信息安全技術（HCIA-Security）（微課版）（第2版） 課件 第13、14章 安全運營與數(shù)據(jù)監(jiān)控、電子取證

安全運營簡介安全是發(fā)展的保障，發(fā)展是安全的目的。網(wǎng)絡安全是全球性挑戰(zhàn)，沒有哪個國家能夠置身事外、獨善其身，維護網(wǎng)絡安全是國際社會的共同責任。文字學習大國重器《中國超級計算機有多?！吠卣怪黝}愛國主義、科技強國、技能強國在當今信息時代，安全運營逐漸成為一個熱門話題。信息安全事故層出不窮，大大影響了企業(yè)的正常運行，迄今為止已對世界各地企業(yè)造成了不可估量的損失，而安全運營是全方面保證企業(yè)業(yè)務持續(xù)安全運行的必要條件。本章節(jié)將介紹安全運營的基本概念，并且對安全運營需要具備的條件進行簡單介紹。學完本課程后，您將能夠：描述安全運營的概念了解安全運營的內(nèi)容描述數(shù)據(jù)監(jiān)控與分析的技術手段描述數(shù)據(jù)采集的過程使用威脅定位的技術安全運營概念安全運營概念安全運營基本要求安全運營內(nèi)容簡述數(shù)據(jù)監(jiān)控數(shù)據(jù)分析安全運營概念在企業(yè)信息安全建設初期，企業(yè)安全工作主要內(nèi)容是通過購買一系列的安全設備部署在各個協(xié)議層以保證業(yè)務日常的穩(wěn)定運行。而隨著安全問題頻發(fā)，如信息泄露事件、自然災害等，從業(yè)人員逐漸意識到僅僅部署安全設備并不能實現(xiàn)有效的安全運營。安全運營必須是資源、流程和管理的有效結合，才能達到保護企業(yè)業(yè)務安全持續(xù)穩(wěn)定運行的目的。安全運營概念安全運營概念安全運營基本要求安全運營內(nèi)容簡述數(shù)據(jù)監(jiān)控數(shù)據(jù)分析安全運營基本條件安全運營涉及方方面面的要求，以下為安全運營的基本運營條件：安全運營業(yè)務連續(xù)性計劃物理安全管理安全運營事件預防及響應災難恢復計劃調查取證保護資源的配置理解和應用基本的安全操作原則采用資源保護技術執(zhí)行和支持補丁及脆弱性管理參與和理解變更管理流程參與解決人身安全管理日志和監(jiān)控行為實施事件管理操作和維護預防措施實施恢復策略執(zhí)行災難恢復過程測試災難恢復計劃理解和支持調查理解調查取證類別的要求安全運營概念安全運營內(nèi)容簡述業(yè)務連續(xù)性計劃事件響應管理災難恢復計劃調查取證數(shù)據(jù)監(jiān)控數(shù)據(jù)分析業(yè)務連續(xù)性計劃業(yè)務連續(xù)性計劃（BusinessContinuityPlanning，BCP）的目標是在緊急情況下提供快速、沉著和有效的響應，從而增強企業(yè)立即從破壞性事件中恢復過來的能力。業(yè)務連續(xù)性計劃基本步驟項目范圍和計劃編制連續(xù)性計劃編制BCP文檔化業(yè)務影響評估項目范圍和計劃任何流程或計劃的制定都必須依據(jù)具體組織的實際業(yè)務的規(guī)模和性質，符合企業(yè)文化，并且遵守相關法律。如下是制定計劃初期無額定項目范圍的具體要求：業(yè)務組織分析BCP團隊組建資源要求法律和法規(guī)要求業(yè)務影響評估業(yè)務影響評估（BusinessImapctAssessment）確定了能夠決定組織持續(xù)發(fā)展的資源，以及對這些資源的威脅，并且還評估每種威脅實際出現(xiàn)的可能性以及出現(xiàn)的威脅對業(yè)務的影響。業(yè)務影響評估包含以下部分：確定優(yōu)先級風險識別可能性評估影響評估資源優(yōu)先級劃分連續(xù)性計劃編制上兩個階段主要用于確定BCP的工作過程以及保護業(yè)務資產(chǎn)的有限順序，在連續(xù)性計劃編制階段則注重于連續(xù)性策略的開發(fā)和實現(xiàn)，在這一階段涉及以下任務：2345計劃實現(xiàn)預備和處理培訓和教育計劃批準1策略開發(fā)BCP文檔化將BCP文檔化有助于在發(fā)生緊急事件時，此文檔能夠對BCP人員提供處理威脅事件的指導。同時，該文檔記錄了修改歷史，為后續(xù)處理類似事件或者文檔修改提供經(jīng)驗借鑒。