刘建军 陈光宣 秦子惠

1 中国人民公安大学 北京 100038

2 深圳市公安局 广东 518001

3深圳市罗湖区妇幼保健院 广东 518019

0 引言

根据公安机关近几年的工作实践来看，网络上不断地出现各种问题，计算机安全还远没有解决，而且不断地遭到病毒、黑客的侵袭，给我们的国家安全、一些重要部门的安全以及经济运作造成很大的危害、威胁。要根本解决这些问题，公安机关必须努力提高精确打击网络犯罪能力，积极拓展网络取证技术，提高信息安全保障能力和水平，履行维护国家安全、社会稳定和公共利益的神圣使命。

1 网络犯罪的新特点

(1) 基于社交网络的钓鱼欺诈、木马等威胁正在急剧显现。在过去十年间，游戏产业一直是网络犯罪的主要目标；其次是电子商务，网络钓鱼和木马等不断威胁着电子商务的安全运行。目前，社交网络的日益发达极大地改变了人们上网交流和信息传播的方式，而社交网络的安全威胁也随之与日俱增，它也正成为游戏和电子商务之后又一个网络犯罪的主要目标。

据360安全中心日前发布的《2011-2012年度互联网安全报告》，2011年国内共新增钓鱼网站501708家，其中约15.7%的钓鱼网站主要利用社交好友关系传播，包括虚假抽奖活动、购物欺诈、假QQ空间钓鱼等。360分析预测称，基于社交网络的安全威胁很可能在 2012年翻倍增长，全方位改善社交安全将成网络安全新课题。

(2) 黑客攻击事件层出不穷。2011年发生了不少全球震惊的黑客攻击事件，受害者从各国政府机构到具有很高知名度的银行和商业公司，如美国参议院网站多次遭受黑客组织Lulz Security的攻击；IMF(国际货币基金组织)遭到“大规模的、手段高明的黑客攻击”；花旗集体遭受黑客攻击，影响36万客户；索尼自4月PlayStation网络入侵事件导致1亿多个用户账户曝光以来，其全球子公司无一不成为黑客攻击的目标；国内有CSDN网站数据库遭受黑客入侵，600万用户注册邮箱和密码被泄露，甚至还有专业安全机构，如RSA遭受黑客攻击，影响SecureID认证。

“经济利益”已经成为恶意程序制造者最大的驱动力，犯罪目标瞄准网络银行中的钱、虚拟财产和有用信息资料等，并形成一条灰色的经济链条。如最近公安机关办理的“在互联网上公开叫卖车主资料案”中，4名犯罪嫌疑人在互联网上售卖包括广州、深圳、宁波等城市的车主资料、企业名录、各行业传真联系电话、老板手机及业主资料等五类信息共50万份，其中涉及深圳车主资料6万份，大量个人隐私资料泄露，造成恶劣的社会影响。

2 打击网络犯罪的难点

由于涉及的技术含量高，且普遍存在跨地区、跨境作案的现象，要查明犯罪事实，有效打击网络犯罪确实存在以下难点：

(1) 犯罪行为发现、确定难。网络犯罪所呈现的外在表现和特殊的犯罪手段，使其具有极大的隐蔽性，加上犯罪分子大多具备一定的计算机网络技术，可通过预先设置好的破坏性程序或使用格式化命令，将一些遗留在软件中的证据瞬间销毁，使犯罪事实更难以显露。上述案例中，孕产妇信息数据库与互联网连接，技术人员利用远程管理软件进行数据的维护，因此，资料泄露事件就很难确定是属于工作之中无意或有意泄露行为，还是黑客入侵的偷窃行为。另外，许多犯罪形式，如非法截取、访问、盗取信息等，是在网络系统内部进行，甚至不直接引起系统运行的变化，屏幕界面及其他输出设备显示不出犯罪迹象和犯罪过程。

