【正文】 參考文獻(xiàn)： [1]許寶強(qiáng)．“網(wǎng)絡(luò)審計(jì)的現(xiàn)狀及發(fā)展對(duì)策”．中國(guó)內(nèi)部審計(jì)． 2021， (1)． [2]賈俊耀，王建發(fā)．“論網(wǎng)絡(luò)審計(jì)面臨的問(wèn)題及對(duì)策”．山西財(cái)政稅務(wù)專(zhuān)科學(xué)校學(xué)報(bào)． 2021， (4)． [3]謝京華．“會(huì)計(jì)信息化下的審計(jì)問(wèn)題”．審計(jì)與理財(cái)． 2021， (5)． [4]董剛毅．網(wǎng)絡(luò)審計(jì)的風(fēng)險(xiǎn)與控制 [J]．審計(jì)理論與實(shí)踐， 2021(9)． [5]楊玉明．淺談網(wǎng)絡(luò)審計(jì)應(yīng)注意的問(wèn)題 [J]．山東審計(jì)， 2021(4)． [6] (英 )ROSS J． ANDERSON． Secu6ty Engineering： A Guide toBuilding Dependable Distributed Systems[M]．機(jī)械工業(yè)出版社， 2021． [7] (美 )WILLIAM STALLINGS． Network Security Essentials： Applicafions and Stardards[M]．機(jī)械工業(yè)出版社． 2021 [8](美 )Mandy [M].楊濤 ,李明 ,譯 .北京 :機(jī)械工業(yè)出版社 ,2021 [9]王繼梅 ,金連甫 .Web 服務(wù)安全問(wèn)題研究和解決 .計(jì)算機(jī)應(yīng)用與軟件 ,2021,21(2):9193 。 網(wǎng)絡(luò)時(shí)代在向我們走來(lái) ,然而它帶給我們的不僅是鮮花和蛋糕 ,更有與之伴生的沼澤和險(xiǎn)灘 。 四 、 結(jié)束語(yǔ) 在網(wǎng)絡(luò)經(jīng)濟(jì)的環(huán)境下，審計(jì) 、取證 模式的改變，不再是簡(jiǎn)單的修補(bǔ)和完善，而是一次深刻的革命，這也充分體現(xiàn)出網(wǎng)絡(luò)經(jīng)濟(jì)的特征?，F(xiàn)有的工具如 Visual RouteSam Spade可以幫助建立這個(gè)數(shù)據(jù)庫(kù)。如某些 IP地址網(wǎng)段來(lái)自于什么地方．什么組織 (大學(xué) )等。實(shí)際中的入侵追蹤方法有 DIDS， CIS， Cal1erID， Thumbprint ， Timing based等。基于網(wǎng)絡(luò)的方法依靠網(wǎng)絡(luò)連接本身的特性 (連接鏈中應(yīng)用層的內(nèi)容不變 )實(shí)施追蹤。 入侵追蹤技術(shù) 入侵追蹤是指給定一系列的主機(jī) H1， H2?? Hn(n2)當(dāng)攻擊 者順序從 Hi連接到 Hi+1(i= 1， 2， 3?? n一 1)．稱(chēng) H1， H2，?? Hn為一個(gè)連接鏈，追蹤的任務(wù)就是給定 Hn，要找出 Hn1． ． H1的部分或全部。 網(wǎng)絡(luò)數(shù)據(jù)包截獲和分析技術(shù) 利用 TcpDump／ WinDump或 SNORT之類(lèi)的工具來(lái)捕獲并分析網(wǎng)絡(luò)數(shù)據(jù)包．可得到源地址和攻擊的類(lèi)型和方法。如不同．則文件已被修改：若相同．文件則未發(fā)生變化 文件的數(shù)字文摘通過(guò) Hash函數(shù)計(jì)算得到 不管文件長(zhǎng)度如何．