電子取證現狀及發展趨勢

付忠勇 趙振洲

（北京政法職業學院信息技術系北京 100024）

電子取證現狀及發展趨勢

付忠勇 趙振洲

（北京政法職業學院信息技術系北京 100024）

隨著計算機和網絡技術的普及，信息安全問題日益凸顯，與計算機有關的犯罪現象越來越多。電子取證為維護信息安全和打擊計算機犯罪提供科學的方法和手段，可以提供法庭需要的證據。本文首先對電子取證的國內外發展現狀進行總結，然后結合信息技術的發展，分析了當前電子取證所面臨的問題和挑戰，最后提出加強技術開發、人員培訓，完善法律法規、加強合作等四方面措施。

電子取證 電子證據 計算機犯罪 信息安全

1 引言

隨著計算機和信息網絡技術在全球的普及，計算機通信網絡在社會、政治、經濟、文化、軍事等方面的作用日益增強，電子商務、網絡辦公、金融電子化等新興事物的出現，極大地改變了人們的生活方式，計算機技術的普及使得越來越多的人對計算機的依賴程度增加。

當然，任何技術都存在兩面性，計算機和互聯網技術在服務不同個體或群體時毫無例外也會產生不同的效應，當這些技術被不法分子所掌握后，諸多的惡性反應便相繼出現，諸如計算機病毒、惡意網絡入侵與攻擊、網絡詐騙、竊取商業機密、散布淫穢信息等計算機網絡違法犯罪案件陰魂不散，如何有效應對和打擊此類犯罪案件也已成為各國政府關注的焦點。伴隨計算機網絡違法犯罪案件的滋生和蔓延，電子取證逐漸走上歷史舞臺并被社會各界所研究和重視[1-2]。

電子取證是指借助計算機技術及工具的基礎，從計算機系統、計算機相關外設以及互聯網中獲取與各類計算機案件有關的數字證據，為各類有關計算機的刑事、民事、行政案件提供證據支持[2]。從廣義上講，電子取證還包括為企業或個人提供電子數據服務的內容。由于數字取證涉及計算機科學、法學及偵查學三大學科知識，通過取證獲取的電子證據的科學性、有效性、合法性以及取證過程的合理與否受到很多質疑，電子取證工作往往面臨流產的威脅,這在很大程度上造成了數字取證與計算機違法犯罪二者的失衡，這也正是近年來計算機、網絡違法犯罪案件呈現跳躍式增長的主要原因。

2 電子取證發展現狀

2.1 國外發展現狀

國外電子取證研究產生于20世紀中后期，發展于20世紀末期，爾后不斷走向成熟和完善。在計算機取證的研究初期，計算機取證的思想、理念以及取證的技術和方法初步確立。計算機取證的初始階段是以美國聯邦調查局的電磁媒介計劃為標志的，這項計劃最終造就了計算機分析響應組（CART）的誕生[3]。在1984年，美國聯邦調查局實驗室及其他執法機構已經開始計算機證據的檢驗和研究。從那時起，像美國的計算機分析與響應小組（CART）、計算機證據工作組（TWDGE）、計算機證據科研工作組（SWGDE）都已成立并著力于研究包括計算機證據檢驗鑒定的規范化在內的計算機法庭科學[4[5]。到了90年代后期，由于計算機取證程序沒有統一的標準，引發了大量的法律問題，專家們開始對取證標準及程序進行研究，提出了諸如基本程序模型、事件響應模型、抽象化的取證模型等。從90年代后期至今，計算機取證開始向規范化邁進，國外許多機構和專業人士開始進一步研究如何規范計算機取證，實現取證流程的標準化等取證重點課題。在學術界，近幾年每年都有涉及計算機取證的學術會議召開[6]。

在研究計算機取證技術、工具、標準和法律法規的同時，近年來計算機取證人才的培養、計算機取證專業服務機構的建設以及取證服務體系的構建也日益受到國外的重視。就目前國外取證人才的培養模式來看，取證人才主要來源于兩個方面：一方面是在高等學校中設置計算機取證的專業并開設相關的課程來培養專業取證人才；另一方面就是通過培訓的形式來解決計算機取證人才短缺的問題。對于計算機取證服務的完善來講，國外的取證機構基本上都是面向社會服務的，在美國計算機取證機構在受理案件時往往采取級別評定的方法，即基于客戶的需要將案件受理及檢驗分析的過程以優先級加以區分，不同的優先級案件分析檢驗的快慢不同，所收取的費用也不同。而對于計算機取證服務體系的建設，國外多采取從取證的質量、準確率、信譽度等角度進行評測和完善。

