電子取證3.0時代的實驗室建設(shè)思路

江漢祥 張輝極

摘? ?要：電子取證進入了3.0時代，電子取證實驗室建設(shè)也需要跟上時代，要具備時代的特色，符合信息化的要求，適應(yīng)信息科技發(fā)展的趨勢。首先從網(wǎng)絡(luò)上連接各個實驗室，再從裝備上進行智能互聯(lián)化改造，從而構(gòu)建一體化實驗室，開展取證知識的匯聚與共享，取證能力的下沉，取證技術(shù)的更新，將大數(shù)據(jù)平臺能力支撐給取證前端，并將人工智能技術(shù)應(yīng)用到取證的各個領(lǐng)域。

關(guān)鍵詞：電子取證;取證3.0;取證實驗室;取證技術(shù);人工智能

中圖分類號：TP29? ? ? ? ? 文獻標識碼：A

The laboratory construction thought under E-forensics 3.0

Jiang Hanxiang， Zhang Huiji

（Xiamen Meiya Pico Information Co.，Ltd.，F(xiàn)ujianXiamen 361008）

Abstract： Following the E-forensics entering the third generation， the E-forensics laboratory construction should also make a completed change， having the characteristics of the times，complying with informationize requirements，adapting the trend of informationize technology development.The construction thought would be connecting libraries on the internet firstly and remoulding Intelligent Internet? based on equipment secondly to set up integrational libraries，opening forensics knowledge gathering and sharing，forensics serviceablity accumulation，forensics technology upgrade and supporting the fore-end forensics with big-data platform serviceablity，and apply AI technology to all fields of forenics.

Key words： e-forensics; forensics 3.0; forensics laboratory; forensics technology; artificial intelligence

1 引言

2011年之前，定義此階段為電子取證1.0時代，也稱之為單兵式介質(zhì)取證時代。這個時期取證對象主要是硬盤、功能手機、移動存儲等;主要特征是單兵裝備、獨立分析、數(shù)據(jù)孤島;取證工作的目的主要是為了檢驗鑒定。

2012年到2017年間，定義此階段為電子取證2.0時代，也稱之為智能設(shè)備取證與匯聚時代。這個時期取證對象主要是智能手機、硬盤、超級本、移動存儲等;主要特征是計算機取證與手機取證走向融合、取證業(yè)務(wù)開始擴展到其它相關(guān)業(yè)務(wù);取證工作的目的在檢驗鑒定基礎(chǔ)上擴展到情報分析。

2018年以來，定義此階段為電子取證3.0時代，也稱之為全景數(shù)據(jù)下的取證與研判時代。這個時期隨著數(shù)據(jù)上云、物聯(lián)終端的發(fā)展趨勢，以及大數(shù)據(jù)和人工智能的發(fā)展，取證的特征重點表現(xiàn)為云取證、物聯(lián)終端取證以及大數(shù)據(jù)+取證和人工智能在取證中的應(yīng)用。

電子取證實驗室（簡稱實驗室）建設(shè)發(fā)展已經(jīng)很長時間，但長期受到無法網(wǎng)絡(luò)連接的瓶頸，信息化建設(shè)依然很落后，無法適應(yīng)當前時代的要求。

本文提出在電子取證3.0時代下，實驗室建設(shè)的“九化”思路，從網(wǎng)絡(luò)鏈路、裝備智能互聯(lián)、知識共享、能力下沉、技術(shù)方向以及大數(shù)據(jù)賦能和人工智能應(yīng)用等方面做了詳細的論述，為新時代的電子取證實驗室建設(shè)提供了參考與借鑒。

2 現(xiàn)狀與問題分析

2.1 實驗室建設(shè)存在的問題

一是取證裝備單兵作戰(zhàn)，實驗室無網(wǎng)絡(luò)，數(shù)據(jù)孤島。電子取證發(fā)展已經(jīng)十多年了，盡管電子取證技術(shù)有了很大的發(fā)展，但是電子取證裝備依然處于單兵狀態(tài)，電子取證能力完全取決個人利用工具的能力。同時，實驗室也處于無網(wǎng)絡(luò)或局域網(wǎng)絡(luò)內(nèi)，裝備與系統(tǒng)間無通訊、電子取證的數(shù)據(jù)沒有匯聚、電子取證的過程無審計等問題。

