云計算視閾下計算機網絡犯罪偵查取證的探索

云計算視閾下計算機網絡犯罪偵查取證的探索

于 麗 新疆警察學院信息安全工程系

隨著現代科學的發展，計算機技術可謂是日新月異，技術成果頗豐。而云計算的出現使得信息的傳遞與搜集變得更加迅速快捷，是近年來計算機領域最具有里程碑意義的成果之一。伴隨著計算機技術的發展，網絡犯罪也逐漸興起，其犯罪手法不斷變化更新，很難運用常規手段進行取證。而云計算的出現，使得偵查機關在網絡犯罪的取證方面取得了重大突破。本文將圍繞云計算視閾下的計算機網絡犯罪偵查取證的相關問題進行分析探討，希望為相關領域的理論建設提供一定的參考。

云計算；網絡犯罪；偵查取證；探索

引言

由于計算機技術的應用會產生各種安全漏洞，心懷不軌的人會對此加以利用，因此計算機網絡犯罪在信息時代是不可避免的，網絡入侵、網絡詐騙的案例層出不窮。而因為網絡犯罪的智能性、隱蔽性、匿名性、復雜性等特點，為偵查工作帶來了很多麻煩。而云計算的出現使得網絡犯罪偵查取證工作方便了許多，也使得很多罪犯難逃法網，得到了應有的處罰，同時也對社會起到了警示作用，避免了類似網絡案件的大量的發生。

1.“云計算”的概述

云計算是在互聯網相關服務的基礎上提供的動態的、可加以拓展與升級的、虛擬化的資源。是分布式計算（Distributed Computing）、并行計算（Parallel Computing）、公用運算（Utility Computing）、虛擬化（Virtualization）、網絡存儲技術（Network Storage Technologies）、熱備冗余（High Available）、負載均衡（Load Balance）等傳統計算機和網絡技術發展融合的產物。

美國國家標準與技術研究院對云計算定義為：云計算是一種無處不在的、使用方便的模式，可以根據需要進行網絡訪問的可配置計算資源共享池（例如網絡、服務器、存儲、應用和服務），只需要投入很少的管理或者與服務商進行很少的互動就能使得資源被快速提供。

而在中國，云計算起步較晚但發展十分迅速。云計算專家劉鵬將之定義為：“云計算是將計算任務數量龐大的計算機構成的資源池上分布，讓用戶能夠按照自己的需要來獲得計算力、存儲空間和信息服務?！盵1]基于以上對云計算的概述，可以看出其具有以下的特點。

規模超大。一般的企業私有云可以擁有成百上千臺的服務器，利用其中的數據能夠給予用戶超強的計算能力；而互聯網巨頭Google的私有云已經擁有了上百萬臺服務器的超大規模，Microsoft、Amazon、Yahoo、IBM等企業的私有云也有著幾十萬臺服務器的支撐。

安全可靠。云計算為用戶提供了最安全可靠的數據存儲中心，可以避免數據的丟失與病毒入侵等意外的發生。當用戶將資料上傳到“云”上之后，上面的數據被最先進的存儲中心與專業的管理團隊進行綜合管理，具有安全可靠的特性。

很強的擴展性?！霸啤钡囊幠？梢愿鶕嶋H情況進行擴展和伸縮，可以隨時滿足用戶的需求。在偵查人員進行取證的過程中，該特性也可以保證云計算視閾下的及時取證具有可擴展性，從而方便偵查人員的工作。

潛在的危險性。云計算不但為用戶提供計算服務，還同時充當了儲存中心的角色。而目前的云計算服務都掌握在私企手上，但是這也造成了一定的風險，一旦這些私人企業將用戶的數據進行違規使用，很可能會對用戶甚至社會造成很大的損失。

從這些特點來看，云計算就是建立在虛擬平臺上的、為用戶提供數據運算、分享、儲存的資源庫。而這里的用戶既可以是企業，也可以是個人，他們可以對數據進行自由的分享與傳播，從而使得數據雜亂并且保密性不強，這也為取證人員在計算機取證上造成了一定的挑戰。

2.云計算視閾下的偵查取證過程

在傳統的取證模式下，取證目標具有明確性和針對性，取證過程基本是在偵查人員能夠人為進行控制的范圍內，幾乎沒有其他數據的干擾，因此在條件充分的前提下可以很快取得相應的證據，進而對案件進行處理。傳統刑事案件偵辦過程如下圖。

但是在云計算環境下，由于資源的虛擬性且資源可以供多個用戶共享，因此在云計算的視閾下取證要區別于傳統取證過程。大致可以分為：證據的查找階段、證據的固定階段以及證據的提取階段。

