網絡審計與取證技術研究畢業(yè)論文

1、<p><b>　　本科畢業(yè)論文</b></p><p>　　論文題目： 網絡審計與取證技術研究 </p><p>　　學生姓名： </p><p>　　學號： </p><p>　　專業(yè)： 計算機 &l

2、t;/p><p>　　指導教師： </p><p>　　學 院： 計算機學院 </p><p>　　畢業(yè)論文（設計）內容介紹</p><p><b>　　目 錄</b></p><p><b>　　摘要1</b>&

3、lt;/p><p>　　Abstract1</p><p><b>　　1.引 言2</b></p><p>　　2.網絡審計技術3</p><p>　　2.1 網絡審計產生的動因3</p><p>　　2.2 網絡審計的涵義4</p><p>　　2.3 網絡

4、審計的特征5</p><p>　　2.4 網絡審計存在的弊端5</p><p>　　2.5 網絡審計的發(fā)展策略3</p><p>　　2.6 網絡審計的法律環(huán)境4</p><p>　　2.7 網絡審計的技術方法5</p><p>　　3.網絡取證技術 5</p><p>　　

5、3.1計算機取證的涵義5</p><p>　　3.2網絡取證的涵義5</p><p>　　3.3網絡取證的基本原則5</p><p>　　3.4網絡取證的證據來源5</p><p>　　3.5網絡取證的關鍵技術和相關工具5</p><p><b>　　4. 結束語10</b></

6、p><p><b>　　參考文獻10</b></p><p>　　網絡審計與取證技術研究</p><p>　　摘要：隨著科技的不斷發(fā)展，網絡越來越多地參與到人們的工作與生活中，網絡經濟成為人們經濟活動中重要的一部分，這也使得傳統(tǒng)的審計與取證工作遭遇到前所有的挑戰(zhàn)，審計與取證走向網絡化已是必然趨勢，于是對網絡審計與取證技術的研究也就具有了重要的現實

7、意義。本文首先從網絡審計的涵義出發(fā)，分析網絡審計的基本特征及目前存在的弊端，并提出相應的發(fā)展策略及技術方法。然后從網絡取證的涵義出發(fā)，分析網絡取證的基本原則及證據來源，并對網絡取證的關鍵技術和相關工具進行探討。</p><p>　　關鍵詞：網絡經濟，網絡審計，計算機取證，網絡取證</p><p>　　Research of Network audit and evidence collec

8、tion</p><p>　　(School of Information Science and Engineering, Shandong Normal University)</p><p>　　Abstract: Along with the technical unceasing development, the network more and more participate

9、s in people's work and the life, the network economy becomes in the people economic activity an important part, this causes traditional the audit and the evidence collection work bitter experience to the serious chal

10、lenge, the audit and the evidence collection moves toward the network already is the inevitable trend, therefore also had the vital practical significance to the network audit and the evide</p><p>　　Keyword：

11、Network Economy ，Network audit，Computer evidence collection Audit， Network evidence collection</p><p><b>　　1.引言</b></p><p>　　隨著計算機信息技術的發(fā)展和普及，網絡技術(即IT業(yè))已為人們所熟知，全球網絡化以勢不可擋之勢迅速滲透到各個領域，對

12、社會生活的各個方面都產生著深層次的影響，網絡已由時髦變成實務。1998年全球的網上銷售額達到43O億美元，2005年超過18000億美元，是1998年的40多倍。網絡經濟的發(fā)展必然導致越來越多的企業(yè)的管理思想和會計業(yè)務等發(fā)生變革。如果審計不能向投資者、社會公眾、有關組織和人員真實地反映此類企業(yè)的會計信息，審計也就失去了經濟監(jiān)督的基本職能。我們不能不重視IT業(yè)對審計帶來的沖擊，對網絡審計的技術、優(yōu)勢等進行探討。與此同時，與計算機網絡相關的

13、法庭案例也不斷出現，并呈現逐年增加的趨勢，對網絡經濟的發(fā)展產生了嚴重影響。網絡取證可以提供法庭需要的證據，它從主動防御的角度保護著網絡安全。網絡審計與網絡取證相互配合，對網絡經濟的健康，快速發(fā)展起到了重要促進作用。</p><p><b>　　2.網絡審計技術</b></p><p>　　2.1網絡審計產生的動因</p><p>　　首先，審計

