《信息系统安全事件响应.ppt》由会员分享,可在线阅读,更多相关《信息系统安全事件响应.ppt(47页珍藏版)》请在金锄头文库上搜索。
1、第第5章章 信息系统安全事件响应信息系统安全事件响应“智者千虑,必有一失智者千虑,必有一失”。尽管已经为信息系统的防护开发了。尽管已经为信息系统的防护开发了许多技术,但是很难没有一点疏漏,何况入侵者也是一些技术许多技术,但是很难没有一点疏漏,何况入侵者也是一些技术高手。高手。系统遭受到一次入侵,就面临一次灾难。这些影响信息系统安系统遭受到一次入侵,就面临一次灾难。这些影响信息系统安全的不正当行为,就称为事件。事件响应,就是事件发生后所全的不正当行为,就称为事件。事件响应,就是事件发生后所采取的措施和行动。信息系统的脆弱,加上入侵技术的不断进采取的措施和行动。信息系统的脆弱,加上入侵技术的不断进
2、化,使得入侵不可避免。因此,遭受灾难后,的系统恢复就成化,使得入侵不可避免。因此,遭受灾难后,的系统恢复就成为一个与防火墙技术、入侵检测技术等同样重要的技术。为一个与防火墙技术、入侵检测技术等同样重要的技术。v1988年,莫里斯蠕虫迅雷不及掩耳之势肆虐互联网,招致年,莫里斯蠕虫迅雷不及掩耳之势肆虐互联网,招致上千台计算机系统的崩溃,造成了以千万美元计的损失。这上千台计算机系统的崩溃,造成了以千万美元计的损失。这突如其来的灾难,给人们敲响了警钟:面队人类对信息系统突如其来的灾难,给人们敲响了警钟:面队人类对信息系统以来程度不断增强,对付入侵不仅需要防御,还要能够在事以来程度不断增强,对付入侵不仅
3、需要防御,还要能够在事件发生后进行紧急处理和援助。件发生后进行紧急处理和援助。1989年,在美国国防部的年,在美国国防部的资助下,资助下,CERT(Computer Emergency Team,计算机紧计算机紧急响应组)急响应组)/CC(Call Center)成立。从此紧急响应被摆到成立。从此紧急响应被摆到了人们的议事桌上。了人们的议事桌上。CERT成立以后,做了大量工作。但最成立以后,做了大量工作。但最大的成就是使紧急响应为人们普遍接受。大的成就是使紧急响应为人们普遍接受。5.1 应急响应应急响应v一般说来,每个使用信息系统的组织都应当有一套紧急响应一般说来,每个使用信息系统的组织都应当
4、有一套紧急响应的机制。这个机制包括两个环节:的机制。这个机制包括两个环节: 应急响应组织;应急响应组织; 紧急预案。紧急预案。5.1.1 应急响应组织应急响应组织v应急响应组织的主要工作有:应急响应组织的主要工作有: 安全事件与软件安全缺陷分析研究;安全事件与软件安全缺陷分析研究; 安全知识库(包括漏洞知识、入侵检测等)开发与管理;安全知识库(包括漏洞知识、入侵检测等)开发与管理; 安全管理和应急知识的教育与培训;安全管理和应急知识的教育与培训; 发布安全信息(如系统漏洞与补丁,病毒警告等);发布安全信息(如系统漏洞与补丁,病毒警告等); 安全事件紧急处理。安全事件紧急处理。v应急响应组织包括
5、应急响应组织包括应急保障领导小组应急保障领导小组和和应急技术保障小组应急技术保障小组。领导小组的主要职责是领导与协调突发事件与自然灾害的应领导小组的主要职责是领导与协调突发事件与自然灾害的应急处理。应急技术保障小组主要解决安全事件的技术问题,急处理。应急技术保障小组主要解决安全事件的技术问题,如物理实体和环境安全技术、网络通信技术、系统平台技术、如物理实体和环境安全技术、网络通信技术、系统平台技术、应用系统技术等。应用系统技术等。5.1.2 紧急预案紧急预案1. 紧急预案及基本内容紧急预案及基本内容v执行紧急预案的人员(姓名、住址、电话号码以及有关执行紧急预案的人员(姓名、住址、电话号码以及有
6、关职能部门的联系方法);职能部门的联系方法);应急预案是指根据不同的突发紧急事件类型和以外情形,预应急预案是指根据不同的突发紧急事件类型和以外情形,预先制定的处理方案。应急预案一般要包括如下内容:先制定的处理方案。应急预案一般要包括如下内容:v系统紧急事件类型及处理措施的详细说明;系统紧急事件类型及处理措施的详细说明;v应急处理的具体步骤和操作顺序。应急处理的具体步骤和操作顺序。2. 常见安全事件常见安全事件v物理实体及环境类安全事件,如意外停电、物理设备丢物理实体及环境类安全事件,如意外停电、物理设备丢失、火灾、水灾等。失、火灾、水灾等。紧急预案要根据安全事件的类型进行对应的处理。下面提供紧
7、急预案要根据安全事件的类型进行对应的处理。下面提供一些常见的安全事件类型供参考:一些常见的安全事件类型供参考:v网络通信类安全事件:如网络蠕虫侵害等。网络通信类安全事件:如网络蠕虫侵害等。v主机系统类安全事件,如计算机病毒、口令丢失等;主机系统类安全事件,如计算机病毒、口令丢失等;v应用系统类安全事件,如客护信息丢失等。应用系统类安全事件,如客护信息丢失等。3. 安全事件处理的基本流程安全事件处理的基本流程(1)安全事件报警)安全事件报警值班人员发现紧急情况,要及时报告。报告要对安全事件进行准确描述值班人员发现紧急情况,要及时报告。报告要对安全事件进行准确描述并作书面记录。按照安全事件的类型,
8、安全事件呈报条例应依次报告:并作书面记录。按照安全事件的类型,安全事件呈报条例应依次报告:一、值班人员,二、应急工作组长,三、应急领导小组。如果想进行任一、值班人员,二、应急工作组长,三、应急领导小组。如果想进行任何类型的跟踪调查或者起诉入侵者,应先跟管理人员和法律顾问商量,何类型的跟踪调查或者起诉入侵者,应先跟管理人员和法律顾问商量,然后通知有关执法机构。一定要记住,除非执法部门的参与,否则对入然后通知有关执法机构。一定要记住,除非执法部门的参与,否则对入侵者进行的一切跟踪都可能是非法的。侵者进行的一切跟踪都可能是非法的。同时,还应通知有关人员,交换相关信息,必要时可以获得援助;同时,还应通
9、知有关人员,交换相关信息,必要时可以获得援助;安全事件处理的基本流程(续)安全事件处理的基本流程(续)(2)安全事件确认)安全事件确认确定安全事件的类型,以便启动相应的预案。确定安全事件的类型,以便启动相应的预案。(3)启动紧急预案)启动紧急预案(a)首先要能够找到紧急预案。首先要能够找到紧急预案。(b)保护现场证据(如系统事件、处理者采取的行动、与外界的沟通等)保护现场证据(如系统事件、处理者采取的行动、与外界的沟通等),避免灾害扩大;,避免灾害扩大;安全事件处理的基本流程(续)安全事件处理的基本流程(续)(4)恢复系统)恢复系统(a)安装干净的操作系统版本。建议使用干净的备份程序备份整个系
