走進計算機取證分析的神秘世界

1. 介紹

計算機技術是人們生活的重要組成部分,而且它正在迅速增長,同樣發生在計算機犯罪方面,如金融詐騙,非法入侵,身份盜竊和盜竊知識產權。為了對付這些計算機相關的犯罪,計算機取證中起著非常重要的作用。 “計算機取證包括獲取和分析數字信息用作證據在民事,刑事或行政案件(尼爾森,B.等人,2008)”。

計算機取證調查通常調查從計算機硬盤或其他存儲設備獲取的取證數據,并遵循標準的政策和程序,以確定這些設備是否已被泄露和未經授權的訪問或篡改。計算機取證調查以團隊的形式進行共組,并使用各種方法(例如靜態和動態)和工具(例如ProDiscover或Encase)調查計算機安全事件,確保計算機網絡系統安全。一個成功的計算機取證調查必須熟悉相關的在自己的國家計算機犯罪的各種法律和法規(1990如計算機濫用法,英國)和各種電腦操作系統(如Windows和Linux)和網絡操作系統(例如視窗NT ) 。據尼爾森,B.等人,(2008年),公共調查及私人或企業調查是兩個不同的類別,屬于計算機取證調查。公眾調查會由政府機構進行,私人調查會由私人電腦法醫小組進行。本報告將集中在私人調查,由于事件發生在位于盧頓新開辦的中小企業。

該報告包括一個計算機模型調查,數據收集和它的類型,并購的證據,取證工具,惡意調查,計算機取證的法律問題,最后這份報告還提供了必要的建議,對策和政策,以確保這一中小企業在一個安全的網絡環境。

2. 案列學習

一個總部設在倫敦的小公司的一個在線管理系統最近注意到在一些賬戶和產品記錄里存在一些異常記錄,簡單檢查系統日志發現一些IP地址通過防火墻向外發送大量數據。同時一些用戶也反映在訂單處理時出現一些不正常的消息并且經常跳轉到一些看起來不合法的支付頁面。

該公司使用了一個通用的電子商務套件(oscommerce),并有一個有六人IT支持人員的小團隊,但他們不覺得自己有能進行一次全面的惡意軟件/取證調查的專業知識。

由于增加在高科技領域的競爭,該公司是急于確保他們的系統沒有被破壞,他們已經采用數字取證調查,以確定任何惡意行為是否已經發生,并確保有他們的系統中沒有惡意軟件。

你的任務是給IT團隊提供建議如何查找和凈化受惡意軟件感染的計算機并確保在其處所或在網絡上沒有其他機器已經被感染。該小組還希望你開展數字取證調查,看看你是否能追查問題的原因,并在必要時,準備對肇事者的情況。

公司使用Windows服務器,IT團隊每月會打基本的補丁包,但是團隊也發現一些電腦似乎沒有打補丁。

交付物

在這個任務里需要你提交一個5000字的報告,包含這些內容:

? 惡意軟件調查? 數字取證調查

需要提供合理的理由說明為什么選擇特定的方法

需要提供電子取證的過程以及符合的法律的取證要求

報告中需要提供取證過程中所使用工具和技術評估他們的效果以及現存的問題(特別是跨國界的取證導致的相關法律問題)

3. Association of Chief Police Officers (ACPO)

Associationof Chief Police Officers (ACPO)提出了4個原則,從事數字取證的技術人員必須遵循這些原則:

Principle 1: 存儲在計算機或存儲介質數據不能被修改或變更,因為這些數據可能以后會在法庭上作為證據提出。

Principle 2: 一個人必須足以勝任處理計算機或存儲介質上的原始數據,如果有必要,他/她也應該能夠給自己的行為的相關性和過程的證據的解釋。

Principle 3: 基于電子取證過程的所有審計追蹤和其他文檔需要被創建和保存。一個獨立的第三方能夠檢查這些過程并能獲取相同的結果。

Principle 4: 負責取證的個人必須在法律和ACPO的原則下全面負責取證過程

4. 計算機調查模型

據Kruse II,W.G., and Heiser, J.G.(2010),電子取證是要驗證、保存、提取、記錄每一個過程,并驗證這些證據,分析他們找到根本原因,并通提供建議或解決方案。