14、機構的自身利益驅動，促使了它不斷地進行創(chuàng)新。根據經濟學原理，一個企業(yè)的發(fā)展是以利潤最大化原則去運作經營，作為中介服務的審計同樣如此。如何實現利潤最大化目標，不外乎通過增加服務收入，減少成本費用等方式來實現。在網絡時代，隨著客戶服務偏好的轉向，越來越需要提供實時化、個性化的服務，這就促使了審計機構向在線實時服務為主的方向發(fā)展，充分利用網絡的低成本性、快捷性、跨越時空性等優(yōu)勢。因此審計機構會漸漸地建立起以網絡為依托的審計新模式，從而更有效的

15、服務于社會經濟。  其次，隨著信息高科技的飛速發(fā)展，Intranet技術的不斷成熟以及電子商務模式在企業(yè)中的廣泛運用，越來越使信息的處理和傳遞突破了時空的界限，電子商務不僅提供了集信息流、物流和資金流于一體的商務交易模式，而且處處體現出其快捷、方便、高效率、高效益的顯著特征，同時也帶來了經濟結構和運作方式的變革。審計作為中介服務的一部分，將直接受到其服務對象交易模式的影響，企業(yè)采用了新的電子商務模式，產生了新的運作機

16、制，勢必需要產生一種新的監(jiān)督機制來維護和保障市場的正常運作，體現其公平性，這一歷史重任必將推動著審計進行創(chuàng)新，從而為網絡</p><p>　　2.2網絡審計的涵義</p><p>　　網絡審計是隨著網絡技術、通訊技術和電子商務的出現而產生的，是經濟活動網絡化、虛擬化的產物，也是現代審計發(fā)展的嶄新階段。</p><p>　　一般來說，網絡審計的定義有狹義和廣義之分：其

17、中，狹義的網絡審計指借助電子計算機的先進的數據處理技術和聯網技術，以磁性介質作為主要載體來存儲數據以便于用網絡來處理、傳送、杏閱這些數據，使審計工作與計算機網絡組成一個有機的整體，從而提高審計的現代化水平。而廣義的網絡審計是指在網絡環(huán)境下，借助大容量的信息數據庫，并運用專門的審計軟件對共享資源和授權資源進行實時、在線的個性化審計服務，在網絡上對客戶的相關信息進行采集、整理、查證、分析，進而得出審計結論。</p><p

18、>　　2.3網絡審計的特征</p><p>　　(1)審計空間進一步拓展。</p><p>　　擺脫傳統(tǒng)地域觀念的束縛，開拓新的審計領域 隨著網絡經濟給現有經濟模式帶來的挑戰(zhàn)，網絡審計服務市場的進一步擴大，將使傳統(tǒng)競爭與網絡審計的競爭更趨激烈，只有在競爭中快速的發(fā)展， 能更好地參與競爭，保持優(yōu)勢。在網絡會計環(huán)境下，會計信息資源在極大的范圍內得以交流和共享；會計信息涉及到交易關聯方的各

19、個方面，同時能訪問會計信息的用戶可能涉及整個網上用戶。因此，為了防止信息的使用者采取惡意操縱行為，破壞和更改會計數據，以及會計數據在傳輸過程中被截留和篡改等行為，應將審計空間范圍擴大到交易關聯方以及網上有關信息用戶。</p><p>　　(2)審計時效性得到保障。</p><p>　　在網絡環(huán)境下，由于企業(yè)經營的網絡化、虛擬化，使得企業(yè)的經營風險加劇，廣大投資者、客戶及有關部門(工商、銀行

20、、稅務部門)渴望及時獲取相關會計信息和經濟業(yè)務信息以作出決策。而通過網絡審</p><p>　　計，可滿足這種需求。審計部門隨時對企業(yè)進行審查，及時收集掌握被審計單位的最新會計信息和有關經濟業(yè)務信息，并向有關各方發(fā)布，審計的時效性大大提高。</p><p>　　(3)審計人員素質更高，知識更全面。</p><p>　　傳統(tǒng)審計中，審計人員只需要熟練掌握會計審計的知識

