第 6章 信息系统安全事件响应
“智者千虑,必有一失”。尽管已经为信息系统的防护开发了许多技术,但是很难没有一点疏漏,何况入侵者也是一些技术高手。
系统遭受到一次入侵,就面临一次灾难。这些影响信息系统安全的不正当行为,就称为事件。事件响应,就是事件发生后所采取的措施和行动。信息系统的脆弱,加上入侵技术的不断进化,使得入侵不可避免。因此,遭受灾难后,的系统恢复就成为一个与防火墙技术、入侵检测技术等同样重要的技术。
1988年,莫里斯蠕虫迅雷不及掩耳之势肆虐互联网,招致上千台计算机系统的崩溃,造成了以千万美元计的损失。
这突如其来的灾难,给人们敲响了警钟:面队人类对信息系统以来程度不断增强,对付入侵不仅需要防御,还要能够在事件发生后进行紧急处理和援助。 1989年,在美国国防部的资助下,CERT( Computer Emergency Team,
计算机紧急响应组) /CC( Call Center)成立。从此紧急响应被摆到了人们的议事桌上。 CERT成立以后,做了大量工作。但最大的成就是使紧急响应为人们普遍接受。
6.1 应急响应
一般说来,每个使用信息系统的组织都应当有一套紧急响应的机制。这个机制包括两个环节:
· 应急响应组织;
· 紧急预案。
6.1.1 应急响应组织
应急响应组织的主要工作有:
· 安全事件与软件安全缺陷分析研究;
· 安全知识库(包括漏洞知识、入侵检测等)开发与管理;
· 安全管理和应急知识的教育与培训;
· 发布安全信息(如系统漏洞与补丁,病毒警告等);
· 安全事件紧急处理。
应急响应组织包括 应急保障领导小组 和 应急技术保障小组 。
领导小组的主要职责是领导与协调突发事件与自然灾害的应急处理。应急技术保障小组主要解决安全事件的技术问题,
如物理实体和环境安全技术、网络通信技术、系统平台技术、
应用系统技术等。
6.1.2 紧急预案
1,紧急预案及基本内容
执行紧急预案的人员(姓名、住址、电话号码以及有关职能部门的联系方法);
应急预案是指根据不同的突发紧急事件类型和以外情形,预先制定的处理方案。应急预案一般要包括如下内容:
系统紧急事件类型及处理措施的详细说明;
应急处理的具体步骤和操作顺序。
2,常见安全事件
物理实体及环境类安全事件,如意外停电、物理设备丢失、火灾、水灾等。
紧急预案要根据安全事件的类型进行对应的处理。下面提供一些常见的安全事件类型供参考:
网络通信类安全事件:如网络蠕虫侵害等。
主机系统类安全事件,如计算机病毒、口令丢失等;
应用系统类安全事件,如客护信息丢失等。
3,安全事件处理的基本流程
( 1)安全事件报警值班人员发现紧急情况,要及时报告。报告要对安全事件进行准确描述并作书面记录。按照安全事件的类型,安全事件呈报条例应依次报告:
一、值班人员,二、应急工作组长,三、应急领导小组。如果想进行任何类型的跟踪调查或者起诉入侵者,应先跟管理人员和法律顾问商量,
然后通知有关执法机构。一定要记住,除非执法部门的参与,否则对入侵者进行的一切跟踪都可能是非法的。
同时,还应通知有关人员,交换相关信息,必要时可以获得援助;
安全事件处理的基本流程(续)
( 2)安全事件确认确定安全事件的类型,以便启动相应的预案。
( 3)启动紧急预案
( a)首先要能够找到紧急预案。
( b)保护现场证据(如系统事件、处理者采取的行动、与外界的沟通等),避免灾害扩大;
安全事件处理的基本流程(续)
( 4)恢复系统
( a)安装干净的操作系统版本。建议使用干净的备份程序备份整个系统,然后重装系统。
( b)取消不必要的服务。只配置系统要提供的服务,取消那些没有必要的服务。
检查并确信其配置文件没有脆弱性以及该服务是否可靠。
( c)安装供应商提供的所有补丁。建议安装所有的安全补丁,使系统能够抵御外来攻击,不被再次侵入,这是最重要的一步。
( d)查阅 CERT的安全建议、安全总结和供应商的安全提示
· CERT安全建议,http://www.cert.org/advisories/
· CERT安全总结,http://www.cert.org/advisories/
· 供应商安全提示,ftp://ftp.cert.org/pub/cert_bulletins/
( e)谨慎使用备份数据 。在从备份中恢复数据时,要确信备份主机没有被侵入。一定要记住,恢复过程可能会重新带来安全缺陷,被入侵者利用。例如恢复用户的 home目录以及数据文件中,以及用户起始目录下的,rhost文件中,也许藏有特洛伊木马程序。
( f)改变密码。在弥补了安全漏洞或者解决了配置问题以后,建议改变系统中所有账户的密码。
安全事件处理的基本流程(续)
( 5)加强系统和网络的安全
( a)根据 CERT的 UNIX/NT配置指南检查系统的安全性。
CERT的 UNIX/NT配置指南可以帮助你检查系统中容易被入侵者利用的配置问题。
http://www.cert.org/tech_tips/unix_configuration_guidelines.html
http://www.cert.org/tech_tips/win_configuration_guidelines.html
查阅安全工具文档可以参考 http://www.cert.org/tech_tips/security_tools.html
( b)安装安全工具。在将系统连接到网络上之前,一定要安装所有选择的安全工具。
同时,最好使用 Tripwire,aide等工具对系统文件进行 MD5校验,把校验码放到安全的地方,以便以后对系统进行检查。
( c)打开日志。启动日志 (logging)/检查 (auditing)/记账 (accounting)程序,将它们设置到准确的级别,例如 sendmail日志应该是 9级或者更高。
要经常备份日志文件,或者将日志写到另外的机器、一个只能增加的文件系统或者一个安全的日志主机。
( d)配置防火墙对网络进行防御。可以参考:
http://www.cert.org/tech_tips/packet_filtering.html
( e)重新连接到 Internet。全完成以上步骤以后,就可以把系统连接回 Internet了。
应当注意,安全事件处理工作复杂,责任重大,至少应有两人参加。
安全事件处理的基本流程(续)
( 6)应急工作总结召开会议,分析问题和解决方法,参考 ftp://ftp.isi.edu/in-notes/rfc2196.txt
( a)总结教训。从记录中总结出对于这起事故的教训,这有助于你检讨自己的安全策略。
( b)计算事件的代价。计算事件代价有助于让组织认识到安全的重要性。
( c)改进安全策略。
安全事件处理的基本流程(续)
( 7)撰写安全事件报告安全事件报告的内容包括:
· 安全事件发生的日期、时间;
· 安全事件处理参加的人员;
· 事件发现的途径;
· 事件类型;
· 事件涉及范围;
· 现场记录;
· 事件导致的损失和影响;
· 事件处理过程
· 使用的技术和工具;
· 经验和教训。
6.1.3 灾难恢复
与高层管理人员协商;
夺回系统控制权;
入侵评估:分析入侵途径,检查入侵对系统的损害;
清除入侵者留下的后门;
恢复系统。
灾难恢复是安全事件应急预案中特别重要的部分。
从发现入侵的那刻起就围绕它进行,并且应当包括如下几项内容:
1,与高层人员协商系统恢复的步骤应当符合组织的安全预案。如果安全预案中没有描述,应当与管理人员协商,以便能从更高角度进行判断,并得到更多部门的支持和配合。