2.2 國內發展現狀

2001年，電子取證概念從國外引入國內[7]，從入侵檢測取證開始，逐漸形成。2004年9月，我國第一個專門的取證機構“北京網絡行業協會電子數據司法鑒定中心”成立。同年11月，于北京召開了全國第一屆計算機取證技術研討會。研討會對計算機取證技術的學科劃分、電子證據分析、取證系統體系結構、電子證據立法和取證實驗室建設等進行了廣泛的交流和討論，該研討會現每兩年舉辦一次，對我國計算機取證技術的研究和發展起到了很好的推動作用。

在取證技術研究方面，近年來國內的一些科研院所例如中科院、北京大學、中國人民大學等正在從事著磁盤碎片恢復、隱蔽信道分析、內存證據獲取、數據完整性檢驗、多媒體取證等領域研究。但研究成果或者說所形成的產品少之又少，在取證機構的業務實踐中，主要還是以使用國外的產品或系統為主。

在法律法規的建設方面，國內只有很少的法律法規關系到了一些有關電子取證的說明，如《計算機軟件保護條例》，《關于審理科技糾紛案軟的若干問題的規定》等。2004年新制定的《電子簽名法》還沒有明確提出計算機證據或電子證據等概念，只是從等效的角度對電子簽名賦予了法律地位[7]。2011年8月30日，十一屆全國人大常委會會議初次審議的《中華人民共和國刑事訴訟法修正案（草案）》在證據種類的劃分上有了一個重要的突破，即將原來證據種類“（七）視聽資料”，修改為“（七）視聽資料、電子數據”，明確提出“電子數據”，由此正式確立了電子數據作為證據的法律地位。但關于電子取證的規范在法律層面尚屬空白。目前有關電子取證的工作規范只有各取證機構自行制定的內部規范，且各機構的規范也很難實現統一。

總之，我國研究機構開展取證技術的研究也不過是最近幾年的事情，技術水平與外國差距較大，取證相關法律的建設還不健全。隨著計算機技術的迅猛發展，計算機犯罪手段的不斷提高，我們需要加強計算機取證技術研究，健全規范的計算機取證流程，制定和完善相關的法律法規。

3 電子取證面臨的挑戰

經過這些年的發展，電子取證理論和實踐上取得了不少的成績。但是隨著信息技術的發展和廣泛應用，電子取證技術的研究和應用也面臨著新的問題和挑戰，主要體現在以下幾個方面：

（1）目前，還沒有形成完備的關于數據取證的法律法規體系

有關司法部門還沒有給出規范的電子取證流程和工作規則，這直接制約了數據取證的司法實踐和技術成熟。

由于計算機取證技術是一門新興學科，還在起步階段，還沒有形成科學、統一的、為業界廣泛采納和共同遵守的計算機取證工作規范，在方法和步驟上，各取證機構各行其是，這必然會導致證據的可信度不足，沒有法律保障的的取證過程甚至會破壞證據的完整性，非但沒有法律價值，甚至會侵犯隱私權和知識產權。

（2）司法部門的管理滯后

對數據證據認定的主體必須進行授權和甄別，只有取得司法鑒定資格，才能出具具有法律效力的數據證據，這方面，工作嚴重滯后，除政府以外的機構沒有發展、研究數據證據的積極性。相關案件大量累積。

（3）計算機證據的獲得比較困難

證據的取得和出示是訴訟過程中的核心步驟。由于計算機證據是以數字形式存在的，必須借助于計算機系統和特定的工具軟件才能取得和顯示，使人們理解，這不可避免地要改變數字證據的一些屬性，而某些涉及案件的計算機系統往往是不允許長時間停止運行的，某些計算機設備的物理位置也是不能改變的[8]。

同時，做為網絡運營商，無論從商業運維還是節約成本的角度，都必須限定一個服務器的更新時間，對數據保存設定時限，而這樣的情況往往導致數據的滅失。經常是，當取證人員經過繁復的申報、溝通環節，獲得合法取證的條件時，數據已經被刪除了。

（4）海量的數據給電子取證中證據的收集及分析帶來的困難

隨著存儲技術和計算機網絡通信技術的發展，計算機系統和計算機網絡中每天產生的數據龐大而且復雜，如何及時地獲取和保存這些海量的數據給我們提出了巨大的挑戰。如何從海量的數據中找出與案件相關且反映案件客觀事實的計算機證據更是一項很艱巨的任務。需要不斷地研究安全、高效的計算機取證工具[9]。

