【319期-1】美國的電子數據取證標準

2021-02-15 電子物證

來源:電子數據取證與鑑定

美國的取證實驗室已經比較普及,至少有70%的法律部門都擁有自己獨立的實驗室,當有計算機犯罪案件被舉報,取證人員就會遵照取證的原則和步驟對現場的電子證據進行取證,帶回實驗室進行分析,從而重構計算機犯罪行為。因此,美國在電子數據取證方面的研究遠超於其他國家,美國國家標準與技術研究院、美國司法部、美國聯邦調查局的「數字取證科學組」和「圖像技術科學組、美國試驗與材料學會國際組織等機構制定了一系列電子數據取證相關的標準和規範。

一、美國國家標準與技術研究院(National Institute of Standards and Technology,NIST)

美國國家標準與技術研究院(NIST)成立於1901年,是一個非監管性質的聯邦部門,是美國測量技術和標準的國家級研究機構。NIST通過出臺標準和指南相結合方式為政府部門的取證管理規範提供支持,大部分已經出臺的文件都是指南的性質,不具備強制性,而是為政府部門的相關工作提供實施的思路和方法。NIST出臺的電子數據取證方面的標準和文件包括特別出版物(SP 800)系列和內部報告(IRs)系列等。

SP 800系列是指南文件,對聯邦政府部門不具備強制性,而只是提供一種供參考的方法或經驗。目前,SP 800系列與電子數據取證相關的標準有:

1、  2004年11月,NIST SP 800-72 《Guidelines on PDA Forensics》

2、  2006年8月,NIST SP 800-86 《Guide to Integrating Forensic Techniques into Incident Response》

3、2014年5月,NIST SP 800-101 Revision 1 《Guidelines on CellPhone Forensic》

內部報告系列主要向特定讀者描述相關技術方面的研究內容,包括向NIST的資助者(政府和非政府組織)提交的過程或最終報告。目前,內部報告與電子數據取證相關的有:

1、2004年8月,NISTIR 7100 《PDA Forensic Tools: An Overview and Analysis》

2、2005年10月, NISTIR 7250 《Cell Phone Forensic Tools: An Overview and Analysis》

3、2007年3月, NISTIR 7387 《Cell Phone Forensic Tools: An Overview and Analysis Update》

4、2008年8月,NISTIR 7516 《Forensic Filtering of Cell Phone Protocols》

5、2009年10月, NISTIR 7617《Mobile Forensic Reference Materials: A Methodology and Reification》

6、2014年1月, NISTIR 8006 《DRAFT NIST Cloud Computing Forensic Science Challenges》

此外,NIST為了制定相應的標準和規範,開展了包括計算機取證工具測試項目(Computer Forensics Tool Testing, CFTT)、國家軟體參考庫項目(National Software Reference Library,NSRL)以及電子證據參考數據集「Computer Forensic Reference Data Sets,CFReDS」的研究。其中,CFTT項目旨在為確保司法組織以及其他法律組織在電子數據取證中使用的工具有效性,而建立的一套關於取證工具的規格說明書、測試程序、測試標準、測試序列等的方法和標準體系,取證工具涉及磁碟鏡像工具、取證介質準備工具、防寫設備(軟體)、防寫設備(硬體)、數據恢復工具、移動終端取證工具、數據分析工具、數據搜索工具。NSRL項目負責建立一個包含各種軟體的文件以及數字籤名的目錄,以便在執法和數字取證時使用。CFReDS項目旨在讓信息安全事件的取證人員模擬電子數據勘查取證,也可用於檢驗鑑定設備的溯源。

二、美國司法部(National Institute of Justice,NIJ)

美國司法部在2001年後頒布了《計算機現場勘查指南》後,不斷資助相關領域的研究項目以促進電子證據取證,目前有效的標準有:

1、2004年4月,NIJ Special Report NCJ 199408 《Forensic Examinationof Digital Evidence: A Guide for Law Enforcement》

2、2007年1月,NIJ Special Report NCJ 211314 《Digital Evidence in the Courtroom: A Guide for Law Enforcement and Prosecutors》

3、2007年1月,NIJ Special Report NCJ 210798 《Investigations Involving the Internet and Computer Networks》

4、2007年10月,NIJ Special Report NCJ 213030 《Investigative Uses of Technology: Devices, Tools, and Techniques》

