關(guān)于計(jì)算機(jī)審計(jì)系統(tǒng)的設(shè)想

摘 要：本文將提出一種不妨稱之為“預(yù)先取證”的方法，這種方法的基本觀點(diǎn)是把審計(jì)的思想引入到計(jì)算機(jī)安全中，通過(guò)法律專家與計(jì)算機(jī)專家的緊密合作，運(yùn)用計(jì)算機(jī)審計(jì)技術(shù)，為敏感的計(jì)算機(jī)系統(tǒng)設(shè)計(jì)出有針對(duì)性的審計(jì)系統(tǒng)，把計(jì)算機(jī)系統(tǒng)的所有活動(dòng)記錄在案，當(dāng)計(jì)算機(jī)系統(tǒng)受到攻擊時(shí)，這些審計(jì)記錄就成為有效的計(jì)算機(jī)證據(jù)。

關(guān)鍵詞：審計(jì)；系統(tǒng)；設(shè)想

DOI：10.19354/j.cnki.42-1616/f.2016.17.151

雖然計(jì)算機(jī)安全防范技術(shù)在不斷進(jìn)步和完善，但是道高一尺、魔高一丈，非法入侵計(jì)算機(jī)系統(tǒng)的案件還是不斷地出現(xiàn)和增加。本文所要探討的，是目前法律界所面臨的緊迫而又棘手的問題，即如何獲取非法入侵或攻擊計(jì)算機(jī)系統(tǒng)的計(jì)算機(jī)證據(jù)。算機(jī)證據(jù)的收集和評(píng)價(jià)是一個(gè)法律問題，但又往往需要一定的計(jì)算機(jī)技術(shù)和其它科學(xué)技術(shù)，甚至是一些尖端的技術(shù)。對(duì)于攻擊計(jì)算機(jī)系統(tǒng)的取證，傳統(tǒng)的方法并不十分有效。

一、計(jì)算機(jī)審計(jì)系統(tǒng)綜述

計(jì)算機(jī)審計(jì)系統(tǒng)應(yīng)該具有監(jiān)視功能和檢測(cè)功能。監(jiān)視功能是指審計(jì)系統(tǒng)通過(guò)監(jiān)視對(duì)計(jì)算機(jī)系統(tǒng)的所有操作，為入侵計(jì)算機(jī)系統(tǒng)的犯罪偵破和犯罪審理提供線索和證據(jù)，一個(gè)良好的審計(jì)系統(tǒng)還可以協(xié)助發(fā)現(xiàn)潛在的入侵者；檢測(cè)功能是指審計(jì)系統(tǒng)能夠檢測(cè)程序的真實(shí)性、完整性和可靠性，判斷程序是否已被篡改、是否處于正常的運(yùn)行狀態(tài)中。計(jì)算機(jī)審計(jì)技術(shù)就是在計(jì)算機(jī)系統(tǒng)中模擬社會(huì)的審計(jì)工作，對(duì)計(jì)算機(jī)系統(tǒng)的活動(dòng)進(jìn)行監(jiān)視和記錄的一種安全技術(shù)，運(yùn)用計(jì)算機(jī)審計(jì)技術(shù)的目的就是讓對(duì)計(jì)算機(jī)系統(tǒng)的各種訪問留下痕跡，使計(jì)算機(jī)犯罪行為留下證據(jù)。計(jì)算機(jī)審計(jì)技術(shù)的運(yùn)用形成了計(jì)算機(jī)審計(jì)系統(tǒng)，計(jì)算機(jī)審計(jì)系統(tǒng)可以用硬件和軟件兩種方式實(shí)現(xiàn)。

獨(dú)立性是審計(jì)工作的本質(zhì)特征，計(jì)算機(jī)審計(jì)的獨(dú)立性具體體現(xiàn)在以下兩個(gè)方面：（1）不管是在操作系統(tǒng)中還是在應(yīng)用軟

件中，審計(jì)系統(tǒng)都應(yīng)作為一個(gè)獨(dú)立的子系統(tǒng)而存在。（2）設(shè)立工作獨(dú)立、行為自主的計(jì)算機(jī)系統(tǒng)審計(jì)員。審計(jì)系統(tǒng)把對(duì)計(jì)算機(jī)系統(tǒng)的所有活動(dòng)以文件形式保存在存儲(chǔ)設(shè)備上，形成系統(tǒng)活動(dòng)的監(jiān)視記錄。監(jiān)視記錄是系統(tǒng)活動(dòng)的真實(shí)寫照，是搜尋潛在入侵者的依據(jù)，也是入侵行為的有力證據(jù)。監(jiān)視記錄本身被實(shí)施最嚴(yán)密的保護(hù)。在保護(hù)監(jiān)視記錄的問題上，應(yīng)該堅(jiān)持獨(dú)立性的原則，即只有審計(jì)員才能訪問監(jiān)視記錄。

