電子取證3.0時代的實驗室建設思路

江漢祥 張輝極

摘? ?要：電子取證進入了3.0時代，電子取證實驗室建設也需要跟上時代，要具備時代的特色，符合信息化的要求，適應信息科技發展的趨勢。首先從網絡上連接各個實驗室，再從裝備上進行智能互聯化改造，從而構建一體化實驗室，開展取證知識的匯聚與共享，取證能力的下沉，取證技術的更新，將大數據平臺能力支撐給取證前端，并將人工智能技術應用到取證的各個領域。

關鍵詞：電子取證;取證3.0;取證實驗室;取證技術;人工智能

中圖分類號：TP29? ? ? ? ? 文獻標識碼：A

The laboratory construction thought under E-forensics 3.0

Jiang Hanxiang， Zhang Huiji

（Xiamen Meiya Pico Information Co.，Ltd.，FujianXiamen 361008）

Abstract： Following the E-forensics entering the third generation， the E-forensics laboratory construction should also make a completed change， having the characteristics of the times，complying with informationize requirements，adapting the trend of informationize technology development.The construction thought would be connecting libraries on the internet firstly and remoulding Intelligent Internet? based on equipment secondly to set up integrational libraries，opening forensics knowledge gathering and sharing，forensics serviceablity accumulation，forensics technology upgrade and supporting the fore-end forensics with big-data platform serviceablity，and apply AI technology to all fields of forenics.

Key words： e-forensics; forensics 3.0; forensics laboratory; forensics technology; artificial intelligence

1 引言

2011年之前，定義此階段為電子取證1.0時代，也稱之為單兵式介質取證時代。這個時期取證對象主要是硬盤、功能手機、移動存儲等;主要特征是單兵裝備、獨立分析、數據孤島;取證工作的目的主要是為了檢驗鑒定。

2012年到2017年間，定義此階段為電子取證2.0時代，也稱之為智能設備取證與匯聚時代。這個時期取證對象主要是智能手機、硬盤、超級本、移動存儲等;主要特征是計算機取證與手機取證走向融合、取證業務開始擴展到其它相關業務;取證工作的目的在檢驗鑒定基礎上擴展到情報分析。

2018年以來，定義此階段為電子取證3.0時代，也稱之為全景數據下的取證與研判時代。這個時期隨著數據上云、物聯終端的發展趨勢，以及大數據和人工智能的發展，取證的特征重點表現為云取證、物聯終端取證以及大數據+取證和人工智能在取證中的應用。

電子取證實驗室（簡稱實驗室）建設發展已經很長時間，但長期受到無法網絡連接的瓶頸，信息化建設依然很落后，無法適應當前時代的要求。

本文提出在電子取證3.0時代下，實驗室建設的“九化”思路，從網絡鏈路、裝備智能互聯、知識共享、能力下沉、技術方向以及大數據賦能和人工智能應用等方面做了詳細的論述，為新時代的電子取證實驗室建設提供了參考與借鑒。

2 現狀與問題分析

2.1 實驗室建設存在的問題

一是取證裝備單兵作戰，實驗室無網絡，數據孤島。電子取證發展已經十多年了，盡管電子取證技術有了很大的發展，但是電子取證裝備依然處于單兵狀態，電子取證能力完全取決個人利用工具的能力。同時，實驗室也處于無網絡或局域網絡內，裝備與系統間無通訊、電子取證的數據沒有匯聚、電子取證的過程無審計等問題。

二是電子取證業務管理不規范，限于人工管理，滿足不了當前信息化要求。目前，實驗室取證業務管理依然停留在早期的人工或半人工狀態，也就是管理流程是線下流轉及線上輸入的狀態。這種狀態嚴重影響工作效率，滿足不了當前時代信息化要求：一方面可能造成管理不規范，流程失控;另一方面可能會出現數據失真，甚至有意造假等不良現象。

