計(jì)算機(jī)證據(jù)與計(jì)算機(jī)審計(jì)技術(shù)
一、概述
本文引用地址:http://m.butianyuan.cn/article/202304.htm隨著計(jì)算機(jī)和計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的不斷發(fā)展,計(jì)算機(jī)及計(jì)算機(jī)網(wǎng)絡(luò)的應(yīng)用日趨廣泛,同時(shí),計(jì)算機(jī)系統(tǒng)也越來越多地成為攻擊的對(duì)象。雖然計(jì)算機(jī)安全防范技術(shù)在不斷進(jìn)步和完善,但是道高一尺、魔高一丈,非法入侵計(jì)算機(jī)系統(tǒng)的案件還是不斷地出現(xiàn)和增加。本文所要探討的,是目前法律界所面臨的緊迫而又棘手的問題,即如何獲取非法入侵或攻擊計(jì)算機(jī)系統(tǒng)的計(jì)算機(jī)證據(jù)。相對(duì)一般的證據(jù)而言,計(jì)算機(jī)證據(jù)具有鮮明的特點(diǎn)。計(jì)算機(jī)證據(jù)的收集和評(píng)價(jià)是一個(gè)法律問題,但又往往需要一定的計(jì)算機(jī)技術(shù)和其它科學(xué)技術(shù),甚至是一些尖端的技術(shù)。對(duì)于攻擊計(jì)算機(jī)系統(tǒng)的取證,傳統(tǒng)的方法并不十分有效。本文將提出一種不妨稱之為“預(yù)先取證”的方法,這種方法的基本觀點(diǎn)是把審計(jì)的思想引入到計(jì)算機(jī)安全中,通過法律專家與計(jì)算機(jī)專家的緊密合作,運(yùn)用計(jì)算機(jī)審計(jì)技術(shù),為敏感的計(jì)算機(jī)系統(tǒng)設(shè)計(jì)出有針對(duì)性的審計(jì)系統(tǒng),把計(jì)算機(jī)系統(tǒng)的所有活動(dòng)記錄在案,當(dāng)計(jì)算機(jī)系統(tǒng)受到攻擊時(shí),這些審計(jì)記錄就成為有效的計(jì)算機(jī)證據(jù)。
二、計(jì)算機(jī)證據(jù)
要理解運(yùn)用計(jì)算機(jī)審計(jì)技術(shù)的必要性,需要對(duì)計(jì)算機(jī)證據(jù)的特征有一個(gè)清晰的認(rèn)識(shí)。
1.什么是計(jì)算機(jī)證據(jù)
關(guān)于計(jì)算機(jī)證據(jù)的概念,目前在學(xué)理上并沒有統(tǒng)一的認(rèn)識(shí),存在著多種觀點(diǎn),比較為大眾所認(rèn)可的有兩種觀點(diǎn)。其中一種觀點(diǎn)認(rèn)為,計(jì)算機(jī)證據(jù)為計(jì)算機(jī)產(chǎn)生的證據(jù)(Computer generated evidence),而另一種觀點(diǎn)則認(rèn)為計(jì)算機(jī)證據(jù)應(yīng)該表述為計(jì)算機(jī)相關(guān)的證據(jù)(Computer-related evidence)。
計(jì)算機(jī)產(chǎn)生的證據(jù)是指計(jì)算機(jī)根據(jù)程序指令對(duì)輸入計(jì)算機(jī)的數(shù)據(jù)進(jìn)行處理,然后輸出形成的記錄文件。它的表現(xiàn)形式有兩大類,一是直接輸出到紙張或其它多媒體輸出設(shè)備(如顯示器、揚(yáng)聲器等)上;二是存儲(chǔ)到計(jì)算機(jī)的存儲(chǔ)設(shè)備(如磁盤、磁帶、光盤)上。
