2015-《电子取证中的热点难点问题-丁丽萍》

Institute of Software,Chinese Academy of Sciences 电子取证中的热点难点问题丁丽萍中国科学院软件研究所 Institute of Software,Chinese Academy of Sciences 提纲  概况  研究领域  热点难点问题 2 计算机取证OR电子取证OR数据取证 Institute of Software,Chinese Academy of Sciences 科学地运用提取和证明方法，对于从电子数据源提取的电子证据进行保护（preservation）、收集(collection)、验证（validation）、鉴定（identification）、分析（analysis）、解释（interpetation）、存档（documentation）和出示（presentation），以有助于进一步的犯罪事件重构或者帮助识别某些与计划操作无关的非授权性活动。信息安全解决事前的防护问题，取证解决事后究责问题新诉讼法的提法是“电子数据”（刑诉法P37 民诉法P22） 3 Institute of Software,Chinese Academy of Sciences 计算机取证的产生和发展  1991年，在美国召开的国际计算机专家会议上首次提出了计算  机取证（Computer Forensics）这一术语 1993年、1995年、1996年和1997年分别在美国和澳大利亚、新西兰召开了以计算机取证为主题的国际会议这些都标志着计算机取证作为一个研究领域的诞生. Institute of Software,Chinese Academy of Sciences 发展  奠基时期  初步发展时期  理论完善时期从总体上看，2000年之前的计算机取证研究主要侧重于取证工具的研究，2000年以后，开始了对计算机取证基础理论的研究。 Institute of Software,Chinese Academy of Sciences 奠基时期  时间：1984年至九十年代中期。  事件：     FBI成立了计算机分析响应组（CART）。数字取证科学工作组(SWGDE)，这个小组首先提出了计算机潜在证据（latent evidence on a computer）的概念,形成了计算机取证概念的雏形。计算机取证技术工作组（TWGDE）：更多地在技术层面上对“数据取证”技术进行研究。科学工作组（SWGs）的发展。  特点：公布了有关数字证据的概念、标准和实验室建设的原则等。截至1995年，美国48%的司法机关建立起了自己的计算机取证实验室。 Institute of Software,Chinese Academy of Sciences 初步发展时期  时间：九十年代中期至九十年代末期。  典型的计算机取证产品： Encase：美国Guidance软件公司开发，用于证据数据的收集和分析。  DIBS：由美国计算机取证公司开发，对数据进行镜像的备份系统。  Flight Server：由英国Vogon公司开发。用于证据数据的收集和分析。  其他工具：密码破解工具、列出磁盘上所有分区的LISTDRV、软盘镜像工具DISKIMAG、在特定的逻辑分区上搜索未分配的或者空闲的空间的工具FREESECS等等。  Institute of Software,Chinese Academy of Sciences 理论完善时期  时间：九十年代末期至现在  计算机取证的概念及过程模型被充分研讨  较为典型的五类模型：基本过程模型  事件响应过程模型  法律执行过程模型  过程抽象模型  其他模型   学科体系建设 Institute of Software,Chinese Academy of Sciences 数字取证国际会议动态  2001年至2003年召开的国际第13、14、15三届FIRST（Forum of Incident Response and Security Teams）网络安全年会，连续以计算机网络取证，也即数字取证为主题，研讨了网络安全应急响应策略中的证据获取与事件重建技术。它涵盖了数字取证的定义、工具及方法介绍，其中，数字证据的发现、文件系统的内部结构、 Windows系统的取证分析以及取证协议与步骤的标准化等问题讨论得十分热烈。  DFRWS（Digital Forensics Research Workshop）每年一次，专门针对计算机取证和电子证据的相关技术问题进行研讨。  E-forensic是2008开始举办的电子辨析技术研讨会年会。 