“計算機取證是一個新的領域,并有缺少一致性的法規和標準化”(US-CERT,2012)。每個電子取證模型是專注于某一領域,例如執法部門或電子證據發現。目前還沒有被普遍接受的任何單一數字取證調查模型。人們普遍認為,數字取證模型框架必須靈活,以便它可以支持任何類型的事件和新技術(Adam,R., 2012)。

Kent, K.,et.al,(2006)根據Venter(2006)的想法開發的一個基本的數字取證調查模型稱為四步取證過程(FSFP),數字取證調查可以通過甚至可以通過非技術人員進行。該模型比任何其他模式更加靈活,使組織可以采用基于已發生的事件選擇最適合的模型。這些都是我們選擇這個模型作為為這次調查的原因。FSFP包含以下四個基本過程,如該圖所示:

“Preserve and Document Evidence”箭頭表示在取證各個過程中需要保存和記錄所有的證書,以便證據可以在法庭中提交。我們將在下面的部分將討論每個FSFP調查模型和每一個過程。

5. 調查范圍

在這例子中取證調查的范圍:

- 驗證惡意軟件行為(5個方面:Why, When, Where,     What, Who)- 驗證網絡的安全性- 如果網絡被污染,查找受到影響的范圍- 如果需要,驗證過程的合法性- 提供補救措施加固系統

6. 調查的法律挑戰

根據Nelson,B., et al., (2008),取證過程中會遇到的法律挑戰:

- 確定是否需要執法部門的協助,如果是的話,他們可能會在調查期間為您提供幫助,或者在調查結束后向法律部門提交的調查  報告。- 獲得書面的授權訪問許可,除非在另外一個事件響應中已經獲得許可。- 同法律顧問討論,以確定取證不當可能造成的法律問題- 確?？蛻舳说淖C書和隱私問題能被考慮

7. 初步準備

很明顯,我們在調查之前需要做一個準備,以便有效的進行調查,準備工作如下:

- 收集正在評估客戶端的所有信息,類似事件嚴重性- 確定調查對中小企業業務的影響,如網絡停機時間,從事件恢復的持續時間,收入損失和機密信息丟失。- 獲得網絡拓撲圖和網絡設備信息。- 識別外接存儲設備,如錄音筆,閃存,外置硬盤,CD,DVD,存儲卡和遠程計算機。- 驗證這次取證使用的取證工具- 使用“netmon”工具在惡意行為仍在運行的時候捕捉實事的網絡流量。- 記錄在取證過程中的所有行為,這些記錄有可能在法庭上作為證據提交。- 鏡像目標設備的硬盤并使用MD5計算哈希值。

8. 收集

“收集階段是這個過程的第一階段需要識別,標簽,記錄,并獲得從可能相關數據來源的數據,指導方針和處理程序都需要保持數據的完整性?！?CJCSM6510.01B,2012)。在一個計算機取證調查中可以收集兩種不同類型的數據:易失性數據和非易失性數據(持久性數據)。易失性數據是存在當系統上,當斷電時擦除,如內存(RAM);注冊表和緩存。非易失性數據是電源開啟或關閉時一直存在系統上,例如:在高清文件。由于存在不穩定的數據,一臺計算機取證調查必須知道獲取數據的最佳方式。證據可以在本地或遠程進行收集。

8.1 易失性數據:

下圖顯示了如何捕獲易失性數據。取證工作站和目標機器必須位于同一個局域網中,在這種情況下“Cryptcat'工具可用于在取證工作站監聽在目標機器器的端口。在目標機器上使用打開cmd.exe,然后使用下面的命令:

cryptcat <ip address> 6543-k key

在取證工作站使用下面命令:

cryptcat -l -p 6543 -k key>> <file name>

下圖列出了圖形界面的工具:

