國內外電子數據取證標準規范研究

近年來，隨著計算機網絡相關保密違法案件的不斷增多，電子數據取證技術在保密違法案件查處中的應用日益廣泛，作用愈顯重要。考慮到保密違法案件查處這一行政執法行為的嚴肅性和嚴謹性，甚至可能需要向檢察、法院、公安等機關移交處理的特殊要求，客觀上要求采用嚴格的標準規范來保證電子數據取證活動的客觀公正性。本文對國內外電子數據取證標準化情況進行了總結，介紹了國內外電子數據取證標準制定和實施現狀，分析了國內電子數據取證標準規范的成果和存在的問題，提出了保密領域電子數據取證標準體系建設設想。

一、國際電子數據取證標準規范研究現狀

（一）國際標準制定情況

國際上，電子數據取證標準化工作最突出的是國際標準化組織（ISO）及國際電工委員會IEC）制定的電子取證系列標準。為了規范電子數據取證工作，近年來，ISO/IECJTC1（1號技術聯合委員會）下屬的SC27（27號委員會）委員會編制了一系列電子數據取證相關標準，并將該領域的系列標準歸入了ISO/IEC27000系列標準（又名“信息安全管理系統標準族”）。

2015年3月，該委員會發布了ISO/IEC27043:2015《信息技術安全技術事件調查原則和過程》，提出了電子數據取證體系架構，將取證工作分為電子取證流程（process）和活動（activity）兩個層面：取證流程包括準備、初始化、獲取、分析和并發等5類；采取的取證活動包括計劃，準備，響應，識別、收集、獲取和保存，理解，報告，關閉等7種。該取證體系架構由已經發布的和正在制定中的10個標準組成。

ISO/IEC27035:2011《信息技術安全技術信息安全事件管理》

ISO/IEC27037:2012《信息技術安全技術電子證據識別、收集、獲取和保存指南》

ISO/IEC27038:2014《信息技術安全技術數字化修訂規范》

ISO/IEC27040:2015《信息技術安全技術存儲安全》

ISO/IEC27041:2015《信息技術安全技術確保事件調查方法適宜性和充分性指南》

ISO/IEC27042《信息技術安全技術電子證據分析解釋指南》

ISO/IEC27043:2015《信息技術安全技術事件調查原則和流程》

ISO/IEC27044《信息技術安全技術安全信息和事件管理指南》

ISO/IEC27050《信息技術安全技術電子證據發現》

ISO/IEC30121:2015《信息技術電子取證風險框架的管理》

其中，ISO/IEC27037、27041、27042、27043、27050、30121等專為電子數據取證制定的標準，可直接用于電子數據取證活動，其余標準則包含某些影響或有助于電子數據取證相關活動的條款。ISO/IEC27037對于各種類型檢材的取證提供了具體的方法與技術細節，其內容涵蓋了電子數據識別、收集、獲取和保存的完整過程。該標準向取證人員介紹了電子數據取證過程中常見情況的應對步驟，其中的現場勘驗部分對于目前的取證工作具有重要的參考意義。ISO/IEC27041為確保在信息安全事件調查中所使用方法和過程的適宜性提供了指南，包括要求定義、方法描述、證據提供的最佳實踐以及滿足要求的方法實施。ISO/IEC27042為電子證據的分析和解釋提供了指南，某種意義上解決了電子證據分析的連續性、有效性、可再現性和可重復性等問題。ISO/IEC27043定義了電子取證的原則，并為不同現場或案件電子取證調查提供了一種理想化的過程模型，使得按照該流程開展的電子取證分析滿足可復現性要求。ISO/IEC27050涉及電子證據的發現階段，特別是電子存儲信息（ESI）的發現。該標準認為電子證據發現包括以下主要步驟：識別、保護、收集、處理、復審、生產等幾個階段。ISO/IEC30121為機構中的領導（包括委員會成員、高級管理人員等）提供了開展電子取證前如何組織電子數據取證工作的最佳方法。

