信息系統(tǒng)安全事件響應(yīng)

1、信息系統(tǒng)安全事件響應(yīng)1 第第5章章 信息系統(tǒng)安全事件響應(yīng)信息系統(tǒng)安全事件響應(yīng) “智者千慮，必有一失智者千慮，必有一失”。盡管已經(jīng)為信息系統(tǒng)的防護(hù)開發(fā)了許。盡管已經(jīng)為信息系統(tǒng)的防護(hù)開發(fā)了許 多技術(shù)，但是很難沒有一點(diǎn)疏漏，何況入侵者也是一些技術(shù)高多技術(shù)，但是很難沒有一點(diǎn)疏漏，何況入侵者也是一些技術(shù)高 手。手。 系統(tǒng)遭受到一次入侵，就面臨一次災(zāi)難。這些影響信息系統(tǒng)安系統(tǒng)遭受到一次入侵，就面臨一次災(zāi)難。這些影響信息系統(tǒng)安 全的不正當(dāng)行為，就稱為事件。事件響應(yīng)，就是事件發(fā)生后所全的不正當(dāng)行為，就稱為事件。事件響應(yīng)，就是事件發(fā)生后所 采取的措施和行動(dòng)。信息系統(tǒng)的脆弱，加上入侵技術(shù)的不斷進(jìn)采取的措施和行動(dòng)。

2、信息系統(tǒng)的脆弱，加上入侵技術(shù)的不斷進(jìn) 化，使得入侵不可避免。因此，遭受災(zāi)難后，的系統(tǒng)恢復(fù)就成化，使得入侵不可避免。因此，遭受災(zāi)難后，的系統(tǒng)恢復(fù)就成 為一個(gè)與防火墻技術(shù)、入侵檢測技術(shù)等同樣重要的技術(shù)。為一個(gè)與防火墻技術(shù)、入侵檢測技術(shù)等同樣重要的技術(shù)。 信息系統(tǒng)安全事件響應(yīng)2 v1988年，莫里斯蠕蟲迅雷不及掩耳之勢肆虐互聯(lián)網(wǎng)，招致年，莫里斯蠕蟲迅雷不及掩耳之勢肆虐互聯(lián)網(wǎng)，招致 上千臺(tái)計(jì)算機(jī)系統(tǒng)的崩潰，造成了以千萬美元計(jì)的損失。上千臺(tái)計(jì)算機(jī)系統(tǒng)的崩潰，造成了以千萬美元計(jì)的損失。 這突如其來的災(zāi)難，給人們敲響了警鐘：面隊(duì)人類對(duì)信息這突如其來的災(zāi)難，給人們敲響了警鐘：面隊(duì)人類對(duì)信息 系統(tǒng)以來程度不斷增

3、強(qiáng)，對(duì)付入侵不僅需要防御，還要能系統(tǒng)以來程度不斷增強(qiáng)，對(duì)付入侵不僅需要防御，還要能 夠在事件發(fā)生后進(jìn)行緊急處理和援助。夠在事件發(fā)生后進(jìn)行緊急處理和援助。1989年，在美國國年，在美國國 防部的資助下，防部的資助下，CERT（Computer Emergency Team，計(jì)，計(jì) 算機(jī)緊急響應(yīng)組）算機(jī)緊急響應(yīng)組）/CC（Call Center）成立。從此緊急響）成立。從此緊急響 應(yīng)被擺到了人們的議事桌上。應(yīng)被擺到了人們的議事桌上。CERT成立以后，做了大量工成立以后，做了大量工 作。但最大的成就是使緊急響應(yīng)為人們普遍接受。作。但最大的成就是使緊急響應(yīng)為人們普遍接受。 5.1 應(yīng)急響應(yīng)應(yīng)急響應(yīng) v

4、一般說來，每個(gè)使用信息系統(tǒng)的組織都應(yīng)當(dāng)有一套緊急響一般說來，每個(gè)使用信息系統(tǒng)的組織都應(yīng)當(dāng)有一套緊急響 應(yīng)的機(jī)制。這個(gè)機(jī)制包括兩個(gè)環(huán)節(jié)：應(yīng)的機(jī)制。這個(gè)機(jī)制包括兩個(gè)環(huán)節(jié)： 應(yīng)急響應(yīng)組織；應(yīng)急響應(yīng)組織； 緊急預(yù)案。緊急預(yù)案。 信息系統(tǒng)安全事件響應(yīng)3 5.1.1 應(yīng)急響應(yīng)組織應(yīng)急響應(yīng)組織 v應(yīng)急響應(yīng)組織的主要工作有：應(yīng)急響應(yīng)組織的主要工作有： 安全事件與軟件安全缺陷分析研究；安全事件與軟件安全缺陷分析研究； 安全知識(shí)庫（包括漏洞知識(shí)、入侵檢測等）開發(fā)與管理；安全知識(shí)庫（包括漏洞知識(shí)、入侵檢測等）開發(fā)與管理； 安全管理和應(yīng)急知識(shí)的教育與培訓(xùn)；安全管理和應(yīng)急知識(shí)的教育與培訓(xùn)； 發(fā)布安全信息（如系統(tǒng)漏洞與補(bǔ)

5、丁，病毒警告等）；發(fā)布安全信息（如系統(tǒng)漏洞與補(bǔ)丁，病毒警告等）； 安全事件緊急處理。安全事件緊急處理。 v應(yīng)急響應(yīng)組織包括應(yīng)急響應(yīng)組織包括應(yīng)急保障領(lǐng)導(dǎo)小組應(yīng)急保障領(lǐng)導(dǎo)小組和和應(yīng)急技術(shù)保障小組應(yīng)急技術(shù)保障小組。 領(lǐng)導(dǎo)小組的主要職責(zé)是領(lǐng)導(dǎo)與協(xié)調(diào)突發(fā)事件與自然災(zāi)害的應(yīng)領(lǐng)導(dǎo)小組的主要職責(zé)是領(lǐng)導(dǎo)與協(xié)調(diào)突發(fā)事件與自然災(zāi)害的應(yīng) 急處理。應(yīng)急技術(shù)保障小組主要解決安全事件的技術(shù)問題，急處理。應(yīng)急技術(shù)保障小組主要解決安全事件的技術(shù)問題， 如物理實(shí)體和環(huán)境安全技術(shù)、網(wǎng)絡(luò)通信技術(shù)、系統(tǒng)平臺(tái)技術(shù)、如物理實(shí)體和環(huán)境安全技術(shù)、網(wǎng)絡(luò)通信技術(shù)、系統(tǒng)平臺(tái)技術(shù)、 應(yīng)用系統(tǒng)技術(shù)等。應(yīng)用系統(tǒng)技術(shù)等。 信息系統(tǒng)安全事件響應(yīng)4 5.1.2

6、 緊急預(yù)案緊急預(yù)案 1. 緊急預(yù)案及基本內(nèi)容緊急預(yù)案及基本內(nèi)容 v執(zhí)行緊急預(yù)案的人員（姓名、住址、電話號(hào)碼以及有關(guān)執(zhí)行緊急預(yù)案的人員（姓名、住址、電話號(hào)碼以及有關(guān) 職能部門的聯(lián)系方法）；職能部門的聯(lián)系方法）； 應(yīng)急預(yù)案是指根據(jù)不同的突發(fā)緊急事件類型和以外情形，預(yù)應(yīng)急預(yù)案是指根據(jù)不同的突發(fā)緊急事件類型和以外情形，預(yù) 先制定的處理方案。應(yīng)急預(yù)案一般要包括如下內(nèi)容：先制定的處理方案。應(yīng)急預(yù)案一般要包括如下內(nèi)容： v系統(tǒng)緊急事件類型及處理措施的詳細(xì)說明；系統(tǒng)緊急事件類型及處理措施的詳細(xì)說明； v應(yīng)急處理的具體步驟和操作順序。應(yīng)急處理的具體步驟和操作順序。 信息系統(tǒng)安全事件響應(yīng)5 2. 常見安全事件常見

7、安全事件 v物理實(shí)體及環(huán)境類安全事件，如意外停電、物理設(shè)備丟物理實(shí)體及環(huán)境類安全事件，如意外停電、物理設(shè)備丟 失、火災(zāi)、水災(zāi)等。失、火災(zāi)、水災(zāi)等。 緊急預(yù)案要根據(jù)安全事件的類型進(jìn)行對(duì)應(yīng)的處理。下面提供緊急預(yù)案要根據(jù)安全事件的類型進(jìn)行對(duì)應(yīng)的處理。下面提供 一些常見的安全事件類型供參考：一些常見的安全事件類型供參考： v網(wǎng)絡(luò)通信類安全事件：如網(wǎng)絡(luò)蠕蟲侵害等。網(wǎng)絡(luò)通信類安全事件：如網(wǎng)絡(luò)蠕蟲侵害等。 v主機(jī)系統(tǒng)類安全事件，如計(jì)算機(jī)病毒、口令丟失等；主機(jī)系統(tǒng)類安全事件，如計(jì)算機(jī)病毒、口令丟失等； v應(yīng)用系統(tǒng)類安全事件，如客護(hù)信息丟失等。應(yīng)用系統(tǒng)類安全事件，如客護(hù)信息丟失等。 信息系統(tǒng)安全事件響應(yīng)6 3.

