国内计算机取证发展 历程与展望 美亚柏科信息股份有限公司 赵庸 2016.8.17 1 国内电子数据取证技术的发展历程 发展 内容 安排 现状 展望 国内电子数据取证技术及产业现状 电子数据取证技术及产业的发展规划不展望 2 2 国内计算机取证的发展历程 Part 01 3 Part 01 国外计算机取证的发展 早在上世纪80年中期，计算 机取证技术就已开始在执法 联邦调查局（FBI），司法部（NIJ），缉毒局（DEA） 等多家执法部门，根据权限分别设立了电子数据取证的 与门机构。 部门和军队中使用。1999年， 电子数据取证的商用工作开 英国内政部设立有网络犯罪调查部门，其电子数据取证 始出现，当时，EnCase这 机构的特点是全部社会化。 一开创性的取证工具，在国 际计算机调查专家会议 IACIS上第一次被介绍。 2004年，国家警察厅建立了数据证据分析中心 （Center of Digital Evidence Analysis）进行电子数 据取证工作。 4 4 Part 01 国内计算机取证的发展 Floor Plan 香港警务处计算机 取证实验室 （2001年） 5 Part 01 香港警务处计算机取证实验室 Data Cloning Area Working Benches 6 6 Data Viewing Room Network Forensics Studio Part 01 国内计算机取证的发展历程 2012 取证大数据阶段 第五阶段 取证“云”平台阶段 （云架构） 第四阶段 2010 2006 2004 1999 区域合理规划阶段 （实验室标准化） 功能完善阶段 (单兵模式) 第三阶段 第二阶段 起步阶段 (单一软件) 8 第一阶段（起步） Part 01  1999年 第一款计算机取证工具EnCase诞生  2002年 国内首款“计算机取证勘查箱”诞生（美亚柏科） • 各类型只读接口 • 美国Logicube SF500、ICS Solo2 • Encase取证分析系统； 9 第二阶段（功能完善） Part 01 功能完善阶段（2004、2005年） • 摆脱原来的单兵工作模式； • 开始出现角色的概念； • 区域由“大单间”向“多分割”方向发展； • 简单的访问权限控制初现； • 无尘环境丌具备。 10 Part 01 第二阶段 该阶段计算机取证技术成功应用的典型案例 马加爵案件 11 11 Part 01 第二阶段 该阶段计算机取证技术成功应用的典型案例 12 12 第二阶段（功能完善） Part 01 国内尝试研发取证设备及软件，国内外设备混用阶段 • 硬件设备： • 分立设备（SF5000、SOLO II、DC8100/8200、勘查箱、大量只读锁） • 大量转接卡（IDE、SCSI） • 简单整合 • 软件： • • • • • • EnCase v4 FTK v2.0 DiskForen PDA Seizure DNA 2.0 AN 6 具有中国特色的“鉴定流程审计监管”概念产生 13 Part 01 第三阶段（实验室阶段） 规范化管理阶段（2006-2010年）  摆脱原来的流水工作模式；  开始逐步符合司法规范；  功能由“慎独”向“可控、可审”方向发展；  角色丰富，管理  更趋亍规范、严格。  无尘室被重视。 14 Part 01 第三阶段（实验室阶段） 取证设备及软件  硬件设备  复制设备：SOLO III、DC8101、勘查箱  只读设备：有机整合，形成桌面模块  工作台与业化明显  无尘工作台  秱劢勘查取证综合平台：FL150/200  软件  EnCase v5汉化  FTK v2  Cell Seizure/safemobile/DC-4500  DNA 2.3/Rainbow Table  AN 7  案件管理系统成形 国内首个国家级计算机取证实验室 15 第三阶段（实验室阶段） Part 01 国产取证设备及软件逐渐丰富，功能逐渐完善，实验室开始大规模建设  硬件设备：  复制设备：TD1、SOLO IV、DC8200pro、勘查箱  只读设备：DC8750pro功能强化和完善  100级无尘工作室  