数字鉴识已问世至少十年，但在商业领域，这仍是一种相对陌生和未被利用的项目。 

数字鉴识的概念，源自执法部门发现传统以实体证据（如指纹、弹道等）为主的鉴识方法，已不足以对抗日益数字化的犯罪行为。因此，警方开始发展各种方法取得电脑存放的信息，并设法将这类信息转为呈堂证据。 

然而到1990年代末，大型商业组织开始了解，他们的电脑也存有许多与电子犯罪和其他潜在职场事件相关的重要信息。这个趋势，加上信息保护法（Data Protection Act）的实施，和欧洲人权会议（European Convention on Human Rights）要求雇主以公平和正义原则处理雇员相关事务，都让数字鉴识的概念日益受到重视。

风险咨询公司QCC Information Security的鉴识运算专家John Douglas表示，最重大的变化发生在2004年，国际联合打击网络儿童色情的计划Operation Ore，一举逮捕超过600名英国性犯罪者。

还未达主流阶段

Douglas解释：“虽然数字鉴识已经问世十多年，在Operation Ore之前，一直欠缺组织性的发展。但那次行动过后，警方取得了动力，在每一个辖区设立高科技犯罪小组，大幅改进了刑事鉴识，因为民众知道那是可行的。”

然而，执法单位之外的市场依然有限。虽然公众对数字鉴识的认识开始渗透到董事会阶层，要达到主流程度的应用仍有待时日，而英国地区采行数字鉴识的单位，包括警方，也不超过300个。

最直接的原因是，数字鉴识不像灾难复原和信息备份涉及所有的商业领域，其牵涉的利益范围相对较窄，且只有在某些特定的情况下才能使用。这代表大多数的技术员工对数字鉴识的认知，均超过他们的资深管理阶层。此外，许多组织不愿走上数字鉴识的途径，是因为害怕一旦发生纠纷将损及名声。

Douglas说：“我们都听过投资银行掩盖丑闻、付钱请人调查然后堵住漏洞的故事，这都是因为他们不想让事件曝光。他们不让警方涉入，因为这样会变成大新闻，而且（警方）一旦涉入，司法程序可能拖上好多年。”

然而，许多雇员上万的大型跨国组织，特别是投资银行和会计业，都倾向自行设立数字鉴识团队。尽管他们的兴趣可能不是追查个别员工的小额欺诈或偷窃信息，这类团队的确会追踪和抓出涉及商业间谍、重大及组织型犯罪、大额欺诈、破坏和滥用电邮或网络存取的歹徒。Douglas说：“尽管这么做十分昂贵，与丑闻一旦登上头条的名誉损失，或企业因为某件事被法院判赔巨额罚款或赔偿金相比，仍是九牛一毛。”

再者，自从美国和欧洲分别施行Sarbannes-Oxley和Basel II法案后，以数字鉴识作为风险管理的公司愈来愈多。例如许多大型投资银行会在交易员离职时，先复制其硬盘内容，再交接给新的员工。若有任何不法行为，这份拷贝便可在日后的法律行动中作为证据。

但小公司的情况大不相同，他们难以负担维系鉴识团队和持续训练的成本。小公司，若有心进行数字鉴识，通常倾向聘请顾问公司执行 ?C 大公司在进行内部调查时，为表现公平，也可能采取这种作法。但这种途径有多重的问题，一方面，这类服务所费不赀，单日费率从1,000英镑起跳，不同的机构价码各异，最多可能高达四倍。另一方面，调查时间可从查看单一员工电邮的两小时，到试图建立恶意对外连线的数个月。

自以为是的非专业人士

因此，英国贸工部现在特别建议民间的中小企业，考虑共创一个2万至4万英镑规模的应急基金，帮助他们更冷静地解决此类信息安全问题。

但另一方面，民间公司，特别是过去从未涉入任何调查的企业，通常很难找到风评佳、合格且经验充足的顾问。更糟的是，这个市场目前完全不受管制，任何人只要拥有一台电脑和少数鉴识工具便可自称分析师，不必担心受罚。信息顾问公司Risk Management总经理Charles White表示：“这个领域有很多牛仔（自以为是的非专业人士），当中许多人以自己的车库为据点，自以为只要把硬盘插入金属文件柜里然后锁门就能完成工作。问题是大家以为这是简单的事，但在众多好手中，可能只有两、三个是厉害角色。”