使用各種工具獲取取證數據

HBGray’sFastDump – 本地物理內存采集HBGray’sF-Response – 遠程物理內存采集ipconfig –收集目標系統的細節信息netusersand qusers – 檢驗用戶登錄日志doskey/history– 收集命令歷史netfile –驗證服務和驅動

最后,收集剪貼板中的內容也是非常重要的一個計算機取證調查。在運行的機器上可以獲得更多的證據,因此,如果異常仍然存在,那么我們可以從正在運行的進程,網絡連接和存儲在內存中的數據檢索了大量的重要證據。所以必須確保受影響的電腦不是為了收集這些證據關機。

8.2 非易失性數據

獲取易失性數據后,我們開始捕獲非易失性數據。第一步需要復制整個操作系統,這一步也叫做取證鏡像。鏡像可以保存沒有任何修改和變更的原始的數據作為證據在法庭上提交。取證鏡像可以通過取證工具EnCase,ProDiscover 和 FTK制作,取證調查員使用一個磁盤塊寫工具連接到目標系統,并通過使用這些取證工具將目標驅動器的全部內容復制到另一個存儲設備。硬盤克隆是做整個系統的復制,取證鏡像與硬盤克隆的不同是取證鏡像只能用取證工具訪問,硬盤克隆可以加載到任意系統上訪問。硬盤克隆只包含原始數據,硬盤的每一個位將被復制,并沒有其他額外的內容將被添加。取證鏡像包含一些額外的數據,如哈希和時間戳,并壓縮了空的磁盤塊。取證鏡像使用MD5或SHA-2值確保數字證據的完整性。(Nelson,B., et al., 2008)

數據采集可以通過離線和在線的調查完成。取證鏡像可以通過離線調查完成。在線網絡傳輸數據可以通過ethereal或者Wireshark收集,防火墻日志、殺毒軟件日志和域控制日志可以通過調差非易失性數據獲得。同樣需要搜集Web服務器日志、windows事件日志、數據庫日志、IDS日志和應用日志。一旦我們收集了所有的數字證據,我們需要在取證鏈(收集、保存、傳輸、法庭呈現)做好記錄。為了保證取證鏈的完整性,從開始取證到調查結束作為報告提交過程都需要使用文檔記錄。

在開展進一步的處理之前,我們需要按位鏡像磁盤,需要訪問整個磁盤的卷和復制原始媒體,包括已經刪除的文件。磁盤鏡像完后,需要使用哈希值保證獲取的數據是真實的、完整的。數據的完整性在整個調查過程中都需要注意,證據文件的哈希值需要保存在多個地方。大多數工具以只讀的實現不修改證據文件的目的,外部存儲設備、WindowsNT服務器的硬盤在這種情況下必須要取證。

9. 檢查

一旦我們收集了所有的可能證據,我們需要考慮使用各種取證工具做檢查。需要檢查的位置包括文件系統、注冊表、網絡和數據,如下:

9.1 文件系統檢查

NTFS是一種新的文件系統技術,NTFS磁盤可以看做事一個文件。MFT是主要文件表包含所有文件和磁盤的信息,也是NTFS的第一個文件,MFT的記錄也稱為元數據。文件存儲在MFT中有2種方式:常駐的和非常駐的。小于512byte的文件存儲在MFT內被認為是常駐的,大于512byte的是存儲在MFT之外被認為是非常駐的。在WindowsNT中刪除一個文件,文件會被系統重新命名并移到回收站中,操作系統存儲著文件路徑和文件名2種信息。如果文件被在回收站刪除,文件在磁盤中的簇被標記為可以重新寫數據。NTFS比FAT更有效率,因為可以更快的回收被刪除的空間。NTFS磁盤是一種數據流,意味著可以被附加另外一個文件,數據流可以按如下的方式存儲:

C:echo text_mess >file1.txt:file2.txt

文件可以使用如下命令檢索

C:more < file1.txt:file2.txt

W2K.Stream和Win2K.Team是使用數據流開發的病毒,作用是改變原始的數據流。作為一個研究者,我們必須意識到Windows文件系統的FAT和NTFS的區別(Nelson,B., et. al., 2008)。

