24周年

財稅實務(wù) 高薪就業(yè) 學(xué)歷教育
APP下載
APP下載新用戶掃碼下載
立享專屬優(yōu)惠

安卓版本:8.7.50 蘋果版本:8.7.50

開發(fā)者:北京正保會計科技有限公司

應(yīng)用涉及權(quán)限:查看權(quán)限>

APP隱私政策:查看政策>

HD版本上線:點擊下載>

計算機證據(jù)與計算機審計技術(shù)

來源: 中國會計師網(wǎng) 編輯: 2008/08/08 15:47:39  字體:

  一、概述

  隨著計算機和計算機網(wǎng)絡(luò)技術(shù)的不斷發(fā)展,計算機及計算機網(wǎng)絡(luò)的應(yīng)用日趨廣泛,同時,計算機系統(tǒng)也越來越多地成為攻擊的對象。雖然計算機安全防范技術(shù)在不斷進步和完善,但是道高一尺、魔高一丈,非法入侵計算機系統(tǒng)的案件還是不斷地出現(xiàn)和增加。本文所要探討的,是目前法律界所面臨的緊迫而又棘手的問題,即如何獲取非法入侵或攻擊計算機系統(tǒng)的計算機證據(jù)。相對一般的證據(jù)而言,計算機證據(jù)具有鮮明的特點。計算機證據(jù)的收集和評價是一個法律問題,但又往往需要一定的計算機技術(shù)和其它科學(xué)技術(shù),甚至是一些尖端的技術(shù)。對于攻擊計算機系統(tǒng)的取證,傳統(tǒng)的方法并不十分有效。本文將提出一種不妨稱之為“預(yù)先取證”的方法,這種方法的基本觀點是把審計的思想引入到計算機安全中,通過法律專家與計算機專家的緊密合作,運用計算機審計技術(shù),為敏感的計算機系統(tǒng)設(shè)計出有針對性的審計系統(tǒng),把計算機系統(tǒng)的所有活動記錄在案,當(dāng)計算機系統(tǒng)受到攻擊時,這些審計記錄就成為有效的計算機證據(jù)。

  二、計算機證據(jù)

  要理解運用計算機審計技術(shù)的必要性,需要對計算機證據(jù)的特征有一個清晰的認識。

  1.什么是計算機證據(jù)

  關(guān)于計算機證據(jù)的概念,目前在學(xué)理上并沒有統(tǒng)一的認識,存在著多種觀點,比較為大眾所認可的有兩種觀點。其中一種觀點認為,計算機證據(jù)為計算機產(chǎn)生的證據(jù)(Computer generated evidence),而另一種觀點則認為計算機證據(jù)應(yīng)該表述為計算機相關(guān)的證據(jù)(Computer-related evidence)。

  計算機產(chǎn)生的證據(jù)是指計算機根據(jù)程序指令對輸入計算機的數(shù)據(jù)進行處理,然后輸出形成的記錄文件。它的表現(xiàn)形式有兩大類,一是直接輸出到紙張或其它多媒體輸出設(shè)備(如顯示器、揚聲器等)上;二是存儲到計算機的存儲設(shè)備(如磁盤、磁帶、光盤)上。

  計算機相關(guān)的證據(jù)可以認為是廣義的計算機證據(jù),除了計算機產(chǎn)生、存儲的信息之外,還包括計算機模擬結(jié)果以及計算機系統(tǒng)的測試結(jié)果。所謂計算機模擬,是指在訴訟中利用計算機對已經(jīng)發(fā)生的行為、事件或條件進行模擬,提供研究的結(jié)果,揭示事物發(fā)展的可能性。計算機系統(tǒng)的測試結(jié)果,是指在相同或相似的情況和條件下對計算機系統(tǒng)本身的可靠性進行測試,以證實計算機系統(tǒng)是可信的。

  本文探討的是第一種觀點,把計算機證據(jù)定義為:計算機系統(tǒng)運行過程中產(chǎn)生的或存儲的以其記錄的內(nèi)容證明案件事實的電、磁、光信息,這些信息具有多種輸出表現(xiàn)形式。

