第9章安全审计与计算机取证技术概述.
第九讲信息安全审计
信息安全审计分析方法
4 其它安全审计方法
安全审计是根据收集到的关于己发生事件的各种数据来发现 系统漏洞和入侵行为,能为追究造成系统危害的人员责任提供证 据,是一种事后监督行为。入侵检测是在事件发生前或攻击事件 正在发生过程中,利用观测到的数据,发现攻击行为。两者的目 的都是发现系统入侵行为,只是入侵检测要求有更高的实时性, 因而安全审计与入侵检测两者在分析方法上有很大的相似之处, 入侵检测分析方法多能应用与安全审计。
商学院商学院博士博士讲师讲师信息安全审计信息安全审计计算机取证信息安全审计信息安全审计概述信息安全审计概述信息安全审计概述信息安全审计概述信息安全审计概述信息安全审计概述信息安全审计概述信息安全审计概述信息安全审计概述信息安全审计概述信息安全审计概述信息安全审计概述信息安全审计概述信息安全审计概述信息安全审计概述天融信ta为用户提供的价值信息安全审计概述信息安全审计概述信息安全审计概述信息安全审计概述信息安全审计的一般步骤信息安全审计概述信息安全审计概述确定和保持系统活动中每个人的责任确认重建事件的发生评估损失监测系统问题区提供有效的灾难恢复依据提供阻止不正当使用系统行为的依据提供案件侦破证据安全审计系统的目标至少要包括以下几个方面
信息安全审计概述
信息安全审计概述
信息安全审计概述 天融信TA为用户提供的价值
信息安全审计概述
信息安全审计概述
信息安全审计的一般步骤
信息安全审计概述
安全审计系统的目标至少要包括以下几个方面:
确定和保持系统活动中每个人的责任 确认重建事件的发生 评估损失 监测系统问题区 提供有效的灾难恢复依据 提供阻止不正当使用系统行为的依据 提供案件侦破证据
《计算机取证技术》课件
文件分析技术
01
文件格式解析
识别并解析不同文件格式,提取关 键信息。
文件签名验证
通过文件的数字签名验证文件的真 实性和完整性。
03
02
文件内容分析
对文件内容进行深入分析,提取与 案件相关的证据。
文件隐藏分析
检测和提取隐藏在文件中的关键信 息,如密码、密钥等。
04
网络监控与追踪技术
网络流量捕获
实时捕获网络流量,分析网络通信内容。
02
打击犯罪行为
电子证据在许多犯罪案件中发挥着越来越重要的作用。计算机取证技术
可以帮助执法部门获取关键的电子证据,为案件调查和起诉提供有力支
持,有效打击各类犯罪行为。
03
维护公共利益
在许多涉及公共利益的领域,如知识产权保护、消费者权益保护等,计
算机取证技术可以用于获取和验证相关证据,维护公共利益和社会公正
网络监视与监听
调查网络监视与监听行为,保护公民的通信自由和隐私权。
数字知识产权保护
数字版权
对数字版权进行保护,打击盗版和非法复制行为,维护创作者的权益。
商业机密
通过计算机取证技术,保护企业的商业机密不被泄露或侵犯。
05
计算机取证的挑战与未来发 展
法律与道德问题
法律问题
计算机取证过程中,如何确保合法性、合规性,避免侵犯个人隐私和权利,是当前面临的重要挑战。 需要制定和完善相关法律法规,明确计算机取证的法律地位和程序规范。
《计算机取证技术》ppt课 件
目录
• 计算机取证技术概述 • 计算机取证的基本原则与流程 • 计算机取证的主要技术 • 计算机取证的应用场景与案例分
析 • 计算机取证的挑战与未来发展
[计算机硬件及网络]网络与信息安全-计算机取证技术
![[计算机硬件及网络]网络与信息安全-计算机取证技术](https://img.taocdn.com/s3/m/e9ec401abcd126fff7050b9e.png)
犯罪主体的复杂性。 犯罪对象的复杂性。
计算机犯罪的特点
---------------------------------------------------------------
• 跨国性
