中国刑事诉讼法学研究会是团结全国刑事诉讼法学工作者和法律工作者的全国性法学学术团体,其前身是成立于1984年的中国法学会诉讼法学研究会(2006年,诉讼法学研究会分立为刑事诉讼法学研究会和民事诉讼法学研究会)。2013年12月,中国刑事诉讼法学研究会完成民政部社团法人登记手续,...
杨静:关于计算机取证鉴定标准体系的研究
【作者简介】杨静,单位为湖北警官学院。
【文章来源】《湖北警官学院学报》2014年第10期
 
【中文摘要】我国计算机取证鉴定国家标准、司法行业标准缺失,应从计算机取证现场勘验的规范,计算机取证鉴定对象的管理标准,计算机取证鉴定程序的规范及监控标准,计算机取证所采取的鉴定方法、技术的规范,对计算机取证鉴定结论的评断标准,对计算机取证的技术装备工具开发检测的标准,计算机取证实验室建设标准七个大的层面来构建计算机取证鉴定标准体系。
【中文关键字】计算机取证;鉴定;标准体系
【全文】

 

    随着社会信息化程度的不断发展,许多社会问题不可避免地和计算机产生联系,计算机取证的重大需求由此产生。早在1991年,在美国召开的国际计算机专家会议上首次提出了计算机取证(ComputerForensics)这一术语,之后召开的许多国际会议均以计算机取证为主题进行探讨、研究。2002年,在美国夏威夷召开的计算机安全技术论坛(FIRST年会)上提出了计算机取证协议和程序的标准化问题,将计算机取证的标准化问题提上议程{1}。相对于信息技术发达国家有着近30年的计算机取证研究历史,我国的计算机取证研究是伴随着计算机犯罪事件的出现而发展起来,也就是10年左右的事情,而计算机取证鉴定标准体系的研究则更为滞后。

    一、计算机取证鉴定标准体系研究之现状

    在我国,2005年全国人大常委会颁布了《关于司法鉴定管理问题的决定》,从国家基本法律层面对电子数据鉴定遵守技术标准的义务作了明确规定。与此同时,公安部制定的《公安机关电子数据鉴定规则》对公安机关电子数据鉴定人应当遵守的行业标准和检验鉴定规程提出了相关要求{2}。2012年召开的第十一届全国人大常委会第28次会议将“电子证据”作为一种新的证据种类纳入我国八大证据种类之中。在2013年新实施的刑诉法、民诉法中,计算机证据都已作为正式证据形式出现{3}。然而,目前我国除了公安部于2006年颁布的《公安机关鉴定机构登记管理办法》将鉴定机构遵守技术标准的情况纳入登记管理部门年度考核的内容以及2007年颁布的《司法鉴定程序通则》对鉴定人采纳技术标准作出了相关部门规章外,计算机取证鉴定国家标准、司法行业标准都存在着缺失。因此,建立一套标准化的计算机取证鉴定标准是我国目前在信息网络安全领域亟需解决的重要问题,也是具有鲜明的时代特点和强烈的社会需求的。计算机取证鉴定标准体系的建立对于改变计算机取证司法鉴定当前的尴尬局面具有十分重要的现实意义。

    截至目前,在国际上较权威的计算机取证与司法鉴定原则均是在2000年由美国、俄罗斯、法国、德国、英国等八个国家的计算机取证与司法鉴定研究人员组成的G8小组颁布的六条原则{4}。这六条原则分别从司法鉴定过程,获取证据时所采用的方法,从事取证与司法鉴定人员的资格,证据的获取、访问、存储、传输及保存的过程,接触电子证据人员对其在该证据上的行为所负责任,进行计算机取证的相关机构应遵循的原则这六个方面进行了规范。此后,计算机证据国际组织IOCE(InternationalOrganizationonComputerEvidence)还制定了“电子证据鉴定的最佳实践”、“电子取证人员培训、知识、技能与能力”、“数据图像与声音取证”、“电子取证的质量体系”、“实验室管理规范”等一系列电子取证与鉴定的规范和标准。

