今日頭條
官方微信
官方抖音
資訊頻道一、云環境下的安全問題與云取證的提出
云計算已經成為IT基礎設施建設的首選,同時云安全問題越來越突出。云計算平臺由于用戶、信息資源的高度集中,更易成為網絡攻擊的目標。CNCERT發布的《2018我國互聯網網絡安全態勢綜述》中指出,云平臺現已成為發生網絡攻擊的重災區,在各類型網絡安全事件數量中,云平臺上的DDoS攻擊次數、被植入后門的網站數量、被篡改網站數量均占比超過50%,安全形勢異常嚴峻。
網絡安全沒有銀彈,云安全亦是如此,云安全事件時有發生,防不勝防,這就需要電子數據取證來進行事后追責和懲治。電子數據取證技術也是云計算環境下對各種惡意行為進行調查取證、追究法律責任不可或缺的技術手段,可用于威懾和打擊各類云犯罪活動,維護用戶正當權益。此外,《網絡安全法》強化了網絡運營商的責任和義務,確定了網絡運營商在網絡安全維護中的主體責任地位,云取證技術是云服務運營商履行主體責任的主要技術手段之一。
二、電子數據取證與云取證
電子數據取證是指科學地運用提取和證明方法,對于從電子數據源提取的電子證據進行保護、收集、驗證、鑒定、分析、解釋、存檔和出示,以有助于進一步的犯罪事件重構或者幫助識別某些與計劃操作無關的非授權性活動。
其中,保護是指對于電子數據證據源的環境、介質、系統、文檔等進行的最大限度地保護,以保證證據的充分性。收集是指對于電子數據證據的收取、采集、獲取等。驗證是指對于獲取的電子數據進行校驗和證明,確定其真偽、生成或修改的時間、地點、責任人、工具等,以確定其可采用性。鑒定是指是指鑒定人運用信息學、物理學以及電子技術的原理和技術手段,對訴訟涉及的電子數據進行恢復、鑒別和判斷,并提供鑒定意見。分析是指對于獲取的含有電子數據證據的數據采用適當的統計分析方法進行分類、分層、搜索、過濾、恢復、可視化等,為提取有用信息和形成結論而對數據加以詳細研究和概括總結的過程。解釋是指要把電子數據證據及相關的環境、人員等以能夠理解的方式表達出來。存檔是指電子數據取證過程中對一些重要數據的存檔,包括原數據的存檔和內容數據的存檔。出示是指把電子數據證據呈現在需要的場合的行為。一般而言,需要按照法律法規和規章的要求進行呈現。
云取證是針對云計算的犯罪進行的電子數據取證過程,是電子數據取證技術在云計算環境這樣一個特定場景下的應用。
Ruan K教授從三個維度對云取證領域相關問題進行劃分,包括技術、組織和法律。技術維度主要涉及在云計算環境中進行電子數據取證的具體過程和試用的技術和工具。組織維度主要指云計算環境中包含的角色,包括云服務提供商、云服務用戶、云服務中介、審計人員和取證人員,不同的角色在云取證活動中的職責不同,他們之間的交互可以促進云取證的實施。法律維度主要關注在涉及跨多個管轄區的法律問題。2017 年,云安全聯盟(CSA,Cloud Security Alliance)發布的《云計算關鍵領域安全指南V4.0》將云取證作為云計算發展的重點關注領域提出。但由于云計算基礎設施規模龐大,服務種類多樣,并具有分布性、虛擬性和共享性等特點,云取證面臨著巨大挑戰。
三、云取證技術面臨的挑戰
1. 云環境下數據多采用分布式存儲,數據文件被分割成數據塊,存儲于不同的數據中心,甚至跨司法管轄范圍,導致了數據定位和提取的困難。
2. 虛擬化技術使得多個用戶共享同一個或多個物理設備,針對物理設備的取證將威脅到無關用戶的數據安全。
3. 虛擬化技術中資源的回收和再分配頻繁,導致很多云平臺中的數據成為易失性數據,一旦被釋放回收,相關的數據就難以恢復。
