信息安全技術(shù)（HCIA-Security）（微課版）（第2版） 教案 項(xiàng)目13、14 安全運(yùn)營(yíng)與數(shù)據(jù)監(jiān)控、電子取證

教案 《信息安全技術(shù)》ADDINCNKISM.UserStyle授課周次與課時(shí)：第13周第49-52課時(shí)累計(jì)52課時(shí)課程名稱：信息安全技術(shù)授課課題：安全運(yùn)營(yíng)與數(shù)據(jù)分析教學(xué)目標(biāo)：學(xué)會(huì)區(qū)分不同的安全風(fēng)險(xiǎn)學(xué)會(huì)區(qū)分不同安全模型的特點(diǎn)和區(qū)別了解描述數(shù)據(jù)采集的過程掌握使用威脅定位的技術(shù)了解描述數(shù)據(jù)監(jiān)控與分析的技術(shù)手段了解描述數(shù)據(jù)采集的過程掌握使用威脅定位的技術(shù)教學(xué)要點(diǎn)：1.教學(xué)重點(diǎn)：安全運(yùn)營(yíng)分析的基本內(nèi)容2.教學(xué)難點(diǎn)：數(shù)據(jù)采集的過程思政目標(biāo)：加強(qiáng)學(xué)生對(duì)網(wǎng)絡(luò)安全和發(fā)展的認(rèn)識(shí)，維護(hù)網(wǎng)絡(luò)安全是國(guó)際社會(huì)的共同責(zé)任；大國(guó)重器：通過對(duì)超級(jí)計(jì)算機(jī)發(fā)展史的了解，讓同學(xué)們對(duì)超級(jí)計(jì)算機(jī)大國(guó)重器的認(rèn)識(shí)，提高我們的榮譽(yù)感和使命感；科技強(qiáng)國(guó)，通過對(duì)慈云桂教授優(yōu)秀事件的學(xué)習(xí)，讓學(xué)生加強(qiáng)技能訓(xùn)練，掌握核心技術(shù)，技能強(qiáng)國(guó)，科技強(qiáng)國(guó)；課型：理實(shí)一體課教學(xué)與學(xué)法（教具）：多媒體教學(xué)過程【課程思政/溫故知新】安全是發(fā)展的保障，發(fā)展是安全的目的。網(wǎng)絡(luò)安全是全球性挑戰(zhàn)，沒有哪個(gè)國(guó)家能夠置身事外、獨(dú)善其身，維護(hù)網(wǎng)絡(luò)安全是國(guó)際社會(huì)的共同責(zé)任。思政主題：大國(guó)重器科技強(qiáng)國(guó)我國(guó)改革開放以來，要搞四個(gè)現(xiàn)代化，不能沒有超級(jí)計(jì)算機(jī)。于是我國(guó)很快將超級(jí)計(jì)算機(jī)納入重點(diǎn)攻關(guān)目標(biāo)。這個(gè)任務(wù)就交給了國(guó)防科大計(jì)算機(jī)研究所所長(zhǎng)慈云桂教授。慈云桂教授也是立下了軍令狀，內(nèi)容包括：每秒運(yùn)行一億次，一次不少。研制時(shí)間，一天不拖。預(yù)算經(jīng)費(fèi)，一分不超。正是這份軍令狀，表明了我國(guó)發(fā)展超算的決心。經(jīng)過了五年的研究，最終在1983年，我國(guó)第一臺(tái)億次巨型計(jì)算機(jī)銀河1號(hào)研制成功，時(shí)間提前了一年。也讓中國(guó)成為了繼美日之后，第三個(gè)能夠獨(dú)立研究巨型機(jī)的國(guó)家。而在之后的10年時(shí)間里，銀河2號(hào)，3號(hào)，4號(hào)也相繼問世，運(yùn)算速度也從每秒一億次漲至一萬億次，目前中國(guó)最新的神威太湖之光超級(jí)計(jì)算機(jī)，其運(yùn)算速度更是達(dá)到了每秒3168萬億次。