2,夺回系统控制权为了夺回对被入侵系统的控制权,需要将入侵其从网络上断开,包括播号连接。如果在恢复过程中,没有断开被侵入系统和网络的连接,入侵者就可能破坏所进行恢复工作。
进行系统恢复也会丢失一些有用信息,如入侵者正在使用的扫描程序或监听进程。因此想要继续追踪入侵者时,可以不采取这样的措施,以免被入侵者发现。但是,也要采取其他一些措施,避免入侵蔓延。
3,复制一份被侵入系统的映像在进行入侵分析之前,最好对被入侵系统进行备份(如使用 UNIX命令 dd)。
这个备份在恢复失败是非常有用。
4,入侵评估入侵评估包括入侵风险评估、入侵路径分析、入侵类型确定和入侵涉及范围调查。下面介绍围绕这些工作进行的调查工作。
( 1)详细审查系统日志文件和显示器输出,检查异常现象。
( 2)入侵者遗留物分析。包括
· 检查入侵者对系统文件和配置文件的修改;
· 检查被修改的数据
· 检查入侵者留下的工具和数据
· 检查网络监听工具
( 3)其他,如网络的周遍环境和涉及的远程站点。
5,清除后门后门是入侵者为下次攻击打下的埋伏,包括修改了的配置文件、
系统木马程序、修改了的系统内核等。
6,记录恢复过程中所有的步骤毫不夸张地讲,记录恢复过程中采取的每一步措施,是非常重要的。恢复一个被侵入的系统是一件很麻烦的事,要耗费大量的时间,因此经常会使人作出一些草率的决定。记录自己所做的每一步可以帮助你避免作出草率的决定,还可以留作以后的参考,也还可能对法律调查提供帮助。
7,系统恢复各种安全事件预案的执行都是为了使系统在事故后得以迅速恢复。对于服务器和数据库等系统特别重要设备,则需要单独订立紧急恢复预案。
( 1)服务器的恢复一旦服务器因故障完全停止运行,常规的恢复方法是在一个新的硬件平台上重建。
步骤如下:
a)安装服务器操作系统;
b)安装所有需要的驱动程序;
c)安装所有需要的服务软件包;
d)安装所有需要的流行修补程序和安全修补程序;
e)安装备份软件;
f)安装备份软件需要的修补程序;
g)恢复最后一次完全备份磁带;
h)恢复所有增量备份或差异备份磁带。
显然,用手工进行服务器的恢复是非常麻烦的。如果能设计一种专门的软件包,可以生成存有服务器镜像文件的启动盘,来恢复服务器,就便利多了。
7,系统恢复
( 2)数据库系统的恢复数据库恢复的目的是在足够备份的基础上,使数据库尽快恢复到正常。其中包括:
a)数据文件恢复:把备份文件恢复到原来位置。
b)控制文件恢复:控制文件受损时,要将其恢复到原位重新启动。
c)文件系统恢复:在大型操作系统中,可能会因介质受损,导致文件系统被破坏。其恢复步骤为:
· 将介质重新初始化;
· 重新创建文件系统;
· 利用备份完整地恢复数据库中的数据;
· 启动数据库系统。
6.2 数据容错、数据容灾和数据备份
信息系统是脆弱的,它的可靠性不断遭受者威胁。为了保证系统的可靠性,
经过长期摸索,人们总结出了三条途径,避错、纠错和容错 。避错是完善设计和制造,试图构造一个不会发生故障的系统。但是,这是不太现实的。
任何一个系统总会有纰漏。因此,人们不得不用纠错作为避错的补充。一旦系统出现故障,可以通过检测和核实来消除,在进行系统的恢复。
容错是第三条途径。其基本思想是,即使出现错误,系统也还能执行一组规定的程序。或者说,程序不会因为系统中的故障而中断或被修改,并且故障也不引起执行结果的差错。或者简单地说,容错就是系统可以抵抗错误的能力。
容灾是针对灾害而言的。灾害对系统危害要比错误要大、要严重。
从保护数据的安全性出发,数据备份是数据容错、数据容灾以及数据恢复的重要保障。
6.2.1 数据容错系统与基本技术
1,容错系统分类根据容错系统的应用环境,可以将容错系统分为如下 5种类型。
( 1)高可用度系统可用度用系统在某时刻可以运行的概率衡量。高可用度系统面向通用计算机系统,用于执行各种无法预测的用户程序,主要面向商业市场。
( 2)长寿命系统长寿命系统在其生命期中不能进行人工维修,常用于航天系统中。它实际上也是一种容灾系统。
( 3)延迟维修系统这也是一种容灾系统,用于航空等在一定阶段不能进行维修的场合。
( 4)高性能系统这类系统对于故障(瞬时或永久)都非常敏感,应当具有瞬时故障的自动恢复能力,并增加平均无故障时间。
( 5)关键任务系统这类系统出错可能危机人的生命或造成重大经济损失,要求处理正确无误,而且故障恢复时间要最短。
2,常用数据容错技术
( 1)“空闲”设备
“空闲”设备也称双件热备,就是配置两套相同的部件。在正常状态下,
一个运行,另一个空闲。当正常运行的部件出现故障时,原来空闲的一台立即替补。
( 2)镜像镜像是把一份工作交给两个相同的部件同时执行。这样在一个部件出现故障时,另一个部件继续工作。
( 3)复现复现也称延迟镜像。复现与镜像一样需要两个系统,但是它把一个称为原系统,一个称为辅助系统;辅助系统从原系统中接收数据。与原系统中的数据相比,辅助系统的数据接收存在一定延迟。当原系统出现故障时,辅助系统只能在接近故障点的地方开始工作。与镜像相比,复现同一时间只需管理一套设备。
( 4)负载均衡负载均衡就是将一个任务分解成多个子任务,分配给不同的服务器执行,
通过减少每个部件的工作量,增加系统的稳定性。
6.2.2 数据容灾系统与基本技术
真正的数据容灾就是要能在灾难发生时,全面、及时地恢复整个系统。在系统遭受灾害时,使系统还能工作或尽快恢复工作的最基础的工作是数据备份。
不论任何一个容灾系统,没有备份的数据,任何容灾方案都没有现实意义。
1,数据容灾等级从技术上看,衡量数据容灾系统有两个主要指标,RPO( Recovery Point
Object)和 RTO( Recovery Time Object),其中 RPO代表了当灾难发生时允许丢失的数据量;而 RTO则代表了系统恢复的时间。
设计一个容灾备份系统,需要考虑多方面的因素,如备份 /恢复数据量大小、
应用数据中心和备援数据中心之间的距离和数据传输方式、灾难发生时所要求的恢复速度、备援中心的管理及投入资金等。根据这些因素和不同的应用场合,常见的容灾等级有以下 4个:
( 1)第 0级:本地备份、本地保存的冷备份
( 2)第 1级:本地备份、异地保存的冷备份
( 3)第 2级:热备份站点备份
( 4)第 3级:活动互援备份
2,异地容灾技术
( 1)远程镜像技术在建立容灾备份系统时会涉及到多种技术,如,SAN或 NAS技术、远程镜像技术、虚拟存储、基于 IP的 SAN的互连技术、快照技术等。
远程镜像技术是在主数据中心和备援中心之间的数据备份时用到。镜像是在两个或多个磁盘或磁盘子系统上产生同一个数据的镜像视图的信息存储过程,一个叫主镜像系统,另一个叫从镜像系统。按主从镜像存储系统所处的位置可分为本地镜像和远程镜像。
远程镜像又叫远程复制,是容灾备份的核心技术,同时也是保持远程数据同步和实现灾难恢复的基础。远程镜像按请求镜像的主机是否需要远程镜像站点的确认信息,又可分为同步远程镜像和异步远程镜像。
同步远程镜像(同步复制技术)是指通过远程镜像软件,将本地数据以完全同步的方式复制到异地,每一本地的 I/O事务均需等待远程复制的完成确认信息,方予以释放。同步镜像使远程拷贝总能与本地机要求复制的内容相匹配。
异步远程镜像(异步复制技术)保证在更新远程存储视图前完成向本地存储系统的基本 I/O操作,而由本地存储系统提供给请求镜像主机的 I/O操作完成确认信息。
远程的数据复制是以后台同步的方式进行的,这使本地系统性能受到的影响很小,
