CISSP官方学习指南第7版#第19章

=Start=

缘由：

备考CISSP，学习、整理在看《CISSP官方学习指南（第7版）》时的一些知识点，方便以后快速复习。

正文：

参考解答：

第19章事件与道德规范

本章中覆盖的CISSP考试大纲包含：
1.安全和风险管理
E.理解职业道德
E.1 实践(ISC)2职业道德准则
E.2 支持组织的道德准则
7.安全运营
A.理解和支持调查
A.1 证据收集和处理(例如，监管链、采访)
A.2 报告和文档
A.3 调查技术(例如，根本原因分析、事故处理)
A.4 数字取证(例如，介质、网络、软件和嵌入式设备)
B.理解调查取证类别的要求
B.1 操作型调查
B.2 犯罪调查
B.3 民事调查
B.4 监管调查
B.5 电子发现(eDiscovery)

本章中，我们探讨事件处理过程，包括计算机犯罪是否己被提交的调查技术以及适当时证据的收集技术。本章还包括对道德问题及信息安全从业人员行为准则的完整讨论。

决定如何应对计算机攻击的第一步是要了解攻击是否发生或何时发生。在选取合适的应对措施之前，应了解如何确定攻击正在发生或攻击己经发生。一旦发现攻击已经发生，下一步就是进行调查和收集证据，找出发生了什么，并确定损害程度。必须确保调查方式遵守当地的法律法规。

19.1 调查

所有信息安全专家迟早都会遇到需要调查的安全事件。在很多情况中，这种调查将是简短的、非正式的确定事件，不足以严重到授权进一步的行动或执法机构的介入。然而在一些情况中，产生的威胁或造成的破坏将足以严重到需要进行更正式的调查。当这种情况出现时，调查人员必须仔细调查，确保执行正确的步骤。违背正确的步骤可能会侵犯被调查者的公民权利，并且可能导致失败的诉讼，甚至导致被调查者采取合法的抵抗措施。

19.1.1 调查的类型

安全实践人员发现他们执行的调查有各种理由。一些调查涉及法律法规且调查证据必须严格遵守法院可接受的标准，还有一些调查由于必须支持内部业务流程，因此要求更严格。

1.操作型调查
操作型调查研究涉及组织的计算基础设施问题，且首要目标为解决业务问题。例如，如果IT团队在Web服务器上发现性能问题，就会执行有关确定性能问题起因的调查。

2.犯罪调查
犯罪调查通常由法律执行者进行，是针对违法行为进行的调查。犯罪调查的结果是指控犯罪和在刑事法庭上控诉。
多数犯罪案件必须满足超越合理怀疑的证据标准。根据这个标准，控方必须证明被告犯罪，凭借事实而不是其他逻辑结论。为此，犯罪调查必须遵循非常严格的证据收集和保存过程。

3.民事调查
民事调查通常不涉及执法，而涉及内部员工和外部顾问代表法律团队的工作。他们会准备必要的证据来解决双方之间的纠纷。
大多数的民事案件不会遵循超出合理怀疑证据的标准。相反，它们使用较弱的证据标准。要达到这一标准，只需要证据能够说明调查结果是可信赖的。因此，民事调查的证据收集标准并不像犯罪调查要求那么严格。

4.监管调查
政府机构在他们认为个人或企业可能违反法律时会执行监管调查。监管机构通常会在他们认为可能发生的地点进行调查。监管调查范围比较广泛，几乎总是由政府工作人员执行。

5.电子发现
在诉讼过程中，任何一方有责任保留与案件相关的证据，并在发现过程中在控诉双方之间分享信息。这个发现过程应用纸质档案和电子记录及电子发现(eDiscovery)的过程促进电子信息披露的处理。

