關(guān) 閉

新聞中心

EEPW首頁 > 工控自動(dòng)化 > 設(shè)計(jì)應(yīng)用 > 計(jì)算機(jī)證據(jù)與計(jì)算機(jī)審計(jì)技術(shù)

計(jì)算機(jī)證據(jù)與計(jì)算機(jī)審計(jì)技術(shù)

作者: 時(shí)間:2012-05-31 來源:網(wǎng)絡(luò) 收藏

獨(dú)立性是審計(jì)工作的本質(zhì)特征,審計(jì)的獨(dú)立性具體體現(xiàn)在以下兩個(gè)方面:(1)不管是在操作系統(tǒng)中還是在應(yīng)用軟件中,審計(jì)系統(tǒng)都應(yīng)作為一個(gè)獨(dú)立的子系統(tǒng)而存在。(2)設(shè)立工作獨(dú)立、行為自主的系統(tǒng)審計(jì)員。審計(jì)員是特殊的系統(tǒng)(安全)管理員,只有它才能控制、管理、使用審計(jì)系統(tǒng)。審計(jì)員的行為不受任何其它計(jì)算機(jī)用戶的控制和干擾,包括計(jì)算機(jī)系統(tǒng)(安全)管理員。

本文引用地址:http://m.butianyuan.cn/article/202304.htm

審計(jì)系統(tǒng)把對計(jì)算機(jī)系統(tǒng)的所有活動(dòng)以文件形式保存在存儲(chǔ)設(shè)備上,形成系統(tǒng)活動(dòng)的監(jiān)視記錄。監(jiān)視記錄是系統(tǒng)活動(dòng)的真實(shí)寫照,是搜尋潛在入侵者的依據(jù),也是入侵行為的有力證據(jù)。監(jiān)視記錄本身被實(shí)施最嚴(yán)密的保護(hù)。在保護(hù)監(jiān)視記錄的問題上,應(yīng)該堅(jiān)持獨(dú)立性的原則,即只有審計(jì)員才能訪問監(jiān)視記錄。

目前常用的操作系統(tǒng)包括網(wǎng)絡(luò)操作系統(tǒng)如NetWare、Windows NT、UNLX等,均提供了審計(jì)功能。操作系統(tǒng)提供的是面向整個(gè)系統(tǒng)的審計(jì)功能,不足之處是不可能考慮到各種應(yīng)用軟件的具體情況,不能很好地滿足各種客戶的需要。操作系統(tǒng)的審計(jì)功能既成定局,難以改變,但計(jì)算機(jī)用戶可以根據(jù)應(yīng)用軟件的特點(diǎn)和自身的需要,設(shè)計(jì)出有針對性的應(yīng)用軟件審計(jì)系統(tǒng)。下面將介紹一種應(yīng)用軟件審計(jì)系統(tǒng)的設(shè)計(jì)思想。

2.應(yīng)用軟件審計(jì)系統(tǒng)的設(shè)計(jì)思想

雖然本文所探討的是證據(jù)的問題,但是有些功能(例如報(bào)警功能以及一些與分析潛在入侵者相關(guān)的功能)是審計(jì)系統(tǒng)所必備的,下面也一塊列舉。

(1)監(jiān)視記錄的設(shè)計(jì)

監(jiān)視記錄的內(nèi)容包括:用戶標(biāo)識;(在網(wǎng)絡(luò)上使用時(shí))使用軟件的設(shè)備地址;使用軟件的起止時(shí)間;調(diào)用的子程序及調(diào)用子程序的起止時(shí)間;訪問的硬件設(shè)備及訪問的起止時(shí)間;使用軟件過程中訪問的文件和目錄,訪問的類型(創(chuàng)建、打開、關(guān)閉、讀、寫、拷貝、刪除、重命名、運(yùn)行等)以及訪問的起止時(shí)間;針對文件數(shù)據(jù)的操作,包括讀、增、刪、改、復(fù)制等操作以及操作對象在文件中的具體位置;對軟件參數(shù)的修改。

對于每一項(xiàng)活動(dòng),監(jiān)視記錄還應(yīng)該記錄該項(xiàng)活動(dòng)成功還是失敗,活動(dòng)引發(fā)者對于該項(xiàng)活動(dòng)的有關(guān)授權(quán)狀態(tài),地址空間的使用情況。

