簡介
隨著全球信息化的飛速發展,越來越多的數據以電子形式保存。信息安全產品、信息安全服務、安全事件處理與應急回響等方面都離不開電子證據;此外,在商務交易、政府服務、交流溝通、網路娛樂等各種網路套用中也大量涉及到電子證據。但是如同潘多拉的魔盒,商務類套用的快速發展也伴隨著網際網路違法犯罪不斷增長。有數據顯示,2013年中國網民在網際網路上損失近1500億,截止2013年12月,我國網民規模達到6.18億,這就意味著2014年中國網民每人平均損失達243元。
電子數據取證技術,是信息安全領域的一個全新分支,逐漸受到人們的重視,它不僅是法學在計算機科學中的有效套用,而且是對現有網路安全體系的有力補充。近年來,我國的民事訴訟法、刑事訴訟法和行政訴訟法陸續將電子數據確立為法定證據種類之一,電子證據已在我國民事訴訟、刑事訴訟和行政訴訟法活動中發揮著重要作用。電子數據取證是一個嚴謹的過程,因為它需要符合法律訴訟的要求。因此,建立電子數據取證標準體系,加強電子數據取證國家標準建設,規範電子數據取證工作,維護司法公正,保障人民合法權益有著極為重要的意義和迫切的需求。
國外相關標準
國際標準化組織(International Organization for Standardization,ISO)、國際電工委員會(International Electrotechnical Commission,IEC)、Internet工程任務組(Internet Engineering Task Force,IETF)和國際電信聯盟(International TelecommunicationUnion,ITU)等組織出台的信息安全的相關標準中均有針對電子證據的規定。
工程任務組
IETF早在2002年2月就發布了RFC3227((電子證據收集、保管指南》,而ITU則在2009年4月發布了電子證據法案》的草案和《了解網路犯罪:針對開發中國家的犯罪》,並在2012年9月發布了《了解網路犯罪:現象、挑戰和法律相應》。
標準化組織
國際標準化組織信息安全技術委員會(ISO/IECJT/SC27)在2012年10月發布了《電子證據識別、收集、獲取和保存指南}(ISO/IEC27037:2012),該指南規定了電子證據的定義、處理電子證據的要求、電子證據處理步驟及其關鍵的組件,包括證據的連續性、證據鏈、現場安全、取證的角色與責任等。
此外,國際標準化組織在2012年12月發布了ISO/IEC27041{調查方法適宜性充分性保障指南》、ISO/ IEC27042{電子證據分析解釋指南》和ISO/IEC27043{調查原則和過程》的草案文本。其中,ISO/IEC27041為確保在信息安全事件調查中所使用的方法和過程的適宜性的機制提供了指南,包括要求定義、方法描述、證據提供的最佳實踐以及滿足要求的方法實施,還包括如何使用供貨商和第三方測試來協助保障該過程。ISO/IEC27042為電子證據的分析和解釋提供了指南,某種意義上解決了連續性、有效性、可再現性和可重複性的問題。它包括以下方面的最佳實踐:分析過程的選擇、設計和實施;記錄充分的信息以支持獨立調查(需要時)。它為展示調查者水平和能力的適當機制提供了指南。ISO/IEC27043為通用調查過程提供了理想模型的指南,包括不同的調查場景,這些場景大部分涉及電子證據。其中,不但包括從事件處理前期準備直至證據存儲或公開,還包括對過程、證據的適當研究以及獲取、收集、檢查和展示方面的建議和警告。ISO/IEC27043指南旨在處理各種調查過程,以發現潛在的電子證據。該指南不但提供了網路犯罪的調查過程,還提供其他涉及電子證據事件的調查的過程,例如未授權訪問、數據損壞、系統崩潰和其他要求調查事件。
國際組織