10、统安装干净的操作系统版本。建议使用干净的备份程序备份整个系统,然后然后重装系统。重装系统。(b)取消不必要的服务。只配置系统要提供的服务,取消那些没有必要的服务。取消不必要的服务。只配置系统要提供的服务,取消那些没有必要的服务。检查并确信其配置文件没有脆弱性以及该服务是否可靠。检查并确信其配置文件没有脆弱性以及该服务是否可靠。(c)安装供应商提供的所有补丁。建议安装所有的安全补丁,使系统能够抵御安装供应商提供的所有补丁。建议安装所有的安全补丁,使系统能够抵御外来攻击,不被再次侵入,这是最重要的一步。外来攻击,不被再次侵入,这是最重要的一步。(d)查阅查阅CERT的安全建议、安全总结和供应商的安
11、全提示的安全建议、安全总结和供应商的安全提示 CERT安全建议:安全建议:http:/www.cert.org/advisories/ CERT安全总结:安全总结:http:/www.cert.org/advisories/ 供应商安全提示:供应商安全提示:ftp:/ftp.cert.org/pub/cert_bulletins/ (e)谨慎使用备份数据谨慎使用备份数据 。在从备份中恢复数据时,要确信备份主机没有被侵入。在从备份中恢复数据时,要确信备份主机没有被侵入。一定要记住,恢复过程可能会重新带来安全缺陷,被入侵者利用。例如恢复用一定要记住,恢复过程可能会重新带来安全缺陷,被入侵者利用。例
12、如恢复用户的户的home目录以及数据文件中,以及用户起始目录下的目录以及数据文件中,以及用户起始目录下的.rhost文件中,也许藏文件中,也许藏有特洛伊木马程序。有特洛伊木马程序。(f)改变密码。在弥补了安全漏洞或者解决了配置问题以后,建议改变系统中改变密码。在弥补了安全漏洞或者解决了配置问题以后,建议改变系统中所有账户的密码。所有账户的密码。安全事件处理的基本流程(续)安全事件处理的基本流程(续)(5)加强系统和网络的安全)加强系统和网络的安全(a)根据根据CERT的的UNIX/NT配置指南检查系统的安全性。配置指南检查系统的安全性。CERT的的UNIX/NT配置指南可以帮助你检查系统中容易
13、被入侵者利用的配置问题。配置指南可以帮助你检查系统中容易被入侵者利用的配置问题。http:/www.cert.org/tech_tips/unix_configuration_guidelines.htmlhttp:/www.cert.org/tech_tips/win_configuration_guidelines.html 查阅安全工具文档可以参考查阅安全工具文档可以参考http:/www.cert.org/tech_tips/security_tools.html(b)安装安全工具。在将系统连接到网络上之前,一定要安装所有选择的安全工具。安装安全工具。在将系统连接到网络上之前,一定要安
14、装所有选择的安全工具。同时,最好使用同时,最好使用Tripwire、aide等工具对系统文件进行等工具对系统文件进行MD5校验,把校验码放到安全校验,把校验码放到安全的地方,以便以后对系统进行检查。的地方,以便以后对系统进行检查。(c)打开日志。启动日志打开日志。启动日志(logging)/检查检查(auditing)/记账记账(accounting)程序,将它程序,将它们设置到准确的级别,例如们设置到准确的级别,例如sendmail日志应该是日志应该是9级或者更高。级或者更高。要经常备份日志文件,或者将日志写到另外的机器、一个只能增加的文件系统或者一要经常备份日志文件,或者将日志写到另外的机
15、器、一个只能增加的文件系统或者一个安全的日志主机。个安全的日志主机。(d)配置防火墙对网络进行防御。可以参考:配置防火墙对网络进行防御。可以参考:http:/www.cert.org/tech_tips/packet_filtering.html (e)重新连接到重新连接到Internet。全完成以上步骤以后,就可以把系统连接回全完成以上步骤以后,就可以把系统连接回Internet了。了。应当注意,安全事件处理工作复杂,责任重大,至少应有两人参加。应当注意,安全事件处理工作复杂,责任重大,至少应有两人参加。安全事件处理的基本流程(续)安全事件处理的基本流程(续)(6)应急工作总结)应急工作总结
16、召开会议,分析问题和解决方法,参考召开会议,分析问题和解决方法,参考ftp:/ftp.isi.edu/in-notes/rfc2196.txt(a)总结教训。从记录中总结出对于这起事故的教训,这有助于你检讨自总结教训。从记录中总结出对于这起事故的教训,这有助于你检讨自己的安全策略。己的安全策略。(b)计算事件的代价。计算事件代价有助于让组织认识到安全的重要性。计算事件的代价。计算事件代价有助于让组织认识到安全的重要性。(c)改进安全策略。改进安全策略。安全事件处理的基本流程(续)安全事件处理的基本流程(续)(7)撰写安全事件报告)撰写安全事件报告安全事件报告的内容包括:安全事件报告的内容包括:
17、 安全事件发生的日期、时间;安全事件发生的日期、时间; 安全事件处理参加的人员;安全事件处理参加的人员; 事件发现的途径;事件发现的途径; 事件类型;事件类型; 事件涉及范围;事件涉及范围; 现场记录;现场记录; 事件导致的损失和影响;事件导致的损失和影响; 事件处理过程事件处理过程 使用的技术和工具;使用的技术和工具; 经验和教训。经验和教训。5.1.3 灾难恢复灾难恢复v与高层管理人员协商;与高层管理人员协商;v夺回系统控制权;夺回系统控制权;v入侵评估:分析入侵途径,检查入侵对系统的损害;入侵评估:分析入侵途径,检查入侵对系统的损害;v清除入侵者留下的后门;清除入侵者留下的后门;v恢复系
18、统。恢复系统。灾难恢复是安全事件应急预案中特别重要的部分。灾难恢复是安全事件应急预案中特别重要的部分。从发现入侵的那刻起就围绕它进行,并且应当包括从发现入侵的那刻起就围绕它进行,并且应当包括如下几项内容:如下几项内容:1. 与高层人员协商与高层人员协商系统恢复的步骤应当符合组织的安全预案。如果安全预案中没有描述,应系统恢复的步骤应当符合组织的安全预案。如果安全预案中没有描述,应当与管理人员协商,以便能从更高角度进行判断,并得到更多部门的支持当与管理人员协商,以便能从更高角度进行判断,并得到更多部门的支持和配合。和配合。2. 夺回系统控制权夺回系统控制权为了夺回对被入侵系统的控制权,需要将入侵其
