計算機證據與計算機審計技術(shù)

一、概述

隨著(zhù)計算機和計算機網(wǎng)絡(luò )技術(shù)的不斷發(fā)展，計算機及計算機網(wǎng)絡(luò )的應用日趨廣泛，同時(shí)，計算機系統也越來(lái)越多地成為攻擊的對象。雖然計算機安全防范技術(shù)在不斷進(jìn)步和完善，但是道高一尺、魔高一丈，非法入侵計算機系統的案件還是不斷地出現和增加。本文所要探討的，是目前法律界所面臨的緊迫而又棘手的問(wèn)題，即如何獲取非法入侵或攻擊計算機系統的計算機證據。相對一般的證據而言，計算機證據具有鮮明的特點(diǎn)。計算機證據的收集和評價(jià)是一個(gè)法律問(wèn)題，但又往往需要一定的計算機技術(shù)和其它科學(xué)技術(shù)，甚至是一些尖端的技術(shù)。對于攻擊計算機系統的取證，傳統的方法并不十分有效。本文將提出一種不妨稱(chēng)之為“預先取證”的方法，這種方法的基本觀(guān)點(diǎn)是把審計的思想引入到計算機安全中，通過(guò)法律專(zhuān)家與計算機專(zhuān)家的緊密合作，運用計算機審計技術(shù)，為敏感的計算機系統設計出有針對性的審計系統，把計算機系統的所有活動(dòng)記錄在案，當計算機系統受到攻擊時(shí)，這些審計記錄就成為有效的計算機證據。

二、計算機證據

要理解運用計算機審計技術(shù)的必要性，需要對計算機證據的特征有一個(gè)清晰的認識。

1.什么是計算機證據

關(guān)于計算機證據的概念，目前在學(xué)理上并沒(méi)有統一的認識，存在著(zhù)多種觀(guān)點(diǎn)，比較為大眾所認可的有兩種觀(guān)點(diǎn)。其中一種觀(guān)點(diǎn)認為，計算機證據為計算機產(chǎn)生的證據（Computer generated evidence），而另一種觀(guān)點(diǎn)則認為計算機證據應該表述為計算機相關(guān)的證據（Computer-related evidence）。

計算機產(chǎn)生的證據是指計算機根據程序指令對輸入計算機的數據進(jìn)行處理，然后輸出形成的記錄文件。它的表現形式有兩大類(lèi)，一是直接輸出到紙張或其它多媒體輸出設備（如顯示器、揚聲器等）上；二是存儲到計算機的存儲設備（如磁盤(pán)、磁帶、光盤(pán)）上。

計算機相關(guān)的證據可以認為是廣義的計算機證據，除了計算機產(chǎn)生、存儲的信息之外，還包括計算機模擬結果以及計算機系統的測試結果。所謂計算機模擬，是指在訴訟中利用計算機對已經(jīng)發(fā)生的行為、事件或條件進(jìn)行模擬，提供研究的結果，揭示事物發(fā)展的可能性。計算機系統的測試結果，是指在相同或相似的情況和條件下對計算機系統本身的可靠性進(jìn)行測試，以證實(shí)計算機系統是可信的。

本文探討的是第一種觀(guān)點(diǎn)，把計算機證據定義為：計算機系統運行過(guò)程中產(chǎn)生的或存儲的以其記錄的內容證明案件事實(shí)的電、磁、光信息，這些信息具有多種輸出表現形式。

2.計算機證據的特征

計算機證據作為一種訴訟證據，是現代計算機技術(shù)迅速發(fā)展的產(chǎn)物，具有十分鮮明的特征。雖然在我國的訴訟法中將計算機證據歸類(lèi)為視聽(tīng)資料，但在實(shí)質(zhì)上，計算機存儲的信息與錄音、錄像等其它視聽(tīng)資料存在著(zhù)質(zhì)的區別。

在此，我們僅討論計算機證據最本質(zhì)的特征，即計算機證據的脆弱性。計算機證據的脆弱性指計算機信息很容易被修改，并且修改后不會(huì )留下任何痕跡。計算機數據處理技術(shù)有一個(gè)優(yōu)點(diǎn)歷來(lái)是為人們所稱(chēng)道的，這就是不留痕跡的修改。但這個(gè)為人所稱(chēng)道的優(yōu)點(diǎn)卻成為困擾計算機安全專(zhuān)家和法律專(zhuān)家的棘手問(wèn)題。例如，當懷疑一個(gè)嫌疑人篡改了計算機系統的數據時(shí)，如何證明數據確實(shí)被改動(dòng)過(guò)，被改動(dòng)的是哪一些數據，是什么時(shí)候修改的，是通過(guò)什么途徑修改的，等等。

