对商业和法律的挑战:1、多租户与资源共享2、多个司法管辖区。香港法官在研究知识产权和盗版的问题,一旦涉及到这个问题,这个服务器在国内,或者在其他国家,这个问题就解决不了了。我们国内也同样涉及到这些问题,涉及到打击网络服务器的时候,这个服务器在国外,也是很难处理,当然通过一些国际合作,国际警方的合作联盟,也能够解决一部分问题,但有些也涉及到不同类型的案件。所以,司法管辖权,特别在云那么多的服务器,他不只是分布在一个地方。刚才说到这个国际云,不同云组合到一起,形成一个更大的云,这个主要分布在各个国家。像国内的北京、天津、上海、重庆都是在建自己的云,他们将来会不会有应用的整合,或者之间有交叉,这也是有可能的。
3、电子举证。就算是拿到了其中的数据,但是因为云状态下,它的数据都是动态的,数据没有一个稳固的状态,不像我们的硬盘,我们做了固定以后,硬盘数据是不会变的,在云上没有第二次重复的条件,我们获取到数据,这次在这个时间是这些状态,一分钟之后可能就是另外一种状态,怎么保持它的有效性,这也是一个问题。
4、第三方依赖性。他需要第三方,第三方有可能涉及到他的服务提供商,也有可能涉及到第三方的见证机构,或者做一些行为分析,可能通过一个足够不足以表述正确性和合法性。所以更多的机构介入,可能会有更好的效果,比如说司法见证机构和公正机构,或者一些信息安全认证机构等等,几家机构共同对云上的一些问题做一些研究,或者是在取证环节中,几家机构协同来做,可能会有一些更好的效果。
传统的设备取证,我们可能用到这些设备,硬盘,可以保证一是在速度上,硬盘现在越来越大,怎么对数据快速的固定,硬盘的快速固定,我们需要使用一些硬盘的快速固定设备。
数据分析软件,综合使用不同的工具,对同一个案件进行分析。
数据获取功能,大家对工具有了解,对将来云的问题就会有更好的认识。软件、硬件,第一个最重要的功能就是数据获取,他能够把数据有效的用法律能接受的格式和方法,来去给它固定下来。固定下来之后,为了保证数据的有效性,他需要一些校验的方法,无论是MDI,还是SHAI5,SHAI6,它都可以保证证据的唯一性。做了取证之后,只要里面有一个字节,或者一个01发生了改变,这个证据值就不一样了,这是取证里面所主要采用的校验的方式。
数据恢复功能,这个数据可能被删除了,比如说Dropbox,他云上的数据得不到,但是通过对嫌疑人本地的计算机做了分析之后,让他本地和云端的同步的数据,是可以在本地恢复过来的,这样我们就能了解到他在云上存了什么设备,以及他做了哪些方面的操作。
关健词搜索功能,这个和Windows和Google,特别是使用苹果的用户,类似的索引和搜索,类似的一种方法,只不过这种专业的软件,它的搜索所支持的代码和语种会越来越多。
文件过滤功能,我们如何快速找到我们想要的文件,word文件,是去年1月1号生成的,其中大小,通过一些组合条件把数据快速找到。
审计功能,在分析过程中对数据进行审计,为了最终提交给法庭的时候,能够被法庭所接受,能够再回现我们当初分析的流程。
肤色图片检测,特别是对于一些图片,有人像和肤色图片的检测。
事件及联络关系,数据什么时候发送的,发送到什么地方,之间是什么关系,这些人是什么关系,我们可以通过一个比较清楚的图来展现事件人关系。
数据自动分类,涉及的类型有多少,是不是真实的文件类型,有多少加密的,有多少聊天记录等等,都可以通过分类的方式解决。
快速查找特定类型文件,这个也是通过分类来解决邮件,表格等等。
云时代对技术的挑战和影响,云时代它的难度只是在于数据的获取和固定,后期对于数据分析这块,和传统的方法差别不大,主要的问题从这儿可以看到一些。传统的取证方法,没法反映完整的云上面的数据,而且在云端的某个服务器,或者某个虚拟机被关闭之后,也可能会造成所关注的数据丢失。
对于取证这一块,我们将来关注的,如果涉及到事件的发生,应该从几个方面研究:1、客户端,本地这台机器的数据,这个人,这是要关注的,但是能不能找到这个人我们再说。但是一旦我找到你的数据之后,就类似Dropbox这样,我可以通过分析硬盘,来找到其中一些云的痕迹。
2、网络ISP 3、服务器端。服务器端和SP的提供商,云的服务商来合作,他们在建立云的时候,对本身的系统比较了解,对本身的管理软件、管理方式和内容数据了解的比较多,这是一个可以研究的方向,但是这不是任何一个机构可以做的,有可能只有执法部门才有这个权利。比如说调一个263的服务器邮件,肯定不是个人未来要做。
4、综合分析电子取证的3R原则:完整性、关联性、可靠性。只有这三个条件满足了,你所做的一些,从获取的数据,加上后期提供的结果,都可以是有效的。
基于动态代理的监控与取证,网络黑匣子的方式,来解决网络所涉及到的一些问题,通过扎包、分析等等解决这些问题。
云端运算取证流程:1、确定取证的目的。因为每个事件都不一样,出现一个问题之后,要通过分析这个问题,找到这个是涉及到哪些问题,之后就可以确定后期的设备在哪儿。
2、确定云端服务类型(云端设备、云端平台、云端软件)
3、确定背后使用的技术类型不同类似在取证中的机遇与挑战,时间有限,就不多说了。
对于云搭建这种平台也好,前一段在重庆正在讨论的云建立,在这个期间我们也讨论了如何防范,或者如何通过事先的准备,来去应对后期遇到的各种事件和风险。这是中科院高能所提供的一个证据解决方案,中科院高能所信息安全中心的杨森林博士,他提出了这么一个理论,对于搭建一个云中云,也是其中的一个环境而已,把事先我们担心未来发现的一些问题或一些痕迹预置等等东西,不断的搜集,做准备,分析,一旦有应急事件发生之后,对这些数据进行分析。实际上,也可以在事件的发生之前,可以通过这种方法来做一些预防,获得一些预警,保护这些企业不发生将来可能会出现的安全事件。
预防这个概念在国外是很关注的,如果被企业面临将来的风险,或者面临将来的司法诉讼官司问题的时候,如果你没有事先准备,你的准备不全面,将来面对法律纠纷的时候,对没有准备的企业带来麻烦。把取证的概念加进去,作为你未来的预防,将是对后期信息安全、云安全比较好的准备。
此外,我们还应该有一些机构,一些政府部门,和一些学术机构制定标准,为快速反映和事件的预警做准备,还有一些从平台的搭建上,为后期的拓展做一些基础。
总体,就这么多,简单介绍这么多,如果将来想了解更多的取证问题,无论单机取证、网络取证、互联网,包括云的一些探讨,因为云这一块我也在做一些初步的研究,目前也没有完整的安全方案,目前在云的技术下,来成功的应用,希望后期能跟大家有更多的交流。郭永健:今天的讨论的话题除了云计算时代的网络安全,其实我主要研究的是计算机取证技术,类似于大家所熟识的司法鉴定,电子数据的鉴定,我们是研究单机状态下、网络状态下、互联网,以及未来云计算方向下的如何对电子数据的防护和证据保全,为了企业或者是个人提供这方面的一个方法和支持。
(责任编辑:)