电子发现参考模型描述了发现的标准过程，共需如下9步：
(1)信息治理确保信息系统针对将来的发现有良好的组织。
(2)识别当组织相信起诉很有可能时，要指出电子发现请求信息的位置。
(3)保存确保潜在的发现信息不会受到篡改或删除。
(4)收集将敏感信息收集起来用于电子发现过程。
(5)处理过滤收集到的信息并进行无关信息的”粗剪”，减少需要详细检查的信息。
(6)检查检查留下的信息，以确定哪些信息是敏感的请求并移除那些律师与客户之间保护的任何信息。
(7)分析对留下来的内容和文档执行更深层次的检查。
(8)产生用需要分享他人的信息标准格式产生信息。
(9)呈现向证人、法院和其他当事方演示信息。

进行eDiscovery是一个复杂的过程，需要在IT专业人员和法律顾问之间仔细协调。

19.1.2 证据

为了成功地检举犯罪，起诉律师必须提供足够的证据来证实某个人的罪行超出合理的怀疑。接下来，我们将研究证据在法庭上被许可之前要满足的要求、可以使用的不同类型的证据，以及处理和记录证据的需求。

1.可接纳的证据(相关性、必要性、合法性)
在法庭上来纳的证据有三种基本要求。要成为可接纳的证据，必须满足下列所有三个要求(在法庭公开讨论之前由法官确定)：
•证据必须与确定事实相关。
•证据要确定的事实必须对本案来说是必要的(即相关的)。
•证据必须有法定资格，这意味着必须合法获得。通过非法搜查获得的证据由于不具备法定资格，是不可接纳的。

2.证据的类型
在法庭上可能使用的证据有4种类型：实物证据、文档证据、言辞证据以及可论证的证据。每一种证据都有稍许不同的额外可接纳要求。

实物证据——实物证据也被称为客观证据，包括那些可能会被实际带到法庭上的物品。在常见的犯罪行动中，这可能包括谋杀凶器、衣物或其他有形物体。在计算机犯罪中，实物证据可能包括没收的计算机设备，如带有指纹的键盘或黑客计算机系统中的硬盘。根据具体的环境，实物证据还可能是无可辩驳的结论性证据，如DNA。
文档证据——文档证据包括所有带到法庭上用于证明事实的书面内容。这种证据类型也必须经过验证。例如，如果律师希望将计算机日志作为证据，那么必须将证人(即系统管理员)带到法庭上，以证明日志是作为常规的商业活动收集的，并且是系统实际收集的真实日志。
下列两种额外的证据规则被特别应用于文档证据：
•最佳证据规则声明，当文档作为法庭处理的证据时，必须提供原始文档。除了规则应用的某些例外之外，原始证据的副本或说明(被称为次要证据)不会被接受为证据。
•口头证据规则声明，当双方的协议被以书面的形式记载下来时，书面文档被假设包含所有协议的条款，并且口头协议不可以修改书面协议。
如果文档证据满足必要、有作证能力以及关联要求，并且还符合最佳证据和口头证据规则，那么就可能被法庭采纳。
言辞证据——言辞证据十分简单，是包括证人证词的证据，证词既可以是法庭上的口头证词，也可以是记录存储的书面证词。证人必须宣誓同意讲真话，并且他们必须了解证词的根据。此外，证人必须记得证词的根据(他们可以参考书面注释或记录来协助记忆)。证人可以提供直接证据：基于自己的直接观察来证明或驳斥某个断言的口头言辞。大多数证人的言辞证据都被严格地限定为基于证人的事实观察的直接证据。不过，如果法庭认为证人是特定领域的专家，那就不应采用这种方法。在这种案件中，证人可以基于其他存在的事实及其个人的专业知识来提供专家观点。言辞证据不得是所谓的传闻证据。证人不可能证实其他人在法庭外告诉他的内容。没有经过系统管理员验证的计算机日志文件也可能被认为是传闻证据。

