[科普中国]-电子取证标准体系

简介

随着全球信息化的飞速发展，越来越多的数据以电子形式保存。信息安全产品、信息安全服务、安全事件处理与应急响应等方面都离不开电子证据；此外，在商务交易、政府服务、交流沟通、网络娱乐等各种网络应用中也大量涉及到电子证据。但是如同潘多拉的魔盒，商务类应用的快速发展也伴随着互联网违法犯罪不断增长。有数据显示，2013年中国网民在互联网上损失近1500亿，截止2013年12月，我国网民规模达到6．18亿，这就意味着2014年中国网民每人平均损失达243元。

电子数据取证技术，是信息安全领域的一个全新分支，逐渐受到人们的重视，它不仅是法学在计算机科学中的有效应用，而且是对现有网络安全体系的有力补充。近年来，我国的民事诉讼法、刑事诉讼法和行政诉讼法陆续将电子数据确立为法定证据种类之一，电子证据已在我国民事诉讼、刑事诉讼和行政诉讼法活动中发挥着重要作用。电子数据取证是一个严谨的过程，因为它需要符合法律诉讼的要求。因此，建立电子数据取证标准体系，加强电子数据取证国家标准建设，规范电子数据取证工作，维护司法公正，保障人民合法权益有着极为重要的意义和迫切的需求1。

国外相关标准国际标准化组织(International Organization for Standardization，ISO)、国际电工委员会(International Electrotechnical Commission，IEC)、Internet工程任务组(Internet Engineering Task Force，IETF)和国际电信联盟(International TelecommunicationUnion，ITU)等组织出台的信息安全的相关标准中均有针对电子证据的规定。

Internet工程任务组IETF早在2002年2月就发布了RFC3227((电子证据收集、保管指南》，而ITU则在2009年4月发布了电子证据法案》的草案和《了解网络犯罪：针对发展中国家的犯罪》，并在2012年9月发布了《了解网络犯罪：现象、挑战和法律相应》。

国际标准化组织国际标准化组织信息安全技术委员会(ISO/IECJT/SC27)在2012年10月发布了《电子证据识别、收集、获取和保存指南}(ISO/IEC27037：2012)，该指南规定了电子证据的定义、处理电子证据的要求、电子证据处理步骤及其关键的组件，包括证据的连续性、证据链、现场安全、取证的角色与责任等。

此外，国际标准化组织在2012年12月发布了ISO/IEC27041{调查方法适宜性充分性保障指南》、ISO/ IEC27042{电子证据分析解释指南》和ISO/IEC27043{调查原则和过程》的草案文本。其中，ISO/IEC27041为确保在信息安全事件调查中所使用的方法和过程的适宜性的机制提供了指南，包括要求定义、方法描述、证据提供的最佳实践以及满足要求的方法实施，还包括如何使用供货商和第三方测试来协助保障该过程。ISO/IEC27042为电子证据的分析和解释提供了指南，某种意义上解决了连续性、有效性、可再现性和可重复性的问题。它包括以下方面的最佳实践：分析过程的选择、设计和实施；记录充分的信息以支持独立调查(需要时)。它为展示调查者水平和能力的适当机制提供了指南。ISO/IEC27043为通用调查过程提供了理想模型的指南，包括不同的调查场景，这些场景大部分涉及电子证据。其中，不但包括从事件处理前期准备直至证据存储或公开，还包括对过程、证据的适当研究以及获取、收集、检查和展示方面的建议和警告。ISO/IEC27043指南旨在处理各种调查过程，以发现潜在的电子证据。该指南不但提供了网络犯罪的调查过程，还提供其他涉及电子证据事件的调查的过程，例如未授权访问、数据损坏、系统崩溃和其他要求调查事件。

计算机证据国际组织1998年3月，计算机证据国际组织(International Organizationon Computer Evidence，IOCE)开始着手规划关于获取电子证据的相关原则，以便各国之问能够有统一的原则、方法和惯例来实施电子证据的收集工作。2000年3月，IOCE依据1999年在伦敦召开的国际高技术犯罪和取证大会的内容，向其下属机构提交了一份报告，提出了一系列计算机取证的定义和原则。该报告中指出计算机取证过程中应该遵守的一般原则：

必须遵守所有取证和处理证据的原则；

获取证据时所采用的方法不能改变原始证据；

取证人员必须经过专门培训；

完整地记录对证据的获取、访问、存储或者传输的过程，并对这些记录妥善保存以便随时查阅；

每一名保管电子证据的人员应对其针对电子证据的每一个行为负责；

任何负责获取、访问、存储或传输电子证据的机构有责任遵循这些原则。

迄今为止，曾参与该组织制定取证原则的英国警察协会(ACPO，Association of Chief Police Officers)和数字取证科学组(Scientific Working Groupon Digital Evidence，SWGDE)，持续对电子证据取证工作的发展进行研究。为使实践工作能符合取证的原则和标准，ACPO和SWGDE分别推出了《电子证据取证的最佳实战指南》(Guidelines for Best Practice in the Forensic Examination of Digital Technology)，并随着实践工作的转变而新增、修订和完善指南内容。