21、足夠，即使在審計電算化階段，審計人員也只需要懂得操作電腦即可，但是在</p><p>　　網絡審計時期，審計人員不但要熟練掌握會計審計專業(yè)知識，還要提高自身的網絡技能，熟練運用INTERNET進行審計。</p><p>　　2.4網絡審計存在的弊端</p><p>　　4．1 網絡審計風險防范與控制任務艱巨</p><p>　　網絡審計的風險

22、因為主要來自三個方面：</p><p><b>　　(1)物理風險。</b></p><p>　　計算機硬件自身的局限性造成了物理風險。如計算機發(fā)生了鏈路故障或者遭到自然、機械災害損壞，已經非法操作等，導致數據毀損或丟失。</p><p>　　(2)企業(yè)內部控制風險。</p><p>　　網絡的虛擬性，網上交易活動不可見

23、性，必然加大審計線索和證據的獲取難度，網絡經濟中的審計線索和證據均來源于網絡，其真實性、可靠性主要取決于企業(yè)內部控制系統(tǒng)是否健全。這也加大了審計風險。</p><p>　　(3)外部網絡風險。</p><p>　　網絡“黑客”和病毒的侵入，惡意攻擊網絡，篡改、破壞審計數據甚至整個網絡系統(tǒng)，威脅著網絡化企業(yè)的安全，有時甚至使企業(yè)遭受巨大損失。</p><p>　　4．

24、2 審計人員知識結構不完整</p><p>　　網絡審計對審計人員的素質提出了更高要求和標準。網絡審計人員應該是一種復合型、全方位的人才，具備一定的法律、審計、網絡、通訊、計算機、商貿知識。我國目前這種網絡審計人才匱乏，審計人員知識結構不完整或者更新很慢，出現橫向學科知識邊緣斷接，縱向知識更新斷層的局面。</p><p>　　4．3 審計軟件不夠完善</p><p>

25、;　　目前，我國的審計軟件開發(fā)還處于成長階段，具有獨立開發(fā)高質量的審計軟件的公司很少，應用審計軟件的企業(yè)數量有限，還沒有形成一定的規(guī)模。</p><p>　　4．4 相關法律制度不夠健全</p><p>　　在網絡審計環(huán)境下，現有的一些法律法規(guī)呈現出一定的滯后性，對保證審計獨立性起不到應有的作用，也不能從宏觀環(huán)境層次上有效地預防外界對審計的干擾。計算機的電子信息及無紙化信息能否被法律接受，

26、已成為一個國際性的問題。其能否作為審計和稅務檢查的有效證據，也是一個亟待解決的問題。</p><p>　　4．5 缺少專門的鑒定部門和健全的社會服務機構。</p><p>　　網絡審計其實是一種信息化技術，這種技術是否可靠，需要有關部門權威鑒定。目前不少企業(yè)開發(fā)了審計軟件，卻找不到權威的鑒定部門和機構，其軟件的安全、可靠、高質量得不到有效保證。以企業(yè)信息化為特長尤其是以網絡審計為特長的社會

27、咨詢服務機構太少，專業(yè)從事企業(yè)管理信息化工程實施或監(jiān)理的機構尚無。</p><p>　　2.5網絡審計的發(fā)展策略</p><p>　　5．1 網絡審計風險防范與控制能力</p><p>　　我們可以通過以下措施來防范網絡審計風險：</p><p>　　(1)完善計算機硬件系統(tǒng)的控制設計。企業(yè)應該選用質量可靠的計算機硬件，關注計算機的實體安全、

28、火災報警、防護系統(tǒng)、使用記錄、后備電源、操作規(guī)程、災難恢復系統(tǒng)是否完備。定期檢查測試計算機硬件系統(tǒng)的運行情況，防患于未然。</p><p>　　(2)企業(yè)加強內部控制，提高企業(yè)的網絡安全防范意識，建立安全可靠的網絡交易系統(tǒng)，在進行網上交易時保護企業(yè)的安全，保證會計信息的準確性和可維護性，從而降低審計風險。</p><p>　　(3)在技術上對整個網絡系統(tǒng)的各個層次(通信平臺、網絡平臺、操作

