(完整版)电子数据取证标准.doc
电子数据取证标准
随着全球信息化的速展,越来越多的数据以子形式保存。信息安全品、信息
安全服、安全事件理与急响等方面都离不开子据;此外,在商交易、政府服
、交流沟通、网等各种网用中也大量涉及到子据。但是如同潘多拉的魔盒,
商用的快速展也伴随着互网法犯罪不断增。有数据示2013 年中国网民在互网上失近1500 ,截止 2013 年 12 月,我国网民模达到 6.18 ,就意味着
2014 年中国网民每人平均失达243 元。
子数据取技,是信息安全域的一个全新分支,逐受到人的重,它不
是法学在算机科学中的有效用,而且是有网安全体系的有力充。近年来,我国的民事法、刑事法和行政法将子数据确立法定据种之一,子据已在我国民事、刑事和行政法活中重要作用。
子数据取是一个的程,因它需要符合法律的要求。因此,取
机构必从“人、机、料、法、” 等多个方面范子数据取工作。
我国子据的准化工作起步晚,但是国家于相关准工作十分重。《全国
人大常委会关于司法定管理的决定》(以下称《决定》)从国家基本法律面子数据定遵守技准
的做了明确定,即“ 定人和定机构从事司法定,
当遵守法律、法,遵守道德和律,尊重科学,遵守技操作范。”
部章和范性文件面也有似定。2005 年《公安机关子数据定》(公信安 [2005]281号)明确要求公安机关子数据定人当履行并遵守行准和定
程定的;2006 年《公安机关定机构登管理法》(公安部令第83 号)明确
将定机构遵守技准的情况入公安登管理部年度考核的内容中;2007 年《司法定程序通》(司法部令第107 号)定人采技准做出了的要求,其
第 22 条定,“司法定人行定,当依下列序遵守和采用域的技准
和技范:(一)国家准和技范;(二)司法定主管部、司法定行或
者相关行主管部制定的行准和技范;(三)域多数家可的技
准和技范?..”
在我国电子数据鉴定领域,要真正贯彻以上法律法规的规定,国家标准和技术规范、
行业标准和技术规范等标准的制定和发布是前提。目前主要以行业规范与行业标准为主,从正式发布的电子数据取证来看,目前,国家标准仅有 3 个,分别为:
1 、 GB/T 29360-2012电子物证数据恢复检验规程
2 、 GB/T 29361-2012电子物证文件一致性检验规程
3 、 GB/T 29362-2012电子物证数据搜索检验规程
相关的公共安全行业标准共22 个,分别为:
1 、 GA/T 754-2008电子数据存储介质复制工具要求及检测方法
2 、 GA/T 755-2008电子数据存储介质写保护设备检测方法
3 、 GA/T 756-2008数字化设备证据数据发现提取固定方法
4 、 GA/T 757-2008程序功能检验方法
5 、 GA/T 825-2009电子物证数据搜索检验技术规范
6 、 GA/T 826-2009电子物证数据恢复检验技术规范
7 、 GA/T 827-2009电子物证文件一致性检验技术规范
8 、 GA/T 828-2009电子物证软件功能检验技术规范
9 、 GA/T 829-2009电子物证软件一致性检验技术规范
10 、 GA/T 976-2012电子数据法庭科学鉴定通用方法
11 、 GA/T 977-2012取证与鉴定文书电子签名
12 、 GA/T 978-2012网络游戏私服检验技术方法
13 、 GA/T 1069-2013法庭科学电子物证手机检验技术规范
14 、 GA/T 1070-2013法庭科学计算机开关机时间检验技术规范
5 、 GA/T 1071-2013法庭科学电子物证Windows操作系统日志检验技术规范
16 、 GA/T 1770-2014《移动终端取证检验方法》
17 、 GA/T 1771-2014《芯片相似性比对检验方法》
18 、 GA/T 1772-2014《电子邮件检验技术方法》
19 、 GA/T 1773-2014《即时通讯记录检验技术方法》
20 、 GA/T 1774-2014《电子证据数据现场获取通用方法》
21 、 GA/T 1775-2014《软件相似性检验技术方法》
22 、 GA/T 1776-2014《网页浏览器历史数据检验技术方法》
司法部 2014 年发布了SF/ZJD0400001-2014《电子数据司法鉴定通用实施规范》、
SF/Z JD0401001-2014 《电子数据复制设备鉴定实施规范》、SF/Z JD0402001-2014 《电子邮件鉴定实施规范》、SF/Z JD0403001-2014 《软件相似性检验实施规范》 4 个司法鉴定技术规范。
公安部在 2005 年就先后发布了《计算机犯罪现场勘验与电子证据检查规则》(公信安〔2005〕161 号)、《公安机关电子数据鉴定规则》(公信安〔2005 〕 281 号)等有关电子数据证
据的规范性文件,而最高人民检察院于2009 年 4 月下发了《人民检察院电子证据鉴定程序
规则(试行)》。
2011 年 7 月 13 日,最高人民法院正式发布了《关于审理证券行政处罚案件证据若干
问题的座谈会纪要》,明确规范了电子证据的主要取证方式、程序、专业意见的取证及认定,对
完善证券行政执法规则,规范证券执法工作,解决证券执法中的突出问题,加大打击证券
市场违法违规行为特别是内幕交易行为的力度,促进我国资本市场的健康稳定发展具有重要的
现实指导意义。
电子数据取证和网络信息安全行业分析报告
电子数据取证和网络信息安全 行业分析报告