圍繞電子數據取證流程（活動），ISO/IEC從監督管理、流程步驟、保障措施等涉及取證工作的不同方面、不同環節分別制定相應標準或者引用標準條款，規范電子取證工作，確保電子數據取證工作質量，這一標準體系設計思路值得借鑒。

（二）美國標準制定情況

作為信息技術最發達的國家，美國早已開展了電子數據取證相關工作并積累了大量的經驗，在研究投入上遠超其他國家，不僅有眾多研發專業化計算機取證工具的高科技公司，而且出現了許多專門的電子數據取證機構、實驗室和咨詢服務公司。據統計，美國至少有70%的法律部門都擁有自己獨立的實驗室，在電子取證標準化工作方面，也取得了大量成果。美國國家標準與技術研究院、國家司法研究所、美國聯邦調查局的“數字取證科學組”和“圖像技術科學組”、美國試驗與材料學會國際組織等機構制定了一系列電子數據取證相關的標準和規范。

◇美國國家標準與技術研究院

美國國家標準與技術研究院（National Institute of Standards and Technology，NIST）出臺的電子數據取證方面的標準和文件包括特別出版物（SP800）系列和內部報告（IRs）系列等，大部分已經出臺的文件都是非強制性的指南，為政府部門的相關工作提供實施的指導性意見。

SP800系列是指南文件，對聯邦政府部門不具備強制性，而只是提供一種供參考的方法或經驗。目前，SP800系列與電子數據取證相關的標準有：PDA取證指南、移動電話取證指南和應急響應中使用取證技術指南（見圖1）。內部報告（IRs）系列主要向特定讀者描述相關技術方面的研究內容。目前，電子數據取證相關內部報告主要是關于PDA取證工具、移動終端取證工具、移動通信協議取證分析、云計算取證技術等技術研究內容。

總的來說，NIST針對電子取證制定的指導性文件并不多，這可能與其職能定位有關，但是為了配合其他機構開展電子取證相關工作，NIST發起了包括“計算機取證工具測試”項目（Computer Forensics Tool Testing，CFTT）、“國家軟件參考庫”項目（National Software Reference Library，NSRL）以及“計算機取證參考數據集”（Computer Forensic Reference DataSets，CFReDS）在內的多個研究項目。其中，CFTT項目旨在為確保執法部門使用的電子取證工具的有效性，而建立一套測試電子取證軟件工具方法，內容包括規格說明書編制、測試程序、測試標準、測試數據集和測試硬件。NSRL項目負責建立一個包含各種軟件的文件以及數字簽名的目錄，以便在執法和數字取證時使用。CFReDS項目為取證工具有效性驗證、裝備檢查、人員訓練，以及在實驗室認可工作中取證人員的能力水平測試等工作中提供數據。

◇國家司法研究所

國家司法研究所（National Institute of Justice，NIJ）隸屬于司法部，在2001年頒布了《計算機現場勘查指南》后，不斷資助相關領域的研究項目以促進電子證據取證工作，并以特別報告（Special Report）的形式發布了部分標準。其中《電子犯罪現場勘查：首要響應人員指南》和《電子犯罪現場勘查：執法人員指南》兩部文獻中提出了電子取證的“三項原則”，即：收集、保全、傳輸電子數據不應造成電子數據的改變；電子數據檢驗應由受過專門培訓的專業人員進行；扣押、傳輸、存儲電子數據的所有行為都應建立完整的書面記錄，并歸檔備查。

◇美國聯邦調查局“數字取證科學組”和“圖像技術科學組”

美國聯邦調查局隸屬于司法部，是美國政府打擊各種犯罪的聯邦機構。其下屬的“數字取證科學組”（Scientific Working Groupon Digital Evidence，SWGDE）和“圖像技術科學組”（Scientific Working Groupon Imaging Technology，SWGIT），以聯合或者獨立的形式發布了一系列涉及電子證據獲取與分析技術、規范流程、質量管理體系等的標準與規范，標準體系較完備，針對性和實用性強，在業界有很高的影響力。