3.证据收集和司法取证
收集数字证据是一个复杂的过程，并且应当只由专业的司法技术人员进行。

19.1.3 调查过程

当启动计算机安全调查时，应该首先召集一支有能力的分析师团队，以协助调查。该团队应根据组织现有的事件响应策略进行操作，同时应给予该团队一份章程手册。其中应清楚概述调查范围：调查人员的权力、角色和责任；以及调查过程中必须遵守的参与制度。这些规则能够规定并指导调查人员在不同阶段采取的行动，比如遵守法律、审讯犯罪嫌疑人、收集证据以及破坏系统访问。

1.请求执法
2.实施调查

19.2 计算机犯罪的主要类别

攻击计算机系统有很多种方式，同时对计算机系统进行攻击的动机也有很多种。信息系统安全从业人员通常会将计算机犯罪分为几类。简单来说，计算机犯罪是与计算机相关的违反法律或法规的犯罪行为。犯罪可能针对计算机，或者计算机可能己经被用在实际的犯罪活动中。每种计算机犯罪类型都代表了攻击的目的及预期结果。
任何违反了一个或多个安全策略的个人都被认为是攻击者。攻击者使用不同的技术达到特殊的目的。了解目标有助于分辨不同攻击类型。需要记住的是，犯罪就是犯罪，计算机犯罪的动机与其他类型的犯罪动机没有任何差别。唯一的不同可能是攻击者进行攻击的方法有所不同。计算机犯罪通常分为下面几种类型：
•军事和情报攻击
•商业攻击
•财务攻击
•恐怖攻击
•恶意攻击
•兴奋攻击
理解计算机犯罪类型之间的区别，对于更好地理解如何保护系统并在攻击发生时如何响应来说是十分重要的。攻击者留下的证据的类型和数量常常取决于他们的专业程度。

19.2.1 军事和情报攻击

军事和情报攻击主要用于从执法机关或军事和技术研究机构获得秘密和受限的信息。这些信息的暴露可能使研究泄密、中断军事计划甚至威肋国家安全。收集军事信息或其他敏感信息的攻击常常是其他更具破坏性攻击的前兆。

19.2.2 商业攻击

商业攻击专门非法获取公司的机密信息。这种信息可能是对公司经营很关键的信息。日秘方)，或者一旦泄漏便可能损害公司形象的信息(如员工的个人信息)。对竞争者机密信息的收集也称工业间谍活动，这并不是一种新的事物。商业活动使用非法的手段获得竞争信息己经有很多年了。下列两种原因令这种攻击类型很具吸引力：偷取竞争者机密信息的诱惑，精明的攻击者可以轻易破坏一些计算机系统。商业攻击的目的只是获得机密信息。使用通过攻击收集到的信息通常会比攻击本身更危险。

19.2.3 财务攻击

财务攻击被用于非法获得钱财和服务。这是人们经常在新闻中听到的计算机犯罪类型。财务攻击的目标可能会是增加银行账户中的存款，或是免费打长途电话。

19.2.4 恐怖攻击

恐怖攻击实际上存在于我们这个社会的很多领域。对信息系统日益增长的依赖使得信息系统对于恐怖分子越来越具有吸引力。这种攻击有别于军事和情报攻击，恐怖攻击的目标在于中断正常的生活和制造恐怖气氛，而军事和情报攻击被用来获取秘密信息。情报收集一般先于恐怖攻击进行。恰好成为恐怖攻击的受害者系统可能已经在之前的情报收集攻击中被损害。对攻击检测得越认真，对更加严重攻击的防护准备将越好。

19.2.5 恶意攻击

恶意攻击可以对组织或个人造成破坏。破坏可能是信息的丢失或信息处理能力的丧失，也可能是组织或个人名誉的损害。恶意攻击的动机通常来自于不满，并且攻击者可能是现在的或以前的员工，也可能是希望组织不能正常运作的人。攻击者对受害者不满，进而以恶意攻击的形式发泄他们的不满。最近被解雇的员工是可能对组织进行恶意攻击的主要人员。另一种攻击者是被拒绝与其他员工建立个人关系的人。被拒绝的人可能对受害者的系统发起一次攻击，并且破坏受害者系统中的数据。