9.2 Windows注冊表檢查

據 (Carvey, H., 2005) 一個注冊表可以被作為是一個日志文件,因為他包含取證調查員認為是關鍵的東西,如在FILETIME中最后文件修改時間。通過分析系統的注冊表,解決組織內部和外部的問題,維護組織的聲譽,這真神奇。

從win98開始,注冊表就是Windows系統的關鍵組成,Windows的注冊表通常結構是“Hives”:

- HKEY_CLASSES_ROOT: 確保所需的程序被執行。- HKEY_CURRENT_USER:     包含當前登錄到系統的用戶的一般信息- HKEY_LOCAL_MACHINE: 包含系統的硬件和驅動信息- HKEY_USERS: 包含特定系統的用戶所有信息。- HKEY_CURRENT_CONFIG: 存儲系統目前的配置信息

Windows注冊表包含易失性和非易失性信息。這意味著取證分析員需要熟悉Windows注冊表的鍵值、數據。

Autostart Location: 自啟動注冊表項目

HKEY_LOCAL_MACHIN/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/ImageFile Execution Option 用于重定向程序功能,可以利用重定向到一個木馬文件。

分析人員可以檢查自啟動位置,以判斷問題是出在惡意軟件、用戶誤操作或攻擊者導致的原因,可以使用 SysInternals.com 的AutoRuns工具協助分析。

User Activity: 用戶行為可以在HKEY_CUREENT_USER中創建的HKEY_USERSID查找。NTUSER.DAT 包含用戶注冊表的相關配置信息,檢查這里可能會獲得用戶行為的相關線索。

Most Recent Used (MRU) List: MRU包含用戶最近的具體行為,并可能由此推斷出將來的行為。HKEY_CURRENT_USER/Software/MicrosoftWindows/CurrentVersion/Explorer/RunMRU 維護一個詳細的用戶命令列表,運行的每個命令都會在里面增加一個鍵值。

取證分析人員可以研究這塊注冊表值來判斷問題是由于用戶原因或者是惡意軟件原因導致。

UserAssist: UserAssist在HKEY_CURRENT_USER/Software/Mcirosoft/Windows/CurrentVersion/Explorer/UserAssist包含2個鍵值,看起來像是每個應用、對象保持的加密記錄的全局唯一標識符(UserAssist鍵主要包含你經常打開的EXE文件信息和鏈接),里面可能會包含惡意軟件被用戶激發的記錄,使用UserAssistview可以解密和查看相關內容。

USB removable Storage: 所有連接過系統的設備都會在注冊表里留下一條記錄,在HKEY_LOCAL_MACHINE/System/ControlSet00x/Enum/USBSTORz中可以查看,下圖是一個USB設備的ID

調查員可以通過分析連接到系統上的USB設備來尋找相關線索。

Wireless SSIDs: 電腦上使用的無線SSID可以通過在HKEY_LOCAL_MACHINE/Software/Microsoft/WZCSVC/Parameters/Interface(Windows8上位置在HKEY_LOCAL_MACHINE/Software/Microsoft/WlanSVC/Interfaces)上看到,他們的子項看起來像是一個全局唯一標識符,上面揭示了系統連接過的每一個無線的SSID,右鍵點擊修改會看到明文的SSID。IP地址和其他網絡信息可以在HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/TCPIP/Interfaces/GUID下找到。

Windows的注冊表是調查取證的重要信息來源,如果調查員知道在哪里會獲得有用數據,可以分析那些頁面存在重定向、跟蹤用戶活動和網絡配置等相關的信息。

9.3 網絡取證調查

收集和采集在網絡中發生的事情叫網絡取證,有時候也叫做數據包采集或數據包挖掘。目的受搜集網絡數據包流量,如:郵件、網頁瀏覽等信息,并保證這些信息的來源一致,可以執行更深入的調查。