文檔的內(nèi)容應當包含以下內(nèi)容：連續(xù)性計劃的目標重要性聲明組織職責的聲明緊急程度和時限的聲明風險評估可接受的風險/風險調解重大記錄計劃響應緊急事件的指導原則維護測試和演習安全運營概念安全運營內(nèi)容簡述業(yè)務連續(xù)性計劃事件響應管理災難恢復計劃調查取證數(shù)據(jù)監(jiān)控數(shù)據(jù)分析事件響應管理并非所有的威脅事件都能被預防，業(yè)務連續(xù)性計劃提供了處理緊急事件的流程指導，盡快地對威脅事件進行響應，能夠盡量減少事件對組織的影響。響應緩解報告恢復修復檢測經(jīng)驗教訓安全運營概念安全運營內(nèi)容簡述業(yè)務連續(xù)性計劃事件響應管理災難恢復計劃調查取證數(shù)據(jù)監(jiān)控數(shù)據(jù)分析災難恢復計劃在災難事件導致業(yè)務中斷時，災難恢復計劃開始生效，指導緊急事件響應人員的工作，將業(yè)務還原到正常運行的狀態(tài)。災難恢復計劃包括以下內(nèi)容：實施恢復策略執(zhí)行災難恢復過程測試災難恢復計劃安全運營概念安全運營內(nèi)容簡述業(yè)務連續(xù)性計劃事件響應管理災難恢復計劃調查取證數(shù)據(jù)監(jiān)控數(shù)據(jù)分析調查在采取措施之前，需要確定攻擊已經(jīng)發(fā)生，攻擊發(fā)生之后需要對該安全事件進行調查和收集證據(jù)，調查是為了找出發(fā)生了什么，以及該事件的損害程度。操作型調查犯罪調查民事調查監(jiān)管調查電子發(fā)現(xiàn)證據(jù)為了成功地檢舉犯罪，必須提供足夠的證據(jù)來證實犯罪行為。證據(jù)的類型分為：實物證據(jù)文檔證據(jù)言辭證據(jù)調查取證流程事故確認請求執(zhí)法證據(jù)收集及保存約談個人提起訴訟本章主要介紹如何通過技術手段獲取有效信息，并針對獲取的信息分析，定位安全風險與威脅。數(shù)據(jù)的收集可以從互聯(lián)的網(wǎng)絡設備中采集，也可以檢查提供服務的終端系統(tǒng)。在安全事件發(fā)生前，通過數(shù)據(jù)的監(jiān)控和分析，主動分析網(wǎng)絡的安全風險，加固網(wǎng)絡；在安全事件發(fā)生后，通過數(shù)據(jù)的監(jiān)控和分析，迅速定位安全威脅，為攻擊防御與取證提供支持。安全運營概念安全運營內(nèi)容簡述數(shù)據(jù)監(jiān)控主動分析被動采集數(shù)據(jù)分析主動分析主動分析：在攻擊發(fā)生前，對網(wǎng)絡的狀況進行安全評估，對暴露的問題進行及時的改正，加固網(wǎng)絡，提升網(wǎng)絡的安全性。安全評估方法如圖所示：安全評估方法1.安全掃描2.人工審計3.滲透測試4.調查問卷5.訪談調研安全掃描工作目標：為了充分了解目標系統(tǒng)當前的網(wǎng)絡安全漏洞狀況，需要利用掃描分析評估工具對目標系統(tǒng)進行掃描，以便發(fā)現(xiàn)相關漏洞。工作內(nèi)容：系統(tǒng)開放的端口號系統(tǒng)中存在的安全漏洞是否存在弱口令SQL注入漏洞跨站腳本漏洞工作輸出掃描工具生成結果安全掃描人工審計滲透測試問卷調查訪談調研掃描工具工具類型工具名稱用途掃描類型端口掃描軟件superscan

功能強大的端口掃描軟件：通過Ping來檢驗IP是否在線；檢驗目標計算機提供的服務類別；檢驗一定范圍目標計算機的是否在線和端口情況。Nmap是Linux下的網(wǎng)絡掃描和嗅探工具包。基本功能：一是探測一組主機是否在線；其次是掃描主機端口，嗅探所提供的網(wǎng)絡服務；還可以推斷主機所用的操作系統(tǒng)。漏洞掃描工具Sparta集成于Kali內(nèi)的漏洞掃描工具，能夠發(fā)現(xiàn)系統(tǒng)中開啟的服務以及開放端口，還可以根據(jù)字典，暴力破解應用的用戶名和密碼。應用掃描BurpSuiteBurpSuite是用于滲透web應用程序的集成平臺。它包含了許多工具，并為這些工具設計了許多接口，以促進加快攻擊應用程序的過程。