5、2008年4月,NIJ Special Report NCJ 219941 《Electronic CrimeScene Investigation: A Guide for First Responders》2nd Edition

6、2009年11月,NIJ Special Report NCJ 227050 《Electronic CrimeScene Investigation: An On-the-Scene Reference for First Responders》

三、「數字取證科學組」和「圖像技術科學組」

美國聯邦調查局的「數字取證科學組」(Scientific Working Group on Digital Evidence,SWGDE)和「圖像技術科學組」(ScientificWorking Group on Imaging Technology,SWGIT),成員包括聯邦調查局、國防部、美國國稅局、經濟情報局、海關等,開展包括電子證據獲取與分析技術、規範流程、質量管理體系等一系列標準與規範的制定,在數字取證領域享有盛譽。

1、2004年1月,《Guidelines & Recommendations for Training in Digital &Multimedia Evidence》2.0版本

2、2006年1月,《Proficiency Test Program Guidelines》1.1版本

3、2013年4月,《Digital & Multimedia Evidence Glossary》2.7版本

1、2006年4月,《Digital Evidence Findings》1.0版本

2、2008年1月,《Position Paper Standards and Controls》1.0版本

3、2008年1月,《Peer to Peer Technologies》1.0版本

4、2010年5月,《Min Req for QA in Proc Digital & Multimedia Evidence》1.0版本

5、2011年9月,《Core Competencies for Forensic Audio》1.0版本

6、2012年6月,<Best Practices for Portable GPS Device Examinations>1.0版本

7、2012年9月,《Model Quality Assurance Manual for Digital Evidence Laboratories》3.0版本

8、2012年9月,《Model Standard Operation Procedures for Computer Forensics》3.0版本

9、2013年2月,《Best Practices for Mobile Phone Examinations》2.0版本

10、2013年2月,《CoreCompetencies for Mobile Phone Forensics》1.0版本

11、2013年2月,《BestPractices for Vehicle Navigation and Infotainment System Examinations》1.0版本

12、2014年2月,《UEFI andits Effect on Digital Forensics Imaging》1.0版本

13、2014年2月,《ElectricNetwork Frequency Discussion Paper》 1.2版本

14、2014年6月,《EstablishingConfidence in Digital Forensic Results by Error Mitigation Analysis》1.4版本

15、2014年6月,《BestPractices for Examining Magnetic Card Readers》1.0版本

16、2014年9月,《Digitaland Multimedia Evidence (Digital Forensics) as a Forensic Science Discipline》2.0版本

17、2014年9月,《FocusedCollection and Examination of Digital Evidence》1.0版本

18、2014年9月,《BestPractices for Computer Forensics》3.1版本

19、2014年9月,《RecommendedGuidelines for Validation Testing》2.0版本

20、2014年9月,《BestPractices for Handling Damaged Hard Drives》1.0版本

21、2014年9月,《BestPractices for Forensic Audio》2.0版本

22、2014年9月,《Mac OS XTech Notes》1.1版本

23、2014年9月,《Capture ofLive Systems》2.0版本

1、2010年6月,Section 1 《Overview of SWGIT and the Use of Imaging Technology in the CriminalJustice System》3.3版本

2、2010年8月,Section 4 《Recommendations and Guidelines for Using Closed-Circuit TelevisionSecurity Systems in Commercial Institutions》3.0版本

3、2010年1月,Section 5 《Guidelines for Image Processing》2.1版本

4、2010年6月,Section 6 《Guidelines and Recommendations for Training in Imaging Technologiesin the Criminal Justice System》1.3版本

5、2009年1月,Section 7 《Best Practices for Forensic Video Analysis》1.0版本

6、2010年6月,Section 8 《General Guidelines for Capturing Latent Impressions Using a DigitalCamera》1.3版本

7、2013年9月Section 9 《General Guidelines for Photographing Footwear and Tire Impressions》1.0版本

8、2010年1月,Section 11 《Best Practices for Documenting Image Enhancement》1.3版本

9、2012年6月,Section 12 《Best Practices for Forensic Image Analysis》1.7版本

10、2012年1月,Section 13 《BestPractices for Maintaining the Integrity of Digital Images and Digital Video》1.1版本

11、2013年1月,Section 14 《BestPractices for Image Authentication》1.1版本

12、2012年1月,Section 15 《BestPractices for Archiving Digital and Multimedia Evidence (DME) in the CriminalJustice System》1.1版本

