計(jì)算機(jī)證據(jù)與計(jì)算機(jī)審計(jì)技術(shù)

獨(dú)立性是審計(jì)工作的本質(zhì)特征，計(jì)算機(jī)審計(jì)的獨(dú)立性具體體現(xiàn)在以下兩個方面：（1）不管是在操作系統(tǒng)中還是在應(yīng)用軟件中，審計(jì)系統(tǒng)都應(yīng)作為一個獨(dú)立的子系統(tǒng)而存在。（2）設(shè)立工作獨(dú)立、行為自主的計(jì)算機(jī)系統(tǒng)審計(jì)員。審計(jì)員是特殊的計(jì)算機(jī)系統(tǒng)（安全）管理員，只有它才能控制、管理、使用審計(jì)系統(tǒng)。審計(jì)員的行為不受任何其它計(jì)算機(jī)用戶的控制和干擾，包括計(jì)算機(jī)系統(tǒng)（安全）管理員。

審計(jì)系統(tǒng)把對計(jì)算機(jī)系統(tǒng)的所有活動以文件形式保存在存儲設(shè)備上，形成系統(tǒng)活動的監(jiān)視記錄。監(jiān)視記錄是系統(tǒng)活動的真實(shí)寫照，是搜尋潛在入侵者的依據(jù)，也是入侵行為的有力證據(jù)。監(jiān)視記錄本身被實(shí)施最嚴(yán)密的保護(hù)。在保護(hù)監(jiān)視記錄的問題上，應(yīng)該堅(jiān)持獨(dú)立性的原則，即只有審計(jì)員才能訪問監(jiān)視記錄。

目前常用的操作系統(tǒng)包括網(wǎng)絡(luò)操作系統(tǒng)如NetWare、Windows NT、UNLX等，均提供了審計(jì)功能。操作系統(tǒng)提供的是面向整個系統(tǒng)的審計(jì)功能，不足之處是不可能考慮到各種應(yīng)用軟件的具體情況，不能很好地滿足各種客戶的需要。操作系統(tǒng)的審計(jì)功能既成定局，難以改變，但計(jì)算機(jī)用戶可以根據(jù)應(yīng)用軟件的特點(diǎn)和自身的需要，設(shè)計(jì)出有針對性的應(yīng)用軟件審計(jì)系統(tǒng)。下面將介紹一種應(yīng)用軟件審計(jì)系統(tǒng)的設(shè)計(jì)思想。

2.應(yīng)用軟件審計(jì)系統(tǒng)的設(shè)計(jì)思想

雖然本文所探討的是證據(jù)的問題，但是有些功能（例如報警功能以及一些與分析潛在入侵者相關(guān)的功能）是審計(jì)系統(tǒng)所必備的，下面也一塊列舉。

（1）監(jiān)視記錄的設(shè)計(jì)

監(jiān)視記錄的內(nèi)容包括：用戶標(biāo)識；（在網(wǎng)絡(luò)上使用時）使用軟件的設(shè)備地址；使用軟件的起止時間；調(diào)用的子程序及調(diào)用子程序的起止時間；訪問的硬件設(shè)備及訪問的起止時間；使用軟件過程中訪問的文件和目錄，訪問的類型（創(chuàng)建、打開、關(guān)閉、讀、寫、拷貝、刪除、重命名、運(yùn)行等）以及訪問的起止時間；針對文件數(shù)據(jù)的操作，包括讀、增、刪、改、復(fù)制等操作以及操作對象在文件中的具體位置；對軟件參數(shù)的修改。

對于每一項(xiàng)活動，監(jiān)視記錄還應(yīng)該記錄該項(xiàng)活動成功還是失敗，活動引發(fā)者對于該項(xiàng)活動的有關(guān)授權(quán)狀態(tài)，地址空間的使用情況。

（2）監(jiān)視模塊的設(shè)計(jì)

設(shè)計(jì)的監(jiān)視功能包括：

①監(jiān)視整個應(yīng)用軟件的活動，并提供詳細(xì)的監(jiān)視記錄，使所有活動留下線索。

②允許選擇特定的監(jiān)視對象，這項(xiàng)功能可以在現(xiàn)有證據(jù)不充分的情況下，令審計(jì)員可以實(shí)施重點(diǎn)監(jiān)視，更深入、詳細(xì)的取證。特定的監(jiān)視對象可以是文件、目錄、打印機(jī)、磁盤、計(jì)算機(jī)、用戶等。

③在一定程度上檢測和判定對系統(tǒng)的入侵和入侵企圖，提供報警信息并能實(shí)施必要的應(yīng)急措施。例如，如果發(fā)現(xiàn)某個用戶連續(xù)多次不成功進(jìn)入系統(tǒng)或某個敏感子程序，應(yīng)立即向安全控制臺報警，甚至鎖住該用戶的帳號等待進(jìn)一步的調(diào)查。

④提供對監(jiān)視記錄的以任何項(xiàng)目為關(guān)鍵字的查詢及各種組合查詢，多方面滿足審計(jì)員的審查需要。

⑤報警參數(shù)管理。審計(jì)員可以通過報警參數(shù)管理功能，設(shè)置需要實(shí)時報警的事項(xiàng)。

⑥監(jiān)視記錄文件的維護(hù)。隨著時間的推移，監(jiān)視記錄文件會不斷地膨脹，因此，有必要提供對監(jiān)視記錄文件的各種維護(hù)處理，如轉(zhuǎn)存、拷貝等。

（3）檢測模塊的設(shè)計(jì)

檢測模塊采用動態(tài)檢測法檢測程序的真實(shí)性、完整性和可靠性；而對于數(shù)據(jù)文件的檢測，則是利用信息驗(yàn)證碼。

實(shí)現(xiàn)動態(tài)檢測的關(guān)鍵，是設(shè)計(jì)出針對被檢軟件的完整的模擬數(shù)據(jù)和模擬操作，并確定其正確的處理結(jié)果。模擬數(shù)據(jù)和模擬操作包括合法的和非法的兩種，這樣做的目的是觀察那些包含安全保護(hù)功能的程序是否能夠阻止非法行為的發(fā)生，從而判斷其安全保護(hù)是否在發(fā)揮作用。實(shí)施檢測時將模擬數(shù)據(jù)或模擬操作經(jīng)過軟件處理后得到的實(shí)際結(jié)果與正確的結(jié)果相比較，確定程序的功能是否可靠、程序是否被修改過。當(dāng)檢測到程序的真實(shí)性、完整性和可靠性遭到破壞時，及時發(fā)出報警。

信息驗(yàn)證碼是根據(jù)信息的全部內(nèi)容通過某種算法產(chǎn)生的一種檢驗(yàn)碼，它與信息的全部內(nèi)容密切相關(guān)。即使文件中有一比特的改變，都會導(dǎo)致信息驗(yàn)證碼的改變。因此，在設(shè)計(jì)應(yīng)用軟件時，保證在每次保存數(shù)據(jù)文件時計(jì)算出當(dāng)時的信息驗(yàn)證碼并同時保存起來，檢測模塊通過計(jì)算信息驗(yàn)證碼并與保存文件時的信息驗(yàn)證碼進(jìn)行比較，即可發(fā)現(xiàn)文件中的數(shù)據(jù)是否被篡改過。

更多計(jì)算機(jī)與外設(shè)信息請關(guān)注：21ic計(jì)算機(jī)與外設(shè)頻道