一、概述

隨著計算機和計算機網(wǎng)絡技術的不斷發(fā)展，計算機及計算機網(wǎng)絡的應用日趨廣泛，同時，計算機系統(tǒng)也越來越多地成為攻擊的對象。雖然計算機安全防范技術在不斷進步和完善，但是道高一尺、魔高一丈，非法入侵計算機系統(tǒng)的案件還是不斷地出現(xiàn)和增加。本文所要探討的，是目前法律界所面臨的緊迫而又棘手的問題，即如何獲取非法入侵或攻擊計算機系統(tǒng)的計算機證據(jù)。相對一般的證據(jù)而言，計算機證據(jù)具有鮮明的特點。計算機證據(jù)的收集和評價是一個法律問題，但又往往需要一定的計算機技術和其它科學技術，甚至是一些尖端的技術。對于攻擊計算機系統(tǒng)的取證，傳統(tǒng)的方法并不十分有效。本文將提出一種不妨稱之為“預先取證”的方法，這種方法的基本觀點是把審計的思想引入到計算機安全中，通過法律專家與計算機專家的緊密合作，運用計算機審計技術，為敏感的計算機系統(tǒng)設計出有針對性的審計系統(tǒng)，把計算機系統(tǒng)的所有活動記錄在案，當計算機系統(tǒng)受到攻擊時，這些審計記錄就成為有效的計算機證據(jù)。

二、計算機證據(jù)

要理解運用計算機審計技術的必要性，需要對計算機證據(jù)的特征有一個清晰的認識。

1.什么是計算機證據(jù)

關于計算機證據(jù)的概念，目前在學理上并沒有統(tǒng)一的認識，存在著多種觀點，比較為大眾所認可的有兩種觀點。其中一種觀點認為，計算機證據(jù)為計算機產(chǎn)生的證據(jù)（Computer generated evidence），而另一種觀點則認為計算機證據(jù)應該表述為計算機相關的證據(jù)（Computer-related evidence）。

計算機產(chǎn)生的證據(jù)是指計算機根據(jù)程序指令對輸入計算機的數(shù)據(jù)進行處理，然后輸出形成的記錄文件。它的表現(xiàn)形式有兩大類，一是直接輸出到紙張或其它多媒體輸出設備（如顯示器、揚聲器等）上；二是存儲到計算機的存儲設備（如磁盤、磁帶、光盤）上。

計算機相關的證據(jù)可以認為是廣義的計算機證據(jù)，除了計算機產(chǎn)生、存儲的信息之外，還包括計算機模擬結(jié)果以及計算機系統(tǒng)的測試結(jié)果。所謂計算機模擬，是指在訴訟中利用計算機對已經(jīng)發(fā)生的行為、事件或條件進行模擬，提供研究的結(jié)果，揭示事物發(fā)展的可能性。計算機系統(tǒng)的測試結(jié)果，是指在相同或相似的情況和條件下對計算機系統(tǒng)本身的可靠性進行測試，以證實計算機系統(tǒng)是可信的。

本文探討的是第一種觀點，把計算機證據(jù)定義為：計算機系統(tǒng)運行過程中產(chǎn)生的或存儲的以其記錄的內(nèi)容證明案件事實的電、磁、光信息，這些信息具有多種輸出表現(xiàn)形式。

2.計算機證據(jù)的特征

計算機證據(jù)作為一種訴訟證據(jù)，是現(xiàn)代計算機技術迅速發(fā)展的產(chǎn)物，具有十分鮮明的特征。雖然在我國的訴訟法中將計算機證據(jù)歸類為視聽資料，但在實質(zhì)上，計算機存儲的信息與錄音、錄像等其它視聽資料存在著質(zhì)的區(qū)別。

在此，我們僅討論計算機證據(jù)最本質(zhì)的特征，即計算機證據(jù)的脆弱性。計算機證據(jù)的脆弱性指計算機信息很容易被修改，并且修改后不會留下任何痕跡。計算機數(shù)據(jù)處理技術有一個優(yōu)點歷來是為人們所稱道的，這就是不留痕跡的修改。但這個為人所稱道的優(yōu)點卻成為困擾計算機安全專家和法律專家的棘手問題。例如，當懷疑一個嫌疑人篡改了計算機系統(tǒng)的數(shù)據(jù)時，如何證明數(shù)據(jù)確實被改動過，被改動的是哪一些數(shù)據(jù)，是什么時候修改的，是通過什么途徑修改的，等等。