Superscan工具使用展示如圖，使用Superscan對實驗環(huán)境中的web服務器進行掃描，測試如圖：查看Superscan掃描結果在“Scan”菜單欄，點解“ViewHTMLResult”查看掃描結果，如下圖：Nmap工具使用展示選擇“Application”中的“InformationGathering”，點擊“Nmap”，如圖：查看Nmap掃描結果根據(jù)Nmap工具的參數(shù)規(guī)則，對目標系統(tǒng)進行信息收集，如下圖是對主機開放的TCP端口進行掃描：Sparta工具使用展示選擇“Application”中的“VulnerabilityAnalysis”，點擊“Sparta”，如圖：查看Sparta掃描結果在操作界面添加要掃描的地址網(wǎng)段或主機地址，進行掃描，如圖展示了目標主機開放的端口及應用，而且可以查看操作系統(tǒng)的信息：BurpSuite使用展示BurpSuite會向應用發(fā)送請求并通過payload驗證漏洞。它對下列的兩類漏洞有很好的掃描效果：客戶端的漏洞，像XSS、Http頭注入、操作重定向；服務端的漏洞，像SQL注入、命令行注入、文件遍歷。BurpSuite掃描結果在Results界面，自動顯示隊列中已經(jīng)掃描完成的漏洞明細。人工審計工作目標人工審計是對工具評估的一種補充，它不需要在被評估的目標系統(tǒng)上安裝任何軟件，對目標系統(tǒng)的運行和狀態(tài)沒有任何影響，在不允許安裝軟件進行檢查的重要主機上顯得非常有用。工作內(nèi)容安全專家對包括主機系統(tǒng)、業(yè)務系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡設備、安全設備等在內(nèi)的目標系統(tǒng)進行人工檢查。檢查的內(nèi)容視檢查目標不同將可能涵蓋以下方面：是否安裝最新補丁是否使用服務最小化原則，是否開啟了不必要的服務和端口防火墻配置策略是否正確安全掃描人工審計滲透測試問卷調查訪談調研滲透測試滲透測試是作為外部審查的一部分而進行的。這種測試需要探查系統(tǒng)，以發(fā)現(xiàn)操作系統(tǒng)和任何網(wǎng)絡服務，并檢查這些網(wǎng)絡服務有無漏洞。滲透測試的流程如下：1信息收集、分析2制定滲透方案、實施準備3前段信息匯報、分析4提升權限、滲透實施5滲透結果總結6輸出滲透測試報告7提出安全解決建議安全掃描滲透測試問卷調查訪談調研滲透測試調查問卷調查對象網(wǎng)絡系統(tǒng)管理員、安全管理員、技術負責人等調查內(nèi)容業(yè)務、資產(chǎn)、威脅、脆弱性（管理方面）。設計原完整性、具體性、簡潔性、一致性安全掃描滲透測試問卷調查訪談調研滲透測試訪談調研訪談對象安全管理員、技術負責人、網(wǎng)絡系統(tǒng)管理員等訪談內(nèi)容確認問卷調查結果詳細獲取管理執(zhí)行現(xiàn)狀聽取用戶想法和意見安全掃描滲透測試問卷調查訪談調研滲透測試安全運營概念安全運營內(nèi)容簡述數(shù)據(jù)監(jiān)控主動分析被動采集數(shù)據(jù)分析被動獲取被動獲?。寒敼舭l(fā)生時，及時采集數(shù)據(jù)，分析攻擊使用的方法，以及網(wǎng)絡存在的問題，進行及時的補救，減少損失。數(shù)據(jù)采集方式如下所示：數(shù)據(jù)采集抓包命令行抓包軟件端口鏡像日志網(wǎng)絡設備日志操作系統(tǒng)日志抓包-命令行(1)命令行：查看OSPF鄰居建立過程。<Switch>debuggingospfeventApr12201812:03:16.370.1-05:00SW3RM/6/RMDEBUG:FileID:0x7017802dLine:1136Level:0x20OSPF1:Nbr4RcvHelloReceivedStateDown->Init.Apr12201812:03:16.380.1-05:00SW3RM/6/RMDEBUG:FileID:0x7017802dLine:1732Level:0x20OSPF1:Nbr4Rcv2WayReceivedStateInit->2Way.Apr12201812:03:16.390.1-05:00SW3RM/6/RMDEBUG:FileID:0x7017802dLine:1732Level:0x20OSPF1:Nbr4RcvAdjOk?State2Way->ExStart.Apr12201812:03:16.400.1-05:00SW3RM/6/RMDEBUG:FileID:0x7017802dLine:1845Level:0x20OSPF1:Nbr4RcvNegotiationDoneStateExStart->Exchange.Apr12201812:03:16.410.1-05:00SW3RM/6/RMDEBUG:FileID:0x7017802dLine:1957Level:0x20OSPF1:Nbr4RcvExchangeDoneStateExchange->Loading.Apr12201812:03:16.430.1-05:00SW3RM/6/RMDEBUG:FileID:0x7017802dLine:2359Level:0x20OSPF1:Nbr4RcvLoadingDoneStateLoading->Full.