国内外电子数据取证标准规范研究
打印
近年来,随着计算机网络相关保密违法案件的不断增多,电子数据取证技术在保密违法案件查处中的应用日益广泛,作用愈显重要。考虑到保密违法案件查处这一行政执法行为的严肃性和严谨性,甚至可能需要向检察、法院、公安等机关移交处理的特殊要求,客观上要求采用严格的标准规范来保证电子数据取证活动的客观公正性。本文对国内外电子数据取证标准化情况进行了总结,介绍了国内外电子数据取证标准制定和实施现状,分析了国内电子数据取证标准规范的成果和存在的问题,提出了保密领域电子数据取证标准体系建设设想。
一、国际电子数据取证标准规范研究现状
(一)国际标准制定情况
国际上,电子数据取证标准化工作最突出的是国际标准化组织(ISO)及国际电工委员会IEC)制定的电子取证系列标准。为了规范电子数据取证工作,近年来,ISO/IECJTC1(1号技术联合委员会)下属的SC27(27号委员会)委员会编制了一系列电子数据取证相关标准,并将该领域的系列标准归入了ISO/IEC27000系列标准(又名“信息安全管理系统标准族”)。
2015年3月,该委员会发布了ISO/IEC27043:2015《信息技术安全技术事件调查原则和过程》,提出了电子数据取证体系架构,将取证工作分为电子取证流程(process)和活动(activity)两个层面:取证流程包括准备、初始化、获取、分析和并发等5类;采取的取证活动包括计划,准备,响应,识别、收集、获取和保存,理解,报告,关闭等7种。该取证体系架构由已经发布的和正在制定中的10个标准组成。
ISO/IEC27035:2011《信息技术安全技术信息安全事件管理》
ISO/IEC27037:2012《信息技术安全技术电子证据识别、收集、获取和保存指南》
ISO/IEC27038:2014《信息技术安全技术数字化修订规范》
ISO/IEC27040:2015《信息技术安全技术存储安全》
ISO/IEC27041:2015《信息技术安全技术确保事件调查方法适宜性和充分性指南》
ISO/IEC27042《信息技术安全技术电子证据分析解释指南》
ISO/IEC27043:2015《信息技术安全技术事件调查原则和流程》
ISO/IEC27044《信息技术安全技术安全信息和事件管理指南》
ISO/IEC27050《信息技术安全技术电子证据发现》
ISO/IEC30121:2015《信息技术电子取证风险框架的管理》
其中,ISO/IEC27037、27041、27042、27043、27050、30121等专为电子数据取证制定的标准,可直接用于电子数据取证活动,其余标准则包含某些影响或有助于电子数据取证相关活动的条款。ISO/IEC27037对于各种类型检材的取证提供了具体的方法与技术细节,其内容涵盖了电子数据识别、收集、获取和保存的完整过程。该标准向取证人员介绍了电子数据取证过程中常见情况的应对步骤,其中的现场勘验部分对于目前的取证工作具有重要的参考意义。ISO/IEC27041为确保在信息安全事件调查中所使用方法和过程的适宜性提供了指南,包括要求定义、方法描述、证据提供的最佳实践以及满足要求的方法实施。ISO/IEC27042为电子证据的分析和解释提供了指南,某种意义上解决了电子证据分析的连续性、有效性、可再现性和可重复性等问题。ISO/IEC27043定义了电子取证的原则,并为不同现场或案件电子取证调查提供了一种理想化的过程模型,使得按照该流程开展的电子取证分析满足可复现性要求。ISO/IEC27050涉及电子证据的发现阶段,特别是电子存储信息(ESI)的发现。该标准认为电子证据发现包括以下主要步骤:识别、保护、收集、处理、复审、生产等几个阶段。ISO/IEC30121为机构中的领导(包括委员会成员、高级管理人员等)提供了开展电子取证前如何组织电子数据取证工作的最佳方法。
围绕电子数据取证流程(活动),ISO/IEC从监督管理、流程步骤、保障措施等涉及取证工作的不同方面、不同环节分别制定相应标准或者引用标准条款,规范电子取证工作,确保电子数据取证工作质量,这一标准体系设计思路值得借鉴。
(二)美国标准制定情况
作为信息技术最发达的国家,美国早已开展了电子数据取证相关工作并积累了大量的经验,在研究投入上远超其他国家,不仅有众多研发专业化计算机取证工具的高科技公司,而且出现了许多专门的电子数据取证机构、实验室和咨询服务公司。据统计,美国至少有70%的法律部门都拥有自己独立的实验室,在电子取证标准化工作方面,也取得了大量成果。美国国家标准与技术研究院、国家司法研究所、美国联邦调查局的“数字取证科学组”和“图像技术科学组”、美国试验与材料学会国际组织等机构制定了一系列电子数据取证相关的标准和规范。
