电子证据保全指南(日本篇上)

电子证据保全指南〔日本篇上〕1、事前预备在进展事故响应〔初始响应、证据保全〕时需要做好以下事前预备。探讨假设了事故响应的初始响应、证据保全程序以及体制确实立①探讨并打算事故响应中应当优先处理的事物〔效劳、系统等〕的挨次③确认系统最大容许停顿时间〔MTPD2〕和目标恢复时间〔RTO3〕④确认查出和推断事故的方法⑤确认事故发生时的联系体制⑥事故发生时的调查〔查明缘由、特定被害范围等〕方法的举例⑦预防事故的备份和恢复体制确实立和测试⑧事故响应经过〔按时序〕的记录方法确实立⑨制作假设了事故响应的初始响应、证据保全操作手册与事故响应有关的信息收集、信息共享和分析息安全事故②确认挥发性信息的取得挨次、内容及范围〔内存转储、应用软件〕③确立与事故响应有关组织的信息共享和联系。事故响应(初始响应、证据保全)时所需仪器设备的选定和预备①预备证据保全时用来捆包保管的材料※箱包、缓冲材料、防静电袋等②工具等的预备※周密螺丝刀、标签、各种绳带、防静电手套、台用插头等③初始响应、证据保全需要的计算机、打印设备等的预备※笔记本电脑、打印机、外部存储设备(CD-R④初始响应、证据保全需要的工具、软件的选定及预备※挥发性信息等收集工具、可视化软件等〔基准例〕※在信息取得过程中竭力避开变更原件的数据※在信息取得过程中竭力避开对原本进展写操作※在信息取得过程中避开发生不需要的网络通信〔4.3〕※外部操作系统启动用磁盘⑤完成格式化的干净的介质※硬盘、CD-R⑥证据保全用复制设备的预备※把数据复制到完成格式化的干净的介质中进展证据保全的复制设备⑦照相机、记录用具等的预备摄像机、作业确认检查表、备忘录用纸、圆珠笔等娴熟把握事故响应时使用的仪器设备①熟知证据保全时所用工具、软件的功能②通过模拟试验使用证据保全工具、软件学问Web把握作为保全对象的Web确认效劳规约、合同书、效劳等级协议等，确认保全对象的云环境利用形态以及网络效劳供给商和合同者之间交换的合同内容和责任范围。同时还需要记录、保存作为保全对象的Web发生的安全事故之间的关系以及推断需要保全的依据和争论内容。作为保全对象的Web确认效劳提可以供给标准的数据备份/输出功能，在不能输出或必要过Web本地环境的保全。以Web格外重要。又，由于保全后依据供给的效劳有时很难再现当时状况，与检索等信息。一般推举用照片或视频等逐次记录作业状况，不过，HTMLHTML出处时扫瞄器的种类和版本。分组，可以依据时序与保全作业发生关联，因此也一并争论。预备安全的作业环境也需要考虑猎取通信分组信息。见证人等复数的工作人员实施。账号持有人的同意在对象账号属于个人的场合，保全需要得到其本人的同意才能进展。更密码、数据输出的许可等。。云环境的保全云环境的把握利用形态以及网络效劳供给商和合同者之间交换的合同内容和责任范围。※又，云计算效劳的利用形态一般依据云计算效劳供给商供给应※又，云计算效劳的利用形态一般依据云计算效劳供给商供给应消费者的资源范围加以区分。主要有IaaS〔InfrastructureasaInternet〔如存储和数据库〕是IaaS的一局部。PaaS〔PlatformasaService〕平台即效劳。PaaS2事故发生〔或被觉察，下同〕时的处理2.1未实施事故响应场合的活动把握突发事故的内容突发事故的内容①信息泄露②病毒感染、爆发③不当侵入、信息窃取、违反法令④设定错误、操作错误、物理故障〃物理破坏检测事故发生的经过①审查日志②入侵检测系统③内部揭露④外部通报事故发生的时间○确认系统时钟的准确性理①了解突发事故的人物和人数②有无确保事故对象物确保了的场合，记录确保对象物的日時、确保人〔职务〕、确保的场所、对确保时的对象物〔及其周边〕所实行的行为，对确保后的对象物的处理〔有无〕及其内容。