1998年3月,計算機證據國際組織(International Organizationon Computer Evidence,IOCE)開始著手規劃關於獲取電子證據的相關原則,以便各國之問能夠有統一的原則、方法和慣例來實施電子證據的收集工作。2000年3月,IOCE依據1999年在倫敦召開的國際高技術犯罪和取證大會的內容,向其下屬機構提交了一份報告,提出了一系列計算機取證的定義和原則。該報告中指出計算機取證過程中應該遵守的一般原則:
1.必須遵守所有取證和處理證據的原則;
2.獲取證據時所採用的方法不能改變原始證據;
3.取證人員必須經過專門培訓;
4.完整地記錄對證據的獲取、訪問、存儲或者傳輸的過程,並對這些記錄妥善保存以便隨時查閱;
5.每一名保管電子證據的人員應對其針對電子證據的每一個行為負責;
6.任何負責獲取、訪問、存儲或傳輸電子證據的機構有責任遵循這些原則。
迄今為止,曾參與該組織制定取證原則的英國警察協會(ACPO,Association of Chief Police Officers)和數字取證科學組(Scientific Working Groupon Digital Evidence,SWGDE),持續對電子證據取證工作的發展進行研究。為使實踐工作能符合取證的原則和標準,ACPO和SWGDE分別推出了《電子證據取證的最佳實戰指南》(Guidelines for Best Practice in the Forensic Examination of Digital Technology),並隨著實踐工作的轉變而新增、修訂和完善指南內容。
美國國家標準
在美國,國家標準與技術研究院(National Institute of Standardsand Technology,NIST)為了制定相應的標準和規範,開展了包括計算機取證工具測試項目(Computer Forensics Tool Testing,CFTT)和國家軟體參考庫項目(National Software Reference Library,NSRL)以及電子證據參考數據集“Computer Forensic Reference Data Sets,CFReDS”的研究。其中,NSRL項目負責建立一個包含各種軟體的檔案以及數字簽名的目錄,以便在執法和數字取證時使用,目前已收集了2500萬個常見軟體sHA一1散列值。CFTT項目旨在為確保司法組織以及其他法律組織在電子數據取證中使用的工具的有效性,建立一套關於工具規格說明書、測試程式、測試標準、測試序列等的方法和標準體系。CFReDS項目可以讓信息安全事件的取證人員模擬電子數據勘查取證,也可用於檢驗鑑定設備的溯源。此外,NIST在2004年制訂了《SP800—72PDA取證指南》和《PDA取證工具:概述和分析》,2005年制定了《手機取證工具:概述和分析》(2007年進行了更新),2006年制訂了《SP800—86在安全事件回響中集成電子取證的指南》,2007年制訂了《SP800—101蜂窩電話取證指南》並正在2013年將其修訂為《移動設備取證指南》,2009年制定了《移動終端取證參考資料:方法和物化》,2014年制定了《雲計算取證的挑戰》。
英國標準學會
在英國,英國標準學會從2003年就發布了BIP0008—2003(電子存儲信息的法定許可和證據權重的實施規範》、BIP0008—2—2005(電子傳送信息的法定許可和證據權重的實施規範》、BS10008—2008((電子信息的法定許可和證據權重.規範》(2014年計畫更新)以及BIP0009—2008(電子信息證據權重和法定許可性.與BS10008共同使用的遵守手冊》等一系列國家標準。
國內相關標準
與國外的標準制定相比,我國電子證據的標準化工作起步較晚,但是國家對於相關標準工作十分重視。《全國人大常委會關於司法鑑定管理問題的決定》(以下簡稱《決定》)從國家基本法律層面對電子數據鑑定遵守技術標準的義務做了明確規定,即“鑑定人和鑑定機構從事司法鑑定業務,應當遵守法律、法規,遵守職業道德和職業紀律,尊重科學,遵守技術操作規範。”