網絡取證有兩種主要的方式。第一個是與安全相關的,其中一個網絡監控系統監控可疑的流量和任何類型的入侵。這是因為攻擊者可能刪除受感染的主機的所有日志文件,所以在這種情況下,基于網絡的證據是發揮在取證分析的主要作用。網絡取證的第二個方式涉及到有關執法部門,在那里已被捕獲的網絡流量可以通過關鍵字搜索和人類傳播的分析。

9.3.1 網絡取證的工具和技術

我們可以用一個取證啟動DVD/CD-ROM盤,USB閃存驅動器,甚至是軟盤進行任何操作。首先,我們需要轉儲的內存,首選使用足夠大USB閃存進行。如果需要收集非易失性數據和實時數據,我們還必須進行風險評估,以評估所有操作是否安全,這些數據可能在一個調查中非常有用。整個過程我們應該使用取證工具包,因為這將有助于滿足調查取證的要求。這些工具應該是可信的,可以是商業或開源工具。

應該使用可靠的工具在機器上收集一些非常重要和需要謹慎處理的信息,如:

- Process listings.進程列表- Service listings.服務列表- System information.系統信息- Logged on and registered     users.登錄和已注冊用戶- Network connections.網絡連接- Registry information.注冊表信息- Binary dump of memory.內存轉儲

(7safe,2013)

有許多不同種類的網絡取證工具,每一個不同的功能。有些只是數據包嗅探和其他包括處理識別,指紋識別,定位,測繪,電子郵件通訊,網絡服務等。下表列出了一些可用于網絡取證及其功能的開源工具。

F: 過濾和收集;L: 日志分析; R: 重組數據流; C: 關聯數據; A: 應用層視圖

9.4 數據取證調查

數據庫是數據是代表文件或文件集合的形式的信息的集合。從數據庫中檢索的數據可以通過一組查詢來完成。數據庫取證可以被定義為計算機調查中的應用與分析技術,收集數據庫中的證據并在法庭上展示。數據庫包含敏感數據,會有更高的機會的因為一個安全漏洞被入侵者攻擊并獲取這些個人信息。

在案例研究中提到,從數據庫發送出大量的數據,所以現在的取證團隊的任務是通過取證工具的幫助執行對數據庫的取證調查。數據庫取證專注于識別,保存和分析數據。訪問數據庫的用戶需要從數據庫服務器得到授權和認證的。一旦授權完成后,只有該用戶可以訪問的數據或修改數據?，F在,如果我們檢查數據庫的審計日志,我們可以得到誰得到的權限來訪問數據的用戶的列表。取證團隊需要查找的數據庫的遠程連接的IP地址。

本次調查也可以幫助我們了解是否存在被用戶故意刪除的任何數據行,并恢復它們,而且也有助于我們來證明或反駁的數據安全漏洞,并它可以幫助我們確定數據庫遭到的侵入的范圍。Windowsforensic tool v1.0.03使用執行的DMV(分布式管理視圖)和DBCC(數據庫一致性檢查)命令來收集足以如前所述證據或否決入侵。

10. 分析

首先,我們需要分析我們收集和審查證據。我們會研究證據中是否包含任何隱藏的文件或不尋常的文件。然后,我們也會看是否有任何運行的異常進程,或打開異常的接口,或異常的應用程序請求。然后,我們會檢查異常帳戶。我們還可以找到系統的補丁是否更新。通過這些分析的結果,我們會知道是否有惡意活動。然后,我們將制定進一步的戰略取證調查,如全面內存分析,文件系統,事件關聯和時間線分析的完整分析。根據這個案例,有網絡系統的惡意活動,它也證實了我們的初步分析。為了找到惡意代碼,我們要做的惡意軟件的可執行文件的分析。惡意軟件的可執行文件的分析可以分為靜態分析和行為分析。

11. 惡意軟件分析

根據Verizon的“2012年數據泄漏調查報告”的報告,99%的漏洞導致在數天或更少的時間數據被泄露,而85%花了幾個星期的調查。這是安全部門的嚴重挑戰,因為攻擊者在一個受控的環境中獲得了大量的時間。更多的“自由時間”會導致更多的數據被盜和更嚴重的損害。

