ch5审计取证等其他安全相关环境

Ch5其他安全相关技术主要内容安全审计取证技术安全测试安全编码安全审计基本知识安全审计就是对有关操作系统、系统应用或用户活动所产生的一系列有关安全的活动进行记录、检查及审核。管理员采用审计系统来监控系统的状态和活动，并对日志文件进行分析、及时发现系统中存在的安全问题。12345678基本知识安全审计的范围较广，可覆盖桌面系统、网络、各类服务器，可涉及用户的各类网络行为与数据内容（浏览网页、访问论坛空间、发表言论、传输文件、发送电子邮件等等）、数据和文件的访问操作行为与内容、数据库的操作和访问行为与内容等等诸多方面和层次。安全审计中检查的内容包括审计事件类型；事件安全级；引用事件的用户；报警；指定时间内的事件以及恶意用户表等。12345678基本知识安全审计的形式人工审计计算机手动分析处理审计记录并与审计人员最后决策相结合的半自动审计依靠专家系统作出判断结果的自动化的智能审计等12345678基本知识审计日志分析技术统计分析Syslog标准与Syslog系统服务器服务器路由器路由器交换机交换机防火墙防火墙网络管理员网络管理员数据库数据库SYSLOG日志SYSLOG日志SYSLOG日志SYSLOG日志数据存储入数据库SYSLOG网络日志管理日志分析SYSLOG网络日志管理日志分析产生警告信息生成统计报表基本知识安全审计系统是安全审计的工具，其通过对安全审计日志的分析和处理来对系统的活动进行检查和审核，即进行安全审计。操作系统安全审计系统数据库安全审计系统网络安全审计系统12345678基本知识安全审计的作用对于已经发生的系统破坏行为，提供有效的追踪证据；为系统管理员提供有价值的系统使用日志，便于及时发现系统入侵行为或潜在的系统漏洞；重建事件；评估损失；监测系统的问题区；发现和阻止系统的不正当使用。12345678应用案例某安全审计系统典型部署（旁路部署模式）应用案例小型网络之精细审计方案12345678应用案例中型网络之集中审计方案12345678应用案例某产品大型网络之分级审计方案12345678取证技术基本知识证据是证明犯罪行为的事实依据，是法律诉讼的重要内容。根据《刑事诉讼法》规定，电子数据属于证据中的一种，是以二进制形式存储和传输的信息。电子证据可能包括罪犯在计算环境中留下的对数据、载体进行访问和操作的任何痕迹与信息。取证是运用计算机及其相关科学技术的原理与方法，获取与计算机相关的电子证据并加以整理分析，以便法庭或调查使用。12345678取证的基本步骤1)证据的获取2)位拷贝3)分析检查4)取证提交5)证据存档6)证据呈供12345678取证须遵守的原则（IOCE）处理电子证据时，必须遵守所有的常规取证步骤、原则。获取电子证据时，必须保证证据的不变性。进行原始证据处理的取证人员应该经过专业培训。所有和电子证据的获取、访问、存储、传送相关的处理都必须完全归档、保存好。个人在拥有和案例相关的电子证据时，应该对其所有在电子证据上所进行的相关操作负有责任。任何代理机构，在负责提取、访问、保存或传送电子证据时都必须遵守这些原则。12345678取证技术证据获取技术磁盘映像技术数据恢复技术网络实时数据获取技术证据分析技术内容分析技术证据鉴定技术数据解密技术反取证技术数据擦除数据隐藏数据加密清除伪造日志12345678取证/反取证工具取证工具国外软件LiveView、OpenFilesView、Helix、Wireshark反取证工具磁盘擦除工具Diszapper、隐藏信息的StealthDisk、以隐写术为主的Cloak和数据隐藏工具InvisibleSecrets12345678应用案例1：毒品贩卖案子1•警方采用手机取证设备对手机进行了提取和恢复分析，得出了基本的联系图和上下级关系内容；2•采用硬盘取证复制机将嫌疑人的计算机硬盘进行复制，避免对原始电子证据的破坏；3•使用FTK司法分析软件对复制后硬盘中的所有文档进行了分析，在其中一台台式机中发现了这个集团的账本，以及交易记录，通讯录等内容。4•针对其中一台苹果便携式计算机，由于硬盘取出不方便，警方利用免拆机取证工具，直接通过USB接口对计算机进行了取证和分析。