导图社区 OSG9第十九章道德和调查

OSG9第十九章道德和调查

CISSP（Certification for Information System Security Professional）即信息系统安全专业认证，这一证书代表国际信息系统安全从业人员的权威认证

编辑于2023-07-31 14:57:33 广东

CISSP
CISSP OSG9

Summer

他的近期作品集查看更多>>

CISSP OSG9 含24个作品
CISSP（Certification for Information System Security Professional）即信息系统安全专业认证，这一证书代表国际信息系统安全从业人员的权威认证，CISSP认证项目面向从事商业环境安全体系建构、设计、管理或控制的专业人员，对从业人员的技术及知识积累进行测试

他的近期作品查看更多>>

OSG9第十九章道德和调查

社区模板帮助中心，点此进入>>

Summer

他的近期作品集查看更多>>

CISSP OSG9 含24个作品
CISSP（Certification for Information System Security Professional）即信息系统安全专业认证，这一证书代表国际信息系统安全从业人员的权威认证，CISSP认证项目面向从事商业环境安全体系建构、设计、管理或控制的专业人员，对从业人员的技术及知识积累进行测试

他的近期作品查看更多>>

相似推荐
大纲

《影响力》思维导图
- 221.8k
- 4.4k
- 1.4k
MindMaster
论语孔子简单思维导图
- 41.9k
- 663
- 172
MindMaster
《傅雷家书》思维导图
- 92.1k
- 2.3k
- 972
MindMaster
《童年》读书笔记
- 37.0k
- 880
- 309
MindMaster
《茶馆》思维导图
- 9.0k
- 170
- 37
MindMaster
《朝花夕拾》篇目思维导图
- 19.8k
- 1.0k
- 263
MindMaster
《昆虫记》思维导图
- 25.4k
- 718
- 247
MindMaster
《安徒生童话》思维导图
- 13.8k
- 232
- 63
MindMaster
《鲁滨逊漂流记》读书笔记
- 17.2k
- 511
- 157
MindMaster
《这样读书就够了》读书笔记
- 86.2k
- 8.5k
- 2.1k
Ethan

第十九章道德和调查

19.1 调查

作为一名安全专业人员，你必须熟悉各种调查类型。包括行政、刑事、民事和监管调查，以及涉及行业标准的调查

必须熟悉每种调查类型所使用的证据标准和用来收集证据以支持调查的取证程序

19.1.1 调查的类型

1. 行政调查

行政调查：属于内部调查，它检查业务问题或违反组织政策的行为

它们可作为技术故障排查工作的一部分或支持其他管理过程，如人力资源纪律程序

运营型调查研究涉及组织的计算基础设施间题，且首要目标是解决业务问题。例如，如果 IT 团队发现Web 服务器性能有问题，就会执行旨在确定性能问题起因的调查。

运营型调查对信息收集的标准是比较宽松的。因为它们仅针对内部业务目标，所以不倾向于寻找证据，运营调查中需要进行根本原因分析，（运维Operation 、运营）

2. 刑事调查

刑事调查：通常由执法者进行，是针对违法行为进行的调查

刑事调查的结果是指控犯罪嫌疑人以及在刑事法庭上起诉。

刑事调查必须遵循严格的证据收集和保存流程。

程序的正义性

3. 民事调查

民事调查：通常不涉及执法，但涉及让内部员工和外部顾问代表法律团队工作。他们会准备在民事法庭陈述案件所需的证据来解决双方之间的纠纷。

只要求证据能够说明调查结果是可信赖的。因此，民事调查的证据收集标准不像刑事调查那么严格。

打电话问地址，姓名、等信息

4. 监管调查

政府机构在他们认为个人或企业已违反行政法规时会执行监管调查

监管机构通常会在他们认为可能发生的地点进行调查。监管调查范围比较广泛，常由政府工作人员执行。

是否违反法律法规

5. 行业标准

一些监管调查可能不涉及政府机构，相反，它们基于行业标准，如支付卡行业数据安全标准(PCI DSS)

