電子數(shù)據(jù)取證實驗室的司法實踐與發(fā)展趨勢

電子數(shù)據(jù)取證實驗室的司法實踐與發(fā)展趨勢

1積極構建和完善我國電子證據(jù)鑒定的法律規(guī)制電子證據(jù)的檢測是專家或具有專業(yè)知識的專家的檢測機構。在具體的門外性問題上，以計算機設備、通信設備、網(wǎng)絡設備、數(shù)控設備、視聽設備、廣播電視設備等存儲介質及其數(shù)據(jù)為基礎，采用特定的工具、特定的食品設備和技術方法進行檢查、驗證、發(fā)現(xiàn)、提取、解釋、分析、識別、偽造、打印、評估結論的過程。電子數(shù)據(jù)鑒定必須依循著定義良好且清楚,兼具靈活與彈性的方法、程序,進行計算機媒體的資料搜集、分析及展示,其最終的目的是讓司法審理時作為判決的證據(jù)。證據(jù)是一個案件的核心和靈魂,證據(jù)的確鑿充分程度將決定一個案件的勝負命運。隨著我國法制建設的不斷完善,電子證據(jù)的使用將成為庭審的焦點。因此,在電子證據(jù)鑒定法律規(guī)制的的過程中,我們需要借鑒有關的國際經(jīng)驗,參考我國司法鑒定的理論與法律成果,依托我國電子證據(jù)鑒定實踐和發(fā)展趨勢,積極構建和完善我國電子證據(jù)鑒定的各項規(guī)則,進一步加強電子證據(jù)的提取、保管、鑒別、取證、分析、鑒定等流程的標準化、科學化、規(guī)范化,建立與發(fā)展符合社會要求的電子數(shù)據(jù)取證實驗室。自2004年,國內第一個電子數(shù)據(jù)取證實驗室廈門市美亞柏科電子數(shù)據(jù)取證實驗室(福建中證司法鑒定中心的前身)和廣州市電子數(shù)據(jù)檢驗鑒定中心建立以來,已相繼建設完成了80多個電子數(shù)據(jù)取證實驗室。筆者認真分析近7年來該實驗室(鑒定中心)的建設、取證技術的發(fā)展、工作模式的改變,大體經(jīng)歷了4個階段。2電子數(shù)據(jù)采集實驗室的發(fā)展2.1數(shù)據(jù)安全分析技術的應用時間:2004-2005年。特點:功能逐步完善。作為國內電子數(shù)據(jù)取證實驗室(鑒定中心)的起步階段,為了應對當時的需要,實驗室建設更多是滿足當時的介質類型,提供大量SCSI、IDE和少量SATA、USB只讀接口。由于當時的硬盤容量較小,通常在80GB左右,因此,對速度的要求還不是十分明顯,更注重提供眾多只讀接口來滿足案件鑒定需要。當時流行只讀鎖按接口類型不同而獨立設計,再加上一些1.8”、2.5”轉3.5”IDE轉接卡和50針或80針轉68針的SCSI轉接卡。設備、轉接卡繁多,使用非常不方便,不適合在實驗室中廣泛應用。硬盤復制機以國外產(chǎn)品以SF5000、SOLOII為主,國內以DC-8100(可滿足1對2的IDE硬盤復制)和DC-8200(支持IDE和SCSI硬盤的復制)為主。但速度大都在3GB/min左右(80～120GB的硬盤一般在40min之內就可完成位對位復制)。當時,介質取證分析軟件只有國外GuidanceSoftware的EnCaseV4和AccessData的FTK2.0,手機取證軟件多采用Paraben公司的CellSeizure,密碼破解采用AccessData公司的DNA2.0和PRTK,圖形化關聯(lián)關系分析系統(tǒng)———i2公司的Analyst’sNotebook6開始在國內應用。國內取證軟件開始有了雛形,推出了DiskForen,但功能有限,使用面不大。香港警察2002年建設完成的取證實驗室(ComputerForensicsLab)也初步嘗試進行區(qū)域的合理規(guī)劃和取證設備的合理集成。同期,美國洛杉磯警察的計算機犯罪行動組(LosAngelesElectronicCrimesTaskForce)在其實驗室建設中,充分考慮了證據(jù)文件的集中管理問題,并強化了無塵室在硬盤開盤維修中的應用。