下载文档原格式
![[计算机硬件及网络]网络与信息安全-计算机取证技术](https://img.taocdn.com/s1/m/e9ec401abcd126fff7050b9e.png)
计算机审计(审计采集分析)笔记第1章计算机数据审计概述1、计算机数据审计是指运用计算机审计技术对被审计单位与财政收支、财务收支有关的计算机信息系统所存储和处理的电子数据进行的审计。
通过对被审计单位的电子数据进行采集、转换、清理、验证和分析,帮助审计人员掌握总体情况,发现审计线索,搜集审计证据,形成审计结论,实现审计目标。
2、计算机数据审计的理论基础计算机数据审计的理论基础是数据式审计模式。
数据式审计模式可以分为两种:一是数据基础审计模式,即以数据为直接对象的审计方式,二是数据式系统基础审计模式,即以系统内部控制测评为基础,通过对电子数据的收集、转换、整理、分析和验证,实现审计目标的方式。
计算机数据审计也是数据审计模式的重要组成部分。
我们也可以将数据式系统基础审计表述为:系统内部控制测评+数据审计。
3、计算机数据审计与计算机信息系统审计区别:(1)审计对象不同;(2)工作侧重点不同;(3)使用的技术方法不同;联系:它们是同一事物的两个方面,不能人为割裂开来。
(1)信息系统是电子数据存储和处理的环境,电子数据不能独立于信息系统存在。
(2)电子数据是信息系统功能的重要体现,离开了电子数据,信息系统的功能无从谈起。
4、计算机数据审计的流程七步流程法:(1)调查阶段;(2)数据采集;(3)数据验证,清理和转换;(4)建立审计中间表;(5)把握总体,选择重点;(6)建模分析;(7)延伸、落实和取证。
(1)调查工作的一般思路:“审计目标—审计内容与重点—审计内容所涉及的信息系统—与信息系统相关的电子数据”。
在数据情况调查过程中,审计人员应当尽量收集齐全相关的技术文档,以便详细了解系统的数据库和数据情况。
(2)数据采集是计算机数据审计的前提和基础。
是在调查阶段提出数据需求的基础上,按照审计目标,采用一定的工具和方法对被审计单位信息系统中的电子数据进行采集的过程。
常用的数据采集策略有3种:一是通过数据接口采集,二是直接复制,三是通过备份文件恢复。
算机取证US - CERT概述本文将讨论需要一个有效的实践和计算机取证法律途径,轮廓基本的技术问题,并进一步阅读的参考点。
它推广的想法,主管计算机取证的实践和认识适用的法律是必不可少的,今天的网络组织。
这个题目是非常重要的经理人需要了解如何计算机取证适合作为一个组织的整体计算机安全的战略元素。
网络管理员和其他计算机安全人员需要了解相关的问题计算机取证。
那些工作在公司治理,法律部门,或IT应该找到一个有用的组织范围内的计算机取证概述。
什么是计算机取证?如果您管理或管理信息系统和网络,你应该明白计算机取证。
取证是收集利用科学知识的过程中,分析,并提出证据向法院提起诉讼。
(字取证手段“带来法庭。
“)取证主要涉及恢复和潜在的证据的分析。
潜在的证据,可以采取多种形式,从一个窗口到DNA上留下的指纹证据血迹恢复到硬盘上的文件。
由于计算机取证是一门新的学科,很少有标准化和法院和行业之间的一致性。
因此,尚未正式确认“科学”学科,我们定义为结合的学科,计算机取证法律和计算机科学的元素,从计算机系统中的数据收集和分析,网络,无线通信,和存储设备的方式,是接纳为在法庭上的证据。
为什么是计算机取证的重要吗?添加的能力,实践完善的计算机取证将帮助您确保整体您的网络基础设施的完整性和生存能力。
您可以帮助您的组织如果你认为作为一个新的基本元素是称为的计算机取证“纵深防御”1方法,以网络和计算机安全。
例如,了解计算机取证的法律和技术方面,将帮助您捕获至关重要的信息,如果你的网络被攻破,将帮助你起诉的案件IF入侵者被捕获。
1“纵深防御的原则设计的,多层次的不同类型的保护从不同的厂商提供大幅更好地保护“</cs/generalsecurity/a/aa112103.htm>。
US - CERT,政府组织制作的2008年。
更新2008。
2如果你忽略了计算机取证的做法是很糟糕,会发生什么?你的风险摧毁重要证据或法医证据在法院裁定不予受理。