29、系統(tǒng)平臺、應用平臺)都要采取安全防范措施和規(guī)則，建立綜合的多層次的安全體系，為網上交易提供周到、強力的數據安全保護。</p><p>　　5．2 知識結構．培養(yǎng)復合型人才</p><p>　　國家、學校、審計組織等部門應該采取措施，優(yōu)化審計人員的知識結構，加速審計人員知識更新，培養(yǎng)具備一定的法律、審計、網絡、通訊、計算機、商貿知識的全方位復合型人才。從深度和廣度上加強審計人員對網絡審計理論

30、的認識、理解，使其在網絡環(huán)境的支持下，積極主動地開展審計活動。</p><p>　　5．3 審計軟件．使之更趨完善</p><p>　　審計軟件的一部分功能可以內嵌人企業(yè)的財務軟件中，對日常的企業(yè)的經濟行為進行實時監(jiān)控，在企業(yè)發(fā)生一定程度的違規(guī)操作時，實時提醒，體現網絡審計的時效性。審計軟件應該更加智能化：軟件可以自動對系統(tǒng)的合法性與合規(guī)性進行全面檢查； 自動獲取充分適當的審計證據，減少審

31、計風險；抽取符合要求的審計樣本，盡量做到以一概全，以點見面，提高審計工作效率；擬訂審計工作計劃，編制工作底稿，出具獨立審計報告。</p><p>　　5．4 和完善相關的法律法規(guī)</p><p>　　應該完善相關法律，借助法律的強大力量，營造一個有效的外部法律環(huán)境，對有損審計獨立性的行為予以法律訴訟和懲罰。政府應該在立足我國國情的基礎上，制定相關的法律法規(guī)，對電子信息的有效性進行界定，使在

32、進行網絡審計，尤其是在進行電子證據，電子簽名，電子合同等合法性審計時切實做到有法可依，有章可循。國家財政部、審計署等相關部門應該加快建立一套適用于網絡審計自身特點的新的審計準則— — 網絡審計準則，以指導網絡審計工作。</p><p>　　5．5 專門的鑒定部門和健全的社會服務機構</p><p>　　國家要盡快成立鑒定部門，對企業(yè)開發(fā)的審計軟件系統(tǒng)進行檢驗、評定，以確保審計軟件系統(tǒng)的安全

33、、可靠和高質量運行。要進一步鼓勵成立以為網絡審計系統(tǒng)提供咨詢·為特長的服務機構，完善相關的規(guī)章制度和管理辦法，為網絡審計發(fā)展創(chuàng)造良好的社會環(huán)境。</p><p>　　2.6網絡審計的法律環(huán)境  由于網絡時代社會的信息化加大了社會的不確定性，著名的摩爾定律所蘊涵的正是這種不確定性，由于法律是人們在社會生活中形成的一種共識，它在規(guī)范社會經濟的運作，控制社會的不確定性上具有無可替代的功

34、能優(yōu)勢。因此，在網絡經濟中法律的重要性將更為凸現。作為一個經濟服務領域，審計首先要充分利用和維護已有的適應于自己的法律體系，作為維系共同利益的法律屏障，這些法律主要包括刑法、民法和商法等；其次，審計服務由于要處處體現其獨立性，從而存在其自身的特征，因此迫切需要一套符合自身發(fā)展規(guī)律的法律來規(guī)范，這就需要建立起規(guī)范網絡審計的審計準則。就新的審計準則而言，必須做到既有獨創(chuàng)的一面，又有沿襲傳統(tǒng)的一面，說它獨創(chuàng)性的一面，主要表現在規(guī)范審計企業(yè)的網

35、絡信息系統(tǒng)為中心的一整套制度以及電子版本的業(yè)務約定書、管理層說明書、審計報告等電子文件的合法化，這些制度具有濃厚的網絡特色，這與傳統(tǒng)審計準則具有明顯的區(qū)別；由于網絡審計在審計獨立性、客觀公正以及審計的職業(yè)道德等方面仍然類似于傳統(tǒng)審計，并且有時還離不開實地審計的參與，所以在規(guī)范類似審計方面可以適當的沿襲仍適用的傳統(tǒng)審計準則。基于上</p><p>　　2.7網絡審計技術方法</p><p>