19.2.6 兴奋攻击

兴奋攻击是由具有很少技能的破坏者发起的攻击。缺乏自己设计攻击的能力的攻击者常常会下载某些程序来进行攻击。这些攻击者常常被称作”脚本小子”，因为他们只运行他人的程序或脚本而发起攻击。
这些攻击的动机是闯入系统的极度兴奋。如果是兴奋攻击的受害者，那么所遭受的最常见打击就是服务中断。虽然这种类型的攻击者可能会破坏数据，但是他们的主要动机还是破坏系统，并且可能使用该系统对其他受害者发起拒绝服务攻击。

19.3 事故处理

在事故发生时，必须根据安全策略中描述的，并且符合当地法律和法规的方法来处理事故。正确处理事故的首要步骤是在事故发生时发现它。必须理解下列两个与事故处理相关的术语：

事件——在特定时间周期内发生的任何事情。
事故——对组织数据的机密性、完整性和可用性具有负面影响的事件。

事故没有被报告的最常见原因是它们从未被发现。每天都可能有很多违反安全策略的事件发生，但是如果没有办法发现它们，那么永远不会知道这些事故的发生。因此，安全策略应当确定并列出所有可能违规的事情和检查它们的方法。根据出现的违规和攻击的新类型对安全策略进行更新，这也是十分重要的。

当发现事故已经发生时该做些什么，这取决于事故的类型和破坏程度。法律规定一些事故必须报告，如那些影响政府或美国联邦利益的计算机(美国联邦利益的计算机是由金融机构和水力、电力系统这样的基础设施系统使用的计算机)或某些金融交易的事故，无论破坏程度如何都需要报告。如今，美国大多数州的法律都要求：如果组织的事故涉及特定的个人标识信息(信用卡号、社会保险号和驾照号)，那么就必须通知相关人员。

除了法律条文之外，许多公司都具有向业务伙伴通知各类不同事故的合约责任。例如，支付卡行业数据安全标准(PCI DSS)要求所有处理信用卡信息的商家向开卡银行和执法部门报告涉及相应信息的事故。

19.3.1 常见的事故类型

当针对系统实施的攻击或其他违反安全策略的事情发生时，事故便随之而来。有很多种方法能够区分事故的类型，下面给出了常规的一些类别：
•扫描
•泄密
•恶意代码
•拒绝服务
这4个领域是攻击者影响系统的基本切入点。

1.扫描
扫描攻击通常是先于其他更严重的攻击进行的侦察攻击。
需要记住的是，根据当地法律法规，仅仅扫描系统可能并不违法。扫描可以指出其后的行为是非法的，因此将扫描视为事故，并且收集扫描活动的证据是一个很好的主意。你可能会发现，为了找到随后发生攻击的当事人的责任，在系统被扫描时收集到的内容可能会成为所需的重要证据。由于扫描是这样一种普遍现象，因此一定要自动收集证据。

2.泄密
泄密指的是对系统或系统存储的信息进行的未授权访问。泄密可能源自组织的内部或外部。更糟糕的是，泄密可能来自一名合法用户。合法用户的未授权使用所造成的泄密事故，与有经验的破坏者从外部闯入所造成的损害是相当的。泄密可能难以检测。通常，数据管理员会注意到数据有些不寻常。这可能会是数据的丢失、更改或移动，可能是时间标记有所不同，还有可能是其他一些内容完全不对。对于系统的正常运作了解得越多，对于检测系统非正常行为的准备工作越充分。

3.恶意代码
提到恶意代码时，可能会想到病毒和间谍软件。虽然病毒是恶意代码的常见类型，但只是其中一种类型(在第21章中，我们讨论恶意代码的不同类型)。这种类型的恶意代码事故的察觉源自由恶意代码引起的终端用户的报告，或者源自自动报告已经发现被扫描的代码包含恶意内容。保护系统不受恶意代码攻击的最有效方法是使用病毒和间谍软件扫描程序，并且使特征数据库保持最新。另外，安全策略应当解决外部代码的引入问题，要具体到准许终端用户安装的代码。