此外，美國司法部的計算機犯罪與知識產權處（Computer Crime & Intellectual Property Section，CCIPS）和美國國土安全部的美國特勤局（United States Secret Service，USSS）也在其職責范圍內制定了一系列電子數據取證相關規范性文件。

（三）英國標準制定情況

英國在電子數據取證標準化研究方面也是成果豐碩。英國標準協會、英國首席警官協會、英國內政部科學發展處、信息保障咨詢委員會和英國數字保存聯盟等機構制定了一系列電子數據取證方面的標準規范。

◇英國標準學會

英國標準學會（British Standards Institution，BSI）是集標準研發、標準技術信息提供、產品測試、體系認證和商檢服務五大互補性業務于一體的國際標準服務提供商，面向全球提供服務。

在電子數據取證領域，英國標準學會早在2008年11月就頒布了包括BS10008:2008《電子信息的法定許可和證據權重規范》在內的一系列電子取證標準，2014年，英國標準學會對BS10008:2008進行了重新修訂，根據即將發布的BS10008:2014，該標準的章節由原來的7個增加到了10個，并且增加了大數據與云計算等最新技術。此外，近幾年，英國標準學會加大了與國家標準化組織的合作，ISO/IEC27040和27041等都以英國標準的形式予以發布。

◇英國首席警官協會

英國首席警官協會（Association of Chief Police Officers，ACPO）成立于1948年，是一個非營利性組織，監管英格蘭、威爾士和北愛爾蘭的警務實踐。為使實踐工作能符合取證的原則和標準，ACPO推出了《電子證據取證的最佳實戰指南》，并隨著實踐工作的轉變而新增、修訂和完善指南內容。在該指南中提出了計算機取證的4條基本原則：執法機構及人員采取的任何舉措均不能導致計算機及其存儲介質中的可能向法庭提交的數據發生改變；在必須接觸計算機及其存介質中的原始數據時，接觸人員必須能夠勝任，而且能夠解釋證據的關聯性以及取證行為的相關性；計算機取證所有過程必須創建審計追溯記錄或其他記錄，并加以保存，任何獨立的第三方機構經過程驗證都可以得出相同的結果；負責調查的人員（案件負責人）要對法律和原則的遵行情況全面負責。

（四）其他國際組織和國家

在電子數據取證領域，大多數國家都是直接參照美國或英國的取證標準。一些國家參照國際標準和英美標準，制定了符合自己國情的取證標準和方法。

◇計算機證據國際組織

成立于1995年的計算機證據國際組織（International Organization on Computer Evidence，IOCE）一直致力于制定處理電子證據的國際準則。IOCE提出了計算機取證過程應遵守的6條一般原則（因在2000年12月八國峰會上正式提出，簡稱“G8”原則）：必須遵守所有取證和處理證據的原則；獲取證據時所采用的方法不能改變原始證據；取證人員必須經過專門培訓；所有對電子數據的扣押、接觸、存儲以及移轉的行為必須以書面形式進行完整記錄，并歸檔備查；每一名電子證據保管員應對其針對電子證據的每一個行為負責；任何負責獲取、訪問、存儲或傳輸電子證據的機構有責任遵循這些原則。

◇Internet工程任務組和國際電信聯盟

Internet工程任務組（Internet Engineering Task Force，IETF）和國際電信聯盟（International Telecommunication Union，ITU）出臺的信息安全的相關標準中均有針對電子證據的規定。

（五）境外電子取證標準規范成果分析

境外在電子數據取證標準規范研究方面，取得了很多值得我國借鑒的成果，尤其是在取證原則、取證程序和取證工具檢測等方面取得了不少規范化研究成果，主要體現在以下幾個方面：