目录 一、公司简介:中国电子数据取证龙头企业 (3) 二、电子数据取证行业国内龙头 (4) 1、电子数据取证主要针对电子犯罪 (4) 2、“电子证据”列入法律,行业进入快速成长期 (5) 3、区域深入,行业拓展,新产品三件利器确保业绩增长 (7) 4、电子数据取证产品更新速度快,行业空间足够大 (10) 5、国外电子数据取证行业的发展情况 (12) 6、行业壁垒高,市场份额比较集中 (14) 三、互联网内容搜索具有先发优势,市场空间大 (17) 1、公安市场占有率第一,提供专用服务器提升单位毛利 (17) 2、舆情监测市场空间测算 (18) 3、行业参与者不多,商用市场潜力大 (20) 四、云计算打通与电子取证的桥梁,切入大众消费市场 (21) 1、美国领军企业电子取证云计算业务情况 (21) 2、云服务打通与电子数据取证硬件的桥梁,带来模式升级 (22) 五、商业模式独特,竞争优势明显 (24) 1、技术创新带来新的需求,新品研发能力领先行业 (24) 2、国内真正能够提供专业领域全面云服务的企业 (25) 3、战略思路清晰,产品+服务模式升级 (25) 六、财务分析 (26) 1、收入增速快,期间费用率有所上升 (26) 2、盈利预测 (27) 七、主要风险 (30)
一、公司简介:中国电子数据取证龙头企业 美亚柏科是一家专注于电子数据取证和网络信息安全的企业,公司围绕电子数据取证和网络信息安全产品两大产品,并由其衍生出五大服务。 公司近三年来营业收入增长快速,2011年收入同比增长42.83%,净利润同比增长49.85%。从产品结构来看,电子数据取证收入占比
电子数据取证办案速查手册
电子数据取证办案速查手册 第一章速查手册概述 计算机取证是一门发展非常迅速的学科,时代需要一批能不断吸收最新的知识,掌握最新的技能,使用最新的工具,不断提高自身素质的网络精英,来应对同样在飞速进步的高科技犯罪分子。为电子数据取证与勘察过程中提供一本速查手册,协助办案人员快速查询一些细节性的易遗忘的知识点,这是这本手册设计的初衷。 第二章计算机犯罪现场勘察指南 一:保护现场 现场保护的目的是防止犯罪嫌疑人、调查人员和操作系统故意或无意破坏现场的证据。 在保护现场时需要依循以下原则: 1 禁止嫌疑人接触数字化设备 现场勘查过程中要禁止任何非司法人员接触计算机、电源、网络设备和数字化证据存储设备。必要情况下可以向在场人员索取登录计算机的口令、手机和PDA 的解锁口令、应用程序的功能等相关信息,但必须禁止嫌疑人直接操作计算机。 如果所勘查的现场是公共上网场所(如网吧),必须尽量根据预先掌握的情况(如嫌疑人的体貌特征、当前登录的帐号
等)和技术手段确定嫌疑人身份,并采用隐蔽的方式控制嫌疑人。除非案件特别重大或特别紧急,否则不得采用公开的方式控制犯罪嫌疑人。 2 防止嫌疑人采用隐蔽手段故意破坏证据 嫌疑人可能通过网络、拨入设备远程控制计算机或者网络,在紧急情况下,可以切断相关的有线网络和无线网络连接(关闭交换机、HUB 或无线接入设备)和拨入设备(关闭MODEM)。 嫌疑人可能通过切断电源的方式破坏数据,在现场勘查时要将嫌疑人控制在不可能接触任何电源开关的区域。 嫌疑人可能在系统上安装专门的程序,在满足特定条件下该程序自动清除相关证据。在现场勘查时要评估嫌疑人是否可能具备这一技术水平,如果这种可能性较大,要立即关闭计算机电源。在现场勘查中不应听从嫌疑人的建议实施操作,因为嫌疑人提供的操作方法有可能会导致证据损毁。 3 防止调查人员无意中破坏证据 如果电子设备(包括计算机、PDA 、移动电话、打印机、传真设备等)已经打开,不要立即关闭该电子设备。如果电子设备已经关闭,不要打开该电子设备。 计算机在长期不使用的情况下,显示器可能处在节电模式(黑屏状态),或者用户可能临时关闭显示器,而计算机确正在运行之中。在现场勘查时要观察显示器电源是否打开,
2017年电子取证行业美亚柏科分析报告
(此文档为word格式,可任意修改编辑!) 2017年6月
正文目录 一、取证-数据-服务,2G-2B-2C模式清晰 (5) 1、围绕电子数据的四大产品+四大服务 (7) 2、电子取证仍为第一主业,大数据信息化平台加速 (9) 3、高研发投入保持高毛利率,内生+外延并进 (12) 3.1 坚持高研发投入,维持65%+高毛利率 (12) 3.2 外延拓展技术和行业,顺应客户需求开发专项执法设备 (13) 二、电子取证独占鳌头,一带一路启动海外市场 (16) 1、电子证据形态日益丰富、取证要求日趋严格,扩大行业规模 (16) 2、公司产品覆盖全面,顺应技术趋势不断升级创新 (19) 3、拓展海外,区县下沉深入渗透 (21) 三、大数据信息化市场数倍于取证设备,正值高速成长期 (23) 1、大数据信息化大势所趋,数据平台推动业务向事中事前延伸 (24) 2、百亿网络安全市场大有可为 (25) 3、由公安向各行政执法部门及企业延伸 (28) 四、大数据服务民生,打开更大成长空间 (29) 五、相关建议 (31) 风险提示: (33)
图目录 图1:美亚柏科围绕“电子数据”的采集、分析及应用开展业务 (5) 图2:美亚柏科业务产品拓展的三个维度 (6) 图3:美亚柏科2G-2B-2C的业务发展模式 (7) 图4:公司的阶段性新增业绩驱动因素 (7) 图5:公司的业务框架体系 (8) 图6:公司的四大产品+四大服务 (9) 图7:公司2010年以来营业收入CAGR超过30% (10) 图8:公司归母净利润也一直稳健增长 (10) 图9:电子取证设备是公司第一大主业(2016) (11) 图10:公司大数据信息化业务营收占比快速提升 (11) 图11:公司各项业务毛利率水平(2016) (12) 图12:公司一直保持高的研发投入 (13) 图13:公司外延布局高度协同 (14) 图14:出入境自助办证一体机 (15) 图15:公司无人机防御系统 (16) 图16:电子数据存储介质层出不穷 (17) 图17:电子取证从事后向实时过渡,从静态向动态延伸 (17) 图18:美亚柏科“存证云”规范行政执法全流程 (19) 图19:公司电子取证产品顺应技术趋势和客户需求升级创新 (20) 图20:武汉大千专注视频分析及刑侦领域 (21) 图21:一带一路拓展海外,区县下沉深入渗透 (22) 图22:厦门是“海上丝绸之路”的核心区 (22) 图23:网络安全硬件市场规模 (25) 图24:网络安全软件市场规模 (26) 图25:公司自主的云安全服务商“安全狗” (26) 图26:公司部分网络空间安全产品及服务 (27) 图27:2014年舆情监测系统市场需求单位分布 (27) 图28:美亚柏科占比舆情监测市场份额6.17% (28) 图29:公司“祥云”城市公共安全平台 (30)
