赵庸 中国计算机取证发展展望 20160817

白帽子

2019/03/21 发布于 技术 分类

文字内容
1. 国内计算机取证发展 历程与展望 美亚柏科信息股份有限公司 赵庸 2016.8.17 1
2. 国内电子数据取证技术的发展历程 发展 内容 安排 现状 展望 国内电子数据取证技术及产业现状 电子数据取证技术及产业的发展规划不展望 2 2
3. 国内计算机取证的发展历程 Part 01 3
4. Part 01 国外计算机取证的发展 早在上世纪80年中期,计算 机取证技术就已开始在执法 联邦调查局(FBI),司法部(NIJ),缉毒局(DEA) 等多家执法部门,根据权限分别设立了电子数据取证的 与门机构。 部门和军队中使用。1999年, 电子数据取证的商用工作开 英国内政部设立有网络犯罪调查部门,其电子数据取证 始出现,当时,EnCase这 机构的特点是全部社会化。 一开创性的取证工具,在国 际计算机调查专家会议 IACIS上第一次被介绍。 2004年,国家警察厅建立了数据证据分析中心 (Center of Digital Evidence Analysis)进行电子数 据取证工作。 4 4
5. Part 01 国内计算机取证的发展 Floor Plan 香港警务处计算机 取证实验室 (2001年) 5
6. Part 01 香港警务处计算机取证实验室 Data Cloning Area Working Benches 6 6 Data Viewing Room Network Forensics Studio
7. Part 01 国内计算机取证的发展历程 2012 取证大数据阶段 第五阶段 取证“云”平台阶段 (云架构) 第四阶段 2010 2006 2004 1999 区域合理规划阶段 (实验室标准化) 功能完善阶段 (单兵模式) 第三阶段 第二阶段 起步阶段 (单一软件) 8
8. 第一阶段(起步) Part 01  1999年 第一款计算机取证工具EnCase诞生  2002年 国内首款“计算机取证勘查箱”诞生(美亚柏科) • 各类型只读接口 • 美国Logicube SF500、ICS Solo2 • Encase取证分析系统; 9
9. 第二阶段(功能完善) Part 01 功能完善阶段(2004、2005年) • 摆脱原来的单兵工作模式; • 开始出现角色的概念; • 区域由“大单间”向“多分割”方向发展; • 简单的访问权限控制初现; • 无尘环境丌具备。 10
10. Part 01 第二阶段 该阶段计算机取证技术成功应用的典型案例 马加爵案件 11 11
11. Part 01 第二阶段 该阶段计算机取证技术成功应用的典型案例 12 12
12. 第二阶段(功能完善) Part 01 国内尝试研发取证设备及软件,国内外设备混用阶段 • 硬件设备: • 分立设备(SF5000、SOLO II、DC8100/8200、勘查箱、大量只读锁) • 大量转接卡(IDE、SCSI) • 简单整合 • 软件: • • • • • • EnCase v4 FTK v2.0 DiskForen PDA Seizure DNA 2.0 AN 6 具有中国特色的“鉴定流程审计监管”概念产生 13
13. Part 01 第三阶段(实验室阶段) 规范化管理阶段(2006-2010年)  摆脱原来的流水工作模式;  开始逐步符合司法规范;  功能由“慎独”向“可控、可审”方向发展;  角色丰富,管理  更趋亍规范、严格。  无尘室被重视。 14
14. Part 01 第三阶段(实验室阶段) 取证设备及软件  硬件设备  复制设备:SOLO III、DC8101、勘查箱  只读设备:有机整合,形成桌面模块  工作台与业化明显  无尘工作台  秱劢勘查取证综合平台:FL150/200  软件  EnCase v5汉化  FTK v2  Cell Seizure/safemobile/DC-4500  DNA 2.3/Rainbow Table  AN 7  案件管理系统成形 国内首个国家级计算机取证实验室 15
15. 第三阶段(实验室阶段) Part 01 国产取证设备及软件逐渐丰富,功能逐渐完善,实验室开始大规模建设  硬件设备:  复制设备:TD1、SOLO IV、DC8200pro、勘查箱  只读设备:DC8750pro功能强化和完善  100级无尘工作室  取证设备:FL-800、DC8000pro、FL200pro、仿真、破解、在线取证  软件  EnCase v6  FTK v3  Device Seizure/safemobile/DC-4500a  DNA 3/ATT1000pro/Elcomsoft  AN 8  X-ways  取证大师(FM2008)、SafeAnalyzer  案件管理系统:加入检材管理、光盘归档刻录打印 16
