《电子数据取证技术》课件-第1章

1.电子数据取证概述目录CONTENTS1.1电子数据1.1.1电子数据的概念1.1.2电子数据的表现形式及分类1.2电子数据证据1.2.1电子数据证据概念1.2.2电子数据证据特点1.3电子数据取证1.3.1电子数据取证的概念1.3.2电子数据取证的原则1.3.3电子数据取证面临的问题与发展.1.1电子数据1.1.1电子数据的概念电子数据，也称为电子证据，是指以电子数据形式存在并可以用于证明案件事实的材料。它的概念的源自20世纪90年代初，计算机取证证据国际化组织（IOCE）创建了目前在数字取证领域中享有盛誉的“数字取证科学工作组（SWGDE）”。这个工作组创先提出了“计算机潜在证据（latentevidenceonacomputer）”的概念，这个概念就是现在“电子证据”概念的雏形。1991年，在美国召开的第一届国际计算机调查专家会议（InternationalAssociationofComputerInvestigativeSpecialists，IACIS）上，首次提出“计算机证据”（ComputerEvidence）的概念，将其定义为“可以识别、恢复、提取、保存、形成报告并使之成为法律证据的电子形式存储的信息（ElectronicallyStoredInformation，ESI）”，这为打击计算机犯罪提供了法律基础。[刘浩阳:《电子数据取证》，清华大学出版社，2015年，p3]1.1.1电子数据的概念20世纪90年代中期，音频及视频技术不断从模拟方式向数字方式转变，这使得“计算机证据”概念在数字犯罪侦查领域中显露出了它的局限性。因此，包含数字视频和音频证据的、更为广泛的新概念—“数字证据（digitalevidence）”应运而生，并在1998年3月2日在维吉尼亚州举行的美国联邦犯罪调查实验室研讨会上被正式提出。[杨卫平.分布式计算机动态取证系统研究[D].中南大学,2006.]从20世纪90年代初开始，有关制定“数字证据”标准以及提供“数字证据”检验框架的工作一直没有停止。在这种需求下，SWGDE在1998年8月的年会中发表了“数字取证”中关于电子证据的相关标准和需遵循的基本原则，这些标准和基本原则于1999年10月发表在英国伦敦举行的“国际高技术犯罪与取证会议”（InternationalHi-TechCrimeandForensicsConference，IHFC）上，使电子证据的概念得到明确。1.1.1电子数据的概念在我国，全国人大通过《刑事诉讼法》修正案之前，电子数据的法律地位一直不明确，这也导致司法实践中对电子数据的运用于法无据。1996年的《刑事诉讼法》并未将电子数据列为证据，我国法律体系也没有将电子数据纳入所谓证据体系当中。此外，围绕电子证据本身也存在着理论界与法律界的诸多争议，主要集中在两点：一是电子证据的法律地位如何确立；二是如何确定电子证据的司法效力。随着云计算、物联网等互联网应用的飞速发展，传统犯罪快速向互联网迁移，犯罪手段不断翻新，电子数据在证明案件事实的过程中发挥着越来越重要的作用，缺乏电子数据的支撑将难以认定相关犯罪事实。将电子数据作为一种新的证据种类加以规定，已是必然选择。2013年1月1日施行的《中华人民共和国刑事诉讼法》为适应刑事诉讼的实践需要，将“电子数据[《中华人民共和国刑事诉讼法》第四十八条。]”增设为法定的证据类型，这也是我国首次将“电子数据”列入证据类型之中。1.1.1电子数据的概念《刑事诉讼法（2013年修订）》第四十八条（《刑事诉讼法（2018年修正）》第50条）规定了证据的八种类型：（一）物证；（二）书证；（三）证人证言；（四）被害人陈述；（五）犯罪嫌疑人、被告人供述和辩解；（六）鉴定意见；（七）勘验、检查、辨认、侦查实验等笔录；（八）视听资料、电子数据。《刑事诉讼法》的这一改变，进一步丰富了证据的外延，有利于规范司法实务部门对于电子数据的提取和应用，更好地证明案件事实。之后，《民事诉讼法》、《行政诉讼法》都将“电子数据”列为证据类型。从而在国家法律上对“电子数据”这一名称进行了统一的界定。1.1.1电子数据的概念《刑事诉讼法》第四十八条虽然将“电子数据”首次纳入法定证据种类之一，却并没有进一步明确电子数据证据的概念、证明规则、证明力的认定标准等基础和关键问题，电子证据的可采性和证明力认定这两大根本性难题在现有法律层面没有得到解决。