信息系統(tǒng)審計(jì)證據(jù)生成系統(tǒng)模型及簽名算法探討

1、信息系統(tǒng)審計(jì)證據(jù)生成系統(tǒng)模型及簽名算法探討            信息系統(tǒng)審計(jì)證據(jù)生成系統(tǒng)模型及簽名算法探討    2012-1-14 15:48:20                        

2、                         關(guān)鍵詞: 計(jì)算機(jī)取證；系統(tǒng)整體保護(hù)；完整性保護(hù)；摘要:對(duì)信息系統(tǒng)下計(jì)算機(jī)取證工作的需求進(jìn)行分析，提出了信息系統(tǒng)審計(jì)證據(jù)生成系統(tǒng)模型。該模型解決了信息系統(tǒng)審計(jì)數(shù)據(jù)作為電子證據(jù)時(shí)存在的完整性保護(hù)不足問題，為依據(jù)GB/T 25070-2010信息安全技術(shù) 信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求建設(shè)的信息系統(tǒng)增加帶有時(shí)間戳

3、的審計(jì)證據(jù)完整性保護(hù)功能，可以在不修改信息系統(tǒng)審計(jì)數(shù)據(jù)原保存格式的前提下，使系統(tǒng)審計(jì)數(shù)據(jù)滿足電子證據(jù)取證需要。該模型采用簡單時(shí)間戳協(xié)議和審計(jì)數(shù)據(jù)分組簽名算法，有效降低了審計(jì)證據(jù)生成系統(tǒng)對(duì)網(wǎng)絡(luò)帶寬和存儲(chǔ)空間資源的占用。1引言計(jì)算機(jī)證據(jù)已經(jīng)成為司法工作中常見的證據(jù)類型，重要信息系統(tǒng)中的各類審計(jì)信息，都可能在網(wǎng)絡(luò)安全事件中成為計(jì)算機(jī)證據(jù)。計(jì)算機(jī)證據(jù)具有數(shù)字性、技術(shù)性、脆弱性、多態(tài)性、人機(jī)交互性、復(fù)合性等特點(diǎn)，其中脆弱性特點(diǎn)是指：計(jì)算機(jī)中的證據(jù)信息容易被修改，并且對(duì)其進(jìn)行修改后可以做到不留痕跡。鑒于計(jì)算機(jī)證據(jù)的這一特點(diǎn)，證據(jù)生成技術(shù)不但要為證據(jù)數(shù)據(jù)內(nèi)容提供完整性保護(hù)，更要為產(chǎn)生證據(jù)數(shù)據(jù)的時(shí)間信息提供完

4、整性保護(hù)。如何將計(jì)算機(jī)取證工作與信息系統(tǒng)整體保護(hù)技術(shù)緊密結(jié)合，在系統(tǒng)整體保護(hù)環(huán)境下對(duì)審計(jì)數(shù)據(jù)進(jìn)行合法有效的調(diào)查取證，成為當(dāng)前計(jì)算機(jī)取證工作中的熱點(diǎn)問題之一。2信息系統(tǒng)整體保護(hù)環(huán)境下的審計(jì)數(shù)據(jù)管理國家標(biāo)準(zhǔn)GB/T 25070-2010信息安全技術(shù) 信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求為系統(tǒng)整體保護(hù)環(huán)境的設(shè)計(jì)實(shí)現(xiàn)提供了技術(shù)指導(dǎo)，該標(biāo)準(zhǔn)對(duì)第二級(jí)以及第二級(jí)以上信息系統(tǒng)的安全管理中心提出了審計(jì)管理功能要求3。在該標(biāo)準(zhǔn)的信息系統(tǒng)整體保護(hù)技術(shù)體系結(jié)構(gòu)中，本文來自論文之家:,轉(zhuǎn)載請(qǐng)保留此標(biāo)記規(guī)定計(jì)算環(huán)境、通信網(wǎng)絡(luò)、區(qū)域邊界等信息系統(tǒng)各組成部分的審計(jì)日志，需通過審計(jì)子系統(tǒng)傳送至信息系統(tǒng)安全管理中心，進(jìn)行統(tǒng)一集中管理