19、从网络上断开,包括播号为了夺回对被入侵系统的控制权,需要将入侵其从网络上断开,包括播号连接。如果在恢复过程中,没有断开被侵入系统和网络的连接,入侵者就连接。如果在恢复过程中,没有断开被侵入系统和网络的连接,入侵者就可能破坏所进行恢复工作。可能破坏所进行恢复工作。进行系统恢复也会丢失一些有用信息,如入侵者正在使用的扫描程序或监进行系统恢复也会丢失一些有用信息,如入侵者正在使用的扫描程序或监听进程。因此想要继续追踪入侵者时,可以不采取这样的措施,以免被入听进程。因此想要继续追踪入侵者时,可以不采取这样的措施,以免被入侵者发现。但是,也要采取其他一些措施,避免入侵蔓延。侵者发现。但是,也要采取其他一
20、些措施,避免入侵蔓延。3. 复制一份被侵入系统的映像复制一份被侵入系统的映像 在进行入侵分析之前,最好对被入侵系统进行备份(如使用在进行入侵分析之前,最好对被入侵系统进行备份(如使用UNIX命令命令dd)。)。这个备份在恢复失败是非常有用。这个备份在恢复失败是非常有用。4. 入侵评估入侵评估入侵评估包括入侵风险评估、入侵路径分析、入侵类型确定和入侵涉及范围入侵评估包括入侵风险评估、入侵路径分析、入侵类型确定和入侵涉及范围调查。下面介绍围绕这些工作进行的调查工作。调查。下面介绍围绕这些工作进行的调查工作。(1)详细审查系统日志文件和显示器输出,检查异常现象。)详细审查系统日志文件和显示器输出,检
21、查异常现象。(2)入侵者遗留物分析。包括)入侵者遗留物分析。包括 检查入侵者对系统文件和配置文件的修改;检查入侵者对系统文件和配置文件的修改; 检查被修改的数据检查被修改的数据 检查入侵者留下的工具和数据检查入侵者留下的工具和数据 检查网络监听工具检查网络监听工具(3)其他,如网络的周遍环境和涉及的远程站点。)其他,如网络的周遍环境和涉及的远程站点。5. 清除后门清除后门后门是入侵者为下次攻击打下的埋伏,包括修改了的配置文件、后门是入侵者为下次攻击打下的埋伏,包括修改了的配置文件、系统木马程序、修改了的系统内核等。系统木马程序、修改了的系统内核等。6. 记录恢复过程中所有的步骤记录恢复过程中所
22、有的步骤 毫不夸张地讲,记录恢复过程中采取的每一步措施,是非常重毫不夸张地讲,记录恢复过程中采取的每一步措施,是非常重要的。恢复一个被侵入的系统是一件很麻烦的事,要耗费大量要的。恢复一个被侵入的系统是一件很麻烦的事,要耗费大量的时间,因此经常会使人作出一些草率的决定。记录自己所做的时间,因此经常会使人作出一些草率的决定。记录自己所做的每一步可以帮助你避免作出草率的决定,还可以留作以后的的每一步可以帮助你避免作出草率的决定,还可以留作以后的参考,也还可能对法律调查提供帮助。参考,也还可能对法律调查提供帮助。7. 系统恢复系统恢复各种安全事件预案的执行都是为了使系统在事故后得以迅速恢复。对于服务器
23、和数据各种安全事件预案的执行都是为了使系统在事故后得以迅速恢复。对于服务器和数据库等系统特别重要设备,则需要单独订立紧急恢复预案。库等系统特别重要设备,则需要单独订立紧急恢复预案。(1)服务器的恢复)服务器的恢复一旦服务器因故障完全停止运行,常规的恢复方法是在一个新的硬件平台上重建。步一旦服务器因故障完全停止运行,常规的恢复方法是在一个新的硬件平台上重建。步骤如下:骤如下:a)安装服务器操作系统;安装服务器操作系统;b)安装所有需要的驱动程序;安装所有需要的驱动程序;c)安装所有需要的服务软件包;安装所有需要的服务软件包;d)安装所有需要的流行修补程序和安全修补程序;安装所有需要的流行修补程序
24、和安全修补程序;e)安装备份软件;安装备份软件;f)安装备份软件需要的修补程序;安装备份软件需要的修补程序;g)恢复最后一次完全备份磁带;恢复最后一次完全备份磁带;h)恢复所有增量备份或差异备份磁带。恢复所有增量备份或差异备份磁带。显然,用手工进行服务器的恢复是非常麻烦的。如果能设计一种专门的软件包,可以显然,用手工进行服务器的恢复是非常麻烦的。如果能设计一种专门的软件包,可以生成存有服务器镜像文件的启动盘,来恢复服务器,就便利多了。生成存有服务器镜像文件的启动盘,来恢复服务器,就便利多了。7. 系统恢复系统恢复(2)数据库系统的恢复)数据库系统的恢复数据库恢复的目的是在足够备份的基础上,使数
25、据库尽快恢复到正常。其中数据库恢复的目的是在足够备份的基础上,使数据库尽快恢复到正常。其中包括:包括:a)数据文件恢复:把备份文件恢复到原来位置。数据文件恢复:把备份文件恢复到原来位置。b)控制文件恢复:控制文件受损时,要将其恢复到原位重新启动。控制文件恢复:控制文件受损时,要将其恢复到原位重新启动。c)文件系统恢复:在大型操作系统中,可能会因介质受损,导致文文件系统恢复:在大型操作系统中,可能会因介质受损,导致文件系统被破坏。其恢复步骤为:件系统被破坏。其恢复步骤为: 将介质重新初始化;将介质重新初始化; 重新创建文件系统;重新创建文件系统; 利用备份完整地恢复数据库中的数据;利用备份完整地
26、恢复数据库中的数据; 启动数据库系统。启动数据库系统。5.2 数据容错、数据容灾和数据备份数据容错、数据容灾和数据备份v信息系统是脆弱的,它的可靠性不断遭受者威胁。为了保证系统的可靠性,信息系统是脆弱的,它的可靠性不断遭受者威胁。为了保证系统的可靠性,经过长期摸索,人们总结出了三条途径:经过长期摸索,人们总结出了三条途径:避错、纠错和容错避错、纠错和容错。避错是完善。避错是完善设计和制造,试图构造一个不会发生故障的系统。但是,这是不太现实的。设计和制造,试图构造一个不会发生故障的系统。但是,这是不太现实的。任何一个系统总会有纰漏。因此,人们不得不用纠错作为避错的补充。一任何一个系统总会有纰漏。
27、因此,人们不得不用纠错作为避错的补充。一旦系统出现故障,可以通过检测和核实来消除,在进行系统的恢复。旦系统出现故障,可以通过检测和核实来消除,在进行系统的恢复。v容错是第三条途径。其基本思想是,即使出现错误,系统也还能执行一组容错是第三条途径。其基本思想是,即使出现错误,系统也还能执行一组规定的程序。或者说,程序不会因为系统中的故障而中断或被修改,并且规定的程序。或者说,程序不会因为系统中的故障而中断或被修改,并且故障也不引起执行结果的差错。或者简单地说,容错就是系统可以抵抗错故障也不引起执行结果的差错。或者简单地说,容错就是系统可以抵抗错误的能力。误的能力。v容灾是针对灾害而言的。灾害对系统
28、危害要比错误要大、要严重。容灾是针对灾害而言的。灾害对系统危害要比错误要大、要严重。v从保护数据的安全性出发,数据备份是数据容错、数据容灾以及数据恢复从保护数据的安全性出发,数据备份是数据容错、数据容灾以及数据恢复的重要保障。的重要保障。5.2.1 数据容错系统与基本技术数据容错系统与基本技术1. 容错系统分类容错系统分类根据容错系统的应用环境,可以将容错系统分为如下根据容错系统的应用环境,可以将容错系统分为如下5种类型。种类型。v(1)高可用度系统)高可用度系统可用度用系统在某时刻可以运行的概率衡量。高可用度系统面向通用计可用度用系统在某时刻可以运行的概率衡量。高可用度系统面向通用计算机系统
