电子取证现状及发展趋势

付忠勇 赵振洲

（北京政法职业学院信息技术系北京 100024）

电子取证现状及发展趋势

付忠勇 赵振洲

（北京政法职业学院信息技术系北京 100024）

随着计算机和网络技术的普及，信息安全问题日益凸显，与计算机有关的犯罪现象越来越多。电子取证为维护信息安全和打击计算机犯罪提供科学的方法和手段，可以提供法庭需要的证据。本文首先对电子取证的国内外发展现状进行总结，然后结合信息技术的发展，分析了当前电子取证所面临的问题和挑战，最后提出加强技术开发、人员培训，完善法律法规、加强合作等四方面措施。

电子取证 电子证据 计算机犯罪 信息安全

1 引言

随着计算机和信息网络技术在全球的普及，计算机通信网络在社会、政治、经济、文化、军事等方面的作用日益增强，电子商务、网络办公、金融电子化等新兴事物的出现，极大地改变了人们的生活方式，计算机技术的普及使得越来越多的人对计算机的依赖程度增加。

当然，任何技术都存在两面性，计算机和互联网技术在服务不同个体或群体时毫无例外也会产生不同的效应，当这些技术被不法分子所掌握后，诸多的恶性反应便相继出现，诸如计算机病毒、恶意网络入侵与攻击、网络诈骗、窃取商业机密、散布淫秽信息等计算机网络违法犯罪案件阴魂不散，如何有效应对和打击此类犯罪案件也已成为各国政府关注的焦点。伴随计算机网络违法犯罪案件的滋生和蔓延，电子取证逐渐走上历史舞台并被社会各界所研究和重视[1-2]。

电子取证是指借助计算机技术及工具的基础，从计算机系统、计算机相关外设以及互联网中获取与各类计算机案件有关的数字证据，为各类有关计算机的刑事、民事、行政案件提供证据支持[2]。从广义上讲，电子取证还包括为企业或个人提供电子数据服务的内容。由于数字取证涉及计算机科学、法学及侦查学三大学科知识，通过取证获取的电子证据的科学性、有效性、合法性以及取证过程的合理与否受到很多质疑，电子取证工作往往面临流产的威胁,这在很大程度上造成了数字取证与计算机违法犯罪二者的失衡，这也正是近年来计算机、网络违法犯罪案件呈现跳跃式增长的主要原因。

2 电子取证发展现状

2.1 国外发展现状

国外电子取证研究产生于20世纪中后期，发展于20世纪末期，尔后不断走向成熟和完善。在计算机取证的研究初期，计算机取证的思想、理念以及取证的技术和方法初步确立。计算机取证的初始阶段是以美国联邦调查局的电磁媒介计划为标志的，这项计划最终造就了计算机分析响应组（CART）的诞生[3]。在1984年，美国联邦调查局实验室及其他执法机构已经开始计算机证据的检验和研究。从那时起，像美国的计算机分析与响应小组（CART）、计算机证据工作组（TWDGE）、计算机证据科研工作组（SWGDE）都已成立并着力于研究包括计算机证据检验鉴定的规范化在内的计算机法庭科学[4[5]。到了90年代后期，由于计算机取证程序没有统一的标准，引发了大量的法律问题，专家们开始对取证标准及程序进行研究，提出了诸如基本程序模型、事件响应模型、抽象化的取证模型等。从90年代后期至今，计算机取证开始向规范化迈进，国外许多机构和专业人士开始进一步研究如何规范计算机取证，实现取证流程的标准化等取证重点课题。在学术界，近几年每年都有涉及计算机取证的学术会议召开[6]。

在研究计算机取证技术、工具、标准和法律法规的同时，近年来计算机取证人才的培养、计算机取证专业服务机构的建设以及取证服务体系的构建也日益受到国外的重视。就目前国外取证人才的培养模式来看，取证人才主要来源于两个方面：一方面是在高等学校中设置计算机取证的专业并开设相关的课程来培养专业取证人才；另一方面就是通过培训的形式来解决计算机取证人才短缺的问题。对于计算机取证服务的完善来讲，国外的取证机构基本上都是面向社会服务的，在美国计算机取证机构在受理案件时往往采取级别评定的方法，即基于客户的需要将案件受理及检验分析的过程以优先级加以区分，不同的优先级案件分析检验的快慢不同，所收取的费用也不同。而对于计算机取证服务体系的建设，国外多采取从取证的质量、准确率、信誉度等角度进行评测和完善。