36、　　7.1接受委托 　　連接網絡審計中心平臺與被審計單位的網絡財務系統(tǒng)的審計接口，進行數據傳輸初測，了解被審單位基本情況。 　　7.2對被審單位網絡財務系統(tǒng)功能進行評測 　　由工程技術部人員對網絡硬件環(huán)境審查，包括各部件的兼容性，信息通道的暢通性，有無可疑的多余接口等；由程序檢測部人員對網絡軟件環(huán)境審查，包括程序設計的合理性、可行性，操作的權限問題，實時監(jiān)測系統(tǒng)的完善性等。結合兩部門工作系統(tǒng)地分析審核客戶服務器環(huán)境，進行風險評測

37、。 　　7.3對被審單位網絡財務系統(tǒng)進行數據通訊的控制測試 　　(1)抽取一組會計數據進行傳輸，檢查由于線路噪音造成數據失真的可能性。 </p><p>　　(2)檢查有關的數據通訊記錄，證實所有的數據接受是否有序、正確。</p><p>　　(3)通過假設系統(tǒng)外一個非授權的進入請求，測試通訊回應技術的運行情況。(4)針對系統(tǒng)的安全性對本次審計風險進行估測，決定下步審計工作

38、的重心。 　　7.4對原始資料進行實質性測試 　　在前幾步驟中確定了財務系統(tǒng)的可信賴性后，由財務審計部人員調用審計系統(tǒng)的審計功能或使用審計軟件對原始數據庫審計，利用計算機強大的計算功能，對每筆重要業(yè)務審查、核對和分析；測試其原始憑證、入賬、匯總的準確性，使用電子郵件向網絡銀行中心、客房單位進行函證，取得有關數據文件作為審計證據。對無形資產進行審計時，從無形資產的取得、保護、創(chuàng)新等方面入手，審查其經濟性和效益性。 　　7.5結合

39、整理，編制審計報告與管理建議書。網絡審計可實現在線實時報告。網絡審計中心報告系統(tǒng)中設置有多種不同類型企業(yè)的報告模式。在線審計時，有關的匯總數據自動傳輸到報告系統(tǒng)，并經系統(tǒng)邏輯判斷，分別填入報告模式，留下工作底稿，最后生成審計報告。 審計報告分為三部分：</p><p>　　第一部分與傳統(tǒng)審計報告一致，反映被審單位財務狀況和經營業(yè)績；</p><p>　　第二部分是針對被審單位網絡

40、財務系統(tǒng)的合理性、安全性進行分析評析；</p><p>　　第三部分由專門的財務分析系統(tǒng)對企業(yè)未來形勢進行分析，并指出每個重大變化，對相關利益者產生何種影響。管理建議書，主要針對被審單位網絡財務系統(tǒng)在安全性、穩(wěn)定性上的改進意見。</p><p><b>　　3.網絡取證技術</b></p><p>　?。ㄒ唬┯嬎銠C取證的定義</p>

41、<p>　　“計算機取證”一詞由International Association of Compurer Specialists(IACIS)在1991年舉行的第一次會議中提出，它是一門計算機科學與法學的交叉學科。計算機取證方面的資深人Judd Robbins對計算機取證給出了如下的定義：計算機取證是簡單地將計算機調查和分析技術應用于對潛在的、有法律效力的證據的確定與獲取上。</p><p>　　

42、鑒于目前法律的制定比計算機相關的糾紛相對滯后，以及計算機取證技術與計算機犯罪相關法規(guī)的不完善性，我們認為計算機取證應該分為廣義的定義和狹義的定義</p><p>　?。?）廣義的計算機取證：發(fā)現計算機及其相關設備中的有利于計算機事件調查的數據，并提取，保護，保存的過程。</p><p>　　(2)狹義的計算機取證：能夠為法庭接受的、原始的、完整的、有說服力的，存在于計算機和相關外設中的電子

43、證據的提取、保護和保存的過程。</p><p>　　廣義的定義包括了更為廣泛的數據和調查行為，而狹義的定義從證據的特點、證據的獲得位置(現場)、證據的獲得過程三個方面作出了定義。</p><p>　?。ǘ┚W絡取證的定義</p><p>　　網絡取證(network forensics)一詞，通常用于描述對網絡行為信息的收集，分析，監(jiān)控，審計。它常用于描述事后調查的

