云計算技術在電子數據調查與取證中的應用研究

黃云峰HUANG Yun-feng

（福建警察學院，福州 350007）

（Fujian Police College，Fuzhou 350007，China）

0 引言

傳統的電子取證技術就是借助單機取證，或者采用弱推理取證，傳統的電子證據主要是存儲在計算機中，它不需要經過復雜的數據分析與推理，就可以直接拿出來采用，但是隨著網絡環境不安全因素的增多以及犯罪份子犯罪手法的升級，依靠傳統的電子證據很難直接對犯罪嫌疑人進行定罪，而云計算環境下的電子取證則是依托大數據技術，對儲存在不同單機中的電子證據進行綜合分析與整合，并將其作為評定犯罪嫌疑人的依據。云計算技術在電子取證領域的應用對電子證據的數據安全、電子證據的準確性都具有重要的意義。

1 云計算及電子數據取證

1.1 云計算

1.1.1 云計算概念 云計算是繼服務計算與網絡計算之后新興的商業計算模式，對于云計算概念的闡述不同的人從不同的角度分析，所得出云計算的概念也不同，總之不同的云概念多數是根據自己現有的云基礎而定的。本文對于云計算概念的闡述是：云計算是一種計算模式，向網絡使用者提供可以共享的計算資源，這種共享資源包括網絡、服務器、存儲、應用和服務。

因此云計算就是對傳統資源交付模式的更改，傳統的計算服務必須要具有CPU、儲存器以及主機等，但是云計算服務則是將傳統的計算服務設備（CPU、儲存器等）以服務資源等形式提供給用戶，而用戶只需要具備網絡和終端設備就可以享受云服務供應商所提供的服務。

1.1.2 云計算的特點 云計算是在虛擬技術的基礎上發展而成的，因此云計算結合了虛擬化技術的特點，這些特點在電子取證領域中具有廣泛的應用基礎。

①數據的安全可靠性。云計算最大的特點就是提供了安全的數據儲存中心，云供應商在各自的云公共服務后端建立數據儲存中心，在前端為用戶提供專門的數據儲存借口，這樣用戶可以隨時將自己需要儲存的數據存放到云端，而一旦這些數據通過云端儲存后就會有專業的團隊進行數據保存，同時云計算采取的數據多副本容錯、計算節點同構可互換則有效的保障了云端數據的安全。

②規模的高擴展性。云計算可以根據用戶的需求無限擴大集群規模，同時其可以同時處理上千個節點的信息，云計算的高速計算可以便捷電子證據的存儲，用戶可以根據現實需要，隨時調取相應的電子證據，并且能夠對多節點的電子證據進行綜合分析。

③系統的虛擬化。虛擬化技術是云計算的核心，云計算系統虛擬化就是云平臺提供虛擬的環境，通過仿真技術在時間上劃分硬件與軟件，保證可以在同一硬件平臺上運行不同的系統環境，而用戶可以在任意的位置使用云終端獲取自己需要的信息，當然此種信息并不是來源于實體，而是來自于云平臺資源，虛擬化的作用就是利用虛擬化技術對分散的物理計算資源進行虛擬整合，實現云資源服務。

1.2 電子數據取證

1.2.1 電子數據取證的概念 電子數據取證就是取證人按照相關法律法規的規定，對儲存在計算機、以及網絡中的合法、可靠以及可信的電子證據的識別、獲取、傳輸、保存以及分析的過程。電子數據證據一般包括文件、圖像和郵件，甚至包括計算機在過去工作中的細節。

1.2.2 電子數據取證的內涵

①電子數據取證是一門科學。隨著計算機犯罪數量的增加，人們對于電子數據證據的認識有了新的變化，由過去的“使用工具對數據進行分析的技術”演變為一門涉及多方面的科學學科。②電子數據取證必須要依托科學原理，并且要經過科學的實踐檢驗。只有經過實踐檢驗的證據才是合法、真實的證據。③電子數據取證的目的就是認定犯罪事實，通過電子數據取證能夠實現對犯罪案件偵查方向的確定和對犯罪案件主體、客體等方面的分析。

2 云計算對電子數據取證的意義

為了分析云計算對電子數據取證的積極意義，本文將傳統電子取證與云計算電子數據取證的模式進行了對比。

表1 取證模式比對表

通過表1 可以清晰地了解到云計算模式對電子數據取證的重要意義：首先整合資源，統一管理證據的介質接入、獲取以及儲存等功能，便于規范使用人員進行安全的遠程操作控制，而且使用者不需要借助任何的取證工具、系統等，只需要具有互聯網絡就可以；其次有利于電子數據證據資源的共享，通過云平臺可以將資源實現整合，主要是具備相應查詢系統的公安機關、檢查機關等都可以通過云終端實現對電子數據證據的提取，節省了大量的時間和人力；最后豐富與解決了傳統計算電子數據取證的內容與弊端，比如通過云計算可以自動生產證據分析報告等。

