- 1、本文档共9页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
教案 《HCNA-Security实现与管理》
授课周次与课时:第13周第53-56课时累计4课时
课程名称:HCNA-Security实现与管理
授课课题:电子取证、网络安全应急响应
教学目标:
了解电子取证的过程
了解电子取证的技术原理
掌握使用电子取证的相关工具
掌握电子取证的过程
了解网络安全应急响应的产生背景
了解网络安全应急响应的新趋势
掌握网络安全应急响应的处理流程
教学要点:
1.教学重点:电子取证技术原理
2.教学难点:网络安全应急响应处理流程
课型:理实一体课
教学与学法(教具):多媒体
教学过程
【新课引入/温故知新】
随着信息技术的不断发展,计算机越来越多地参与到人们的工作与生活中。与计算机相关的法庭案例,如电子商务纠纷、计算机犯罪等也不断出现。判定或处置各类纠纷和刑事案件过程中,一种新的证据形式——电子证据,逐渐成为新的诉讼证据之一。电子证据本身和取证过程的许多有别于传统物证和取证方法的特点,对司法和计算机科学领域都提出了新的研究课题。
【新课讲授】
1电子取证概览
1.1计算机犯罪
行为人违反国家规定,故意侵入计算机信息系统,或者利用各种技术手段对计算机信息系统的功能及有关数据、应用程序等进行破坏;制作、传播计算机病毒;影响计算机系统正常运行且造成严重后果的行为。
计算机犯罪无外乎以下两种方式:利用计算机存储有关犯罪活动的信息;直接利用计算机作为犯罪工具进行犯罪活动。
1.2电子取证
安全运营涉及方方面面的要求,如图1所示为安全运营的基本运营条件:电子证据(ElectronicEvidence)是指在计算机或计算机系统运行过程中产生的,以其记录的内容来证明案件事实的电磁记录物,如图1所示。
电子证据亦称为数字证据、计算机证据等。
图1安全运营基本条件
1.3电子证据来源
司法实践中常见的电子证据可分为三类,如图2所示:
与现代通信技术有关的电子证据;
与广播技术、电视技术、电影技术等其他现代信息技术有关的电子证据;
与计算机技术或网络技术有关的电子证据。
图2电子证据来源
1.4电子证据特点
图3电子证据特点
2电子证据来源
2.1取证原则
图4取证原则
2.2保护现场
根据电子证据的特点,在进行计算机取证时,首先要尽早搜集证据,并保证其没有受到任何破坏。取证工作一般按照如图5所示的步骤进行。
图5业务连续性基本步骤
2.3获取证据
搜索目标系统中的所有文件。包括现存的正常文件,已经被删除但仍存在于磁盘上(即还没有被新文件覆盖)的文件,隐藏文件,受到密码保护的文件和加密文件。
2.4保全证据
取证过程中避免出现任何更改系统设置、损坏硬件、破坏数据或病毒感染的情况,确保证据出示时仍是初始状态,如图6所示。
图6调查取证
2.5鉴定证据
解决证据的完整性验证和确定其是否符合可采用标准,如图7所示。
图7证据鉴定标准
电子数据司法鉴定是一种提取、保全、检验分析电子数据证据的专门措施。也是一种审查和判断电子数据证据的专门措施。它主要包括电子数据证据内容一致性的认定、对各类电子设备或存储介质所存储数据内容的认定、对各类电子设备或存储介质已删除数据内容的认定、加密文件数据内容的认定、计算机程序功能或系统状况的认定、电子数据证据的真伪及形成过程的认定等。
2.6分析证据
证据分析技术:在已经获取的数据流或信息流中寻找、匹配关键词或关键短语,分析事件的关联性,具体包括:密码破译、数据解密、文件属性分析、数字摘要分析、日志分析技术、反向工程等。
2.7进行跟踪
随着计算机犯罪技术手段的升级,取证已与入侵检测等网络安全工具相结合,进行动态取证,追踪的目的是找到攻击源,攻击源包括:设备来源、软件来源、IP地址来源等。
?取证追踪技术包括:日志分析、操作系统日志、防火墙日志、应用软件日志等。
?设置陷阱(蜜罐):可以通过采用相关的设备跟踪捕捉犯罪嫌疑人。
2.8出示证据
将证据标明提取时间、地点、设备、提取人及见证人,然后以可见的形式按照合法的程序提交给司法机关,并提供完整的监督链。
3网络基础设备
3.1网络安全应急响应的产生
1988年11月发生的莫里斯蠕虫病毒事件(MorrisWormIncident)致使当时的互联网络超过10%的系统不能工作。该案件轰动了全世界,并且在计算机科学界引起了强烈的反响。
为此,1989年,美国国防部高级研究计划署资助卡内基·梅隆大学建立了世界上第一个计算机紧急响应小组(ComputerEmergencyResponseTeam,简称CERT)及协调中心(CERT/CC)。
此外,中国还成立了一些专业性的应急组织,如国家计算机网络入侵防范中心、国家863计划法计算机入侵和防病毒研究中心等。并且许多公司也都展开了网络安全救援相关
您可能关注的文档
- 信息安全技术(HCIA-Security) 教案 第1次课-信息安全基础概念、信息安全规范简介.doc
- 信息安全技术(HCIA-Security) 教案 第5次课-主机防火墙和杀毒软件.doc
- 信息安全技术(HCIA-Security) 教案 第10次课-加密与解密原理.doc
- 信息安全技术(HCIA-Security) 教案 第11次课-PKI证书体系.doc
- 信息安全技术(HCIA-Security) 教案 第15次课-案例研讨.doc
- 信息安全技术(HCIA-Security) 教案 第16次课-复习.doc
- 信息安全技术(HCIA-Security) 教案全套 刘洪亮 第1--16次课 信息安全基础概念、信息安全规范简介 ---复习.doc
- 智能制造装备与集成 课件 01 智能制造技术概论.pptx
- 智能制造装备与集成 课件 02 智能制造架构与装备.pptx
- 智能制造装备与集成 课件 03 智能制造关键技术.pptx
文档评论(0)