44、手段以及提供接近實時響應的方法。</p><p>　　Digital Forensic Research Workshop(DFRWS)2001的會議上討論并給出了網絡取證的定義：使用科學的證明方法來收集、融合，發(fā)現、檢查、關聯，分析以及存檔數字證據，這些證據涉及多層次的主動處理過程以及數據源的傳遞過程，其目的是發(fā)現有預謀的破壞行為或已經成功的非授權的攻擊行為，并為應急事件的響應和系統(tǒng)恢復提供有用的信息。<

45、/p><p>　　網絡取證應該包含計算機取證，是廣義的計算機取證，是網絡環(huán)境中的計算機取證。隨著網絡應用的不斷深入，網絡取證的重要性越來越強，但網絡取證的研究還處在起步階段。</p><p>　　（三）網絡取證的基本原則</p><p>　　網絡取證應遵循如下原則：</p><p>　　(1)保持數據的原始性：取證分析的數據是被分析機器上數據的原

46、始逐比特復制。</p><p>　　(2)保持數據在分析和傳遞過程中的完整性：分析軟硬件環(huán)境不會改變分析的數據，數據傳遞過程中數據沒有改變。</p><p>　　(3)保持證據連續(xù)性：如果確實需要改變數據，必須保證證據連續(xù)性(chain of custody)，即在證據被正式提交給法庭時，必須能夠說明在證據從最初的獲取狀態(tài)到在法庭上出現狀態(tài)之間的任何變化。</p><p

47、>　　(4)取證過程的可認證性：也就是說，整個過程是受到監(jiān)督的，由原告委派的專家所作的所有調查取證工作都應該受到由其他方委派的專家的監(jiān)督。</p><p>　　(5)取證過程和結論的可重現：由于電子證據的特殊性，任何取證分析的結果或結論可以在另外一名取證人員的操作下重現。</p><p>　?。ㄋ模┚W絡取證的證據來源</p><p>　　網絡證據主要來自以下三

48、個方面：</p><p>　　(1)來自于主機的證據：系統(tǒng)事件記錄和記錄系統(tǒng)應用事件的系統(tǒng)日志文件、文件的電子特征(如MAC時間)、可恢復的數據．系統(tǒng)時間、加密及隱藏的文件、文件Slack空間，未分配的空間(Erased Files) 交換文件(Swap File) 系統(tǒng)恢復文件(Recovery File)、入侵者殘留物一如程序、腳本、進程 內存映像．系統(tǒng)緩沖區(qū)、系統(tǒng)內存、Cookies 歷史文件、臨時文件 系

49、統(tǒng)數據區(qū) 硬盤上的壞簇 注冊表、打印機及其它設備的內存等。</p><p>　　(2)來自于網絡通信數據包的證據：在基于網絡的取證中．采集在網絡段上傳輸的網絡通信數據包作為證據的來源。這種方式可以發(fā)現對主機系統(tǒng)來說不易發(fā)現的某種攻擊的證據。</p><p>　　(3)來自于其他安全產品的證據：防火墻 IDS系統(tǒng) 訪問控制系統(tǒng)、路由器、網卡 PDA以及其他安全設備、網絡設備、網絡取證分析系統(tǒng)

50、產生的日志信息。</p><p>　　（五）網絡取證的關鍵技術和相關工具</p><p>　　1、對存儲介質的安全無損備份技術</p><p>　　如果直接在被攻擊機器的磁盤上進行操作．可能會對原始數據造成損壞．而一旦這些數據有所損壞 就無法還原了．因此取證操作應盡量避免在原始盤上進行。應使用磁盤鏡像復制的辦法．將被攻擊機器的磁盤原樣復制一份．其中包括磁盤的臨時文件

51、 交換文件以及磁盤未分配區(qū)等 然后對復制的磁盤進行取證分析。眾多的專用工具如NTI的SafeBack、Norton的Ghost進行磁盤備份．這些備份工具甚至可拷貝壞扇區(qū)和校驗錯誤的數CRC據 以便進行下一步的取證分析研和作為法庭證據。</p><p>　　2、對已刪除文件的恢復技術</p><p>　　即使是將硬盤數據刪除并清空回收站．數據還仍然保留在硬盤上．只是硬盤FAT表中相應文件的文