取证设备：FL-800、DC8000pro、FL200pro、仿真、破解、在线取证  软件  EnCase v6  FTK v3  Device Seizure/safemobile/DC-4500a  DNA 3/ATT1000pro/Elcomsoft  AN 8  X-ways  取证大师（FM2008）、SafeAnalyzer  案件管理系统：加入检材管理、光盘归档刻录打印 16 实验室建设指导规范 Part 01 建筑装饰 GB 50174-2008 电子信息系统机房设计规范； 环境要求 GB 50116-2006 火灾自劢报警系统设计规范； 温湿度 GB 50016-2006 建筑设计防火设计规范； 电磁干扰 GB 50015-2010 建筑给排水设计规范； 磁场 GB 50057-2010 建筑物防雷设计规范； 振劢 GB 50343-2012 建筑物电子信息系统防雷技术规范；静电 GB 50222-2001 建筑内部装修设计防火规范； 噪声 GB 50019-2002 采暖通风不空气调节设计规范； 洁净度 GB 50311-2009 综合布线系统工程设计规范； 电气要求 GB 50073-2001 洁净厂房设计规范； GB 。。。。。。 建筑面积 按级别要求 位置选择 建筑结构 采光 高度 排风 用水 网络 消防 防雷 检验鉴定 损坏存储介质检验 数据恢复 数据搜索 文件一致性检验 软件功能性检验 软件一致性检验 时间属性检验 电子邮件检验 上网记录检验 即时通讯检验 日志检验 数据库检验 实验室需有界定的术语和定义 现场勘验 电子物证提取不固定 现场保全备份 易丢失数据提取 密码破解 手机检验 信息应用 手机信息关联分析 社交网络信息挖掘库分析 基础建设 手机样本库 硬盘录像机样本库 硬盘样本库 《公安机关网安部门电子物证检验鉴定实验室装备分级标准》 《公安机关网安部门电子物证检验鉴定实验室能力分级标准》 能力 要求 国家级 一级 数据 固定 √ √ 数据 提取 √ √ 远程 提取 √ √ 数据 发现 √ √ 数据 解密 √ √ 数据 解码 √ √ 数据 分析 √ √ 二级 √ √ － √ √ － √ 三级 √ √ √ √ 程序 分析 √ － 实验室 管理 √ √ √ 实验室建设需有分级： 国家级实验室 5名鉴定人 一级实验室 4名鉴定人 二级实验室 3名鉴定人 三级实验室 3名鉴定人 基本配置 场地要求 国家级 一级 二级 三级 操作区 行政区 200 90 160 60 120 45 独立 独立 17 Part 01 第四阶段 “于”阶段（2010年开始）  全面提升技术手段和设备能力；  “绿色”超算；  功能由“单中心”向“分布式”方向发展；  远程协劣、会诊、技术支持得以实现；  数据关联查询分析；  远程取证；  邮件取证；  QQ群信息查询；  取证GPS；  网络舆情、热点分析；  基础信息查询。 18 第四阶段 Part 01 国产取证设备及软件全面替代国外产品，产品线丰富  硬件设备：  复制设备：第亐代复制设备13G/min、支持SAS  只读设备：DC8750pro超级只读模块  100级无尘工作室  取证设备：取证魔方、取证精灵、 FL800取证塔、破解（ ATT5000pro/极光II）、在线取证  软件  EnCase v6  FTK v3  Device Seizure/safemobile/DC-4500pro  DNA 3/ATT1000pro/Elcomsoft  AN 8  X-ways  取证大师（网络版、标准版、现场版）、SafeAnalyzer  实验室认可需求，案件管理系统：向认可靠近，加入预检功能 19 国内电子数据取证技术 及产业现状 Part 02 20 Part 02 信息技术发展状况  信息技术和信息产业的迅速发展，对我国国民经济和社会发展的各个领域都产生了广泛而深 远的影响。  亏联网中心统计报告，戔至2015年5月，我国网民规模达到6.68亿，手机网民5.94亿。  电子数据已成为司法机关获取破案线索和诉讼证据的重要来源。  因此，从法律、规范、应用等多个领域开始对计算机取证技术和应用做出了系统性的支持。 21