隨著計算機和網絡的廣泛應用，人們的工作和生活也越來越依賴這一現代化的工具了。但與此同時，利用計算機和網絡的犯罪案例也急劇增加，它擾亂了社會的經濟 秩序，對國家的安全、社會文化等都構成了威脅。為了更好地打擊計算機犯罪，計算機取證這一交叉于計算機和法學的學科應運而生。
　　摘要:計算機取證在世界范圍內得到了蓬勃的發(fā)展，同時也引發(fā)了一系列的問題，其中證明力的問題是電子證據最受質疑的一個方面，要解決這個問題，最常用的方法就是規(guī)范取證過程。本文從技術和法律規(guī)制，標準化草案和立法現狀多種不同的角度來研究國際領域在規(guī)范取證過程方面所做的工作，并提出了進一步研究的方向，由此希望能對我國的計算機取證的規(guī)范化工作提供借鑒。

　　關鍵詞:計算機取證,電子證據,規(guī)制

　　一、引言

　　計算機取證過程中獲得的電子證據與傳統(tǒng)證據相比，具有易失性、脆弱性等特點，現實辦案過程中，所獲取的材料往往多用作辦案線索而非定案證據，一直以來在證明力上保守質疑。為了能夠得到法庭認可的證據，就應該規(guī)范取證的過程，規(guī)范取證的步驟，依據相關的操作規(guī)范進行取證工作。那么如何制定規(guī)范？是從技術角度還是從法律角度進行規(guī)范？計算機發(fā)展日新月異，技術或者法律的規(guī)制是否也應與時俱進呢？如何解決這些問題，不妨先看看國外在標準化方面的進程。下面先從計算機取證的含義談起，著重介紹國際計算機取證標準化方面的工作。

　　二、計算機取證的含義

　　計算機取證沒有統(tǒng)一、準確的定義。計算機取證資深專家JuddRobbins給出的定義：將計算機調查和分析技術應用于對潛在的、有法律效力的證據的確定與獲取上。計算機緊急事件響應組CERT和取證咨詢公司NTI擴展了該定義：計算機取證包括了對磁介質編碼信息方式存儲的計算機證據的保護、確認、提取和歸檔。系統(tǒng)管理審計和網絡安全協(xié)會SANS歸結為：計算機取證是使用軟件和工具，按照一些預先定義的程序，全面地檢查計算機系統(tǒng)，以提取和保護有關計算機犯罪的證據。

　　這些概念比較側重于對證據的收集和獲取，而沒有涉及對證據的分析和法庭出示等問題，因此這幾種定義是不完全的。

　　目前，比較全面且能廣泛接受的概念是：計算機取證是指對能夠為法庭接受的、足夠可靠和有說服力的、存在于計算機和相關外設中的電子證據的確定、收集、保護、分析、歸檔以及法庭出示的過程。取證的目的是為了據此找出入侵者（或入侵的機器），并解釋入侵的過程。

　　此外，和計算機取證相近的術語還有計算機取證、電子證據的收集等，雖然，業(yè)界有很多學者對它們的含義進行了區(qū)分和界定，實際上，筆者認為它們的含義大體相同，涉及的取證過程的步驟、原則、標準等理論也基本一致可以互通，所以并沒有嚴格區(qū)分的必要。

　　三、計算機取證的基本步驟

　　計算機取證的工作流程目前并沒有統(tǒng)一的規(guī)定，早在1999年，美國人法默和韋尼瑪在一次電子取證分析培訓班上率先提出了基本過程模型，遵循如下的基本取證流程：第一步，保護現場安全并進行隔離；第二步，對現場進行記錄；第三步，系統(tǒng)地查找證據；第四步，對證據進行提取和打包；第五步，建立證據保管鏈。后來，相繼有多種模型被提出，如：事件響應過程模型、執(zhí)法過程模型、抽象過程模型、綜合數字取證模型、增強式數字取證模型、基于需求的計算機取證過程模型、多維計算機取證模型、可信計算取證模型以及網絡實時取證模型�？偟膩砜矗�這些模型是分別立足于不同的取證環(huán)境或技術的，所反映出來的取證流程也有所差異。但大致都包含了如下幾個部分：

