計(jì)算機(jī)證據(jù)與計(jì)算機(jī)審計(jì)技術(shù)1

計(jì)算機(jī)證據(jù)與計(jì)算機(jī)審計(jì)技術(shù)

一、概述

隨著計(jì)算機(jī)和計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，計(jì)算機(jī)及計(jì)算機(jī)網(wǎng)絡(luò)

的應(yīng)用日趨廣泛，同時(shí)，計(jì)算機(jī)系統(tǒng)也越來(lái)越多地成為攻擊的對(duì)象。雖然計(jì)算

機(jī)安全防范技術(shù)在不斷進(jìn)步和完善，但是道高一尺、魔高一丈，非法入侵計(jì)算機(jī)

系統(tǒng)的案件還是不斷地出現(xiàn)和增加。本文所要探討的，是目前法律界所面臨

的緊迫而又棘手的問(wèn)題，即如何獲取非法入侵或攻擊計(jì)算機(jī)系統(tǒng)的計(jì)算機(jī)證

據(jù)。相對(duì)一般的證據(jù)而言，計(jì)算機(jī)證據(jù)具有鮮明的特點(diǎn)。計(jì)算機(jī)證據(jù)的收集和評(píng)

價(jià)是一個(gè)法律問(wèn)題，但又往往需要一定的計(jì)算機(jī)技術(shù)和其它科學(xué)技術(shù)，甚至是

一些尖端的技術(shù)。對(duì)于攻擊計(jì)算機(jī)系統(tǒng)的取證，傳統(tǒng)的方法并不十分有效。本

文將提出一種不妨稱(chēng)之為“預(yù)先取證”的方法，這種方法的基本觀點(diǎn)是把審計(jì)的思

想引入到計(jì)算機(jī)安全中，通過(guò)法律專(zhuān)家與計(jì)算機(jī)專(zhuān)家的緊密合作，運(yùn)用計(jì)算機(jī)審

計(jì)技術(shù)，為敏感的計(jì)算機(jī)系統(tǒng)設(shè)計(jì)出有針對(duì)性的審計(jì)系統(tǒng)，把計(jì)算機(jī)系統(tǒng)的所有

活動(dòng)記錄在案，當(dāng)計(jì)算機(jī)系統(tǒng)受到攻擊時(shí)，這些審計(jì)記錄就成為有效的計(jì)算機(jī)證

據(jù)。

二、計(jì)算機(jī)證據(jù)

要理解運(yùn)用計(jì)算機(jī)審計(jì)技術(shù)的必要性，需要對(duì)計(jì)算機(jī)證據(jù)的特征有一個(gè)

清晰的認(rèn)識(shí)。

1.什么是計(jì)算機(jī)證據(jù)

關(guān)于計(jì)算機(jī)證據(jù)的概念，目前在學(xué)理上并沒(méi)有統(tǒng)一的認(rèn)識(shí)，存在著多種

觀點(diǎn)，比較為大眾所認(rèn)可的有兩種觀點(diǎn)。其中一種觀點(diǎn)認(rèn)為，計(jì)算機(jī)證據(jù)為計(jì)算

機(jī)產(chǎn)生的證據(jù)（Computergeneratedevidence）,而另一種觀點(diǎn)則認(rèn)為計(jì)算機(jī)證

據(jù)應(yīng)該表述為計(jì)算機(jī)相關(guān)的證據(jù)（Computer-relatedevidenceb

計(jì)算機(jī)產(chǎn)生的證據(jù)是指計(jì)算機(jī)根據(jù)程序指令對(duì)輸入計(jì)算機(jī)的數(shù)據(jù)進(jìn)行處

理，然后輸出形成的記錄文件。它的表現(xiàn)形式有兩大類(lèi)，一是直接輸出到紙張或

其它多媒體輸出設(shè)備（如顯示器、揚(yáng)聲器等）上；二是存儲(chǔ)到計(jì)算機(jī)的存儲(chǔ)設(shè)備

（如磁盤(pán)、磁帶、光盤(pán)）上。

計(jì)算機(jī)相關(guān)的證據(jù)可以認(rèn)為是廣義的計(jì)算機(jī)證據(jù)，除了計(jì)算機(jī)產(chǎn)生、存

儲(chǔ)的信息之外，還包括計(jì)算機(jī)模擬結(jié)果以及計(jì)算機(jī)系統(tǒng)的測(cè)試結(jié)果。所謂計(jì)算機(jī)

模擬，是指在訴訟中利用計(jì)算機(jī)對(duì)已經(jīng)發(fā)生的行為、事件或條件進(jìn)行模擬，提供

研究的結(jié)果，揭示事物發(fā)展的可能性。計(jì)算機(jī)系統(tǒng)的測(cè)試結(jié)果，是指在相同或

相似的情況和條件下對(duì)計(jì)算機(jī)系統(tǒng)本身的可靠性進(jìn)行測(cè)試，以證實(shí)計(jì)算機(jī)系統(tǒng)是