    二、计算机取证鉴定标准体系之提出

    (一)计算机取证鉴定标准体系的七大层面

    与其他信息技术发达国家相比,我国计算机取证鉴定标准体系研究工作起步较晚、基础薄弱,而国外的计算机取证鉴定标准体系又无法适应我国国情、诉讼制度和技术水平,故我国对计算机取证鉴定标准体系研究的需求迫在眉睫。随着信息技术的高速发展,新的存储介质、软件、网络协议、电子设备等不断涌现,计算机取证鉴定标准的研究必须紧跟信息技术发展的步伐,所以计算机取证鉴定标准研究的任务极其紧迫也十分艰巨。现针对计算机证据形式多样、载体丰富、易受侵害、依附的信息系统易受攻击、结构复杂、易受人为因素的干扰等特点,本文拟从以下七个大的层面来构建计算机取证鉴定标准体系:

    1.计算机取证现场勘验的规范。

    2.计算机取证鉴定对象的管理标准,包括对鉴定对象的识别、获取、保存、运输等一系列的管理标准。

    3.计算机取证鉴定程序的规范及监控标准,包括对计算机证据进行恢复、比对、提取、检验、分析、摄像、审查、展示等操作标准。

    4.计算机取证所采用的鉴定方法、鉴定技术的规范。

    5.对计算机取证鉴定结论的评断标准。

    6.对计算机取证的技术装备工具开发、检测的标准。

    7.计算机取证实验室建设标准。

    (二)计算机取证鉴定标准体系的细化

    1.计算机取证现场勘验的规范。由于计算机证据跟传统证据相比,具有脆弱性、分散性、隐蔽性、多态性和时间、空间跨越性大等特点,计算机取证的现场勘验也不同于传统意义上的犯罪现场勘查。在进行计算机取证时,到达取证现场的第一步就是要保护可疑计算机,对可疑计算机系统进行冻结并切断其外部所有连接,避免重启、运行程序、连接网络等操作使系统设置发生改变、感染病毒、数据受到破坏等情况的发生。{5}再以可疑计算机为中心向外围扩展勘查,绘制网络拓扑图,寻找有可能与犯罪有关的可疑痕迹物证,例如打印资料、系统手册、光盘、U盘等。

    2.计算机取证鉴定对象的管理标准。在对计算机取证鉴定对象进行识别、获取时,一定要保证鉴定对象的合法性、完整性和连续性,对计算机证据的原始特征和状态需进行详细记录。对可疑计算机系统的各种连接进行拍照、录像记录,对现场的可疑计算机作案工具进行编号,对相关应用软件和数据进行备份。在取证、保存、运输过程中应避免对计算机证据造成损坏,远离高磁场、高温、潮湿、灰尘、积压和具腐蚀性的环境。不轻易对可疑计算机进行拆卸、搬运,在必须搬运的情况下,需在搬运之前进行拍照、录像记录下原始现场情况。

    3.计算机取证鉴定程序的规范及监控标准。为了不修改和破坏原始数据,应在只读状态下将原始数据备份,再对备份数据进行鉴定,原则上并不对原始数据直接进行鉴定。同时,对原始数据进行封存,并加数字签名和MD5或HASH校验,在确保原始数据没被改变的同时也保证了取证活动各阶段数字证据的同一性{6}。在证据分析过程中不得随意修改存储介质中的数据,对于可能造成数据变化的取证操作需详细记录鉴定人员实施的操作及可能产生的影响。在进行计算机取证时必须两名合法鉴定人员同时在场进行鉴定,整个取证过程是受到监督并进行详细记录的,并且保证整个鉴定过程是可以重现的。

    4.计算机取证所采用的鉴定方法、鉴定技术的规范。计算机可记录下复杂的运行轨迹,具有多种不同的特性,对计算机进行取证、鉴定也并非靠简单的分析与一般量化就能彻底解决。计算机司法鉴定作为一种专业技术手段,不仅仅体现在取证技术方法的运用、程序的合理、仪器设备先进等方面,也体现在科学的思维方法、正确的取证手段上。我们在取证过程中所用的各种方法与技术,包括数据恢复、磁盘镜像、密码分析与破解、信息搜索及过滤、IP地址获取、网络追踪等都必须是已得到认证或已被公开使用并得到同行认可的,并且这些方法与技术都应进一步规范以保证计算机证据作为提供给法庭的证据是符合法律法规的,具有可信性、准确性、完整性,能为法庭所接受的{7}。