直至今日，我國(guó)超級(jí)計(jì)算機(jī)領(lǐng)域連續(xù)六年位居世界第一。超級(jí)計(jì)算機(jī)強(qiáng)大的計(jì)算能力為我國(guó)的航空航天、地震分析、氣象分析、彈道導(dǎo)彈數(shù)據(jù)分析提供了堅(jiān)實(shí)的基礎(chǔ)，在信息安全方面，數(shù)據(jù)監(jiān)控和分析也依賴于服務(wù)器強(qiáng)大的計(jì)算能力，從而為用戶提供數(shù)據(jù)分析結(jié)果，指導(dǎo)用戶的網(wǎng)絡(luò)安全管理行為?！拘抡n講授】1安全運(yùn)營(yíng)1.1安全運(yùn)營(yíng)概念在企業(yè)信息安全建設(shè)初期，企業(yè)安全工作主要內(nèi)容是通過購(gòu)買一系列的安全設(shè)備部署在各個(gè)協(xié)議層以保證業(yè)務(wù)日常的穩(wěn)定運(yùn)行。而隨著安全問題頻發(fā)，如信息泄露事件、自然災(zāi)害等，從業(yè)人員逐漸意識(shí)到僅僅部署安全設(shè)備并不能實(shí)現(xiàn)有效的安全運(yùn)營(yíng)。安全運(yùn)營(yíng)必須是資源、流程和管理的有效結(jié)合，才能達(dá)到保護(hù)企業(yè)業(yè)務(wù)安全持續(xù)穩(wěn)定運(yùn)行的目的。1.2安全運(yùn)營(yíng)基本要求安全運(yùn)營(yíng)涉及方方面面的要求，如圖1所示為安全運(yùn)營(yíng)的基本運(yùn)營(yíng)條件：圖1安全運(yùn)營(yíng)基本條件2安全運(yùn)營(yíng)內(nèi)容簡(jiǎn)述2.1業(yè)務(wù)連續(xù)性計(jì)劃業(yè)務(wù)連續(xù)性計(jì)劃（BusinessContinuityPlanning，BCP）的目標(biāo)是在緊急情況下提供快速、沉著和有效的響應(yīng)，從而增強(qiáng)企業(yè)立即從破壞性事件中恢復(fù)過來的能力，如圖18-2所示。圖2業(yè)務(wù)連續(xù)性基本步驟2.2事件響應(yīng)管理并非所有的威脅事件都能被預(yù)防，業(yè)務(wù)連續(xù)性計(jì)劃提供了處理緊急事件的流程指導(dǎo)，盡快地對(duì)威脅事件進(jìn)行響應(yīng)，能夠盡量減少事件對(duì)組織的影響，如圖18-3所示。圖3業(yè)務(wù)連續(xù)性基本步驟2.3災(zāi)難恢復(fù)計(jì)劃在災(zāi)難事件導(dǎo)致業(yè)務(wù)中斷時(shí)，災(zāi)難恢復(fù)計(jì)劃開始生效，指導(dǎo)緊急事件響應(yīng)人員的工作，將業(yè)務(wù)還原到正常運(yùn)行的狀態(tài)。災(zāi)難恢復(fù)計(jì)劃如圖18-4所示，包括以下內(nèi)容：圖4災(zāi)難恢復(fù)計(jì)劃過程2.4調(diào)查取證在采取措施之前，需要確定攻擊已經(jīng)發(fā)生，攻擊發(fā)生之后需要對(duì)該安全事件進(jìn)行調(diào)查和收集證據(jù)，調(diào)查是為了找出發(fā)生了什么，以及該事件的損害程度，如圖18-5所示。圖5調(diào)查取證3數(shù)據(jù)監(jiān)控基礎(chǔ)知識(shí)3.1主動(dòng)分析主動(dòng)分析：在攻擊發(fā)生前，對(duì)網(wǎng)絡(luò)的狀況進(jìn)行安全評(píng)估，對(duì)暴露的問題進(jìn)行及時(shí)的改正，加固網(wǎng)絡(luò)，提升網(wǎng)絡(luò)的安全性。