云计算视阈下计算机网络犯罪侦查取证的探索

云计算视阈下计算机网络犯罪侦查取证的探索

于 丽 新疆警察学院信息安全工程系

随着现代科学的发展，计算机技术可谓是日新月异，技术成果颇丰。而云计算的出现使得信息的传递与搜集变得更加迅速快捷，是近年来计算机领域最具有里程碑意义的成果之一。伴随着计算机技术的发展，网络犯罪也逐渐兴起，其犯罪手法不断变化更新，很难运用常规手段进行取证。而云计算的出现，使得侦查机关在网络犯罪的取证方面取得了重大突破。本文将围绕云计算视阈下的计算机网络犯罪侦查取证的相关问题进行分析探讨，希望为相关领域的理论建设提供一定的参考。

云计算；网络犯罪；侦查取证；探索

引言

由于计算机技术的应用会产生各种安全漏洞，心怀不轨的人会对此加以利用，因此计算机网络犯罪在信息时代是不可避免的，网络入侵、网络诈骗的案例层出不穷。而因为网络犯罪的智能性、隐蔽性、匿名性、复杂性等特点，为侦查工作带来了很多麻烦。而云计算的出现使得网络犯罪侦查取证工作方便了许多，也使得很多罪犯难逃法网，得到了应有的处罚，同时也对社会起到了警示作用，避免了类似网络案件的大量的发生。

1.“云计算”的概述

云计算是在互联网相关服务的基础上提供的动态的、可加以拓展与升级的、虚拟化的资源。是分布式计算（Distributed Computing）、并行计算（Parallel Computing）、公用运算（Utility Computing）、虚拟化（Virtualization）、网络存储技术（Network Storage Technologies）、热备冗余（High Available）、负载均衡（Load Balance）等传统计算机和网络技术发展融合的产物。

美国国家标准与技术研究院对云计算定义为：云计算是一种无处不在的、使用方便的模式，可以根据需要进行网络访问的可配置计算资源共享池（例如网络、服务器、存储、应用和服务），只需要投入很少的管理或者与服务商进行很少的互动就能使得资源被快速提供。

而在中国，云计算起步较晚但发展十分迅速。云计算专家刘鹏将之定义为：“云计算是将计算任务数量庞大的计算机构成的资源池上分布，让用户能够按照自己的需要来获得计算力、存储空间和信息服务。”[1]基于以上对云计算的概述，可以看出其具有以下的特点。

规模超大。一般的企业私有云可以拥有成百上千台的服务器，利用其中的数据能够给予用户超强的计算能力；而互联网巨头Google的私有云已经拥有了上百万台服务器的超大规模，Microsoft、Amazon、Yahoo、IBM等企业的私有云也有着几十万台服务器的支撑。

安全可靠。云计算为用户提供了最安全可靠的数据存储中心，可以避免数据的丢失与病毒入侵等意外的发生。当用户将资料上传到“云”上之后，上面的数据被最先进的存储中心与专业的管理团队进行综合管理，具有安全可靠的特性。

很强的扩展性。“云”的规模可以根据实际情况进行扩展和伸缩，可以随时满足用户的需求。在侦查人员进行取证的过程中，该特性也可以保证云计算视阈下的及时取证具有可扩展性，从而方便侦查人员的工作。

潜在的危险性。云计算不但为用户提供计算服务，还同时充当了储存中心的角色。而目前的云计算服务都掌握在私企手上，但是这也造成了一定的风险，一旦这些私人企业将用户的数据进行违规使用，很可能会对用户甚至社会造成很大的损失。

从这些特点来看，云计算就是建立在虚拟平台上的、为用户提供数据运算、分享、储存的资源库。而这里的用户既可以是企业，也可以是个人，他们可以对数据进行自由的分享与传播，从而使得数据杂乱并且保密性不强，这也为取证人员在计算机取证上造成了一定的挑战。

2.云计算视阈下的侦查取证过程

在传统的取证模式下，取证目标具有明确性和针对性，取证过程基本是在侦查人员能够人为进行控制的范围内，几乎没有其他数据的干扰，因此在条件充分的前提下可以很快取得相应的证据，进而对案件进行处理。传统刑事案件侦办过程如下图。

但是在云计算环境下，由于资源的虚拟性且资源可以供多个用户共享，因此在云计算的视阈下取证要区别于传统取证过程。大致可以分为：证据的查找阶段、证据的固定阶段以及证据的提取阶段。

