计算机证据与计算机审计技术

独立性是审计工作的本质特征，计算机审计的独立性具体体现在以下两个方面：（1）不管是在操作系统中还是在应用软件中，审计系统都应作为一个独立的子系统而存在。（2）设立工作独立、行为自主的计算机系统审计员。审计员是特殊的计算机系统（安全）管理员，只有它才能控制、管理、使用审计系统。审计员的行为不受任何其它计算机用户的控制和干扰，包括计算机系统（安全）管理员。

审计系统把对计算机系统的所有活动以文件形式保存在存储设备上，形成系统活动的监视记录。监视记录是系统活动的真实写照，是搜寻潜在入侵者的依据，也是入侵行为的有力证据。监视记录本身被实施最严密的保护。在保护监视记录的问题上，应该坚持独立性的原则，即只有审计员才能访问监视记录。

目前常用的操作系统包括网络操作系统如NetWare、Windows NT、UNLX等，均提供了审计功能。操作系统提供的是面向整个系统的审计功能，不足之处是不可能考虑到各种应用软件的具体情况，不能很好地满足各种客户的需要。操作系统的审计功能既成定局，难以改变，但计算机用户可以根据应用软件的特点和自身的需要，设计出有针对性的应用软件审计系统。下面将介绍一种应用软件审计系统的设计思想。

2.应用软件审计系统的设计思想

虽然本文所探讨的是证据的问题，但是有些功能（例如报警功能以及一些与分析潜在入侵者相关的功能）是审计系统所必备的，下面也一块列举。

（1）监视记录的设计

监视记录的内容包括：用户标识；（在网络上使用时）使用软件的设备地址；使用软件的起止时间；调用的子程序及调用子程序的起止时间；访问的硬件设备及访问的起止时间；使用软件过程中访问的文件和目录，访问的类型（创建、打开、关闭、读、写、拷贝、删除、重命名、运行等）以及访问的起止时间；针对文件数据的操作，包括读、增、删、改、复制等操作以及操作对象在文件中的具体位置；对软件参数的修改。

对于每一项活动，监视记录还应该记录该项活动成功还是失败，活动引发者对于该项活动的有关授权状态，地址空间的使用情况。

（2）监视模块的设计

设计的监视功能包括：

①监视整个应用软件的活动，并提供详细的监视记录，使所有活动留下线索。

②允许选择特定的监视对象，这项功能可以在现有证据不充分的情况下，令审计员可以实施重点监视，更深入、详细的取证。特定的监视对象可以是文件、目录、打印机、磁盘、计算机、用户等。

③在一定程度上检测和判定对系统的入侵和入侵企图，提供报警信息并能实施必要的应急措施。例如，如果发现某个用户连续多次不成功进入系统或某个敏感子程序，应立即向安全控制台报警，甚至锁住该用户的帐号等待进一步的调查。

④提供对监视记录的以任何项目为关键字的查询及各种组合查询，多方面满足审计员的审查需要。

⑤报警参数管理。审计员可以通过报警参数管理功能，设置需要实时报警的事项。

⑥监视记录文件的维护。随着时间的推移，监视记录文件会不断地膨胀，因此，有必要提供对监视记录文件的各种维护处理，如转存、拷贝等。

（3）检测模块的设计

检测模块采用动态检测法检测程序的真实性、完整性和可靠性；而对于数据文件的检测，则是利用信息验证码。

实现动态检测的关键，是设计出针对被检软件的完整的模拟数据和模拟操作，并确定其正确的处理结果。模拟数据和模拟操作包括合法的和非法的两种，这样做的目的是观察那些包含安全保护功能的程序是否能够阻止非法行为的发生，从而判断其安全保护是否在发挥作用。实施检测时将模拟数据或模拟操作经过软件处理后得到的实际结果与正确的结果相比较，确定程序的功能是否可靠、程序是否被修改过。当检测到程序的真实性、完整性和可靠性遭到破坏时，及时发出报警。

信息验证码是根据信息的全部内容通过某种算法产生的一种检验码，它与信息的全部内容密切相关。即使文件中有一比特的改变，都会导致信息验证码的改变。因此，在设计应用软件时，保证在每次保存数据文件时计算出当时的信息验证码并同时保存起来，检测模块通过计算信息验证码并与保存文件时的信息验证码进行比较，即可发现文件中的数据是否被篡改过。

更多计算机与外设信息请关注：21ic计算机与外设频道