今日頭條
官方微信
官方抖音
資訊頻道一、云環(huán)境下的安全問(wèn)題與云取證的提出
云計(jì)算已經(jīng)成為IT基礎(chǔ)設(shè)施建設(shè)的首選,同時(shí)云安全問(wèn)題越來(lái)越突出。云計(jì)算平臺(tái)由于用戶、信息資源的高度集中,更易成為網(wǎng)絡(luò)攻擊的目標(biāo)。CNCERT發(fā)布的《2018我國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢(shì)綜述》中指出,云平臺(tái)現(xiàn)已成為發(fā)生網(wǎng)絡(luò)攻擊的重災(zāi)區(qū),在各類型網(wǎng)絡(luò)安全事件數(shù)量中,云平臺(tái)上的DDoS攻擊次數(shù)、被植入后門(mén)的網(wǎng)站數(shù)量、被篡改網(wǎng)站數(shù)量均占比超過(guò)50%,安全形勢(shì)異常嚴(yán)峻。
網(wǎng)絡(luò)安全沒(méi)有銀彈,云安全亦是如此,云安全事件時(shí)有發(fā)生,防不勝防,這就需要電子數(shù)據(jù)取證來(lái)進(jìn)行事后追責(zé)和懲治。電子數(shù)據(jù)取證技術(shù)也是云計(jì)算環(huán)境下對(duì)各種惡意行為進(jìn)行調(diào)查取證、追究法律責(zé)任不可或缺的技術(shù)手段,可用于威懾和打擊各類云犯罪活動(dòng),維護(hù)用戶正當(dāng)權(quán)益。此外,《網(wǎng)絡(luò)安全法》強(qiáng)化了網(wǎng)絡(luò)運(yùn)營(yíng)商的責(zé)任和義務(wù),確定了網(wǎng)絡(luò)運(yùn)營(yíng)商在網(wǎng)絡(luò)安全維護(hù)中的主體責(zé)任地位,云取證技術(shù)是云服務(wù)運(yùn)營(yíng)商履行主體責(zé)任的主要技術(shù)手段之一。
二、電子數(shù)據(jù)取證與云取證
電子數(shù)據(jù)取證是指科學(xué)地運(yùn)用提取和證明方法,對(duì)于從電子數(shù)據(jù)源提取的電子證據(jù)進(jìn)行保護(hù)、收集、驗(yàn)證、鑒定、分析、解釋、存檔和出示,以有助于進(jìn)一步的犯罪事件重構(gòu)或者幫助識(shí)別某些與計(jì)劃操作無(wú)關(guān)的非授權(quán)性活動(dòng)。
其中,保護(hù)是指對(duì)于電子數(shù)據(jù)證據(jù)源的環(huán)境、介質(zhì)、系統(tǒng)、文檔等進(jìn)行的最大限度地保護(hù),以保證證據(jù)的充分性。收集是指對(duì)于電子數(shù)據(jù)證據(jù)的收取、采集、獲取等。驗(yàn)證是指對(duì)于獲取的電子數(shù)據(jù)進(jìn)行校驗(yàn)和證明,確定其真?zhèn)巍⑸苫蛐薷牡臅r(shí)間、地點(diǎn)、責(zé)任人、工具等,以確定其可采用性。鑒定是指是指鑒定人運(yùn)用信息學(xué)、物理學(xué)以及電子技術(shù)的原理和技術(shù)手段,對(duì)訴訟涉及的電子數(shù)據(jù)進(jìn)行恢復(fù)、鑒別和判斷,并提供鑒定意見(jiàn)。分析是指對(duì)于獲取的含有電子數(shù)據(jù)證據(jù)的數(shù)據(jù)采用適當(dāng)?shù)慕y(tǒng)計(jì)分析方法進(jìn)行分類、分層、搜索、過(guò)濾、恢復(fù)、可視化等,為提取有用信息和形成結(jié)論而對(duì)數(shù)據(jù)加以詳細(xì)研究和概括總結(jié)的過(guò)程。解釋是指要把電子數(shù)據(jù)證據(jù)及相關(guān)的環(huán)境、人員等以能夠理解的方式表達(dá)出來(lái)。存檔是指電子數(shù)據(jù)取證過(guò)程中對(duì)一些重要數(shù)據(jù)的存檔,包括原數(shù)據(jù)的存檔和內(nèi)容數(shù)據(jù)的存檔。出示是指把電子數(shù)據(jù)證據(jù)呈現(xiàn)在需要的場(chǎng)合的行為。一般而言,需要按照法律法規(guī)和規(guī)章的要求進(jìn)行呈現(xiàn)。
