楊靜

（湖北警官學(xué)院，湖北武漢430034）

關(guān)于計算機取證鑒定標(biāo)準(zhǔn)體系的研究

楊靜

（湖北警官學(xué)院，湖北武漢430034）

我國計算機取證鑒定國家標(biāo)準(zhǔn)、司法行業(yè)標(biāo)準(zhǔn)缺失，應(yīng)從計算機取證現(xiàn)場勘驗的規(guī)范，計算機取證鑒定對象的管理標(biāo)準(zhǔn)，計算機取證鑒定程序的規(guī)范及監(jiān)控標(biāo)準(zhǔn)，計算機取證所采取的鑒定方法、技術(shù)的規(guī)范，對計算機取證鑒定結(jié)論的評斷標(biāo)準(zhǔn)，對計算機取證的技術(shù)裝備工具開發(fā)檢測的標(biāo)準(zhǔn)，計算機取證實驗室建設(shè)標(biāo)準(zhǔn)七個大的層面來構(gòu)建計算機取證鑒定標(biāo)準(zhǔn)體系。

計算機取證；鑒定；標(biāo)準(zhǔn)體系

隨著社會信息化程度的不斷發(fā)展，許多社會問題不可避免地和計算機產(chǎn)生聯(lián)系，計算機取證的重大需求由此產(chǎn)生。早在1991年，在美國召開的國際計算機專家會議上首次提出了計算機取證（Computer Forensics）這一術(shù)語，之后召開的許多國際會議均以計算機取證為主題進行探討、研究。2002年，在美國夏威夷召開的計算機安全技術(shù)論壇（FIRST年會）上提出了計算機取證協(xié)議和程序的標(biāo)準(zhǔn)化問題，將計算機取證的標(biāo)準(zhǔn)化問題提上議程[1]。相對于信息技術(shù)發(fā)達國家有著近30年的計算機取證研究歷史，我國的計算機取證研究是伴隨著計算機犯罪事件的出現(xiàn)而發(fā)展起來，也就是10年左右的事情，而計算機取證鑒定標(biāo)準(zhǔn)體系的研究則更為滯后。

一、計算機取證鑒定標(biāo)準(zhǔn)體系研究之現(xiàn)狀

在我國，2005年全國人大常委會頒布了《關(guān)于司法鑒定管理問題的決定》，從國家基本法律層面對電子數(shù)據(jù)鑒定遵守技術(shù)標(biāo)準(zhǔn)的義務(wù)作了明確規(guī)定。與此同時，公安部制定的《公安機關(guān)電子數(shù)據(jù)鑒定規(guī)則》對公安機關(guān)電子數(shù)據(jù)鑒定人應(yīng)當(dāng)遵守的行業(yè)標(biāo)準(zhǔn)和檢驗鑒定規(guī)程提出了相關(guān)要求[2]。2012年召開的第十一屆全國人大常委會第28次會議將“電子證據(jù)”作為一種新的證據(jù)種類納入我國八大證據(jù)種類之中。在2013年新實施的刑訴法、民訴法中，計算機證據(jù)都已作為正式證據(jù)形式出現(xiàn)[3]。然而，目前我國除了公安部于2006年頒布的《公安機關(guān)鑒定機構(gòu)登記管理辦法》將鑒定機構(gòu)遵守技術(shù)標(biāo)準(zhǔn)的情況納入登記管理部門年度考核的內(nèi)容以及2007年頒布的《司法鑒定程序通則》對鑒定人采納技術(shù)標(biāo)準(zhǔn)作出了相關(guān)部門規(guī)章外，計算機取證鑒定國家標(biāo)準(zhǔn)、司法行業(yè)標(biāo)準(zhǔn)都存在著缺失。因此，建立一套標(biāo)準(zhǔn)化的計算機取證鑒定標(biāo)準(zhǔn)是我國目前在信息網(wǎng)絡(luò)安全領(lǐng)域亟需解決的重要問題，也是具有鮮明的時代特點和強烈的社會需求的。計算機取證鑒定標(biāo)準(zhǔn)體系的建立對于改變計算機取證司法鑒定當(dāng)前的尷尬局面具有十分重要的現(xiàn)實意義。

