9-安全审计与责任认定技术.pptVIP

* 信息安全概论 主讲教师：XXX E-mail： XXX 9.1 安全审计 9.2 数字取证 9.3 数字取证关键技术和工具 * 第九章 安全审计与责任认定技术 9.1 安全审计 所谓审计，简单地说就是记录和分析用户使用信息系统过程中的相关事件，不仅记录谁访问了系统，而且记录系统以何种方式被使用。基于对记录的系统事件的分析，能够快速地识别问题，确定是否有攻击、攻击源自何处。因此，审计本质上是一种为事后观察、分析提供支持的机制，广泛存在于信息系统中，记录、分析、报告系统中的事件。 安全审计的主要功能包括：安全审计自动响应、安全审计数据生成、安全审计分析、安全审计浏览、安全审计事件存储、安全审计事件选择等。 * 9.1.2 审计系统的结构 集中式的审计系统集中地收集和分析来自于多台主机的源审计记录，所有事件信息均要传送到中央处理机上，分析并做出响应。 * * 分布式系统结构的安全审计任务由分布于网络各处的审计单元协作完成，这些单元还能在更高层次结构上进一步扩展，从而能够适应网络规模的扩大。 * * 9.1.3 审计的数据来源 对于一个网络安全审计系统而言，数据采集是其首要环节，数据采集的完整性和准确性是其后续分析和处理的基础。大体上，安全审计系统的数据源可以分为三类：基于主机、基于网络和其它途径。 * 基于主机的数据源有以下四类：操作系统日志，系统日志，应用日志和基于目标的信息。 * 网络数据是目前的网络安全审计系统和商业入侵检测系统最为通用的信息来源。基本原理是：当网络数据流在网段中传播时，采用特殊的数据采集技术，收取网络中传输的数据，作为安全审计系统的数据源。 * 除了以上介绍的几种数据源外，其他途径的数据源还有很多，比如网络系统中的设备活动日志和带外数据源等。 * 9.2 数字取证 数字取证（Digital Forensics，以下简称取证），也被称为计算机及网络取证、计算机取证（Computer Forensics），就是应用计算机、通信等相关技术，发现、收集、检查、分析数据，同时保护信息的完整性，并维持严格的数据保管链。 * 数字取证的作用包括： 发现和归档证据和线索。 固定其他途径发现的证据。 帮助揭示事件模型。 关联攻击和受害的计算机。 展现端到端侵害事件的路径，不管侵害是否已遂。 提取隐藏、删除或者其他不能直接得到的数据。 * 以上主要是针对打击违法犯罪的作用。除此以外，数字取证的作用还包括： 排除故障。 日志监控 数据恢复。 数据提取。 完善策略。 * 按照不同的分类方法，可以将数字取证分成不同类型。 (1) 主机取证和网络取证：按照是否调查和涉及网络数据流分类，前者主要针对主机及其外设，后者针对网络数据和周界网络。 (2) 事后取证和实时取证：指取证调查的时间是在事件发生后还是在事件发生中。 (3) 司法取证和非司法取证：指取证调查得到的证据是否进入司法程序。前者的取证在步骤和证据方面有特殊和严格的要求，后者的取证结果只在企业或者组织内部使用。 * 9.2.2 电子证据的特点和取证基本原则 取证的直接目的，就是要得到说明或验证某个事件的证据。计算机取证得到的证据称为电子证据（Electric Evidence）或数字证据（Digital Evidence）。不是所有的调查数据都可以作为证据，证据必须满足两个根本属性： 可接受性（Admissibility）：在技术上或者法律上可以接受。 完整性（Integrity）：数据是真实的（Authenticity）和可靠的（Reliability）。 * 相对于传统的物理证据，电子证据有其独特的特点 (1)数字性。 (2)技术性。 (3)脆弱性。 (4)多态性。 (5)人机交互性。 (6)复合性。 * 电子证据的特性对于证据的收集、检查、分析等环节都提出了严格的程序要求。根据这些要求，计算机取证应该遵循的原则是： (1)及时性原则。 (2)取证过程合法性原则。 (3)多备份原则。 (4)环境安全原则。 (5)严格管理过程的原则。 * 9.2.3 数字取证的过程 尽管计算机及网络取证有多种分类，适用于不同的场合，但都可以用一个四阶段的过程来描述：收集、检查、分析、报告。 * * * 9.3 数字取证关键技术和工具 计算机和网络取证中的证据信息类别可以按照其数据来源，划分为：来自文件的数据、来自操作系统的数据、来自网络的数据以及来自应用软件的数据等，分类不是绝对的，一般情况下，取证要综合以上各种来源的数据。 * 9.3.2 来自文件的数据 文件（也称为数据文件）是通过单一名字（例如文件名）引用的一个在逻辑上相关信息集合的单一实体。文件有很多类型，例如文档文件、图像、视频、应用程序等。 除了标准的文件，还有一些特殊数据，它们在取