PDF《景波,刘莹,陈耿》

第8 卷第4 期2011 年10 月南京审计学院学报Journal of Nanjing Audit University Vol.

8, No.

4 Oct,

2011 基于电子取证技术的持续审计模型研究 景波, 刘莹, 陈耿(南京审计学院 信息科学学院,江苏 南京 211815) 摘要: 缺乏系统的持续审计模型构造方法已成为制约当前计算机审计发展的瓶颈.在此背 景下, 以持续审计的工作原理为基础, 本文提出一种基于电子取证技术的持续审计模型构造方 法, 它可以使持续审计更具有实时性和连续性.该模型通过实时监控异常行为的发生, 一方面可 以进行实时取证, 对异常行为做详细记录, 另一方面可以触发响应策略对不同强度的异常行为实 施相应的响应. 关键词: 电子取证;

持续审计模型;

计算机审计;

IT 审计;

信息系统审计 中图分类号: F239.1;

TP399 文献标识码: A 文章编号:

1672 8750( 2011)

04 0058

05 收稿日期:

2011 03

25 作者简介: 景波( 1975― ), 男, 江苏南京人, 南京审计学院信息科学学院副教授, 主要研究方 向为IT 审计、 数据挖掘;

刘莹( 1977― ), 女, 江苏南京人, 南京审计学院信息科学学院讲师, 主 要研究方向为数据挖掘、 分布式计算技术;

陈耿( 1965― ), 男, 江苏南京人, 南京审计学院信息 科学学院副院长, 教授, 博士, 主要研究方向为数据挖掘、 审计信息化. 基金项目:国家自然科学基金(70971067 );

江苏省高校自然科学重大基础研究项目 ( 08KJA520001);

江苏省 六大人才高峰 项目( 2007148)

一、引言 电子取证和持续审计都是近年来的研究热 点.目前电子取证和持续审计正处于起步阶段, 还没有形成系统的理论体系.笔者在审计实践中 发现, 诸多审计人员在获取被审单位电子数据时 较为被动, 无法直接将电子数据取证.笔者认为, 把电子取证和持续审计结合起来可能是一个很好 的解决办法, 它将会使审计人员从被动获取被审 单位数据转变为主动提取电子证据. IT 审计已在我国开展了十几年, 但目前的审 计工作仍主要关注 事后审计 和 周期审计 , 极 少能满足持续审计的实时性和全面性要求[ 1], 在 国内几家大型国有企业开展的持续审计试点工作 也只停留在数据层面的实时交换上.理论体系和 技术手段的缺乏已影响到我国对复杂的商业环境 开展持续审计工作的顺利进行, 因此我们有必要 结合我国的审计信息化现状, 广泛借鉴其他领域 对网络数据的监管经验, 展开对持续审计理论体 系和技术手段的研究, 为促进我国IT 审计发展提 供参考. 电子取证是指对存储在计算机系统或网络设 备中的潜在电子证据进行识别、 收集、 保护、 检查、 分析以及法庭出示的过程[

2 3].电子取证现在主 要针对两个方面: 对事发后的计算机系统的静态 证据收集分析;

结合入侵检测、 防火墙、 网络侦听 等网络安全工具对实时发生的行为进行动态取 证.2005 年4 月我国成立了中国电子学会计算 机取证专家委员会, 同年6 月首届中国计算机取 证技术峰会在北京召开.近年的科研项目也加大 了对电子取证的研究力度, 如国家863 计划之子 课题 电子物证保护与分析技术 、 国家博士基金 项目 计算机动态取证技术研究 、 国家 十五 重 点项目 计算机侦查技术研究 等.目前电子取 证的成熟产品主要有北京大学计算机研究所开发 的 计算机犯罪证据固定与保全工具箱 , 北京中 网安达信息安全科技有限公司的 网络神捕 综 合取证系统, 北京天宇宏远开发的硬盘拷贝机, 中―85―软公司开发的网络信息监控分析与取证系统, 厦 门美亚柏科开发的计算机犯罪取证勘察箱, 上海 金诺网安开发的介质取证系统DiskForen, 上海盘 石数码开发的计算机现场取证系统, 等等. 开展持续审计, 一般应具备两方面的技术条 件: 一方面是被审计系统完全自动化, 另一方面是 相关事件或结果能够即时被审计人员提取[ 4]. 持续审计完全可以采用电子取证技术来满足对数 据连续采集和分析的要求, 同时经过司法认证的 电子取证手段也能使审计人员获取的被审单位数 据具有法律效力.