(完整版)电子数据取证标准
电子数据取证标准 随着全球信息化的飞速发展,越来越多的数据以电子形式保存。信息安全产品、信息安全服务、安全事件处理与应急响应等方面都离不开电子证据;此外,在商务交易、政府服务、交流沟通、网络娱乐等各种网络应用中也大量涉及到电子证据。但是如同潘多拉的魔盒, 商务类应用的快速发展也伴随着互联网违法犯罪不断增长。有数据显示2013年中国网民在互联网上损失近1500亿,截止2013年12月,我国网民规模达到6.18亿,这就意味着2014年中国网民每人平均损失达243元。 电子数据取证技术,是信息安全领域的一个全新分支,逐渐受到人们的重视,它不仅是法学在计算机科学中的有效应用,而且是对现有网络安全体系的有力补充。近年来,我国的民事诉讼法、刑事诉讼法和行政诉讼法陆续将电子数据确立为法定证据种类之一,电子证据已在我国民事诉讼、刑事诉讼和行政诉讼法活动中发挥重要作用。 电子数据取证是一个严谨的过程,因为它需要符合法律诉讼的要求。因此,取证调查机构必须从“人、机、料、法、环”等多个方面规范电子数据取证工作。 我国电子证据的标准化工作起步较晚,但是国家对于相关标准工作十分重视。《全国人大常委会关于司法鉴定管理问题的决定》(以下简称《决定》)从国家基本法律层面对电子数据鉴定遵守技术标准的义务做了明确规定,即“鉴定人和鉴定机构从事司法鉴定业务,应当遵守法律、法规,遵守职业道德和职业纪律,尊重科学,遵守技术操作规范。” 部门规章和规范性文件层面也有类似规定。2005年《公安机关电子数据鉴定规则》(公 信安[2005]281号)明确要求公安机关电子数据鉴定人应当履行并遵守行业标准和检验鉴定 规程规定的义务;2006年《公安机关鉴定机构登记管理办法》(公安部令第83号)明确 将鉴定机构遵守技术标准的情况纳入公安登记管理部门年度考核的内容中;2007年《司法 鉴定程序通则》(司法部令第107号)对鉴定人采纳技术标准问题做出了详细的要求,其 第22条规定,“司法鉴定人进行鉴定,应当依下列顺序遵守和采用该专业领域的技术标准 和技术规范:(一)国家标准和技术规范;(二)司法鉴定主管部门、司法鉴定行业组织或者相关行业主管部门制定的行业标准和技术规范;(三)该专业领域多数专家认可的技术标 准和技术规范…..”
电子取证技术的三大方向
电子取证技术的三大方向 计算机取证是对计算机犯罪证据的识别获取、传输、保存、分析和提交认证过程,实质是一个详细扫描计算机系统以及重建入侵事件的过程。 国内外计算机取证应用发展概况 现在美国至少有70%的法律部门拥有自己的计算机取证实验室,取证专家在实验室内分析从犯罪现场获取的计算机(和外设),并试图找出入侵行为。 在国内,公安部门打击计算机犯罪案件是近几年的事,有关计算机取证方面的研究和实践才刚起步。中科院主攻取证机的开发,浙江大学和复旦大学在研究取证技术、吉林大学在网络逆向追踪,电子科技大学在网络诱骗、北京航空航天大学在入侵诱骗模型等方面展开了研究工作。但还没有看到相关的阶段性成果报道。 计算机取证的局限性以及面临的问题 (1)目前开发的取证软件的功能主要集中在磁盘分析上,如磁盘映像拷贝,被删除数据恢复和查找等工具软件开发研制。其它取证工作依赖于取证专家人工进行,也造成了计算机取证等同于磁盘分析软件的错觉。 (2)现在计算机取证是一个新的研究领域,许多组织、公司都投入了大量人力进行研究。但没有统一标准和规范,软件的使用者很难对这些工具的有效性和可靠性进行比较。也没有任何机构对计算机取证和工作人员进行认证,使得取证权威性受到质疑。 计算机取证发展研究 计算机取证技术随着黑客技术提高而不断发展,为确保取证所需的有效法律证据,根据目前网络入侵和攻击手段以及未来黑客技术的发展趋势,以及计算机取证研究工作的不断深入和改善,计算机取证将向智能化、专业化和自动化方向发展 计算机取证的相关技术发展 从计算机取证的过程看,对于电子证据的识别获取可以加强动态取证技术研究,将计算机取证结合到入侵检测、防火墙、网络侦听等网络安全产品中进行动态取证技术研究;对于系统日志可采用第三方日志或对日志进行加密技术研究;对于电子证据的分析,是从海量数据中获取与计算机犯罪有关证据,需进行相关性分析技术研究,需要高效率的搜索算法、完整性检测算法优化、数据挖掘算法以及优化等方面的研究。 对入侵者要进行计算机犯罪取证学的入侵追踪技术研究,目前有基于主机追踪方法的Caller ID,基于网络追踪方法的IDIP、SWT产品。有学者针对网络层的追踪问题,提出基于聚类的流量压缩算法,研究基于概率的追踪算法优化研究,对于应用层根据信息论和编码理论,提出采用数字水印和对象标记的追踪算法和实现技术,很有借鉴意义。在调查被加密的可执行文件时,需要在计算机取证中针对入侵行为展开解密技术研究。 计算机取证的另一个迫切技术问题就是对取证模型的研究和实现,当前应该开始着手分析网络取证的详细需求,建立犯罪行为案例、入侵行为案例和电子证据特征的取证知识库,有学者提出采用XML和OEM数据模型、数据融合技术、取证知识库、专家推理机制和挖掘引擎的取证计算模型,并开始着手研究对此模型的评价机制。 计算机取证的标准化研究 计算机取证工具应用,公安执法机关还缺乏有效的工具,仅只利用国外一些常用的取证工具或者自身技术经验开发应用,在程序上还缺乏一套计算机取证的流程,提出的证据很容易遭到质疑。对计算机取证应该制定相关法律、技术标准,制度以及取证原则、流程、方法等,到目前为止,还没有专门的机构对计算机
