关于计算机审计系统的设想

摘 要：本文将提出一种不妨称之为“预先取证”的方法，这种方法的基本观点是把审计的思想引入到计算机安全中，通过法律专家与计算机专家的紧密合作，运用计算机审计技术，为敏感的计算机系统设计出有针对性的审计系统，把计算机系统的所有活动记录在案，当计算机系统受到攻击时，这些审计记录就成为有效的计算机证据。

关键词：审计；系统；设想

DOI：10.19354/ki.42-1616/f.2016.17.151

虽然计算机安全防范技术在不断进步和完善，但是道高一尺、魔高一丈，非法入侵计算机系统的案件还是不断地出现和增加。本文所要探讨的，是目前法律界所面临的紧迫而又棘手的问题，即如何获取非法入侵或攻击计算机系统的计算机证据。算机证据的收集和评价是一个法律问题，但又往往需要一定的计算机技术和其它科学技术，甚至是一些尖端的技术。对于攻击计算机系统的取证，传统的方法并不十分有效。

一、计算机审计系统综述

计算机审计系统应该具有监视功能和检测功能。监视功能是指审计系统通过监视对计算机系统的所有操作，为入侵计算机系统的犯罪侦破和犯罪审理提供线索和证据，一个良好的审计系统还可以协助发现潜在的入侵者；检测功能是指审计系统能够检测程序的真实性、完整性和可靠性，判断程序是否已被篡改、是否处于正常的运行状态中。计算机审计技术就是在计算机系统中模拟社会的审计工作，对计算机系统的活动进行监视和记录的一种安全技术，运用计算机审计技术的目的就是让对计算机系统的各种访问留下痕迹，使计算机犯罪行为留下证据。计算机审计技术的运用形成了计算机审计系统，计算机审计系统可以用硬件和软件两种方式实现。

独立性是审计工作的本质特征，计算机审计的独立性具体体现在以下两个方面：（1）不管是在操作系统中还是在应用软

件中，审计系统都应作为一个独立的子系统而存在。（2）设立工作独立、行为自主的计算机系统审计员。审计系统把对计算机系统的所有活动以文件形式保存在存储设备上，形成系统活动的监视记录。监视记录是系统活动的真实写照，是搜寻潜在入侵者的依据，也是入侵行为的有力证据。监视记录本身被实施最严密的保护。在保护监视记录的问题上，应该坚持独立性的原则，即只有审计员才能访问监视记录。

二、计算机审计系统的设想

（一）监视记录的设计。监视记录的内容包括：用户标识；（在网络上使用时）使用软件的设备地址；使用软件的起止时间；调用的子程序及调用子程序的起止时间；访问的硬件设备及访问的起止时间；使用软件过程中访问的文件和目录，访问的类型（创建、打开、关闭、读、写、拷贝、删除、重命名、运行等）以及访问的起止时间；针对文件数据的操作，包括读、增、删、改、复制等操作以及操作对象在文件中的具置；对软件参数的修改。

（二）监视模块的设计。设计的监视功能包括：①监视整个应用软件的活动，并提供详细的监视记录，使所有活动留下线索。②允许选择特定的监视对象，这项功能可以在现有证据不充分的情况下，令审计员可以实施重点监视，更深入、详细的取证。③在一定程度上检测和判定对系统的入侵和入侵企图，提供报警信息并能实施必要的应急措施。④提供对监视记录的以任何项目为关键字的查询及各种组合查询，多方面满足审计员的审查需要。⑤报警参数管理。审计员可以通过报警参数管理功能，设置需要实时报警的事项。⑥监视记录文件的维护。

（三）检测模块的设计。检测模块采用动态检测法检测程序的真实性、完整性和可靠性；而对于数据文件的检测，则是利用信息验证码。实现动态检测的关键，是设计出针对被检软件的完整的模拟数据和模拟操作，并确定其正确的处理结果。模拟数据和模拟操作包括合法的和非法的两种，这样做的目的是观察那些包含安全保护功能的程序是否能够阻止非法行为的发生，从而判断其安全保护是否在发挥作用。实施检测时将模拟数据或模拟操作经过软件处理后得到的实际结果与正确的结果相比较，确定程序的功能是否可靠、程序是否被修改过。当检测到程序的真实性、完整性和可靠性遭到破坏时，及时发出报警。信息验证码是根据信息的全部内容通过某种算法产生的一种检验码，它与信息的全部内容密切相关。

总之，计算机审计是一种崭新的审计方式，与手工审计相

比，变化深刻，有着明显的特征，从会计信息系统审计来说，其审计的范围更为广泛，审计线索更为隐蔽、易逝，同时，审计取证具有了实时性和动态性，审计技术也更为复杂；从计算机辅助审计来说，其审计过程由手工操作变为自动控制，审计信息也由手工存储转变为自动存储，同时，审计的作业小组成分由原来的审计人员转变成了审计和计算机知识兼具的复合型人才。

参考文献：

[1] 刘汝焯.审计数据的多维分析技术[M].北京：清华大学出版社.2006