探討信息系統(tǒng)審計證據(jù)生成系統(tǒng)模型及簽名算法_第1頁
探討信息系統(tǒng)審計證據(jù)生成系統(tǒng)模型及簽名算法_第2頁
探討信息系統(tǒng)審計證據(jù)生成系統(tǒng)模型及簽名算法_第3頁
探討信息系統(tǒng)審計證據(jù)生成系統(tǒng)模型及簽名算法_第4頁
探討信息系統(tǒng)審計證據(jù)生成系統(tǒng)模型及簽名算法_第5頁
已閱讀5頁,還剩2頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、探討信息系統(tǒng)審計證據(jù)生成系統(tǒng)模型及簽名算法            探討信息系統(tǒng)審計證據(jù)生成系統(tǒng)模型及簽名算法    2012-1-9 17:07:18                        &

2、#160;                        關(guān)鍵詞: 計算機取證;系統(tǒng)整體保護;完整性保護;摘要:對信息系統(tǒng)下計算機取證工作的需求進行分析,提出了信息系統(tǒng)審計證據(jù)生成系統(tǒng)模型。該模型解決了信息系統(tǒng)審計數(shù)據(jù)作為電子證據(jù)時存在的完整性保護不足問題,為依據(jù)GB/T 25070-2010信息安全技術(shù) 信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求建設(shè)的信息系統(tǒng)增加帶有時間戳的

3、審計證據(jù)完整性保護功能,可以在不修改信息系統(tǒng)審計數(shù)據(jù)原保存格式的前提下,使系統(tǒng)審計數(shù)據(jù)滿足電子證據(jù)取證需要。該模型采用簡單時間戳協(xié)議和審計數(shù)據(jù)分組簽名算法,有效降低了審計證據(jù)生成系統(tǒng)對網(wǎng)絡(luò)帶寬和存儲空間資源的占用。1引言計算機證據(jù)已經(jīng)成為司法工作中常見的證據(jù)類型,重要信息系統(tǒng)中的各類審計信息,都可能在網(wǎng)絡(luò)安全事件中成為計算機證據(jù)。計算機證據(jù)具有數(shù)字性、技術(shù)性、脆弱性、多態(tài)性、人機交互性、復(fù)合性等特點,其中脆弱性特點是指:計算機中的證據(jù)信息容易被修改,并且對其進行修改后可以做到不留痕跡。鑒于計算機證據(jù)的這一特點,證據(jù)生成技術(shù)不但要為證據(jù)數(shù)據(jù)內(nèi)容提供完整性保護,更要為產(chǎn)生證據(jù)數(shù)據(jù)的時間信息提供完整

4、性保護。如何將計算機取證工作與信息系統(tǒng)整體保護技術(shù)緊密結(jié)合,在系統(tǒng)整體保護環(huán)境下對審計數(shù)據(jù)進行合法有效的調(diào)查取證,成為當前計算機取證工作中的熱點問題之一。2信息系統(tǒng)整體保護環(huán)境下的審計數(shù)據(jù)管理國家標準GB/T 25070-2010信息安全技術(shù) 信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求為系統(tǒng)整體保護環(huán)境的設(shè)計實現(xiàn)提供了技術(shù)指導(dǎo),該標準對第二級以及第二級以上信息系統(tǒng)的安全管理中心提出了審計管理功能要求3。在該標準的信息系統(tǒng)整體保護技術(shù)體系結(jié)構(gòu)中,本文來自論文之家:,轉(zhuǎn)載請保留此標記規(guī)定計算環(huán)境、通信網(wǎng)絡(luò)、區(qū)域邊界等信息系統(tǒng)各組成部分的審計日志,需通過審計子系統(tǒng)傳送至信息系統(tǒng)安全管理中心,進行統(tǒng)一集中管理。