(2) 犯罪现场确定难。网络犯罪行为侵犯的对象主要是存储在物理介质中的数据信息，当作案人对其窃取或修改时，并不会发生明显的改变也不会留下多少“痕迹”，要想通过电脑程序本身来查获犯罪行为人有较大难度。如某证券股份有限公司的股票账户被人使用新加坡的 IP地址 202.167.224.X非法登录，并在股指最高位买入价值7000多万、3600余万元的两笔股票，几天内造成损失达数百万元。案发时没有任何征兆，并且犯罪行为已跨越国界，要确定犯罪行为发生地进而完成相关的调查取证工作相当困难。

(3) 电子证据的保存难。电子证据是打击此类犯罪的基石，它表现为各种电子设备上的数据集合体。在重要的信息系统取证有双重难题：第一个难题是侦查员很难以关闭设备运行进行扣押的方式取证。大量的电子数据保存在机器的内存、缓存中，关闭电源后立即消失。即使扣押了相关的计算机设备，由于信息系统的复杂性，涉及的计算机设备比较多，在实验室内很难搭建案发时的运行环境。因此，取证工作必须在现场进行，通过电子技术或数字技术和计算机等设备进行处理后转变为可被人们感知的图像、声音或文字等；第二个难题是电子证据易于被修改且不易被察觉，要保持其完整性与真实性被认可很难。诉讼法要求电子证据必须有能力证明其来源真实且未经伪造、删改，否则无法确定其真实性，更不能作为定案的证据使用。

3 思考与对策

计算机犯罪活动是伴随科技发展而具有高智能的犯罪，公安机关必须坚持走群众路线，夯实基层基础工作，以高科技的方法打击高科技的犯罪。

3.1 加强取证技术培训，坚持走群众路线

勘查取证工作主要依靠公安机关来完成，但是企业和个人同样需要增强计算机取证意识，有能力保护计算机和网络的犯罪现场，甚至要掌握一些基本的取证技术。公安机关要定期举办电子证据方面的培训，避免技术不熟练的系统的管理员可能会意外地损坏易失证据而对调查造成负面影响。

在一些案件的侦破中，受到不法侵害的企业或个人如果有较强的数字取证意识，很多证据是很容易被找到的。在大多数的情况下，系统管理员发现网络遭受破坏和攻击后，由于急于确认攻击怎么出现并重建系统，往往破坏了证据。同时，培训中可以帮助企业用户克服对计算机犯罪进行报告的犹豫心态，不会因为担心损害企业声誉而对所受的网络攻击隐瞒不报。

3.2 推进信息安全等级保护，务实网上基层基础工作

当前，大力推进的信息安全等级保护工作，就是保护国家关键信息基础设施安全的做法，就是分等级、按需要重点保护基础网络和重要信息系统。

信息安全等级保护就是公安机关在网络上的基层基础工作，打击网络犯罪要以此为契机，捕捉网络管理及网络安全的新情况、新问题。公安机关要及时引导、监督信息安全审计软件和硬件进行优化，针对计算机病毒传播和网络非法入侵，以及使用黑客病毒技术、网络钓鱼技术、木马间谍程序等技术进行网络盗窃、网络诈骗、网络赌博等违法犯罪，规范设置审计日志项目，提高此类产品的发现犯罪能力和留存证据能力，使侦查办案工作能以网上排摸、网上串并、网上查证方式进行，构筑网上的钢铁长城。

3.3 瞄准犯罪发展趋势，大力发展电子证据取证技术

由于信息等级保护的网络承载着巨大的政治、经济利益，必然会成为各类不法分子侵犯的目标，为了做好相应的调查取证工作，公安机关要未雨绸缪做好取证技术储备：

(1) 发展动态取证能力，取证工作不损害计算机系统的正常运行。动态取证就是在系统正常运行情况下搜集电子证据，与以往的计算机取证相比，更具有主动性、实时性的特点。如某案例中的孕产妇信息系统位于深圳市妇幼保健院中心机房，服务器上运行十几个信息系统，一旦停止运行，全市的妇幼医疗保健工作无法进行，医院内数百名医护人员工作陷入瘫痪。因此，民警在对涉及国计民生的信息系统取证应该转变工作方式，应该从扣押机器设备向提取有价值数据转变，从事后关机取证向在线现场实时取证转变，发展动态的计算机取证技术。

