今日頭條
官方微信
官方抖音
資訊頻道一、云環(huán)境下的安全問題與云取證的提出
云計算已經(jīng)成為IT基礎(chǔ)設(shè)施建設(shè)的首選,同時云安全問題越來越突出。云計算平臺由于用戶、信息資源的高度集中,更易成為網(wǎng)絡(luò)攻擊的目標。CNCERT發(fā)布的《2018我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢綜述》中指出,云平臺現(xiàn)已成為發(fā)生網(wǎng)絡(luò)攻擊的重災區(qū),在各類型網(wǎng)絡(luò)安全事件數(shù)量中,云平臺上的DDoS攻擊次數(shù)、被植入后門的網(wǎng)站數(shù)量、被篡改網(wǎng)站數(shù)量均占比超過50%,安全形勢異常嚴峻。
網(wǎng)絡(luò)安全沒有銀彈,云安全亦是如此,云安全事件時有發(fā)生,防不勝防,這就需要電子數(shù)據(jù)取證來進行事后追責和懲治。電子數(shù)據(jù)取證技術(shù)也是云計算環(huán)境下對各種惡意行為進行調(diào)查取證、追究法律責任不可或缺的技術(shù)手段,可用于威懾和打擊各類云犯罪活動,維護用戶正當權(quán)益。此外,《網(wǎng)絡(luò)安全法》強化了網(wǎng)絡(luò)運營商的責任和義務,確定了網(wǎng)絡(luò)運營商在網(wǎng)絡(luò)安全維護中的主體責任地位,云取證技術(shù)是云服務運營商履行主體責任的主要技術(shù)手段之一。
二、電子數(shù)據(jù)取證與云取證
電子數(shù)據(jù)取證是指科學地運用提取和證明方法,對于從電子數(shù)據(jù)源提取的電子證據(jù)進行保護、收集、驗證、鑒定、分析、解釋、存檔和出示,以有助于進一步的犯罪事件重構(gòu)或者幫助識別某些與計劃操作無關(guān)的非授權(quán)性活動。
其中,保護是指對于電子數(shù)據(jù)證據(jù)源的環(huán)境、介質(zhì)、系統(tǒng)、文檔等進行的最大限度地保護,以保證證據(jù)的充分性。收集是指對于電子數(shù)據(jù)證據(jù)的收取、采集、獲取等。驗證是指對于獲取的電子數(shù)據(jù)進行校驗和證明,確定其真?zhèn)巍⑸苫蛐薷牡臅r間、地點、責任人、工具等,以確定其可采用性。鑒定是指是指鑒定人運用信息學、物理學以及電子技術(shù)的原理和技術(shù)手段,對訴訟涉及的電子數(shù)據(jù)進行恢復、鑒別和判斷,并提供鑒定意見。分析是指對于獲取的含有電子數(shù)據(jù)證據(jù)的數(shù)據(jù)采用適當?shù)慕y(tǒng)計分析方法進行分類、分層、搜索、過濾、恢復、可視化等,為提取有用信息和形成結(jié)論而對數(shù)據(jù)加以詳細研究和概括總結(jié)的過程。解釋是指要把電子數(shù)據(jù)證據(jù)及相關(guān)的環(huán)境、人員等以能夠理解的方式表達出來。存檔是指電子數(shù)據(jù)取證過程中對一些重要數(shù)據(jù)的存檔,包括原數(shù)據(jù)的存檔和內(nèi)容數(shù)據(jù)的存檔。出示是指把電子數(shù)據(jù)證據(jù)呈現(xiàn)在需要的場合的行為。一般而言,需要按照法律法規(guī)和規(guī)章的要求進行呈現(xiàn)。
云取證是針對云計算的犯罪進行的電子數(shù)據(jù)取證過程,是電子數(shù)據(jù)取證技術(shù)在云計算環(huán)境這樣一個特定場景下的應用。
Ruan K教授從三個維度對云取證領(lǐng)域相關(guān)問題進行劃分,包括技術(shù)、組織和法律。技術(shù)維度主要涉及在云計算環(huán)境中進行電子數(shù)據(jù)取證的具體過程和試用的技術(shù)和工具。組織維度主要指云計算環(huán)境中包含的角色,包括云服務提供商、云服務用戶、云服務中介、審計人員和取證人員,不同的角色在云取證活動中的職責不同,他們之間的交互可以促進云取證的實施。法律維度主要關(guān)注在涉及跨多個管轄區(qū)的法律問題。2017 年,云安全聯(lián)盟(CSA,Cloud Security Alliance)發(fā)布的《云計算關(guān)鍵領(lǐng)域安全指南V4.0》將云取證作為云計算發(fā)展的重點關(guān)注領(lǐng)域提出。但由于云計算基礎(chǔ)設(shè)施規(guī)模龐大,服務種類多樣,并具有分布性、虛擬性和共享性等特點,云取證面臨著巨大挑戰(zhàn)。
三、云取證技術(shù)面臨的挑戰(zhàn)
1. 云環(huán)境下數(shù)據(jù)多采用分布式存儲,數(shù)據(jù)文件被分割成數(shù)據(jù)塊,存儲于不同的數(shù)據(jù)中心,甚至跨司法管轄范圍,導致了數(shù)據(jù)定位和提取的困難。
2. 虛擬化技術(shù)使得多個用戶共享同一個或多個物理設(shè)備,針對物理設(shè)備的取證將威脅到無關(guān)用戶的數(shù)據(jù)安全。