抓包-命令行(2)命令行：查看OSPF報文信息具體內(nèi)容。<Switch>debuggingospfpacketApr12201812:05:42.930.2-05:00SW3RM/6/RMDEBUG:SourceAddress:4Apr12201812:05:42.930.3-05:00SW3RM/6/RMDEBUG:DestinationAddress:Apr12201812:05:42.940.1-05:00SW3RM/6/RMDEBUG:Ver#2,Type:1(Hello)Apr12201812:05:42.940.2-05:00SW3RM/6/RMDEBUG:Length:48,Router:4Apr12201812:05:42.940.3-05:00SW3RM/6/RMDEBUG:Area:,Chksum:4dcfApr12201812:05:42.940.4-05:00SW3RM/6/RMDEBUG:AuType:00Apr12201812:05:42.940.5-05:00SW3RM/6/RMDEBUG:Key(ascii):********dApr12201812:05:42.940.6-05:00SW3RM/6/RMDEBUG:NetMask:eApr12201812:05:42.940.7-05:00SW3RM/6/RMDEBUG:HelloInt:10,Option:_E_Apr12201812:05:42.940.8-05:00SW3RM/6/RMDEBUG:RtrPriority:1,DeadInt:40Apr12201812:05:42.940.9-05:00SW3RM/6/RMDEBUG:DR:4Apr12201812:05:42.940.1-05:00SW3RM/6/RMDEBUG:BDR:3Apr12201812:05:42.940.2-05:00SW3RM/6/RMDEBUG:#AttachedNeighbors:1Apr12201812:05:42.940.3-05:00SW3RM/6/RMDEBUG:Neighbor:3抓包-工具(1)使用wireshark抓包工具，查看OSPF鄰居建立過程。抓包-工具(2)使用wireshark抓包工具，查看OSPF報文信息具體內(nèi)容。端口鏡像端口鏡像是指設備復制從鏡像端口流經(jīng)的報文，并將此報文傳送到指定的觀察端口進行分析和監(jiān)控。監(jiān)控設備鏡像端口觀察端口Client1Client2Client3網(wǎng)絡設備日志以USG6330為例，支持日志與報表，當硬盤不在位時，僅能查看并導出系統(tǒng)日志及業(yè)務日志。硬盤不在位：硬盤在位：防火墻日志格式防火墻支持的日志格式：格式使用場景二進制格式會話日志以二進制格式輸出時，占用的網(wǎng)絡資源較少，但不能在FW上直接查看，需要輸出到日志服務器查看。Syslog格式話日志、丟包日志以及系統(tǒng)日志以Syslog格式輸出時，日志的信息以文本格式呈現(xiàn)。Netflow格式對于會話日志，F(xiàn)W還支持以Netflow格式輸出到日志服務器進行查看，便于管理員分析網(wǎng)絡中的IP報文流信息。Dataflow格式業(yè)務日志以Dataflow格式輸出，在日志服務器上查看。系統(tǒng)日志以防火墻USG6000為例，查看系統(tǒng)日志：選擇“監(jiān)控>日志>系統(tǒng)日志”，查看防火墻的系統(tǒng)日志信息。業(yè)務日志以防火墻USG6000為例，查看業(yè)務日志：選擇“監(jiān)控>日志>業(yè)務日志”，查看防火墻的業(yè)務日志信息。告警信息以防火墻USG6000為例，查看業(yè)務日志：選擇“監(jiān)控>日志>告警信息”，查看防火墻的告警信息。