浅谈信息安全之计算机取证技术摘要:计算机取证学属于计算机科学、刑事侦查学和法学的交叉学科,正日益受到各国和科研机构的重视和研究,随着计算机犯罪断网络化和职能化,计算机取证方式由以前的静态取证,渐发展为动态取证,这两种取证方式相互依存,各有侧重。
关键词:计算机;取证学;动态取证;静态取证中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2010) 05-0000-01The Information Security of Computer Collection TechnologyAi Hong1,Zhong Pingfeng2(1.Chongqing Nan’an Power Supply Bureau,Chongqing 400060,China;2.Chongqing CYIT Communication Technology Co.,Ltd,Chongqing 400065,China)Abstract:Computer forensics science is computer science,criminal investigation and law of the cross -discipline is increasingly,subject to the attention of countries and research institutions and research ,with the broken computer crime and functions of networking,computer forensics static method fr om the previous evidence gradually developing to dynamic evidence,both ways of evidence interde pendent,have different emphases.Keyword:Computer Evidence;Collection;Dynamic evidence collection;Static evidence collection一、计算机取证的相关概念计算机取证技术发展不到20年,其中美国取证技术的发展最具有代表。
一、计算机取证的概念、步骤和相关的工具1、计算机取证的概念取证专家Reith Clint Mark认为:计算机取证(computer forensics)可以认为是“从计算机中收集和发现证据的技术和工具”[11]。
实际上,计算机取证就是对于存在于计算机及其相关设备中的证据进行获取、保存、分析和出示。
用于计算机取证的工具必须在计算机取证的任意一个步骤中具有特殊的功能,使得由于这一工具的使用保证了计算机取证工作能够顺利进行并获取到可以被作为证据使用的数据资料。
2、计算机取证的步骤.2.1 保护现场和现场勘查现场勘查是获取证据的第一步,主要是物理证据的获取。
这项工作可为下面的环节打下基础。
包括封存目标计算机系统并避免发生任何的数据破坏或病毒感染,绘制计算机犯罪现场图、网络拓扑图等,在移动或拆卸任何设备之前都要拍照存档,为今后模拟和还原犯罪现场提供直接依据。
在这一阶段使用的工具软件由现场自动绘图软件、检测和自动绘制网络拓扑图软件等组成。
2.2 获取证据证据的获取从本质上说就是从众多的未知和不确定性中找到确定性的东西。
这一步使用的工具一般是具有磁盘镜像、数据恢复、解密、网络数据捕获等功能的取证工具。
2.3 鉴定证据计算机证据的鉴定主要是解决证据的完整性验证和确定其是否符合可采用标准。
计算机取证工作的难点之一是证明取证人员所搜集到的证据没有被修改过。
而计算机获取的证据又恰恰具有易改变和易损毁的特点。
例如,腐蚀、强磁场的作用、人为的破坏等等都会造成原始证据的改变和消失。
所以,取证过程中应注重采取保护证据的措施。
在这一步骤中使用的取证工具包括含有时间戳、数字指纹和软件水印等功能的软件,主要用来确定证据数据的可靠性。
2.4 分析证据这是计算机取证的核心和关键。
证据分析的内容包括:分析计算机的类型、采用的操作系统,是否为多操作系统或有无隐藏的分区;有无可疑外设;有无远程控制、木马程序及当前计算机系统的网络环境。
注意分析过程的开机、关机过程,尽可能避免正在运行的进程数据丢失或存在的不可逆转的删除程序。
