DB14T 2990—2024电子数据证据取证要求.docx

ICS35.040

CCSA24

14

山西省地方标准

DB14/T2990-2024

电子数据证据取证要求

2024-02-08发布

2024-05-07实施

山西省市场监督管理局发布

I

DB14/T2990-2024

目次

前言 II

1范围 1

2规范性引用文件 1

3术语和定义 1

4一般要求 1

5取证阶段要求 2

II

DB14/T2990-2024

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。

本文件由山西省公安厅提出、组织实施和监督检查。

山西省市场监督管理局对标准的组织实施情况进行监督检查。

本文件由山西省公共安全标准化技术委员会归口。

本文件起草单位：山西省公安厅、太原市公安局、厦门市兴百邦科技有限公司、国投智能（厦门）信息股份有限公司、北京奇安信科技有限公司、北京锐安科技有限公司、上海弘连网络科技有限公司、亚信科技（成都）有限公司、山西晋信安科技有限公司。

本文件主要起草人：马静旻、郭伟光、董杰、胡壮、闫鹏飞、范鑫、崔洪宇、张登峰、王勇、马超

1

DB14/T2990-2024

电子数据证据取证要求

1范围

本文件规定了电子数据证据取证的术语和定义,一般要求,以及发现、收集、提取、固定、分析、检验、鉴定、记录、流转和保存等取证要求。

本文件适用于电子数据证据取证。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GA/T754电子数据存储介质复制工具要求及检测方法

GA/T755电子数据存储介质写保护设备要求及检测方法

3术语和定义

下列术语和定义适用于本文件。

3.1

电子数据证据

电子数据证据是指以数字化形式存储、处理、传输的，能够证明案件事实的数据。3.2

易失性数据

容易改变或消失的电子数据。

3.3

完整性校验值

使用散列算法对数据进行计算后获得的可以用来校验数据完整性的输出值。

3.4

物理提取

对物理存储介质进行位对位的复制以创建数据副本的提取方式。

3.5

逻辑提取

在文件系统等层面采用非位对位复制的方式对文件、文件夹等结构化数据创建数据副本的提取方式。

4一般要求

4.1电子数据证据取证至少由两名具有专门知识的人员实施。

4.2应及时实施电子数据证据取证活动。

4.3电子数据证据取证应避免对原数据的更改，若不可避免造成更改，应记录更改内容、原因及过程。

2

DB14/T2990-2024

4.4电子数据证据取证应使用准确性得到验证的工具。

4.5在电子数据证据取证过程中，应保证电子数据证据安全。

5取证阶段要求

5.1发现

电子数据证据发现是指搜索、识别电子数据证据的过程，包含但不限于如下要求。a）应发现电子数据证据的不同表现形式，必要时制定相关方案。

b）应优先处理电子数据证据介质上的生物证据。

c）不得改变电子数据证据介质的原始状态。

d）应及时识别相关设备的电力供应状态，采用电池供电的设备应及时保持电力供应。e）应及时识别现场网络覆盖情况和相关设备的网络状态。

f）应注意识别与记录电子数据证据其他相关信息，包含但不限于设备或网络的密码等。

5.2收集

电子数据证据收集是指将电子数据证据介质从其原始位置移置到实验室或其他受控环境的过程,包含但不限于如下要求。

a)若存在易失性数据，应直接对易失性数据进行提取。

b)不存在易失性数据的情况下，应根据电子数据证据介质情况直接移除电源或正常关机。

c)应及时收集与电子数据证据相关的信息、材料，包含但不限于记录密码的纸张、设备线缆、充电器等。

d)应将收集的电子数据证据介质进行封存。

5.3提取

电子数据证据提取是指创建电子数据证据副本的过程，包含但不限于如下要求。a)对于客观条件无法提取的电子数据证据，应及时进行冻结。

b)提取易失性数据时，应同时生成操作过程记录和录像记录。

c)同一介质可以采用物理提取、逻辑提取的方法提取电子数据证据时，优先采用物理提取的方法。

d)对于具备复制条件的电子数据证据介质，应使用电子数据证据介质复制工具进行镜像，电子数据证据复制工具应符合GA/T754要求。

e)对于具备写保护条件的电子数据证据介质，应使用写保护设备接入到检验设备上进行后续操作，写保护设备应符合GA/T755要求。

f)对于无需启动即可提取电子数据证据的介质，优先选择在不启动