三是取證高密度數據價值休眠，線索無關聯。由于數據孤島，取證數據長期處于休眠狀態，沒有充分利用和發揮其作用。而實際上取證數據是高密度的高價值的數據，大部分是嫌疑人的數據。特別是團伙案件，嫌疑人之間存在緊密聯系，互相通聯的關系。以“壞人找壞人”是一種符合科學規律的快捷方式，所以有效利用電子取證數據，發揮其高密度價值是提高效率的必然要求。

2.2 信息科技發展現狀對實驗室建設的要求

一是5G將帶來物聯終端的暴漲。隨著5G技術的普及，將很快進入萬物互聯的時代。智能終端的數量將從當前的十億級劇增到百億級，甚至千億級。那時，物聯終端的取證將會成為主流。物聯終端將涉及到各個行業，取證將面臨適應各種物聯終端接口的難題，同時解析協議.破解加密也將是物聯終端取證所面臨的難題。

二是云計算技術發展，帶來數據上云。隨著云計算的發展，云主機其可擴展、價格便宜、安全可靠的特性深受企業和個人用戶的歡迎。違法犯罪嫌疑人為了增加偵查和取證難度，以及降低成本也紛紛將涉案服務器上云。為此，云主機數據的取證成了當前不可回避的取證現實。另一方面，越來越多的手機數據將保存于云端，介質數據相對于云端數據，將是冰山一角，手機取證必須解決云端數據取證的問題。

三是大數據平臺建設飛速發展，其強大能力未反哺到取證。公安大數據近年來得到了飛速的發展，給公安工作、偵查手段帶來了巨大的變革，然而這個大數據平臺的能力并沒有反哺到電子取證，給取證帶來紅利。為此，加強大數據平臺數據與前端取證數據的融合，將大數據平臺強大的數據資源和分析結果支撐到取證前端，以實現大數據條件下的取證情報分析能力的巨大提升。

四是人工智能技術廣泛應用，也將成為取證技術的基本要求。大數據技術和云計算技術的發展為人工智能技術奠定了基礎，人工智能技術在各個行業的應用不斷普及，解決了很多原來難以想象的問題，極大地提高了效率，促進了行業的進步。同樣，電子取證中有很多實際問題，也需要人工智能技術來支撐，例如文本語義分析、圖像內容識別、人臉提取、人臉比對、圖片歸類、語音轉文字等。

3 電子取證3.0時代的實驗室建設思路

為了打造與維護網絡安全空間任務相適應的電子數據實戰能力，引領電子數據規范化發展，進一步提升電子數據取證在維護網絡空間的主權、安全和發展利益中的作用，真正發揮出電子數據取證作為公安重要技術手段。為此，需要建設新時代的實驗室，也就是電子取證3.0時代實驗室。其建設按照“九化”思路來開展，也就是要實現：實驗室建設一體化、取證裝備智聯化、業務管理精細化、取證知識共享化、取證能力基層化、取證方法智能化、取證技術前沿化、取證分析情報化、取證人才專業化。

3.1 實驗室建設一體化

原來的實驗室因為沒有網絡連接支撐，只能作為完全獨立的個體存在，所以各?。ㄊ校┑亩鄠€實驗室就存在著重復建設、重點建設方向不明確、遠程協助無法實施、專家指導難以實現等問題。為了解決以上問題，需要將各?。ㄊ校┑乃袑嶒炇疫B接到同一網絡中，比如一個VPN網絡中。有了網絡條件后，多個實驗室從網絡本質角度看就是一個實驗室，只是分布的地點不同而已。

同時，在建設實驗室一體化時，就可以考慮各個分中心的基本取證能力建設和重點突出取證能力。一體化規劃一方面減少重復建設，另一方面可以突出各個分中心的特色，從而形成各?。ㄊ校┮惑w化實驗室發揮整體取證能力，且通過數據匯聚和大數據平臺對取證設備的能力支撐，提升取證設備的取證分析能力。