传输距离长(可达 1000公里以上),对网络带宽要求小。但是,许多远程的从属存储子系统的写没有得到确认,当某种因素造成数据传输失败,可能出现数据一致性问题。为了解决这个问题,目前大多采用延迟复制的技术,即在确保本地数据完好无损后进行远程数据更新。
( 2) 快照技术远程镜像技术往往同快照技术结合起来实现远程备份,即通过镜像把数据备份到远程存储系统中,再用快照技术把远程存储系统中的信息备份到远程的磁带库、光盘库中。
快照是通过软件对要备份的磁盘子系统的数据快速扫描,建立一个要备份数据的快照逻辑单元号 LUN和快照 cache,在快速扫描时,把备份过程中即将要修改的数据块同时快速拷贝到快照 cache中。快照 LUN是一组指针,它指向快照 cache和磁盘子系统中不变的数据块(在备份过程中)。在正常业务进行的同时,利用快照 LUN实现对原数据的一个完全的备份。它可使用户在正常业务不受影响的情况下,实时提取当前在线业务数据。其“备份窗口”
接近于零,可大大增加系统业务的连续性,为实现系统真正的 7× 24运转提供了保证。
快照是通过内存作为缓冲区(快照 cache),由快照软件提供系统磁盘存储的即时数据映像,它存在缓冲区调度的问题。
( 3) 互连技术早期的主数据中心和备援数据中心之间的数据备份,主要是基于 SAN的远程复制(镜像),即通过光纤通道 FC,把两个 SAN连接起来,进行远程镜像
(复制)。当灾难发生时,由备援数据中心替代主数据中心保证系统工作的连续性。这种远程容灾备份方式存在一些缺陷,如:实现成本高、设备的互操作性差、跨越的地理距离短( 10公里)等,这些因素阻碍了它的进一步推广和应用。
目前,出现了多种基于 IP的 SAN的远程数据容灾备份技术。它们是利用基于
IP的 SAN的互连协议,将主数据中心 SAN中的信息通过现有的 TCP/IP网络,
远程复制到备援中心 SAN中。当备援中心存储的数据量过大时,可利用快照技术将其备份到磁带库或光盘库中。这种基于 IP的 SAN的远程容灾备份,可以跨越 LAN,MAN和 WAN,成本低、可扩展性好,具有广阔的发展前景。
基于 IP的互连协议包括,FCIP,iFCP,Infiniband,iSCSI等。
( 4) 虚拟存储在有些容灾方案产品中,还采取了虚拟存储技术,如西瑞异地容灾方案。虚拟化存储技术在系统弹性和可扩展性上开创了新的局面。它将几个 IDE或
SCSI驱动器等不同的存储设备串联为一个存储池。存储集群的整个存储容量可以分为多个逻辑卷,并作为虚拟分区进行管理。存储由此成为一种功能而非物理属性,而这正是基于服务器的存储结构存在的主要限制。
虚拟存储系统还提供了动态改变逻辑卷大小的功能。事实上,存储卷的容量可以在线随意增加或减少。可以通过在系统中增加或减少物理磁盘的数量来改变集群中逻辑卷的大小。这一功能允许卷的容量随用户的即时要求动态改变。另外,存储卷能够很容易的改变容量,移动和替换。安装系统时,只需为每个逻辑卷分配最小的容量,并在磁盘上留出剩余的空间。随着业务的发展,可以用剩余空间根据需要扩展逻辑卷。你也可以将数据在线从旧驱动器转移到新的驱动器上,而不中断服务的运行。
存储虚拟化的一个关键优势是它允许异质系统和应用程序共享存储设备,而不管它们位于何处。公司将不再需要在每个分部的服务器上都连接一台磁带设备。
6.2.3 数据备份的策略数据备份可以依据条件和需要选择不同的策略。下面是几种基本的数据备份策略。
1,全盘备份全盘备份是将所有文件写入备份介质。这种方法简单,操作起来比较方便。
2,增量备份增量备份只备份上次备份后作过更新的文件。这种系统性能和容量可以很好的改善。但是,仅仅依靠文件属性识别文件是否作过修改,
不太可靠。通常与全盘备份配合使用。
3,差别备份差别备份是只对上次全盘备份之后更新过的所有文件。这样,全部系统只需要两组磁带(最后一次全盘备份磁带和最后一次差别备份磁带)就可以恢复。
4,按需备份按需备份是指在正常的备份之外额外有选择地进行的备份操作。按需分配可以弥补冗余管理或长期转储的日常备份的不足。
6.3 数字证据获取
现在,信息系统的攻击和对抗已经不仅仅是技术领域和管理领域的问题了。许多问题已经进入涉讼,成为法学案件。随着数字犯罪案件的增多,数字证据的获取已经成为信息技术和法学家们共同关注的热点。
早先,数字证据也被成为计算机证据。对于它的研究最早是从应急响应的角度开始的,目的是为了搜集攻击者的有关信息。直到 2001年人们才转移到从司法的角度来看待它,关于它的研究,才从纯技术领域转向技术与法学的结合上。
6.3.1 数字证据的特点
1,依附性和多样性一般说来,数字证据就是在计算机或在计算机系统运行过程中产生的、以其记录的内容来证明案件事实的电磁记录。与其他证据相比,它有如下一些特点。
电磁证据依附在不同介质上。这就带来两个方面的特点:一是数字证据不会像传统的证据那样可以独立存在;二是不同的介质,使同样的信息表现出不同的形态,如在导体中是以电流或电压表现的数字脉冲,在显示器上是文字或图形,在磁盘中是磁核的排列形式,在光缆中是光波等。
2,可伪性和弱证明性数字证据的非实物性,使得其窃取、修改甚至销毁都比较容易。例如,黑客在入侵之后,可以对现场进行一些灭迹、制造假象等工作,给证据的认定带来困难,直接减低了证明力度,增加了跟踪和侦查的难度。
3,数据的挥发性计算机系统中所处理的数据有一些是动态的。这些动态数据对于抓住犯罪的蛛丝马迹非常有用。但是它们却有一定的时间效应。即有些数据会因失效或消失而挥发。在收集数字证据时必须充分考虑数据的挥发性。 表 6.1描述了数字证据数据的挥发性。
数 据 硬件或位置 存活时间
CPU 高速缓冲器,管道 几个时钟周期系统 RAM 关机前内核表 进程中 关机前固定介质 Swap/tmp 直至被覆盖或被抹掉可移动介质 Cdrom,Floppy,HDO 直至被覆盖或被抹掉打印输出 被拷贝打印输出 直至被毁坏表 6.1 数字证据的挥发性
6.3.2 数字取证的原则实施数字取证应当遵循如下原则:符合程序,共同监督,保护隐私,影响最小,证据连续,原汁原味。下面分别予以说明。
1,符合程序取证应当首先启动法律程序,要在法律规定的范围内展开工作,否则会陷入被动。
2,共同监督由原告委派的专家所进行整个的检查、取证过程,必须受到由其他方委派的专家的监督。
3,保护隐私在取证过程中,要尊重任何关于客户代理人的隐私。一旦获取了一些关于公司或个人的隐私,决不能泄露。
数字取证的原则
4,影响最小
· 如果取证要求必须运行某些业务程序,应当使运行时间尽量短;
· 必须保证取证不给系统带来副作用,如引进病毒等。
5,证据连续必须保证证据的连续性( Chain of Custody),即在将证据提交法庭前要一直跟踪证据,要向法庭说明在这段时间内证据有无变化。此外,要向法庭说明该证据的完全性。
6,原汁原味
· 必须保证提取出来的证据不受电磁或机械的损害;
· 必须保证收集的证据不被取证程序破坏。
6.3.3 数字取证的一般步骤
1,保护现场
· 在取证过程中,保护目标系统,避免发生任何改变、损害;
· 保护证据的完整性,防止证据信息的丢失和破坏;
· 防止病毒感染。
2,证据发现证据发现首先要识别可获取证据的信息类型。按照证据信息变化的特点,可以将证据信息分为两大类:
· 实时信息(或易失信息),例如网络连接;
· 非易失信息,即不会随时间或设备断电消失。
数字取证过程一般可以按如下步骤进行。
( 1)日志:如操作系统日志等。
( 2)文件。如可以进行的文件搜索有:
· 搜索目标系统中所有文件(包括现存的正常文件、已经被删除但仍存在于磁盘上还没有被覆盖的文件、隐藏文件、受密码保护的和加密文件);
· 尽量恢复所发现的文件;
· 在法律允许的情况下,访问被保护或加密的文件;
· 分析磁盘特殊区域(未分配区域、文件栈区等)。
( 3)系统进程:如进程名、进程访问文件等。
( 4)用户:特别是在线用户的服务时间、使用方式等。
( 5)系统状态:如系统开放的服务、网络运行的状态等。
( 6)通信连接记录:如网络路由器的运行日志等。
( 7)存储介质:如磁盘、光盘、闪寸等。
在证据发现阶段可以使用的技术有,IDS、蜜罐技术、网络线索自动识别技术、溯源技术等。同时还可以使用一些相关的工具。 表 6.2为一些常用实时取证类工具。
下面是可以作为证据或可以提供相关信息的信息源。
数字证据的信息源一些常用实时取证类工具工具名称 用途描述
Netstat 显示当前受害系统的网络监听程序和网络连接
ARP 查看受害系统的地址解析缓存表
Who 显示系统在线用户信息
last 显示系统登录用户信息
ps 查看 UNIX系统进程信息表 6.2 一些常用实时取证类工具数字取证的一般步骤(续)
3,证据固定针对数字证据的挥发性,数字证据的固定非常重要。
4,证据提取证据提取主要是提取特征。包括:
· 过滤和挖掘;
· 解码:对软件或数据碎片进行残缺分析、上下文分析,恢复原来的面貌。
5,证据分析分析的目的大致有:
· 犯罪行为重构;
· 嫌疑人画像;
· 确定犯罪动机;
· 受害程度行为分析等。
6,提交证据向律师、管理者或法庭提交证据。这时要注意使用规定的法律文书格式和术语。
6.3.4 数字取证的基本技术和工具
在数字取证过程中,可以使用相关的技术和工具。现在已经开发出了这样一些工具。 表 6.3为可以提供计算机及网络攻击取证的一些网站。
资源类型 网络地址
TCT取证软件包 http://www,fish.com/forensics/
Encase http://www.encase.com/
计算机取证分析 http://www,porcupine.org/forensics/
Computer Forensics Tool Testing( CFTT) http://www.cftt.nist.gov/
文件及介质取证工具箱 Sleuth Kit http://www,sleuthkit.org/sleuthkit/index.php
开放源代码数字取证 http://www.opensourceforensics.org/
表 6.3 提供计算机及网络攻击取证的一些网站
下面重点介绍利用 IDS和蜜罐取证的方法。
1,利用 IDS取证把 IDS与取证工具结合,往往能对网络攻击进行取证并得到响应。
( 1)确认攻击确认攻击是响应的第一步。确认攻击的主要方法是查找攻击留下的痕迹。检查的主要内容有:
· 寻找嗅探器(如 sniffer);
· 寻找远程控制程序(如 netbus,back orifice);
· 寻找黑客可能利用的文件共享或通信程序(如 eggdrop,irc)
· 寻找特权程序(如 find/-perm-4000-print);
· 寻找未授权的服务(如 netstat –a,check inetd.conf);
· 寻找异常文件(考虑系统磁盘大小);
· 检查文件系统的变动;
· 检查口令文件的变动并寻找新用户;
· 检测 cron和 at jobs;
· 核对系统和网络配置(特别注意过滤规则);
· 检查所有主机(特别是服务器)。
( 2)取证过程
1)决定取证的目的
· 观察研究攻击者。
· 跟踪并驱赶攻击者。
· 捕俘攻击者。
· 准备起诉攻击者。
2)启动必要的法律程序。
3)对系统进行完全备份,包括:
· 用 tcpdump作完全的分组日志;
· 有关协议分组的来龙去脉;
· 一些会话(如 telnet,rlogin,IRC,FTP等)的可能内容。
4)根据情况有选择地关闭计算机系统
· 不彻底关闭系统(否则造成信息改变,证据破坏)。
· 不断开网络。
· 将系统备份转移到单用户模式下制作和验证备份。
· 考虑制作磁盘镜像。
· 同步磁盘,暂停系统。
5)调查攻击者来源
· 利用 tcpdump/who/syslog。
· 运行 finger对抗远程系统。
· 寻找攻击者可能利用的账号。
2,利用蜜罐取证利用蜜罐进行取证分析的一些原则和步骤如下。
( 1)获取入侵者信息。
( 2)获取关于攻击的信息:
· 攻击的手段、日期和时间;
· 入侵者添加了一些什么文件?
· 是否安装了嗅探器或密码?若有,在何处?
· 是否安装有,rootkit”或木马程序?若有,传播途径是什么?
· …… 。
( 3)建立事件的时间序列。
( 4)事故费用分析。
( 5)向管理层、媒体以及法庭提交相应的报告。
6.3.5 数字证据的法律问题
1,数字证据的真实性数字证据学是涉及信息技术和法学两个领域的交叉学科。下面讨论它在法学方面的一些问题。
法律对作为定案依据的证据,有真实性、合法性和关联性三方面要求。
一般而言,关联性主要指证据与案件争议和理由的联系程度,这属于法官裁判的范围。合法性主要包括:证据的形式、收集手段、是否侵犯他人权益、
取证工具是否合法等。这在后面要进行有关的讨论。
关于证据的真实性,民事诉讼法和相关司法解释都要求提供“原件”(书面文件)。因为这种看得见、摸得着的东西,才能给人充分的真实感和唯一性,
才能防止被篡改和冒认。而数字证据的真实性的确认,一直是人们最关注的问题。目前,人们想用数字签名的方法来解决这一法律难题。通过电子签名,
可以证明签发数字证据的人是谁,也可以证明数字证据是否被篡改过。
2,数字证据的证明力证据的证明力是指证据对证明案件事实所具有的效力,即该证据是否能够直接证明案件事实还需要其他证据配合综合认定。我国,民事诉讼法,
第 63条规定,法定证据有:书证、物证、视听资料、证人证言、当事人陈述、鉴定结论和勘验笔录等 7种。而数字证据应当归入这 7类之中,还是另行规定,是司法界正在讨论的问题。
3,数字取证工具的法律效力数字证据的合法性涉及数字取证工具的法律效力,即法庭是否认可。每种工具都是一个程序。按照 Daubert测试,可以从下面 4个方面进行讨论。
( 1)可测试性测试的目的是为了确定一个程序是否可以被测试并确定它所提供的结果的准确性。对一个工具必须执行两类测试:
· 漏判测试:确认取证工具是否可以在输入输出端提取所有可以得到的数据。
· 误判测试:确认取证工具在输入输出端没有引入新的数据。
( 2)出错率在数字取证工具中,可能存在两类错误:
· 工具执行错误:源于代码中的漏洞的错误。
· 提取错误:源自算法的错误。
( 3)公开性公开性指工具在公开的地方有证明并经过对等部门的复查。这是允许作为证据的主要条件。
( 4)可接受性工具能否被广泛接受。
习 题
1,简述紧急响应的意义。
2,试述紧急响应服务在实现目的方面受哪些因素制约。
3,如何制定紧急响应预案?
4,尽可能多地例举一些安全事件。
5,简述应急事件处理的基本流程。
6,灾难恢复涉及哪些内容?
7,灾难恢复涉及哪些技术?
8,简述数据容错和数据容灾之间的联系与区别。
习 题(续)
9,简述数据备份在数据容错和数据容灾中的作用。
10,简述各种数据备份技术的特点。
11,简述各种数据备份策略的用途。
12,论述数字证据的特征。
13,上网搜索,提交一份有关数字取证工具的报告。
14,如何保证数字证据的安全?