操作系統(tǒng)日志以windows為例，點擊“開始”，右鍵“計算機”，選擇“管理”，選擇“系統(tǒng)工具>事件查看器>Windows日志”，如下圖：以windows操作系統(tǒng)為例，操作系統(tǒng)日志分為：系統(tǒng)日志應用程序日志安全日志W(wǎng)indows日志分類Windows系統(tǒng)日志類型：日志類型作用Vista/Win7/Win8//Win10/Server2008/Server2012存儲位置系統(tǒng)日志記錄操作系統(tǒng)組件產(chǎn)生的事件，主要包括驅動程序、系統(tǒng)組件和應用軟件的崩潰以及數(shù)據(jù)。%SystemRoot%\System32\Winevt\Logs\System.evtx應用程序日志包含由應用程序或系統(tǒng)程序記錄的事件，主要記錄程序運行方面的事件。%SystemRoot%\System32\Winevt\Logs\Application.evtx安全日志記錄系統(tǒng)的安全審計事件，包含各種類型的登錄日志、對象訪問日志、進程追蹤日志、特權使用、帳號管理、策略變更、系統(tǒng)事件。%SystemRoot%\System32\Winevt\Logs\Security.evtxWindows日志存儲位置以安全日志為例，選擇“屬性”，查看日志的具體信息，如下圖：Windows日志事件類型日志事件類型：事件類型作用信息（Information）應用程序、驅動程序或服務的成功操作的事件。警告（Warning）不是直接的、主要的，但是會導致將來問題的發(fā)生。例如，當磁盤空間不足或未找到打印機時，都會記錄一個“警告”事件。錯誤（Error）錯誤事件通常指功能和數(shù)據(jù)的丟失。例如,如果一個服務不能作為系統(tǒng)引導被加載，那么它會產(chǎn)生一個錯誤事件。成功審核（Successaudit）成功的審核安全訪問嘗試，主要是指安全性日志，這里記錄著用戶登錄/注銷、對象訪問、特權使用、賬戶管理、策略更改、詳細跟蹤、目錄服務訪問、賬戶登錄等事件，例如所有的成功登錄系統(tǒng)都會被記錄為“成功審核”事件。失敗審核（Failureaudit）失敗的審核安全登錄嘗試，例如用戶試圖訪問網(wǎng)絡驅動器失敗，則該嘗試會被作為失敗審核事件記錄下來。Windows日志格式Windows日志由兩部分組成：頭部字段和描述字段。安全運營概念安全運營內(nèi)容簡述數(shù)據(jù)監(jiān)控數(shù)據(jù)分析日志分析分析工具介紹數(shù)據(jù)分析打擊計算機網(wǎng)絡犯罪的關鍵，是如何在計算機系統(tǒng)中提取和分析計算機犯罪分子留在計算機中的“痕跡”，使之成為能夠追蹤并抓獲犯罪嫌疑人的重要手段和方法。網(wǎng)絡中發(fā)生的重要事件都會被記錄在日志中，因此，對日志的分析尤為重要。網(wǎng)絡設備日志操作系統(tǒng)日志事件WhoWhenWhereHowWhat日志分析事件日志分析要點Who用戶訪客When時間where位置設備接口服務How有線無線VPNWhat行為設備類型資源網(wǎng)絡設備日志分析以防火墻為例，可以通過日志，分析攻擊行為。如下圖，通過“威脅日志”發(fā)現(xiàn)存在IPSpoofAttack，并可以獲得攻擊的時間，使用的協(xié)議，接收接口等信息。操作系統(tǒng)日志分析由于日志中記錄了操作系統(tǒng)的所有事件，在大量的信息中快速篩選出關鍵信息尤為重要。Windows操作系統(tǒng)中可以根據(jù)需要篩選關鍵事件，如下圖：用戶登錄與注銷事件分析使用場景：判斷哪些用戶登錄過操作系統(tǒng)。分析用戶對操作系統(tǒng)的使用情況。事件ID：4624–登陸成功（安全日志）4625–登錄失?。ò踩罩荆?634–注銷成功（安全日志）4672–使用超級用戶（管理員）進行登錄（安全日志）用戶登錄成功與失敗事件如圖，分別展示了安全日志中記錄的用戶登陸成功，登錄失敗的具體日志信息。用戶注銷與特權登錄事件如圖，分別展示了安全日志中記錄的用戶注銷與使用特權登錄的具體日志信息。修改系統(tǒng)時間事件分析使用場景：查找用戶修改系統(tǒng)時間的證據(jù)。事件ID：1–Kernel-General（系統(tǒng)日志）4616–更改系統(tǒng)時間（安全日志）修改系統(tǒng)時間事件日志如圖，分別展示了系統(tǒng)日志與安全日志中記錄的修改系統(tǒng)時間的事件。