顧廣宇，易 慶

(1.國(guó)網(wǎng)安徽省電力科學(xué)研究院，安徽 合肥 230601;2.安徽電氣工程職業(yè)技術(shù)學(xué)院，安徽 合肥 230051;3.國(guó)網(wǎng)安徽省電力公司培訓(xùn)中心，安徽 合肥 230022)

0 引言

在互聯(lián)網(wǎng)技術(shù)飛速發(fā)展給人們生活帶來(lái)深刻變革的今天，計(jì)算機(jī)及網(wǎng)絡(luò)犯罪也日益威脅著個(gè)人、企業(yè)乃至國(guó)家的信息安全。黑客入侵、網(wǎng)絡(luò)釣魚詐騙、商業(yè)機(jī)密盜竊等網(wǎng)絡(luò)犯罪愈演愈烈，網(wǎng)絡(luò)罪犯在實(shí)施犯罪行為過(guò)程中，難免會(huì)留下作案的痕跡，通過(guò)相關(guān)技術(shù)手段，發(fā)現(xiàn)、提取罪犯遺留的蛛絲馬跡，形成有效的證據(jù)，將罪犯繩之以法，這一完整的證據(jù)識(shí)別、提取、保存、分析過(guò)程，稱為電子數(shù)據(jù)取證(簡(jiǎn)稱數(shù)據(jù)取證)。數(shù)據(jù)取證又稱為計(jì)算機(jī)取證(computer forensics)、數(shù)字取證(digital forensics)。

1 電子數(shù)據(jù)取證的特點(diǎn)

與傳統(tǒng)證據(jù)中的物證、人證不同，電子數(shù)據(jù)看不見、摸不著，而且又易于修改、刪除和復(fù)制，甚至惡劣的環(huán)境，比如電磁、靜電、雨水等都會(huì)對(duì)其造成損壞，這些特性決定了電子數(shù)據(jù)收集、傳輸、保存和分析具有一定的難度;同時(shí)，數(shù)據(jù)取證不僅是復(fù)雜的技術(shù)工作，更是嚴(yán)格的法律程序，提取的電子數(shù)據(jù)最終是否具有法律效力，能否成為電子證據(jù)，要取決于證據(jù)收集、審查和鑒定是否都滿足法律上的要求［1］，在取證過(guò)程中使用的技術(shù)、工具和流程是否符合法律上的規(guī)定，否則不僅取得的證據(jù)會(huì)喪失法律效力，甚至可能會(huì)污染、損毀相關(guān)證據(jù)。只有借助于專業(yè)化的取證工具，建立起規(guī)范的取證流程，提高電子數(shù)據(jù)取證與分析水平，才能有效地打擊計(jì)算機(jī)及網(wǎng)絡(luò)犯罪，震懾入侵者，預(yù)防信息安全事件的發(fā)生。

2 電子數(shù)據(jù)取證模型

數(shù)據(jù)取證模型是一套標(biāo)準(zhǔn)化、規(guī)范化的取證流程、工具以及方法的集合，是通用的、一致化的技術(shù)框架，應(yīng)該可以覆蓋各類型的數(shù)據(jù)取證過(guò)程，能夠適應(yīng)未來(lái)新技術(shù)的發(fā)展變化，模型對(duì)于數(shù)據(jù)取證工作具有普遍的指導(dǎo)意義。

數(shù)據(jù)取證研究者針對(duì)取證模型做了大量的研究工作，其中較有代表性的包括Farmer和Venema模型，Mandia和Prosise模型以及NIJ(National Institute of Justice)的取證過(guò)程模型。Farmer和Venema模型是在IBM Watson Research Center開設(shè)的“UNIX計(jì)算機(jī)取證培訓(xùn)課程”［2］中提出的，該模型中包含“安全和隔離，記錄場(chǎng)景，執(zhí)行系統(tǒng)化的證據(jù)搜索等，證據(jù)收集和打包”以及“維持監(jiān)管鏈”等步驟，這個(gè)模型強(qiáng)調(diào)了監(jiān)管鏈的重要性，F(xiàn)armer和Venema在此模型的基礎(chǔ)上，還開發(fā)了一套針對(duì)UNIX系統(tǒng)取證的工具集-The Coroner's Toolkit(TCT)。

