計算機證據與計算機審計技術(shù)

獨立性是審計工作的本質(zhì)特征，計算機審計的獨立性具體體現在以下兩個(gè)方面：（1）不管是在操作系統中還是在應用軟件中，審計系統都應作為一個(gè)獨立的子系統而存在。（2）設立工作獨立、行為自主的計算機系統審計員。審計員是特殊的計算機系統（安全）管理員，只有它才能控制、管理、使用審計系統。審計員的行為不受任何其它計算機用戶(hù)的控制和干擾，包括計算機系統（安全）管理員。

審計系統把對計算機系統的所有活動(dòng)以文件形式保存在存儲設備上，形成系統活動(dòng)的監視記錄。監視記錄是系統活動(dòng)的真實(shí)寫(xiě)照，是搜尋潛在入侵者的依據，也是入侵行為的有力證據。監視記錄本身被實(shí)施最嚴密的保護。在保護監視記錄的問(wèn)題上，應該堅持獨立性的原則，即只有審計員才能訪(fǎng)問(wèn)監視記錄。

目前常用的操作系統包括網(wǎng)絡(luò )操作系統如NetWare、Windows NT、UNLX等，均提供了審計功能。操作系統提供的是面向整個(gè)系統的審計功能，不足之處是不可能考慮到各種應用軟件的具體情況，不能很好地滿(mǎn)足各種客戶(hù)的需要。操作系統的審計功能既成定局，難以改變，但計算機用戶(hù)可以根據應用軟件的特點(diǎn)和自身的需要，設計出有針對性的應用軟件審計系統。下面將介紹一種應用軟件審計系統的設計思想。

2.應用軟件審計系統的設計思想

雖然本文所探討的是證據的問(wèn)題，但是有些功能（例如報警功能以及一些與分析潛在入侵者相關(guān)的功能）是審計系統所必備的，下面也一塊列舉。

（1）監視記錄的設計

監視記錄的內容包括：用戶(hù)標識；（在網(wǎng)絡(luò )上使用時(shí)）使用軟件的設備地址；使用軟件的起止時(shí)間；調用的子程序及調用子程序的起止時(shí)間；訪(fǎng)問(wèn)的硬件設備及訪(fǎng)問(wèn)的起止時(shí)間；使用軟件過(guò)程中訪(fǎng)問(wèn)的文件和目錄，訪(fǎng)問(wèn)的類(lèi)型（創(chuàng )建、打開(kāi)、關(guān)閉、讀、寫(xiě)、拷貝、刪除、重命名、運行等）以及訪(fǎng)問(wèn)的起止時(shí)間；針對文件數據的操作，包括讀、增、刪、改、復制等操作以及操作對象在文件中的具體位置；對軟件參數的修改。

對于每一項活動(dòng)，監視記錄還應該記錄該項活動(dòng)成功還是失敗，活動(dòng)引發(fā)者對于該項活動(dòng)的有關(guān)授權狀態(tài)，地址空間的使用情況。

（2）監視模塊的設計

設計的監視功能包括：

①監視整個(gè)應用軟件的活動(dòng)，并提供詳細的監視記錄，使所有活動(dòng)留下線(xiàn)索。

②允許選擇特定的監視對象，這項功能可以在現有證據不充分的情況下，令審計員可以實(shí)施重點(diǎn)監視，更深入、詳細的取證。特定的監視對象可以是文件、目錄、打印機、磁盤(pán)、計算機、用戶(hù)等。

③在一定程度上檢測和判定對系統的入侵和入侵企圖，提供報警信息并能實(shí)施必要的應急措施。例如，如果發(fā)現某個(gè)用戶(hù)連續多次不成功進(jìn)入系統或某個(gè)敏感子程序，應立即向安全控制臺報警，甚至鎖住該用戶(hù)的帳號等待進(jìn)一步的調查。

④提供對監視記錄的以任何項目為關(guān)鍵字的查詢(xún)及各種組合查詢(xún)，多方面滿(mǎn)足審計員的審查需要。

⑤報警參數管理。審計員可以通過(guò)報警參數管理功能，設置需要實(shí)時(shí)報警的事項。

⑥監視記錄文件的維護。隨著(zhù)時(shí)間的推移，監視記錄文件會(huì )不斷地膨脹，因此，有必要提供對監視記錄文件的各種維護處理，如轉存、拷貝等。

（3）檢測模塊的設計

檢測模塊采用動(dòng)態(tài)檢測法檢測程序的真實(shí)性、完整性和可靠性；而對于數據文件的檢測，則是利用信息驗證碼。

實(shí)現動(dòng)態(tài)檢測的關(guān)鍵，是設計出針對被檢軟件的完整的模擬數據和模擬操作，并確定其正確的處理結果。模擬數據和模擬操作包括合法的和非法的兩種，這樣做的目的是觀(guān)察那些包含安全保護功能的程序是否能夠阻止非法行為的發(fā)生，從而判斷其安全保護是否在發(fā)揮作用。實(shí)施檢測時(shí)將模擬數據或模擬操作經(jīng)過(guò)軟件處理后得到的實(shí)際結果與正確的結果相比較，確定程序的功能是否可靠、程序是否被修改過(guò)。當檢測到程序的真實(shí)性、完整性和可靠性遭到破壞時(shí)，及時(shí)發(fā)出報警。

信息驗證碼是根據信息的全部?jì)热萃ㄟ^(guò)某種算法產(chǎn)生的一種檢驗碼，它與信息的全部?jì)热菝芮邢嚓P(guān)。即使文件中有一比特的改變，都會(huì )導致信息驗證碼的改變。因此，在設計應用軟件時(shí)，保證在每次保存數據文件時(shí)計算出當時(shí)的信息驗證碼并同時(shí)保存起來(lái)，檢測模塊通過(guò)計算信息驗證碼并與保存文件時(shí)的信息驗證碼進(jìn)行比較，即可發(fā)現文件中的數據是否被篡改過(guò)。

更多計算機與外設信息請關(guān)注：21ic計算機與外設頻道