信息安全技术（HCIA-Security） 教案 第14次课-电子取证网络安全应急响应.doc

教案 《HCNA-Security实现与管理》

授课周次与课时：第13周第53-56课时累计4课时

课程名称：HCNA-Security实现与管理

授课课题：电子取证、网络安全应急响应

教学目标：

了解电子取证的过程

了解电子取证的技术原理

掌握使用电子取证的相关工具

掌握电子取证的过程

了解网络安全应急响应的产生背景

了解网络安全应急响应的新趋势

掌握网络安全应急响应的处理流程

教学要点：

1.教学重点：电子取证技术原理

2.教学难点：网络安全应急响应处理流程

课型：理实一体课

教学与学法（教具）：多媒体

教学过程

【新课引入/温故知新】

随着信息技术的不断发展，计算机越来越多地参与到人们的工作与生活中。与计算机相关的法庭案例，如电子商务纠纷、计算机犯罪等也不断出现。判定或处置各类纠纷和刑事案件过程中，一种新的证据形式——电子证据，逐渐成为新的诉讼证据之一。电子证据本身和取证过程的许多有别于传统物证和取证方法的特点，对司法和计算机科学领域都提出了新的研究课题。

【新课讲授】

1电子取证概览

1.1计算机犯罪

行为人违反国家规定，故意侵入计算机信息系统，或者利用各种技术手段对计算机信息系统的功能及有关数据、应用程序等进行破坏；制作、传播计算机病毒；影响计算机系统正常运行且造成严重后果的行为。

计算机犯罪无外乎以下两种方式：利用计算机存储有关犯罪活动的信息；直接利用计算机作为犯罪工具进行犯罪活动。

1.2电子取证

安全运营涉及方方面面的要求，如图1所示为安全运营的基本运营条件：电子证据（ElectronicEvidence）是指在计算机或计算机系统运行过程中产生的，以其记录的内容来证明案件事实的电磁记录物，如图1所示。

电子证据亦称为数字证据、计算机证据等。

图1安全运营基本条件

1.3电子证据来源

司法实践中常见的电子证据可分为三类，如图2所示：

与现代通信技术有关的电子证据；

与广播技术、电视技术、电影技术等其他现代信息技术有关的电子证据；

与计算机技术或网络技术有关的电子证据。

图2电子证据来源

1.4电子证据特点

图3电子证据特点

2电子证据来源

2.1取证原则

图4取证原则

2.2保护现场

根据电子证据的特点，在进行计算机取证时，首先要尽早搜集证据，并保证其没有受到任何破坏。取证工作一般按照如图5所示的步骤进行。

图5业务连续性基本步骤

2.3获取证据

搜索目标系统中的所有文件。包括现存的正常文件，已经被删除但仍存在于磁盘上（即还没有被新文件覆盖）的文件，隐藏文件，受到密码保护的文件和加密文件。

2.4保全证据

取证过程中避免出现任何更改系统设置、损坏硬件、破坏数据或病毒感染的情况，确保证据出示时仍是初始状态，如图6所示。

图6调查取证

2.5鉴定证据

解决证据的完整性验证和确定其是否符合可采用标准，如图7所示。

图7证据鉴定标准

电子数据司法鉴定是一种提取、保全、检验分析电子数据证据的专门措施。也是一种审查和判断电子数据证据的专门措施。它主要包括电子数据证据内容一致性的认定、对各类电子设备或存储介质所存储数据内容的认定、对各类电子设备或存储介质已删除数据内容的认定、加密文件数据内容的认定、计算机程序功能或系统状况的认定、电子数据证据的真伪及形成过程的认定等。

2.6分析证据

证据分析技术：在已经获取的数据流或信息流中寻找、匹配关键词或关键短语，分析事件的关联性，具体包括：密码破译、数据解密、文件属性分析、数字摘要分析、日志分析技术、反向工程等。

2.7进行跟踪

随着计算机犯罪技术手段的升级，取证已与入侵检测等网络安全工具相结合，进行动态取证，追踪的目的是找到攻击源，攻击源包括：设备来源、软件来源、IP地址来源等。

?取证追踪技术包括：日志分析、操作系统日志、防火墙日志、应用软件日志等。

?设置陷阱（蜜罐）：可以通过采用相关的设备跟踪捕捉犯罪嫌疑人。

2.8出示证据

将证据标明提取时间、地点、设备、提取人及见证人，然后以可见的形式按照合法的程序提交给司法机关，并提供完整的监督链。

3网络基础设备

3.1网络安全应急响应的产生

1988年11月发生的莫里斯蠕虫病毒事件（MorrisWormIncident）致使当时的互联网络超过10%的系统不能工作。该案件轰动了全世界，并且在计算机科学界引起了强烈的反响。

为此，1989年，美国国防部高级研究计划署资助卡内基·梅隆大学建立了世界上第一个计算机紧急响应小组（ComputerEmergencyResponseTeam，简称CERT）及协调中心（CERT/CC）。

此外，中国还成立了一些专业性的应急组织，如国家计算机网络入侵防范中心、国家863计划法计算机入侵和防病毒研究中心等。并且许多公司也都展开了网络安全救援相关