企业内部调查之电子取证
课程背景 伴随着电脑和网络技术的迅猛发展,办公自动化及无纸化办公的发展,在越来越多的企业争议案件中,当事人提供电子邮件、网络聊天记录、视频资料等电子数据作为证据,甚至于在某些案件中,最重要和最关键的证据就电子证据。因此电子证据的效力能否被认定就成为了决定案件胜败的关键。 你知道如何从windows系统中取证内容吗? 哪些应用程序的数据可以擦亮您的慧眼? 网络实时通信记录数据如何抓取?…… 80%以上的企业,面对突如其来的企业纠纷(劳动,白领犯罪,贿赂)败诉,归咎于疏忽事前的准备! 课程大纲 一、电子证据概述 1、证据概念 概念/广义/狭义 证明力 证据能力 2、证据的特征(案例) 客观性/关联性/合法性 3、电子证据的立法状况 国外情况 VS 我国情况 4、电子证据立法内容前瞻 5、电子证据概念及特征 电子证据的定义 电子形式存在的数据(包括其派生物) 借助信息技术或信息设备形成的数据 作为证据使用的数据
二、电子证据来源 1、存储介质中(硬盘、U盘、光盘) 2、电磁辐射中(案例) 3、传输线路中 三、电子证据收集 1、电子证据收集概念 2、电子证据收集的范围(案例) 3、Win系统取证内容 Windows系统数据作为电子证据调取(案例) 在线调查部 获取系统日志 查看注册表 获取文件修改和创建时间 获得系统密码 系统复制和数据备份 离线调查部分 建立离线分析环境|检查所有相关日志 进行关键字搜索|检查可疑文件 (包括电子邮件、删除文件、注册表文件、浏览器、隐藏文件等) 应用程序数据作为电子证据 电子邮件数据 即时通信软件数据 电子公告数据 网络浏览下的电子证据 IE浏览器 浏览历史 缓存,加速浏览速度而保存在本地缓存的文件 Cookies,会话型和永久型,用于识别访问过的网址 收藏夹 网络实时通信取证介绍 Tcpdump 事件监视 无内容通信监视 全内容监视:数据收集-事件提取-会话重组 4、电子证据收集规则 严格依法进行 突出电子证据的特点 5、电子证据的收集方法
电子证据新技术培训心得体会范文_心得体会.doc
2015年电子证据新技术培训心得体会范文_ 心得体会 7月13日至7月17日,我有幸在济南山东省检察官培训学院参加了省院组织的证据培训。培训时间虽只有短短的一周,但却让我受益匪浅,收获颇丰。培训内容包括电子现场勘验、网络及数据保全、数据恢复及密码破解、MAC取证分析技术、缺陷存储在检察办案中的应用、手机芯片取证技术和物理、逻辑取证新方法、话单分析及定位技术、取证规范及文书制作、云计算和大数据等相关内容。授课老师既有省院专家领导又有各市级院的业务能手和电子数据取证专业的专家,他们结合自身以及常见案例进行授课,给我们呈现了一节又一节的饕餮盛宴。内容翔实、形式新颖的课程,让我们这些初次接触电子证据的小白们眼前一亮、豁然开朗。这次培训对我今后正确履行岗位职责,做好检察技术工作给予了很大帮助,同时也为我今后从事电子数据取证工作打下坚实的基础。短短一周的让我有了许多切身的体会。 一、找准定位,发挥自己专业 此次培训让我深刻了解到电子数据取证需要强大的专业知识背景,尤其要求通信工程专业及计算机硬件专业知识,同时对于手机的Adroid、IOS系统等都需要有强大的专业知识与实践能力。作为计算机专业出身的我来说,虽然学习了7年的计算机知识,但是这方面专业能力还远远不够,学校以及实习期间一直从事软件测试、ERP等方面的工作,对于电子数据所要求的通信工程、单片机以及计算机硬件等专业知识的欠缺让我倍感压力。但
是有句话说的好,压力就是动力、学习是前进的源泉。因此在感到压力的同时,要不断的学习,向领导学习,向同事学习,向其他兄弟院有经验的同志们学习。 二、勇于实践,敢于探索,运用电子取证设备为检察工作增砖添瓦。 纵使思忖千百度,不如躬身下地锄。培训期间,淄博院的曹茂虹和济宁市院的周广春两名同志结合自身经历以及工作经验所讲解的电子数据取证常见案例,我初步了解了话单分析、伪基站检验鉴定等相关领域以及电子证据取证流程等内容,深受启发,同时也让我坚定了在以后的工作中要不断的自我充电,多多学习,并勇于实践,只有不断地学习和实践才能将工作做的更好。此次培训期间印象深刻的还有专家讲解的WiHex的使用,通过WiHex软件结合计算机本身分区的相关知识可以快速解决诸如U盘打不开,文件打开出现乱码等问题,让我受益匪浅,同时也让我深感计算机专业的博大精深以及我对计算机专业某些方面知识的匮乏。因此在以后的工作中要勇于实践,敢于探索,在探索和实践中增加自己的知识,在电子取证方面有所建树。 三、善于交流,不断丰富自己 此次培训,让我了解到高检院以及其他兄弟院在电子取证方面的成就。省院领导讲解的云计算与大数据的简介让我了解了什么是云计算和大数据,以及云计算和大数据对我们以后的电子数据取证方面的作用。与省院领导、兄弟院业务能手的交流,我了解了电子取证的发展趋势以及前景,在取证过程中进行数据恢复的技巧等。同时也了解到高检院的电子证据取证云平台在试运行,为以后大家进行电子数据方面的交流学习提供了便捷。 天生我材必有用。随着电子信息技术的不断发展,电子
电子数据取证在侦查中的应用
