电子取证3.0时代的实验室建设思路

2019-12-09 02:08江汉祥张辉极
网络空间安全 2019年5期
关键词:装备实验室能力

江汉祥 张辉极

摘   要:电子取证进入了3.0时代,电子取证实验室建设也需要跟上时代,要具备时代的特色,符合信息化的要求,适应信息科技发展的趋势。首先从网络上连接各个实验室,再从装备上进行智能互联化改造,从而构建一体化实验室,开展取证知识的汇聚与共享,取证能力的下沉,取证技术的更新,将大数据平台能力支撑给取证前端,并将人工智能技术应用到取证的各个领域。

关键词:电子取证;取证3.0;取证实验室;取证技术;人工智能

中图分类号:TP29          文献标识码:A

The laboratory construction thought under E-forensics 3.0

Jiang Hanxiang, Zhang Huiji

(Xiamen Meiya Pico Information Co.,Ltd.,FujianXiamen 361008)

Abstract: Following the E-forensics entering the third generation, the E-forensics laboratory construction should also make a completed change, having the characteristics of the times,complying with informationize requirements,adapting the trend of informationize technology development.The construction thought would be connecting libraries on the internet firstly and remoulding Intelligent Internet  based on equipment secondly to set up integrational libraries,opening forensics knowledge gathering and sharing,forensics serviceablity accumulation,forensics technology upgrade and supporting the fore-end forensics with big-data platform serviceablity,and apply AI technology to all fields of forenics.

Key words: e-forensics; forensics 3.0; forensics laboratory; forensics technology; artificial intelligence

1 引言

2011年之前,定义此阶段为电子取证1.0时代,也称之为单兵式介质取证时代。这个时期取证对象主要是硬盘、功能手机、移动存储等;主要特征是单兵装备、独立分析、数据孤岛;取证工作的目的主要是为了检验鉴定。

2012年到2017年间,定义此阶段为电子取证2.0时代,也称之为智能设备取证与汇聚时代。这个时期取证对象主要是智能手机、硬盘、超级本、移动存储等;主要特征是计算机取证与手机取证走向融合、取证业务开始扩展到其它相关业务;取证工作的目的在检验鉴定基础上扩展到情报分析。

2018年以来,定义此阶段为电子取证3.0时代,也称之为全景数据下的取证与研判时代。这个时期随着数据上云、物联终端的发展趋势,以及大数据和人工智能的发展,取证的特征重点表现为云取证、物联终端取证以及大数据+取证和人工智能在取证中的应用。

电子取证实验室(简称实验室)建设发展已经很长时间,但长期受到无法网络连接的瓶颈,信息化建设依然很落后,无法适应当前时代的要求。

本文提出在电子取证3.0时代下,实验室建设的“九化”思路,从网络链路、装备智能互联、知识共享、能力下沉、技术方向以及大数据赋能和人工智能应用等方面做了详细的论述,为新时代的电子取证实验室建设提供了参考与借鉴。

2 现状与问题分析

2.1 实验室建设存在的问题

一是取证装备单兵作战,实验室无网络,数据孤岛。电子取證发展已经十多年了,尽管电子取证技术有了很大的发展,但是电子取证装备依然处于单兵状态,电子取证能力完全取决个人利用工具的能力。同时,实验室也处于无网络或局域网络内,装备与系统间无通讯、电子取证的数据没有汇聚、电子取证的过程无审计等问题。

二是电子取证业务管理不规范,限于人工管理,满足不了当前信息化要求。目前,实验室取证业务管理依然停留在早期的人工或半人工状态,也就是管理流程是线下流转及线上输入的状态。这种状态严重影响工作效率,满足不了当前时代信息化要求:一方面可能造成管理不规范,流程失控;另一方面可能会出现数据失真,甚至有意造假等不良现象。