8、 安全事件處理的基本流程安全事件處理的基本流程 （1）安全事件報(bào)警）安全事件報(bào)警 值班人員發(fā)現(xiàn)緊急情況，要及時(shí)報(bào)告。報(bào)告要對(duì)安全事件進(jìn)行準(zhǔn)確描述值班人員發(fā)現(xiàn)緊急情況，要及時(shí)報(bào)告。報(bào)告要對(duì)安全事件進(jìn)行準(zhǔn)確描述 并作書面記錄。按照安全事件的類型，安全事件呈報(bào)條例應(yīng)依次報(bào)告：并作書面記錄。按照安全事件的類型，安全事件呈報(bào)條例應(yīng)依次報(bào)告： 一、值班人員，二、應(yīng)急工作組長，三、應(yīng)急領(lǐng)導(dǎo)小組。如果想進(jìn)行任一、值班人員，二、應(yīng)急工作組長，三、應(yīng)急領(lǐng)導(dǎo)小組。如果想進(jìn)行任 何類型的跟蹤調(diào)查或者起訴入侵者，應(yīng)先跟管理人員和法律顧問商量，何類型的跟蹤調(diào)查或者起訴入侵者，應(yīng)先跟管理人員和法律顧問商量， 然后通知有關(guān)執(zhí)

9、法機(jī)構(gòu)。一定要記住，除非執(zhí)法部門的參與，否則對(duì)入然后通知有關(guān)執(zhí)法機(jī)構(gòu)。一定要記住，除非執(zhí)法部門的參與，否則對(duì)入 侵者進(jìn)行的一切跟蹤都可能是非法的。侵者進(jìn)行的一切跟蹤都可能是非法的。 同時(shí)，還應(yīng)通知有關(guān)人員，交換相關(guān)信息，必要時(shí)可以獲得援助；同時(shí)，還應(yīng)通知有關(guān)人員，交換相關(guān)信息，必要時(shí)可以獲得援助； 信息系統(tǒng)安全事件響應(yīng)7 安全事件處理的基本流程（續(xù)）安全事件處理的基本流程（續(xù)） （2）安全事件確認(rèn)）安全事件確認(rèn) 確定安全事件的類型，以便啟動(dòng)相應(yīng)的預(yù)案。確定安全事件的類型，以便啟動(dòng)相應(yīng)的預(yù)案。 （3）啟動(dòng)緊急預(yù)案）啟動(dòng)緊急預(yù)案 （a）首先要能夠找到緊急預(yù)案。）首先要能夠找到緊急預(yù)案。 （b）保護(hù)

10、現(xiàn)場證據(jù)（如系統(tǒng)事件、處理者采取的行動(dòng)、與外界的溝通）保護(hù)現(xiàn)場證據(jù)（如系統(tǒng)事件、處理者采取的行動(dòng)、與外界的溝通 等），避免災(zāi)害擴(kuò)大；等），避免災(zāi)害擴(kuò)大； 信息系統(tǒng)安全事件響應(yīng)8 安全事件處理的基本流程（續(xù)）安全事件處理的基本流程（續(xù)） （4）恢復(fù)系統(tǒng)）恢復(fù)系統(tǒng) （a）安裝干凈的操作系統(tǒng)版本。建議使用干凈的備份程序備份整個(gè)系統(tǒng)，然后）安裝干凈的操作系統(tǒng)版本。建議使用干凈的備份程序備份整個(gè)系統(tǒng)，然后 重裝系統(tǒng)。重裝系統(tǒng)。 （b）取消不必要的服務(wù)。只配置系統(tǒng)要提供的服務(wù)，取消那些沒有必要的服務(wù)。）取消不必要的服務(wù)。只配置系統(tǒng)要提供的服務(wù)，取消那些沒有必要的服務(wù)。 檢查并確信其配置文件沒有脆弱性以及該

11、服務(wù)是否可靠。檢查并確信其配置文件沒有脆弱性以及該服務(wù)是否可靠。 （c）安裝供應(yīng)商提供的所有補(bǔ)丁。建議安裝所有的安全補(bǔ)丁，使系統(tǒng)能夠抵御）安裝供應(yīng)商提供的所有補(bǔ)丁。建議安裝所有的安全補(bǔ)丁，使系統(tǒng)能夠抵御 外來攻擊，不被再次侵入，這是最重要的一步。外來攻擊，不被再次侵入，這是最重要的一步。 （d）查閱）查閱CERT的安全建議、安全總結(jié)和供應(yīng)商的安全提示的安全建議、安全總結(jié)和供應(yīng)商的安全提示 CERT安全建議：安全建議： CERT安全總結(jié)：安全總結(jié)： 供應(yīng)商安全提示：供應(yīng)商安全提示： （e）謹(jǐn)慎使用備份數(shù)據(jù)）謹(jǐn)慎使用備份數(shù)據(jù) 。在從備份中恢復(fù)數(shù)據(jù)時(shí)，要確信備份主機(jī)沒有被侵。在從備份中恢復(fù)數(shù)據(jù)時(shí)，要

12、確信備份主機(jī)沒有被侵 入。一定要記住，恢復(fù)過程可能會(huì)重新帶來安全缺陷，被入侵者利用。例如恢入。一定要記住，恢復(fù)過程可能會(huì)重新帶來安全缺陷，被入侵者利用。例如恢 復(fù)用戶的復(fù)用戶的home目錄以及數(shù)據(jù)文件中，以及用戶起始目錄下的目錄以及數(shù)據(jù)文件中，以及用戶起始目錄下的.rhost文件中，也文件中，也 許藏有特洛伊木馬程序。許藏有特洛伊木馬程序。 （f）改變密碼。在彌補(bǔ)了安全漏洞或者解決了配置問題以后，建議改變系統(tǒng)中）改變密碼。在彌補(bǔ)了安全漏洞或者解決了配置問題以后，建議改變系統(tǒng)中 所有賬戶的密碼。所有賬戶的密碼。 信息系統(tǒng)安全事件響應(yīng)9 安全事件處理的基本流程（續(xù)）安全事件處理的基本流程（續(xù)） （

13、5）加強(qiáng)系統(tǒng)和網(wǎng)絡(luò)的安全）加強(qiáng)系統(tǒng)和網(wǎng)絡(luò)的安全 （a）根據(jù)）根據(jù)CERT的的UNIX/NT配置指南檢查系統(tǒng)的安全性。配置指南檢查系統(tǒng)的安全性。 CERT的的UNIX/NT配置指南可以幫助你檢查系統(tǒng)中容易被入侵者利用的配置問題。配置指南可以幫助你檢查系統(tǒng)中容易被入侵者利用的配置問題。 unix_configuration_guidelines.html 查閱安全工具文檔可以參考查閱安全工具文檔可以參考 （b）安裝安全工具。在將系統(tǒng)連接到網(wǎng)絡(luò)上之前，一定要安裝所有選擇的安全工具。）安裝安全工具。在將系統(tǒng)連接到網(wǎng)絡(luò)上之前，一定要安裝所有選擇的安全工具。 同時(shí)，最好使用同時(shí)，最好使用Tripwire、

14、aide等工具對(duì)系統(tǒng)文件進(jìn)行等工具對(duì)系統(tǒng)文件進(jìn)行MD5校驗(yàn)，把校驗(yàn)碼放到安全校驗(yàn)，把校驗(yàn)碼放到安全 的地方，以便以后對(duì)系統(tǒng)進(jìn)行檢查。的地方，以便以后對(duì)系統(tǒng)進(jìn)行檢查。 （c）打開日志。啟動(dòng)日志）打開日志。啟動(dòng)日志(logging)/檢查檢查(auditing)/記賬記賬(accounting)程序，將它們程序，將它們 設(shè)置到準(zhǔn)確的級(jí)別，例如設(shè)置到準(zhǔn)確的級(jí)別，例如sendmail日志應(yīng)該是日志應(yīng)該是9級(jí)或者更高。級(jí)或者更高。 要經(jīng)常備份日志文件，或者將日志寫到另外的機(jī)器、一個(gè)只能增加的文件系統(tǒng)或者要經(jīng)常備份日志文件，或者將日志寫到另外的機(jī)器、一個(gè)只能增加的文件系統(tǒng)或者 一個(gè)安全的日志主機(jī)。一個(gè)安全

15、的日志主機(jī)。 （d）配置防火墻對(duì)網(wǎng)絡(luò)進(jìn)行防御。可以參考：）配置防火墻對(duì)網(wǎng)絡(luò)進(jìn)行防御。可以參考： （e）重新連接到）重新連接到Internet。全完成以上步驟以后，就可以把系統(tǒng)連接回。全完成以上步驟以后，就可以把系統(tǒng)連接回Internet了。了。 應(yīng)當(dāng)注意，安全事件處理工作復(fù)雜，責(zé)任重大，至少應(yīng)有兩人參加。應(yīng)當(dāng)注意，安全事件處理工作復(fù)雜，責(zé)任重大，至少應(yīng)有兩人參加。 信息系統(tǒng)安全事件響應(yīng)10 安全事件處理的基本流程（續(xù)）安全事件處理的基本流程（續(xù)） （6）應(yīng)急工作總結(jié)）應(yīng)急工作總結(jié) 召開會(huì)議，分析問題和解決方法，參考召開會(huì)議，分析問題和解決方法，參考./in-notes/rfc21

16、96.txt （a）總結(jié)教訓(xùn)。從記錄中總結(jié)出對(duì)于這起事故的教訓(xùn)，這有助于你檢討自）總結(jié)教訓(xùn)。從記錄中總結(jié)出對(duì)于這起事故的教訓(xùn)，這有助于你檢討自 己的安全策略。己的安全策略。 （b）計(jì)算事件的代價(jià)。計(jì)算事件代價(jià)有助于讓組織認(rèn)識(shí)到安全的重要性。）計(jì)算事件的代價(jià)。計(jì)算事件代價(jià)有助于讓組織認(rèn)識(shí)到安全的重要性。 （c）改進(jìn)安全策略。）改進(jìn)安全策略。 信息系統(tǒng)安全事件響應(yīng)11 安全事件處理的基本流程（續(xù)）安全事件處理的基本流程（續(xù)） （7）撰寫安全事件報(bào)告）撰寫安全事件報(bào)告 安全事件報(bào)告的內(nèi)容包括：安全事件報(bào)告的內(nèi)容包括： 安全事件發(fā)生的日期、時(shí)間；安全事件發(fā)生的日期、時(shí)間； 安全事件處理參加的人員；安全