◇美国国家标准与技术研究院
美国国家标准与技术研究院(National Institute of Standards and Technology,NIST)出台的电子数据取证方面的标准和文件包括特别出版物(SP800)系列和内部报告(IRs)系列等,大部分已经出台的文件都是非强制性的指南,为政府部门的相关工作提供实施的指导性意见。
SP800系列是指南文件,对联邦政府部门不具备强制性,而只是提供一种供参考的方法或经验。目前,SP800系列与电子数据取证相关的标准有:PDA取证指南、移动电话取证指南和应急响应中使用取证技术指南(见图1)。内部报告(IRs)系列主要向特定读者描述相关技术方面的研究内容。目前,电子数据取证相关内部报告主要是关于PDA取证工具、移动终端取证工具、移动通信协议取证分析、云计算取证技术等技术研究内容。
总的来说,NIST针对电子取证制定的指导性文件并不多,这可能与其职能定位有关,但是为了配合其他机构开展电子取证相关工作,NIST发起了包括“计算机取证工具测试”项目(Computer Forensics Tool Testing,CFTT)、“国家软件参考库”项目(National Software Reference Library,NSRL)以及“计算机取证参考数据集”(Computer Forensic Reference DataSets,CFReDS)在内的多个研究项目。其中,CFTT项目旨在为确保执法部门使用的电子取证工具的有效性,而建立一套测试电子取证软件工具方法,内容包括规格说明书编制、测试程序、测试标准、测试数据集和测试硬件。NSRL项目负责建立一个包含各种软件的文件以及数字签名的目录,以便在执法和数字取证时使用。CFReDS项目为取证工具有效性验证、装备检查、人员训练,以及在实验室认可工作中取证人员的能力水平测试等工作中提供数据。
◇国家司法研究所
国家司法研究所(National Institute of Justice,NIJ)隶属于司法部,在2001年颁布了《计算机现场勘查指南》后,不断资助相关领域的研究项目以促进电子证据取证工作,并以特别报告(Special Report)的形式发布了部分标准。其中《电子犯罪现场勘查:首要响应人员指南》和《电子犯罪现场勘查:执法人员指南》两部文献中提出了电子取证的“三项原则”,即:收集、保全、传输电子数据不应造成电子数据的改变;电子数据检验应由受过专门培训的专业人员进行;扣押、传输、存储电子数据的所有行为都应建立完整的书面记录,并归档备查。
◇美国联邦调查局“数字取证科学组”和“图像技术科学组”
美国联邦调查局隶属于司法部,是美国政府打击各种犯罪的联邦机构。其下属的“数字取证科学组”(Scientific Working Groupon Digital Evidence,SWGDE)和“图像技术科学组”(Scientific Working Groupon Imaging Technology,SWGIT),以联合或者独立的形式发布了一系列涉及电子证据获取与分析技术、规范流程、质量管理体系等的标准与规范,标准体系较完备,针对性和实用性强,在业界有很高的影响力。
此外,美国司法部的计算机犯罪与知识产权处(Computer Crime & Intellectual Property Section,CCIPS)和美国国土安全部的美国特勤局(United States Secret Service,USSS)也在其职责范围内制定了一系列电子数据取证相关规范性文件。
(三)英国标准制定情况
英国在电子数据取证标准化研究方面也是成果丰硕。英国标准协会、英国首席警官协会、英国内政部科学发展处、信息保障咨询委员会和英国数字保存联盟等机构制定了一系列电子数据取证方面的标准规范。
◇英国标准学会
英国标准学会(British Standards Institution,BSI)是集标准研发、标准技术信息提供、产品测试、体系认证和商检服务五大互补性业务于一体的国际标准服务提供商,面向全球提供服务。