网络冲破了地域限制,计算机犯罪呈国际化趋势。因特网 络具有“时空压缩化”的特点,当各式各样的信息通过因 特网络传送时,国界和地理距离的暂时消失就是空间压缩 的具体表现。这为犯罪分了跨地域、跨国界作案提供了可 能。犯罪分子只要拥有一台联网的终端机,就可以通过因 特网到网络上任何一个站点实施犯罪活动。而且,可以甲 地作案,通过中间结点,使其他联网地受害。由于这种跨 国界、跨地区的作案隐蔽性强、不易侦破,危害也就更大。
• 犯罪形式的隐蔽性
计算机犯罪一般不受时间和地点限制,可以通 过网络大幅度跨地域远程实现,其罪源可来自 全球的任何一个终端,随机性很强。
计算机犯罪黑数高。
计算机犯罪的特点
---------------------------------------------------------------
计算机犯罪的形式
---------------------------------------------------------------
• 数据欺骗
非法篡改输入/输出数据获取个人利益,是最普 通最常见的计算机犯罪活动。发生在金融系统 的此种计算机犯罪多为内外勾结,串通作案,由 内部人员修改数据,外部人员提取钱款。
计算机取证技术
北京大学计算机系 刘欣
课程内容
-----------------------------
• 课题背景 • 计算机犯罪简述 • 计算机取证概念、原则与步骤 • 国外计算机取证应用现状 • 国内计算机取证应用现状 • 取证过程与方法 • 展望
第九讲信息安全审计
信息安全审计数据源
2 基于网络的数据源
随着基于网络入侵检测的日益流行,基于网络的安全审计也成为安全审计 发展的流行趋势,而基于网络的安全审计系统所采用的输入数据即网络中 传输的数据。 采用网络数据具有以下优势: (1)通过网络被动监听的方式获取网络数据包,作为安全审计系统的输入数 据,不会对目标监控系统的运行性能产生任何影响,而且通常无需改变原 有的结构和工作方式。 (2)嗅探模块在工作时,可以采用对网络用户透明的模式,降低了其本身受 到攻击的概率。 (3)基于网络数据的输入信息源,可以发现许多基于主机数据源所无法发现 的攻击手段,例如基于网络协议的漏洞发掘过程,或是发送畸形网络数据 包和大量误用数据包的DOS攻击等。 (4)网络数据包的标准化程度,比主机数据源来说要高得多,
信息安全审计流程
1 策略定义
安全审计应在一定的审计策略下进行,审计策略规定哪些信息需要采集、哪 些事件是危险事件、以及对这些事件应如何处理等。因而审计前应制定一定 的审计策略,并下发到各审计单元。在事件处理结束后,应根据对事件的分 析处理结果来检查策略的合理性,必要时应调整审计策略。
2 事件采集
包含以下行为: a)按照预定的审计策略对客体进行相关审计事件采集。形成的结果交由事件 后续的各阶段来处理; b)将事件其他各阶段提交的审计策略分发至各审计代理,审计代理依据策略 进行客体事件采集。
带有学习能力的数据挖掘方法己经在一些安全审计系统中得 到了应用,它的主要思想是从系统使用或网络通信的“正常”数 据中发现系统的“正常”运行模式,并和常规的一些攻击规则库 进行关联分析,并用以检测系统攻击行为。
信息安全审计分析方法
4 其它安全审计方法
安全审计是根据收集到的关于己发生事件的各种数据来发现 系统漏洞和入侵行为,能为追究造成系统危害的人员责任提供证 据,是一种事后监督行为。入侵检测是在事件发生前或攻击事件 正在发生过程中,利用观测到的数据,发现攻击行为。两者的目 的都是发现系统入侵行为,只是入侵检测要求有更高的实时性, 因而安全审计与入侵检测两者在分析方法上有很大的相似之处, 入侵检测分析方法多能应用与安全审计。
计算机审计(审计采集分析)笔记
计算机审计(审计采集分析)笔记第1章计算机数据审计概述1、计算机数据审计是指运用计算机审计技术对被审计单位与财政收支、财务收支有关的计算机信息系统所存储和处理的电子数据进行的审计。
通过对被审计单位的电子数据进行采集、转换、清理、验证和分析,帮助审计人员掌握总体情况,发现审计线索,搜集审计证据,形成审计结论,实现审计目标。
2、计算机数据审计的理论基础计算机数据审计的理论基础是数据式审计模式。
