小知識︱在進行電子資料取證前,企業應該怎麼做?
當前,政法機關、企事業單位進行電子資料取證的情況日益普遍,但電子資料具有虛擬性和易破壞性等特點,當有人為因素或技術的障礙介入時,電子證據極容易被篡改、偽造、破壞或毀滅。那麼,對於部分非專業的機構而言,在進行電子資料取證前哪些事應該做、哪些事不能做呢?一起來看下吧——
十件必須做的事
1. 給裝置做保護措施,避免任何未經授權的人訪問它;
2. 如果裝置處於關閉狀態,保持關機;
3. 如果裝置是開機的,保持開機;
4. 如果裝置是開機狀態的,拔下已連線的網線並關閉WiFi/藍芽連線;
5. 如果上一步無法做到,就拔掉電源或移除電池,如果是伺服器,請關機;
6. 調查進行時如無必要不能告訴任何人;
7. 記筆記,如所涉及的人、指控、證據、日期與時間等等;
8. 收集任何可以調取的證據,如U盤、光碟、檔案、筆記本、照相機等等;
9. 如果可能的話,不要告知嫌疑人他們正在被調查的;
10. 向計算機取證公司諮詢進行進一步分析的建議。
十件不能做的事
1. 不要好奇想“看一下”而啟動裝置;
2. 除非熟悉計算機取證,否則不要讓你們的IT部門去取證;
3. 除非熟悉相關法律法規及標準,否則不要讓你們的IT部門去取證;
4. 不要拖延,越早做出響應,儲存證據的機率就越大;
5. 不要引起懷疑,如無必要,不要告訴任何人正在進行調查;
6. 在此過程中不要忽視你們的HR部門,他們可以提供法律方面的建議與支援;
7. 不要試圖猜測哪種取證行為更有效,如有疑問,請聯絡一家計算機取證公司;
8. 如果你認為已經發生犯罪,請立刻與警方聯絡,;
9. 不要去嘗試銷燬任何資料,這些操作通常都可以被追蹤,並會負有嚴重的法律責任;
10. 不要啟動任何裝置或在裝置上執行任何程式或者做任何可能更改資料的事。
十大取證準備技巧
1. 確保每一個使用者都有單獨的使用者配置檔案。不要使用常見的賬戶,如admin;
2. 每一個使用者配置檔案都應該由密碼保護並且不能共享;
3. 所有的網路裝置都應開啟儘可能多的日誌/審計;
4. 事件日誌應當備份到安全位置;
5. 瞭解你的備份程式和功能,驗證備份的資料是否完善且可恢復;
6. 確保連線到你的計算機/網際網路的所有使用者都接受了使用條款;
7. 保留至少一個可信計算機取證公司的電話;
8. 確保員工熟悉正確的流程,從上文的10件必須做和不能做開始;
9. 確保你的網路上所有的裝置時間和日期都正確或相同;
10. 考慮安裝入侵檢測系統。
來源:網路,編輯:@神琥科技