云取證是針對(duì)云計(jì)算的犯罪進(jìn)行的電子數(shù)據(jù)取證過(guò)程,是電子數(shù)據(jù)取證技術(shù)在云計(jì)算環(huán)境這樣一個(gè)特定場(chǎng)景下的應(yīng)用。
Ruan K教授從三個(gè)維度對(duì)云取證領(lǐng)域相關(guān)問(wèn)題進(jìn)行劃分,包括技術(shù)、組織和法律。技術(shù)維度主要涉及在云計(jì)算環(huán)境中進(jìn)行電子數(shù)據(jù)取證的具體過(guò)程和試用的技術(shù)和工具。組織維度主要指云計(jì)算環(huán)境中包含的角色,包括云服務(wù)提供商、云服務(wù)用戶、云服務(wù)中介、審計(jì)人員和取證人員,不同的角色在云取證活動(dòng)中的職責(zé)不同,他們之間的交互可以促進(jìn)云取證的實(shí)施。法律維度主要關(guān)注在涉及跨多個(gè)管轄區(qū)的法律問(wèn)題。2017 年,云安全聯(lián)盟(CSA,Cloud Security Alliance)發(fā)布的《云計(jì)算關(guān)鍵領(lǐng)域安全指南V4.0》將云取證作為云計(jì)算發(fā)展的重點(diǎn)關(guān)注領(lǐng)域提出。但由于云計(jì)算基礎(chǔ)設(shè)施規(guī)模龐大,服務(wù)種類多樣,并具有分布性、虛擬性和共享性等特點(diǎn),云取證面臨著巨大挑戰(zhàn)。
三、云取證技術(shù)面臨的挑戰(zhàn)
1. 云環(huán)境下數(shù)據(jù)多采用分布式存儲(chǔ),數(shù)據(jù)文件被分割成數(shù)據(jù)塊,存儲(chǔ)于不同的數(shù)據(jù)中心,甚至跨司法管轄范圍,導(dǎo)致了數(shù)據(jù)定位和提取的困難。
2. 虛擬化技術(shù)使得多個(gè)用戶共享同一個(gè)或多個(gè)物理設(shè)備,針對(duì)物理設(shè)備的取證將威脅到無(wú)關(guān)用戶的數(shù)據(jù)安全。
3. 虛擬化技術(shù)中資源的回收和再分配頻繁,導(dǎo)致很多云平臺(tái)中的數(shù)據(jù)成為易失性數(shù)據(jù),一旦被釋放回收,相關(guān)的數(shù)據(jù)就難以恢復(fù)。
4. 由于云計(jì)算中資源的所有權(quán)、管理權(quán)和使用權(quán)的分離使得用戶失去了對(duì)物理資源的額直接控制,也失去對(duì)網(wǎng)絡(luò)環(huán)境的控制,無(wú)法從用戶層面進(jìn)行網(wǎng)絡(luò)取證。
5. 云環(huán)境下安全運(yùn)維一直是行業(yè)痛點(diǎn),云平臺(tái)用戶規(guī)模巨大,云取證同樣面臨著運(yùn)維復(fù)雜、響應(yīng)不及時(shí)的難題。
四、云取證技術(shù)領(lǐng)域的研究熱點(diǎn)
1. 云取證模型的研究
傳統(tǒng)的電子數(shù)據(jù)取證模型主要適用于計(jì)算機(jī)取證和網(wǎng)絡(luò)取證,難以直接應(yīng)用于云環(huán)境,因?yàn)樵迫∽C不同于一般的計(jì)算機(jī)取證或網(wǎng)絡(luò)取證環(huán)境,其獲取、傳輸、存儲(chǔ)和分析都要遵循一定的原則和步驟,否則無(wú)法保證電子證據(jù)的真實(shí)性、相關(guān)性與合法性,從而無(wú)法滿足電子證據(jù)的可采用性標(biāo)準(zhǔn),為此需要進(jìn)行云計(jì)算環(huán)境下的取證模型研究。云取證模型的研究一方面需要針對(duì)云計(jì)算環(huán)境的特點(diǎn)指導(dǎo)取證人員從海量的數(shù)據(jù)中識(shí)別電子證據(jù),定位電子數(shù)據(jù)所在虛擬機(jī)的物理位置,采取合理可行的證據(jù)收集策略與方法,并提供云計(jì)算環(huán)境下有效的證據(jù)分析方法,另一方面需要論證取證模型滿足電子證據(jù)的三性。針對(duì)云取證模型的研究很多,但是目前尚沒(méi)有給出綜合性、整體性的取證策略與實(shí)施方法,不足以指導(dǎo)云環(huán)境下的取證工作。設(shè)計(jì)云取證模型依然是當(dāng)前云取證研究的主要方向之一,對(duì)于云取證工作具有重要的指導(dǎo)意義。