（1）在取證原則方面。對于電子數據取證所需遵循的原則問題，國際上具有代表性的觀點有“G8原則”、美國司法部提出的“三項原則”以及英國首席警官協會（ACPO）提出的“四論原則”。以上原則設計雖在條款數量上存在差異，但均傳承著相同的取證理念，取證既要符合相應的技術要求，又須依法進行。

（2）在取證程序規范化研究方面。以IOCE、SWGDE等為代表的國際組織和諸多學者都提出了相應的程序規范化建議。SWGDE于1999年10月在英國倫敦舉辦的國際高科技犯罪和法庭科學會議（IHCFC）中指出：“為確保電子證據能夠以一種安全的方式進行收集、保存、檢驗和傳輸，保障電子數據的準確性和可靠性，執法部門和取證機構必須建立和保持有效的質量體系，標準操作規程（SOP）文件應作為質量控制的指導方針，并制作相應的案件記錄，采用被廣泛接受的程序、儀器和材料進行檢驗�！蓖瑫r，SWGDE還提出了7條電子數據取證程序標準。

此外，SWGDE在其制定的《計算機取證最佳實踐》中，還從證據收集、證據處理、準備取證設備、鏡像制作、取證分析和檢驗、檢驗記錄、報告制作、復查7個方面規定了51條取證操作規則。IOCE在其制定的《數字技術司法鑒定最佳實踐指南》中也給出了與電子數據取證有關的程序準則。

（3）在取證工具檢測認證層面。最具代表性的是美國NIST所開展的計算機取證工具檢測計劃（CFTT），該計劃致力于取證工具檢測的通用規范、檢測程序、檢測標準以及檢測工具的研究，其從成立至今先后發布了一系列關于取證工具能力要求的技術準則，同時也制定了與取證工具檢測認證有關的程序和方法文件。這些涉及取證工具檢測程序、方法以及工具設計要求的技術規范的出臺，為取證產品研發廠商研發取證設備提供了依據支持、為業界進行取證工具檢測提供了檢測方法、為各取證機構選擇取證設備提供了質量衡量的依據，亦為取證結果的審查提供了技術依據。在NIST的CFTT計劃帶動下，諸多國家現已開展涉及取證工具的檢測，美國等西方國家現已將取證工具是否通過檢測作為取證工具的入市標準。

二、國內電子數據取證標準規范研究現狀

（一）國內電子數據取證法規和標準情況

我國電子證據的標準化工作起步較晚，但是國家有關部門對于相關政策和標準制定工作十分重視。2005年2月28日全國人大常委會通過的《關于司法鑒定管理問題的決定》，從國家基本法律層面對電子數據鑒定遵守技術標準的義務做了明確規定。2005年公安部發布了我國第一部電子數據標準化的規范性文件《計算機犯罪現場勘驗與電子數據檢查規則》，主要對電子數據現場取證和電子數據檢驗鑒定的程序、內容和要求等進行了規定。2005年公安部又發布了《公安機關電子數據鑒定規則》，主要規范公安機關的鑒定機構管理要求、鑒定人管理要求等與鑒定相關的問題。2007年《司法鑒定程序通則》（司法部令第107號）對鑒定人采納技術標準問題做出了詳細的要求：“司法鑒定人進行鑒定，應當依下列順序遵守和采用該專業領域的技術標準和技術規范：（一）國家標準和技術規范；（二）司法鑒定主管部門、司法鑒定行業組織或者相關行業主管部門制定的行業標準和技術規范；（三）該專業領域多數專家認可的技術標準和技術規范……”

