《网络安全知识体系》

网络安全取证（一）

定义和概念模型

---

简介

数字取证科学或数字取证是应用科学工具和方法来识别，收集和分析数字（数据）工件，以支持法律诉讼。从技术角度来看，正是识别和重建相关事件序列的过程导致了目标IT的当前可观察状态。系统或（数字）伪影。随着信息技术的快速采用，数字证据的重要性与日新月异，导致数据以指数级的速度不断积累。同时，网络连接和IT系统的复杂性迅速增长，导致可能需要调查的更复杂的行为。

该知识区的主要目的是提供数字取证技术和功能的技术概述，并将其置于网络安全领域其他相关领域的更广泛视角。关于数字取证的法律方面的讨论仅限于一般原则和最佳实践，因为这些原则的应用的具体情况往往因司法管辖区而异。例如，知识区讨论了不同类型证据的可用性，但没有通过获取这些证据必须遵循的法律程序进行工作。法律&法规CyBOK知识领域讨论了与管辖权和获取，处理和提供数字证据的法律程序相关的具体问题。

内容

1  定义和概念模型

从广义上讲，取证学是应用科学方法收集，保存和分析与法律案件有关的证据。从历史上看，这涉及对物理材料的（样本）进行系统分析，以建立各种事件之间的因果关系，以及解决出处和真实性问题。它背后的基本原理，Locard的交换原理，是物体之间的物理接触不可避免地导致物质的交换，留下可以分析的痕迹（部分）重建事件。

随着数字计算和通信（我们称之为网络领域）的引入，相同的一般假设在很大程度上没有受到挑战。虽然详细的概念讨论超出了本章的范围，但重要的是要认识到，持久性数字（取证）跟踪的存在既不是这是不可避免的，也不是数字信息处理和通信的“自然”后果。

数字（取证）跟踪是一种显式或隐式记录，用于执行特定计算或特定数据的通信和/或存储。这些事件可以是人机交互的结果，例如用户启动应用程序，也可以是IT系统自主操作的结果。（例如，定时备份）。显式跟踪直接记录某些类型的事件的发生，作为系统正常运行的一部分;最突出的是，其中包括各种带时间戳的系统和应用程序事件日志。隐式跟踪有多种形式，并允许从观察到的系统状态或工件以及系统如何运行的工程知识中推断出某些事件的发生。例如，存储设备上存在作为已知文件一部分的唯一数据块可以证明文件是可能曾经出现过一次，随后被删除并部分覆盖。观察到的缺乏正常日志可能表明存在安全漏洞，在此期间，犯罪者擦除了系统日志，以掩盖其轨道。

虽然它们经常存在，但这些网络交互的痕迹是有意识的工程决策的结果，这些决策通常不会专门用于促进取证。鉴于数字信息易于修改，这对数字证据的来源和真实性具有重要意义。

1.1 法律问题和道伯特标准

第一批关于为盗窃，间谍和其他犯罪等非法目的滥用和操纵计算机系统的报道可以追溯到1960年代。在20世纪70年代，使用既定的犯罪学研究方法对计算机犯罪进行了第一次实证研究。在20世纪80年代早期至中期，欧洲和北美出现了有针对性的计算机犯罪立法;认识到许多此类犯罪固有的跨管辖范围，还订立了国际合作协定。

在英国，1990年《计算机滥用法》定义了计算机特定犯罪-S1未经授权访问计算机材料，S2未经授权访问意图实施其他犯罪，S3未经授权的行为意图损害操作，以及S3A的制造，供应或获取。《1984年警察和刑事证据法》和《2001年刑事司法和警察法》解决了与搜查令、搜查和扣押有关的计算机特定问题。

在许多司法管辖区，与滥用电信有关的法规是分开的（并且比与计算机犯罪相关的法规更早）。我们使用网络犯罪这一总称来统指与计算机和电信滥用有关的所有犯罪;从广义上讲，这些包括使用网络系统实施任何类型的犯罪，以及网络系统的犯罪目标。

与通常的情况一样，法律制度需要时间来吸收新法律并将其纳入常规法律实践。相反，立法通常要求对法庭上遇到的关切进行更正、澄清和统一解释。美国最高法院最早和最有影响力的法律先例之一，最高法院使用了三个具体案例-Daubertv.Merrell DowPharmaceuticals，509 U.S. 579 （1993）;通用电气公司五.Joiner，522 U.S.136（1997）;和锦湖轮胎公司五.卡迈克尔，526美国137（1999）–为法律诉讼中科学证据的提出建立新标准，通常被称为Daubert标准。

根据古德斯坦的说法，“在法庭上提出科学证据是两个学科之间的一种霰弹枪联姻。Daubert的决定是一种尝试（当然，这是第一次）来规范这种遭遇。这些案件为专家证词设定了新的标准，彻底改革了1923年的弗莱标准（弗莱诉弗莱案）。美国，293F。1013年，D.C.1923年）。简而言之，最高法院指示审判法官成为专家证词的守门人，并给出了评估取证证据可采性的四个基本标准：

Ø这些方法的理论基础必须产生可测试的预测，通过这些预测可以伪造理论。

Ø这些方法最好发表在同行评审的期刊上。

Ø应该有一个已知的错误率，可用于评估结果。

Ø这些方法应得到相关科学界的普遍接受。

法院还强调，这些标准是灵活的，审判法官在确定取证证据和专家证人证词的可采性方面有很大的回旋余地。Daubert标准原则上已被其他司法管辖区广泛接受，但须根据当地立法加以解释。在英国，英格兰和威尔士法律委员会在第190号[5]号咨询文件中提议采用以Daubert为基础的标准。

ACPO《数字证据良好实践指南》编纂了获取和处理数字证据的四项基本原则：

Ø执法机构、这些机构雇用的人员或其代理人所采取的行动都不应改变随后可能在法庭上依赖的数据。

Ø在某人必须访问原始数据的情况下，该人必须有能力这样做，并能够提供证据解释相关性和他们行为的影响。

Ø应创建并保存适用于数字证据的所有流程的审计跟踪或其他记录。独立的第三方应该能够检查这些过程并达到相同的结果。

Ø负责调查的人对确保法律和这些原则得到遵守负有全面责任。

这些原则旨在为数字取证调查人员提供操作指导，指导他们如何保持证据和调查过程的完整性，使证据可以在法庭上使用。

在英国，取证学监管机构规定，任何数字取证学提供商都必须“获得BSEN ISO/IEC 17020：2012认证，适用于任何犯罪现场活动，BSEN ISO/IEC 17025：2005认证为任何实验室功能（例如电子数据的恢复或成像）“。ISO/IEC 17025是一项国际标准，规定了测试和校准实验室能力的一般要求;换言之，该认证证明了执行取证检查所遵循的过程的质量和严谨性。

在美国，没有严格的法律要求数字取证科学提供商获得特定标准的认证。大多数大型联邦和州取证实验室都保持ISO17025认证;截至2019年，其中800万人拥有处理数字证据的证书。

数字取证技术也应用于更广泛的调查，例如内部公司调查，这些调查通常不会导致公共法庭的正式诉讼。尽管调查可能不需要相同的证据标准，但取证分析人员在收集和分析文物时应始终遵循合理的取证实践。这包括在处理固有的个人数据时遵守任何司法要求，当调查是跨司法管辖区时，这可能是一个不小的问题。在这种情况下，重要的是寻求及时的法律建议，以保持调查的完整性。

原文始发于微信公众号（河南等级保护测评）：网络安全取证（一）定义和概念模型