2.云環(huán)境中電子數(shù)據(jù)的提取技術(shù)研究
云環(huán)境中的電子數(shù)據(jù)提取是在證據(jù)獲取階段,取證調(diào)查者借助取證工具對(duì)云環(huán)境中涉及案件的電子數(shù)據(jù)的收集過(guò)程。由于云計(jì)算具有分布性和虛擬性等特性,傳統(tǒng)的基于單機(jī)的證據(jù)提取方法存在諸多局限,云環(huán)境中電子數(shù)據(jù)的提取一直是云取證的熱點(diǎn)和難點(diǎn)問(wèn)題。如轟動(dòng)一時(shí)的e租寶一案,丁寧等人通過(guò)“e租寶”互聯(lián)網(wǎng)平臺(tái)發(fā)布虛假的融資租賃債權(quán)和個(gè)人債權(quán)項(xiàng)目,以承諾還本付息為誘餌,通過(guò)媒體等途徑向社會(huì)公開(kāi)宣傳,非法吸收公眾資金。該e租寶平臺(tái)就是搭建在云平臺(tái)中,為了進(jìn)行調(diào)查取證,公安機(jī)關(guān)調(diào)取了300多臺(tái)虛擬服務(wù)器,但是光調(diào)取這些服務(wù)器就耗時(shí)半年,嚴(yán)重影響調(diào)查進(jìn)展。解決云平臺(tái)電子數(shù)據(jù)的提取難題迫在眉睫。目前的研究思路主要包括通過(guò)分層將傳統(tǒng)的取證工具整合進(jìn)云平臺(tái)中實(shí)現(xiàn)實(shí)時(shí)證據(jù)提取,虛擬機(jī)的電子數(shù)據(jù)自動(dòng)化提取技術(shù),以及作為補(bǔ)充的客戶端本地緩存數(shù)據(jù)的提取等。然而這些方法普遍存在存儲(chǔ)開(kāi)銷和性能負(fù)載過(guò)高、運(yùn)維困難而難以落地實(shí)施等問(wèn)題,需要進(jìn)一步深入的研究。
3.云環(huán)境中電子數(shù)據(jù)的分析技術(shù)研究
云環(huán)境中的電子數(shù)據(jù)分析是指取證調(diào)查者借助分析工具、分析算法對(duì)涉案電子數(shù)據(jù)進(jìn)行分析的過(guò)程,主要包括數(shù)據(jù)源的分析、數(shù)據(jù)恢復(fù)、事件重構(gòu)、數(shù)據(jù)檢索等。而云環(huán)境中的涉案數(shù)據(jù)量巨大、數(shù)據(jù)格式眾多、多源證據(jù)時(shí)間戳不一致、網(wǎng)絡(luò)環(huán)境復(fù)雜等特性給證據(jù)的分析帶來(lái)挑戰(zhàn)。在筆者真實(shí)的司法鑒定技術(shù)服務(wù)中就常遇到提取的云環(huán)境中數(shù)據(jù)量太大、格式復(fù)雜,常規(guī)的取證分析工具難以支持的情況。面對(duì)數(shù)據(jù)量巨大的問(wèn)題,目前的研究思路已經(jīng)從分析所有的數(shù)據(jù)的取證思路轉(zhuǎn)變?yōu)榻柚鷻C(jī)器學(xué)習(xí)的方法進(jìn)行智能分析上來(lái),而針對(duì)數(shù)據(jù)源分析困難,有研究者提出借助SDN網(wǎng)絡(luò)取證分析來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)攻擊溯源等方法。然而目前提出的方法均存在局限性,難以有效解決目前的困境。云環(huán)境中電子數(shù)據(jù)的分析方法臻待進(jìn)一步的研究。
五、總結(jié)
云取證作為云安全閉環(huán)中不可或缺的一環(huán)對(duì)云計(jì)算的發(fā)展起著舉足輕重的作用。隨著《網(wǎng)絡(luò)安全法》強(qiáng)化了網(wǎng)絡(luò)運(yùn)營(yíng)商的責(zé)任和義務(wù),云取證也必將成為云平臺(tái)合理合法運(yùn)營(yíng)的重要保障。然而云取證技術(shù)尚處于發(fā)展階段,云取證實(shí)務(wù)面臨種種難題,還需要更加健全的國(guó)家法律法規(guī)和更加先進(jìn)的云取證相關(guān)技術(shù)。
來(lái)源:中國(guó)信息安全
北京市公安局海淀分局備案號(hào):11010802023656號(hào)