但在網(wǎng)絡建設方面仍不完善,而流程審計監(jiān)管方面并未涉及。2004年,在全國第一個取證實驗室———廣州市公安局取證實驗室中,首次把幾種不同類型的只讀鎖集中到一臺專用取證工作站上,并率先提出了“取證流程審計”的概念,進而有了功能相對簡單、初級的“取證流程審計監(jiān)管系統(tǒng)”雛形,成為計算機取證領域的“首創(chuàng)”。廣州實驗室中的取證分析工作是基于雙網(wǎng)進行的:強調將介質轉換成證據(jù)文件,存放于文件服務器上,通過網(wǎng)絡映射到本地進行分析,以保證原始介質內數(shù)據(jù)的完整性;流程監(jiān)管系統(tǒng)在后臺對鑒定全過程進行記錄,并產(chǎn)生審計監(jiān)管報告。但工作臺仍為傳統(tǒng)的辦公工位方式,不利于桌面操作,便利性和人性化不足。此模式也為以后全國各地實驗室建設摸清了路子,理清了思路,探索了模式,成為當時全國各地去廣州參觀學習的重點內容。第一階段的電子數(shù)據(jù)檢驗鑒定中心平面規(guī)劃如圖1所示。2.2實驗室建設階段時間:2006-2007年。特點:區(qū)域規(guī)劃趨于合理。隨著技術的發(fā)展,取證設備也取得了長足進步,尤其是國內取證專業(yè)技術公司的自主知識產(chǎn)權產(chǎn)品逐步登上“大雅之堂”。桌面式只讀工作模塊越發(fā)成熟,IDE、SCSI、SATA、USB及只讀讀卡器從取證專用工作站中脫離出來,有效地集中到一個大模塊中,安置于桌面。新設計的專用工作臺加裝了吊柜,DC-8750只讀模塊、強/弱電模塊都固定在桌面,十分便于取證分析工作的開展,減小了勞動強度。硬盤復制機以國外產(chǎn)品以MD5、SOLOIII為主,國內以DC-8101和DC-8200A為主。速度有了一定的提升,達到4GB/min左右(120～250GB的硬盤一般在1h之內就可位對位復制完成)?，F(xiàn)場勘查取證設備則由功能相對較弱的勘查箱和DC-8000升級為FL-200移動式勘查取證綜合平臺。介質取證分析軟件只有國外GuidanceSoftware的EnCaseV5(中文版)和AccessData的FTK2.0,手機取證軟件多采用Paraben公司DeviceSeizure、XRY和國內的SafeMobile,密碼破解采用AccessData公司的DNA2.3和RainbowTables。計算機仿真取證設備初露端倪,現(xiàn)場在線取證分析軟件和設備開始推向市場,MAC、郵件、關聯(lián)數(shù)據(jù)分析系統(tǒng)逐步成熟。國內取證軟件數(shù)量不多、功能相對簡單,技術研發(fā)進展不大。國內電子數(shù)據(jù)取證實驗室開始考慮無塵環(huán)境建設,部分國家級和省級電子數(shù)據(jù)檢驗鑒定實驗室采用了無塵工作臺,基本滿足了故障硬盤的開盤維修工作需要。在此階段,鑒于已建設完成的實驗室存在的問題和電子數(shù)據(jù)鑒定的規(guī)范化要求,重點按電子數(shù)據(jù)取證流程、功能和技術特點,將實驗室劃分為7個功能相對獨立的區(qū)域。(1)設備預檢/受理區(qū):完成送檢設備的受理、登記、外觀拍攝、檢驗完畢后設備的回退、檢驗報告提交等工作。(2)取證/獲取區(qū):完成對送檢設備的檢測、證據(jù)固定、鏡像、獲取、校驗等工作。(3)存儲介質物理修復區(qū):對檢測判定有故障的硬盤等存儲介質進行維修,完成介質電路故障檢修、硬盤開盤處理(更換磁頭、電機等)、固件故障處理等工作。(4)電子數(shù)據(jù)邏輯恢復區(qū):對各類光、電、磁存儲介質當中的數(shù)據(jù)進行邏輯恢復、修復和重構。(5)鑒定分析區(qū):對復制的涉案硬盤、取證/獲取區(qū)獲取的證據(jù)文件(此文件存儲于中心服務器的磁盤陣列中,通過網(wǎng)絡分發(fā)給每一個鑒定分析終端進行鑒定分析)進行鑒定分析。