三是取证高密度数据价值休眠,线索无关联。由于数据孤岛,取证数据长期处于休眠状态,没有充分利用和发挥其作用。而实际上取证数据是高密度的高价值的数据,大部分是嫌疑人的数据。特别是团伙案件,嫌疑人之间存在紧密联系,互相通联的关系。以“坏人找坏人”是一种符合科学规律的快捷方式,所以有效利用电子取证数据,发挥其高密度价值是提高效率的必然要求。

2.2 信息科技发展现状对实验室建设的要求

一是5G将带来物联终端的暴涨。随着5G技术的普及,将很快进入万物互联的时代。智能终端的数量将从当前的十亿级剧增到百亿级,甚至千亿级。那时,物联终端的取证将会成为主流。物联终端将涉及到各个行业,取证将面临适应各种物联终端接口的难题,同时解析协议.破解加密也将是物联终端取证所面临的难题。

二是云计算技术发展,带来数据上云。随着云计算的发展,云主机其可扩展、价格便宜、安全可靠的特性深受企业和个人用户的欢迎。违法犯罪嫌疑人为了增加侦查和取证难度,以及降低成本也纷纷将涉案服务器上云。为此,云主机数据的取证成了当前不可回避的取证现实。另一方面,越来越多的手机数据将保存于云端,介质数据相对于云端数据,将是冰山一角,手机取证必须解决云端数据取证的问题。

三是大数据平台建设飞速发展,其强大能力未反哺到取证。公安大数据近年来得到了飞速的发展,给公安工作、侦查手段带来了巨大的变革,然而这个大数据平台的能力并没有反哺到电子取证,给取证带来红利。为此,加强大数据平台数据与前端取证数据的融合,将大数据平台强大的数据资源和分析结果支撑到取证前端,以实现大数据条件下的取证情报分析能力的巨大提升。

四是人工智能技术广泛应用,也将成为取证技术的基本要求。大数据技术和云计算技术的发展为人工智能技术奠定了基础,人工智能技术在各个行业的应用不断普及,解决了很多原来难以想象的问题,极大地提高了效率,促进了行业的进步。同样,电子取证中有很多实际问题,也需要人工智能技术来支撑,例如文本语义分析、图像内容识别、人脸提取、人脸比对、图片归类、语音转文字等。

3 电子取证3.0时代的实验室建设思路

为了打造与维护网络安全空间任务相适应的电子数据实战能力,引领电子数据规范化发展,进一步提升电子数据取证在维护网络空间的主权、安全和发展利益中的作用,真正发挥出电子数据取证作为公安重要技术手段。为此,需要建设新时代的实验室,也就是电子取证3.0时代实验室。其建设按照“九化”思路来开展,也就是要实现:实验室建设一体化、取证装备智联化、业务管理精细化、取证知识共享化、取证能力基层化、取证方法智能化、取证技术前沿化、取证分析情报化、取证人才专业化。

3.1 实验室建设一体化

原来的实验室因为没有网络连接支撑,只能作为完全独立的个体存在,所以各省(市)的多个实验室就存在着重复建设、重点建设方向不明确、远程协助无法实施、专家指导难以实现等问题。为了解决以上问题,需要将各省(市)的所有实验室连接到同一网络中,比如一个VPN网络中。有了网络条件后,多个实验室从网络本质角度看就是一个实验室,只是分布的地点不同而已。

同时,在建设实验室一体化时,就可以考虑各个分中心的基本取证能力建设和重点突出取证能力。一体化规划一方面减少重复建设,另一方面可以突出各个分中心的特色,从而形成各省(市)一体化实验室发挥整体取证能力,且通过数据汇聚和大数据平台对取证设备的能力支撑,提升取证设备的取证分析能力。

3.2 取证装备智联化

长期以来,取证装备都是作为一个独立的装备个体存在,装备与管理系统间无通讯,这就造成取证能力局限在个人能力之中。为此,在实验室网络连接的基础上,要让取证装备智能互联化改造,让装备从原先“死”的状态变“活”起来,能够通过网络与管理系统对话,能够自动流转管理系统上分配的案件信息;能够把取证装备的硬件信息、软件信息、取证检材的信息自动告知管理系统,能够把取证过程的日志、标注内容、取证报告、取证数据等自动上传给管理系统,实现工作人员只需做该做的取证工作,其它事情由智能互联化来完成,从而提高效率,并为业务管理带来智能化、精细化的变革。