在电子数据取证领域,英国标准学会早在2008年11月就颁布了包括BS10008:2008《电子信息的法定许可和证据权重规范》在内的一系列电子取证标准,2014年,英国标准学会对BS10008:2008进行了重新修订,根据即将发布的BS10008:2014,该标准的章节由原来的7个增加到了10个,并且增加了大数据与云计算等最新技术。此外,近几年,英国标准学会加大了与国家标准化组织的合作,ISO/IEC27040和27041等都以英国标准的形式予以发布。
◇英国首席警官协会
英国首席警官协会(Association of Chief Police Officers,ACPO)成立于1948年,是一个非营利性组织,监管英格兰、威尔士和北爱尔兰的警务实践。为使实践工作能符合取证的原则和标准,ACPO推出了《电子证据取证的最佳实战指南》,并随着实践工作的转变而新增、修订和完善指南内容。在该指南中提出了计算机取证的4条基本原则:执法机构及人员采取的任何举措均不能导致计算机及其存储介质中的可能向法庭提交的数据发生改变;在必须接触计算机及其存介质中的原始数据时,接触人员必须能够胜任,而且能够解释证据的关联性以及取证行为的相关性;计算机取证所有过程必须创建审计追溯记录或其他记录,并加以保存,任何独立的第三方机构经过程验证都可以得出相同的结果;负责调查的人员(案件负责人)要对法律和原则的遵行情况全面负责。
(四)其他国际组织和国家
在电子数据取证领域,大多数国家都是直接参照美国或英国的取证标准。一些国家参照国际标准和英美标准,制定了符合自己国情的取证标准和方法。
◇计算机证据国际组织
成立于1995年的计算机证据国际组织(International Organization on Computer Evidence,IOCE)一直致力于制定处理电子证据的国际准则。IOCE提出了计算机取证过程应遵守的6条一般原则(因在2000年12月八国峰会上正式提出,简称“G8”原则):必须遵守所有取证和处理证据的原则;获取证据时所采用的方法不能改变原始证据;取证人员必须经过专门培训;所有对电子数据的扣押、接触、存储以及移转的行为必须以书面形式进行完整记录,并归档备查;每一名电子证据保管员应对其针对电子证据的每一个行为负责;任何负责获取、访问、存储或传输电子证据的机构有责任遵循这些原则。
◇Internet工程任务组和国际电信联盟
Internet工程任务组(Internet Engineering Task Force,IETF)和国际电信联盟(International Telecommunication Union,ITU)出台的信息安全的相关标准中均有针对电子证据的规定。
(五)境外电子取证标准规范成果分析
境外在电子数据取证标准规范研究方面,取得了很多值得我国借鉴的成果,尤其是在取证原则、取证程序和取证工具检测等方面取得了不少规范化研究成果,主要体现在以下几个方面:
(1)在取证原则方面。对于电子数据取证所需遵循的原则问题,国际上具有代表性的观点有“G8原则”、美国司法部提出的“三项原则”以及英国首席警官协会(ACPO)提出的“四论原则”。以上原则设计虽在条款数量上存在差异,但均传承着相同的取证理念,取证既要符合相应的技术要求,又须依法进行。
(2)在取证程序规范化研究方面。以IOCE、SWGDE等为代表的国际组织和诸多学者都提出了相应的程序规范化建议。SWGDE于1999年10月在英国伦敦举办的国际高科技犯罪和法庭科学会议(IHCFC)中指出:“为确保电子证据能够以一种安全的方式进行收集、保存、检验和传输,保障电子数据的准确性和可靠性,执法部门和取证机构必须建立和保持有效的质量体系,标准操作规程(SOP)文件应作为质量控制的指导方针,并制作相应的案件记录,采用被广泛接受的程序、仪器和材料进行检验。”同时,SWGDE还提出了7条电子数据取证程序标准。
此外,SWGDE在其制定的《计算机取证最佳实践》中,还从证据收集、证据处理、准备取证设备、镜像制作、取证分析和检验、检验记录、报告制作、复查7个方面规定了51条取证操作规则。IOCE在其制定的《数字技术司法鉴定最佳实践指南》中也给出了与电子数据取证有关的程序准则。
(3)在取证工具检测认证层面。最具代表性的是美国NIST所开展的计算机取证工具检测计划(CFTT),该计划致力于取证工具检测的通用规范、检测程序、检测标准以及检测工具的研究,其从成立至今先后发布了一系列关于取证工具能力要求的技术准则,同时也制定了与取证工具检测认证有关的程序和方法文件。这些涉及取证工具检测程序、方法以及工具设计要求的技术规范的出台,为取证产品研发厂商研发取证设备提供了依据支持、为业界进行取证工具检测提供了检测方法、为各取证机构选择取证设备提供了质量衡量的依据,亦为取证结果的审查提供了技术依据。在NIST的CFTT计划带动下,诸多国家现已开展涉及取证工具的检测,美国等西方国家现已将取证工具是否通过检测作为取证工具的入市标准。