(2)監(jiān)視模塊的設(shè)計(jì)

設(shè)計(jì)的監(jiān)視功能包括:

①監(jiān)視整個(gè)應(yīng)用軟件的活動(dòng),并提供詳細(xì)的監(jiān)視記錄,使所有活動(dòng)留下線索。

②允許選擇特定的監(jiān)視對象,這項(xiàng)功能可以在現(xiàn)有證據(jù)不充分的情況下,令審計(jì)員可以實(shí)施重點(diǎn)監(jiān)視,更深入、詳細(xì)的取證。特定的監(jiān)視對象可以是文件、目錄、打印機(jī)、磁盤、計(jì)算機(jī)、用戶等。

③在一定程度上檢測和判定對系統(tǒng)的入侵和入侵企圖,提供報(bào)警信息并能實(shí)施必要的應(yīng)急措施。例如,如果發(fā)現(xiàn)某個(gè)用戶連續(xù)多次不成功進(jìn)入系統(tǒng)或某個(gè)敏感子程序,應(yīng)立即向安全控制臺報(bào)警,甚至鎖住該用戶的帳號等待進(jìn)一步的調(diào)查。

④提供對監(jiān)視記錄的以任何項(xiàng)目為關(guān)鍵字的查詢及各種組合查詢,多方面滿足審計(jì)員的審查需要。

⑤報(bào)警參數(shù)管理。審計(jì)員可以通過報(bào)警參數(shù)管理功能,設(shè)置需要實(shí)時(shí)報(bào)警的事項(xiàng)。

⑥監(jiān)視記錄文件的維護(hù)。隨著時(shí)間的推移,監(jiān)視記錄文件會(huì)不斷地膨脹,因此,有必要提供對監(jiān)視記錄文件的各種維護(hù)處理,如轉(zhuǎn)存、拷貝等。

(3)檢測模塊的設(shè)計(jì)

檢測模塊采用動(dòng)態(tài)檢測法檢測程序的真實(shí)性、完整性和可靠性;而對于數(shù)據(jù)文件的檢測,則是利用信息驗(yàn)證碼。

實(shí)現(xiàn)動(dòng)態(tài)檢測的關(guān)鍵,是設(shè)計(jì)出針對被檢軟件的完整的模擬數(shù)據(jù)和模擬操作,并確定其正確的處理結(jié)果。模擬數(shù)據(jù)和模擬操作包括合法的和非法的兩種,這樣做的目的是觀察那些包含安全保護(hù)功能的程序是否能夠阻止非法行為的發(fā)生,從而判斷其安全保護(hù)是否在發(fā)揮作用。實(shí)施檢測時(shí)將模擬數(shù)據(jù)或模擬操作經(jīng)過軟件處理后得到的實(shí)際結(jié)果與正確的結(jié)果相比較,確定程序的功能是否可靠、程序是否被修改過。當(dāng)檢測到程序的真實(shí)性、完整性和可靠性遭到破壞時(shí),及時(shí)發(fā)出報(bào)警。

信息驗(yàn)證碼是根據(jù)信息的全部內(nèi)容通過某種算法產(chǎn)生的一種檢驗(yàn)碼,它與信息的全部內(nèi)容密切相關(guān)。即使文件中有一比特的改變,都會(huì)導(dǎo)致信息驗(yàn)證碼的改變。因此,在設(shè)計(jì)應(yīng)用軟件時(shí),保證在每次保存數(shù)據(jù)文件時(shí)計(jì)算出當(dāng)時(shí)的信息驗(yàn)證碼并同時(shí)保存起來,檢測模塊通過計(jì)算信息驗(yàn)證碼并與保存文件時(shí)的信息驗(yàn)證碼進(jìn)行比較,即可發(fā)現(xiàn)文件中的數(shù)據(jù)是否被篡改過。

更多計(jì)算機(jī)與外設(shè)信息請關(guān)注:21ic計(jì)算機(jī)與外設(shè)頻道


上一頁 1 2 下一頁

評論


相關(guān)推薦

技術(shù)專區(qū)

關(guān)閉