對于書(shū)證的偽造或變造，利用已經(jīng)成熟的檢驗技術(shù)是能夠比較容易地發(fā)現其偽造或變造部分的；對于錄音、錄像等其它視聽(tīng)資料的刪節、剪接所造成的失實(shí)，也是可以鑒定查清的，在科學(xué)技術(shù)不斷發(fā)展的今天，聲紋鑒定技術(shù)也已經(jīng)相當成熟了。

從本質(zhì)上看，計算機證據與文書(shū)證據有著(zhù)天壤之別。即使是錄音、錄像等視聽(tīng)證據，與計算機證據也有著(zhù)本質(zhì)的區別。在電子技術(shù)領(lǐng)域，錄音、錄像資料是對聲音、圖像的記載，記錄的是模擬信號；而計算機信息是用二進(jìn)制數據表示的，即所謂的數字信號。連續變化的物理量之間的任何變化，在理論上說(shuō)都是可以再現的；但是非連續的數字信號卻不具有這種特性。

計算機數據的載體是電脈沖和磁性材料等，如果計算機系統被竊聽(tīng)或非法復制，對計算機的數據表示幾乎沒(méi)有影響；如果計算機數據被改變了，從物理表示上，也只是集成電路的電子矩陣正負電平或磁性材料磁體的方向發(fā)生了變化，如果不做數據的互相對照，這種物理的變化用戶(hù)是根本感覺(jué)不到的。

3.計算機證據的證據價(jià)值

在我國訴訟法和證據學(xué)理論中，承認計算機產(chǎn)生和存儲的信息可以獨立發(fā)揮證明案件事實(shí)的作用。但是一個(gè)計算機證據是否具有證明力，取決于它是否具有相關(guān)性和客觀(guān)性。所謂相關(guān)性，是指證據與案件事實(shí)之間有著(zhù)某種邏輯的聯(lián)系。所謂客觀(guān)性，是指證據來(lái)源于客觀(guān)事實(shí)本身，不是任何猜測、幻想、夢(mèng)境和虛構的內容，而且沒(méi)有被篡改過(guò)，這是證據首要的本質(zhì)的屬性。

也就是說(shuō)，計算機證據要完成其證據的使命，必須被證實(shí)是真實(shí)可靠的。但是，由于計算機數據的脆弱性（修改后不留痕跡），要想在計算機系統被攻擊之后收集到真實(shí)可靠的攻擊證據，其難度是相當大的。因此，為了保證在計算機系統被攻擊后能夠獲取有效的證據，最有效的方法是對計算機系統的所有活動(dòng)實(shí)施監視和記錄，當計算機系統受到攻擊時(shí)，這些記錄就成為計算機證據。計算機審計技術(shù)的運用使這種設想成為現實(shí)。

三、計算機審計技術(shù)

1.計算機審計概述

計算機審計技術(shù)就是在計算機系統中模擬社會(huì )的審計工作，對計算機系統的活動(dòng)進(jìn)行監視和記錄的一種安全技術(shù)，運用計算機審計技術(shù)的目的就是讓對計算機系統的各種訪(fǎng)問(wèn)留下痕跡，使計算機犯罪行為留下證據。計算機審計技術(shù)的運用形成了計算機審計系統，計算機審計系統可以用硬件和軟件兩種方式實(shí)現。計算機系統完整的審計功能一般由操作系統層次的審計系統和應用軟件層次的審計系統共同完成，兩者互相配合、互為補充。

計算機審計系統應該具有監視功能和檢測功能。監視功能是指審計系統通過(guò)監視對計算機系統的所有操作，為入侵計算機系統的犯罪偵破和犯罪審理提供線(xiàn)索和證據，一個(gè)良好的審計系統還可以協(xié)助發(fā)現潛在的入侵者；檢測功能是指審計系統能夠檢測程序的真實(shí)性、完整性和可靠性，判斷程序是否已被篡改、是否處于正常的運行狀態(tài)中。