Mandia與Prosise等從信息安全事件響應(yīng)的角度提出了另外一種取證模型［3］，該模型包括事件前準(zhǔn)備、事件調(diào)查，初始響應(yīng)、響應(yīng)策略形成(response strategy formulation)、復(fù)制、調(diào)查、安全度量實(shí)現(xiàn)、網(wǎng)絡(luò)監(jiān)視、恢復(fù)、報(bào)告等步驟，并針對(duì)不同的平臺(tái)提出了詳細(xì)的取證操作指南，但是此取證模型只是針對(duì)計(jì)算機(jī)犯罪，沒有覆蓋到PDA，手機(jī)等手持設(shè)備。

2001年美國(guó)國(guó)家司法研究所出版了“電子犯罪場(chǎng)景調(diào)查:事件響應(yīng)人員指南”，其中提出了一種適用于電子犯罪現(xiàn)場(chǎng)的取證模型-NIJ取證過(guò)程模型［4］，該模型對(duì)從事電子數(shù)據(jù)取證人員的職責(zé)做出了要求，指出取證人員負(fù)責(zé)電子證據(jù)的識(shí)別、收集、保護(hù)、傳送和存儲(chǔ)。NIJ模型將取證過(guò)程分為四個(gè)階段，分別是收集(collection)、檢查(examination)、分析(analysis)和報(bào)告(report)，其中收集是最關(guān)鍵階段，是該模型中的重點(diǎn)，該階段包括電子證據(jù)的搜索、識(shí)別、收集和記錄工作;檢查階段要記錄收集到證據(jù)的內(nèi)容和狀態(tài)，保證證據(jù)的完整，并且在保證證據(jù)完整性的基礎(chǔ)上篩查出真正有價(jià)值的證據(jù);分析階段在檢查工作的基礎(chǔ)上，深入發(fā)掘證據(jù)對(duì)于案件的價(jià)值，也就是確定證據(jù)的相關(guān)性;最后是報(bào)告階段，提交的報(bào)告要說(shuō)明取證的過(guò)程以及取證中發(fā)現(xiàn)的證據(jù)，報(bào)告還應(yīng)包括取證人員就取證工作、取證過(guò)程有效性以及自身資質(zhì)的證詞。

3 電子數(shù)據(jù)取證的IOCE六原則

在1999年10月召開的國(guó)際高技術(shù)犯罪與取證會(huì)議(International Hi-Tech Crime and Forensics Conference)上，權(quán)威的國(guó)際電子證據(jù)組織IOCE(International Organization on Digital Evidence)提出并通過(guò)了指導(dǎo)電子數(shù)據(jù)取證工作的六項(xiàng)原則(principle)［5］:

(1)When dealing with digital evidence，all of the general forensic and procedural principles must be applied(處理電子數(shù)據(jù)時(shí)，必須采用標(biāo)準(zhǔn)的取證過(guò)程);

(2)Upon seizing digital evidence，actions taken should not change that evidence(獲取數(shù)字證據(jù)后，不能改變?cè)甲C據(jù));

(3)When it is necessary for a person to access original digital evidence，that person must be forensically competent(只有取得資質(zhì)取證人員，才能處理電子證據(jù));

(4)All activity relating to the seizure，access，storage，or transfer of digital evidence must be fully documented，preserved，and available for review(完整地記錄對(duì)證據(jù)的獲取、訪問(wèn)、存儲(chǔ)或者傳輸?shù)倪^(guò)程，并對(duì)這些記錄妥善保存以便隨時(shí)查閱);

(5)An individual is responsible for all actions taken with respect to digital evidence while the digital evidence is in their possession(每一位保管電子證據(jù)的人應(yīng)該對(duì)他的每一項(xiàng)針對(duì)電子證據(jù)的行為負(fù)責(zé));

(6)Any agency that is responsible for seizing，accessing，storing，or transferring digital evidence is respo nsible for compliance with these principles(任何負(fù)責(zé)獲取、訪問(wèn)、存儲(chǔ)或傳輸電子證據(jù)的機(jī)構(gòu)有責(zé)任遵循這些原則)。