直到2016年9月，最高人民法院、最高人民检察院、公安部印发了《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》，其中的第一条明确定义电子数据证据为“案件发生过程中形成的，以数字化形式存储、处理、传输的，能够证明案件事实的数据。”[《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》第一条。]这一定义清晰地阐述了电子数据证据的本质就是二进制数字，而文本、视频、音频、图像等只不过是电子数据证据的不同表现形式，这样定义电子数据证据有利于我们对其本质的认识。1.1.2电子数据的表现形式及分类作为一种新型的证据类型，电子数据即是一种独立的证据，也可以被视为其他7类证据的数据化。“同七种传统证据形式相比，应该说电子证据来源于七种证据，是将各种传统证据部分剥离出来而泛称的一种新证据形式”。《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》的第一条采取“概括＋列举＋排除”的方式，对电子数据作了明确界定。具体而言，第1款对电子数据作了概括规定：“电子数据是案件发生过程中形成的，以数字化形式存储、处理、传输的，能够证明案件事实的数据。”之所以限定为“案件发生过程中”，是为了将案件发生后形成的证人证言、被害人陈述以及犯罪嫌疑人、被告人供述和辩解等电子化的言词证据排除在外。1.1.2电子数据的表现形式及分类根据《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》第一条第2款的规定：“电子数据包括但不限于下列信息、电子文件：（一）网页、博客、微博客、朋友圈、贴吧、网盘等网络平台发布的信息；（二）手机短信、电子邮件、即时通信、通讯群组等网络应用服务的通信信息；（三）用户注册信息、身份认证信息、电子交易记录、通信记录、登录日志等信息；（四）文档、图片、音视频、数字证书、计算机程序等电子文件。”1.1.2电子数据的表现形式及分类根据解读，以数字化形式存储的音视频属于电子数据而非试听资料，而以模拟信号存储的磁带、录像带等音视频仍然属于视听资料。此外，上述信息虽然都属于电子数据，但是对于不同类型的电子数据的取证程序要求可能存在差别，如对于通信信息的收集、提取可能涉及技术侦查措施，应当经过严格的批准手续。根据刑诉法的规定，不同类型的证据在取证方法、取证程序上有不同的要求，对证据审查判断的要点也不同，鉴于这个原因，《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》第一条第3款的规定：“以数字化形式记载的证人证言、被害人陈述以及犯罪嫌疑人、被告人供述和辩解等证据，不属于电子数据。确有必要的，对相关证据的收集、提取、移送、审查，可以参照适用本规定”。1.2电子数据证据1.2

电子数据证据所谓证据就是指能够证明案件真实情况的事实。证据的基本功能就在于它具有证明一定事实存在与否的作用。证据在司法证明中的作用是无庸质疑的，它是法官判定罪与非罪的标准。因此，获取证据，是正确使用法律的前提条件和基础。随着信息时代的发展，电子数据以一种全新的证据形式出现在法庭上。电子数据证据是由于计算机犯罪而产生的，是惩罚计算机犯罪分子的必要条件。电子数据取证的主要任务就是获取电子数据证据。1.2.1电子数据证据概念作为一种由现代电子技术引发的新型证据，电子数据证据目前在世界范围内对其含义的理解可谓众说纷纭。从英文表述方式来看，常见的就不下十种，主要包括“ElectronicEvidence”、“DigitalEvidence”、“ComputerEvidence”、“Computer-BasedEvidence”、“Computer-producedEvidence”、“Computer-createdEvidence”等。从中文表达方式来看，常见的也有近十种，除了“电子数据证据”之外，还有“电子证据”、“电子物证”、“计算机证据”、“计算机数据证据”、“数字证据”、“电子文件证据”等。