趙 庸，滕 達

（廈門市美亞柏科信息股份有限公司 廈門 361008）

1 概述

電子證據(jù)鑒定是由專門鑒定機構(gòu)的鑒定人或者具有專門知識的人，就具體的專門性問題，對計算機設(shè)備、通信設(shè)備、網(wǎng)絡(luò)設(shè)備、數(shù)控設(shè)備、視聽設(shè)備、廣電設(shè)備等各種存儲介質(zhì)及其所存儲的數(shù)據(jù)，按照一定的技術(shù)規(guī)程，運用專門知識、特定的食品設(shè)備和技術(shù)方法，進行檢查、驗證、發(fā)現(xiàn)、提取、解釋、分析、鑒別、卷宗并出具鑒定結(jié)論的過程。電子數(shù)據(jù)鑒定必須依循著定義良好且清楚，兼具靈活與彈性的方法、程序，進行計算機媒體的資料搜集、分析及展示，其最終的目的是讓司法審理時作為判決的證據(jù)。

證據(jù)是一個案件的核心和靈魂，證據(jù)的確鑿充分程度將決定一個案件的勝負命運。隨著我國法制建設(shè)的不斷完善，電子證據(jù)的使用將成為庭審的焦點。因此，在電子證據(jù)鑒定法律規(guī)制的的過程中，我們需要借鑒有關(guān)的國際經(jīng)驗，參考我國司法鑒定的理論與法律成果，依托我國電子證據(jù)鑒定實踐和發(fā)展趨勢，積極構(gòu)建和完善我國電子證據(jù)鑒定的各項規(guī)則，進一步加強電子證據(jù)的提取、保管、鑒別、取證、分析、鑒定等流程的標準化、科學化、規(guī)范化，建立與發(fā)展符合社會要求的電子數(shù)據(jù)取證實驗室。

自2004年，國內(nèi)第一個電子數(shù)據(jù)取證實驗室廈門市美亞柏科電子數(shù)據(jù)取證實驗室（福建中證司法鑒定中心的前身）和廣州市電子數(shù)據(jù)檢驗鑒定中心建立以來，已相繼建設(shè)完成了80多個電子數(shù)據(jù)取證實驗室。筆者認真分析近7年來該實驗室（鑒定中心）的建設(shè)、取證技術(shù)的發(fā)展、工作模式的改變，大體經(jīng)歷了4個階段。

2 電子數(shù)據(jù)取證實驗室發(fā)展歷程

2.1 第一階段

時間：2004-2005年。

特點：功能逐步完善。

作為國內(nèi)電子數(shù)據(jù)取證實驗室（鑒定中心）的起步階段，為了應(yīng)對當時的需要，實驗室建設(shè)更多是滿足當時的介質(zhì)類型，提供大量SCSI、IDE和少量SATA、USB只讀接口。由于當時的硬盤容量較小，通常在80 GB左右，因此，對速度的要求還不是十分明顯，更注重提供眾多只讀接口來滿足案件鑒定需要。當時流行只讀鎖按接口類型不同而獨立設(shè)計，再加上一些1.8”、2.5”轉(zhuǎn)3.5”IDE轉(zhuǎn)接卡和50針或80針轉(zhuǎn)68針的SCSI轉(zhuǎn)接卡。設(shè)備、轉(zhuǎn)接卡繁多，使用非常不方便，不適合在實驗室中廣泛應(yīng)用。

硬盤復(fù)制機以國外產(chǎn)品以SF5000、SOLO II為主，國內(nèi)以DC-8100（可滿足1對2的IDE硬盤復(fù)制）和DC-8200（支持IDE和SCSI硬盤的復(fù)制）為主。但速度大都在3 GB/min左右 （80～120 GB的硬盤一般在40 min之內(nèi)就可完成位對位復(fù)制）。

當時，介質(zhì)取證分析軟件只有國外Guidance Software的EnCase V4和AccessData的FTK 2.0，手機取證軟件多采用Paraben公司的Cell Seizure，密碼破解采用AccessData公司的DNA 2.0和PRTK，圖形化關(guān)聯(lián)關(guān)系分析系統(tǒng)——i2公司的Analyst’s Notebook 6開始在國內(nèi)應(yīng)用。國內(nèi)取證軟件開始有了雛形，推出了DiskForen，但功能有限，使用面不大。

香港警察2002年建設(shè)完成的取證實驗室（Computer Forensics Lab）也初步嘗試進行區(qū)域的合理規(guī)劃和取證設(shè)備的合理集成。同期，美國洛杉磯警察的計算機犯罪行動組（Los Angeles Electronic Crimes Task Force）在其實驗室建設(shè)中，充分考慮了證據(jù)文件的集中管理問題，并強化了無塵室在硬盤開盤維修中的應(yīng)用。但在網(wǎng)絡(luò)建設(shè)方面仍不完善，而流程審計監(jiān)管方面并未涉及。

2004年，在全國第一個取證實驗室——廣州市公安局取證實驗室中，首次把幾種不同類型的只讀鎖集中到一臺專用取證工作站上，并率先提出了“取證流程審計”的概念，進而有了功能相對簡單、初級的“取證流程審計監(jiān)管系統(tǒng)”雛形，成為計算機取證領(lǐng)域的“首創(chuàng)”。廣州實驗室中的取證分析工作是基于雙網(wǎng)進行的：強調(diào)將介質(zhì)轉(zhuǎn)換成證據(jù)文件，存放于文件服務(wù)器上，通過網(wǎng)絡(luò)映射到本地進行分析，以保證原始介質(zhì)內(nèi)數(shù)據(jù)的完整性[1]；流程監(jiān)管系統(tǒng)在后臺對鑒定全過程進行記錄，并產(chǎn)生審計監(jiān)管報告。但工作臺仍為傳統(tǒng)的辦公工位方式，不利于桌面操作，便利性和人性化不足。此模式也為以后全國各地實驗室建設(shè)摸清了路子，理清了思路，探索了模式，成為當時全國各地去廣州參觀學習的重點內(nèi)容。

第一階段的電子數(shù)據(jù)檢驗鑒定中心平面規(guī)劃如圖1所示。

2.2 第二階段

時間：2006-2007年。

特點：區(qū)域規(guī)劃趨于合理。

圖1 第一階段的電子數(shù)據(jù)檢驗鑒定中心平面規(guī)劃

隨著技術(shù)的發(fā)展，取證設(shè)備也取得了長足進步，尤其是國內(nèi)取證專業(yè)技術(shù)公司的自主知識產(chǎn)權(quán)產(chǎn)品逐步登上“大雅之堂”。桌面式只讀工作模塊越發(fā)成熟，IDE、SCSI、SATA、USB及只讀讀卡器從取證專用工作站中脫離出來，有效地集中到一個大模塊中，安置于桌面。新設(shè)計的專用工作臺加裝了吊柜，DC-8750只讀模塊、強/弱電模塊都固定在桌面，十分便于取證分析工作的開展，減小了勞動強度。

硬盤復(fù)制機以國外產(chǎn)品以MD5、SOLO III為主，國內(nèi)以DC-8101和DC-8200A為主。速度有了一定的提升，達到4 GB/min左右 （120～250 GB的硬盤一般在1 h之內(nèi)就可位對位復(fù)制完成）?，F(xiàn)場勘查取證設(shè)備則由功能相對較弱的勘查箱和DC-8000升級為FL-200移動式勘查取證綜合平臺。

介質(zhì)取證分析軟件只有國外Guidance Software的EnCase V5（中文版）和AccessData的FTK 2.0，手機取證軟件多采用Paraben公司Device Seizure、XRY和國內(nèi)的Safe Mobile，密碼破解采用AccessData公司的 DNA 2.3和Rainbow Tables。計算機仿真取證設(shè)備初露端倪，現(xiàn)場在線取證分析軟件和設(shè)備開始推向市場，MAC、郵件、關(guān)聯(lián)數(shù)據(jù)分析系統(tǒng)逐步成熟。國內(nèi)取證軟件數(shù)量不多、功能相對簡單，技術(shù)研發(fā)進展不大。

國內(nèi)電子數(shù)據(jù)取證實驗室開始考慮無塵環(huán)境建設(shè)，部分國家級和省級電子數(shù)據(jù)檢驗鑒定實驗室采用了無塵工作臺，基本滿足了故障硬盤的開盤維修工作需要。

在此階段，鑒于已建設(shè)完成的實驗室存在的問題和電子數(shù)據(jù)鑒定的規(guī)范化要求，重點按電子數(shù)據(jù)取證流程、功能和技術(shù)特點，將實驗室劃分為7個功能相對獨立的區(qū)域。

（1）設(shè)備預(yù)檢/受理區(qū)：完成送檢設(shè)備的受理、登記、外觀拍攝、檢驗完畢后設(shè)備的回退、檢驗報告提交等工作。

（2）取證/獲取區(qū)：完成對送檢設(shè)備的檢測、證據(jù)固定、鏡像、獲取、校驗等工作。

（3）存儲介質(zhì)物理修復(fù)區(qū)：對檢測判定有故障的硬盤等存儲介質(zhì)進行維修，完成介質(zhì)電路故障檢修、硬盤開盤處理（更換磁頭、電機等）、固件故障處理等工作。

（4）電子數(shù)據(jù)邏輯恢復(fù)區(qū)：對各類光、電、磁存儲介質(zhì)當中的數(shù)據(jù)進行邏輯恢復(fù)、修復(fù)和重構(gòu)。

（5）鑒定分析區(qū)：對復(fù)制的涉案硬盤、取證/獲取區(qū)獲取的證據(jù)文件（此文件存儲于中心服務(wù)器的磁盤陣列中，通過網(wǎng)絡(luò)分發(fā)給每一個鑒定分析終端進行鑒定分析）進行鑒定分析。

（6）中心設(shè)備區(qū)：是整個取證實驗室核心網(wǎng)絡(luò)設(shè)備、分布式密碼破解系統(tǒng)、案件管理系統(tǒng)、門禁系統(tǒng)、閉路電視監(jiān)控系統(tǒng)、配電系統(tǒng)等的配置區(qū)域。

（7）卷宗文檔保存區(qū)：對受檢介質(zhì)、受檢設(shè)備、復(fù)制介質(zhì)、鑒定文書、卷宗文檔進行分類、保存和管理。

第二階段的電子數(shù)據(jù)檢驗鑒定中心平面規(guī)劃如圖2所示。

2.3 第三階段

時間：2008-2009年。

特點：強調(diào)規(guī)范化管理和質(zhì)量控制。

圖2 第二階段的電子數(shù)據(jù)檢驗鑒定中心平面規(guī)劃

在這一階段當中，國內(nèi)電子數(shù)據(jù)取證設(shè)備迅速占據(jù)大部分取證市場。硬件設(shè)備的技術(shù)性能、工藝水平、穩(wěn)定性和可靠性有了質(zhì)的飛躍。推出了以DC-8200 PRO復(fù)制機、DC-8000 PRO取證專用機、ATT-2000/ATT-3000仿真取證專用機、ATT-5000 PRO加密硬盤取證專用機、ATT-1000 PRO密碼破解專用設(shè)備、DC-4500手機取證設(shè)備、ATT-4000現(xiàn)場專用獲取設(shè)備、DC-8650現(xiàn)場取證設(shè)備、DC-8750 RPO實驗室專用只讀模塊、NF-9300無線取證設(shè)備、FL-200 PRO等。這些設(shè)備在2008、2009年的重大事件中得到廣泛應(yīng)用，并經(jīng)受住了各種苛刻環(huán)境的嚴格考驗，其技術(shù)、戰(zhàn)術(shù)性能得到了進一步完善和提高，形成了較強戰(zhàn)斗力，受到各使用單位好評。國外產(chǎn)品主要以SOLO IV（支持SAS硬盤）、TD1為主，其使用的便利性和適用性大大提高，速度也提高到6 GB/min左右。其傳統(tǒng)優(yōu)勢被國內(nèi)產(chǎn)品趕上，甚至有被全面超越的勢頭。

美國Tableau公司成為國外公司中進步最大、產(chǎn)品推出最多、口碑相對較好的一家取證硬件廠商，其硬盤復(fù)制機TD1、“取證橋”和T3458is只讀模塊較有新意。

介質(zhì)取證分析軟件都做了升級。EnCase V6、FTK 3.0、X-Ways、Analyst’s Notebook 8、DNA 3.0 等一批軟件全新推出，手機取證軟件多采用Paraben公司Device Seizure 4.0、XRY、CellDEK 和國內(nèi)的 DC-4500、Safe Mobile。由于并行運算能力的提高，密碼破解原來多采用DNA、Rainbow Tables，現(xiàn)多采用“極光”和Elcomsoft，運算能力和針對性有了巨大提升。

與此相對應(yīng)的是，國產(chǎn)取證軟件更是取得了巨大的進步?！叭∽C大師”在計算機取證行業(yè)當中率先提出并應(yīng)用了“自動智能取證技術(shù)”，強調(diào)了取證規(guī)范和便捷，并作為自主知識產(chǎn)權(quán)的軟件在實戰(zhàn)中取得不俗戰(zhàn)績。其與Safe Analyzer等為代表的它們避開 EnCase、FTK、X-Ways等取證軟件的鋒芒，以智能、簡單、實用、快速、針對性強為顯著特征，強調(diào)易用性和面向一線計算機水平相對較弱的人員使用，加強了規(guī)范化、程序化、專業(yè)化要求，取得明顯效果。

青海省、山東省公安廳電子數(shù)據(jù)取證實驗室率先配置了10多平方米的100級無塵室，將國內(nèi)電子數(shù)據(jù)取證實驗室中的故障硬盤開盤處理能力提升到一個新的高度。

電子數(shù)據(jù)取證實驗室有別于傳統(tǒng)的勘查取證實驗室，更多是針對電子數(shù)據(jù)及存儲介質(zhì)勘驗檢查，而電子數(shù)據(jù)具有脆弱性、易失性、多態(tài)性、復(fù)合性等特點，要保證其合法性、及時性、準確性、環(huán)境安全性原則，必須保證“證據(jù)連續(xù)性”（chain of custody，即證據(jù)鏈[2]）。因此，在證據(jù)的鑒識、準備、策略制定、收集、保存、檢驗、分析、展示等方面必須有不同于傳統(tǒng)勘查取證的方法和技術(shù)手段。尤其，當檢材送達電子數(shù)據(jù)取證實驗室時，檢材的預(yù)檢、校驗、確認、交接、標識、復(fù)制、保管、調(diào)用、清退等各個環(huán)節(jié)都要有嚴格的冊表手續(xù)（借助實驗室案件管理系統(tǒng)之檢材管理系統(tǒng)來完成各環(huán)節(jié)的管理和控制）；同樣，電子數(shù)據(jù)分析不具備傳統(tǒng)介質(zhì)分析的“可視性、可物化、可量化”的特征，分析人員在根據(jù)系統(tǒng)授予的權(quán)限范圍內(nèi)，完成基于相應(yīng)案件復(fù)制介質(zhì)的分析工作過程中，必須接受“電子數(shù)據(jù)鑒定流程審計監(jiān)管系統(tǒng)”的管控，以達到質(zhì)量控制、過程監(jiān)管的目的[3]；報告審核、打印、裝訂，光盤刻錄、盤面打印、封裝亦通過技術(shù)手段，實現(xiàn)自動處理，減少人工控制環(huán)節(jié)。

為加強規(guī)范化和加強質(zhì)量管理，公安部相應(yīng)制定了4個標準：GA/T 754-2008《電子數(shù)據(jù)存儲介質(zhì)復(fù)制工具要求及檢測方法》、GA/T 755-2008《電子數(shù)據(jù)存儲介質(zhì)寫保護設(shè)備要求及檢測方法》、GA/T 756-2008《數(shù)字化設(shè)備證據(jù)數(shù)據(jù)發(fā)現(xiàn)提取固定方法》、GA/T 757-2008《程序功能檢驗方法》。各地在電子數(shù)據(jù)取證實驗室建設(shè)和管理、使用過程中，強調(diào)了嚴格落實規(guī)范、標準，并把通過CNAS（China national accreditation for conformity assessment，中國合格評定國家認可委員會）認可作為重要目標，強調(diào)鑒定結(jié)論的可信性、可溯源性、客觀性和公正性。

第三階段的電子數(shù)據(jù)檢驗鑒定中心平面規(guī)劃如圖3所示。

3 電子數(shù)據(jù)取證實驗室發(fā)展趨勢

這即是電子數(shù)據(jù)取證實驗室發(fā)展的第4階段。

時間：2010年起。

特點：取證“云”階段。

經(jīng)過近7年的發(fā)展，傳統(tǒng)取證實驗室網(wǎng)絡(luò)架構(gòu)存在的問題已經(jīng)非常突出，重點表現(xiàn)在以下幾個方面：

·以太網(wǎng)傳輸?shù)哪Ｊ?，運行性能受網(wǎng)絡(luò)性能和陣列性能的制約嚴重；

·傳輸平臺采用吉比特網(wǎng)絡(luò)共享式的，傳輸性能遠不能達到要求，多人同時使用速度較慢，不能滿足同時分析單項工作的要求；

·硬盤容量發(fā)展很快，把硬盤做成鏡像文件，耗費時間長，對存儲空間需求巨大，投資越來越大并且越來越不具備可行性；

圖3 第三階段的電子數(shù)據(jù)檢驗鑒定中心平面規(guī)劃

·大量化犯罪案例時有發(fā)生，硬盤數(shù)量多、時間短、時限要求高，傳統(tǒng)的平臺架構(gòu)缺乏同時、快速分析多塊硬盤的能力；

·各個功能模塊相對較獨立，分析過程中各個功能模塊的穿插使用較頻繁，缺乏單平臺多功能的工作模式，效率較低；

·不能滿足遠程指導/遠程協(xié)助工作的需要。

隨著“云”的概念不斷推出，電子數(shù)據(jù)取證實驗室已將關(guān)注點由實驗室的內(nèi)部能力轉(zhuǎn)向轄區(qū)內(nèi)資源共享、轄區(qū)外遠程技術(shù)支持、遠程“會診”，在嚴格的認證和遠程傳輸安全條件下將實驗室的觸角向下級甚至更下一級的管控“末稍”延伸。

網(wǎng)絡(luò)版取證大師、取證塔、取證池等將成為“云”的“神經(jīng)”和“骨架”。

（1）網(wǎng)絡(luò)版取證大師

網(wǎng)絡(luò)版取證大師分為服務(wù)器端和客戶端，二者協(xié)同，共同完成轄區(qū)內(nèi)基于網(wǎng)絡(luò)的取證分析工作。

解決的問題有：

·并發(fā)多案件協(xié)同處理；

·存儲介質(zhì)的批量取證分析；

·單個存儲介質(zhì)容量大，網(wǎng)絡(luò)傳輸速度瓶頸突出；

·案件管理，大量證據(jù)文件歸檔，數(shù)據(jù)關(guān)聯(lián)；

·取證業(yè)務(wù)流水線化，明確角色；

·實現(xiàn)遠程仿真和軟件仿真；

·實現(xiàn)與《實驗室案件管理系統(tǒng)》無縫融合；

·實現(xiàn)集中存儲、并行分析、分布調(diào)度的功能。

采用網(wǎng)格技術(shù)作為技術(shù)平臺，具體的技術(shù)有：

·MPI技術(shù)實現(xiàn)聚合和傳輸服務(wù)；

·iSCSI技術(shù)實現(xiàn)遠程磁盤訪問；

·RAID磁盤陣列實現(xiàn)海量數(shù)據(jù)存儲；

·磁盤鏡像遠程掛載；

·SSH實現(xiàn)安全的授權(quán)機制；

·SliverLight技術(shù)實現(xiàn)美觀的Web界面。

（2）取證塔

·具備4個只讀硬盤倉和4個目標硬盤倉；

· 可完成 1對 1、2對 2、3對 3、4對 4、多對 1的復(fù)制，并且每個復(fù)制通道的最高速度可達13 GB/min（SSD 硬盤）；

·可重組硬盤陣列；

·可同步完成復(fù)制、分析、仿真、出報告工作；

·可配多屏，分別顯示不同的工作內(nèi)容；

·并配有可獨立使用的All in One超級多功能只讀模塊。

表1 目前不同實驗室架構(gòu)的優(yōu)勢比對

（3）取證池

·解決大數(shù)量級硬盤并行分析的難題，一個機柜可支持數(shù)十塊硬盤的同時接入并行分析，并且可無限制無縫擴容；

· 完美支持主流硬盤接口：SAS、SATA、IDE、SCSI，并且可通過硬盤盒轉(zhuǎn)接方式支持多種尺寸接口；

·集中式控制，取證池本身不帶有操作界面，通過遠程分發(fā)服務(wù)端充分實現(xiàn)多人單任務(wù)、多人多任務(wù)、單人多任務(wù)的并發(fā)工作，所有結(jié)果數(shù)據(jù)集約式管理存儲并分發(fā)；并且對于介質(zhì)硬盤一次接入解決所有問題，避免了傳統(tǒng)分析中硬盤需要多次拔插，多次分析，易損壞介質(zhì)且安全性得不到保證的問題；

· 重點解決人少、事多，人多、事雜的矛盾。

目前，所有不同實驗室網(wǎng)絡(luò)架構(gòu)的優(yōu)勢比對見表1。

4 結(jié)束語

本研究基于各地已建設(shè)實驗室的發(fā)展歷程，描述了各階段設(shè)備及技術(shù)能力，總結(jié)了各階段的特點，并對今后的電子數(shù)據(jù)取證實驗室發(fā)展趨勢做出了分析，由于所處角度和高度不同，不一定能全面概括其方方面面，希望能給已建實驗室的升級和近期要建實驗室的單位提供參考和借鑒。

1 劉品新.電子取證的法律規(guī)制.北京：中國法制出版社，2010

2 陳龍，麥永浩，黃傳河.計算機取證技術(shù).武漢：武漢大學出版社，2007

3 潘大四，凌彥.電子證據(jù)取證流程監(jiān)管系統(tǒng)研究與實現(xiàn).電腦知識與技術(shù)，2007（20）