IOCE六原則對(duì)于數(shù)據(jù)取證主體合法性、取證過(guò)程監(jiān)管以及證據(jù)關(guān)聯(lián)性提出了明確的要求，現(xiàn)已成為電子數(shù)據(jù)取證需要遵循的原則框架，是保證取證活動(dòng)合法、有效的必要條件，也是取證技術(shù)手段得以有效發(fā)揮的重要保障。

4 電子證據(jù)監(jiān)管鏈的維護(hù)

在法律條文中，監(jiān)管鏈?zhǔn)侵赴磿r(shí)間順序排列的文檔，用于記錄證據(jù)的收繳、監(jiān)管控制、運(yùn)送、分析以及處置的完整過(guò)程。監(jiān)管鏈也適用于運(yùn)動(dòng)員的興奮劑檢測(cè)、食品生產(chǎn)的追溯甚至木質(zhì)產(chǎn)品的原產(chǎn)地保證等。

監(jiān)管鏈的維護(hù)對(duì)于數(shù)據(jù)取證過(guò)程非常重要，是保證電子證據(jù)有效的必要條件，維護(hù)監(jiān)管鏈需要記錄哪些人員接觸了證據(jù)，證據(jù)中的數(shù)據(jù)是否進(jìn)行了修改等。監(jiān)管鏈?zhǔn)亲C據(jù)按時(shí)間順序排列的歷史，從獲取證據(jù)開始，記錄每一次證據(jù)的處理時(shí)間以及處理目的，由于電子數(shù)據(jù)的易損性，所以需要更為詳細(xì)的監(jiān)管鏈，以保證電子證據(jù)在法律上的有效性。

5 電子數(shù)據(jù)取證工作主要流程

按照數(shù)據(jù)取證的工作內(nèi)容，取證過(guò)程可以分為兩個(gè)主要階段，分別為現(xiàn)場(chǎng)勘查和證據(jù)分析，每個(gè)階段中又包含不同的工作步驟和技術(shù)內(nèi)容。

5.1 現(xiàn)場(chǎng)勘查

現(xiàn)場(chǎng)勘查工作，需要詳細(xì)記錄取證的全過(guò)程，記錄應(yīng)采用筆錄、口述和攝錄三種形式同時(shí)進(jìn)行，重要證物還需要使用相機(jī)進(jìn)行拍攝留存。取得的硬盤、U盤等重要證物，要按照類別進(jìn)行登記，并記錄下型號(hào)、序列號(hào)和編號(hào)等關(guān)鍵信息。由于電子證物的特殊性，在取得電子證物后，首先應(yīng)該對(duì)證物進(jìn)行證據(jù)固定—制作原始證物的復(fù)制品。對(duì)于硬盤等原始盤的讀取必須采用寫保護(hù)接口箱來(lái)進(jìn)行，以防止對(duì)原始證物造成損壞。為了保證磁盤數(shù)據(jù)在保存過(guò)程中的完整，還需要對(duì)磁盤存儲(chǔ)數(shù)據(jù)內(nèi)容進(jìn)行“數(shù)字簽名”，通常做法是使用MD5或者SHA-1算法產(chǎn)生一個(gè)校驗(yàn)值，以備審核和鑒驗(yàn)。

5.2 證據(jù)分析

證據(jù)分析是電子數(shù)據(jù)取證工作的核心，由于電子數(shù)據(jù)的隱蔽性，獲得的電子證物，需要借助Encase、FTK和取證大師等專業(yè)化分析軟件，經(jīng)過(guò)專業(yè)人員的分析和鑒定，才能成為可見的證據(jù)。證據(jù)分析的方法很多，應(yīng)根據(jù)安全事件的類型和具體情況，來(lái)進(jìn)行針對(duì)性的選用。

6 電子數(shù)據(jù)取證研究中的關(guān)鍵技術(shù)

6.1 蜜罐(honeypot)技術(shù)