5、。標(biāo)準(zhǔn)的這一要求體現(xiàn)了系統(tǒng)整體保護(hù)思想，避免了信息系統(tǒng)計(jì)算節(jié)點(diǎn)、區(qū)域邊界等組件被外來攻擊者入侵、破壞后危及審計(jì)數(shù)據(jù)安全。但審計(jì)管理系統(tǒng)允許管理員對(duì)審計(jì)數(shù)據(jù)進(jìn)行備份、刪除，因此在安全事件發(fā)生后，審計(jì)數(shù)據(jù)內(nèi)容仍有可能被系統(tǒng)內(nèi)部管理人員選擇性刪改，或通過修改系統(tǒng)時(shí)間等手法偽造審計(jì)記錄，使得審計(jì)數(shù)據(jù)作為電子證據(jù)的可信度受到質(zhì)疑。因此，需要為信息系統(tǒng)增強(qiáng)審計(jì)數(shù)據(jù)完整性保護(hù)功能，將審計(jì)數(shù)據(jù)自動(dòng)轉(zhuǎn)化為審計(jì)證據(jù)，使審計(jì)數(shù)據(jù)的完整性保護(hù)強(qiáng)度滿足電子證據(jù)的取證需要。3 傳統(tǒng)計(jì)算機(jī)取證技術(shù)完整性保護(hù)能力分析3.1傳統(tǒng)計(jì)算機(jī)取證技術(shù)傳統(tǒng)信息系統(tǒng)中，計(jì)算機(jī)取證工作通常在安全事件發(fā)生后，使用EnCase等取證工具，直接在

6、被取證計(jì)算機(jī)上采集電子證據(jù)4，并在取證時(shí)刻形成與證據(jù)內(nèi)容相關(guān)聯(lián)的時(shí)間戳簽名，為計(jì)算機(jī)證據(jù)提供完整性保護(hù)。將原始數(shù)據(jù)生成的時(shí)刻記為T0，調(diào)查取證時(shí)刻記為T1。通常T1時(shí)刻與T0時(shí)刻之間相隔數(shù)周甚至數(shù)月，該方法生成的計(jì)算機(jī)證據(jù)，僅能證明在取證時(shí)刻T1之后，證據(jù)數(shù)據(jù)的完整性未被破壞，無法保護(hù)證據(jù)數(shù)據(jù)生成時(shí)刻T0到T1之間的時(shí)間段內(nèi)證據(jù)數(shù)據(jù)的完整性，因此傳統(tǒng)取證方法在證據(jù)數(shù)據(jù)完整性保護(hù)方面存在缺陷。3.2傳統(tǒng)取證技術(shù)直接應(yīng)用于系統(tǒng)整體保護(hù)環(huán)境將傳統(tǒng)計(jì)算機(jī)取證方法在系統(tǒng)整體保護(hù)環(huán)境中進(jìn)行應(yīng)用，其工作方式由直接在安全事件發(fā)生主機(jī)取證，改為在信息系統(tǒng)安全管理中心針對(duì)審計(jì)數(shù)據(jù)進(jìn)行調(diào)查取證。將原始數(shù)據(jù)生成的時(shí)刻