二、計(jì)算機(jī)審計(jì)系統(tǒng)的設(shè)想

（一）監(jiān)視記錄的設(shè)計(jì)。監(jiān)視記錄的內(nèi)容包括：用戶標(biāo)識(shí)；（在網(wǎng)絡(luò)上使用時(shí)）使用軟件的設(shè)備地址；使用軟件的起止時(shí)間；調(diào)用的子程序及調(diào)用子程序的起止時(shí)間；訪問的硬件設(shè)備及訪問的起止時(shí)間；使用軟件過(guò)程中訪問的文件和目錄，訪問的類型（創(chuàng)建、打開、關(guān)閉、讀、寫、拷貝、刪除、重命名、運(yùn)行等）以及訪問的起止時(shí)間；針對(duì)文件數(shù)據(jù)的操作，包括讀、增、刪、改、復(fù)制等操作以及操作對(duì)象在文件中的具體位置；對(duì)軟件參數(shù)的修改。

（二）監(jiān)視模塊的設(shè)計(jì)。設(shè)計(jì)的監(jiān)視功能包括：①監(jiān)視整個(gè)應(yīng)用軟件的活動(dòng)，并提供詳細(xì)的監(jiān)視記錄，使所有活動(dòng)留下線索。②允許選擇特定的監(jiān)視對(duì)象，這項(xiàng)功能可以在現(xiàn)有證據(jù)不充分的情況下，令審計(jì)員可以實(shí)施重點(diǎn)監(jiān)視，更深入、詳細(xì)的取證。③在一定程度上檢測(cè)和判定對(duì)系統(tǒng)的入侵和入侵企圖，提供報(bào)警信息并能實(shí)施必要的應(yīng)急措施。④提供對(duì)監(jiān)視記錄的以任何項(xiàng)目為關(guān)鍵字的查詢及各種組合查詢，多方面滿足審計(jì)員的審查需要。⑤報(bào)警參數(shù)管理。審計(jì)員可以通過(guò)報(bào)警參數(shù)管理功能，設(shè)置需要實(shí)時(shí)報(bào)警的事項(xiàng)。⑥監(jiān)視記錄文件的維護(hù)。

（三）檢測(cè)模塊的設(shè)計(jì)。檢測(cè)模塊采用動(dòng)態(tài)檢測(cè)法檢測(cè)程序的真實(shí)性、完整性和可靠性；而對(duì)于數(shù)據(jù)文件的檢測(cè)，則是利用信息驗(yàn)證碼。實(shí)現(xiàn)動(dòng)態(tài)檢測(cè)的關(guān)鍵，是設(shè)計(jì)出針對(duì)被檢軟件的完整的模擬數(shù)據(jù)和模擬操作，并確定其正確的處理結(jié)果。模擬數(shù)據(jù)和模擬操作包括合法的和非法的兩種，這樣做的目的是觀察那些包含安全保護(hù)功能的程序是否能夠阻止非法行為的發(fā)生，從而判斷其安全保護(hù)是否在發(fā)揮作用。實(shí)施檢測(cè)時(shí)將模擬數(shù)據(jù)或模擬操作經(jīng)過(guò)軟件處理后得到的實(shí)際結(jié)果與正確的結(jié)果相比較，確定程序的功能是否可靠、程序是否被修改過(guò)。當(dāng)檢測(cè)到程序的真實(shí)性、完整性和可靠性遭到破壞時(shí)，及時(shí)發(fā)出報(bào)警。信息驗(yàn)證碼是根據(jù)信息的全部?jī)?nèi)容通過(guò)某種算法產(chǎn)生的一種檢驗(yàn)碼，它與信息的全部?jī)?nèi)容密切相關(guān)。

總之，計(jì)算機(jī)審計(jì)是一種嶄新的審計(jì)方式，與手工審計(jì)相

比，變化深刻，有著明顯的特征，從會(huì)計(jì)信息系統(tǒng)審計(jì)來(lái)說(shuō)，其審計(jì)的范圍更為廣泛，審計(jì)線索更為隱蔽、易逝，同時(shí)，審計(jì)取證具有了實(shí)時(shí)性和動(dòng)態(tài)性，審計(jì)技術(shù)也更為復(fù)雜；從計(jì)算機(jī)輔助審計(jì)來(lái)說(shuō)，其審計(jì)過(guò)程由手工操作變?yōu)樽詣?dòng)控制，審計(jì)信息也由手工存儲(chǔ)轉(zhuǎn)變?yōu)樽詣?dòng)存儲(chǔ)，同時(shí)，審計(jì)的作業(yè)小組成分由原來(lái)的審計(jì)人員轉(zhuǎn)變成了審計(jì)和計(jì)算機(jī)知識(shí)兼具的復(fù)合型人才。

參考文獻(xiàn)：

[1] 劉汝焯.審計(jì)數(shù)據(jù)的多維分析技術(shù)[M].北京：清華大學(xué)出版社.2006