虽然在用语的表达上有所分歧，但是均从不同角度表明，电子数据证据是同电子技术、数字技术或计算机存在密切联系，可以说没有电子技术、数字技术或计算机的存在就不会有电子数据证据的出现。我国证据法学家认为，电子数据证据是存储有电子数据的电、磁、光记录物，这些电子数据是在计算机系统运行过程中产生的，并能够以其内容证明案件事实，它们可以转换为不同的输出表现形式。[丁丽萍.网络取证及计算机取证的理论研究[J].信息网络安全,2010(12):38-41.]1.2.1电子数据证据概念在《刑事诉讼法》修正案颁布之前，我国三大诉讼法没有将电子数据作为独立的证据种类，而是根据电子数据证据的某些特征，在相关法律和司法解释中给出了比较模糊的规定，从而导致在司法实践中只能通过对电子数据证据进行公证转化为书证，或申请司法鉴定转化为鉴定结论来使用电子数据证据，其效能和广泛应用被严重限制。我国旧的《刑事诉讼法》将电子数据证据定义为“以录音带、录像带、光盘、电脑和其他科学技术设备储存的电子音像信息证明案件的证据”。这一定义明显地将电子数据证据归为视听资料，没有反映出电子数据证据的本质。1.2.1电子数据证据概念随着电子证据在证明案件事实的过程发挥越来越重要的作用，电子数据证据可以作为证据使用已达成共识，而且相关诸如《合同法》、《电子签名法》等法律法规以及司法解释当中也有所提及。但我国法律体系对于电子证据的法律地位却始终没有确定。因此上，一直存在着电子证据法律地位的争议，有前者认为电子数据证据就是传统证据，并力图将其划为书证或视听材料等传统证据类别当中，也有学者认为电子证据应该是一种新型的独立证据类型。新《刑事诉讼法》第48条虽然将“电子数据”首次纳入法定证据种类之一，却并没有进一步明确电子数据证据的概念、证明规则、证明力的认定标准等基础和关键问题，电子证据的可采性和证明力认定这两大根本性难题在现有法律层面没有得到解决。直到《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》的出台，才从法律层面对电子数据证据进行了定义。1.2.2

电子数据证据特点在司法实践中．并不是所有的证据材料都可以呈堂以证明案件事实。只有具有证明力的证据才符合法律规定的资格，这种“证明力”在英美证据法律制度中被称为证据的可采性。在我国的司法实践中，衡量证据材料是否具有证明力通常有3个标准，即客观性、关联性、和合法性。电子数据作为一种新型证据，和传统证据一样，都应遵循证据的三性。

1.电子数据证据的“三性”（1）客观性考察电子数据证据在生成、存储、传输过程有无剪接、删改、替换的情况，其内容是否前后一致，符合逻辑。（2）关联性分析电子数据证据与案件事实有关联，关联程度如何.（3）合法性违反法定程序取得的电子数据证据应予排除。1.2.2

电子数据证据特点2.电子数据证据的特殊性与传统证据一样，电子数据证据必须是可信的、准确的、完整的、使法官信服的、符合法律法规的、可为法庭所接受的。但与传统证据相比，除了传统证据的“三性”外，电子数据证据还具有一定的特殊性，正是这些特点决定了电子数据证据的优越性和不足。在保存方式上，电子数据证据需要借助一定的介质。这与传统证据有很大不同。如传统书证主要的载体是纸张等可书写物质，传统证人证言主要借助人的记忆，传统物证主要借助于各种物品、痕迹与物质等；而电子数据证据则离不开硬盘、存储卡、光盘、芯片、磁带等存储介质。在传播方式上，电子数据证据可以无限地快速传播，如电子邮件、聊天信息可以通过互联网在瞬间传播到世界每一个角落。而传统证据只能在物理空间传递，如通过当事人交接、移送的方式进行。传统证人的证言传播开来后虽然在原始出处仍然存在，但往往会发生重大出入，而电子数据证据的传递实质上属于信息的精确复制，在感知方式上，电子数据证据必须借助电子设备，且不能脱离特定的系统环境。如果没有专门的电子设备进行显示，无论多么形象、真实可靠的内容，都只能停留在各种存储介质中，而不能被人们所感知，也不能为法庭所认可和采信。综上所述，将电子证据的特性归纳为以下几点：1.2.2