4.拒绝服务
最后一种事故类型是拒绝服务(DoS)。通常，这种事故类型最容易检测到。用户或自动化工具能够报告一种或多种服务(或整台机器)是不可用的。尽管拒绝服务很容易被检测，但是避免其发生总比采取措施应对好得多。虽然从理论上讲，动态改变防火墙规则可以拒绝DoS网络信息传输，但近几年更加完善和复杂的DoS攻击使得它们很难被防范。因为DoS攻击的变化太多了，实施这项策略是一项艰巨的任务。

19.3.2 响应团队

现在许多组织都有负责调查计算机安全事故的专门团队。这些团队通常被称为计算机事故响应团队(CIRT)或计算机安全事故响应团队(CSIRT)。当发生事故时，响应团队具有下列4个主要职责：
•确定事故导致的破坏程度和范围
•确定事故期间是否有机密信息出现泄密
•实现任何必要的恢复措施，以便在遭到与事故相关的破坏后还原安全性并进行恢复
•针对改善安全性和防止相同事故再次出现的其他所有必要的安全措施，进行监督管理工作

作为这些责任的一部分，响应团队应当在事故发生一周内对事故进行事后回顾，从而确保事故的关键当事人共享了解的情况并提出最佳的做法，进而为将来的响应工作提供借鉴。

当组建事故响应团队时，一定要保证设计功能交叉的人员组合，以便涵盖管理、技术和受安全事故影响最直接的职能领域。潜在的团队成员包括如下：
•来自高层管理部门的代表
•信息安全专业人员
•法律代表
•来自公共事务/通信部门的代表
•来自系统和网络工程领域的代表

19.3.3 事故响应过程

许多组织都采用三步骤的事故响应过程，这个过程由下列三个阶段组成：
(1)检测和确认
(2)响应和报告
(3)恢复和补救

步骤1：检测和确认
事故确定过程具有两个主要目标：确定事故以及通知适当的人员。
一旦最初的评估员确定事件满足组织的安全事故标准，评估员就必须通知事故响应团队。通知总结了事故的检测阶段、确定阶段、初步响应和报告阶段。

步骤2：响应和报告
一旦确定事故己经发生，下一步就是选择执行恰当的行动。安全策略应当指定针对各类事故应采用的步骤。始终都要认定事故最终会诉诸法律。收集证据时，要保证证据能够达到出庭标准。如果证据受损，那么就无法追回。因此，必须确保证据链得到维护。
隔离与抑制采取的第一个行动应当致力于限制组织泄密和阻止进一步破坏。在系统可能泄密的情况中，应当断开其与网络的连接，这样不仅可以阻止入侵者访问受到危害的系统，而且也可以防止受害的系统影响网络中的其他资源。

收集证据是为了执行适当的调查，没收设备、软件或数据是常见的事情。没收证据的行为十分重要，一定要以恰当的方式来进行。目前有下面三种基本的选择方案。(自愿交出、法院传票、搜查证)
分析与报告一旦完成证据收集工作，就应当分析证据以便确定导致事故的一系列事件。在提交给管理部门的书面报告中概述这些发现。在报告中，应当慎重地描述事实并给出意见。对可能的原因进行推断是可接受的，但是应该确信结论陈述完全依赖于事实，并且需要一定程度的估计判断。

步骤3：恢复与补救
在完成调查之后，还要执行两个任务：将工作环境还原至正常的运营状态，以及完成”总结经验教训”过程，从而提高应对未来事故的能力。

恢复——恢复过程的目标是修正针对组织的所有己发生破坏，并且限制将来由于类似事故导致的破坏。
总结经验教训——事故响应过程的最后一个阶段是召开”总结经验教训”会议。