　�。ㄒ唬┈F場保護與勘查

　　現場勘查是獲取證據的第一步，是指計算機偵查人員依照規(guī)定，使用計算機科學技術手段和調查訪問的方法，對與計算機案件有關的場所、物品及犯罪嫌疑人、被告人以及可能隱藏罪證的人的身體進行檢查、搜索，并對于和犯罪相關的證據材料扣留封存的一種偵查活動。

　�。ǘ�）證據獲取

　　證據的獲取是指識別物理設備中可能含有電子證據的電子數據，并對這些電子數據進行收集，或直接利用技術手段收集電子數據的過程。從本質上說，就是從眾多的未知和不確定性中找到確定性的東西。所以，這一階段的任務就是保存所有電子數據，至少要復制硬盤上所有已分配和未分配的數據，也就是通常所說的硬盤映像。除了硬盤數據外，網絡數據也是要獲取的證據。網絡數據包括實時獲取的網絡通信數據流，網絡設備上產生的日志文件，防火墻的日志文件以及與網絡應用有關的日志和登陸日志文件等。

　�。ㄈ�）證據鑒定

　　計算機證據的鑒定主要是解決證據的完整性驗證。計算機取證工作的難點之一是證明取證人員所收集到的證據沒有被修改過。而計算機獲取的證據又恰恰具有易改變和易損毀的特點，如果獲取的電子數據不加以妥善保存，電子數據很容易受到破壞，甚至消失。所以，取證過程中應注重采取保護證據的措施。常用的電子數據的保存技術主要有物證監(jiān)督鏈、數字時間戳技術、數字指紋技術、數據加密技術等等。

　�。ㄋ模┳C據分析

　　分析證據是計算機取證的核心和關鍵，分析已獲取的數據，然后確定證據的類型，包括檢查文件和目錄內容以及恢復已刪除的內容，分析計算機的類型、采用的操作系統(tǒng)，是否為多操作系統(tǒng)或有無隱藏的分區(qū)；有無可疑外設；有無遠程控制、木馬程序及當前計算機系統(tǒng)的網絡環(huán)境等，并用科學的方法根據已發(fā)現的證據推出結論。

　�。ㄎ澹┳C據追蹤

　　上面提到的計算機取證步驟是靜態(tài)的，即事件發(fā)生后對目標系統(tǒng)的靜態(tài)分析。隨著計算機犯罪技術手段的升級，這種靜態(tài)的分析已經無法滿足要求，發(fā)展趨勢是將計算機取證與入侵檢測等網絡安全工具和網絡體系結構技術相結合，進行動態(tài)取證，即計算機動態(tài)取證。

　�。�六）證據提交

　　這個步驟主要包括打印對目標計算機系統(tǒng)的全面分析和追蹤結果，以及所有可能有用的文件和被挖掘出來的文件數據的清單，然后給出分析結論，主要涉及計算機犯罪的日期和時間、硬盤的分區(qū)情況、操作系統(tǒng)版本、運行取證工具時數據和操作系統(tǒng)的完整性、病毒評估情況、發(fā)現的文件結構、數據、作者的信息，對信息的任何隱藏、刪除、保護、加密企圖，以及在調查中發(fā)現的其他的相關信息，標明提取時間、地點、機器、提取人及見證人，給出必要的專家證明或在法庭上的證詞。最后以證據的形式按照合法的程序提交給司法機關。

　　四、計算機取證的規(guī)制現狀

　　在遵循取證原則的基礎上，計算機取證的各個階段所需要遵守的法律界限在哪里，如何把所獲取的電子證據送上法庭以及如何呈送，這些問題的解決都需要與計算機取證相關的規(guī)則和制度的出現。

　　計算機取證的規(guī)制分技術規(guī)制和法律規(guī)制兩個方面，前者從技術角度推動計算機取證的標準化，后者從法律角度促進計算機取證的合法化。它們之間存在著一定的界限。舉例來說，在證據提交的這個步驟中，提交什么樣格式的文檔，文檔中包含的內容和數據及其相互關系如何，是否需要統(tǒng)一界定，這屬于技術規(guī)制的范疇。技術規(guī)制同其他自然科學一樣，與政策和法律體制無關，因此，不同國家之間可以相互參考。

