110
事件的处理程序及升级通报,也需要在云服务合同中确定出来。
观察云服务提供商使用哪些安全事件管理工具,也可以帮助我们了解
其在安全事件管理的成熟度。
安全事件响应
计算机鉴定
为了确认案件中的事实,计算机鉴定涉及数字数据的识别、收集、分
析及显示。在识别阶段,会根据实际个案状况与客户一起辨识可能的证据。
数据收集包括以建立犯罪现场一样的严谨程度,来调查并仔细地保存证据,
保护并确认证据的完整性。在分析期间,仔细分析证据并客观评估结果,
最后进行结论检讨,调查结果确定并完成结论记录文档后结案。
云的挑战
对取证专家来说,资料收集阶段会是最大的挑战。一般计算机鉴定的
取证通常从存储介质开始建立点对点的复制程序,但是这样的方式在云几
乎是不可行的。对云用户而言(也包括取证专家),通常无法知道提供商
使用哪种存储工具来存储资料,大概也无从得知存储实体的位置。云鉴定
数据收集需要采取替代方案定性的步骤。取证专家必须利用逻辑接口,如
虚拟目录、数据库等来收集数据。现在,有些云提供商除了留存数据记录外,