电子数据取证在侦查中的应用 二、电子数据取证的现状电子数据取证与侦查结合的程度和效果如何,取决于技术与侦查协作机制是否完善。在现阶段,检察机关的技术部门与侦查部门结合远不如公安机关技侦部门与侦查的协作,这与检察机关的工作性质有关,也与检察业务的特点有关。检察业务主要是法律监督,包括侦查职能也是为履行法律监督职能而设,技术部门的主要业务之一主要是对案件中的技术性证据进行审查监督,而其他的鉴定和技术协助等也都没有与侦查密切衔接,这是由于刑诉法没有赋予检察机关使用技术侦查手段,侦查部门对技侦手段的使用不通过技术部门,所以在工作实践中,有了需要技术部门提供协助的时侯,也往往想不起来向技术部门提出。两个部门各自有自己的工作方法和方式,如果不是同一个主管检察长管理,两者之间配合有着非常大的障碍。技术部门经费紧张,在配合办案时,牵涉到经费问题都无从解决,如果侦查部门不能提供帮助,技术人员就难以融入办案组正常开展工作。侦查工作有非常强的时效性,需要技术支持及时有效,而技术部门承担的工作比较繁多,人员又少,有时不能及时提供所需数据,或者不能判明哪个案件或情况更需要优先支持,造成侦查部门感到用技术部门不方便。再有其他方面根深蒂固的成见,侦技协作机制就成了好说不好做的一
句空话。但是,只要领导支持,建立坚强有效的制度制约,还是能够推行这一机制的,现实中也确有一批侦技协作非常成功的实践者,技术为侦查提供帮助,助推侦查业务腾飞;侦查为技术提供发展的条件,技术有了好的工作条件,从而为侦查提供更好的服务,形成了良性互动。 三、检察机关工作中电子数据取证的应用电子数据取证是检察机关的“技术侦查”,电子数据是存在于嫌疑人所使用或接触的电子设备中,它存在于一个完全不可见而又客观存在的虚拟世界中,比如这样一个案例,一个行贿人甲为了获取非法利益,他想通过向掌握权力的乙行贿的方法以达目的,首先甲要通过电话联系乙,这就产生了通话记录和短信记录等电子数据,其次,他要约见甲,共赴一个地点,通过两者的车辆的GPS或手机基站信息,可以通过两者的位置信息为见面提供佐证,这里的GPS信息和手机基站话单也是电子数据,见面谈话时,乙为保证自己的目的能够有保障的达到,他很有可能对谈话内容进行录音,这个录音文件也是电子数据,而公安的天网监控系统的录像资料也是证明这个过程的辅助材料,这些电子记录的录像资料也是电子数据,甲与乙如果经常干这样的勾当,他们也很可能会对这些非法交易进行记账,在现今科技高度发达的时代,记账一般都以电子方式进行,这些电子账本也是电子数据。最后,他们对各自银行账户的操作,依然留下存取的记录,这个银行计算机系统
电子数据取证原则与步骤
电子数据取证原则与步骤 电子物证检材提取有二种基本形式:提取硬件物证检材和电子信息物证检材。如果电子设备可能被用作犯罪工具、作为犯罪目标或是赃物,或者是电子设备内含有大量与案件相关的信息,就有可能需要提取硬件作为物证检材。在准备提取整台计算机作为检材时,应考虑同时提取该计算机的外围硬件,如打印机、磁盘驱动器、扫描仪、软盘和光盘等。如果在案件中电子信息可能是用于证明犯罪的证据,或者电子信息是非法占有的,这时候电子物证检材提取的焦点是电子设备内的电子信息内容,而不是硬件本身。提取电子信息物证检材通常有二种选择:复制电子设备储存的所有电子信息,或者是仅仅复制需要的电子信息。选择哪种方式主要根据案件情况和侦查需要决定。 网络连接的计算机储存的电子信息可以快速传递、多处储存和远程操作删改。如果一个计算机网络涉及犯罪活动,电子数据证据通常分布在多台计算机中,应尽可能地提取所有硬件或网络中的电子信息作为物证检材。提取网络计算机内的电子数据证据需要更多的计算机技术和案件调查经验,一般需要由专业的电子物证专家完成。不适当的提取操作很可能造成电子数据证据丢失或提取不完整的严重后果。 第一节电子数据取证原则 电子数据取证的原则:1.尽早地搜集整理证据,能够得到第一手的信息,并尽可能地做到取证的过程公正和公开; 2.不要破坏或改变证据,尽可能少的改变系统状态,在不对原有物证进行任何改动或损坏的前提下获取证据; 3.证明所获取的证据和原有的数据是相同的;4.在不改变数据的前提下对其进行分析;5.在取证时使用的软件应是合法的。 为此,在进行电子物证检验的过程中,要采取以下做法来保证原证据不被改变或损坏: 1.尽早收集证据,以防原证据被改变或计算机系统状态被改变;
电子取证技术
电子邮件取证是计算机取证的一个分支,是指按照法律的要求提取电子邮件证据的方法和过程,是运用技术的手段识别一个电子邮件真正的发送者、接收者以及邮件发送的时间和发出地址的过程。 什么是电子取证技术 电子邮件取证是计算机取证的一个分支,是指按照法律的要求提取电子邮件证据的方法和过程,是运用技术的手段识别一个电子邮件真正的发送者、接收者以及邮件发送的时间和发出地址的过程。 假定一个电子邮件的接收者是https://www.360docs.net/doc/d814841906.html,公司,该邮件的头部显示在接收者和发送者之间有四个节点。其中第三和第四个在系统内,是https://www.360docs.net/doc/d814841906.html,公司内部的电子邮件系统,并且可能在https://www.360docs.net/doc/d814841906.html,公司内部的电子邮件日志中有记录。如果不知道其它的两个节点的服务器,可以通过Whois 和Better-Whois进行查询。这两个服务程序搜索包含注册用户名和IP 地址的数据库,例如通过使用Whois搜索https://www.360docs.net/doc/d814841906.html, 这个域名时,可以得到该域名所有者的名字、地址、联系方式,以及负责解析该域名的域名服务器等信息。 如果发送者的地址不是伪造的话,就可以很容易地找到邮件的发送者,因为只需找到在邮件发送时谁在使用邮件服务器就可以了,这通常可以在邮件服务器的日志中找到。 电子邮件取证追踪所面临的困境从上面看,似乎电子邮件的取证追踪非常简单,然而实际情况通常并非如此。因为Whois 和Better-Whois虽然有助于找到电子邮件的发送者,但它们却无法确定该发送者的地址是否是伪造的。目前的电子邮件服务器在发送邮件时通常是没有认证的,也就是说用户可以在无需密 码的情况下使用他人的电子邮箱发送信件,所以在大多数情况下,虽然可以找到邮件发送者的账号,但却不能因此就断定邮件就是由该账号的用户所发送的,这就是电子邮件取证追踪所面临的困境,此时通常还要使用其它方面的证据才能断定。 电子邮件的取证追踪发送者的难题