19.3.4 约谈个人

事故调查期间，你会发现有必要与可能掌握相关信息的人员进行谈话。如果只是为了获取有助于调查的信息，那么这种谈话被称为约谈。如果怀疑某人涉嫌犯罪并希望收集在法庭上可用的证据，那么这种谈话被称为审问。

约谈和审问是一种专门的技巧，并且应当只由训练有素的调查人员进行。不恰当的方法可能会损害执法部门成功起诉嫌疑人的能力。此外，许多法律都涉及对人员的限制或拘留。如果打算进行私下审问，那么就必须严格地遵守这些法律。在进行任何约谈之前，始终要与律师商讨相应的对策。

19.3.5 事故数据的完整性和保存

无论证据的说服力如何，如果在证据收集的过程中发生变更，那么就会被法院拒绝受理。一定要确保能够维护所有证据的完整性，但在进行数据收集之前要了解什么是数据的完整性。

19.3.6 事故报告

应该何时报告事故？应该向谁报告？通常这些问题很难回答。安全策略中应当包含回答这两个问题的指导方针。在报告事故时有一条基本原则。如果每个事故都进行报告，那么就会承担被认为是麻烦制造者的风险。当发生严重事故时，报告就会被人忽略。同样，报告不重要的事故会给人这样的印象：组织非常容易受到攻击。这会对实施严格安全措施的组织产生不利影响。例如，在每天都听说银行发生事故之后，公众对银行的安全实践措施就无法保持信心。

一旦决定报告事故，就要保证报告尽可能多地包含下列信息：
•事故的性质是什么？如何开始和由谁开始？
•事故何时发生(日期和时间要尽可能精确)？
•事故是在哪里发生的？
•如果知道，那么攻击者使用的是什么工具？
•这个事故会造成什么损害？
你可能还会被要求提供更多的信息。准备尽可能及时地提供这些信息。此外，你还可能被要求对系统进行隔离。与采取的任何安全措施一样，对所有的通信过程进行日志记录，并对作为事故报告提供的任何文档进行复制备份。

19.4 道德规范

因为安全专家处理敏感信息，需要赢得信任，所以安全专家自身及相互之间负有高标准的行为职责。管理个人行为的规则被统称为道德规范。一些组织已经认识到需要标准的道德规范或准则，并且为道德行为设计了指导原则。

本节将讨论两种道德规范。这些规范不是法律。它们是对专业人士行为的最低标准。它们为你提供了合理的道德判断标准。无论其专业领域是什么，受雇于何人，我们期望所有的安全专家都应该遵守这些指导原则。你一定要理解并遵守本节列出的道德规范。除了这些代码，所有信息安全专业人士也应该支持他们组织的道德准则。

19.4.1 (ISC)2的道德规范

包含一个序言和4条标准的简单准则

19.4.2 道德规范和互联网

……

19.5 本章小结

信息安全专业人员必须熟悉事件响应过程。这涉及收集和分析所需的证据，以便进行调查。安全专业人员应该熟悉证据的主要类别，包括实物证据、书面证据、言辞证据。电子证据往往通过对硬件、软件、存储介质和网络的分析，进行收集。使用适当的程序收集证据很必要，不能改变原始证据，并应对证据链进行保护。
计算机犯罪被归结为几种主要的类别，每个类别中的犯罪行为有共同的动机和期望的结果。理解攻击者所寻找的内容，对于恰当地保护系统是很有帮助的。例如，军事和情报攻击被用于获得秘密信息，这些信息通过合法的方式是无法获得的。除了目标为民用系统以外，商业攻击几乎与军事和情报攻击是相同的。其他类型的攻击包括财务攻击(电话线路盗用是财务攻击的一个例子)和恐怖攻击(在计算机犯罪中，这是一种用来中断正常生活的攻击)。最后是恶意攻击和兴奋攻击。恶意攻击的目的是通过销毁数据或运用使组织或个人感到困窘的信息进行破坏。兴奋攻击由缺乏经验的攻击者发起，进而使系统受到损害或被禁用。尽管通常缺乏经验，但是兴奋攻击可能会令你非常烦恼，并且付出高昂的代价
事故是违反安全策略的行为或对安全策略的威胁。当事故被怀疑时，应当立即开始调查，并收集尽可能多的证据。这是因为，如果决定报告这个事故，那么就必须具备足够多的、可接受的证据来支持你的观点。
道德规范是管理个人行为的一组规则。实际上，从一般到特殊存在几种道德规范，安全专家可以将它们用作指导准则，(ISC)2将道德规范作为认证要求。

