描述
开 本: 16开纸 张: 胶版纸包 装: 平装-胶订是否套装: 否国际标准书号ISBN: 9787302517436丛书名: 高等教育质量工程信息技术系列示范教材
本书结合实际案例和当前网络中的常见问题,从宏观角度系统阐述信息系统安全管理和防御的基本策略,在细节上紧扣现代生产生活中的应用热点,引导读者正确看待网络安全防御策略,进一步做好安全规划和管理。书中配有实际案例,对容易引起混淆的概念进行了简明分析,是学习信息系统安全的基础教材。适合作为信息安全、网络安全、通信安全、计算机网络、信息管理等专业“信息系统安全”课程的教学参考书,也可供相关专业技术管理人员参考。
第1章 信息系统安全威胁 1
1.1 第1章知识提要 1
1.2 第1章习题和答案详解 1
第2章 数据安全保护 44
2.1 第2章知识提要 44
2.2 第2章习题和答案详解 44
第3章 身份认证与访问控制 61
3.1 第3章知识提要 61
3.2 第3章习题和答案详解 61
第4章 网络安全防护 76
4.1 第4章知识提要 76
4.2 第4章习题和答案详解 76
第5章 信息系统安全管理 106
5.1 第5章知识提要 106
5.2 第5章习题和答案详解 106
附2017年信息安全专业综合考题及答案 126
附1 综合考题一及答案 126
附2 综合考题二及答案 134
参考文献 141
后记 143
随着有线和无线信息系统的快速发展,网络安全问题成为21世纪最重要的研究课题之一。计算机网络的最初形成和发展来自于海外国家,我国在紧跟国际发展的基础上,又开拓了很多新的领域和新的应用。对于网络安全的研究,既要吸收采纳国外的相关先进理论、技术和产品,也要迅速发展国内的研究能力。近十几年出现了一大批计算机网络安全方面的优秀教材,而对于教材中对学子们提出的问题,也需要精确全面的解答,以引导整个领域更加蓬勃健康地发展。本书正是在此大背景下应运而生。
网络安全涉及的领域很广,包括设备供应商、网络服务商、网络管理层、计算机用户等多方面的需求,黑客的恶意攻击和用户的懈于防护使得网络诈骗、网络病毒、网络瘫痪出现的概率越来越大,对于网络信息安全需要各个层面的重视。
习近平总书记在2018年中国国际大数据产业博览会5月26日的开幕式贺信中提到,要建设网络强国、数字中国、智慧社会,并在多次讲话中提到要形成党委领导、政府管理、企业履责、社会监督、网民自律等多主体参与,经济、法律、技术等多种手段相结合的综合治网格局。要加强网上正面宣传,积极培育和践行社会主义核心价值观。
《孙子兵法》中说:知己知彼,百战不殆;不知彼而知己,一胜一负;不知彼不知己,每战必殆。因此,要成为信息安全防御方面的能手,必须深入了解攻击者惯于使用的伎俩,并且建立长期有效的防御体制,才能确保整个通信系统的安全。
本习题详解基本概括了当前网络中存在的各种干扰不安全因素,并阐明了防御方案。第1章习题囊括了病毒、木马、蠕虫、窃听、扫描攻击、IP欺骗、路由欺骗、TCP会话劫持、DNS欺骗、Web欺骗、邮件欺骗、伪基站攻击、缓冲区溢出、拒绝服务攻击等计算机信息系统中过去几十年危害网络的常用攻击手法以及防御措施;第2章习题主要涉及加密算法、数据完整性和真实性保护;第3章习题包括数字签名、身份认证、访问控制等国际标准的相关知识和内容;第4章习题涉及防火墙、网络隔离、Internet安全协议,包括IPSec、SSL、VPN等,以及对于入侵检测技术和蜜罐技术的阐述和解答;第5章习题涉及信息系统安全管理层面,包括应急响应、风险评估方面比较成熟的方案介绍。附录中给出了两套综合试题及其解答,以便于阅读者自学。
本书第1~4章习题解答由栾英姿编写,第5章习题解答由王玉斐编写。在整个编写过程中,得到清华大学出版社各位领导、同事的支持和认可,原教材作者张基温教授也一直密切关注和指导本书的写作,在此一并致谢,感恩!