安全評(píng)估方法如圖6所示：圖6安全評(píng)估方法示意圖3.2安全掃描標(biāo)準(zhǔn)是規(guī)范性文件之一。其定義是為了在一定的范圍內(nèi)獲得最佳秩序，經(jīng)協(xié)商一致制定并由公認(rèn)機(jī)構(gòu)批準(zhǔn)，共同使用的和重復(fù)使用的一種規(guī)范性文件。工作目標(biāo)：為了充分了解目標(biāo)系統(tǒng)當(dāng)前的網(wǎng)絡(luò)安全漏洞狀況，需要利用掃描分析評(píng)估工具對(duì)目標(biāo)系統(tǒng)進(jìn)行掃描，以便發(fā)現(xiàn)相關(guān)漏洞。工作內(nèi)容：系統(tǒng)開放的端口號(hào)、系統(tǒng)中存在的安全漏洞、是否存在弱口令、SQL注入漏洞、跨站腳本漏洞、工作輸出、掃描工具生成結(jié)果。常用的掃描工具如表1所示：表1常用掃描工具Superscan工具使用展示使用Superscan對(duì)實(shí)驗(yàn)環(huán)境中的web服務(wù)器進(jìn)行掃描，測(cè)試如圖6所示。圖6Superscan工具測(cè)試圖查看Superscan掃描結(jié)果：在“Scan”菜單欄，點(diǎn)解“ViewHTMLResult”查看掃描結(jié)果，如圖7所示圖7Superscan掃描結(jié)果Nmap工具使用展示選擇“Application”中的“InformationGathering”，單擊“Nmap”，如圖8所示。圖8Nmap工具Nmap命令參數(shù)規(guī)則nmap[ScanType(s)][Options]{targetspecification}-sTTCPconnect()掃描-sn/sPPing掃描-sUUDP掃描-sRRPC掃描-P0在掃描前不嘗試或者PING主機(jī)-O經(jīng)由TCP/IP獲取‘指紋’來判別主機(jī)的OS類型-v詳細(xì)模式。這是被強(qiáng)烈推薦的選項(xiàng)-h這是一個(gè)快捷的幫助選項(xiàng)-o指定一個(gè)放置掃描結(jié)果的文件的參數(shù)-D帶有誘騙模式的掃描，在遠(yuǎn)程主機(jī)的連接記錄里會(huì)記下所有你所指定的誘騙性的地址。-n不做DNS解析，可增加掃描速度查看Nmap掃描結(jié)果根據(jù)Nmap工具的參數(shù)規(guī)則，對(duì)目標(biāo)系統(tǒng)進(jìn)行信息收集，如下圖是對(duì)主機(jī)開放的TCP端口進(jìn)行掃描：圖9Nmap掃描結(jié)果Sparta工具使用展示Sparta是一款圖形界面化的工具，操作比較方便，并且他集成了端口掃描的功能和暴力破解的功能。選擇“Application”中的“VulnerabilityAnalysis”，單擊“Sparta”，如圖19-6所示。圖10Sparta工具查看Sparta掃描結(jié)果如圖10所示，在操作界面添加要掃描的地址網(wǎng)段或主機(jī)地址，進(jìn)行掃描，如圖展示了目標(biāo)主機(jī)開放的端口及應(yīng)用，而且可以查看操作系統(tǒng)的信息：圖11Sparta掃描結(jié)果BurpSuite使用展示如圖18所示，BurpSuite會(huì)向應(yīng)用發(fā)送請(qǐng)求并通過payload驗(yàn)證漏洞。它對(duì)下列的兩類漏洞有很好的掃描效果：客戶端的漏洞，像XSS、Http頭注入、操作重定向；服務(wù)端的漏洞，像SQL注入、命令行注入、文件遍歷。