截至目前，在國際上較權(quán)威的計算機取證與司法鑒定原則均是在2000年由美國、俄羅斯、法國、德國、英國等八個國家的計算機取證與司法鑒定研究人員組成的G8小組頒布的六條原則[4]。這六條原則分別從司法鑒定過程，獲取證據(jù)時所采用的方法，從事取證與司法鑒定人員的資格，證據(jù)的獲取、訪問、存儲、傳輸及保存的過程，接觸電子證據(jù)人員對其在該證據(jù)上的行為所負責(zé)任，進行計算機取證的相關(guān)機構(gòu)應(yīng)遵循的原則這六個方面進行了規(guī)范。此后，計算機證據(jù)國際組織IOCE(International OrganizationonComputerEvidence)還制定了“電子證據(jù)鑒定的最佳實踐”、“電子取證人員培訓(xùn)、知識、技能與能力”、“數(shù)據(jù)圖像與聲音取證”、“電子取證的質(zhì)量體系”、“實驗室管理規(guī)范”等一系列電子取證與鑒定的規(guī)范和標(biāo)準(zhǔn)。

二、計算機取證鑒定標(biāo)準(zhǔn)體系之提出

（一）計算機取證鑒定標(biāo)準(zhǔn)體系的七大層面

與其他信息技術(shù)發(fā)達國家相比，我國計算機取證鑒定標(biāo)準(zhǔn)體系研究工作起步較晚、基礎(chǔ)薄弱，而國外的計算機取證鑒定標(biāo)準(zhǔn)體系又無法適應(yīng)我國國情、訴訟制度和技術(shù)水平，故我國對計算機取證鑒定標(biāo)準(zhǔn)體系研究的需求迫在眉睫。隨著信息技術(shù)的高速發(fā)展，新的存儲介質(zhì)、軟件、網(wǎng)絡(luò)協(xié)議、電子設(shè)備等不斷涌現(xiàn)，計算機取證鑒定標(biāo)準(zhǔn)的研究必須緊跟信息技術(shù)發(fā)展的步伐，所以計算機取證鑒定標(biāo)準(zhǔn)研究的任務(wù)極其緊迫也十分艱巨?，F(xiàn)針對計算機證據(jù)形式多樣、載體豐富、易受侵害、依附的信息系統(tǒng)易受攻擊、結(jié)構(gòu)復(fù)雜、易受人為因素的干擾等特點，本文擬從以下七個大的層面來構(gòu)建計算機取證鑒定標(biāo)準(zhǔn)體系：

1.計算機取證現(xiàn)場勘驗的規(guī)范。

2.計算機取證鑒定對象的管理標(biāo)準(zhǔn)，包括對鑒定對象的識別、獲取、保存、運輸?shù)纫幌盗械墓芾順?biāo)準(zhǔn)。

3.計算機取證鑒定程序的規(guī)范及監(jiān)控標(biāo)準(zhǔn)，包括對計算機證據(jù)進行恢復(fù)、比對、提取、檢驗、分析、攝像、審查、展示等操作標(biāo)準(zhǔn)。

4.計算機取證所采用的鑒定方法、鑒定技術(shù)的規(guī)范。

5.對計算機取證鑒定結(jié)論的評斷標(biāo)準(zhǔn)。

6.對計算機取證的技術(shù)裝備工具開發(fā)、檢測的標(biāo)準(zhǔn)。

7.計算機取證實驗室建設(shè)標(biāo)準(zhǔn)。

（二）計算機取證鑒定標(biāo)準(zhǔn)體系的細化

1.計算機取證現(xiàn)場勘驗的規(guī)范。由于計算機證據(jù)跟傳統(tǒng)證據(jù)相比，具有脆弱性、分散性、隱蔽性、多態(tài)性和時間、空間跨越性大等特點，計算機取證的現(xiàn)場勘驗也不同于傳統(tǒng)意義上的犯罪現(xiàn)場勘查。在進行計算機取證時，到達取證現(xiàn)場的第一步就是要保護可疑計算機，對可疑計算機系統(tǒng)進行凍結(jié)并切斷其外部所有連接，避免重啟、運行程序、連接網(wǎng)絡(luò)等操作使系統(tǒng)設(shè)置發(fā)生改變、感染病毒、數(shù)據(jù)受到破壞等情況的發(fā)生。[5]再以可疑計算機為中心向外圍擴展勘查，繪制網(wǎng)絡(luò)拓撲圖，尋找有可能與犯罪有關(guān)的可疑痕跡物證，例如打印資料、系統(tǒng)手冊、光盤、U盤等。