这些行业标准不是法律，而是相关组织达成的合同义务。

组织可能需要提交独立的第三方进行的审计、评估和调查。不参与这些调查或消极对待调查结果的组织可能面临罚款或其他制裁

因此，对于违反行业标准的调查，应以与监管调查类似的方式对待。

6. 电子取证

在诉讼过程中，任何一方都有责任保留与案件相关的证据，并在取证过程中与对方分享信息

取证过程应用于纸质档案和电子记录，电子取证(eDiscovery) 的过程促进电子信息披露的处理

电子取证参考模型(EDRM)描述了取证的标准过程

电子取证包含9个方面

(1) 信息治理：确保信息系统针对将来的取证妥善管理信息。

(2) 识别：当组织认为有可能发生诉讼时，要确定可回应取证要求的信息。

(3) 保存：确保潜在的取证信息不会受到篡改或删除。

(4) 收集：将用于电子取证过程的相关信息收集起来。

(5) 处理：过滤收集到的信息并对无关信息进行“粗剪“，减少需要详细检查的信息。

(6) 检查：检查剩下的信息，确定哪些信息是与取证请求相关的，并移除受律师－客户特权保护的信息。

(7) 分析：对剩余信息的内容和上下文进行更深入的检查。

(8) 产生：用标准格式生成需要与他人分享的信息，并将其交给其他方，如对方的律师。

(9) 呈现：向证人、法院和其他当事方展示信息。

19.1.2 证据

我们将研究证据在被法庭接受之前要满足的要求、可使用的各类证据，以及处理和记录证据的要求

NIST《关于司法鉴定技术整合到事件响应(SP 800-86)的指南》，可在NIST 网站找到。

1. 可采纳的证据

法庭可采纳的证据必须满足下列三个要求（在法庭公开讨论前由法官确定）：

证据必须与确定事实相关。

据要确定的事实对本案来说是必要的（即相关的）。

证据必须有作证能力，这意味着它必须是合法获得的。通过非法搜查获得的证据，将不被采纳

2. 证据的类型

应该熟悉四大类证据：实物证据、书面证据、言辞证据和演示证据

实物证据

实物证据(real evidence)：也被称为客观证据，包括那些可能会被带上法庭的物品

在常见的犯罪行为中，实物证据可能包括凶器、衣物或其他有形物品。

计算机犯罪中，实物证据可能包括没收的计算机设备，如带有指纹的键盘，或黑客计算机中的硬盘

实物证据还可能是无可辩驳的结论性证据，如 DNA。

书面证据

书面证据(documentary evidence)：包括所有被带上法庭用于证明事实的书面内容

这种证据也必须经过验证。例如，如果律师希望将计算机日志用作证据，那么必须将证人（如系统管理员）带到法庭上，以证明日志是作为常规业务活动收集的，并且是系统生成的真实日志