取证装备智能互联化的很重要基础工作就是标准,也就是装备与管理系統对话的标准,包括装备硬件信息规范、装备系统信息规范、装备应用软件信息规范、检材信息规范、用户信息规范、取证标注规范、取证报告规范等。

3.3 业务管理精细化

原先实验室业务管理是处于人工输入信息的状态,管理维度粗放。当装备物联化后,装备的信息、检材的信息、取证过程的大量信息都自动汇总。管理数据是真实可信的,管理方式就走向了智能化和规范化,而且管理粒度细化,无论从案件角度、检材角度、工作人员角度、装备角度,还是从实验室整体角度都能够有详尽的统计和展示,给管理工作带来质的飞跃。

在业务管理上,可以掌握各实验室的人员情况、装备情况、取证案件情况、流程实现情况。在细节方面,可以从一个人的角度,掌握其一段时间内受理的取证案件、处理的检材、花费的时间、出了几份报告、使用了哪些装备;也可以从装备的角度,掌握其有多少工作人员使用过、对接的检材、工作的时间、当前是否在线等,这样的管理工作粒度都是原先有的管理方式无法实现的。

3.4 取证知识共享化

长期以来,取证能力与个人能力是等同概念,个人在取证中形成的各种经验、方法与知识无法与他人共享。特别取证标注,是取证过程中取证人员智慧与取证内容紧密关联的知识,是很有价值的取证知识,原先都在各个案件中沉没,只为做报告,没有充分利用其价值。所以,需要建立标注标准,让工作人员在标注时就能够有标准遵循,同时装备能够将内容与标注同时汇总到管理中心,经过处理形成各种标注知识库,比如文件特征库、暗语库、敏感URL库等。同时,能够将这种知识库定期更新到各个装备中,这样每位工作人员都能够共享集体智慧,从而取证能力就不再只是个人能力,而是“个人能力+集体智慧”。

同样,工作人员的取证方法,特别是遇到新手机、新案件类型等问题时,特殊的取证方法就明显具备指导意义。此时系统就需要处理这个取证方法,形成取证方法的知识图谱,并汇总到管理中心。同样,能够将这种知识图谱分享给其它装备或工作人员,这样遇到该问题的其他工作人员就可以共享该取证方法,快速解决问题,从而整体上提高人员的取证能力。

取证脚本是取证软件能力的延伸,也是取证人员智慧的集中体现,且具备通用性和可利用性。通过汇聚大家的脚本,经过审核后,形成脚本库,也可以共享给其他取证人员,从而提高个人的取证能力,节省时间,提高效率。

3.5 取证能力基层化

取证知识汇聚经过处理后形成各种取证知识库:取证方法库、取证脚本库、文件特征库、暗语库、敏感URL库等。这些知识库可以通过平台下沉给各个取证装备,从而实现集体智慧的分享。

上级机关的实验室分中心可以建设分布式的取证系统,以便开展专家会诊、协同作战、远程协助等工作。这样,基层在遇到疑难案件时,可以把镜像传给该系统,专家能力和装备能力就下沉到基层。

基层单位需要提升取证能力,起到取证初检的作用,做到装备上数据取证一键化,检查报告简要配置化,同时又能满足取证规范,这样就可以承担简单案件的取证工作,减轻上级取证压力。

3.6 取证方法智能化

随着取证任务越来越重,取证对象越来越广泛,会有不少工作人员缺乏经验,无法满足取证工作要求。为此,需要将取证方法智能化,让多数案件的电子取证变成一个基本能力。

取证方法智能化包括自动化取证(简化取证操作流程尽可能减少人工操作干预)、策略可配置(根据案件性质和检材类型及系统配置可以选择后自动推荐取证策略)、向导式取证(通过取证知识库引导一键式完成取证分析工作)。