29、,用于执行各种无法预测的用户程序,主要面向商业市场。算机系统,用于执行各种无法预测的用户程序,主要面向商业市场。v(2)长寿命系统)长寿命系统长寿命系统在其生命期中不能进行人工维修,常用于航天系统中。它实长寿命系统在其生命期中不能进行人工维修,常用于航天系统中。它实际上也是一种容灾系统。际上也是一种容灾系统。v(3)延迟维修系统)延迟维修系统这也是一种容灾系统,用于航空等在一定阶段不能进行维修的场合。这也是一种容灾系统,用于航空等在一定阶段不能进行维修的场合。v(4)高性能系统)高性能系统这类系统对于故障(瞬时或永久)都非常敏感,应当具有瞬时故障的自这类系统对于故障(瞬时或永久)都非常敏感,应
30、当具有瞬时故障的自动恢复能力,并增加平均无故障时间。动恢复能力,并增加平均无故障时间。v(5)关键任务系统)关键任务系统这类系统出错可能危机人的生命或造成重大经济损失,要求处理正确无这类系统出错可能危机人的生命或造成重大经济损失,要求处理正确无误,而且故障恢复时间要最短。误,而且故障恢复时间要最短。2. 常用数据容错技术常用数据容错技术v(1)“空闲空闲”设备设备“空闲空闲”设备也称双件热备,就是配置两套相同的部件。在正常状态下,设备也称双件热备,就是配置两套相同的部件。在正常状态下,一个运行,另一个空闲。当正常运行的部件出现故障时,原来空闲的一一个运行,另一个空闲。当正常运行的部件出现故障时
31、,原来空闲的一台立即替补。台立即替补。v(2)镜像)镜像镜像是把一份工作交给两个相同的部件同时执行。这样在一个部件出现镜像是把一份工作交给两个相同的部件同时执行。这样在一个部件出现故障时,另一个部件继续工作。故障时,另一个部件继续工作。v(3)复现)复现复现也称延迟镜像。复现与镜像一样需要两个系统,但是它把一个称为复现也称延迟镜像。复现与镜像一样需要两个系统,但是它把一个称为原系统,一个称为辅助系统;辅助系统从原系统中接收数据。与原系统原系统,一个称为辅助系统;辅助系统从原系统中接收数据。与原系统中的数据相比,辅助系统的数据接收存在一定延迟。当原系统出现故障中的数据相比,辅助系统的数据接收存在
32、一定延迟。当原系统出现故障时,辅助系统只能在接近故障点的地方开始工作。与镜像相比,复现同时,辅助系统只能在接近故障点的地方开始工作。与镜像相比,复现同一时间只需管理一套设备。一时间只需管理一套设备。v(4)负载均衡)负载均衡负载均衡就是将一个任务分解成多个子任务,分配给不同的服务器执行,负载均衡就是将一个任务分解成多个子任务,分配给不同的服务器执行,通过减少每个部件的工作量,增加系统的稳定性。通过减少每个部件的工作量,增加系统的稳定性。5.2.2 数据容灾系统与基本技术数据容灾系统与基本技术v真正的数据容灾就是要能在灾难发生时,全面、及时地恢复整个系统。在系统遭受灾害时,使系统还能工作或尽快恢
33、复工作的最基础的工作是数据备份。不论任何一个容灾系统,没有备份的数据,任何容灾方案都没有现实意义。1. 数据容灾等级数据容灾等级从技术上看,衡量数据容灾系统有两个主要指标:从技术上看,衡量数据容灾系统有两个主要指标:RPO(Recovery Point Object)和和RTO(Recovery Time Object),),其中其中RPO代表了当灾难发生代表了当灾难发生时允许丢失的数据量;而时允许丢失的数据量;而RTO则代表了系统恢复的时间。则代表了系统恢复的时间。设计一个容灾备份系统,需要考虑多方面的因素,如备份设计一个容灾备份系统,需要考虑多方面的因素,如备份/恢复数据量大小、恢复数据量
34、大小、应用数据中心和备援数据中心之间的距离和数据传输方式、灾难发生时所应用数据中心和备援数据中心之间的距离和数据传输方式、灾难发生时所要求的恢复速度、备援中心的管理及投入资金等。根据这些因素和不同的要求的恢复速度、备援中心的管理及投入资金等。根据这些因素和不同的应用场合,常见的容灾等级有以下应用场合,常见的容灾等级有以下4个:个:(1)第)第0级:本地备份、本地保存的冷备份级:本地备份、本地保存的冷备份 (2)第)第1级:本地备份、异地保存的冷备份级:本地备份、异地保存的冷备份(3)第)第2级:热备份站点备份级:热备份站点备份(4)第)第3级:活动互援备份级:活动互援备份 2. 异地容灾技术异
35、地容灾技术(1)远程镜像技术)远程镜像技术在建立容灾备份系统时会涉及到多种技术,如:在建立容灾备份系统时会涉及到多种技术,如:SAN或或NAS技术、远程镜像技术、远程镜像技术、虚拟存储、基于技术、虚拟存储、基于IP的的SAN的互连技术、快照技术等。的互连技术、快照技术等。远程镜像技术是在主数据中心和备援中心之间的数据备份时用到。镜像是在两个或多远程镜像技术是在主数据中心和备援中心之间的数据备份时用到。镜像是在两个或多个磁盘或磁盘子系统上产生同一个数据的镜像视图的信息存储过程,一个叫主镜像系个磁盘或磁盘子系统上产生同一个数据的镜像视图的信息存储过程,一个叫主镜像系统,另一个叫从镜像系统。按主从镜
36、像存储系统所处的位置可分为本地镜像和远程镜统,另一个叫从镜像系统。按主从镜像存储系统所处的位置可分为本地镜像和远程镜像。像。远程镜像又叫远程复制,是容灾备份的核心技术,远程镜像又叫远程复制,是容灾备份的核心技术,同时也是保持远程数据同步和实现同时也是保持远程数据同步和实现灾难恢复的基础。远程镜像按请求镜像的主机是否需要远程镜像站点的确认信息,又灾难恢复的基础。远程镜像按请求镜像的主机是否需要远程镜像站点的确认信息,又可分为同步远程镜像和异步远程镜像。可分为同步远程镜像和异步远程镜像。 同步远程镜像(同步复制技术)是指通过远程镜像软件,将本地数据以完全同步的方同步远程镜像(同步复制技术)是指通过
37、远程镜像软件,将本地数据以完全同步的方式复制到异地,每一本地的式复制到异地,每一本地的I/O事务均需等待远程复制的完成确认信息,方予以释放。事务均需等待远程复制的完成确认信息,方予以释放。同步镜像使远程拷贝总能与本地机要求复制的内容相匹配。同步镜像使远程拷贝总能与本地机要求复制的内容相匹配。 异步远程镜像(异步复制技术)保证在更新远程存储视图前完成向本地存储系统的基异步远程镜像(异步复制技术)保证在更新远程存储视图前完成向本地存储系统的基本本I/O操作,而由本地存储系统提供给请求镜像主机的操作,而由本地存储系统提供给请求镜像主机的I/O操作完成确认信息。远程的操作完成确认信息。远程的数据复制是