电子数据证据特点（1）技术依赖性与其他证据不同，电子数据证据的形成与存在必须依赖于现代电子设备和技术实现，电子数据证据的提取与展现也必须借助电子设备、通过一定的技术手段来实现。因此，电子数据证据本质上是以电子形式存储或传输的数据，具有技术依赖性。（2）隐蔽性与其他传统证据相比较，电子数据证据是以虚拟形态保存的。传统证据的内容和形态可以直接感知，而电子数据证据则是将信息以电磁等形式存在于介质之上。例如硬盘存储信息时，通过磁性材料而形成的电磁场将电子信息记录下来；而在向光盘中记录信息时，是利用激光通过将信息以凹凸点的形式记录在光盘上。这些数字信息以“0”和“1”表示，通过排列组合来表示特定数值的数据，其内容无法为人们直接感知。所以记录方式的隐蔽性是电子数据与传统证据最本质的区别，也是电子数据最根本的特点。1.2.2

电子数据证据特点（3）易破坏性电子数据证据以电子信息的形式存储在电磁介质上，较之传统的证据而言，电子数据证据更易被篡改，且可不留痕迹。环境的影响，例如供电故障、硬件故障、病毒、人为操作，都会导致电子数据改变和灭失，从而影响到电子数据的真实性和完整性。因此电子数据的记录方式及介质的特殊性和网络空间的特性决定了它自身具有一定的易破坏性。（4）稳定性电子数据证据中的一些信息隐藏在它的元数据或者本身之外，同时对电子数据的影响会使之留下痕迹。电子数据证据这一特点，可以使得大量不为人知的电子数据被保存下来，使得电子数据可以作为证据使用的效力大大增加。因为要对磁盘上的数据信息、网络环境中的实时信息、计算机运行状态的系统信息等进行修改而又不留下修改的操作痕迹是很难做到的。通过数据恢复、数据挖掘等技术手段可以发现对数据信息修改的“蛛丝马迹”，并有可能恢复原始数据信息。因此，可以说电子证据较之传统证据更具有安全性和稳定性。1.2.2

电子数据证据特点（5）开放性从司法实践来看，电子数据证据越来越多的与互联网联系在一起，而网络的一个重要特点是可以不受时空限制获取电子数据，这是电子数据的开放性的表现，也是对该类证据的收集亟需加以规范的地方。（6）表现形式的多样性电子数据证据的表现形式是多种多样的，可以是文本、图像、音频、视频等，将多种表现形式融为一体是电子数据证据独有的特点。这要求电子数据取证工具具有识别多种形式的电子数据证据的能力。由于电子证据的这些特点，使得对其取证既是可行的，也是复杂的。在计算机犯罪行为日益猖獗，犯罪手段越发隐蔽的情况下，打击和遏制计算机犯罪，需要向法庭提供充分、可靠、有说服力的电子证据，以证明计算机犯罪。要依靠法律手段对犯罪行为进行制裁，而制裁的依据是提高电子数据取证技术，有效地获取嫌疑人留下的“痕迹”，并以证据的形式提供给法庭。1.3电子数据取证1.3

电子数据取证电子数据取证技术，亦称为计算机取证技术，是信息安全领域的一个全新分支，它不仅是法学在计算机科学中的有效应用，也是对现有网络安全体系的有力补充。电子数据取证技术涉及从计算机及网络设备中获取、保存、分析、出示相关电子证据的法律、程序、技术问题。电子数据取证为打击计算机犯罪提供了科学的方法和手段，并提供了法庭所需要的合适证据。为了更好的打击计算机犯罪，我们需对电子数据取证的相关概念、电子数据取证的原则以及电子数据取证发展历史等进行深入的研究。1.3.1电子数据取证的概念关于电子数据取证的定义多种多样，目前还没有一个权威的部门给出统一的定义，但可以肯定的是，电子数据取证的定义是从计算机取证逐步发展而来。计算机取证（ComputerForensics）一词由计算机专家国际联盟（InternationalAssociationofComputerInvestigativeSpecialists，IACIS）在1991年举行的会议上首次提出，并在2001年举行的十三届国际事件响应与安全组论坛（ForumofIncidentResponseandSecurityTeams，FIRST，）上被称为当时的主要议题。2001年召开的数字取证研讨会（DFRW）定义了数字取证学（DigitalForensicScience，也称计算机取证）的概念。这次会议的总结报告指出：数字取证学就是指计算机取证的框架（Framework）、模型（Model）、技术环境抽象（AbstractionsforTechnicalEnvironment）以及有关证据和过程的重要的概念（Conception）。这一文献为计算机取证的理论研究奠定了基础。[丁丽萍.