二是電子取證業(yè)務(wù)管理不規(guī)范，限于人工管理，滿足不了當前信息化要求。目前，實驗室取證業(yè)務(wù)管理依然停留在早期的人工或半人工狀態(tài)，也就是管理流程是線下流轉(zhuǎn)及線上輸入的狀態(tài)。這種狀態(tài)嚴重影響工作效率，滿足不了當前時代信息化要求：一方面可能造成管理不規(guī)范，流程失控;另一方面可能會出現(xiàn)數(shù)據(jù)失真，甚至有意造假等不良現(xiàn)象。

三是取證高密度數(shù)據(jù)價值休眠，線索無關(guān)聯(lián)。由于數(shù)據(jù)孤島，取證數(shù)據(jù)長期處于休眠狀態(tài)，沒有充分利用和發(fā)揮其作用。而實際上取證數(shù)據(jù)是高密度的高價值的數(shù)據(jù)，大部分是嫌疑人的數(shù)據(jù)。特別是團伙案件，嫌疑人之間存在緊密聯(lián)系，互相通聯(lián)的關(guān)系。以“壞人找壞人”是一種符合科學(xué)規(guī)律的快捷方式，所以有效利用電子取證數(shù)據(jù)，發(fā)揮其高密度價值是提高效率的必然要求。

2.2 信息科技發(fā)展現(xiàn)狀對實驗室建設(shè)的要求

一是5G將帶來物聯(lián)終端的暴漲。隨著5G技術(shù)的普及，將很快進入萬物互聯(lián)的時代。智能終端的數(shù)量將從當前的十億級劇增到百億級，甚至千億級。那時，物聯(lián)終端的取證將會成為主流。物聯(lián)終端將涉及到各個行業(yè)，取證將面臨適應(yīng)各種物聯(lián)終端接口的難題，同時解析協(xié)議.破解加密也將是物聯(lián)終端取證所面臨的難題。

二是云計算技術(shù)發(fā)展，帶來數(shù)據(jù)上云。隨著云計算的發(fā)展，云主機其可擴展、價格便宜、安全可靠的特性深受企業(yè)和個人用戶的歡迎。違法犯罪嫌疑人為了增加偵查和取證難度，以及降低成本也紛紛將涉案服務(wù)器上云。為此，云主機數(shù)據(jù)的取證成了當前不可回避的取證現(xiàn)實。另一方面，越來越多的手機數(shù)據(jù)將保存于云端，介質(zhì)數(shù)據(jù)相對于云端數(shù)據(jù)，將是冰山一角，手機取證必須解決云端數(shù)據(jù)取證的問題。

三是大數(shù)據(jù)平臺建設(shè)飛速發(fā)展，其強大能力未反哺到取證。公安大數(shù)據(jù)近年來得到了飛速的發(fā)展，給公安工作、偵查手段帶來了巨大的變革，然而這個大數(shù)據(jù)平臺的能力并沒有反哺到電子取證，給取證帶來紅利。為此，加強大數(shù)據(jù)平臺數(shù)據(jù)與前端取證數(shù)據(jù)的融合，將大數(shù)據(jù)平臺強大的數(shù)據(jù)資源和分析結(jié)果支撐到取證前端，以實現(xiàn)大數(shù)據(jù)條件下的取證情報分析能力的巨大提升。

四是人工智能技術(shù)廣泛應(yīng)用，也將成為取證技術(shù)的基本要求。大數(shù)據(jù)技術(shù)和云計算技術(shù)的發(fā)展為人工智能技術(shù)奠定了基礎(chǔ)，人工智能技術(shù)在各個行業(yè)的應(yīng)用不斷普及，解決了很多原來難以想象的問題，極大地提高了效率，促進了行業(yè)的進步。同樣，電子取證中有很多實際問題，也需要人工智能技術(shù)來支撐，例如文本語義分析、圖像內(nèi)容識別、人臉提取、人臉比對、圖片歸類、語音轉(zhuǎn)文字等。