两条额外的证据规则

最佳证据规则(best evidence rule) 当文档被用作法庭程序的证据时，必须提供原始文档

口头证据规则(parol evidence rule) ：当双方的协议以书面形式记载下来时，假定书面文档包含所有协议条款，并且口头协议不可修改书面协议。

证据链

证据链记录所有处理证据的人，包括收集原始证据的警员、处理证据的证物技术人员以及在法庭上使用证据的律师

从证据被收集到的那一刻起，到它被呈现在法庭上的那一刻，必须对证据的位置进行完整记录，以确保它是同一证据

处理证据的每个人都必须签署证据链日志，以表明直接负责处理证据的时间以及将其交予证据链中下一个人的时间

证据链必须提供完整的事件序列，从而说明从收集证据到进行审判，整个期间的具体情况

标记证据以保护证据链需要包含

证据的一般性描述

证据收集的时间和日期

证据收集来源的确切位置

证据收集人员的姓名

证据收集的相关环境

言辞证据

言辞证据(testimonial evidence)：十分简单，是包含证人证词的证据，证词既可以是法庭上的口头证词，也可以是记录下来的书面证词

证人必须宣誓讲真话，并且他们必须了解证词的根据

证人可以提供直接证据基于自己的直接观察来证明或驳斥某个断言的口头言辞

如果法庭认为证人是特定领域的专家，就不应采用这种方法

传闻规则

当证人在法庭上作证时，他们通常必须避免传闻行为，这意味着他们不能就别人在法庭外告诉他们的事情作证，因为法庭无法证实该证据并认为其可接受

对于取证分析员来说，这一规则的一个极其重要的例外是传闻规则的业务记录

业务记录（如计算机系统生成的日志）是由直接知情的人或物在事件发生时制作的，并且是在正常业务活动过程中保存的，且保存这些记录是组织的常规做法，则可以将其作为证据

因业务记录例外清况而被认可的记录必须附带有资格证明其符合这些标准的个人的证词。此例外情况通常用于引入系统日志和计算机系统生成的其他记录。

演示证据

演示证据：是用来支持言辞证据的证据

它由一些条目组成，这些条目本身可能被采纳或不被采纳为证据，用于帮助证人解释一个概念或澄清一个问题

例如，演示证据可能包括解释网络数据包内容或显示用于实施分布式拒绝服务攻击的图表

演示证据的可采纳性是留给法院处理的一个问题，其一般原则是，演示证据必须有助于陪审团理解案情。

3. 工件、证据收集和取证程序

收集数字证据是一个复杂的过程，应由专业取证技术人员进行

计算机证据国际组织(International Organization on Computer Evidence,IOCE)概述了指导数字证据技术人员进行介质分析、网络分析和软件分析以获取证据的 6 条原则：

IOCE原则

处理数字证据时，必须应用所有通用的司法和程序原则。

收集数字证据时，所采取的行动不应改变证据。

某人有必要使用原始数字证据时，应当接受有针对性的培训。

与收集、访问、存储或转移数字证据有关的所有活动都应当被完整记录和保留，并且可供审查

在数字证据被某人掌握之后，他应当对与数字证据有关的所有活动负责。

所有负责收集、访问、存储或转移数字证据的机构都有责任遵守上述原则。

进行取证时，必须保留原来的证据。请记住，调查行为可能改变正在评估的证据。

原始证据不能分析，会破坏完整性，需要多个副本

监管链

云计算取证困难

此，在分析数字证据时，最好使用副本。例如，对硬盘上的内容进行调查时，应制作镜像，并将原始驱动器密封在证据袋中，仅用镜像进行调查。

介质分析

介质分析：是计算机取证分析的一个分支，涉及识别和提取存储介质中的信息。这可能包括磁性介质（如硬盘、磁带）或光学介质（如 CD、 DVD、蓝光光盘）。

用于介质分析的技术可能包括：从物理磁盘的未分配扇区恢复已删除文件，对连接到计算机系统的存储介质进行动态分析（检查加密介质时会有益处），以及对存储介质的取证镜像进行静态分析

阻止器：是硬件适配器，它以物理方式中断用于连接存储设备的电缆部分（该部分电缆用于向设备写入数据），从而降低设备被意外篡改的可能性。

将设备连接到实时工作站后，分析员应立即计算设备内容的加密哈希值，然后使用取证工具创建设备的映像文件

创建和验证取证的映像文件后，应将原始映像文件留作证据。

内存分析

内存分析：调查人员通常希望从动态系统的内存中收集信息

在收集内存内容时，分析人员应使用可信工具生成内存转储文件，并将其保存在准备好的取证设备上，如U 盘

网络分析

由于网络数据的波动性，此类事件很难重建

网络取证分析往往取决于对事件发生的预先了解，或使用已经存在的、记录网络活动的安全控制措施。

措施包括：

入侵检测和防御系统的日志

流量监测系统捕获的网络流量数据

事件发生过程中有意收集的数据包

防火墙和其他网络安全设备的日志

当直接从网络收集数据时，取证技术人员应使用交换机上的 SPAN端口（镜像发送到一个或多个其他端口的用于分析的数据）或网络分流器（这是一种硬件设备，与 SPAN 端口功能相同），这两种方法都会转储数据包，而不会实际改变两个系统之间交换的网络通信流