38、以后台同步的方式进行的,这使本地系统性能受到的影响很小,传输距离数据复制是以后台同步的方式进行的,这使本地系统性能受到的影响很小,传输距离长(可达长(可达1000公里以上),对网络带宽要求小。但是,许多远程的从属存储子系统的公里以上),对网络带宽要求小。但是,许多远程的从属存储子系统的写没有得到确认,当某种因素造成数据传输失败,可能出现数据一致性问题。为了解写没有得到确认,当某种因素造成数据传输失败,可能出现数据一致性问题。为了解决这个问题,目前大多采用延迟复制的技术,即在确保本地数据完好无损后进行远程决这个问题,目前大多采用延迟复制的技术,即在确保本地数据完好无损后进行远程数据更新。数据更新
39、。(2) 快照技术快照技术远程镜像技术往往同快照技术结合起来实现远程备份,即通过镜像把数据备远程镜像技术往往同快照技术结合起来实现远程备份,即通过镜像把数据备份到远程存储系统中,再用快照技术把远程存储系统中的信息备份到远程的份到远程存储系统中,再用快照技术把远程存储系统中的信息备份到远程的磁带库、光盘库中。磁带库、光盘库中。 快照是通过软件对要备份的磁盘子系统的数据快速扫描,建立一个要备份数快照是通过软件对要备份的磁盘子系统的数据快速扫描,建立一个要备份数据的快照逻辑单元号据的快照逻辑单元号LUN和快照和快照cache,在快速扫描时,把备份过程中即将在快速扫描时,把备份过程中即将要修改的数据块
40、同时快速拷贝到快照要修改的数据块同时快速拷贝到快照cache中。快照中。快照LUN是一组指针,它指是一组指针,它指向快照向快照cache和磁盘子系统中不变的数据块(在备份过程中)。在正常业务和磁盘子系统中不变的数据块(在备份过程中)。在正常业务进行的同时,利用快照进行的同时,利用快照LUN实现对原数据的一个完全的备份。它可使用户在实现对原数据的一个完全的备份。它可使用户在正常业务不受影响的情况下,实时提取当前在线业务数据。其正常业务不受影响的情况下,实时提取当前在线业务数据。其“备份窗口备份窗口”接近于零,可大大增加系统业务的连续性,为实现系统真正的接近于零,可大大增加系统业务的连续性,为实现
41、系统真正的724运转提供运转提供了保证。了保证。 快照是通过内存作为缓冲区(快照快照是通过内存作为缓冲区(快照cache),),由快照软件提供系统磁盘存储由快照软件提供系统磁盘存储的即时数据映像,它存在缓冲区调度的问题。的即时数据映像,它存在缓冲区调度的问题。(3) 互连技术互连技术早期的主数据中心和备援数据中心之间的数据备份,主要是基于早期的主数据中心和备援数据中心之间的数据备份,主要是基于SAN的远程的远程复制(镜像),即通过光纤通道复制(镜像),即通过光纤通道FC,把两个把两个SAN连接起来,进行远程镜像连接起来,进行远程镜像(复制)。当灾难发生时,由备援数据中心替代主数据中心保证系统工
42、作的(复制)。当灾难发生时,由备援数据中心替代主数据中心保证系统工作的连续性。这种远程容灾备份方式存在一些缺陷,如:实现成本高、设备的互连续性。这种远程容灾备份方式存在一些缺陷,如:实现成本高、设备的互操作性差、跨越的地理距离短(操作性差、跨越的地理距离短(10公里)等,这些因素阻碍了它的进一步推公里)等,这些因素阻碍了它的进一步推广和应用。广和应用。目前,出现了多种基于目前,出现了多种基于IP的的SAN的远程数据容灾备份技术。它们是利用基于的远程数据容灾备份技术。它们是利用基于IP的的SAN的互连协议,将主数据中心的互连协议,将主数据中心SAN中的信息通过现有的中的信息通过现有的TCP/IP
43、网络,网络,远程复制到备援中心远程复制到备援中心SAN中。当备援中心存储的数据量过大时,可利用快照中。当备援中心存储的数据量过大时,可利用快照技术将其备份到磁带库或光盘库中。这种基于技术将其备份到磁带库或光盘库中。这种基于IP的的SAN的远程容灾备份,可的远程容灾备份,可以跨越以跨越LAN、MAN和和WAN,成本低、可扩展性好,具有广阔的发展前景。基成本低、可扩展性好,具有广阔的发展前景。基于于IP的互连协议包括:的互连协议包括:FCIP、iFCP、Infiniband、iSCSI等。等。(4) 虚拟存储虚拟存储在有些容灾方案产品中,还采取了虚拟存储技术,如西瑞异地容灾方案。虚在有些容灾方案产
44、品中,还采取了虚拟存储技术,如西瑞异地容灾方案。虚拟化存储技术在系统弹性和可扩展性上开创了新的局面。它将几个拟化存储技术在系统弹性和可扩展性上开创了新的局面。它将几个IDE或或SCSI驱动器等不同的存储设备串联为一个存储池。存储集群的整个存储容量驱动器等不同的存储设备串联为一个存储池。存储集群的整个存储容量可以分为多个逻辑卷,并作为虚拟分区进行管理。存储由此成为一种功能而可以分为多个逻辑卷,并作为虚拟分区进行管理。存储由此成为一种功能而非物理属性,而这正是基于服务器的存储结构存在的主要限制。非物理属性,而这正是基于服务器的存储结构存在的主要限制。虚拟存储系统还提供了动态改变逻辑卷大小的功能。事
45、实上,存储卷的容量虚拟存储系统还提供了动态改变逻辑卷大小的功能。事实上,存储卷的容量可以在线随意增加或减少。可以通过在系统中增加或减少物理磁盘的数量来可以在线随意增加或减少。可以通过在系统中增加或减少物理磁盘的数量来改变集群中逻辑卷的大小。这一功能允许卷的容量随用户的即时要求动态改改变集群中逻辑卷的大小。这一功能允许卷的容量随用户的即时要求动态改变。另外,存储卷能够很容易的改变容量,移动和替换。安装系统时,只需变。另外,存储卷能够很容易的改变容量,移动和替换。安装系统时,只需为每个逻辑卷分配最小的容量,并在磁盘上留出剩余的空间。随着业务的发为每个逻辑卷分配最小的容量,并在磁盘上留出剩余的空间。
46、随着业务的发展,可以用剩余空间根据需要扩展逻辑卷。你也可以将数据在线从旧驱动器展,可以用剩余空间根据需要扩展逻辑卷。你也可以将数据在线从旧驱动器转移到新的驱动器上,而不中断服务的运行。转移到新的驱动器上,而不中断服务的运行。 存储虚拟化的一个关键优势是它允许异质系统和应用程序共享存储设备,而存储虚拟化的一个关键优势是它允许异质系统和应用程序共享存储设备,而不管它们位于何处。公司将不再需要在每个分部的服务器上都连接一台磁带不管它们位于何处。公司将不再需要在每个分部的服务器上都连接一台磁带设备。设备。5.2.3 数据备份的策略数据备份的策略数据备份可以依据条件和需要选择不同的策略。下面是几种基本的