二、国内电子数据取证标准规范研究现状
(一)国内电子数据取证法规和标准情况
我国电子证据的标准化工作起步较晚,但是国家有关部门对于相关政策和标准制定工作十分重视。2005年2月28日全国人大常委会通过的《关于司法鉴定管理问题的决定》,从国家基本法律层面对电子数据鉴定遵守技术标准的义务做了明确规定。2005年公安部发布了我国第一部电子数据标准化的规范性文件《计算机犯罪现场勘验与电子数据检查规则》,主要对电子数据现场取证和电子数据检验鉴定的程序、内容和要求等进行了规定。2005年公安部又发布了《公安机关电子数据鉴定规则》,主要规范公安机关的鉴定机构管理要求、鉴定人管理要求等与鉴定相关的问题。2007年《司法鉴定程序通则》(司法部令第107号)对鉴定人采纳技术标准问题做出了详细的要求:“司法鉴定人进行鉴定,应当依下列顺序遵守和采用该专业领域的技术标准和技术规范:(一)国家标准和技术规范;(二)司法鉴定主管部门、司法鉴定行业组织或者相关行业主管部门制定的行业标准和技术规范;(三)该专业领域多数专家认可的技术标准和技术规范……”
2008年以来,公安部和司法部先后制定了电子数据取证各自行业标准。截至目前,公安部共发布了22个电子数据取证方面的行业标准:
(1)《电子数据存储介质复制工具要求及检测方法》(GA/T754-2008)
(2)《电子数据存储介质写保护设备检测方法》(GA/T755-2008)
(3)《数字化设备证据数据发现提取固定方法》(GA/T756-2008)
(4)《程序功能检验方法》(GA/T757-2008)
(5)《电子物证数据搜索检验技术规范》(GA/T825-2009)
(6)《电子物证数据恢复检验技术规范》(GA/T826-2009)
(7)《电子物证文件一致性检验技术规范》(GA/T827-2009)
(8)《电子物证软件功能检验技术规范》(GA/T828-2009)
(9)《电子物证软件一致性检验技术规范》(GA/T829-2009)
(10)《电子数据法庭科学鉴定通用方法》(GA/T976-2012)
(11)《取证与鉴定文书电子签名》(GA/T977-2012)
(12)《网络游戏私服检验技术方法》(GA/T978-2012)
(13)《法庭科学电子物证手机检验技术规范》(GA/T1069-2013)
(14)《法庭科学计算机开关机时间检验技术规范》(GA/T1070-2013)
(15)《法庭科学电子物证Windows操作系统日志检验技术规范》(GA/T1071-2013)
(16)《移动终端取证检验方法》(GA/T1170-2014)
(17)《芯片相似性比对检验方法》(GA/T1171-2014)
(18)《电子邮件检验技术方法》(GA/T1172-2014)
(19)《即时通讯记录检验技术方法》(GA/T1773-2014)
(20)《电子证据数据现场获取通用方法》(GA/T1174-2014)
(21)《软件相似性检验技术方法》(GA/T1175-2014)
(22)《网页浏览器历史数据检验技术方法》(GA/T1176-2014)
司法部于2014年发布了SF/ZJD0400001-2014《电子数据司法鉴定通用实施规范》、SF/ZJD0401001-2014《电子数据复制设备鉴定实施规范》、SF/ZJD0402001-2014《电子邮件鉴定实施规范》、SF/ZJD0403001-2014《软件相似性检验实施规范》4个司法鉴定技术规范。
在国家标准层面,目前只有3个国家标准发布:《电子物证数据恢复检验规程》(GB/T29360-2012)、《电子物证文件一致性检验规程》(GB/T29361-2012)、《电子物证数据搜索检验规程》(GB/T29362-2012)。