栾英姿
2019年2月
5.1 第5章知识提要
本章习题详细解答了关于信息系统应急响应、数据备份容错和容灾、数字证据获取、安全风险评估和审计、安全测评准则以及开放系统互连安全体系结构等方面的常见问题和实践思路。
5.2 第5章习题和答案详解
一、选择题(答案:AABCCD AABBC)
1. 系统备份与普通数据备份的不同在于,它不仅备份系统中的数据,还备份系统中安装的应用程序、数据库系统、用户设置、系统参数等信息,以便迅速________。
A. 恢复整个系统
B. 恢复所有数据
C. 恢复全部程序
D. 恢复网络设置
答案:A
解答:系统备份是指备份系统正常运行需要的全部文件以及其他数据,以便在系统出现问题后能够方便地将系统还原到之前备份的状态。
2. 灾难恢复计划或者业务连续性计划关注的是信息资产的_______属性。
A. 可用性
B. 真实性
C. 完整性
D. 保密性
答案:A
解答:在美国NIST SP 800-34《信息技术系统应急计划指南》中,将灾难恢复计划(DRP-Disaster Recovery Plan)定义为在紧急事件后在备用场所恢复目标系统、应用或计算机设施的以IT为核心的计划,将业务连续性计划(BCP-Business Continuity Plan)定义为在中断发生或发生后维持组织机构的业务功能。因此,DRP和BCP关注的是信息资产的可用性。
3. 数据备份常用的方式主要有:完全备份、增量备份和________。
A. 逻辑备份???????
B. 按需备份???????
C. 差异备份???????
D. 物理备份
答案:BC
解答:完全备份(full backup)指的是对整个系统或用户指定的所有文件数据进行一次完全的备份。增量备份(incremental backup)只备份上次备份后作过更新的文件。差异备份(differential backup)是每次只备份上次全盘备份之后更新过的数据。按需备份是指在正常的备份之外,有选择地进行的额外备份操作(例如,对于非常关键的数据)。
4. 审计管理是指________。
A. 保证数据接收方收到的信息与发送方发送的信息完全一致
B. 防止因数据被截获而造成的泄密
C. 对用户和程序使用资源的情况进行记录和审查
D. 信息使用者都可有得到相应授权的全部服务
答案:C
解答:安全审计管理的主要活动包括:①选择将被记录和被远程收集的事件。②授予或取消对所选事件进行审计跟踪日志记录的能力。③所选审计记录的远程收集。④准备安全审计报告。
5. 关于安全审计目的的描述,错误的是________。
A. 识别和分析未经授权的动作或攻击
B. 记录用户活动和系统管理
C. 将动作归结到为其负责的实体
D. 实现对安全事件的应急响应
答案:D
解答:信息安全审计主要指按照一定的安全策略,利用记录、系统活动和用户活动等信息检查、审查和检验操作事件的环境及活动,从而发现系统漏洞、入侵行为或改善系统性能的过程。
6. 安全审计跟踪是________。
A. 安全审计系统检测并追踪安全事件的过程
B. 安全审计系统收集易于安全审计的数据的过程
C. 人利用日志信息进行安全事件分析和追溯的过程
D. 对计算机系统中的某种行为的详尽跟踪和观察
答案:A
解答:审计跟踪(audit trail)是指按事件顺序检查、审查、检验其运行环境及相关事件活动的过程。
7.“保护数据库,防止因未经授权的或不合法的使用造成的数据泄露、更改、破坏。”这是指数据的________保护。
A. 安全性
