智能取证设备一致性评价的几点思考
【 摘 要 】 本文在对目前网域斗争技术的新特点进行了分析,探讨了数据取证设备应当满足的技术要求,并提出了以功能点作为对取证产品类型划分的依据,并在此基础上建立了数据取证设备一致性评价标准体系,通过对取证设备的系统性检测,保障公安部门获取数据的有效性,提高电子取证实战的效果。
【 关键词 】 网络犯罪;计算机取证;手机取证
【 Abstract 】 The new characteristics of techniques for online fight are analyzed in this paper, and then the technical acquirements for digital forensic are discussed, based on that, the standard system of consistency evaluation is proposed. The effectiveness of the data obtained will be protected and the achievement of fight for cyber crime will be enhanced as a result of the systematic testing on forensic products.
【 Keywords 】 the network crime;computer forensics; mobile phone forensics
1 引言
近年来,随着智能手机、平板电脑、计算机、智能终端、智能卡等消费电子产品的普及和联网,使得利用电子产品连接互联网从事违法犯罪活动的行为越来越多,不法分子通过短信、QQ和微信聊天等方式实施诈骗、散播谣言是目前常见的作案手段,网络犯罪的类型和领域也不断拓展,其危害不仅会造成财产损失,而且可能危及公共安全和国家安全。公安机关承担着维护网络安全、与网上犯罪行为进行斗争的重要使命,当前严峻的网络安全管理形势使得公安机关的网络安全保卫和监察工作面临着新的问题和挑战。
犯罪分子在使用电子产品作案的过程中,犯罪证据信息都会在作案设备中留下记录,正是由于这个特点,作案设备中会存储着许多与案件相关的有用数据信息。因此,对作案设备进行电子数据取证逐步成为案件侦查领域新的研究方向和热点,是一种打击各种犯罪行为的全新手段。现有电子数据勘查取证分析工作,主要是对送检的存储介质进行固定保全,获取介质中的特定数据进行分析,以及恢复被删除的数据等内容。其中的技术难度和复杂度都比较高,尤其是随着计算机技术与网络技术的不断创新和快速发展,取证分析技术也必须有相应的技术创新发展,否则难以做到有效而快速的电子数据的勘查取证工作。
2 智能取证设备一致性评价的必要性
2.1 无线网络为案件的侦查带来困难
无线网络包括了各类移动通信网络、WLAN、蓝牙等类型的网络,很多电子设备可以通过不同方式接入不同类型的网络,例如手机不仅可以选择通过运营商提供的服务无线上网,还能直接在提供WiFi等公共无线网络区域连入互联网。
由于无线网络的信号是开放式的,信息的传播速度快、范围广,犯罪行为在地理位置具有移动性,以及很多网络服务设备审计功能的不完善,使得嫌疑人身份和犯罪时间不易确定,导致公安机关在立案、侦查、定位、取证等多个侦察破案环节存在很大困难。
2.2 电子设备的多样性使得数据取证工作更为复杂
2.2.1数据的全面性要求
数据取证是对各类电子产品通过技术分析,确保获取里面的相关数据,帮助公安人员破案。所以应对里面的证据能够全面提取,得到完整的证据链,确保不遗漏相关的证据。但是不同系列设备间的独特性和多样化导致对不同设备取证方式和取证内容的差异性。
计算机取证不仅包括文件系统的静态数据和计算机内存等的动态数据通过运行取证软件、硬盘镜像、硬盘复制机等方式获取计算机的基本信息、应用信息和存储文件信息。基本信息包括了账户列表及密码、注册表信息、硬盘分区、系统进程信息、计算机网络设置、内存数据等。
应用信息包括各类聊天软件的账号信息和聊天记录、电子邮件、上网记录等数据内容,以及存储在硬盘的各类文档、照片、音频、视频等信息,这些信息除了用户自建的文件外,还应包括系统文件、临时文件等系统创建的文档,还应对数据库中包含的大量的敏感的、关键的数据信息,如银行账号、姓名、密码、身份证号码、交易记录等进行取证。为了弥补网络安全被动防御技术的不足,将计算机取证技术与防火墙、入侵检测、蜜罐等技术相结合,对可疑的计算机行为进行实时数据获取和分析,推断入侵者的动机,在确保系统安全的情况下尽量获取可用证据。
