成立背景
在電子數據取證技術發展的早期,人們主要關注於技術的實用性,更注重於套用產品的開發。由於忽視基本理論和基本方法的研究,導致在辦案過程中缺乏可依據的執行標準,而不規範的操作必然導致電子證據的證據力下降或受到質疑,由此促使業內專家和學者開始對電子數據取證理論、方法及標準等科學問題展開研究。1991年在美國召開的國際計算機專家會議(International Association of Computer Specialists)上首次提出計算機取證這一術語,1993年召開了第一屆計算機取證的國際會議(First International Conference on Computer Evidence),1995年成立了計算機證據的國際組織I0CE(International Organization on Computer Evidence)。此後,每年均有以電子數據取證為主題的國際會議召開。
IOCE取證原則
在歐洲,成立於1995年的計算機證據國際組織(IOCE)一直致力於制定處理電子證據的國際準則。2000年3月,IOCE依據1999年在倫敦召開的國際高技術犯罪和取證大會的內容,向其下屬機構提交了一份報告,提出了一系列計算機取證的定義和原則。該報告中指出計算機取證過程中應該遵守的6條基本原則:
1、必須遵守所有取證和處理證據的原則;
2、獲取證據時所採用的方法不能改變原始證據;
3、取證人員必須經過專門培訓;
4、完整地記錄對證據的獲取、訪問、存儲或者傳輸的過程,並對這些記錄妥善保存以便隨時查閱;
5、每一名保管電子證據的人員應對其針對電子證據的每一個行為負責;
6、任何負責獲取、訪問、存儲或傳輸電子證據的機構有責任遵循這些原則。
除了電子取證外,2002年,IOCE制定了《Guidelines for Best Practice in the Forensic Examination of Digital Technology》,該準則對電子證據的採集、保存、檢驗和傳送提出了特別要求,並獲得八國集團的認可。
即“電子證據鑑定的最佳實踐”“電子取證人員培訓、知識、技能與能力”“數據圖像與聲音取證”、“電子取證的質量體系”、“實驗室管理規範”等電子取證與鑑定的規範與標準。
國際組織簡介
美國在1998年成立了電子證據科學工作組SWGDE (Scientific working Group on Digital Evidence),成員包括聯邦調查局、國防部、美國國稅局、經濟情報局、海關等,SWGDE中專門成立了標準與認可委員會(standards and accreditation committee),開展包括電子證據獲取與分析技術、規範流程、質量管理體系等一系列標準與規範的制定。SWGDE制定的標準等規範包括:(1)名詞與術語;(2)最佳實踐,包括“機算機取證最佳實踐”、“司法語音的最佳實踐"。(3)技術方法,包括數據存儲、
數據完整性、數據搜尋、動態系統獲取、P2P技術等;(4)能力測試規程;(5)標準操作程式;(6)質量體系等。
歐洲法庭科學研究所聯盟(European Network of Forensic Science Institutes,ENFSI)。2009年,歐洲法庭科學研究所聯盟(ENFSI)為電子數據取證人員出版和撰寫了指南性手冊和報告,將這些取證分析結果規範化,起到了很大的影響,取證工作人員都依照這些手冊的內容進行取證工作。ENFSI制定的指南包括:
1、2009年4月,《Guidelines for Best Practice in the Forensic Examination of DigitalTechnology》第六版
2、2009年6月,《Best Practice Guidelines for ENF Analysis in Forensic Authenticationof Digital Evidence》
澳大利亞標準國際有限公司(Standards Australia International Limited, SAI)。澳大利亞標準國際有限公司(SAI)成立於1922年,1988年改名為澳大利亞標準學會,Standard Australian(SA),1999年又改名為現名澳大利亞標準國際有限公司(SAI)。SAI是非政府組織,它與聯邦政府簽署備忘錄認定(SAI)是澳大利亞最高的標準化機構,滿足國家對先進的、與國際上保持一致的相關服務的需求。2003年,SAI針對電子數據取證出版了指南《HB 171-2003, Guidelines for the management of IT evidence》。