Institute of Software,Chinese Academy of Sciences 研究数字取证的强国  美国：最早开展研究，有很多科研机构、大学和司法部门在积极    从事这方面的研究英国：比较早开展取证研究，特别是在和恐怖分子的斗争中很有经验澳大利亚：近年来的研究很有成效，2008年年初开始组织eforensics国际会议韩国：早在1995年，韩国警方就组建了“黑客”侦查队，并积极开展工作，此后分别于1997年和1999年建立了计算机犯罪侦查队和网络犯罪侦查队，并于2000年成立了网络恐怖监控中心，由此韩国成为了“网络侦查强国”。各国纷纷派人前去学习或请韩国人协助取证 Institute of Software,Chinese Academy of Sciences 中国电子学会计算机取证专家委员会 2005年4月以中国科学院软件研究所为依托单位成立了中国电子学会计算机取证专家委员会并召开工作会议。来自中国电子学会、公安部、信息产业部、中国科学院、北京大学、清华大学、中国人民大学、武汉大学、厦门大学、北京市国家安全局、北京市公安局和国内企业界的专家、学者和技术人员共计30余人参加了成立大会。 2007年6月2-3日再次在北京人民警察学院召开工作会议，调整了专家委员会成员，并就知识产权保护和网络欺诈中的计算机取证问题进行学术研讨。 2013年1月19日就电子证据在新形势下的发展问题召开高层次的前瞻性研讨（闭门会议，即非公开）多次讨论一些热点难点问题，并为我国电子证据法律技术的发展建言献策。 Institute of Software,Chinese Academy of Sciences 首届全国计算机取证技术研讨会时间：2004年11月地点：北京主办：  北京人民警察学院  中国科学院软件研究所  北京市公安局网络信息安全监察处  参加此次会议有来自全国各地的近100名代表。中国科学院、中国人民大学法学院等专家以及来自企业的技术人员和公安系统的专业人员就计算机取证技术的研究现状和发展趋势、计算机取证技术的需求与应用以及电子证据立法的现状与前瞻等问题作了专题报告。研讨会汇集了32篇论文，组成了论文集。这次研讨会对计算机取证技术的理论与实践的研究产生积极的影响，推动了我国计算机取证技术的发展。 Institute of Software,Chinese Academy of Sciences 第二届全国计算机取证技术研讨会时间：2006年8月地点：新疆乌鲁木齐主办：  新疆人民警官人民警察学院  中国科学院软件研究所  新疆自治区公安厅网络信息安全监察处 Institute of Software,Chinese Academy of Sciences 第三届全国计算机取证技术研讨会时间：2011年11月地点：上海主办：  华东政法大学信息学院  中国科学院软件研究所 Institute of Software,Chinese Academy of Sciences 第四届全国计算机取证技术研讨会     时间：2014年11月14日至16日地点：上海主办：中国电子学会计算机取证专家委员会承办：华东政法大学 Institute of Software,Chinese Academy of Sciences 第五届全国计算机取证技术研讨会     时间：2015年11月20日至22日地点：北京主办：中国电子学会计算机取证专家委员会承办：中央财经大学即将召开，欢迎大家积极参加！ Institute of Software,Chinese Academy of Sciences 第一届国际数字取证与调查技术研讨会时间：2012年9月21日-2012年9月23日地点：北京承办：中国人民公安大学 CITDC （中国国际人才开发中心 MeiYa （厦门美亚柏科公司） ISFS （香港资讯保安及法证公会） Institute of Software,Chinese Academy of Sciences Institute of Software,Chinese Academy of Sciences 电子取证相关课题  国家“十五” 科技攻关项目课题 ——电子数据证据鉴定技术  国家863项目 ——基于攻击和取证的信息系统安全隐患发现技术和工具，2002年  国家863项目子课题 ——电子物证保护及分析技术，2002年  国家863项目  ——云计算环境下的恶意行为检测与取证，2014年数字取证面临的7个主要问题 Institute of Software,Chinese Academy of Sciences 1. 搜集或检查会改变证据的原始状态； 2. 计算机调查和数字证据对法律执行、法庭和立法机关来说是个新生事物； 3. 爆炸性增长的数字媒体密度和普遍深入的计算机平台； 4. 数字数据或隐藏数据的非直观性； 5. 信息技术及广泛应用在日益变化； 6. 合格的取证人员的技能与培训； 7. 数字信息的短暂性（转移、易改）。