B. 完整性
C. 并发
D. 恢复
答案:A
解答:保护数据库,防止因未经授权的或不合法的使用造成的数据泄露、更改、破坏。保护数据库,防止因未经授权的或不合法的使用造成的数据泄露、更改、破坏。
8. 信息安全评测标准CC是________标准。
A. 美国
B. 国际
C. 中国
D. 加拿大
答案:B
解答:1993年6月,美国政府同加拿大及欧共体共同起草了单一的通用准则(CC标准)并将其推到国际标准。制定CC标准的目的是建立一个各国都能接受的通用的信息安全产品和系统的安全性评估准则。在美国的TCSEC、欧洲的ITSEC、加拿大的CTCPEC、美国的FC等信息安全准则的基础上,由6个国家(美国、加拿大、英国、法国、德国、荷兰)共同提出了“信息技术安全评价通用准则(The Common Criteria for Information Technology security Evaluation,CC)”,简称CC标准,它综合了已有的信息安全的准则和标准,形成了一个更全面的框架。
9. 我国《信息系统安全等级保护基本要求》中,对不同级别的信息系统应具备的基本安全保护能力进行了要求,共划分为________级。
A.??4
B.??5
C.??6
D.??7
答案:B
解答:《信息安全技术 信息系统安全等级保护基本要求》(GB/T 22239—2008)中关于信息系统安全保护等级的定义:信息系统根据其在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等,由低到高划分为五级,五级定义见GB/T??22240—2008。
10. 在CC中,称为访问控制保护级别的是________。
A.??C1
B.??B1
C.??C2
D.??B2
答案:C
解答:C2级系统:在C1级的基础上,通过登录、安全事件和资源隔离增强可调的审慎控制。连接到网上时,用户分别对自己的行为负责。
二、问答题
1. 简述紧急响应的意义。
答:紧急响应的意义主要表现在未雨绸缪和亡羊补牢两个方面。
(1)未雨绸缪,事件发生前做好充分的准备。管理层面进行安全培训,制定安全策略和应急预案,开展风险评估等,技术层面增强系统安全性。
(2)亡羊补牢,事件发生后采取抑制、根除和恢复等措施,尽可能减少损失或尽快恢复正常运行,如收集系统特征,检测病毒和木马等恶意代码,限制或关闭网络服务,系统恢复,反击和跟踪总结等活动。
2. 试述紧急响应服务在实现目的方面受哪些因素制约。
答:紧急响应服务是解决网络系统安全问题的有效服务手段之一,在实施紧急响应时,也受以下方面的制约。
(1)技术复杂性与专业性的制约:当前信息系统、网络、应用涉及各种硬件平台、各类操作系统、种类繁多的应用软件以及形形色色的工作人员,技术的复杂度和处理事件所需的专业程度相当高。
(2)服务人员知识经验的制约:应急响应是由人提供服务,从事应急响应服务的人员应具备丰富的经验,了解频繁发生或可能发生的事件主要类型以及风险。应急响应的成败很大程度上取决于应急服务人员的知识和经验。
(3)事件的突发性:安全事件有可能发生在任何时候、任何场所,对突发情况的反应能力,也是制约应急响应服务的重要因素。
(4)广泛的协调和合作:尽管大多数情况下技术人员是安全事件处理的主要人员,但还需要管理能力、法律知识、人际关系、写作能力、心理学等方面的知识。有效的应急响应不只是简单的技术诊断或凭借技巧解决某些问题,具有不同技能的、具有全面综合能力的团队也是关键因素。
3. 如何制订紧急响应预案?
