3.3.2國內相關標準的研制狀況

　　與國外的標準制定相比，我國電子數據取證與鑒定的標準化工作起步較晚,，但是國家對于相關標準工作十分重視,。《全國人大常委會關于司法鑒定管理問題的決定》從國家基本法律層面對電子數據取證與鑒定遵守技術標準的義務做了明確規(guī)定,，即“鑒定人和鑒定機構從事司法鑒定業(yè)務,，應當遵守法律、法規(guī),，遵守職業(yè)道德和職業(yè)紀律,，尊重科學，遵守技術操作規(guī)范,?！惫膊俊⑺痉ú康炔块T規(guī)章和規(guī)范性文件層面也有類似規(guī)定。要真正貫徹以上法律法規(guī)的規(guī)定,，也需要在國家標準,、行業(yè)標準和技術規(guī)范等層次來支撐{32}。

　　目前我國正式發(fā)布的電子數據與取證國家標準有3個,，分別為：GB/T 29360-2012《電子物證數據恢復檢驗規(guī)程》,、GB/T 29361-2012《電子物證文件一致性檢驗規(guī)程》、GB/T 29362-2012《電子物證數據搜索檢驗規(guī)程》,。與電子數據取證與鑒定相關的公共安全行業(yè)標準共19個,，包括GA/T 754-2008《電子數據存儲介質復制工具要求及檢測方法》、GA/T 755-2008《電子數據存儲介質寫保護設備檢測方法》等,。司法部從2012年起,，就開始制訂包括《電子數據司法鑒定通用實施規(guī)范》、《軟件相似性檢驗實施規(guī)范》,、《電子郵件鑒定實施規(guī)范》《計算機系統(tǒng)操作行為檢驗規(guī)范》等技術規(guī)范,，2015年又發(fā)布了《電子數據證據現場獲取通用規(guī)范》、《手機電子數據提取操作規(guī)范》等十余項司法鑒定技術規(guī)范,。上述標準和規(guī)范初步支撐了電子數據取證與鑒定的司法實踐,，但隨著技術的發(fā)展導致司法過程中越來越多的問題需要新的標準來指導，在后續(xù)標準制定和改進過程中如何統(tǒng)籌協(xié)調技術發(fā)展與標準化工作,，是電子數據取證與鑒定標準發(fā)展所面臨的問題{32},。

　　3.4取證工具和產品的發(fā)展

　　司法機構對電子數據取證與鑒定工作的巨大需求，促使電子數據取證產業(yè)在21世紀迅猛發(fā)展,，出現了大量電子證據取證技術及產品研發(fā)的創(chuàng)新公司,。本節(jié)主要介紹目前較為新穎的一些取證工具裝備,。

　　3.4.1實驗室應用系列

　　寫保護,、磁盤克隆和鏡像、數據恢復和數據分析等功能對于取證軟件來說是重要的基礎功能,。在國外,，美國Guidance公司的EnCase是較早開發(fā)的計算機取證工具，國內外使用較為廣泛,，AccessData公司的FTK軟件,，提供了較豐富的搜索分析功能。在國內,，有“美亞”的取證大師,、“三所”的取證先鋒和“盤石”的Safe Analyzer等取證軟件。

　　Cellebrite UFED 4PC,、Oxygen Forensic Suite和XRY Complete是國外手機檢驗分析的綜合解決方案,，支持手機信息、SIM、存儲卡在內的全部數據的邏輯與物理提取,。XRY Complete還將檢驗分析技術從手機類設備拓展到GPS導航,、3G上網卡、多媒體播放器等其他小型電子設備,。在國內,，“三所”、“美亞”和“盤石”等都推出了綜合性智能終端取證分析軟件,，分別為取證先鋒,、DC-4500和SafeMobile。

　　相比較國外同行,，國內的產品在應用程序的分析取證方面更符合國內用戶的需求,。國內廠商還推出了一種取證塔產品，特點是軟硬件集成,、高性能配置,、支持多類型只讀數據接口和高速多路并行只讀SAS/SATA接口，為電子證據的固定保全和高效分析取證提供了平臺支持,。