  2.計算機證據(jù)的特征

  計算機證據(jù)作為一種訴訟證據(jù),是現(xiàn)代計算機技術(shù)迅速發(fā)展的產(chǎn)物,具有十分鮮明的特征。雖然在我國的訴訟法中將計算機證據(jù)歸類為視聽資料,但在實質(zhì)上,計算機存儲的信息與錄音、錄像等其它視聽資料存在著質(zhì)的區(qū)別。

  在此,我們僅討論計算機證據(jù)最本質(zhì)的特征,即計算機證據(jù)的脆弱性。計算機證據(jù)的脆弱性指計算機信息很容易被修改,并且修改后不會留下任何痕跡。計算機數(shù)據(jù)處理技術(shù)有一個優(yōu)點歷來是為人們所稱道的,這就是不留痕跡的修改。但這個為人所稱道的優(yōu)點卻成為困擾計算機安全專家和法律專家的棘手問題。例如,當(dāng)懷疑一個嫌疑人篡改了計算機系統(tǒng)的數(shù)據(jù)時,如何證明數(shù)據(jù)確實被改動過,被改動的是哪一些數(shù)據(jù),是什么時候修改的,是通過什么途徑修改的,等等。

  對于書證的偽造或變造,利用已經(jīng)成熟的檢驗技術(shù)是能夠比較容易地發(fā)現(xiàn)其偽造或變造部分的;對于錄音、錄像等其它視聽資料的刪節(jié)、剪接所造成的失實,也是可以鑒定查清的,在科學(xué)技術(shù)不斷發(fā)展的今天,聲紋鑒定技術(shù)也已經(jīng)相當(dāng)成熟了。

  從本質(zhì)上看,計算機證據(jù)與文書證據(jù)有著天壤之別。即使是錄音、錄像等視聽證據(jù),與計算機證據(jù)也有著本質(zhì)的區(qū)別。在電子技術(shù)領(lǐng)域,錄音、錄像資料是對聲音、圖像的記載,記錄的是模擬信號;而計算機信息是用二進制數(shù)據(jù)表示的,即所謂的數(shù)字信號。連續(xù)變化的物理量之間的任何變化,在理論上說都是可以再現(xiàn)的;但是非連續(xù)的數(shù)字信號卻不具有這種特性。

  計算機數(shù)據(jù)的載體是電脈沖和磁性材料等,如果計算機系統(tǒng)被竊聽或非法復(fù)制,對計算機的數(shù)據(jù)表示幾乎沒有影響;如果計算機數(shù)據(jù)被改變了,從物理表示上,也只是集成電路的電子矩陣正負電平或磁性材料磁體的方向發(fā)生了變化,如果不做數(shù)據(jù)的互相對照,這種物理的變化用戶是根本感覺不到的。

  3.計算機證據(jù)的證據(jù)價值

  在我國訴訟法和證據(jù)學(xué)理論中,承認計算機產(chǎn)生和存儲的信息可以獨立發(fā)揮證明案件事實的作用。但是一個計算機證據(jù)是否具有證明力,取決于它是否具有相關(guān)性和客觀性。所謂相關(guān)性,是指證據(jù)與案件事實之間有著某種邏輯的聯(lián)系。所謂客觀性,是指證據(jù)來源于客觀事實本身,不是任何猜測、幻想、夢境和虛構(gòu)的內(nèi)容,而且沒有被篡改過,這是證據(jù)首要的本質(zhì)的屬性。

  也就是說,計算機證據(jù)要完成其證據(jù)的使命,必須被證實是真實可靠的。但是,由于計算機數(shù)據(jù)的脆弱性(修改后不留痕跡),要想在計算機系統(tǒng)被攻擊之后收集到真實可靠的攻擊證據(jù),其難度是相當(dāng)大的。因此,為了保證在計算機系統(tǒng)被攻擊后能夠獲取有效的證據(jù),最有效的方法是對計算機系統(tǒng)的所有活動實施監(jiān)視和記錄,當(dāng)計算機系統(tǒng)受到攻擊時,這些記錄就成為計算機證據(jù)。計算機審計技術(shù)的運用使這種設(shè)想成為現(xiàn)實。