3. 虛擬化技術(shù)中資源的回收和再分配頻繁,導致很多云平臺中的數(shù)據(jù)成為易失性數(shù)據(jù),一旦被釋放回收,相關(guān)的數(shù)據(jù)就難以恢復。
4. 由于云計算中資源的所有權(quán)、管理權(quán)和使用權(quán)的分離使得用戶失去了對物理資源的額直接控制,也失去對網(wǎng)絡(luò)環(huán)境的控制,無法從用戶層面進行網(wǎng)絡(luò)取證。
5. 云環(huán)境下安全運維一直是行業(yè)痛點,云平臺用戶規(guī)模巨大,云取證同樣面臨著運維復雜、響應不及時的難題。
四、云取證技術(shù)領(lǐng)域的研究熱點
1. 云取證模型的研究
傳統(tǒng)的電子數(shù)據(jù)取證模型主要適用于計算機取證和網(wǎng)絡(luò)取證,難以直接應用于云環(huán)境,因為云取證不同于一般的計算機取證或網(wǎng)絡(luò)取證環(huán)境,其獲取、傳輸、存儲和分析都要遵循一定的原則和步驟,否則無法保證電子證據(jù)的真實性、相關(guān)性與合法性,從而無法滿足電子證據(jù)的可采用性標準,為此需要進行云計算環(huán)境下的取證模型研究。云取證模型的研究一方面需要針對云計算環(huán)境的特點指導取證人員從海量的數(shù)據(jù)中識別電子證據(jù),定位電子數(shù)據(jù)所在虛擬機的物理位置,采取合理可行的證據(jù)收集策略與方法,并提供云計算環(huán)境下有效的證據(jù)分析方法,另一方面需要論證取證模型滿足電子證據(jù)的三性。針對云取證模型的研究很多,但是目前尚沒有給出綜合性、整體性的取證策略與實施方法,不足以指導云環(huán)境下的取證工作。設(shè)計云取證模型依然是當前云取證研究的主要方向之一,對于云取證工作具有重要的指導意義。
2.云環(huán)境中電子數(shù)據(jù)的提取技術(shù)研究
云環(huán)境中的電子數(shù)據(jù)提取是在證據(jù)獲取階段,取證調(diào)查者借助取證工具對云環(huán)境中涉及案件的電子數(shù)據(jù)的收集過程。由于云計算具有分布性和虛擬性等特性,傳統(tǒng)的基于單機的證據(jù)提取方法存在諸多局限,云環(huán)境中電子數(shù)據(jù)的提取一直是云取證的熱點和難點問題。如轟動一時的e租寶一案,丁寧等人通過“e租寶”互聯(lián)網(wǎng)平臺發(fā)布虛假的融資租賃債權(quán)和個人債權(quán)項目,以承諾還本付息為誘餌,通過媒體等途徑向社會公開宣傳,非法吸收公眾資金。該e租寶平臺就是搭建在云平臺中,為了進行調(diào)查取證,公安機關(guān)調(diào)取了300多臺虛擬服務器,但是光調(diào)取這些服務器就耗時半年,嚴重影響調(diào)查進展。解決云平臺電子數(shù)據(jù)的提取難題迫在眉睫。目前的研究思路主要包括通過分層將傳統(tǒng)的取證工具整合進云平臺中實現(xiàn)實時證據(jù)提取,虛擬機的電子數(shù)據(jù)自動化提取技術(shù),以及作為補充的客戶端本地緩存數(shù)據(jù)的提取等。然而這些方法普遍存在存儲開銷和性能負載過高、運維困難而難以落地實施等問題,需要進一步深入的研究。
3.云環(huán)境中電子數(shù)據(jù)的分析技術(shù)研究
云環(huán)境中的電子數(shù)據(jù)分析是指取證調(diào)查者借助分析工具、分析算法對涉案電子數(shù)據(jù)進行分析的過程,主要包括數(shù)據(jù)源的分析、數(shù)據(jù)恢復、事件重構(gòu)、數(shù)據(jù)檢索等。而云環(huán)境中的涉案數(shù)據(jù)量巨大、數(shù)據(jù)格式眾多、多源證據(jù)時間戳不一致、網(wǎng)絡(luò)環(huán)境復雜等特性給證據(jù)的分析帶來挑戰(zhàn)。在筆者真實的司法鑒定技術(shù)服務中就常遇到提取的云環(huán)境中數(shù)據(jù)量太大、格式復雜,常規(guī)的取證分析工具難以支持的情況。面對數(shù)據(jù)量巨大的問題,目前的研究思路已經(jīng)從分析所有的數(shù)據(jù)的取證思路轉(zhuǎn)變?yōu)榻柚鷻C器學習的方法進行智能分析上來,而針對數(shù)據(jù)源分析困難,有研究者提出借助SDN網(wǎng)絡(luò)取證分析來實現(xiàn)網(wǎng)絡(luò)攻擊溯源等方法。然而目前提出的方法均存在局限性,難以有效解決目前的困境。云環(huán)境中電子數(shù)據(jù)的分析方法臻待進一步的研究。
五、總結(jié)
云取證作為云安全閉環(huán)中不可或缺的一環(huán)對云計算的發(fā)展起著舉足輕重的作用。隨著《網(wǎng)絡(luò)安全法》強化了網(wǎng)絡(luò)運營商的責任和義務,云取證也必將成為云平臺合理合法運營的重要保障。然而云取證技術(shù)尚處于發(fā)展階段,云取證實務面臨種種難題,還需要更加健全的國家法律法規(guī)和更加先進的云取證相關(guān)技術(shù)。
來源:中國信息安全
北京市公安局海淀分局備案號:11010802023656號