2.計算機取證鑒定對象的管理標(biāo)準(zhǔn)。在對計算機取證鑒定對象進行識別、獲取時，一定要保證鑒定對象的合法性、完整性和連續(xù)性，對計算機證據(jù)的原始特征和狀態(tài)需進行詳細記錄。對可疑計算機系統(tǒng)的各種連接進行拍照、錄像記錄，對現(xiàn)場的可疑計算機作案工具進行編號，對相關(guān)應(yīng)用軟件和數(shù)據(jù)進行備份。在取證、保存、運輸過程中應(yīng)避免對計算機證據(jù)造成損壞，遠離高磁場、高溫、潮濕、灰塵、積壓和具腐蝕性的環(huán)境。不輕易對可疑計算機進行拆卸、搬運，在必須搬運的情況下，需在搬運之前進行拍照、錄像記錄下原始現(xiàn)場情況。

3.計算機取證鑒定程序的規(guī)范及監(jiān)控標(biāo)準(zhǔn)。為了不修改和破壞原始數(shù)據(jù)，應(yīng)在只讀狀態(tài)下將原始數(shù)據(jù)備份，再對備份數(shù)據(jù)進行鑒定，原則上并不對原始數(shù)據(jù)直接進行鑒定。同時，對原始數(shù)據(jù)進行封存，并加數(shù)字簽名和MD5或HASH校驗，在確保原始數(shù)據(jù)沒被改變的同時也保證了取證活動各階段數(shù)字證據(jù)的同一性[6]。在證據(jù)分析過程中不得隨意修改存儲介質(zhì)中的數(shù)據(jù)，對于可能造成數(shù)據(jù)變化的取證操作需詳細記錄鑒定人員實施的操作及可能產(chǎn)生的影響。在進行計算機取證時必須兩名合法鑒定人員同時在場進行鑒定，整個取證過程是受到監(jiān)督并進行詳細記錄的，并且保證整個鑒定過程是可以重現(xiàn)的。

4.計算機取證所采用的鑒定方法、鑒定技術(shù)的規(guī)范。計算機可記錄下復(fù)雜的運行軌跡，具有多種不同的特性，對計算機進行取證、鑒定也并非靠簡單的分析與一般量化就能徹底解決。計算機司法鑒定作為一種專業(yè)技術(shù)手段，不僅僅體現(xiàn)在取證技術(shù)方法的運用、程序的合理、儀器設(shè)備先進等方面，也體現(xiàn)在科學(xué)的思維方法、正確的取證手段上。我們在取證過程中所用的各種方法與技術(shù)，包括數(shù)據(jù)恢復(fù)、磁盤鏡像、密碼分析與破解、信息搜索及過濾、IP地址獲取、網(wǎng)絡(luò)追蹤等都必須是已得到認(rèn)證或已被公開使用并得到同行認(rèn)可的，并且這些方法與技術(shù)都應(yīng)進一步規(guī)范以保證計算機證據(jù)作為提供給法庭的證據(jù)是符合法律法規(guī)的，具有可信性、準(zhǔn)確性、完整性，能為法庭所接受的[7]。

5.對計算機取證鑒定結(jié)論的評斷標(biāo)準(zhǔn)。計算機取證鑒定結(jié)論作為合法的證據(jù)形式是必須經(jīng)過取證、舉證、質(zhì)證、認(rèn)證這四個訴訟證明環(huán)節(jié)。計算機取證鑒定結(jié)論評斷標(biāo)準(zhǔn)需從鑒定結(jié)論證據(jù)能力和鑒定結(jié)論證明力兩方面來規(guī)范鑒定主體資格、鑒定程序、鑒定結(jié)論的生成、鑒定結(jié)論的審查等，確保計算機取證鑒定結(jié)論的客觀性、關(guān)聯(lián)性、合法性。

6.對計算機取證的技術(shù)裝備工具開發(fā)、檢測的標(biāo)準(zhǔn)。由于各種存儲介質(zhì)的數(shù)據(jù)存儲量在飛速增長，再靠人工來完成當(dāng)前的計算機取證工作已不現(xiàn)實，必須依靠取證速度快、自動化程度高、可靠性與全面性好、功能更強大的計算機取證工具，因此計算機取證的技術(shù)裝備工具開發(fā)、檢測標(biāo)準(zhǔn)必不可少。計算機取證工具的開發(fā)檢測標(biāo)準(zhǔn)至少應(yīng)該包括計算機取證設(shè)備技術(shù)要求和計算機取證設(shè)備檢測、校準(zhǔn)兩方面。計算機取證的技術(shù)裝備工具按計算機取證的過程可分為計算機證據(jù)的獲取、保全、分析、歸檔四個階段，包括計算機系統(tǒng)變量勘查取證工具、計算機操作系統(tǒng)日志取證工具、數(shù)據(jù)恢復(fù)工具、對存儲介質(zhì)進行數(shù)據(jù)取證工具、加密數(shù)據(jù)取證工具、數(shù)據(jù)固化與保全工具、破壞性程序勘查取證工具等等[8]，制定這些計算機取證工具的開發(fā)、檢測標(biāo)準(zhǔn)是為了確保取證結(jié)果的精準(zhǔn)性。