執行惡意軟件取證時需要注意:在WindowsPC上的某些部分保存了惡意軟件的安裝和使用標識的方式和數據。法律部門需要審計納入記錄的哈希值,簽字,打包文件,碰撞日志,系統還原點和頁面緩存?，F在的文件系統和事件日志調查可以分辨惡意軟件在系統上的行為。高級專家可以關注一些關鍵點,如系統自啟動區,判斷惡意軟件的安裝時間,尋找惡意軟件的特征關鍵詞用于查找其他受感染的主機。認識到普通的攻擊特征,包括郵件攻擊、瀏覽器訪問歷史和非授權的登錄。

Accordingto Syngress “Malware Forensics – Investigating and Analyzing Malicious Code,2003″ there should be done an investigation based on the following:

惡意軟件分析需達到如下目的:

- 查找已知的惡意軟件- 回顧已安裝的程序- 檢查預讀文件- 檢查可執行文件- 檢查自啟動- 檢查計劃任務- 檢查日志- 檢查用戶帳戶- 檢查文件系統- 檢查注冊表- 還原點- 關鍵詞搜索

在執行惡意軟件分析之前,需要先建立分析環境,使用虛擬機和ghost可以協助進行分析。

11.1 靜態分析

靜態軟件分析是不需要運行惡意軟件就可以分析的一種方法,相比動態分析,靜態分析因為惡意軟件沒有運行而更安,同樣也更安全,同樣也沒有刪除或變更文件。最好是使用不同的操作系統進行分析,因為雙擊的誤操作可能導致惡意軟件運行。有許多靜態分析方法,如:文件指紋、病毒掃描、包檢測、數據串、文件系統的FE格式或反匯編。

11.2 動態分析

動態分析是一種運行惡意軟件并觀察其行為的分析方法,也被叫做行文分析。動態分析不是安全的行為,需要先建立一個安全的分析環境。有許多動態分析工具,不過SysInternals 的rocess Monitor和Wireshark是最常用的分析工具。

在許多惡意軟件分析實例里,一個簡單的靜態和動態分析可以發現惡意軟件的所有答案

12. 發現

在調查到現在階段,我們總結所有的發現:

- 持續的遠程訪問公司計算機的攻擊者身份- 取證分析證明計算機已經被感染。- 在一些系統上,升級補丁沒有打上。- 在一些感染的計算機上發現可疑的惡意軟件。- 惡意軟件的功能和和目標讓我們得出結論,這是“垃圾郵件”發送軟件- 檢測到攻擊者能夠使用惡意軟件訪問客戶端系統,在客戶端訪問支付網關的使用跳轉到另外的地址。

13. 糾正措施

確定攻擊者能夠通過客戶端的系統中的惡意軟件在客戶使用支付網關時提供惡意的網站鏈接。這里可以總結2個重要的結論。

- 大多數描述的方法在某種程度上涉及到人的因素,因此,員工需要定期培訓,安全培訓將提高網絡的安全性;- 黑客通過入侵合法網站然后發布惡意程序的大量案列收哦明即使是一個稱職的用戶惡意軟件仍然可以感染他的電腦。因此,我們需要采取一些安全措施措施:殺毒軟件,及時安裝系統的更新,以及監控互聯網流量。

防止惡意軟件的主要對策有:

- 認證和密碼保護- 殺毒軟件- 防火墻(軟件或者硬件的)- DMZ (demilitarized zone)- IDS (Intrusion Detection System)- 包過濾- 路由和交換- 代理服務- V** (Virtual Private Networks)- 登錄和審計- 訪問控制時間- 在公共域中保護系統是不可能的

在我們的實例中,最有用的是下面2個:

- 防火墻- 登錄審計

防火墻檢查進入到用戶的計算機上的所有網頁。每個網頁被攔截和分析惡意代碼。如果由用戶訪問的網頁包含惡意代碼,會阻止訪問,同時會它顯示了所請求的頁面被感染的通知。如果網頁不包含惡意代碼,用戶可以繼續訪問。

