电子取证新难题：网络犯罪从涉网到涉云

8月19日，主题为“应对网络战、共建大生态、同筑大安全”的第七届互联网安全大会在北京开幕。

法治周末记者 仇飞

明明号码显示是银行客服电话，接电话后钱被转走;银行卡在包里没用过，里面的钱被莫名其妙地转走了;接到保健品推销电话，免费试用寄来的产品需要缴纳高额快递费……

VOIP(语音网关)、GOIP(呼叫中心)、短信嗅探……

前者是诈骗的典型套路，后者是新型的电信技术。这些对普通人而言比较陌生的话题，在电子数据取证员眼中，却是他们见到前者便能迅速将后者对应为取证对象的“连线”基本功。

“从技术层面看，电子数据取证是网络空间安全的一个重要组成部分，电子数据取证人才培养迫在眉睫。”在第七届互联网安全大会电子数据取证理论与实务论坛上，中国科学院软件研究所研究员丁丽萍指出，随着大数据、云计算、人工智能、5G等新技术新模式的发展，越来越多的违法犯罪行为转移到网上，相应的电子证据取证也出现了新的变化。

云平台将成取证重要对象

国际知名咨询机构IDC于5月发布的《中国公有云服务市场(2018下半年)跟踪报告》显示，2018年下半年中国公有云服务整体市场规模超40亿美元，从市场份额来看，阿里云位居首位。

“目前，国内的网站将近一半都托管在阿里云的服务器上，这意味着云上存储的数据将成为以后取证工作的主要来源。”公安部第三研究所信息网络安全技术研发中心研究员吴松洋在论坛上介绍说，目前，很多犯罪形态都在往云端转移，涉案网站基本上都采用云服务的形式。

记者注意到，行为人利用云平台从事违法犯罪的案件并不少见。例如，2016年，浙江省公安机关在“净网行动”中就公布了一起涉云的网络黑产案件，犯罪团伙租用阿里云服务器后，利用网上非法流传的非淘宝用户账号和密码对淘宝账号进行“撞库”匹配，匹配成功后进行抢单、贩卖账号等违法行为，涉案金额高达两百余万元。

江苏省公安厅网络安全保卫总队网络安全专家徐乐则直言，云已逐渐成为网络犯罪平台的高发地、嫌疑人工具的藏匿地以及大量数据证据的存储地。

“网络犯罪从涉网到涉云的变化，也给警方的取证工作带来了新的难题。”在徐乐看来，目前的涉云取证困境主要表现为物证恢复提取困难、存在云上反取证威胁、调证周期长等方面。

“以物证提取分析困难为例，在传统数据恢复中，我们如果知道文件标签，查找标签进行恢复后内容很快就能出来，但在云存储的环境下，存储空间被更大的释放，已删除的内容会被反复的擦写利用，这就增加了文件恢复的难度。”徐乐说。

借助AI取证

对于涉云取证中面临的电子证据固定难、完整性保护难和真实性难确立难等问题，警方是如何应对的呢?

吴松洋坦言，传统的技术已无法满足警方在云平台进行电子数据取证的需求，目前的解决方案是借助人工智能技术建立“取证大脑”，在云端进行数据的固定保全，提取相关镜像，然后进行在线仿真，一键还原调查对象网站，并模拟登陆该网站进行相关操作。

“具体来讲，首先我们可以通过数据提取的方式，把数据进行智能的打标处理，然后把相关的数据导入‘取证大脑’，并进行数据的智能重构。结构化完之后，我们利用AI相关的技术，对数据进行相关的智能识别和深层挖掘，最终‘取证大脑’能够自动识别涉案线索，对轨迹数据、涉案文本、情感分析等，都可以进行完整的呈现。”吴松洋介绍“取证大脑”的“工作流程”，并以自杀案件的研判进行举例。

吴松洋说，在通过侦查手段拿到涉案人员的聊天记录、朋友圈、网购记录、微博等各种各样的数据后，“取证大脑”会提取相关数据分析这些涉案人员的异常行为、异常情绪等，为警方自动生成AI鉴定。

“取证大同小异，要以目的为导向，对于云取证也应脱离云的限制，无论是使用传统远勘还是借助AI手段，能解决问题的方法就是好方法。”徐乐从基层实务的角度介绍说，“我们一般会在有条件的前提下优先做一些本地的分析，然后通过传统的远勘做一些定性和定量的鉴定，明确下一步的取证方向。”

人是核心

“在人工智能时代，我们有两个方面要研究，一个是把人工智能的技术用在取证上，另一个是对人工智能的产品取证。无论从哪个维度看，都不能否认的是，人工智能代替不了人去取证。”丁丽萍直言，在电子数据取证工作中，人是最核心、也是最活跃的因素，人员的电子数据取证意识、知识与技能已经成为保障信息系统安全稳定运行的重要基本要素之一。

然而，360网络安全学院调研数据显示，我国网络安全人才缺口在2020年将高达95%，在取证行业更是如此。

“电子数据取证是计算机科学、法学和侦查学等专业相结合的综合学科，专业的电子取证人员既要掌握过硬的计算机技术，也需要有一定的法律知识，同时还要有一定的侦查学思维。”丁丽萍指出，相对西方发达国家而言，我国的电子取证工作起步较晚，目前尚处于初级阶段，面临着严峻的挑战，存在取证法律法规体系不健全，电子数据鉴定机构数量不足，电子数据取证人员专业化程度不高，取证技术、取证工具有待提升等问题。因此，除了建立健全相关法律法规之外，亟需培养专业素质过硬的取证人才。

对此，丁丽萍告诉法治周末记者，根据就业定位引入针对性培训是解决办法，“国内外有众多培训机构，但国内取证的培训一直没有做起来”。

记者注意到，为加快电子数据取证人才的培养，中国信息安全测评中心依据中编办批准开展“电子数据取证人员培训与资质认证”的职能，推出了代表国家对电子数据取证专业人员能力认可的CISP-F和对电子数据取证领域工作人员电子数据取证基本能力认可的CISM-F。

丁丽萍谈到，其团队目前已推出CISP-F的培训，CISP-F包括电子数据取证概述、法律法规和技术规范、电子数据取证管理、业务领域、可采用性标准、勘验与取证、支撑技术、实验室建设、司法鉴定、典型案例研究共十个知识域。

责编：高恒涛