答:应急响应预案又称应急响应计划,是组织为应对突发或重大信息安全事件而编制的,对包括信息系统运行在内的业务运行进行维持或恢复的策略和规程。
(1)应急响应预案编制准备:进行风险评估、业务影响性分析(BIA),根据风险分析和业务影响分析的结果进行成本效益分析,确定应急响应策略。
(2)应急响应预案编制:一般情况下,应急预案应包括总则、角色及职责、预防和预警机制、应急响应流程、应急响应保障措施和附件六个部分。预案应当描述支持应急操作的技术能力,并适应机构要求。在详细程度和灵活程度之间取得平衡,并根据实际情况对内容进行适当的调整、充实和本地化,应能为信息安全事件中不熟悉计划的人员提供快捷明确的指导。
(3)应急响应预案测试、培训、演练和维护:为了检验预案的有效性,同时使相关人员了解信息安全应急预案的目标和流程,熟悉应急响应的操作规程,应进行应急预案的测试、培训和演练。同时,为了保证应急响应计划的有效性,在以下情况下应对预案进行维护修订:①业务流程编号、信息系统变更、人员变更;②对测试、演练和执行效果进行评估,根据评估情况对预案进行相应修订;③至少每年对预案进行一次评审和修订。
4. 尽可能多地列举一些安全事件。
答:(1)2017年2月,俄罗斯黑帽黑客Rasputin利用SQL注入漏洞获得了系统的访问权限,黑掉了60多所大学和美国政府机构的系统,并从中窃取了大量的敏感信息。遭到Rasputin攻击的受害者包括10所英国大学、20多所美国大学以及大量美国政府机构,如邮政管理委员会、联邦医疗资源和服务管理局、美国住房及城市发展部、美国国家海洋和大气管理局等。
(2)2017年3月,维基解密(WikiLeaks)网站公布了大量据称是美国中央情报局 (CIA)的内部文件,其中包括了CIA内部的组织资料,对计算机、手机等设备进行攻击的方法技术,以及进行网络攻击时使用的代码和真实样本。利用这些技术,不仅可以在计算机、手机平台上的Windows、iOS、Android等各类操作系统下发起入侵攻击,还可以操作智能电视等终端设备,甚至可以遥控智能汽车发起暗杀行动。维基解密将这些数据命名为“7号军火库”(Vault 7),共包含8761份文件,即7818份网页以及943个附件。
(3)2017年5月12日,WannaCry勒索病毒事件全球爆发,以类似于蠕虫病毒的方式传播,攻击主机并加密主机上存储的文件,然后要求以比特币的形式支付赎金。
(4)2017年6月,Petya勒索病毒的变种开始从乌克兰扩散。与5月爆发的WannaCry相比,Petya勒索病毒变种的传播速度更快。它不仅使用了NSA“永恒之蓝”等黑客武器攻击系统漏洞,还会利用“管理员共享”功能在内网自动渗透。在欧洲国家重灾区,新病毒变种的传播速度达到每10分钟感染5000余台计算机,多家运营商、石油公司、零售商、机场、ATM等企业和公共设施已大量沦陷。
(5)2017年?10?月,一个名为?IoT_reaper?的新型僵尸网络出现。该僵尸网络利用路由 器、摄像头等设备的漏洞,将僵尸程序传播到互联网,感染并控制大批在线主机,从而形成具有规模的僵尸网络。目前,很多厂商的公开漏洞都已经被IoT_reaper病毒利用,其中包括Dlink(路由器)、Netgear(路由器)、Linksys(路由器)、Goahead(摄像头)、JAWS(摄像头)、AVTECH(摄像头)、Vacron(NVR)等共9个漏洞,感染近200万台设备,且每天新增感染量2300多次。
(6)安全研究人员在英特尔芯片中发现两个关键漏洞Meltdown和Spectre,利用漏洞攻击者可以从App运行内存中窃取数据,如密码管理器、浏览器、电子邮件、照片和文档中的数据,有媒体指出,1995年之后的每个系统几乎都会受到漏洞的影响,包括计算机和手机,这是非常严重的问题。
5. 简述应急事件处理的基本流程。
答:应急事件处理的基本流程如下。
(1)准备:确定重要资产,分析存在的风险;建立一组针对风险合理的防御/控制措施;建立应急处理策略和在策略指导下的处理程序;建立和训练一个高效率的专业应急响应团队;准备相关的资源。
(2)检测:事件发生后的第一个反应步骤,包括收集信息、初步动作和响应、估计事件范围、初步报告。
(3)抑制:抑制的目的是限制攻击的范围,也就限制了潜在的损失和破坏。
(4)根除:事件被抑制后,接着是找出问题根源和彻底根除安全事件。
(5)恢复:恢复的目标是把所有被攻破的系统和网络设备彻底还原到它们正常的任务状态。
(6)总结:回顾并整合发生事件的相关信息,投入充足的精力与时间对事件进行一次事后的剖析,整理事件与此次响应在技术、过程与其他层面上的信息与收获。
6. 灾难恢复涉及哪些内容?
