大數(shù)據(jù)環(huán)境下電子數(shù)據(jù)取證技術(shù)研究

六安市金安區(qū)投資審計中心 安徽 六安 237000

引言

互聯(lián)網(wǎng)技術(shù)已融入社會生活的各個領(lǐng)域，國家明確提出實施大數(shù)據(jù)戰(zhàn)略，加快建立信息數(shù)據(jù)庫和開放資源共享的提議。社會經(jīng)濟的飛速發(fā)展和體制改革產(chǎn)生了許多數(shù)據(jù)。隨著經(jīng)濟信息數(shù)據(jù)的發(fā)展，初級審計機構(gòu)的電子審計證據(jù)的質(zhì)量受以下幾個因素影響：

1 大數(shù)據(jù)環(huán)境中的電子取證

在大數(shù)據(jù)環(huán)境中，電子取證是從大量數(shù)據(jù)(例如數(shù)據(jù)收集，過濾，組織，存儲，處理和查詢)中提取證據(jù)的過程。大量的數(shù)據(jù)，不同的類型和快速的訪問速度使取證工作變得非常復(fù)雜。與傳統(tǒng)的電子取證相比，大數(shù)據(jù)環(huán)境中的電子取證具有三個特征。

(1)其他法醫(yī)科目。相應(yīng)的網(wǎng)絡(luò)數(shù)據(jù)遷移到云，并且許多關(guān)鍵數(shù)據(jù)也存儲在云中。因此，電子取證的目標(biāo)必須從單獨的設(shè)備轉(zhuǎn)移到云中。

(2)其他取證技術(shù)。隨著“智能城市”中城市安全和智能交通的迅猛發(fā)展，非結(jié)構(gòu)化數(shù)據(jù)量不斷增加，獨立技術(shù)無法再處理，必須依靠最新技術(shù)，如云計算和區(qū)塊鏈。

2 如何提高電子審核證據(jù)的質(zhì)量

1.完善與電子審計證據(jù)有關(guān)的法律法規(guī)，提高國家審計的可靠性。

為了完善與電子審計證據(jù)有關(guān)的法律法規(guī)，提高國家審計的信譽，應(yīng)制定有關(guān)審計數(shù)據(jù)接口，數(shù)據(jù)存儲和證據(jù)收集程序的法律，同時闡明審計方法，以確保審計證據(jù)的質(zhì)量和提高國家審計的可靠性。

2.規(guī)范電子審核數(shù)據(jù)的收集過程，提高電子審核證據(jù)的相關(guān)性。

一種是充分理解和評估被審核信息系統(tǒng)的內(nèi)部控制。在信息環(huán)境中，審計師必須充分了解被審計部門信息系統(tǒng)的內(nèi)部控制流程，以確保電子數(shù)據(jù)審計證據(jù)的可靠性和可靠性。在評估信息系統(tǒng)內(nèi)部控制的過程中，使用調(diào)查，訪談和其他方法來確定審計對象是否建立了適當(dāng)?shù)臋?quán)限管理機制，同一個人是否同時擔(dān)任不相容的職位，并且員工將遵守相關(guān)規(guī)定。

第二是遵循電子數(shù)據(jù)取證的原則，并明確收集范圍。首先，電子數(shù)據(jù)的收集，分析和證據(jù)收集必須遵循四個原則：及時性原則。電子數(shù)據(jù)的收集應(yīng)盡快進(jìn)行，以免電子數(shù)據(jù)被人破壞(合法性原則)。電子數(shù)據(jù)必須由至少兩名審核員和被審核部門的員工收集，以防止欺詐并確保所獲得的電子數(shù)據(jù)真實可靠。需要保護(hù)要檢查的計算機和信息系統(tǒng)，以防止數(shù)據(jù)篡改，被破壞和病毒感染，這是完整性的原則。盡可能全面地搜索信息系統(tǒng)，例如存儲的常規(guī)文件，還原已刪除文件，并全面分析所收集的電子數(shù)據(jù)以對被檢查系統(tǒng)進(jìn)行整體使用和搜索，隱藏，刪除，保護(hù)和加密各種文檔。

3 大數(shù)據(jù)環(huán)境中電子數(shù)據(jù)取證的挑戰(zhàn)

從大數(shù)據(jù)環(huán)境中的電子數(shù)據(jù)取證的層次結(jié)構(gòu)來看，大數(shù)據(jù)環(huán)境中的電子數(shù)據(jù)取證面臨許多問題，包括但不限于：

3.1 在應(yīng)用層取證中難以找到和提取證據(jù)對象 在大數(shù)據(jù)環(huán)境中，許多與網(wǎng)絡(luò)相關(guān)的數(shù)據(jù)記錄操作行為已從終端設(shè)備遷移到云中。例如，參與事件的人員登錄到云以使用數(shù)據(jù)或?qū)?shù)據(jù)存儲在云中或網(wǎng)絡(luò)磁盤上。在大數(shù)據(jù)環(huán)境中，使用互聯(lián)網(wǎng)運營商的用戶的習(xí)慣也在發(fā)生變化，從應(yīng)用層取證中很難找到數(shù)據(jù)并提取電子數(shù)據(jù)。電子數(shù)據(jù)取證，調(diào)查員通常需要云。

