大部份的使用者都想要電腦為什麼壞掉…
那麼同時要兼顧可用性及事件調查的話…
應該怎麼做呢?
這個時候就需要做證據保全。
基本上就是–
(1) 確認影響範圍
就像真實案例發生的一樣,首先,先確認事件範圍,封鎖現場。
(2) 識別
發生在哪些場域?有幾台電腦?有外接什麼硬碟、光碟或裝置?
(3) 複本
拆除本機硬碟或裝置
(4) 保存
封膜,然後封存送至鑑識實驗室
在資安事件發生之際,組織應立刻執行數位證據的保全工作,行政院於2015年發布政府機關(構)資安事件數位證據保全標準作業程序,其適用於各機關基於資安事件之調查,需進行電腦系統之數位證據識別、蒐集、擷取、封緘及運送作業時,並參考ISO/IEC27037國際標準,訂定政府機關資安事件數位證據保全的標準作業流程,每一步驟都需謹慎處理,以確保證據的完整性、可靠性以及有效性,以符合法律要求。
簡單來說步驟可以參考這個:
數位鑑識是一種科學辦案方法,泛指蒐集及分析以數位方式存在於資訊設備或網路媒體上的犯罪跡證,必須可以重複驗證,以經得起第三方的檢驗,專門收集、保存、分析數位資訊以作為證據,與處理實體物質的傳統鑑識不同,由於數位證據容易受時間影響、易變且可能損壞,主要目標是確保數位證據能作為法庭證據,並涵蓋證據完整性和處理過程的記錄。