計算機證據與計算機審計技術

獨立性是審計工作的本質特征，計算機審計的獨立性具體體現在以下兩個方面：（1）不管是在操作系統中還是在應用軟件中，審計系統都應作為一個獨立的子系統而存在。（2）設立工作獨立、行為自主的計算機系統審計員。審計員是特殊的計算機系統（安全）管理員，只有它才能控制、管理、使用審計系統。審計員的行為不受任何其它計算機用戶的控制和干擾，包括計算機系統（安全）管理員。

審計系統把對計算機系統的所有活動以文件形式保存在存儲設備上，形成系統活動的監視記錄。監視記錄是系統活動的真實寫照，是搜尋潛在入侵者的依據，也是入侵行為的有力證據。監視記錄本身被實施最嚴密的保護。在保護監視記錄的問題上，應該堅持獨立性的原則，即只有審計員才能訪問監視記錄。

目前常用的操作系統包括網絡操作系統如NetWare、Windows NT、UNLX等，均提供了審計功能。操作系統提供的是面向整個系統的審計功能，不足之處是不可能考慮到各種應用軟件的具體情況，不能很好地滿足各種客戶的需要。操作系統的審計功能既成定局，難以改變，但計算機用戶可以根據應用軟件的特點和自身的需要，設計出有針對性的應用軟件審計系統。下面將介紹一種應用軟件審計系統的設計思想。

2.應用軟件審計系統的設計思想

雖然本文所探討的是證據的問題，但是有些功能（例如報警功能以及一些與分析潛在入侵者相關的功能）是審計系統所必備的，下面也一塊列舉。

（1）監視記錄的設計

監視記錄的內容包括：用戶標識；（在網絡上使用時）使用軟件的設備地址；使用軟件的起止時間；調用的子程序及調用子程序的起止時間；訪問的硬件設備及訪問的起止時間；使用軟件過程中訪問的文件和目錄，訪問的類型（創建、打開、關閉、讀、寫、拷貝、刪除、重命名、運行等）以及訪問的起止時間；針對文件數據的操作，包括讀、增、刪、改、復制等操作以及操作對象在文件中的具體位置；對軟件參數的修改。

對于每一項活動，監視記錄還應該記錄該項活動成功還是失敗，活動引發者對于該項活動的有關授權狀態，地址空間的使用情況。

（2）監視模塊的設計

設計的監視功能包括：

①監視整個應用軟件的活動，并提供詳細的監視記錄，使所有活動留下線索。

②允許選擇特定的監視對象，這項功能可以在現有證據不充分的情況下，令審計員可以實施重點監視，更深入、詳細的取證。特定的監視對象可以是文件、目錄、打印機、磁盤、計算機、用戶等。

③在一定程度上檢測和判定對系統的入侵和入侵企圖，提供報警信息并能實施必要的應急措施。例如，如果發現某個用戶連續多次不成功進入系統或某個敏感子程序，應立即向安全控制臺報警，甚至鎖住該用戶的帳號等待進一步的調查。

④提供對監視記錄的以任何項目為關鍵字的查詢及各種組合查詢，多方面滿足審計員的審查需要。

⑤報警參數管理。審計員可以通過報警參數管理功能，設置需要實時報警的事項。

⑥監視記錄文件的維護。隨著時間的推移，監視記錄文件會不斷地膨脹，因此，有必要提供對監視記錄文件的各種維護處理，如轉存、拷貝等。

（3）檢測模塊的設計

檢測模塊采用動態檢測法檢測程序的真實性、完整性和可靠性；而對于數據文件的檢測，則是利用信息驗證碼。

實現動態檢測的關鍵，是設計出針對被檢軟件的完整的模擬數據和模擬操作，并確定其正確的處理結果。模擬數據和模擬操作包括合法的和非法的兩種，這樣做的目的是觀察那些包含安全保護功能的程序是否能夠阻止非法行為的發生，從而判斷其安全保護是否在發揮作用。實施檢測時將模擬數據或模擬操作經過軟件處理后得到的實際結果與正確的結果相比較，確定程序的功能是否可靠、程序是否被修改過。當檢測到程序的真實性、完整性和可靠性遭到破壞時，及時發出報警。

信息驗證碼是根據信息的全部內容通過某種算法產生的一種檢驗碼，它與信息的全部內容密切相關。即使文件中有一比特的改變，都會導致信息驗證碼的改變。因此，在設計應用軟件時，保證在每次保存數據文件時計算出當時的信息驗證碼并同時保存起來，檢測模塊通過計算信息驗證碼并與保存文件時的信息驗證碼進行比較，即可發現文件中的數據是否被篡改過。

更多計算機與外設信息請關注：21ic計算機與外設頻道