計(jì)算機(jī)相關(guān)的證據(jù)可以認(rèn)為是廣義的計(jì)算機(jī)證據(jù),除了計(jì)算機(jī)產(chǎn)生、存儲(chǔ)的信息之外,還包括計(jì)算機(jī)模擬結(jié)果以及計(jì)算機(jī)系統(tǒng)的測試結(jié)果。所謂計(jì)算機(jī)模擬,是指在訴訟中利用計(jì)算機(jī)對(duì)已經(jīng)發(fā)生的行為、事件或條件進(jìn)行模擬,提供研究的結(jié)果,揭示事物發(fā)展的可能性。計(jì)算機(jī)系統(tǒng)的測試結(jié)果,是指在相同或相似的情況和條件下對(duì)計(jì)算機(jī)系統(tǒng)本身的可靠性進(jìn)行測試,以證實(shí)計(jì)算機(jī)系統(tǒng)是可信的。
本文探討的是第一種觀點(diǎn),把計(jì)算機(jī)證據(jù)定義為:計(jì)算機(jī)系統(tǒng)運(yùn)行過程中產(chǎn)生的或存儲(chǔ)的以其記錄的內(nèi)容證明案件事實(shí)的電、磁、光信息,這些信息具有多種輸出表現(xiàn)形式。
2.計(jì)算機(jī)證據(jù)的特征
計(jì)算機(jī)證據(jù)作為一種訴訟證據(jù),是現(xiàn)代計(jì)算機(jī)技術(shù)迅速發(fā)展的產(chǎn)物,具有十分鮮明的特征。雖然在我國的訴訟法中將計(jì)算機(jī)證據(jù)歸類為視聽資料,但在實(shí)質(zhì)上,計(jì)算機(jī)存儲(chǔ)的信息與錄音、錄像等其它視聽資料存在著質(zhì)的區(qū)別。
在此,我們僅討論計(jì)算機(jī)證據(jù)最本質(zhì)的特征,即計(jì)算機(jī)證據(jù)的脆弱性。計(jì)算機(jī)證據(jù)的脆弱性指計(jì)算機(jī)信息很容易被修改,并且修改后不會(huì)留下任何痕跡。計(jì)算機(jī)數(shù)據(jù)處理技術(shù)有一個(gè)優(yōu)點(diǎn)歷來是為人們所稱道的,這就是不留痕跡的修改。但這個(gè)為人所稱道的優(yōu)點(diǎn)卻成為困擾計(jì)算機(jī)安全專家和法律專家的棘手問題。例如,當(dāng)懷疑一個(gè)嫌疑人篡改了計(jì)算機(jī)系統(tǒng)的數(shù)據(jù)時(shí),如何證明數(shù)據(jù)確實(shí)被改動(dòng)過,被改動(dòng)的是哪一些數(shù)據(jù),是什么時(shí)候修改的,是通過什么途徑修改的,等等。
對(duì)于書證的偽造或變造,利用已經(jīng)成熟的檢驗(yàn)技術(shù)是能夠比較容易地發(fā)現(xiàn)其偽造或變造部分的;對(duì)于錄音、錄像等其它視聽資料的刪節(jié)、剪接所造成的失實(shí),也是可以鑒定查清的,在科學(xué)技術(shù)不斷發(fā)展的今天,聲紋鑒定技術(shù)也已經(jīng)相當(dāng)成熟了。
從本質(zhì)上看,計(jì)算機(jī)證據(jù)與文書證據(jù)有著天壤之別。即使是錄音、錄像等視聽證據(jù),與計(jì)算機(jī)證據(jù)也有著本質(zhì)的區(qū)別。在電子技術(shù)領(lǐng)域,錄音、錄像資料是對(duì)聲音、圖像的記載,記錄的是模擬信號(hào);而計(jì)算機(jī)信息是用二進(jìn)制數(shù)據(jù)表示的,即所謂的數(shù)字信號(hào)。連續(xù)變化的物理量之間的任何變化,在理論上說都是可以再現(xiàn)的;但是非連續(xù)的數(shù)字信號(hào)卻不具有這種特性。
