《网络安全知识体系》

网络安全取证（二）

定义和概念模型

简介

数字取证科学或数字取证是应用科学工具和方法来识别，收集和分析数字（数据）工件，以支持法律诉讼。从技术角度来看，正是识别和重建相关事件序列的过程导致了目标IT的当前可观察状态。系统或（数字）伪影。随着信息技术的快速采用，数字证据的重要性与日新月异，导致数据以指数级的速度不断积累。同时，网络连接和IT系统的复杂性迅速增长，导致可能需要调查的更复杂的行为。

该知识区的主要目的是提供数字取证技术和功能的技术概述，并将其置于网络安全领域其他相关领域的更广泛视角。关于数字取证的法律方面的讨论仅限于一般原则和最佳实践，因为这些原则的应用的具体情况往往因司法管辖区而异。例如，知识区讨论了不同类型证据的可用性，但没有通过获取这些证据必须遵循的法律程序进行工作。法律&法规CyBOK知识领域讨论了与管辖权和获取，处理和提供数字证据的法律程序相关的具体问题。

内容

1  定义和概念模型

1.2 定义

2001年，组织了第一届数字取证研究研讨会（DFRWS），以响应用系统，多学科的努力取代流行的数字证据临时方法的需求，以坚定地将数字取证确立为一门严格的科学学科。该研讨会编写了一份深入的报告，概述了研究议程，并提供了文献中最常被引用的数字取证学定义之一：

这一定义虽然主要强调对犯罪行为的调查，但也包括一个预期要素，这是取证在行动中的典型概念。环境，并使其更接近事件响应和网络防御活动。在这些情况下，分析主要是为了确定攻击的媒介和安全事件的范围;以任何程度的确定性识别对手是罕见的，起诉不是典型的结果。相比之下，几年后NIST提供的参考定义完全集中在取证的法律方面，并强调了严格的监管链： 

上述以法律为中心的定法为确定特定调查工具和技术是否符合取证资格提供了试金石。从法律角度来看，在法律诉讼期间，为适应案件，一个灵活的、开放式的定义是正常和必要的。然而，从技术角度来看，它们并没有提供一个有意义的起点;因此，我们可以对中首次引入的工作定义进行改进。:

相关性的概念本质上是针对特定案件的，取证分析师的很大一部分专业知识是识别与手头案件有关的证据的能力。通常，取证分析的一个关键组成部分是将事件序列归因于系统的特定人类参与者（例如用户，管理员，攻击者）。用作证据数据的数据的来源、可靠性和完整性至关重要。

根据这一定义，我们可以将事后执行系统或工件分析的每一项努力视为一种数字取证形式。这包括常见的活动，如事件响应和内部调查，这些活动几乎从不会导致任何法律诉讼。总而言之，只有一小部分取证分析作为正式证据进入法庭，尽管这不应该限制我们探索重建数字文物过去的全方位技术。采用更广泛的取证计算视野的好处是，它有助于我们识别可以适应和纳入的密切相关的工具和方法取证。

原文始发于微信公众号（河南等级保护测评）：网络安全取证（二）定义和概念模型之定义