通過日志記錄,我們意味著可以收集和儲存有關出現在信息系統中的事件的信息。舉例來說,誰當試圖登錄到系統,以及這次嘗試在什么時候結束,哪些信息資源被使用,誰改過這些信息等等。

審計是將積累的數據進行分析,將幾乎實時的的數據進行比較,執行日志審計要達到以下的目標:

- 審計普通用戶和管理員- 提供重建時間的的選擇- 檢測嘗試違反信息安全的記錄- 提供信息以驗證和分析

13.1 安全策略

國際標準ISO/IEC27000系列中有如何制定和實施組織信息安全策略的相關內容

實用的規則有以下幾個部分

- 安全策略

- 組織信息俺鉆

- 資產管理

- 人力資源安全

- 物理和環境安全

- 通信和操作安全

- 訪問控制

- 信息系統的購買、開發和維護

- 信息安全事件管理

- 商業持續性管理

- 遵從法律和規范

在互聯網上的業務需求需要考慮如下幾個問題:為滿足組織需求需要什么樣的軟件和硬件與組織措施?什么是風險?應該用什么道德標準,組織開展與互聯網的業務需要遵從什么樣樣的道德標準?誰為此負責?在回答這些問題的基礎上組織安全策略的概念。

下來的部分包含在互聯網安全的工作假設安全策略的片段。這些片段主要是基于對安全設備的類型進行分析設計。

全策略主要包含兩類:技術策略(包含使用的軟硬件)和管理策略(員工使用和運行系統)。

CommonSecurity Policy for an Organisation:

一個組織的通用安全策略

任何信息系統必須要有安全策略

安全策略鼻血被高級管理層接受

安全策略應該是簡單和容易理解的形式能被所有員工接受

安全策略應該包含

定義信息安全的對象、范圍和機制,允許定義被共同使用

領導對信息安全的立場和原則

識別信息安全的通用和特定職責

與安全策略相關的指導和細則

安全策略必須滿足以下要求

符合國家和國際法律

包含在安全問題上對個人的培訓

包含檢測和防御惡意軟件的說明

定義違反安全策略的后果

考慮商業持續性需求

必須定義回顧和更新安全策略的負責人

安全策略需要在如下情況下進行修改

變更了組織結構

變更組織技術結構

需要定期對安全策略的符合性進調查

對組織執行安全策略的績效成本/效果的評估(ISO/IEC 17799:2005)

14. 報告

取證報告強調了證據并和協助收集的更多證據可以在法庭上使用。報告必須列出取證范圍,計算機取證調查員必須了解到取證報告的類型,如正式報告、書面報告、口頭報告。一個正式的報告包含來自結果的實事,書面報告像是一個聲明或誓言,他必須清晰、準確和詳細?？陬^報告的結構化程度較低,是調查尚未覆蓋的區域的初步報告。調查計劃是一個結構化的文檔,可以幫助研律師了解辯護證據可以預料的問題。調查計劃還有助于律師了解哪些是在計算機取證調查中使用的術語和功能。通常一個計算機取證報告包含以下功能:

- 報告的目的- 報告作者- 事件概要- 證據- 分析- 結論- 支持文檔

許多取證工具可以生成取證調查報告,像是ProDiscover

15. 總結

本文包含怎么進行計算機取證以及介紹了各種不用的取證工具,本文也包含了ACPO的4個原則和ISO17799信息安全策略需要在組織中執行以提升組織的安全網絡架構。同樣還介紹了為什么我們使用這個取證模型并取證分析了模型的前4步也是取證的最重要的步驟。報告包含分析過程- 獲取的證據以及分析的結果,包含建議 – 避免發生同樣的問題。

數字取證調查是一項具有挑戰性的過程,因為每一次的事件都不同于其他事故。計算機取證調查必須在技術和法律有足夠準備時進行。由于它是由一臺計算機取證調查提供的證據,可能使一個重要案件證據的組成部分,因此調查報告必須準確,詳細。

[via infosecinstitute]