PDF《景波,刘莹,陈耿》

二、电子取证的方法和特点

(一)电子取证程序的合法性 随着当前计算机技术的发展, 审计人员从被 审单位获得的书证、 物证等证据信息大多以电子 数据的形式出现, 这些数据信息在证据法上就是 电子证据.由于电子证据使用的磁性介质, 其记 录保存的内容经常被改动, 而且即使被改动或添 加也不易留下痕迹.另外由于人为原因或非人为 原因( 如环境、 技术) , 电子证据的安全性和真实 性受到威胁, 一旦发生争议, 这种电子证据在诉讼 或仲裁中能否被采纳为证据就成为法律上的难 题.因此笔者认为, 电子数据的提供、 收集、 调查 和保全应当符合法定程序, 以电子取证的技术手 段来进行依法审计, 即通过窃录方式、 非核证程 序、 非法软件得来的电子证据, 不予采用[ 5].

(二)电子取证的常用技术 电子取证可被视为 从计算机中收集和发现 证据的技术和工具 [ 6].以计算机证据的来源为 标准, 电子取证技术可分为单机取证技术、 相关设 备取证技术和网络取证技术.单机和相关设备取 证包括数据恢复技术、 加解密技术和系统口令获 取、 信息搜索与过滤技术、 存储映像拷贝技术、 源 码反向工程技术等;

网络取证则侧重在网络上跟 踪犯罪痕迹或通过数据通信的信息资料获取证据 的技术, 常包括IP 地址和物理地址的获取和识别 技术、 身份确认技术、 电子邮件的鉴定和取证技 术、 网络监听和监视技术、 数据包过滤技术、 系统 漏洞扫描技术等.

(三)证据分析技术 电子证据取证和鉴定最重要的工作是对需要 鉴定的电子数据进行分析, 并提交鉴定分析报告. 电子数据分析包括对文件残存空间、 未分配空间 和自由空间中所含信息的发掘, 对交换文件、 缓存 文件、 临时文件中所含信息的复原, 对计算机在某 一特定时刻运行内存中数据的搜集与分析等, 同时, 它还要在已经获取的数据流或信息流中寻找、 匹配关键词或关键短语进行数据分析.它的具体 工作是: 分析文件属性、 文件的数字摘要和日志;

发现目标系统中的所有文件, 包括现存的正常文 件、 已经被删除但仍存在于磁盘上(即还没有被 新文件覆盖) 的文件、 隐藏文件;

尽可能地恢复已 发现的被删除文件;

最大程度地显示操作系统或 应用程序使用的隐藏文件、 临时文件和交换文件 的内容;

分析在磁盘的特殊区域中发现的所有相 关数据.

三、基于取证技术的持续审计模型 持续审计的典型特征是利用技术优势来缩短 内部审计周期、 改善风险和控制安全系数.王刚 认为, 联网审计是对被审计单位财政财务收支的 真实、 合法、 效益进行实时、 远程检查监督的持续 行为, 是一种 全新的审计理念与审计模式 [ 7]. 毕秀玲分析了持续审计的特征及产生和发展的动 因并界定了持续审计的效用[ 8].阚京华比较分 析了几种常见的持续审计技术实现模型[ 9].目前, 常见的持续审计框架如图1 所示. 图1 基于网络的持续审计概念模型 持续审计框架的主要组成部分包括互连的网 ―

9 5 ― 络服务器、 持续审计协议、 安全可靠的系统、 实时 更新的报告[ 10].审计端一旦发现与审计所定义 规则不一致的情况, 将以例外报告或警告的方式 通过网络通知审计人员, 但是, 传输数据的不确定 性和电子数据的易失性、 可篡改性会给所采集数 据的可鉴证性带来较大风险. 本文所讨论的持续审计模型利用电子取证的 技术优势构造了高度自动化的审计过程并实时提 供审计证据.电子取证技术的应用避免了目前审 计中反复经被审单位二次认证的繁琐, 并有效地保 护了审计人员的审计意图.基于取证技术的持续 审计模型是以网络活动为基础, 以异常数据变化为 核心, 以完整、 真实、 有效记录计算机系统活动为目 的的一种持续审计系统.系统模型如图2 所示. 图2 基于取证技术的持续审计模型 基于取证技术的持续审计模型由采集模块、 数 据分析模块、 响应及其结果处理模块组成.采集模 块使用目前技术成熟的经公安部认证的网络安全 产品, 并将采集的原始数据存入数据库.数据分析 模块采用基于统计的抽样分析和基于关联的特征 选择的方法, 将数据按协议和特征进行统计分析, 用数据挖掘方法建立数据仓库.响应及其结果处 理模块用于处理可疑信息, 除此以外, 结果处理模 块可以定期生成统计报表, 同时反馈策略对不同强 度的异常行为实施相应的审计规则响应.