13、2013年1月,Section 16 《BestPractices for Forensic Photographic Comparison》 1.1版本

14、2012年1月,Section 17 《DigitalImaging Technology Issues for the Courts》2.2版本

15、2010年1月,Section 18 《BestPractices for Automated Image Processing》1.0版本

16、2011年1月,Section 19 《IssuesRelating to Digital Image Compression and File Formats》1.1版本

17、2012年1月,Section 20 《Recommendationsand Guidelines for Crime Scene/Critical Incident Videography》1.0版本

18、 2012年1月,Section 21 《Procedurefor Testing Scanner Resolution for Latent Print Imaging》1.0版本

19、2012年1月,Section 22 《Procedurefor Testing Digital Camera System Resolution for Latent Print Photography》1.0版本

20、2013年1月,Section 23 《BestPractices for the Analysis of Digital Video Recorders》1.0版本

21、2013年9月,Section 24 《BestPractices for the Retrieval of Digital Video》 1.0版本

四、美國試驗與材料學會國際組織(American Society for Testing and Materials International, ASTM)

成立於1898年的ASTM International (美國試驗與材料學會國際組織)是目前世界上最大的制定自願性標準的組織,也是美國為數不多的專注於標準制定工作的標準化機構。主要任務是制定材料、產品、系統、和服務等領域的特性和性能標準,試驗方法和程序標準,促進有關知識的發展和推廣。ASTM 標準分為六種類型:標準試驗方法(Standard Test Method)、標準規範(Standard Specification)、標準慣例(StandardPractice)、標準術語(Standard Terminology) 、標準指南(Standard Guide)和標準分類(Class.fication)。

電子數據取證專業隸屬於ASTM技術委員會E30下設分技術委員會E30.12《數字和多媒體證據》,目前已經發布的標準有:

1、 2009年,ASTM E2678-09 《Standard Guide for Education and Training in Computer Forensics》

2、 2010年,ASTM E2763-10 《StandardPractice for Computer Forensics》

3、 2012年,ASTM E2825-12 《Standard Guide for Forensic Digital Image Processing》

4、 2013年,ASTM E2825-12 《Standard Guide for Forensic Digital Image Processing》

     正在編制的標準有:

1、 ASTM WK45289 《New Specification for Establishing Confidence in Digital ForensicResults by Error Mitigation Analysis》

2、 ASTM WK46449 《New Guide for Core Competencies for Mobile Phone Forensics》

3、 ASTM WK46469 《New Practice for Examining Magnetic Card Readers》

五、計算機犯罪與智慧財產權處(Computer Crime & Intellectual Property Section,CCIPS)

計算機犯罪與智慧財產權處(CCIPS)隸屬於美國司法部的刑事犯罪部門,主要負責調查計算機犯罪(黑客,病毒,蠕蟲)和智慧財產權犯罪,專門從事計算機和網絡上的數字證據的搜查和扣押。目前CCIPS的文件包括:

1、 2006年9月,《Prosecuting Intellectual Property Crimes》第三版

2、 2009年9月,《Searching & Seizing Computers and Obtaining Electronic Evidencein Criminal Investigations》第三版

3、 2010年10月,《Prosecuting Computer Crimes》

六、美國特勤局(UnitedStates Secret Service,USSS)

美國特勤局(USSS)是美國聯邦政府的執法機構,隸屬於美國國土安全部。該機構的主要管轄權是預防和調查對美元和債券的偽造,以及保護總統、副總統等重要人員和國土安全部指定的國家特別安全事件。同時,該機構還負責跟蹤調查各種金融詐騙犯罪的相關嫌疑人,並為一些地方犯罪的調查提供協助。特勤局和電子數據取證相關的規範有:

1、 2002年,《Best Practices for Seizing Electronic Evidence》第一版

2、 2003年,《Best Practices for Seizing Electronic Evidence》第二版

3、 2007年,《Best Practices For Seizing Electronic Evidence v.3 - A Pocket Guidefor First Responders》

七、美國網際網路供應商協會(United States Internet Service Provider Association,US ISPA)

美國網際網路供應商協會(US ISPA)為保障網際網路服務供應商的合法權益,指導成員處理具體法律事務,頒布了以下文件:

1、2003年,《Electronic Evidence Compliance: A Guide for ISP》

2、 2010年,《Internet Service Provider Law Enforcement Subpoena Response SoundPractices Guide》

