基本介紹
- 中文名:計算機取證與司法鑑定的原則
- 外文名:The principle of computer forensics and judicial appraisal
- 類別:計算機
- 性質:規定
- 時間:2000年
美國等已開發國家早於20世紀80年代開始研究計算機取證與司法鑑定原則,在取證與司法鑑定思想,理論,技術,方法等方面取得了不少成果.有的國家或組織很早就著手開發制定相關的法律原則,主要是在對傳統取證與司法鑑定手段的修訂中,逐步建立或完善電子證據的搜查,扣押,實時收集等取證與司法鑑定措施,但在司法實踐還存在不足,還需要不斷地進行調整.如美國憲法第四修正案中規定,公民的檔案同其人生,財產一樣,不受非法搜查,扣押,需要經過批准才能實施搜查,扣押,但對於存在於多個司法管轄區域內的電子證據,則因需要分別申請批准檔案,耗時過長而延誤收集電子證據的有利時機,而可能收集不到全部的電子證據.《法國刑事訴訟法典》第三編"預審管轄"的第二節"電訊的截留"之第100條規定了截留電訊的措施,但沒有明確規定電訊截留是否可以適用於計算機網路通信等.而在有關電子證據的搜查,扣押等取證與司法鑑定措施的國際法律檔案中,最值得借鑑的是2001年通過,2004年生效的歐洲理事會《關於網路犯罪的公約》,該《公約》的第19條規定了搜查,扣押存儲的計算機數據等措施,雖然比較完善,但它不能直接用於犯罪調查,而只是為各締約方在設立相應的電子證據扣押,搜查等取證與司法鑑定措施時,必須規定的基礎內容或最低立法標準.各締約方可以根據本國特殊的法律制度,文化背景,設立本國的搜查,扣押電子證據的取證與司法鑑定措施.
2.國內現行的計算機取證與司法鑑定原則
一直以來,國內學術界對電子證據的界定,法律地位等問題尚無定論,造成的不確定性直接體現在相關的調查取證與司法鑑定原則中,如有一種觀點將電子證據界定為"電子數據,存儲媒介和電子設備", 另一種觀點則認為待鑑定的對象是指"以數位化形式存儲,處理,傳輸的數據".對操作對象界定的局限性,導致了證據檢查,收集等各個階段的操作要求存在不足,而且證據檢查和收集僅僅是案件調查的部分階段,並不是調查取證與司法鑑定的整個過程,同時計算機取證與司法鑑定的原則,證據的分析等階段還缺乏相應的法律規定,一定程度上影響了司法實踐活動.因此,在明確界定電子證據,確立其獨立的法律地位的基礎上,有必要制定完善的取證與司法鑑定原則,包括計算機取證與司法鑑定應遵循的原則,計算機取證與司法鑑定的實施標準,以規範計算機取證與司法鑑定程式,保證獲取的電子證據的可采性.
1.2.2 計算機取證與司法鑑定原則
證據是訴訟的關鍵,取證與司法鑑定是必經的司法過程,獲取具有可采性的證據是取證與司法鑑定的主要目的,通過調查取證與司法鑑定人員進行具體的取證與司法鑑定行為來實現這一目的.以原則規範計算機取證與司法鑑定,是保證電子證據可采性的關鍵.目前,由加拿大,法國,德國,英國,義大利,日本,俄羅斯和美國的計算機取證與司法鑑定研究人員組成的G8小組提出的六條原則是國際上最權威的計算機取證與司法鑑定 原則:
必須套用標準的取證與司法鑑定過程;
獲取證據時所採用的任何方法都不能改變原始證據;
取證與司法鑑定人員必須經過專門培訓;
完整地記錄證據的獲取,訪問,存儲或傳輸的過程,並妥善保存這些記錄以備隨時查閱;
每位保管電子證據的人員必須對其在該證據上的任何行為負責;
任何負責獲取,訪問,存儲或傳輸電子證據的機構有責任遵循以上原則.