它的函數(shù)計(jì)算結(jié)果是一個(gè)固定長(zhǎng)度的數(shù)字?？刹捎眉用芗夹g(shù) 如 IP加密 SSL加密等協(xié)議標(biāo)準(zhǔn)．保證數(shù)據(jù)的安全傳輸．另外．通過(guò)使用消息鑒別編碼 (MAC)可保證數(shù)據(jù)在傳輸過(guò)程中的完整性。目前常用的 Web Server有 Apache Netscape enterprise server MS IIS等．其日志記錄不同．相應(yīng)的分析工具也不同．如常用的有 webt rendsTools FW LogQry Tcpreplay、 Tcpshow、 Swatch等。對(duì)日志進(jìn)行分析．以得到攻擊的蛛絲馬跡。這些日志一般都包括以下信息：訪問(wèn)開(kāi)始和結(jié)束的時(shí)間、被訪問(wèn)的端口、執(zhí)行的任務(wù)名或命令名 改變權(quán)限的嘗試 被訪問(wèn)的文件等。 日志分析技術(shù) 可分析 CUP時(shí)段負(fù)荷 用戶(hù)使用習(xí)慣 IP來(lái)源、惡意訪問(wèn)提示等．系統(tǒng)的日志數(shù)據(jù)還能夠提供一些有用的源地址信息。其他一些 NT應(yīng)用程序可能會(huì)把自己的日志放到其他的地方．例如 ISS服務(wù)器默認(rèn)的日志目錄是 C：＼＼ Winnt＼ system32＼ Iogfile。 日志的反清除技術(shù) 對(duì)于 Unix系統(tǒng)．可能需要查看／ etc／ syslog conf文件確定日志信息文件在哪些位置。 Fi le Slack是指從文件尾到分配給這個(gè)文件的簇尾的空白空間． GetSlack可獲取 File Slack并自動(dòng)生成一個(gè)或多個(gè)文件。 對(duì) Slack磁盤(pán)空間、未分配空間，交換文件和空閑空間中包含的信息的發(fā)掘技術(shù) 十六進(jìn)制編輯器可對(duì) Windows交換文件 (swap file)進(jìn)行分 析．如 NTI的IPFiIter可動(dòng)態(tài)獲取交換文件進(jìn)行分析。眾多 的專(zhuān)用工具如 NTI的 SafeBack、 Norton的 Ghost進(jìn)行磁盤(pán)備份．這些備份工具甚至可拷貝壞扇區(qū)和校驗(yàn)錯(cuò)誤的數(shù) CRC據(jù) 以便進(jìn)行下一步的取證分析研 和作為法庭證據(jù)。 （五）網(wǎng)絡(luò)取證的關(guān)鍵技術(shù)和相關(guān)工具 對(duì)存儲(chǔ)介質(zhì)的安全無(wú)損備份技術(shù) 如果直接在被攻擊機(jī)器的磁盤(pán)上進(jìn)行操作．可能會(huì)對(duì)原始數(shù)據(jù)造成損壞．而一旦這些數(shù)據(jù)有所損壞 就無(wú)法還原了．因此取證操作應(yīng)盡量避免在原始盤(pán)上進(jìn)行。這種方式可以發(fā)現(xiàn)對(duì)主機(jī)系統(tǒng)來(lái)說(shuō)不易發(fā)現(xiàn)的某種攻擊 的證據(jù)。 （四） 網(wǎng)絡(luò)取證的證據(jù)來(lái)源 網(wǎng)絡(luò)證據(jù)主要來(lái)自以下三個(gè)方面： (1)來(lái)自于主機(jī)的證據(jù)：系統(tǒng)事件記錄和記錄系統(tǒng)應(yīng)用事件的系統(tǒng)日志文件、文件的電子特征 (如 MAC時(shí)間 )、可恢復(fù)的數(shù)據(jù)．