李玲俐

摘 要： 利用計(jì)算機(jī)和新媒體技術(shù)，網(wǎng)絡(luò)犯罪案件則呈現(xiàn)出一些新的特征，云計(jì)算平臺(tái)是網(wǎng)絡(luò)攻擊的最大目標(biāo)。針對(duì)新媒體環(huán)境下云平臺(tái)的安全隱患，以及傳統(tǒng)電子取證的局限性，闡述云取證工作發(fā)展的迫切性，探討了網(wǎng)絡(luò)犯罪下云取證的研究熱點(diǎn)及模型，以及現(xiàn)有工作所面臨的各種挑戰(zhàn)，并提出云取證領(lǐng)域今后的改進(jìn)措施和研究方向。

關(guān)鍵詞： 新媒體; 網(wǎng)絡(luò)犯罪; 云取證; 云計(jì)算; 電子取證

文章編號(hào)： 2095-2163（2021）03-0121-03 中圖分類號(hào)：TP309 文獻(xiàn)標(biāo)志碼：A

【Abstract】With the use of computers and new media technologies， cyber-crime embodies some new features， and cloud computing platforms are the biggest targets of Internet attacks. In view of the hidden security risks of cloud platform under the new media environment and the limitations of traditional electronic forensics， this paper expounds the urgency of the development of cloud forensics， discusses the research hotspots and models of cloud forensics of network crimes， as well as various challenges faced by the existing work， and proposes the improvement measures and research directions in the field of cloud forensics in the future.

【Key words】 new media; cyber-crime; cloud forensics; cloud computing; ?electronic forensics

0 引 言

相對(duì)于傳統(tǒng)媒體，新媒體是一種以數(shù)字壓縮、無(wú)線網(wǎng)絡(luò)和移動(dòng)通信技術(shù)進(jìn)行信息傳播的媒體新形態(tài)，通過(guò)網(wǎng)絡(luò)電視、視頻、博客、電子雜志等互聯(lián)網(wǎng)、無(wú)線通信網(wǎng)、衛(wèi)星等渠道，電腦、手機(jī)、數(shù)字電視等終端，以及公交、地鐵、航空電視和大型LED屏等戶外新媒體，向用戶提供信息、傳播服務(wù)。其實(shí)時(shí)性、交互性、大容量，以及受眾選擇性不斷增多、表現(xiàn)形式多樣使之能跨越地域、行政范圍、打破各媒介之間的阻礙而實(shí)現(xiàn)全球化傳播[1]。

新媒體時(shí)代網(wǎng)絡(luò)和信息技術(shù)快速更新，云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、人工智能等應(yīng)用廣泛的同時(shí)，互聯(lián)網(wǎng)和云環(huán)境成為網(wǎng)絡(luò)犯罪的平臺(tái)。本文分析新媒體時(shí)代網(wǎng)絡(luò)犯罪的現(xiàn)狀和特征，提出云環(huán)境安全隱患下，云取證相對(duì)傳統(tǒng)電子取證的優(yōu)越之處，詳細(xì)介紹網(wǎng)絡(luò)犯罪下云取證技術(shù)的研究模型，闡述了云取證所面臨的挑戰(zhàn)，最后提出云取證技術(shù)未來(lái)的研究方向。

1 網(wǎng)絡(luò)犯罪下云環(huán)境的安全問(wèn)題和云取證的提出

1.1 網(wǎng)絡(luò)犯罪的現(xiàn)狀

網(wǎng)絡(luò)犯罪是指行為人借助工具或以網(wǎng)絡(luò)資產(chǎn)為對(duì)象，運(yùn)用計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)知識(shí)，以及編程、加解密技術(shù)對(duì)系統(tǒng)或信息進(jìn)行犯罪攻擊，或利用軟件指令實(shí)施犯罪[2]。許多有害信息會(huì)通過(guò)網(wǎng)絡(luò)傳播，病毒、木馬、釣魚(yú)攻擊、網(wǎng)絡(luò)詐騙比例在一定時(shí)期內(nèi)也表現(xiàn)出上升傾向，嚴(yán)重威脅互聯(lián)網(wǎng)經(jīng)濟(jì)安全，分工明確的灰色產(chǎn)業(yè)鏈數(shù)量和比例在悄然增大，跨國(guó)網(wǎng)絡(luò)犯罪的可能性有所增加，犯案方式也呈產(chǎn)業(yè)化和多元化，成本低、傳播快、隱蔽性高、智能化、低齡化特征越來(lái)越顯著，對(duì)社會(huì)各個(gè)領(lǐng)域帶來(lái)巨大的影響和危害。