證據的查找階段。傳統取證可以直接針對案件中的線索進行證據的搜尋，但是云計算環境中的偵查取證卻是要在大量的數據中經過反復搜尋與篩選。在這一階段中，幾乎都是要通過云計算對服務器中的“智能程序”進行相應的指令操作，從而在“云”嚴格、自動傳遞出來的信息中主觀地對自己想要的數據進行編輯、瀏覽和篩選，最終獲得需要的證據。因此，在云計算的視閾下，可以通過以下幾個步驟來搜尋相關證據。

首先，在網絡犯罪案件的偵辦過程中，應當對現實環境進行搜查取證，通過對當事人的問話與調查對事件發生的經過有一個詳細的了解，對犯罪嫌疑人的相關特征進行鎖定。

其次，在現實條件允許的基礎上于“云”上著手調查。因為用戶對云上資料如圖片編輯、文檔修改、賬戶操作等行為都會在服務器的后臺數據留下痕跡，因此偵查機關可以在司法條件允許的情況下根據這些操作記錄所產生的節點數據對操作者進行調查，從而獲得相關證據。除此之外，也可以根據一些互聯網平臺如Google的電子地圖所拍攝的畫面或是交通監控、行車記錄儀中的數據進行檢查，以獲得證據。

圖1 傳統形式案件偵辦過程

證據的固定階段。一般來說，在搜集到有效的證據之后，都不會直接應用于指控之中，而是需要進一步搜索到一定的輔助證據以保證主要證據的有效性。因此在網絡取證的同時，還需要對用戶的數字簽名以及保證人的簽名等進行搜集，從而保證證據的真實性與規范性。由于云數據不像現實證據那樣容易保存，因此取證人員在取證過程中應當對在云端取得的證據以及輔助證據進行備份與保存，使得數據不會輕易丟失。同時在這些數據的遷移、保存與備份的過程中，應當記錄下全部過程，并生成相關報告，從而保證證據的法律完整性與真實性。

證據的提取階段。在提取證據的過程中，要根據云服務器的操作流程對數據進行下載和取得，進而對證據進行保存和備份。但是在實際操作中，云數據庫中的數據具有不穩定性，可能會因為設備原因或是人為的故意操作導致數據的不完全和丟失，因此需要專業的操作人員對原始數據進行分析、提取和整合，從而對證據進行盡可能的還原。

3. 云計算環境中取證在實際運用中的案例分析

由于英美等國科技的先進與發達，云計算環境下取證的實現較早。美國前任聯邦調查局局長羅伯特·米勒曾表示，美國將針對越來越猖獗的計算機網絡犯罪在洛杉磯建立了一個名為“區域性計算機取證實驗室”的實驗室，服務于加利福尼亞州的執法部門。該實驗室耗資700萬美元、歷時3年完成，用于分析計算機網絡犯罪中的各種數據，以便讓執法部門能夠更好地對計算機網絡犯罪的嫌疑犯與組織進行跟蹤。這樣的組織在美國已經建立了數十個之多，主要對病毒傳播、惡意軟件捆綁、網絡詐騙、網絡色情、網絡釣魚、黑客入侵等網絡犯罪進行取證調查，從而維護網絡安全。盡管中國在云環境取證的實現比英美等發達國家要晚許多，但是近來也取得了多項成果。為了嚴厲打擊網絡黑客的犯罪，中國的公安機關在全國范圍內建立了超過300個“電子數據勘查取證實驗室”，對網絡犯罪進行偵查取證，積極開展網絡監管，從而保證國家網絡安全。從國內外取證實驗室的建立可以看出，這種“區域性計算機取證實驗室”正是在計算機網絡快速發展的基礎上由傳統的取證實驗室向依靠“云計算”取證實驗室轉化的必然結果。

2013年遼寧警方偵破了一起重大的跨國網絡入侵盜竊案件。遼寧省公安機關的網絡安全部門在工作中發現有人在網上高價收購韓國銀行的資料，心生疑惑的工作人員開始對這件事進行調查。在調查中發現，黑龍江網民王某在2012年成立了游戲工作室，通過網絡出售韓國的游戲幣與韓國銀行賬戶的信息獲取利潤。而以王某為首的犯罪團伙自2012年開始從事網絡入侵盜竊，先后入侵了韓國100多家網站并盜取韓國網民的銀行賬戶與密碼共計4000余組，總共獲利折合為人民幣為1000余萬元。在這起案件中，由于犯罪手法隱蔽性強、證據溯源困難以及特殊的跨國性等特點，導致案件偵破極為困難。而網絡安全部的工作人員在與韓國方面協商之后通過云計算對犯罪團伙的銀行資金流向記錄、網頁操作的后臺記錄進行篩選和查找，