16. 实验室建设指导规范 Part 01 建筑装饰 GB 50174-2008 电子信息系统机房设计规范; 环境要求 GB 50116-2006 火灾自劢报警系统设计规范; 温湿度 GB 50016-2006 建筑设计防火设计规范; 电磁干扰 GB 50015-2010 建筑给排水设计规范; 磁场 GB 50057-2010 建筑物防雷设计规范; 振劢 GB 50343-2012 建筑物电子信息系统防雷技术规范;静电 GB 50222-2001 建筑内部装修设计防火规范; 噪声 GB 50019-2002 采暖通风不空气调节设计规范; 洁净度 GB 50311-2009 综合布线系统工程设计规范; 电气要求 GB 50073-2001 洁净厂房设计规范; GB 。。。。。。 建筑面积 按级别要求 位置选择 建筑结构 采光 高度 排风 用水 网络 消防 防雷 检验鉴定 损坏存储介质检验 数据恢复 数据搜索 文件一致性检验 软件功能性检验 软件一致性检验 时间属性检验 电子邮件检验 上网记录检验 即时通讯检验 日志检验 数据库检验 实验室需有界定的术语和定义 现场勘验 电子物证提取不固定 现场保全备份 易丢失数据提取 密码破解 手机检验 信息应用 手机信息关联分析 社交网络信息挖掘库分析 基础建设 手机样本库 硬盘录像机样本库 硬盘样本库 《公安机关网安部门电子物证检验鉴定实验室装备分级标准》 《公安机关网安部门电子物证检验鉴定实验室能力分级标准》 能力 要求 国家级 一级 数据 固定 √ √ 数据 提取 √ √ 远程 提取 √ √ 数据 发现 √ √ 数据 解密 √ √ 数据 解码 √ √ 数据 分析 √ √ 二级 √ √ - √ √ - √ 三级 √ √ √ √ 程序 分析 √ - 实验室 管理 √ √ √ 实验室建设需有分级: 国家级实验室 5名鉴定人 一级实验室 4名鉴定人 二级实验室 3名鉴定人 三级实验室 3名鉴定人 基本配置 场地要求 国家级 一级 二级 三级 操作区 行政区 200 90 160 60 120 45 独立 独立 17
17. Part 01 第四阶段 “于”阶段(2010年开始)  全面提升技术手段和设备能力;  “绿色”超算;  功能由“单中心”向“分布式”方向发展;  远程协劣、会诊、技术支持得以实现;  数据关联查询分析;  远程取证;  邮件取证;  QQ群信息查询;  取证GPS;  网络舆情、热点分析;  基础信息查询。 18
18. 第四阶段 Part 01 国产取证设备及软件全面替代国外产品,产品线丰富  硬件设备:  复制设备:第亐代复制设备13G/min、支持SAS  只读设备:DC8750pro超级只读模块  100级无尘工作室  取证设备:取证魔方、取证精灵、 FL800取证塔、破解( ATT5000pro/极光II)、在线取证  软件  EnCase v6  FTK v3  Device Seizure/safemobile/DC-4500pro  DNA 3/ATT1000pro/Elcomsoft  AN 8  X-ways  取证大师(网络版、标准版、现场版)、SafeAnalyzer  实验室认可需求,案件管理系统:向认可靠近,加入预检功能 19
19. 国内电子数据取证技术 及产业现状 Part 02 20
20. Part 02 信息技术发展状况  信息技术和信息产业的迅速发展,对我国国民经济和社会发展的各个领域都产生了广泛而深 远的影响。  亏联网中心统计报告,戔至2015年5月,我国网民规模达到6.68亿,手机网民5.94亿。  电子数据已成为司法机关获取破案线索和诉讼证据的重要来源。  因此,从法律、规范、应用等多个领域开始对计算机取证技术和应用做出了系统性的支持。 21
21. Part 02 法律依据 《中华人民共和国刑事诉讼法》 物证 书证 证人 证言 被害 人陈 述 犯罪 嫌疑 人、 被告 人供 述和 辩解 鉴定 意见 勘验、 检查、 辨认、 侦查 实验 等笔 录 视听 资料、 电子 数据 22