软件分析

取证分析人员也会对应用程序及其活动进行取证检查

某些情况下，当怀疑内部人员时，取证分析人员可能会被要求对软件代码进行审查，以寻找后门、逻辑炸弹或其他漏洞

取证分析人员可能也会被要求对应用程序或数据服务器的日志文件进行检查并做出解释，他们也会寻找其他恶意活动，如 SQL 注入攻击、特权提升或其他应用程序攻击手段

软件分析还可能包括根据已知文件类型验证文件哈希值

硬件／嵌入式设备分析

最后，取证分析人员还要对硬件和嵌入式设备中的内容进行分析

审查包括

个人电脑

智能手机

平板电脑

嵌入汽车／安全系统／其他设备的电脑

进行这些审查的分析人员必须具备专业知识。

19.1.3 调查过程

应给予该团队一份章程，该章程清楚概述了调查范围，调查人员的权力、角色和责任，以及调查过程中必须遵守的行为规则

1. 收集证据

通常没收设备、软件或数据以进行适当的调查。没收证据的方式很重要，必须以适当方式进行。有几种可能的方法

首先，拥有证据的人可能自愿上交或者同意搜查

第二，可让法院签发传票或法庭命令，迫使个人或组织交出证据，然后由执法部门送达传票。

第三，执法人员在履行法律允许的职责时，可以扣押他直接看到的证据，并且该人员有理由认为该证据可能与犯罪活动有关。这被称为“直接目视规则”。

第四个选项是搜查证。只有当你必须获得证据又不想惊动证据所有者或其他人时，才可使用此选项

最后，在紧急情况下，执法人员可以收集证据。这意味着一个理性的人会相信，如果不立即收集证据，证据就会被销毁，或者存在另一种紧急情况，例如身体伤害的风险

2. 请求执法

在调查中首先要做出的判断是：是否请求执法机构介入

这实际上是一个相当复杂的决定，应当请示高层管理官员,组织请求专家协助

搜查证使用条款

“人民的人身、住宅文件和财产不受无理搜查和扣押的权利不得侵犯。除依照合理根据，有宣誓或代誓宣言保证，并具体说明搜查地点和扣押的人或物的情况外，不得签发搜查证。"