47、数据数据备份可以依据条件和需要选择不同的策略。下面是几种基本的数据备份策略。备份策略。v1. 全盘备份全盘备份全盘备份是将所有文件写入备份介质。这种方法简单,操作起来比较全盘备份是将所有文件写入备份介质。这种方法简单,操作起来比较方便。方便。v2. 增量备份增量备份增量备份只备份上次备份后作过更新的文件。这种系统性能和容量可增量备份只备份上次备份后作过更新的文件。这种系统性能和容量可以很好的改善。但是,仅仅依靠文件属性识别文件是否作过修改,不以很好的改善。但是,仅仅依靠文件属性识别文件是否作过修改,不太可靠。通常与全盘备份配合使用。太可靠。通常与全盘备份配合使用。v3. 差别备份差别备份差别备
48、份是只对上次全盘备份之后更新过的所有文件。这样,全部系差别备份是只对上次全盘备份之后更新过的所有文件。这样,全部系统只需要两组磁带(最后一次全盘备份磁带和最后一次差别备份磁带)统只需要两组磁带(最后一次全盘备份磁带和最后一次差别备份磁带)就可以恢复。就可以恢复。v4. 按需备份按需备份按需备份是指在正常的备份之外额外有选择地进行的备份操作。按需按需备份是指在正常的备份之外额外有选择地进行的备份操作。按需分配可以弥补冗余管理或长期转储的日常备份的不足。分配可以弥补冗余管理或长期转储的日常备份的不足。5.3 数字证据获取数字证据获取v现在,信息系统的攻击和对抗已经不仅仅是技术领域和管理现在,信息系
49、统的攻击和对抗已经不仅仅是技术领域和管理领域的问题了。许多问题已经进入涉讼,成为法学案件。随领域的问题了。许多问题已经进入涉讼,成为法学案件。随着数字犯罪案件的增多,数字证据的获取已经成为信息技术着数字犯罪案件的增多,数字证据的获取已经成为信息技术和法学家们共同关注的热点。和法学家们共同关注的热点。v早先,数字证据也被成为计算机证据。对于它的研究最早是早先,数字证据也被成为计算机证据。对于它的研究最早是从应急响应的角度开始的,目的是为了搜集攻击者的有关信从应急响应的角度开始的,目的是为了搜集攻击者的有关信息。直到息。直到2001年人们才转移到从司法的角度来看待它,关于年人们才转移到从司法的角度
50、来看待它,关于它的研究,才从纯技术领域转向技术与法学的结合上。它的研究,才从纯技术领域转向技术与法学的结合上。5.3.1 数字证据的特点数字证据的特点1. 依附性和多样性依附性和多样性一般说来,数字证据就是在计算机或在计算机系统运行过程中产生的、以一般说来,数字证据就是在计算机或在计算机系统运行过程中产生的、以其记录的内容来证明案件事实的电磁记录。与其他证据相比,它有如下一其记录的内容来证明案件事实的电磁记录。与其他证据相比,它有如下一些特点。些特点。电磁证据依附在不同介质上。这就带来两个方面的特点:一是数字证据不会电磁证据依附在不同介质上。这就带来两个方面的特点:一是数字证据不会像传统的证据
51、那样可以独立存在;二是不同的介质,使同样的信息表现出不像传统的证据那样可以独立存在;二是不同的介质,使同样的信息表现出不同的形态,如在导体中是以电流或电压表现的数字脉冲,在显示器上是文字同的形态,如在导体中是以电流或电压表现的数字脉冲,在显示器上是文字或图形,在磁盘中是磁核的排列形式,在光缆中是光波等。或图形,在磁盘中是磁核的排列形式,在光缆中是光波等。2. 可伪性和弱证明性可伪性和弱证明性数字证据的非实物性,使得其窃取、修改甚至销毁都比较容易。例如,黑数字证据的非实物性,使得其窃取、修改甚至销毁都比较容易。例如,黑客在入侵之后,可以对现场进行一些灭迹、制造假象等工作,给证据的认客在入侵之后,
52、可以对现场进行一些灭迹、制造假象等工作,给证据的认定带来困难,直接减低了证明力度,增加了跟踪和侦查的难度。定带来困难,直接减低了证明力度,增加了跟踪和侦查的难度。3. 数据的挥发性数据的挥发性计算机系统中所处理的数据有一些是动态的。这些动态数据对于抓住犯罪的蛛计算机系统中所处理的数据有一些是动态的。这些动态数据对于抓住犯罪的蛛丝马迹非常有用。但是它们却有一定的时间效应。即有些数据会因失效或消失丝马迹非常有用。但是它们却有一定的时间效应。即有些数据会因失效或消失而挥发。在收集数字证据时必须充分考虑数据的挥发性。而挥发。在收集数字证据时必须充分考虑数据的挥发性。表表5.1描述了数字证描述了数字证据
53、数据的挥发性。据数据的挥发性。数数 据据硬件或位置硬件或位置存活时间存活时间CPU高速缓冲器,管道高速缓冲器,管道几个时钟周期几个时钟周期系统系统RAM关机前关机前内核表内核表进程中进程中关机前关机前固定介质固定介质Swap/tmp直至被覆盖或被抹掉直至被覆盖或被抹掉可移动介质可移动介质Cdrom,Floppy,HDO直至被覆盖或被抹掉直至被覆盖或被抹掉打印输出打印输出被拷贝打印输出被拷贝打印输出直至被毁坏直至被毁坏表表5.1 数字证据的挥发性数字证据的挥发性5.3.2 数字取证的原则数字取证的原则实施数字取证应当遵循如下原则:符合程序,共同监督,保实施数字取证应当遵循如下原则:符合程序,共同
54、监督,保护隐私,影响最小,证据连续,原汁原味。下面分别予以说护隐私,影响最小,证据连续,原汁原味。下面分别予以说明。明。v1. 符合程序符合程序取证应当首先启动法律程序,要在法律规定的范围内展开工取证应当首先启动法律程序,要在法律规定的范围内展开工作,否则会陷入被动。作,否则会陷入被动。v2. 共同监督共同监督由原告委派的专家所进行整个的检查、取证过程,必须受到由原告委派的专家所进行整个的检查、取证过程,必须受到由其他方委派的专家的监督。由其他方委派的专家的监督。v3. 保护隐私保护隐私在取证过程中,要尊重任何关于客户代理人的隐私。一旦获在取证过程中,要尊重任何关于客户代理人的隐私。一旦获取了
55、一些关于公司或个人的隐私,决不能泄露。取了一些关于公司或个人的隐私,决不能泄露。数字取证的原则数字取证的原则v4. 影响最小影响最小 如果取证要求必须运行某些业务程序,应当使运行时间尽如果取证要求必须运行某些业务程序,应当使运行时间尽量短;量短; 必须保证取证不给系统带来副作用,如引进病毒等。必须保证取证不给系统带来副作用,如引进病毒等。v5. 证据连续证据连续必须保证证据的连续性(必须保证证据的连续性(Chain of Custody),),即在将证据即在将证据提交法庭前要一直跟踪证据,要向法庭说明在这段时间内证提交法庭前要一直跟踪证据,要向法庭说明在这段时间内证据有无变化。此外,要向法庭说
56、明该证据的完全性。据有无变化。此外,要向法庭说明该证据的完全性。v6. 原汁原味原汁原味 必须保证提取出来的证据不受电磁或机械的损害;必须保证提取出来的证据不受电磁或机械的损害; 必须保证收集的证据不被取证程序破坏。必须保证收集的证据不被取证程序破坏。5.3.3 数字取证的一般步骤数字取证的一般步骤v1. 保护现场保护现场 在取证过程中,保护目标系统,避免发生任何改变、损害;在取证过程中,保护目标系统,避免发生任何改变、损害; 保护证据的完整性,防止证据信息的丢失和破坏;保护证据的完整性,防止证据信息的丢失和破坏; 防止病毒感染。防止病毒感染。v2. 证据发现证据发现证据发现首先要识别可获取证