3 電子取證3.0時代的實驗室建設(shè)思路

為了打造與維護網(wǎng)絡(luò)安全空間任務(wù)相適應(yīng)的電子數(shù)據(jù)實戰(zhàn)能力，引領(lǐng)電子數(shù)據(jù)規(guī)范化發(fā)展，進一步提升電子數(shù)據(jù)取證在維護網(wǎng)絡(luò)空間的主權(quán)、安全和發(fā)展利益中的作用，真正發(fā)揮出電子數(shù)據(jù)取證作為公安重要技術(shù)手段。為此，需要建設(shè)新時代的實驗室，也就是電子取證3.0時代實驗室。其建設(shè)按照“九化”思路來開展，也就是要實現(xiàn)：實驗室建設(shè)一體化、取證裝備智聯(lián)化、業(yè)務(wù)管理精細化、取證知識共享化、取證能力基層化、取證方法智能化、取證技術(shù)前沿化、取證分析情報化、取證人才專業(yè)化。

3.1 實驗室建設(shè)一體化

原來的實驗室因為沒有網(wǎng)絡(luò)連接支撐，只能作為完全獨立的個體存在，所以各?。ㄊ校┑亩鄠€實驗室就存在著重復(fù)建設(shè)、重點建設(shè)方向不明確、遠程協(xié)助無法實施、專家指導(dǎo)難以實現(xiàn)等問題。為了解決以上問題，需要將各?。ㄊ校┑乃袑嶒炇疫B接到同一網(wǎng)絡(luò)中，比如一個VPN網(wǎng)絡(luò)中。有了網(wǎng)絡(luò)條件后，多個實驗室從網(wǎng)絡(luò)本質(zhì)角度看就是一個實驗室，只是分布的地點不同而已。

同時，在建設(shè)實驗室一體化時，就可以考慮各個分中心的基本取證能力建設(shè)和重點突出取證能力。一體化規(guī)劃一方面減少重復(fù)建設(shè)，另一方面可以突出各個分中心的特色，從而形成各?。ㄊ校┮惑w化實驗室發(fā)揮整體取證能力，且通過數(shù)據(jù)匯聚和大數(shù)據(jù)平臺對取證設(shè)備的能力支撐，提升取證設(shè)備的取證分析能力。

3.2 取證裝備智聯(lián)化

長期以來，取證裝備都是作為一個獨立的裝備個體存在，裝備與管理系統(tǒng)間無通訊，這就造成取證能力局限在個人能力之中。為此，在實驗室網(wǎng)絡(luò)連接的基礎(chǔ)上，要讓取證裝備智能互聯(lián)化改造，讓裝備從原先“死”的狀態(tài)變“活”起來，能夠通過網(wǎng)絡(luò)與管理系統(tǒng)對話，能夠自動流轉(zhuǎn)管理系統(tǒng)上分配的案件信息;能夠把取證裝備的硬件信息、軟件信息、取證檢材的信息自動告知管理系統(tǒng)，能夠把取證過程的日志、標注內(nèi)容、取證報告、取證數(shù)據(jù)等自動上傳給管理系統(tǒng)，實現(xiàn)工作人員只需做該做的取證工作，其它事情由智能互聯(lián)化來完成，從而提高效率，并為業(yè)務(wù)管理帶來智能化、精細化的變革。

取證裝備智能互聯(lián)化的很重要基礎(chǔ)工作就是標準，也就是裝備與管理系統(tǒng)對話的標準，包括裝備硬件信息規(guī)范、裝備系統(tǒng)信息規(guī)范、裝備應(yīng)用軟件信息規(guī)范、檢材信息規(guī)范、用戶信息規(guī)范、取證標注規(guī)范、取證報告規(guī)范等。

3.3 業(yè)務(wù)管理精細化

原先實驗室業(yè)務(wù)管理是處于人工輸入信息的狀態(tài)，管理維度粗放。當裝備物聯(lián)化后，裝備的信息、檢材的信息、取證過程的大量信息都自動匯總。管理數(shù)據(jù)是真實可信的，管理方式就走向了智能化和規(guī)范化，而且管理粒度細化，無論從案件角度、檢材角度、工作人員角度、裝備角度，還是從實驗室整體角度都能夠有詳盡的統(tǒng)計和展示，給管理工作帶來質(zhì)的飛躍。

在業(yè)務(wù)管理上，可以掌握各實驗室的人員情況、裝備情況、取證案件情況、流程實現(xiàn)情況。在細節(jié)方面，可以從一個人的角度，掌握其一段時間內(nèi)受理的取證案件、處理的檢材、花費的時間、出了幾份報告、使用了哪些裝備;也可以從裝備的角度，掌握其有多少工作人員使用過、對接的檢材、工作的時間、當前是否在線等，這樣的管理工作粒度都是原先有的管理方式無法實現(xiàn)的。