香港資訊保全及法證公會(Information Security and Forensics Society, ISFS)。資訊保全及法證公會(ISFS)成立於2000年,是香港電子取證專家專業團體,主要目標是推廣計算機法證公眾意識,提升專家專業能力,創立公正規範的規程,促進法證技術的發展。該公會人員包括香港海關、香港警務處、廉政公署、律政司、企業信息安全人士、院校學者。ISFS積極推動與內地的合作與交流,目前已經和國內聯合舉辦了十三屆CCFC計算機法證技術峰會。ISFC發布的和電子數據取證相關的出版物有:
1、2004年4月,《Computer Forensics Part 1: An Introduction to Computer Forensics》
2、2009年8月,《Computer Forensics Part 2: Best Practices》
3、Computer Forensics Glossary
與國外的標準制定相比,我國電子數據鑑定標準化工作起步較晚。從正式發布的電子數據鑑定標準來看,國家標準缺失,迄今為止與電子數據司法鑑定關的有以下九項公安行業標準:
(1)GA/T 754-2008電子數據存儲介質複製工具要求及檢測方法。
(2)GA/T 755-2008電子數據存儲介質防寫設備檢測方法。
(3)GA/T 756-2008數位化設備證據數據發現提取固定方法。
(4)GA/T 757-2008程式功能檢驗方法。
(5)GA/T 825-2009電子物證數據搜尋檢驗技術規範。
(6)GA/T 826-2009電子物證數據恢復檢驗技術規範。
(7)GA/T 827—2009電子物證檔案一致性檢驗技術規範。
(8)GA/T 828-2009電子物證軟體功能檢測技術規範。
(9)GA/T 829-2009 電子物證軟體一致性檢驗技術規範。
電子數據取證的理論研究概況
2000年開始,我國正式啟動了計算機取證的研究,公安部以計算機犯罪案件、電子數據取證、計算機犯罪偵查等方向的技術展開了專項研究。隨後幾年,國家科技部、基金委等就“電子數據取證”方向設立了多個研究項目,進一步推動了我國計算機取證學科的研究發展。此外,公安系統的院校也紛紛建立了計算機取證實驗室,引進電子數據取證需要的工具、軟體和設備,培訓了新一代的電子數據取證和信息網路安全技術團隊。電子數據取證需求的增長也催生了一批成熟的商業公司和取證產品,美國的EnCase, FTK和Logicuba等公司從20世紀80年代就開始研究開發電子數據取證產品。
2005年11月,我國在北京成立了電子取證專家委員會並舉辦了首屆計算機取證技術研討會,2007年8月,在新疆烏魯木齊舉辦了第二屆計算機取證技術研討會。2005年以來,CCFC計算機取證技術峰會和高峰論壇也非常活躍,舉辦了三次大型活動。2007年和2008年,在北京舉行的國際反恐警用裝備展中,電子取證的軟硬體等設備,開始成為亮點。目前,中科院在網路入侵取證、武漢大學和復旦大學在密碼技術、吉林大學在網路逆向追蹤、電子科技大學在網路誘騙、北京航空航天大學在入侵誘騙模型等方面都展開了研究工作。
湖北警官學院在計算機取證和司法鑑定方面的研究工作走在公安院校的前列
2017年5月23日第十三屆CCFC計算機取證技術峰會暨展會(2017培訓年會)在武漢順利拉開帷幕,並取得圓滿成功。
其他國際組織
上海合作組織;
國際網路反恐多邊合作組織;
歐盟;
經合組織;
聯合國;
東南亞國家聯盟;
非盟;
大英國協秘書處;
歐洲警察組織;
歐洲網路與信息安全署;
國際的調查研究資源
高技術犯罪調查者協會(www.htcia.org);
國際計算機調查專家協會(ww.iacis.com);
高科技犯罪聯盟(www.hightechcrimecops.org);
全球虛擬特遣部隊(ww.virtualglobaltaskforce.com);
反釣魚工作組(www.antiphishing.org)。