（5）云時代的智能終端安全隱患

移動智能終端與移動應用商店在向用戶提供豐富多彩的應用軟件和數字內容的同時，智能終端病毒、應用軟件吸費、非法信息傳播等安全問題不斷暴露。移動智能終端已經成了病毒發威的新戰場，手機僵尸、給你米等手機病毒破壞終端功能，惡意吸取資費，竊取用戶隱私，極大地損害了用戶利益。在信息內容安全方面，包含色情暴力、反動言論等信息的應用軟件曾出現在應用商店中，危害青少年健康成長，影響社會穩定團結。應用通過分享用戶地理定位數據或信息的方式侵犯用戶隱私，半數應用未經用戶允許將用戶地理定位信息發送給廣告網絡或數據分析公司。

智能終端的便捷和普及帶來了安全問題及針對智能終端的犯罪活動。智能終端安全事件的事前安全防護與事后追責訟訴相關理論和技術的研究成了目前的研究熱點。

（6）多媒體通信給取證帶來了一定的難度

在互聯網應用中，一些常規的聊天工具如QQ、MSN、微信，不僅提供文字聊天，還提供語音、視頻聊天，微信更是將音頻聊天功能放在第一位。因而，電子取證不僅要對文字進行取證，也要對相關的視頻和音頻進行取證。鑒于聊天工具各有自己的信息傳輸和存儲模式，甚至進行特殊方式加密，給取證帶來了一定的難度，而如何針對視頻和音頻信息進行自動特征識別更是給電子取證帶來了不小的障礙。

（7）犯罪嫌疑人防范意識的提高及反取證技術的快速發展

近年來，隨著人們信息安全意識的增強，互聯網上出現了諸如“文件粉碎機”、“文件捆綁器”以及各種類型的加密工具，而一旦這些工具被犯罪嫌疑人所掌握，他們將利用這些工具進行證據的銷毀和隱藏，這將意味著計算機取證工作已不僅是在對已找到的存儲介質上提取和分析證據，還得對其做大量的數據恢復、數據解密工作，增加了取證工作的難度和復雜性。

（8）跨區域的網絡犯罪不斷發生

現代信息技術通過互聯網、物聯網把世界各地的人和物緊密聯系在一起，而對這個虛擬空間進行監管則十分困難，一些犯罪嫌疑人充分利用各地區法律及習俗上的差異，利用網絡進行傳統犯罪，并且近年來愈演愈烈，如網絡色情、網絡賭博和網絡詐騙等。同時由于網絡犯罪通常跨越多個網絡，由于缺乏有效的合作機制，對跨區域網絡犯罪活動的取證活動往往半途而廢[9]。

4 電子取證的發展趨勢

面對上述挑戰，為更好地、更及時地打擊計算機犯罪，一方面要加強取證技術研究，改進取證手段和工具，以期應對各種新技術的挑戰。另一方面也要開展電子證據法學研究、完善打擊計算機網絡犯罪的法律法規，為電子取證和電子證據的使用提供法律上更明確的依據。同時，還要完善取證人員培養模式，加強專業機構和科研院校的合作，建立跨國合作機制，提高取證工作的質量和效率。

（1）研發新的取證技術和取證工具

結合信息時代的特點，積極研究數據獲取、數據恢復、現場取證、遠程取證、動態取證、多媒體取證、物聯網取證、網絡入侵追蹤及犯罪現場重建等取證技術，并結合計算機網絡領域的先進技術（如云計算、數據挖掘、海量數據分析、人工智能等技術），研制專門用于取證的自動化、可視化工具，加強虛擬社會的管控，同時為打擊犯罪獲取強有力的證據[9]。

（2）規范取證流程、完善電子取證相關法律法規

研究和制定科學的電子取證工具檢測標準和取證過程中的行為規范和操作流程，保證電子證據在采集、保存、檢驗和轉移等過程中的準確性和可靠性，提高電子取證過程的服務質量，積極推進電子取證的標準化規范化建設，切實保證數字證據的科學性、有效性。

研究電子取證的合法性標準，制定和健全與信息安全、計算機基礎設施保護等相關的法律法規，確立網絡證據保全、數字取證的基本規則，使公安機關對網絡犯罪的調查取證工作有法可依。