　　3.4.2現場應用系列

　　現場取證設備要求具備較好的便攜性,、可靠性。 Cellebrite的UFED Touch是一個平板電腦形態(tài)取證設備,，并根據國內需求還提供了中國山寨機取證模塊,。在國內，“三所”和“美亞”均有支持計算機取證和智能終端取證的便攜式取證箱,。相比UFED Touch,，取證箱可集成實驗室級別的取證軟件，提供了更豐富的只讀保護數據接口和磁盤復制接口,、更快的電子數據固定保全速度和更高效的取證分析功能,，相當于一部便攜式取證實驗室，是未來現場應用系列取證工具的發(fā)展方向,。

　　3.4.3關聯分析的支持

　　關系網絡分析是取證的重要需求,，目前主流取證分析工具中大多已具有一定的關聯分析能力，但相較于專業(yè)的關聯分析工具仍有一定的差距,。IBM i2可視化分析工具,、斯坦福大學的SNAP工具處理海量數據更加專業(yè)，關系分析支持億級節(jié)點,，能依據特定的條件對關系網絡進行裁剪,。集成更高效、更便捷的可視化關聯分析功能是未來取證分析工具的重要發(fā)展方向,。

　　4挑戰(zhàn)

　　幾年前,，中國的電子數據取證與鑒定工作的研究工作者們總結了電子數據取證與鑒定工作的發(fā)展,，提出了該領域發(fā)展過程中遇到的問題和挑戰(zhàn)，主要包括實時取證技術,、移動智能終端取證技術,、證據可視化技術、物聯網和云計算取證等{33-34},。通過近些年的發(fā)展,，我國電子取證與鑒定工作總體上取得了長足的發(fā)展，部分傳統(tǒng)的問題已經得到了解決,，但還有很多問題依然存在{35},。特別是近幾年隨著信息技術的發(fā)展，各類智能設備的不斷涌現,，各種通訊加密和存儲加密技術持續(xù)更新,，云計算和大數據技術飛速發(fā)展，相關案件和訴訟數量快速增長,，給電子數據取證與鑒定工作帶來了更多新的挑戰(zhàn),。

　　4.1新型智能設備的技術挑戰(zhàn)

　　隨著信息技術的不斷發(fā)展，智能設備已經深人到我們日常生活的每個領域,，具備存儲,、計算、聯網功能的智能設備,，包括智能家居,、智能可穿戴設備、智能交通工具以及其他智能設備,，針對這些設備的取證和鑒定工作同傳統(tǒng)的電子數據取證與鑒定相比,，有類型多、風險大,、取證難等特點,。

　　同傳統(tǒng)設備相比，智能設備的數量和類型呈幾何倍數的增長,，從日常使用的智能手表,、娛樂設備，到飛機,、汽車等交通工具上的智能控制系統(tǒng)，甚至到手表,、傳感器等設備上的智能芯片,，都可能成為計算機違法犯罪的工具，其使用軌跡和日志都會成為未來取證鑒定的對象,。這些新型智能設備的操作系統(tǒng)除傳統(tǒng)的Linux/Android之外,，越來越多的新型操作系統(tǒng)不斷涌現，例如Firefox OS、Raspberry PI等,，如何有效在高度精簡的功能性操作系統(tǒng)上開展取證工作,，是未來必須要面對和解決的問題{36}。另外,，新型智能設備的功能和應用不斷豐富給智能設備和智能設備的取證帶來更大的風險,，例如，家居中的溫度控制設備,、病人身上的智能醫(yī)療設備,、智能汽車和無人飛機等，如果使用不當,，都可能會帶來不可挽回的傷害,。為了保護這些新型智能設備的安全，設備廠商采用了各種方式,，包括物理封裝,、一體化設計、芯片加密存儲等手段,，但機身存儲芯片無法簡單取出,，因此也難以進行完整鏡像和對存儲數據的完整性和一致性進行確認，從硬件及軟件角度加大了設備拆解,、數據提取和數據恢復的難度,。

　　4.2新型加密方法的技術挑戰(zhàn)

　　同各種新型的智能設備不斷涌現相比，傳統(tǒng)的設備也在不斷發(fā)展和豐富,，普通電腦和移動設備都在安全性方面不斷強化,，從硬件、軟件等多個角度提升加密算法的強度,，這給我們對這些傳統(tǒng)設備的取證也帶來了新的挑戰(zhàn),。