22. Part 02 规范文件 《GT/A 825-2009 电子物证数据搜索检验技术规范》 《GT/A 826-2009 电子物证数据恢复检验技术规范》 《GT/A 827-2009 电子物证文件一致性检验技术规范》 《GT/A 828-2009 电子物证软件功能检验技术规范》 《GT/A 829-2009 电子物证软件一致性检验技术规范》 23
23. Part 02 应用领域 刑事案件的侦查取证和诉讼 民事案件的举证和诉讼 行政诉讼案件的举证和处理 企业内部调查 24
24. 实验室认可 Part 02  中国合格评定国家认可委员会(英文名称为:China National Accreditation Service for Conformity Assessment 英文缩写为:CNAS),是根据《中华人民共 和国认证认可条例》的规定,由国家认证认可监督管理委员 会批准设立幵授权的唯一的国家认可机构,统一负责实施对 认证机构、实验室和检查机构等相关机构的认可工作。  国家权威认可机构对实验室具备实施特定检测(如:司法鉴 定、法庭科学)工作能力的一种正式承认。  提高了鉴定机构的管理水平不技术能力,其技术能力和所出数 据均可得到国家以及全球一百多个其它国家/地区戒认可机 构所承认。 25
25. Part 02 实验室建设情况 美亚柏科已在全国建设781个实验室 (戔止2016年7月) 公检法:700个 工商:31个 院校:25个 其他:25个 26
26. Part 02 取证技能培训 国内培训 美亚 培训 执法机关培训 公 安 海 关 工 商 检 察 证 监 武 警 纪 委 网 信 办 部 队 税 务 院 校 其 他 国际培训 东 盟 中 亚 其 他 27
27. 产业状况 Part 02 • 产业定位:信息安全(戒网络空间安全) 相关领域。 • 产业规模: • 从业企业:100+家 • 市场空间:11.3亿元 • 科研院所:20+家 • 市场培育: • 每年相关会议、论坛、峰会:10+个 • 参会及游客:10000+人 • 中国电子学会计算机取证与家委员会是全 国第一个与业委员会。(丁丽萍2004年筹 组,2005年第一次会议,北京人民警察学 院) 28
28. Part 02 产业问题 1. 同质化问题: 门槛丌高:没有准入制度,良莠丌齐 基础丌实:基础研究的投入普遍丌足 创新乏力:抁袭、仿制阻碍创新劢力 瓶颈阻碍:重点、难点问题突破很难 2. 产业规模: • 从业企业:100+家 • 市场空间:11.3亿元 29
29. 电子数据取证技术及产业 的发展规划与展望 Part 03 30
30. Part 03 新形势下的背景 新发展阶段 产业革命与变革 31
31. Part 03 市场规划 一、取证技术衍生出来的增值服务: 1、电子数据司法鉴定服务; 2、企业计算机取证不调查服务; 3、电子数据取证与家咨询服务; 4、信息保全不证据保全服务。 二、取证产品拓展新市场: 拓展新行业和领域;沿着国家“一带一路”戓略指导,走向国际市场。 32
32. Part 03 大数据背景下的计算机取证展望 产品装备化、系统平台化 产品装备化,涵盖了取证全流程的装备化产品,服务亍丌同阶段的取证需求。系统平 台化涵盖整合多渠道数据、规范业务标准、规范数据标准等工作,实现各种电子数据 的纵向逐层汇聚,横向数据共享、协同工作的模式 数据分析智能化 发展 展望 人物的多维度刻画,运用图形可视化技术的数据可视化分析 大数据实戓分析思维,未来的数据分析模式 语义分析技术,数据分析的人工智能 实验室建设标准化 通过实验室建设标准化,实现电子数据鉴定技术、管理和法律的融合,使管理更加规 范,结论更加严谨。包括管理物联化、实验室亏联亏通协同工作、差异化的行业标准、 实验室认可认证资格认定。 取证大 数据平 台建立 与应用 更多新型电子设备的取证 物联网及智能设备取证:如车载设备、可穿戴设备、无人机等 芯片级取证 于环境下远程取证不存证技术 工业控制网络取证技术 33
33. Part 03 实验室大数据应用 计算机取证综合应用平台 应用 层 数据 搜索 在线 培训 协同 工作 鉴证云 服务接口、第三方能力支持 服务层 分类数 据标签 数据 中心 数据 仓库 能力 支撑 资源 支撑 提取、清洗、标识、关联、比对 预处理 数据 源 数据 分析 目标 刻画 实验室 数据 汇聚 数据 业务 数据 其它 数据 服务 支撑 34
34. Part 03 大数据展望 政府大数据开放 服务大众--关注民生及便民服务 网络空间大数据监管 服务行政执法部门--维护网络空间秩序 网络空间安全 服务司法机关--打击犯罪 促进 能力延伸 保 障 35
35. THANKS FOR YOUR TIME ! 2016 36