(6)中心設備區(qū):是整個取證實驗室核心網(wǎng)絡設備、分布式密碼破解系統(tǒng)、案件管理系統(tǒng)、門禁系統(tǒng)、閉路電視監(jiān)控系統(tǒng)、配電系統(tǒng)等的配置區(qū)域。(7)卷宗文檔保存區(qū):對受檢介質、受檢設備、復制介質、鑒定文書、卷宗文檔進行分類、保存和管理。第二階段的電子數(shù)據(jù)檢驗鑒定中心平面規(guī)劃如圖2所示。2.3取證硬件和意識都得到了提升時間:2008-2009年。特點:強調規(guī)范化管理和質量控制。在這一階段當中,國內電子數(shù)據(jù)取證設備迅速占據(jù)大部分取證市場。硬件設備的技術性能、工藝水平、穩(wěn)定性和可靠性有了質的飛躍。推出了以DC-8200PRO復制機、DC-8000PRO取證專用機、ATT-2000/ATT-3000仿真取證專用機、ATT-5000PRO加密硬盤取證專用機、ATT-1000PRO密碼破解專用設備、DC-4500手機取證設備、ATT-4000現(xiàn)場專用獲取設備、DC-8650現(xiàn)場取證設備、DC-8750RPO實驗室專用只讀模塊、NF-9300無線取證設備、FL-200PRO等。這些設備在2008、2009年的重大事件中得到廣泛應用,并經(jīng)受住了各種苛刻環(huán)境的嚴格考驗,其技術、戰(zhàn)術性能得到了進一步完善和提高,形成了較強戰(zhàn)斗力,受到各使用單位好評。國外產(chǎn)品主要以SOLOIV(支持SAS硬盤)、TD1為主,其使用的便利性和適用性大大提高,速度也提高到6GB/min左右。其傳統(tǒng)優(yōu)勢被國內產(chǎn)品趕上,甚至有被全面超越的勢頭。美國Tableau公司成為國外公司中進步最大、產(chǎn)品推出最多、口碑相對較好的一家取證硬件廠商,其硬盤復制機TD1、“取證橋”和T3458is只讀模塊較有新意。介質取證分析軟件都做了升級。EnCaseV6、FTK3.0、X-Ways、Analyst’sNotebook8、DNA3.0等一批軟件全新推出,手機取證軟件多采用Paraben公司DeviceSeizure4.0、XRY、CellDEK和國內的DC-4500、SafeMobile。由于并行運算能力的提高,密碼破解原來多采用DNA、RainbowTables,現(xiàn)多采用“極光”和Elcomsoft,運算能力和針對性有了巨大提升。與此相對應的是,國產(chǎn)取證軟件更是取得了巨大的進步?！叭∽C大師”在計算機取證行業(yè)當中率先提出并應用了“自動智能取證技術”,強調了取證規(guī)范和便捷,并作為自主知識產(chǎn)權的軟件在實戰(zhàn)中取得不俗戰(zhàn)績。其與SafeAnalyzer等為代表的它們避開EnCase、FTK、X-Ways等取證軟件的鋒芒,以智能、簡單、實用、快速、針對性強為顯著特征,強調易用性和面向一線計算機水平相對較弱的人員使用,加強了規(guī)范化、程序化、專業(yè)化要求,取得明顯效果。青海省、山東省公安廳電子數(shù)據(jù)取證實驗室率先配置了10多平方米的100級無塵室,將國內電子數(shù)據(jù)取證實驗室中的故障硬盤開盤處理能力提升到一個新的高度。電子數(shù)據(jù)取證實驗室有別于傳統(tǒng)的勘查取證實驗室,更多是針對電子數(shù)據(jù)及存儲介質勘驗檢查,而電子數(shù)據(jù)具有脆弱性、易失性、多態(tài)性、復合性等特點,要保證其合法性、及時性、準確性、環(huán)境安全性原則,必須保證“證據(jù)連續(xù)性”(chainofcustody,即證據(jù)鏈)。因此,在證據(jù)的鑒識、準備、策略制定、收集、保存、檢驗、分析、展示等方面必須有不同于傳統(tǒng)勘查取證的方法和技術手段。