可信的。

本文探討的是第一種觀點(diǎn)，把計(jì)算機(jī)證據(jù)定義為：計(jì)算機(jī)系統(tǒng)運(yùn)行過(guò)程

中產(chǎn)生的或存儲(chǔ)的以其記錄的內(nèi)容證明案件事實(shí)的電、磁、光信息，這些信息

具有多種輸出表現(xiàn)形式。

2.計(jì)算機(jī)證據(jù)的特征

計(jì)算機(jī)證據(jù)作為一種訴訟證據(jù)，是現(xiàn)代計(jì)算機(jī)技術(shù)迅速發(fā)展的產(chǎn)物，

具有十分鮮明的特征。雖然在我國(guó)的訴訟法中將計(jì)算機(jī)證據(jù)歸類(lèi)為視聽(tīng)資料，但

在實(shí)質(zhì)上，計(jì)算機(jī)存儲(chǔ)的信息與錄音、錄像等其它視聽(tīng)資料存在著質(zhì)的區(qū)別。

在此，我們僅討論計(jì)算機(jī)證據(jù)最本質(zhì)的特征，即計(jì)算機(jī)證據(jù)的脆弱性。

計(jì)算機(jī)證據(jù)的脆弱性指計(jì)算機(jī)信息很容易被修改，并且修改后不會(huì)留下任何痕

跡。計(jì)算機(jī)數(shù)據(jù)處理技術(shù)有一個(gè)優(yōu)點(diǎn)歷來(lái)是為人們所稱(chēng)道的，這就是不留痕跡的

修改。但這個(gè)為人所稱(chēng)道的優(yōu)點(diǎn)卻成為困擾計(jì)算機(jī)安全專(zhuān)家和法律專(zhuān)家的棘手問(wèn)

題。例如，當(dāng)懷疑一個(gè)嫌疑人篡改了計(jì)算機(jī)系統(tǒng)的數(shù)據(jù)時(shí)，如何證明數(shù)據(jù)確實(shí)被

改動(dòng)過(guò)，被改動(dòng)的是哪一些數(shù)據(jù)，是什么時(shí)候修改的，是通過(guò)什么途徑修改的，

等等。

對(duì)于書(shū)證的偽造或變?cè)?，利用已?jīng)成熟的檢驗(yàn)技術(shù)是能夠比較容易地發(fā)

現(xiàn)其偽造或變?cè)觳糠值?；?duì)于錄音、錄像等其它視聽(tīng)資料的刪節(jié)、剪接所造成的

失實(shí)，也是可以鑒定查清的，在科學(xué)技術(shù)不斷發(fā)展的今天，聲紋鑒定技術(shù)也已經(jīng)

相當(dāng)成熟了。

從本質(zhì)上看，計(jì)算機(jī)證據(jù)與文書(shū)證據(jù)有著天壤之別。即使是錄音、錄像

等視聽(tīng)證據(jù)，與計(jì)算機(jī)證據(jù)也有著本質(zhì)的區(qū)別。在電子技術(shù)領(lǐng)域，錄音、錄像

資料是對(duì)聲音、圖像的記載，記錄的是模擬信號(hào)；而計(jì)算機(jī)信息是用二進(jìn)制數(shù)據(jù)

表示的，即所謂的數(shù)字信號(hào)。連續(xù)變化的物理量之間的任何變化，在理論上說(shuō)

都是可以再現(xiàn)的"旦是非連續(xù)的數(shù)字信號(hào)卻不具有這種特性。

計(jì)算機(jī)數(shù)據(jù)的載體是電脈沖和磁性材料等，如果計(jì)算機(jī)系統(tǒng)被竊聽(tīng)或非

法復(fù)制，對(duì)計(jì)算機(jī)的數(shù)據(jù)表示幾乎沒(méi)有影響；如果計(jì)算機(jī)數(shù)據(jù)被改變了，從物

理表示上，也只是集成電路的電子矩陣正負(fù)電平或磁性材料磁體的方向發(fā)生了變

化，如果不做數(shù)據(jù)的互相對(duì)照，這種物理的變化用戶(hù)是根本感覺(jué)不到的。

3.計(jì)算機(jī)證據(jù)的證據(jù)價(jià)值

在我國(guó)訴訟法和證據(jù)學(xué)理論中，承認(rèn)計(jì)算機(jī)產(chǎn)生和存儲(chǔ)的信息可以獨(dú)立

發(fā)揮證明案件事實(shí)的作用。但是一個(gè)計(jì)算機(jī)證據(jù)是否具有證明力，取決于它是否

具有相關(guān)性和客觀性。所謂相關(guān)性，是指證據(jù)與案件事實(shí)之間有著某種邏輯的聯(lián)