52、件名被標記．只要該文件的位置沒有被重新寫入數據．原來的數據就可以恢復出來。</p><p>　　3、對Slack磁盤空間、未分配空間，交換文件和空閑空間中包含的信息的發(fā)掘技術</p><p>　　十六進制編輯器可對Windows交換文件(swap file)進行分析．如NTI的IPFiIter可動態(tài)獲取交換文件進行分析。系統(tǒng)關閉后．交換文件就被刪除 恢復工具軟件如GetFree可獲取交換文

53、件和未分配空間(Unal located Space)或刪除文件(Erased Fi les)。Fi le Slack是指從文件尾到分配給這個文件的簇尾的空白空間．GetSlack可獲取File Slack并自動生成一個或多個文件。同時這些分析工具對FIle Slack文件 未分配文件、刪除文件可進行關鍵詞檢索 能夠識別有關Internet活動的文字、電話號碼、信用卡號、身份證號、網絡登錄及密碼等關鍵詞。</p><

54、p>　　4、日志的反清除技術</p><p>　　對于Unix系統(tǒng)．可能需要查看／etc／syslog conf文件確定日志信息文件在哪些位置。NT通常使用3個日志文件記錄所有的事件 每個事件都會被記錄到其中的一個文件有的NT事件 每個NT事件都會被記錄到其中的一個文件中 使用Event Viewer查看日志文件。其他一些NT應用程序可能會把自己的日志放到其他的地方．例如ISS服務器默認的日志目錄是C：＼＼

55、Winnt＼system32＼Iogfile。但是 一旦攻擊者獲得了權限 他們就可以輕易地破壞或刪除操作系統(tǒng)所保存的日志記錄．從而掩蓋他們留下的痕跡 在實際中可以考慮使用安全的日志系統(tǒng)和第三方日志工具來對抗日志的清除問題。</p><p><b>　　5、日志分析技術</b></p><p>　　可分析CUP時段負荷 用戶使用習慣 IP來源、惡意訪問提示等．系統(tǒng)的日志

56、數據還能夠提供一些有用的源地址信息。系統(tǒng)日志數據包括系統(tǒng)審計數據、防火墻日志數據、來自監(jiān)視器或入侵檢測工具的數據等。這些日志一般都包括以下信息：訪問開始和結束的時間、被訪問的端口、執(zhí)行的任務名或命令名 改變權限的嘗試 被訪問的文件等。</p><p>　　通過手工或使用日志分析工具如：NetTracker、LogSurfer、NetIog和Analog等。對日志進行分析．以得到攻擊的蛛絲馬跡。應用系統(tǒng)也有相應的日

57、志分析工具。目前常用的Web Server有Apache Netscape enterprise server MS IIS等．其日志記錄不同．相應的分析工具也不同．如常用的有webt rendsTools FW LogQry Tcpreplay、Tcpshow、Swatch等。</p><p>　　6、取證數據傳輸時的傳輸安全技術</p><p>　　將所記錄的數據從目標機器安全地轉移到

58、取證分析機上．由于網絡取證的整個過程必須具有不可篡改性．因此 數據在傳輸過程中要提高對遠程數據傳輸的保密性．避免在傳輸途中遭受非法竊取?？刹捎眉用芗夹g 如IP加密 SSL加密等協(xié)議標準．保證數據的安全傳輸．另外．通過使用消息鑒別編碼(MAC)可保證數據在傳輸過程中的完整性。</p><p>　　7、存儲設備上所有數據的完整性檢測技術</p><p>　　文件完整性檢查系統(tǒng)保存有每個文件的數

59、字文摘數據庫．每次檢查時．它重新計算文件的數字文摘并將它與數據庫中的值相比較。如不同．則文件已被修改：若相同．文件則未發(fā)生變化 文件的數字文摘通過Hash函數計算得到 不管文件長度如何．它的函數計算結果是一個固定長度的數字。采用安全性高的Hash算法．如MD5、SHA時．兩個不同的文件不可能得到相同的Hash結果 從而．當文件一被修改 就</p><p><b>　　可檢測出來。</b>&l