手机数据取证的证据源有SIM卡、内存以及外置存储卡、移动网络运营商等,内存以及外置存储卡数据取证的方式包括了通过USB调试直接取证、内存镜像取证以及利用系统自带的备份功能进行取证,无论采用何种取证方式,都应保证数据的完整有效,能够恢复删除的文件,找到的证据最终还原整个案件的过程。
手机取证应包括终端信息、通讯录信息、通话和短信记录、日历记录等基本信息,QQ、微信、飞信、Skype等即时通信软件的账号信息、好友和群信息以及聊天记录,各类微博、社交软件信息、上网记录、定位与导航记录、WiFi热点等各类应用信息和存储卡上保存的文件信息。
GPS导航仪、存储介质等特定应用的信息化产品应对基本信息、存储文件信息以及重点对特定的应用信息进行取证。
2.2.2支持各类软硬件平台
取证涉及的技术领域广泛,需要综合利用多种技术知识来解决实际问题,早期仅对计算机的取证技术已不能满足对多样化产品的取证需求。仅手机操作系统就包含了iOS、Android、Windows Phone、Symbian、Windows Mobile、BlackBerry OS、MTK等操作系统以及Spreadtrum、Mstar等各类非智能手机。被取证设备还涉及基于各类操作系统的平板电脑、PDA设备,基于Windows、Linux和Unix系统的个人电脑和服务器,以及在这些系统上开发的信息化产品。物联网技术将节点从计算机扩展到其他介质,智能家居、传感设备和各种嵌入式产品都可以成为网络的节点,并为网络提供数据。云计算则将资源集中管理, 北京婚外情调查,取证涉及数据量巨大,虚拟化技术等这些与传统网络不同的业务和应用模式给取证技术带来了更大的挑战。
近年智能系统中的应用软件的蓬勃发展也给取证技术带来了复杂性,不仅供文字聊天,还提供语音、视频聊天,因而不仅要对文字进行取证,也要对相关的视频和音频进行取证,而且各产品的数据一般都保存为私有格式,不同的产商、产品型号和系统都会有所变化。从提供有力的法庭证据角度看,如果国家不出台相关的取证规范,业界将始终不能形成相对统一的手机软、硬件架构,取证设备将很难确保取证数据的完整一致性。
2.3 抗反取证技术导致的不利影响
利用信息化产品犯罪带来的利益越来越大, ,这也刺激着反取证技术的飞速发展,通过各种方式致使这些取证方法失效或无法进行。这给取证技术的要求和取证工作带来了极大的考验。
数据加密。很多软件都支持信息的加密存储,并可将加密数据存放到其他位置,导致取证无法获得有效数据,因此需要强有力的密码破解攻击来支持取证。
数据销毁。不法分子通过删除数据、恢复原厂设置等销毁数据,隐藏犯罪证据,这就要求取证设备能够恢复已删除的数据,对不同程度上的数据破坏进行恢复,以及将不可见区域的数据进行呈现。
权限控制。系统支持各种不同形态的权限控制方法,可以提供解锁密码、手势等方式解锁,Android操作系统需要root权限,以及打开USB Debug,IOS系统需要进行越狱才能对数据进行任意操作,计算机操作系统也有各自的权限控制方式,如果不能获取完整权限会导致取证到的数据不完全,增加取证难度。
2.4 海量数据增加了取证和分析的难度
利用取证设备取证到的数据数量通常都比较庞大,特别是大规模网络上的网络设备、服务器等产品都具有海量数据,如果提取设备的所有数据必然需要功能更强、速度更快、自动化程度更高的取证工具。而取证到的关键性数据与庞杂的无用数据混合在一起,需要公安人员从这些数据中进行鉴别和辨析,排查那些与调查目的无关的搜索结果,同时也增加了证据分析的难度,导致消耗大量的时间和人力物力,降低了办案效率。
海量数据也会导致介质复制过程时间长,人力、设备与空白介质消耗严重。存储介质的固定保全过程一般是通过复制机为源介质制作一个完全一致的克隆备份。目前的复制机基本上都仅支持单个源介质到单个目标介质的复制。但由于网域斗争形势日益严峻,集团化作案趋势明显,特别是维稳、赌博、淫秽色情等案件,涉案存储介质数量大,数据容量也越来越大,逐个复制耗费大量的时间与人力。
3 智能取证技术的建议
3.1 形成数据取证、证据存储、数据分析的产品系列
根据上文列举的网域斗争的新特点,法律部门迫切需要形成保证数字取证、证据存储和数据分析的系列产品,即要求取证工具快速稳定地产生准确、全面和客观的数据结果,能够抵抗各类反取证技术,能够满足对新兴技术产品的取证需求;要求可靠的证据存储设备用来存储收集的数据,方便证据管理的同时能够防止数据的意外丢失,为适应当前的网上斗争形势需要,构建分布式、并行的取证和分析系统,全面提升海量数据的处理能力;需要利用人工智能、机器学习、神经网络等技术,开发智能化的数据分析工具,对不同案件的数据进行关联和统一分析,提高工作效率。目前虽然已有很多阐述内存与分析、隐藏数据恢复、人工智能、数据挖掘等技术,但如何使这些技术能在证据提取和分析中真正发挥作用仍然是当前研究的热点。