  三、計算機審計技術(shù)

  1.計算機審計概述

  計算機審計技術(shù)就是在計算機系統(tǒng)中模擬社會的審計工作,對計算機系統(tǒng)的活動進行監(jiān)視和記錄的一種安全技術(shù),運用計算機審計技術(shù)的目的就是讓對計算機系統(tǒng)的各種訪問留下痕跡,使計算機犯罪行為留下證據(jù)。計算機審計技術(shù)的運用形成了計算機審計系統(tǒng),計算機審計系統(tǒng)可以用硬件和軟件兩種方式實現(xiàn)。計算機系統(tǒng)完整的審計功能一般由操作系統(tǒng)層次的審計系統(tǒng)和應(yīng)用軟件層次的審計系統(tǒng)共同完成,兩者互相配合、互為補充。

  計算機審計系統(tǒng)應(yīng)該具有監(jiān)視功能和檢測功能。監(jiān)視功能是指審計系統(tǒng)通過監(jiān)視對計算機系統(tǒng)的所有操作,為入侵計算機系統(tǒng)的犯罪偵破和犯罪審理提供線索和證據(jù),一個良好的審計系統(tǒng)還可以協(xié)助發(fā)現(xiàn)潛在的入侵者;檢測功能是指審計系統(tǒng)能夠檢測程序的真實性、完整性和可靠性,判斷程序是否已被篡改、是否處于正常的運行狀態(tài)中。

  獨立性是審計工作的本質(zhì)特征,計算機審計的獨立性具體體現(xiàn)在以下兩個方面:(1)不管是在操作系統(tǒng)中還是在應(yīng)用軟件中,審計系統(tǒng)都應(yīng)作為一個獨立的子系統(tǒng)而存在。(2)設(shè)立工作獨立、行為自主的計算機系統(tǒng)審計員。審計員是特殊的計算機系統(tǒng)(安全)管理員,只有它才能控制、管理、使用審計系統(tǒng)。審計員的行為不受任何其它計算機用戶的控制和干擾,包括計算機系統(tǒng)(安全)管理員。

  審計系統(tǒng)把對計算機系統(tǒng)的所有活動以文件形式保存在存儲設(shè)備上,形成系統(tǒng)活動的監(jiān)視記錄。監(jiān)視記錄是系統(tǒng)活動的真實寫照,是搜尋潛在入侵者的依據(jù),也是入侵行為的有力證據(jù)。監(jiān)視記錄本身被實施最嚴密的保護。在保護監(jiān)視記錄的問題上,應(yīng)該堅持獨立性的原則,即只有審計員才能訪問監(jiān)視記錄。

  目前常用的操作系統(tǒng)包括網(wǎng)絡(luò)操作系統(tǒng)如NetWare、Windows NT、UNLX等,均提供了審計功能。操作系統(tǒng)提供的是面向整個系統(tǒng)的審計功能,不足之處是不可能考慮到各種應(yīng)用軟件的具體情況,不能很好地滿足各種客戶的需要。操作系統(tǒng)的審計功能既成定局,難以改變,但計算機用戶可以根據(jù)應(yīng)用軟件的特點和自身的需要,設(shè)計出有針對性的應(yīng)用軟件審計系統(tǒng)。下面將介紹一種應(yīng)用軟件審計系統(tǒng)的設(shè)計思想。

  2.應(yīng)用軟件審計系統(tǒng)的設(shè)計思想

  雖然本文所探討的是證據(jù)的問題,但是有些功能(例如報警功能以及一些與分析潛在入侵者相關(guān)的功能)是審計系統(tǒng)所必備的,下面也一塊列舉。

  (1)監(jiān)視記錄的設(shè)計

  監(jiān)視記錄的內(nèi)容包括:用戶標識;(在網(wǎng)絡(luò)上使用時)使用軟件的設(shè)備地址;使用軟件的起止時間;調(diào)用的子程序及調(diào)用子程序的起止時間;訪問的硬件設(shè)備及訪問的起止時間;使用軟件過程中訪問的文件和目錄,訪問的類型(創(chuàng)建、打開、關(guān)閉、讀、寫、拷貝、刪除、重命名、運行等)以及訪問的起止時間;針對文件數(shù)據(jù)的操作,包括讀、增、刪、改、復(fù)制等操作以及操作對象在文件中的具體位置;對軟件參數(shù)的修改。

