ch5 審計(jì)、取證等其他安全相關(guān)環(huán)境

Ch5其他安全相關(guān)技術(shù)主要內(nèi)容安全審計(jì)取證技術(shù)安全測(cè)試安全編碼安全審計(jì)基本知識(shí)安全審計(jì)就是對(duì)有關(guān)操作系統(tǒng)、系統(tǒng)應(yīng)用或用戶活動(dòng)所產(chǎn)生的一系列有關(guān)安全的活動(dòng)進(jìn)行記錄、檢查及審核。管理員采用審計(jì)系統(tǒng)來監(jiān)控系統(tǒng)的狀態(tài)和活動(dòng)，并對(duì)日志文件進(jìn)行分析、及時(shí)發(fā)現(xiàn)系統(tǒng)中存在的安全問題。12345678基本知識(shí)安全審計(jì)的范圍較廣，可覆蓋桌面系統(tǒng)、網(wǎng)絡(luò)、各類服務(wù)器，可涉及用戶的各類網(wǎng)絡(luò)行為與數(shù)據(jù)內(nèi)容（瀏覽網(wǎng)頁、訪問論壇空間、發(fā)表言論、傳輸文件、發(fā)送電子郵件等等）、數(shù)據(jù)和文件的訪問操作行為與內(nèi)容、數(shù)據(jù)庫的操作和訪問行為與內(nèi)容等等諸多方面和層次。安全審計(jì)中檢查的內(nèi)容包括審計(jì)事件類型；事件安全級(jí)；引用事件的用戶；報(bào)警；指定時(shí)間內(nèi)的事件以及惡意用戶表等。12345678基本知識(shí)安全審計(jì)的形式人工審計(jì)計(jì)算機(jī)手動(dòng)分析處理審計(jì)記錄并與審計(jì)人員最后決策相結(jié)合的半自動(dòng)審計(jì)依靠專家系統(tǒng)作出判斷結(jié)果的自動(dòng)化的智能審計(jì)等12345678基本知識(shí)審計(jì)日志分析技術(shù)統(tǒng)計(jì)分析Syslog標(biāo)準(zhǔn)與Syslog系統(tǒng)12345678基本知識(shí)安全審計(jì)系統(tǒng)是安全審計(jì)的工具，其通過對(duì)安全審計(jì)日志的分析和處理來對(duì)系統(tǒng)的活動(dòng)進(jìn)行檢查和審核，即進(jìn)行安全審計(jì)。操作系統(tǒng)安全審計(jì)系統(tǒng)數(shù)據(jù)庫安全審計(jì)系統(tǒng)網(wǎng)絡(luò)安全審計(jì)系統(tǒng)12345678基本知識(shí)安全審計(jì)的作用對(duì)于已經(jīng)發(fā)生的系統(tǒng)破壞行為，提供有效的追蹤證據(jù)；為系統(tǒng)管理員提供有價(jià)值的系統(tǒng)使用日志，便于及時(shí)發(fā)現(xiàn)系統(tǒng)入侵行為或潛在的系統(tǒng)漏洞；重建事件；評(píng)估損失；監(jiān)測(cè)系統(tǒng)的問題區(qū)；發(fā)現(xiàn)和阻止系統(tǒng)的不正當(dāng)使用。12345678應(yīng)用案例某安全審計(jì)系統(tǒng)典型部署（旁路部署模式）應(yīng)用案例小型網(wǎng)絡(luò)之精細(xì)審計(jì)方案12345678應(yīng)用案例中型網(wǎng)絡(luò)之集中審計(jì)方案12345678應(yīng)用案例某產(chǎn)品大型網(wǎng)絡(luò)之分級(jí)審計(jì)方案12345678取證技術(shù)基本知識(shí)證據(jù)是證明犯罪行為的事實(shí)依據(jù)，是法律訴訟的重要內(nèi)容。根據(jù)《刑事訴訟法》規(guī)定，電子數(shù)據(jù)屬于證據(jù)中的一種，是以二進(jìn)制形式存儲(chǔ)和傳輸?shù)男畔?。電子證據(jù)可能包括罪犯在計(jì)算環(huán)境中留下的對(duì)數(shù)據(jù)、載體進(jìn)行訪問和操作的任何痕跡與信息。取證是運(yùn)用計(jì)算機(jī)及其相關(guān)科學(xué)技術(shù)的原理與方法，獲取與計(jì)算機(jī)相關(guān)的電子證據(jù)并加以整理分析，以便法庭或調(diào)查使用。