•山东XX公安局破获一起重大的毒品贩卖案子，嫌疑已经抓获，得知对方是使用手机短信和QQ联络互相联系。警方缴获了手机30台，便携式计算机3台，台式机计算机15台，并对证据进行安全保存。12345678应用案例2：某单位经济案1•拆除硬盘，使用硬盘复制机，将数据全盘拷贝到证据硬盘；2•采用司法分析软件Encase进行了分析，获取了诸多数据文件。3•由于财务数据需要财务软件环境展示，因此检方采用仿真设备，还原操作系统环境并进入财务软件，输入登录密码和插上加密狗，导出了所有的报表文件，最后为确保文件的完整性，采用Encase对文件采用哈希算法进行了完整性保护。•XX市人民检察院技术处接到案件，要求查找嫌疑人计算机中的财务数据，并分析其数据的关联性。缴获的3台台式机计算机，皆为单独主机，没有网卡和光驱。应用案例3：电话诈骗案1•采用硬盘复制设备对原始证据进行复制；2•采用数据恢复软件对系统上的文件进行反删除恢复；3•对文件系统及关键文件进行文件浏览；4•完成关键涉案文件的提取。•某公安局破获一起电话诈骗团伙案，罪犯所用计算机被损毁，硬盘被格式化。123456785.7安全测试基本知识这里，安全测试是确认计算环境的安全功能、发现计算环境在部署、配置及软件代码在设计、实现、操作和管理等方面缺陷的过程。安全性测试可分为安全功能测试安全漏洞测试12345678基本知识安全测试流程测试前的准备阶段安全测试执行阶段数据汇总分析阶段12345678基本知识安全测试技术与方法黑盒测试安全审查技术目标识别与分析技术目标漏洞验证技术12345678技术应用安全测试工具静态语法检查工具日志审查工具系统配置分析工具网络嗅探工具完整性工具网络及漏洞扫描工具应用程序安全测试工具渗透及攻击测试工具12345678应用实例12345678某公司安全测试框架应用实例针对Web应用进行渗透测试123456781•在AppScan里建立一个新的扫描2•设置需要扫描的URL3•登录AppScan4•测试策略的选择5•测试配置项6•扫描分为二部分：探索，实际测试7•分析和修复建议8•漏洞复现和判断其严重程度安全编码基本知识安全编码是指为了消除或降低软件的安全风险而在编程时所遵循的原则以及所采用的技术手段。基本知识安全编码意识培养1)将安全性纳入到软件开发过程中2)像攻击者一样思考3)安全是一个风险管理问题12345678基本知识安全编码技术内存安全线程进程安全异常处理安全输入安全国际化安全面向对象编程安全Web编程安全安全编码规范12345678技术应用典型案例1：避免SQL注入StringsqlString=select*fromdb_userwhereusername=?andpassword=?;PreparedStatementstmt=connection.prepareStatement(sqlString);stmt.setString(1,username);stmt.setString(2,pwd);ResultSetrs=stmt.executeQuery();12345678技术应用典型案例2：避免XSS跨站脚本攻击//定义需过滤的字段串scriptStrings=\uFE64+script+\uFE65;//过滤字符串标准化s=Normalizer.normalize(s,Form.NFKC);//使用正则表达式匹配inputStr是否存在scriptPatternpattern=Pattern.compile(inputStr);Matchermatcher=pattern.matcher(s);if(matcher.find()){//FoundblacklistedtagthrownewIllegalStateException();}else{//...}12345678技术应用典型案例3：异常处理编程问题classFooimplementsRunnable{publicvoidrun(){try{Thread.sleep(1000);}catch(InterruptedExceptione){Thread.currentThread().interrupt();//Resetinterruptedstatus}}}12345678