在使用BurpSuite之前，我們除了要正確配置BurpProxy并設(shè)置瀏覽器代理外，還需要在BurpTarget的站點(diǎn)地圖中存在需要掃描的域和URL模塊路徑。當(dāng)BurpTarget的站點(diǎn)地圖中存在這些域或URL路徑時(shí)，我們才能對(duì)指定的域或者URL進(jìn)行全掃描或者分支掃描。圖18BurpSuite工具BurpSuite掃描結(jié)果，在Results界面，如圖18所示，自動(dòng)顯示隊(duì)列中已經(jīng)掃描完成的漏洞明細(xì)。圖19BurpSuite工具掃描結(jié)果3.3人工審計(jì)工作目標(biāo)人工審計(jì)是對(duì)工具評(píng)估的一種補(bǔ)充，它不需要在被評(píng)估的目標(biāo)系統(tǒng)上安裝任何軟件，對(duì)目標(biāo)系統(tǒng)的運(yùn)行和狀態(tài)沒有任何影響，在不允許安裝軟件進(jìn)行檢查的重要主機(jī)上顯得非常有用。工作內(nèi)容安全專家對(duì)包括主機(jī)系統(tǒng)、業(yè)務(wù)系統(tǒng)、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等在內(nèi)的目標(biāo)系統(tǒng)進(jìn)行人工檢查。檢查的內(nèi)容視檢查目標(biāo)不同將可能涵蓋以下方面：是否安裝最新補(bǔ)?。皇欠袷褂梅?wù)最小化原則，是否開啟了不必要的服務(wù)和端口；防火墻配置策略是否正確。3.4滲透測(cè)試滲透測(cè)試是作為外部審查的一部分而進(jìn)行的。這種測(cè)試需要探查系統(tǒng)，以發(fā)現(xiàn)操作系統(tǒng)和任何網(wǎng)絡(luò)服務(wù)，并檢查這些網(wǎng)絡(luò)服務(wù)有無漏洞。在實(shí)際開始評(píng)估掃描同時(shí)，在被評(píng)估方的授權(quán)下，根據(jù)客戶要求的重點(diǎn)IP，進(jìn)行滲透測(cè)試，完全模擬黑客可能使用的攻擊技術(shù)和漏洞發(fā)現(xiàn)技術(shù)，對(duì)目標(biāo)系統(tǒng)的安全作深入的探測(cè)，發(fā)現(xiàn)系統(tǒng)最脆弱的環(huán)節(jié)。對(duì)這些重點(diǎn)IP做到盡可能地準(zhǔn)確全面的測(cè)試，一旦發(fā)現(xiàn)危害性嚴(yán)重的漏洞，及時(shí)修補(bǔ)，以免后患。根據(jù)用戶需求決定是否采用。滲透測(cè)試的流程如圖20所示：圖20滲透測(cè)試示意圖4被動(dòng)采集技術(shù)被動(dòng)獲?。寒?dāng)攻擊發(fā)生時(shí)，及時(shí)采集數(shù)據(jù)，分析攻擊使用的方法，以及網(wǎng)絡(luò)存在的問題，進(jìn)行及時(shí)的補(bǔ)救，減少損失。數(shù)據(jù)采集方式如圖21所示：圖21數(shù)據(jù)采集方式4.1抓包命令行：查看OSPF鄰居建立過程如圖22所示。圖22OSPF鄰居建立過程命令行：查看OSPF報(bào)文信息具體內(nèi)容如圖23所示。圖23OSPF報(bào)文信息使用wireshark抓包工具，查看OSPF鄰居建立過程如圖24所示。圖24使用WireShark抓包工具查看OSPF鄰居建立使用wireshark抓包工具，查看OSPF報(bào)文信息具體內(nèi)容如圖25所示。圖25使用WireShark抓包工具查看OSPF報(bào)文信息4.2端口鏡像端口鏡像如圖26所示。