1.2 云計(jì)算平臺(tái)及其安全隱患

云計(jì)算是將存儲(chǔ)在計(jì)算機(jī)、移動(dòng)電話和其它設(shè)備上的數(shù)據(jù)信息集中協(xié)調(diào)工作，使用者只需投入較少的開(kāi)銷，便能隨時(shí)聯(lián)網(wǎng)隨時(shí)獲取云端資源，包括各種計(jì)算產(chǎn)品、數(shù)據(jù)存儲(chǔ)空間和大量的云數(shù)據(jù)等。云計(jì)算具有大規(guī)模、資源虛擬化、高分布性、高可靠性、資源池共享、快捷低廉等優(yōu)點(diǎn)，為企業(yè)和用戶提供了便利，越來(lái)越多的人習(xí)慣將自己學(xué)習(xí)、工作和生活有關(guān)的電子數(shù)據(jù)存儲(chǔ)在云端，這些電子資源也包括了大量的隱私信息和商業(yè)秘密數(shù)據(jù)[3]。

云計(jì)算平臺(tái)飛速發(fā)展的同時(shí)，其安全面臨著巨大的威脅，許多借助云服務(wù)的案例，如：黑客傳播惡意程序、用戶數(shù)據(jù)被破壞或泄露、各種持續(xù)性威脅攻擊、非法數(shù)據(jù)存儲(chǔ)等[4]。雖然云平臺(tái)自身設(shè)置了多道的安全防線，但網(wǎng)絡(luò)犯罪分子技術(shù)和手段越來(lái)越智能，通過(guò)蓄意攻擊或破壞云服務(wù)節(jié)點(diǎn)，企圖入侵內(nèi)部破壞或竊取有價(jià)值的信息，其犯罪痕跡往往只在云端或網(wǎng)絡(luò)才有記錄[3];云計(jì)算平臺(tái)的特性使得傳遞信息又快又方便，犯罪成本低，有些犯罪分子利用法律漏洞實(shí)施釣魚(yú)等行為。目前各云端數(shù)據(jù)越來(lái)越多，云平臺(tái)成為網(wǎng)絡(luò)攻擊的重災(zāi)區(qū)，其安全隱患令人堪憂，取證工作變得越來(lái)越迫切。

2 網(wǎng)絡(luò)犯罪下的云取證技術(shù)

2.1 云取證的提出

云計(jì)算和大數(shù)據(jù)環(huán)境下，電子數(shù)據(jù)存在海量性、動(dòng)態(tài)性、資源共享性、分散存儲(chǔ)性、數(shù)據(jù)易失性和易篡改性等特點(diǎn)，傳統(tǒng)的電子取證有些是單機(jī)取證，有些是網(wǎng)絡(luò)集群下的簡(jiǎn)單取證[3]，但在新媒體時(shí)代的云計(jì)算平臺(tái)下，電子數(shù)據(jù)具備傳統(tǒng)電子證據(jù)的一般特性，且動(dòng)態(tài)性更高，帶有時(shí)間戳功能;取證工具必須分工細(xì)致，盡量在隔離環(huán)境下使用，在很大程度上限制了取證工作的開(kāi)展。傳統(tǒng)的電子取證無(wú)論是取證框架、取證方式還是取證工具都已經(jīng)不能適用于當(dāng)前云環(huán)境下的取證問(wèn)題，而且，云取證的過(guò)程也比傳統(tǒng)電子取證所涉及的對(duì)象更多、交互更復(fù)雜[5]。

云取證是云計(jì)算技術(shù)和傳統(tǒng)的電子取證的交叉學(xué)科，是云安全的重要組成部分[6]，是電子取證中一個(gè)新興熱門的研究領(lǐng)域[4]。云取證工作是針對(duì)云犯罪收集數(shù)字取證數(shù)據(jù)的過(guò)程[7]，能夠發(fā)現(xiàn)云平臺(tái)漏洞和各種攻擊特征或類型，通過(guò)調(diào)查、匹配和分析云安全攻擊行為[8]，采集犯罪行為的有關(guān)證據(jù)，對(duì)網(wǎng)絡(luò)犯罪分子進(jìn)行打擊、威懾和追責(zé)，維護(hù)和促進(jìn)云平臺(tái)系統(tǒng)的穩(wěn)定發(fā)展[4]。

