网络攻防学习笔记 Day58

英国首席警官协会（Association of Chief Police Officers，ACPO）建议从事应急响应的人员在取证时遵循以下四个原则：

①存储在计算机或存储介质数据不能被修改或变更，因为这些数据可能以后会在法庭上作为证据被提出。

②一个人必须足以胜任处理计算机或存储介质上的原始数据，如果有必要，也应该给自己行为的相关性和过程的证据做出解释。

③基于电子取证过程的所有审计追踪和其他文档需要被创建和保存。一个独立的第三方能够检查这些过程并获取相同的结果。

④负责取证的个人必须在法律和 ACPO 的原则下全面负责取证过程。

Autopsy 是一款针对硬盘的取证工具，利用先前构建好的硬盘镜像，可以在硬盘镜像中进行取证。

在信息安全事件得到基本处置后，事发单位应及时对信息安全事件的经过、成因、影响及整改情况进行总结并对其造成的损失进行评估，填写《信息安全事件处置工作报告》报告的内容应该包括以下部分：

1．事件经过 2．事件成因 3．评估事件影响 4．采取措施 5．事发系统定级、备案、测评等情况

应急演练是指各行业主管部门、各级政府及其部门、企事业单位、社会团体等组织相关单位及人员，依据有关网络安全应急预案，开展应对网络安全事件的活动。

NSIERT 网络安全事件应急组织（Network Security Incident EmergencyResponse Team）是网络安全应急演练的现场应急响应实施小组，由网络安全事件应急预案规定的相关应急管理部门或小组组成。

应急演练工作分为演练准备、演练实施、演练总结和成果运用四个阶段。

演练结束后，由演练策划组根据演练记录、演练评估报告、应急预案、现场总结等材料，对演练进行系统和全面的总结，并形成演练总结报告。