网络取证及计算机取证的理论研究[J].信息网络安全,2010(12):38-41.]1.3.1电子数据取证的概念LeeGarber在IEEESecurity发表的文章中认为，计算机取证就是分析硬盘、光盘、软盘、zip盘、Jazz盘、内存缓冲以及其他存储形式的存储介质以发现犯罪证据的过程。作为计算机取证方面的资深人士，JuddRobbins给出如下定义:“计算机取证是将计算机调查和分析技术应用于对潜在的、有法律效力的证据的确定与获取。证据可以在计算机犯罪或误用这一大范围中收集，包括窃取商业机密、窃取或破坏知识产权和欺诈行为等”。美国的计算机紧急事件响应组（ComputerEmergencyResponseTeam，CERT）和取证咨询公司NTI（NewTechnologiesIncorporated）进一步扩展了该定义：“计算机取证包括了对以磁介质编码信息方式存储的计算机证据的保护、确认、提取和归档”。世界著名的计算机取证机构SANS认为：“计算机取证是使用软件和工具，按照一些预定的程序，全面地检查计算机系统，以提取和保护有关计算机犯罪的证据”。计算机取证机构Sensei信息技术咨询公司则将计算机取证简单概括为对电子证据的收集、保存、分析和陈述。Enterasys公司的CTO、办公网络安全设计师DickBussiere认为：“计算机取证，是指把计算机看作犯罪现场，运用先进的辨析技术，对计算机犯罪行为进行法医式的解剖，搜索确认犯罪及其犯罪证据，并据此提起诉讼的过程和技术”。1.3.1电子数据取证的概念我国重庆邮电大学的陈龙教授等人提出[陈龙、王国胤.计算机取证技术综述[J].重庆邮电学院学报,2015(6):1.]，计算机取证是运用计算机及其相关科学和技术的原理和方法获取与计算机相关证据以证明某个客观事实的过程。它包括计算机证据的确定、收集、保护、分析、归档以及法庭出示。我国网安部门的刘浩阳提出[刘浩洋、李锦、刘晓宇：《电子数据取证》，清华大学出版社2015年版，第7页。]，电子数据取证涉及法律和技术两个层面，其实质为“采用技术手段，获取、分析、固定电子数据作为认定事实的科学”。这是能够为法庭接受的、足够可靠和有说服性的、存在于计算机和相关外设中的电子数据的确认、保护、提取和归档的过程，是对存储介质中保存的数据所进行的一种科学的检查和分析方法。对于电子数据取证来说，取和证是一个闭环的过程，最终的目标是形成“证据链”。1.3.2电子数据取证的原则由于各国在法律、道德和意识形态上存在差异，取证与司法鉴定原则在具体使用上可能有所不同。在国内，学者对有关电子数据取证原则有不同的论述，但在法律上还缺乏相应的规定。由于网络技术的无国界性，各国电子数据取证原则的目的都是为保证获取证据的合法性、客观性和关联性。因此，综合起来电子数据取证原则应该包括以下几个方面：1.依法取证原则任何证据的有效性和可采用性都取决于证据的客观性、与案件事实的关联性和取证活动的合法性。首先，调查取证的人员要合法，应经过相关培训，具备法定资质；其次，作为电子数据取证的对象范围应明确确定，不能对与案件事实无关的数据随意取证；第三、取证所使用的方法必须符合相关技术标准，工具必须通过国家有关主管部门的评测；第四、取证必须按照法律的规定公开进行。采取非法手段获取的证据是不具备可采用性的，所以，也就丧失了其证明力。1.3.2电子数据取证的原则2.保护证据完整性原则《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》第五条规定“对作为证据使用的电子数据，应当采取以下一种或者几种方法保护电子数据的完整性：（一）扣押、封存电子数据原始存储介质；（二）计算电子数据完整性校验值；（三）制作、封存电子数据备份；（四）冻结电子数据；（五）对收集、提取电子数据的相关活动进行录像；（六）其他保护电子数据完整性的方法”。第十六条规定“电子数据检查，应当对电子数据存储介质拆封过程进行录像，并将电子数据存储介质通过写保护设备接入到检查设备进行检查；有条件的，应当制作电子数据备份，对备份进行检查；无法使用写保护设备且无法制作备份的，应当注明原因，并对相关活动进行录像”。1.3.2电子数据取证的原则一般情况下，为了避免电子数据在分析处理过程中遭受意外损坏，对电子证据做多个备份是必要的。