（3）加強取證人員隊伍建設

電子取證涉及計算機科學、法學、偵查學，這本身就要求取證人員具備綜合性素質；同時，隨著技術的發展，新的計算機網絡犯罪手段、途徑不斷涌現。取證人員不僅需要豐富的取證經驗，對這些不同的技術和專業領域具備充足的知識、能力儲備，還需要電子取證人員要與時俱進，不斷學習最前沿的電子取證技術，提高自身的技術能力。這就要求我們加強取證學科建設，完善取證人才培養模式，一方面是在高等學校中設置數字取證專業并開設相關的課程來培養專業性的取證人員；另外一方面就是通過培訓的形式來解決數字取證人才欠缺的問題，并形成長效機制。對涉及專用領域的案件，聯合這一領域先進的技術專家，共同完成數字取證。以此來加強取證人才隊伍建設，應對計算機犯罪帶來的挑戰。

（4）建立跨地域、跨國界取證調查合作機制

由于計算機犯罪具有跨地域、跨國界的特點，因而經常會出現實施犯罪在地方甲，而其犯罪時所用的計算機或所租用的服務器以及犯罪證據卻存放在地方乙，有時甚至罪犯在地方丙，這就需要有一個負責協調多部門、多區域甚至多國家合作的專門機構，以實現犯罪資料、情報線索的共享，從而形成強大的偵查合力[10]。

5 結束語

電子取證是計算機技術在傳統的取證科學中的一個新興、且快速成長的領域。它對促進信息安全、威懾犯罪分子以及減少數字犯罪具有重要的作用。本文首先對電子取證的國內外發展現狀進行總結，然后結合信息技術的發展，分析了當前電子取證所面臨的問題和挑戰，最后提出加強技術開發、人員培訓，完善法律法規、加強合作等四方面措施。

計算機技術的發展是瞬息萬變的，計算機信息犯罪的手段也會越來越多，技術越來越高，同時，造成的破壞也越來越大。我們必須加強對電子取證技術的研究，立法機關也要加快對電子證據的立法；同時，司法工作人員應不斷提高自己的素質，專業人員更要提高自己專業技術水平，建立跨區域、跨國合作組織、機制，多管齊下，打擊計算機犯罪，維護信息網絡的安全有序運行。

[1]周志剛.數據挖掘技術在計算機取證的研究[D].大連：大連交通大學,2010：21-23.

[2]宋蕾.國內外數字取證服務體系現狀及發展趨勢[J].鐵道警官高等專科學校學報,2011(1):82.

[3]Gary Palmer.A Road Map for Digital Forensic Research. Technical lReport November 2001:15-20.

[4]陳龍.計算機取證技術[M].武漢：武漢大學出版社，2007：1-10.

[5]趙小敏.基于日志的計算機取證技術的研究及系統設計與實現[D].浙江：浙江工業大學,2003.87-89.

[6]宋蕾.國內外數字取證服務體系現狀及發展趨勢[J].鐵道警官高等專科學校學報,2011(1):82.

[7]張琦.計算機取證中的內存鏡像獲取的研究與實現[D].吉林：吉林大學,2011：17-18.

[8]許榕生.國內外計算機取證發展[J].保密科學技術,2011(11): 7-8.

[9]王國強,信息時代數字取證面臨的挑戰及相應對策[A].全國計算機安全學術交流會論文集,第二十五卷，2010:236.

[10]萬曉春,計算機取證面臨的挑戰及應對措施[J].上海公安高等專科學校學報,2008(12)：71-72.

Current Status and Development Trend of Research of Computer Forensic

FU Zhong-yong，ZHAO Zhen-zhou
(Department of Information Technology，Beijing College of Politics and Law，Beijing 100024，China)

With the popularity of computer and network technology,information security problem is increasingly highlighted,and the computer related crime phenomenon more and more.Computer forensics to protect information security and to crack down on computer crime provides scientific methods and means,can provide evidence of the court need.This paper first gives the definition of computer forensics,and then introduces the features of computer evidence,principles and classification of computer forensics,finally describes the research status of computer forensics,points out the problems existing in the computer forensics and its development trend isforecasted.

computer forensic;electronic evidence;computer crime;information security

TP309.2

A

1008-1739(2014)10-67-4

定稿日期：2014-04-26

基本項目“北京市教師提高工程”專業帶頭人培養項目及北京政法職業學院院級課題“計算機取證技術現狀及發展趨勢研究”項目資助。