蜜罐技術(shù)是一種主動(dòng)防御技術(shù)，“蜜罐是一種信息系統(tǒng)資源，其價(jià)值在于被未授權(quán)和非法的使用”［6］，從蜜罐的這個(gè)定義中可以看出來(lái)，蜜罐的價(jià)值就在于被攻擊者訪問(wèn)和攻擊，所以理論上任何對(duì)于蜜罐的訪問(wèn)都是未經(jīng)授權(quán)的，任何出入蜜罐的流量都是非善意的。蜜罐的種類很多，如具備模擬不同網(wǎng)絡(luò)協(xié)議棧和服務(wù)功能的低交互(low-interaction)蜜罐，用于捕捉蠕蟲和緩沖區(qū)溢出攻擊的高交互(high-interaction)蜜罐，以及用于信息內(nèi)網(wǎng)敏感信息保護(hù)的蜜標(biāo)(honeytokens)等。蜜罐的主要作用有兩點(diǎn)，一是通過(guò)監(jiān)視攻擊者對(duì)蜜罐的訪問(wèn)、攻擊的過(guò)程，了解攻擊者的攻擊動(dòng)機(jī)、使用的方法、采用的技術(shù)和工具，實(shí)現(xiàn)對(duì)于攻擊全過(guò)程的取證，二是通過(guò)將攻擊引向蜜罐自身，耗費(fèi)了攻擊資源，從而遲滯和阻止了對(duì)于真正信息系統(tǒng)的攻擊，實(shí)現(xiàn)對(duì)信息資產(chǎn)的保護(hù)。

6.2 數(shù)據(jù)恢復(fù)技術(shù)

數(shù)據(jù)恢復(fù)按照恢復(fù)手段的不同，可以分為文件恢復(fù)、固件恢復(fù)、介質(zhì)恢復(fù)以及磁力顯微(Magnetic force microscopy，MFM)恢復(fù)［7］等:

*文件恢復(fù):針對(duì)使用一般刪除命令刪除的文件，通過(guò)R-studio、Final Data等工具可以進(jìn)行恢復(fù);

*固件恢復(fù):固件損壞硬盤中的數(shù)據(jù)，可以采用固件回寫的方法進(jìn)行恢復(fù);

*介質(zhì)恢復(fù):電路或者機(jī)械結(jié)構(gòu)出現(xiàn)故障而磁介質(zhì)完好的硬盤，可以通過(guò)更換故障部件的方法進(jìn)行恢復(fù);

*磁力顯微恢復(fù):磁力顯微恢復(fù)是一種深度數(shù)據(jù)恢復(fù)技術(shù)，源于掃描探測(cè)顯微技術(shù)(Scanning Probe Microscopy SPM)，是進(jìn)行數(shù)據(jù)恢復(fù)時(shí)，使用一個(gè)加裝在彈性懸臂上的鋒利磁力探針，將探針懸浮在需要恢復(fù)的磁介質(zhì)樣品表面，探針與檢測(cè)樣品漏磁場(chǎng)進(jìn)行交互，通過(guò)懸臂帶動(dòng)探針在樣品表面進(jìn)行移動(dòng)，檢測(cè)不同位置處的漏磁力，這是磁力關(guān)于位置的函數(shù):

再利用光學(xué)干涉儀或者隧道傳感器檢測(cè)懸臂的位置，然后將樣品表面所有位置點(diǎn)及其該位置點(diǎn)的磁力完整記錄下來(lái)，這樣能夠形成表面漏磁場(chǎng)強(qiáng)度的分布函數(shù):

該函數(shù)反映的是樣品表面整體漏磁場(chǎng)強(qiáng)度分布情況，通過(guò)這些數(shù)據(jù)可以恢復(fù)出樣品中殘留的數(shù)據(jù)信息。

6.3 數(shù)據(jù)銷毀技術(shù)