没有确保的场合，具体记录确保对象物〔预定的〕的时间和场所、确保的对象物〔及其周边〕的状态。打算与突发事故有关的对象物〔1〕针对对象物的信息收集和对象物的缩限①与突发事故有关的对象物的种类及数量●计算机〔台式、笔记本型、效劳器型〕●网络设备〔路由器、防火墙、入侵检测系统、入侵防护系统〕●硬盘驱动器〔以下、HDD〕〔容量/外设〕●存储媒体〔CD/DVD/BD/FD/PD/MO／各种闪存等〕●挥发性较高的对象物〔内存〕●手机、智能手机●音乐播放器●玩耍机〔Wii，NINTENDODS，NINTENDO3DS，PS3〕IC●其它保障证据保全顺当进展的关联信息〔周边机器●连接构成图等〕②与突发事故有关的对象物的状态(何时位于何处)③与突发事故有关的对象物的使用起始时间和完毕时间以及使用的频率。④与突发事故有关的对象物的使用者和治理者⑤有无周边设备和文档以便顺当进展与突发事故有关的对象物的证据保全对象物的选定和优先挨次的安排①保全前对象物〔设备〕的选定及其理由②(对象物是复数时)处理对象物的优先挨次及其理由收集证据保全所需信息对象物的信息①对象物的外形、个数和物理状态对象物的标记信息(厂家/型号/型号名称/序列号/扇区尺寸/总扇区数/存储容量)\电缆的连接状况、跳线的设定状况、有无设定HPA、DCO②硬盘〃存储媒体的存储容量，接口的状况CD光盘驱动器及USB/FireWire、网络连接端口的有无格外重要。把握突发事故的内容—突发事故的内容—检测事故发生的经过—事故发生的时间把握突发事故的内容—突发事故的内容—检测事故发生的经过—事故发生的时间—从事故发生到联系托付的时间，以及其间是否对事故进展处理打算与突发事故有关的对象物—针对对象物的信息收集和对象物的缩限—对象物的选定和优先挨次的安排收集证据保全所需信息—对象物的信息-对象物的外形、个数和物理状态-硬盘〃存储媒体的存储容量，接口的状况-是否进展安全设定硬盘密码锁、硬盘整体加密和局部文件、文件夹加密、PC周边的钢缆制动器、柜子、IC↓↓1表示本节作业内容的流程图事故响应已经着手场合的活动2.12.1②是否有人成认与上述工程2.1有关的各种信息的收集各种及结果或是否成认确认访问之前的事故响应内容〔是否拔掉电源等〕确认响应存在缺乏或过分场合的处理补充。集。准及理由，认为不需要时删除该信息。为了顺当进展事故响应而实行的行动物理环境确实保物、用于证据保全的设备、工具和文件②确保证据保全设备和工具充分运转的电力和插头等③确保只能用于事故响应作业的场所〔最好通过指纹认证〃IC。④在事故响应作业中离开现场(休息)时需要的实行的措施的实施作业者的入退室记录、贵宾用IC与有关组织的合作①与法务部门负责人和信息系统负责人的合作②与系统设计者或治理者的关系构筑例如在对构造简单的系统整体或局部进展证据保全时③与内部监查〃系统审计负责人的合作充分考虑和遵守托付单位的安全和隐私守则④关系人员确实保和无关人员的排解在事故响应作业过程中应当确保无关的第三人不能参与的状况。又，在受托进展作业的场合，应当留意让托付单位的负责人在场。⑤与解析负责人的合作对象物的收集〃取得〃保全对象物状态的把握○把握对象物存在现场的收集〃取得〃保全时的状况〃放置对象物的场所、状态〃确认治理者有无有意隐蔽的状况合，应就形成该状态的背景和理由、形成该状态的经过以准时间〃人物进展访问。