证据的查找阶段。传统取证可以直接针对案件中的线索进行证据的搜寻，但是云计算环境中的侦查取证却是要在大量的数据中经过反复搜寻与筛选。在这一阶段中，几乎都是要通过云计算对服务器中的“智能程序”进行相应的指令操作，从而在“云”严格、自动传递出来的信息中主观地对自己想要的数据进行编辑、浏览和筛选，最终获得需要的证据。因此，在云计算的视阈下，可以通过以下几个步骤来搜寻相关证据。

首先，在网络犯罪案件的侦办过程中，应当对现实环境进行搜查取证，通过对当事人的问话与调查对事件发生的经过有一个详细的了解，对犯罪嫌疑人的相关特征进行锁定。

其次，在现实条件允许的基础上于“云”上着手调查。因为用户对云上资料如图片编辑、文档修改、账户操作等行为都会在服务器的后台数据留下痕迹，因此侦查机关可以在司法条件允许的情况下根据这些操作记录所产生的节点数据对操作者进行调查，从而获得相关证据。除此之外，也可以根据一些互联网平台如Google的电子地图所拍摄的画面或是交通监控、行车记录仪中的数据进行检查，以获得证据。

图1 传统形式案件侦办过程

证据的固定阶段。一般来说，在搜集到有效的证据之后，都不会直接应用于指控之中，而是需要进一步搜索到一定的辅助证据以保证主要证据的有效性。因此在网络取证的同时，还需要对用户的数字签名以及保证人的签名等进行搜集，从而保证证据的真实性与规范性。由于云数据不像现实证据那样容易保存，因此取证人员在取证过程中应当对在云端取得的证据以及辅助证据进行备份与保存，使得数据不会轻易丢失。同时在这些数据的迁移、保存与备份的过程中，应当记录下全部过程，并生成相关报告，从而保证证据的法律完整性与真实性。

证据的提取阶段。在提取证据的过程中，要根据云服务器的操作流程对数据进行下载和取得，进而对证据进行保存和备份。但是在实际操作中，云数据库中的数据具有不稳定性，可能会因为设备原因或是人为的故意操作导致数据的不完全和丢失，因此需要专业的操作人员对原始数据进行分析、提取和整合，从而对证据进行尽可能的还原。

3. 云计算环境中取证在实际运用中的案例分析

由于英美等国科技的先进与发达，云计算环境下取证的实现较早。美国前任联邦调查局局长罗伯特·米勒曾表示，美国将针对越来越猖獗的计算机网络犯罪在洛杉矶建立了一个名为“区域性计算机取证实验室”的实验室，服务于加利福尼亚州的执法部门。该实验室耗资700万美元、历时3年完成，用于分析计算机网络犯罪中的各种数据，以便让执法部门能够更好地对计算机网络犯罪的嫌疑犯与组织进行跟踪。这样的组织在美国已经建立了数十个之多，主要对病毒传播、恶意软件捆绑、网络诈骗、网络色情、网络钓鱼、黑客入侵等网络犯罪进行取证调查，从而维护网络安全。尽管中国在云环境取证的实现比英美等发达国家要晚许多，但是近来也取得了多项成果。为了严厉打击网络黑客的犯罪，中国的公安机关在全国范围内建立了超过300个“电子数据勘查取证实验室”，对网络犯罪进行侦查取证，积极开展网络监管，从而保证国家网络安全。从国内外取证实验室的建立可以看出，这种“区域性计算机取证实验室”正是在计算机网络快速发展的基础上由传统的取证实验室向依靠“云计算”取证实验室转化的必然结果。

2013年辽宁警方侦破了一起重大的跨国网络入侵盗窃案件。辽宁省公安机关的网络安全部门在工作中发现有人在网上高价收购韩国银行的资料，心生疑惑的工作人员开始对这件事进行调查。在调查中发现，黑龙江网民王某在2012年成立了游戏工作室，通过网络出售韩国的游戏币与韩国银行账户的信息获取利润。而以王某为首的犯罪团伙自2012年开始从事网络入侵盗窃，先后入侵了韩国100多家网站并盗取韩国网民的银行账户与密码共计4000余组，总共获利折合为人民币为1000余万元。在这起案件中，由于犯罪手法隐蔽性强、证据溯源困难以及特殊的跨国性等特点，导致案件侦破极为困难。而网络安全部的工作人员在与韩国方面协商之后通过云计算对犯罪团伙的银行资金流向记录、网页操作的后台记录进行筛选和查找，

