第9章安全审计与计算机取证技术概述.

• 计算机取证在打击计算机和网络犯罪中作用十分关键，它的目的是 要将犯罪者留在计算机中的“痕迹”作为有效的诉讼证据提供给法 庭，以便将犯罪嫌疑人绳之以法。因此，计算机取证是计算机领域 和法学领域的一门交叉科学，被用来解决大量的计算机犯罪和事故， 包括网络入侵、盗用知识产权和网络欺骗等。 • 从技术角度看，计算机取证是分析硬盘、光盘、软盘、Zip磁盘、U盘、 内存缓冲和其它形式的储存介质以发现犯罪证据的过程，即计算机取 证包括了对以磁介质编码信息方式存储的计算机证据的保护、确认、 提取和归档。取证的方法通常是使用软件和工具，按照一些预先定义 的程序，全面地检查计算机系统，以提取和保护有关计算机犯罪的证 据。 • 计算机取证主要是围绕电子证据进行的。多媒体技术的发展，电子证 据综合了文本、图形、图像、动画、音频及视频等多种类型的信息。 电子证据必须是可信、准确、完整、符合法律法规的，是法庭所能够 接受的，具有高科技性、无形性和易破坏性等特点。计算机取证要解 决的重要问题是电子物证如何收集、如何保护、如何分析和如何展示 。
1.计算机取证关键技术
电子证据监测技术
• 电于数据的监测技术就是要监测各类系统设备以及存 储介质中的电子数据，分析是否存在可作为证据的电 子数据，涉及到的技术大体有事件、犯罪监测、异常 监测（Anomalous Detection）、审计日志分析等。
电子证据收集和保 全技术
• 电子证据收集技术是指遵照授权的方法，使用授权的软 硬件设备，收集作为电子证据的数据，并对数据进行一 些预处理，然后完整安全地将数据从目标机器转移到取 证设备上。保全技术则是指对电子证据及整套的取证机 制进行保护。电子证据的收集和保全需要使用无损压缩、 数据裁减和恢复、数据加密、数字摘要、数字签名以及 数字证书等技术。
一.安全审计的分类
按响应方式分类 ：主动式 和被动式 A. 主动式审计系统对违规的 结果进行主动地响应，包 括强制违规用户退出系统， 关闭相关服务等； 按部署方式分类 ：分为集中 式和分布 A.集中式体系结构采用集中 的方法，收集、分析数据 源(网络各主机的原始审 计记录)，并对审计数据 进行集中处理。 B.分布式系统结构的安全审 计任务由分布于网络各处 的审计单元协作完成。
安全事件信息是需要分析的原始信息数据的 统称，它可以是网络中的数据包，也可以是从系统 日志等其它途径得到的信息。事件产生器的作用是 从整个网络环境中获得事件，并向系统的其它模块 提供此事件。事件分析器的作用是分析得到的数据， 并产生分析结果。事件响应单元则是对事件分析结 果做出相应的反应，可以是强制切断TCP连接，也 可以是简单的告警。事件数据库是将分析结果存储 到数据库便于事后审计追踪用 。
A.用户级审计 用户级审计的内容通常包括用户直接启动的所有命令、用户所有的鉴别 和认证尝试、用户所访问的文件和资源等方面。
按审பைடு நூலகம்数据源分类：日志审计、主机审计和网络审计
A.日志审计
通过SNMP、SYSLOG、OPSEC或者其它的日志接口从各种网络设备、 服务器、用户电脑、数据库、应用系统和网络安全设备中收集日志，进行 统一管理、分析和报警。日志审计以其它审计对象生成的日志为基础 。 B.主机审计 通过在服务器、用户电脑或其它审计对象中安装客户端的方式来进行 审计，可达到审计安全漏洞、审计合法和非法入侵操作、监控上网行 为和内容以及向外拷贝文件行为、监控用户非工作行为等。 C.网络审计
B. 被动式只是对审计出的异 常进行报警。
按审计对象分类 :系统级审计、应用级审计和用户级审计
A.系统级的审计是操作系统的审计、设备的审计与网络应用的审计的总称. 主要是利用计算机操作系统和网络操作系统的审计功能记录主机和网络上发生 的所有事件.
B.应用级审计 操作系统的审计无法审计到用户在有些数据库系统和一些专用办公系统内的行为。 对这些系统的审计要依靠专门的审计软件。如对于数据库系统，审计的主要任 务是对应用程序或用户使用资源的情况进行记录和审查，以保证数据的安全。
电子电子证据提 交技术
物理证据获取技术
• 依据电子证据监测技术，当计算机取证系统监测到 有入侵时，应当立即获取物理证据，它是全部取证 工作的基础，在获取物理证据时最重要的工作是保 证所保存的原始证据不受任何破坏。在调查中应保 证不要改变原始记录；不要在作为证据的计算机上 执行无关的程序；不要给犯罪者销毁证据的机会； 详细记录所有的取证活动；妥善保存得到的物证。
• 物理证据的获取是比较困难的工作，这是由于证据存在的范围很广，而且 很不稳定：电子数据证据可能存在于系统日志、数据文件、寄存器、交换 区、隐藏文件、空闲的磁盘空间、打印机缓存、网络数据区、记数器、用 户进程存储区、堆栈、文件缓冲区和文件系统本身等不同位置。常用的数 据获取技术包括：对计算机系统和文件的安全获取技术，避免对原始介质 进行任何破坏和干扰；对数据和软件的安全搜集技术：对磁盘或其它存储 介质的安全无损伤备份技术；对已删除文件的恢复、重建技术；对磁盘空 间、未分配空间和自由空间中包含的信息的发掘技术；对交换文件、缓存 文件、临时文件中包含的信息的复原技术；计算机在某一特定时刻活动内 存中的数据的搜集技术；网络流动数据的获取技术，如 Windows平台上的 sniffer工具：netxray和 sniffer pro软件， Linux平台下的TCP Dump根据 使用者的定义对网络上的数据包进行截获的包分析工具等。
• 依据法律程序，以法庭可接受的证据形式提交电子证 据及相应的文档说明。把对目标计算机系统的全面分 析和追踪结果进行汇总，然后给出分析结论，这一结 论的内容应包括：系统的整体情况，发现的文件结构、 数据、作者的信息，对信息的任何隐藏、删除、保护、 加密企图，以及在调查中发现的其它的相关信息。标 明提取时间、地点、机器、提取人及见证人。然后以 证据的形式按照合法的程序提交给司法机关。
通过旁路和串接的方式实现网络数据包的捕获，进行协议分析和还原， 达到审计服务器、用户电脑、数据库、应用系统的审计安全漏洞、合法 和非法入侵操作、监控上网行为和内容、监控用户非工作行为等目的。
二.安全审计的系统模型
典型的安全审计系统由事件产生器、事件分析器、事件数据库以及响应单 元等四部分组成，通用的安全审计系统模型如下图。
第九章
安全审计与计算机取证技术
什么是安全审计技术？
安全审计技术是入侵检测技术的前身，通过分 析事件记录检测并调查试图或已突破系统安全屏 障的非法行为和事件。计算机取证用于提取非法 行为和入侵事件的痕迹，是利用法律手段对计算 机犯罪行为予以制裁的有效途径。作为其它信息 安全防御技术的有力补充，安全审计和和计算机 取证技术是重要的信息安全技术，是震慑和打击 计算机犯罪的重要手段。