国标中电子取证相关要求及综述

应急/司法举证关注什么?国标对于电子取证有哪些明确要求?

在进行下面之前,我们需要了解下现行国家标准中提及的有关取证需要关注重要点。这里我们参考的国标有:

  1. GB/T 29360-2012 《电子物证数据恢复检验规程》
  2. GB/T 29361-2012 《电子物证文件一致性检验规程》
  3. GB/T 29362-2012 《电子物证数据搜索检验规程》
  4. GB/T 31500-2015 《信息安全技术 存储介质数据恢复服务要求》
  5. GB/T 39321-2020 《电子合同取证流程规范》即将实施状态

电子物证文件一致性检验规定

参考GB/T 29361-2012 《电子物证文件一致性检验规程》相关内容。

软件工具要求:

要有具有计算哈希值功能的软件

操作步骤规定:

  1. 检材及样本编号:对送检的检材(样本)进行唯一性编号;

  2. 检材及样本拍摄:对送检的检材(样本)加上唯一性编号进行拍照

  3. 检验

    1. 启动杀毒软件对物证检验工作站系统进行杀毒
    2. 将检材数据文件和样本数据文件进行保全
    3. 使用软件工具分别计算检材数据文件和样本数据文件的哈希值
    4. 哈希值的计算方法按照软件工具使用说明书进行操作
    5. 比较检材数据文件和样本数据文件的哈希值。两个哈希值相同,则可以判断两个文件的数据相同;两个哈希值不同,则可以判断两个文件的数据不同。

检验结论的表述

经对编号为“n”的检材与编号为“m”的样本使用rr软件工具进行技术检验后,两个文件的数据相同(或不同),其HH哈希值分别为:

a)编号为“n”检材的哈希值:hhn;

b)编号为“m”样本的哈希值:hhm;

数据恢复相关规定

参考GB/T 29360-2012 《电子物证数据恢复检验规程》

软件工具要求:

具有数据恢复功能的软件

操作步骤规定:

  1. 检材及样本编号:对送检的检材(样本)进行唯一性编号

  2. 检材及样本拍照:对送检的检材(样本)加上唯一性编号进行拍照

  3. 检材及样本保全备份:对具备保全条件的检材(样本)进行保全备份

  4. 检验

    1. 启动杀毒软件对电子物证检验工作站系统进行杀毒
    2. 将检材(若已保全,使用保全的存储设备)通过只读方式连接到电子物证检验工作站
    3. 计算检材(样本)的哈希值
    4. 根据检验要求,使用软件工具进行数据恢复
    5. 恢复数据文件方法应按照软件工具使用说明书进行操作
    6. 将恢复的数据进行筛选后复制到检验专用存储介质中

  6. 检出数据刻录

    1. 将检出数据刻录在不可擦写的空白光盘上,应采用封盘刻录
    2. 计算光盘的哈希值
    3. 对光盘进行唯一性编号
    4. 贴上盘签。盘签应注明检验单位名称、光盘编号、光盘哈希值、光盘制作日期等;应加盖检验鉴定专用章

  8. 检验结论的表述

经对编号为“al”至“an”的检材使用rr软件工具进行技术检验,检验结果如下:

在检材ai中检出与yy有关数据文件mm个,大小合计bb。检出的数据文件刻录在编号为gg光盘中,该光盘的HH哈希值为hh。

数据恢复服务规定:

术语与定义注意:

  1. 硬件故障:由于存储介质硬件损坏而造成数据无法访问的故障,一般是指电路故障、机械故障、固件故障、存储介质缺陷等。
  2. 软件故障:由于存储介质中用户数据损坏而造成数据无法访问的故障,一般是指操作系统故障、应用软件故障、用户误操作、计算机病毒破坏等
  3. 开盘修复:打开硬盘盘体或拆取存储芯片,排除存储介质硬件故障的操作
  4. 数据销毁:使用覆盖、消磁等技术手段,清除存储介质上所有数据的操作

服务条件要求

  1. 从业机构

从业机构应符合如下要求:

a)应具有合法经营资格和专业的技术团队

b)应制定管理只读并采取防止数据泄露的技术措施保护客户数据安全

  1. 从业人员

从数据恢复服务的人员应具备如下条件

a)遵守管家法律法规,与从业机构签署劳动合同和保密协议,承担保密义务

b)具有良好的计算及应用知识,熟悉计算机系统结构、数据存储原理等专业知识

c)实施存储介质软件故障恢复的技术人员应账务各种高应用操作系统、文件系统的基础理论知识和相关软件和设备使用方法,具有处理软件故障的能力

d)实施存储介质硬件故障恢复的技术人员应掌握各类电路板、硬盘结构、存储芯片的基础理论知识和相关软件和设备使用方法,具有处理硬件故障的能力。

  1. 服务场所及机房

    1. 服务场所
      1. 数据恢复服务机构应具有独立的、面积适宜的、配备相关设备和消防设施的服务场所;应根据不同的功能划分相互独立的客户接待区、机房和管理办公区。
    1. 机房
      1. 数据恢复服务机构应具备独立的机房,专门用于数据恢复的技术实施。实施硬盘开盘操作应当在不低于六级洁净登记的洁净环境中进行。洁净环境建设应按照GB 50073-2001,机房建设要求应按照GB 50174-2008.

