超级会员免费看
计算机取证:准备工作与硬件知识
1. 组织需求评估
每个组织的需求都各不相同,专业人员需要评估所在组织的特定需求。执法人员可能面临案件量过大而人力不足的问题,或者设备陈旧、软件使用存在问题。企业组织则需要通过评估风险、威胁和暴露情况来制定安全政策,以确保网络环境的安全。由于各组织的政策和要求不同,不存在适用于所有安全基础的“一刀切”规则。培训和教育是个好的开端,但必须不断更新对硬件、软件和威胁的知识,持续评估组织的脆弱性。
安全专家能够监控大量数据,包括跟踪互联网访问、读取员工电子邮件、记录电话通话和监控网络访问等。监控的程度取决于想要存储的信息量,监控计划应明确且围绕特定目标和政策制定。以下是实施监控政策时需要考虑的事项:
- 识别环境中可能面临风险的潜在资源,如敏感文件、财务应用程序和人事文件。
- 确定资源后,制定政策。若政策需要审计大量数据,要确保硬件有足够的存储空间、处理能力和内存。
- 安排时间审查日志。如果六个月都不查看日志文件中的信息,它就无法起到保护系统免受攻击的作用。
2. 计算机取证准备工作
计算机取证调查人员要做好充分准备,了解与调查设备相关的硬件、操作系统、文件系统和网络解决方案。大多数组织都有事件响应团队,可提供相关信息或协助整理。调查人员还需了解法律限制,熟悉犯罪发生地和犯罪者居住地的当地法律,以确保构建的案件在法庭上站得住脚。
2.1 了解硬件
许多硬件设备都可以检索信息,如内部和外部硬盘驱动器、CD - ROM、USB闪存驱动器、Compact Flash设备、存储卡或棒以及智能手机等。这些设备上存储的信息是非易失性的,即使设备断电甚至擦除后,信息通
订阅专栏 解锁全文
扫一扫
22
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