17、事件處理參加的人員； 事件發(fā)現(xiàn)的途徑；事件發(fā)現(xiàn)的途徑； 事件類型；事件類型； 事件涉及范圍；事件涉及范圍； 現(xiàn)場記錄；現(xiàn)場記錄； 事件導(dǎo)致的損失和影響；事件導(dǎo)致的損失和影響； 事件處理過程事件處理過程 使用的技術(shù)和工具；使用的技術(shù)和工具； 經(jīng)驗(yàn)和教訓(xùn)。經(jīng)驗(yàn)和教訓(xùn)。 信息系統(tǒng)安全事件響應(yīng)12 5.1.3 災(zāi)難恢復(fù)災(zāi)難恢復(fù) v與高層管理人員協(xié)商；與高層管理人員協(xié)商； v奪回系統(tǒng)控制權(quán)；奪回系統(tǒng)控制權(quán)； v入侵評(píng)估：分析入侵途徑，檢查入侵對(duì)系統(tǒng)的損害；入侵評(píng)估：分析入侵途徑，檢查入侵對(duì)系統(tǒng)的損害； v清除入侵者留下的后門；清除入侵者留下的后門； v恢復(fù)系統(tǒng)?；謴?fù)系統(tǒng)。 災(zāi)難恢復(fù)是安全事件應(yīng)急預(yù)案中特

18、別重要的部分。災(zāi)難恢復(fù)是安全事件應(yīng)急預(yù)案中特別重要的部分。 從發(fā)現(xiàn)入侵的那刻起就圍繞它進(jìn)行，并且應(yīng)當(dāng)包括從發(fā)現(xiàn)入侵的那刻起就圍繞它進(jìn)行，并且應(yīng)當(dāng)包括 如下幾項(xiàng)內(nèi)容：如下幾項(xiàng)內(nèi)容： 信息系統(tǒng)安全事件響應(yīng)13 1. 與高層人員協(xié)商與高層人員協(xié)商 系統(tǒng)恢復(fù)的步驟應(yīng)當(dāng)符合組織的安全預(yù)案。如果安全預(yù)案中沒有描述，應(yīng)系統(tǒng)恢復(fù)的步驟應(yīng)當(dāng)符合組織的安全預(yù)案。如果安全預(yù)案中沒有描述，應(yīng) 當(dāng)與管理人員協(xié)商，以便能從更高角度進(jìn)行判斷，并得到更多部門的支持當(dāng)與管理人員協(xié)商，以便能從更高角度進(jìn)行判斷，并得到更多部門的支持 和配合。和配合。 2. 奪回系統(tǒng)控制權(quán)奪回系統(tǒng)控制權(quán) 為了奪回對(duì)被入侵系統(tǒng)的控制權(quán)，需要將入侵其從

19、網(wǎng)絡(luò)上斷開，包括播號(hào)為了奪回對(duì)被入侵系統(tǒng)的控制權(quán)，需要將入侵其從網(wǎng)絡(luò)上斷開，包括播號(hào) 連接。如果在恢復(fù)過程中，沒有斷開被侵入系統(tǒng)和網(wǎng)絡(luò)的連接，入侵者就連接。如果在恢復(fù)過程中，沒有斷開被侵入系統(tǒng)和網(wǎng)絡(luò)的連接，入侵者就 可能破壞所進(jìn)行恢復(fù)工作。可能破壞所進(jìn)行恢復(fù)工作。 進(jìn)行系統(tǒng)恢復(fù)也會(huì)丟失一些有用信息，如入侵者正在使用的掃描程序或監(jiān)進(jìn)行系統(tǒng)恢復(fù)也會(huì)丟失一些有用信息，如入侵者正在使用的掃描程序或監(jiān) 聽進(jìn)程。因此想要繼續(xù)追蹤入侵者時(shí)，可以不采取這樣的措施，以免被入聽進(jìn)程。因此想要繼續(xù)追蹤入侵者時(shí)，可以不采取這樣的措施，以免被入 侵者發(fā)現(xiàn)。但是，也要采取其他一些措施，避免入侵蔓延。侵者發(fā)現(xiàn)。但是，也要采

20、取其他一些措施，避免入侵蔓延。 信息系統(tǒng)安全事件響應(yīng)14 3. 復(fù)制一份被侵入系統(tǒng)的映像復(fù)制一份被侵入系統(tǒng)的映像 在進(jìn)行入侵分析之前，最好對(duì)被入侵系統(tǒng)進(jìn)行備份（如使用在進(jìn)行入侵分析之前，最好對(duì)被入侵系統(tǒng)進(jìn)行備份（如使用UNIX命令命令dd）。）。 這個(gè)備份在恢復(fù)失敗是非常有用。這個(gè)備份在恢復(fù)失敗是非常有用。 4. 入侵評(píng)估入侵評(píng)估 入侵評(píng)估包括入侵風(fēng)險(xiǎn)評(píng)估、入侵路徑分析、入侵類型確定和入侵涉及范圍入侵評(píng)估包括入侵風(fēng)險(xiǎn)評(píng)估、入侵路徑分析、入侵類型確定和入侵涉及范圍 調(diào)查。下面介紹圍繞這些工作進(jìn)行的調(diào)查工作。調(diào)查。下面介紹圍繞這些工作進(jìn)行的調(diào)查工作。 （1）詳細(xì)審查系統(tǒng)日志文件和顯示器輸出，檢查異

21、?，F(xiàn)象。）詳細(xì)審查系統(tǒng)日志文件和顯示器輸出，檢查異?，F(xiàn)象。 （2）入侵者遺留物分析。包括）入侵者遺留物分析。包括 檢查入侵者對(duì)系統(tǒng)文件和配置文件的修改；檢查入侵者對(duì)系統(tǒng)文件和配置文件的修改； 檢查被修改的數(shù)據(jù)檢查被修改的數(shù)據(jù) 檢查入侵者留下的工具和數(shù)據(jù)檢查入侵者留下的工具和數(shù)據(jù) 檢查網(wǎng)絡(luò)監(jiān)聽工具檢查網(wǎng)絡(luò)監(jiān)聽工具 （3）其他，如網(wǎng)絡(luò)的周遍環(huán)境和涉及的遠(yuǎn)程站點(diǎn)。）其他，如網(wǎng)絡(luò)的周遍環(huán)境和涉及的遠(yuǎn)程站點(diǎn)。 信息系統(tǒng)安全事件響應(yīng)15 5. 清除后門清除后門 后門是入侵者為下次攻擊打下的埋伏，包括修改了的配置文件、后門是入侵者為下次攻擊打下的埋伏，包括修改了的配置文件、 系統(tǒng)木馬程序、修改了的系統(tǒng)內(nèi)核等

22、。系統(tǒng)木馬程序、修改了的系統(tǒng)內(nèi)核等。 6. 記錄恢復(fù)過程中所有的步驟記錄恢復(fù)過程中所有的步驟 毫不夸張地講，記錄恢復(fù)過程中采取的每一步措施，是非常重毫不夸張地講，記錄恢復(fù)過程中采取的每一步措施，是非常重 要的。恢復(fù)一個(gè)被侵入的系統(tǒng)是一件很麻煩的事，要耗費(fèi)大量要的?；謴?fù)一個(gè)被侵入的系統(tǒng)是一件很麻煩的事，要耗費(fèi)大量 的時(shí)間，因此經(jīng)常會(huì)使人作出一些草率的決定。記錄自己所做的時(shí)間，因此經(jīng)常會(huì)使人作出一些草率的決定。記錄自己所做 的每一步可以幫助你避免作出草率的決定，還可以留作以后的的每一步可以幫助你避免作出草率的決定，還可以留作以后的 參考，也還可能對(duì)法律調(diào)查提供幫助。參考，也還可能對(duì)法律調(diào)查提供幫助

23、。 信息系統(tǒng)安全事件響應(yīng)16 7. 系統(tǒng)恢復(fù)系統(tǒng)恢復(fù) 各種安全事件預(yù)案的執(zhí)行都是為了使系統(tǒng)在事故后得以迅速恢復(fù)。對(duì)于服務(wù)器和數(shù)據(jù)各種安全事件預(yù)案的執(zhí)行都是為了使系統(tǒng)在事故后得以迅速恢復(fù)。對(duì)于服務(wù)器和數(shù)據(jù) 庫等系統(tǒng)特別重要設(shè)備，則需要單獨(dú)訂立緊急恢復(fù)預(yù)案。庫等系統(tǒng)特別重要設(shè)備，則需要單獨(dú)訂立緊急恢復(fù)預(yù)案。 （1）服務(wù)器的恢復(fù)）服務(wù)器的恢復(fù) 一旦服務(wù)器因故障完全停止運(yùn)行，常規(guī)的恢復(fù)方法是在一個(gè)新的硬件平臺(tái)上重建。步一旦服務(wù)器因故障完全停止運(yùn)行，常規(guī)的恢復(fù)方法是在一個(gè)新的硬件平臺(tái)上重建。步 驟如下：驟如下： a）安裝服務(wù)器操作系統(tǒng)；）安裝服務(wù)器操作系統(tǒng)； b）安裝所有需要的驅(qū)動(dòng)程序；）安裝所有需要的

24、驅(qū)動(dòng)程序； c）安裝所有需要的服務(wù)軟件包；）安裝所有需要的服務(wù)軟件包； d）安裝所有需要的流行修補(bǔ)程序和安全修補(bǔ)程序；）安裝所有需要的流行修補(bǔ)程序和安全修補(bǔ)程序； e）安裝備份軟件；）安裝備份軟件； f）安裝備份軟件需要的修補(bǔ)程序；）安裝備份軟件需要的修補(bǔ)程序； g）恢復(fù)最后一次完全備份磁帶；）恢復(fù)最后一次完全備份磁帶； h）恢復(fù)所有增量備份或差異備份磁帶。）恢復(fù)所有增量備份或差異備份磁帶。 顯然，用手工進(jìn)行服務(wù)器的恢復(fù)是非常麻煩的。如果能設(shè)計(jì)一種專門的軟件包，可以顯然，用手工進(jìn)行服務(wù)器的恢復(fù)是非常麻煩的。如果能設(shè)計(jì)一種專門的軟件包，可以 生成存有服務(wù)器鏡像文件的啟動(dòng)盤，來恢復(fù)服務(wù)器，就便利多