數(shù)據(jù)銷毀分為邏輯銷毀和物理銷毀，邏輯銷毀中最常用的技術(shù)是數(shù)據(jù)擦除，即采用隨機(jī)數(shù)覆蓋的方式來(lái)銷毀數(shù)據(jù)，國(guó)際上關(guān)于數(shù)據(jù)擦除的標(biāo)準(zhǔn)有:美國(guó)海軍標(biāo)準(zhǔn)NAVSO P-5239-26-RLL，美國(guó)國(guó)防部DoD 5220.22-M，Peter Gutmann算法等，這些方法核心都是使用0、1或者偽隨機(jī)序列，反復(fù)多次地對(duì)需要擦除的存儲(chǔ)區(qū)域進(jìn)行數(shù)據(jù)覆蓋，不同方法，覆蓋的次數(shù)各不相同;此外，采用消磁技術(shù)對(duì)磁介質(zhì)存儲(chǔ)器進(jìn)行信息擦除，也是一種常用的邏輯銷毀方式。物理銷毀是指對(duì)存儲(chǔ)介質(zhì)進(jìn)行直接物理?yè)p毀，如焚燒或者粉碎。

7 電子數(shù)據(jù)取證技術(shù)的新特點(diǎn)

作為一種新興的技術(shù)領(lǐng)域，數(shù)據(jù)取證是當(dāng)今信息安全領(lǐng)域的研究和應(yīng)用熱點(diǎn)之一，信息安全技術(shù)特別是信息技術(shù)的飛速發(fā)展，也深刻影響著數(shù)據(jù)取證技術(shù)的發(fā)展方向，數(shù)據(jù)取證技術(shù)的發(fā)展呈現(xiàn)如下的新特點(diǎn)。

7.1 取證技術(shù)體系標(biāo)準(zhǔn)化

標(biāo)準(zhǔn)化是取證結(jié)果公正性和科學(xué)性的保證，特別是數(shù)據(jù)取證這種高度流程化的技術(shù)，取證技術(shù)體系的標(biāo)準(zhǔn)化包括取證主體標(biāo)準(zhǔn)化、取證工具標(biāo)準(zhǔn)化和取證流程標(biāo)準(zhǔn)化等［8］，取證主體標(biāo)準(zhǔn)化就是要求從事取證工作的機(jī)構(gòu)和人員必須具備國(guó)家或者行業(yè)認(rèn)定的合格資質(zhì);取證工具標(biāo)準(zhǔn)化就是要求取證工具必須滿足一定的技術(shù)規(guī)范，并且針對(duì)取證工具還要有標(biāo)準(zhǔn)的檢測(cè)與校準(zhǔn)方法，建立了相應(yīng)的評(píng)估標(biāo)準(zhǔn);由于電子證據(jù)的特殊性，取證流程是否標(biāo)準(zhǔn)規(guī)范直接影響取證結(jié)果的完整性與客觀性，只有嚴(yán)謹(jǐn)?shù)墓ぷ鞒绦蚺c完善的技術(shù)手段，才能有效地保障取證結(jié)果的有效公正。

7.2 取證對(duì)象日益多樣化

1984年，美國(guó)聯(lián)邦調(diào)查局(FBI)成立計(jì)算機(jī)分析響應(yīng)組(CART，Computer Analysis and Response Team)開展取證工作時(shí)，取證對(duì)象還只是單臺(tái)的計(jì)算機(jī)設(shè)備。如今，隨著互聯(lián)網(wǎng)技術(shù)的突飛猛進(jìn)，特別是近年來(lái)以云存儲(chǔ)為代表的云計(jì)算技術(shù)和移動(dòng)智能終端的大規(guī)模使用，傳統(tǒng)的桌面終端、基于Android系統(tǒng)和IOS系統(tǒng)的手機(jī)等移動(dòng)智能終端都互聯(lián)而成為云終端，智能終端的使用和普及帶來(lái)了諸多安全問(wèn)題，針對(duì)智能終端的信息犯罪活動(dòng)也日益猖獗，網(wǎng)銀失竊、木馬吸費(fèi)、隱私泄露等安全事件層出不窮，智能終端的安全防護(hù)及取證技術(shù)目前也成為研究的熱點(diǎn)［9］。取證對(duì)象從最初的單臺(tái)設(shè)備發(fā)展到跨地區(qū)甚至跨越國(guó)界，伸展到互聯(lián)網(wǎng)的各個(gè)角落。這種對(duì)象的多樣化，是取證技術(shù)當(dāng)前面臨的嚴(yán)峻挑戰(zhàn)，也為取證技術(shù)發(fā)展提出了新的課題。