15,试用蜜罐技术进行依次模拟的数字取证实践。
16,提交一篇关于数字证据的相关法律问题的论文。
“智者千虑,必有一失”。尽管已经为信息系统的防护开发了许多技术,但是很难没有一点疏漏,何况入侵者也是一些技术高手。
系统遭受到一次入侵,就面临一次灾难。这些影响信息系统安全的不正当行为,就称为事件。事件响应,就是事件发生后所采取的措施和行动。信息系统的脆弱,加上入侵技术的不断进化,使得入侵不可避免。因此,遭受灾难后,的系统恢复就成为一个与防火墙技术、入侵检测技术等同样重要的技术。
1988年,莫里斯蠕虫迅雷不及掩耳之势肆虐互联网,招致上千台计算机系统的崩溃,造成了以千万美元计的损失。
这突如其来的灾难,给人们敲响了警钟:面队人类对信息系统以来程度不断增强,对付入侵不仅需要防御,还要能够在事件发生后进行紧急处理和援助。 1989年,在美国国防部的资助下,CERT( Computer Emergency Team,
计算机紧急响应组) /CC( Call Center)成立。从此紧急响应被摆到了人们的议事桌上。 CERT成立以后,做了大量工作。但最大的成就是使紧急响应为人们普遍接受。
6.1 应急响应
一般说来,每个使用信息系统的组织都应当有一套紧急响应的机制。这个机制包括两个环节:
· 应急响应组织;
· 紧急预案。
6.1.1 应急响应组织
应急响应组织的主要工作有:
· 安全事件与软件安全缺陷分析研究;
· 安全知识库(包括漏洞知识、入侵检测等)开发与管理;
· 安全管理和应急知识的教育与培训;
· 发布安全信息(如系统漏洞与补丁,病毒警告等);
· 安全事件紧急处理。
应急响应组织包括 应急保障领导小组 和 应急技术保障小组 。
领导小组的主要职责是领导与协调突发事件与自然灾害的应急处理。应急技术保障小组主要解决安全事件的技术问题,
如物理实体和环境安全技术、网络通信技术、系统平台技术、
应用系统技术等。
6.1.2 紧急预案
1,紧急预案及基本内容
执行紧急预案的人员(姓名、住址、电话号码以及有关职能部门的联系方法);
应急预案是指根据不同的突发紧急事件类型和以外情形,预先制定的处理方案。应急预案一般要包括如下内容:
系统紧急事件类型及处理措施的详细说明;
应急处理的具体步骤和操作顺序。
2,常见安全事件
物理实体及环境类安全事件,如意外停电、物理设备丢失、火灾、水灾等。
紧急预案要根据安全事件的类型进行对应的处理。下面提供一些常见的安全事件类型供参考:
网络通信类安全事件:如网络蠕虫侵害等。
主机系统类安全事件,如计算机病毒、口令丢失等;
应用系统类安全事件,如客护信息丢失等。
3,安全事件处理的基本流程
( 1)安全事件报警值班人员发现紧急情况,要及时报告。报告要对安全事件进行准确描述并作书面记录。按照安全事件的类型,安全事件呈报条例应依次报告:
一、值班人员,二、应急工作组长,三、应急领导小组。如果想进行任何类型的跟踪调查或者起诉入侵者,应先跟管理人员和法律顾问商量,
然后通知有关执法机构。一定要记住,除非执法部门的参与,否则对入侵者进行的一切跟踪都可能是非法的。
同时,还应通知有关人员,交换相关信息,必要时可以获得援助;
安全事件处理的基本流程(续)
( 2)安全事件确认确定安全事件的类型,以便启动相应的预案。
( 3)启动紧急预案
( a)首先要能够找到紧急预案。
( b)保护现场证据(如系统事件、处理者采取的行动、与外界的沟通等),避免灾害扩大;
安全事件处理的基本流程(续)
( 4)恢复系统
( a)安装干净的操作系统版本。建议使用干净的备份程序备份整个系统,然后重装系统。
( b)取消不必要的服务。只配置系统要提供的服务,取消那些没有必要的服务。
检查并确信其配置文件没有脆弱性以及该服务是否可靠。
( c)安装供应商提供的所有补丁。建议安装所有的安全补丁,使系统能够抵御外来攻击,不被再次侵入,这是最重要的一步。
( d)查阅 CERT的安全建议、安全总结和供应商的安全提示
· CERT安全建议,http://www.cert.org/advisories/
· CERT安全总结,http://www.cert.org/advisories/
· 供应商安全提示,ftp://ftp.cert.org/pub/cert_bulletins/
( e)谨慎使用备份数据 。在从备份中恢复数据时,要确信备份主机没有被侵入。一定要记住,恢复过程可能会重新带来安全缺陷,被入侵者利用。例如恢复用户的 home目录以及数据文件中,以及用户起始目录下的,rhost文件中,也许藏有特洛伊木马程序。
( f)改变密码。在弥补了安全漏洞或者解决了配置问题以后,建议改变系统中所有账户的密码。
安全事件处理的基本流程(续)
( 5)加强系统和网络的安全
( a)根据 CERT的 UNIX/NT配置指南检查系统的安全性。
CERT的 UNIX/NT配置指南可以帮助你检查系统中容易被入侵者利用的配置问题。
http://www.cert.org/tech_tips/unix_configuration_guidelines.html
http://www.cert.org/tech_tips/win_configuration_guidelines.html
查阅安全工具文档可以参考 http://www.cert.org/tech_tips/security_tools.html
( b)安装安全工具。在将系统连接到网络上之前,一定要安装所有选择的安全工具。
同时,最好使用 Tripwire,aide等工具对系统文件进行 MD5校验,把校验码放到安全的地方,以便以后对系统进行检查。
( c)打开日志。启动日志 (logging)/检查 (auditing)/记账 (accounting)程序,将它们设置到准确的级别,例如 sendmail日志应该是 9级或者更高。
要经常备份日志文件,或者将日志写到另外的机器、一个只能增加的文件系统或者一个安全的日志主机。
( d)配置防火墙对网络进行防御。可以参考:
http://www.cert.org/tech_tips/packet_filtering.html
( e)重新连接到 Internet。全完成以上步骤以后,就可以把系统连接回 Internet了。
应当注意,安全事件处理工作复杂,责任重大,至少应有两人参加。
安全事件处理的基本流程(续)
( 6)应急工作总结召开会议,分析问题和解决方法,参考 ftp://ftp.isi.edu/in-notes/rfc2196.txt
( a)总结教训。从记录中总结出对于这起事故的教训,这有助于你检讨自己的安全策略。
( b)计算事件的代价。计算事件代价有助于让组织认识到安全的重要性。
( c)改进安全策略。
安全事件处理的基本流程(续)
( 7)撰写安全事件报告安全事件报告的内容包括:
· 安全事件发生的日期、时间;
· 安全事件处理参加的人员;
· 事件发现的途径;
· 事件类型;
· 事件涉及范围;
· 现场记录;
· 事件导致的损失和影响;
· 事件处理过程
· 使用的技术和工具;
· 经验和教训。
6.1.3 灾难恢复
与高层管理人员协商;
夺回系统控制权;
入侵评估:分析入侵途径,检查入侵对系统的损害;
清除入侵者留下的后门;
恢复系统。
灾难恢复是安全事件应急预案中特别重要的部分。
从发现入侵的那刻起就围绕它进行,并且应当包括如下几项内容:
1,与高层人员协商系统恢复的步骤应当符合组织的安全预案。如果安全预案中没有描述,应当与管理人员协商,以便能从更高角度进行判断,并得到更多部门的支持和配合。