通过对上述标准的分析发现,3个国家标准是公安部相应行业标准上升为国标,司法部制定的4个行业标准内容上也基本上借鉴了公安部相应的行业标准。因此,我国电子数据取证标准化建设工作最具代表性的还是公安部的行业标准。总的来说,公安部制定的行业标准可以分为四类:一是规范取证过程或流程类标准,比如GA/T976-2012和GA/T1174-2014;二是取证工具技术要求和测试类标准,比如GA/T754-2008和GA/T755-2008;三是电子取证方法技术类,这类标准最多,主要是规范某类操作,比如数据恢复操作(GA/T826-2009)、数据检验操作(GA/T825-2009)、文件一致性检验操作(GA/T827-2009)和软件一致性检验操作(GA/T829-2009)等;四是针对不同取证对象的标准化取证操作类,比如网游私服(GA/T978-2012)、Windows系统日志(GA/T1071-2013)、电子邮件(GA/T1172-2014)、即时通信记录(GA/T1773-2014)和网页浏览器历史(GA/T1176-2014)等。针对新的取证对象,公安部后续还会出台相应行业标准。
(二)国内现有电子数据取证标准化工作存在的问题
(1)制定标准的体制机制不完善目前,我国还没有建立起真正统一的司法鉴定管理体制,直接导致了电子数据鉴定标准化工作的滞后。职能部门内设的电子数据鉴定机构结合本部门的鉴定工作的实际情况,在本单位主管部门的主持下,发布了一些鉴定标准,这些带有明显部门特色的鉴定标准虽然在科学性上没有问题,但在具体适用上并不具有普遍的适用性。
(2)现有电子数据取证规则/标准滞后于技术的发展
由于司法鉴定标准的制定总是滞后于技术的发展,当某一领域的技术发展较为成熟或被该领域的大部分专家所认可时,鉴定标准才有出台的基础。电子技术发展日新月异的特点,使得电子数据鉴定标准的出台,比其他司法鉴定标准的出台更加困难,比如针对云计算、大数据的取证标准。
(3)电子数据取证标准体系不完备电子数据鉴定现有公共安全行业标准22个,国家标准3个,从内容上看,3个国家标准几乎是从之前的行业标准中直接照搬过来的。所以说从内容上看,国家标准并未有实质性的突破,个别标准内容过于简单,规范过于笼统,缺乏可操作性。从标准是否构成体系来看,现有标准还留有较多空白,例如网络数据的鉴定、硬盘修复数据的鉴定等等。此外,对电子数据鉴定涉及的手机数据,网络数据都缺乏相应的标准,对于鉴定人员资质、设备的配置标准等也都没有进行规范。
三、保密领域电子数据取证标准化工作设想
按照保密法的规定,保密行政管理部门承担着保密违法案件查处的职责。从满足保密案件查处工作实际需要出发,保密工作部门有必要建立符合自身工作特点的电子取证标准化体系。
在标准化建设工作思路上,要采用借鉴和自研相结合的方式,加快推进取证标准体系建设。在国内电子数据取证缺乏统一标准的情况下,保密领域电子数据取证标准化工作应首先满足保密行政行政管理部门行政执法需要,学习国际电子数据取证标准化工作先进做法,借鉴国内有关部委电子数据取证标准化工作成果,立足于保密技术核查取证工作实际,采用“引进”和“自研”相结合方式,加快建立保密核查取证标准体系。在一些电子取证通用性操作上,比如数据保全、数据恢复等标准,可以借鉴国内同行的标准成果,在具有保密技术取证特色或者与保密取证工作环节密切相关的环节上,则需要结合保密工作实际制定自己的标准,比如涉密文件搜索检验规范、窃密软件分析规范等等。
在保密标准体系构建上,需要充分考虑电子数据的特殊性和保密工作的特殊性,从电子证据的产生、存储和转移的特点出发,分基础性标准、技术性标准和管理性标准三个层次进行规范,以期得到一个科学而合理的鉴定标准体系。基础性标准主要是规范电子数据取证鉴定所涉及的一些专业术语、基本原则和软硬件设备标准。通过制定这些基础性标准,可以从根本上规范电子数据取证鉴定工作,为电子数据鉴定的标准化打好坚实的基础。
技术性标准作为电子数据取证鉴定程序标准化建设最核心的标准,可以分为取证阶段的标准和鉴定阶段的标准两部分。取证阶段的标准可分为程序性标准和技术性标准两大部分。程序性标准包括参与取证的人员资质标准、取证设备标准、针对联网设备取证的环境标准等。在正式开展取证工作前,必须详细了解具体案情,事先做好预案,对现场环境、设备状态等进行详细的记录。鉴定阶段是指在实验室条件下进行鉴定的阶段,该阶段的标准是目前已有标准主要关注的领域,相对而言,已经比较规范,可以根据保密违法案件核查的技术特点,以通用技术方法对鉴定阶段的标准进行分类,分别制定完善,比如鉴定阶段的电子数据的恢复标准、涉密数据的搜索标准、攻击窃密程序的分析标准等。管理类标准电子数据鉴定结果的真实可靠,与所在的实验室的规范化管理是分不开的。结合《检测和校准实验室能力认可准则》(ISO/IEC17025:2005),从鉴定实验室人员的管理标准、电子数据鉴定实验室的环境标准、采用技术方法、设备的配置、检材的处理等方面,建立相应的管理性标准。
(作者:何建波)