2021年电子数据取证企业三年发展战略规划
2021年电子数据取证企业三年发展战略规划 2021年1月
目录 一、公司发展战略 (3) 二、公司整体经营目标及主要业务经营目标 (3) 1、整体经营目标 (3) 2、主要业务经营目标 (3) (1)产品策略 (4) (2)渠道策略 (4) (3)价格策略 (4) (4)服务策略 (4) (5)行业区分策略 (5) (6)品牌延伸策略 (5) 三、具体发展计划 (5) 1、产品开发计划 (5) 2、技术创新计划 (6) 3、人力资源计划 (6) 四、主要风险及对策 (7) 1、行业未来发展不确定性风险 (7) 2、产品销售季节性不均衡的风险 (8) 3、核心技术及人员流失的风险 (9) 4、应收账款发生坏账的风险 (10) 5、互联网技术和移动互联网进步带来的产品开发风险 (10)
一、公司发展战略 公司将坚持自主研发和技术创新及科学的运营模式,为客户提供精良的互联网取证及电子数据取证产品和周到的互联网信息安全服务,以尽快建立公司在细分市场的领先优势,为公司未来发展成为国内领先的电子数据局取证与互联网安全产品及服务商奠定坚实的基础。 二、公司整体经营目标及主要业务经营目标 1、整体经营目标 未来两到三年,公司将主要围绕互联网取证、电子数据取证两大产品体系,深入研究多项关键技术,持续推进技术创新和模式创新,将产品销售对象由公安机关延伸至其它司法部门(检察院、法院)、行政执法部门(海关、税务、工商等)等客户群体,实现企业稳步发展。 2、主要业务经营目标 目前公司的营业收入中,互联网取证产品占主导地位,属公司主打畅销产品。在未来三年,公司将进一步巩固和提高互联网取证产品在现有公安行业市场的领先地位。同时,公司正积极加大移动互联网取证产品的研发生产和市场销售的投入力度,努力打入国际市场并使企业获得更快发展。
电子数据取证问题及对策建议
电子数据取证问题及对策建议 [摘要]修改后的刑事诉讼法第48条首次将“电子数据”纳入法定证据范围,并与视听资料同列为第八种刑事证据。实践中在电子证据取证方面存在诸问题须引起重视,通过对其原因分析提出相关对策建议。 [关键词]电子证据;技术人员;取证 为了保证新刑事诉讼法的正确实施,发挥电子证据在证明犯罪中的作用,如何获取电子证据就成为一个重要问题须引起重视。 一、电子证据取证中遇到的问题 从目前司法实践看,职务犯罪日趋隐秘化和高科技化,这为侦查工作带来了很大的难度和挑战,需要检察机关充分运用科技手段,收集电子证据。但由于电子证据是一种新证据,一般侦查人员又不懂这方面技术,因而实践中在电子证据取证方面遇到以下主要问题: 一是技术人员与侦查人员配合不够默契。技术人员与侦查人员分属不同的部门,平时接触少,所以在实际的工作中技术人员与侦查人员配合不很默契。这里所说的“配合”包括外出取证前准备阶段的配合、外出取证过程中的配合、外出取证回来后对数据进行分析时的配合。首先是外出取证前准备阶段的配合问题,如自侦部门在办理案件过程中,如果认为犯罪嫌疑人或有关人员的电脑或者存储设备中存在有关证据需要收集的,就会要求技术人员跟随前往外出收集,但案件的基本情况仍需保密。由于每个现场都有它的特异性,如果事先不告知技术人员,到取证现场后,技术人员往往会出现措手不及或准备不充分的情况,这时就会导致取证效率低、取证效果不理想、更有甚者会导致证据流失的问题。其次是取证过程中的配合问题,由于搜查现场会出现各种各样的突发问题,需要侦查人员与技术人员的默契配合。最后是外出取证回来后对数据进行分析时的配合。技术人员就删除数据进行恢复后,对数据对案件的侦破作用知之甚少。 二是取证中遇到的一些技术难题。随着科技的高速发展,职务犯罪中往往出现一些高新设备和技术,需要技术人员熟悉各种设备,掌握各种技术和知识。只有这样,才能保证技术有效地收集到所需要的电子证据。但从目前司法实践看,由于技术人员的培训不及时,往往难以跟上时代前进的步伐,笔者在实践中就遇到一些技术难题,比如在一次外出取证时,要对犯罪嫌疑人的一台电脑的硬盘作复制键时,但发现机器是处于开机状态的,于是按照规程,直接拔掉机箱后的电源,结果硬盘出现了坏道。另一次是对一台CANON相机的SDRAM卡中的删除数据进行恢复,已知这台相机上存储有5天的照片,相机上的照片只是被误删除了,没有被格式化,而且没有覆盖新数据,但在使用X-WAY、ENCASE、PHOTORECOVER等软件进行恢复时,发现只恢复出前3天的数据,后两天100多张照片没有了。
电子数据取证
电子数据取证成为信息安全产业的新引擎 计算机和网络技术的迅速普及大大改变了人们的生活和生产方式,人们在享受计算机和互联网所带来的便利的同时,也面临着大量有关电子数据的安全问题,如网络信息窃取、木马病毒、网络色情、网络诈骗等等。计算机、手机等电子设备的使用为不法分子实施违法犯罪行为提供了更加隐蔽和便利的条件,不法分子不但可以将计算机等电子设备做为违法犯罪的目标,而且也可以将其做为实施违法犯罪的工具,所造成的危害也越来越大。 近年来在西方一些发达国家,计算机犯罪每年都在翻番,成为十分严重的社会问题。据报道美国计算机犯罪造成的损失已在千亿美元以上,年损失达几十亿至上百亿美元。英国、德国在这方面的年损失也达几十亿美元。为了对付计算机犯罪,美国去年在网络保安工作上花费了60亿美元,英国的公司每年也要花5.3亿英镑来对付计算机伪造和入侵。 我国于1986年首次发现计算机犯罪案件,进入90年代,随着我国计算机应用和普及程度的提高,涉及电子数据的违法犯罪案件呈迅猛增长态势,涉及领域包括银行、证券、保险、贸易、工业企业以及国防、科研等各个行业。据公安部公布的信息显示,2005年,我国刑事案件的数量为4,648,401件,2006年为4,744,136件,2007年为4,807,517件,每年呈递增趋势。