外部設置使用事件分析使用場景：分析哪些硬件設備何時安裝到系統(tǒng)中。事件ID：20001/20003–即插即用驅動安裝（系統(tǒng)日志）外部設置使用事件日志如圖，展示了系統(tǒng)日志中記錄的外部設備驅動安裝的事件。安全運營概念安全運營內(nèi)容簡述數(shù)據(jù)監(jiān)控數(shù)據(jù)分析日志分析分析工具介紹日志分析工具LogParser是微軟公司出品的日志分析工具，它功能強大，使用簡單，可以分析基于文本的日志文件、XML文件、CSV（逗號分隔符）文件，以及操作系統(tǒng)的事件日志、注冊表、文件系統(tǒng)、ActiveDirectory。但需要能夠熟練的使用SQL語言。LogParserLizard使用圖形界面，比較易于使用，甚至不需要記憶繁瑣的命令，只需要做好設置，寫好基本的SQL語句，就可以直觀的得到結果。LogParserLizard使用展示(1)如圖，展示了使用LogParserLizard篩選“TOP1000WindowsEvent”的結果。LogParserLizard使用展示(2)如圖，展示了使用LogParserLizard篩選“CounteventtypesfromSystem”的結果。安全評估方法不包括以下哪個選項？（）安全掃描人工審計滲透測試調查取證Windows日志分類不包括以下哪個選項？（）系統(tǒng)日志安全日志應用程序日志業(yè)務日志業(yè)務連續(xù)性計劃和災難恢復計劃有什么區(qū)別？安全運營概念安全運營內(nèi)容簡述數(shù)據(jù)監(jiān)控：主動分析、被動采集數(shù)據(jù)分析：日志分析、分析工具介紹電子取證推進全球互聯(lián)網(wǎng)治理體系變革是大勢所趨、人心所向。國際網(wǎng)絡空間治理應該堅持多邊參與、多方參與,發(fā)揮政府、國際組織、互聯(lián)網(wǎng)企業(yè)、技術社群、民間機構、公民個人等主體作用。文字學習民族品牌強大的中國芯拓展主題愛國主義、科技強國、技能強國隨著信息技術的不斷發(fā)展，計算機越來越多地參與到人們的工作與生活中。與計算機相關的法庭案例，如電子商務糾紛、計算機犯罪等也不斷出現(xiàn)。判定或處置各類糾紛和刑事案件過程中，一種新的證據(jù)形式——電子證據(jù)，逐漸成為新的訴訟證據(jù)之一。電子證據(jù)本身和取證過程的許多有別于傳統(tǒng)物證和取證方法的特點，對司法和計算機科學領域都提出了新的研究課題。本章我們將通過介紹電子取證的過程，展示電子取證使用的技術和工具。學完本課程后，您將能夠：描述電子取證的過程描述電子取證的技術使用電子取證的相關工具電子取證概覽計算機犯罪電子取證概述電子取證過程計算機犯罪定義：行為人違反國家規(guī)定，故意侵入計算機信息系統(tǒng)，或者利用各種技術手段對計算機信息系統(tǒng)的功能及有關數(shù)據(jù)、應用程序等進行破壞；制作、傳播計算機病毒；影響計算機系統(tǒng)正常運行且造成嚴重后果的行為。計算機犯罪無外乎以下兩種方式：利用計算機存儲有關犯罪活動的信息；直接利用計算機作為犯罪工具進行犯罪活動。計算機犯罪特點近年來，計算機犯罪案例呈逐年上升趨勢，且呈現(xiàn)以下特點：手段專業(yè)動機復雜、多樣形式隱蔽具有跨國性潛在危害巨大成員多且低齡化計算機犯罪特點計算機犯罪動機計算機犯罪的犯罪動機復雜、多樣，具體如下：惡作劇報復利益驅動揚名無知政治目的犯罪動機閑極無聊又具備一定的技能，總想訪問所有感興趣的站點證明自己的實力，得到同類的尊敬與認可被停職，解雇，降職或不公正的待遇，進行報復，后果很可怕正在學習計算機和網(wǎng)絡，無意中發(fā)現(xiàn)一個弱點漏洞可能導致數(shù)據(jù)摧毀或執(zhí)行誤操作為獲巨額報酬受雇于人，幫人攻入目標系統(tǒng)盜竊或篡改信息破壞，竊取情報，信息戰(zhàn)計算機犯罪形式計算機犯罪形式多種多樣，下圖列舉了常見的幾種形式：木馬黑客后門DDoS病毒蠕蟲內(nèi)、外部泄密網(wǎng)絡犯罪形式電子取證概覽計算機犯罪電子取證概述電子取證過程電子取證概述電子證據(jù)（ElectronicEvidence）電子證據(jù)是指在計算機或計算機系統(tǒng)運行過程中產(chǎn)生的，以其記錄的內(nèi)容來證明案件事實的電磁記錄物。