3.2 建设智能取证设备一致性评价标准体系
数据取证设备的成熟必将促使一系列的标准出台,为了保证数据取证设备所取证数据的可靠性,美国NIST专门展开了CFTT(Computer Forensic Tool Testing)项目。该项目旨在建立数据取证设备的技术标准、检测流程、检测规范及检测用例,我国虽然在数据取证设备的研究开发工作进展较快,但是相应的标准工作却很少。生产计算机取证工具软件的企业实际上是在生产破案工具,应该是经过严格的资格认定的企业或者国家机关,并且应该属于公安机关或其他司法机关认定的特殊行业。
目前的这种任何软件企业都可以生产和研制的状况必须改变。同时,计算机取证软件工具的质量关系到案件是否能够及时侦破,关系到司法活动的公平和公正性。所以,计算机取证工具的质量必须得到保障。哪些软件工具可以用于计算机取证,哪些企业可以生产计算机取证工具,什么样的计算机取证工具可以用于司法活动,这些都是亟待解决的问题。所以,我国计算机取证工具的检测和认定是十分必要的,需要一个严格和可靠的方法来确保计算机取证工具的可靠性与准确性。
电子数据取证工具测试方案的目标是建立一个方法来测试计算机法取证软件工具开发的通用工具规格、测试断言、测试程序、测试标准等,其得出的测试结果可为电子数据取证工具生产商提供改进依据和信息,为用户对取证工具的选择提供帮助。因此我国必将制定一系列的数据取证设备技术要求标准和检测标准;数据取证设备逐步走向多样化,跨平台,从而标准的制定也需要随之变化;因此,标准体系的制定需要与产品同步,甚至具有一定的前瞻性。根据数据取证设备关键技术和国内外相关的技术要求标准及产品检测标准,按照产品功能点类型给出数据取证设备一致性评价标准体系框架,如图1所示,包括总则、产品检测规范和检测报告。
检测总则规定了产品的检测程序总述和对产品的分类标准,在本体系中是对市场上已有的取证产品的功能点进行调研后对设备的功能点包括了云取证/云分析、删除文件等共十九大类,类型划分如图2所示,并根据取证设备技术的发展和市场需求不断扩充。不同的取证产品,对一系列相应的功能点。各产品检测规范是对产品功能点进行检测时的参考依据、评价原则和方法指导,依据总则中划分的功能点制定不同的功能点检测环境、检测工具和检测方法,除功能要求还应包括数据取证硬件要求、性能要求(支持率和数据取证速度)、分析软件的操作功能要求、支持数据上传功能和数据传输安全性等。各产品的检测报告将依据产品所有功能点的检测规范进行检测后制定,对检测的结果进行客观描述。该智能取证设备一致性评价体系架构的特点有三项目。(1)依据不同的功能点对检测项目进行划分,信息类产品的更新换代周期非常短,数据取证设备对各种类型的产品支持情况有着非常大的差异,这样的划分方式可以比较明确的划分各产品,对于涵盖多个功能点的产品可以依次对各功能点进行检测,各检测结果合并为该产品的检测结果。
(2)具有一定的前瞻性和先进性,对于取证设备技术的创新,可以继续添加新功能点,而对已有的功能点不需要进行任何改变。
(3)易于更新,对于某一功能点发生的变动, ,可以以树形结构更改相应的规范,并依据该规范进行进一步的检测生成新的检测报告。
3.3 规范数据取证过程
调查和取证过程缺乏详细的操作规范,取证过程中的多种动态性因素都会导致前后两次内存镜像不一致,从而影响获取证据的真实性和可采性。对手机取证要注意在获得手机设备之后要防止手机的完整性遭到意外破坏,特别是突然接入的电话、短信以及发送的其他信息可能会破坏手机数据的完整性。因此取证环境需要进行电磁屏蔽,不能让外在的电磁信号影响到手机的完整性。避免因操作不当导致的数据变化而失去法律效力。针对不同产品的特点,应当建立针对不同类设备的取证规范以满足案件侦查的需要。
4 结束语
由于社会信息化的进程不断加快,对电子数据勘查取证分析的需求也越来越多,越来越复杂;信息技术和存储技术的不断更新,工作量也越来越大。特别是维稳案件、赌博案件和淫秽色情案件,涉及的硬盘存储介质多,取证分析任务重,工作效率低。因此,电子数据勘查取证必须有相应的技术、工具和一致性评价标准体系予以支撑,以解决上诉问题。
参考文献
[1] 韩宝昌.计算机犯罪取证证据分析的研究[D].大连交通大学,2012.