答:灾难恢复中应当包括如下10项内容。
(1)与高层管理人员协商:系统恢复的步骤应当符合组织的安全预案。如果安全预案中没有描述,应当与管理人员协商,以便能从更高角度进行判断,并得到更多部门的支持和配合。
(2)夺回系统控制权:为了夺回对被入侵系统的控制权,需要先将被入侵系统从网络上断开,包括拨号连接。如果在恢复过程中没有断开被侵入系统和网络的连接,入侵者就可能破坏所进行的恢复工作。
(3)复制一份被入侵系统的映像:在进行入侵分析前,最好对被入侵系统进行备份(如使用UNIX命令dd)。这个备份在恢复失败时非常有用。
(4)入侵评估:入侵评估包括入侵风险评估、入侵路径分析、入侵类型确定和入侵涉及范围调查。下面介绍围绕这些工作进行的调查工作。
(5)清除后门:后门是入侵者为下次攻击设下的埋伏,包括修改了的配置文件、系统木马程序,修改了的系统内核等。
(6)查阅CERT的安全建议、安全总结和供应商的安全提示:查阅CERT以往的安全建议和总结以及供应商的安全提示,一定要安装所有的安全补丁。
(7)记录恢复过程中所有的步骤:毫不夸张地讲,记录恢复过程中采取的每一步措施都是非常重要的。恢复一个被入侵的系统是一件很麻烦的事,要耗费大量的时间,因此经常会使人做出一些草率的决定。记录恢复过程的每一步可以帮助自己避免做出草率的决定,还可以留作以后参考,也可能给法律调查提供帮助。
(8)系统恢复:各种安全事件预案的执行都是为了使系统在事故后得以迅速恢复。对于服务器和数据库等特别重要的设备,则需要单独制定紧急恢复预案。
(9)改变密码:在弥补了安全漏洞或者解决了配置问题以后,建议改变系统中所有账户的密码。
(10)加固系统和网络的安全:根据CERT的配置指南检查系统的安全性,安装安全工具,打开日志,配置防火墙对网络进行防御等。
7. 灾难恢复涉及哪些技术?
答:在灾难恢复中涉及各种可用性、存储备份恢复的技术,如外站仓储、集群技术、复制技术、RAID、全备份/增量备份/差分备份等备份恢复技术、负载均衡技术、NAS/SAN/iSCSI等存储技术,以及网络、主机、应用领域的技术等。
8. 简述数据容错和数据容灾之间的联系与区别。
答:容错(Fault Tolerant,FT)就是当由于种种原因在系统中出现了数据、文件损坏或丢失时,系统能够自动将这些损坏或丢失的文件和数据恢复到发生事故以前的状态,使系统能够连续正常运行的技术。广泛采用的数据容错技术有双重文件分配表和目录表技术、快速磁盘检修技术、磁盘镜像技术、双工磁盘技术、事务跟踪系统、负载均衡、LOCKSTEP技术、安全故障(FAILSAFE)软件、服务器容错技术。
真正的数据容灾就是要能在灾难发生时全面、及时地恢复整个系统。在系统遭受灾害时,使系统还能工作或尽快恢复工作的最基础的工作是数据备份。对于一个容灾系统,如果没有备份的数据,任何容灾方案都没有现实意义。从技术上看,衡量容灾系统有两个主要指标——RPO和RTO。数据恢复点目标(Recovery Point Object,RPO)主要指的是业务系统所能容忍的数据丢失量,代表了当灾难发生时允许丢失的数据量。恢复时间目标(Recovery Time Object,RTO)主要指的是所能容忍的业务停止服务的最长时间,代表了系统恢复的时间,也就是从灾难发生到业务系统恢复服务功能所需要的最短时间周期。
9. 简述数据备份在数据容错和数据容灾中的作用。
答:数据备份是数据容错和数据容灾的基础。在系统遭受灾害时,使系统还能工作或尽快恢复工作的最基础的工作是数据备份。对于一个容灾系统,如果没有备份的数据,任何容灾方案都没有现实意义。数据容错就是当由于种种原因在系统中出现了数据、文件损坏或丢失时,系统能够自动将这些损坏或丢失的文件和数据恢复到发生事故以前的状态,使系统能够连续正常运行的技术。
10. 简述各种数据备份技术的特点。
答:在备份技术中,有3种主要的备份类型。
(1)全备份:对整个系统中的所有文件进行完全备份,包括所有系统和数据。
(2)增量备份:每次备份的数据只是上次备份后更新的数据。
(3)差分备份:每次备份的数据只是上次全盘备份之后更新过的数据。
11. 简述各种数据备份策略的用途。