  對于每一項活動,監(jiān)視記錄還應(yīng)該記錄該項活動成功還是失敗,活動引發(fā)者對于該項活動的有關(guān)授權(quán)狀態(tài),地址空間的使用情況。

 ?。?)監(jiān)視模塊的設(shè)計

  設(shè)計的監(jiān)視功能包括:

 ?、俦O(jiān)視整個應(yīng)用軟件的活動,并提供詳細的監(jiān)視記錄,使所有活動留下線索。

 ?、谠试S選擇特定的監(jiān)視對象,這項功能可以在現(xiàn)有證據(jù)不充分的情況下,令審計員可以實施重點監(jiān)視,更深入、詳細的取證。特定的監(jiān)視對象可以是文件、目錄、打印機、磁盤、計算機、用戶等。

 ?、墼谝欢ǔ潭壬蠙z測和判定對系統(tǒng)的入侵和入侵企圖,提供報警信息并能實施必要的應(yīng)急措施。例如,如果發(fā)現(xiàn)某個用戶連續(xù)多次不成功進入系統(tǒng)或某個敏感子程序,應(yīng)立即向安全控制臺報警,甚至鎖住該用戶的帳號等待進一步的調(diào)查。

  ④提供對監(jiān)視記錄的以任何項目為關(guān)鍵字的查詢及各種組合查詢,多方面滿足審計員的審查需要。

 ?、輬缶瘏?shù)管理。審計員可以通過報警參數(shù)管理功能,設(shè)置需要實時報警的事項。

 ?、薇O(jiān)視記錄文件的維護。隨著時間的推移,監(jiān)視記錄文件會不斷地膨脹,因此,有必要提供對監(jiān)視記錄文件的各種維護處理,如轉(zhuǎn)存、拷貝等。

 ?。?)檢測模塊的設(shè)計

  檢測模塊采用動態(tài)檢測法檢測程序的真實性、完整性和可靠性;而對于數(shù)據(jù)文件的檢測,則是利用信息驗證碼。

  實現(xiàn)動態(tài)檢測的關(guān)鍵,是設(shè)計出針對被檢軟件的完整的模擬數(shù)據(jù)和模擬操作,并確定其正確的處理結(jié)果。模擬數(shù)據(jù)和模擬操作包括合法的和非法的兩種,這樣做的目的是觀察那些包含安全保護功能的程序是否能夠阻止非法行為的發(fā)生,從而判斷其安全保護是否在發(fā)揮作用。實施檢測時將模擬數(shù)據(jù)或模擬操作經(jīng)過軟件處理后得到的實際結(jié)果與正確的結(jié)果相比較,確定程序的功能是否可靠、程序是否被修改過。當(dāng)檢測到程序的真實性、完整性和可靠性遭到破壞時,及時發(fā)出報警。

  信息驗證碼是根據(jù)信息的全部內(nèi)容通過某種算法產(chǎn)生的一種檢驗碼,它與信息的全部內(nèi)容密切相關(guān)。即使文件中有一比特的改變,都會導(dǎo)致信息驗證碼的改變。因此,在設(shè)計應(yīng)用軟件時,保證在每次保存數(shù)據(jù)文件時計算出當(dāng)時的信息驗證碼并同時保存起來,檢測模塊通過計算信息驗證碼并與保存文件時的信息驗證碼進行比較,即可發(fā)現(xiàn)文件中的數(shù)據(jù)是否被篡改過。

實務(wù)學(xué)習(xí)指南

回到頂部
折疊
網(wǎng)站地圖

Copyright © 2000 - yinshua168.com.cn All Rights Reserved. 北京正保會計科技有限公司 版權(quán)所有

京B2-20200959 京ICP備20012371號-7 出版物經(jīng)營許可證 京公網(wǎng)安備 11010802044457號