网络防御技术.ppt

,第3章 网络防御技术,指导教师:杨建国,2013年8月10日,3.1 安全架构 3.2 密码技术 3.3 防火墙技术 3.4 杀毒技术 3.5 入侵检测技术 3.6 身份认证技术 3.7 VPN技术 3.8 反侦查技术 3.9 蜜罐技术,第3章 网络防御技术,3.10 可信计算 3.11 访问控制机制 3.12 计算机取证 3.13 数据备份与恢复 3.14 服务器安全防御 3.15 内网安全管理 3.16 PKI网络安全协议 3.17 信息安全评估 3.18 网络安全方案设计,3.12 计算机取证,2019/8/3,网络入侵与防范讲义,4,11.7.2 计算机取证技术,计算机取证的基本概念 计算机取证的一般步骤 计算机取证的常见工具,2019/8/3,网络入侵与防范讲义,5,计算机取证的基本概念,计算机取证是指能对能够为法庭接受的、足够可靠和有说明力的、存在于计算机和相关外设中的电子证据的确认、保护、提取和归档的过程。 它能推动或促进犯罪事件的重构，或者帮助预见有害的未经授权的行为。,2019/8/3,网络入侵与防范讲义,6,计算机取证的基本概念(2),若从一种动态的观点来看，计算机取证可归结为以下几点： 是一门在犯罪进行过程中或之后收集证据的艺术； 需要重构犯罪行为； 将为起诉提供证据； 对计算机网络进行取证尤其困难，且完全依靠所保护的信息的质量。,2019/8/3,网络入侵与防范讲义,7,计算机取证的基本概念(3),从计算机取证的概念可以看出，取证过程主要是围绕电子证据来进行的。 因此，电子证据是计算机取证技术核心，它与传统的不同之处在于它是以电子介质为媒介的。 电子证据往往以多种形式存在：电子文件、图形文件、视频文件、已删除文件（如果没有被覆盖）、隐藏文件、系统文件、光盘、网页和域名等。 而且其作用的领域很广，如证明著作侵权、不正当竞争以及经济诈骗等。,2019/8/3,网络入侵与防范讲义,8,计算机取证的基本概念(4),目前，国内法学界多数学者将电子证据定义为：在计算机或计算机系统运行过程中产生的以其记录的内容来证明案件事实的电磁记录物。 电子证据的存在形式是电磁或电子脉冲，缺乏可见的实体。但是，它同样可以用专用工具和技术来收集和分析，而且有的可以作为直接证据。电子证据和其他种类的证据一样，具有证明案件事实的能力，而且在某些情况下电子证据可能是唯一的证据。 同时，电子证据与其他种类的证据相比，有其自身的特点，表现在：电子证据形式的多样性，存储介质的电子性，准确性，脆弱性和数据的挥发性。,2019/8/3,网络入侵与防范讲义,9,计算机取证的基本概念(5),电子证据和传统证据相比，具有以下优点： (1).可以被精确的复制，这样只需要对副件进行检查分析，避免原件受损坏的风险。 (2).用适当的软件工具和原件相比，很容易鉴别当前的电子证据是否有改变，譬如MD5算法可以认证消息的完整性，数据中的一个比特（bit）的变化就会引起检验结果的很大差异； (3).在一些情况下，犯罪嫌疑人完全销毁电子证据是比较困难的，如计算机中的数据删除后还可以从磁盘中恢复，数据的备份可能会被存储在嫌疑犯意想不到的地方。,2019/8/3,网络入侵与防范讲义,10,计算机取证的一般步骤,由于电子证据的特殊性，计算机取证应遵循一定的基本原则： 尽早搜集证据，并保证其没有受到任何破坏，如销毁或其他破坏方式，也不会被取证程序本身所破坏； 必须保证取证过程中计算机病毒不会被引入目标计算机； 必须保证“证据连续性”（chain of custody），即在证据被正式提交给法庭时必须保证一直能跟踪证据； 整个检查、取证过程必须是受到监督的； 必须保证提取出来的可能有用的证据不会受到机械或电磁损害； 被取证的对象如果必须运行某些商务程序，要确保该程序的运行只能影响一段有限的时间； 在取证过程中，应当尊重不小心获取的任何关于客户代理人的私人信息，不能把这些信息泄露出去。,2019/8/3,网络入侵与防范讲义,11,计算机取证的一般步骤,计算机取证的过程一般可划分为3个阶段：获取、分析和陈述。,2019/8/3,网络入侵与防范讲义,12,获取阶段,获取阶段保存计算机系统的状态，以供日后分析。 这与从犯罪现场拍摄照片、采集指纹、提取血样或轮胎相类似。和自然界里一样，并不知道哪些数据将作为证据，所以这一阶段的任务就是保存所有的电子数据，至少要复制到硬盘上所有已分配和未分配的数据，这就是通常所说的映像。