7.計算機取證實驗室建設(shè)標(biāo)準(zhǔn)。至于計算機取證實驗室建設(shè)標(biāo)準(zhǔn)則需從計算機取證鑒定機構(gòu)的鑒定儀器設(shè)備和鑒定軟件的多樣性、先進性，鑒定人員的準(zhǔn)入制度和日常規(guī)范考評制度以及鑒定人員的數(shù)量、能力、執(zhí)業(yè)資質(zhì)、技術(shù)職稱、從業(yè)經(jīng)歷等各個方面進行規(guī)范[9]。其中，對計算機取證人員進行有規(guī)劃、有步驟的培訓(xùn)和認(rèn)證，制定計算機取證機構(gòu)及從業(yè)人員的資質(zhì)審核辦法尤為重要。

維護虛擬社會的和諧發(fā)展，是本世紀(jì)世界各國面臨的最大挑戰(zhàn)，計算機司法鑒定承擔(dān)著不可取代的作用。計算機取證鑒定標(biāo)準(zhǔn)作為一門應(yīng)用于司法實踐的技術(shù)性科學(xué)，是一門計算機領(lǐng)域與法學(xué)領(lǐng)域相結(jié)合的交叉學(xué)科，也是一個新興的研究課題，具有很強的交叉性、邊緣性、應(yīng)用性和創(chuàng)新性，需要我國相關(guān)職能部門和行業(yè)機構(gòu)通力合作、共同推進與完善。制定計算機取證鑒定標(biāo)準(zhǔn)是我國法制建設(shè)的必然要求，是計算機司法鑒定工作走向法制化、規(guī)范化、標(biāo)準(zhǔn)化的重要步驟，是電子數(shù)據(jù)鑒定行業(yè)健康發(fā)展的基本保障。本文提出的基于七大層面的計算機取證鑒定標(biāo)準(zhǔn)體系還有許多不夠完善的地方，需在實踐中進行檢驗，不斷改進以適應(yīng)當(dāng)前高速發(fā)展的信息技術(shù)，保持相對的通用性和穩(wěn)定性。制定一套有效、合理、實用性強的計算機取證鑒定標(biāo)準(zhǔn)體系能有效遏制計算機違法犯罪行為，保障我國信息技術(shù)的健康、有序發(fā)展，促進社會的和諧穩(wěn)定，具有重大的理論意義和現(xiàn)實意義。

[1]丁明翠.電子證據(jù)的法律定位及采信規(guī)則[D].青島:青島大學(xué), 2011．

[2]李揚.網(wǎng)絡(luò)證據(jù)保全公證的問題與對策[J].北京郵電大學(xué)學(xué)報(社會科學(xué)版),2011(2).

[3]甘宏,潘丹.虛擬化系統(tǒng)安全的研究與分析[J].信息網(wǎng)絡(luò)安全,2012 (5)．

[4]蔣平,黃舒華,楊莉莉.數(shù)字取證[M].北京:清華大學(xué)出版社,2007．

[5][美]Warren G．Kruse II,Jay G．Heiser.計算機取證[A].段海新等譯.應(yīng)急響應(yīng)精要[C].北京:人民郵電出版社,2003．

[6]劉品新.中國電子證據(jù)立法研引[M].北京:中國人民大學(xué)出版社, 2005．

[7]胡亮,王文博,趙闊.計算機取證綜述[J].吉林大學(xué)學(xué)報(信息科學(xué)版),2010(4)．

[8]王學(xué)光.計算機犯罪取證相關(guān)法律問題的研究[J].電信科學(xué),2010 (2)．

[9]鄭秋新.基于云架構(gòu)的計算機取證研究[J].福建警察學(xué)院學(xué)報, 2012(2)．

TP391

A

1673―2391(2014)10―0170―03

2014-04-21 責(zé)任編校：周文慧

湖北省高等學(xué)校青年教師深入企業(yè)行動計劃項目（項目編號：XD2012484）。