不应在原始介质上进行分析，而应对原始介质做备份，然后将原始介质作为证据保存起来，检验在备份上进行。因为，有时使用写保护设备长时间地对原始证据盘进行分析，也可能会造成对原始硬盘的损害。比如，原始证据盘已经存在一定的坏扇区或弱扇区，如果长时间对硬盘进行分析，可能损害原始硬盘。因此推荐的做法是先用硬盘复制机将原始硬盘复制一个或多个副本，再将原始证据盘封存，后续都通过只读锁对证据副本硬盘进行分析。在特殊情况下，如需访问在原始计算机或存储介质中的数据，该人员必须有能力胜任此操作，且操作的全过程必须进行录像，并能给出相关解析说明要访问原始证据的理由。1.3.2电子数据取证的原则3.及时取证原则

电子证据的获取具有实效性，一旦确定对象后，应尽快提取证据，防止证据变更和丢失。因为电子证据的最重要的特点之一就是易破坏性，必须尽早搜集证据，并保证其没有受到任何破坏。这一原则要求计算机证据的获取要有一定的时效性。电子证据从形成到获取之间间隔的时间越长，被删除、毁坏和修改的可能性就越大。因此，确定取证对象后，应该尽可能早地获取电子证据，保证其没有受到任何破坏和损失。1.3.2电子数据取证的原则4.证据连续性原则为了在法庭采用的时候能证明整个调查取证过程的合法性、真实性和完整性，电子证据从最初的获取状态到法庭提交状态之间（包含证据的移交、保管、开封、拆卸等过程），如果存在任何变化都能有明确说明此过程中没有人对证据进行恶意的篡改，这也就是取证过程中一直强调的“证据连续性”（ChainofCustody）原则。《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》第十四条规定“收集、提取电子数据，应当制作笔录，记录案由、对象、内容...等，由侦查人员、电子数据持有人（提供人）签名或者盖章；电子数据持有人（提供人）无法签名或者拒绝签名的，应当在笔录中注明，由见证人签名或者盖章。有条件的，应当对相关活动进行录像”。在取证过程中，应该记录相关的重要操作步骤及其细节，如所有可能接触证据的人、接触时间、以及对电子证据进行的相关操作。任何取证分析的结果或结论可以在另外一名取证人员的操作下重现。1.3.3电子数据取证面临的问题与发展1．面临的问题（1）培训流于形式，严重滞后发展需求电子数据取证是一个严谨的过程，因为它需要符合法律诉讼的要求。因此，取证机构必须从“人、机、料、法、环、测”等多个方面规范电子数据取证工作。而排在第一位的“人”更是整个质量管理体系中的重中之重，电子数据取证对取证人员的经验和专业素养有着极高的要求，这在CNAS-CL08:2013、CNAS-CL27：2014以及《司法鉴定人登记管理办法》、《公安机关鉴定人登记管理办法》等文件中进行了明确的规定。鉴定人专业素养不是与生俱来的，只有通过科学培养、系统学习，才能打造高素质的鉴定队伍。因此，培训是提高鉴定人专业素养、确保鉴定质量的必要手段。目前，我国的在该领域的培训工作还处于起步阶段，与国际上的人才培训和认证发展相差甚远。尽管在公安类院校和政法类大学开设了相关课程，但是与实战相差甚远，效果也不尽人意。1.3.3电子数据取证面临的问题与发展大多数电子数据鉴定机构只能通过参加由CNAS或者能力验证提供者组织的能力验证活动来发现问题、查找不足。目前，国内尚未有权威的电子数据取证的培训认证体系，一是缺少培训的分级分类，既包括对不同背景、不同知识层次人员制定不同的培训计划，也包括对电子数据不同领域，不同难度制定出分层次的培训计划；二是缺少权威的成体系的教材，目前市面上关于电子数据取证的书籍林林总总，但是没有一套真正成体系的教材，归根结底还是缺少培训认证的顶层设计；三是没有成熟的师资队伍，部分高校的教师基本理论功底扎实，但是缺少大量公安一线实战工作经验的积累，一线优秀取证人员又缺少展示自己，将自己经验转化为教学成果的平台；四是缺少权威的培训认证制度，目前只是根据相关规定达到一定知识背景和工作年限就可以取得鉴定人资格，但对于电子数据取证工作，这是远远不够的，需要有关部门尽快制定一套行之有效的认证制度，并由权威机构或部门进行认证。