3 云計算在電子數據取證中的應用

根據上述云計算電子數據取證與傳統電子取證之間的區別，云計算在電子數據取證中的領域應用主要集中在：證據發現、證據固定以及證據提取三個階段。

3.1 證據發現 云計算在證據發現階段的應用主要是通過計算機使用者通過終端設備向云計算平臺傳輸指令，因此這一過程都是在網絡節點中由特定第三方程序按照指令運行，并且對信息進行處理，因此這一過程主要包含兩個信息：一是操作者想要編輯、瀏覽的數據信息；二是智能程序自動記錄的信息記錄，也就是使用者的操作痕跡。因此云計算可以通過以下途徑實現證據的發現：①在云端發現相關證據，云端能夠準確的記錄每個使用私有云服務的行為痕跡，因此可以根據操作者使用云端的操作痕跡對其進行證據的提取，因此司法部門可以在法律授權的前提下，到云計算服務商中獲取節點數據，以此查找云計算環境下的涉案痕跡與違法證據。②在客戶終端發現證據。雖然云計算不需要具備CPO、內存器等，但是其畢竟要經過網絡的傳遞，需要云平臺將用戶需要的信息傳遞到用戶的終端設備中，因此這些終端設備就必然會存有與犯罪證據相關的動態信息，比如存放在終端設備緩沖區中的文件碎片等，因此如果犯罪份子利用云計算平臺就必然會在終端留下電子數據證據。③在提供云服務的子云中發現證據。云計算服務商在提供云服務的同時，其子云服務會記錄操作者的各種操作信息，比如操作者使用的網絡地址、操作時間以及終端設備等等，這些信息對于查找犯罪證據具有關鍵的作用，同時通過云計算子云服務發現證據，不僅可以避免到云計算開發企業中去調查的繁瑣步驟，還可以縮短發現犯罪證據的時間。

3.2 證據固定 證據固定主要是對證據的完整性進行驗證，云計算在證據固定階段的應用主要是通過數字簽名和見證人簽名對證據的完整性進行補充與收集，進而保證證據的獲取符合相關法律的規定，由于云計算技術自身缺陷的存在，使得云計算電子數據證據的固定存在一定的難度，因此在證據固定時要通過云技術平臺保存電子數據證據本身的信息內容，同時還要重視對證據收集周圍環境數據的保存，尤其是將那些能夠證明電子數據證據提取時的環境信息進行保存，比如可以借助云計算遠程控制平臺技術和監控攝影對電子數據證據的提取進行全程拍攝記錄，以此保證電子數據證據相關數據的可靠、證據獲取方式在法律上的完整。

3.3 證據提取 證據提取就是取證人員通過各種技術與工具對原始數據進行還原并且修復破壞的相關數據，具體到云計算技術在證據提取階段的應用主要是：①按照云計算服務類型確定取證方法。如果操作者的信息在用戶終端中仍然存在，那么依靠傳統的取證模式就可以獲取相應的電子數據證據，而如果出現證據在云計算終端中取證比較困難，而且數據有可能被損壞，并且分布在不同的物理計算中，這就需要云計算技術，通過云計算可以對不同物理計算中的證據進行綜合與分析，而且云端軟件還具有協助網絡取證的功能。②云計算環境下進行取證還需要進一步確定其背后技術類型。即云計算開發方、客戶端和云服務提供商，并在此基礎上針對某技術類型進行具體的取證工作。如對于云計算開發方，收集完整證據，確定上傳數據使用的工具，確定與云服務提供商時間的一致性；對于云服務提供商，首先與云服務提供商溝通以保全數據；對于客服端，確定用戶在客戶端的角色使用現場取證工具收集在客戶端上進行的活動。

4 結束語

總之，云計算技術的發展既是社會科學技術發展的產物，也是未來我國網絡發展的趨勢，云計算技術到目前為止，在社會各個領域中得到了廣泛的應用。云計算技術在電子數據取證領域的應用是實現證據數據資源共享、提高電子數據證據信息安全，提高設備利用率的有效手段，隨著云計算技術的發展，相信在不久的未來，云計算技術在電子數據取證領域的應用范圍會更加廣泛。

[1]周剛，麥永浩，曹強，等.云計算應用對計算機取證技術的挑戰和對策[J].警察技術，2011（2）.

[2]何曉行，王劍虹.云計算環境下的取證問題研究[J].計算機科學，2012（9）.

[3]鄭秋新.基于云架構的計算機取證研究[J].福建警察學院學報，2012（2）.

[4]夏榮.云計算技術在電子數據取證領域的應用研究[J].信息網絡安全技術，2011（08）.

[5]尹丹.電子數據司法鑒定技術的發展與挑戰[J].中國司法鑒定，2011（6）.