数据式审计模式可以分为两种:一是数据基础审计模式,即以数据为直接对象的审计方式,二是数据式系统基础审计模式,即以系统内部控制测评为基础,通过对电子数据的收集、转换、整理、分析和验证,实现审计目标的方式。
计算机数据审计也是数据审计模式的重要组成部分。
我们也可以将数据式系统基础审计表述为:系统内部控制测评+数据审计。
3、计算机数据审计与计算机信息系统审计区别:(1)审计对象不同;(2)工作侧重点不同;(3)使用的技术方法不同;联系:它们是同一事物的两个方面,不能人为割裂开来。
(1)信息系统是电子数据存储和处理的环境,电子数据不能独立于信息系统存在。
(2)电子数据是信息系统功能的重要体现,离开了电子数据,信息系统的功能无从谈起。
4、计算机数据审计的流程七步流程法:(1)调查阶段;(2)数据采集;(3)数据验证,清理和转换;(4)建立审计中间表;(5)把握总体,选择重点;(6)建模分析;(7)延伸、落实和取证。
(1)调查工作的一般思路:“审计目标—审计内容与重点—审计内容所涉及的信息系统—与信息系统相关的电子数据”。
在数据情况调查过程中,审计人员应当尽量收集齐全相关的技术文档,以便详细了解系统的数据库和数据情况。
(2)数据采集是计算机数据审计的前提和基础。
是在调查阶段提出数据需求的基础上,按照审计目标,采用一定的工具和方法对被审计单位信息系统中的电子数据进行采集的过程。
常用的数据采集策略有3种:一是通过数据接口采集,二是直接复制,三是通过备份文件恢复。
计算机取证技术
算机取证US - CERT概述本文将讨论需要一个有效的实践和计算机取证法律途径,轮廓基本的技术问题,并进一步阅读的参考点。
它推广的想法,主管计算机取证的实践和认识适用的法律是必不可少的,今天的网络组织。
这个题目是非常重要的经理人需要了解如何计算机取证适合作为一个组织的整体计算机安全的战略元素。
网络管理员和其他计算机安全人员需要了解相关的问题计算机取证。
那些工作在公司治理,法律部门,或IT应该找到一个有用的组织范围内的计算机取证概述。
什么是计算机取证?如果您管理或管理信息系统和网络,你应该明白计算机取证。
取证是收集利用科学知识的过程中,分析,并提出证据向法院提起诉讼。
(字取证手段“带来法庭。
“)取证主要涉及恢复和潜在的证据的分析。
潜在的证据,可以采取多种形式,从一个窗口到DNA上留下的指纹证据血迹恢复到硬盘上的文件。
由于计算机取证是一门新的学科,很少有标准化和法院和行业之间的一致性。
因此,尚未正式确认“科学”学科,我们定义为结合的学科,计算机取证法律和计算机科学的元素,从计算机系统中的数据收集和分析,网络,无线通信,和存储设备的方式,是接纳为在法庭上的证据。
为什么是计算机取证的重要吗?添加的能力,实践完善的计算机取证将帮助您确保整体您的网络基础设施的完整性和生存能力。
您可以帮助您的组织如果你认为作为一个新的基本元素是称为的计算机取证“纵深防御”1方法,以网络和计算机安全。
例如,了解计算机取证的法律和技术方面,将帮助您捕获至关重要的信息,如果你的网络被攻破,将帮助你起诉的案件IF入侵者被捕获。
1“纵深防御的原则设计的,多层次的不同类型的保护从不同的厂商提供大幅更好地保护“</cs/generalsecurity/a/aa112103.htm>。
US - CERT,政府组织制作的2008年。
更新2008。
2如果你忽略了计算机取证的做法是很糟糕,会发生什么?你的风险摧毁重要证据或法医证据在法院裁定不予受理。
浅谈信息安全之计算机取证技术
浅谈信息安全之计算机取证技术摘要:计算机取证学属于计算机科学、刑事侦查学和法学的交叉学科,正日益受到各国和科研机构的重视和研究,随着计算机犯罪断网络化和职能化,计算机取证方式由以前的静态取证,渐发展为动态取证,这两种取证方式相互依存,各有侧重。