計(jì)算機(jī)數(shù)據(jù)的載體是電脈沖和磁性材料等,如果計(jì)算機(jī)系統(tǒng)被竊聽或非法復(fù)制,對(duì)計(jì)算機(jī)的數(shù)據(jù)表示幾乎沒有影響;如果計(jì)算機(jī)數(shù)據(jù)被改變了,從物理表示上,也只是集成電路的電子矩陣正負(fù)電平或磁性材料磁體的方向發(fā)生了變化,如果不做數(shù)據(jù)的互相對(duì)照,這種物理的變化用戶是根本感覺不到的。
3.計(jì)算機(jī)證據(jù)的證據(jù)價(jià)值
在我國訴訟法和證據(jù)學(xué)理論中,承認(rèn)計(jì)算機(jī)產(chǎn)生和存儲(chǔ)的信息可以獨(dú)立發(fā)揮證明案件事實(shí)的作用。但是一個(gè)計(jì)算機(jī)證據(jù)是否具有證明力,取決于它是否具有相關(guān)性和客觀性。所謂相關(guān)性,是指證據(jù)與案件事實(shí)之間有著某種邏輯的聯(lián)系。所謂客觀性,是指證據(jù)來源于客觀事實(shí)本身,不是任何猜測、幻想、夢境和虛構(gòu)的內(nèi)容,而且沒有被篡改過,這是證據(jù)首要的本質(zhì)的屬性。
也就是說,計(jì)算機(jī)證據(jù)要完成其證據(jù)的使命,必須被證實(shí)是真實(shí)可靠的。但是,由于計(jì)算機(jī)數(shù)據(jù)的脆弱性(修改后不留痕跡),要想在計(jì)算機(jī)系統(tǒng)被攻擊之后收集到真實(shí)可靠的攻擊證據(jù),其難度是相當(dāng)大的。因此,為了保證在計(jì)算機(jī)系統(tǒng)被攻擊后能夠獲取有效的證據(jù),最有效的方法是對(duì)計(jì)算機(jī)系統(tǒng)的所有活動(dòng)實(shí)施監(jiān)視和記錄,當(dāng)計(jì)算機(jī)系統(tǒng)受到攻擊時(shí),這些記錄就成為計(jì)算機(jī)證據(jù)。計(jì)算機(jī)審計(jì)技術(shù)的運(yùn)用使這種設(shè)想成為現(xiàn)實(shí)。
三、計(jì)算機(jī)審計(jì)技術(shù)
1.計(jì)算機(jī)審計(jì)概述
計(jì)算機(jī)審計(jì)技術(shù)就是在計(jì)算機(jī)系統(tǒng)中模擬社會(huì)的審計(jì)工作,對(duì)計(jì)算機(jī)系統(tǒng)的活動(dòng)進(jìn)行監(jiān)視和記錄的一種安全技術(shù),運(yùn)用計(jì)算機(jī)審計(jì)技術(shù)的目的就是讓對(duì)計(jì)算機(jī)系統(tǒng)的各種訪問留下痕跡,使計(jì)算機(jī)犯罪行為留下證據(jù)。計(jì)算機(jī)審計(jì)技術(shù)的運(yùn)用形成了計(jì)算機(jī)審計(jì)系統(tǒng),計(jì)算機(jī)審計(jì)系統(tǒng)可以用硬件和軟件兩種方式實(shí)現(xiàn)。計(jì)算機(jī)系統(tǒng)完整的審計(jì)功能一般由操作系統(tǒng)層次的審計(jì)系統(tǒng)和應(yīng)用軟件層次的審計(jì)系統(tǒng)共同完成,兩者互相配合、互為補(bǔ)充。
計(jì)算機(jī)審計(jì)系統(tǒng)應(yīng)該具有監(jiān)視功能和檢測功能。監(jiān)視功能是指審計(jì)系統(tǒng)通過監(jiān)視對(duì)計(jì)算機(jī)系統(tǒng)的所有操作,為入侵計(jì)算機(jī)系統(tǒng)的犯罪偵破和犯罪審理提供線索和證據(jù),一個(gè)良好的審計(jì)系統(tǒng)還可以協(xié)助發(fā)現(xiàn)潛在的入侵者;檢測功能是指審計(jì)系統(tǒng)能夠檢測程序的真實(shí)性、完整性和可靠性,判斷程序是否已被篡改、是否處于正常的運(yùn)行狀態(tài)中。
評(píng)論