12345678取證的基本步驟1) 證據(jù)的獲取2) 位拷貝3) 分析檢查4) 取證提交5) 證據(jù)存檔6) 證據(jù)呈供12345678取證須遵守的原則（IOCE）處理電子證據(jù)時(shí)，必須遵守所有的常規(guī)取證步驟、原則。獲取電子證據(jù)時(shí)，必須保證證據(jù)的不變性。進(jìn)行原始證據(jù)處理的取證人員應(yīng)該經(jīng)過專業(yè)培訓(xùn)。所有和電子證據(jù)的獲取、訪問、存儲(chǔ)、傳送相關(guān)的處理都必須完全歸檔、保存好。個(gè)人在擁有和案例相關(guān)的電子證據(jù)時(shí)，應(yīng)該對(duì)其所有在電子證據(jù)上所進(jìn)行的相關(guān)操作負(fù)有責(zé)任。任何代理機(jī)構(gòu)，在負(fù)責(zé)提取、訪問、保存或傳送電子證據(jù)時(shí)都必須遵守這些原則。12345678取證技術(shù)證據(jù)獲取技術(shù)磁盤映像技術(shù)數(shù)據(jù)恢復(fù)技術(shù)網(wǎng)絡(luò)實(shí)時(shí)數(shù)據(jù)獲取技術(shù)證據(jù)分析技術(shù)內(nèi)容分析技術(shù)證據(jù)鑒定技術(shù)數(shù)據(jù)解密技術(shù)反取證技術(shù)數(shù)據(jù)擦除數(shù)據(jù)隱藏?cái)?shù)據(jù)加密清除偽造日志12345678取證/反取證工具取證工具國外軟件LiveView、OpenFilesView、Helix、Wireshark反取證工具磁盤擦除工具Diszapper、隱藏信息的StealthDisk、以隱寫術(shù)為主的Cloak和數(shù)據(jù)隱藏工具InvisibleSecrets12345678應(yīng)用案例1：毒品販賣案子1警方采用手機(jī)取證設(shè)備對(duì)手機(jī)進(jìn)行了提取和恢復(fù)分析，得出了基本的聯(lián)系圖和上下級(jí)關(guān)系內(nèi)容；2采用硬盤取證復(fù)制機(jī)將嫌疑人的計(jì)算機(jī)硬盤進(jìn)行復(fù)制，避免對(duì)原始電子證據(jù)的破壞；3使用FTK司法分析軟件對(duì)復(fù)制后硬盤中的所有文檔進(jìn)行了分析，在其中一臺(tái)臺(tái)式機(jī)中發(fā)現(xiàn)了這個(gè)集團(tuán)的賬本，以及交易記錄，通訊錄等內(nèi)容。4針對(duì)其中一臺(tái)蘋果便攜式計(jì)算機(jī)，由于硬盤取出不方便，警方利用免拆機(jī)取證工具，直接通過USB接口對(duì)計(jì)算機(jī)進(jìn)行了取證和分析。山東XX公安局破獲一起重大的毒品販賣案子，嫌疑已經(jīng)抓獲，得知對(duì)方是使用手機(jī)短信和QQ聯(lián)絡(luò)互相聯(lián)系。警方繳獲了手機(jī)30臺(tái)，便攜式計(jì)算機(jī)3臺(tái)，臺(tái)式機(jī)計(jì)算機(jī)15臺(tái)，并對(duì)證據(jù)進(jìn)行安全保存。12345678應(yīng)用案例2：某單位經(jīng)濟(jì)案1拆除硬盤，使用硬盤復(fù)制機(jī)，將數(shù)據(jù)全盤拷貝到證據(jù)硬盤；2采用司法分析軟件Encase進(jìn)行了分析，獲取了諸多數(shù)據(jù)文件。3由于財(cái)務(wù)數(shù)據(jù)需要財(cái)務(wù)軟件環(huán)境展示，因此檢方采用仿真設(shè)備，還原操作系統(tǒng)環(huán)境并進(jìn)入財(cái)務(wù)軟件，輸入登錄密碼和插上加密狗，導(dǎo)出了所有的報(bào)表文件，最后為確保文件的完整性，采用Encase對(duì)文件采用哈希算法進(jìn)行了完整性保護(hù)。XX市人民檢察院技術(shù)處接到案件，要求查找嫌疑人計(jì)算機(jī)中的財(cái)務(wù)數(shù)據(jù)，并分析其數(shù)據(jù)的關(guān)聯(lián)性。繳獲的3臺(tái)臺(tái)式機(jī)計(jì)算機(jī)，皆為單獨(dú)主機(jī)，沒有網(wǎng)卡和光驅(qū)。