電子證據(jù)亦稱為數(shù)字證據(jù)、計算機證據(jù)。電子證據(jù)文本圖形圖像動畫音頻視頻電子證據(jù)來源司法實踐中常見的電子證據(jù)可分為三類：與現(xiàn)代通信技術有關的電子證據(jù)；與廣播技術、電視技術、電影技術等其他現(xiàn)代信息技術有關的電子證據(jù)；與計算機技術或網(wǎng)絡技術有關的電子證據(jù)。通信類手機錄音聊天記錄電傳資料傳真資料電視劇錄像電影廣播、電視、電影類數(shù)據(jù)庫操作記錄瀏覽器緩存記錄網(wǎng)絡監(jiān)控流量操作系統(tǒng)日志計算機、網(wǎng)絡類電子證據(jù)特點電子證據(jù)必須借助計算機技術和存儲技術等，離開了高科技的技術設備，電子證據(jù)無法保存和傳輸。電子證據(jù)不是單一的數(shù)據(jù)、圖像或聲音，而是數(shù)據(jù)、聲音、圖像、圖形、動畫、文本的結合。由于對計算機等電子數(shù)字設備的依賴性，電子證據(jù)的形成、傳輸環(huán)節(jié)容易被破壞，很可能會使電子證據(jù)遭到破壞，無法反映真實情況。運用黑客手段入侵電腦網(wǎng)絡系統(tǒng)，盜用密碼對電子數(shù)據(jù)任意篡改，就會改變電子證據(jù)的本來面目，給證據(jù)認定帶來困難。電子證據(jù)是以電子形式存儲在各種電子設備上的，它以光、電、磁形式存在，不像傳統(tǒng)證據(jù)那樣能為人直接看到聽到接觸到。電子證據(jù)能夠反映的事實是一個動態(tài)連續(xù)的過程，較直觀地再現(xiàn)了現(xiàn)場情景，所以也具有生動形象性。高科技性多樣性脆弱性、易破壞性動態(tài)傳輸性、生動形象性無形性人為性電子證據(jù)特點計算機取證概念計算機取證（ComputerForensics）亦被稱為數(shù)字取證或電子取證。定義：計算機取證是指對能夠為法庭接受的、足夠可靠和有說服性的，存在于計算機和相關外設中的電子證據(jù)的確認、保護、提取和歸檔以及法庭出示的過程。電子取證相關規(guī)定與標準美國自1976年的FederalRulesofEvidence起，美國出現(xiàn)了一些法律解決由電子證據(jù)帶來的問題：TheEconomicEspionageActof1976：處理商業(yè)機密竊取問題；TheElectronicCommunicationsPrivacyActof1986：處理電子通信的竊聽問題；TheComputerSecurityActof1987(PublicLaw100-235)：處理政府計算機系統(tǒng)的安全問題。IETF早在2002年2月就發(fā)布了RFC3227((電子證據(jù)收集、保管指南》，而ITU則在2009年4月發(fā)布了電子證據(jù)法案》的草案和《了解網(wǎng)絡犯罪：針對發(fā)展中國家的犯罪》，并在2012年9月發(fā)布了《了解網(wǎng)絡犯罪：現(xiàn)象、挑戰(zhàn)和法律相應》。IETF國際標準化組織信息安全技術委員會在2012年10月發(fā)布了《電子證據(jù)識別、收集、獲取和保存指南》(ISO/IEC27037：2012)中國2005年《公安機關電子數(shù)據(jù)鑒定規(guī)則》明確要求公安機關電子數(shù)據(jù)鑒定人應當履行并遵守行業(yè)標準和檢驗鑒定規(guī)程規(guī)定的義務；2006年《公安機關鑒定機構登記管理辦法》(公安部令第83號)明確將鑒定機構遵守技術標準的情況納入公安登記管理部門年度考核的內(nèi)容中；2007年《司法鑒定程序通則》(司法部令第107號)對鑒定人采納技術標準問題做出了詳細的要求。國際標準化組織電子取證現(xiàn)狀與趨勢現(xiàn)狀形勢趨勢現(xiàn)狀1.我國的計算機普及與應用起步較晚，相關的法律法規(guī)仍不完善；2.學界對計算機犯罪的研究也主要集中于計算機犯罪的特點、預防對策及其給人類帶來的影響，取證技術己不能滿足打擊計算機犯罪、保護網(wǎng)絡與信息安全的要求；3.需要自主開發(fā)適合我國國情的、能夠全面檢查計算機與網(wǎng)絡系統(tǒng)的計算機取證的工具與軟件。趨勢1.取證技術融合其他理論和技術（如人工智能、機器學習、神經(jīng)網(wǎng)絡和數(shù)據(jù)挖掘理論及信息安全技術）；2.