部門規章和規範性檔案層面也有類似規定。2005年《公安機關電子數據鑑定規則》(公信安E2oo57281號)明確要求公安機關電子數據鑑定人應當履行並遵守行業標準和檢驗鑑定規程規定的義務;2006年《公安機關鑑定機構登記管理辦法》(公安部令第83號)明確將鑑定機構遵守技術標準的情況納入公安登記管理部門年度考核的內容中;2007年《司法鑑定程式通則》(法務部令第107號)對鑑定人採納技術標準問題做出了詳細的要求,其第22條規定,“司法鑑定人進行鑑定,應當依下列順序遵守和採用該專業領域的技術標準和技術規範:(1)國家標準和技術規範;(2)司法鑑定主管部門、司法鑑定行業組織或者相關行業主管部門制定的行業標準和技術規範;(3)該專業領域多數專家認可的技術標準和技術規範……”。
在我國電子數據鑑定領域,要真正貫徹以上法律法規的規定,國家標準和技術規範、行業標準和技術規範等標準的制定和發布是前提。目前主要以行業規範與行業標準為主,從正式發布的電子數據取證來看,El前,國家標準僅有3個,分別為:
1.GB/T29360—2012電子物證數據恢復檢驗規程;
2.GB/T29361—2012電子物證檔案一致性檢驗規程;
3.GB/T29362—2012電子物證數據搜尋檢驗規程。
相關的公共安全行業標準共22個,分別為:
1.GA/T754—2008電子數據存儲介質複製工具要求及檢測方法;
2.GA/T755—2008電子數據存儲介質防寫設備檢測方法;
3.GA/T756—2008數位化設備證據數據發現提取固定方法;
4.GA/T7572008程式功能檢驗方法;
5.GA/T825—2009電子物證數據搜尋檢驗技術規範;
6.6A/T826—2009電子物證數據恢復檢驗技術規範;
7.GA/T827—2009電子物證檔案一致性檢驗技術規範;
8.GA/T828—2009電子物證軟體功能檢驗技術規範;
9.OA/T829—2009電子物證軟體一致性檢驗技術規範;
10.GA/T976—2012電子數據法庭科學鑑定通用方法;
11.GA/T977—2012取證與鑑定文=持電子簽名;
12.6A/T978—2012網路遊戲私服檢驗技術方法;
13.GA/T1069—2013法庭科學電子物證手機檢驗技術規範;
14.GA/T1070—2o13法庭科學計算機開關機時間檢驗技術規範;
15.GA/T1071—2013法庭科學電子物證Windows作業系統日誌檢驗技術規範;
16.GA/T1770—2014《移動終端取證檢驗方法》;
17.GA/T1771—2014《晶片相似性比對檢驗方法》;
18.GA/T1772—2014《電子郵件檢驗技術方法》;
19.GA/T1773—2014《即時通訊記錄檢驗技術方法》;
20.GA/T1774—2014《電子證據數據現場獲取通用方法》;
21.GA/T17752014《軟體相似性檢驗技術方法》;
22.GA/T1776—2014《網頁瀏覽器歷史數據檢驗技術方法》。
法務部2014年發布了SF/ZJD0400001—2014《電子數據司法鑑定通用實施規範》、SF/ZJD04OlOOl一2014((電子數據複製設備鑑定實施規範》、SF/ZJD0402001—2014《電子郵件鑑定實施規範》、SF/ZJDO4O3OOl一2014((軟體相似性檢驗實施規範》4個司法鑑定技術規範。
公安部在2005年就先後發布了《計算機犯罪現場勘驗與電子證據檢查規則》(公信安f2oo5]161號)、《公安機關電子數據鑑定規則》(45信安~2005}281號)等有關電子數據證據的規範性檔案,而最高人民檢察院於2009年4月下發了《人民檢察院電子證據鑑定程式規則(試行)》。