3.1把握对象物的状态为了收集〃取得〃保全而对对象物进展的处置依据对象物的状态，可以进展如下适当处置〔3.1把握对象物的状态的电源是否开通是↓对象是计算对象是计算3.2.13.2.2否↓3.2.13.2.23.2.3〔笔记本型〕吗3.2.3〔笔记本型〕吗3.2.4〔效劳器型〕吗3.2.4〔效劳器型〕吗3.2.53.2.5为了收集〃取得〃保全而选择处置对象物的方法对象物是计算机，电源关闭的场合①原则上制止接通电源硬盘整体加密，不得不接通电源进展证据保全的场合除外。不过，即时的风险〔文件时间戳和内容转变等的影响，实施证据保全作业。②从机壳中拔卸电缆之类设备，以免无意中向硬盘写入数据。〃拔卸电源电缆、键盘、鼠标、USB〃在有用途不明的连接电缆时，应向熟知该电缆的人员确认其用途，并在证据保全作业负责人的指挥之下进展保全作业。后恢复现状，使用沾性较低的标签、专用标签粘贴，以明确电缆和设备等安装在哪个地方〔在记录表中明确记载/拍照摄影〕。特别需要明确记载保全对象设备的固有信息〔制造编号、型号等，图3〕。图3 电缆上张贴标签状况的记录对象物是计算机〔台式，电源开通的场合①计算机的种类〃规格、使用操作系统确实认，以及通过目视或指令确认并记录保全时系统时钟的准确性〔与日本标准时等的差异。②网络环境确实认〃ISP，邮件软件，认证信息，电子邮件地址，邮件转发设定，扫瞄器的种类，代理设置等况〔拍照摄影〕除去不得已的场合，尽量避开碰触文件、图标以及其它可疑画面。假设可能，一并确认后台正在运行的进程。④挥发性信息的猎取依据调查的目的和需要，猎取挥发性信息。假设期望最大限度地不影响删除文件的恢复，那么不猎取挥发性信息，直接拔下电源电缆。除去不得已的场合，尽量避开碰触文件、图标以及其它可疑画面。针对挥发性信息取得挨次内容和范围〔内存转储，应用程序相关信息〕，使用事先预备的、与使用操作系统对应的自动收集工具等，依据挨次猎取对象范围的信息。⑤关闭电源参照 ⑥从机壳中拔卸电缆之类设备，以免无意中向硬盘写入数据。拔卸电源电缆、键盘、鼠标、USB在有用途不明的连接电缆时，应向熟知该电缆的人员确认其用途，并在证据保全作业负责人的指挥之下进展保全作业。拆卸各种设备 电缆时，为了保证解析时的系统的准确再现和作业后恢复现状，使用沾性较低的标签、专用标签粘贴，以明确电缆和设备等安装在哪个地方〔在记录表中明确记载/拍照摄影〕。特别需要明确记载保全对象设备的固有信息〔制造编号、型号等〕。对象物是计算机〔笔记本型，电源处于开通状态①计算机的种类规格、使用操作系统确实认，以及通过目视或指令确认并记录保全时系统时钟的准确性〔与日本标准时等的差异。②网络环境确实认ISP，邮件软件，认证信息，电子邮件地址，邮件转发设定，扫瞄器的种类，代理设置等况〔拍照摄影〕除去不得已的场合，尽量避开碰触文件、图标以及其它可疑画面。假设可能，一并确认后台正在运行的进程。④挥发性信息的猎取〃依据调查的目的和需要，猎取挥发性信息。〃除去不得已的场合，尽量避开碰触文件、图标以及其它可疑画面。⑤关闭电源3.2.6出插头也不能强制性地关闭电源。电源。在没有取出电池的场合，通过按压电源按钮切断电源。对象物是计算机〔效劳器型，电源处于开通状态RAID合进RAID设备的硬盘拷贝再物理拷贝成其他硬盘，假设不使用原RAID②用其它操作系统〔1CD-LINUX〕RAIDRAID规律容量单位，据此可以重构RAIDRAID使用RAIDRA