4. 由于云計算中資源的所有權、管理權和使用權的分離使得用戶失去了對物理資源的額直接控制,也失去對網絡環境的控制,無法從用戶層面進行網絡取證。
5. 云環境下安全運維一直是行業痛點,云平臺用戶規模巨大,云取證同樣面臨著運維復雜、響應不及時的難題。
四、云取證技術領域的研究熱點
1. 云取證模型的研究
傳統的電子數據取證模型主要適用于計算機取證和網絡取證,難以直接應用于云環境,因為云取證不同于一般的計算機取證或網絡取證環境,其獲取、傳輸、存儲和分析都要遵循一定的原則和步驟,否則無法保證電子證據的真實性、相關性與合法性,從而無法滿足電子證據的可采用性標準,為此需要進行云計算環境下的取證模型研究。云取證模型的研究一方面需要針對云計算環境的特點指導取證人員從海量的數據中識別電子證據,定位電子數據所在虛擬機的物理位置,采取合理可行的證據收集策略與方法,并提供云計算環境下有效的證據分析方法,另一方面需要論證取證模型滿足電子證據的三性。針對云取證模型的研究很多,但是目前尚沒有給出綜合性、整體性的取證策略與實施方法,不足以指導云環境下的取證工作。設計云取證模型依然是當前云取證研究的主要方向之一,對于云取證工作具有重要的指導意義。
2.云環境中電子數據的提取技術研究
云環境中的電子數據提取是在證據獲取階段,取證調查者借助取證工具對云環境中涉及案件的電子數據的收集過程。由于云計算具有分布性和虛擬性等特性,傳統的基于單機的證據提取方法存在諸多局限,云環境中電子數據的提取一直是云取證的熱點和難點問題。如轟動一時的e租寶一案,丁寧等人通過“e租寶”互聯網平臺發布虛假的融資租賃債權和個人債權項目,以承諾還本付息為誘餌,通過媒體等途徑向社會公開宣傳,非法吸收公眾資金。該e租寶平臺就是搭建在云平臺中,為了進行調查取證,公安機關調取了300多臺虛擬服務器,但是光調取這些服務器就耗時半年,嚴重影響調查進展。解決云平臺電子數據的提取難題迫在眉睫。目前的研究思路主要包括通過分層將傳統的取證工具整合進云平臺中實現實時證據提取,虛擬機的電子數據自動化提取技術,以及作為補充的客戶端本地緩存數據的提取等。然而這些方法普遍存在存儲開銷和性能負載過高、運維困難而難以落地實施等問題,需要進一步深入的研究。
3.云環境中電子數據的分析技術研究
云環境中的電子數據分析是指取證調查者借助分析工具、分析算法對涉案電子數據進行分析的過程,主要包括數據源的分析、數據恢復、事件重構、數據檢索等。而云環境中的涉案數據量巨大、數據格式眾多、多源證據時間戳不一致、網絡環境復雜等特性給證據的分析帶來挑戰。在筆者真實的司法鑒定技術服務中就常遇到提取的云環境中數據量太大、格式復雜,常規的取證分析工具難以支持的情況。面對數據量巨大的問題,目前的研究思路已經從分析所有的數據的取證思路轉變為借助機器學習的方法進行智能分析上來,而針對數據源分析困難,有研究者提出借助SDN網絡取證分析來實現網絡攻擊溯源等方法。然而目前提出的方法均存在局限性,難以有效解決目前的困境。云環境中電子數據的分析方法臻待進一步的研究。
五、總結
云取證作為云安全閉環中不可或缺的一環對云計算的發展起著舉足輕重的作用。隨著《網絡安全法》強化了網絡運營商的責任和義務,云取證也必將成為云平臺合理合法運營的重要保障。然而云取證技術尚處于發展階段,云取證實務面臨種種難題,還需要更加健全的國家法律法規和更加先進的云取證相關技術。
來源:中國信息安全
北京市公安局海淀分局備案號:11010802023656號