公安部,最高人民檢察部,最高人民法院規定了有關勘驗,提取,扣押,保管,分析電子數據等取證與司法鑑定環節的原則與程式,部分省,市也對電子商務數據如何存儲,備份,恢復等方面提出了有益的建議,但這些法律規範偏向於指導如何提取電子證據,各種方法應遵循什麼法律原則均很少涉及且尚未統一,使得在司法實踐中進行取證與司法鑑定時缺乏整體的指導思想,各個環節之間不能有效地銜接,嚴重影響了電子證據的可采性和證據鏈條的完整性.
由於網路的無國界性,不同國家在法律,道德和意識形態上存在差異,取證與司法鑑定原則取決於不同的證據使用原則.不同的國家,組織根據各自的出發點,制定的取證與司法鑑定原則雖然不完全相同,但大體都是為保證獲取的證據的合法性,客觀性和關聯性.因此,計算機取證與司法鑑定的原則應該包括以下幾個方面.
1.依法取證與司法鑑定原則
計算機取證與司法鑑定不僅要保證取證與司法鑑定實體合法,還要保證取證與司法鑑定程式合法.任何證據的有效性和可采性都取決於證據的客觀性,與案件事實的關聯性和取證與司法鑑定活動的合法性,取證與司法鑑定活動的要件構成是指參與取證與司法鑑定活動全過程,決定或影響取證與司法鑑定結果的各個方面或因素,包括取證與司法鑑定的主體,對象,手段和過程四個要素,只有保證取證與司法鑑定"四要素"同時合法,才能保證獲取的證據合法.
1)主體合法
取證與司法鑑定主體是案件證據的主要提交者,隨著在案件中承擔舉證責任的地位不同,取證與司法鑑定主體也會有所不同.我國《民事訴訟法》,《行政訴訟法》對取證主體沒有嚴格的規定,加之電子證據與取證與司法鑑定方法的特殊性,因此取證與司法鑑定主體必須具有相應的資格,才能依法完成電子證據的發現,收集,保全等取證與司法鑑定 活動.
電子證據的取證與司法鑑定主體首先必須具備法定的取證與司法鑑定資格,只有具備合法的調查取證與司法鑑定身份,才能執行相應的取證與司法鑑定活動.由於電子證據的技術特性,取證與司法鑑定人員稍有疏忽都有可能造成重要的數據信息丟失的後果.鑒於計算機取證與司法鑑定是一門技術性非常強的交叉科學,要求調查人員具備相當的信息技術並不現實,因而調查機關聘請具有法定資格的計算機取證與司法鑑定專家協助調查取證與司法鑑定是彌補此缺陷的有效方法.如取證與司法鑑定專家通過對獲取電子證據的困難程度和最終的可能結果的分析,提出獲取該證據的合理建議,制定相應的計畫,步驟;協助搜查,扣押電子設備,尋找潛在的電子證據,從技術的角度確保證據的真實性和完整性;恢復被刪除的電子證據並加以分析,鑑別;作為專家證人出庭作證,說明電子證據收集,分析過程的可靠性,解釋相關技術問題,並接受對方當事人和律師的質詢;對電子證據的專門技術問題做出鑑定結論;並在整個取證與司法鑑定過程中起到監督作用等.因而計算機取證與司法鑑定的主體應該包括合法的調查人員和具有法定資格,"有案在冊"的計算機取證與司法鑑定專家.
2)對象合法
為保證所有人,權利人的隱私不被侵犯,計算機取證與司法鑑定的對象應該是受攻擊,被入侵,被利用實施犯罪行為的計算機,網路系統或涉案的電子設備,尤其要注意在檢查計算機系統,網路環境,數位相機等電子設備中的信息時,只有被懷疑與案件事實有關聯的信息才能作為被取證調查的對象.此外,為保護與案件無關的人員的權利,還需要確定電子信息存儲的位置,狀態,方法等作為取證與司法鑑定的對象範圍.此外,調查取證時,電子設備的所有人,權利人應該在場.電子證據通常存儲在硬碟,光碟等大容量的存儲介質中,必須在海量的數據中區分哪些是與證明案件事實有關聯的信息,哪些是無關數據,哪些是由犯罪者留下的犯罪記錄"痕跡".對於與案件事實無關的數據,不能進行任意地取證,以免侵犯所有人或權利人的隱私權,商業秘密等合法權益.