7、記為T0，審計(jì)信息保存至安全管理中心的時(shí)刻記為T1，調(diào)查取證時(shí)刻記為T2。信息系統(tǒng)中各節(jié)點(diǎn)的審計(jì)日志由審計(jì)子系統(tǒng)實(shí)時(shí)傳送并保存在安全管理中心，因此可視為T0= T1。該方法與3.1節(jié)方法存在相同問題，由于無法證明在T2與T0之間作為證據(jù)的審計(jì)數(shù)據(jù)未被篡改，所以傳統(tǒng)取證方法在系統(tǒng)整體保護(hù)環(huán)境下依然存在證據(jù)數(shù)據(jù)完整性保護(hù)缺陷。4信息系統(tǒng)審計(jì)證據(jù)生成系統(tǒng)模型由3.2節(jié)的分析可以了解到，解決計(jì)算機(jī)取證工作中的完整性保護(hù)問題，關(guān)鍵在于從原始數(shù)據(jù)生成時(shí)刻起為證據(jù)信息提供完整性保護(hù)。圖1帶有時(shí)間戳的審計(jì)數(shù)據(jù)完整性保護(hù)技術(shù)如圖1所示，本文通過將時(shí)間戳簽名機(jī)制引入信息系統(tǒng)的審計(jì)子系統(tǒng)，在審計(jì)數(shù)據(jù)生成后的第一時(shí)間

8、為其進(jìn)行時(shí)間戳簽名。通過數(shù)字簽名為數(shù)據(jù)生成時(shí)間提供完整性保護(hù)56，使證據(jù)數(shù)據(jù)的完整性有效證明時(shí)間提前到時(shí)間戳簽名時(shí)間T1，由于系統(tǒng)對(duì)原始審計(jì)數(shù)據(jù)實(shí)時(shí)進(jìn)行傳輸、存儲(chǔ)，所以T1等效于原始數(shù)據(jù)生成時(shí)刻T0，即解決了3.2節(jié)所述方法存在的問題，審計(jì)數(shù)據(jù)可以被直接作為證據(jù)數(shù)據(jù)，實(shí)現(xiàn)系統(tǒng)整體保護(hù)環(huán)境下的審計(jì)證據(jù)生成。圖2給出了信息系統(tǒng)審計(jì)證據(jù)生成系統(tǒng)模型，該模型利用信息系統(tǒng)外的第三方公證機(jī)構(gòu)提供的時(shí)間戳服務(wù)，對(duì)原始數(shù)據(jù)進(jìn)行實(shí)時(shí)簽名，然后將簽名數(shù)據(jù)與原始審計(jì)數(shù)據(jù)一起保存。在調(diào)查取證時(shí)，同時(shí)提取審計(jì)數(shù)據(jù)和相應(yīng)的數(shù)字簽名，通過校驗(yàn)數(shù)字簽名的有效性，證明審計(jì)數(shù)據(jù)從產(chǎn)生時(shí)刻起未被篡改。圖2 信息系統(tǒng)審計(jì)證據(jù)生成系統(tǒng)

9、模型5審計(jì)數(shù)據(jù)分組簽名算法信息系統(tǒng)運(yùn)行過程中，會(huì)產(chǎn)生大量審計(jì)信息，大型應(yīng)用系統(tǒng)的審計(jì)數(shù)據(jù)量可達(dá)每日數(shù)十GB。每次時(shí)間戳簽名請(qǐng)求需要額外完成審計(jì)數(shù)據(jù)摘要值和時(shí)間戳簽名兩次網(wǎng)絡(luò)數(shù)據(jù)傳輸，每個(gè)時(shí)間戳簽名的存儲(chǔ)需要消耗與被簽名原始數(shù)據(jù)相當(dāng)?shù)拇鎯?chǔ)空間。如果為審計(jì)系統(tǒng)生成的每一條審計(jì)記錄單獨(dú)生成一個(gè)時(shí)間戳簽名，系統(tǒng)對(duì)網(wǎng)絡(luò)帶寬的占用量將達(dá)到原值的3倍，存儲(chǔ)大量時(shí)間戳簽名將導(dǎo)致審計(jì)記錄存儲(chǔ)空間達(dá)到原系統(tǒng)的2倍，因此需要在不影響審計(jì)數(shù)據(jù)的證據(jù)效力的前提下，盡可能縮減審計(jì)證據(jù)生成系統(tǒng)所產(chǎn)生的網(wǎng)絡(luò)帶寬與存儲(chǔ)空間資源占用。本文采用限制時(shí)間戳簽名請(qǐng)求頻率的方法提高信息系統(tǒng)審計(jì)證據(jù)生成系統(tǒng)運(yùn)行效率，減少資源占用。算法1審