对犯罪团伙的网络入侵行为进行了跟踪与锁定，从而取得了网络犯罪的证据，将罪犯绳之于法。

在现代网络犯罪手法的类型中，除了网络入侵之外，木马的植入也是常见的网络犯罪案例。网络信息时代不可避免地会出现网络安全漏洞，而许多不法分子通过这些漏洞植入木马病毒来对目标计算机进行控制，肆意毁坏、盗取目标的数据，从而利用这些数据进行非法牟利。2014年，江苏徐州的公安局接到某淘宝店主的报警，有“客户”以服装订做的名义向其发送图片，从而使得其手机被植入了木马，从而损失了近2万元。警方通过云服务器上的数据由“客户”的网络信息调查出其真实身份，再对姜某的资金流向、银行卡操作等后台数据进行查询，得知姜某将受害人的卡内余额转到刘某处销赃，于是又以刘某为线索，发现了其背后庞大的涉案组织并开展统一抓捕行动，共计抓获了37名犯罪嫌疑人。而该犯罪团伙的涉案金额达到了2000余万元，受害人达260余人。

4.云计算视阈下取证所面临的挑战及相关应对措施

尽管云计算为用户对信息的获取、交流和共享带来了便利，但也带来了极大的安全隐患，对信息安全领域造成了强烈的冲击。由于没有固定的基础设施和安全边界，使得用户的数据和隐私可能会受到威胁；云端数据高度集中，一旦出现安全隐患可能对大量用户造成损失。而云服务涉及到的资源也由多个管理者共有，可能导致利益冲突，因此无法统一部署安全措施。基于以上安全隐患，在云计算视阈下展开取证必定会遇到诸多的问题。

4.1 技术层面的挑战

取证方法的欠缺。在云计算的环境中，很多电子证据在当前的技术条件下是很难侦查与提取的。在云计算服务中，有很多访问数据是通过虚拟专用网络（VPN）进行访问，而在当前的技术取证手段下，几乎不可能进行检测。而若是这些虚拟专用网络是通过图书馆、商场、网吧等公共网络环境访问，那么更不可能加以侦测，因此可能导致数据的缺失。

电子证据的不完整性。在云数据的传输与储存过程中，由于在云计算环境下不同用户的数据都是混合在一起的，因此可能导致敏感、保密的数据被其他用户的数据所污染。这就会使得数据可能会出现安全隐患，同时也使得取证所得的数据丧失了其完整性与原始性，导致案件的侦办陷入困境。

4.2 法律层面的挑战

法律上的不健全性。由于云计算环境下各种网络数据和资料都高度集中在云储存的资源池里面，一旦对其中某项资料或数据进行取证，就不可避免地会窥探其他大量的商业机密或者个人隐私。一旦操作不规范，就很有可能构成侵犯商业机密或是个人隐私的违法行为。但是在我国现行的法律法规中并没有就云计算环境中的取证问题进行原则上的界定，从而会对侦查人员的取证带来一定的困难。

跨国取证的特殊性。由于现在许多网络犯罪可能会涉及到跨国、跨区域之间的特殊性，例如台湾电信诈骗案不但涉及到大陆、台湾双方还涉及到其他多个国家，这对案件的取证是很不利的。由于跨国网络犯罪的数据流动是在全球范围内，而不是仅仅局限在某一个国家，因此在云计算的环境下进行取证可能会跨国或者跨区域，而不同的国家有不同的法律和政策。因此在取证过程中不但要保证跨国数据的精确性与完整性，还要避免与他国在管辖权上产生纠纷。

4.3 相关应对措施

加强相关技术上的改进和突破。对数据迁移技术、镜像迁移数据、入侵检测系统等新技术在云计算环境取证过程的应用加以研究，进而减少取证人员在数据筛选、数据追踪与提取上的难度，提高所取得证据的完整性与精确性。

建立健全相关的法律法规。对云服务的供应商加强法律上的监控，以便能够获取运行过程的系统数据。加强对取证程序方面的法律完善，界定在云计算环境下进行取证的法律底线，使之既能保证取证的正当性又能获得有效的证据与线索。同时还应当对具体的取证流程加以规定，从而保证取证工作的顺利进行。

5. 结束语

针对我国计算机网络犯罪越来越猖獗的现状，应当尽快建立云计算视阈下计算机网络犯罪的取证流程与框架，以期能够为公安机关对网络犯罪的有效打击提供一定的帮助，进而保障我国网络安全。

[1]何晓行,王剑虹.云计算环境下的取证问题研究[J].计算机科学,2012,09:105-108.

[2]栾润生.面向云计算的计算机网络犯罪侦查取证的思考[J].网络安全技术与应用，2011，12：68-70.

[3]单彬.云计算环境下计算机侦查取证问题研究[J]电子制作2015,09：56-57.

[4]樊玲玲.浅析“云计算”环境中的计算机网络安全[J].科技致富向导，2012，26：85.

[5]那勇.云计算环境下的计算机网络安全策略研究[J].电子制作，2014，10：149-150.