【精读】2022网信自主创新调研报告-电子数据取证

近年来，随着国际形势的发展，国外对国内电子数据取证产品的封锁日益加强，美国的老牌取证产品Encase、以色列的手机取证产品Cellebrite等都已经先后对中国禁售。我国电子数据取证领域的主要厂商已经在电子数据取证产品国产化道路上迈出了第一步，与国内其他国产化硬件、国产化操作系统厂商建立合作，开展国产化技术攻关，形成了一些电子数据取证产品的国产化替代解决方案。从市场来看，随着信息技术相关的软硬件产品的国产化和国家对政府用电子设备国产化要求的提高，电子数据取证产品将有很好 的市场前景，电子数据取证领域的国产化市场仍然有很大的潜力等待发掘。

电子数据取证产品主要由软件部分和硬件部分组成。在电子数据取证软件方面，主要包括面向电脑主机的硬盘和外部存储介质的取证软件、面向Web站点和网页内容的取证软件以及专门针对智能移动终端的取证软件等。目前国内各厂商的电子数据取证软件的主要功能均为自主研发，但大部分产品仍然仅支持在Windows/Linux平台运行，并未对国产操作系统平台进行适配，软件开发所使用的中间件、数据库等一般也是常见的国外开源解决方案。同时，为了保证取证产品能够覆盖更多的场景，在软件中可能会集成一些非自主研发的小工具，厂商加入这些工具一般是为了免去重复“造轮子”的时间，利用被技术人员认可的、成熟的解决方案，解决取证过程中遇到的各类问题。在硬件方面，电子数据取证产品的硬件形态一般是搭载了各类接口的塔式机、便携机、服务器等。由于取证工作的时效性和对产品性能的要求比较高，大部分厂商和产品选择的仍然是Intel体系的整机硬件作为搭载电子数据取证软件的通用平台，仅在定制化场景下为客户单独定制国产化整机设备。国内芯片的适配还需要等国产芯片处理速度提升后才有望用在取证产品上。

在技术方面，国产化软硬件与取证产品的适配还存在技术难点需要攻关，如手机取证产品需要将不同品牌型号的手机通过数据线连接至取证设备后与手机交互实现取证，此过程中可能还需要借助手机助手、itunes等与手机配套的工具，但目前在国产操作系统环境下常常遇到兼容性问题，以至于无法获取到需要的电子证据。这些技术的突破需要有人力物力和财力的支持。从国内来看，无论是科学研究项目的投入还是产业投资，在电子数据取证领域都严重不足，从而导致人才流失、技术能力低下，一直处于低水平徘徊的状态。

在市场需求方面，目前国产化电子数据取证产品的市场需求仍然有待进一步挖掘，电子数据取证产品的主要用户是公安等执法部门，而执法人员在使用电子数据取证设备时，除了使用厂家的电子数据取证产品之外，还会在设备中自行安装各类工具软件与取证产品配合使用，以适应电子数据取证多种多样的场景。执法人员在工作中更习惯于使用Wintel平台，对于国产化取证产品接受度仍然不够，对于终端类产品难以适应和接受国产化平台下的操作习惯以及相关的兼容性问题。很多执法部门还没有认识到违法犯罪的主战场早已经转移到了网络和虚拟空间。

在成本方面，电子数据取证产品所需的硬件设备与普通家用整机存在差 别，需要集成各类介质接口，并且对接口数量和读写控制有一定要求，因而国产化取证硬件设备不仅需要专门定制，还将提高取证厂商的产品成本，同时国产化取证设备在性能上相比非国产化设备也不占据优势。

在人才培养方面，目前国内对于电子数据取证人才的培养体系仍不健全，高校一般不为电子取证开设单独的专业，仅将电子取证的相关课程加入网络空间安全或计算机相关专业，使得电子取证在人才培养方面存在课程体系不健全、校企合作程度不深、师资力量缺乏等问题。电子取证新生人才缺乏，许多计算机相关专业人才甚至从未听说过电子取证这一领域，导致电子取证厂商在培养人才队伍时遇到困难。

23.3.1 开放合作，赶超国外先进技术

在电子取证领域，一些电子取证的解决方案是由国外的技术团队提出，如unc0ver、Checkra1n等，部分厂商的取证产品中也对这类解决方案进行了整理和集成。在对电子取证产品国产化进行规划时，厂家应当认识到国外解决方案的先进性，借鉴国外解决方案的成功经验，充分利用已有的成熟技术成果，实现电子取证产品功能的国产化替代。