1.3.3电子数据取证面临的问题与发展国际上，电子数据取证领域的培训已经成为一种成熟产业，既有基于产品的认证培训，如EnCase认证调查员（EnCE）和AccessData认证调查员（ACE），也有包含电子数据取证整个技术体系的综合培训，如计算机入侵调查取证员（CHFI）、计算机检验员（CCE）、计算机取证检验员（CFCE）、GIAC认证取证分析员（GCFA）、认证取证检验员（GCFE）等。要想把电子数据取证的培训做到位，首先，必须建立适应中国国情的电子数据取证培训体系，要有国家权威部门进行的顶层设计。同时，要借鉴国际培训经验，立足于国际视野，在吸纳国外先进理念的同时，建立具有中国特色的体系化、专业化的培训教案、师资队伍和认证制度。目前，公安部和司法部相应机构已经着手编撰了一系列关于电子数据取证的教材，并且结合每年的能力验证活动、大比武、警务技术改革等一系列方式，加强对取证人员进行培训。1.3.3电子数据取证面临的问题与发展（2）标准重复严重，质量较差、修订周期过长与国际相比，我国发布的电子数据取证和鉴定领域的标准和规范看上去数量很多，但是由于标准制订机构之间缺乏协调和统一规划，导致标准内容出现重复现象严重。以国家标准为例，仅有的4个国标中，有2个方向重复，分别出自不同部门。不仅是行业标准和司法鉴定技术规范几乎大部分重复，行业标准本身间也存在重复现象。而作为标准，其基本要求之一就是要统一，要得到各部门、社会各界的共同认可。此外，个别申报标准的部门对标准把关不严，只是注重申报数量，不注重其质量，导致某些标准中出现了严重的错误。电子数据鉴定实验室如果在实际案件中按照标准进行操作，将会带来不可避免的风险。1.3.3电子数据取证面临的问题与发展而标准一旦制定，一段时间内不会修订。以行业标准为例，一个标准从立项到发布，大约周期在3年时间。而要进行重新修订，周期一般大于5年，这个仅仅是立项的周期，还不是实际发布的周期。在各类电子设备发展迅速的今天，标准的实践意义不突出。针对目前取证标准混乱的情况，我国已开始着手建立关于电子数据取证的标准体系。目前，全国刑事技术标准化技术委员会电子物证检验分技术委员会在参考借鉴国际上研究成果和标准的基础上，结合我国的实际国情，着手制定了符合我国实际工作需求的电子数据取证标准体系及相关标准，标准体系的草案已经通过了业内专家的评审。1.3.3电子数据取证面临的问题与发展相应的，电子数据取证活动中也应以三性原则为指导，针对电子证据的自身特性，从各个方面规范电子数据取证工作。由于电子数据取证是一门综合性的学科，涉及到磁盘分析、加密解密、日志信息挖掘、数据库技术、媒体介质的物理分析等方面，如果没有合适的取证工具，依赖人工实现就会大大降低取证过程的速度和取证结果的可靠性。随着大容量磁盘和动态证据信息的出现，手工取证的可行性也日渐降低。所以，电子数据鉴定工作需要相应的工具软件和外围设备来支持。调查取证成功与否很大程度上取决于取证人员是否熟练掌握了足够的、合适的、高效的取证工具。由此可见，在电子数据取证过程中熟练运用软件工具的是非常重要的。1.3.3电子数据取证面临的问题与发展（3）设备准确度难以保证，缺乏相应产品准入机制由于电子数据取证是一门综合性的新兴学科，如果没有合适的取证工具，依赖人工实现就会大大降低取证过程的效率和取证结果的准确性。所以，电子数据取证成功与否很大程度上取决于取证人员是否熟练掌握了足够的、可靠的、高效的取证工具。目前，中国在电子数据取证领域的研发实力和技术积累已经走在国际前列，拥有了包括电子数据取证的硬件（硬盘复制机、只读锁、取证工作站）以及取证软件（计算机取证分析、手机取证分析）等全系列自主研发的取证产品，成为继美国后第二个拥有电子数据取证软硬件综合研发能力的国家。但是，在取证产品的检测上与国际相比处于明显劣势，既没有编制取证工具的测试标准，也没有形成配套的标准化测试镜像。很多取证产品为了抢占市场，往往没有经过缜密的测试就推向市场。1.3.3电子数据取证面临的问题与发展在取证工具的标准化方面，美国一直走在世界各国前列。美国国家标准与技术研究院（NIST）认为随着取证工作复杂性的增加，取证设备软件本身的可靠性成为影响取证结果的关键性因素之一。电子数据取证设备软件自身的可靠性和取证结果的准确度迫切需要权威验证。因此，NIST于2004年开展了计算机取证工具测试项目（CFTT）。