3.4 取證知識共享化

長期以來，取證能力與個人能力是等同概念，個人在取證中形成的各種經(jīng)驗、方法與知識無法與他人共享。特別取證標注，是取證過程中取證人員智慧與取證內(nèi)容緊密關(guān)聯(lián)的知識，是很有價值的取證知識，原先都在各個案件中沉沒，只為做報告，沒有充分利用其價值。所以，需要建立標注標準，讓工作人員在標注時就能夠有標準遵循，同時裝備能夠?qū)?nèi)容與標注同時匯總到管理中心，經(jīng)過處理形成各種標注知識庫，比如文件特征庫、暗語庫、敏感URL庫等。同時，能夠?qū)⑦@種知識庫定期更新到各個裝備中，這樣每位工作人員都能夠共享集體智慧，從而取證能力就不再只是個人能力，而是“個人能力+集體智慧”。

同樣，工作人員的取證方法，特別是遇到新手機、新案件類型等問題時，特殊的取證方法就明顯具備指導(dǎo)意義。此時系統(tǒng)就需要處理這個取證方法，形成取證方法的知識圖譜，并匯總到管理中心。同樣，能夠?qū)⑦@種知識圖譜分享給其它裝備或工作人員，這樣遇到該問題的其他工作人員就可以共享該取證方法，快速解決問題，從而整體上提高人員的取證能力。

取證腳本是取證軟件能力的延伸，也是取證人員智慧的集中體現(xiàn)，且具備通用性和可利用性。通過匯聚大家的腳本，經(jīng)過審核后，形成腳本庫，也可以共享給其他取證人員，從而提高個人的取證能力，節(jié)省時間，提高效率。

3.5 取證能力基層化

取證知識匯聚經(jīng)過處理后形成各種取證知識庫：取證方法庫、取證腳本庫、文件特征庫、暗語庫、敏感URL庫等。這些知識庫可以通過平臺下沉給各個取證裝備，從而實現(xiàn)集體智慧的分享。

上級機關(guān)的實驗室分中心可以建設(shè)分布式的取證系統(tǒng)，以便開展專家會診、協(xié)同作戰(zhàn)、遠程協(xié)助等工作。這樣，基層在遇到疑難案件時，可以把鏡像傳給該系統(tǒng)，專家能力和裝備能力就下沉到基層。

基層單位需要提升取證能力，起到取證初檢的作用，做到裝備上數(shù)據(jù)取證一鍵化，檢查報告簡要配置化，同時又能滿足取證規(guī)范，這樣就可以承擔(dān)簡單案件的取證工作，減輕上級取證壓力。

3.6 取證方法智能化

隨著取證任務(wù)越來越重，取證對象越來越廣泛，會有不少工作人員缺乏經(jīng)驗，無法滿足取證工作要求。為此，需要將取證方法智能化，讓多數(shù)案件的電子取證變成一個基本能力。

取證方法智能化包括自動化取證（簡化取證操作流程盡可能減少人工操作干預(yù)）、策略可配置（根據(jù)案件性質(zhì)和檢材類型及系統(tǒng)配置可以選擇后自動推薦取證策略）、向?qū)饺∽C（通過取證知識庫引導(dǎo)一鍵式完成取證分析工作）。

3.7 取證技術(shù)前沿化

電子取證3.0時代，主要特征是云取證、“互聯(lián)網(wǎng)+物聯(lián)網(wǎng)”“大數(shù)據(jù)+人工智能”，那么取證技術(shù)也就圍繞著這些方面開展新技術(shù)的研究與突破，如表1所示。

3.8 取證分析情報化

電子數(shù)據(jù)是一種高價值高密度的數(shù)據(jù)，結(jié)合其它信息資源庫，可實現(xiàn)深度的數(shù)據(jù)挖掘、關(guān)聯(lián)分析，進行人員身份的確認、線索擴展等工作，重點體現(xiàn)在對實體的畫像，如案件畫像、人物畫像、虛擬身份畫像和物品畫像。其中，物品畫像主要是手機畫像和銀行卡畫像，比如刻畫出人物的涉案關(guān)系人、可疑群、涉案中間人、社會關(guān)系、可疑經(jīng)濟往來、軌跡分析等，以及多個涉案人員間的共同出現(xiàn)案發(fā)現(xiàn)場、交叉使用賬號、共同出現(xiàn)地點、共同交易對象、共同身份標識、共同群組及關(guān)系圈等。

