计算机系统安全原理与技术第3版陈波第8章应急响应与灾难恢复课件教学.pptVIP

8.4 计算机取证8.4.2 计算机取证技术及发展 1．计算机取证技术 （1）存储介质的安全无损备份技术 （2）已删除文件的恢复技术 （3）Slack磁盘空间、未分配空间，交换文件和空闲空间中所包含信息的发掘技术 （4）日志反清除技术 （5）日志分析技术 * 计算机系统安全原理与技术(第3版) * 8.4 计算机取证8.4.2 计算机取证技术及发展 1．计算机取证技术 （6）取证数据传输安全技术 （7）取证数据的完整性检测技术 （8）网络数据报文截获和分析技术 （9）Honeypot/Honeynet(蜜罐/蜜网)技术 （10）其他方面的技术 * 计算机系统安全原理与技术(第3版) * 8.4 计算机取证8.4.2 计算机取证技术及发展 2．当前计算机取证技术的局限和反取证技术 当前的计算机取证技术还存在着很大的局限。 从理论上讲，计算机取证人员能否找到犯罪的证据取决于以下3个条件：首先，有关犯罪的电子证据必须没有被覆盖；其次，取证软件必须能够找到这些数据；再次，取证人员还要能够知道文件的内容，并且能够证明它们和犯罪有关。 从当前软件的实现情况来看，许多所谓的“取证分析”软件还仅仅是可以恢复被删除的文件，要用它们对付老奸巨猾的犯罪者还相差甚远。 * 计算机系统安全原理与技术(第3版) * 8.4 计算机取证8.4.2 计算机取证技术及发展 2．当前计算机取证技术的局限和反取证技术 在计算机取证技术蓬勃发展的同时，反取证技术也悄悄地出现了。 反取证就是删除或者隐藏证据使取证调查无效。 现在的反取证技术可以分为3类：数据擦除、数据隐藏和数据加密。 这些技术还可以结合起来使用，让取证工作的效果大打折扣。 * 计算机系统安全原理与技术(第3版) * 8.4 计算机取证8.4.2 计算机取证技术及发展 3．计算机取证技术的发展 1）实时取证(技术)工具。 2）移动智能终端取证分析工具。 3）海量数据获取、存储与分析工具。 4）自动智能分析工具。 5）证据可视化(技术)工具。 6）取证的工具和过程标准化。 * 计算机系统安全原理与技术(第3版) * 8.5 入侵追踪8.5.1 IP地址追踪 netstat命令 日志数据 捕获原始数据报文 有哪些信誉好的足球投注网站引擎 * 计算机系统安全原理与技术(第3版) * 8.5 入侵追踪8.5.2 攻击源追踪 入口过滤(Ingress Filtering) 链路测试(Link Testing) 日志记载(Logging) ICMP追踪方法 报文标记(Packet Marking)追踪 * 计算机系统安全原理与技术(第3版) * 在线教务辅导网： 更多课程配套课件资源请访问在线教务辅导网 馋死 PPT研究院 POWERPOINT ACADEMY * * 计算机系统安全原理与技术(第3版) 计算机系统安全原理与技术(第3版) 第8章 应急响应与灾难恢复 * 计算机系统安全原理与技术(第3版) * 本章主要内容 应急响应 容灾备份和恢复 网站备份与恢复系统实例 计算机取证 入侵追踪 * 计算机系统安全原理与技术(第3版) * 8.1 应急响应8.1.1 应急响应的概念 “应急响应”对应的英文是“Incident Response”或“Emergency Response”等 通常是指一个组织为了应对各种安全事件的发生所做的准备以及在事件发生后所采取的措施。 * 计算机系统安全原理与技术(第3版) * 8.1 应急响应8.1.2 应急响应组织 美国国防部于1989年资助卡内基梅隆(CMU)大学建立了世界上第一个计算机应急响应小组(Computer Emergency Response Team，CERT)及协调中心(CERT/CC)。 为了各响应组之间的信息交换与协调，1990年11月，由美国等国家应急组织发起，一些国家的CERT组织参与成立了计算机事件响应与安全工作组论坛FIRST(Forum of Incident Response and Security Teams)。 * 计算机系统安全原理与技术(第3版) * 8.1 应急响应8.1.2 应急响应组织 国内建立的应急处理组织包括： 国家互联网应急中心(CNCERT/CC) 国家计算机病毒应急处理中心 国家计算机网络入侵防范中心 中国教育和科研网紧急响应组(CCERT)等。 完成习题11 * 计算机系统安全原理与技术(第3版) * 8.1 应急响应8.1.3 应急响应体系研究 * 计算机系统安全原理与技术(第3版) * 8.2 容灾备份和恢复8.2.1 容难备份与恢复的概念 1. 容灾备份的概念 容灾备份是指利用技术、管理手段以及相关资源确保既定的关键数据、关键数据处理信息系统和关键业