3.7 取证技术前沿化

电子取证3.0时代,主要特征是云取证、“互联网+物联网”“大数据+人工智能”,那么取证技术也就围绕着这些方面开展新技术的研究与突破,如表1所示。

3.8 取证分析情报化

电子数据是一种高价值高密度的数据,结合其它信息资源库,可实现深度的数据挖掘、关联分析,进行人员身份的确认、线索扩展等工作,重点体现在对实体的画像,如案件画像、人物画像、虚拟身份画像和物品画像。其中,物品画像主要是手机画像和银行卡画像,比如刻画出人物的涉案关系人、可疑群、涉案中间人、社会关系、可疑经济往来、轨迹分析等,以及多个涉案人员间的共同出现案发现场、交叉使用账号、共同出现地点、共同交易对象、共同身份标识、共同群组及关系圈等。

同时,随着大数据平台的建立,需要将大数据平台数据与前端取证数据的融合,将大数据平台强大的数据资源和分析结果支撑到取证前端,弥补取证数据分析中线索难以落地、人物刻画不全面、人员关系单一等弱点,以实现大数据条件下的取证情报分析能力的巨大提升。

3.9 取证人才专业化

人才队伍体系建设注重人才培训和专家培养,通过强化对取证技术人员、运维管理人员的培训、交流和实验演练,培养既懂技术又熟悉业务的复合型人才。以实战成效为标准,进行遴选和动态管理,形成动态稳定的专家队伍及核心技术团队。

4 结束语

通过建立高标准的“九化”电子数据勘查取证分析实验室,可以满足业务需求和实战需要,以应对电子数据取证能力体系化、实战化、规范化和大数据应用能力建设,并提高取证对抗、云取证、物联终端取證和取证溯源等新技术研究,打造与维护网络空间安全相适应的电子数据实战能力,引领电子数据规范化发展,进一步提升电子数据取证在维护网络空间主权、安全和发展利益中的作用。

参考文献

[1] 魏平平.计算机网络实验室建设的初探[J].科技资讯,2011(01):241-241.

[2] 王璐.计算机取证实验室建设的研究与探讨[J].理论研究,2013(7):88-90.

[3] 高春芳,罗燕. 论电子物证取证存在的问题及对策[J]. 楚天法治.2017(7):186-186.

[4] 王宝章.浅析基层公安机关电子数据取证中的问题及对策[J].福建电脑,2016,32(9):72+155.

[5] 蔡宁,黎常.知识分享及其研究理论基础[J].情报科学,2017(1):31-36.

[6] 吴绍兵.云计算环境下的电子证据取证关键技术研究[J].计算机科学,2012(39):139-142.

[7] 付忠勇,赵振洲.电子取证现状及发展趋势[J].计算机与网络,2014(10):67-70.

[8] 王玲,钱华林.计算机取证技术及其发展趋势[J].软件学报,2003,14(9):1635-1637.

[9] 赵庸,滕达.电子数据取证实验室发展趋势研究[J].电信科学,2010(S2):88-93.

[10] 李进.公安院校计算机取证实验室建设研究[J].西南民族大学学报,2009,35(3) :616-618.

作者简介:

江汉祥(1971-),男,汉族,福建柘荣人,北京大学,硕士,高级工程师;主要研究方向和关注领域:电子数据取证与数据分析。

张辉极(1980-),男,汉族,福建厦门人,厦门大学,本科,工程师;主要研究方向和关注领域:电子数据取证与人工智能技术。

猜你喜欢
装备实验室能力
港警新装备
电竞实验室
电竞实验室
电竞实验室
电竞实验室
《中小学实验与装备》2017年总目次
你的换位思考能力如何
你的沟通能力很好吗?
当主播需要什么装备?
演习中的阅兵装备