57、据的信息类型。按照证据信息证据发现首先要识别可获取证据的信息类型。按照证据信息变化的特点,可以将证据信息分为两大类:变化的特点,可以将证据信息分为两大类: 实时信息(或易失信息),例如网络连接;实时信息(或易失信息),例如网络连接; 非易失信息,即不会随时间或设备断电消失。非易失信息,即不会随时间或设备断电消失。数字取证过程一般可以按如下步骤进行。数字取证过程一般可以按如下步骤进行。v(1)日志:如操作系统日志等。)日志:如操作系统日志等。v(2)文件。如可以进行的文件搜索有:)文件。如可以进行的文件搜索有: 搜索目标系统中所有文件(包括现存的正常文件、已经被删除但仍存搜索目标系统中所有文件(
58、包括现存的正常文件、已经被删除但仍存在于磁盘上还没有被覆盖的文件、隐藏文件、受密码保护的和加密文件)在于磁盘上还没有被覆盖的文件、隐藏文件、受密码保护的和加密文件); 尽量恢复所发现的文件;尽量恢复所发现的文件; 在法律允许的情况下,访问被保护或加密的文件;在法律允许的情况下,访问被保护或加密的文件; 分析磁盘特殊区域(未分配区域、文件栈区等)。分析磁盘特殊区域(未分配区域、文件栈区等)。v(3)系统进程:如进程名、进程访问文件等。)系统进程:如进程名、进程访问文件等。v(4)用户:特别是在线用户的服务时间、使用方式等。)用户:特别是在线用户的服务时间、使用方式等。v(5)系统状态:如系统开放
59、的服务、网络运行的状态等。)系统状态:如系统开放的服务、网络运行的状态等。v(6)通信连接记录:如网络路由器的运行日志等。)通信连接记录:如网络路由器的运行日志等。v(7)存储介质:如磁盘、光盘、闪寸等。)存储介质:如磁盘、光盘、闪寸等。在证据发现阶段可以使用的技术有:在证据发现阶段可以使用的技术有:IDS、蜜罐技术、网络线索自动识蜜罐技术、网络线索自动识别技术、溯源技术等。同时还可以使用一些相关的工具。别技术、溯源技术等。同时还可以使用一些相关的工具。表表5.2为一些常为一些常用实时取证类工具。用实时取证类工具。下面是可以作为证据或可以提供相关信息的信息源。下面是可以作为证据或可以提供相关信
60、息的信息源。数字证据的信息源数字证据的信息源一些常用实时取证类工具一些常用实时取证类工具工具名称工具名称用途描述用途描述Netstat显示当前受害系统的网络监听程序和网络连接显示当前受害系统的网络监听程序和网络连接ARP查看受害系统的地址解析缓存表查看受害系统的地址解析缓存表Who显示系统在线用户信息显示系统在线用户信息last显示系统登录用户信息显示系统登录用户信息ps查看查看UNIX系统进程信息系统进程信息表表5.2 一些常用实时取证类工具一些常用实时取证类工具数字取证的一般步骤(续)数字取证的一般步骤(续)v3. 证据固定证据固定针对数字证据的挥发性,数字证据的固定非常重要。针对数字证据
61、的挥发性,数字证据的固定非常重要。v4. 证据提取证据提取证据提取主要是提取特征。包括:证据提取主要是提取特征。包括: 过滤和挖掘;过滤和挖掘; 解码:对软件或数据碎片进行残缺分析、上下文分析,恢复原来的面解码:对软件或数据碎片进行残缺分析、上下文分析,恢复原来的面貌。貌。v5. 证据分析证据分析分析的目的大致有:分析的目的大致有: 犯罪行为重构;犯罪行为重构; 嫌疑人画像;嫌疑人画像; 确定犯罪动机;确定犯罪动机; 受害程度行为分析等。受害程度行为分析等。v6. 提交证据提交证据向律师、管理者或法庭提交证据。这时要注意使用规定的法律文书格式向律师、管理者或法庭提交证据。这时要注意使用规定的法
62、律文书格式和术语。和术语。5.3.4 数字取证的基本技术和工具数字取证的基本技术和工具v在数字取证过程中,可以使用相关的技术和工具。现在已经在数字取证过程中,可以使用相关的技术和工具。现在已经开发出了这样一些工具。开发出了这样一些工具。表表5.3为可以提供计算机及网络攻为可以提供计算机及网络攻击取证的一些网站。击取证的一些网站。资源类型网络地址TCT取证软件包http:/www. porcupine.org/forensics/Computer Forensics Tool Testing(CFTT)http:/www.cftt.nist.gov/文件及介质取证工具箱Sleuth Kitht
63、tp:/www. sleuthkit.org/sleuthkit/index.php开放源代码数字取证http:/www.opensourceforensics.org/表表5.3 提供计算机及网络攻击取证的一些网站提供计算机及网络攻击取证的一些网站v下面重点介绍利用下面重点介绍利用IDS和蜜罐取证的方法。和蜜罐取证的方法。1. 利用利用IDS取证取证把把IDS与取证工具结合,往往能对网络攻击进行取证并得到响应。与取证工具结合,往往能对网络攻击进行取证并得到响应。(1)确认攻击)确认攻击确认攻击是响应的第一步。确认攻击的主要方法是查找攻击留下的痕迹。确认攻击是响应的第一步。确认攻击的主要方法是
64、查找攻击留下的痕迹。检查的主要内容有:检查的主要内容有: 寻找嗅探器(如寻找嗅探器(如sniffer);); 寻找远程控制程序(如寻找远程控制程序(如netbus、back orifice);); 寻找黑客可能利用的文件共享或通信程序(如寻找黑客可能利用的文件共享或通信程序(如eggdrop、irc) 寻找特权程序(如寻找特权程序(如find/-perm-4000-print);); 寻找未授权的服务(如寻找未授权的服务(如netstat a、check inetd.conf);); 寻找异常文件(考虑系统磁盘大小);寻找异常文件(考虑系统磁盘大小); 检查文件系统的变动;检查文件系统的变动;
65、 检查口令文件的变动并寻找新用户;检查口令文件的变动并寻找新用户; 检测检测cron和和at jobs; 核对系统和网络配置(特别注意过滤规则);核对系统和网络配置(特别注意过滤规则); 检查所有主机(特别是服务器)。检查所有主机(特别是服务器)。(2)取证过程)取证过程1)决定取证的目的)决定取证的目的 观察研究攻击者。观察研究攻击者。 跟踪并驱赶攻击者。跟踪并驱赶攻击者。 捕俘攻击者。捕俘攻击者。 准备起诉攻击者。准备起诉攻击者。2)启动必要的法律程序。)启动必要的法律程序。3)对系统进行完全备份,包括:)对系统进行完全备份,包括: 用用tcpdump作完全的分组日志;作完全的分组日志;
