ch5审计、取证等其他安全相关环境.pptx

Ch5 其他安全相关技术 主要内容 安全审计 取证技术 安全测试 安全编码 安全审计 基本知识 安全审计就是对有关操作系统、系统应用或用户活动所产生的一系列有关安全的活动进行记录、检查及审核。管理员采用审计系统来监控系统的状态和活动，并对日志文件进行分析、及时发现系统中存在的安全问题。 1 2 3 4 5 6 7 8 基本知识 安全审计的范围较广，可覆盖桌面系统、网络、各类服务器，可涉及用户的各类网络行为与数据内容（浏览网页、访问论坛空间、发表言论、传输文件、发送电子邮件等等）、数据和文件的访问操作行为与内容、数据库的操作和访问行为与内容等等诸多方面和层次。 安全审计中检查的内容包括 审计事件类型；事件安全级；引用事件的用户；报警；指定时间内的事件以及恶意用户表等。 1 2 3 4 5 6 7 8 基本知识 安全审计的形式 人工审计 计算机手动分析 处理审计记录并与审计人员最后决策相结合的半自动审计 依靠专家系统作出判断结果的自动化的智能审计等 1 2 3 4 5 6 7 8 基本知识 审计日志分析技术 统计分析 Syslog标准与Syslog系统 1 2 3 4 5 6 7 8 基本知识 安全审计系统是安全审计的工具，其通过对安全审计日志的分析和处理来对系统的活动进行检查和审核，即进行安全审计。 操作系统安全审计系统 数据库安全审计系统 网络安全审计系统 1 2 3 4 5 6 7 8 基本知识 安全审计的作用 对于已经发生的系统破坏行为，提供有效的追踪证据； 为系统管理员提供有价值的系统使用日志，便于及时发现系统入侵行为或潜在的系统漏洞； 重建事件； 评估损失； 监测系统的问题区； 发现和阻止系统的不正当使用。 1 2 3 4 5 6 7 8 应用案例 某安全审计系统典型部署（旁路部署模式） 应用案例 小型网络之精细审计方案 1 2 3 4 5 6 7 8 应用案例 中型网络之集中审计方案 1 2 3 4 5 6 7 8 应用案例 某产品大型网络之分级审计方案 1 2 3 4 5 6 7 8 取证技术 基本知识 证据是证明犯罪行为的事实依据，是法律诉讼的重要内容。根据《刑事诉讼法》规定，电子数据属于证据中的一种，是以二进制形式存储和传输的信息。 电子证据可能包括罪犯在计算环境中留下的对数据、载体进行访问和操作的任何痕迹与信息。 取证是运用计算机及其相关科学技术的原理与方法，获取与计算机相关的电子证据并加以整理分析，以便法庭或调查使用。 1 2 3 4 5 6 7 8 取证的基本步骤 1) 证据的获取 2) 位拷贝 3) 分析检查 4) 取证提交 5) 证据存档 6) 证据呈供 1 2 3 4 5 6 7 8 取证须遵守的原则（IOCE） 处理电子证据时，必须遵守所有的常规取证步骤、原则。 获取电子证据时，必须保证证据的不变性。 进行原始证据处理的取证人员应该经过专业培训。 所有和电子证据的获取、访问、存储、传送相关的处理都必须完全归档、保存好。 个人在拥有和案例相关的电子证据时，应该对其所有在电子证据上所进行的相关操作负有责任。 任何代理机构，在负责提取、访问、保存或传送电子证据时都必须遵守这些原则。 1 2 3 4 5 6 7 8 取证技术 证据获取技术 磁盘映像技术 数据恢复技术 网络实时数据获取技术 证据分析技术 内容分析技术 证据鉴定技术 数据解密技术 反取证技术 数据擦除 数据隐藏 数据加密 清除伪造日志 1 2 3 4 5 6 7 8 取证/反取证工具 取证工具 国外软件Live View、OpenFilesView、Helix、Wireshark 反取证工具 磁盘擦除工具Diszapper、隐藏信息的StealthDisk、以隐写术为主的Cloak和数据隐藏工具Invisible Secrets 1 2 3 4 5 6 7 8 应用案例1：毒品贩卖案子 山东XX公安局破获一起重大的毒品贩卖案子，嫌疑已经抓获，得知对方是使用手机短信和QQ联络互相联系。警方缴获了手机30台，便携式计算机3台，台式机计算机15台，并对证据进行安全保存。 1 2 3 4 5 6 7 8 应用案例2：某单位经济案 XX市人民检察院技术处接到案件，要求查找嫌疑人计算机中的财务数据，并分析其数据的关联性。缴获的3台台式机计算机，皆为单独主机，没有网卡和光驱。 应用案例3：电话诈骗案 某公安局破获一起电话诈骗团伙案，罪犯所用计算机被损毁，硬盘被格式化。 1 2 3 4 5 6 7 8 5.7 安全测试 基本知识 这里，安全测试是确认计算环境的安全功能、发现计算环境在部署、配置及软件代码在设计、实现、操作和管理等方面缺陷的过程。 安全性测试可分为 安全功能测试 安全漏洞测试 1 2 3 4 5 6 7 8 基本知识 安全测试流程 测试前