[2] 许榕生,杨英.国内外计算机取证发展[J].保密科学技术,2011(11):6-9.
[3] 谭晃.徐云峰——立足移动互联网,深入开展智能手机取证[J].警察技术,2012(05):21-23.
[4] 潘宣辰, 乔伟,桑胜田.手机反取证技术研究[J].电信科学,2010(11A):52-55.
基金项目:
国家发改委2012年信息安全专项“物联网一体化安全检测专业化服务”(发改办高技[2012]2091号)。
作者简介:
范红(1969-),女,河北保定人,毕业于中国科学院,博士,现任公安部第一研究所检测中心主任助理,研究员;工作业绩:多项国家863、国家发改委信息安全专项负责人;主要研究方向和关注领域:信息与网络安全、物联网。
王冠(1985-),女,河南焦作人, ,毕业于北京航空航天大学,硕士,现任公安部第一研究所信息安全工程师,工程师;工作业绩:参与多项国家发改委信息安全专项和公安部重点项目;主要研究方向和关注领域:信息安全、物联网。
杜大海(1982-),男,湖北洪湖人,毕业于北京航空航天大学,博士,现任公安部第一研究所信息安全工程师,工程师;工作业绩:参与多项国家发改委信息安全专项和公安部重点项目;主要研究方向和关注领域:物联网安全。
【 关键词 】 网络犯罪;计算机取证;手机取证
【 Abstract 】 The new characteristics of techniques for online fight are analyzed in this paper, and then the technical acquirements for digital forensic are discussed, based on that, the standard system of consistency evaluation is proposed. The effectiveness of the data obtained will be protected and the achievement of fight for cyber crime will be enhanced as a result of the systematic testing on forensic products.
【 Keywords 】 the network crime;computer forensics; mobile phone forensics
1 引言
近年来,随着智能手机、平板电脑、计算机、智能终端、智能卡等消费电子产品的普及和联网,使得利用电子产品连接互联网从事违法犯罪活动的行为越来越多,不法分子通过短信、QQ和微信聊天等方式实施诈骗、散播谣言是目前常见的作案手段,网络犯罪的类型和领域也不断拓展,其危害不仅会造成财产损失,而且可能危及公共安全和国家安全。公安机关承担着维护网络安全、与网上犯罪行为进行斗争的重要使命,当前严峻的网络安全管理形势使得公安机关的网络安全保卫和监察工作面临着新的问题和挑战。
犯罪分子在使用电子产品作案的过程中,犯罪证据信息都会在作案设备中留下记录,正是由于这个特点,作案设备中会存储着许多与案件相关的有用数据信息。因此,对作案设备进行电子数据取证逐步成为案件侦查领域新的研究方向和热点,是一种打击各种犯罪行为的全新手段。现有电子数据勘查取证分析工作,主要是对送检的存储介质进行固定保全,获取介质中的特定数据进行分析,以及恢复被删除的数据等内容。其中的技术难度和复杂度都比较高,尤其是随着计算机技术与网络技术的不断创新和快速发展,取证分析技术也必须有相应的技术创新发展,否则难以做到有效而快速的电子数据的勘查取证工作。
2 智能取证设备一致性评价的必要性
2.1 无线网络为案件的侦查带来困难
无线网络包括了各类移动通信网络、WLAN、蓝牙等类型的网络,很多电子设备可以通过不同方式接入不同类型的网络,例如手机不仅可以选择通过运营商提供的服务无线上网,还能直接在提供WiFi等公共无线网络区域连入互联网。