3.2 取證裝備智聯化

長期以來，取證裝備都是作為一個獨立的裝備個體存在，裝備與管理系統間無通訊，這就造成取證能力局限在個人能力之中。為此，在實驗室網絡連接的基礎上，要讓取證裝備智能互聯化改造，讓裝備從原先“死”的狀態變“活”起來，能夠通過網絡與管理系統對話，能夠自動流轉管理系統上分配的案件信息;能夠把取證裝備的硬件信息、軟件信息、取證檢材的信息自動告知管理系統，能夠把取證過程的日志、標注內容、取證報告、取證數據等自動上傳給管理系統，實現工作人員只需做該做的取證工作，其它事情由智能互聯化來完成，從而提高效率，并為業務管理帶來智能化、精細化的變革。

取證裝備智能互聯化的很重要基礎工作就是標準，也就是裝備與管理系統對話的標準，包括裝備硬件信息規范、裝備系統信息規范、裝備應用軟件信息規范、檢材信息規范、用戶信息規范、取證標注規范、取證報告規范等。

3.3 業務管理精細化

原先實驗室業務管理是處于人工輸入信息的狀態，管理維度粗放。當裝備物聯化后，裝備的信息、檢材的信息、取證過程的大量信息都自動匯總。管理數據是真實可信的，管理方式就走向了智能化和規范化，而且管理粒度細化，無論從案件角度、檢材角度、工作人員角度、裝備角度，還是從實驗室整體角度都能夠有詳盡的統計和展示，給管理工作帶來質的飛躍。

在業務管理上，可以掌握各實驗室的人員情況、裝備情況、取證案件情況、流程實現情況。在細節方面，可以從一個人的角度，掌握其一段時間內受理的取證案件、處理的檢材、花費的時間、出了幾份報告、使用了哪些裝備;也可以從裝備的角度，掌握其有多少工作人員使用過、對接的檢材、工作的時間、當前是否在線等，這樣的管理工作粒度都是原先有的管理方式無法實現的。

3.4 取證知識共享化

長期以來，取證能力與個人能力是等同概念，個人在取證中形成的各種經驗、方法與知識無法與他人共享。特別取證標注，是取證過程中取證人員智慧與取證內容緊密關聯的知識，是很有價值的取證知識，原先都在各個案件中沉沒，只為做報告，沒有充分利用其價值。所以，需要建立標注標準，讓工作人員在標注時就能夠有標準遵循，同時裝備能夠將內容與標注同時匯總到管理中心，經過處理形成各種標注知識庫，比如文件特征庫、暗語庫、敏感URL庫等。同時，能夠將這種知識庫定期更新到各個裝備中，這樣每位工作人員都能夠共享集體智慧，從而取證能力就不再只是個人能力，而是“個人能力+集體智慧”。

同樣，工作人員的取證方法，特別是遇到新手機、新案件類型等問題時，特殊的取證方法就明顯具備指導意義。此時系統就需要處理這個取證方法，形成取證方法的知識圖譜，并匯總到管理中心。同樣，能夠將這種知識圖譜分享給其它裝備或工作人員，這樣遇到該問題的其他工作人員就可以共享該取證方法，快速解決問題，從而整體上提高人員的取證能力。

取證腳本是取證軟件能力的延伸，也是取證人員智慧的集中體現，且具備通用性和可利用性。通過匯聚大家的腳本，經過審核后，形成腳本庫，也可以共享給其他取證人員，從而提高個人的取證能力，節省時間，提高效率。

3.5 取證能力基層化

取證知識匯聚經過處理后形成各種取證知識庫：取證方法庫、取證腳本庫、文件特征庫、暗語庫、敏感URL庫等。這些知識庫可以通過平臺下沉給各個取證裝備，從而實現集體智慧的分享。

上級機關的實驗室分中心可以建設分布式的取證系統，以便開展專家會診、協同作戰、遠程協助等工作。這樣，基層在遇到疑難案件時，可以把鏡像傳給該系統，專家能力和裝備能力就下沉到基層。

基層單位需要提升取證能力，起到取證初檢的作用，做到裝備上數據取證一鍵化，檢查報告簡要配置化，同時又能滿足取證規范，這樣就可以承擔簡單案件的取證工作，減輕上級取證壓力。