25、了。生成存有服務(wù)器鏡像文件的啟動(dòng)盤，來恢復(fù)服務(wù)器，就便利多了。 信息系統(tǒng)安全事件響應(yīng)17 7. 系統(tǒng)恢復(fù)系統(tǒng)恢復(fù) （2）數(shù)據(jù)庫系統(tǒng)的恢復(fù)）數(shù)據(jù)庫系統(tǒng)的恢復(fù) 數(shù)據(jù)庫恢復(fù)的目的是在足夠備份的基礎(chǔ)上，使數(shù)據(jù)庫盡快恢復(fù)到正常。其中數(shù)據(jù)庫恢復(fù)的目的是在足夠備份的基礎(chǔ)上，使數(shù)據(jù)庫盡快恢復(fù)到正常。其中 包括：包括： a）數(shù)據(jù)文件恢復(fù)：把備份文件恢復(fù)到原來位置。）數(shù)據(jù)文件恢復(fù)：把備份文件恢復(fù)到原來位置。 b）控制文件恢復(fù)：控制文件受損時(shí)，要將其恢復(fù)到原位重新啟動(dòng)。）控制文件恢復(fù)：控制文件受損時(shí)，要將其恢復(fù)到原位重新啟動(dòng)。 c）文件系統(tǒng)恢復(fù)：在大型操作系統(tǒng)中，可能會(huì)因介質(zhì)受損，導(dǎo)致文）文件系統(tǒng)恢復(fù)：在大型操作系

26、統(tǒng)中，可能會(huì)因介質(zhì)受損，導(dǎo)致文 件系統(tǒng)被破壞。其恢復(fù)步驟為：件系統(tǒng)被破壞。其恢復(fù)步驟為： 將介質(zhì)重新初始化；將介質(zhì)重新初始化； 重新創(chuàng)建文件系統(tǒng)；重新創(chuàng)建文件系統(tǒng)； 利用備份完整地恢復(fù)數(shù)據(jù)庫中的數(shù)據(jù)；利用備份完整地恢復(fù)數(shù)據(jù)庫中的數(shù)據(jù)； 啟動(dòng)數(shù)據(jù)庫系統(tǒng)。啟動(dòng)數(shù)據(jù)庫系統(tǒng)。 信息系統(tǒng)安全事件響應(yīng)18 5.2 數(shù)據(jù)容錯(cuò)、數(shù)據(jù)容災(zāi)和數(shù)據(jù)備份數(shù)據(jù)容錯(cuò)、數(shù)據(jù)容災(zāi)和數(shù)據(jù)備份 v信息系統(tǒng)是脆弱的，它的可靠性不斷遭受者威脅。為了保證系統(tǒng)的可靠性，信息系統(tǒng)是脆弱的，它的可靠性不斷遭受者威脅。為了保證系統(tǒng)的可靠性， 經(jīng)過長期摸索，人們總結(jié)出了三條途徑：經(jīng)過長期摸索，人們總結(jié)出了三條途徑：避錯(cuò)、糾錯(cuò)和容錯(cuò)避錯(cuò)、糾錯(cuò)和容

27、錯(cuò)。避錯(cuò)是完善。避錯(cuò)是完善 設(shè)計(jì)和制造，試圖構(gòu)造一個(gè)不會(huì)發(fā)生故障的系統(tǒng)。但是，這是不太現(xiàn)實(shí)的。設(shè)計(jì)和制造，試圖構(gòu)造一個(gè)不會(huì)發(fā)生故障的系統(tǒng)。但是，這是不太現(xiàn)實(shí)的。 任何一個(gè)系統(tǒng)總會(huì)有紕漏。因此，人們不得不用糾錯(cuò)作為避錯(cuò)的補(bǔ)充。一任何一個(gè)系統(tǒng)總會(huì)有紕漏。因此，人們不得不用糾錯(cuò)作為避錯(cuò)的補(bǔ)充。一 旦系統(tǒng)出現(xiàn)故障，可以通過檢測和核實(shí)來消除，在進(jìn)行系統(tǒng)的恢復(fù)。旦系統(tǒng)出現(xiàn)故障，可以通過檢測和核實(shí)來消除，在進(jìn)行系統(tǒng)的恢復(fù)。 v容錯(cuò)是第三條途徑。其基本思想是，即使出現(xiàn)錯(cuò)誤，系統(tǒng)也還能執(zhí)行一組容錯(cuò)是第三條途徑。其基本思想是，即使出現(xiàn)錯(cuò)誤，系統(tǒng)也還能執(zhí)行一組 規(guī)定的程序?；蛘哒f，程序不會(huì)因?yàn)橄到y(tǒng)中的故障而中斷或被

28、修改，并且規(guī)定的程序?；蛘哒f，程序不會(huì)因?yàn)橄到y(tǒng)中的故障而中斷或被修改，并且 故障也不引起執(zhí)行結(jié)果的差錯(cuò)。或者簡單地說，容錯(cuò)就是系統(tǒng)可以抵抗錯(cuò)故障也不引起執(zhí)行結(jié)果的差錯(cuò)。或者簡單地說，容錯(cuò)就是系統(tǒng)可以抵抗錯(cuò) 誤的能力。誤的能力。 v容災(zāi)是針對(duì)災(zāi)害而言的。災(zāi)害對(duì)系統(tǒng)危害要比錯(cuò)誤要大、要嚴(yán)重。容災(zāi)是針對(duì)災(zāi)害而言的。災(zāi)害對(duì)系統(tǒng)危害要比錯(cuò)誤要大、要嚴(yán)重。 v從保護(hù)數(shù)據(jù)的安全性出發(fā)，數(shù)據(jù)備份是數(shù)據(jù)容錯(cuò)、數(shù)據(jù)容災(zāi)以及數(shù)據(jù)恢復(fù)從保護(hù)數(shù)據(jù)的安全性出發(fā)，數(shù)據(jù)備份是數(shù)據(jù)容錯(cuò)、數(shù)據(jù)容災(zāi)以及數(shù)據(jù)恢復(fù) 的重要保障。的重要保障。 信息系統(tǒng)安全事件響應(yīng)19 5.2.1 數(shù)據(jù)容錯(cuò)系統(tǒng)與基本技術(shù)數(shù)據(jù)容錯(cuò)系統(tǒng)與基本技術(shù) 1. 容錯(cuò)

29、系統(tǒng)分類容錯(cuò)系統(tǒng)分類 根據(jù)容錯(cuò)系統(tǒng)的應(yīng)用環(huán)境，可以將容錯(cuò)系統(tǒng)分為如下根據(jù)容錯(cuò)系統(tǒng)的應(yīng)用環(huán)境，可以將容錯(cuò)系統(tǒng)分為如下5種類型。種類型。 v（1）高可用度系統(tǒng)）高可用度系統(tǒng) 可用度用系統(tǒng)在某時(shí)刻可以運(yùn)行的概率衡量。高可用度系統(tǒng)面向通用計(jì)可用度用系統(tǒng)在某時(shí)刻可以運(yùn)行的概率衡量。高可用度系統(tǒng)面向通用計(jì) 算機(jī)系統(tǒng)，用于執(zhí)行各種無法預(yù)測的用戶程序，主要面向商業(yè)市場。算機(jī)系統(tǒng)，用于執(zhí)行各種無法預(yù)測的用戶程序，主要面向商業(yè)市場。 v（2）長壽命系統(tǒng)）長壽命系統(tǒng) 長壽命系統(tǒng)在其生命期中不能進(jìn)行人工維修，常用于航天系統(tǒng)中。它實(shí)長壽命系統(tǒng)在其生命期中不能進(jìn)行人工維修，常用于航天系統(tǒng)中。它實(shí) 際上也是一種容災(zāi)系統(tǒng)。際

30、上也是一種容災(zāi)系統(tǒng)。 v（3）延遲維修系統(tǒng)）延遲維修系統(tǒng) 這也是一種容災(zāi)系統(tǒng)，用于航空等在一定階段不能進(jìn)行維修的場合。這也是一種容災(zāi)系統(tǒng)，用于航空等在一定階段不能進(jìn)行維修的場合。 v（4）高性能系統(tǒng)）高性能系統(tǒng) 這類系統(tǒng)對(duì)于故障（瞬時(shí)或永久）都非常敏感，應(yīng)當(dāng)具有瞬時(shí)故障的自這類系統(tǒng)對(duì)于故障（瞬時(shí)或永久）都非常敏感，應(yīng)當(dāng)具有瞬時(shí)故障的自 動(dòng)恢復(fù)能力，并增加平均無故障時(shí)間。動(dòng)恢復(fù)能力，并增加平均無故障時(shí)間。 v（5）關(guān)鍵任務(wù)系統(tǒng)）關(guān)鍵任務(wù)系統(tǒng) 這類系統(tǒng)出錯(cuò)可能危機(jī)人的生命或造成重大經(jīng)濟(jì)損失，要求處理正確無這類系統(tǒng)出錯(cuò)可能危機(jī)人的生命或造成重大經(jīng)濟(jì)損失，要求處理正確無 誤，而且故障恢復(fù)時(shí)間要最短。誤

31、，而且故障恢復(fù)時(shí)間要最短。 信息系統(tǒng)安全事件響應(yīng)20 2. 常用數(shù)據(jù)容錯(cuò)技術(shù)常用數(shù)據(jù)容錯(cuò)技術(shù) v（1）“空閑空閑”設(shè)備設(shè)備 “空閑空閑”設(shè)備也稱雙件熱備，就是配置兩套相同的部件。在正常狀態(tài)下，設(shè)備也稱雙件熱備，就是配置兩套相同的部件。在正常狀態(tài)下， 一個(gè)運(yùn)行，另一個(gè)空閑。當(dāng)正常運(yùn)行的部件出現(xiàn)故障時(shí)，原來空閑的一一個(gè)運(yùn)行，另一個(gè)空閑。當(dāng)正常運(yùn)行的部件出現(xiàn)故障時(shí)，原來空閑的一 臺(tái)立即替補(bǔ)。臺(tái)立即替補(bǔ)。 v（2）鏡像）鏡像 鏡像是把一份工作交給兩個(gè)相同的部件同時(shí)執(zhí)行。這樣在一個(gè)部件出現(xiàn)鏡像是把一份工作交給兩個(gè)相同的部件同時(shí)執(zhí)行。這樣在一個(gè)部件出現(xiàn) 故障時(shí)，另一個(gè)部件繼續(xù)工作。故障時(shí)，另一個(gè)部件繼續(xù)工