关键词:计算机;取证学;动态取证;静态取证中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2010) 05-0000-01The Information Security of Computer Collection TechnologyAi Hong1,Zhong Pingfeng2(1.Chongqing Nan’an Power Supply Bureau,Chongqing 400060,China;2.Chongqing CYIT Communication Technology Co.,Ltd,Chongqing 400065,China)Abstract:Computer forensics science is computer science,criminal investigation and law of the cross -discipline is increasingly,subject to the attention of countries and research institutions and research ,with the broken computer crime and functions of networking,computer forensics static method fr om the previous evidence gradually developing to dynamic evidence,both ways of evidence interde pendent,have different emphases.Keyword:Computer Evidence;Collection;Dynamic evidence collection;Static evidence collection一、计算机取证的相关概念计算机取证技术发展不到20年,其中美国取证技术的发展最具有代表。
《计算机取证技术》PPT课件
电子商务中的法律问题
1. 书面形式问题 2. 原件和保存问题 3. 签名问题 4. 电子签名的规则不明确,对电子签名人的行为缺
乏规范,发生纠纷后责任难以认定 5. 电子认证服务提供者的法律低位和法律责任不明
确,行为不规范,认证的合法性难以保证 6. 电子签名的安全性、可靠性没有法律保障,交易
方对电子交易的安全缺乏信心 《中华人民共和国电子签名法》
电子签名法的适用范围
制定电子签名法的主要目的是为了规范电子签名行为 ,确立电子签名的法律效力
电子签名法的主要内容
数据电文、电子签名的法律效力问题,是电子签名 法要解决的首要问题
关于数据电文的法律效力 1. 关于书面形式 2. 关于原件形式要求 3. 关于文件保存要求 4. 关于证据效力
关于电子认证机构的管理
在电子交易过程中,交易双方互不认识,缺乏信任,使 用电子签名时,往往需要由第三方对电子签名人的身份 进行认证,并为其发放证书,为交易双方提供第三方认 证。
《计算机取证技术》PPT课件
本课件PPT仅供学习使用 本课件PPT仅供学习使用 本课件PPT仅供学习使用
学习完毕请自行删除
3.1 法律依据
3.1.1 国际发展 美国 1978年8月《佛罗里达法规》三方面定罪 1996年1月 第二个电信法 1996年10月《国家信息安全法案》 1999年戈尔的保护个人隐私的4个基本准则
《中华人民共和国计算机信息系统安全保 护条例》
计算机信息系统:由计算机及其相关和配套的设备 、设施构成的,按照一定的应用目标和规则对信息 进行采集、加工、存储、传输、检索等处理的人机 系统。
计算机取证的概念、步骤和相关的工具
一、计算机取证的概念、步骤和相关的工具1、计算机取证的概念取证专家Reith Clint Mark认为:计算机取证(computer forensics)可以认为是“从计算机中收集和发现证据的技术和工具”[11]。
实际上,计算机取证就是对于存在于计算机及其相关设备中的证据进行获取、保存、分析和出示。
用于计算机取证的工具必须在计算机取证的任意一个步骤中具有特殊的功能,使得由于这一工具的使用保证了计算机取证工作能够顺利进行并获取到可以被作为证据使用的数据资料。