如果有合理的理由希望了解个人的隐私，那么调查人员在搜查个人私有物品前必须取得搜查证

只能基于可能的动机签发搜查证

搜查证必须指定搜查范围

3. 实施调查

应当遵守合理的调查原则，以确保调查的准确和公平

几个主要的原则：

永远不要对曾遭受攻击的实际系统实施调查。将系统脱机，备份，仅用备份进行事件调查

永远不要试图”反击“犯罪并进行报复。否则，可能无意中伤及无辜，并且发现自己受到计算机犯罪的指控。

如有疑问，最好向专家求助。如果不希望执法机构介入，就联系在计算机安全调查领域有丰富经验的私人调查公司。

4. 约谈个人

事故调查期间，有必要与可能掌握相关信息的人员进行谈话

约谈：如果只是为了获取有助于调查的信息，那么这种谈话被称为约谈

审问：如果怀疑某人涉嫌犯罪并希望收集在法庭上可用的证据，那么这种谈话被称为审问

约谈和审问都属于专业技能，只应由训练有素的人员进行。不恰当的方法可能不利于执法部门成功起诉嫌疑人

5. 数据的完整性和保存

无论证据的说服力如何，如果证据在收集过程中发生变更，就会被法院驳回

6. 报告和记录调查

你所进行的每一项调查都应得出一份最终报告，记录调查的目标、流程、收集的证据以及调查的最终结果

务必准备正式文件，因为它为升级和潜在的法律行动奠定了基础

19.2 计算机犯罪的主要类别

计算机犯罪通常分为下面几种类型

19.2.1 军事和情报攻击

军事和情报攻击主要用于从执法机关或军事和技术研究机构获得秘密和受限的信息。这些信息的暴露可能使研究泄密、中断军事计划甚至威胁国家安全

攻击者可能在寻找下列信息：

任何类型的军事说明信息，包括部署情报、就绪情报以及战斗计划指令

为军事或执法目的收集的秘密情报

在刑事侦查过程中获得的证据的说明和存储位置

任何可能被用于后续攻击的秘密信息

由于军事和清报机构收集和使用的信息的敏感特性，他们的计算机系统常成为富有经验的攻击者的目标

可以确信，获取军方或情报信息的攻击都是由专业人员进行的。专业的攻击者在掩盖攻击痕迹时通常做得非常彻底

高级持续性威胁(advancedpersistentthreat, APT)的复杂攻击迅速增多。

19.2.2 商业攻击

商业攻击的重点是非法危害企业运营的信息和系统的保密性、完整性或可用性。

收集竞争者的机密知识产权的行为也称为商业间谍或工业间谍行为，这并不是一种新现象，在商业活动中使用非法手段获取竞争信息的行为已经存在很多年了

这类攻击的目的只是获得机密信息

19.2.3 财务攻击

财务攻击用于非法获取钱财和服务。

人们经常在新闻中听到的计算机犯罪类型。财务攻击的目标可能是窃取银行账户中的存款，或获取欺诈性资金转账。

入店行窃和入室行窃也是财务攻击的例子

财务攻击也可能采取雇佣网络犯罪的形式，即攻击者从事雇佣军活动，对其客户的目标进行网络攻击

19.2.4 恐怖攻击

计算机恐怖攻击的目标可能是控制发电厂、电信网或配电的系统。

恐怖攻击的目的是中断正常的生活并制造恐怖气氛，

19.2.5 恶意攻击

恶意攻击可对组织或个人造成破坏。破坏可能是信息的丢失或信息处理能力的丧失，也可能是组织或个人名誉受到的损毁

最近被解雇的员工是可能对组织进行恶意攻击的主要人员

19.2.6 兴奋攻击

兴奋攻击通常由想获得乐趣的人发起，

无法自己设计攻击的攻击者通常只会下载一些程序进行攻击。这些攻击者常被称为“脚本小子”

