电子数据取证技术PPT课件（共12章）第2章电子数据取证规范.pptxVIP

第2章 电子数据取证规范;2.1 电子数据取证技术标准;2.1.1 国际技术标准　　ISO/IEC JTC1/SC27制定的电子数据取证有关技术标准有ISO/IEC 27035、ISO/IEC 27037、ISO/IEC 27038、ISO/IEC 27040、ISO/IEC 27041、ISO/IEC 27042、ISO/IEC 27043、ISO/IEC 27044、ISO/IEC 27050、ISO/IEC 30121等，制定这些标准的基本目的是促进数字证据取证调查程序和方法的最佳实践，希望通过标准化过程最终在国际上采用相同或者相似的程序，使得不同人员组织实施的调查结果更加容易进行比较、合并和对比印证，更加容易跨越不同法域。下面对其中较为重要的标准进行说明。;　　1. ?ISO/IEC 27035　　ISO/IEC 27035标准的全称为《信息技术 安全技术 信息安全事件管理》(Information Technology-Security Techniques-Information Security Incident Management)。该标准涵盖了信息安全各种事件和漏洞的管理。这个管理过程不仅涉及安全事件的检测、识别、响应，将不利影响减到最低，可能还涉及取证工作。此标准最早于2011年作为单一标准ISO/IEC 27035:2011发布，后经过修改并将其分为了3个部分，前两部分于2016年发布。;　　其中第一部分ISO/IEC 27035-1:2016(信息安全事件管理 第1部分：事件管理原理)描述了一个由5个阶段组成的信息安全事件管理过程，这5个阶段分别为规划和准备、发现和报告、评估和决策、响应(在适当的情况下遏制、根除，从事件中恢复并进行取证分析)、经验总结。;　　2. ?ISO/IEC 27037:2012　　ISO/IEC 27037:2012标准于2012年正式发布，全称为《数字证据识别、收集、获取和保存指南》(Guidelines for Identification，Collection，Acquisition，and Preservation of Digital Evidence)。ISO/IEC 27037为数字证据识别、收集、获取、标识、存储、传输和保存提供了详尽指南，尤其是在维护证据完整性方面。该标准定义和描述了犯罪现场识别和记录，证据收集和保存，以及证据打包和运输等流程。;　　该指南主要面向首次响应人员，其范围不仅涵盖传统IT系统和介质，还涵盖了云计算等。该标准旨在为不同法律制度国家提供交换和使用可靠证据的便利方法(例如获取数字证据的国际标准)，以促进不同法域的潜在数字证据的交换。;　　3. ?ISO/IEC 27038:2014　　ISO/IEC 27038:2014于2014年3月15日正式发布，全称为《信息技术 安全技术 数字化修订详述》(Information technology-Security techniques-Specification fordigital redaction)。该标准规定了数字文档进行数字编辑的技术特点，还规定了软件编辑工具的要求和测试数字编辑是否安全的方法。;　　4. ?ISO/IEC 27040:2015　　ISO/IEC 27040:2015于2015年1月15日正式发布，全称为《信息技术 安全技术 存储安全》(Information Technology-Security Techniques-Storage Security)。该标准提供了组织如何通过采用充分证明行之有效的方法规划、设计、文件化和实施数据存储安全来定义风险缓解的适当级别。存储安全适用于所存储信息的防护安全和通过通信链路传输的与存储相关的信息安全。存储安全包括设备和介质的安全、涉及设备和介质相关管理活动的安全、应用和服务的安全以及与终端用户相关的安全。;该标准还提供了存储安全的概念和相关定义的概述，包括与典型存储场景和存储技术领域相关的威胁、设计和控制方面的指南。此外，它还提供了对其他可适应于存储安全的现有实践和技术标准、技术报告的引用。;　　　　5. ?ISO/IEC 27041:2015　　ISO/IEC 27041:2015标准的全称为《确保应急事件调查方法的适用性和合适性》(Guidance on Assuring Suitability and Adequacy of Incident Investigative Method)。该标准主要关注与数字证据调查相关取证流程和工具的保证，对取证方法的合适性和适当性提供指导。所有取证方法都需具备可信性、可靠性和完整性这3个基本要求，该标准旨在促进数字证据调查在此方面的保证。通过