系。所謂客觀性，是指證據(jù)來(lái)源于客觀事實(shí)本身，不是任何猜測(cè)、幻想、夢(mèng)境和

虛構(gòu)的內(nèi)容，而且沒(méi)有被篡改過(guò)，這是證據(jù)首要的本質(zhì)的屬性。

也就是說(shuō)，計(jì)算機(jī)證據(jù)要完成其證據(jù)的使命，必須被證實(shí)是真實(shí)可靠的。

但是，由于計(jì)算機(jī)數(shù)據(jù)的脆弱性（修改后不留痕跡），要想在計(jì)算機(jī)系統(tǒng)被攻擊

之后收集到真實(shí)可靠的攻擊證據(jù)，其難度是相當(dāng)大的。因此，為了保證在計(jì)算機(jī)

系統(tǒng)被攻擊后能夠獲取有效的證據(jù)，最有效的方法是對(duì)計(jì)算機(jī)系統(tǒng)的所有活動(dòng)實(shí)

施監(jiān)視和記錄，當(dāng)計(jì)算機(jī)系統(tǒng)受到攻擊時(shí)，這些記錄就成為計(jì)算機(jī)證據(jù)。計(jì)算機(jī)

審計(jì)技術(shù)的運(yùn)用使這種設(shè)想成為現(xiàn)實(shí)。

三、計(jì)算機(jī)審計(jì)技術(shù)

1.計(jì)算機(jī)審計(jì)概述

計(jì)算機(jī)審計(jì)技術(shù)就是在計(jì)算機(jī)系統(tǒng)中模擬社會(huì)的審計(jì)工作，對(duì)計(jì)算機(jī)

系統(tǒng)的活動(dòng)進(jìn)行監(jiān)視和記錄的一種安全技術(shù)，運(yùn)用計(jì)算機(jī)審計(jì)技術(shù)的目的就是讓

對(duì)計(jì)算機(jī)系統(tǒng)的各種訪問(wèn)留下痕跡，使計(jì)算機(jī)犯罪行為留下證據(jù)。計(jì)算機(jī)審計(jì)技

術(shù)的運(yùn)用形成了計(jì)算機(jī)審計(jì)系統(tǒng)，計(jì)算機(jī)審計(jì)系統(tǒng)可以用硬件和軟件兩種方式實(shí)

現(xiàn)。計(jì)算機(jī)系統(tǒng)完整的審計(jì)功能一般由操作系統(tǒng)層次的審計(jì)系統(tǒng)和應(yīng)用軟件層

次的審計(jì)系統(tǒng)共同完成，兩者互相配合、互為補(bǔ)充。

計(jì)算機(jī)審計(jì)系統(tǒng)應(yīng)該具有監(jiān)視功能和檢測(cè)功能。監(jiān)視功能是指審計(jì)系統(tǒng)

通過(guò)監(jiān)視對(duì)計(jì)算機(jī)系統(tǒng)的所有操作，為入侵計(jì)算機(jī)系統(tǒng)的犯罪偵破和犯罪審理提

供線索和證據(jù)，一個(gè)良好的審計(jì)系統(tǒng)還可以協(xié)助發(fā)現(xiàn)潛在的入侵者；檢測(cè)功能是

指審計(jì)系統(tǒng)能夠檢測(cè)程序的真實(shí)性、完整性和可靠性，判斷程序是否已被篡改、

是否處于正常的運(yùn)行狀態(tài)中。

獨(dú)立性是審計(jì)工作的本質(zhì)特征，計(jì)算機(jī)審計(jì)的獨(dú)立性具體體現(xiàn)在以下兩

個(gè)方面:（1）不管是在操作系統(tǒng)中還是在應(yīng)用軟件中，審計(jì)系統(tǒng)都應(yīng)作為一個(gè)獨(dú)

立的子系統(tǒng)而存在。（2）設(shè)立工作獨(dú)立、行為自主的計(jì)算機(jī)系統(tǒng)審計(jì)員。審計(jì)員

是特殊的計(jì)算機(jī)系統(tǒng)（安全）管理員，只有它才能控制、管理、使用審計(jì)系統(tǒng)。

審計(jì)員的行為不受任何其它計(jì)算機(jī)用戶(hù)的控制和干擾，包括計(jì)算機(jī)系統(tǒng)（安全）

管理員。

審計(jì)系統(tǒng)把對(duì)計(jì)算機(jī)系統(tǒng)的所有活動(dòng)以文件形式保存在存儲(chǔ)設(shè)備上，形

成系統(tǒng)活動(dòng)的監(jiān)視記錄。監(jiān)視記錄是系統(tǒng)活動(dòng)的真實(shí)寫(xiě)照，是搜尋潛在入侵者的