32、作。 v（3）復(fù)現(xiàn)）復(fù)現(xiàn) 復(fù)現(xiàn)也稱延遲鏡像。復(fù)現(xiàn)與鏡像一樣需要兩個(gè)系統(tǒng)，但是它把一個(gè)稱為復(fù)現(xiàn)也稱延遲鏡像。復(fù)現(xiàn)與鏡像一樣需要兩個(gè)系統(tǒng)，但是它把一個(gè)稱為 原系統(tǒng)，一個(gè)稱為輔助系統(tǒng)；輔助系統(tǒng)從原系統(tǒng)中接收數(shù)據(jù)。與原系統(tǒng)原系統(tǒng)，一個(gè)稱為輔助系統(tǒng)；輔助系統(tǒng)從原系統(tǒng)中接收數(shù)據(jù)。與原系統(tǒng) 中的數(shù)據(jù)相比，輔助系統(tǒng)的數(shù)據(jù)接收存在一定延遲。當(dāng)原系統(tǒng)出現(xiàn)故障中的數(shù)據(jù)相比，輔助系統(tǒng)的數(shù)據(jù)接收存在一定延遲。當(dāng)原系統(tǒng)出現(xiàn)故障 時(shí)，輔助系統(tǒng)只能在接近故障點(diǎn)的地方開始工作。與鏡像相比，復(fù)現(xiàn)同時(shí)，輔助系統(tǒng)只能在接近故障點(diǎn)的地方開始工作。與鏡像相比，復(fù)現(xiàn)同 一時(shí)間只需管理一套設(shè)備。一時(shí)間只需管理一套設(shè)備。 v（4）負(fù)載均衡）負(fù)

33、載均衡 負(fù)載均衡就是將一個(gè)任務(wù)分解成多個(gè)子任務(wù)，分配給不同的服務(wù)器執(zhí)行，負(fù)載均衡就是將一個(gè)任務(wù)分解成多個(gè)子任務(wù)，分配給不同的服務(wù)器執(zhí)行， 通過減少每個(gè)部件的工作量，增加系統(tǒng)的穩(wěn)定性。通過減少每個(gè)部件的工作量，增加系統(tǒng)的穩(wěn)定性。 信息系統(tǒng)安全事件響應(yīng)21 5.2.2 數(shù)據(jù)容災(zāi)系統(tǒng)與基本技術(shù)數(shù)據(jù)容災(zāi)系統(tǒng)與基本技術(shù) v真正的數(shù)據(jù)容災(zāi)就是要能在災(zāi)難發(fā)生時(shí)，全面、及 時(shí)地恢復(fù)整個(gè)系統(tǒng)。在系統(tǒng)遭受災(zāi)害時(shí)，使系統(tǒng)還 能工作或盡快恢復(fù)工作的最基礎(chǔ)的工作是數(shù)據(jù)備份。 不論任何一個(gè)容災(zāi)系統(tǒng)，沒有備份的數(shù)據(jù)，任何容 災(zāi)方案都沒有現(xiàn)實(shí)意義。 信息系統(tǒng)安全事件響應(yīng)22 1. 數(shù)據(jù)容災(zāi)等級(jí)數(shù)據(jù)容災(zāi)等級(jí) 從技術(shù)上看，衡量數(shù)

34、據(jù)容災(zāi)系統(tǒng)有兩個(gè)主要指標(biāo)：從技術(shù)上看，衡量數(shù)據(jù)容災(zāi)系統(tǒng)有兩個(gè)主要指標(biāo)：RPO（Recovery Point Object）和）和RTO（Recovery Time Object），其中），其中RPO代表了當(dāng)災(zāi)難發(fā)代表了當(dāng)災(zāi)難發(fā) 生時(shí)允許丟失的數(shù)據(jù)量；而生時(shí)允許丟失的數(shù)據(jù)量；而RTO則代表了系統(tǒng)恢復(fù)的時(shí)間。則代表了系統(tǒng)恢復(fù)的時(shí)間。 設(shè)計(jì)一個(gè)容災(zāi)備份系統(tǒng)，需要考慮多方面的因素，如備份設(shè)計(jì)一個(gè)容災(zāi)備份系統(tǒng)，需要考慮多方面的因素，如備份/恢復(fù)數(shù)據(jù)量大小、恢復(fù)數(shù)據(jù)量大小、 應(yīng)用數(shù)據(jù)中心和備援?dāng)?shù)據(jù)中心之間的距離和數(shù)據(jù)傳輸方式、災(zāi)難發(fā)生時(shí)所應(yīng)用數(shù)據(jù)中心和備援?dāng)?shù)據(jù)中心之間的距離和數(shù)據(jù)傳輸方式、災(zāi)難發(fā)生時(shí)所 要

35、求的恢復(fù)速度、備援中心的管理及投入資金等。根據(jù)這些因素和不同的要求的恢復(fù)速度、備援中心的管理及投入資金等。根據(jù)這些因素和不同的 應(yīng)用場合，常見的容災(zāi)等級(jí)有以下應(yīng)用場合，常見的容災(zāi)等級(jí)有以下4個(gè)：個(gè)： （1）第）第0級(jí)：本地備份、本地保存的冷備份級(jí)：本地備份、本地保存的冷備份 （2）第）第1級(jí)：本地備份、異地保存的冷備份級(jí)：本地備份、異地保存的冷備份 （3）第）第2級(jí)：熱備份站點(diǎn)備份級(jí)：熱備份站點(diǎn)備份 （4）第）第3級(jí)：活動(dòng)互援備份級(jí)：活動(dòng)互援備份 信息系統(tǒng)安全事件響應(yīng)23 2. 異地容災(zāi)技術(shù)異地容災(zāi)技術(shù) （1）遠(yuǎn)程鏡像技術(shù)）遠(yuǎn)程鏡像技術(shù) 在建立容災(zāi)備份系統(tǒng)時(shí)會(huì)涉及到多種技術(shù)，如：在建立容災(zāi)備份

36、系統(tǒng)時(shí)會(huì)涉及到多種技術(shù)，如：SAN或或NAS技術(shù)、遠(yuǎn)程鏡像技術(shù)、遠(yuǎn)程鏡像 技術(shù)、虛擬存儲(chǔ)、基于技術(shù)、虛擬存儲(chǔ)、基于IP的的SAN的互連技術(shù)、快照技術(shù)等。的互連技術(shù)、快照技術(shù)等。 遠(yuǎn)程鏡像技術(shù)是在主數(shù)據(jù)中心和備援中心之間的數(shù)據(jù)備份時(shí)用到。鏡像是在兩個(gè)或多遠(yuǎn)程鏡像技術(shù)是在主數(shù)據(jù)中心和備援中心之間的數(shù)據(jù)備份時(shí)用到。鏡像是在兩個(gè)或多 個(gè)磁盤或磁盤子系統(tǒng)上產(chǎn)生同一個(gè)數(shù)據(jù)的鏡像視圖的信息存儲(chǔ)過程，一個(gè)叫主鏡像系個(gè)磁盤或磁盤子系統(tǒng)上產(chǎn)生同一個(gè)數(shù)據(jù)的鏡像視圖的信息存儲(chǔ)過程，一個(gè)叫主鏡像系 統(tǒng)，另一個(gè)叫從鏡像系統(tǒng)。按主從鏡像存儲(chǔ)系統(tǒng)所處的位置可分為本地鏡像和遠(yuǎn)程鏡統(tǒng)，另一個(gè)叫從鏡像系統(tǒng)。按主從鏡像存儲(chǔ)系統(tǒng)所處的

37、位置可分為本地鏡像和遠(yuǎn)程鏡 像。像。 遠(yuǎn)程鏡像又叫遠(yuǎn)程復(fù)制，是容災(zāi)備份的核心技術(shù)，遠(yuǎn)程鏡像又叫遠(yuǎn)程復(fù)制，是容災(zāi)備份的核心技術(shù)，同時(shí)也是保持遠(yuǎn)程數(shù)據(jù)同步和實(shí)現(xiàn)同時(shí)也是保持遠(yuǎn)程數(shù)據(jù)同步和實(shí)現(xiàn) 災(zāi)難恢復(fù)的基礎(chǔ)。遠(yuǎn)程鏡像按請(qǐng)求鏡像的主機(jī)是否需要遠(yuǎn)程鏡像站點(diǎn)的確認(rèn)信息，又災(zāi)難恢復(fù)的基礎(chǔ)。遠(yuǎn)程鏡像按請(qǐng)求鏡像的主機(jī)是否需要遠(yuǎn)程鏡像站點(diǎn)的確認(rèn)信息，又 可分為同步遠(yuǎn)程鏡像和異步遠(yuǎn)程鏡像?？煞譃橥竭h(yuǎn)程鏡像和異步遠(yuǎn)程鏡像。 同步遠(yuǎn)程鏡像（同步復(fù)制技術(shù)）是指通過遠(yuǎn)程鏡像軟件，將本地?cái)?shù)據(jù)以完全同步的方同步遠(yuǎn)程鏡像（同步復(fù)制技術(shù)）是指通過遠(yuǎn)程鏡像軟件，將本地?cái)?shù)據(jù)以完全同步的方 式復(fù)制到異地，每一本地的式復(fù)制到異地，每一