　　從硬件角度，越來越多的設備將安全模塊和加密芯片固化,，使用獨立的硬件來處理系統(tǒng)的數據,，例如基于PC上的TPM模塊、iOS上的Secure Enclave模塊以及帶有硬件AES功能的處理器{37},、移動存儲上的各種加密芯片等,，從硬件層次直接固化加密算法及密鑰信息，使這些設備的數據提取和解密難度不斷提升{38},。

　　從軟件角度看,，各類系統(tǒng)的加密策略不斷完善，加密算法的強度也在不斷提升,。無論是iOS,，還是最近發(fā)布的Android 6.0 Marshmallow,，都已經將全盤加密作為系統(tǒng)的默認選項，各類傳統(tǒng)操作系統(tǒng)也都內置了高強度的全盤加密技術,，例如Windows系統(tǒng)中的Bitlocker,，以及MacOS系統(tǒng)中的File Vault 0隨著使用者安全意識的不斷提升，這些技術的使用率也在不斷增長,。此外,，目前各類智能應用都在不斷提升本身數據存儲和數據傳輸的安全，無論是使用0TR方式的各類聊天軟件,，還是支持無痕瀏覽的各類瀏覽器,，甚至是一些非傳統(tǒng)軟件中提供的功能，如PS游戲機上的party,，還有XB0X上的XboxLive等{39},，均可能因用作計算機涉網犯罪的工具而成為取證的對象，這些軟件自帶的加密機制給取證工作帶來了較大困難,。

　　此外,，隨著比特幣等一系列P2P形式的數字貨幣技術的發(fā)展，其去中心化,、專屬所有權,、匿名性和健全性等特點，被一些新型網絡犯罪所利用,，打破了傳統(tǒng)犯罪固有的獲利模式,，對犯罪信息行為的取證，以及犯罪金額的認定同傳統(tǒng)取證工作有很大不同,，如何通過比特幣挖礦機,、比特幣客戶端來收集、提取比特幣的金額和流轉歷史,，進一步分析比特幣流轉過程中的涉案信息,，是這類電子數據取證與鑒定過程中的需要解決的新問題{40}。

　　4.3云計算技術的挑戰(zhàn)

　　云計算將計算資源,、存儲資源鏈接在一起,，為用戶提供透明的IT資源服務。其便利,、經濟,、高可擴展性的優(yōu)勢使得越來越多的企業(yè)、組織和個人將他們的存儲和計算需求付諸于云端,。然而,，云計算給電子數據取證工作帶來了新的挑戰(zhàn)，主要有{41-42}:（1）分散：數據分散于整個云構架的多個服務器,、多個層次中,；（2）控制有限：CSP完全控制云環(huán)境，在提供數據給調查者之前,，可以篡改信息,；（3）監(jiān)督鏈：傳統(tǒng)取證鑒定中，監(jiān)督鏈是很重要的主題,，但在云環(huán)境中,，由于涉及不同的司法轄區(qū)和復雜的技術，監(jiān)督鏈變得難以實現,，嚴重影響了電子證據的證據力,；（4）多租戶環(huán)境：租用云服務的客戶共享云服務資源。多個租戶的信息也可能存放在一起,。調查過程中租戶的隱私需要得到保護,，云服務的可用性也需要得到保障。標準的取證分析工具在云計算環(huán)境中已很難發(fā)揮作用,。

　　目前學術界已提出不少云取證技術方案,，主要集中在云環(huán)境日志取證原則和方案，云服務行為的監(jiān)控,，通過云管理接口使客戶和調查者能夠收集虛擬機,、網絡、進程和數據庫的日志以及其他證據等{41}{43},。然而,，以上方案并沒有完全解決云計算對取證工作的挑戰(zhàn)，特別是CSPs不誠實的場景,，以及證據監(jiān)督鏈的問題,。2014年6月，美國國家標準與技術研究院云計算取證科學工作組發(fā)布了Draft NISTIR 8006{44},，對云取證進行了定義,，并總結了云計算技術對電子數據取證的主要挑戰(zhàn)?？梢灶A見,，云環(huán)境下電子數據取證技術及相關標準的研究依然任重道遠。

　　另一方面,，云計算對電子數據取證工作的幫助是顯而易見的,。利用云計算技術，可以為在案件現場,、突發(fā)事件現場進行調查取證的辦案人員提供強大的計算和存儲能力,。調查人員在現場通過便攜式設備就可以完成電子證據采集、取證和綜合分析的全過程,，為下一步行動提供支持,。