3.2 系統(tǒng)級取證的數(shù)據(jù)分析難度 在某些大數(shù)據(jù)分布式文件系統(tǒng)(例如DFS，HDFS)中，分區(qū)塊文件以其數(shù)據(jù)塊編號命名。文件類型和屬性關(guān)系不能僅通過文件名來確定。還用于電子數(shù)據(jù)取證人員跟蹤相關(guān)的因果事件。分析和判斷可能會引起的問題。其次，結(jié)構(gòu)化數(shù)據(jù)，半結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)共存。一些云計算具有自己的數(shù)據(jù)格式。數(shù)據(jù)量過大，電子數(shù)據(jù)取證的數(shù)據(jù)量經(jīng)常達(dá)到10TB甚至PB級，電子數(shù)據(jù)的分析注定不可能完成任務(wù)。

3.3 從技術(shù)上講，電子取證變得越來越困難 各種大數(shù)據(jù)媒體很難找到復(fù)雜的證據(jù)，而一些易變和動態(tài)的證據(jù)也很難獲得。數(shù)據(jù)的多樣性使相關(guān)分析更加困難。數(shù)據(jù)量越大，對分析效率的要求越高。數(shù)據(jù)的相互集成和共享并不容易實現(xiàn)。云平臺是電子證據(jù)的主要存儲平臺，大部分是分布式存儲系統(tǒng)，數(shù)據(jù)存儲通過多個虛擬層，虛擬化環(huán)境增加了取證的復(fù)雜性。此外，大量數(shù)據(jù)需要人工智能進(jìn)行篩選和分析，以提高相關(guān)數(shù)據(jù)的分發(fā)和分類效率，電子取證也面臨著高速計算的需求。

4 發(fā)展方向及改善措施

4.1 提高取證技能，提高取證效率 要跟上大數(shù)據(jù)技術(shù)的進(jìn)步，并提高傳統(tǒng)取證技能。特別是，針對云存儲和無處不在的物聯(lián)網(wǎng)傳感器的全面數(shù)據(jù)收集，構(gòu)建大數(shù)據(jù)平臺智能取證搜索系統(tǒng)，開發(fā)智能搜索引擎以進(jìn)行快速準(zhǔn)確的查詢和搜索以及優(yōu)化的數(shù)據(jù)挖掘算法，可提高數(shù)據(jù)清理和分析速度，并改進(jìn)了可視化結(jié)果的方法，以更直觀的方式呈現(xiàn)抽象數(shù)據(jù)。

4.2 改進(jìn)取證技術(shù)并提高取證效率 跟上大數(shù)據(jù)技術(shù)的進(jìn)步，并提高傳統(tǒng)取證技能。特別是，針對云存儲和無處不在的物聯(lián)網(wǎng)傳感器的全面數(shù)據(jù)收集[2]，構(gòu)建大數(shù)據(jù)平臺智能取證搜索系統(tǒng)，開發(fā)智能搜索引擎以進(jìn)行快速準(zhǔn)確的查詢和搜索以及優(yōu)化的數(shù)據(jù)挖掘算法可提高數(shù)據(jù)清理和分析速度并改進(jìn)可視化結(jié)果的方法，以更直觀的方式呈現(xiàn)抽象數(shù)據(jù)。

4.3 培訓(xùn)專業(yè)的人員，并提高對取證認(rèn)識 在大數(shù)據(jù)環(huán)境中，電子取證是知識和技能許多方面的應(yīng)用。需要對高級信息技術(shù)，網(wǎng)絡(luò)技術(shù)以及相關(guān)工具和軟件的有效支持。還需要某些調(diào)查思維，這需要專業(yè)取證人員。我們進(jìn)行全面而系統(tǒng)的專業(yè)培訓(xùn)。澄清大數(shù)據(jù)環(huán)境中電子取證所需的知識和技能，這些知識和技能必須達(dá)到一定水平，然后必須根據(jù)實際需要進(jìn)行目標(biāo)培訓(xùn)。此外，來自不同行業(yè)和部門的新思想，新技術(shù)和新方法必須與電子取證相結(jié)合，以支持電子取證的發(fā)展。

結(jié)束語

近年來，隨著大數(shù)據(jù)技術(shù)的飛速發(fā)展，電子證據(jù)已成為主要證據(jù)。在大數(shù)據(jù)環(huán)境中，電子取證對取證設(shè)備的存儲容量，數(shù)據(jù)分析能力和計算能力提出了更高的要求。電子取證必須緊跟大數(shù)據(jù)技術(shù)的發(fā)展，最大程度地提高電子取證的效率，打擊網(wǎng)絡(luò)犯罪，并為國家安全和社會發(fā)展做出貢獻(xiàn)。