19.6 考试要点

了解计算机犯罪的定义。计算机犯罪是指违反法律或法规的任何行为，直接针对或直接涉及使用计算机。
能够列出并解释计算机犯罪的6个类别。计算机犯罪被分为6个类别：军事和情报攻击、商业攻击、财务攻击、恐怖攻击、恶意攻击和兴奋攻击。能够解释每种攻击的动机。
了解证据收集的重要性。只要发现事故，就必须开始收集证据并尽可能多地收集事故的相关信息。证据可以在后来的法律活动中使用，或者被用于确定攻击者的身份。证据还可以帮助确定损失的范围和程度。
理解事故是任何违反安全策略的行为或对安全策略的威胁。事故应该在安全策略中加以定义。即使特殊的事故没有被概括出来，策略的存在也仍然为系统的使用设立了标准。有任何负面影响的事件(影响到组织的数据的机密性、完整性或可用性)都是事故。
能够列出4种常见的事故类型井了解每种事故的征兆。当针对系统的攻击或其他违反安全策略的行为出现时，就会发生事故。事故可以被分为下列4种类型：扫描、泄密、恶意代码和拒绝服务。一定要能够解释每种事故所涉及的内容和出现的征兆。
了解识别异常和可疑活动的重要性。攻击总会产生一些不正常的活动。识别出异常和可疑的活动是检测出事故的第一步。
知道如何调查入侵事件以及如何从设备、软件和数据中收集充分的信息。必须拥有设备、软件或数据的所有权，以便进行分析并使用它们作为证据。必须获得没有被修改的证据，或者不允许其他任何人修改证据。
了解三种基本的没收证据的选择方案，并知道每种方案适用的情况。第一种，拥有证据的人可能会自愿提交证据。第二种，使用法院传票强迫嫌疑人交出证据。第三种，如果需要没收证据，但不给嫌疑人修改证据的机会，搜查证是最有用的。
了解保存事故数据的重要性。因为在事故发生之后，总会发现某些事故迹象，所以除非保证关键的日志文件被保存一段合理的时间，否则将会失去有价值的证据。可以在适当的地方或档案文件中保留日志文件和系统状态信息。
熟悉如何报告事故。第一步是要与公司和法律从业人员建立工作关系，与他们一起处理发生的事故。当确实需要报告事故时，应当尽可能多地收集描述性信息并及时上交报告。
理解法庭可接纳证据的基本要求。能够被接纳的证据必须与案件事实相关，事实必须以材料形式呈现，证据的收集方式应在能力范围内，且符合法律规定。（相关性、必要性、合法性）
解释各种可能在刑事或民事审判中使用的证据。实物证据由可以被带进法庭的事实物件组成。书面证据由能够说明事实的书面文件组成。言辞证据包括证人陈述的口头证据或书写的言论证据。
理解安全人员职业道德的重要性。安全从业者被赋予非常高的权利和责任，以执行其工作职能。这便会存在权利滥用的情形。没有严格的准则对个人行为进行限制，我们可以认为安全从业人员具有不受限制的权利。遵守道德规范有助于确保这种权利不被滥用。
了解(ISC)2的道德规范和RFC1087″道德规范和互联网”。所有参加CISSP考试的人都应该熟悉(ISC)2的道德规范，这是因为他们必须签署遵守这一准则的协议。除此之外，他们还应当熟悉RFC1087的基本要求。

参考链接：

CISSP官方学习指南第7版（中文）-文字版带完整书签

=END=