5、標準的這一要求體現(xiàn)了系統(tǒng)整體保護思想,避免了信息系統(tǒng)計算節(jié)點、區(qū)域邊界等組件被外來攻擊者入侵、破壞后危及審計數(shù)據(jù)安全。但審計管理系統(tǒng)允許管理員對審計數(shù)據(jù)進行備份、刪除,因此在安全事件發(fā)生后,審計數(shù)據(jù)內(nèi)容仍有可能被系統(tǒng)內(nèi)部管理人員選擇性刪改,或通過修改系統(tǒng)時間等手法偽造審計記錄,使得審計數(shù)據(jù)作為電子證據(jù)的可信度受到質(zhì)疑。因此,需要為信息系統(tǒng)增強審計數(shù)據(jù)完整性保護功能,將審計數(shù)據(jù)自動轉(zhuǎn)化為審計證據(jù),使審計數(shù)據(jù)的完整性保護強度滿足電子證據(jù)的取證需要。3 傳統(tǒng)計算機取證技術(shù)完整性保護能力分析3.1傳統(tǒng)計算機取證技術(shù)傳統(tǒng)信息系統(tǒng)中,計算機取證工作通常在安全事件發(fā)生后,使用EnCase等取證工具,直接在被

6、取證計算機上采集電子證據(jù)4,并在取證時刻形成與證據(jù)內(nèi)容相關(guān)聯(lián)的時間戳簽名,為計算機證據(jù)提供完整性保護。將原始數(shù)據(jù)生成的時刻記為T0,調(diào)查取證時刻記為T1。通常T1時刻與T0時刻之間相隔數(shù)周甚至數(shù)月,該方法生成的計算機證據(jù),僅能證明在取證時刻T1之后,證據(jù)數(shù)據(jù)的完整性未被破壞,無法保護證據(jù)數(shù)據(jù)生成時刻T0到T1之間的時間段內(nèi)證據(jù)數(shù)據(jù)的完整性,因此傳統(tǒng)取證方法在證據(jù)數(shù)據(jù)完整性保護方面存在缺陷。3.2傳統(tǒng)取證技術(shù)直接應(yīng)用于系統(tǒng)整體保護環(huán)境將傳統(tǒng)計算機取證方法在系統(tǒng)整體保護環(huán)境中進行應(yīng)用,其工作方式由直接在安全事件發(fā)生主機取證,改為在信息系統(tǒng)安全管理中心針對審計數(shù)據(jù)進行調(diào)查取證。將原始數(shù)據(jù)生成的時刻記

7、為T0,審計信息保存至安全管理中心的時刻記為T1,調(diào)查取證時刻記為T2。信息系統(tǒng)中各節(jié)點的審計日志由審計子系統(tǒng)實時傳送并保存在安全管理中心,因此可視為T0= T1。該方法與3.1節(jié)方法存在相同問題,由于無法證明在T2與T0之間作為證據(jù)的審計數(shù)據(jù)未被篡改,所以傳統(tǒng)取證方法在系統(tǒng)整體保護環(huán)境下依然存在證據(jù)數(shù)據(jù)完整性保護缺陷。4信息系統(tǒng)審計證據(jù)生成系統(tǒng)模型由3.2節(jié)的分析可以了解到,解決計算機取證工作中的完整性保護問題,關(guān)鍵在于從原始數(shù)據(jù)生成時刻起為證據(jù)信息提供完整性保護。圖1帶有時間戳的審計數(shù)據(jù)完整性保護技術(shù)如圖1所示,本文通過將時間戳簽名機制引入信息系統(tǒng)的審計子系統(tǒng),在審計數(shù)據(jù)生成后的第一時間為