尤其,當檢材送達電子數(shù)據(jù)取證實驗室時,檢材的預檢、校驗、確認、交接、標識、復制、保管、調用、清退等各個環(huán)節(jié)都要有嚴格的冊表手續(xù)(借助實驗室案件管理系統(tǒng)之檢材管理系統(tǒng)來完成各環(huán)節(jié)的管理和控制);同樣,電子數(shù)據(jù)分析不具備傳統(tǒng)介質分析的“可視性、可物化、可量化”的特征,分析人員在根據(jù)系統(tǒng)授予的權限范圍內,完成基于相應案件復制介質的分析工作過程中,必須接受“電子數(shù)據(jù)鑒定流程審計監(jiān)管系統(tǒng)”的管控,以達到質量控制、過程監(jiān)管的目的;報告審核、打印、裝訂,光盤刻錄、盤面打印、封裝亦通過技術手段,實現(xiàn)自動處理,減少人工控制環(huán)節(jié)。為加強規(guī)范化和加強質量管理,公安部相應制定了4個標準:GA/T754-2008《電子數(shù)據(jù)存儲介質復制工具要求及檢測方法》、GA/T755-2008《電子數(shù)據(jù)存儲介質寫保護設備要求及檢測方法》、GA/T756-2008《數(shù)字化設備證據(jù)數(shù)據(jù)發(fā)現(xiàn)提取固定方法》、GA/T757-2008《程序功能檢驗方法》。各地在電子數(shù)據(jù)取證實驗室建設和管理、使用過程中,強調了嚴格落實規(guī)范、標準,并把通過CNAS(Chinanationalaccreditationforconformityassessment,中國合格評定國家認可委員會)認可作為重要目標,強調鑒定結論的可信性、可溯源性、客觀性和公正性。第三階段的電子數(shù)據(jù)檢驗鑒定中心平面規(guī)劃如圖3所示。3網(wǎng)絡性能和陣列性能這即是電子數(shù)據(jù)取證實驗室發(fā)展的第4階段。時間:2010年起。特點:取證“云”階段。經(jīng)過近7年的發(fā)展,傳統(tǒng)取證實驗室網(wǎng)絡架構存在的問題已經(jīng)非常突出,重點表現(xiàn)在以下幾個方面:·以太網(wǎng)傳輸?shù)哪Ｊ?運行性能受網(wǎng)絡性能和陣列性能的制約嚴重;·傳輸平臺采用吉比特網(wǎng)絡共享式的,傳輸性能遠不能達到要求,多人同時使用速度較慢,不能滿足同時分析單項工作的要求;·硬盤容量發(fā)展很快,把硬盤做成鏡像文件,耗費時間長,對存儲空間需求巨大,投資越來越大并且越來越不具備可行性;隨著“云”的概念不斷推出,電子數(shù)據(jù)取證實驗室已將關注點由實驗室的內部能力轉向轄區(qū)內資源共享、轄區(qū)外遠程技術支持、遠程“會診”,在嚴格的認證和遠程傳輸安全條件下將實驗室的觸角向下級甚至更下一級的管控“末稍”延伸。網(wǎng)絡版取證大師、取證塔、取證池等將成為“云”的“神經(jīng)”和“骨架”。(1)高效的海量數(shù)據(jù)存儲網(wǎng)絡版取證大師分為服務器端和客戶端,二者協(xié)同,共同完成轄區(qū)內基于網(wǎng)絡的取證分析工作。解決的問題有:·并發(fā)多案件協(xié)同處理;·存儲介質的批量取證分析;·單個存儲介質容量大,網(wǎng)絡傳輸速度瓶頸突出;·取證業(yè)務流水線化,明確角色;·實現(xiàn)與《實驗室案件管理系統(tǒng)》無縫融合;·iSCSI技術實現(xiàn)遠程磁盤訪問;·RAID磁盤陣列實現(xiàn)海量數(shù)據(jù)存儲;·SSH實現(xiàn)安全的授權機制;·SliverLight技術實現(xiàn)美觀的Web界面?！ぞ邆?個只讀硬盤倉和4個目標硬盤倉;·可完成1對1、2對2、3對3、4對4、多對1的復制,并且每個復制通道的最高速度可達13GB/min(SSD硬盤);·可重組硬盤陣列;·可同步完成復制、分析、仿真、出報告工作;·并配有可獨立使用的AllinOne超級多功能只讀模塊?！そ鉀Q大數(shù)量級硬盤并行分析的難題,一個機柜可支持數(shù)十塊硬盤的同時接入并行分析,并且可無限制無縫