對于書證的偽造或變造，利用已經(jīng)成熟的檢驗技術是能夠比較容易地發(fā)現(xiàn)其偽造或變造部分的；對于錄音、錄像等其它視聽資料的刪節(jié)、剪接所造成的失實，也是可以鑒定查清的，在科學技術不斷發(fā)展的今天，聲紋鑒定技術也已經(jīng)相當成熟了。

從本質(zhì)上看，計算機證據(jù)與文書證據(jù)有著天壤之別。即使是錄音、錄像等視聽證據(jù)，與計算機證據(jù)也有著本質(zhì)的區(qū)別。在電子技術領域，錄音、錄像資料是對聲音、圖像的記載，記錄的是模擬信號；而計算機信息是用二進制數(shù)據(jù)表示的，即所謂的數(shù)字信號。連續(xù)變化的物理量之間的任何變化，在理論上說都是可以再現(xiàn)的；但是非連續(xù)的數(shù)字信號卻不具有這種特性。

計算機數(shù)據(jù)的載體是電脈沖和磁性材料等，如果計算機系統(tǒng)被竊聽或非法復制，對計算機的數(shù)據(jù)表示幾乎沒有影響；如果計算機數(shù)據(jù)被改變了，從物理表示上，也只是集成電路的電子矩陣正負電平或磁性材料磁體的方向發(fā)生了變化，如果不做數(shù)據(jù)的互相對照，這種物理的變化用戶是根本感覺不到的。

3.計算機證據(jù)的證據(jù)價值

在我國訴訟法和證據(jù)學理論中，承認計算機產(chǎn)生和存儲的信息可以獨立發(fā)揮證明案件事實的作用。但是一個計算機證據(jù)是否具有證明力，取決于它是否具有相關性和客觀性。所謂相關性，是指證據(jù)與案件事實之間有著某種邏輯的聯(lián)系。所謂客觀性，是指證據(jù)來源于客觀事實本身，不是任何猜測、幻想、夢境和虛構(gòu)的內(nèi)容，而且沒有被篡改過，這是證據(jù)首要的本質(zhì)的屬性。

也就是說，計算機證據(jù)要完成其證據(jù)的使命，必須被證實是真實可靠的。但是，由于計算機數(shù)據(jù)的脆弱性（修改后不留痕跡），要想在計算機系統(tǒng)被攻擊之后收集到真實可靠的攻擊證據(jù)，其難度是相當大的。因此，為了保證在計算機系統(tǒng)被攻擊后能夠獲取有效的證據(jù)，最有效的方法是對計算機系統(tǒng)的所有活動實施監(jiān)視和記錄，當計算機系統(tǒng)受到攻擊時，這些記錄就成為計算機證據(jù)。計算機審計技術的運用使這種設想成為現(xiàn)實。

三、計算機審計技術

1.計算機審計概述

計算機審計技術就是在計算機系統(tǒng)中模擬社會的審計工作，對計算機系統(tǒng)的活動進行監(jiān)視和記錄的一種安全技術，運用計算機審計技術的目的就是讓對計算機系統(tǒng)的各種訪問留下痕跡，使計算機犯罪行為留下證據(jù)。計算機審計技術的運用形成了計算機審計系統(tǒng)，計算機審計系統(tǒng)可以用硬件和軟件兩種方式實現(xiàn)。計算機系統(tǒng)完整的審計功能一般由操作系統(tǒng)層次的審計系統(tǒng)和應用軟件層次的審計系統(tǒng)共同完成，兩者互相配合、互為補充。

計算機審計系統(tǒng)應該具有監(jiān)視功能和檢測功能。監(jiān)視功能是指審計系統(tǒng)通過監(jiān)視對計算機系統(tǒng)的所有操作，為入侵計算機系統(tǒng)的犯罪偵破和犯罪審理提供線索和證據(jù)，一個良好的審計系統(tǒng)還可以協(xié)助發(fā)現(xiàn)潛在的入侵者；檢測功能是指審計系統(tǒng)能夠檢測程序的真實性、完整性和可靠性，判斷程序是否已被篡改、是否處于正常的運行狀態(tài)中。