同時，隨著大數(shù)據(jù)平臺的建立，需要將大數(shù)據(jù)平臺數(shù)據(jù)與前端取證數(shù)據(jù)的融合，將大數(shù)據(jù)平臺強大的數(shù)據(jù)資源和分析結(jié)果支撐到取證前端，彌補取證數(shù)據(jù)分析中線索難以落地、人物刻畫不全面、人員關(guān)系單一等弱點，以實現(xiàn)大數(shù)據(jù)條件下的取證情報分析能力的巨大提升。

3.9 取證人才專業(yè)化

人才隊伍體系建設(shè)注重人才培訓(xùn)和專家培養(yǎng)，通過強化對取證技術(shù)人員、運維管理人員的培訓(xùn)、交流和實驗演練，培養(yǎng)既懂技術(shù)又熟悉業(yè)務(wù)的復(fù)合型人才。以實戰(zhàn)成效為標準，進行遴選和動態(tài)管理，形成動態(tài)穩(wěn)定的專家隊伍及核心技術(shù)團隊。

4 結(jié)束語

通過建立高標準的“九化”電子數(shù)據(jù)勘查取證分析實驗室，可以滿足業(yè)務(wù)需求和實戰(zhàn)需要，以應(yīng)對電子數(shù)據(jù)取證能力體系化、實戰(zhàn)化、規(guī)范化和大數(shù)據(jù)應(yīng)用能力建設(shè)，并提高取證對抗、云取證、物聯(lián)終端取證和取證溯源等新技術(shù)研究，打造與維護網(wǎng)絡(luò)空間安全相適應(yīng)的電子數(shù)據(jù)實戰(zhàn)能力，引領(lǐng)電子數(shù)據(jù)規(guī)范化發(fā)展，進一步提升電子數(shù)據(jù)取證在維護網(wǎng)絡(luò)空間主權(quán)、安全和發(fā)展利益中的作用。

參考文獻

[1] 魏平平.計算機網(wǎng)絡(luò)實驗室建設(shè)的初探[J].科技資訊，2011（01）：241-241.

[2] 王璐.計算機取證實驗室建設(shè)的研究與探討[J].理論研究，2013（7）：88-90.

[3] 高春芳，羅燕. 論電子物證取證存在的問題及對策[J]. 楚天法治.2017（7）：186-186.

[4] 王寶章.淺析基層公安機關(guān)電子數(shù)據(jù)取證中的問題及對策[J].福建電腦，2016，32（9）：72+155.

[5] 蔡寧，黎常.知識分享及其研究理論基礎(chǔ)[J].情報科學(xué)，2017（1）：31-36.

[6] 吳紹兵.云計算環(huán)境下的電子證據(jù)取證關(guān)鍵技術(shù)研究[J].計算機科學(xué)，2012（39）：139-142.

[7] 付忠勇，趙振洲.電子取證現(xiàn)狀及發(fā)展趨勢[J].計算機與網(wǎng)絡(luò)，2014（10）：67-70.

[8] 王玲，錢華林.計算機取證技術(shù)及其發(fā)展趨勢[J].軟件學(xué)報，2003，14（9）：1635-1637.

[9] 趙庸，滕達.電子數(shù)據(jù)取證實驗室發(fā)展趨勢研究[J].電信科學(xué)，2010（S2）：88-93.

[10] 李進.公安院校計算機取證實驗室建設(shè)研究[J].西南民族大學(xué)學(xué)報，2009，35（3） ：616-618.

作者簡介：

江漢祥（1971-），男，漢族，福建柘榮人，北京大學(xué)，碩士，高級工程師;主要研究方向和關(guān)注領(lǐng)域：電子數(shù)據(jù)取證與數(shù)據(jù)分析。

張輝極（1980-），男，漢族，福建廈門人，廈門大學(xué)，本科，工程師;主要研究方向和關(guān)注領(lǐng)域：電子數(shù)據(jù)取證與人工智能技術(shù)。