付忠勇 趙振洲

（北京政法職業(yè)學院信息技術(shù)系北京 100024）

電子取證現(xiàn)狀及發(fā)展趨勢

付忠勇 趙振洲

（北京政法職業(yè)學院信息技術(shù)系北京 100024）

隨著計算機和網(wǎng)絡技術(shù)的普及，信息安全問題日益凸顯，與計算機有關(guān)的犯罪現(xiàn)象越來越多。電子取證為維護信息安全和打擊計算機犯罪提供科學的方法和手段，可以提供法庭需要的證據(jù)。本文首先對電子取證的國內(nèi)外發(fā)展現(xiàn)狀進行總結(jié)，然后結(jié)合信息技術(shù)的發(fā)展，分析了當前電子取證所面臨的問題和挑戰(zhàn)，最后提出加強技術(shù)開發(fā)、人員培訓，完善法律法規(guī)、加強合作等四方面措施。

電子取證 電子證據(jù) 計算機犯罪 信息安全

1 引言

隨著計算機和信息網(wǎng)絡技術(shù)在全球的普及，計算機通信網(wǎng)絡在社會、政治、經(jīng)濟、文化、軍事等方面的作用日益增強，電子商務、網(wǎng)絡辦公、金融電子化等新興事物的出現(xiàn)，極大地改變了人們的生活方式，計算機技術(shù)的普及使得越來越多的人對計算機的依賴程度增加。

當然，任何技術(shù)都存在兩面性，計算機和互聯(lián)網(wǎng)技術(shù)在服務不同個體或群體時毫無例外也會產(chǎn)生不同的效應，當這些技術(shù)被不法分子所掌握后，諸多的惡性反應便相繼出現(xiàn)，諸如計算機病毒、惡意網(wǎng)絡入侵與攻擊、網(wǎng)絡詐騙、竊取商業(yè)機密、散布淫穢信息等計算機網(wǎng)絡違法犯罪案件陰魂不散，如何有效應對和打擊此類犯罪案件也已成為各國政府關(guān)注的焦點。伴隨計算機網(wǎng)絡違法犯罪案件的滋生和蔓延，電子取證逐漸走上歷史舞臺并被社會各界所研究和重視[1-2]。

電子取證是指借助計算機技術(shù)及工具的基礎，從計算機系統(tǒng)、計算機相關(guān)外設以及互聯(lián)網(wǎng)中獲取與各類計算機案件有關(guān)的數(shù)字證據(jù)，為各類有關(guān)計算機的刑事、民事、行政案件提供證據(jù)支持[2]。從廣義上講，電子取證還包括為企業(yè)或個人提供電子數(shù)據(jù)服務的內(nèi)容。由于數(shù)字取證涉及計算機科學、法學及偵查學三大學科知識，通過取證獲取的電子證據(jù)的科學性、有效性、合法性以及取證過程的合理與否受到很多質(zhì)疑，電子取證工作往往面臨流產(chǎn)的威脅,這在很大程度上造成了數(shù)字取證與計算機違法犯罪二者的失衡，這也正是近年來計算機、網(wǎng)絡違法犯罪案件呈現(xiàn)跳躍式增長的主要原因。

2 電子取證發(fā)展現(xiàn)狀

2.1 國外發(fā)展現(xiàn)狀

國外電子取證研究產(chǎn)生于20世紀中后期，發(fā)展于20世紀末期，爾后不斷走向成熟和完善。在計算機取證的研究初期，計算機取證的思想、理念以及取證的技術(shù)和方法初步確立。計算機取證的初始階段是以美國聯(lián)邦調(diào)查局的電磁媒介計劃為標志的，這項計劃最終造就了計算機分析響應組（CART）的誕生[3]。在1984年，美國聯(lián)邦調(diào)查局實驗室及其他執(zhí)法機構(gòu)已經(jīng)開始計算機證據(jù)的檢驗和研究。從那時起，像美國的計算機分析與響應小組（CART）、計算機證據(jù)工作組（TWDGE）、計算機證據(jù)科研工作組（SWGDE）都已成立并著力于研究包括計算機證據(jù)檢驗鑒定的規(guī)范化在內(nèi)的計算機法庭科學[4[5]。到了90年代后期，由于計算機取證程序沒有統(tǒng)一的標準，引發(fā)了大量的法律問題，專家們開始對取證標準及程序進行研究，提出了諸如基本程序模型、事件響應模型、抽象化的取證模型等。從90年代后期至今，計算機取證開始向規(guī)范化邁進，國外許多機構(gòu)和專業(yè)人士開始進一步研究如何規(guī)范計算機取證，實現(xiàn)取證流程的標準化等取證重點課題。在學術(shù)界，近幾年每年都有涉及計算機取證的學術(shù)會議召開[6]。