,2019/8/3,网络入侵与防范讲义,13,分析阶段,分析阶段取得已获得的数据，然后分析这些数据确定证据的类型。寻找的证据主要有3种: (1) 使人负罪的证据，支持已知的推测； (2) 辩明无罪的证据，同已知的相矛盾； (3) 篡改证据，此证据本身和任何推测并没有联系，但是可以证明计算机系统已被篡改而无法用来作证。 此阶段包括检查文件和目录内容以及恢复已删除的内容。在这一阶段应该用科学的方法根据已发现的证据推出结论。,2019/8/3,网络入侵与防范讲义,14,陈述阶段,陈述阶段将给出调查所得结论及相应的证据，这一阶段应依据政策法规行事，对不同的机构来采取不同的方式。 比如，在一个企业调查中，听众往往包括普通辩护律师、智囊团和主管人员，可以根据企业的保密法规和公司政策来进行陈述。而在法律机构中，听众往往是法官和陪审团，所以往往需要律师事先评估证据。,2019/8/3,网络入侵与防范讲义,15,八个具体步骤,第1步，在取证检查中，保护目标计算机系统，避免发生任何的改变、伤害、数据破坏或病毒感染。 第2步，搜索目标系统中所有的文件。包括现存的正常文件，已经被删除但仍存在于磁盘上（即还没有被新文件覆盖）的文件，隐藏文件，受到密码保护的文件和加密文件。 第3步，全部（或尽可能）恢复所发现的已删除文件。 第4步，最大程度显示操作系统或应用程序使用的隐藏文件、临时文件和交换文件的内容。,2019/8/3,网络入侵与防范讲义,16,八个具体步骤,第5步，如果可能且法律允许，访问被保护或加密文件的内容。 第6步，分析在磁盘的特殊区域（最典型的是难以访问的区域）中发现的所有相关数据。 第7步，打印对目标计算机系统的全面分析结果，以及所有可能有用的文件和被挖掘出来的文件数据的清单。给出详细的分析结论。 第8步，给出必需的专家证明和/或在法庭上的证词。,2019/8/3,网络入侵与防范讲义,17,计算机取证的常见工具,好的取证工具可以使取证过程更容易。本节对一些常用的计算机取证工具作简单介绍。 Encase SafeBack NetMonitor,2019/8/3,网络入侵与防范讲义,18,Encase,Guidance Software是计算机取证工具的主要开发商之一，它的客户包括美国国防部、美国财政部以及世界5大会计公司。 Guidance Software的Encase软件在运行时能建立一个独立的硬盘镜像，而它的FastBloc工具则能从物理层阻止操作系统向硬盘上写数据。 Encase软件包括Encase取证版解决方案和Encase企业版解决方案。,2019/8/3,网络入侵与防范讲义,19,Encase取证版解决方案,Encase取证版解决方案是国际领先的受法院认可的计算机取证的工具。 它具有直观的图形用户界面，使用户能方便地管理大量的电子证据和查看所有相关的文件，包括“已删除的”文件、文件碎片和未分配的磁盘空间。,2019/8/3,网络入侵与防范讲义,20,Encase企业版解决方案,Encase企业版解决方案（Encase Enterprise Edition，简称EEE）是世界上第一个可有效执行远程企业紧急事件响应（Response）、审计（Audit）和发现（Discovery）任务的解决方案。计算机紧急事件响应工作组（CERT）和计算机调查员可以利用EEE即时通过局域网或广域网识别、预览、获取和分析远程的电子媒介。,2019/8/3,网络入侵与防范讲义,21,SafeBack,SafeBack是颇具有历史意义的电子证据保护工具，它是世界上惟一的处理电子证据的工业标准，也是目前世界上许多政府部门选择的工具。 它的主要用途是保护计算机硬盘驱动器上的电子证据，也可以用来复制计算机硬盘驱动上的所有存储区域。,2019/8/3,网络入侵与防范讲义,22,NetMonitor,NetMonitor网络信息监控与取证系统是针对Internet开发的网络内容监控系统，它能够记录网络上的全部底层报文，监控流经网络的全部信息流，提供WWW、TELNET、FTP、SMTP、POP3和UDP等应用的报文重组，可根据用户特定需求实现对其他应用的分析和重组，是网络管理员和安全员监测黑客攻击、维护网络安全运行的有力助手，是保证金融系统网络、ISP网络和企业内部网络等不可缺少的安全工具。,