由于无线网络的信号是开放式的,信息的传播速度快、范围广,犯罪行为在地理位置具有移动性,以及很多网络服务设备审计功能的不完善,使得嫌疑人身份和犯罪时间不易确定,导致公安机关在立案、侦查、定位、取证等多个侦察破案环节存在很大困难。
2.2 电子设备的多样性使得数据取证工作更为复杂
2.2.1数据的全面性要求
数据取证是对各类电子产品通过技术分析,确保获取里面的相关数据,帮助公安人员破案。所以应对里面的证据能够全面提取,得到完整的证据链,确保不遗漏相关的证据。但是不同系列设备间的独特性和多样化导致对不同设备取证方式和取证内容的差异性。
计算机取证不仅包括文件系统的静态数据和计算机内存等的动态数据通过运行取证软件、硬盘镜像、硬盘复制机等方式获取计算机的基本信息、应用信息和存储文件信息。基本信息包括了账户列表及密码、注册表信息、硬盘分区、系统进程信息、计算机网络设置、内存数据等。
应用信息包括各类聊天软件的账号信息和聊天记录、电子邮件、上网记录等数据内容,以及存储在硬盘的各类文档、照片、音频、视频等信息,这些信息除了用户自建的文件外,还应包括系统文件、临时文件等系统创建的文档,还应对数据库中包含的大量的敏感的、关键的数据信息,如银行账号、姓名、密码、身份证号码、交易记录等进行取证。为了弥补网络安全被动防御技术的不足,将计算机取证技术与防火墙、入侵检测、蜜罐等技术相结合,对可疑的计算机行为进行实时数据获取和分析,推断入侵者的动机,在确保系统安全的情况下尽量获取可用证据。
手机数据取证的证据源有SIM卡、内存以及外置存储卡、移动网络运营商等,内存以及外置存储卡数据取证的方式包括了通过USB调试直接取证、内存镜像取证以及利用系统自带的备份功能进行取证,无论采用何种取证方式,都应保证数据的完整有效,能够恢复删除的文件,找到的证据最终还原整个案件的过程。
手机取证应包括终端信息、通讯录信息、通话和短信记录、日历记录等基本信息,QQ、微信、飞信、Skype等即时通信软件的账号信息、好友和群信息以及聊天记录,各类微博、社交软件信息、上网记录、定位与导航记录、WiFi热点等各类应用信息和存储卡上保存的文件信息。
GPS导航仪、存储介质等特定应用的信息化产品应对基本信息、存储文件信息以及重点对特定的应用信息进行取证。
2.2.2支持各类软硬件平台
取证涉及的技术领域广泛,需要综合利用多种技术知识来解决实际问题,早期仅对计算机的取证技术已不能满足对多样化产品的取证需求。仅手机操作系统就包含了iOS、Android、Windows Phone、Symbian、Windows Mobile、BlackBerry OS、MTK等操作系统以及Spreadtrum、Mstar等各类非智能手机。被取证设备还涉及基于各类操作系统的平板电脑、PDA设备,基于Windows、Linux和Unix系统的个人电脑和服务器,以及在这些系统上开发的信息化产品。物联网技术将节点从计算机扩展到其他介质,智能家居、传感设备和各种嵌入式产品都可以成为网络的节点,并为网络提供数据。云计算则将资源集中管理, 北京婚外情调查,取证涉及数据量巨大,虚拟化技术等这些与传统网络不同的业务和应用模式给取证技术带来了更大的挑战。
近年智能系统中的应用软件的蓬勃发展也给取证技术带来了复杂性,不仅供文字聊天,还提供语音、视频聊天,因而不仅要对文字进行取证,也要对相关的视频和音频进行取证,而且各产品的数据一般都保存为私有格式,不同的产商、产品型号和系统都会有所变化。从提供有力的法庭证据角度看,如果国家不出台相关的取证规范,业界将始终不能形成相对统一的手机软、硬件架构,取证设备将很难确保取证数据的完整一致性。
2.3 抗反取证技术导致的不利影响
利用信息化产品犯罪带来的利益越来越大, ,这也刺激着反取证技术的飞速发展,通过各种方式致使这些取证方法失效或无法进行。这给取证技术的要求和取证工作带来了极大的考验。