3)手段合法
計算機取證與司法鑑定的手段主要包括取證與司法鑑定人員通過手工直接取證(即物理取證)和通過特製的信息系統(即工具取證)進行取證兩種.物理取證即傳統取證,要求取證人員符合技術操作規範,工具取證是針對電子證據的技術特性對物理取證的補充,不僅要符合物理取證的上述條件,取證所使用的工具和程式等必須通過國家有關主管部門的評測.
取證與司法鑑定手段非法勢必導致電子證據的可信度大大降低,因此在計算機取證與司法鑑定過程中不得採取竊錄,非法定位,非法監聽,非法搜查,扣押等措施或方式,不得使用未經審核驗證合格的程式獲取證據,不得通過非法軟體驗證電子證據.取證與司法鑑定活動的每個環節都應該遵循的標準程式,採取的手段應該符合法律的要求.
4)過程合法
取證與司法鑑定過程中,應該遵守相應的取證與司法鑑定活動規範.
在不對原有證物進行任何改動或損害的前提下獲取證據;證明所獲得的證據和原有的數據是相同的;
在不改變數據的前提下對其進行分析;
採用人證,書證和音像資料等傳統證據形式驗證電子證據的合法性;要堅持及時將一些電子信息轉換為書證;
要利用傳統的音視頻採集工具對取證與司法鑑定過程進行全程記錄;
兩個合法的取證人員同時在場取證等.
電子證據只要存有一絲一毫的懷疑,就必須通過合法的鑑定機構對其進行鑑定,使之轉換為合法的證據.此外,整個取證與司法鑑定過程必須受到監督,以保證取證與司法鑑定過程的合法性.
2.無損取證與司法鑑定原則
證據材料必須能夠客觀,真實地反映案件事實,才能成為有效地訴訟證據.我國訴訟法規定,在提交物證,書證時若提交原件確有困難,可以提交複製品或副本.對於存儲介質中的電子信息,基本上不存在傳統意義上直觀可視的"原件",目前司法實踐中使用的均是原始存儲介質中電子信息的"克隆"形式.由於電子信息的複製技術不會造成信息內容的損失,同時可以保證信息在存儲介質中的保存位置不變,因此只要複製的內容與生成時原始存儲介質上的內容完全相同,就應視為原件,即電子證據具有客觀性.
電子證據依賴於一定的環境而存在,與存儲介質不可分離,對存儲介質,系統環境的任何操作均可能改變電子信息的屬性,即使打開可疑計算機或電子設備這種基本操作,都會改變設備的系統日誌信息,極可能損毀將來需要用以證明案件事實的證據材料.為了防止由於對涉案設備,系統的操作而損毀某些電子證據,造成證據收集的不充分,計算機取證與司法鑑定中不能對涉案設備,系統進行任何修改操作,以維護涉案設備,運行環境等全部信息的完整狀態,是保證獲取的電子證據客觀性的前提和基礎.
實施取證與司法鑑定活動,應該始終保證電子證據的無損狀態.例如在收集存儲介質中的電子證據時,應該採用鏡像工具(如Safe back,SnapBack,DatArret等)以字元流鏡像的方式對存儲介質中的所有數據信息進行備份,在以後的分析,鑑定等取證與司法鑑定環節中只能對備份數據進行操作,必要時可將備份的數據恢復到原始狀態,作為分析,鑑定數據的原始參考標準,使得分析,鑑定的結果具有可信性,保證電子證據的客觀性.
電子證據實質是存儲在電磁介質中的電磁信息,受到外界磁場的影響有可能被消磁而損失原始證據,對於收集到的電子證據應妥善保管,採取遠離高磁場,高溫環境,避免靜電,潮濕,灰塵和擠壓等措施,以保證電子證據的客觀完整狀態.因此計算機取證與司法鑑定的每個步驟,採取的每個措施等各個環節都應該遵循無損取證與司法鑑定原則,確保獲取的證據符合可采性.
