云计算环境下电子取证技术的研究.doc

云计算环境下电子取证技术的研究 摘要云计算的快速发展，不仅带来了巨大的经济收益，同时伴随着大量的犯罪活动，给电子取证专业人员带来了巨大挑战。文针对电子取证技术的特点，介绍了及取证流程，分析了云计算面临的问题。 关键词云计算电子数据取证 云计算是2007年由Google提出的新技术，它是并行计算、分布式计算和网格计算等计算机技术和网络技术的融合和发展。它旨在通过网络把多个成本相对较低的计算实体整合成一个具有强大计算能力的完美系统，并借助SaaS、PaaS、MPS等先进的商业模式把这强大的计算能力分布到终端用户手中。云计算的的核心理念就是通过不断提高“云”的处理能力，进而减少用户终端的处理负担，最终使用户终端简化成一个单纯的输入输出设备，并按需享受“云”的强大计算处理能力。著名咨询机构Gartner将云计算定义为“云计算是利用互联网技术将庞大且可伸缩的IT能力集合起来作为服务提供给多个客户的技术”。 云计算的原理是，通过使计算分布在大量的分布式计算机上，而非本地计算机或远程服务器中，企业数据的运行将更与互联网相似。这使得能够将资源切换到需要的应用上，根据需要访问计算机和存储系统。 电子数据取证通常也称为计算机取证，是指对取证人员如何按照符合法律规范的方式，对能够成为合法、可靠、可信的，存在于计算机、相关外设和网络中的电子证据的识别、获取、传输、保存、分析和提交数字证据的过程。数字证据一般情况下是指关键的文件、图片和邮件，有时候则应要求重视计算机在过去工作中的细节，比如入侵取证、网络活动状态取证等。 计算机取证技术发展不到20年，其中美国取证技术的发展最具有代表。根据我国具体的国情，我们一般将电子数据取证定义如下：电子数据取证是用于科学原理以及经过科学实践检验的方法，发现、收集、固定、提取、分析、解释、证实、记录和描述电子介质存储的电子数据，以发现案件线索，认定案件事实的科学。 这一定义包含以下几个方面的内涵： 1）电子数据鉴定是一门科学。在2000年以前，人们对电子数据取证的研究主要是对工具的研究，比如数据恢复工具或证据分析工具（如最为著名的FTK和ENCASE）。人们更多的是基于传统的数据关键字的精确匹配、模糊匹配以及一些简单的分析方法，使用特定的工具对电子数据进行分析。但是随着计算机犯罪的增加，人们逐步认识到电子数据取证并不仅仅是“使用工具对数据分析的技术”，而是一门综合多方面技术的科学学科。 2）电子数据取证必须依托于科学原理以及经过科学实践检验的方法。这就要求我们使用的工具、分析原理是科学的、经过实践检验的。具体到取证工具而言，就要求我们使用的电子数据固定、分析工具本身经过实验、使用的技术原理符合科学原理。 3）电子数据取证包含发现、收集、固定、提取、分析、解释、证实、记录和描述电子介质存储的电子数据等多个步骤。电子数据取证过程是多个环节构成的技术体系。 4）电子数据取证的目的是发现案件线索、认定案件事实。发现案件线索是指通过电子数据取证，发现有助于确定和拓展侦查方向的数据。认定案件事实指通过电子数据取证，出具认定案件事实主体、客体、主观方面和客观方面的分析结论。 客观来说，电子数据取证技术并不是一门单独的技术和科学，而是属于计算机技术学科的范畴，它的发展和应用是依托于计算机科学的持续性发展。因此，在公安、司法系统中，电子数据取证结果的可行性和有效性就依赖于是否能够应对最新的计算机信息技术，融合、采用最新的技术解决处理正在发生或即将发生的问题也就成为取证技术的核心目标。 安全人员在计算机环境下进行取证活动，既要保障所取得的证据材料在诉讼审查阶段被采纳，又要保证证据材料的证明力，使其在质证过程 中被采信。证据能力主要符合三个标准：关联性标准、合法性标准和真实性标准。证据证明力主要要综合考察可靠性、完整性和充分性。取证人员在取证过程中的各个环节都得保证证据的能力和证明力。 云端运算取证流程有别于传统的取证流程，如下： 确定目的，这点根据不同的案件特征有所区别，总会有自身的取证目的。 确定云端服务类型，云端服务类型包括云端设备、云端软件和云端平台。不同的服务类型在取证中面临着不同的机遇和挑战。确定背后技术类型，技术类型是指云计算开发方、客户端和云服务提供商。 在环节的基础上，针对某技术类型进行具体的取证工作。对于云计算开发方，收集完整证据，确定上传证据使用的工具，确定与云服务提供商时间的一致性。对于云服务提供商，首先与云服务提供商沟通以保全证据，从云服务提供商收集日志和完整的证据。对于客户端，确定用户在客户端的角色，使用现场取证工具收集在客户端上进行的活动。 上云计算和电子数据取证的特点，具体到取证领域的应用时，云计算构架的引入则能为我们带来： 1）整合资源，统一协调管理证据介质接入、证据获取、证据存