《网络安全知识体系》

网络安全取证（六）

定义和概念模型

---

简介

数字取证科学或数字取证是应用科学工具和方法来识别，收集和分析数字（数据）工件，以支持法律诉讼。从技术角度来看，正是识别和重建相关事件序列的过程导致了目标IT的当前可观察状态。系统或（数字）伪影。随着信息技术的快速采用，数字证据的重要性与日新月异，导致数据以指数级的速度不断积累。同时，网络连接和IT系统的复杂性迅速增长，导致可能需要调查的更复杂的行为。

该知识区的主要目的是提供数字取证技术和功能的技术概述，并将其置于网络安全领域其他相关领域的更广泛视角。关于数字取证的法律方面的讨论仅限于一般原则和最佳实践，因为这些原则的应用的具体情况往往因司法管辖区而异。例如，知识区讨论了不同类型证据的可用性，但没有通过获取这些证据必须遵循的法律程序进行工作。法律&法规CyBOK知识领域讨论了与管辖权和获取，处理和提供数字证据的法律程序相关的具体问题。

内容

1  定义和概念模型

取证调查的定义特征是其结果必须在法庭上被接受。这需要遵循获取、存储和处理证据的既定程序，采用科学建立的分析工具和方法，并严格遵守专业的行为准则。

数据来源和完整性。从数据采集过程开始，调查人员必须遵循公认的标准和程序，以证明来源并保持所收集证据的完整性。简而言之，这需要使用经过验证的工具从原始来源获取证据的真实副本，保留保管记录和详细的案例记录，使用经过验证的工具对证据进行分析，交叉验证关键证据，并正确解释结果基于同行评审的科学研究。

如下一节所述，数据采集可以在不同的抽象和完整性级别执行。传统的黄金标准是取证目标的位级副本，然后可以使用数据内容的结构和语义知识对其进行分析。随着存储设备复杂性的增加和加密成为默认的数据编码，获取媒体的真实物理副本变得越来越不可行，并且（部分）逻辑采集可能是唯一的可能性。例如，最新智能手机（具有加密的本地存储）唯一现成的数据内容来源可能是用户数据的云备份。此外，法院可能会将本地数据视为比与第三方（如服务提供商）共享的数据具有更高级别的隐私保护。

科学方法论。可重复性的概念是取证分析的科学有效性的核心;从相同的数据开始，遵循案例说明中描述的相同过程，应该允许第三方得出相同的结果。处理方法应具有科学确定的错误率，并且实现相同类型数据处理的不同取证工具应产生相同或内在的结果已知的统计误差边界。

调查人员必须对各种取证计算产生的结果有深刻的理解。一些核心问题包括：一些源数据固有的不确定性，多种解释的可能性，以及认识到某些数据可能是假的，因为它是使用反取证工具生成的，以混淆调查。后者是可能的，因为取证分析中使用的大多数数据项都是在系统正常运行期间产生的，并且不是防篡改的。例如，具有足够访问权限的入侵者可以任意修改数百万个文件时间戳中的任何一个，从而可能使时间轴分析（一种核心分析技术）变得不可靠。经验丰富的取证分析人员对此类问题保持警惕，并尽可能寻求证实来自多个来源的重要信息。

工具验证。取证工具验证是一个科学和工程过程，它对特定工具进行系统测试，以确定所生成结果的有效性。例如，数据采集软件必须可靠地生成其设计用于处理的取证目标类别的未经修改的完整副本。

取证程序。取证过程的组织方面决定了如何获取、储存和处理证据，这对可否受理问题至关重要。严格遵守既定标准和法院施加的限制是向法院证明取证分析结果真实可信的最有效手段。

分类。取证目标所包含的数据量通常远远超过与查询相关的数据量。因此，在调查的早期阶段，分析的重点是（快速）识别相关数据并找出不相关的数据。这种内容的初步筛查，通常称为分诊，导致后续的深度检查，或降低优先级，或将目标从进一步考虑中移除。

从法律上讲，根据案件和司法管辖区固有的隐私权，对分诊过程可能会有一些限制。从技术角度来看，“分诊是在（重大）时间和资源限制下进行的部分取证检查。换句话说，调查人员采用快速检查方法，例如查看文件名称，检查网络搜索历史记录等，以估计（基于经验）价值。的数据。这样的结果本质上不如深度检查可靠，因为它很容易在数据属性和实际内容之间造成不匹配。因此，法院可以对被定罪的罪犯使用计算机施加限制，以便利警察在不扣押设备的情况下进行快速筛选。

原文始发于微信公众号（河南等级保护测评）：网络安全取证（六）定义和概念模型之取证流程