　　但法律規(guī)制則不然，顯然無法照搬別國的法律條文，例如：就電子證據是否單獨立法各個國家的作法就不盡相同，英美法系的國家大都有專門的法案，美國在1996年設立了《國家信息安全法案》，英國在1984年出臺了《數據保護法》，而大陸法系的國家則不一定設有專門的法案，如：法國作為大陸法系的代表之一，沒有專門的證據法典，只是在1992年通過、1994年生效的《刑法典》中專設了“計算機信息領域的犯罪”一章。

　　計算機取證的法律規(guī)制與技術規(guī)制區(qū)別明顯，但這并不說明這兩者之間不能轉化，技術規(guī)制經過實踐檢驗，法律確認后便可成為法律規(guī)制。正因為相互之間的可轉化性，所以本文無法也沒有必要單獨從技術規(guī)制和法律規(guī)制兩個角度分裂開來介紹目前的國外研究現狀，而是從標準化草案和立法現狀兩個角度來介紹規(guī)制情況。

　�。ㄒ唬�標準化草案

　　1.美國SWGDE組織提出的標準化草案

　　計算機取證的標準化工作起源于“DigitalEvidence：StandardsandPrinciples（數字證據：標準和原則）”一文的出版，該文由SWGDE（ScientificWorkingGroupDigitalEvidence，數字證據科學小組，它是國際計算機證據組織在美國的分部）起草，并于1999年10月在倫敦舉辦的國際高技術犯罪和取證會議上公布，次年4月刊登在美國聯(lián)邦調查局出版的《ForensicScienceCommunications》。目前，已被美國法律部門采納為標準化草案。

　　“數字證據：標準和原則”一文中明確規(guī)定，為使數字證據以一種安全的方式進行收集、保存、檢查和傳輸，以確保其準確性和可靠性，法律部門和取證機構必須建立一個有效的質量體系并需編制一份標準化操作規(guī)程（StandardOperatingProceduresManual，SOP，2011年6月已出第二版）。考慮到了計算機技術的飛速發(fā)展，SOP文件必須每年有權威機構審查一次，以確保其使用范圍和有效性。在SOP文檔中，規(guī)定了取證過程操作的技術規(guī)程，方法性的指導了取證的過程�？紤]到處理證據過程中關注的角度不同，SOP文檔分為實驗室單元和現場單元兩種類型的文檔，現場單元文檔中列舉了在證據保存、動態(tài)內存數據獲取、數據鏡像、移動設備收集等環(huán)節(jié)過程中所需要軟硬設備、局限性、處理過程的標準化建議，實驗室單元文檔中列舉了在介質擦除、硬件拆除、BIOS檢測、介質寫保護等環(huán)節(jié)中所需要的軟硬設備、局限性、處理過程的標準化建議。

　　2.FIRST會上提出的標準化

　　2002年6月在夏威夷召開的第14屆FIRST（ForumofIncidentResponseandSecurityTeams）年會上，巴西教授提出了一個新的標準化模型。該模型是一個兩級分類結構，分為法律標準類和技術標準類：

　�。�1）法律標準類。計算機犯罪是最容易跨國界犯罪的一種犯罪形式，雖然各國的法律不同，但為了允許交換數字證據，該模型提取出了一些共同特征，例如：

　　從取證主體的角度，應由那些持有資格證書的人員來進行操作，并且該人員能夠運用技術和科學方法擔當取證工作，除此之外，取證人員的道德水平也必須達到一定高度。提出了取證人員應當對其檢測的結果以及所獲取的證據承擔法律責任。為了盡量減少個人因素對結果所產生的影響，進行取證工作的人員不得少于2人。

