2021年2月28日
调查:
1.多数情况,简短的,非正式的确定事件。
2.正式调查:仔细调查,确保执行正确的步骤。
调查的类型:
1.行政调查:内部调查,检查业务问题或是否违反组织的政策,首要目标是解决业务问题。
2.犯罪调查:由执法者进行,是针对违法行为进行的调查,结果是指控犯罪和在刑事法庭上起诉。
3.民事调查:不涉及执法,为解决双方(一般是内部和外部)之间的纠纷,不会遵循超出合理怀疑证据的标准,使用较弱证据标准。
4.监管调查:政府机构认为个人或企业可能违法时执行的调查。基本总是由政府人员执行,或基于行业标准(如:PCI DSS)
5.电子发现:信息治理,识别、保存、收集、处理、检查、分析、产生、呈现,是一个复杂过程,需IT人员和法律顾问协调。
证据:
1.可采纳的证据:证据与确定事实有关;对本案必要;针具必须有法定资格(即合法获得)。
2.证据的类型:
实物证据:计算机设备、带指纹的键盘、硬盘、DNA
文档证据:用于证明事实的书面内容,必须验证。日志需要系统管理员证明,该日志为常规商业活动收集。
言辞证据:证人证词的证据,不能是传闻证据,未经系统管理员验证的计算机日志,也可被认为是传闻证据。
证据收集:应由专业司法技术人员进行,进行取证时,保留原来的证据也很重要。比如查找证据时,不能破坏原证据。
1.介质分析:磁介质,光学介质,存储器。
2.网络取证分析:IDS日志;网络流量,防火墙日志。
3.软件分析:代码审查,寻找后门、逻辑炸弹、漏洞。
4.硬件/嵌入式设备分析
调查过程
1.收集证据:请求执法;实施调查;约谈个人;事故数据的完整性和保存。
2.报告和记录调查
计算机犯罪的主要类别:
1.军事和情报攻-击:威胁国家安全,泄密、中断军事计划,最成功的结果:没人察觉。
2.商业攻-击:非法获取公司的机密信息
3.财务攻-击:用于非法获得钱财和服务
4.恐怖攻-击:目的是中断正常的生活并制造恐怖气氛。攻-击的目的可能是控制电厂、电信或造成电力中断。
5.恶意攻-击:动机是“不满”。
6.兴奋攻-击:由菜鸟发起,“脚本小子”,常见的打击是“服务中断”,攻-击类型是篡改网页。
道德规范:管理个人行为的规则,是要求专业人士行为的最低标准。
(ISC)2的道德规范:
1.保护社会、公益必需的公信与自信,保护基础设施。
2.行为得体、诚实、公正、负责和遵守法律。
3.为委托人提供尽职的、胜任的服务。
4.发展和保护职业。
RFC1087(道德规范和互联网)文档中描述的不可接受的目的:
1.试图获得未授权访问Internet资源的权利。
2.破坏Internet的正常使用。
3.通过这些行为耗费资源(人、容量、计算机)。
4.破坏以计算机为基础的信息的完整性。
5.危害用户的隐私权。
课后习题20题,错了7个。