相關焦點

  • 電子取證行業龍頭美亞柏科深度解析:大數據智能化專家
    1、子行業發展歷程美亞柏科(300188.SZ)自成立以來深耕電子數據取證及大數據智能化業務,已成長為國內電子數據取證行業龍頭和公安大數據領先企業、網絡空間安全及大數據智能化等領域專家,業務覆蓋全國各省、市、自治區及部分「一帶一路」沿線國家,是全球電子數據取證行業兩家上市企業之一
  • 電子數據取證在市場監管執法辦案中的運用
    電子數據是《行政訴訟法》法定的一種證據類型。原工商總局於2011年專門下發了《關於工商行政管理機關電子數據證據取證工作的指導意見》,對電子證據的定義、取證原則、取證方式、取證程序,以及詢問筆錄和檢查封存的要求作了框架性規定,但目前仍未制定具有可操作性的電子數據取證細則規範,加上基層缺乏專業人員、缺少專業設備和鑑證輔助,嚴重影響了涉及電子數據取證案件的查辦。
  • 電子數據取證應注意的幾個問題
    從辦案實踐來看,職務犯罪一般具有犯罪行為隱蔽、言詞證據穩定性差、可供調查的犯罪現場少等特點,這也決定了通過電子數據來取得案件突破、固定犯罪證據的必要性。電子數據雖然在職務犯罪案件的調查工作中發揮著重要作用,但該類證據在物質形態、存在方式及外在特徵等方面均有別於傳統證據類型,因此,在獲取電子數據作為證據使用時,應注意以下幾方面問題。一、注意電子數據收集的真實性。
  • 取證小知識1-10
    取證小知識系列,最早是我2017年在另一個公眾號以及美亞美課APP發布的一系列電子取證相關的簡短資料,當時堅持了幾十期,後來因為各種原因停止了。
  • 第二屆全國電子數據取證大賽章程及案例背景
    一、大賽介紹為進一步推進電子數據取證技術的國際經驗交流,提高電子數據取證能力水平,促進我國電子數據調查取證技術發展
  • 這些電子數據取證高手都是誰?(第二期)
    為推動《電子商務法》等法律法規應用進一步提高執法辦案隊伍能力首屆全國市場監管系統執法辦案電子數據取證大比武活動即將開幕全國30支代表隊選拔精英骨幹厲兵秣馬將於2020隊伍簡介:參加本屆市場監管系統電子取證大比武河南隊員由基層一線電子取證執法精英人員組成,重在通過學習、加強交流、提升能力,進一步提升監管執法人員電子取證及實際操作能力。成員介紹:劉長斌(領隊),鄭州市市場監督管理局網絡交易監管分局一級主辦 。
  • 電子數據取證大比武賽後,看看他們怎麼想!
    在這次大比武活動中,我有幸能夠與全國各地的取證執法高手同臺競技,了解到兄弟省份已經依靠採集固定的電子數據證據屢破大案,看到了我們與兄弟省份之間的巨大差距,深刻認識到電子數據取證在查處違法行為中的地位和作用日漸凸顯。
  • 河圖創意 | 電子數據證據取證要點
    在維權時取證是十分重要的一個環節,電子數據證據也在生活被網絡貫穿的年代,逐漸被利用起來。電子數據證據在採集與使用時,相較於傳統證據又有著特別的要素。,電子數據證據只能依託一定的載體才能以文字、圖像、視頻等方式展現出來。
  • 電子數據取證應注意這幾個問題
    具體來講,其一,在電子數據提取、分析過程中,要注意通過判斷存儲信息的介質,來推斷生成的電子數據是否真實可靠。同時,注意是否存在人為刪除、增加、修改計算機內某些信息的行為。其二,在獲取電子數據後,將相關數據從原始介質複製到專用證據存儲設備時,注意對整個拷貝過程用攝像機等設備全程記錄;對數據原始存儲介質進行封存、提取的過程中應製作文書,由提取人、見證人等相關人員籤名或蓋章。
  • 電子數據現場取證小課堂丨 辦案取證中,如何破解涉案密碼?
    ,越來越多的行政案件需要在案發現場對電子數據進行取證。2019年4月1日施行的《市場監督管理行政處罰程序暫行規定》(國家市場監督管理總局令第2號)第二十三條明晰了行政處罰一般程序中的電子數據證據規則。掌握正確的電子取證技巧、科學運用電子證據已成為執法辦案重要和關鍵的一環。
