計算機證據與計算機審計技術

一、概述

隨著計算機和計算機網路技術的不斷發展，計算機及計算機網路的套用日趨廣泛，同時，計算機系統也越來越多地成為攻擊的對象。雖然計算機安全防範技術在不斷進步和完善，但是道高一尺、魔高一丈，非法入侵計算機系統的案件還是不斷地出現和增加。本文所要探討的，是目前法律界所面臨的緊迫而又棘手的問題，即如何獲取非法入侵或攻擊計算機系統的計算機證據。相對一般的證據而言，計算機證據具有鮮明的特點。計算機證據的收集和評價是一個法律問題，但又往往需要一定的計算機技術和其它科學技術，甚至是一些尖端的技術。對於攻擊計算機系統的取證，傳統的方法並不十分有效。本文將提出一種不妨稱之為“預先取證”的方法，這種方法的基本觀點是把審計的思想引入到計算機安全中，通過法律專家與計算機專家的緊密合作，運用計算機審計技術，為敏感的計算機系統設計出有針對性的審計系統，把計算機系統的所有活動記錄在案，當計算機系統受到攻擊時，這些審計記錄就成為有效的計算機證據。

二、計算機證據

要理解運用計算機審計技術的必要性，需要對計算機證據的特徵有一個清晰的認識。

1.什麼是計算機證據

關於計算機證據的概念，目前在學理上並沒有統一的認識，存在著多種觀點，比較為大眾所認可的有兩種觀點。其中一種觀點認為，計算機證據為計算機產生的證據（Computer generated evidence），而另一種觀點則認為計算機證據應該表述為計算機相關的證據（Computer-related evidence）。

計算機產生的證據是指計算機根據程式指令對輸入計算機的數據進行處理，然後輸出形成的記錄檔案。它的表現形式有兩大類，一是直接輸出到紙張或其它多媒體輸出設備（如顯示器、揚聲器等）上；二是存儲到計算機的存儲設備（如磁碟、磁帶、光碟）上。

計算機相關的證據可以認為是廣義的計算機證據，除了計算機產生、存儲的信息之外，還包括計算機模擬結果以及計算機系統的測試結果。所謂計算機模擬，是指在訴訟中利用計算機對已經發生的行為、事件或條件進行模擬，提供研究的結果，揭示事物發展的可能性。計算機系統的測試結果，是指在相同或相似的情況和條件下對計算機系統本身的可靠性進行測試，以證實計算機系統是可信的。

本文探討的是第一種觀點，把計算機證據定義為：計算機系統運行過程中產生的或存儲的以其記錄的內容證明案件事實的電、磁、光信息，這些信息具有多種輸出表現形式。

2.計算機證據的特徵

計算機證據作為一種訴訟證據，是現代計算機技術迅速發展的產物，具有十分鮮明的特徵。雖然在我國的訴訟法中將計算機證據歸類為視聽資料，但在實質上，計算機存儲的信息與錄音、錄像等其它視聽資料存在著質的區別。

在此，我們僅討論計算機證據最本質的特徵，即計算機證據的脆弱性。計算機證據的脆弱性指計算機信息很容易被修改，並且修改後不會留下任何痕跡。計算機數據處理技術有一個優點歷來是為人們所稱道的，這就是不留痕跡的修改。但這個為人所稱道的優點卻成為困擾計算機安全專家和法律專家的棘手問題。例如，當懷疑一個嫌疑人篡改了計算機系統的數據時，如何證明數據確實被改動過，被改動的是哪一些數據，是什麼時候修改的，是通過什麼途徑修改的，等等。

對於書證的偽造或變造，利用已經成熟的檢驗技術是能夠比較容易地發現其偽造或變造部分的；對於錄音、錄像等其它視聽資料的刪節、剪接所造成的失實，也是可以鑑定查清的，在科學技術不斷發展的今天，聲紋鑑定技術也已經相當成熟了。

從本質上看，計算機證據與文書證據有著天壤之別。即使是錄音、錄像等視聽證據，與計算機證據也有著本質的區別。在電子技術領域，錄音、錄像資料是對聲音、圖像的記載，記錄的是模擬信號；而計算機信息是用二進制數據表示的，即所謂的數位訊號。連續變化的物理量之間的任何變化，在理論上說都是可以再現的；但是非連續的數位訊號卻不具有這種特性。

計算機數據的載體是電脈衝和磁性材料等，如果計算機系統被竊聽或非法複製，對計算機的數據表示幾乎沒有影響；如果計算機數據被改變了，從物理表示上，也只是積體電路的電子矩陣正負電平或磁性材料磁體的方向發生了變化，如果不做數據的互相對照，這種物理的變化用戶是根本感覺不到的。

3.計算機證據的證據價值

在我國訴訟法和證據學理論中，承認計算機產生和存儲的信息可以獨立發揮證明案件事實的作用。但是一個計算機證據是否具有證明力，取決於它是否具有相關性和客觀性。所謂相關性，是指證據與案件事實之間有著某種邏輯的聯繫。所謂客觀性，是指證據來源於客觀事實本身，不是任何猜測、幻想、夢境和虛構的內容，而且沒有被篡改過，這是證據首要的本質的屬性。

也就是說，計算機證據要完成其證據的使命，必須被證實是真實可靠的。但是，由於計算機數據的脆弱性（修改後不留痕跡），要想在計算機系統被攻擊之後收集到真實可靠的攻擊證據，其難度是相當大的。因此，為了保證在計算機系統被攻擊後能夠獲取有效的證據，最有效的方法是對計算機系統的所有活動實施監視和記錄，當計算機系統受到攻擊時，這些記錄就成為計算機證據。計算機審計技術的運用使這種構想成為現實。