8、其進行時間戳簽名。通過數(shù)字簽名為數(shù)據(jù)生成時間提供完整性保護56,使證據(jù)數(shù)據(jù)的完整性有效證明時間提前到時間戳簽名時間T1,由于系統(tǒng)對原始審計數(shù)據(jù)實時進行傳輸、存儲,所以T1等效于原始數(shù)據(jù)生成時刻T0,即解決了3.2節(jié)所述方法存在的問題,審計數(shù)據(jù)可以被直接作為證據(jù)數(shù)據(jù),實現(xiàn)系統(tǒng)整體保護環(huán)境下的審計證據(jù)生成。圖2給出了信息系統(tǒng)審計證據(jù)生成系統(tǒng)模型,該模型利用信息系統(tǒng)外的第三方公證機構(gòu)提供的時間戳服務(wù),對原始數(shù)據(jù)進行實時簽名,然后將簽名數(shù)據(jù)與原始審計數(shù)據(jù)一起保存。在調(diào)查取證時,同時提取審計數(shù)據(jù)和相應(yīng)的數(shù)字簽名,通過校驗數(shù)字簽名的有效性,證明審計數(shù)據(jù)從產(chǎn)生時刻起未被篡改。圖2 信息系統(tǒng)審計證據(jù)生成系統(tǒng)模

9、型5審計數(shù)據(jù)分組簽名算法信息系統(tǒng)運行過程中,會產(chǎn)生大量審計信息,大型應(yīng)用系統(tǒng)的審計數(shù)據(jù)量可達每日數(shù)十GB。每次時間戳簽名請求需要額外完成審計數(shù)據(jù)摘要值和時間戳簽名兩次網(wǎng)絡(luò)數(shù)據(jù)傳輸,每個時間戳簽名的存儲需要消耗與被簽名原始數(shù)據(jù)相當?shù)拇鎯臻g。如果為審計系統(tǒng)生成的每一條審計記錄單獨生成一個時間戳簽名,系統(tǒng)對網(wǎng)絡(luò)帶寬的占用量將達到原值的3倍,存儲大量時間戳簽名將導(dǎo)致審計記錄存儲空間達到原系統(tǒng)的2倍,因此需要在不影響審計數(shù)據(jù)的證據(jù)效力的前提下,盡可能縮減審計證據(jù)生成系統(tǒng)所產(chǎn)生的網(wǎng)絡(luò)帶寬與存儲空間資源占用。        :  

10、60;      探討信息系統(tǒng)審計證據(jù)生成系統(tǒng)模型及簽名算法    2012-1-9 17:07:18                                 &

11、#160;                本文采用限制時間戳簽名請求頻率的方法提高信息系統(tǒng)審計證據(jù)生成系統(tǒng)運行效率,減少資源占用。算法1審計數(shù)據(jù)分組摘要值算法輸入:原始審計數(shù)據(jù)輸出:審計數(shù)據(jù)分組摘要值方法:(1)    記錄當前時間為t;(2)    從審計數(shù)據(jù)庫中取最大簽名組號Gmax,計算當前簽名組組號G=Gmax+1;(3)    查詢是否接收到新審計

12、數(shù)據(jù),若無數(shù)據(jù)則轉(zhuǎn)(5);(4)    將審計數(shù)據(jù)和對應(yīng)簽名組組號保存到審計數(shù)據(jù)庫;(5)    計算 t=tnow-t ,其中tnow為當前時間,如果t小于一個簽名組的時間間隔,則轉(zhuǎn)(3),否則轉(zhuǎn)(6);(6)    對該組審計數(shù)據(jù)整體計算摘要值。審計數(shù)據(jù)分組簽名算法將系統(tǒng)在t時間段內(nèi)產(chǎn)生的所有審計數(shù)據(jù)歸為同一個簽名組,每組審計數(shù)據(jù)生成一個分組摘要值,共用同一個時間戳。當簽名組內(nèi)日志數(shù)據(jù)被修改、刪除或日志數(shù)據(jù)的順序被人為調(diào)整時,審計數(shù)據(jù)分組摘要值會發(fā)生變化,通過時間戳簽名進行完整性驗證會發(fā)現(xiàn)該審計數(shù)據(jù)分

13、組內(nèi)的證據(jù)數(shù)據(jù)異常。國家標準GB/T 25070-2010信息安全技術(shù) 信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求附錄B給出了信息系統(tǒng)審計記錄的參考數(shù)據(jù)結(jié)構(gòu)定義3。typedef struct tagAudit_RecordUINT16  NodeID;UINT16  iType;UINT32  Time;ALABEL SubLabel;ALABEL ObjLabel;UINT16  Bret;Byte        Reserved6; Audit_Record;其中,Reserved字段的用

