法律執(zhí)行過程模型研究

摘要：計算機取證必須遵循嚴格的過程和程序，否則，所獲取的證據(jù)缺乏可靠性和真實性。建立一個實用的計算機取證模型很重要，因為它能不依賴任何一種特殊的技術或組織環(huán)境，為研究支撐調查工作的技術提供一種抽象的參考構架。文章針對法律執(zhí)行過程模型這一數(shù)字取證模型進行了簡單的分析。

關鍵詞：電子證據(jù)；計算機取證：數(shù)字取證：法律執(zhí)行過程模型

0 引言

隨著網(wǎng)絡技術的發(fā)展、互聯(lián)網(wǎng)普及程度的逐漸提高以及電子政務、電子商務的不斷拓展，計算機與網(wǎng)絡已成為社會經(jīng)濟生活中的組成部分。與此同時，針對計算機系統(tǒng)或網(wǎng)絡的犯罪活動以及利用計算機和網(wǎng)絡從事各種犯罪活動的人越來越多，由此造成的經(jīng)濟損失令人觸目驚心，引發(fā)的社會問題也越來越突出。因此，一種涉及到法學、刑事偵查學和計算機科學等學科的新興學科——數(shù)字取證(Digital Forensics)受到了越來越多的關注。它作為網(wǎng)絡安全和網(wǎng)絡犯罪發(fā)展的產物，是法律救濟的必要手段，對于起訴計算機犯罪行為至關重要。

數(shù)字取證，從研究范圍來講，既包括計算機取證又包括網(wǎng)絡取證；從其內涵來說，是對數(shù)字資源的提取、存儲、分析和利用，它與網(wǎng)絡取證和計算機取證的本質是一致的。因而，數(shù)字取證是指為了揭示與數(shù)字產品相關的犯罪或過失行為，以及由其他原因導致的使系統(tǒng)發(fā)生故障的現(xiàn)象，利用一切科學且合法的方法和工具、對以O／I二進制表示的數(shù)據(jù)電文進行識別、保存、收集、檢查、分析和呈堂等活動的過程。利用計算機和其他數(shù)字產品進行犯罪的諸多證據(jù)都以數(shù)字形式通過計算機或網(wǎng)絡進行存儲和傳輸，從而出現(xiàn)了電子證據(jù)，數(shù)字取證就是對電子證據(jù)的各種處理。為了獲取合法有效的電子證據(jù)作為呈堂證供，法律執(zhí)行部門就不可避免會接觸到各種各樣的電子設備并從中收集證據(jù)。但由于電子證據(jù)的特殊性，其獲取、存儲、傳輸和分析都需要特殊的技術手段和嚴格的程序并受相關法律法規(guī)的約束，否則，就會導致所獲取的證據(jù)缺乏可靠性和合法性，從而不被采用。自上個世紀90年代以來，人們相繼提出了很多數(shù)字取證的過程模型，其中早期提出的較為典型幾個模型包括：基本過程模型(Basic Process Model)、事件響應過程模型(Incident Response Process Model)、法律執(zhí)行過程模型(Law Enforcement Process Model)、過程抽象模型(Abstract Process Model)。

1 法律執(zhí)行過程模型

法律執(zhí)行過程模型是2001年美國司法部(DOJ)在“電子犯罪現(xiàn)場調查指南”中提出的模型。該指南對不同類型的電子證據(jù)以及對安全處理的不同的方法都進行了說明。同時也指出了在處理電子證據(jù)進行取證時須遵守的原則：

(1)收集、保護和轉移電子證據(jù)的過程不應該改變證據(jù)；

(2)電子證據(jù)只能由那些訓練有素的專門取證人員審查：

(3)在封存、轉移、儲存電子證據(jù)期間的一切行為都要記錄歸檔以供審查。

該過程模型的內容是：

(1)準備(Preparation)

在調查前，準備好調查期間所需要的設備和工具，對計算機犯罪的計算機調查人員進行培訓。由于電子證據(jù)易丟失，在對電子證據(jù)進行收集、封存、儲存和運輸?shù)倪^程中，對所用到的設備和工具要特別注意，那些會產生靜電、磁場的工具非常容易破壞電子證據(jù)。

(2)收集(Collection)