對犯罪團伙的網絡入侵行為進行了跟蹤與鎖定，從而取得了網絡犯罪的證據，將罪犯繩之于法。

在現代網絡犯罪手法的類型中，除了網絡入侵之外，木馬的植入也是常見的網絡犯罪案例。網絡信息時代不可避免地會出現網絡安全漏洞，而許多不法分子通過這些漏洞植入木馬病毒來對目標計算機進行控制，肆意毀壞、盜取目標的數據，從而利用這些數據進行非法牟利。2014年，江蘇徐州的公安局接到某淘寶店主的報警，有“客戶”以服裝訂做的名義向其發送圖片，從而使得其手機被植入了木馬，從而損失了近2萬元。警方通過云服務器上的數據由“客戶”的網絡信息調查出其真實身份，再對姜某的資金流向、銀行卡操作等后臺數據進行查詢，得知姜某將受害人的卡內余額轉到劉某處銷贓，于是又以劉某為線索，發現了其背后龐大的涉案組織并開展統一抓捕行動，共計抓獲了37名犯罪嫌疑人。而該犯罪團伙的涉案金額達到了2000余萬元，受害人達260余人。

4.云計算視閾下取證所面臨的挑戰及相關應對措施

盡管云計算為用戶對信息的獲取、交流和共享帶來了便利，但也帶來了極大的安全隱患，對信息安全領域造成了強烈的沖擊。由于沒有固定的基礎設施和安全邊界，使得用戶的數據和隱私可能會受到威脅；云端數據高度集中，一旦出現安全隱患可能對大量用戶造成損失。而云服務涉及到的資源也由多個管理者共有，可能導致利益沖突，因此無法統一部署安全措施?；谝陨习踩[患，在云計算視閾下展開取證必定會遇到諸多的問題。

4.1 技術層面的挑戰

取證方法的欠缺。在云計算的環境中，很多電子證據在當前的技術條件下是很難偵查與提取的。在云計算服務中，有很多訪問數據是通過虛擬專用網絡（VPN）進行訪問，而在當前的技術取證手段下，幾乎不可能進行檢測。而若是這些虛擬專用網絡是通過圖書館、商場、網吧等公共網絡環境訪問，那么更不可能加以偵測，因此可能導致數據的缺失。

電子證據的不完整性。在云數據的傳輸與儲存過程中，由于在云計算環境下不同用戶的數據都是混合在一起的，因此可能導致敏感、保密的數據被其他用戶的數據所污染。這就會使得數據可能會出現安全隱患，同時也使得取證所得的數據喪失了其完整性與原始性，導致案件的偵辦陷入困境。

4.2 法律層面的挑戰

法律上的不健全性。由于云計算環境下各種網絡數據和資料都高度集中在云儲存的資源池里面，一旦對其中某項資料或數據進行取證，就不可避免地會窺探其他大量的商業機密或者個人隱私。一旦操作不規范，就很有可能構成侵犯商業機密或是個人隱私的違法行為。但是在我國現行的法律法規中并沒有就云計算環境中的取證問題進行原則上的界定，從而會對偵查人員的取證帶來一定的困難。

跨國取證的特殊性。由于現在許多網絡犯罪可能會涉及到跨國、跨區域之間的特殊性，例如臺灣電信詐騙案不但涉及到大陸、臺灣雙方還涉及到其他多個國家，這對案件的取證是很不利的。由于跨國網絡犯罪的數據流動是在全球范圍內，而不是僅僅局限在某一個國家，因此在云計算的環境下進行取證可能會跨國或者跨區域，而不同的國家有不同的法律和政策。因此在取證過程中不但要保證跨國數據的精確性與完整性，還要避免與他國在管轄權上產生糾紛。

4.3 相關應對措施

加強相關技術上的改進和突破。對數據遷移技術、鏡像遷移數據、入侵檢測系統等新技術在云計算環境取證過程的應用加以研究，進而減少取證人員在數據篩選、數據追蹤與提取上的難度，提高所取得證據的完整性與精確性。

建立健全相關的法律法規。對云服務的供應商加強法律上的監控，以便能夠獲取運行過程的系統數據。加強對取證程序方面的法律完善，界定在云計算環境下進行取證的法律底線，使之既能保證取證的正當性又能獲得有效的證據與線索。同時還應當對具體的取證流程加以規定，從而保證取證工作的順利進行。

5. 結束語

針對我國計算機網絡犯罪越來越猖獗的現狀，應當盡快建立云計算視閾下計算機網絡犯罪的取證流程與框架，以期能夠為公安機關對網絡犯罪的有效打擊提供一定的幫助，進而保障我國網絡安全。

[1]何曉行,王劍虹.云計算環境下的取證問題研究[J].計算機科學,2012,09:105-108.

[2]欒潤生.面向云計算的計算機網絡犯罪偵查取證的思考[J].網絡安全技術與應用，2011，12：68-70.

[3]單彬.云計算環境下計算機偵查取證問題研究[J]電子制作2015,09：56-57.

[4]樊玲玲.淺析“云計算”環境中的計算機網絡安全[J].科技致富向導，2012，26：85.

[5]那勇.云計算環境下的計算機網絡安全策略研究[J].電子制作，2014，10：149-150.