ch5审计取证等其他安全相关环境.pptxVIP

Ch5 其他安全相关技术主要内容安全审计取证技术安全测试安全编码安全审计基本知识安全审计就是对有关操作系统、系统应用或用户活动所产生的一系列有关安全的活动进行记录、检查及审核。管理员采用审计系统来监控系统的状态和活动，并对日志文件进行分析、及时发现系统中存在的安全问题。基本知识安全审计的范围较广，可覆盖桌面系统、网络、各类服务器，可涉及用户的各类网络行为与数据内容（浏览网页、访问论坛空间、发表言论、传输文件、发送电子邮件等等）、数据和文件的访问操作行为与内容、数据库的操作和访问行为与内容等等诸多方面和层次。安全审计中检查的内容包括审计事件类型；事件安全级；引用事件的用户；报警；指定时间内的事件以及恶意用户表等。基本知识安全审计的形式人工审计计算机手动分析处理审计记录并与审计人员最后决策相结合的半自动审计依靠专家系统作出判断结果的自动化的智能审计等基本知识审计日志分析技术统计分析Syslog标准与Syslog系统基本知识安全审计系统是安全审计的工具，其通过对安全审计日志的分析和处理来对系统的活动进行检查和审核，即进行安全审计。操作系统安全审计系统数据库安全审计系统网络安全审计系统基本知识安全审计的作用对于已经发生的系统破坏行为，提供有效的追踪证据；为系统管理员提供有价值的系统使用日志，便于及时发现系统入侵行为或潜在的系统漏洞；重建事件；评估损失；监测系统的问题区；发现和阻止系统的不正当使用。应用案例某安全审计系统典型部署（旁路部署模式）应用案例小型网络之精细审计方案 应用案例中型网络之集中审计方案 应用案例某产品大型网络之分级审计方案 取证技术基本知识证据是证明犯罪行为的事实依据，是法律诉讼的重要内容。根据《刑事诉讼法》规定，电子数据属于证据中的一种，是以二进制形式存储和传输的信息。电子证据可能包括罪犯在计算环境中留下的对数据、载体进行访问和操作的任何痕迹与信息。取证是运用计算机及其相关科学技术的原理与方法，获取与计算机相关的电子证据并加以整理分析，以便法庭或调查使用。取证的基本步骤1) 证据的获取2) 位拷贝3) 分析检查4) 取证提交5) 证据存档6) 证据呈供取证须遵守的原则（IOCE）处理电子证据时，必须遵守所有的常规取证步骤、原则。获取电子证据时，必须保证证据的不变性。进行原始证据处理的取证人员应该经过专业培训。所有和电子证据的获取、访问、存储、传送相关的处理都必须完全归档、保存好。个人在拥有和案例相关的电子证据时，应该对其所有在电子证据上所进行的相关操作负有责任。任何代理机构，在负责提取、访问、保存或传送电子证据时都必须遵守这些原则。取证技术证据获取技术磁盘映像技术数据恢复技术网络实时数据获取技术证据分析技术内容分析技术证据鉴定技术数据解密技术反取证技术数据擦除数据隐藏数据加密清除伪造日志取证/反取证工具取证工具国外软件Live View、OpenFilesView、Helix、Wireshark反取证工具磁盘擦除工具Diszapper、隐藏信息的StealthDisk、以隐写术为主的Cloak和数据隐藏工具Invisible Secrets应用案例1：毒品贩卖案子山东XX公安局破获一起重大的毒品贩卖案子，嫌疑已经抓获，得知对方是使用手机短信和QQ联络互相联系。警方缴获了手机30台，便携式计算机3台，台式机计算机15台，并对证据进行安全保存。应用案例2：某单位经济案XX市人民检察院技术处接到案件，要求查找嫌疑人计算机中的财务数据，并分析其数据的关联性。缴获的3台台式机计算机，皆为单独主机，没有网卡和光驱。应用案例3：电话诈骗案某公安局破获一起电话诈骗团伙案，罪犯所用计算机被损毁，硬盘被格式化。5.7 安全测试基本知识这里，安全测试是确认计算环境的安全功能、发现计算环境在部署、配置及软件代码在设计、实现、操作和管理等方面缺陷的过程。安全性测试可分为安全功能测试安全漏洞测试基本知识安全测试流程测试前的准备阶段安全测试执行阶段数据汇总分析阶段基本知识安全测试技术与方法黑盒测试安全审查技术目标识别与分析技术目标漏洞验证技术技术应用应用实例某公司安全测试框架应用实例针对Web应用进行渗透测试安全编码基本知识安全编码是指为了消除或降低软件的安全风险而在编程时所遵循的原则以及所采用的技术手段。基本知识安全编码意识培养1) 将安全性纳入到软件开发过程中2) 像攻击者一样思考3) 安全是一个风险管理问题基本知识安全编码技术内存安全线程进程安全异常处理安全输入安全国际化安全面向对象编程安全Web编程安全安全编码规范技术应用String sqlString = select * from db_user where username=? and password=?;PreparedStatement stmt = connection