系統(tǒng)時(shí)間、加密及隱藏的文件、文件 Slack空間，未分配的空間 (Erased Files) 交換文件 (Swap File) 系統(tǒng)恢復(fù)文件 (Recovery File)、入侵者殘留物一如程序、腳本、進(jìn)程 內(nèi)存映像．系統(tǒng)緩沖區(qū)、系統(tǒng)內(nèi)存、 Cookies 歷史文件、臨時(shí)文件 系統(tǒng)數(shù)據(jù)區(qū) 硬盤(pán)上的壞簇 注冊(cè)表、打印機(jī)及其它設(shè)備的內(nèi)存等。 (4)取證過(guò)程的可認(rèn)證性：也就是說(shuō)，整個(gè)過(guò)程是受到監(jiān)督的，由原告委派的專(zhuān)家所作的所有調(diào)查取證工作都應(yīng)該受到由其他方委派的專(zhuān)家的監(jiān)督。 (2)保持?jǐn)?shù)據(jù)在分析和傳遞過(guò)程中的完整性：分析軟硬件環(huán)境不會(huì)改變分析的數(shù)據(jù)，數(shù)據(jù)傳遞過(guò)程中數(shù)據(jù)沒(méi)有改變。隨著網(wǎng)絡(luò)應(yīng)用的不斷深入，網(wǎng)絡(luò)取證的重要性越來(lái)越強(qiáng)，但網(wǎng)絡(luò)取證的研究還處在起步階段。 Digital Forensic Research Workshop(DFRWS)2021的會(huì)議上討論并給出了網(wǎng)絡(luò)取證的定義：使用科學(xué)的證明方法來(lái)收集、融合，發(fā)現(xiàn)、檢查、關(guān)聯(lián)，分析以及存檔數(shù)字證據(jù)，這些證據(jù)涉及多層次的主動(dòng)處理過(guò)程以及數(shù)據(jù)源的傳遞過(guò)程，其目的是發(fā)現(xiàn)有預(yù)謀的破壞行為或已經(jīng)成功的非授權(quán)的攻擊行為，并為 應(yīng)急事件的響應(yīng)和系統(tǒng)恢復(fù)提供有用的信息。 （二）網(wǎng)絡(luò)取證的定義 網(wǎng)絡(luò)取證 (work forensics)一詞，通常用于描述對(duì)網(wǎng)絡(luò)行為信息的收集，分析，監(jiān)控，審計(jì)。 (2)狹義的計(jì)算機(jī)取證：能夠?yàn)榉ㄍソ邮艿摹⒃嫉?、完整的、有說(shuō)服力的，存在于計(jì)算機(jī)和相關(guān)外設(shè)中的電子證據(jù)的提取、保護(hù)和保存的過(guò)程。計(jì)算機(jī)取證方面的資深人 Judd Robbins對(duì)計(jì)算機(jī)取證給出了如下的定義：計(jì)算機(jī)取證是簡(jiǎn)單地將計(jì)算機(jī)調(diào)查和分析技術(shù)應(yīng)用于對(duì)潛在的、有法律效力的證據(jù)的 確定與獲取上。管理建議書(shū)，主要針對(duì)被審單位網(wǎng)絡(luò)財(cái)務(wù)系統(tǒng)在安全性、穩(wěn)定性上的改進(jìn)意見(jiàn)。在線審計(jì)時(shí)，有關(guān)的匯總數(shù)據(jù)自動(dòng)傳輸?shù)綀?bào)告系統(tǒng)，并經(jīng)系統(tǒng)邏輯判斷，分別填入報(bào)告模式，留下工作底稿，最后生成審計(jì)報(bào)告。網(wǎng)絡(luò)審計(jì)可實(shí)現(xiàn)在線實(shí)時(shí)報(bào)告。對(duì)無(wú)形資產(chǎn)進(jìn)行審計(jì)時(shí)，從無(wú)形資產(chǎn)的取得 、保護(hù)、創(chuàng)新等方面入手，審查其經(jīng)濟(jì)性和效益性。(4)針 對(duì)系統(tǒng)的安全性