10、計(jì)數(shù)據(jù)分組摘要值算法輸入：原始審計(jì)數(shù)據(jù)輸出：審計(jì)數(shù)據(jù)分組摘要值方法：(1)    記錄當(dāng)前時(shí)間為t；(2)    從審計(jì)數(shù)據(jù)庫中取最大簽名組號(hào)Gmax，計(jì)算當(dāng)前簽名組組號(hào)G=Gmax+1；(3)    查詢是否接收到新審計(jì)數(shù)據(jù)，若無數(shù)據(jù)則轉(zhuǎn)(5)；(4)    將審計(jì)數(shù)據(jù)和對(duì)應(yīng)簽名組組號(hào)保存到審計(jì)數(shù)據(jù)庫；        ：         

11、;信息系統(tǒng)審計(jì)證據(jù)生成系統(tǒng)模型及簽名算法探討    2012-1-14 15:48:20                                       &#

12、160;          (5)    計(jì)算 t=tnow-t ，其中tnow為當(dāng)前時(shí)間，如果t小于一個(gè)簽名組的時(shí)間間隔，則轉(zhuǎn)(3)，否則轉(zhuǎn)(6)；(6)    對(duì)該組審計(jì)數(shù)據(jù)整體計(jì)算摘要值。審計(jì)數(shù)據(jù)分組簽名算法將系統(tǒng)在t時(shí)間段內(nèi)產(chǎn)生的所有審計(jì)數(shù)據(jù)歸為同一個(gè)簽名組，每組審計(jì)數(shù)據(jù)生成一個(gè)分組摘要值，共用同一個(gè)時(shí)間戳。當(dāng)簽名組內(nèi)日志數(shù)據(jù)被修改、刪除或日志數(shù)據(jù)的順序被人為調(diào)整時(shí)，審計(jì)數(shù)據(jù)分組摘要值會(huì)發(fā)生變化，通過時(shí)間戳簽名進(jìn)行完整性驗(yàn)證會(huì)發(fā)現(xiàn)該審計(jì)數(shù)

13、據(jù)分組內(nèi)的證據(jù)數(shù)據(jù)異常。國家標(biāo)準(zhǔn)GB/T 25070-2010信息安全技術(shù) 信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求附錄B給出了信息系統(tǒng)審計(jì)記錄的參考數(shù)據(jù)結(jié)構(gòu)定義3。typedef struct tagAudit_RecordUINT16  NodeID;UINT16  iType;UINT32  Time;ALABEL SubLabel;ALABEL ObjLabel;UINT16  Bret;Byte        Reserved6; Audit_Record;其中，Reserved字段

14、的用途是保留字段，本文采用該字段保存審計(jì)數(shù)據(jù)分組的組號(hào)，將組號(hào)對(duì)應(yīng)的時(shí)間戳數(shù)字簽名另行儲(chǔ)存。該方法充分利用了國家標(biāo)準(zhǔn)GB/T 25070-2010中為審計(jì)子系統(tǒng)預(yù)留的數(shù)據(jù)存儲(chǔ)字段，在不修改信息系統(tǒng)原有審計(jì)記錄數(shù)據(jù)結(jié)構(gòu)的基礎(chǔ)上，實(shí)現(xiàn)了降低存儲(chǔ)空間需求的目標(biāo)，由于該方法無需對(duì)信息系統(tǒng)的其他審計(jì)功能相關(guān)組件進(jìn)行任何代碼修改，使信息系統(tǒng)審計(jì)證據(jù)生成系統(tǒng)具備良好的兼容性。6 實(shí)驗(yàn)結(jié)果及分析時(shí)間戳簽名對(duì)數(shù)據(jù)完整性保護(hù)的有效性已經(jīng)得到了廣泛認(rèn)可789，因此本文針對(duì)信息系統(tǒng)審計(jì)證據(jù)生成系統(tǒng)的資源占用情況進(jìn)行實(shí)驗(yàn)分析。實(shí)驗(yàn)中每個(gè)簽名組的時(shí)間間隔t設(shè)置為1分鐘，在多種審計(jì)數(shù)據(jù)生成速率條件下，分別測試信息系統(tǒng)審計(jì)證