在研究計算機取證技術(shù)、工具、標準和法律法規(guī)的同時，近年來計算機取證人才的培養(yǎng)、計算機取證專業(yè)服務機構(gòu)的建設以及取證服務體系的構(gòu)建也日益受到國外的重視。就目前國外取證人才的培養(yǎng)模式來看，取證人才主要來源于兩個方面：一方面是在高等學校中設置計算機取證的專業(yè)并開設相關(guān)的課程來培養(yǎng)專業(yè)取證人才；另一方面就是通過培訓的形式來解決計算機取證人才短缺的問題。對于計算機取證服務的完善來講，國外的取證機構(gòu)基本上都是面向社會服務的，在美國計算機取證機構(gòu)在受理案件時往往采取級別評定的方法，即基于客戶的需要將案件受理及檢驗分析的過程以優(yōu)先級加以區(qū)分，不同的優(yōu)先級案件分析檢驗的快慢不同，所收取的費用也不同。而對于計算機取證服務體系的建設，國外多采取從取證的質(zhì)量、準確率、信譽度等角度進行評測和完善。

2.2 國內(nèi)發(fā)展現(xiàn)狀

2001年，電子取證概念從國外引入國內(nèi)[7]，從入侵檢測取證開始，逐漸形成。2004年9月，我國第一個專門的取證機構(gòu)“北京網(wǎng)絡行業(yè)協(xié)會電子數(shù)據(jù)司法鑒定中心”成立。同年11月，于北京召開了全國第一屆計算機取證技術(shù)研討會。研討會對計算機取證技術(shù)的學科劃分、電子證據(jù)分析、取證系統(tǒng)體系結(jié)構(gòu)、電子證據(jù)立法和取證實驗室建設等進行了廣泛的交流和討論，該研討會現(xiàn)每兩年舉辦一次，對我國計算機取證技術(shù)的研究和發(fā)展起到了很好的推動作用。

在取證技術(shù)研究方面，近年來國內(nèi)的一些科研院所例如中科院、北京大學、中國人民大學等正在從事著磁盤碎片恢復、隱蔽信道分析、內(nèi)存證據(jù)獲取、數(shù)據(jù)完整性檢驗、多媒體取證等領(lǐng)域研究。但研究成果或者說所形成的產(chǎn)品少之又少，在取證機構(gòu)的業(yè)務實踐中，主要還是以使用國外的產(chǎn)品或系統(tǒng)為主。

在法律法規(guī)的建設方面，國內(nèi)只有很少的法律法規(guī)關(guān)系到了一些有關(guān)電子取證的說明，如《計算機軟件保護條例》，《關(guān)于審理科技糾紛案軟的若干問題的規(guī)定》等。2004年新制定的《電子簽名法》還沒有明確提出計算機證據(jù)或電子證據(jù)等概念，只是從等效的角度對電子簽名賦予了法律地位[7]。2011年8月30日，十一屆全國人大常委會會議初次審議的《中華人民共和國刑事訴訟法修正案（草案）》在證據(jù)種類的劃分上有了一個重要的突破，即將原來證據(jù)種類“（七）視聽資料”，修改為“（七）視聽資料、電子數(shù)據(jù)”，明確提出“電子數(shù)據(jù)”，由此正式確立了電子數(shù)據(jù)作為證據(jù)的法律地位。但關(guān)于電子取證的規(guī)范在法律層面尚屬空白。目前有關(guān)電子取證的工作規(guī)范只有各取證機構(gòu)自行制定的內(nèi)部規(guī)范，且各機構(gòu)的規(guī)范也很難實現(xiàn)統(tǒng)一。

總之，我國研究機構(gòu)開展取證技術(shù)的研究也不過是最近幾年的事情，技術(shù)水平與外國差距較大，取證相關(guān)法律的建設還不健全。隨著計算機技術(shù)的迅猛發(fā)展，計算機犯罪手段的不斷提高，我們需要加強計算機取證技術(shù)研究，健全規(guī)范的計算機取證流程，制定和完善相關(guān)的法律法規(guī)。

3 電子取證面臨的挑戰(zhàn)

經(jīng)過這些年的發(fā)展，電子取證理論和實踐上取得了不少的成績。但是隨著信息技術(shù)的發(fā)展和廣泛應用，電子取證技術(shù)的研究和應用也面臨著新的問題和挑戰(zhàn)，主要體現(xiàn)在以下幾個方面：

