計算機證據(jù)與計算機審計技術(shù)

獨立性是審計工作的本質(zhì)特征，計算機審計的獨立性具體體現(xiàn)在以下兩個方面：（1）不管是在操作系統(tǒng)中還是在應(yīng)用軟件中，審計系統(tǒng)都應(yīng)作為一個獨立的子系統(tǒng)而存在。（2）設(shè)立工作獨立、行為自主的計算機系統(tǒng)審計員。審計員是特殊的計算機系統(tǒng)（安全）管理員，只有它才能控制、管理、使用審計系統(tǒng)。審計員的行為不受任何其它計算機用戶的控制和干擾，包括計算機系統(tǒng)（安全）管理員。

審計系統(tǒng)把對計算機系統(tǒng)的所有活動以文件形式保存在存儲設(shè)備上，形成系統(tǒng)活動的監(jiān)視記錄。監(jiān)視記錄是系統(tǒng)活動的真實寫照，是搜尋潛在入侵者的依據(jù)，也是入侵行為的有力證據(jù)。監(jiān)視記錄本身被實施最嚴密的保護。在保護監(jiān)視記錄的問題上，應(yīng)該堅持獨立性的原則，即只有審計員才能訪問監(jiān)視記錄。

目前常用的操作系統(tǒng)包括網(wǎng)絡(luò)操作系統(tǒng)如NetWare、Windows NT、UNLX等，均提供了審計功能。操作系統(tǒng)提供的是面向整個系統(tǒng)的審計功能，不足之處是不可能考慮到各種應(yīng)用軟件的具體情況，不能很好地滿足各種客戶的需要。操作系統(tǒng)的審計功能既成定局，難以改變，但計算機用戶可以根據(jù)應(yīng)用軟件的特點和自身的需要，設(shè)計出有針對性的應(yīng)用軟件審計系統(tǒng)。下面將介紹一種應(yīng)用軟件審計系統(tǒng)的設(shè)計思想。

2.應(yīng)用軟件審計系統(tǒng)的設(shè)計思想

雖然本文所探討的是證據(jù)的問題，但是有些功能（例如報警功能以及一些與分析潛在入侵者相關(guān)的功能）是審計系統(tǒng)所必備的，下面也一塊列舉。

（1）監(jiān)視記錄的設(shè)計

監(jiān)視記錄的內(nèi)容包括：用戶標識；（在網(wǎng)絡(luò)上使用時）使用軟件的設(shè)備地址；使用軟件的起止時間；調(diào)用的子程序及調(diào)用子程序的起止時間；訪問的硬件設(shè)備及訪問的起止時間；使用軟件過程中訪問的文件和目錄，訪問的類型（創(chuàng)建、打開、關(guān)閉、讀、寫、拷貝、刪除、重命名、運行等）以及訪問的起止時間；針對文件數(shù)據(jù)的操作，包括讀、增、刪、改、復(fù)制等操作以及操作對象在文件中的具體位置；對軟件參數(shù)的修改。

對于每一項活動，監(jiān)視記錄還應(yīng)該記錄該項活動成功還是失敗，活動引發(fā)者對于該項活動的有關(guān)授權(quán)狀態(tài)，地址空間的使用情況。

（2）監(jiān)視模塊的設(shè)計

設(shè)計的監(jiān)視功能包括：

①監(jiān)視整個應(yīng)用軟件的活動，并提供詳細的監(jiān)視記錄，使所有活動留下線索。

②允許選擇特定的監(jiān)視對象，這項功能可以在現(xiàn)有證據(jù)不充分的情況下，令審計員可以實施重點監(jiān)視，更深入、詳細的取證。特定的監(jiān)視對象可以是文件、目錄、打印機、磁盤、計算機、用戶等。

③在一定程度上檢測和判定對系統(tǒng)的入侵和入侵企圖，提供報警信息并能實施必要的應(yīng)急措施。例如，如果發(fā)現(xiàn)某個用戶連續(xù)多次不成功進入系統(tǒng)或某個敏感子程序，應(yīng)立即向安全控制臺報警，甚至鎖住該用戶的帳號等待進一步的調(diào)查。

④提供對監(jiān)視記錄的以任何項目為關(guān)鍵字的查詢及各種組合查詢，多方面滿足審計員的審查需要。

⑤報警參數(shù)管理。審計員可以通過報警參數(shù)管理功能，設(shè)置需要實時報警的事項。

⑥監(jiān)視記錄文件的維護。隨著時間的推移，監(jiān)視記錄文件會不斷地膨脹，因此，有必要提供對監(jiān)視記錄文件的各種維護處理，如轉(zhuǎn)存、拷貝等。

（3）檢測模塊的設(shè)計

檢測模塊采用動態(tài)檢測法檢測程序的真實性、完整性和可靠性；而對于數(shù)據(jù)文件的檢測，則是利用信息驗證碼。

實現(xiàn)動態(tài)檢測的關(guān)鍵，是設(shè)計出針對被檢軟件的完整的模擬數(shù)據(jù)和模擬操作，并確定其正確的處理結(jié)果。模擬數(shù)據(jù)和模擬操作包括合法的和非法的兩種，這樣做的目的是觀察那些包含安全保護功能的程序是否能夠阻止非法行為的發(fā)生，從而判斷其安全保護是否在發(fā)揮作用。實施檢測時將模擬數(shù)據(jù)或模擬操作經(jīng)過軟件處理后得到的實際結(jié)果與正確的結(jié)果相比較，確定程序的功能是否可靠、程序是否被修改過。當檢測到程序的真實性、完整性和可靠性遭到破壞時，及時發(fā)出報警。

信息驗證碼是根據(jù)信息的全部內(nèi)容通過某種算法產(chǎn)生的一種檢驗碼，它與信息的全部內(nèi)容密切相關(guān)。即使文件中有一比特的改變，都會導(dǎo)致信息驗證碼的改變。因此，在設(shè)計應(yīng)用軟件時，保證在每次保存數(shù)據(jù)文件時計算出當時的信息驗證碼并同時保存起來，檢測模塊通過計算信息驗證碼并與保存文件時的信息驗證碼進行比較，即可發(fā)現(xiàn)文件中的數(shù)據(jù)是否被篡改過。

更多計算機與外設(shè)信息請關(guān)注：21ic計算機與外設(shè)頻道