  6. 设备配置

表1数据恢复服务软、硬件工具基本配置要求

序号 工具类别 配置要求
1 数据恢复工作专用计算机及配套设备 a)配置基本的正版操作系统和正版软件工作环境及必要的硬件配套设备;b)写保护设备必须有明确的写保护方向标识必备
2 数据镜像工具 必须具有写保护功能,或该工具的物理接口可以与写保护设备相连必备
3 数据销毁工具 必须支持逐比特数据覆盖功能必备
4 软件操作工具 配置正版的软件工具,包括文件系统恢复工具、数据文件恢复工具、十六进制编辑工具等必备
5 备件 应具备可用于硬件故障恢复的,可替代存储介质故障部分的零部件等备品备件硬件故障恢复必备
6 硬件操作工具 洁净工作台、显微镜、开盘工具、焊接设备、固件操作工具、万用表等硬件故障恢复必备

服务过程要求

  1. 概述

存储介质数据恢复的实施过程可氛围介质接收、介质检测、数据恢复、数据交付、数据销毁5个主要环节,其主要工作内容包括:

a)介质接收:接收存储介质并记录存储介质情况

b)介质检测:判断存储介质故障类型,制定数据恢复方案

c)数据恢复:排除存储介质故障,提取可用数据

d)数据交付:将数据恢复结果交付给客户

e)数据销毁:销毁数据恢复结果和数据恢复过程中产生的所有相关数据信息。

上述各环节负责人应对操作及结果进行记录并签字。

  1. 介质接收

介质接收环节的实施要求如下:

a)检查送修存储介质,记录其基本情况,包括类型、品牌、幸好、序列号及外观特征

b)指导客户描述送修存储介质的故障现象,包括故障出现前后的操作、故障表现,并记录上述信息

c)指导客户描述需要恢复的数据特征,并记录上述信息

d)告知客户数据恢复实施的相关风险及结果、客户及数据恢复服务机构的职责

e)客户与数据恢复服务机构应签署服务协议,协议基本内容包括存储介质的基本情况、修复需求、修复风险及各方责任和义务。

  1. 介质检测介质检测环节的实施要求如下:

    1. 检测送修存储介质故障类型,判断本机构是否具备实施条件,若不具备实施条件,应中止数据恢复操作并返还给客户送修存储介质,并对客户说明无法实施的原因;
    2. 对于具备实施条件的,应根据故障类型制定恢复方案,方案包括技术路线、使用方法、软硬件工具、人员时间安排和操作方法等。

  3. 数据恢复数据恢复环节的实施要求如下:

    1. 根据存储介质检测结果实施数据恢复操作,需要实施硬盘开盘操作应获得客户书面授权,并在符合要求的洁净环境中实施;
    2. 当存储介质可正常读取后,采用写保护措施对原始存储介质实施镜像,镜像完成后,软件故障的排除需要在镜像数据上进行;
    3. 恢复出的可用数据需保存在专用数据存储设备中,不得覆盖镜像数据或客户的原始数据;
    4. 实施远程数据恢复时,双方均需在符合本标准机房要求的环境中进行,并由专人相互配合,共同完成数据恢复技术操作;
    5. 实施远程数据恢复时,需采取保证系统安全及信息传输安全的技术措施;
    6. 应对原始数据进行保护,不得更改和删除原始存储介质上的数据。

  5. 数据交付数据交付环节的实施要求如下:

    1. 数据恢复实施方案完成后,需根据客户描述确认数据的可用率,并将结果如实告知客户,由客户对恢复结果进行确认;
    2. 将数据恢复结果按照客户指定方式进行数据交付;
    3. 数据交付时,应完整归还客户送修的存储介质。

  7. 数据销毁数据销毁环节实施要求数据交付完成后,应根据协议约定及时销毁数据恢复结果及操作过程中产生的所有相关数据信息。

服务管理要求

  1. 人员人员管理要求:

    1. 人员管理应当权责分明,对所有人员定岗定责;
    2. 数据恢复服务机构有义务对员工进行职业道德教育和技能培训,每年至少两次,并对培训过程及结果进行记录。

  3. 设备数据恢复设备管理要求:

    1. 应建立设备维护和管理制度;
    2. 所有设备应做到专机专用,不得安装使用与数据恢复无关的应用程序;
    3. 在数据恢复过程中,除用于远程数据恢复的计算机外,其他设备不得连接互联网;
    4. 未经批准,不得改变现有设备的配置。对软硬件配置的重大变更,应先形成方案文件,经讨论并获得相关负责人批准后,由具备资格的技术人员进行更改,并保留更改和操作记录;
    5. 未经批准,不得在现有设备网络中加入外来移动存储介质;
    6. 未经批准,不得将存储介质带出机房;
    7. 通过网络传输的数据文件需要经过加密;
    8. 专用设备只能由指定人员进行操作;
    9. 定期检测设备运转情况,进行必要的升级维护,保障设备运转正常。