答:在制定备份策略和选择备份方式时,须综合考虑以下情况。
(1)当备份数据进行大量修改的时候,应先做一次标准备份。而且,标准备份可以作为其他备份的基线。
(2)增量备份最适合用来经常变更数据的备份。
(3)差分备份可以把文件恢复过程简单化。
(4)标准备份与增量或差分备份合用可以做到使用最小的介质保存长期的数据。
12. 收集国内外有关应急响应、数据容错或数字取证的网站信息,简要说明各网站的 特点。
答:国内网站:
(1)国家互联网应急中心:http://www.cert.org.cn/。
国家计算机网络应急技术处理协调中心(简称“国家互联网应急中心”,英文简称是CNCERT或CNCERT/CC)成立于2002年9月,为非政府非营利的网络安全技术中心,是我国网络安全应急体系的核心协调机构。作为国家级应急中心,CNCERT的主要职责是:按照“积极预防、及时发现、快速响应、力保恢复”的方针,开展互联网网络安全事件的预防、发现、预警和协调处置等工作,维护国家公共互联网安全,保障基础信息网络和重要信息系统的安全运行,开展以互联网金融为代表的“互联网 ”融合产业的相关安全监测工作。
(2)国家计算机病毒应急处理中心:http://www.cverc.org.cn/。
国家计算机病毒应急处理中心的任务是发现、收集在我国流行的计算机病毒,对计算机病毒进行解剖、分析,向国家CERT中心和公安部提交病毒疫情分析报告,经主管机关授权后发布计算机病毒疫情,建立、维护中国计算机病毒流行列表,为国内用户提供计算机病毒防治的解决方案,指导用户建立和实施计算机病毒防治措施,为有关部门制定我国计算机病毒防治的政策、法规和标准提供技术支持,为遭受计算机病毒攻击破坏的我国计算机用户提供后援服务。
(3)腾讯安全应急响应中心:https://security.tencent.com/。
腾讯安全应急响应中心负责腾讯公司安全漏洞、黑客入侵的发现和处理工作,为安全专家提供在线提交漏洞的平台,提供可以为企业快速构建安全应急响应中心的开放平台xSRC。
(4)360安全应急响应中心:https://security.360.cn/。
360安全应急响应中心成立于2013年,主要针对360集团、控股公司及合作伙伴提供安全应急响应服务,保卫360公司数百款产品的数据安全。
(5)百度安全应急响应中心:http://sec.baidu.com/views/main/index.html#home。
百度安全应急响应中心是百度致力于维护互联网健康生态环境,保障百度产品和业务线的信息安全,促进安全专家的合作与交流而建立的漏洞收集及应急响应平台,平台收集百度公司各产品线及业务上存在的安全漏洞。
(6)阿里安全响应中心:https://security.alibaba.com/。
阿里安全响应中心隶属于阿里巴巴集团安全部,用于收集阿里巴巴集团各事业部旗下相关产品及业务的安全漏洞和威胁情报,以提升产品及业务的安全性。
(7)京东安全应急中心:http://security.jd.com/。
京东安全应急响应中心是收集京东产品相关的漏洞及威胁情报的窗口。
(8)工业互联网应急响应中心:https://www.ics-cert.org.cn/portal/index.html。
工业互联网应急响应中心提供工业互联网安全的威胁预警、态势感知、检测认证等方面的信息,以及漏洞上报、漏洞查询和漏洞下载功能。
国外网站:
(1)Microsoft Security Response Center
https://technet.microsoft.com/en-us/security/dn440717.aspx。
Microsoft 安全响应中心 (MSRC) 对微软产品的漏洞报告进行调查,并采取了相应的应对措施。
(2)Bitscout
https://securelist.com/bitscout-the-free-remote-digital-forensics-tool-builder/78991/。
Bitscout是一款可自定义配置的免费的远程数字取证工具。
(3)ProDiscover Forensic