2008年以來，公安部和司法部先后制定了電子數據取證各自行業標準。截至目前，公安部共發布了22個電子數據取證方面的行業標準：

（1）《電子數據存儲介質復制工具要求及檢測方法》（GA/T754-2008）

（2）《電子數據存儲介質寫保護設備檢測方法》（GA/T755-2008）

（3）《數字化設備證據數據發現提取固定方法》（GA/T756-2008）

（4）《程序功能檢驗方法》（GA/T757-2008）

（5）《電子物證數據搜索檢驗技術規范》（GA/T825-2009）

（6）《電子物證數據恢復檢驗技術規范》（GA/T826-2009）

（7）《電子物證文件一致性檢驗技術規范》（GA/T827-2009）

（8）《電子物證軟件功能檢驗技術規范》（GA/T828-2009）

（9）《電子物證軟件一致性檢驗技術規范》（GA/T829-2009）

（10）《電子數據法庭科學鑒定通用方法》（GA/T976-2012）

（11）《取證與鑒定文書電子簽名》（GA/T977-2012）

（12）《網絡游戲私服檢驗技術方法》（GA/T978-2012）

（13）《法庭科學電子物證手機檢驗技術規范》（GA/T1069-2013）

（14）《法庭科學計算機開關機時間檢驗技術規范》（GA/T1070-2013）

（15）《法庭科學電子物證Windows操作系統日志檢驗技術規范》（GA/T1071-2013）

（16）《移動終端取證檢驗方法》（GA/T1170-2014）

（17）《芯片相似性比對檢驗方法》（GA/T1171-2014）

（18）《電子郵件檢驗技術方法》（GA/T1172-2014）

（19）《即時通訊記錄檢驗技術方法》（GA/T1773-2014）

（20）《電子證據數據現場獲取通用方法》（GA/T1174-2014）

（21）《軟件相似性檢驗技術方法》（GA/T1175-2014）

（22）《網頁瀏覽器歷史數據檢驗技術方法》（GA/T1176-2014）

司法部于2014年發布了SF/ZJD0400001-2014《電子數據司法鑒定通用實施規范》、SF/ZJD0401001-2014《電子數據復制設備鑒定實施規范》、SF/ZJD0402001-2014《電子郵件鑒定實施規范》、SF/ZJD0403001-2014《軟件相似性檢驗實施規范》4個司法鑒定技術規范。

在國家標準層面，目前只有3個國家標準發布:《電子物證數據恢復檢驗規程》（GB/T29360-2012）、《電子物證文件一致性檢驗規程》（GB/T29361-2012）、《電子物證數據搜索檢驗規程》（GB/T29362-2012）。

通過對上述標準的分析發現，3個國家標準是公安部相應行業標準上升為國標，司法部制定的4個行業標準內容上也基本上借鑒了公安部相應的行業標準。因此，我國電子數據取證標準化建設工作最具代表性的還是公安部的行業標準。總的來說，公安部制定的行業標準可以分為四類：一是規范取證過程或流程類標準，比如GA/T976-2012和GA/T1174-2014；二是取證工具技術要求和測試類標準，比如GA/T754-2008和GA/T755-2008；三是電子取證方法技術類，這類標準最多，主要是規范某類操作，比如數據恢復操作（GA/T826-2009）、數據檢驗操作（GA/T825-2009）、文件一致性檢驗操作（GA/T827-2009）和軟件一致性檢驗操作（GA/T829-2009）等；四是針對不同取證對象的標準化取證操作類，比如網游私服（GA/T978-2012）、Windows系統日志（GA/T1071-2013）、電子郵件（GA/T1172-2014）、即時通信記錄（GA/T1773-2014）和網頁瀏覽器歷史（GA/T1176-2014）等。針對新的取證對象，公安部后續還會出臺相應行業標準。

（二）國內現有電子數據取證標準化工作存在的問題

（1）制定標準的體制機制不完善目前，我國還沒有建立起真正統一的司法鑒定管理體制，直接導致了電子數據鑒定標準化工作的滯后。職能部門內設的電子數據鑒定機構結合本部門的鑒定工作的實際情況，在本單位主管部門的主持下，發布了一些鑒定標準，這些帶有明顯部門特色的鑒定標準雖然在科學性上沒有問題，但在具體適用上并不具有普遍的適用性。