3.全面取證與司法鑑定原則
全面取證與司法鑑定原則,體現在調查機關在取證與司法鑑定過程中應該儘可能地全面調查取證與司法鑑定,使獲取的證據相互印證,形成完整的證據鏈條.通常,單個電子證據訴訟定案的情況很少,案件往往包含多個用以訴訟的證據,每一個證據從不同的層面與案件具有某種關聯,如賬戶,密碼可以確定嫌疑人;電子郵件可以認定敲詐信息;系統日誌可以證明作案時間等,這些電子證據組成一條完整的證據鏈以證明案件的全部事實.調查人員往往會忽視海量信息中一些細微的數據信息,但現代信息技術環境下這樣的證據又非常之多.因而在計算機取證與司法鑑定時,一定要認真分析電子證據的來源並進行全方位,多角度的取證與司法鑑定,在確保證據與案件事實關聯的基礎上,將獲取的所有電子證據結合案件的其他類型證據,相互印證,排除矛盾的電子證據,最終組成完整的證據鏈,才能達到勝訴的目的.所以,全面取證與司法鑑定原則應該成為計算機取證與司法鑑定的一個重要原則,對形成可采的證據鏈條具有不可忽視的作用.
4.及時取證與司法鑑定原則
電子證據基本上是在信息系統運行過程中自動,實時生成的,系統經過一段時間的運行很可能會造成信息系統的變化,如網路的審核記錄,系統日誌,進程通信信息都會或多或少有所變化,則這些數據信息不再能如實反映案件的事實.因而電子證據的獲取具有一定的時效性,確定取證對象後,應該儘早蒐集證據,保證其沒有受到任何破壞和損失.從電子數據形成到獲取,相隔的時間越久,越容易引起電子數據的變化.例如,IP位址經常被用來確定涉案計算機設備的方位,但這種"網路號碼"卻不像身份證號一樣與所有者存在固定的標識關係.例如,某一計算機連線網路後被分配了一個IP位址,該計算機退出網路後,此IP位址極有可能被分配給新連線網路的其他計算機.因此,及時取證與司法鑑定可以保證電子數據作為證據的客觀性,維持電子數據與案件事實的關聯性.
1.2.3 國外的計算機取證過程模型
計算機取證與司法鑑定技術主要分為主機與其他電子設備取證,網路取證這兩種形式.因此,分析計算機取證與司法鑑定的模型也從這兩個方面進行.
1.主機與其他電子設備取證與司法鑑定系統模型
20世紀90年代後期,業內專家逐漸意識到由於計算機取證基本理論和基本方法的研究滯後所帶來的種種弊端,計算機取證與司法鑑定的整個過程既沒有一致性也沒有可依據的統一標準,使得計算機取證的可操作性較差,而且極易遭到法庭上法官的質疑.因此,專家又開始對取證程式及取證標準等計算機取證中的基本問題進行更深入地研究,並提出了以下5種典型的取證過程模型:
1)基本過程模型(basic process model)
Farmer和Venema是這一時期最早開始對數字取證基本理論進行研究的專家,1999年在他們主辦的計算機分析培訓班上提出了一些基本的取證過程.這個模型包含以下的一些基本取證步驟:"保證安全並進行隔離(secure andisolate),對現場信息進行記錄(record the scene),全面查找證據(conduct a systematic search for evidence),對證據進行提取和打包(collect and package evidence),維護監督鏈(maintain chain ofcustody)".他們的研究為這一時期的數字取證發展起到了領航和奠基的作用,但他們提出的取證過程粒度較粗,沒有把事件發生前的取證準備作為取證過程的一個階段,所開發的取證工具(The Coroner's Toolkit,TCT)運行在UNIX平台,在其他平台上沒有實踐性的工作,也沒有提出具體的套用方法,他們的研究還只是處於初級階段.