2,夺回系统控制权为了夺回对被入侵系统的控制权,需要将入侵其从网络上断开,包括播号连接。如果在恢复过程中,没有断开被侵入系统和网络的连接,入侵者就可能破坏所进行恢复工作。
进行系统恢复也会丢失一些有用信息,如入侵者正在使用的扫描程序或监听进程。因此想要继续追踪入侵者时,可以不采取这样的措施,以免被入侵者发现。但是,也要采取其他一些措施,避免入侵蔓延。
3,复制一份被侵入系统的映像在进行入侵分析之前,最好对被入侵系统进行备份(如使用 UNIX命令 dd)。
这个备份在恢复失败是非常有用。
4,入侵评估入侵评估包括入侵风险评估、入侵路径分析、入侵类型确定和入侵涉及范围调查。下面介绍围绕这些工作进行的调查工作。
( 1)详细审查系统日志文件和显示器输出,检查异常现象。
( 2)入侵者遗留物分析。包括
· 检查入侵者对系统文件和配置文件的修改;
· 检查被修改的数据
· 检查入侵者留下的工具和数据
· 检查网络监听工具
( 3)其他,如网络的周遍环境和涉及的远程站点。
5,清除后门后门是入侵者为下次攻击打下的埋伏,包括修改了的配置文件、
系统木马程序、修改了的系统内核等。
6,记录恢复过程中所有的步骤毫不夸张地讲,记录恢复过程中采取的每一步措施,是非常重要的。恢复一个被侵入的系统是一件很麻烦的事,要耗费大量的时间,因此经常会使人作出一些草率的决定。记录自己所做的每一步可以帮助你避免作出草率的决定,还可以留作以后的参考,也还可能对法律调查提供帮助。
7,系统恢复各种安全事件预案的执行都是为了使系统在事故后得以迅速恢复。对于服务器和数据库等系统特别重要设备,则需要单独订立紧急恢复预案。
( 1)服务器的恢复一旦服务器因故障完全停止运行,常规的恢复方法是在一个新的硬件平台上重建。
步骤如下:
a)安装服务器操作系统;
b)安装所有需要的驱动程序;
c)安装所有需要的服务软件包;
d)安装所有需要的流行修补程序和安全修补程序;
e)安装备份软件;
f)安装备份软件需要的修补程序;
g)恢复最后一次完全备份磁带;
h)恢复所有增量备份或差异备份磁带。
显然,用手工进行服务器的恢复是非常麻烦的。如果能设计一种专门的软件包,可以生成存有服务器镜像文件的启动盘,来恢复服务器,就便利多了。
7,系统恢复
( 2)数据库系统的恢复数据库恢复的目的是在足够备份的基础上,使数据库尽快恢复到正常。其中包括:
a)数据文件恢复:把备份文件恢复到原来位置。
b)控制文件恢复:控制文件受损时,要将其恢复到原位重新启动。
c)文件系统恢复:在大型操作系统中,可能会因介质受损,导致文件系统被破坏。其恢复步骤为:
· 将介质重新初始化;
· 重新创建文件系统;
· 利用备份完整地恢复数据库中的数据;
· 启动数据库系统。
6.2 数据容错、数据容灾和数据备份
信息系统是脆弱的,它的可靠性不断遭受者威胁。为了保证系统的可靠性,
经过长期摸索,人们总结出了三条途径,避错、纠错和容错 。避错是完善设计和制造,试图构造一个不会发生故障的系统。但是,这是不太现实的。
任何一个系统总会有纰漏。因此,人们不得不用纠错作为避错的补充。一旦系统出现故障,可以通过检测和核实来消除,在进行系统的恢复。
容错是第三条途径。其基本思想是,即使出现错误,系统也还能执行一组规定的程序。或者说,程序不会因为系统中的故障而中断或被修改,并且故障也不引起执行结果的差错。或者简单地说,容错就是系统可以抵抗错误的能力。
容灾是针对灾害而言的。灾害对系统危害要比错误要大、要严重。
从保护数据的安全性出发,数据备份是数据容错、数据容灾以及数据恢复的重要保障。
6.2.1 数据容错系统与基本技术
1,容错系统分类根据容错系统的应用环境,可以将容错系统分为如下 5种类型。
( 1)高可用度系统可用度用系统在某时刻可以运行的概率衡量。高可用度系统面向通用计算机系统,用于执行各种无法预测的用户程序,主要面向商业市场。
( 2)长寿命系统长寿命系统在其生命期中不能进行人工维修,常用于航天系统中。它实际上也是一种容灾系统。
( 3)延迟维修系统这也是一种容灾系统,用于航空等在一定阶段不能进行维修的场合。
( 4)高性能系统这类系统对于故障(瞬时或永久)都非常敏感,应当具有瞬时故障的自动恢复能力,并增加平均无故障时间。
( 5)关键任务系统这类系统出错可能危机人的生命或造成重大经济损失,要求处理正确无误,而且故障恢复时间要最短。
2,常用数据容错技术
( 1)“空闲”设备
“空闲”设备也称双件热备,就是配置两套相同的部件。在正常状态下,
一个运行,另一个空闲。当正常运行的部件出现故障时,原来空闲的一台立即替补。
( 2)镜像镜像是把一份工作交给两个相同的部件同时执行。这样在一个部件出现故障时,另一个部件继续工作。
( 3)复现复现也称延迟镜像。复现与镜像一样需要两个系统,但是它把一个称为原系统,一个称为辅助系统;辅助系统从原系统中接收数据。与原系统中的数据相比,辅助系统的数据接收存在一定延迟。当原系统出现故障时,辅助系统只能在接近故障点的地方开始工作。与镜像相比,复现同一时间只需管理一套设备。
( 4)负载均衡负载均衡就是将一个任务分解成多个子任务,分配给不同的服务器执行,
通过减少每个部件的工作量,增加系统的稳定性。
6.2.2 数据容灾系统与基本技术
真正的数据容灾就是要能在灾难发生时,全面、及时地恢复整个系统。在系统遭受灾害时,使系统还能工作或尽快恢复工作的最基础的工作是数据备份。
不论任何一个容灾系统,没有备份的数据,任何容灾方案都没有现实意义。
1,数据容灾等级从技术上看,衡量数据容灾系统有两个主要指标,RPO( Recovery Point
Object)和 RTO( Recovery Time Object),其中 RPO代表了当灾难发生时允许丢失的数据量;而 RTO则代表了系统恢复的时间。
设计一个容灾备份系统,需要考虑多方面的因素,如备份 /恢复数据量大小、
应用数据中心和备援数据中心之间的距离和数据传输方式、灾难发生时所要求的恢复速度、备援中心的管理及投入资金等。根据这些因素和不同的应用场合,常见的容灾等级有以下 4个:
( 1)第 0级:本地备份、本地保存的冷备份
( 2)第 1级:本地备份、异地保存的冷备份
( 3)第 2级:热备份站点备份
( 4)第 3级:活动互援备份
2,异地容灾技术
( 1)远程镜像技术在建立容灾备份系统时会涉及到多种技术,如,SAN或 NAS技术、远程镜像技术、虚拟存储、基于 IP的 SAN的互连技术、快照技术等。
远程镜像技术是在主数据中心和备援中心之间的数据备份时用到。镜像是在两个或多个磁盘或磁盘子系统上产生同一个数据的镜像视图的信息存储过程,一个叫主镜像系统,另一个叫从镜像系统。按主从镜像存储系统所处的位置可分为本地镜像和远程镜像。
远程镜像又叫远程复制,是容灾备份的核心技术,同时也是保持远程数据同步和实现灾难恢复的基础。远程镜像按请求镜像的主机是否需要远程镜像站点的确认信息,又可分为同步远程镜像和异步远程镜像。
同步远程镜像(同步复制技术)是指通过远程镜像软件,将本地数据以完全同步的方式复制到异地,每一本地的 I/O事务均需等待远程复制的完成确认信息,方予以释放。同步镜像使远程拷贝总能与本地机要求复制的内容相匹配。
异步远程镜像(异步复制技术)保证在更新远程存储视图前完成向本地存储系统的基本 I/O操作,而由本地存储系统提供给请求镜像主机的 I/O操作完成确认信息。
远程的数据复制是以后台同步的方式进行的,这使本地系统性能受到的影响很小,
