摘 要：本文將提出一種不妨稱之為“預先取證”的方法，這種方法的基本觀點是把審計的思想引入到計算機安全中，通過法律專家與計算機專家的緊密合作，運用計算機審計技術，為敏感的計算機系統(tǒng)設計出有針對性的審計系統(tǒng)，把計算機系統(tǒng)的所有活動記錄在案，當計算機系統(tǒng)受到攻擊時，這些審計記錄就成為有效的計算機證據(jù)。

關鍵詞：審計；系統(tǒng)；設想

DOI：10.19354/j.cnki.42-1616/f.2016.17.151

雖然計算機安全防范技術在不斷進步和完善，但是道高一尺、魔高一丈，非法入侵計算機系統(tǒng)的案件還是不斷地出現(xiàn)和增加。本文所要探討的，是目前法律界所面臨的緊迫而又棘手的問題，即如何獲取非法入侵或攻擊計算機系統(tǒng)的計算機證據(jù)。算機證據(jù)的收集和評價是一個法律問題，但又往往需要一定的計算機技術和其它科學技術，甚至是一些尖端的技術。對于攻擊計算機系統(tǒng)的取證，傳統(tǒng)的方法并不十分有效。

一、計算機審計系統(tǒng)綜述

計算機審計系統(tǒng)應該具有監(jiān)視功能和檢測功能。監(jiān)視功能是指審計系統(tǒng)通過監(jiān)視對計算機系統(tǒng)的所有操作，為入侵計算機系統(tǒng)的犯罪偵破和犯罪審理提供線索和證據(jù)，一個良好的審計系統(tǒng)還可以協(xié)助發(fā)現(xiàn)潛在的入侵者；檢測功能是指審計系統(tǒng)能夠檢測程序的真實性、完整性和可靠性，判斷程序是否已被篡改、是否處于正常的運行狀態(tài)中。計算機審計技術就是在計算機系統(tǒng)中模擬社會的審計工作，對計算機系統(tǒng)的活動進行監(jiān)視和記錄的一種安全技術，運用計算機審計技術的目的就是讓對計算機系統(tǒng)的各種訪問留下痕跡，使計算機犯罪行為留下證據(jù)。計算機審計技術的運用形成了計算機審計系統(tǒng)，計算機審計系統(tǒng)可以用硬件和軟件兩種方式實現(xiàn)。

獨立性是審計工作的本質特征，計算機審計的獨立性具體體現(xiàn)在以下兩個方面：（1）不管是在操作系統(tǒng)中還是在應用軟

件中，審計系統(tǒng)都應作為一個獨立的子系統(tǒng)而存在。（2）設立工作獨立、行為自主的計算機系統(tǒng)審計員。審計系統(tǒng)把對計算機系統(tǒng)的所有活動以文件形式保存在存儲設備上，形成系統(tǒng)活動的監(jiān)視記錄。監(jiān)視記錄是系統(tǒng)活動的真實寫照，是搜尋潛在入侵者的依據(jù)，也是入侵行為的有力證據(jù)。監(jiān)視記錄本身被實施最嚴密的保護。在保護監(jiān)視記錄的問題上，應該堅持獨立性的原則，即只有審計員才能訪問監(jiān)視記錄。

二、計算機審計系統(tǒng)的設想

（一）監(jiān)視記錄的設計。監(jiān)視記錄的內(nèi)容包括：用戶標識；（在網(wǎng)絡上使用時）使用軟件的設備地址；使用軟件的起止時間；調(diào)用的子程序及調(diào)用子程序的起止時間；訪問的硬件設備及訪問的起止時間；使用軟件過程中訪問的文件和目錄，訪問的類型（創(chuàng)建、打開、關閉、讀、寫、拷貝、刪除、重命名、運行等）以及訪問的起止時間；針對文件數(shù)據(jù)的操作，包括讀、增、刪、改、復制等操作以及操作對象在文件中的具體位置；對軟件參數(shù)的修改。

（二）監(jiān)視模塊的設計。設計的監(jiān)視功能包括：①監(jiān)視整個應用軟件的活動，并提供詳細的監(jiān)視記錄，使所有活動留下線索。②允許選擇特定的監(jiān)視對象，這項功能可以在現(xiàn)有證據(jù)不充分的情況下，令審計員可以實施重點監(jiān)視，更深入、詳細的取證。③在一定程度上檢測和判定對系統(tǒng)的入侵和入侵企圖，提供報警信息并能實施必要的應急措施。④提供對監(jiān)視記錄的以任何項目為關鍵字的查詢及各種組合查詢，多方面滿足審計員的審查需要。⑤報警參數(shù)管理。審計員可以通過報警參數(shù)管理功能，設置需要實時報警的事項。⑥監(jiān)視記錄文件的維護。

（三）檢測模塊的設計。檢測模塊采用動態(tài)檢測法檢測程序的真實性、完整性和可靠性；而對于數(shù)據(jù)文件的檢測，則是利用信息驗證碼。實現(xiàn)動態(tài)檢測的關鍵，是設計出針對被檢軟件的完整的模擬數(shù)據(jù)和模擬操作，并確定其正確的處理結果。模擬數(shù)據(jù)和模擬操作包括合法的和非法的兩種，這樣做的目的是觀察那些包含安全保護功能的程序是否能夠阻止非法行為的發(fā)生，從而判斷其安全保護是否在發(fā)揮作用。實施檢測時將模擬數(shù)據(jù)或模擬操作經(jīng)過軟件處理后得到的實際結果與正確的結果相比較，確定程序的功能是否可靠、程序是否被修改過。當檢測到程序的真實性、完整性和可靠性遭到破壞時，及時發(fā)出報警。信息驗證碼是根據(jù)信息的全部內(nèi)容通過某種算法產(chǎn)生的一種檢驗碼，它與信息的全部內(nèi)容密切相關。

總之，計算機審計是一種嶄新的審計方式，與手工審計相

比，變化深刻，有著明顯的特征，從會計信息系統(tǒng)審計來說，其審計的范圍更為廣泛，審計線索更為隱蔽、易逝，同時，審計取證具有了實時性和動態(tài)性，審計技術也更為復雜；從計算機輔助審計來說，其審計過程由手工操作變?yōu)樽詣涌刂?，審計信息也由手工存儲轉變?yōu)樽詣哟鎯Γ瑫r，審計的作業(yè)小組成分由原來的審計人員轉變成了審計和計算機知識兼具的復合型人才。

參考文獻：

[1] 劉汝焯.審計數(shù)據(jù)的多維分析技術[M].北京：清華大學出版社.2006