2)事件回響過程模型(incident response process model)
2001年,Chris Prosise和Kevin Mandia在Incident Response: Investigatingcomputer crime一書中提出了事件回響過程模型的概念,這一模型分為以下各個階段:攻擊預防階段(pre-incident preparation),事件偵測階段(detection of the incident),初始回響階段(initial response),回響策略匹配(response strategy formulation),備份(duplication),調查(investi- gation),安全方案實施(secure measure implementation),網路監控(network monitoring),恢復(recovery),報告(reporting),補充(follow-up).這一模型考慮的比較全面,具體,明確提出了攻擊預防(pre-incident preparation)的概念,並將其作為取證程式的一個基本步驟,而且對各類典型平台(如Windows 2000/NT,UNIX,CISCO路由器等)都提供了詳細的使用原則和套用方法."攻擊預防階段(pre-incident preparation)"概念的提出,成為專業取證方法區別於非專業的關鍵步驟.但在他們設計的模型中,本應在整個取證過程中占比重最大的系統分析僅占了1/11,而且"攻擊預防階段"也僅提到了攻擊預防中的如"事先準備取證工具及設備,熟練取證技能,不斷學習新的技術以便應對突發事件"的"操作準備階段",沒有能夠從系統架構的角度進行分析.
2.國內現行的計算機取證與司法鑑定原則
一直以來,國內學術界對電子證據的界定,法律地位等問題尚無定論,造成的不確定性直接體現在相關的調查取證與司法鑑定原則中,如有一種觀點將電子證據界定為"電子數據,存儲媒介和電子設備", 另一種觀點則認為待鑑定的對象是指"以數位化形式存儲,處理,傳輸的數據".對操作對象界定的局限性,導致了證據檢查,收集等各個階段的操作要求存在不足,而且證據檢查和收集僅僅是案件調查的部分階段,並不是調查取證與司法鑑定的整個過程,同時計算機取證與司法鑑定的原則,證據的分析等階段還缺乏相應的法律規定,一定程度上影響了司法實踐活動.因此,在明確界定電子證據,確立其獨立的法律地位的基礎上,有必要制定完善的取證與司法鑑定原則,包括計算機取證與司法鑑定應遵循的原則,計算機取證與司法鑑定的實施標準,以規範計算機取證與司法鑑定程式,保證獲取的電子證據的可采性.
1.2.2 計算機取證與司法鑑定原則
證據是訴訟的關鍵,取證與司法鑑定是必經的司法過程,獲取具有可采性的證據是取證與司法鑑定的主要目的,通過調查取證與司法鑑定人員進行具體的取證與司法鑑定行為來實現這一目的.以原則規範計算機取證與司法鑑定,是保證電子證據可采性的關鍵.目前,由加拿大,法國,德國,英國,義大利,日本,俄羅斯和美國的計算機取證與司法鑑定研究人員組成的G8小組提出的六條原則是國際上最權威的計算機取證與司法鑑定 原則:
必須套用標準的取證與司法鑑定過程;
獲取證據時所採用的任何方法都不能改變原始證據;
取證與司法鑑定人員必須經過專門培訓;
完整地記錄證據的獲取,訪問,存儲或傳輸的過程,並妥善保存這些記錄以備隨時查閱;
每位保管電子證據的人員必須對其在該證據上的任何行為負責;
任何負責獲取,訪問,存儲或傳輸電子證據的機構有責任遵循以上原則.
公安部,最高人民檢察部,最高人民法院規定了有關勘驗,提取,扣押,保管,分析電子數據等取證與司法鑑定環節的原則與程式,部分省,市也對電子商務數據如何存儲,備份,恢復等方面提出了有益的建議,但這些法律規範偏向於指導如何提取電子證據,各種方法應遵循什麼法律原則均很少涉及且尚未統一,使得在司法實踐中進行取證與司法鑑定時缺乏整體的指導思想,各個環節之間不能有效地銜接,嚴重影響了電子證據的可采性和證據鏈條的完整性.
由於網路的無國界性,不同國家在法律,道德和意識形態上存在差異,取證與司法鑑定原則取決於不同的證據使用原則.不同的國家,組織根據各自的出發點,制定的取證與司法鑑定原則雖然不完全相同,但大體都是為保證獲取的證據的合法性,客觀性和關聯性.因此,計算機取證與司法鑑定的原則應該包括以下幾個方面.