①保護與評估現(xiàn)場(Secure and Evaluate the Scene)：為了確定后面的具體行動，對計算機取證的現(xiàn)場范圍進行徹底的評估。通過回顧搜查令或其他授權，根據(jù)案件的細節(jié)，硬件和軟件的性質，識別潛在的證據(jù)并通過獲取證據(jù)現(xiàn)場的環(huán)境來確定哪些證據(jù)要進行重點檢查，同時要確保電子證據(jù)與傳統(tǒng)證據(jù)的完整性以及保護現(xiàn)場人員的安全。

②對現(xiàn)場記錄歸檔(Document the Scene)：及時記錄和歸檔現(xiàn)場有關情況，如現(xiàn)場取證位置、電源狀態(tài)、計算機設備、存儲介質、網(wǎng)絡設備等等。

③證據(jù)提取(Evidence Collection)：計算機證據(jù)的提取是在收集到大量數(shù)據(jù)中找到犯罪證據(jù)，所以根據(jù)計算機活動狀態(tài)的記錄和犯罪現(xiàn)場的環(huán)境，需選擇合法有效的程序來收集系統(tǒng)的數(shù)據(jù)副本。在證據(jù)的提取中主要會遇到兩個問題：一是犯罪嫌疑人會對重要文件進行加密，二是犯罪嫌疑人作案后會刪除、銷毀證據(jù)，這就需要使用到相應的密碼破解技術和數(shù)據(jù)恢復技術。

(3)檢驗(Examination)

對可能存在于系統(tǒng)中的證據(jù)進行校驗，特別是對那些隱藏的證據(jù)進行檢查，要構建一份詳細的文檔以便查找證據(jù)。

(4)分析(Analysis)

該階段是對對檢驗分析的結果進行復審和再分析，提取對案件偵破有價值的信息，從原始數(shù)字證據(jù)中找出計算機犯罪活動遺存的痕跡，還原計算機犯罪過程，鎖定計算機犯罪嫌疑人，并證明計算機犯罪嫌疑人和計算機犯罪活動之間的關聯(lián)。

(5)報告(Reporting)

匯總對案件的分析檢驗結果，提交和陳述證據(jù)。在法庭上最困難的問題是將計算機證據(jù)獲取過程向沒有技術背景的人陳述。證據(jù)的價值最終依賴于如何將它呈現(xiàn)在法庭上。因為，即使是對證據(jù)微小的質疑都將使證據(jù)失去證實任何犯罪的可能。所以取證結果的報告必須可以使沒有技術的或沒有計算機背景知識的人(包括法官、律師等)能夠理解。計算機證據(jù)必須以很簡單并且很精確的方式呈現(xiàn)，這樣才能使法庭上的所有人理解證據(jù)。

該模型是美國司法部(DOJ)從具體技術角度抽象出的模型，用來描述計算機取證的過程。由于該模型參考了標準的物理現(xiàn)場調查模型，使數(shù)字取證更貼近司法實踐，因此對電子證據(jù)的收集有時也可以利用傳統(tǒng)的物理取證手段。但在這個指南中并沒有對計算機或其他電子設備的取證區(qū)別對待，而是對大多數(shù)電子設備建立了一個通用的取證過程。該指南詳細地列舉了從電子設備以及犯罪現(xiàn)場環(huán)境中可以取到哪些類型的證據(jù)和一些潛在的證據(jù)，并列舉了與這些證據(jù)相關聯(lián)的犯罪類型。該模型也有優(yōu)缺點。

優(yōu)點：

①對不同類型的電子證據(jù)以及對安全處理的各種方法都進行了說明；

②取證過程滿足法律約束，保證了取證的合法性，以及證據(jù)的有效性；

③能指導司法人員對計算機犯罪進行現(xiàn)場調查。

缺點：

①過分依賴于物理過程；

②對系統(tǒng)的分析涉及較少，沒有考慮到計算機的特性；

③缺乏詳細的檢查與分析過程的說明，通用性不強。

2 結束語

面對日益增多的計算機犯罪，數(shù)字取證變得非常重要，而數(shù)字取證程序又是數(shù)字取證工作中的重要環(huán)節(jié)，因此它的制定應確保具有法律效力和普遍適合原則。取證程序的正確制定是取證工作的關鍵，一個合理、正確且合法的數(shù)字取證程序對取證工作起著指導作用，它能確保取證工作各個環(huán)節(jié)的正確進行。只有保證取證工作各個環(huán)節(jié)的程序化，才能使得取證結果具有可信性，在法庭上才具有說服力。