据统计,这些案件中有50%的案件涉及计算机系统或网络中的电子数据,每年就有超过240万起案件需要进行电子数据取证,这里还不包括民事案件的数量。随着社会信息化水平的提高,涉及电子数据的案件在总案件中的比例还将不断提高。 如何防范侵害计算机及网络系统中的电子数据的行为,获取与之相关的电子证据,将不法分子绳之以法,已成为司法和计算机科学领域中亟待解决的重要课题。作为计算机科学、法学和刑事侦查学的一门交叉科学——电子数据取证已日益成为人们研究与关注的焦点。 与传统的指纹、笔迹、DNA等取证对象所不同的是,电子数据取证的对象是虚拟空间的电子数据。计算机硬盘、U盘、手机、数码相机等设备中存储的电子数据,往往会遇到存储介质被损坏、数据被删除等情况无法读取,必须通过电子数据取证技术进行恢复、提取和分析,从而客观、真实地反映存储介质中的电子
(完整版)电子数据取证标准.doc
电子数据取证标准 随着全球信息化的速展,越来越多的数据以子形式保存。信息安全品、信息 安全服、安全事件理与急响等方面都离不开子据;此外,在商交易、政府服 、交流沟通、网等各种网用中也大量涉及到子据。但是如同潘多拉的魔盒, 商用的快速展也伴随着互网法犯罪不断增。有数据示2013 年中国网民在互网上失近1500 ,截止 2013 年 12 月,我国网民模达到 6.18 ,就意味着 2014 年中国网民每人平均失达243 元。 子数据取技,是信息安全域的一个全新分支,逐受到人的重,它不 是法学在算机科学中的有效用,而且是有网安全体系的有力充。近年来,我国的民事法、刑事法和行政法将子数据确立法定据种之一,子据已在我国民事、刑事和行政法活中重要作用。 子数据取是一个的程,因它需要符合法律的要求。因此,取 机构必从“人、机、料、法、” 等多个方面范子数据取工作。 我国子据的准化工作起步晚,但是国家于相关准工作十分重。《全国 人大常委会关于司法定管理的决定》(以下称《决定》)从国家基本法律面子数据定遵守技准 的做了明确定,即“ 定人和定机构从事司法定, 当遵守法律、法,遵守道德和律,尊重科学,遵守技操作范。” 部章和范性文件面也有似定。2005 年《公安机关子数据定》(公信安 [2005]281号)明确要求公安机关子数据定人当履行并遵守行准和定 程定的;2006 年《公安机关定机构登管理法》(公安部令第83 号)明确 将定机构遵守技准的情况入公安登管理部年度考核的内容中;2007 年《司法定程序通》(司法部令第107 号)定人采技准做出了的要求,其 第 22 条定,“司法定人行定,当依下列序遵守和采用域的技准 和技范:(一)国家准和技范;(二)司法定主管部、司法定行或 者相关行主管部制定的行准和技范;(三)域多数家可的技 准和技范?..”
电子取证特性及电子取证方法
电子取证特性及电子取证方法 信息社会使我们融入了数字世界,信息网络改变了人们的工作、生活模式。这种信息载体的革命性变革也引发了诸多法律问题,与计算机相关的诉讼不断出现,一种新的证据形式——电子证据成为人们研究与关注的焦点。 电子证据即为电子数据证据,也被称作计算机证据、数据证据、网上证据等。电子证据一般理解为电子数据形成的证据,通常是指在计算机或计算机系统运行过程中产生的以其记录的内容来证明案件事实的电磁记录物。它是现代信息社会产生的新的证据种类。电子证据的承载介质是包括硬盘、软盘、光盘等在内的计算机软、硬件,毫无疑问它具有一般证据所具有的客观存在性,既是可信的、准确的、完整的、符合法律法规的,同时它又具有自身的特殊性。 掌握了电子证据独特的性质,有助于我们在公共信息网络安全监察工作中解决和排除涉及电子证据的收集、审查、质证、采信等方面的困难和障碍。 电子证据的产生、储存和传输,都必须借助于计算机技术、存储技术、网络技术等,离开了高科技含量的技术设备,电子证据就无法保存和传输,所以电子证据的形成具有高科技性;电子证据实质上是一堆按编码规则处理成的“0”和“1”的二进制信息,是通过看不见摸不着的计算机语言记载的,其数据是以磁性介质保存,它又具有无形性;电子数据以“比特”的形式存在,是非连续的,…改动、伪造不易留下痕迹,数据或信息被人为地篡改后,如果没有可对照的副本、映像文件则难以查清、难以判断,电子证据还表现为易改动性;人为的恶意删除、误操作、电脑病毒、电脑故障等等原因,均有可能造成电子证据的消失,电子证据又呈现易消失性;电子证据综合了符号、编码、文本、图形、图像、动画、音频及视频等多种媒体信息,其外在表现形式具有多样性;此外,电子证据还具直观性强、收集迅速、易于保存、传送方便、占用空间少、复制后可反复重现、便于操作等特性。 电子证据的上述性质,决定了其取证过程有别于许多传统的取证方法,它对司法和计算机科学领域都提出了新的研究课题。作为计算机领域和法学领域的一门交叉科学,电子证据取证正逐渐成为人们研究与关注的焦点。电子证据取证应遵循及时性、合法性、全面性、专业人士取证、潜在证人协助、利用专门技术工具等原则,要考虑电子证据的生成、电子证据的传送与接收、电子证据的存储、电子证据的收集这四个方面的因素,才能保证电子证据的真实性、合法性。 在快播一案中,我们第一次接触电子数据取证,印象最深刻的就是电子证据对系统
电子数据证据取证工作的指导意见
