香港机房被查 时数据备份与取证保存的最佳实践操作指南

1.

目的与适用范围

本文针对香港机房遭执法检查或突发查封时，运维/法务/安全人员应执行的数据备份与取证保存的逐步操作指南，兼顾技术细节与合规链条，适用于物理主机、虚拟机与云端混合场景。

2.

第一时间动作（现场原则）

接到通知立即：1) 通知法务与合规并记录接收到的时间与来源；2) 如果执法到场，避免与其抵触，第一时间拍照记录现场；3) 立即启动“证据保全单”（链条表）并指定一名负责人；4) 切勿在未记录的情况下重启或关闭系统（如果系统不稳定且风险丢失数据，按下文“电源状态决策”操作）。

3.

电源状态与是否在线取证决策

判断主机状态：1) 若系统在线且无危险进程，优先做网络抓包与内存采集；2) 若怀疑恶意清理/远程删除，应优先断网隔离（物理断网或关闭交换端口）；3) 如需离线镜像，按顺序记录当前运行进程（ps/journalctl）、挂载点、网络连接（ss/netstat），用命令示例：journalctl -n 200 > /mnt/forensic/journal.log

4.

磁盘镜像（位拷贝）步骤

物理盘或LVM：1) 使用只读方式挂载外部存储；2) 推荐工具：ddrescue、dc3dd、FTK Imager、Guymager；3) 示例命令（位拷贝）：dc3dd if=/dev/sda of=/mnt/forensic/images/sda.img bs=4M conv=noerror,sync；4) 生成校验：sha256sum sda.img > sda.img.sha256；5) 保留原盘上电/封存照片并签名封条。

5.

在线镜像与内存采集

若不能断电，先做内存与挂载镜像：1) 使用LiME或winpmem采集内存（例如：sudo lime -o mem.lime）；2) 导出运行中的数据库快照（mysqldump --single-transaction --all-databases > db.sql）；3) 导出虚拟机快照或使用hypervisor导出OVF/镜像，记录每一步时间戳。

6.

网络证据采集

捕获网络流量：1) 在交换机配置SPAN端口或在主机上tcpdump；2) 示例：tcpdump -i eth0 -s 0 -w /mnt/forensic/capture.pcap host 1.2.3.4 and port 22；3) 同步防火墙/IPS/负载均衡的日志并导出配置快照；4) 记录抓包开始/结束时间并做sha256校验。

7.

日志与元数据保存

系统/应用日志：1) 收集/导出 /var/log、application logs、web server logs，使用rsync -av --numeric-ids /var/log /mnt/forensic/logs；2) 导出数据库二进制日志(binlog)与审计日志；3) 记录并保存时间同步信息（ntpq -p）；4) 将所有文本压缩并计算校验值（tar cpf logs.tar --numeric-owner /mnt/forensic/logs；sha256sum logs.tar）。

8.

云与远端备份策略

如果服务有云组件：1) 立即创建快照（AWS AMI/EBS snapshot、Azure snapshot、GCP disk snapshot），并导出到不可变存储；2) 导出S3为对象锁（S3 Object Lock）以实现WORM；3) 导出云审计日志（CloudTrail、Stackdriver）并保存到离线备份。

9.

物证封存与链条保存

封存步骤：1) 对每个存储介质拍照并写入封存单（含设备编号、采集人、时间、签名）；2) 将介质放入防静电袋并封条，封条编号唯一且签名；3) 使用专用保全柜或第三方保管机构，运输时使用锁定容器并有两人同行记录；4) 所有操作均在链条表中记录并留证据副本。

10.

前期备份与预防最佳实践

建议常规策略：1) 采用3-2-1规则（3份数据、2种介质、1份异地）；2) 使用加密（LUKS/BitLocker）与访问控制；3) 实施不可变快照与审计日志保存策略，定期做演练与取证演习；4) 建立应急联系人清单与法律指导流程。

11.

取证文档与报告模板要点

记录内容：1) 事件时间线（UTC与本地时间）；2) 所采集文件名、校验值、采集工具及版本；3) 现场照片、操作人签名与证言；4) 最终报告应包含结论、证据链及建议的恢复或封存方案。

12.

问：如果执法人员要求当场删除或格式化硬盘怎么办？

答：在法律允许范围内，首先通知公司法务并要求书面指令；记录要求的时间与人员，拍照证据并在法务指导下配合。未经法律允许不得私自删除或破坏证据，同时保持详细记录以备后续争议。

13.

问：如何保证备份数据的可验证性与完整性？

答：对每个镜像与日志生成强哈希（建议SHA-256或以上），在三方时间戳服务或区块链存证系统登记哈希；保存原始镜像、校验文件与导出日志，任何后续变更均要有签名与时间戳证明。

14.

问：是否需要第三方取证机构参与？

答：推荐关键场景请具备认证的第三方法证机构参与，尤其当数据将作为证据提交法院时。第三方能提供独立镜像、法庭认可的报告及专家证词，提升证据可信度。

来源：香港机房被查 时数据备份与取证保存的最佳实践操作指南