取證工具的專業(yè)化和自動化；3.在網(wǎng)絡協(xié)議設計過程中考慮到未來取證的需要，為潛在的取證活動保留充足信息。電子取證概覽電子取證過程取證原則完整性合法性連續(xù)性全面性及時性原則盡早搜集證據(jù)，并保證其沒有受到任何破壞。在證據(jù)被正式提交時，必須能夠說明在證據(jù)從最初的獲取狀態(tài)到證據(jù)出示之間的變化。整個檢查、取證過程必須是受到監(jiān)督的；如果可能并且法律允許，訪問被保護或加密文件的內(nèi)容。搜索目標系統(tǒng)中的所有文件；全面分析結果，給出必要的專家證明。在取證檢查中，保護目標計算機系統(tǒng)，避免發(fā)生任何的改變、數(shù)據(jù)破壞或病毒感染。電子取證過程根據(jù)電子證據(jù)的特點，在進行計算機取證時，首先要盡早搜集證據(jù)，并保證其沒有受到任何破壞。取證工作一般按照下面步驟進行：保護現(xiàn)場獲取證據(jù)保全證據(jù)鑒定證據(jù)分析證據(jù)進行追蹤出示證據(jù)保護現(xiàn)場取證時首先必須凍結目標計算機系統(tǒng)，不給犯罪嫌疑人破壞證據(jù)的機會。避免出現(xiàn)任何更改系統(tǒng)設置、損壞硬件、破壞數(shù)據(jù)或病毒感染的情況。證據(jù)被正式提交時，必須能夠說明在證據(jù)從最初的獲取狀態(tài)到證據(jù)出示之間的變化，當然最好是沒有任何變化。特別重要的是，計算機取證的全部過程必須是受到監(jiān)督。保護現(xiàn)場獲取證據(jù)保全證據(jù)鑒定證據(jù)分析證據(jù)進行追蹤出示證據(jù)獲取證據(jù)搜索目標系統(tǒng)中的所有文件。包括現(xiàn)存的正常文件，已經(jīng)被刪除但仍存在于磁盤上（即還沒有被新文件覆蓋）的文件，隱藏文件，受到密碼保護的文件和加密文件。取證工具：硬件工具軟件工具保護現(xiàn)場獲取證據(jù)保全證據(jù)鑒定證據(jù)分析證據(jù)進行追蹤出示證據(jù)硬件取證工具(1)硬盤復制機：因為取證過程不允許對硬盤進行直接操作，硬盤復制機能夠對硬盤內(nèi)容做鏡像，從而保證不會修改硬盤內(nèi)的數(shù)據(jù)。硬盤只讀鎖：用于阻止硬盤的寫入通道，有效的保證存儲介質中的數(shù)據(jù)在獲取和分析過程中不會被修改，從而保證數(shù)據(jù)的完整性。硬盤復制機硬盤只讀鎖硬件取證工具(2)取證一體機：基于拷貝克隆，讀取，銷毀于一體的取證設備。取證塔：具有手機取證分析，手機鏡像，機芯片鏡像和介質取證等功能。介質修復設備：支持對電子硬盤、機械硬盤、鏡像文件、U盤、TF卡等各種電子數(shù)據(jù)存儲介質的修復。取證一體機取證塔介質修復設備軟件取證工具為了更好的用于研究和調查，開發(fā)人員創(chuàng)建了多樣的計算機取證工具。具體分類如下：圖片檢查工具ThumbsPlus反刪除工具HetmanUneraserCD-ROM工具CD-RDiagnostics文本搜索工具dtSearch驅動器映像程序SafeBackSnapBack、Ghost、DD磁盤擦除工具DiskScrub取證軟件軟件取證工具舉例EnCase是一個完全集成的基于Windows界面的取證應用程序，其功能包括：數(shù)據(jù)瀏覽、搜索、磁盤瀏覽、數(shù)據(jù)預覽、建立案例、建立證據(jù)文件、保存案例等。電子取證相關技術電子取證相關技術：網(wǎng)絡數(shù)據(jù)包分析取證；日志取證技術；蜜罐取證技術；隱蔽代碼取證技術；數(shù)據(jù)挖掘技術等。新型取證技術：芯片取證；云取證；物聯(lián)網(wǎng)取證；邊信道攻擊取證。數(shù)據(jù)包分析取證抓包工具及特點：工具名稱使用環(huán)境特點TcpdumpLinux采集過濾WiresharkLinux&Windows采集過濾SleuthKitLinux采集過濾，流重組，數(shù)據(jù)關聯(lián)ArgusLinux采集過濾，日志分析SniffersLinux&Windows網(wǎng)絡流量、數(shù)據(jù)包分析芯片取證JointTestActionGroup（聯(lián)合測試行動組）分析：通過芯片內(nèi)部的TAP（TestAccessPort，測試訪問端口），訪問分析處理器的內(nèi)部寄存器，即使