这些攻击的动机是成功闯入系统带来的极度兴奋。兴奋攻击的受害者所遭受的最常见的打击就是服务中断

常见的兴奋攻击类型是篡改网页。攻击者入侵 Web 服务器，并将组织正常的 Web 内容替换成炫耀自己技术的页面

19.2.7 黑客行动主义者

“黑客行动主义“正在兴起。这些被称为“黑客行动主义者＂（黑客和激进分子的结合）的攻击者，通常将政治动机与黑客快感联系起来

19.3 道德规范

管理个人行为的规则统称为道德规范

19.3.1 组织道德规范

几乎每个组织都会向员工发布自己的道德规范，以指导他们的口常工作。这些可能以官方道德声明的形式出现，也可能体现在组织用于开展日常业务活动的政策和程序中。

美国政府有一套写入联邦法律的《政府服务道德规范》

把对国家的忠诚置于对个人、党派或政府部门的忠诚之上。

维护美国联邦及州政府的宪法、法律和法规，永远不要成为逃避责任的一方。

用一整天的劳动换取一整天的工资；认真努力，尽心尽力地履行职责。

寻求并采用更有效、更经济的方式完成任务

不得通过向任何人提供特殊优惠或特权而进行不公平的区别对待，无论是否为报酬；

不要做出任何对公职职责有约束力的私人承诺，因为政府雇员没有对公职有约束力的私人话语

不得直接或间接与政府开展不利于其认真履行政府职贡的业务

切勿将在履行政府职责过程中秘密获得的任何信息用作牟取私利的手段。

发现腐败就揭露。

坚持这些原则，时刻意识到公职代表着公众的信任。

19.3.2 (ISC)2 的道德规范

(ISC)2 的道德规范被用作 CISSP 行为的基础，是包含一个序言和 4 条标准的简单规范

所有的 CISSP 应试者都应当熟悉(ISC)2 的道德规范，这是因为他们必须签字同意遵守这个规范

1.道德规范的序言

会安全和福扯以及共同利益、对委托人的责任和对彼此的责任，要求我们遵守（并被视为遵守）最高道德行为标准。

因此，严格遵守这些标准是认证考试的要求

2. 道德规范的准则

保护社会、公益、必需的公信与自信，保护基础设施。安全专业人员具有很大的社会责任。我们担负着确保自己的行为使公众受益的使命。

行为得体、诚实、公正、负责和守法。对于履行责任来说，诚实正直是必不可少的。如果组织、安全团体内部的其他人或一般公众怀疑我们提供的指导不准确，或者质疑我们的行为动机，我们就无法有效履行自己的职责。

为委托人提供尽职的、合格的服务。尽管要对整个社会负责，但也要对雇用我们来保护其基础设施的委托人负责。我们必须确保提供无偏见的、完全合格的服务。

发展和保护职业。我们选择的这个职业在不断变化。作为安全专业人员，我们必须确保掌握最新的知识并应用到社会的通用知识体系中

3. 道德规范投诉

如果(ISC)2 成员遇到了潜在的违反道德规范的行为，可向(ISC)2 提交正式的道德投诉并报告可能的违反行为，以进行调查

涉及的准则

任何普通公众均可提出涉及准则(1)或准则(2) 的投诉。

只有雇主或与个人有合同关系的人才能根据准则(3)提出投诉。

其他专业人士可能会根据准则(4)提出投诉

根据道德规范提出的投诉必须以书面形式和宣誓书的形式提出

19.3.3 道德规范和互联网

各种道德框架也有助于指导数字活动。这些准则对任佪特定的组织都没有约束力，但对道德决策是有用的参考。

1. RFC 1087

互联网架构委员会(Intemet Architecture Board, IAB) 发布了一份有关正确使用互联网的政策声明。这份声明的内容直到今天仍然有效。务必了解 RFC 1087 《道德规范和互联网》文献的基本内容

RFC 1087 说明了怀有下列目的的行为都是不可接受的和不道德的

试图未经授权访问互联网的资源

破坏互联网的正常使用

过这些行为耗费资源（人、容量、计绰机）

破坏以计算机为基咄的信息的完整性

危害用户的隐私权

2. 计算机道德规范的 10 条戒律

(1) 不准使用计算机危害他人。

(2) 不准妨碍他人的计算机工作。

(3) 不准窥探他人的计算机文件

(4) 不准使用计算机进行偷盗。

(5) 不准使用计算机作伪证。

(6) 不准私自复制未付费的专用软件

(7) 不准在未被授权或未适当补偿的情况下使用他人的计算机资源

(8) 不准盗用他人的知识产品

(9) 必须考虑所编写程序或所设计系统的社会后果。

(10) 必须总是以确保关心和尊重同伴的方式使用计算机

3. 公平信息实务守则

另一个指导许多道德决策工作的正式文件是 1973 年由一个政府咨询委员会制定的《公平信息实务守则》。

本守则概述了以道德和负责任的方式处理个人估息的五项原则：

(1) 任何保存个人数据记录的系统的存在都不是保密的

(2) 一个人必须有一种方法来找出记录中有哪些关于此人的信息以及这些信息是如何被使用的

(3) 一个人必须有一种方法来防止未经其同意而把为某一目的获得的有关该人的信息用于或提供给其他目的。

(4) 一个入必须有一种方法来纠正或修改有关该人的可识别信息记录

(5) 任何创建、维护、使用或传播可识别个人数据记录的组织必须确保数据在其预期用途中的可靠性，并且必须采取预防措施防止数据被滥用。

OSG9第十九章 道德和调查

OSG9第十九章 道德和调查

OSG9第十九章道德和调查

OSG9第十九章道德和调查