2.2 網(wǎng)絡(luò)犯罪下云取證思路和模型的研究

云取證模型采用通用的取證框架，集合一些規(guī)范的取證方法和取證流程，符合未來(lái)的新型電子取證的各項(xiàng)需求[9]，增強(qiáng)獲取電子證據(jù)的自主性和智能性，提高電子證據(jù)的安全性能以及取證的效率[10]，對(duì)電子取證的調(diào)查、操作和研究起著引導(dǎo)作用[9]。

目前，越來(lái)越多的研究人員對(duì)網(wǎng)絡(luò)犯罪下的云取證工作有了清晰的思路和可行的取證模型研究。楊淑棉等人[11]針對(duì)云計(jì)算環(huán)境下的犯罪證據(jù)完整可靠性問(wèn)題，提出了IaaS模式下實(shí)時(shí)云監(jiān)控取證系統(tǒng)的思路和方法。高元照[4]結(jié)合云平臺(tái)下的取證場(chǎng)景，提出了一種持續(xù)性取證模型。王健等人[12]提出一種能改變電子證據(jù)的靜態(tài)屬性，并支持精準(zhǔn)語(yǔ)義的取證模型。新媒體時(shí)代，犯罪分子散布虛假消息，金驍[13]研究了解決圖像視頻操作的4個(gè)問(wèn)題，可以更準(zhǔn)確鑒別海量的多媒體信息的真假。徐蕾[14]提出一種區(qū)塊鏈技術(shù)的可驗(yàn)證、不可篡改的取證系統(tǒng)，李維奉等人[8]提出了一個(gè)面向云計(jì)算平臺(tái)的隱私侵犯的追蹤取證系統(tǒng)。

2.3 云取證面臨的挑戰(zhàn)

證據(jù)是對(duì)犯罪分子是否進(jìn)行判決的主要依據(jù)，針對(duì)云犯罪的取證工作，法律方面包括司法管轄、用戶隱私權(quán)保護(hù)和數(shù)據(jù)完整性問(wèn)題;技術(shù)方面存在大規(guī)模的異構(gòu)數(shù)據(jù)的混合[14]存儲(chǔ)等問(wèn)題。無(wú)論是法律法規(guī)、還是技術(shù)標(biāo)準(zhǔn)體系都為傳統(tǒng)電子取證工作帶來(lái)極大的挑戰(zhàn)[3]。對(duì)此擬展開(kāi)研究分述如下。

2.3.1 云取證相關(guān)的法律法規(guī)不夠完善

（1）司法權(quán)管轄問(wèn)題。云計(jì)算平臺(tái)具有資源虛擬化和分布式存儲(chǔ)等特點(diǎn)，同一用戶可使用不同云端資源，不同的云服務(wù)器可能分布在不同的區(qū)域，甚至在國(guó)外，各地的法律法規(guī)不同，取證流程和標(biāo)準(zhǔn)也不同，數(shù)據(jù)定位和提取困難使得境外取證成為難題[5]。

（2）用戶隱私權(quán)問(wèn)題。云計(jì)算平臺(tái)下，用戶的各種數(shù)據(jù)和信息存儲(chǔ)在云端，由云服務(wù)提供商統(tǒng)一管理，資源的所有權(quán)、使用權(quán)和管理權(quán)分離，數(shù)據(jù)隱私很容易被泄露，取證人員很難從用戶層面實(shí)行網(wǎng)絡(luò)取證。另外，不同用戶可共享同一云服務(wù)器資源。專業(yè)人員進(jìn)行云犯罪取證時(shí)，通常會(huì)觸碰到其他無(wú)關(guān)用戶的信息安全[7]，也會(huì)涉及并威脅到一些個(gè)人隱私或者商業(yè)機(jī)密的情況。這種復(fù)雜性問(wèn)題在國(guó)內(nèi)現(xiàn)行的法律法規(guī)中還有待完善，特別是對(duì)公民隱私權(quán)的保護(hù)上也仍存在隱憂，取證人員面對(duì)上述問(wèn)題時(shí)常無(wú)法很好把握力度[5]。

