编者按 当一个数字取证人员来到你们公司调查一起值得怀疑的数据破坏事件时，公司高层往往因为没有事先做好准备而让事情变得更加不容乐观。本文将介绍五个方法，让你尽量避免这样的事情发生在你的身上。

    【IT168专稿】安全专业人员经常说：如果一家公司认为自己可能遭遇了安全破坏事件，想挽救的关键做法就是在需要的地方部署一个反应计划，或者需要确定谁应该为特定的任务负责。并且，就像SANS研究所讲师Lenny Zeltser最近在CSOonline的《如何对意外的IT安全事件做出反应》的文章中说的那样：“在轻率地下决定前，你一定要问很多很多的问题”。

    不幸的是，许多公司直到现在仍然没有听取意见，最终跌倒在很多不必要的麻烦面前。

    总部位于波士顿的Lorenzi Group LLC公司的数字取证调查员和总裁Robert Fitzgerald发现，在他调查过的很多公司中，Franklin D. Roosevelt说的话是最真实的：公司唯一应该畏惧的东西就是他们自己。

    “当见到我们的时候，人们通常都表现得很紧张，并觉得这种事情是个耻辱，因为我们的工作并非瞬间就可结束，”Fitzgerald 说，“我们不是执法人员，确定你们是好人还是坏人不是我们的工作目的。”

    但是人们还是感到很紧张，因此他们有意或偶然地做出一些更愚蠢的事情，将公司陷于一个困难的处境中。对法律诉讼恐惧或想要隐藏什么东西的人们往往会用各种各样的方式篡改证据（看起来好似明智之举），如重写文件、重装系统、把许多其它的数据传输到光盘和驱动程序中并且进行彻底删除，但是实际上这些都会很容易在调查过程中被发现。

    为了帮助企业避免这种情况的发生，Fitzgerald最近和CSOonline的人坐在一起，概述了五个可以采取的办法来确保调查的顺利进行，并且不会对公司的名誉造成影响。

    1、做出反应要迅速

    当一家公司请来Fitzgerald的工作人员时，我们的目标是在时间上足够地谨慎，以便事实可以尽早被发现，尽早做出正确的措施。当调查人员到来的时候，如果公司还没有做好相应的准备，那么很多事情会碍手碍脚。所以，如果当时你手中拿着如下的资料，将会对调查起到十分重要的作用：员工手册，关于谁可以做什么和用哪台机器工作的规则，公司和个人的电子邮件，以及计算机软件和硬件。

    “数据是流动的，而且它移动的速度很快，因此，我们也必须动作快一些，”他说，“如果你们今天早上给我们打电话，我们希望今天早上就可以赶到你们公司所在地。因为你等待的时间越长，数据被破坏的可能性就越大。当我们在有法律顾问在场的情况下为你们提出建议的时候，我们认为我们的建议对你们来说一定是最好的。”

    Fitzgerald表示，不要阻碍我们的调查。他和他的团队知道他们在做什么。“我们有过很多次这样的经历，调查人员在那里等待的时候，那里的员工就不见了。我们需要所有的计算机以及使用和受到影响的驱动程序，并且会询问，为什么你们认为这些东西被影响了。清楚地知道为什么机器被感染是很重要的事情。”他说，“我们希望看到员工手册。这将帮助我们确定员工工作时需要遵守的规则。我们需要看到那些受到你们怀疑的员工的名字和电子邮件，无论是工作之用还是个人用途。你应该仅仅用个人电子邮件地址做紧急情况的使用。我们需要这些东西，因为员工通常使用个人电子邮件帐户将敏感数据传输到公司之外的地方。”