2、计算机取证的步骤.2.1 保护现场和现场勘查现场勘查是获取证据的第一步,主要是物理证据的获取。
这项工作可为下面的环节打下基础。
包括封存目标计算机系统并避免发生任何的数据破坏或病毒感染,绘制计算机犯罪现场图、网络拓扑图等,在移动或拆卸任何设备之前都要拍照存档,为今后模拟和还原犯罪现场提供直接依据。
在这一阶段使用的工具软件由现场自动绘图软件、检测和自动绘制网络拓扑图软件等组成。
2.2 获取证据证据的获取从本质上说就是从众多的未知和不确定性中找到确定性的东西。
这一步使用的工具一般是具有磁盘镜像、数据恢复、解密、网络数据捕获等功能的取证工具。
2.3 鉴定证据计算机证据的鉴定主要是解决证据的完整性验证和确定其是否符合可采用标准。
计算机取证工作的难点之一是证明取证人员所搜集到的证据没有被修改过。
而计算机获取的证据又恰恰具有易改变和易损毁的特点。
例如,腐蚀、强磁场的作用、人为的破坏等等都会造成原始证据的改变和消失。
所以,取证过程中应注重采取保护证据的措施。
在这一步骤中使用的取证工具包括含有时间戳、数字指纹和软件水印等功能的软件,主要用来确定证据数据的可靠性。
2.4 分析证据这是计算机取证的核心和关键。
证据分析的内容包括:分析计算机的类型、采用的操作系统,是否为多操作系统或有无隐藏的分区;有无可疑外设;有无远程控制、木马程序及当前计算机系统的网络环境。
注意分析过程的开机、关机过程,尽可能避免正在运行的进程数据丢失或存在的不可逆转的删除程序。
安全审计与责任认定技术--数字取证、数字指纹与追踪码
电子取证技术
数据保护技术 数据恢复技术 数据分析技术 数据诱骗技术
9
电子取证过程
取证准备
高技术监控手段、专业人员和软硬件工具 网络陷阱设置和诱捕措施
取证过程
取证环境的勘察和保护 电子证据的确定和收集
证据保管和使用
电子证据的保护、分析、展示 冗余、环境安全、制度性
21
参考文献
[1]许榕生.我国数字取证技术研究的十年回顾[J].计算 机安全,2011,3:17-19.
[2]杨永川,李岩.电子证据取证技术的研究[J].中国人 民公安大学学报,2005,43(43):66-69.
[3]张杰勇,刘守义.数字指纹技术的攻击方法概述[J]. 计算机与信息技术,2008,12:69-71.
安全审计与责任认定技术 --数字取证、数字指纹与追踪码
S311067012 王若松
1
.
Overtime
2
数字取证 反取证 数字指纹 追踪码
Outline
3
电子证据
定义:在计算机或其它数字工具运行过程 中产生的以其记录的内容来证明案件事实 的电磁记录物,是一种介于物证与书证之 何的独立的证据。
11
数据擦除 数据隐藏 数据加密
反取证
12
数字指纹
定义:通过某种算法对数据信息进行综合 计算得到的唯一标识用户身份的序列代码, 利用数字水印技术将其嵌入到数字媒体中。
用途:监管多媒体内容的非授权散布,用 于版权保护。
13
数字指纹
14
数字指纹攻击手段
个人用户攻击 合谋攻击
15
单用户攻击
用户通过对其拥有的数字产品进行各种操 作,以期去掉数字产品中的指纹或者将指 纹转换成其它用户的指纹。
计算机取证技术的
网络犯罪案件的取证分析通常包括收集、保存、检查和分析数据证据,以识别和验证与犯罪活动相关的证据。分 析人员需要具备专业的计算机知识和法律知识,以确保取证过程的合法性和有效性。在分析过程中,常用的工具 包括网络监控软件、反病毒软件、数据恢复工具等。
数据泄露事件的取证分析
总结词
数据泄露事件的取证分析是指对数据泄露事 件进行调查和分析,以确定泄露原因、寻找 责任人,并采取措施防止类似事件再次发生 。
分析涉案行为
01
通过对涉案文件的分析,还原涉案人员的行为,如攻击行为、
数据泄露行为等。
识别攻击者02通过分攻击者的行为特征,识别攻击者的身份信息。
构建攻击路径
03
根据攻击者的行为特征,构建攻击路径,展示攻击者的攻击过
程。
计算机取证的报告阶段
编写取证报告
根据分析结果编写详细的取证报告,包括取证目标、 取证过程、分析结果等。
目的