38、本地的I/O事務(wù)均需等待遠(yuǎn)程復(fù)制的完成確認(rèn)信息，方予以釋放。事務(wù)均需等待遠(yuǎn)程復(fù)制的完成確認(rèn)信息，方予以釋放。 同步鏡像使遠(yuǎn)程拷貝總能與本地機(jī)要求復(fù)制的內(nèi)容相匹配。同步鏡像使遠(yuǎn)程拷貝總能與本地機(jī)要求復(fù)制的內(nèi)容相匹配。 異步遠(yuǎn)程鏡像（異步復(fù)制技術(shù)）保證在更新遠(yuǎn)程存儲(chǔ)視圖前完成向本地存儲(chǔ)系統(tǒng)的基異步遠(yuǎn)程鏡像（異步復(fù)制技術(shù)）保證在更新遠(yuǎn)程存儲(chǔ)視圖前完成向本地存儲(chǔ)系統(tǒng)的基 本本I/O操作，而由本地存儲(chǔ)系統(tǒng)提供給請(qǐng)求鏡像主機(jī)的操作，而由本地存儲(chǔ)系統(tǒng)提供給請(qǐng)求鏡像主機(jī)的I/O操作完成確認(rèn)信息。遠(yuǎn)程的操作完成確認(rèn)信息。遠(yuǎn)程的 數(shù)據(jù)復(fù)制是以后臺(tái)同步的方式進(jìn)行的，這使本地系統(tǒng)性能受到的影響很小，傳輸距離數(shù)據(jù)復(fù)制是

39、以后臺(tái)同步的方式進(jìn)行的，這使本地系統(tǒng)性能受到的影響很小，傳輸距離 長（可達(dá)長（可達(dá)1000公里以上），對(duì)網(wǎng)絡(luò)帶寬要求小。但是，許多遠(yuǎn)程的從屬存儲(chǔ)子系統(tǒng)的公里以上），對(duì)網(wǎng)絡(luò)帶寬要求小。但是，許多遠(yuǎn)程的從屬存儲(chǔ)子系統(tǒng)的 寫沒有得到確認(rèn)，當(dāng)某種因素造成數(shù)據(jù)傳輸失敗，可能出現(xiàn)數(shù)據(jù)一致性問題。為了解寫沒有得到確認(rèn)，當(dāng)某種因素造成數(shù)據(jù)傳輸失敗，可能出現(xiàn)數(shù)據(jù)一致性問題。為了解 決這個(gè)問題，目前大多采用延遲復(fù)制的技術(shù)，即在確保本地?cái)?shù)據(jù)完好無損后進(jìn)行遠(yuǎn)程決這個(gè)問題，目前大多采用延遲復(fù)制的技術(shù)，即在確保本地?cái)?shù)據(jù)完好無損后進(jìn)行遠(yuǎn)程 數(shù)據(jù)更新。數(shù)據(jù)更新。 信息系統(tǒng)安全事件響應(yīng)24 （2） 快照技術(shù)快照技術(shù) 遠(yuǎn)程鏡像技

40、術(shù)往往同快照技術(shù)結(jié)合起來實(shí)現(xiàn)遠(yuǎn)程備份，即通過鏡像把數(shù)據(jù)備遠(yuǎn)程鏡像技術(shù)往往同快照技術(shù)結(jié)合起來實(shí)現(xiàn)遠(yuǎn)程備份，即通過鏡像把數(shù)據(jù)備 份到遠(yuǎn)程存儲(chǔ)系統(tǒng)中，再用快照技術(shù)把遠(yuǎn)程存儲(chǔ)系統(tǒng)中的信息備份到遠(yuǎn)程的份到遠(yuǎn)程存儲(chǔ)系統(tǒng)中，再用快照技術(shù)把遠(yuǎn)程存儲(chǔ)系統(tǒng)中的信息備份到遠(yuǎn)程的 磁帶庫、光盤庫中。磁帶庫、光盤庫中。 快照是通過軟件對(duì)要備份的磁盤子系統(tǒng)的數(shù)據(jù)快速掃描，建立一個(gè)要備份數(shù)快照是通過軟件對(duì)要備份的磁盤子系統(tǒng)的數(shù)據(jù)快速掃描，建立一個(gè)要備份數(shù) 據(jù)的快照邏輯單元號(hào)據(jù)的快照邏輯單元號(hào)LUN和快照和快照cache，在快速掃描時(shí)，把備份過程中即將，在快速掃描時(shí)，把備份過程中即將 要修改的數(shù)據(jù)塊同時(shí)快速拷貝到快照要修改的

41、數(shù)據(jù)塊同時(shí)快速拷貝到快照cache中?？煺罩??？煺誏UN是一組指針，它指是一組指針，它指 向快照向快照cache和磁盤子系統(tǒng)中不變的數(shù)據(jù)塊（在備份過程中）。在正常業(yè)務(wù)和磁盤子系統(tǒng)中不變的數(shù)據(jù)塊（在備份過程中）。在正常業(yè)務(wù) 進(jìn)行的同時(shí)，利用快照進(jìn)行的同時(shí)，利用快照LUN實(shí)現(xiàn)對(duì)原數(shù)據(jù)的一個(gè)完全的備份。它可使用戶在實(shí)現(xiàn)對(duì)原數(shù)據(jù)的一個(gè)完全的備份。它可使用戶在 正常業(yè)務(wù)不受影響的情況下，實(shí)時(shí)提取當(dāng)前在線業(yè)務(wù)數(shù)據(jù)。其正常業(yè)務(wù)不受影響的情況下，實(shí)時(shí)提取當(dāng)前在線業(yè)務(wù)數(shù)據(jù)。其“備份窗口備份窗口” 接近于零，可大大增加系統(tǒng)業(yè)務(wù)的連續(xù)性，為實(shí)現(xiàn)系統(tǒng)真正的接近于零，可大大增加系統(tǒng)業(yè)務(wù)的連續(xù)性，為實(shí)現(xiàn)系統(tǒng)真正的724運(yùn)

42、轉(zhuǎn)提運(yùn)轉(zhuǎn)提 供了保證。供了保證。 快照是通過內(nèi)存作為緩沖區(qū)（快照快照是通過內(nèi)存作為緩沖區(qū)（快照cache），由快照軟件提供系統(tǒng)磁盤存儲(chǔ)），由快照軟件提供系統(tǒng)磁盤存儲(chǔ) 的即時(shí)數(shù)據(jù)映像，它存在緩沖區(qū)調(diào)度的問題。的即時(shí)數(shù)據(jù)映像，它存在緩沖區(qū)調(diào)度的問題。 信息系統(tǒng)安全事件響應(yīng)25 （3） 互連技術(shù)互連技術(shù) 早期的主數(shù)據(jù)中心和備援?dāng)?shù)據(jù)中心之間的數(shù)據(jù)備份，主要是基于早期的主數(shù)據(jù)中心和備援?dāng)?shù)據(jù)中心之間的數(shù)據(jù)備份，主要是基于SAN的遠(yuǎn)程的遠(yuǎn)程 復(fù)制（鏡像），即通過光纖通道復(fù)制（鏡像），即通過光纖通道FC，把兩個(gè)，把兩個(gè)SAN連接起來，進(jìn)行遠(yuǎn)程鏡像連接起來，進(jìn)行遠(yuǎn)程鏡像 （復(fù)制）。當(dāng)災(zāi)難發(fā)生時(shí)，由備援?dāng)?shù)據(jù)中心替

43、代主數(shù)據(jù)中心保證系統(tǒng)工作的（復(fù)制）。當(dāng)災(zāi)難發(fā)生時(shí)，由備援?dāng)?shù)據(jù)中心替代主數(shù)據(jù)中心保證系統(tǒng)工作的 連續(xù)性。這種遠(yuǎn)程容災(zāi)備份方式存在一些缺陷，如：實(shí)現(xiàn)成本高、設(shè)備的互連續(xù)性。這種遠(yuǎn)程容災(zāi)備份方式存在一些缺陷，如：實(shí)現(xiàn)成本高、設(shè)備的互 操作性差、跨越的地理距離短（操作性差、跨越的地理距離短（10公里）等，這些因素阻礙了它的進(jìn)一步推公里）等，這些因素阻礙了它的進(jìn)一步推 廣和應(yīng)用。廣和應(yīng)用。 目前，出現(xiàn)了多種基于目前，出現(xiàn)了多種基于IP的的SAN的遠(yuǎn)程數(shù)據(jù)容災(zāi)備份技術(shù)。它們是利用基于的遠(yuǎn)程數(shù)據(jù)容災(zāi)備份技術(shù)。它們是利用基于 IP的的SAN的互連協(xié)議，將主數(shù)據(jù)中心的互連協(xié)議，將主數(shù)據(jù)中心SAN中的信息通過現(xiàn)有

44、的中的信息通過現(xiàn)有的TCP/IP網(wǎng)絡(luò)，網(wǎng)絡(luò)， 遠(yuǎn)程復(fù)制到備援中心遠(yuǎn)程復(fù)制到備援中心SAN中。當(dāng)備援中心存儲(chǔ)的數(shù)據(jù)量過大時(shí)，可利用快照中。當(dāng)備援中心存儲(chǔ)的數(shù)據(jù)量過大時(shí)，可利用快照 技術(shù)將其備份到磁帶庫或光盤庫中。這種基于技術(shù)將其備份到磁帶庫或光盤庫中。這種基于IP的的SAN的遠(yuǎn)程容災(zāi)備份，可的遠(yuǎn)程容災(zāi)備份，可 以跨越以跨越LAN、MAN和和WAN，成本低、可擴(kuò)展性好，具有廣闊的發(fā)展前景。，成本低、可擴(kuò)展性好，具有廣闊的發(fā)展前景。 基于基于IP的互連協(xié)議包括：的互連協(xié)議包括：FCIP、iFCP、Infiniband、iSCSI等。等。 信息系統(tǒng)安全事件響應(yīng)26 （4） 虛擬存儲(chǔ)虛擬存儲(chǔ) 在有些容災(zāi)

