第9章安全审计与计算机取证技术论述.pptVIP

三.计算机取证技术 B.电子证据的真实性 安全审计与计算机取证技术 第九章 什么是安全审计技术？ 安全审计技术是入侵检测技术的前身，通过分析事件记录检测并调查试图或已突破系统安全屏障的非法行为和事件。计算机取证用于提取非法行为和入侵事件的痕迹，是利用法律手段对计算机犯罪行为予以制裁的有效途径。作为其它信息安全防御技术的有力补充，安全审计和和计算机取证技术是重要的信息安全技术，是震慑和打击计算机犯罪的重要手段。 一.安全审计的分类 按响应方式分类 ：主动式和被动式 主动式审计系统对违规的结果进行主动地响应，包括强制违规用户退出系统，关闭相关服务等； 被动式只是对审计出的异常进行报警。 按部署方式分类 ：分为集中式和分布 A.集中式体系结构采用集中的方法，收集、分析数据源(网络各主机的原始审计记录)，并对审计数据进行集中处理。 B.分布式系统结构的安全审计任务由分布于网络各处的审计单元协作完成。 A.系统级的审计是操作系统的审计、设备的审计与网络应用的审计的总称. 主要是利用计算机操作系统和网络操作系统的审计功能记录主机和网络上发生 的所有事件. B.应用级审计 操作系统的审计无法审计到用户在有些数据库系统和一些专用办公系统内的行为。 对这些系统的审计要依靠专门的审计软件。如对于数据库系统，审计的主要任 务是对应用程序或用户使用资源的情况进行记录和审查，以保证数据的安全。 A.用户级审计 用户级审计的内容通常包括用户直接启动的所有命令、用户所有的鉴别 和认证尝试、用户所访问的文件和资源等方面。 按审计对象分类 :系统级审计、应用级审计和用户级审计 A.日志审计 通过SNMP、SYSLOG、OPSEC或者其它的日志接口从各种网络设备、服务器、用户电脑、数据库、应用系统和网络安全设备中收集日志，进行统一管理、分析和报警。日志审计以其它审计对象生成的日志为基础 。 B.主机审计 通过在服务器、用户电脑或其它审计对象中安装客户端的方式来进行审计，可达到审计安全漏洞、审计合法和非法入侵操作、监控上网行为和内容以及向外拷贝文件行为、监控用户非工作行为等。 C.网络审计 通过旁路和串接的方式实现网络数据包的捕获，进行协议分析和还原，达到审计服务器、用户电脑、数据库、应用系统的审计安全漏洞、合法和非法入侵操作、监控上网行为和内容、监控用户非工作行为等目的。 按审计数据源分类：日志审计、主机审计和网络审计 二.安全审计的系统模型 典型的安全审计系统由事件产生器、事件分析器、事件数据库以及响应单元等四部分组成，通用的安全审计系统模型如下图。 安全事件信息是需要分析的原始信息数据的统称，它可以是网络中的数据包，也可以是从系统日志等其它途径得到的信息。事件产生器的作用是从整个网络环境中获得事件，并向系统的其它模块提供此事件。事件分析器的作用是分析得到的数据，并产生分析结果。事件响应单元则是对事件分析结果做出相应的反应，可以是强制切断TCP连接，也可以是简单的告警。事件数据库是将分析结果存储到数据库便于事后审计追踪用 。 计算机取证在打击计算机和网络犯罪中作用十分关键，它的目的是要将犯罪者留在计算机中的“痕迹”作为有效的诉讼证据提供给法庭，以便将犯罪嫌疑人绳之以法。因此，计算机取证是计算机领域和法学领域的一门交叉科学，被用来解决大量的计算机犯罪和事故，包括网络入侵、盗用知识产权和网络欺骗等。 从技术角度看，计算机取证是分析硬盘、光盘、软盘、Zip磁盘、U盘、内存缓冲和其它形式的储存介质以发现犯罪证据的过程，即计算机取证包括了对以磁介质编码信息方式存储的计算机证据的保护、确认、提取和归档。取证的方法通常是使用软件和工具，按照一些预先定义的程序，全面地检查计算机系统，以提取和保护有关计算机犯罪的证据。 计算机取证主要是围绕电子证据进行的。多媒体技术的发展，电子证据综合了文本、图形、图像、动画、音频及视频等多种类型的信息。电子证据必须是可信、准确、完整、符合法律法规的，是法庭所能够接受的，具有高科技性、无形性和易破坏性等特点。计算机取证要解决的重要问题是电子物证如何收集、如何保护、如何分析和如何展示 。 电于数据的监测技术就是要监测各类系统设备以及存储介质中的电子数据，分析是否存在可作为证据的电子数据，涉及到的技术大体有事件、犯罪监测、异常监测（Anomalous Detection）、审计日志分析等。 电子证据监测技术 电子证据收集和保全技术 1.计算机取证关键技术 电子证据收集技术是指遵照授权的方法，使用授权的软硬件设备，收集作为电子证据的数据，并对数据进行一些预处理，然后完整安全地将数据从目标机器转移到取证设备上。保全技术则是指对电子证据及整套的取证机制进行保护。电子证据的收集和保全需要使用无损压缩、