国家工商行政管理总局文件 工商市字〔2011〕248号 关于工商行政管理机关电子数据证据 取证工作的指导意见 各省、自治区、直辖市及计划单列市、副省级市工商行政管理局、市场监督管理局: 为规范工商行政管理机关电子数据证据取证工作,加强网络商品交易及有关服务违法行为查处工作,根据《中华人民共和国行政诉讼法》、《中华人民共和国电子签名法》、《最高人民法院关于行政诉讼证据若干问题的规定》以及《工商行政管理机关行政处罚程序规定》,现就工商行政管理机关电子数据证据(以下简称电子证据)取证工作提出如下指导意见: 一、电子证据取证是指工商行政管理执法人员在查处网络商品交易及有关服务违法行为时,运用技术手段收集、调取违法行为的电子数据证明材料或者与违法行为有关的其 他电子数据材料。 二、本意见所称电子证据是指以电子数据的形式存在于计算机存储器或外部存储介质中,能够证明案件真实情况的电子数据证明材料或与案件有关的其他电子数据材料。 三、电子证据取证应当严格遵守国家法律、法规、规章的有关规定,除与案件有关联的电子证据外,不得随意复制、泄露案件当事人储存在计算机系统中的私人材料和商业秘密。
四、电子证据取证工作任务应当至少有2名执法人员参与进行,其中至少有1名人员应当熟练掌握计算机操作知识。 五、执法人员应当收集电子证据的原始载体。收集原始载体有困难的,可以采用以下四种方式取证,取证时应当注明制作方法、制作时间、制作人和证明对象等。 (一)书式固定。对于计算机系统中的文字、符号、图画等有证据效力的文件,可以将有关内容直接进行打印,按书面证据进行固定。书式固定应注明证据来源并保持其完整性。 (二)拍照摄像。如果电子证据中含有动态文字、图像、声音、视频或者需要专门软件才能显示的内容,可以采用拍照、录音或摄像方法,将其转化为视听资料证据。 (三)拷贝复制。执法人员可以将涉嫌违法的计算机文件拷贝到U盘或刻录到光盘等计算机存储设备,也可以对整个硬盘进行镜像备份。在复制之前,应当检验确认所准备的计算机存储设备完好且没有数据。在复制之后,应当及时检查复制的质量,防止因保存方式不当等导致复制不成功或被病毒感染,同时要现场封存好复制件。 案件当事人拒绝对打印的相关书证和转化的视听证据进行核对确认,执法人员应当注明原因,必要时可邀请与案件无关的第三方人员进行见证。 (四)委托分析。对于较为复杂的电子证据或者遇到数据被删除、篡改等执法人员难以解决的情况,可以委托具有资质的第三方电子证据鉴定机构或司法部门进行检验分析。 委托专业机构或司法部门分析时,执法人员应填写委托书,同时提交封存的计算机存储设备或相关设备清单。专业机构按规定程序和要求分析设备中包含的电子数据,提取与
电子数据取证辅助系统设计实例
2019.04 1概述 随着我国“互联网+”的计划不断深入推进,各行 各业的方方面面都已有了现代化、信息化的痕迹。而电子数据取证/鉴定行业(下文简称取证行业),作为打击互联网新型犯罪,维护我国网络空间安全的保障,取证行业的工作量也正与日俱增。如何在巨大的工作压力环境下,保证工作的严谨性的前提下,在法定期限内按照委托要求完成取证鉴定过程也逐渐成为了一大棘手的问题。当前一线网安队伍也正在逐步开始采用寻找具有法定鉴定资质的鉴定中心进行所属案件的鉴定检验工作。 基于当前取证行业大环境的客观原因,这里以南京某司法鉴定中心为例,设计出一套电子数据取证辅助系统,用于案件与检材的登记与受理、辅助鉴定人员进行基本的取证工作,同时具有高度自动化的文本处理能力,在保证客观性公正性的基础上,在取证工作中自动采集所需的相关信息,在取证完成后自动出具鉴定报告。 2辅助系统架构 本系统采用模块化平台构成,每个平台可以独立使 用运行,在最大程度上契合不同案件不同要求的实际情况。系统设计时考虑到送检、检验等流程性步骤的实际情况,采用流水线式操作,系统能根据不同用户组分配呈现不同的操作界面。在关键执行流程中,添加了大量的智能识别以保障系统平稳运行,同时也留有人工终止标记用来紧急暂停或终止运行,以备不时之需。 系统编写使用三层主要架构:前端Web 部分、辅助脚本部分、文书自动化处理部分。涉及主要编写语言Html/PHP、Q 语言(VBScript)、Python,次要语言覆盖SQL、Java 等。各个模块采用本项目自行定义的文件类 型(.aaf2)进行通信,控制系统指针并传递有关参数:cs.aaf2用于存放案件的基本信息;jc.aaf2用于存放检材的相关信息,包括有自动生成的检材编号;bg.aaf2用于存放鉴定报告的附件,也就是取证结果;flag.aaf2存放仅用于登记受理平台与取证自动化平台的临时通信文件,不传递至文书自动化平台。如图1所示。 3 辅助系统设计实例 3.1登记受理平台 登记受理平台作为系统的展示交互的第一平台,采 用了基础的B/S 开发技术,针对面向的两类用户之间差异小的特点,B/S 的多级访问与多级控制,便于在各级别把关与监控[3]。前端Html 部分采用当前常用的boot?strap 页面框架样式进行构建。设置于一台VMware 的Win7虚拟机之中,通过WAMP 提供两层Web 服务,分 基金项目:2017年度国家级大学生实践创新训练计划项目(项目编号:201712213020)。 作者简介:杨文淦(1997-),男,研究方向:电子数据取证;李文骞(1979-),男,讲师,研究方向:量子信息与量子计算;梁涛(1997-),男,研究方向:网络安全。 收稿日期:2019-01-25 电子数据取证辅助系统设计实例 杨文淦,李文骞,梁涛 (南京森林警察学院,南京210023) 摘 要:电子数据取证辅助系统作为取证鉴定行业的新兴产物,正越来越受到公安鉴定民警与相关从业人员的关注,设计出一套可行性高、实用性强的辅助系统也是大势所趋。系统实例通过网页交互、辅助脚本、文本自动处理等技术的融合,从根源上介入取证鉴定流程。基于一体化与自动化的简便式人机交互设计理念,最大程度上解决取证工作的重复性问题,优化从业人员的工作环境。关键词:电子数据取证;司法鉴定;辅助系统;自动化;文本处理 图1电子数据取证辅助系统架构示意图 Html PHP SQL JAVA Q(VBScript) Python 登记受理平台 cs.aaf2 jc.aaf2flag.aaf2取证自动化平台 bg.aaf2 cs.ssf2jc.aaf2 文书自动化平台 Web 前端模块 辅助脚本模块 文书处理模块103