传输距离长(可达 1000公里以上),对网络带宽要求小。但是,许多远程的从属存储子系统的写没有得到确认,当某种因素造成数据传输失败,可能出现数据一致性问题。为了解决这个问题,目前大多采用延迟复制的技术,即在确保本地数据完好无损后进行远程数据更新。
( 2) 快照技术远程镜像技术往往同快照技术结合起来实现远程备份,即通过镜像把数据备份到远程存储系统中,再用快照技术把远程存储系统中的信息备份到远程的磁带库、光盘库中。
快照是通过软件对要备份的磁盘子系统的数据快速扫描,建立一个要备份数据的快照逻辑单元号 LUN和快照 cache,在快速扫描时,把备份过程中即将要修改的数据块同时快速拷贝到快照 cache中。快照 LUN是一组指针,它指向快照 cache和磁盘子系统中不变的数据块(在备份过程中)。在正常业务进行的同时,利用快照 LUN实现对原数据的一个完全的备份。它可使用户在正常业务不受影响的情况下,实时提取当前在线业务数据。其“备份窗口”
接近于零,可大大增加系统业务的连续性,为实现系统真正的 7× 24运转提供了保证。
快照是通过内存作为缓冲区(快照 cache),由快照软件提供系统磁盘存储的即时数据映像,它存在缓冲区调度的问题。
( 3) 互连技术早期的主数据中心和备援数据中心之间的数据备份,主要是基于 SAN的远程复制(镜像),即通过光纤通道 FC,把两个 SAN连接起来,进行远程镜像
(复制)。当灾难发生时,由备援数据中心替代主数据中心保证系统工作的连续性。这种远程容灾备份方式存在一些缺陷,如:实现成本高、设备的互操作性差、跨越的地理距离短( 10公里)等,这些因素阻碍了它的进一步推广和应用。
目前,出现了多种基于 IP的 SAN的远程数据容灾备份技术。它们是利用基于
IP的 SAN的互连协议,将主数据中心 SAN中的信息通过现有的 TCP/IP网络,
远程复制到备援中心 SAN中。当备援中心存储的数据量过大时,可利用快照技术将其备份到磁带库或光盘库中。这种基于 IP的 SAN的远程容灾备份,可以跨越 LAN,MAN和 WAN,成本低、可扩展性好,具有广阔的发展前景。
基于 IP的互连协议包括,FCIP,iFCP,Infiniband,iSCSI等。
( 4) 虚拟存储在有些容灾方案产品中,还采取了虚拟存储技术,如西瑞异地容灾方案。虚拟化存储技术在系统弹性和可扩展性上开创了新的局面。它将几个 IDE或
SCSI驱动器等不同的存储设备串联为一个存储池。存储集群的整个存储容量可以分为多个逻辑卷,并作为虚拟分区进行管理。存储由此成为一种功能而非物理属性,而这正是基于服务器的存储结构存在的主要限制。
虚拟存储系统还提供了动态改变逻辑卷大小的功能。事实上,存储卷的容量可以在线随意增加或减少。可以通过在系统中增加或减少物理磁盘的数量来改变集群中逻辑卷的大小。这一功能允许卷的容量随用户的即时要求动态改变。另外,存储卷能够很容易的改变容量,移动和替换。安装系统时,只需为每个逻辑卷分配最小的容量,并在磁盘上留出剩余的空间。随着业务的发展,可以用剩余空间根据需要扩展逻辑卷。你也可以将数据在线从旧驱动器转移到新的驱动器上,而不中断服务的运行。
存储虚拟化的一个关键优势是它允许异质系统和应用程序共享存储设备,而不管它们位于何处。公司将不再需要在每个分部的服务器上都连接一台磁带设备。
6.2.3 数据备份的策略数据备份可以依据条件和需要选择不同的策略。下面是几种基本的数据备份策略。
1,全盘备份全盘备份是将所有文件写入备份介质。这种方法简单,操作起来比较方便。
2,增量备份增量备份只备份上次备份后作过更新的文件。这种系统性能和容量可以很好的改善。但是,仅仅依靠文件属性识别文件是否作过修改,
不太可靠。通常与全盘备份配合使用。
3,差别备份差别备份是只对上次全盘备份之后更新过的所有文件。这样,全部系统只需要两组磁带(最后一次全盘备份磁带和最后一次差别备份磁带)就可以恢复。
4,按需备份按需备份是指在正常的备份之外额外有选择地进行的备份操作。按需分配可以弥补冗余管理或长期转储的日常备份的不足。
6.3 数字证据获取
现在,信息系统的攻击和对抗已经不仅仅是技术领域和管理领域的问题了。许多问题已经进入涉讼,成为法学案件。随着数字犯罪案件的增多,数字证据的获取已经成为信息技术和法学家们共同关注的热点。
早先,数字证据也被成为计算机证据。对于它的研究最早是从应急响应的角度开始的,目的是为了搜集攻击者的有关信息。直到 2001年人们才转移到从司法的角度来看待它,关于它的研究,才从纯技术领域转向技术与法学的结合上。
6.3.1 数字证据的特点
1,依附性和多样性一般说来,数字证据就是在计算机或在计算机系统运行过程中产生的、以其记录的内容来证明案件事实的电磁记录。与其他证据相比,它有如下一些特点。
电磁证据依附在不同介质上。这就带来两个方面的特点:一是数字证据不会像传统的证据那样可以独立存在;二是不同的介质,使同样的信息表现出不同的形态,如在导体中是以电流或电压表现的数字脉冲,在显示器上是文字或图形,在磁盘中是磁核的排列形式,在光缆中是光波等。
2,可伪性和弱证明性数字证据的非实物性,使得其窃取、修改甚至销毁都比较容易。例如,黑客在入侵之后,可以对现场进行一些灭迹、制造假象等工作,给证据的认定带来困难,直接减低了证明力度,增加了跟踪和侦查的难度。
3,数据的挥发性计算机系统中所处理的数据有一些是动态的。这些动态数据对于抓住犯罪的蛛丝马迹非常有用。但是它们却有一定的时间效应。即有些数据会因失效或消失而挥发。在收集数字证据时必须充分考虑数据的挥发性。 表 6.1描述了数字证据数据的挥发性。
数 据 硬件或位置 存活时间
CPU 高速缓冲器,管道 几个时钟周期系统 RAM 关机前内核表 进程中 关机前固定介质 Swap/tmp 直至被覆盖或被抹掉可移动介质 Cdrom,Floppy,HDO 直至被覆盖或被抹掉打印输出 被拷贝打印输出 直至被毁坏表 6.1 数字证据的挥发性
6.3.2 数字取证的原则实施数字取证应当遵循如下原则:符合程序,共同监督,保护隐私,影响最小,证据连续,原汁原味。下面分别予以说明。
1,符合程序取证应当首先启动法律程序,要在法律规定的范围内展开工作,否则会陷入被动。
2,共同监督由原告委派的专家所进行整个的检查、取证过程,必须受到由其他方委派的专家的监督。
3,保护隐私在取证过程中,要尊重任何关于客户代理人的隐私。一旦获取了一些关于公司或个人的隐私,决不能泄露。
数字取证的原则
4,影响最小
· 如果取证要求必须运行某些业务程序,应当使运行时间尽量短;
· 必须保证取证不给系统带来副作用,如引进病毒等。
5,证据连续必须保证证据的连续性( Chain of Custody),即在将证据提交法庭前要一直跟踪证据,要向法庭说明在这段时间内证据有无变化。此外,要向法庭说明该证据的完全性。
6,原汁原味
· 必须保证提取出来的证据不受电磁或机械的损害;
· 必须保证收集的证据不被取证程序破坏。
6.3.3 数字取证的一般步骤
1,保护现场
· 在取证过程中,保护目标系统,避免发生任何改变、损害;
· 保护证据的完整性,防止证据信息的丢失和破坏;
· 防止病毒感染。
2,证据发现证据发现首先要识别可获取证据的信息类型。按照证据信息变化的特点,可以将证据信息分为两大类:
· 实时信息(或易失信息),例如网络连接;
· 非易失信息,即不会随时间或设备断电消失。
数字取证过程一般可以按如下步骤进行。
( 1)日志:如操作系统日志等。
( 2)文件。如可以进行的文件搜索有:
· 搜索目标系统中所有文件(包括现存的正常文件、已经被删除但仍存在于磁盘上还没有被覆盖的文件、隐藏文件、受密码保护的和加密文件);