　　從取證流程規(guī)范的角度，在進行計算機搜查之前要出示對計算機的搜查證。不管在什么時候設計出一款新的取證檢查程序規(guī)范，在投入實際運用前都要利用行業(yè)標準來對它進行測試及鑒定。所制定的技術標準應該確保能夠獲得符合最低要求的證據。取證的操作程序規(guī)范應該與所制定的技術標準相匹配。取證的操作程序規(guī)范和技術標準，標準應該有相關科學團體的認可，且需要定期對其進行檢查。應當對取證所獲取的證據進行保存，以便進行第二次證據分析。取證專業(yè)人員到達現場之前，就應當保護好現場。對任何發(fā)生的變動都要進行記錄并報告。為了讓檢測和調查的結果盡量詳細準確，可以利用照片、圖紙、圖表等進行描述記錄。

　　從取證工具的角度，取證工具必須取得許可證或在授權的情況下才可以使用，而這些工具也應得到行業(yè)的認可或能夠通過科學的評價和測試。

　　（2）技術標準類。技術標準是取證過程中所需的技術和方法，列舉如下：

　　第一，技術的基本準則：計算機取證過程中，需要運用到各種技術，此處所描述的準則是可應用于各種檢查的基本技術要求，例如：取證過程中不應改變原始數據，所有工作都應在復本上操作，復本應進行數字簽名等。

　　第二，證據的分析策略：分析策略是取證檢查的實際操作指南，它制定了該如何計劃、執(zhí)行、監(jiān)視、記錄和報告取證檢查，以確保符合技術基準。

　　第三，問題的技術解決方案：技術解決方案是指在檢查過程中使用的軟硬件技術的方法，詳細說明了所使用的技術和工具。

　�。ǘ�）立法現狀

　　1.英美法系

　　美國，在立法方面，早在1965年就采取了由總統(tǒng)行政辦公室發(fā)布內部通知的形式來保護計算機的安全；1970年美國頒布了《金融秘密權利法》，限制非規(guī)定用戶了解金融行業(yè)中所存儲的數據；1978年8月，美國佛羅里達州計算機犯罪法開始生效，并編入《佛羅里達法規(guī)》第815章，這是國外最早的比較系統(tǒng)全面的有關計算機犯罪的立法；1984年制定了《偽造存取手段及計算機詐騙與濫用法》，1996年立法機構修改了該法，并將它重新命名為《國家信息安全法案》；同年1月，公布了第二個電信法，10月修正了《美國法典》中的部分條款，對計算機犯罪的處罰作了具體規(guī)定，降低甚至取消了某些定罪前提，明確了未經許可獲取信息即為犯罪。

　　在技術上的操作規(guī)范方面，美國聯(lián)邦政府已在司法系統(tǒng)內初步確立了審查和認證計算機數據記錄的規(guī)則，在司法部制定的題為《刑事調查中搜查扣押計算機數據并獲取電子證據》的辦案手冊中對認證規(guī)則有詳盡的規(guī)定。同時，他們倡導制定的國際間的電子證據交換標準，已被國際組織計算機證據組織（InternationalOrganizationonComputerEvidence）認可并被美國法律部門采納為標準化草案。

　　英國，有關計算機犯罪的立法方面大致經歷了這樣一個過程，1981年修訂了《偽造文書及貨幣法》，擴大了“偽造文件”的范圍，將電子證據也納入了“文件”的范圍；1984年出臺了《數據保護法》，該法比較完整的概括了數據保護的內容，同年頒布的《警察與犯罪證據條例》明確了計算機生成的文件資料（電子記錄）在訴訟過程中的證據地位；1990年頒布了《計算機濫用法》，其中規(guī)定了三種計算機犯罪類型；1996年，又頒布了《三R互聯(lián)網安全規(guī)則》，主要為了消除不良信息對青少年和社會環(huán)境的危害；2000年7月，英國新法《2000年恐怖主義法令》規(guī)定，入侵公共網絡系統(tǒng)的黑客將會與恐怖分子一樣論處。

　　2.大陸法系

　　大陸法系國家傳統(tǒng)上都嚴守罪刑法定主義，在計算機犯罪方面一般不采用特別立法的形式。法國作為大陸法系的代表之一，沒有專門的證據法典，1992年通過、1994年生效的《刑法典》專設“計算機信息領域的犯罪”一章，規(guī)定了計算機犯罪的類型和相應的處罰規(guī)定。除此之外，與電子證據相關的制度主要由《刑事訴訟法典》、《民法典》、《商法典》、《民事訴訟法典》以及《行政司法法典》等加以規(guī)定。法國的《刑事訴訟法典》對電子證據的收集如截聽電訊記錄等做了專門規(guī)定，對收集主體、收集方法以及證據保全的方式都做了規(guī)定；《商法典》第一百零九條也確定了證據的自由原則；《民法典》規(guī)定了證據的體制。