（1）目前，還沒有形成完備的關(guān)于數(shù)據(jù)取證的法律法規(guī)體系

有關(guān)司法部門還沒有給出規(guī)范的電子取證流程和工作規(guī)則，這直接制約了數(shù)據(jù)取證的司法實踐和技術(shù)成熟。

由于計算機取證技術(shù)是一門新興學科，還在起步階段，還沒有形成科學、統(tǒng)一的、為業(yè)界廣泛采納和共同遵守的計算機取證工作規(guī)范，在方法和步驟上，各取證機構(gòu)各行其是，這必然會導致證據(jù)的可信度不足，沒有法律保障的的取證過程甚至會破壞證據(jù)的完整性，非但沒有法律價值，甚至會侵犯隱私權(quán)和知識產(chǎn)權(quán)。

（2）司法部門的管理滯后

對數(shù)據(jù)證據(jù)認定的主體必須進行授權(quán)和甄別，只有取得司法鑒定資格，才能出具具有法律效力的數(shù)據(jù)證據(jù)，這方面，工作嚴重滯后，除政府以外的機構(gòu)沒有發(fā)展、研究數(shù)據(jù)證據(jù)的積極性。相關(guān)案件大量累積。

（3）計算機證據(jù)的獲得比較困難

證據(jù)的取得和出示是訴訟過程中的核心步驟。由于計算機證據(jù)是以數(shù)字形式存在的，必須借助于計算機系統(tǒng)和特定的工具軟件才能取得和顯示，使人們理解，這不可避免地要改變數(shù)字證據(jù)的一些屬性，而某些涉及案件的計算機系統(tǒng)往往是不允許長時間停止運行的，某些計算機設備的物理位置也是不能改變的[8]。

同時，做為網(wǎng)絡運營商，無論從商業(yè)運維還是節(jié)約成本的角度，都必須限定一個服務器的更新時間，對數(shù)據(jù)保存設定時限，而這樣的情況往往導致數(shù)據(jù)的滅失。經(jīng)常是，當取證人員經(jīng)過繁復的申報、溝通環(huán)節(jié)，獲得合法取證的條件時，數(shù)據(jù)已經(jīng)被刪除了。

（4）海量的數(shù)據(jù)給電子取證中證據(jù)的收集及分析帶來的困難

隨著存儲技術(shù)和計算機網(wǎng)絡通信技術(shù)的發(fā)展，計算機系統(tǒng)和計算機網(wǎng)絡中每天產(chǎn)生的數(shù)據(jù)龐大而且復雜，如何及時地獲取和保存這些海量的數(shù)據(jù)給我們提出了巨大的挑戰(zhàn)。如何從海量的數(shù)據(jù)中找出與案件相關(guān)且反映案件客觀事實的計算機證據(jù)更是一項很艱巨的任務。需要不斷地研究安全、高效的計算機取證工具[9]。

（5）云時代的智能終端安全隱患

移動智能終端與移動應用商店在向用戶提供豐富多彩的應用軟件和數(shù)字內(nèi)容的同時，智能終端病毒、應用軟件吸費、非法信息傳播等安全問題不斷暴露。移動智能終端已經(jīng)成了病毒發(fā)威的新戰(zhàn)場，手機僵尸、給你米等手機病毒破壞終端功能，惡意吸取資費，竊取用戶隱私，極大地損害了用戶利益。在信息內(nèi)容安全方面，包含色情暴力、反動言論等信息的應用軟件曾出現(xiàn)在應用商店中，危害青少年健康成長，影響社會穩(wěn)定團結(jié)。應用通過分享用戶地理定位數(shù)據(jù)或信息的方式侵犯用戶隱私，半數(shù)應用未經(jīng)用戶允許將用戶地理定位信息發(fā)送給廣告網(wǎng)絡或數(shù)據(jù)分析公司。

智能終端的便捷和普及帶來了安全問題及針對智能終端的犯罪活動。智能終端安全事件的事前安全防護與事后追責訟訴相關(guān)理論和技術(shù)的研究成了目前的研究熱點。

（6）多媒體通信給取證帶來了一定的難度

在互聯(lián)網(wǎng)應用中，一些常規(guī)的聊天工具如QQ、MSN、微信，不僅提供文字聊天，還提供語音、視頻聊天，微信更是將音頻聊天功能放在第一位。因而，電子取證不僅要對文字進行取證，也要對相關(guān)的視頻和音頻進行取證。鑒于聊天工具各有自己的信息傳輸和存儲模式，甚至進行特殊方式加密，給取證帶來了一定的難度，而如何針對視頻和音頻信息進行自動特征識別更是給電子取證帶來了不小的障礙。