  • 【用戶痕跡在電子數據取證實戰中的應用】
    筆者於2015年末為《信息犯罪與計算機取證》一書編寫過相關章節內容,本文將基於該原稿並結合近幾年參與過的真實案件來談談用戶痕跡在電子數據取證實戰中的應用。提到痕跡,首先想到的是實際的事物經過後,可覺察的形影或印跡。其實電子數據也是一樣,用戶通過日常使用計算機、手機、平板電腦等設備,進行新建、修改、訪問、傳輸等操作產生的電子數據記錄也就是用戶留下的痕跡,即用戶痕跡。
  • 電子數據執法取證5問5答
    總局網絡交易信息監測研究工作組成員,浙江省網絡交易平臺規則評審專家,浙江省電子數據取證比武團體個人三等獎獲得者、杭州市蕭山區市場監督管理局網監分局工程師王盛分享關於電子數據取證實操指引,並進行了常見問題答疑。
  • 「排除合理懷疑」或可作為「在線取證」方法的證明標準
    「在線取證」方法有證明標準嗎近年來,三大訴訟法均已將電子數據明確為一種獨立的證據類型,但在市場監管部門的實踐中,「在線取證」後通常還要通過司法鑑定、公證等第三方來證明證據的合法。但是第三方證明是否是市場監管部門「在線取證」的法定義務,值得探討。
  • 「美亞杯」第六屆中國電子數據取證大賽 案例背景
    為進一步促進我國電子數據取證相關專業人才培養工作,提高電子數據取證能力和水平,推動電子數據取證技術的發展,由中國刑事警察學院主辦、廈門美亞柏科承辦的第六屆中國電子數據取證大賽將於
  • 大咖雲集解密大數據時代電子取證難題如何破?
    12月11日,由市場監管總局執法稽查局主辦的「電子取證數據執法工作研討會」在「首屆全國市場監管系統執法辦案電子數據取證大比武」頒獎現場成功舉辦。研討會專門邀請了公安部門、檢察機關及相關研究機構的相關專家參與研討,與參加本次大比武的100餘名選手、領隊及觀摩人員共同探討交流電子數據前瞻技術和法律難題。
  • BCS電子取證分享直播:「聚焦iOS取證」系列之走近iTunes備份
    北京網絡安全大會(BCS)電子取證系列直播分享活動持續進行,在第五期的課程中,奇安信取證案件組組長青山帶領眾多電子取證專業人員聚焦iOS取證,走近iTunes
  • 電子數據現場取證小課堂丨如何恢復涉案電腦中被刪除的文件?
    電子數據是一種新型證據類型,越來越多的行政案件需要在案發現場對電子數據進行取證。2019年4月1日施行的《市場監督管理行政處罰程序暫行規定》(國家市場監督管理總局令第2號)第二十三條明晰了行政處罰一般程序中的電子數據證據規則。掌握正確的電子取證技巧、科學運用電子證據已成為執法辦案重要和關鍵的一環。
  • 電子數據取證分析師告訴我:「永遠不要執著於訴求完美的取證工具」
    電子數據取證背負著網際網路時代的安全重責,而分析師則成為眾人所盼。電子數據取證分析師離不開各種取證工具,它們可以幫助分析師更好更快捷地去獲取有價值的數據,完成解決方案,達到工作目的。但工具也僅僅只是一種手段而已。當使用一種系統,一種工具時,我們每個人總會有某種偏好、傾向。
  • 【參賽報名】「美亞杯」第五屆中國電子數據取證大賽官網正式上線!
    為進一步促進我國電子數據取證相關專業人才培養工作,提高電子數據取證能力和水平,推動電子數據偵查取證技術的發展,由中國刑事警察學院主辦、廈門美亞柏科承辦的第五屆中國電子數據取證大賽將於2019 年 11 月 16 - 18 日在廈門舉行。
  • 這些電子數據取證高手都是誰?(第一期)
    在取證方面善於在實踐中分析總結,多篇文章被半月沙龍和市監沙龍收錄。蔣皓宇:石家莊市市場監督管理局科員,廣告學專業,具有電商行業從業經歷,對網絡交易監管以及電子數據取證、電子數據證據分析方面有著獨到的見解。