2.2 国内发展现状

2001年，电子取证概念从国外引入国内[7]，从入侵检测取证开始，逐渐形成。2004年9月，我国第一个专门的取证机构“北京网络行业协会电子数据司法鉴定中心”成立。同年11月，于北京召开了全国第一届计算机取证技术研讨会。研讨会对计算机取证技术的学科划分、电子证据分析、取证系统体系结构、电子证据立法和取证实验室建设等进行了广泛的交流和讨论，该研讨会现每两年举办一次，对我国计算机取证技术的研究和发展起到了很好的推动作用。

在取证技术研究方面，近年来国内的一些科研院所例如中科院、北京大学、中国人民大学等正在从事着磁盘碎片恢复、隐蔽信道分析、内存证据获取、数据完整性检验、多媒体取证等领域研究。但研究成果或者说所形成的产品少之又少，在取证机构的业务实践中，主要还是以使用国外的产品或系统为主。

在法律法规的建设方面，国内只有很少的法律法规关系到了一些有关电子取证的说明，如《计算机软件保护条例》，《关于审理科技纠纷案软的若干问题的规定》等。2004年新制定的《电子签名法》还没有明确提出计算机证据或电子证据等概念，只是从等效的角度对电子签名赋予了法律地位[7]。2011年8月30日，十一届全国人大常委会会议初次审议的《中华人民共和国刑事诉讼法修正案（草案）》在证据种类的划分上有了一个重要的突破，即将原来证据种类“（七）视听资料”，修改为“（七）视听资料、电子数据”，明确提出“电子数据”，由此正式确立了电子数据作为证据的法律地位。但关于电子取证的规范在法律层面尚属空白。目前有关电子取证的工作规范只有各取证机构自行制定的内部规范，且各机构的规范也很难实现统一。

总之，我国研究机构开展取证技术的研究也不过是最近几年的事情，技术水平与外国差距较大，取证相关法律的建设还不健全。随着计算机技术的迅猛发展，计算机犯罪手段的不断提高，我们需要加强计算机取证技术研究，健全规范的计算机取证流程，制定和完善相关的法律法规。

3 电子取证面临的挑战

经过这些年的发展，电子取证理论和实践上取得了不少的成绩。但是随着信息技术的发展和广泛应用，电子取证技术的研究和应用也面临着新的问题和挑战，主要体现在以下几个方面：

（1）目前，还没有形成完备的关于数据取证的法律法规体系

有关司法部门还没有给出规范的电子取证流程和工作规则，这直接制约了数据取证的司法实践和技术成熟。

由于计算机取证技术是一门新兴学科，还在起步阶段，还没有形成科学、统一的、为业界广泛采纳和共同遵守的计算机取证工作规范，在方法和步骤上，各取证机构各行其是，这必然会导致证据的可信度不足，没有法律保障的的取证过程甚至会破坏证据的完整性，非但没有法律价值，甚至会侵犯隐私权和知识产权。

（2）司法部门的管理滞后

对数据证据认定的主体必须进行授权和甄别，只有取得司法鉴定资格，才能出具具有法律效力的数据证据，这方面，工作严重滞后，除政府以外的机构没有发展、研究数据证据的积极性。相关案件大量累积。

（3）计算机证据的获得比较困难

证据的取得和出示是诉讼过程中的核心步骤。由于计算机证据是以数字形式存在的，必须借助于计算机系统和特定的工具软件才能取得和显示，使人们理解，这不可避免地要改变数字证据的一些属性，而某些涉及案件的计算机系统往往是不允许长时间停止运行的，某些计算机设备的物理位置也是不能改变的[8]。

同时，做为网络运营商，无论从商业运维还是节约成本的角度，都必须限定一个服务器的更新时间，对数据保存设定时限，而这样的情况往往导致数据的灭失。经常是，当取证人员经过繁复的申报、沟通环节，获得合法取证的条件时，数据已经被删除了。

（4）海量的数据给电子取证中证据的收集及分析带来的困难

随着存储技术和计算机网络通信技术的发展，计算机系统和计算机网络中每天产生的数据庞大而且复杂，如何及时地获取和保存这些海量的数据给我们提出了巨大的挑战。如何从海量的数据中找出与案件相关且反映案件客观事实的计算机证据更是一项很艰巨的任务。需要不断地研究安全、高效的计算机取证工具[9]。

