WatchGuard LiveSecurity之安全策略与规程

　　"计算机司法鉴定"是指收集和分析数字化证据。计算机司法鉴定在回答"我怀疑网络被别人黑(攻击)了，应该怎么办？"具有至关重要的作用。以前，计算机司法鉴定被视为一项像去火星旅游一样遥不可及的任务。但现在它将成为一项调查员的普通工作任务--美国加州已通过了SB 1386法律，并自2003年7月1日起生效，它要求加州所有公司都必须报告可能泄露计算机资料的一切计算机攻击事件，即使被攻击的系统不在加利福尼亚境内。对于公司来说：美国加州的新法律不仅强迫公司改变以往的"缄默"做法，而且可能强迫公司将未来发生的所有网络安全案件都上报执法机构。

　　在做所有调查时，需要将收集到的所有信息全面和细致的用笔记录在笔记本中。因为将证据转给执法部门可能是在案件发生的数周或者数月之后。等案子进入审讯阶段，你可能需要依靠这完整的笔记来帮助自己回忆一、两年前发生的事情。所以，请在笔记中记录一切事情，例如： 调查过程中执行的每一个步骤的时间和日期； 你与之谈话的人；使用的电话号码；谈话内容；在什么系统上输入了什么命令等。

　　在发生犯罪时，重要的一点就是不要以任何方式破坏犯罪现场，即使受害者是一台计算机。犯罪发生之后进行更改或清除，可能扰乱或者破坏证据；这一点对于数字化的证据来说尤其重要。这正使你陷入一个进退两难的局面。假如不接触受害系统，又如何调查它呢？答案是："尽可能小心。"在少数案件中，系统硬件上留下的指纹可能十分重要，所以请戴上棉质手套。但是，你还必须尽可能地仔细，不要破坏存储在受害系统上的数字证据。

　　收集证据类似于老式棋盘游戏"线索"。你希望知道作案者干了什么，什么时候干的，是谁干的，以及是怎样干的。大多数调查都应该在系统关机的时候进行，并使用硬盘驱动器的拷贝进行调查的工作。但在你开始之前，必须确定确实发生了一个需要调查的案件，而且你正在研究的系统是(现场)惟一牵涉到的系统。首先要观察物理环境，也就是受害系统位于什么地方。你需要记下报案时谁正在使用这个系统(如果有的话)，以及谁能够物理性地接触这个系统。许多情况下，系统摆在一个开放式的办公区，所以办公室里的任何人都能接触它。系统也可能摆在一个服务器房间，只有少数人才有权访问--对于调查员来说，这是较有利的一种情况。

　　如你在计算机上做的一切事情都会更改计算机的数字状态，那准确的笔记十分关键。只有这样，以后才能区分你造成的更改与案件发生时的更改。目前，由于你只需要稍微检视一下，所以暂时将活动限制在查看文件、网络和进程状态，以及查看注册表上。查看这些资源时，会更改文件、目录和注册表的访问(读取)时间，所以要准确列出你查看的每一项内容。你要查找的是为最初的报案提供支持的证据。假定你怀疑一个系统已被别人攻入，因为你在防火墙日志中注意到有DENY消息，它表明嫌疑系统有过不同寻常的传出网络连接企图。或者，某IDS
（https://www3.watchguard.com/archive/images/lsglossary.htm#IDS)表明检测到特定IP地址上发生了一次攻击。注意在任何情况下，都需要查看DHCP服务器(https://www3.watchguard.com/archive/images/lsglossary.htm#DHCP_server)日志，确定在哪个时间，具体是哪个系统在使用那个IP地址。你可以使用netstat命令，这是一个用来显示协议统计和网络连接的命令，或者检查由IDS报告的系统是否真的存在可被利用的漏洞(例如，发生的攻击必须利用某项安装了的服务，但实际上该服务在这台计算机上却并没有安装)。

　　入侵者在成功攻击了一个系统之后，通常会建新用户账号，更改用户账号的权限，执行一些不寻常的进程，在激活文件或用于激活程序的注册表项上添加新键，或者对现有的设置进行更改等等。在检查所有这些东西时，硬盘驱动器不会被修改，只是它们的"上一次读取时间"会被更新。

　　为了准备好迎接将来可能发生的攻击，一个重要的步骤就是让公司的管理层制定正确的安全策略和安全规程。"策略"是指导员工正确使用计算机和网络的一系列规则，"规程"则是执行特定安全任务所需的逐步指示。策略和规程能帮助调查员确保一切都在正确的轨道上运行。有现成的安全策略和安全规程作为依据，公司里的所有人都应该清楚他们的职责，知道自己应该做什么和不应该做什么，确保不会破坏任何有用的证据。

　　关于WatchGuard及其LiveSecurity：WatchGuard(纳斯达克股票代号：WGRD)，是全球领先的Internet安全方案供应商，致力于提供动态的、全面的方案与产品，以确保企业通过Internet进行电子商务和通信的安全。LiveSecurity由一组安全专家、技术支持代表和培训专家提供后援，包括软件更新、LiveSecurity广播(威胁应对、病毒警报、提示信息、专家评论和支持快报等)、技术支持以及在线培训等。通过创新的LiveSecurity服务，各机构和用户可保证其安全系统随时处于最新状态。