8 研究電子數(shù)據(jù)取證技術(shù)對(duì)于電網(wǎng)信息安全的意義

數(shù)據(jù)取證技術(shù)在保障電網(wǎng)信息安全方面起著十分關(guān)鍵的作用。首先是打擊計(jì)算機(jī)及網(wǎng)絡(luò)犯罪的需要，近年來(lái)，針對(duì)電網(wǎng)信息網(wǎng)絡(luò)的網(wǎng)絡(luò)攻擊愈演愈烈，建立有效的數(shù)據(jù)取證技術(shù)手段，及時(shí)發(fā)現(xiàn)黑客進(jìn)行網(wǎng)絡(luò)攻擊的證據(jù)，能夠有效打擊和遏制犯罪行為，震懾犯罪分子;其次，研究電子數(shù)據(jù)取證技術(shù)，能夠分析攻擊者的攻擊過(guò)程，剖析黑客的技術(shù)手段，從而采用更有針對(duì)性的預(yù)防措施，提高信息安全防護(hù)的水平，增強(qiáng)信息安全防護(hù)的能力。此外，研究電子數(shù)據(jù)取證技術(shù)，還能促進(jìn)取證相關(guān)技術(shù)在電網(wǎng)信息安全中的應(yīng)用推廣，如電子數(shù)據(jù)取證中的常用數(shù)據(jù)恢復(fù)數(shù)據(jù)及銷毀技術(shù)，對(duì)于保證關(guān)鍵業(yè)務(wù)數(shù)據(jù)的可用性和保密性，起著獨(dú)特而關(guān)鍵性的作用。

9 結(jié)束語(yǔ)

近年來(lái)，數(shù)據(jù)取證技術(shù)在預(yù)防打擊網(wǎng)絡(luò)犯罪、凈化網(wǎng)絡(luò)環(huán)境、保障關(guān)鍵數(shù)據(jù)安全、解決知識(shí)產(chǎn)權(quán)糾紛方面得到了廣泛的應(yīng)用，取得了良好的效果，電子數(shù)據(jù)作為一種新的證據(jù)種類，已列入了新版的《刑事訴訟法》和《民事訴訟法》中，在法律上得到明確的認(rèn)可。隨著數(shù)據(jù)取證技術(shù)研究和應(yīng)用不斷深入，必將在信息安全防護(hù)工作中發(fā)揮越來(lái)越獨(dú)特和重要的作用。

［1］丁麗萍，王永吉.計(jì)算機(jī)取證的相關(guān)法律技術(shù)問(wèn)題研究［J］.軟件學(xué)報(bào)，2005，16(2):260-275.

［2］Farmer D，Venema W.Computer forensics analysis class handouts［EB/OL］.http://www.fish.com/forensics/class.html.2014.

［3］Kevin Mandia，Chris Prosise＆ Matt Pepe.Incident response＆ computer forensics second edition［M］.Osborne/McGraw-Hill，2003.

［4］U.S.Department of justice office of justice programs.electronic crime scene investigation:a guide for first responders［EB/OL］.https://www.ncjrs.gov/pdffiles1/nij/187736.pdf.2014.

［5］International organization on digital evidence(IOCE).digital evidence:standards and principles［EB/OL］.http://www.fbi.gov/about-us/lab/forensic-science-communications/fsc/april2000/swgde.htm.2014.

［6］Lance spitzner honeypots:catching the insider threat［EB/OL］.http://craigchamberlain.com/library/insider/Honeypots%20-%20%20Catching%20the%20Insider%20Threat.pdf.2014.

［7］Gutmann P.Secure deletion of data from magnetic and solid-state memory.in proceedings of the 6th USENIX Security Symposium.San Jose，California:USENIX，1996.77～90［EB/OL］.https://www.usenix.org/legacy/publications/library/proceedings/sec96/full_papers/gutmann/.2014.

［8］劉建軍，陳光宣.電子取證技術(shù)體系研究［J］.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2013(5):8-10.

［9］付忠勇，趙振洲.電子取證現(xiàn)狀及發(fā)展趨勢(shì)［J］.計(jì)算機(jī)與網(wǎng)絡(luò)，2014(10):67-70.