45、方案產(chǎn)品中，還采取了虛擬存儲(chǔ)技術(shù)，如西瑞異地容災(zāi)方案。虛在有些容災(zāi)方案產(chǎn)品中，還采取了虛擬存儲(chǔ)技術(shù)，如西瑞異地容災(zāi)方案。虛 擬化存儲(chǔ)技術(shù)在系統(tǒng)彈性和可擴(kuò)展性上開創(chuàng)了新的局面。它將幾個(gè)擬化存儲(chǔ)技術(shù)在系統(tǒng)彈性和可擴(kuò)展性上開創(chuàng)了新的局面。它將幾個(gè)IDE或或 SCSI驅(qū)動(dòng)器等不同的存儲(chǔ)設(shè)備串聯(lián)為一個(gè)存儲(chǔ)池。存儲(chǔ)集群的整個(gè)存儲(chǔ)容量驅(qū)動(dòng)器等不同的存儲(chǔ)設(shè)備串聯(lián)為一個(gè)存儲(chǔ)池。存儲(chǔ)集群的整個(gè)存儲(chǔ)容量 可以分為多個(gè)邏輯卷，并作為虛擬分區(qū)進(jìn)行管理。存儲(chǔ)由此成為一種功能而可以分為多個(gè)邏輯卷，并作為虛擬分區(qū)進(jìn)行管理。存儲(chǔ)由此成為一種功能而 非物理屬性，而這正是基于服務(wù)器的存儲(chǔ)結(jié)構(gòu)存在的主要限制。非物理屬性，而這正是基于

46、服務(wù)器的存儲(chǔ)結(jié)構(gòu)存在的主要限制。 虛擬存儲(chǔ)系統(tǒng)還提供了動(dòng)態(tài)改變邏輯卷大小的功能。事實(shí)上，存儲(chǔ)卷的容量虛擬存儲(chǔ)系統(tǒng)還提供了動(dòng)態(tài)改變邏輯卷大小的功能。事實(shí)上，存儲(chǔ)卷的容量 可以在線隨意增加或減少?？梢酝ㄟ^在系統(tǒng)中增加或減少物理磁盤的數(shù)量來可以在線隨意增加或減少?？梢酝ㄟ^在系統(tǒng)中增加或減少物理磁盤的數(shù)量來 改變集群中邏輯卷的大小。這一功能允許卷的容量隨用戶的即時(shí)要求動(dòng)態(tài)改改變集群中邏輯卷的大小。這一功能允許卷的容量隨用戶的即時(shí)要求動(dòng)態(tài)改 變。另外，存儲(chǔ)卷能夠很容易的改變?nèi)萘?，移?dòng)和替換。安裝系統(tǒng)時(shí)，只需變。另外，存儲(chǔ)卷能夠很容易的改變?nèi)萘浚苿?dòng)和替換。安裝系統(tǒng)時(shí)，只需 為每個(gè)邏輯卷分配最小的容量，并

47、在磁盤上留出剩余的空間。隨著業(yè)務(wù)的發(fā)為每個(gè)邏輯卷分配最小的容量，并在磁盤上留出剩余的空間。隨著業(yè)務(wù)的發(fā) 展，可以用剩余空間根據(jù)需要擴(kuò)展邏輯卷。你也可以將數(shù)據(jù)在線從舊驅(qū)動(dòng)器展，可以用剩余空間根據(jù)需要擴(kuò)展邏輯卷。你也可以將數(shù)據(jù)在線從舊驅(qū)動(dòng)器 轉(zhuǎn)移到新的驅(qū)動(dòng)器上，而不中斷服務(wù)的運(yùn)行。轉(zhuǎn)移到新的驅(qū)動(dòng)器上，而不中斷服務(wù)的運(yùn)行。 存儲(chǔ)虛擬化的一個(gè)關(guān)鍵優(yōu)勢是它允許異質(zhì)系統(tǒng)和應(yīng)用程序共享存儲(chǔ)設(shè)備，而存儲(chǔ)虛擬化的一個(gè)關(guān)鍵優(yōu)勢是它允許異質(zhì)系統(tǒng)和應(yīng)用程序共享存儲(chǔ)設(shè)備，而 不管它們位于何處。公司將不再需要在每個(gè)分部的服務(wù)器上都連接一臺(tái)磁帶不管它們位于何處。公司將不再需要在每個(gè)分部的服務(wù)器上都連接一臺(tái)磁帶 設(shè)備。設(shè)備。

48、 信息系統(tǒng)安全事件響應(yīng)27 5.2.3 數(shù)據(jù)備份的策略數(shù)據(jù)備份的策略 數(shù)據(jù)備份可以依據(jù)條件和需要選擇不同的策略。下面是幾種基本的數(shù)據(jù)數(shù)據(jù)備份可以依據(jù)條件和需要選擇不同的策略。下面是幾種基本的數(shù)據(jù) 備份策略。備份策略。 v1. 全盤備份全盤備份 全盤備份是將所有文件寫入備份介質(zhì)。這種方法簡單，操作起來比全盤備份是將所有文件寫入備份介質(zhì)。這種方法簡單，操作起來比 較方便。較方便。 v2. 增量備份增量備份 增量備份只備份上次備份后作過更新的文件。這種系統(tǒng)性能和容量增量備份只備份上次備份后作過更新的文件。這種系統(tǒng)性能和容量 可以很好的改善。但是，僅僅依靠文件屬性識(shí)別文件是否作過修改，可以很好的改善。

49、但是，僅僅依靠文件屬性識(shí)別文件是否作過修改， 不太可靠。通常與全盤備份配合使用。不太可靠。通常與全盤備份配合使用。 v3. 差別備份差別備份 差別備份是只對(duì)上次全盤備份之后更新過的所有文件。這樣，全部差別備份是只對(duì)上次全盤備份之后更新過的所有文件。這樣，全部 系統(tǒng)只需要兩組磁帶（最后一次全盤備份磁帶和最后一次差別備份系統(tǒng)只需要兩組磁帶（最后一次全盤備份磁帶和最后一次差別備份 磁帶）就可以恢復(fù)。磁帶）就可以恢復(fù)。 v4. 按需備份按需備份 按需備份是指在正常的備份之外額外有選擇地進(jìn)行的備份操作。按按需備份是指在正常的備份之外額外有選擇地進(jìn)行的備份操作。按 需分配可以彌補(bǔ)冗余管理或長期轉(zhuǎn)儲(chǔ)的日常備

50、份的不足。需分配可以彌補(bǔ)冗余管理或長期轉(zhuǎn)儲(chǔ)的日常備份的不足。 信息系統(tǒng)安全事件響應(yīng)28 5.3 數(shù)字證據(jù)獲取數(shù)字證據(jù)獲取 v現(xiàn)在，信息系統(tǒng)的攻擊和對(duì)抗已經(jīng)不僅僅是技術(shù)領(lǐng)域和管理現(xiàn)在，信息系統(tǒng)的攻擊和對(duì)抗已經(jīng)不僅僅是技術(shù)領(lǐng)域和管理 領(lǐng)域的問題了。許多問題已經(jīng)進(jìn)入涉訟，成為法學(xué)案件。隨領(lǐng)域的問題了。許多問題已經(jīng)進(jìn)入涉訟，成為法學(xué)案件。隨 著數(shù)字犯罪案件的增多，數(shù)字證據(jù)的獲取已經(jīng)成為信息技術(shù)著數(shù)字犯罪案件的增多，數(shù)字證據(jù)的獲取已經(jīng)成為信息技術(shù) 和法學(xué)家們共同關(guān)注的熱點(diǎn)。和法學(xué)家們共同關(guān)注的熱點(diǎn)。 v早先，數(shù)字證據(jù)也被成為計(jì)算機(jī)證據(jù)。對(duì)于它的研究最早是早先，數(shù)字證據(jù)也被成為計(jì)算機(jī)證據(jù)。對(duì)于它的研究最早

51、是 從應(yīng)急響應(yīng)的角度開始的，目的是為了搜集攻擊者的有關(guān)信從應(yīng)急響應(yīng)的角度開始的，目的是為了搜集攻擊者的有關(guān)信 息。直到息。直到2001年人們才轉(zhuǎn)移到從司法的角度來看待它，關(guān)年人們才轉(zhuǎn)移到從司法的角度來看待它，關(guān) 于它的研究，才從純技術(shù)領(lǐng)域轉(zhuǎn)向技術(shù)與法學(xué)的結(jié)合上。于它的研究，才從純技術(shù)領(lǐng)域轉(zhuǎn)向技術(shù)與法學(xué)的結(jié)合上。 信息系統(tǒng)安全事件響應(yīng)29 5.3.1 數(shù)字證據(jù)的特點(diǎn)數(shù)字證據(jù)的特點(diǎn) 1. 依附性和多樣性依附性和多樣性 一般說來，數(shù)字證據(jù)就是在計(jì)算機(jī)或在計(jì)算機(jī)系統(tǒng)運(yùn)行過程中產(chǎn)生的、以一般說來，數(shù)字證據(jù)就是在計(jì)算機(jī)或在計(jì)算機(jī)系統(tǒng)運(yùn)行過程中產(chǎn)生的、以 其記錄的內(nèi)容來證明案件事實(shí)的電磁記錄。與其他證據(jù)相比

52、，它有如下一其記錄的內(nèi)容來證明案件事實(shí)的電磁記錄。與其他證據(jù)相比，它有如下一 些特點(diǎn)。些特點(diǎn)。 電磁證據(jù)依附在不同介質(zhì)上。這就帶來兩個(gè)方面的特點(diǎn)：一是數(shù)字證據(jù)不會(huì)電磁證據(jù)依附在不同介質(zhì)上。這就帶來兩個(gè)方面的特點(diǎn)：一是數(shù)字證據(jù)不會(huì) 像傳統(tǒng)的證據(jù)那樣可以獨(dú)立存在；二是不同的介質(zhì)，使同樣的信息表現(xiàn)出不像傳統(tǒng)的證據(jù)那樣可以獨(dú)立存在；二是不同的介質(zhì)，使同樣的信息表現(xiàn)出不 同的形態(tài)，如在導(dǎo)體中是以電流或電壓表現(xiàn)的數(shù)字脈沖，在顯示器上是文字同的形態(tài)，如在導(dǎo)體中是以電流或電壓表現(xiàn)的數(shù)字脈沖，在顯示器上是文字 或圖形，在磁盤中是磁核的排列形式，在光纜中是光波等?；驁D形，在磁盤中是磁核的排列形式，在光纜中是光波等