（5）云时代的智能终端安全隐患

移动智能终端与移动应用商店在向用户提供丰富多彩的应用软件和数字内容的同时，智能终端病毒、应用软件吸费、非法信息传播等安全问题不断暴露。移动智能终端已经成了病毒发威的新战场，手机僵尸、给你米等手机病毒破坏终端功能，恶意吸取资费，窃取用户隐私，极大地损害了用户利益。在信息内容安全方面，包含色情暴力、反动言论等信息的应用软件曾出现在应用商店中，危害青少年健康成长，影响社会稳定团结。应用通过分享用户地理定位数据或信息的方式侵犯用户隐私，半数应用未经用户允许将用户地理定位信息发送给广告网络或数据分析公司。

智能终端的便捷和普及带来了安全问题及针对智能终端的犯罪活动。智能终端安全事件的事前安全防护与事后追责讼诉相关理论和技术的研究成了目前的研究热点。

（6）多媒体通信给取证带来了一定的难度

在互联网应用中，一些常规的聊天工具如QQ、MSN、微信，不仅提供文字聊天，还提供语音、视频聊天，微信更是将音频聊天功能放在第一位。因而，电子取证不仅要对文字进行取证，也要对相关的视频和音频进行取证。鉴于聊天工具各有自己的信息传输和存储模式，甚至进行特殊方式加密，给取证带来了一定的难度，而如何针对视频和音频信息进行自动特征识别更是给电子取证带来了不小的障碍。

（7）犯罪嫌疑人防范意识的提高及反取证技术的快速发展

近年来，随着人们信息安全意识的增强，互联网上出现了诸如“文件粉碎机”、“文件捆绑器”以及各种类型的加密工具，而一旦这些工具被犯罪嫌疑人所掌握，他们将利用这些工具进行证据的销毁和隐藏，这将意味着计算机取证工作已不仅是在对已找到的存储介质上提取和分析证据，还得对其做大量的数据恢复、数据解密工作，增加了取证工作的难度和复杂性。

（8）跨区域的网络犯罪不断发生

现代信息技术通过互联网、物联网把世界各地的人和物紧密联系在一起，而对这个虚拟空间进行监管则十分困难，一些犯罪嫌疑人充分利用各地区法律及习俗上的差异，利用网络进行传统犯罪，并且近年来愈演愈烈，如网络色情、网络赌博和网络诈骗等。同时由于网络犯罪通常跨越多个网络，由于缺乏有效的合作机制，对跨区域网络犯罪活动的取证活动往往半途而废[9]。

4 电子取证的发展趋势

面对上述挑战，为更好地、更及时地打击计算机犯罪，一方面要加强取证技术研究，改进取证手段和工具，以期应对各种新技术的挑战。另一方面也要开展电子证据法学研究、完善打击计算机网络犯罪的法律法规，为电子取证和电子证据的使用提供法律上更明确的依据。同时，还要完善取证人员培养模式，加强专业机构和科研院校的合作，建立跨国合作机制，提高取证工作的质量和效率。

（1）研发新的取证技术和取证工具

结合信息时代的特点，积极研究数据获取、数据恢复、现场取证、远程取证、动态取证、多媒体取证、物联网取证、网络入侵追踪及犯罪现场重建等取证技术，并结合计算机网络领域的先进技术（如云计算、数据挖掘、海量数据分析、人工智能等技术），研制专门用于取证的自动化、可视化工具，加强虚拟社会的管控，同时为打击犯罪获取强有力的证据[9]。

（2）规范取证流程、完善电子取证相关法律法规

研究和制定科学的电子取证工具检测标准和取证过程中的行为规范和操作流程，保证电子证据在采集、保存、检验和转移等过程中的准确性和可靠性，提高电子取证过程的服务质量，积极推进电子取证的标准化规范化建设，切实保证数字证据的科学性、有效性。

研究电子取证的合法性标准，制定和健全与信息安全、计算机基础设施保护等相关的法律法规，确立网络证据保全、数字取证的基本规则，使公安机关对网络犯罪的调查取证工作有法可依。