（7）犯罪嫌疑人防范意識的提高及反取證技術(shù)的快速發(fā)展

近年來，隨著人們信息安全意識的增強，互聯(lián)網(wǎng)上出現(xiàn)了諸如“文件粉碎機”、“文件捆綁器”以及各種類型的加密工具，而一旦這些工具被犯罪嫌疑人所掌握，他們將利用這些工具進行證據(jù)的銷毀和隱藏，這將意味著計算機取證工作已不僅是在對已找到的存儲介質(zhì)上提取和分析證據(jù)，還得對其做大量的數(shù)據(jù)恢復、數(shù)據(jù)解密工作，增加了取證工作的難度和復雜性。

（8）跨區(qū)域的網(wǎng)絡犯罪不斷發(fā)生

現(xiàn)代信息技術(shù)通過互聯(lián)網(wǎng)、物聯(lián)網(wǎng)把世界各地的人和物緊密聯(lián)系在一起，而對這個虛擬空間進行監(jiān)管則十分困難，一些犯罪嫌疑人充分利用各地區(qū)法律及習俗上的差異，利用網(wǎng)絡進行傳統(tǒng)犯罪，并且近年來愈演愈烈，如網(wǎng)絡色情、網(wǎng)絡賭博和網(wǎng)絡詐騙等。同時由于網(wǎng)絡犯罪通?？缭蕉鄠€網(wǎng)絡，由于缺乏有效的合作機制，對跨區(qū)域網(wǎng)絡犯罪活動的取證活動往往半途而廢[9]。

4 電子取證的發(fā)展趨勢

面對上述挑戰(zhàn)，為更好地、更及時地打擊計算機犯罪，一方面要加強取證技術(shù)研究，改進取證手段和工具，以期應對各種新技術(shù)的挑戰(zhàn)。另一方面也要開展電子證據(jù)法學研究、完善打擊計算機網(wǎng)絡犯罪的法律法規(guī)，為電子取證和電子證據(jù)的使用提供法律上更明確的依據(jù)。同時，還要完善取證人員培養(yǎng)模式，加強專業(yè)機構(gòu)和科研院校的合作，建立跨國合作機制，提高取證工作的質(zhì)量和效率。

（1）研發(fā)新的取證技術(shù)和取證工具

結(jié)合信息時代的特點，積極研究數(shù)據(jù)獲取、數(shù)據(jù)恢復、現(xiàn)場取證、遠程取證、動態(tài)取證、多媒體取證、物聯(lián)網(wǎng)取證、網(wǎng)絡入侵追蹤及犯罪現(xiàn)場重建等取證技術(shù)，并結(jié)合計算機網(wǎng)絡領(lǐng)域的先進技術(shù)（如云計算、數(shù)據(jù)挖掘、海量數(shù)據(jù)分析、人工智能等技術(shù)），研制專門用于取證的自動化、可視化工具，加強虛擬社會的管控，同時為打擊犯罪獲取強有力的證據(jù)[9]。

（2）規(guī)范取證流程、完善電子取證相關(guān)法律法規(guī)

研究和制定科學的電子取證工具檢測標準和取證過程中的行為規(guī)范和操作流程，保證電子證據(jù)在采集、保存、檢驗和轉(zhuǎn)移等過程中的準確性和可靠性，提高電子取證過程的服務質(zhì)量，積極推進電子取證的標準化規(guī)范化建設，切實保證數(shù)字證據(jù)的科學性、有效性。

研究電子取證的合法性標準，制定和健全與信息安全、計算機基礎設施保護等相關(guān)的法律法規(guī)，確立網(wǎng)絡證據(jù)保全、數(shù)字取證的基本規(guī)則，使公安機關(guān)對網(wǎng)絡犯罪的調(diào)查取證工作有法可依。

（3）加強取證人員隊伍建設

電子取證涉及計算機科學、法學、偵查學，這本身就要求取證人員具備綜合性素質(zhì)；同時，隨著技術(shù)的發(fā)展，新的計算機網(wǎng)絡犯罪手段、途徑不斷涌現(xiàn)。取證人員不僅需要豐富的取證經(jīng)驗，對這些不同的技術(shù)和專業(yè)領(lǐng)域具備充足的知識、能力儲備，還需要電子取證人員要與時俱進，不斷學習最前沿的電子取證技術(shù)，提高自身的技術(shù)能力。這就要求我們加強取證學科建設，完善取證人才培養(yǎng)模式，一方面是在高等學校中設置數(shù)字取證專業(yè)并開設相關(guān)的課程來培養(yǎng)專業(yè)性的取證人員；另外一方面就是通過培訓的形式來解決數(shù)字取證人才欠缺的問題，并形成長效機制。對涉及專用領(lǐng)域的案件，聯(lián)合這一領(lǐng)域先進的技術(shù)專家，共同完成數(shù)字取證。以此來加強取證人才隊伍建設，應對計算機犯罪帶來的挑戰(zhàn)。