　　德國，證據法在德國法上還沒有成為一個獨立的法律概念。出現這種狀況的主要原因是證據法不但表現為分散的規(guī)范或者判例，而且沒有自己特殊的范圍、原則、方法和體系，還沒有成為一個獨立的法學領域或者法律部門。1986年8月對《刑法》進行了修正，增加了有關防止計算機犯罪的條文，主要規(guī)定了計算機詐騙罪、資料刺探罪、資料變更罪、計算機破壞罪等罪名；在《刑事訴訟法》中集中地對部分電子證據的取證規(guī)則做了規(guī)定，包括扣押、監(jiān)聽、掃描、使用技術手段、派遣秘密偵查員、搜查等方面；1997年6月，聯(lián)邦議院通過了世界上第一部全面調整互聯(lián)網的法律——《多媒體法》，共11條，對相關各法律領域的細則進行了修正，從而使現行法律體系更適用于虛擬空間。

　　從國外的研究和立法來看，美國不論是在立法層面，還是在取證規(guī)范化層面都是走在世界前列的。

　　五、結論和展望

　　計算機取證學科是一門有待標準化和探討的不斷發(fā)展的學科，取證過程的標準化對于證據的證明力和可采性非常重要，對于國際范圍內的偵查和訴訟都能提供良好的保障。在標準化問題方面，還有如下方面可以進一步的研究和探討。

　　1.人員及機構的標準化、國際化管理

　　相比其他形式的證據，計算機取證所獲得的電子證據更需要國際間的合作和交流，而目前在這個方面缺少很多制度的保障。首先，沒有公認的機構來協(xié)調和完成電子證據的鑒定工作，國際間對電子證據的認可程度存在明顯區(qū)別，這一點從各國的立法就可以看出，因為認可程度不一樣，無形中就增加了取證的難度；其次，缺乏對從業(yè)人員的規(guī)范的培訓、考核、認證體系，目前，還沒有統(tǒng)一的專門針對從事計算機取證工作的人員的認證資質體系。

　　2.取證工具的標準化管理

　　在計算機取證過程中，往往會借助于各種取證工具，而這些取證工具本身的精確性和準確性往往會讓人懷疑。應該有一套方法或體系來測試和評估取證工具，只有當科學團體認為這些工具是準確和可靠的，它們才能用來進行取證。測評的結果可以給各種工具制定上信任等級，不同等級的工具有不同的標準，該標準可以由國際標準化組織來進行認證，這樣對于國際交流是非常重要的。

　　3.學科的擴展

　　計算機取證學科是一個應用非常廣泛的學科，不僅僅可以運用于司法領域，對于金融、軍事、工業(yè)等行業(yè)，計算機取證學科都有非常好的應用前景。隨著，云計算、物聯(lián)網等新型網絡應用的出現，計算機取證這門學科的內涵將不斷的豐富，問題也越來越復雜，標準化的道路將更加富有挑戰(zhàn)性。

　　4.法律和技術標準的關系

　　法律與技術標準是從不同的角度對取證過程進行了規(guī)范。首先，技術標準必須要在法律標準的管轄之下，否則得到的證據也無法被法庭認可；其次，兩者之間是可以互相轉換的，技術標準經過法律確認就可以變?yōu)榉�律條文。

　　標準化的管理對于大部門行業(yè)來說都是發(fā)展過程中的必由之路，計算機取證過程的規(guī)范化也同樣如此，這樣做有利于在不同法律國度間進行數字證據交換過程中，保證數字證據的可靠性和合法性。本文介紹了目前國際上的一些建議標準和法律規(guī)范，希望可以對我國的立法和標準化工作提供一定的幫助。

---

轉載請注明來自：http://www.jinnzone.com/falilw/23598.html