（3）加强取证人员队伍建设

电子取证涉及计算机科学、法学、侦查学，这本身就要求取证人员具备综合性素质；同时，随着技术的发展，新的计算机网络犯罪手段、途径不断涌现。取证人员不仅需要丰富的取证经验，对这些不同的技术和专业领域具备充足的知识、能力储备，还需要电子取证人员要与时俱进，不断学习最前沿的电子取证技术，提高自身的技术能力。这就要求我们加强取证学科建设，完善取证人才培养模式，一方面是在高等学校中设置数字取证专业并开设相关的课程来培养专业性的取证人员；另外一方面就是通过培训的形式来解决数字取证人才欠缺的问题，并形成长效机制。对涉及专用领域的案件，联合这一领域先进的技术专家，共同完成数字取证。以此来加强取证人才队伍建设，应对计算机犯罪带来的挑战。

（4）建立跨地域、跨国界取证调查合作机制

由于计算机犯罪具有跨地域、跨国界的特点，因而经常会出现实施犯罪在地方甲，而其犯罪时所用的计算机或所租用的服务器以及犯罪证据却存放在地方乙，有时甚至罪犯在地方丙，这就需要有一个负责协调多部门、多区域甚至多国家合作的专门机构，以实现犯罪资料、情报线索的共享，从而形成强大的侦查合力[10]。

5 结束语

电子取证是计算机技术在传统的取证科学中的一个新兴、且快速成长的领域。它对促进信息安全、威慑犯罪分子以及减少数字犯罪具有重要的作用。本文首先对电子取证的国内外发展现状进行总结，然后结合信息技术的发展，分析了当前电子取证所面临的问题和挑战，最后提出加强技术开发、人员培训，完善法律法规、加强合作等四方面措施。

计算机技术的发展是瞬息万变的，计算机信息犯罪的手段也会越来越多，技术越来越高，同时，造成的破坏也越来越大。我们必须加强对电子取证技术的研究，立法机关也要加快对电子证据的立法；同时，司法工作人员应不断提高自己的素质，专业人员更要提高自己专业技术水平，建立跨区域、跨国合作组织、机制，多管齐下，打击计算机犯罪，维护信息网络的安全有序运行。

[1]周志刚.数据挖掘技术在计算机取证的研究[D].大连：大连交通大学,2010：21-23.

[2]宋蕾.国内外数字取证服务体系现状及发展趋势[J].铁道警官高等专科学校学报,2011(1):82.

[3]Gary Palmer.A Road Map for Digital Forensic Research. Technical lReport November 2001:15-20.

[4]陈龙.计算机取证技术[M].武汉：武汉大学出版社，2007：1-10.

[5]赵小敏.基于日志的计算机取证技术的研究及系统设计与实现[D].浙江：浙江工业大学,2003.87-89.

[6]宋蕾.国内外数字取证服务体系现状及发展趋势[J].铁道警官高等专科学校学报,2011(1):82.

[7]张琦.计算机取证中的内存镜像获取的研究与实现[D].吉林：吉林大学,2011：17-18.

[8]许榕生.国内外计算机取证发展[J].保密科学技术,2011(11): 7-8.

[9]王国强,信息时代数字取证面临的挑战及相应对策[A].全国计算机安全学术交流会论文集,第二十五卷，2010:236.

[10]万晓春,计算机取证面临的挑战及应对措施[J].上海公安高等专科学校学报,2008(12)：71-72.

Current Status and Development Trend of Research of Computer Forensic

FU Zhong-yong，ZHAO Zhen-zhou
(Department of Information Technology，Beijing College of Politics and Law，Beijing 100024，China)

With the popularity of computer and network technology,information security problem is increasingly highlighted,and the computer related crime phenomenon more and more.Computer forensics to protect information security and to crack down on computer crime provides scientific methods and means,can provide evidence of the court need.This paper first gives the definition of computer forensics,and then introduces the features of computer evidence,principles and classification of computer forensics,finally describes the research status of computer forensics,points out the problems existing in the computer forensics and its development trend isforecasted.

computer forensic;electronic evidence;computer crime;information security

TP309.2

A

1008-1739(2014)10-67-4

定稿日期：2014-04-26

基本项目“北京市教师提高工程”专业带头人培养项目及北京政法职业学院院级课题“计算机取证技术现状及发展趋势研究”项目资助。