三、計算機審計技術

1.計算機審計概述

計算機審計技術就是在計算機系統中模擬社會的審計工作，對計算機系統的活動進行監視和記錄的一種安全技術，運用計算機審計技術的目的就是讓對計算機系統的各種訪問留下痕跡，使計算機犯罪行為留下證據。計算機審計技術的運用形成了計算機審計系統，計算機審計系統可以用硬體和軟體兩種方式實現。計算機系統完整的審計功能一般由作業系統層次的審計系統和套用軟體層次的審計系統共同完成，兩者互相配合、互為補充。

計算機審計系統應該具有監視功能和檢測功能。監視功能是指審計系統通過監視對計算機系統的所有操作，為入侵計算機系統的犯罪偵破和犯罪審理提供線索和證據，一個良好的審計系統還可以協助發現潛在的入侵者；檢測功能是指審計系統能夠檢測程式的真實性、完整性和可靠性，判斷程式是否已被篡改、是否處於正常的運行狀態中。

獨立性是審計工作的本質特徵，計算機審計的獨立性具體體現在以下兩個方面：（1）不管是在作業系統中還是在套用軟體中，審計系統都應作為一個獨立的子系統而存在。（2）設立工作獨立、行為自主的計算機系統審計員。審計員是特殊的計算機系統（安全）管理員，只有它才能控制、管理、使用審計系統。審計員的行為不受任何其它計算機用戶的控制和干擾，包括計算機系統（安全）管理員。

審計系統把對計算機系統的所有活動以檔案形式保存在存儲設備上，形成系統活動的監視記錄。監視記錄是系統活動的真實寫照，是搜尋潛在入侵者的依據，也是入侵行為的有力證據。監視記錄本身被實施最嚴密的保護。在保護監視記錄的問題上，應該堅持獨立性的原則，即只有審計員才能訪問監視記錄。

目前常用的作業系統包括網路作業系統如NetWare、Windows NT、UNLX等，均提供了審計功能。作業系統提供的是面向整個系統的審計功能，不足之處是不可能考慮到各種套用軟體的具體情況，不能很好地滿足各種客戶的需要。作業系統的審計功能既成定局，難以改變，但計算機用戶可以根據套用軟體的特點和自身的需要，設計出有針對性的套用軟體審計系統。下面將介紹一種套用軟體審計系統的設計思想。

2.套用軟體審計系統的設計思想

雖然本文所探討的是證據的問題，但是有些功能（例如報警功能以及一些與分析潛在入侵者相關的功能）是審計系統所必備的，下面也一塊列舉。

（1）監視記錄的設計

監視記錄的內容包括：用戶標識；（在網路上使用時）使用軟體的設備地址；使用軟體的起止時間；調用的子程式及調用子程式的起止時間；訪問的硬體設備及訪問的起止時間；使用軟體過程中訪問的檔案和目錄，訪問的類型（創建、打開、關閉、讀、寫、拷貝、刪除、重命名、運行等）以及訪問的起止時間；針對檔案數據的操作，包括讀、增、刪、改、複製等操作以及操作對象在檔案中的具體位置；對軟體參數的修改。

對於每一項活動，監視記錄還應該記錄該項活動成功還是失敗，活動引發者對於該項活動的有關授權狀態，地址空間的使用情況。

（2）監視模組的設計

設計的監視功能包括：

①監視整個套用軟體的活動，並提供詳細的監視記錄，使所有活動留下線索。

②允許選擇特定的監視對象，這項功能可以在現有證據不充分的情況下，令審計員可以實施重點監視，更深入、詳細的取證。特定的監視對象可以是檔案、目錄、印表機、磁碟、計算機、用戶等。

③在一定程度上檢測和判定對系統的入侵和入侵企圖，提供報警信息並能實施必要的應急措施。例如，如果發現某個用戶連續多次不成功進入系統或某個敏感子程式，應立即向安全控制台報警，甚至鎖住該用戶的帳號等待進一步的調查。

④提供對監視記錄的以任何項目為關鍵字的查詢及各種組合查詢，多方面滿足審計員的審查需要。

⑤報警參數管理。審計員可以通過報警參數管理功能，設定需要實時報警的事項。

⑥監視記錄檔案的維護。隨著時間的推移，監視記錄檔案會不斷地膨脹，因此，有必要提供對監視記錄檔案的各種維護處理，如轉存、拷貝等。

（3）檢測模組的設計

檢測模組採用動態檢測法檢測程式的真實性、完整性和可靠性；而對於數據檔案的檢測，則是利用信息驗證碼。

實現動態檢測的關鍵，是設計出針對被檢軟體的完整的模擬數據和模擬操作，並確定其正確的處理結果。模擬數據和模擬操作包括合法的和非法的兩種，這樣做的目的是觀察那些包含安全保護功能的程式是否能夠阻止非法行為的發生，從而判斷其安全保護是否在發揮作用。實施檢測時將模擬數據或模擬操作經過軟體處理後得到的實際結果與正確的結果相比較，確定程式的功能是否可靠、程式是否被修改過。當檢測到程式的真實性、完整性和可靠性遭到破壞時，及時發出報警。

信息驗證碼是根據信息的全部內容通過某種算法產生的一種檢驗碼，它與信息的全部內容密切相關。即使檔案中有一比特的改變，都會導致信息驗證碼的改變。因此，在設計套用軟體時，保證在每次保存數據檔案時計算出當時的信息驗證碼並同時保存起來，檢測模組通過計算信息驗證碼並與保存檔案時的信息驗證碼進行比較，即可發現檔案中的數據是否被篡改過。