是指設(shè)備復(fù)制從鏡像端口流經(jīng)的報(bào)文，并將此報(bào)文傳送到指定的觀察端口進(jìn)行分析和監(jiān)控。其中，鏡像端口：是指被監(jiān)控的端口，鏡像端口收發(fā)的報(bào)文將被復(fù)制一份到與監(jiān)控設(shè)備相連的端口。觀察端口：是指連接監(jiān)控設(shè)備的端口，用于將鏡像端口復(fù)制過來的報(bào)文發(fā)送給監(jiān)控設(shè)備。圖26端口鏡像4.3日志日志存儲(chǔ)依賴于硬盤或SD卡，當(dāng)硬盤或SD卡不在位時(shí)，會(huì)對(duì)查看日志、導(dǎo)出日志有影響。不同的設(shè)備型號(hào)，對(duì)日志、報(bào)表支持情況也不同，請(qǐng)參考華為產(chǎn)品文檔。日志類型可分為以下幾種。系統(tǒng)日志管理員可以查看系統(tǒng)運(yùn)行過程中所產(chǎn)生的運(yùn)行日志以及硬件環(huán)境的相關(guān)日志記錄，了解設(shè)備是否一直正常運(yùn)行，在發(fā)生問題時(shí)可以用于故障的定位和分析。業(yè)務(wù)日志管理員可以獲知網(wǎng)絡(luò)中的相關(guān)信息，可及時(shí)進(jìn)行故障定位和分析。告警信息通過Web界面直觀查看設(shè)備產(chǎn)生的告警信息，包括告警級(jí)別、產(chǎn)生事件、告警源以及描述信息。流量日志管理員可以獲知網(wǎng)絡(luò)中的流量特征，了解當(dāng)前網(wǎng)絡(luò)的帶寬占用以及安全策略和帶寬策略配置的生效情況。威脅日志管理員可以查看AV、入侵、DDoS、僵尸、木馬、蠕蟲、APT等網(wǎng)絡(luò)威脅的檢測(cè)和防御情況的記錄，了解曾經(jīng)發(fā)生和正在發(fā)生的威脅事件，以及時(shí)做出策略調(diào)整或主動(dòng)防御。URL日志管理員可以查看用戶訪問URL時(shí)產(chǎn)生的允許、告警或阻斷情況，了解用戶的URL訪問情況以及被允許、告警或阻斷的原因。4.4數(shù)據(jù)分析打擊計(jì)算機(jī)網(wǎng)絡(luò)犯罪的關(guān)鍵，是如何在計(jì)算機(jī)系統(tǒng)中提取和分析計(jì)算機(jī)犯罪分子留在計(jì)算機(jī)中的“痕跡”，使之成為能夠追蹤并抓獲犯罪嫌疑人的重要手段和方法。網(wǎng)絡(luò)中發(fā)生的重要事件都會(huì)被記錄在日志中，因此，對(duì)日志的分析尤為重要。4.5日志分析要點(diǎn)日志分析的要點(diǎn)如圖27所示；圖27日志分析Who：是用戶還是訪客。When：什么時(shí)間。Where：在什么地點(diǎn)，如位置信息，登錄的設(shè)備信息，接入的接口信息，訪問的服務(wù)等。How：通過什么方式，如通過有線接入，無線接入或者VPN接入。What：做了什么，如進(jìn)行的操作行為，使用接入設(shè)備，訪問的資源服務(wù)等。4.6網(wǎng)絡(luò)設(shè)備日志分析以防火墻為例，可以通過日志，分析攻擊行為。如圖28所示，通過“威脅日志”發(fā)現(xiàn)存在IPSpoofAttack，并可以獲得攻擊的時(shí)間，使用的協(xié)議，接收接口等信息。圖28網(wǎng)絡(luò)設(shè)備日志分析4.7操作系統(tǒng)日志分析由于日志中記錄了操作系統(tǒng)的所有事件，在大量的信息中快速篩選出關(guān)鍵信息尤為重要。Windows操作系統(tǒng)中可以根據(jù)需要篩選關(guān)鍵事件，如圖29所示。