调查

时间：2023年5

• 一、调查类型
  • 1.行政调查（Administrative Investigations）
  • 2.犯罪调查（Criminal Investigations）
  • 3.民事调查（Civil Investigations）
  • 4.监管调查（Regulatory Investigations）
• 二、电子发现（eDiscovery）
• 三、证据
  • 1.可采纳的证据
  • 2.证据类型
  • 3.工件、证据收集和取证程序
• 四、调查过程
  • 1.收集证据
  • 2.请求执法
  • 3.进行调查
  • 4.约谈个人
  • 5.数据完整性和保留
  • 6.报告和记录调查

月6日 星期六

作者：小王

一、调查类型

1.行政调查（Administrative Investigations）

属于内部调查，旨在检查运营问题或违反组织策略，但也可能随着调查的发现升级成其他类型的调查。

针对运营问题的调查，主要是调查业务问题的根本原因，不在乎证据的收集；而针对员工违反组织策略的调查，则需要收集强有力的证据才合适，因为可能会涉及内部误判。

2.犯罪调查（Criminal Investigations）

通常由执法机构执行，针对违法行为进行调查。

针对犯罪调查必须满足超越合理怀疑（beyond a reasonable doubt）的证据标准，即遵循非常严格的证据收集和保存过程。

3.民事调查（Civil Investigations）

通常涉及民事纠纷。

民事调查的证据收集标准不是那么严格。

4.监管调查（Regulatory Investigations）

由政府工作人员执行，针对个人或企业可能违法（如网络安全法）或违规（如行业标准）时进行监管调查，即合规性调查。

二、电子发现（eDiscovery）

1.信息治理（Information Governance）：确保信息能够有效地为未来的电子发现提供支持。

2.识别（Identification）：当可能发生诉讼时，识别所需信息的位置。

3.保存（Preservation）：确保潜在发现的信息的完整性。

4.收集（Collection）：集中收集相关信息。

5.处理（Processing）：将收集的相关信息进行过滤，删减无关信息（粗剪）。

6.审查（Review）：检查剩余的信息以确定相关信息（细剪），并移除受律师-客户特权（attorney-client privilege）保护的任何信息。

7.分析（Analysis）：对剩余信息进行更深层次的调查。

8.生产（Production）：将信息置入可与他人共享的格式并发送给需要方。

9.呈现（Presentation）：向证人、法庭和其他当事人展示信息。

三、证据

法庭上使用的证据也被称为工件（artifacts），如计算机、移动设备、网络设备、设备日志等。

1.可采纳的证据

• 必须与事实相关的（relevant）

• 对事实来说是必要的（material）

• 必须合法获得（competent）

2.证据类型

• 实物证据（Real Evidence）：也被称为客观证据（object evidence），如凶器、笔记本电脑、硬盘、指纹、DNA等。

• 文档证据（Documentary Evidence）：任何证明事实的书面内容。它有两个规则：最佳证据规则（best evidence rule）指的是文档类证据必须是原始文档，不能是副本；口头证据规则（parol evidence rule）指的是口头协议无效。

• 言辞证据（Testimonial Evidence）：证人的证词形成的证据。证人证词必须基于事实观察到直接证据，但领域专家的证言不适应此要求。传闻规则（Hearsay Rule），通常避免传闻行为，即证人听说的事情不能当证据。但也有例外，如业务记录可以被证言当作言辞证据。

• 证明性证据（Demonstrative Evidence）：用来支持言辞证据的证据，如DDoS攻击原理分析图示，可采纳性由陪审团决定。

证据链（Chain of Evidence），也叫监管链（chain of custody），为了证据的完整性、合法性而进行的记录活动。

3.工件、证据收集和取证程序

计算机证据国际组织（IOCE）指导数字取证的6个原则：

• 合规：处理数字证据时，必须应用所有通用的司法和程序原则。

• 完整性：收集数字证据后，不能修改证据。

• 培训：某人有必要使用原始数字证据时，应当接受有针对性的培训。

• 监管链：与收集、访问、存储或转移数字证据有关的所有活动都应当被完整记录和保留，并且可供审查。

• 责任：在数字证据被某人掌握之后，他应当对与数字证据有关的所有活动负责。

• 遵守：所有负责收集、访问、存储或转移数字证据的机构都负责遵守上述原则。

取证分析类型

• 介质分析（Media Analysis）：识别和提取存储介质中的信息，如磁盘、硬盘、光盘等。

• 内存分析（In-Memory Analysis）：尝试从内存中提取信息，技术难度非常大，如转储文件的提取。

• 网络分析（Network Analysis）：从网络流量进行分析，除非攻击行为仍在发生，不然需提前部署抓取流量的机制才能实现。

• 软件分析（Software Analysis）：对软件及其活动进行分析，如软件代码、软件日志、软件的哈希值等。

• 硬件/嵌入式设备分析（Hardware/Embedded Device Analysis）：对硬件和嵌入式设备中的内容进行分析，如智能手机、平板电脑、车机系统等。

取证分析获取到的信息进行镜像拷贝并计算哈希值，分析工作应该在信息副本上进行，尽可能保证证据的完整性，并在整个取证分析活动中保持监管链。

四、调查过程

1.收集证据

收集证据必须以适当的方式进行，有几种可能的方式：

• 自愿上交（voluntarily surrender）：仅攻击者不是证据所有者的情况，通常是内部调查。

• 法庭传票（court subpoena）：法庭传票迫使个人或组织上交证据，但证据容易被篡改。

• 显见声明（plain view doctrine）：执法人员可以扣押直观看到的证据，且该证据与犯罪活动有关。

• 搜查令（search warrant）：不需要向证据所有者或其他人透漏信息的情况下获取证据，需说服法官才可采取该行动。

• 紧急情况（exigent circumstances）：在紧急情况下，即如果不立即收集证据，则证据可能会被销毁的情况下，执法人员可以无需搜查令就可收集证据。

为避免收集证据会影响个人隐私问题的出现，可以在雇佣员工时签署一份同意调查的协议。

2.请求执法

在调查中首先要做出的判断就是是否请求执法机构介入，这是一个艰难的抉择，因为请求执法可能会对组织信誉造成影响，并会造成无法私下调解的结果。

3.进行调查

调查时应遵循如下原则：

• 不对原始证据进行调查，应使用备份或副本；

• 不要进行反击活动；

• 请求专家协助，避免法律问题。

4.约谈个人

如果约谈的是掌握相关信息的人，称为约谈（interview）；如果怀疑某人涉嫌犯罪且想获取证据的约谈，称为审问（interrogation）。

5.数据完整性和保留

由于证据的完整性遭到破坏，则在法庭上会被认为是无效的，因此调查过程中保护证据完整性非常重要。

6.报告和记录调查

在信息安全的每个环节，文档化都十分重要，将调查过程全部记录下来形成报告，为法庭博弈提供支持。