14、途是保留字段,本文采用該字段保存審計數(shù)據(jù)分組的組號,將組號對應(yīng)的時間戳數(shù)字簽名另行儲存。該方法充分利用了國家標準GB/T 25070-2010中為審計子系統(tǒng)預(yù)留的數(shù)據(jù)存儲字段,在不修改信息系統(tǒng)原有審計記錄數(shù)據(jù)結(jié)構(gòu)的基礎(chǔ)上,實現(xiàn)了降低存儲空間需求的目標,由于該方法無需對信息系統(tǒng)的其他審計功能相關(guān)組件進行任何代碼修改,使信息系統(tǒng)審計證據(jù)生成系統(tǒng)具備良好的兼容性。6 實驗結(jié)果及分析時間戳簽名對數(shù)據(jù)完整性保護的有效性已經(jīng)得到了廣泛認可789,因此本文針對信息系統(tǒng)審計證據(jù)生成系統(tǒng)的資源占用情況進行實驗分析。實驗中每個簽名組的時間間隔t設(shè)置為1分鐘,在多種審計數(shù)據(jù)生成速率條件下,分別測試信息系統(tǒng)審計證據(jù)生

15、成系統(tǒng)對網(wǎng)絡(luò)帶寬和存儲空間的占用情況。審計數(shù)據(jù)量(條/ 分鐘)表1 信息系統(tǒng)審計子系統(tǒng)資源占用情況由實驗結(jié)果可以發(fā)現(xiàn),審計證據(jù)生成系統(tǒng)額外產(chǎn)生的網(wǎng)絡(luò)包個數(shù)與存儲空間占用量只與時間相關(guān)。單位時間內(nèi)審計數(shù)據(jù)量越大,審計證據(jù)生成系統(tǒng)對網(wǎng)絡(luò)帶寬和存儲空間造成的額外消耗比例就越小。在每分鐘600條審計數(shù)據(jù)的模擬系統(tǒng)中,審計證據(jù)生成系統(tǒng)為網(wǎng)絡(luò)帶寬和存儲空間帶來的資源占用增長比例僅為0.33%和0.17%,因此審計證據(jù)生成系統(tǒng)的部署不會給信息系統(tǒng)網(wǎng)絡(luò)和存儲資源造成明顯影響。7 結(jié)束語計算機取證是重要信息系統(tǒng)設(shè)計與建設(shè)工作中必須考慮的安全功能,本文在信息系統(tǒng)整體保護技術(shù)體系結(jié)構(gòu)基礎(chǔ)上,提出了一種新的計算機證據(jù)

16、生成技術(shù),該技術(shù)可以為電子證據(jù)的內(nèi)容、生成時間、生成順序等關(guān)鍵因素提供完整性保護,消除了電子證據(jù)在證據(jù)數(shù)據(jù)形成時刻至證據(jù)提取時刻之間存在的完整性保護空白。該方法與國家標準GB/T 25050-2010信息安全技術(shù) 信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求相兼容,以微小的網(wǎng)絡(luò)帶寬和附加數(shù)據(jù)存儲空間代價在信息系統(tǒng)中實現(xiàn)了審計數(shù)據(jù)取證功能。參考文獻:丁麗萍,王永吉.計算機取證的相關(guān)法律技術(shù)問題研究,軟件學(xué)報,2005,16(2):260-275.鄭捷文,許榕生,楊澤明.計算機取證平臺研究J,通訊和計算機,2005,2(4):29-34.3 GB/T 25070-2010.信息安全技術(shù) 信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求S.4 胡亮,王文博,趙闊.計算機取證綜述J吉林大學(xué)學(xué)報(信息科學(xué)版), 2010,28(04) :378-384.5張科偉,唐曉波.時間戳協(xié)議研究J,計算機應(yīng)用研究,2004,10:100-103.6美 Andrew Nash, Wil

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論