圖29操作系統(tǒng)日志分析4.8其它場(chǎng)景分析用戶登錄與注銷事件分析使用場(chǎng)景主要判斷哪些用戶登錄過操作系統(tǒng)，并分析用戶對(duì)操作系統(tǒng)的使用情況。事件ID4624–登陸成功（安全日志）；4625–登錄失?。ò踩罩荆?634–注銷成功（安全日志）；4672–使用超級(jí)用戶（管理員）進(jìn)行登錄（安全日志）；修改系統(tǒng)時(shí)間事件分析使用場(chǎng)景查找用戶修改系統(tǒng)時(shí)間的證據(jù)。事件ID1–Kernel-General（系統(tǒng)日志）；4616–更改系統(tǒng)時(shí)間（安全日志）；外部設(shè)置使用事件分析使用場(chǎng)景分析哪些硬件設(shè)備何時(shí)安裝到系統(tǒng)中。事件ID20001/20003–即插即用驅(qū)動(dòng)安裝（系統(tǒng)日志）分析工具介紹LogParser是微軟公司出品的日志分析工具，它功能強(qiáng)大，使用簡(jiǎn)單，可以分析基于文本的日志文件、XML文件、CSV（逗號(hào)分隔符）文件，以及操作系統(tǒng)的事件日志、注冊(cè)表、文件系統(tǒng)、ActiveDirectory。但需要能夠熟練地使用SQL語言。LogParserLizard使用圖形界面，比較易于使用，甚至不需要記憶煩瑣的命令，只需要做好設(shè)置，寫好基本的SQL語句，就可以直觀的得到結(jié)果?！緦W(xué)生練習(xí)】1、 業(yè)務(wù)連續(xù)性計(jì)劃和災(zāi)難恢復(fù)計(jì)劃有什么區(qū)別？2、 業(yè)務(wù)連續(xù)性計(jì)劃基本步驟有哪些？3、 災(zāi)難恢復(fù)計(jì)劃步驟有哪些？4、 調(diào)查取證的流程？【點(diǎn)評(píng)】【總結(jié)提煉】本章節(jié)介紹了安全運(yùn)營(yíng)的基本概念，介紹如何通過技術(shù)手段獲取有效信息，并針對(duì)獲取的信息分析，定位安全風(fēng)險(xiǎn)與威脅，并且對(duì)安全運(yùn)營(yíng)需要具備的條件進(jìn)行簡(jiǎn)單介紹?！菊n后作業(yè)】安全評(píng)估方法不包括以下哪個(gè)選項(xiàng)？（）安全掃描人工審計(jì)滲透測(cè)試調(diào)查取證Windows日志分類不包括以下哪個(gè)選項(xiàng)？（）系統(tǒng)日志安全日志應(yīng)用程序日志業(yè)務(wù)日志被動(dòng)采集技術(shù)有哪些？端口鏡像中，鏡像端口和觀察端口分別指什么？Windows日志的組成？【教學(xué)后記】ADDINCNKISM.UserStyle授課周次與課時(shí)：第14周第53-56課時(shí)累計(jì)56課時(shí)課程名稱：信息安全技術(shù)授課課題：電子取證、網(wǎng)絡(luò)安全應(yīng)急響應(yīng)教學(xué)目標(biāo)：了解電子取證的過程了解電子取證的技術(shù)原理掌握使用電子取證的相關(guān)工具掌握電子取證的過程教學(xué)要點(diǎn)：1.教學(xué)重點(diǎn)：電子取證工具的使用2.