2013年，美国建立了网络取证电子技术资料交换中心（CyberFETCH），与CFTT一起进行电子数据取证工具的评测。CFTT和CyberFETCH项目被公认为最权威的关于电子数据取证工具的标准和指南。通过这两个项目，美国建立了全美统一的取证工具基线，节约了各执法机构进行取证工具测试的成本，确保执法部门、司法部门以及其他法律组织在电子数据取证中使用的工具有效性。NIST甚至根据该项目手机取证设备测试过程中反映出来的情况对国家标准SP800-101《移动智能设备取证指南》进行了修订。1.3.3电子数据取证面临的问题与发展目前，我国对于取证设备还没有制定准入制度，针对取证工具的检测标准也仅有GA/T754-2008和GA/T755-2008，随着取证领域和技术的不断发展，大量新型取证工具的涌现，这些标准已不能满足实战的需要。我国应积极学习NIST建立的取证设备的测试机制，建立一个切合我国实际国情，符合工作需要的取证工具检验检测标准体系，并制定相应的准入机制，由授权的权威机构对产品（包括同一产品的不同版本）进行检验和定期检测，以保障电子数据取证工作的有效性、可靠性和稳定性。所幸，关于取证工具的可靠性问题已经引起了广泛关注，如何对此类工具进行评测也已经提上相应机构的议事日程。1.3.3电子数据取证面临的问题与发展2．发展的趋势在移动互联网、云计算以及物联网为代表的新一代网络快速发展的背景下，网络社会与物理社会相互交织、融为一体，改变了传统的互联网计算模式和体系结构，也改变了传统的取证方式。计算机犯罪是科技发展中的必然产物，而且随着技术的创新而不断转变，加大信息安全防范技术和电子数据取证技术的研究力度势在必行。如何研制出在新型网络环境下进行电子数据取证的工具成为取证厂商亟待解决的一大难题。因此，加大电子数据取证工具的研究力度势在必行。展望未来，电子数据取证将会向着以下几个方向发展：1.3.3电子数据取证面临的问题与发展（1）取证技术与新兴技术结合电子数据取证技术是一门跨领域的综合性学科，因此必将通过和其它数字技术进行结合才能取得发展，要克服当前的局限性就要吸收多学科的研究成果。随着移动互联网技术、云计算、大数据以及物联网技术等各种新技术不断涌现，必将对电子数据取证技术的发展产生较大的影响。而在这种情况下，只有通过有效的结合手段才能推动电子数据取证技术的发展。（2）取证工具高速化、自动化、专业化与智能化发展如今电子证据以不同形式分布在计算机、路由器、入侵检测系统和移动存储等不同设备上。所以，未来需要功能更强、速度更快、自动化程度更高的取证工具，才能有效进行电子数据取证。取证工具也将不断利用数据挖掘、人工智能以及硬件加速技术（如多核技术等）增强其智能化，以应对大数据量、复杂数据的取证分析能力。综上，取证工具必须高速化、自动化、专业化与智能化，才能提高和满足不同领域电子数据取证调查需求。1.3.3电子数据取证面临的问题与发展（3）新型加密和解密

同各种新型的智能设备不断涌现相比，传统的设备也在不断发展和丰富，普通电脑和移动设备都在安全性方面不断强化，从硬件、软件等多个角度研究加密算法。

从硬件角度，越来越多的设备将安全模块和加密芯片固化，使用独立的硬件来处理系统的数据，例如基于PC上的TPM模块、iOS上的SecureEnclave模块以及带有硬件AES功能的处理器、移动存储上的各种加密芯片等，从硬件层次直接固化加密算法及密钥信息，使这些设备的数据提取和解密难度不断提升。

从软件角度看，各类系统的加密策略不断完善，加密算法的强度也在不断提升。此外，目前各类智能应用都在不断提升本身数据存储和数据传输的安全。1.3.3电子数据取证面临的问题与发展随着比特币等一系列P2P形式的数字货币技术的发展，其去中心化、专属所有权、匿名性和健全性等特点，被一些新型网络犯罪所利用，打破了传统犯罪固有的获利模式，对犯罪信息行为的取证，以及犯罪金额的认定同传统取证工作有很大不同，如何通过比特币挖矿机、比特币客户端来收集、提取比特币的金额和流转历史，进一步分析比特币流转过程中的涉案信息，是这类电子数据取证过程中需要解决的新的问题。1.3.3电子数据取证面临的问题与发展（4）物联网设备2009年8月，温总理“感知中国”的讲话把我国物联网领域的研究和应用开发推向了高潮,之后物联网被正式列为国家五大新兴战略性产业之一，