索，还原行为人的作案过程。

1、电子邮件

outlook和foxmail是企业中最常用的邮件客户端程序，它们的本地文件夹内保存、记录了大量往来邮件、通讯录信息，还会保存相关邮件的备份文件，这在取证中是很重要的数据源。

2、网盘、文件粉碎机等软件

在企业进行调查时，系统临时文件、程序数据库文件比较容易被忽视。网盘正是员工实传输秘密信息的重要渠道之一，以百度网盘为例，其下载记录会保存在相应的数据库文件中，其中可能包含了重要的用户行为痕迹。

另外，涉案员工刻意删除的文件往往是突破案件的线索所在，因此，要尤其留心对已删除文件的恢复和排查。

3、移动存储介质插拔记录

移动存储介质插拔是行为人使用多种外接设备的一种痕迹，它向鉴证人员提供了鼠标、键盘、打印机、手机、移动存储介质、网银身份认证设备、企业法人一证通等信息。当这些信息与具体案情结合起来综合分析，往往能还原行为人在某个时间的行为轨迹，为完善证据链提供重要的信息。

4、涉案秘密信息关键字筛查

关键字筛查是常用的调查手段，能完整、高效率低筛查关键信息。此外，部分数据无法以常规直观方式读取，还需要借助专业软件进行代码层的检索，比如以二进制形式在介质中进行遍历，搜索已删除文件、文件松弛区（Slack Space）和未分配空间（Unallocated Space），从而达到找到数据的目的。

案例分享

在我们代理的一起侵犯商业秘密案中，某公司技术员通过盗取其他员工账户的方式，侵入数据库窃取技术资料，并通过百度网盘转移至其个人电脑。涉案人精通电脑技术，当我们接手案件时，发现涉案人已经竭尽可能地抹去了作案痕迹。

我们首先通过电子邮件排查涉案人向外发送涉密信息的线索，但并未发现有用信息；但在进行电脑软件分析时，我们发现，涉案人电脑上曾经安装百度云盘、后删除，我们通过数据恢复发现该软件留存在电脑中的痕迹信息和部分日志；最后，我们根据从委托人处获取的被窃取的电子数据，将被窃取的技术资料文件中某些信息转化成特定的关键字进行二进制筛查，发现被删除后存留的文件碎片和时间，结合百度云盘的分析结果和usb口设备插拔记录，列出时间轴，最终还原涉案人的作案过程。

建议

保障重要数据信息安全，防止员工泄密，已经成为企业管理的一项重要工作。结合上述取证要点，我们建议企业：

1、首先完善企业制度

从企业设立、发展到稳定运营整个阶段，根据企业自身实际情况，企业应逐步建立完善管理、人事、保密、培训、计算机和网络使用、以及企业信息化应用系统的各项管理制度和规定，要让企业员工从入职开始就明确自身的职责、权力，同时也要对违反制度规定的行为制定相应的处罚准则。 

2、以完备的技术手段作辅助

在信息化大背景下，企业商业机密等重要数据基本都是以电子文档的形式保存在计算机和服务器，在为提供便利的同时也使数据泄露渠道更加多样和隐蔽。因此，必须在制度建设的同时，采取文件加密、权限设置、网络流量同步监控等多种技术手段来杜绝文件泄密的渠道，保护商业机密安全。技术手段也要辅助对各类数据提供存留，比如企业邮箱的备份，移动存储设备连接记录，外来计算机接入公司网络记录等。

3、以必要的刑事个案作为威慑

企业监察人员应当做好常规巡检，重视公司内部举报线索，对于涉嫌侵犯公司商业秘密、知识产权，破坏公司数据信息的刑事犯罪行为，要及时开展调查，必要时应向公安机关报案，配合做好刑事犯罪侦查、起诉，同时再结合公司内部日常管理，强化法制宣传，警示员工，对潜在违法犯罪行为形成有效威慑，预防犯罪发生。

本文来源：内控和反舞弊研究 作者：周晓鸣，整理编辑： 飞浩数据

江苏飞浩信息科技有限公司，是致力于提供网络空间安全和电子数据取证一体化解决方案的高新技术企业。飞浩专注于研发具有中国自主知识产权的计算机取证产品，面向全国31个省市的司法机关、执法部门和各类企事业组织，提供电子数据的防护、监管、取证和治理的软硬件产品、服务及整体解决方案。