为司法机关提供证据,协助案件侦破 ,维护社会公正和法律尊严。
计算机取证的重要性
打击犯罪
保障公民权益
计算机取证技术是打击计算机犯罪的 重要手段,通过对电子证据的收集和 分析,可以锁定犯罪嫌疑人,为案件 侦破提供有力支持。
计算机取证技术可以保护公民的隐私 权和财产权,防止个人信息被非法获 取和利用。
现代阶段
现代计算机取证技术已经与大数据、云计算、人工智能等技术相结合,实现了更加高效、 精准的电子证据收集和分析。同时,国际社会也加强了对计算机取证技术的重视和研究, 推动了相关法规和标准的制定和完善。
02
计算机取证的技术和方法
静态取证技术
01
02
03
文件系统分析
通过分析文件系统中的文 件、目录、数据等,提取 有用的证据信息。
浅谈计算机取证技术综述
摘要期末设计论文题目:浅谈计算机取证技术专业:xxx指导老师:xxx班级:xxx学号:xxx学生姓名:xxx时间:xx年xx月xx日摘要随着信息技术的不断发展,人们的生活方式、生产方式、管理方式发生了巨大的变化。
信息技术给人们带来方便的同时,也带来了很大的风险。
以计算机信息系统为犯罪对象和以计算机信息系统为工具的各种新型犯罪活动越来越多。
利用计算机犯罪给国家和人民带来了很大的损失。
惩治利用计算机进行犯罪的不法分子迫在眉睫。
因此,计算机和法学的交叉学科—计算机取证越来越受关注。
计算机取证(Computer Forensics、计算机取证技术、计算机检识、计算机法医学)是指运用计算机辨析技术,对计算机犯罪行为进行分析以确认罪犯及计算机证据,并据此提起诉讼。
也就是针对计算机入侵与犯罪,进行证据获取、保存、分析和出示。
计算机证据指在计算机系统运行过程中产生的以其记录的内容来证明案件事实的电磁记录物。
从技术上而言,计算机取证是一个对受侵计算机系统进行扫描和破解,以对入侵事件进行重建的过程。
可理解为“从计算机上提取证据”即:获取、保存、分析、出示、提供的证据必须可信。
文中介绍了计算机取证的意义,计算机取证的关键技术,计算机入侵,以及计算机取证的新技术—蜜罐,并对一些与计算机取证有关的工具进行了进一步的介绍。
关键词:计算机取证计算机犯罪证据电子取证黑客取证工具II目录目录摘要 (ii)第一章电子证据的特点 (2)1.1容易被更改、删除 (2)1.2无形性 (2)1.3高科技 (2)第二章计算机取证与分析的关键技术分析 (3)2.1文件恢复技术 (3)2.1.1 Windows系统文件恢复的原理 (3)2.1.2 Unix类系统文件恢复的原理 (3)2.2磁盘映像拷贝技术 (4)2.3取证分析技术 (4)第三章计算机取证 (5)3.1计算机取证的步骤 (5)3.2 对计算机黑客入侵证据的搜集 (5)第四章上网痕迹的查找与删除 (6)4.1 ViewUrl的应用 (6)4.2 Eraser介绍 (9)4.2.1 安装Eraser (10)4.2.2 Eraser软件的使用方法 (12)第五章文件恢复 (15)5.1 利用“Renee Undeleter”进行文件恢复 (15)第六章结束语 (19)参考文献 (20)I兴义民族师范学院毕业论文第一章电子证据的特点1.1 容易被更改删除传统证据如书面文件等可以被长时间保存,不易被更改,如被更改很容易被发现,而电子证据很容易被更改、删除。
计算机取证技术
案例一:网络犯罪调查中的计算机取证
涉及技术
数据恢复、网络监控和分析、密码破解等。
案例细节
某黑客组织利用恶意软件攻击企业网络,窃取敏感数 据并勒索赎金。通过计算机取证技术,调查人员成功 恢复了被删除的日志文件,追踪了黑客的IP地址,最 终将犯罪分子绳之以法。
案例二:企业数据泄露事件中的计算机取证
01 总结词
保护现场
对犯罪现场进行保护,确保证据不被破坏或篡改 。
记录现场情况
对现场环境、设备、网络等进行详细记录,以便 后续分析。
收集物证
收集与案件相关的计算机硬件、存储介质、网络 设备等。
数据获取
获取存储数据
从硬盘、闪存盘、移动设备等存储介质中获 取数据。
捕获网络数据
截获网络流量,收集与案件相关的数据包。