White认为，IT鉴识明显有成立某种协会或专业组织的必要性。类似律师的法律协会等团体，可监督这项专业的发展，并取得当局授权，对不适任和破坏专业名声的行为进行处罚。克兰菲尔大学（Cranfield University）信息安全系主任Brian Collins表示，虽然鉴识人员注册会议（CRFP）于2005年11月在英国电脑协会的支持下，设立了数字鉴识专家的注册机制，监定的办法目前仍在研究中。

身为这项提案的负责人，Collins正试图召集最负声望的鉴识专家，一同规划这类评监的大纲，目标是在未来6至9个月内，完成这项附带处罚程序的方案。在此同时，有意聘请专家的机关组织，最好参考CRFP少数的注册会员、向法律协会索取他们的专家作证纪录、探询其他人的口碑建议，或最不得已的方法 ?C 上网搜索。

找到鉴识专家后，下一步是确定他们能否胜任眼前的任务。如Douglas所言：“不是任何一位拥有几年电脑经验的老练工程师，都能成为好的鉴识分析师。”除了对电脑的深入与高度了解是必要条件，鉴识分析师还需具备调查能力、善于撰写报告，并有足够的表达能力和权威，以专家证人的身份出庭作证。也就是说，即使是名校新进毕业的理学士，也不太可能拥有必要的经验，尤其是面对法庭交叉诘问的状况。因此，这些人实际上场时，最好都有更老练的调查员指导。

电脑证据非常脆弱

Douglas说：“检查员必须有丰富的经验，这就是为什么大多数优秀的人员都是30和40多岁。这并非严苛和武断的偏见，但就我个人的经验，调查员通常都比较年长，因为年轻人没有广泛的人生经验和深入的IT学识。”另一项注意的要点，是熟知被全球数字鉴识调查用作准标准，并提供四项证据收集暨使用准则的英国警察协会（ACPO）办案指南。

但在聘请鉴识专家前，组织本身还要注意若干考虑。首先，也是最重要的认知是，电脑证据非常脆弱，很容易因处理不当被损坏。举例来说，只是打开一台Windows XP PC，就有将近600个可能是证据的文件被变更，这些东西在法庭上都会丧失证据效力。

一旦怀疑有问题，保存可能的犯罪现场和防止电脑被进一步使用就成为第一要务。若某人不熟练地胡乱操作，试图自行寻找非法活动的证据，此案将从此无法追诉，因为证据链已然被毁。因此，调查员的正常程序，是立刻将该台主机标示清楚，并移往另一个隔离的房间，以避免在法庭上被控污染证据。接下来，利用特殊的工具复制整个硬盘，并根据顾客设定的参数进行分析。在这个阶段需同时建立一检查日志以纪录工作过程，并撰写一份报告，在调查结束后呈交客户。客户根据调查结果决定是否采取法律行动，但调查员的基本原则是先假设案件会成立，并从一开始就遵循法庭的严格标准行事。

在商业领域，许多这类调查的内容只是搜查电邮和文件，或寻找文件被下载或复制的证据，但也可能包括搜索被删除的物件，以抓出歹徒试图湮灭的线索。数字鉴识顾问公司ibas的国际运营部经理Simon Janes指出：“大部分证据的实际价值不是你在屏幕上看到的，而是存在系统档和未划定的区域，所以你必须知道自己在作什么。”进行这类调查的另一个问题，是可能造成运营中断，尤其当涉案的电脑不只一台，因此组织必须衡量确实有必要为此作出相当程度的牺牲。

至于未来的发展，未来3到5年，随着风险控管对企业的重要性日增，各种规模的公司都将发现意外事件管理不再足以应付多变的环境，数字鉴识势将更加普遍。最根本的原因是移动电话、PDA和全球定位系统等数字科技前所未见地融入民众的日常生活中，因此能够分析信息并确实重建事件发生状况的专家，只会愈来愈受欢迎。

如同Douglas所断言：“当后果的风险愈大，董事会自然希望布署所有可用的工具，以便控制情势。”