文档

系统管理员和计算机取证专家需要的文档极其详细。它们不仅必须记录收集了什么证据,还要记录如何收集,以及用什么工具收集。事件文档应使用统一的命名约定,以用于取证工具输出。用时间、日期以及执行取证的人员的身份作为日志戳记。尽可能多地记录安全事件的信息。这些最佳做法提供了信息收集过程的审计线索。

即使您不是系统管理员或计算机取证专家,为您所做的所有工作创建详细的记录也是一种良好的习惯。如果在您工作的计算机或网络上发现非法活动,那么至少记录以下内容:

第一反应人员想知道您做过什么,没做过什么。您的文档可能成为起诉犯罪时的证据组成部分。如果增加或更改了此文档,务必通知所有相关方,这一点至关重要。

证据链

为了使证据得到承认,必须证明真实性。系统管理员可证明所收集的证据。但是他或她还必须能够证明收集此证据的方式、存放证据的物理位置,以及在收集证据与证据进入法庭诉讼的时间点之间谁曾访问过此证据。这被称为证据链。为了证明证据链,第一反应人员必须遵守用于跟踪所收集证据的文档程序。这些程序还能防止证据篡改,从而保证证据的完整性。

将计算机取证程序融入计算机和网络安全方法可确保数据的完整性。这些程序有助于在发生网络入侵时捕获必要的数据。确保捕获到的数据的存续性和完整性有助于起诉入侵者。