数据加密。很多软件都支持信息的加密存储,并可将加密数据存放到其他位置,导致取证无法获得有效数据,因此需要强有力的密码破解攻击来支持取证。
数据销毁。不法分子通过删除数据、恢复原厂设置等销毁数据,隐藏犯罪证据,这就要求取证设备能够恢复已删除的数据,对不同程度上的数据破坏进行恢复,以及将不可见区域的数据进行呈现。
权限控制。系统支持各种不同形态的权限控制方法,可以提供解锁密码、手势等方式解锁,Android操作系统需要root权限,以及打开USB Debug,IOS系统需要进行越狱才能对数据进行任意操作,计算机操作系统也有各自的权限控制方式,如果不能获取完整权限会导致取证到的数据不完全,增加取证难度。
2.4 海量数据增加了取证和分析的难度
利用取证设备取证到的数据数量通常都比较庞大,特别是大规模网络上的网络设备、服务器等产品都具有海量数据,如果提取设备的所有数据必然需要功能更强、速度更快、自动化程度更高的取证工具。而取证到的关键性数据与庞杂的无用数据混合在一起,需要公安人员从这些数据中进行鉴别和辨析,排查那些与调查目的无关的搜索结果,同时也增加了证据分析的难度,导致消耗大量的时间和人力物力,降低了办案效率。
海量数据也会导致介质复制过程时间长,人力、设备与空白介质消耗严重。存储介质的固定保全过程一般是通过复制机为源介质制作一个完全一致的克隆备份。目前的复制机基本上都仅支持单个源介质到单个目标介质的复制。但由于网域斗争形势日益严峻,集团化作案趋势明显,特别是维稳、赌博、淫秽色情等案件,涉案存储介质数量大,数据容量也越来越大,逐个复制耗费大量的时间与人力。
3 智能取证技术的建议
3.1 形成数据取证、证据存储、数据分析的产品系列
根据上文列举的网域斗争的新特点,法律部门迫切需要形成保证数字取证、证据存储和数据分析的系列产品,即要求取证工具快速稳定地产生准确、全面和客观的数据结果,能够抵抗各类反取证技术,能够满足对新兴技术产品的取证需求;要求可靠的证据存储设备用来存储收集的数据,方便证据管理的同时能够防止数据的意外丢失,为适应当前的网上斗争形势需要,构建分布式、并行的取证和分析系统,全面提升海量数据的处理能力;需要利用人工智能、机器学习、神经网络等技术,开发智能化的数据分析工具,对不同案件的数据进行关联和统一分析,提高工作效率。目前虽然已有很多阐述内存与分析、隐藏数据恢复、人工智能、数据挖掘等技术,但如何使这些技术能在证据提取和分析中真正发挥作用仍然是当前研究的热点。
3.2 建设智能取证设备一致性评价标准体系
数据取证设备的成熟必将促使一系列的标准出台,为了保证数据取证设备所取证数据的可靠性,美国NIST专门展开了CFTT(Computer Forensic Tool Testing)项目。该项目旨在建立数据取证设备的技术标准、检测流程、检测规范及检测用例,我国虽然在数据取证设备的研究开发工作进展较快,但是相应的标准工作却很少。生产计算机取证工具软件的企业实际上是在生产破案工具,应该是经过严格的资格认定的企业或者国家机关,并且应该属于公安机关或其他司法机关认定的特殊行业。
目前的这种任何软件企业都可以生产和研制的状况必须改变。同时,计算机取证软件工具的质量关系到案件是否能够及时侦破,关系到司法活动的公平和公正性。所以,计算机取证工具的质量必须得到保障。哪些软件工具可以用于计算机取证,哪些企业可以生产计算机取证工具,什么样的计算机取证工具可以用于司法活动,这些都是亟待解决的问题。所以,我国计算机取证工具的检测和认定是十分必要的,需要一个严格和可靠的方法来确保计算机取证工具的可靠性与准确性。
电子数据取证工具测试方案的目标是建立一个方法来测试计算机法取证软件工具开发的通用工具规格、测试断言、测试程序、测试标准等,其得出的测试结果可为电子数据取证工具生产商提供改进依据和信息,为用户对取证工具的选择提供帮助。因此我国必将制定一系列的数据取证设备技术要求标准和检测标准;数据取证设备逐步走向多样化,跨平台,从而标准的制定也需要随之变化;因此,标准体系的制定需要与产品同步,甚至具有一定的前瞻性。根据数据取证设备关键技术和国内外相关的技术要求标准及产品检测标准,按照产品功能点类型给出数据取证设备一致性评价标准体系框架,如图1所示,包括总则、产品检测规范和检测报告。