1.依法取證與司法鑑定原則
計算機取證與司法鑑定不僅要保證取證與司法鑑定實體合法,還要保證取證與司法鑑定程式合法.任何證據的有效性和可采性都取決於證據的客觀性,與案件事實的關聯性和取證與司法鑑定活動的合法性,取證與司法鑑定活動的要件構成是指參與取證與司法鑑定活動全過程,決定或影響取證與司法鑑定結果的各個方面或因素,包括取證與司法鑑定的主體,對象,手段和過程四個要素,只有保證取證與司法鑑定"四要素"同時合法,才能保證獲取的證據合法.
1)主體合法
取證與司法鑑定主體是案件證據的主要提交者,隨著在案件中承擔舉證責任的地位不同,取證與司法鑑定主體也會有所不同.我國《民事訴訟法》,《行政訴訟法》對取證主體沒有嚴格的規定,加之電子證據與取證與司法鑑定方法的特殊性,因此取證與司法鑑定主體必須具有相應的資格,才能依法完成電子證據的發現,收集,保全等取證與司法鑑定 活動.
電子證據的取證與司法鑑定主體首先必須具備法定的取證與司法鑑定資格,只有具備合法的調查取證與司法鑑定身份,才能執行相應的取證與司法鑑定活動.由於電子證據的技術特性,取證與司法鑑定人員稍有疏忽都有可能造成重要的數據信息丟失的後果.鑒於計算機取證與司法鑑定是一門技術性非常強的交叉科學,要求調查人員具備相當的信息技術並不現實,因而調查機關聘請具有法定資格的計算機取證與司法鑑定專家協助調查取證與司法鑑定是彌補此缺陷的有效方法.如取證與司法鑑定專家通過對獲取電子證據的困難程度和最終的可能結果的分析,提出獲取該證據的合理建議,制定相應的計畫,步驟;協助搜查,扣押電子設備,尋找潛在的電子證據,從技術的角度確保證據的真實性和完整性;恢復被刪除的電子證據並加以分析,鑑別;作為專家證人出庭作證,說明電子證據收集,分析過程的可靠性,解釋相關技術問題,並接受對方當事人和律師的質詢;對電子證據的專門技術問題做出鑑定結論;並在整個取證與司法鑑定過程中起到監督作用等.因而計算機取證與司法鑑定的主體應該包括合法的調查人員和具有法定資格,"有案在冊"的計算機取證與司法鑑定專家.
2)對象合法
為保證所有人,權利人的隱私不被侵犯,計算機取證與司法鑑定的對象應該是受攻擊,被入侵,被利用實施犯罪行為的計算機,網路系統或涉案的電子設備,尤其要注意在檢查計算機系統,網路環境,數位相機等電子設備中的信息時,只有被懷疑與案件事實有關聯的信息才能作為被取證調查的對象.此外,為保護與案件無關的人員的權利,還需要確定電子信息存儲的位置,狀態,方法等作為取證與司法鑑定的對象範圍.此外,調查取證時,電子設備的所有人,權利人應該在場.電子證據通常存儲在硬碟,光碟等大容量的存儲介質中,必須在海量的數據中區分哪些是與證明案件事實有關聯的信息,哪些是無關數據,哪些是由犯罪者留下的犯罪記錄"痕跡".對於與案件事實無關的數據,不能進行任意地取證,以免侵犯所有人或權利人的隱私權,商業秘密等合法權益.
3)手段合法
計算機取證與司法鑑定的手段主要包括取證與司法鑑定人員通過手工直接取證(即物理取證)和通過特製的信息系統(即工具取證)進行取證兩種.物理取證即傳統取證,要求取證人員符合技術操作規範,工具取證是針對電子證據的技術特性對物理取證的補充,不僅要符合物理取證的上述條件,取證所使用的工具和程式等必須通過國家有關主管部門的評測.
取證與司法鑑定手段非法勢必導致電子證據的可信度大大降低,因此在計算機取證與司法鑑定過程中不得採取竊錄,非法定位,非法監聽,非法搜查,扣押等措施或方式,不得使用未經審核驗證合格的程式獲取證據,不得通過非法軟體驗證電子證據.取證與司法鑑定活動的每個環節都應該遵循的標準程式,採取的手段應該符合法律的要求.