· 尽量恢复所发现的文件;
· 在法律允许的情况下,访问被保护或加密的文件;
· 分析磁盘特殊区域(未分配区域、文件栈区等)。
( 3)系统进程:如进程名、进程访问文件等。
( 4)用户:特别是在线用户的服务时间、使用方式等。
( 5)系统状态:如系统开放的服务、网络运行的状态等。
( 6)通信连接记录:如网络路由器的运行日志等。
( 7)存储介质:如磁盘、光盘、闪寸等。
在证据发现阶段可以使用的技术有,IDS、蜜罐技术、网络线索自动识别技术、溯源技术等。同时还可以使用一些相关的工具。 表 6.2为一些常用实时取证类工具。
下面是可以作为证据或可以提供相关信息的信息源。
数字证据的信息源一些常用实时取证类工具工具名称 用途描述
Netstat 显示当前受害系统的网络监听程序和网络连接
ARP 查看受害系统的地址解析缓存表
Who 显示系统在线用户信息
last 显示系统登录用户信息
ps 查看 UNIX系统进程信息表 6.2 一些常用实时取证类工具数字取证的一般步骤(续)
3,证据固定针对数字证据的挥发性,数字证据的固定非常重要。
4,证据提取证据提取主要是提取特征。包括:
· 过滤和挖掘;
· 解码:对软件或数据碎片进行残缺分析、上下文分析,恢复原来的面貌。
5,证据分析分析的目的大致有:
· 犯罪行为重构;
· 嫌疑人画像;
· 确定犯罪动机;
· 受害程度行为分析等。
6,提交证据向律师、管理者或法庭提交证据。这时要注意使用规定的法律文书格式和术语。
6.3.4 数字取证的基本技术和工具
在数字取证过程中,可以使用相关的技术和工具。现在已经开发出了这样一些工具。 表 6.3为可以提供计算机及网络攻击取证的一些网站。
资源类型 网络地址
TCT取证软件包 http://www,fish.com/forensics/
Encase http://www.encase.com/
计算机取证分析 http://www,porcupine.org/forensics/
Computer Forensics Tool Testing( CFTT) http://www.cftt.nist.gov/
文件及介质取证工具箱 Sleuth Kit http://www,sleuthkit.org/sleuthkit/index.php
开放源代码数字取证 http://www.opensourceforensics.org/
表 6.3 提供计算机及网络攻击取证的一些网站
下面重点介绍利用 IDS和蜜罐取证的方法。
1,利用 IDS取证把 IDS与取证工具结合,往往能对网络攻击进行取证并得到响应。
( 1)确认攻击确认攻击是响应的第一步。确认攻击的主要方法是查找攻击留下的痕迹。检查的主要内容有:
· 寻找嗅探器(如 sniffer);
· 寻找远程控制程序(如 netbus,back orifice);
· 寻找黑客可能利用的文件共享或通信程序(如 eggdrop,irc)
· 寻找特权程序(如 find/-perm-4000-print);
· 寻找未授权的服务(如 netstat –a,check inetd.conf);
· 寻找异常文件(考虑系统磁盘大小);
· 检查文件系统的变动;
· 检查口令文件的变动并寻找新用户;
· 检测 cron和 at jobs;
· 核对系统和网络配置(特别注意过滤规则);
· 检查所有主机(特别是服务器)。
( 2)取证过程
1)决定取证的目的
· 观察研究攻击者。
· 跟踪并驱赶攻击者。
· 捕俘攻击者。
· 准备起诉攻击者。
2)启动必要的法律程序。
3)对系统进行完全备份,包括:
· 用 tcpdump作完全的分组日志;
· 有关协议分组的来龙去脉;
· 一些会话(如 telnet,rlogin,IRC,FTP等)的可能内容。
4)根据情况有选择地关闭计算机系统
· 不彻底关闭系统(否则造成信息改变,证据破坏)。
· 不断开网络。
· 将系统备份转移到单用户模式下制作和验证备份。
· 考虑制作磁盘镜像。
· 同步磁盘,暂停系统。
5)调查攻击者来源
· 利用 tcpdump/who/syslog。
· 运行 finger对抗远程系统。
· 寻找攻击者可能利用的账号。
2,利用蜜罐取证利用蜜罐进行取证分析的一些原则和步骤如下。
( 1)获取入侵者信息。
( 2)获取关于攻击的信息:
· 攻击的手段、日期和时间;
· 入侵者添加了一些什么文件?
· 是否安装了嗅探器或密码?若有,在何处?
· 是否安装有,rootkit”或木马程序?若有,传播途径是什么?
· …… 。
( 3)建立事件的时间序列。
( 4)事故费用分析。
( 5)向管理层、媒体以及法庭提交相应的报告。
6.3.5 数字证据的法律问题
1,数字证据的真实性数字证据学是涉及信息技术和法学两个领域的交叉学科。下面讨论它在法学方面的一些问题。
法律对作为定案依据的证据,有真实性、合法性和关联性三方面要求。
一般而言,关联性主要指证据与案件争议和理由的联系程度,这属于法官裁判的范围。合法性主要包括:证据的形式、收集手段、是否侵犯他人权益、
取证工具是否合法等。这在后面要进行有关的讨论。
关于证据的真实性,民事诉讼法和相关司法解释都要求提供“原件”(书面文件)。因为这种看得见、摸得着的东西,才能给人充分的真实感和唯一性,
才能防止被篡改和冒认。而数字证据的真实性的确认,一直是人们最关注的问题。目前,人们想用数字签名的方法来解决这一法律难题。通过电子签名,
可以证明签发数字证据的人是谁,也可以证明数字证据是否被篡改过。
2,数字证据的证明力证据的证明力是指证据对证明案件事实所具有的效力,即该证据是否能够直接证明案件事实还需要其他证据配合综合认定。我国,民事诉讼法,
第 63条规定,法定证据有:书证、物证、视听资料、证人证言、当事人陈述、鉴定结论和勘验笔录等 7种。而数字证据应当归入这 7类之中,还是另行规定,是司法界正在讨论的问题。
3,数字取证工具的法律效力数字证据的合法性涉及数字取证工具的法律效力,即法庭是否认可。每种工具都是一个程序。按照 Daubert测试,可以从下面 4个方面进行讨论。
( 1)可测试性测试的目的是为了确定一个程序是否可以被测试并确定它所提供的结果的准确性。对一个工具必须执行两类测试:
· 漏判测试:确认取证工具是否可以在输入输出端提取所有可以得到的数据。
· 误判测试:确认取证工具在输入输出端没有引入新的数据。
( 2)出错率在数字取证工具中,可能存在两类错误:
· 工具执行错误:源于代码中的漏洞的错误。
· 提取错误:源自算法的错误。
( 3)公开性公开性指工具在公开的地方有证明并经过对等部门的复查。这是允许作为证据的主要条件。
( 4)可接受性工具能否被广泛接受。
习 题
1,简述紧急响应的意义。
2,试述紧急响应服务在实现目的方面受哪些因素制约。
3,如何制定紧急响应预案?
4,尽可能多地例举一些安全事件。
5,简述应急事件处理的基本流程。
6,灾难恢复涉及哪些内容?
7,灾难恢复涉及哪些技术?
8,简述数据容错和数据容灾之间的联系与区别。
习 题(续)
9,简述数据备份在数据容错和数据容灾中的作用。
10,简述各种数据备份技术的特点。
11,简述各种数据备份策略的用途。
12,论述数字证据的特征。
13,上网搜索,提交一份有关数字取证工具的报告。
14,如何保证数字证据的安全?
15,试用蜜罐技术进行依次模拟的数字取证实践。
16,提交一篇关于数字证据的相关法律问题的论文。