检测总则规定了产品的检测程序总述和对产品的分类标准,在本体系中是对市场上已有的取证产品的功能点进行调研后对设备的功能点包括了云取证/云分析、删除文件等共十九大类,类型划分如图2所示,并根据取证设备技术的发展和市场需求不断扩充。不同的取证产品,对一系列相应的功能点。各产品检测规范是对产品功能点进行检测时的参考依据、评价原则和方法指导,依据总则中划分的功能点制定不同的功能点检测环境、检测工具和检测方法,除功能要求还应包括数据取证硬件要求、性能要求(支持率和数据取证速度)、分析软件的操作功能要求、支持数据上传功能和数据传输安全性等。各产品的检测报告将依据产品所有功能点的检测规范进行检测后制定,对检测的结果进行客观描述。该智能取证设备一致性评价体系架构的特点有三项目。(1)依据不同的功能点对检测项目进行划分,信息类产品的更新换代周期非常短,数据取证设备对各种类型的产品支持情况有着非常大的差异,这样的划分方式可以比较明确的划分各产品,对于涵盖多个功能点的产品可以依次对各功能点进行检测,各检测结果合并为该产品的检测结果。
(2)具有一定的前瞻性和先进性,对于取证设备技术的创新,可以继续添加新功能点,而对已有的功能点不需要进行任何改变。
(3)易于更新,对于某一功能点发生的变动, ,可以以树形结构更改相应的规范,并依据该规范进行进一步的检测生成新的检测报告。
3.3 规范数据取证过程
调查和取证过程缺乏详细的操作规范,取证过程中的多种动态性因素都会导致前后两次内存镜像不一致,从而影响获取证据的真实性和可采性。对手机取证要注意在获得手机设备之后要防止手机的完整性遭到意外破坏,特别是突然接入的电话、短信以及发送的其他信息可能会破坏手机数据的完整性。因此取证环境需要进行电磁屏蔽,不能让外在的电磁信号影响到手机的完整性。避免因操作不当导致的数据变化而失去法律效力。针对不同产品的特点,应当建立针对不同类设备的取证规范以满足案件侦查的需要。
4 结束语
由于社会信息化的进程不断加快,对电子数据勘查取证分析的需求也越来越多,越来越复杂;信息技术和存储技术的不断更新,工作量也越来越大。特别是维稳案件、赌博案件和淫秽色情案件,涉及的硬盘存储介质多,取证分析任务重,工作效率低。因此,电子数据勘查取证必须有相应的技术、工具和一致性评价标准体系予以支撑,以解决上诉问题。
参考文献
[1] 韩宝昌.计算机犯罪取证证据分析的研究[D].大连交通大学,2012.
[2] 许榕生,杨英.国内外计算机取证发展[J].保密科学技术,2011(11):6-9.
[3] 谭晃.徐云峰——立足移动互联网,深入开展智能手机取证[J].警察技术,2012(05):21-23.
[4] 潘宣辰, 乔伟,桑胜田.手机反取证技术研究[J].电信科学,2010(11A):52-55.
基金项目:
国家发改委2012年信息安全专项“物联网一体化安全检测专业化服务”(发改办高技[2012]2091号)。
作者简介:
范红(1969-),女,河北保定人,毕业于中国科学院,博士,现任公安部第一研究所检测中心主任助理,研究员;工作业绩:多项国家863、国家发改委信息安全专项负责人;主要研究方向和关注领域:信息与网络安全、物联网。
王冠(1985-),女,河南焦作人, ,毕业于北京航空航天大学,硕士,现任公安部第一研究所信息安全工程师,工程师;工作业绩:参与多项国家发改委信息安全专项和公安部重点项目;主要研究方向和关注领域:信息安全、物联网。
杜大海(1982-),男,湖北洪湖人,毕业于北京航空航天大学,博士,现任公安部第一研究所信息安全工程师,工程师;工作业绩:参与多项国家发改委信息安全专项和公安部重点项目;主要研究方向和关注领域:物联网安全。
扫微信立即咨询:
