張黎明 葛偉 吳玉強(qiáng)

【摘要】 ? ?隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，云技術(shù)的在各個(gè)行業(yè)中的應(yīng)用范圍隨之得到拓展。現(xiàn)階段，云計(jì)算技術(shù)應(yīng)用于計(jì)算機(jī)取證中后，相對(duì)于傳統(tǒng)取證技術(shù)的應(yīng)用，不僅在存儲(chǔ)量方面得到提升，同時(shí)在計(jì)算高效性層面也得到顯著優(yōu)化。在此基礎(chǔ)上，文中首先分析了主題相關(guān)概念，隨后對(duì)比了傳統(tǒng)取證模式與云技術(shù)電子數(shù)據(jù)取證模式的差異性，最后就云技術(shù)在電子數(shù)據(jù)取證中的具體應(yīng)用展開分析，旨在通過本次研究?jī)?nèi)容的展開，進(jìn)一步提升電子數(shù)據(jù)取證工作質(zhì)量。

【關(guān)鍵詞】 ? ?云技術(shù) ? ?電子數(shù)據(jù)取證 ? ?技術(shù)應(yīng)用

前言

傳統(tǒng)的電子數(shù)據(jù)取證技術(shù)應(yīng)用中，主要以單機(jī)或是弱推理取證方式為主，且所獲取的電子數(shù)據(jù)會(huì)直接在計(jì)算機(jī)中存儲(chǔ)，整個(gè)過程無需經(jīng)歷數(shù)據(jù)整理及分析等復(fù)雜過程，雖然于一定程度上提升了取證工作速度，但是伴隨著極大的不安全性問題，導(dǎo)致各類網(wǎng)絡(luò)犯罪抓漏洞持續(xù)犯罪，影響網(wǎng)絡(luò)社會(huì)安全度提升。鑒于此，針對(duì)云技術(shù)環(huán)境下的電子數(shù)據(jù)取證這一內(nèi)容展開深入分析具有重要現(xiàn)實(shí)意義。

一、概念分析

1.1云計(jì)算

云計(jì)算是分布式計(jì)算的一種，指的是通過網(wǎng)絡(luò)“云”將巨大的數(shù)據(jù)計(jì)算處理程序分解成無數(shù)個(gè)小程序，然后，通過多部服務(wù)器組成的系統(tǒng)進(jìn)行處理和分析這些小程序得到結(jié)果并返回給用戶。云計(jì)算早期，簡(jiǎn)單地說，就是簡(jiǎn)單的分布式計(jì)算，解決任務(wù)分發(fā)，并進(jìn)行計(jì)算結(jié)果的合并[1]。因而，云計(jì)算又稱為網(wǎng)格計(jì)算。通過這項(xiàng)技術(shù)，可以在很短的時(shí)間內(nèi)（幾秒鐘）完成對(duì)數(shù)以萬計(jì)的數(shù)據(jù)的處理，從而達(dá)到強(qiáng)大的網(wǎng)絡(luò)服務(wù)。

1.2電子數(shù)據(jù)取證

電子數(shù)據(jù)取證是指利用計(jì)算機(jī)軟硬件技術(shù)，以符合法律規(guī)范的方式對(duì)計(jì)算機(jī)入侵、破壞、欺詐、攻擊等犯罪行為進(jìn)行證據(jù)獲取、保存、分析和出示的過程。具體而言，是指把計(jì)算機(jī)看作犯罪現(xiàn)場(chǎng)，運(yùn)用先進(jìn)的辨析技術(shù)，對(duì)計(jì)算機(jī)犯罪行為進(jìn)行解剖，搜尋罪犯及其犯罪證據(jù)[2]。隨著計(jì)算機(jī)犯罪個(gè)案數(shù)字不斷上升和犯罪手段的數(shù)字化，搜集電子證據(jù)的工作成為提供重要線索及破案的關(guān)鍵，恢復(fù)已被破壞的計(jì)算機(jī)數(shù)據(jù)及提供相關(guān)的電子資料證據(jù)就是電子數(shù)據(jù)取證。

二、傳統(tǒng)取證模式與云技術(shù)應(yīng)用取證模式區(qū)別

為了能夠進(jìn)一步凸顯出云技術(shù)應(yīng)用于電子數(shù)據(jù)取證工作開展中的優(yōu)勢(shì)，借此更好的推廣云計(jì)算取證技術(shù)的適用范圍，應(yīng)該充分針對(duì)傳統(tǒng)取證模式與云技術(shù)應(yīng)用取證模式進(jìn)行區(qū)別分析，具體的區(qū)別內(nèi)容如下表1。

三、云技術(shù)環(huán)境下的電子數(shù)據(jù)取證分析

3.1電子數(shù)據(jù)取證的識(shí)別及準(zhǔn)備

在電子數(shù)據(jù)取證分析中，將云技術(shù)應(yīng)用其中，需要提前做好相應(yīng)的云取證模型，如圖1所示：

案件證據(jù)識(shí)別的過程中，主要是將云技術(shù)環(huán)境之內(nèi)的所有證據(jù)對(duì)象識(shí)別處理，從而促使取證人員能夠?qū)Ψ缸锇讣氖聦?shí)產(chǎn)生一定的總體認(rèn)知，隨后推進(jìn)相應(yīng)的取證準(zhǔn)備工作。準(zhǔn)備期間，應(yīng)該做好以下工作內(nèi)容：①取證人員需針對(duì)犯罪案件的性質(zhì)展開分析，隨后確認(rèn)云服務(wù)工作開展的類型，并同步做好提供商主體的確認(rèn)工作，例如區(qū)分其屬于公有云、私有云亦或是混合云，以私有云為例，其往往會(huì)在設(shè)備的加以降低處理[3]。②針對(duì)存儲(chǔ)案件數(shù)據(jù)的相關(guān)設(shè)備展開相應(yīng)的分析工作，目前比較常見的信息存儲(chǔ)設(shè)備主要以虛擬機(jī)、物理磁盤等為主，期間也需按照設(shè)備類型的不同以及網(wǎng)絡(luò)環(huán)境的差異，展開更具針對(duì)性的解決措施分析。

3.2電子數(shù)據(jù)取證的檢驗(yàn)與分析

云計(jì)算環(huán)境下，展開電子數(shù)據(jù)取證的檢驗(yàn)與分析工作時(shí)，應(yīng)該分析不同案件的差異點(diǎn)，從而確認(rèn)數(shù)據(jù)檢驗(yàn)的工作目標(biāo)，詳細(xì)分析而言，應(yīng)該從以下幾方面著手展開：①針對(duì)現(xiàn)有云計(jì)算服務(wù)工作開展的行業(yè)標(biāo)準(zhǔn)加以統(tǒng)一。2014年，我國(guó)首次發(fā)布了云計(jì)算領(lǐng)域的相關(guān)標(biāo)準(zhǔn)，其中囊括了云計(jì)算概述、詞匯以及參考架構(gòu)等內(nèi)容，后續(xù)，召開了全國(guó)信標(biāo)委云計(jì)算標(biāo)準(zhǔn)工作會(huì)議，并就云資源管理以及相關(guān)技術(shù)的總體要求進(jìn)行了設(shè)定，2018年，再次發(fā)布了有關(guān)于云計(jì)算服務(wù)安全能力的相關(guān)評(píng)估方案，在后續(xù)的發(fā)展中，也需做好相關(guān)法律的標(biāo)定工作。②針對(duì)現(xiàn)有的云數(shù)據(jù)分析步驟進(jìn)行細(xì)化。細(xì)化過程中，首先需要做出假設(shè)，不能盲目展開數(shù)據(jù)分析工作，想要提升工作開展的高效性，需要求案件取證人員就案件實(shí)況進(jìn)行數(shù)據(jù)類型假設(shè)，隨后執(zhí)行針對(duì)性搜索工作。其次，制定完善的分析計(jì)劃，確認(rèn)電子數(shù)據(jù)取證的類型，隨即確認(rèn)檢索關(guān)鍵詞、設(shè)備、校驗(yàn)碼等。再次，實(shí)施計(jì)劃，按照制定的檢驗(yàn)計(jì)劃，針對(duì)云技術(shù)應(yīng)用期間的文件修改時(shí)間、系統(tǒng)配置、數(shù)據(jù)大小等內(nèi)容進(jìn)行取證分析，并按照相應(yīng)的時(shí)間區(qū)域做好轉(zhuǎn)化工作，最終高效還原案件時(shí)間線。最后，做好檢驗(yàn)結(jié)果的評(píng)估工作，一方面，需針對(duì)電子數(shù)據(jù)取證全過程的開展是否滿足技術(shù)規(guī)范標(biāo)準(zhǔn)及要求進(jìn)行整體性的評(píng)估處理，并評(píng)估處理的公正性及分析記錄管理工作成效。另一方面，需針對(duì)分析結(jié)果是否滿足預(yù)期成效進(jìn)行評(píng)估，并同步做好進(jìn)一步分析控制工作。

3.3電子數(shù)據(jù)取證的云儲(chǔ)存與共享

利用云技術(shù)進(jìn)行電子數(shù)據(jù)取證分析時(shí)能夠發(fā)現(xiàn)，云存儲(chǔ)系統(tǒng)運(yùn)行期間，主要的信息存儲(chǔ)方式以存儲(chǔ)冗余數(shù)據(jù)為主，且在保存過程中，能夠自動(dòng)將多個(gè)文件的副本保存下來，且此時(shí)可采購(gòu)價(jià)格低廉的計(jì)算機(jī)設(shè)備用于電子數(shù)據(jù)取證的保存，并隨之構(gòu)建更具共享價(jià)值的私有性質(zhì)云儲(chǔ)存系統(tǒng)。如在進(jìn)行電子數(shù)據(jù)取證存儲(chǔ)及歸檔處理時(shí)，通過該方案的采用，就可以進(jìn)一步實(shí)現(xiàn)證據(jù)存儲(chǔ)成本及共享管理費(fèi)用支出降低技術(shù)處理目標(biāo)。一般而言，在應(yīng)用Test Disk這一款開源磁盤數(shù)據(jù)恢復(fù)軟件進(jìn)行數(shù)據(jù)文件的存儲(chǔ)時(shí)，往往會(huì)通過數(shù)據(jù)塊的形式完成儲(chǔ)存，且同時(shí)可將計(jì)算機(jī)內(nèi)分布于不同集群中的Data Node節(jié)點(diǎn)內(nèi)的數(shù)據(jù)塊進(jìn)行整理統(tǒng)一儲(chǔ)存，而用戶登錄云儲(chǔ)存控空間后，去訪問數(shù)據(jù)文件時(shí)，就可同步從多個(gè)Data Node內(nèi)將數(shù)據(jù)塊信息讀取出來，借此進(jìn)一步縮短數(shù)據(jù)的訪問時(shí)限，并提升傳輸效率。在本次此研究中，應(yīng)用云計(jì)算技術(shù)進(jìn)行電子數(shù)據(jù)取證存儲(chǔ)時(shí)，主要以LATE云計(jì)算方法為主，進(jìn)行取證數(shù)據(jù)的云儲(chǔ)存任務(wù)的處理工作，期間可通過如下公式完成云計(jì)算處理：

其中，PRS主要指代任務(wù)按照分片策略執(zhí)行所得到的取證進(jìn)程分;PGS主要指代進(jìn)程速率;t主要指代取證任務(wù)的執(zhí)行時(shí)間;T主要指代取證任務(wù)執(zhí)行的剩余時(shí)間。

在應(yīng)用上述云計(jì)算方法開展電子數(shù)據(jù)取證處理時(shí)，其任務(wù)執(zhí)行過程中，如某節(jié)點(diǎn)在進(jìn)行新任務(wù)請(qǐng)求設(shè)備，整個(gè)云存儲(chǔ)系統(tǒng)中所備份的數(shù)據(jù)，會(huì)自動(dòng)分配小于該節(jié)點(diǎn)任務(wù)執(zhí)行數(shù)，且該數(shù)量低于同一時(shí)刻的備份任務(wù)執(zhí)行數(shù)量。更為詳細(xì)的技術(shù)算法步驟主要如下：

①當(dāng)節(jié)點(diǎn)的速率低于節(jié)點(diǎn)處理任務(wù)的標(biāo)準(zhǔn)閥值時(shí)，取證技術(shù)會(huì)自動(dòng)屏蔽該計(jì)算請(qǐng)求，則整個(gè)計(jì)算任務(wù)完成，如超出則繼續(xù)執(zhí)行任務(wù)。

②針對(duì)正處于執(zhí)行狀態(tài)的取證任務(wù)進(jìn)行排序處理，按照上述兩個(gè)公式計(jì)算得出相應(yīng)的取證時(shí)間，并按照由低至高的原則進(jìn)行任務(wù)執(zhí)行順序排列處理。

③將低于節(jié)點(diǎn)處理任務(wù)標(biāo)準(zhǔn)閥值的取證任務(wù)進(jìn)行重新備份。

四、實(shí)驗(yàn)分析

某企業(yè)的一項(xiàng)商業(yè)機(jī)密文件遭到泄密，當(dāng)公安機(jī)關(guān)接收到企業(yè)報(bào)案信息后，決定派遣3名取證人員進(jìn)入到企業(yè)內(nèi)進(jìn)行電子數(shù)據(jù)取證處理，期間，A、B、C名電子數(shù)據(jù)取證人員，分別針對(duì)該報(bào)案企業(yè)中的15臺(tái)可疑計(jì)算機(jī)進(jìn)行了電子數(shù)據(jù)取證分析工作，目的在于將整個(gè)商業(yè)機(jī)密文件的泄露過程進(jìn)行重現(xiàn)，從而找出犯罪人員。比較詳細(xì)的電子數(shù)據(jù)取證分析過程如下所示：

①A、B、C共計(jì)3名電子數(shù)據(jù)取證人員，分別被分配了相應(yīng)的電子數(shù)據(jù)取證任務(wù)，過程中，每名工作人員需要針對(duì)5臺(tái)計(jì)算機(jī)中最近15時(shí)間內(nèi)所刪除的文件進(jìn)行數(shù)據(jù)恢復(fù)，同時(shí)獲取所處理計(jì)算機(jī)中近30天以來所接收和發(fā)送的電子郵件內(nèi)容，且須做好近30天內(nèi)Web瀏覽器的瀏覽歷史提取工作，并做好相對(duì)應(yīng)的HTTP數(shù)據(jù)解析工作。

②3名電子數(shù)據(jù)取證人員在工作中，還需針對(duì)20臺(tái)計(jì)算機(jī)中所獲取的相關(guān)數(shù)據(jù)展開過濾和分析工作，將所獲取數(shù)據(jù)中與本案件相關(guān)的電子數(shù)據(jù)信息上傳至計(jì)算機(jī)服務(wù)器的云端存儲(chǔ)空間，按照相關(guān)操作進(jìn)行共享。

③3名電子數(shù)據(jù)取證工作人員需利用云計(jì)算技術(shù)針對(duì)相關(guān)證據(jù)進(jìn)行分析處理，最終將其生成具備法律效率的案件處理證據(jù)報(bào)告。具體的實(shí)驗(yàn)結(jié)果如下表1所示：

通過對(duì)表2中的取證結(jié)果進(jìn)行分析能夠發(fā)現(xiàn)，在多名電子數(shù)據(jù)取證人員的協(xié)作之下，充分針對(duì)一件犯罪案件利用云計(jì)算幾乎進(jìn)行證據(jù)獲取，能夠顯著提升案件取證的效率，進(jìn)一步提升信息犯罪案件破獲效率。

五、結(jié)束語：

綜上所述，電子數(shù)據(jù)取證作為一類交叉學(xué)科，其囊括了取證科學(xué)、計(jì)算機(jī)學(xué)科乃至為行為證據(jù)科學(xué)等多個(gè)學(xué)科，為了能夠進(jìn)一步提升電子數(shù)據(jù)取證工作的開展質(zhì)量，充分將云計(jì)算技術(shù)應(yīng)用其中十分有必要。與此同時(shí)，將云技術(shù)運(yùn)用于電子數(shù)據(jù)取證分析中時(shí)，不僅需要做好相應(yīng)的電子數(shù)據(jù)識(shí)別及對(duì)應(yīng)的準(zhǔn)備工作，在云儲(chǔ)存以及數(shù)據(jù)共享處理方面也不能忽視，此外，為了更好的提升電子數(shù)據(jù)取證的應(yīng)用范圍，還需同步做好電子證據(jù)的檢驗(yàn)與分析工作，方能夠最終對(duì)網(wǎng)絡(luò)犯罪事件的發(fā)生率加以遏制，構(gòu)建清朗網(wǎng)絡(luò)空間。

參 ?考 ?文 ?獻(xiàn)

[1]祝艷京. 電子證書數(shù)據(jù)挖掘技術(shù)的訴訟取證分析系統(tǒng)設(shè)計(jì)[J]. 單片機(jī)與嵌入式系統(tǒng)應(yīng)用， 2020， 020（006）：9-12.

[2]吳同， 楊衛(wèi)軍， 趙利. 針對(duì)網(wǎng)盤客戶端的電子數(shù)據(jù)取證方法研究[J]. 警察技術(shù)， 2018， 000（003）：70-72.

[3]劉志軍， 王寧. 大數(shù)據(jù)環(huán)境下電子數(shù)據(jù)取證技術(shù)研究[J]. 科技視界， 2019， No.294（36）：30-32.