https://www.arcgroupny.com/products/prodiscover-forensic-edition/。
ProDiscover Forensic可以帮助调查员判断系统是否遭到黑客攻击,可用于在犯罪调查过程中查找犯罪证据。
(4)Volatility Framework
https://github.com/volatilityfoundation/volatility。
Volatility是一款基于GNU协议的开源框架,使用Python语言编写而成的内存取证工具集,可以分析内存中的各种数据。Volatility支持对32位或64位Windows、Linux、Mac、Android操作系统的RAM(随机存储器)数据进行提取与分析。
(5)Sleuth Kit( Autopsy)
https://www.sleuthkit.org/。
Sleuth Kit( Autopsy)是一个开源的电子取证调查工具,它可用于从磁盘映像中恢复丢失的文件,以及为了特殊事件而进行磁盘映像分析。
(6)CAINE(计算机辅助调查环境)
https://www.caine-live.net/。
CAINE(计算机辅助调查环境)是基于Ubuntu的GNU/Linux自启动运行发行,旨在填补不同取证工具之间的互操作间隙,并提供一致化的图形用户界面,以在电子证据的获取和分析过程中对数字调查进行指导,还为文档和报告的编写提供一个半自动化的过程。
(7)Xplico
https://www.xplico.org/。
Xplico 是一个IP流量解码器,用于从互联网流量应用数据中提取数据,是一个IP/互联网流量的解码器或网络取证分析工具(NFAT)。
(8)X-Ways Forensics
http://www.x-ways.net/forensics/index-c.html。
X-Ways Forensics 是用于计算机取证的综合的取证、分析软件,可在 Windows XP/2003/Vista/2008/7/8/8.1及WinPE/FE操作系统下运行,有32位版和64位版。
(9)FIRST:https://www.first.org/
FIRST 于1990 年在美国成立,旨在推动信息分享,在网络安全事件中帮助协调计算机安全事件响应中心(CSIRTs)。在全球范围内,FIRST 的目标是促进事件防范的合作与协调,推动事件快速响应,加强各成员间信息分享。FIRST 还在推广网络安全最佳实践和标准方面发挥着重要作用。
13. 收集国内外有关应急响应、数据容错和数字取证的最新动态。
答:(1)应急响应:当今的网络安全形势严峻,网络威胁发展迅速,应急响应工作面临重大考验。应急响应的发展趋势体现在:在应急处理中开展体系化对抗,从法制、机制、人员、资金、技术等多个层面建立立体对抗体系,用国家力量完成网络应急,完备网络安全应急救援体系,将事后应急向事前和事中应急转变,定期开展国家级、行业级网络安全应急演练。
(2)数据容错:大数据时代来临,信息系统需要存储和处理的数据呈指数级增长,不断增长的海量数据需要被可靠存储,而分布式存储系统庞大的节点规模和数据规模大大提高了发生节点失效的概率,容错技术成为大数据存储中不可忽视的关键技术。
(3)数字取证:随着我国《网络安全法》的实施,数字证据发挥着越来越重要的作用,计算机取证技术成为保证有效执法的关键。目前,计算机取证工具正朝着专业化、自动化、标准化的方向发展。
14. 论述数字证据的特征。
答:数字证据就是在计算机或计算机系统运行过程中产生的、以其记录的内容证明案件事实的电磁记录。与其他证据相比,它有如下特点。
(1)依附性和多样性:电磁证据依附在不同介质上,一是数字证据不会像传统的证据那样可以独立存在;二是不同的介质使同样的信息表现出不同的形态。
(2)可伪性和弱证明性:数字证据的非实物性,使得其窃取、修改,甚至销毁都比较容易。
(3)数据的挥发性:计算机系统中处理的数据有一些是动态的。这些动态数据对于发现犯罪的蛛丝马迹非常有用。但是,它们却有一定的时间效应,即有些数据会因失效或消失而挥发。在收集数字证据时,必须充分考虑数据的挥发性。
评论
还没有评论。