（3）數(shù)據(jù)完整性問(wèn)題。云計(jì)算環(huán)境中，電子數(shù)據(jù)保存在哪個(gè)設(shè)備、哪個(gè)節(jié)點(diǎn)是不確定的，很難通過(guò)日志分析或者數(shù)據(jù)攔截等方式取得數(shù)據(jù)。因此在進(jìn)行云犯罪取證的時(shí)候，如何保證電子數(shù)據(jù)的完整性一直是一個(gè)聚焦討論并亟待解決的問(wèn)題[5]。

2.3.2 主流的云取證技術(shù)標(biāo)準(zhǔn)和體系不夠成熟[8]

（1）電子數(shù)據(jù)規(guī)模大，異構(gòu)數(shù)據(jù)的混合存儲(chǔ)。隨著電腦、平板、手機(jī)等電子產(chǎn)品的使用，及數(shù)量、容量的迅速增長(zhǎng)，這些必需品生成了很多不同格式的數(shù)據(jù)，大量結(jié)構(gòu)化、半結(jié)構(gòu)化、非結(jié)構(gòu)化的數(shù)據(jù)同時(shí)存儲(chǔ)在云服務(wù)端，取證時(shí)會(huì)收集到大量無(wú)關(guān)或非連續(xù)型數(shù)據(jù)，而現(xiàn)有的取證工具在分析各種云計(jì)算平臺(tái)不同格式的數(shù)據(jù)時(shí)還存在一定的局限性[4]，增大了取證和分析難度。

（2）云端數(shù)據(jù)易失性。云計(jì)算平臺(tái)下電子證據(jù)的易失性主要體現(xiàn)在篡改和刪除的數(shù)據(jù)難以恢復(fù)。比如，犯罪分子使用完數(shù)據(jù)并將其刪除，云服務(wù)提供商為保護(hù)用戶和數(shù)據(jù)隱私，將這些數(shù)據(jù)及相關(guān)的元數(shù)據(jù)完全刪除[4]。許多電子數(shù)據(jù)在云取證前已經(jīng)被篡改或刪除，因此，云取證一般要求實(shí)時(shí)在線取證，但是如此一來(lái)又會(huì)為云平臺(tái)帶來(lái)挑戰(zhàn)。

（3）時(shí)間戳不一致。云計(jì)算平臺(tái)下，同一用戶的數(shù)據(jù)有很多時(shí)候是存儲(chǔ)在不同的時(shí)區(qū)，時(shí)間戳?xí)艿讲煌南到y(tǒng)、不同的文件，以及各種狀態(tài)、運(yùn)行變化等因素的制約，甚至出現(xiàn)不同步的情況，極大增加了分析時(shí)間戳的復(fù)雜性[4]，犯罪過(guò)程可能會(huì)被重新構(gòu)建。

2.3.3 技術(shù)與法律交叉學(xué)科的云取證專業(yè)人員相對(duì)缺乏

云環(huán)境下網(wǎng)絡(luò)犯罪分子已經(jīng)具備了高科技電子設(shè)備和技術(shù)，云端數(shù)據(jù)分散存儲(chǔ)，其共享性、動(dòng)態(tài)性、易篡改、易失性等特點(diǎn)，使得云取證工作人員必須對(duì)這些大數(shù)據(jù)進(jìn)行及時(shí)全面的分析，因而面臨更專業(yè)的技術(shù)挑戰(zhàn)。目前，國(guó)內(nèi)高質(zhì)量的的云取證專業(yè)人員還很缺乏。

3 結(jié)束語(yǔ)