    5.对计算机取证鉴定结论的评断标准。计算机取证鉴定结论作为合法的证据形式是必须经过取证、举证、质证、认证这四个诉讼证明环节。计算机取证鉴定结论评断标准需从鉴定结论证据能力和鉴定结论证明力两方面来规范鉴定主体资格、鉴定程序、鉴定结论的生成、鉴定结论的审查等,确保计算机取证鉴定结论的客观性、关联性、合法性。

    6.对计算机取证的技术装备工具开发、检测的标准。由于各种存储介质的数据存储量在飞速增长,再靠人工来完成当前的计算机取证工作已不现实,必须依靠取证速度快、自动化程度高、可靠性与全面性好、功能更强大的计算机取证工具,因此计算机取证的技术装备工具开发、检测标准必不可少。计算机取证工具的开发检测标准至少应该包括计算机取证设备技术要求和计算机取证设备检测、校准两方面。计算机取证的技术装备工具按计算机取证的过程可分为计算机证据的获取、保全、分析、归档四个阶段,包括计算机系统变量勘查取证工具、计算机操作系统日志取证工具、数据恢复工具、对存储介质进行数据取证工具、加密数据取证工具、数据固化与保全工具、破坏性程序勘查取证工具等等{8},制定这些计算机取证工具的开发、检测标准是为了确保取证结果的精准性。

    7.计算机取证实验室建设标准。至于计算机取证实验室建设标准则需从计算机取证鉴定机构的鉴定仪器设备和鉴定软件的多样性、先进性,鉴定人员的准入制度和日常规范考评制度以及鉴定人员的数量、能力、执业资质、技术职称、从业经历等各个方面进行规范{9}。其中,对计算机取证人员进行有规划、有步骤的培训和认证,制定计算机取证机构及从业人员的资质审核办法尤为重要。

    维护虚拟社会的和谐发展,是本世纪世界各国面临的最大挑战,计算机司法鉴定承担着不可取代的作用。计算机取证鉴定标准作为一门应用于司法实践的技术性科学,是一门计算机领域与法学领域相结合的交叉学科,也是一个新兴的研究课题,具有很强的交叉性、边缘性、应用性和创新性,需要我国相关职能部门和行业机构通力合作、共同推进与完善。制定计算机取证鉴定标准是我国法制建设的必然要求,是计算机司法鉴定工作走向法制化、规范化、标准化的重要步骤,是电子数据鉴定行业健康发展的基本保障。本文提出的基于七大层面的计算机取证鉴定标准体系还有许多不够完善的地方,需在实践中进行检验,不断改进以适应当前高速发展的信息技术,保持相对的通用性和稳定性。制定一套有效、合理、实用性强的计算机取证鉴定标准体系能有效遏制计算机违法犯罪行为,保障我国信息技术的健康、有序发展,促进社会的和谐稳定,具有重大的理论意义和现实意义。

 

 
【参考文献】
{1}丁明翠:电子证据的法律定位及采信规则[D].青岛:青岛大学,2011。
{2}李扬:网络证据保全公证的问题与对策[J].北京邮电大学学报(社会科学版),2011(2)。
{3}甘宏,潘丹:虚拟化系统安全的研究与分析[J].信息网络安全,2012(5)。
{4}蒋平,黄舒华,杨莉莉:数字取证[M].北京:清华大学出版社,2007。
{5}[美]WarrenG.KruseII,JayG.Heiser.计算机取证[A].段海新等译。应急响应精要[C].北京:人民邮电出版社,2003。
{6}刘品新:中国电子证据立法研引[M].北京:中国人民大学出版社,2005。
{7}胡亮,王文博,赵阔:计算机取证综述[J].吉林大学学报(信息科学版),2010(4)。
{8}王学光:计算机犯罪取证相关法律问题的研究[J].电信科学,2010(2)。
{9}郑秋新:基于云架构的计算机取证研究[J].福建警察学院学报,2012(2)。