美国国家标准与技术研究院在美国，国家标准与技术研究院(National Institute of Standardsand Technology，NIST)为了制定相应的标准和规范，开展了包括计算机取证工具测试项目(Computer Forensics Tool Testing，CFTT)和国家软件参考库项目(National Software Reference Library，NSRL)以及电子证据参考数据集“Computer Forensic Reference Data Sets，CFReDS”的研究。其中，NSRL项目负责建立一个包含各种软件的文件以及数字签名的目录，以便在执法和数字取证时使用，目前已收集了2500万个常见软件sHA一1散列值。CFTT项目旨在为确保司法组织以及其他法律组织在电子数据取证中使用的工具的有效性，建立一套关于工具规格说明书、测试程序、测试标准、测试序列等的方法和标准体系。CFReDS项目可以让信息安全事件的取证人员模拟电子数据勘查取证，也可用于检验鉴定设备的溯源。此外，NIST在2004年制订了《SP800—72PDA取证指南》和《PDA取证工具：概述和分析》，2005年制定了《手机取证工具：概述和分析》(2007年进行了更新)，2006年制订了《SP800—86在安全事件响应中集成电子取证的指南》，2007年制订了《SP800—101蜂窝电话取证指南》并正在2013年将其修订为《移动设备取证指南》，2009年制定了《移动终端取证参考资料：方法和物化》，2014年制定了《云计算取证的挑战》。

英国标准学会在英国，英国标准学会从2003年就发布了BIP0008—2003(电子存储信息的法定许可和证据权重的实施规范》、BIP0008—2—2005(电子传送信息的法定许可和证据权重的实施规范》、BS10008—2008((电子信息的法定许可和证据权重．规范》(2014年计划更新)以及BIP0009—2008(电子信息证据权重和法定许可性．与BS10008共同使用的遵守手册》等一系列国家标准。

国内相关标准与国外的标准制定相比，我国电子证据的标准化工作起步较晚，但是国家对于相关标准工作十分重视。《全国人大常委会关于司法鉴定管理问题的决定》(以下简称《决定》)从国家基本法律层面对电子数据鉴定遵守技术标准的义务做了明确规定，即“鉴定人和鉴定机构从事司法鉴定业务，应当遵守法律、法规，遵守职业道德和职业纪律，尊重科学，遵守技术操作规范。”1

部门规章和规范性文件层面也有类似规定。2005年《公安机关电子数据鉴定规则》(公信安E2oo57281号)明确要求公安机关电子数据鉴定人应当履行并遵守行业标准和检验鉴定规程规定的义务；2006年《公安机关鉴定机构登记管理办法》(公安部令第83号)明确将鉴定机构遵守技术标准的情况纳入公安登记管理部门年度考核的内容中；2007年《司法鉴定程序通则》(司法部令第107号)对鉴定人采纳技术标准问题做出了详细的要求，其第22条规定，“司法鉴定人进行鉴定，应当依下列顺序遵守和采用该专业领域的技术标准和技术规范：(1)国家标准和技术规范；(2)司法鉴定主管部门、司法鉴定行业组织或者相关行业主管部门制定的行业标准和技术规范；(3)该专业领域多数专家认可的技术标准和技术规范……”。

在我国电子数据鉴定领域，要真正贯彻以上法律法规的规定，国家标准和技术规范、行业标准和技术规范等标准的制定和发布是前提。目前主要以行业规范与行业标准为主，从正式发布的电子数据取证来看，El前，国家标准仅有3个，分别为：

GB/T29360—2012电子物证数据恢复检验规程；

GB/T29361—2012电子物证文件一致性检验规程；

GB/T29362—2012电子物证数据搜索检验规程。

相关的公共安全行业标准共22个，分别为：

GA/T754—2008电子数据存储介质复制工具要求及检测方法；

GA/T755—2008电子数据存储介质写保护设备检测方法；

GA/T756—2008数字化设备证据数据发现提取固定方法；

GA/T7572008程序功能检验方法；

GA/T825—2009电子物证数据搜索检验技术规范；

6A/T826—2009电子物证数据恢复检验技术规范；

GA/T827—2009电子物证文件一致性检验技术规范；

GA/T828—2009电子物证软件功能检验技术规范；

OA/T829—2009电子物证软件一致性检验技术规范；

GA/T976—2012电子数据法庭科学鉴定通用方法；

GA/T977—2012取证与鉴定文=持电子签名；

6A/T978—2012网络游戏私服检验技术方法；

GA/T1069—2013法庭科学电子物证手机检验技术规范；

GA/T1070—2o13法庭科学计算机开关机时间检验技术规范；

GA/T1071—2013法庭科学电子物证Windows操作系统日志检验技术规范；

GA/T1770—2014《移动终端取证检验方法》；

GA/T1771—2014《芯片相似性比对检验方法》；

GA/T1772—2014《电子邮件检验技术方法》；

GA/T1773—2014《即时通讯记录检验技术方法》；

GA/T1774—2014《电子证据数据现场获取通用方法》；

GA/T17752014《软件相似性检验技术方法》；

GA/T1776—2014《网页浏览器历史数据检验技术方法》。

司法部2014年发布了SF/ZJD0400001—2014《电子数据司法鉴定通用实施规范》、SF/ZJD04OlOOl一2014((电子数据复制设备鉴定实施规范》、SF/ZJD0402001—2014《电子邮件鉴定实施规范》、SF/ZJDO4O3OOl一2014((软件相似性检验实施规范》4个司法鉴定技术规范。