53、。 信息系統(tǒng)安全事件響應(yīng)30 2. 可偽性和弱證明性可偽性和弱證明性 數(shù)字證據(jù)的非實(shí)物性，使得其竊取、修改甚至銷毀都比較容易。例如，黑數(shù)字證據(jù)的非實(shí)物性，使得其竊取、修改甚至銷毀都比較容易。例如，黑 客在入侵之后，可以對(duì)現(xiàn)場進(jìn)行一些滅跡、制造假象等工作，給證據(jù)的認(rèn)客在入侵之后，可以對(duì)現(xiàn)場進(jìn)行一些滅跡、制造假象等工作，給證據(jù)的認(rèn) 定帶來困難，直接減低了證明力度，增加了跟蹤和偵查的難度。定帶來困難，直接減低了證明力度，增加了跟蹤和偵查的難度。 信息系統(tǒng)安全事件響應(yīng)31 3. 數(shù)據(jù)的揮發(fā)性數(shù)據(jù)的揮發(fā)性 計(jì)算機(jī)系統(tǒng)中所處理的數(shù)據(jù)有一些是動(dòng)態(tài)的。這些動(dòng)態(tài)數(shù)據(jù)對(duì)于抓住犯罪的計(jì)算機(jī)系統(tǒng)中所處理的數(shù)據(jù)有一些是

54、動(dòng)態(tài)的。這些動(dòng)態(tài)數(shù)據(jù)對(duì)于抓住犯罪的 蛛絲馬跡非常有用。但是它們卻有一定的時(shí)間效應(yīng)。即有些數(shù)據(jù)會(huì)因失效或蛛絲馬跡非常有用。但是它們卻有一定的時(shí)間效應(yīng)。即有些數(shù)據(jù)會(huì)因失效或 消失而揮發(fā)。在收集數(shù)字證據(jù)時(shí)必須充分考慮數(shù)據(jù)的揮發(fā)性。消失而揮發(fā)。在收集數(shù)字證據(jù)時(shí)必須充分考慮數(shù)據(jù)的揮發(fā)性。表表5.1描述了數(shù)描述了數(shù) 字證據(jù)數(shù)據(jù)的揮發(fā)性。字證據(jù)數(shù)據(jù)的揮發(fā)性。 數(shù)數(shù) 據(jù)據(jù)硬件或位置硬件或位置存活時(shí)間存活時(shí)間 CPU高速緩沖器，管道高速緩沖器，管道幾個(gè)時(shí)鐘周期幾個(gè)時(shí)鐘周期 系統(tǒng)系統(tǒng)RAM關(guān)機(jī)前關(guān)機(jī)前 內(nèi)核表內(nèi)核表進(jìn)程中進(jìn)程中關(guān)機(jī)前關(guān)機(jī)前 固定介質(zhì)固定介質(zhì)Swap/tmp直至被覆蓋或被抹掉直至被覆蓋或被抹掉 可移

55、動(dòng)介質(zhì)可移動(dòng)介質(zhì)Cdrom,Floppy,HDO直至被覆蓋或被抹掉直至被覆蓋或被抹掉 打印輸出打印輸出被拷貝打印輸出被拷貝打印輸出直至被毀壞直至被毀壞 表表5.1 數(shù)字證據(jù)的揮發(fā)性數(shù)字證據(jù)的揮發(fā)性 信息系統(tǒng)安全事件響應(yīng)32 5.3.2 數(shù)字取證的原則數(shù)字取證的原則 實(shí)施數(shù)字取證應(yīng)當(dāng)遵循如下原則：符合程序，共同監(jiān)督，保實(shí)施數(shù)字取證應(yīng)當(dāng)遵循如下原則：符合程序，共同監(jiān)督，保 護(hù)隱私，影響最小，證據(jù)連續(xù)，原汁原味。下面分別予以說護(hù)隱私，影響最小，證據(jù)連續(xù)，原汁原味。下面分別予以說 明。明。 v1. 符合程序符合程序 取證應(yīng)當(dāng)首先啟動(dòng)法律程序，要在法律規(guī)定的范圍內(nèi)展開取證應(yīng)當(dāng)首先啟動(dòng)法律程序，要在法律規(guī)

56、定的范圍內(nèi)展開 工作，否則會(huì)陷入被動(dòng)。工作，否則會(huì)陷入被動(dòng)。 v2. 共同監(jiān)督共同監(jiān)督 由原告委派的專家所進(jìn)行整個(gè)的檢查、取證過程，必須受由原告委派的專家所進(jìn)行整個(gè)的檢查、取證過程，必須受 到由其他方委派的專家的監(jiān)督。到由其他方委派的專家的監(jiān)督。 v3. 保護(hù)隱私保護(hù)隱私 在取證過程中，要尊重任何關(guān)于客戶代理人的隱私。一旦在取證過程中，要尊重任何關(guān)于客戶代理人的隱私。一旦 獲取了一些關(guān)于公司或個(gè)人的隱私，決不能泄露。獲取了一些關(guān)于公司或個(gè)人的隱私，決不能泄露。 信息系統(tǒng)安全事件響應(yīng)33 數(shù)字取證的原則數(shù)字取證的原則 v4. 影響最小影響最小 如果取證要求必須運(yùn)行某些業(yè)務(wù)程序，應(yīng)當(dāng)使運(yùn)行時(shí)間盡如

57、果取證要求必須運(yùn)行某些業(yè)務(wù)程序，應(yīng)當(dāng)使運(yùn)行時(shí)間盡 量短；量短； 必須保證取證不給系統(tǒng)帶來副作用，如引進(jìn)病毒等。必須保證取證不給系統(tǒng)帶來副作用，如引進(jìn)病毒等。 v5. 證據(jù)連續(xù)證據(jù)連續(xù) 必須保證證據(jù)的連續(xù)性（必須保證證據(jù)的連續(xù)性（Chain of Custody），即在將證），即在將證 據(jù)提交法庭前要一直跟蹤證據(jù)，要向法庭說明在這段時(shí)間內(nèi)據(jù)提交法庭前要一直跟蹤證據(jù)，要向法庭說明在這段時(shí)間內(nèi) 證據(jù)有無變化。此外，要向法庭說明該證據(jù)的完全性。證據(jù)有無變化。此外，要向法庭說明該證據(jù)的完全性。 v6. 原汁原味原汁原味 必須保證提取出來的證據(jù)不受電磁或機(jī)械的損害；必須保證提取出來的證據(jù)不受電磁或機(jī)械的損

58、害； 必須保證收集的證據(jù)不被取證程序破壞。必須保證收集的證據(jù)不被取證程序破壞。 信息系統(tǒng)安全事件響應(yīng)34 5.3.3 數(shù)字取證的一般步驟數(shù)字取證的一般步驟 v1. 保護(hù)現(xiàn)場保護(hù)現(xiàn)場 在取證過程中，保護(hù)目標(biāo)系統(tǒng)，避免發(fā)生任何改變、損害；在取證過程中，保護(hù)目標(biāo)系統(tǒng)，避免發(fā)生任何改變、損害； 保護(hù)證據(jù)的完整性，防止證據(jù)信息的丟失和破壞；保護(hù)證據(jù)的完整性，防止證據(jù)信息的丟失和破壞； 防止病毒感染。防止病毒感染。 v2. 證據(jù)發(fā)現(xiàn)證據(jù)發(fā)現(xiàn) 證據(jù)發(fā)現(xiàn)首先要識(shí)別可獲取證據(jù)的信息類型。按照證據(jù)信息證據(jù)發(fā)現(xiàn)首先要識(shí)別可獲取證據(jù)的信息類型。按照證據(jù)信息 變化的特點(diǎn)，可以將證據(jù)信息分為兩大類：變化的特點(diǎn)，可以將證據(jù)

59、信息分為兩大類： 實(shí)時(shí)信息（或易失信息），例如網(wǎng)絡(luò)連接；實(shí)時(shí)信息（或易失信息），例如網(wǎng)絡(luò)連接； 非易失信息，即不會(huì)隨時(shí)間或設(shè)備斷電消失。非易失信息，即不會(huì)隨時(shí)間或設(shè)備斷電消失。 數(shù)字取證過程一般可以按如下步驟進(jìn)行。數(shù)字取證過程一般可以按如下步驟進(jìn)行。 信息系統(tǒng)安全事件響應(yīng)35 v（1）日志：如操作系統(tǒng)日志等。）日志：如操作系統(tǒng)日志等。 v（2）文件。如可以進(jìn)行的文件搜索有：）文件。如可以進(jìn)行的文件搜索有： 搜索目標(biāo)系統(tǒng)中所有文件（包括現(xiàn)存的正常文件、已經(jīng)被刪除但仍存搜索目標(biāo)系統(tǒng)中所有文件（包括現(xiàn)存的正常文件、已經(jīng)被刪除但仍存 在于磁盤上還沒有被覆蓋的文件、隱藏文件、受密碼保護(hù)的和加密文在于磁盤

60、上還沒有被覆蓋的文件、隱藏文件、受密碼保護(hù)的和加密文 件）；件）； 盡量恢復(fù)所發(fā)現(xiàn)的文件；盡量恢復(fù)所發(fā)現(xiàn)的文件； 在法律允許的情況下，訪問被保護(hù)或加密的文件；在法律允許的情況下，訪問被保護(hù)或加密的文件； 分析磁盤特殊區(qū)域（未分配區(qū)域、文件棧區(qū)等）。分析磁盤特殊區(qū)域（未分配區(qū)域、文件棧區(qū)等）。 v（3）系統(tǒng)進(jìn)程：如進(jìn)程名、進(jìn)程訪問文件等。）系統(tǒng)進(jìn)程：如進(jìn)程名、進(jìn)程訪問文件等。 v（4）用戶：特別是在線用戶的服務(wù)時(shí)間、使用方式等。）用戶：特別是在線用戶的服務(wù)時(shí)間、使用方式等。 v（5）系統(tǒng)狀態(tài)：如系統(tǒng)開放的服務(wù)、網(wǎng)絡(luò)運(yùn)行的狀態(tài)等。）系統(tǒng)狀態(tài)：如系統(tǒng)開放的服務(wù)、網(wǎng)絡(luò)運(yùn)行的狀態(tài)等。 v（6）通信連接記