60、t;/p><p>　　8、網絡數據包截獲和分析技術</p><p>　　利用TcpDump／WinDump或SNORT之類的工具來捕獲并分析網絡數據包．可得到源地址和攻擊的類型和方法。一些網絡命令可用來獲得有關攻擊的信息．如netstat、nslookup、whois、ping、traceroute等命令來收集信息．了解網絡通信的大致情況。</p><p><b&

61、gt;　　9、入侵追蹤技術</b></p><p>　　入侵追蹤是指給定一系列的主機H1，H2……Hn(n>2)當攻擊者順序從Hi連接到Hi+1(i= 1，2，3……n一1)．稱<H1， H2，……Hn>為一個連接鏈，追蹤的任務就是給定Hn，要找出Hn-1． ．H1的部分或全部。</p><p>　　入侵追蹤方法可分為四類：基于主機的方法依靠每一臺主機收集的信

62、息實施追蹤?；诰W絡的方法依靠網絡連接本身的特性(連接鏈中應用層的內容不變)實施追蹤。被動式的入侵追蹤方法采取監(jiān)視和比較網絡通信流量來追蹤．而主動式的方法通過定制數據包處理過程．動態(tài)控制和確定同一連接鏈中的連接。實際中的入侵追蹤方法有DIDS，CIS，Cal1erID， Thumbprint ，Timing -based等。</p><p>　　10、IP地理位置調查技術</p><p>

63、　　通過建立一個IP地址對應的可能的地理位置的數據庫，幫助加快lP地址的調查。如某些IP地址網段來自于什么地方．什么組織(大學)等?？梢酝ㄟ^nslookup，tracert．whois等工具得到一些關于地理位置的信息．如電話．域名．可將這些信息分析后存入數據庫中。現有的工具如Visual RouteSam Spade可以幫助建立這個數據庫。</p><p>　　11、其他方面的技術</p><

64、p>　　如動態(tài)內存獲取技術．基于Honeypot／Honeynet的取證系統(tǒng)．基于入侵檢測系統(tǒng)的取證系統(tǒng)．信息隱藏的取證發(fā)現和分析技術，逆向工程取證分析技術．密碼分析技術．證據間的關聯分析技術等。</p><p><b>　　四、結束語</b></p><p>　　在網絡經濟的環(huán)境下，審計、取證模式的改變，不再是簡單的修補和完善，而是一次深刻的革命，這也充分體現

65、出網絡經濟的特征。網絡審計、取證模式的構建，在審計與取證處理的智能化、實時化和法制化等方面，對審計與取證發(fā)展具有不可低估的拉動作用，將會成為傳統(tǒng)審計與取證模式的重塑者，同時也為傳統(tǒng)審計與取證模式的退出創(chuàng)造了條件。網絡時代在向我們走來,然而它帶給我們的不僅是鮮花和蛋糕,更有與之伴生的沼澤和險灘。我們只有掌握了高超的駕馭技能,才能使網絡金融活動更穩(wěn)、更快地向前發(fā)展。</p><p><b>　　參考文獻：&

66、lt;/b></p><p>　　[1]許寶強．“網絡審計的現狀及發(fā)展對策”．中國內部審計．2005，(1)．</p><p>　　[2]賈俊耀，王建發(fā)．“論網絡審計面臨的問題及對策”．山西財政稅務?？茖W校學報．2006，(4)．</p><p>　　[3]謝京華．“會計信息化下的審計問題”．審計與理財．2007，(5)．</p><p&g

67、t;　　[4]董剛毅．網絡審計的風險與控制[J]．審計理論與實踐，2002(9)．</p><p>　　[5]楊玉明．淺談網絡審計應注意的問題[J]．山東審計，2003(4)．</p><p>　　[6] (英)ROSS J．ANDERSON．Secu6ty Engineering：A Guide toBuilding Dependable Distributed Systems[M]．機

68、械工業(yè)出版社，2005．</p><p>　　[7] (美)WILLIAM STALLINGS．Network Security Essentials：Applicafions and Stardards[M]．機械工業(yè)出版社．2005</p><p>　　[8](美)Mandy Andress.計算機安全原理[M].楊濤,李明,譯.北京:機械工業(yè)出版社,2001</p>&