公安部在2005年就先后发布了《计算机犯罪现场勘验与电子证据检查规则》(公信安f2oo5]161号)、《公安机关电子数据鉴定规则》(45信安~2005}281号)等有关电子数据证据的规范性文件，而最高人民检察院于2009年4月下发了《人民检察院电子证据鉴定程序规则(试行)》。

2011年7月13日，最高人民法院正式发布了《关于审理证券行政处罚案件证据若干问题的座谈会纪要》，明确规范了电子证据的主要取证方式、程序、专业意见的取证及认定，这对完善证券行政执法规则，规范证券执法工作，解决证券执法中的突出问题，加大打击证券市场违法违规行为特别是内幕交易行为的力度，促进我国资本市场的健康稳定发展，具有重要的现实指导意义。

电子数据取证标准体系由于电子数据取证是一个严谨的过程，需要符合法律诉讼的要求。为保证取证过程的效率和合法性，必须建立合理取证的理论模型。从早期的基本过程模型、事件响应过程模型、法律执行过程模型、过程抽象模型，到后来的综合数字化调查过程模型、增强数字化调查过程模型和多维度证据分析模型，无论是哪种模型，基础模型都是证据获取、证据分析和证据报告。

证据获取阶段的工作是固定证据。电子证据容易修改，一旦决定需要获取电子证据，应该首先进行证据固定，防止有用证据的丢失，并且在后续的分析、陈述过程中不会改变。证据分析阶段的工作是分析证据与案件的关联性。电子证据包含的数据量往往很大，而且数据类型往往杂乱无章，收集的所有证据需要进行提取、整理和筛选后才能清晰呈现案情相关信息。

证据表现阶段要对电子证据与案件的关联性进行陈述。在此阶段要求能够证实电子证据取得的途径、分析过程，并合理引用电子证据分析结果对案情进行陈述。据此，国内外现有的电子数据取证的标准一般都分为4类：基础标准、方法标准、设备标准和管理标准。

目前，我国正开始着手建立关于电子数据取证的标准体系，相关标准组织在参考借鉴国外相关组织在信息安全领域方面对电子证据做出的研究成果和标准的基础上，结合我国的实际国情，出台制定了符合贴近我们实际工作需求的电子数据取证标准体系。

问题和挑战目前，我国的电子证据相关的标准化工作存在着以下几个问题：

标准体系缺乏统一规划，目前已制订的标准主要是针对电子数据取证和检验鉴定过程中的个别重要问题，而对整个标准体系没有整体规划；

标准制订机构之间缺乏协调，如公安部与司法部都在制订相关标准或规范。作为证据，其基本要求之一就是要得到各部门、社会各界的共同认可，但是目前没有任何部门在这一领域起到统筹协调、统一规划的作用。因此，对电子数据取证进行标准化研究，规范电子证据的获取、传输、保存、分析和使用，对于维护社会稳定、保障网络秩序、保护人民权益具有重大现实意义。

目前，电子数据取证工作主要面临3大挑战：加密技术、云计算环境下的取证和海量数据的取证。

加密技术更智能的手机意味着更严苛的加密措施。Goole预计今天10月推出新一代的Android操作系统，今后只有获取进入设备的密码才可以查看到照片、视频和存储在手机中的通讯信息。这将增加执法机构从智能手机提取个人数据的障碍；而苹果手机的加密和硬件存在关联，目前为止4s以上版本所有的取证工具都无法绕开开机密码。能帮助找到避开大量密码和设备锁方法的手机取证工具以及先进的加密技术将是发展趋势。

云计算环境下的取证以前的取证工作都是基于传统的取证，这些取证工作大致可以归为静态和动态两大类。然而，云的模型打破了这种规范，因为信息难以定位。在跨管辖区时，云中的数据不再是保存在一个确定的物理节点上，可能分布在不同的地区或国家，因此采集完整的犯罪证据变得相当困难。此外，云计算环境下，涉及大量的服务器集群、存储设备、网络设备等，有效数据被包涵在云端的海量数据中。这些都导致云计算中涉案电子证据的获取难度加大。

海量数据的取证随着海量数据的迅速发展，从海量数据中挖掘有用信息变得非常重要。因为对于任何一种计算机犯罪，其犯罪行为都是与针对计算机信息系统的各种操作紧密相联的，其犯罪证据和海量的正常计算机数据混杂在一起；此外，一个异常行为往往隐藏在多个分散的数据之中，这使得调查人员很难获得潜在的计算机犯罪证据。目前常用的电子数据证据分析技术己经越来越不适应愈发复杂的取证环境，如何对大数量级的取证数据进行整理和裁减，进而确立重点调查范围，集中使用取证资源；如何在被收集信息中分析各个数据证据间的关联，发现潜在的异常行为等都是亟待解决的问题。