同时，电子取证厂商应加强国际技术沟通与合作，通过网络社区、学术会议等途径，在手机解锁、密码分析、隐写识别技术等方面，与国际电子取证技术团队开展技术交流，学习国外优秀解决方案的关键技术，尤其是细节内容及难点，从工作原理、系统流程、架构组成等方面进行系统性梳理，在消化吸收的基础上对其进行国产化改造，并进行模拟和验证，向国际先进水平不断靠拢。通过服务的形式将应用程序的功能单元连接起来，采用中立的方式定义接口，使其独立于实现服务的硬件平台、操作系统和编程语言，并具有跨平台运行的能力，产品采用的数据库、中间件也各不相同，需要开展有针对性的详细设计，采用逐步替代的方式实现国产化替代工程的有序开展、稳步推进、平稳过渡，最终使用国产化电子取证解决方案替代境外技术组件。

23.3.2 研究国情，开发适用的产品

电子取证的自主创新需要符合中国国情。各个国家之间的法律制度存在差别，电子取证作为法律和技术的交叉学科，相比其他技术领域与法律法规具有更强的关联性。国外的电子取证产品更加适合外国执法人员的调查取证流程和使用习惯，国内厂商在借鉴国外电子取证产品的功能和流程时不能照搬照抄，需要根据我国电子取证的相关法律和标准规范开发适用的产品。同时，国内用户在使用手机、电脑设备时常用的品牌型号、应用软件、使用习惯等也与国外用户存在很大差异，电子取证产品的自主创新需要结合国内用户的使用场景，响应一线执法部门的办案需求，才能研发出有中国特色的电子取证自主创新产品，走出中国特色的自主创新道路。

23.3.3 培养人才，实现可持续发展

23.3.4 拓展市场，形成良性循环

国产化电子数据取证产品的推广需要与网信自主创新推进的趋势紧密结 合。目前国产软硬件、数据库、中间件、操作系统等都已实现了快速的发展，面向办公的生态环境已基本形成，在这样的大背景下，各地执法部门也逐渐开始进行信息科技方面的国产化改造，为国产化电子数据取证产品的推广提供了良好的土壤。因此，各电子数据取证厂商在下一阶段应当解决从无到有的问题，逐步填补国产化电子数据取证产品的空白，结合各厂家的特色推出自己的国产化电子数据取证产品，构建起国产化电子数据取证生态体系。除了执法部门之外，在国产化进度较快的金融、电力等行业，也可以进行产品的市场拓展，使国产化电子数据取证产品在行业的广度和深度都能够得到提升。

23.3.5 产学研结合，开展技术攻关

电子数据取证厂家应结合行业特点，与高等院校、一线执法单位以及其他上下游国产化厂商开展产学研合作，对当前国产化电子数据取证技术中的短板开展联合技术攻关。如国产化环境下的手机取证产品的研发，就需要电子数据取证厂商与国产操作系统厂商在数据备份、数据提取等技术方向上共同努力，解决各品牌型号的手机在国产化环境下的取证难题。通过联合技术攻关和适配，不断增加国产化电子数据取证产品覆盖的种类，使国产化电子数据取证产品能够适配更多的国产化操作系统、整机等，并在各种日常应用场景下开展技术验证。同时，在网信国产化已成为大势所趋的情况下，需要对国产化环境开展取证的场景也必将增加，因此还需要针对国产化软硬件的电子数据取证流程和方法开展研究，使其成为传统电子数据取证技术的重要补充。

23.3.6 制订标准，指引行业前进

标准是网信产业发展的重要技术基础，是行业在发展过程中积累起来的经验和知识的体现，也是行业发展水平的起点。目前，电子取证行业中已有的标准规范更多的是针对电子数据取证和检验鉴定中的技术问题制定的，对于电子取证产品本身的要求并未做过多规定。在电子取证自主创新方兴未艾的当下，各厂商均在“摸着石头过河”，需要国家、主管单位、领头企业等各方力量共同协作，组织电子取证业内各方共同设立电子取证自主创新建设的标准，立足我国实际情况和已有标准规范，使建立的标准清晰可靠、可操作性强，做到标准与产业协调发展、新建规范与已有规范协调统一。标准的制订将使企业有据可依，无论是对于自主创新进程的推进还是对产业长期发展而言都至关重要，有助于塑造市场规范和有序化生态氛围。

本章主笔人员

广东中科实数科技有限公司 丁丽萍、刘栋

原文始发于微信公众号（自主创新如是说）：【精读】2022网信自主创新调研报告-电子数据取证