（2）現有電子數據取證規則/標準滯后于技術的發展

由于司法鑒定標準的制定總是滯后于技術的發展，當某一領域的技術發展較為成熟或被該領域的大部分專家所認可時，鑒定標準才有出臺的基礎。電子技術發展日新月異的特點，使得電子數據鑒定標準的出臺，比其他司法鑒定標準的出臺更加困難，比如針對云計算、大數據的取證標準。

（3）電子數據取證標準體系不完備電子數據鑒定現有公共安全行業標準22個，國家標準3個，從內容上看，3個國家標準幾乎是從之前的行業標準中直接照搬過來的。所以說從內容上看，國家標準并未有實質性的突破，個別標準內容過于簡單，規范過于籠統，缺乏可操作性。從標準是否構成體系來看，現有標準還留有較多空白，例如網絡數據的鑒定、硬盤修復數據的鑒定等等。此外，對電子數據鑒定涉及的手機數據，網絡數據都缺乏相應的標準，對于鑒定人員資質、設備的配置標準等也都沒有進行規范。

三、保密領域電子數據取證標準化工作設想

按照保密法的規定，保密行政管理部門承擔著保密違法案件查處的職責。從滿足保密案件查處工作實際需要出發，保密工作部門有必要建立符合自身工作特點的電子取證標準化體系。

在標準化建設工作思路上，要采用借鑒和自研相結合的方式，加快推進取證標準體系建設。在國內電子數據取證缺乏統一標準的情況下，保密領域電子數據取證標準化工作應首先滿足保密行政行政管理部門行政執法需要，學習國際電子數據取證標準化工作先進做法，借鑒國內有關部委電子數據取證標準化工作成果，立足于保密技術核查取證工作實際，采用“引進”和“自研”相結合方式，加快建立保密核查取證標準體系。在一些電子取證通用性操作上，比如數據保全、數據恢復等標準，可以借鑒國內同行的標準成果，在具有保密技術取證特色或者與保密取證工作環節密切相關的環節上，則需要結合保密工作實際制定自己的標準，比如涉密文件搜索檢驗規范、竊密軟件分析規范等等。

在保密標準體系構建上，需要充分考慮電子數據的特殊性和保密工作的特殊性，從電子證據的產生、存儲和轉移的特點出發，分基礎性標準、技術性標準和管理性標準三個層次進行規范，以期得到一個科學而合理的鑒定標準體系�；�礎性標準主要是規范電子數據取證鑒定所涉及的一些專業術語、基本原則和軟硬件設備標準。通過制定這些基礎性標準，可以從根本上規范電子數據取證鑒定工作，為電子數據鑒定的標準化打好堅實的基礎。

技術性標準作為電子數據取證鑒定程序標準化建設最核心的標準，可以分為取證階段的標準和鑒定階段的標準兩部分。取證階段的標準可分為程序性標準和技術性標準兩大部分。程序性標準包括參與取證的人員資質標準、取證設備標準、針對聯網設備取證的環境標準等。在正式開展取證工作前，必須詳細了解具體案情，事先做好預案，對現場環境、設備狀態等進行詳細的記錄。鑒定階段是指在實驗室條件下進行鑒定的階段，該階段的標準是目前已有標準主要關注的領域，相對而言，已經比較規范，可以根據保密違法案件核查的技術特點，以通用技術方法對鑒定階段的標準進行分類，分別制定完善，比如鑒定階段的電子數據的恢復標準、涉密數據的搜索標準、攻擊竊密程序的分析標準等。管理類標準電子數據鑒定結果的真實可靠，與所在的實驗室的規范化管理是分不開的。結合《檢測和校準實驗室能力認可準則》（ISO/IEC17025:2005），從鑒定實驗室人員的管理標準、電子數據鑒定實驗室的環境標準、采用技術方法、設備的配置、檢材的處理等方面，建立相應的管理性標準。

 

（作者：何建波）