（4）建立跨地域、跨國界取證調(diào)查合作機制

由于計算機犯罪具有跨地域、跨國界的特點，因而經(jīng)常會出現(xiàn)實施犯罪在地方甲，而其犯罪時所用的計算機或所租用的服務器以及犯罪證據(jù)卻存放在地方乙，有時甚至罪犯在地方丙，這就需要有一個負責協(xié)調(diào)多部門、多區(qū)域甚至多國家合作的專門機構(gòu)，以實現(xiàn)犯罪資料、情報線索的共享，從而形成強大的偵查合力[10]。

5 結(jié)束語

電子取證是計算機技術(shù)在傳統(tǒng)的取證科學中的一個新興、且快速成長的領(lǐng)域。它對促進信息安全、威懾犯罪分子以及減少數(shù)字犯罪具有重要的作用。本文首先對電子取證的國內(nèi)外發(fā)展現(xiàn)狀進行總結(jié)，然后結(jié)合信息技術(shù)的發(fā)展，分析了當前電子取證所面臨的問題和挑戰(zhàn)，最后提出加強技術(shù)開發(fā)、人員培訓，完善法律法規(guī)、加強合作等四方面措施。

計算機技術(shù)的發(fā)展是瞬息萬變的，計算機信息犯罪的手段也會越來越多，技術(shù)越來越高，同時，造成的破壞也越來越大。我們必須加強對電子取證技術(shù)的研究，立法機關(guān)也要加快對電子證據(jù)的立法；同時，司法工作人員應不斷提高自己的素質(zhì)，專業(yè)人員更要提高自己專業(yè)技術(shù)水平，建立跨區(qū)域、跨國合作組織、機制，多管齊下，打擊計算機犯罪，維護信息網(wǎng)絡的安全有序運行。

[1]周志剛.數(shù)據(jù)挖掘技術(shù)在計算機取證的研究[D].大連：大連交通大學,2010：21-23.

[2]宋蕾.國內(nèi)外數(shù)字取證服務體系現(xiàn)狀及發(fā)展趨勢[J].鐵道警官高等?？茖W校學報,2011(1):82.

[3]Gary Palmer.A Road Map for Digital Forensic Research. Technical lReport November 2001:15-20.

[4]陳龍.計算機取證技術(shù)[M].武漢：武漢大學出版社，2007：1-10.

[5]趙小敏.基于日志的計算機取證技術(shù)的研究及系統(tǒng)設計與實現(xiàn)[D].浙江：浙江工業(yè)大學,2003.87-89.

[6]宋蕾.國內(nèi)外數(shù)字取證服務體系現(xiàn)狀及發(fā)展趨勢[J].鐵道警官高等?？茖W校學報,2011(1):82.

[7]張琦.計算機取證中的內(nèi)存鏡像獲取的研究與實現(xiàn)[D].吉林：吉林大學,2011：17-18.

[8]許榕生.國內(nèi)外計算機取證發(fā)展[J].保密科學技術(shù),2011(11): 7-8.

[9]王國強,信息時代數(shù)字取證面臨的挑戰(zhàn)及相應對策[A].全國計算機安全學術(shù)交流會論文集,第二十五卷，2010:236.

[10]萬曉春,計算機取證面臨的挑戰(zhàn)及應對措施[J].上海公安高等?？茖W校學報,2008(12)：71-72.

Current Status and Development Trend of Research of Computer Forensic

FU Zhong-yong，ZHAO Zhen-zhou
(Department of Information Technology，Beijing College of Politics and Law，Beijing 100024，China)

With the popularity of computer and network technology,information security problem is increasingly highlighted,and the computer related crime phenomenon more and more.Computer forensics to protect information security and to crack down on computer crime provides scientific methods and means,can provide evidence of the court need.This paper first gives the definition of computer forensics,and then introduces the features of computer evidence,principles and classification of computer forensics,finally describes the research status of computer forensics,points out the problems existing in the computer forensics and its development trend isforecasted.

computer forensic;electronic evidence;computer crime;information security

TP309.2

A

1008-1739(2014)10-67-4

定稿日期：2014-04-26

基本項目“北京市教師提高工程”專業(yè)帶頭人培養(yǎng)項目及北京政法職業(yè)學院院級課題“計算機取證技術(shù)現(xiàn)狀及發(fā)展趨勢研究”項目資助。