應(yīng)用案例3：電話詐騙案1采用硬盤復(fù)制設(shè)備對(duì)原始證據(jù)進(jìn)行復(fù)制；2采用數(shù)據(jù)恢復(fù)軟件對(duì)系統(tǒng)上的文件進(jìn)行反刪除恢復(fù)；3對(duì)文件系統(tǒng)及關(guān)鍵文件進(jìn)行文件瀏覽；4完成關(guān)鍵涉案文件的提取。某公安局破獲一起電話詐騙團(tuán)伙案，罪犯所用計(jì)算機(jī)被損毀，硬盤被格式化。123456785.7安全測(cè)試基本知識(shí)這里，安全測(cè)試是確認(rèn)計(jì)算環(huán)境的安全功能、發(fā)現(xiàn)計(jì)算環(huán)境在部署、配置及軟件代碼在設(shè)計(jì)、實(shí)現(xiàn)、操作和管理等方面缺陷的過程。安全性測(cè)試可分為安全功能測(cè)試安全漏洞測(cè)試12345678基本知識(shí)安全測(cè)試流程測(cè)試前的準(zhǔn)備階段安全測(cè)試執(zhí)行階段數(shù)據(jù)匯總分析階段12345678基本知識(shí)安全測(cè)試技術(shù)與方法黑盒測(cè)試安全審查技術(shù)目標(biāo)識(shí)別與分析技術(shù)目標(biāo)漏洞驗(yàn)證技術(shù)12345678技術(shù)應(yīng)用安全測(cè)試工具靜態(tài)語法檢查工具日志審查工具系統(tǒng)配置分析工具網(wǎng)絡(luò)嗅探工具完整性工具網(wǎng)絡(luò)及漏洞掃描工具應(yīng)用程序安全測(cè)試工具滲透及攻擊測(cè)試工具12345678應(yīng)用實(shí)例12345678某公司安全測(cè)試框架應(yīng)用實(shí)例針對(duì)Web應(yīng)用進(jìn)行滲透測(cè)試123456781在AppScan里建立一個(gè)新的掃描2設(shè)置需要掃描的URL3登錄AppScan4測(cè)試策略的選擇5測(cè)試配置項(xiàng)6掃描分為二部分：探索，實(shí)際測(cè)試7分析和修復(fù)建議8漏洞復(fù)現(xiàn)和判斷其嚴(yán)重程度安全編碼基本知識(shí)安全編碼是指為了消除或降低軟件的安全風(fēng)險(xiǎn)而在編程時(shí)所遵循的原則以及所采用的技術(shù)手段。基本知識(shí)安全編碼意識(shí)培養(yǎng)1) 將安全性納入到軟件開發(fā)過程中2) 像攻擊者一樣思考3) 安全是一個(gè)風(fēng)險(xiǎn)管理問題12345678基本知識(shí)安全編碼技術(shù)內(nèi)存安全線程進(jìn)程安全異常處理安全輸入安全國際化安全面向?qū)ο缶幊贪踩玏eb編程安全安全編碼規(guī)范12345678技術(shù)應(yīng)用典型案例1：避免SQL注入StringsqlString="select*fromdb_userwhereusername=?andpassword=?";PreparedStatementstmt=connection.prepareStatement(sqlString);stmt.setString(1,username);stmt.setString(2,pwd);ResultSetrs=stmt.executeQuery();12345678技術(shù)應(yīng)用典型案例2：避免XSS跨站腳本攻擊//定義需過濾的字段串<script>Strings="\uFE64"+"script"+"\uFE65";//過濾字符串標(biāo)準(zhǔn)化s=Normalizer.normalize(s,Form.NFKC);//使用正則表達(dá)式匹配inputStr是否存在<script>Patternpattern=Ppile(inputStr);Matchermatcher=pattern.matcher(s);if(matcher.find()){//FoundblacklistedtagthrownewIllegalStateException();}else{//...}12345678技術(shù)應(yīng)用典型案例3：異常處理編程問題classFooimplementsRunnable