摘要：对信息系统下计算机取证工作的需求进行分析，提出了信息系统审计证据生成系统模型。该模型解决了信息系统审计数据作为电子证据时存在的完整性保护不足问题，为依据GB／T25070-2010《信息安全技术信息系统等级保护安全设计技术要求》建设的信息系统增加带有时间戳的审计证据完整性保护功能，可以在不修改信息系统审计数据原保存格式的前提下，使系统审计数据满足电子证据取证需要。该模型采用简单时间戳协议和审计数据分组签名算法，有效降低了审计证据生成系统对网络带宽和存储空间资源的占用。

关键词：计算机取证 系统整体保护 完整性保护 

单位：公安部第一研究所