3.6 取證方法智能化

隨著取證任務越來越重，取證對象越來越廣泛，會有不少工作人員缺乏經驗，無法滿足取證工作要求。為此，需要將取證方法智能化，讓多數案件的電子取證變成一個基本能力。

取證方法智能化包括自動化取證（簡化取證操作流程盡可能減少人工操作干預）、策略可配置（根據案件性質和檢材類型及系統配置可以選擇后自動推薦取證策略）、向導式取證（通過取證知識庫引導一鍵式完成取證分析工作）。

3.7 取證技術前沿化

電子取證3.0時代，主要特征是云取證、“互聯網+物聯網”“大數據+人工智能”，那么取證技術也就圍繞著這些方面開展新技術的研究與突破，如表1所示。

3.8 取證分析情報化

電子數據是一種高價值高密度的數據，結合其它信息資源庫，可實現深度的數據挖掘、關聯分析，進行人員身份的確認、線索擴展等工作，重點體現在對實體的畫像，如案件畫像、人物畫像、虛擬身份畫像和物品畫像。其中，物品畫像主要是手機畫像和銀行卡畫像，比如刻畫出人物的涉案關系人、可疑群、涉案中間人、社會關系、可疑經濟往來、軌跡分析等，以及多個涉案人員間的共同出現案發現場、交叉使用賬號、共同出現地點、共同交易對象、共同身份標識、共同群組及關系圈等。

同時，隨著大數據平臺的建立，需要將大數據平臺數據與前端取證數據的融合，將大數據平臺強大的數據資源和分析結果支撐到取證前端，彌補取證數據分析中線索難以落地、人物刻畫不全面、人員關系單一等弱點，以實現大數據條件下的取證情報分析能力的巨大提升。

3.9 取證人才專業化

人才隊伍體系建設注重人才培訓和專家培養，通過強化對取證技術人員、運維管理人員的培訓、交流和實驗演練，培養既懂技術又熟悉業務的復合型人才。以實戰成效為標準，進行遴選和動態管理，形成動態穩定的專家隊伍及核心技術團隊。

4 結束語

通過建立高標準的“九化”電子數據勘查取證分析實驗室，可以滿足業務需求和實戰需要，以應對電子數據取證能力體系化、實戰化、規范化和大數據應用能力建設，并提高取證對抗、云取證、物聯終端取證和取證溯源等新技術研究，打造與維護網絡空間安全相適應的電子數據實戰能力，引領電子數據規范化發展，進一步提升電子數據取證在維護網絡空間主權、安全和發展利益中的作用。

參考文獻

[1] 魏平平.計算機網絡實驗室建設的初探[J].科技資訊，2011（01）：241-241.

[2] 王璐.計算機取證實驗室建設的研究與探討[J].理論研究，2013（7）：88-90.

[3] 高春芳，羅燕. 論電子物證取證存在的問題及對策[J]. 楚天法治.2017（7）：186-186.

[4] 王寶章.淺析基層公安機關電子數據取證中的問題及對策[J].福建電腦，2016，32（9）：72+155.

[5] 蔡寧，黎常.知識分享及其研究理論基礎[J].情報科學，2017（1）：31-36.

[6] 吳紹兵.云計算環境下的電子證據取證關鍵技術研究[J].計算機科學，2012（39）：139-142.

[7] 付忠勇，趙振洲.電子取證現狀及發展趨勢[J].計算機與網絡，2014（10）：67-70.

[8] 王玲，錢華林.計算機取證技術及其發展趨勢[J].軟件學報，2003，14（9）：1635-1637.

[9] 趙庸，滕達.電子數據取證實驗室發展趨勢研究[J].電信科學，2010（S2）：88-93.

[10] 李進.公安院校計算機取證實驗室建設研究[J].西南民族大學學報，2009，35（3） ：616-618.

作者簡介：

江漢祥（1971-），男，漢族，福建柘榮人，北京大學，碩士，高級工程師;主要研究方向和關注領域：電子數據取證與數據分析。

張輝極（1980-），男，漢族，福建廈門人，廈門大學，本科，工程師;主要研究方向和關注領域：電子數據取證與人工智能技術。