在決定遷移到云環(huán)境前，云用戶應(yīng)該考慮云服務(wù)提供商的安全偵查能力。在選擇云服務(wù)時(shí)的一個(gè)條件是，確認(rèn)云服務(wù)提供商是否具有安全監(jiān)控中心( Security peration Center ，SOC) 及合適的安全事件管理制度。 云用戶及云服務(wù)提供商應(yīng)該對(duì)安全事件的定義有共識(shí)。事實(shí)上，對(duì)于跨境提供云服務(wù)來(lái)說(shuō)，云安全事件管理是強(qiáng)制性的。云用戶及云服務(wù)提供商可能來(lái)自于不同的法律管轄區(qū)，如果遇到泄露個(gè)人資料的案例，則該事故的影響可能因所在地而有不同的認(rèn)知含義。泄露個(gè)人資料，對(duì)于美國(guó)服務(wù)商而言，可能無(wú)關(guān)緊要，但對(duì)于歐洲云用戶來(lái)說(shuō)，其后果可能非同小可。 通信安全事件的處理程序及升級(jí)通報(bào)，也需要在云服務(wù)合同中確定出來(lái)。

觀察云服務(wù)提供商使用哪些安全事件管理工具，也可以幫助我們了解其在安全事件管理的成熟度。

安全事件晌應(yīng)

計(jì)算機(jī)鑒定

為了確認(rèn)案件中的事實(shí)，計(jì)算機(jī)鑒定涉及數(shù)字?jǐn)?shù)據(jù)的識(shí)別、收集、分析及顯示。在識(shí)別階段，會(huì)根據(jù)實(shí)際個(gè)案狀況與客戶一起辨識(shí)可能的證據(jù)。

數(shù)據(jù)收集包括以建立犯罪現(xiàn)場(chǎng)一樣的嚴(yán)謹(jǐn)程度，來(lái)調(diào)查并仔細(xì)地保存證據(jù)，保護(hù)并確認(rèn)證據(jù)的完整性。在分析期間，仔細(xì)分析證據(jù)并客觀評(píng)估結(jié)果，最后進(jìn)行結(jié)論檢討，調(diào)查結(jié)果確定并完成結(jié)論記錄文擋后結(jié)案。

云的挑戰(zhàn)

對(duì)取證專家來(lái)說(shuō)，資料收集階段會(huì)是最大的挑戰(zhàn)。一般計(jì)算機(jī)鑒定的取證通常從存儲(chǔ)介質(zhì)開始建立點(diǎn)對(duì)點(diǎn)的復(fù)制程序，但是這樣的方式在云幾乎是不可行的。對(duì)云用戶而言(也包括取證專家) ，通常無(wú)法知道提供商使用哪種存儲(chǔ)工具來(lái)存儲(chǔ)資料，大概也無(wú)從得知存儲(chǔ)實(shí)體的位置。云鑒定數(shù)據(jù)收集需要采取替代方案定性的步驟。取證專家必須利用邏輯接口，如虛擬目錄、數(shù)據(jù)庫(kù)等來(lái)收集數(shù)據(jù)?，F(xiàn)在，有些云提供商除了留存數(shù)據(jù)記錄外，也留存散列函數(shù)值( Hash Fnnction) ，即為數(shù)字指紋，這些可用于鑒定分析。

云用戶及提供商必須在服務(wù)水平協(xié)議中先規(guī)定這些步驟，同時(shí)要求相關(guān)技術(shù)文件以確保鑒定數(shù)據(jù)的可信度。

云鑒定調(diào)查的成功因素就是具備足夠的日志文件數(shù)據(jù)(Log Data)。網(wǎng)絡(luò)、系統(tǒng)及應(yīng)用程序上也需要相似的日志文件。這些日志文件數(shù)據(jù)可否供取證專家獲取及其保留期限都須根據(jù)法規(guī)及雙方協(xié)議來(lái)界定。在此，所有系統(tǒng)的系統(tǒng)時(shí)間的同步非常重要。分析程序通常會(huì)合并不同系統(tǒng)的記錄文件數(shù)據(jù)。只有將日志時(shí)間同步后，才能重建作業(yè)狀況，而了解事故發(fā)生的來(lái)龍去脈。