证据保全

Q: 证据保全 是什么?

防止数字证据被篡改、丢失或污染,使其在整个调查过程中保持可采性与可靠性的取证学科。 它属于网络安全的 取证与应急响应 分类。

Q: 如何防御 证据保全?

针对 证据保全 的防御通常结合技术控制与运营实践,详见上方完整定义。

审核人Florian AmetteCybersecurity entrepreneur & security researcher

证据保全是什么?

证据保全防止数字证据被篡改、丢失或污染,使其在整个调查过程中保持可采性与可靠性的取证学科。

证据保全确保被识别为潜在相关的数据,自采集至法庭始终保持原始状态。从业者隔离来源、停止破坏性进程、暂停日志轮换、实施法律保留,并在制作存储镜像时使用写阻断器。每件证据在获取时进行哈希(MD5、SHA-256),后续再次校验以证明完整性,同时通过保管链记录处理人、位置和访问时间。易失证据(如内存、ARP 缓存、活动网络连接)在关机时会消失,需优先采集。NIST SP 800-86、ISO/IEC 27037 与 ACPO 良好实践指南对相关程序作出规范,强调最大限度地避免对源介质的改动。

● 示例

01
在内部调查启动时下发法律保留,停止邮箱审计日志的轮换。
02
在关闭疑似感染勒索软件的服务器前,使用 WinPmem 捕获易失内存。

● 常见问题

证据保全是什么?

防止数字证据被篡改、丢失或污染,使其在整个调查过程中保持可采性与可靠性的取证学科。它属于网络安全的取证与应急响应分类。

证据保全是什么意思?

防止数字证据被篡改、丢失或污染,使其在整个调查过程中保持可采性与可靠性的取证学科。

如何防御证据保全?

针对证据保全的防御通常结合技术控制与运营实践,详见上方完整定义。

证据保全还有哪些其他名称?

常见的别称包括: 证据保留, 取证保全。

● 相关术语

● 另见

取证就绪

证据保全 是什么?

● 示例

● 常见问题

● 相关术语

● 另见

证据保全是什么?