(2) 发展系统取证能力，取证目标根据网络结构向纵深拓展。在等级保护的背景下，电子证据包括实体证据、实物证据、环境证据三种形式，相互印证，相互支持。根据不同的网络状况和案件特点，侦查员应该有能力在现场一次取得所有的相关证据，各类证据形成严密的体系。因此，取证目标根据网络结构向纵深拓展，一是深入研究硬件设备、操作系统、数据库、应用程序、通信协议的安全漏洞、安全隐患及攻击手法取证；二是深入研究病毒、蠕虫程序的描述、特征取证；三是深入研究安全系统、安全产品、安全技术的体系设计和集成取证。并具体到网络架构、防火墙设计、VPN 及PKI结构、安全监控审计、系统配置计划、程序管理及数据维护管理等取证方法；四是利用MD5和SHA-1算法对可执行程序、图像文件、临时文件等类型的“数字指纹校验”值。如果这个文件被修改过，它的值也将随之改变，以此来确定证据文件是否被“篡改”过，从而形成一条完整的证据保管链。

(3) 发展标准化取证技术，夯实取证结果可信任的基础。计算机犯罪活动是伴随科技发展而具有高智能的犯罪，对取证活动的技术要求远高于对其它证据的技术要求。而且基于电子证据无形性、易破坏性、易被篡改性的特点，取证程序、取证操作越规范化、标准化，也就越公正、客观。

根据美国专家 Warren G. Kruse 和 Jay G. Heiser的观点，电子证据取证是“对计算机介质进行保存、鉴定、提取、归档及阐释，以作为证据和/或进行根本原因分析”。图1中的电子证据取证模型将不同的计算机取证元素组织到了一个逻辑流程中，可以保证其公正、客观、全面。

图1 电子证据提取工作流程

在处理电子证据时，应该采用图1中的四个调查阶段，每个阶段的操作都标准化、程序化：

评估状况标准化：对现场勘查的范围以及将要采取的操作明确；

集数据标准化：收集、保护及保存原始的电子证据都有规定的方法、步骤；

分析数据标准化：检查数字证据并将其与案件事实相关联有可靠工作程序；

编写报告或勘查笔录标准化：收集信息并将其组织起来，系统完整编写最终报告或勘查笔录。

(4) 发展病毒、木马等恶意程序取证技术，取证技术针对网络黑客有所作为。网络犯罪行为主要有内部人员的犯罪行为和黑客入侵、破坏行为两种。重要的信息网络和应用系统始终是黑客入侵或攻击的目标，面对日趋复杂的网络安全形势，频繁发作的计算机病毒疫情，公安机关应全面提升调查计算机病毒和黑客攻击活动的整体实力，有效地对计算机病毒危害性进行判定。侦查人员在取证过程中发现有木马、后门程序一定要解决程序执行什么样的功能，攻击源从何而来，敏感信息到何处而去等重要侦查问题。

4 工作展望

计算机网络犯罪属于高科技犯罪，电子证据都是打击此类犯罪的基石。公安机关加强网络电子取证技术的研究，进一步规范电子取证的程序和标准，必将提高网络犯罪侦查“精度”和“准度”、震慑利用网络进行的各类违法活动、保障网络信息基础设施的安全。

[1]杨永川,蒋平,黄淑华.计算机犯罪侦查[M].北京:清华大学出版社.2007.

[2]蒋平,杨莉莉.电子证据[M].北京:清华大学出版社.2007.

[3]蒋平,黄淑华,杨莉莉.数字取证[M].北京:清华大学出版社.2007.