展示证据
在法庭上呈现证据,证明犯 罪事实。
报告撰写
1 2
撰写报告
根据取证过程和分析结果,撰写详细的取证报告 。
审核报告
对报告进行审核,确保报告的准确性和完整性。
3
提交报告
将报告提交给相关机构或法庭,作为法律证据。
04
计算机取证工具
EnCase
• 概述:EnCase是一款由Guidance Software开发 的数字取证软件,用于收集、处理、分析和呈现 数字证据。
X-Ways
功能特点
1
支持多种操作系统平台。
2
3
提供强大的数据提取和解析功能。
X-Ways
01
可生成详细的报告和证据展示。
02
支持自动化和手动取证工作流程。
03
应用领域:广泛应用于执法机构、法律部门、安全 机构和私营企业等。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
• 计算机取证在打击计算机和网络犯罪中作用十分关键,它的目的是 要将犯罪者留在计算机中的“痕迹”作为有效的诉讼证据提供给法 庭,以便将犯罪嫌疑人绳之以法。因此,计算机取证是计算机领域 和法学领域的一门交叉科学,被用来解决大量的计算机犯罪和事故, 包括网络入侵、盗用知识产权和网络欺骗等。 • 从技术角度看,计算机取证是分析硬盘、光盘、软盘、Zip磁盘、U盘、 内存缓冲和其它形式的储存介质以发现犯罪证据的过程,即计算机取 证包括了对以磁介质编码信息方式存储的计算机证据的保护、确认、 提取和归档。取证的方法通常是使用软件和工具,按照一些预先定义 的程序,全面地检查计算机系统,以提取和保护有关计算机犯罪的证 据。 • 计算机取证主要是围绕电子证据进行的。多媒体技术的发展,电子证 据综合了文本、图形、图像、动画、音频及视频等多种类型的信息。 电子证据必须是可信、准确、完整、符合法律法规的,是法庭所能够 接受的,具有高科技性、无形性和易破坏性等特点。计算机取证要解 决的重要问题是电子物证如何收集、如何保护、如何分析和如何展示 。
A.用户级审计 用户级审计的内容通常包括用户直接启动的所有命令、用户所有的鉴别 和认证尝试、用户所访问的文件和资源等方面。
按审计数据源分类:日志审计、主机审计和网络审计
A.日志审计
通过SNMP、SYSLOG、OPSEC或者其它的日志接口从各种网络设备、 服务器、用户电脑、数据库、应用系统和网络安全设备中收集日志,进行 统一管理、分析和报警。日志审计以其它审计对象生成的日志为基础 。 B.主机审计 通过在服务器、用户电脑或其它审计对象中安装客户端的方式来进行 审计,可达到审计安全漏洞、审计合法和非法入侵操作、监控上网行 为和内容以及向外拷贝文件行为、监控用户非工作行为等。 C.主动式 和被动式 A. 主动式审计系统对违规的 结果进行主动地响应,包 括强制违规用户退出系统, 关闭相关服务等; 按部署方式分类 :分为集中 式和分布 A.集中式体系结构采用集中 的方法,收集、分析数据 源(网络各主机的原始审 计记录),并对审计数据 进行集中处理。 B.分布式系统结构的安全审 计任务由分布于网络各处 的审计单元协作完成。
电子电子证据提 交技术
物理证据获取技术
• 依据电子证据监测技术,当计算机取证系统监测到 有入侵时,应当立即获取物理证据,它是全部取证 工作的基础,在获取物理证据时最重要的工作是保 证所保存的原始证据不受任何破坏。在调查中应保 证不要改变原始记录;不要在作为证据的计算机上 执行无关的程序;不要给犯罪者销毁证据的机会; 详细记录所有的取证活动;妥善保存得到的物证。
安全事件信息是需要分析的原始信息数据的 统称,它可以是网络中的数据包,也可以是从系统 日志等其它途径得到的信息。事件产生器的作用是 从整个网络环境中获得事件,并向系统的其它模块 提供此事件。事件分析器的作用是分析得到的数据, 并产生分析结果。事件响应单元则是对事件分析结 果做出相应的反应,可以是强制切断TCP连接,也 可以是简单的告警。事件数据库是将分析结果存储 到数据库便于事后审计追踪用 。
第九章
安全审计与计算机取证技术
什么是安全审计技术?