  5. 机房机房管理要求:

    1. 机房应安装门禁系统,只允许数据恢复工作人员进入,其他人员进入需要经过审批;
    2. 机房应安装录像监控系统,监控范围应覆盖整个机房,且录像记录应至少保存1个月;
    3. 机房应对不同功能区域进行物理划分,并建立访问登记制度;
    4. 确定责任人定期检查机房设备设施的运转情况,查验相关日志信息,及时排查故障隐患;
    5. 机房内的资料、数据、配置参数等信息应妥善保管,未经批准不得以任何形式提供给其他无关人员。

  7. 存储介质存储介质管理要求:

    1. 存储介质管理包括客户盘、工作盘、备件盘;
    2. 存储介质管理应遵循易取易存原则,集中存放、分类管理,应建立专用的存储介质库并安排专人管理;
    3. 应建立存储介质档案,对存储介质逐一编号,详细记录其品牌、型号、容量、序列号及性能等信息;
    4. 客户存储介质应粘贴唯一性标签,同一工作单的客户存储介质应集中放置一处,并在专门防磁、防静电的存储环境中保存;
    5. 存储介质管理员负责对存储介质库的维护和管理工作,应建立出入库登记制度,并定期盘点。

  9. 质量控制

    1. 抽查
      1. 应制定并实行质量抽查制度,按月对数据恢复进度和结果以及服务承诺进行抽查,抽样数量不低于当月总业务量的5%,抽查结果应详细记录。
    1. 投诉处理
      1. 应建立良好的投诉处理机制:
        1. 应在网站和服务场所显著位置公布投诉电话,为客户提供投诉渠道,包括邮件、电话、信函和面谈等形式;
        2. 接受客户投诉时,需记录并核对如下信息:投诉人的姓名、地址和联系方式、投诉的原因、目的、要求等投诉细节;
        3. 受理投诉后,应核实投诉人所叙述的投诉细节是否属实,对于投诉属实的应确定相关事件责任人,并组织整改。
    1. 客户回访数据恢复服务完成后,应对客户进行回访,了解数据恢复服务质量,并根据回访情况实行服务改进。

电子证据检索规定

参考GB/T 29362-2012 电子物证数据搜索检验规程 中提到了关于电子物证数据检索的规定:

术语定义注意:

  1. 文件搜索:根据已知内容或关键字对送检存储设备或介质的数据文件进行搜索检验;
  2. 物理搜素:根据已知内容或关键自对送检存储设备或介质的二进制数据进行搜索检验;
  3. 保全备份:对原始数据进行完整、精确、无损的备份。

电子物证数据搜索检验仪器设备要求:

  1. 硬件上存储介质、保全备份设备、具有只读接口的电子物证检验工作站;
  2. 软件要求具有数据搜索功能的软件、操作系统提供的资料(文件)管理器等。

对于操作步骤的要求:

  1. 检材及样本编号:对送检的检材(样本)进行唯一性编号;

  2. 检材及样本拍照:对送检的检材(样本)加上唯一性编号进行拍照;

  3. 检材及样本保全备份:对具备保全条件的检材(样本)进行保全备份

  4. 检验:

    1. 启动杀毒软件对电子物证检验工作站系统进行杀毒
    2. 将检验(样本)(若已保全,使用保全的存储设备)通过只读方式链接到电子物证检验工作站
    3. 计算检材(样本)的哈希值
    4. 根据检验要求,使用软件工具进行文件搜索或物理搜索
    5. 搜索数据应按照软件工具使用说明书进行操作
    6. 将搜索结果按检验要求筛选后复制到检验专用存储

检出数据刻录:

  1. 将检出数据刻录在不可擦写的空白光盘上,应采用封盘刻录
  2. 计算光盘的哈希值
  3. 对光盘进行唯一性编号
  4. 贴上盘签。盘签内容应注明检验单位名称、光盘编号、光盘哈希值、光盘制作日期等;应加盖检验鉴定专用章

检验结论的表述:

经对编号为“ai”~“an”的检材使用rr软件工具进行技术检验,检验结果如下:

在检材ai中检出与yy有关数据文件mm个,大小合集bb。检出的数据文件刻录在编号为gg光盘中,该光盘的HH哈希值为hh。(或在检材ai中未检出与yy有关的数据文件。)

结论综述:

从国标的技术要求和规定来看,可以看到国标中对电子取证的规范性、权威性提出了一定的要求和规定,尤其是数据恢复服务资质、条件,电子证物的保全、证据检索固定的规范做了比较明确的规定。而对于软件工具的具体产品型号并没有强制的限定。

根据国标的规定,还可以看出电子证物的取证分析数据恢复等,是一系列非常严谨的工作,需要占用和消耗大量的时间和精力规划和布局相关工作流程,相关人员培养。

因此,对于日常安全运营,我们更多的是参考行业对于应急响应专项排查中提到相关重点内容排查方法进行排查。没有相关资质和经验的个人和公司,并不能胜任司法级别的电子取证固定工作。