云計(jì)算的各項(xiàng)研究已相對(duì)成熟，云取證是針對(duì)各種違法犯罪活動(dòng)的取證過(guò)程，其發(fā)展相對(duì)比較晚，存在取證過(guò)程不夠智能化、開(kāi)銷較大、專業(yè)技術(shù)人員缺乏等問(wèn)題，本文分析新媒體時(shí)代網(wǎng)絡(luò)犯罪下云環(huán)境的安全問(wèn)題，闡明云取證技術(shù)作為事后追責(zé)與懲罰的法治手段之一，對(duì)打擊云犯罪活動(dòng)和維護(hù)云計(jì)算環(huán)境安全具有重大意義[3];論述網(wǎng)絡(luò)犯罪下云取證思路和模型的研究，提出當(dāng)前云取證在技術(shù)和法律方面面臨的挑戰(zhàn)。盡管如此，云取證也擁有更多新的機(jī)遇，其勢(shì)必會(huì)在未來(lái)的云犯罪調(diào)查、用法和研究等方面有著廣闊的發(fā)展前景，主要體現(xiàn)在如下方面。

（1）除了在技術(shù)上構(gòu)建更加完善的云取證模型，快速識(shí)別云犯罪行為，也將結(jié)合具體的司法實(shí)踐問(wèn)題，深入分析其中涉及到的法律法規(guī)事項(xiàng)，進(jìn)而規(guī)范和細(xì)化、且找出各種應(yīng)對(duì)策略[3]，保證取得的電子證據(jù)能合法使用。

（2）技術(shù)和法律兩個(gè)方面相互協(xié)同，用技術(shù)推進(jìn)法律法規(guī)的改進(jìn)，用法律法規(guī)保障技術(shù)和標(biāo)準(zhǔn)的施行。

（3）云取證分析算法的優(yōu)化，使得取證費(fèi)用降低和準(zhǔn)確度提升，云平臺(tái)的安全問(wèn)題也將得到進(jìn)一步改善。

參考文獻(xiàn)

[1]百度百科. 新媒體[EB/OL]. [2020-09-28]. https：//baike.baidu.com/item/新媒體/6206？fr=aladdin.

[2] 網(wǎng)絡(luò)犯罪_百度百科[EB/OL]. [2020-09-28]. https：//baike.baidu.com/item/網(wǎng)絡(luò)犯罪/10142346？fr=aladdin

[3] 李翠. 云計(jì)算環(huán)境下電子數(shù)據(jù)取證研究[D]. 重慶：重慶郵電大學(xué)， 2018.

[4] 高元照. 云計(jì)算取證模型及其關(guān)鍵技術(shù)研究[D]. 鄭州：解放軍信息工程大學(xué)， 2017.

[5] 高運(yùn)，伏曉，駱斌. 云取證綜述[J]. 計(jì)算機(jī)應(yīng)用研究， 2016，33（1）：1-6.

[6] RUAN K， CARTHY J， KECHADI T， et al. Cloud forensics definitions and critical criteria for cloud forensic capability： An overview of survey results[J]. Digital Investigation， 2013， 10（1）： 34-43.

[7]丁麗萍. 云環(huán)境下的電子數(shù)據(jù)取證技術(shù)研究[J]. 中國(guó)信息安全， 2019（5）：59-60.

[8] 李維奉，羌衛(wèi)中，李偉明，等. 云環(huán)境隱私侵犯取證研究[J]. 網(wǎng)絡(luò)與信息安全學(xué)報(bào)， 2018，4（1）：26-35.

[9] SHRIVASTAVA A K， PAYAL N， RASTOGI A， et al. Digital forensic investigation development model[C] //2013 5th International Conference on Computational Intelligence and Communication Networks（CICN）.Mathura， India：IEEE， 2013：532-535.

[10]公偉， 劉培玉， 遲學(xué)芝，等. 云取證模型的構(gòu)建與分析[J]. 計(jì)算機(jī)工程， 2012（11）：14-16.

[11]楊淑棉， 王連海， 張淑慧，等. 一種IaaS模式下的實(shí)時(shí)監(jiān)控取證方法[J]. 山東大學(xué)學(xué)報(bào)（理學(xué)版）， 2017，52（6）：84-91.

[12]王健，唐振民. 面向領(lǐng)域特征的云取證模型[J]. 南京理工大學(xué)學(xué)報(bào)（自然科學(xué)版）， 2016，40（4）：477-484.

[13]金驍. 數(shù)字多媒體被動(dòng)取證關(guān)鍵技術(shù)研究[D]. 天津：天津大學(xué)， 2018.

[14]徐蕾. 基于區(qū)塊鏈的云取證系統(tǒng)研究與實(shí)現(xiàn)[D]. 綿陽(yáng)：西南科技大學(xué)， 2014.