安全审计技术是入侵检测技术的前身,通过分 析事件记录检测并调查试图或已突破系统安全屏 障的非法行为和事件。计算机取证用于提取非法 行为和入侵事件的痕迹,是利用法律手段对计算 机犯罪行为予以制裁的有效途径。作为其它信息 安全防御技术的有力补充,安全审计和和计算机 取证技术是重要的信息安全技术,是震慑和打击 计算机犯罪的重要手段。
• 物理证据的获取是比较困难的工作,这是由于证据存在的范围很广,而且 很不稳定:电子数据证据可能存在于系统日志、数据文件、寄存器、交换 区、隐藏文件、空闲的磁盘空间、打印机缓存、网络数据区、记数器、用 户进程存储区、堆栈、文件缓冲区和文件系统本身等不同位置。常用的数 据获取技术包括:对计算机系统和文件的安全获取技术,避免对原始介质 进行任何破坏和干扰;对数据和软件的安全搜集技术:对磁盘或其它存储 介质的安全无损伤备份技术;对已删除文件的恢复、重建技术;对磁盘空 间、未分配空间和自由空间中包含的信息的发掘技术;对交换文件、缓存 文件、临时文件中包含的信息的复原技术;计算机在某一特定时刻活动内 存中的数据的搜集技术;网络流动数据的获取技术,如 Windows平台上的 sniffer工具:netxray和 sniffer pro软件, Linux平台下的TCP Dump根据 使用者的定义对网络上的数据包进行截获的包分析工具等。
B. 被动式只是对审计出的异 常进行报警。
按审计对象分类 :系统级审计、应用级审计和用户级审计
A.系统级的审计是操作系统的审计、设备的审计与网络应用的审计的总称. 主要是利用计算机操作系统和网络操作系统的审计功能记录主机和网络上发生 的所有事件.
B.应用级审计 操作系统的审计无法审计到用户在有些数据库系统和一些专用办公系统内的行为。 对这些系统的审计要依靠专门的审计软件。如对于数据库系统,审计的主要任 务是对应用程序或用户使用资源的情况进行记录和审查,以保证数据的安全。
通过旁路和串接的方式实现网络数据包的捕获,进行协议分析和还原, 达到审计服务器、用户电脑、数据库、应用系统的审计安全漏洞、合法 和非法入侵操作、监控上网行为和内容、监控用户非工作行为等目的。
二.安全审计的系统模型
典型的安全审计系统由事件产生器、事件分析器、事件数据库以及响应单 元等四部分组成,通用的安全审计系统模型如下图。
• 依据法律程序,以法庭可接受的证据形式提交电子证 据及相应的文档说明。把对目标计算机系统的全面分 析和追踪结果进行汇总,然后给出分析结论,这一结 论的内容应包括:系统的整体情况,发现的文件结构、 数据、作者的信息,对信息的任何隐藏、删除、保护、 加密企图,以及在调查中发现的其它的相关信息。标 明提取时间、地点、机器、提取人及见证人。然后以 证据的形式按照合法的程序提交给司法机关。
1.计算机取证关键技术
电子证据监测技术
• 电于数据的监测技术就是要监测各类系统设备以及存 储介质中的电子数据,分析是否存在可作为证据的电 子数据,涉及到的技术大体有事件、犯罪监测、异常 监测(Anomalous Detection)、审计日志分析等。
电子证据收集和保 全技术
• 电子证据收集技术是指遵照授权的方法,使用授权的软 硬件设备,收集作为电子证据的数据,并对数据进行一 些预处理,然后完整安全地将数据从目标机器转移到取 证设备上。保全技术则是指对电子证据及整套的取证机 制进行保护。电子证据的收集和保全需要使用无损压缩、 数据裁减和恢复、数据加密、数字摘要、数字签名以及 数字证书等技术。