4)過程合法
取證與司法鑑定過程中,應該遵守相應的取證與司法鑑定活動規範.
在不對原有證物進行任何改動或損害的前提下獲取證據;證明所獲得的證據和原有的數據是相同的;
在不改變數據的前提下對其進行分析;
採用人證,書證和音像資料等傳統證據形式驗證電子證據的合法性;要堅持及時將一些電子信息轉換為書證;
要利用傳統的音視頻採集工具對取證與司法鑑定過程進行全程記錄;
兩個合法的取證人員同時在場取證等.
電子證據只要存有一絲一毫的懷疑,就必須通過合法的鑑定機構對其進行鑑定,使之轉換為合法的證據.此外,整個取證與司法鑑定過程必須受到監督,以保證取證與司法鑑定過程的合法性.
2.無損取證與司法鑑定原則
證據材料必須能夠客觀,真實地反映案件事實,才能成為有效地訴訟證據.我國訴訟法規定,在提交物證,書證時若提交原件確有困難,可以提交複製品或副本.對於存儲介質中的電子信息,基本上不存在傳統意義上直觀可視的"原件",目前司法實踐中使用的均是原始存儲介質中電子信息的"克隆"形式.由於電子信息的複製技術不會造成信息內容的損失,同時可以保證信息在存儲介質中的保存位置不變,因此只要複製的內容與生成時原始存儲介質上的內容完全相同,就應視為原件,即電子證據具有客觀性.
電子證據依賴於一定的環境而存在,與存儲介質不可分離,對存儲介質,系統環境的任何操作均可能改變電子信息的屬性,即使打開可疑計算機或電子設備這種基本操作,都會改變設備的系統日誌信息,極可能損毀將來需要用以證明案件事實的證據材料.為了防止由於對涉案設備,系統的操作而損毀某些電子證據,造成證據收集的不充分,計算機取證與司法鑑定中不能對涉案設備,系統進行任何修改操作,以維護涉案設備,運行環境等全部信息的完整狀態,是保證獲取的電子證據客觀性的前提和基礎.
實施取證與司法鑑定活動,應該始終保證電子證據的無損狀態.例如在收集存儲介質中的電子證據時,應該採用鏡像工具(如Safe back,SnapBack,DatArret等)以字元流鏡像的方式對存儲介質中的所有數據信息進行備份,在以後的分析,鑑定等取證與司法鑑定環節中只能對備份數據進行操作,必要時可將備份的數據恢復到原始狀態,作為分析,鑑定數據的原始參考標準,使得分析,鑑定的結果具有可信性,保證電子證據的客觀性.
電子證據實質是存儲在電磁介質中的電磁信息,受到外界磁場的影響有可能被消磁而損失原始證據,對於收集到的電子證據應妥善保管,採取遠離高磁場,高溫環境,避免靜電,潮濕,灰塵和擠壓等措施,以保證電子證據的客觀完整狀態.因此計算機取證與司法鑑定的每個步驟,採取的每個措施等各個環節都應該遵循無損取證與司法鑑定原則,確保獲取的證據符合可采性.
3.全面取證與司法鑑定原則
全面取證與司法鑑定原則,體現在調查機關在取證與司法鑑定過程中應該儘可能地全面調查取證與司法鑑定,使獲取的證據相互印證,形成完整的證據鏈條.通常,單個電子證據訴訟定案的情況很少,案件往往包含多個用以訴訟的證據,每一個證據從不同的層面與案件具有某種關聯,如賬戶,密碼可以確定嫌疑人;電子郵件可以認定敲詐信息;系統日誌可以證明作案時間等,這些電子證據組成一條完整的證據鏈以證明案件的全部事實.調查人員往往會忽視海量信息中一些細微的數據信息,但現代信息技術環境下這樣的證據又非常之多.因而在計算機取證與司法鑑定時,一定要認真分析電子證據的來源並進行全方位,多角度的取證與司法鑑定,在確保證據與案件事實關聯的基礎上,將獲取的所有電子證據結合案件的其他類型證據,相互印證,排除矛盾的電子證據,最終組成完整的證據鏈,才能達到勝訴的目的.所以,全面取證與司法鑑定原則應該成為計算機取證與司法鑑定的一個重要原則,對形成可采的證據鏈條具有不可忽視的作用.