依據(jù)，也是入侵行為的有力證據(jù)。監(jiān)視記錄本身被實(shí)施最嚴(yán)密的保護(hù)。在保護(hù)監(jiān)

視記錄的問(wèn)題上，應(yīng)該堅(jiān)持獨(dú)立性的原則，即只有審計(jì)員才能訪問(wèn)監(jiān)視記錄。

目前常用的操作系統(tǒng)包括網(wǎng)絡(luò)操作系統(tǒng)如NetWare、WindowsNT、

UNLX等，均提供了審計(jì)功能。操作系統(tǒng)提供的是面向整個(gè)系統(tǒng)的審計(jì)功能，不

足之處是不可能考慮到各種應(yīng)用軟件的具體情況，不能很好地滿(mǎn)足各種客戶(hù)的需

要。操作系統(tǒng)的審計(jì)功能既成定局，難以改變，但計(jì)算機(jī)用戶(hù)可以根據(jù)應(yīng)用軟件

的特點(diǎn)和自身的需要，設(shè)計(jì)出有針對(duì)性的應(yīng)用軟件審計(jì)系統(tǒng)。下面將介紹一種應(yīng)

用軟件審計(jì)系統(tǒng)的設(shè)計(jì)思想。

2.應(yīng)用軟件審計(jì)系統(tǒng)的設(shè)計(jì)思想

雖然本文所探討的是證據(jù)的問(wèn)題，但是有些功能（例如報(bào)警功能以及一

些與分析潛在入侵者相關(guān)的功能）是審計(jì)系統(tǒng)所必備的，下面也一塊列舉。

（1）監(jiān)視記錄的設(shè)計(jì)

監(jiān)視記錄的內(nèi)容包括：用戶(hù)標(biāo)識(shí)；（在網(wǎng)絡(luò)上使用時(shí)）使用軟件的設(shè)備

地址；使用軟件的起止時(shí)間；調(diào)用的子程序及調(diào)用子程序的起止時(shí)間；訪問(wèn)的硬

件設(shè)備及訪問(wèn)的起止時(shí)間；使用軟件過(guò)程中訪問(wèn)的文件和目錄，訪問(wèn)的類(lèi)型（創(chuàng)

建、打開(kāi)、關(guān)閉、讀、寫(xiě)、拷貝、刪除、重命名、運(yùn)行等）以及訪問(wèn)的起止時(shí)間；

針對(duì)文件數(shù)據(jù)的操作，包括讀、增、刪、改、復(fù)制等操作以及操作對(duì)象在文件中

的具體位置；對(duì)軟件參數(shù)的修改。

對(duì)于每一項(xiàng)活動(dòng)，監(jiān)視記錄還應(yīng)該記錄該項(xiàng)活動(dòng)成功還是失敗，活動(dòng)引

發(fā)者對(duì)于該項(xiàng)活動(dòng)的有關(guān)授權(quán)狀態(tài)，地址空間的使用情況。

(2)監(jiān)視模塊的設(shè)計(jì)

設(shè)計(jì)的監(jiān)視功能包括：

①監(jiān)視整個(gè)應(yīng)用軟件的活動(dòng)，并提供詳細(xì)的監(jiān)視記錄，使所有活動(dòng)留下

線索。

②允許選擇特定的監(jiān)視對(duì)象這項(xiàng)功能可以在現(xiàn)有證據(jù)不充分的情況下，

令審計(jì)員可以實(shí)施重點(diǎn)監(jiān)視，更深入、詳細(xì)的取證。特定的監(jiān)視對(duì)象可以是文件、

目錄、打印機(jī)、磁盤(pán)、計(jì)算機(jī)、用戶(hù)等。

③在一定程度上檢測(cè)和判定對(duì)系統(tǒng)的入侵和入侵企圖，提供報(bào)警信息并

能實(shí)施必要的應(yīng)急措施。例如，如果發(fā)現(xiàn)某個(gè)用戶(hù)連續(xù)多次不成功進(jìn)入系統(tǒng)或某

個(gè)敏感子程序，應(yīng)立即向安全控制臺(tái)報(bào)警，甚至鎖住該用戶(hù)的帳號(hào)等待進(jìn)一步的

調(diào)查。

④提供對(duì)監(jiān)視記錄的以任何項(xiàng)目為關(guān)鍵字的查詢(xún)及各種組合查詢(xún)，多方

面滿(mǎn)足審計(jì)員的審查需要。

⑤報(bào)警參數(shù)管理。審計(jì)員可以通過(guò)報(bào)警參數(shù)管理功能，設(shè)置需要實(shí)時(shí)報(bào)

警的事項(xiàng)。

⑥監(jiān)視記錄文件的維護(hù)。隨著時(shí)間的推移，監(jiān)視記