2011年7月13日,最高人民法院正式發布了《關於審理證券行政處罰案件證據若干問題的座談會紀要》,明確規範了電子證據的主要取證方式、程式、專業意見的取證及認定,這對完善證券行政執法規則,規範證券執法工作,解決證券執法中的突出問題,加大打擊證券市場違法違規行為特別是內幕交易行為的力度,促進我國資本市場的健康穩定發展,具有重要的現實指導意義。
標準體系
由於電子數據取證是一個嚴謹的過程,需要符合法律訴訟的要求。為保證取證過程的效率和合法性,必須建立合理取證的理論模型。從早期的基本過程模型、事件回響過程模型、法律執行過程模型、過程抽象模型,到後來的綜合數位化調查過程模型、增強數位化調查過程模型和多維度證據分析模型,無論是哪種模型,基礎模型都是證據獲取、證據分析和證據報告。
證據獲取階段的工作是固定證據。電子證據容易修改,一旦決定需要獲取電子證據,應該首先進行證據固定,防止有用證據的丟失,並且在後續的分析、陳述過程中不會改變。證據分析階段的工作是分析證據與案件的關聯性。電子證據包含的數據量往往很大,而且數據類型往往雜亂無章,收集的所有證據需要進行提取、整理和篩選後才能清晰呈現案情相關信息。
證據表現階段要對電子證據與案件的關聯性進行陳述。在此階段要求能夠證實電子證據取得的途徑、分析過程,併合理引用電子證據分析結果對案情進行陳述。據此,國內外現有的電子數據取證的標準一般都分為4類:基礎標準、方法標準、設備標準和管理標準。
目前,我國正開始著手建立關於電子數據取證的標準體系,相關標準組織在參考借鑑國外相關組織在信息安全領域方面對電子證據做出的研究成果和標準的基礎上,結合我國的實際國情,出台制定了符合貼近我們實際工作需求的電子數據取證標準體系。
問題和挑戰
目前,我國的電子證據相關的標準化工作存在著以下幾個問題:
1.標準體系缺乏統一規劃,目前已制訂的標準主要是針對電子數據取證和檢驗鑑定過程中的個別重要問題,而對整個標準體系沒有整體規劃;
2.標準制訂機構之間缺乏協調,如公安部與法務部都在制訂相關標準或規範。作為證據,其基本要求之一就是要得到各部門、社會各界的共同認可,但是目前沒有任何部門在這一領域起到統籌協調、統一規劃的作用。因此,對電子數據取證進行標準化研究,規範電子證據的獲取、傳輸、保存、分析和使用,對於維護社會穩定、保障網路秩序、保護人民權益具有重大現實意義。
目前,電子數據取證工作主要面臨3大挑戰:加密技術、雲計算環境下的取證和海量數據的取證。
加密技術
更智慧型的手機意味著更嚴苛的加密措施。Goole預計今天10月推出新一代的Android作業系統,今後只有獲取進入設備的密碼才可以查看到照片、視頻和存儲在手機中的通訊信息。這將增加執法機構從智慧型手機提取個人數據的障礙;而蘋果手機的加密和硬體存在關聯,目前為止4s以上版本所有的取證工具都無法繞開開機密碼。能幫助找到避開大量密碼和設備鎖方法的手機取證工具以及先進的加密技術將是發展趨勢。
取證
以前的取證工作都是基於傳統的取證,這些取證工作大致可以歸為靜態和動態兩大類。然而,雲的模型打破了這種規範,因為信息難以定位。在跨管轄區時,雲中的數據不再是保存在一個確定的物理節點上,可能分布在不同的地區或國家,因此採集完整的犯罪證據變得相當困難。此外,雲計算環境下,涉及大量的伺服器集群、存儲設備、網路設備等,有效數據被包涵在雲端的海量數據中。這些都導致雲計算中涉案電子證據的獲取難度加大。
取證
隨著海量數據的迅速發展,從海量數據中挖掘有用信息變得非常重要。因為對於任何一種計算機犯罪,其犯罪行為都是與針對計算機信息系統的各種操作緊密相聯的,其犯罪證據和海量的正常計算機數據混雜在一起;此外,一個異常行為往往隱藏在多個分散的數據之中,這使得調查人員很難獲得潛在的計算機犯罪證據。目前常用的電子數據證據分析技術己經越來越不適應愈發複雜的取證環境,如何對大數量級的取證數據進行整理和裁減,進而確立重點調查範圍,集中使用取證資源;如何在被收集信息中分析各個數據證據間的關聯,發現潛在的異常行為等都是亟待解決的問題。