4.及時取證與司法鑑定原則
電子證據基本上是在信息系統運行過程中自動,實時生成的,系統經過一段時間的運行很可能會造成信息系統的變化,如網路的審核記錄,系統日誌,進程通信信息都會或多或少有所變化,則這些數據信息不再能如實反映案件的事實.因而電子證據的獲取具有一定的時效性,確定取證對象後,應該儘早蒐集證據,保證其沒有受到任何破壞和損失.從電子數據形成到獲取,相隔的時間越久,越容易引起電子數據的變化.例如,IP位址經常被用來確定涉案計算機設備的方位,但這種"網路號碼"卻不像身份證號一樣與所有者存在固定的標識關係.例如,某一計算機連線網路後被分配了一個IP位址,該計算機退出網路後,此IP位址極有可能被分配給新連線網路的其他計算機.因此,及時取證與司法鑑定可以保證電子數據作為證據的客觀性,維持電子數據與案件事實的關聯性.
1.2.3 國外的計算機取證過程模型
計算機取證與司法鑑定技術主要分為主機與其他電子設備取證,網路取證這兩種形式.因此,分析計算機取證與司法鑑定的模型也從這兩個方面進行.
1.主機與其他電子設備取證與司法鑑定系統模型
20世紀90年代後期,業內專家逐漸意識到由於計算機取證基本理論和基本方法的研究滯後所帶來的種種弊端,計算機取證與司法鑑定的整個過程既沒有一致性也沒有可依據的統一標準,使得計算機取證的可操作性較差,而且極易遭到法庭上法官的質疑.因此,專家又開始對取證程式及取證標準等計算機取證中的基本問題進行更深入地研究,並提出了以下5種典型的取證過程模型:
1)基本過程模型(basic process model)
Farmer和Venema是這一時期最早開始對數字取證基本理論進行研究的專家,1999年在他們主辦的計算機分析培訓班上提出了一些基本的取證過程.這個模型包含以下的一些基本取證步驟:"保證安全並進行隔離(secure andisolate),對現場信息進行記錄(record the scene),全面查找證據(conduct a systematic search for evidence),對證據進行提取和打包(collect and package evidence),維護監督鏈(maintain chain ofcustody)".他們的研究為這一時期的數字取證發展起到了領航和奠基的作用,但他們提出的取證過程粒度較粗,沒有把事件發生前的取證準備作為取證過程的一個階段,所開發的取證工具(The Coroner's Toolkit,TCT)運行在UNIX平台,在其他平台上沒有實踐性的工作,也沒有提出具體的套用方法,他們的研究還只是處於初級階段.
2)事件回響過程模型(incident response process model)
2001年,Chris Prosise和Kevin Mandia在Incident Response: Investigatingcomputer crime一書中提出了事件回響過程模型的概念,這一模型分為以下各個階段:攻擊預防階段(pre-incident preparation),事件偵測階段(detection of the incident),初始回響階段(initial response),回響策略匹配(response strategy formulation),備份(duplication),調查(investi- gation),安全方案實施(secure measure implementation),網路監控(network monitoring),恢復(recovery),報告(reporting),補充(follow-up).這一模型考慮的比較全面,具體,明確提出了攻擊預防(pre-incident preparation)的概念,並將其作為取證程式的一個基本步驟,而且對各類典型平台(如Windows 2000/NT,UNIX,CISCO路由器等)都提供了詳細的使用原則和套用方法."攻擊預防階段(pre-incident preparation)"概念的提出,成為專業取證方法區別於非專業的關鍵步驟.但在他們設計的模型中,本應在整個取證過程中占比重最大的系統分析僅占了1/11,而且"攻擊預防階段"也僅提到了攻擊預防中的如"事先準備取證工具及設備,熟練取證技能,不斷學習新的技術以便應對突發事件"的"操作準備階段",沒有能夠從系統架構的角度進行分析.