教學(xué)難點(diǎn)：電子取證技術(shù)原理思政目標(biāo)：加強(qiáng)學(xué)生對(duì)芯片安全的認(rèn)識(shí)，以及芯片安全在國(guó)家安全體系的重要性認(rèn)識(shí)；民族品牌：通過對(duì)中國(guó)龍芯發(fā)展史的了解，使同學(xué)們意識(shí)到中國(guó)目前芯片發(fā)展的中國(guó)速度并不慢，加強(qiáng)對(duì)民族品牌的自豪感和國(guó)家的榮譽(yù)感；科技強(qiáng)國(guó)，通過對(duì)胡偉武教授優(yōu)秀事件的學(xué)習(xí)，讓學(xué)生加強(qiáng)技能訓(xùn)練，掌握核心技術(shù)，技能強(qiáng)國(guó)，科技強(qiáng)國(guó)；課型：理實(shí)一體課教學(xué)與學(xué)法（教具）：多媒體教學(xué)過程【課程思政/溫故知新】推進(jìn)全球互聯(lián)網(wǎng)治理體系變革是大勢(shì)所趨、人心所向。國(guó)際網(wǎng)絡(luò)空間治理應(yīng)該堅(jiān)持多邊參與、多方參與,發(fā)揮政府、國(guó)際組織、互聯(lián)網(wǎng)企業(yè)、技術(shù)社群、民間機(jī)構(gòu)、公民個(gè)人等主體作用。思政主題：民族品牌科技強(qiáng)國(guó)我國(guó)是制造大國(guó)，我國(guó)制造了全球80%的手機(jī)、電視、游戲機(jī)，對(duì)芯片的需求非常大，每年消耗全球總產(chǎn)能的三分之二的芯片，但芯片自給率不高，2019年大約30%左右的芯片自己制造，70%靠進(jìn)口。為了擺脫這種局面，龍芯一直在努力，直至目前，龍芯研發(fā)的3A3000這款芯片，“龍芯之父”胡偉武說它是“在半空中的CPU”。說他在半空中，主要是指技術(shù)水平——沒有達(dá)到頂尖，卻已經(jīng)很強(qiáng)。3A3000是龍芯上一代芯片性能的3-5倍。與VIA和AMD的主流中端芯片比較，數(shù)據(jù)幾乎相當(dāng)，有些指標(biāo)優(yōu)勢(shì)很大，有些指標(biāo)不相上下。Intel+Windows的生態(tài)，龐大得讓人生畏。但是龍芯必須在巨頭眼皮底下奮力“折騰”出自己的生態(tài)。胡偉武覺得，這個(gè)事情雖然難，但沒有想象中那么不可能。當(dāng)然，在個(gè)人電腦方面，Intel制霸天下，但是這個(gè)世界并不僅僅有個(gè)人電腦這一個(gè)大市場(chǎng)。相比INTEL早年的發(fā)展來說，龍芯發(fā)展的腳步已經(jīng)很快了。我們也堅(jiān)信著總有一天，我們會(huì)迎來屬于龍芯的時(shí)代。隨著我國(guó)了芯片產(chǎn)業(yè)的發(fā)展，在信息系統(tǒng)和工控系統(tǒng)上使用的越來越多，很多產(chǎn)品開始使用國(guó)產(chǎn)的芯片，自主性和安全性的深度融合，安全可信模塊，可信計(jì)算體系給電子取證帶來了便利，也加快了我國(guó)電子取證技術(shù)的發(fā)展?！拘抡n講授】1電子取證概覽1.1計(jì)算機(jī)犯罪行為人違反國(guó)家規(guī)定，故意侵入計(jì)算機(jī)信息系統(tǒng)，或者利用各種技術(shù)手段對(duì)計(jì)算機(jī)信息系統(tǒng)的功能及有關(guān)數(shù)據(jù)、應(yīng)用程序等進(jìn)行破壞；制作、傳播計(jì)算機(jī)病毒；影響計(jì)算機(jī)系統(tǒng)正常運(yùn)行且造成嚴(yán)重后果的行為。計(jì)算機(jī)犯罪無外乎以下兩種方式：利用計(jì)算機(jī)存儲(chǔ)有關(guān)犯罪活動(dòng)的信息；直接利用計(jì)算機(jī)作為犯罪工具進(jìn)行犯罪活動(dòng)。1.2電子取證安全運(yùn)營(yíng)涉及方方面面的要求，如圖1所示為安全運(yùn)營(yíng)的基本運(yùn)營(yíng)條件：電子證據(jù)（ElectronicEvidence）是指在計(jì)算機(jī)或計(jì)算機(jī)系統(tǒng)運(yùn)行過程中產(chǎn)生的，以其記錄的內(nèi)容來證明案件事實(shí)的電磁記錄物，如圖1所示。電子證據(jù)亦稱為數(shù)字證據(jù)、計(jì)算機(jī)證據(jù)等。圖1安全運(yùn)營(yíng)基本條件1.3電子證據(jù)來源司法實(shí)踐中常見的電子證據(jù)可分為三類，如圖2所示：與現(xiàn)代通信技術(shù)有關(guān)的電子證據(jù)；與廣播技術(shù)、電視技術(shù)、電影技術(shù)等其他現(xiàn)代信息技術(shù)有關(guān)的電子證據(jù)；與計(jì)算機(jī)技術(shù)或網(wǎng)絡(luò)技術(shù)有關(guān)的電子證據(jù)。圖2電子證據(jù)來源1.4電子證據(jù)特點(diǎn)圖3電子證據(jù)特點(diǎn)2電子證據(jù)來源2.1取證原則圖4取證原則2.2保護(hù)現(xiàn)場(chǎng)根據(jù)電子證據(jù)的特點(diǎn)，在進(jìn)行計(jì)算機(jī)取證時(shí)，首先要盡早搜集證據(jù)，并保證其沒有受到任何破壞。取證工作一般按照如圖5所示的步驟進(jìn)行。圖5業(yè)務(wù)連續(xù)性基本步驟2.3獲取證據(jù)搜索目標(biāo)系統(tǒng)中的所有文件。包括現(xiàn)存的正常文件，已經(jīng)被刪除但仍存在于磁盤上（即還沒有被新文件覆蓋）的文件，隱藏文件，受到密碼保護(hù)的文件和加密文件。2.4保全證據(jù)取證過程中避免出現(xiàn)任何更改系統(tǒng)設(shè)置、損壞硬件、破壞數(shù)據(jù)或病毒感染的情況，確保證據(jù)出示時(shí)仍是初始狀態(tài)，如圖6所示。圖6調(diào)查取證2.5鑒定證據(jù)解決證據(jù)的完整性驗(yàn)證和確定其是否符合可采用標(biāo)準(zhǔn)，如圖7所示。圖7證據(jù)鑒定標(biāo)準(zhǔn)電子數(shù)據(jù)司法鑒定是一種提取、保全、檢驗(yàn)分析電子數(shù)據(jù)證據(jù)的專門措施。也是一種審查和判斷電子數(shù)據(jù)證據(jù)的專門措施。它主要包括電子數(shù)據(jù)證據(jù)內(nèi)容一致性的認(rèn)定、對(duì)各類電子設(shè)備或存儲(chǔ)介質(zhì)所存儲(chǔ)數(shù)據(jù)內(nèi)容的認(rèn)定、對(duì)各類電子設(shè)備或存儲(chǔ)介質(zhì)已刪除數(shù)據(jù)內(nèi)容的認(rèn)定、加密文件數(shù)據(jù)內(nèi)容的認(rèn)定、計(jì)算機(jī)程序功能或系統(tǒng)狀況的認(rèn)定、電子數(shù)據(jù)證據(jù)的真?zhèn)渭靶纬蛇^程的認(rèn)定等。2.6分析證據(jù)證據(jù)分析技術(shù)：在已經(jīng)獲取的數(shù)據(jù)流或信息流中尋找、匹配關(guān)鍵詞或關(guān)鍵短語，分析事件的關(guān)聯(lián)性，具體包括：密碼破譯、數(shù)據(jù)解密、文件屬性分析、數(shù)字摘要分析、日志分析技術(shù)、反向工程等。2.7進(jìn)行跟蹤隨著計(jì)算機(jī)犯罪技術(shù)手段的升級(jí)，取證已與入侵檢測(cè)等網(wǎng)絡(luò)安全工具相結(jié)合，進(jìn)行動(dòng)態(tài)取證，追蹤的目的是找到攻擊源，攻擊源包括：