15、據(jù)生成系統(tǒng)對(duì)網(wǎng)絡(luò)帶寬和存儲(chǔ)空間的占用情況。審計(jì)數(shù)據(jù)量(條/ 分鐘)表1 信息系統(tǒng)審計(jì)子系統(tǒng)資源占用情況由實(shí)驗(yàn)結(jié)果可以發(fā)現(xiàn)，審計(jì)證據(jù)生成系統(tǒng)額外產(chǎn)生的網(wǎng)絡(luò)包個(gè)數(shù)與存儲(chǔ)空間占用量只與時(shí)間相關(guān)。單位時(shí)間內(nèi)審計(jì)數(shù)據(jù)量越大，審計(jì)證據(jù)生成系統(tǒng)對(duì)網(wǎng)絡(luò)帶寬和存儲(chǔ)空間造成的額外消耗比例就越小。在每分鐘600條審計(jì)數(shù)據(jù)的模擬系統(tǒng)中，審計(jì)證據(jù)生成系統(tǒng)為網(wǎng)絡(luò)帶寬和存儲(chǔ)空間帶來的資源占用增長比例僅為0.33%和0.17%，因此審計(jì)證據(jù)生成系統(tǒng)的部署不會(huì)給信息系統(tǒng)網(wǎng)絡(luò)和存儲(chǔ)資源造成明顯影響。7 結(jié)束語計(jì)算機(jī)取證是重要信息系統(tǒng)設(shè)計(jì)與建設(shè)工作中必須考慮的安全功能，本文在信息系統(tǒng)整體保護(hù)技術(shù)體系結(jié)構(gòu)基礎(chǔ)上，提出了一種新的計(jì)算機(jī)

16、證據(jù)生成技術(shù)，該技術(shù)可以為電子證據(jù)的內(nèi)容、生成時(shí)間、生成順序等關(guān)鍵因素提供完整性保護(hù)，消除了電子證據(jù)在證據(jù)數(shù)據(jù)形成時(shí)刻至證據(jù)提取時(shí)刻之間存在的完整性保護(hù)空白。該方法與國家標(biāo)準(zhǔn)GB/T 25050-2010信息安全技術(shù) 信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求相兼容，以微小的網(wǎng)絡(luò)帶寬和附加數(shù)據(jù)存儲(chǔ)空間代價(jià)在信息系統(tǒng)中實(shí)現(xiàn)了審計(jì)數(shù)據(jù)取證功能。參考文獻(xiàn):丁麗萍,王永吉.計(jì)算機(jī)取證的相關(guān)法律技術(shù)問題研究,軟件學(xué)報(bào),2005,16(2):260-275.鄭捷文,許榕生,楊澤明.計(jì)算機(jī)取證平臺(tái)研究J,通訊和計(jì)算機(jī),2005,2(4):29-34.3 GB/T 25070-2010.信息安全技術(shù) 信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求S.4 胡亮,王文博,趙闊.計(jì)算機(jī)取證綜述J吉林大學(xué)學(xué)報(bào)(信息科學(xué)版), 2010,28(04) :378-384.5張科偉,唐曉波.時(shí)間戳協(xié)議研究J,計(jì)算機(jī)應(yīng)用研究,2004,10:100-103.6美 Andrew Nash, Wil