66、有关协议分组的来龙去脉;有关协议分组的来龙去脉; 一些会话(如一些会话(如telnet、rlogin、IRC、FTP等)的可能内容。等)的可能内容。4)根据情况有选择地关闭计算机系统)根据情况有选择地关闭计算机系统 不彻底关闭系统(否则造成信息改变,证据破坏)。不彻底关闭系统(否则造成信息改变,证据破坏)。 不断开网络。不断开网络。 将系统备份转移到单用户模式下制作和验证备份。将系统备份转移到单用户模式下制作和验证备份。 考虑制作磁盘镜像。考虑制作磁盘镜像。 同步磁盘,暂停系统。同步磁盘,暂停系统。5)调查攻击者来源)调查攻击者来源 利用利用tcpdump/who/syslog。 运行运行fi
67、nger对抗远程系统。对抗远程系统。 寻找攻击者可能利用的账号。寻找攻击者可能利用的账号。2. 利用蜜罐取证利用蜜罐取证利用蜜罐进行取证分析的一些原则和步骤如下。利用蜜罐进行取证分析的一些原则和步骤如下。(1)获取入侵者信息。)获取入侵者信息。(2)获取关于攻击的信息:)获取关于攻击的信息: 攻击的手段、日期和时间;攻击的手段、日期和时间; 入侵者添加了一些什么文件?入侵者添加了一些什么文件? 是否安装了嗅探器或密码?若有,在何处?是否安装了嗅探器或密码?若有,在何处? 是否安装有是否安装有“rootkit”或木马程序?若有,传播途或木马程序?若有,传播途径是什么?径是什么? 。(3)建立事件
68、的时间序列。)建立事件的时间序列。(4)事故费用分析。)事故费用分析。(5)向管理层、媒体以及法庭提交相应的报告。)向管理层、媒体以及法庭提交相应的报告。5.3.5 数字证据的法律问题数字证据的法律问题1. 数字证据的真实性数字证据的真实性数字证据学是涉及信息技术和法学两个领域的交叉学科。下面讨论它在法学方数字证据学是涉及信息技术和法学两个领域的交叉学科。下面讨论它在法学方面的一些问题。面的一些问题。法律对作为定案依据的证据,有真实性、合法性和关联性三方面要求。法律对作为定案依据的证据,有真实性、合法性和关联性三方面要求。一般而言,关联性主要指证据与案件争议和理由的联系程度,这属于法官裁一般而
69、言,关联性主要指证据与案件争议和理由的联系程度,这属于法官裁判的范围。合法性主要包括:证据的形式、收集手段、是否侵犯他人权益、判的范围。合法性主要包括:证据的形式、收集手段、是否侵犯他人权益、取证工具是否合法等。这在后面要进行有关的讨论。取证工具是否合法等。这在后面要进行有关的讨论。关于证据的真实性,民事诉讼法和相关司法解释都要求提供关于证据的真实性,民事诉讼法和相关司法解释都要求提供“原件原件”(书面(书面文件)。因为这种看得见、摸得着的东西,才能给人充分的真实感和唯一性,文件)。因为这种看得见、摸得着的东西,才能给人充分的真实感和唯一性,才能防止被篡改和冒认。而数字证据的真实性的确认,一直
70、是人们最关注的才能防止被篡改和冒认。而数字证据的真实性的确认,一直是人们最关注的问题。目前,人们想用数字签名的方法来解决这一法律难题。通过电子签名,问题。目前,人们想用数字签名的方法来解决这一法律难题。通过电子签名,可以证明签发数字证据的人是谁,也可以证明数字证据是否被篡改过。可以证明签发数字证据的人是谁,也可以证明数字证据是否被篡改过。2. 数字证据的证明力数字证据的证明力证据的证明力是指证据对证明案件事实所具有的效力,即该证据是否能证据的证明力是指证据对证明案件事实所具有的效力,即该证据是否能够直接证明案件事实还需要其他证据配合综合认定。我国民事诉讼法够直接证明案件事实还需要其他证据配合综
71、合认定。我国民事诉讼法第第63条规定,法定证据有:书证、物证、视听资料、证人证言、当事条规定,法定证据有:书证、物证、视听资料、证人证言、当事人陈述、鉴定结论和勘验笔录等人陈述、鉴定结论和勘验笔录等7种。而数字证据应当归入这种。而数字证据应当归入这7类之中,类之中,还是另行规定,是司法界正在讨论的问题。还是另行规定,是司法界正在讨论的问题。3. 数字取证工具的法律效力数字取证工具的法律效力数字证据的合法性涉及数字取证工具的法律效力,即法庭是否认可。每种工具都是一个数字证据的合法性涉及数字取证工具的法律效力,即法庭是否认可。每种工具都是一个程序。按照程序。按照Daubert测试,可以从下面测试,
72、可以从下面4个方面进行讨论。个方面进行讨论。(1)可测试性)可测试性测试的目的是为了确定一个程序是否可以被测试并确定它所提供的结果的准确性。对一测试的目的是为了确定一个程序是否可以被测试并确定它所提供的结果的准确性。对一个工具必须执行两类测试:个工具必须执行两类测试: 漏判测试:确认取证工具是否可以在输入输出端提取所有可以得到的数据。漏判测试:确认取证工具是否可以在输入输出端提取所有可以得到的数据。 误判测试:确认取证工具在输入输出端没有引入新的数据。误判测试:确认取证工具在输入输出端没有引入新的数据。(2)出错率)出错率在数字取证工具中,可能存在两类错误:在数字取证工具中,可能存在两类错误:
73、 工具执行错误:源于代码中的漏洞的错误。工具执行错误:源于代码中的漏洞的错误。 提取错误:源自算法的错误。提取错误:源自算法的错误。(3)公开性)公开性公开性指工具在公开的地方有证明并经过对等部门的复查。这是允许作为证据的主要条公开性指工具在公开的地方有证明并经过对等部门的复查。这是允许作为证据的主要条件。件。(4)可接受性)可接受性工具能否被广泛接受。工具能否被广泛接受。习习 题题1. 简述紧急响应的意义。简述紧急响应的意义。2. 试述紧急响应服务在实现目的方面受哪些因素制约。试述紧急响应服务在实现目的方面受哪些因素制约。3. 如何制定紧急响应预案?如何制定紧急响应预案?4. 尽可能多地例举
74、一些安全事件。尽可能多地例举一些安全事件。5. 简述应急事件处理的基本流程。简述应急事件处理的基本流程。6. 灾难恢复涉及哪些内容?灾难恢复涉及哪些内容?7. 灾难恢复涉及哪些技术?灾难恢复涉及哪些技术?8. 简述数据容错和数据容灾之间的联系与区别。简述数据容错和数据容灾之间的联系与区别。习习 题(续)题(续)9. 简述数据备份在数据容错和数据容灾中的作用。简述数据备份在数据容错和数据容灾中的作用。10. 简述各种数据备份技术的特点。简述各种数据备份技术的特点。11. 简述各种数据备份策略的用途。简述各种数据备份策略的用途。12. 论述数字证据的特征。论述数字证据的特征。13. 上网搜索,提交一份有关数字取证工具的报告。上网搜索,提交一份有关数字取证工具的报告。14. 如何保证数字证据的安全?如何保证数字证据的安全?15. 试用蜜罐技术进行依次模拟的数字取证实践。试用蜜罐技术进行依次模拟的数字取证实践。16. 提交一篇关于数字证据的相关法律问题的论文。提交一篇关于数字证据的相关法律问题的论文。
