刘欣如

日本警察厅的信息技术解析工作概览

刘欣如

2013年，日本网民人数首次超过1亿人，网络普及率达到了82.8%。同时，包括智能电话在内的移动电话保有率也达到了94.8%，移动电话的签约数已超过1.39亿台，这意味着每个国民平均持有手机数量超过一部。在这种现状下，在犯罪侦查现场，对嫌疑人所持智能手机或移动电话进行调查将会对查明事实真相提供极大帮助。与此相对，嫌疑人为毁灭证据而做出的破坏智能手机、移动电话、移动计算机等的情况也频繁发生。为了使上述侦查现场出现的种种电磁记录可视化、可读化，通过信息技术解析（也称“数字取证”）的方式对犯罪行为进行取证就显得更为重要。

信息技术解析的意义

日本警察厅将“信息技术解析”定义为“为了取证而进行的电磁记录解析技术及其相关手续”。近年来，从音乐、电影、书籍，到个人的地址簿、日程表、便条，各种各样的信息都被电子化，并保存到各类媒体中，而犯罪分子利用计算机、智能手机从事犯罪活动的趋势日益显著。此外，随着各类信息通信服务日渐多样，在越来越多的案件中，能否正确地解析出残留在计算机服务器、网络运营商等系统中的通信记录等将决定着能否查明犯罪事实、能否识别犯罪嫌疑人。为了做好犯罪行为取证工作，就必须确保所提取信息的举证能力及证明力。因此，恰当的从电磁记录媒体中提取其记录的数据并使之证据化是一项非常重要的工作。2013年，日本全国信息技术解析部门提供信息技术解析支援的案件数量约为21000起。

日本警察厅信息技术解析部门

1.成立始末

日本警察厅信息通信局于1996年起开展了“计算机犯罪侦查支援项目”，该项目于次年更名为“高科技犯罪侦查支援项目”。“高科技犯罪侦查支援项目”后来也成为了1999年成立的警察厅技术对策科的母体。警察厅技术对策科主要通过其下设的技术中心向日本各都道府县的警察提供直接的侦查支援及电磁记录解析帮助。2000年2月出台的《警察厅信息安全政策系统》中指出，要与打击计算机犯罪一道，将强化打击计算机恐怖主义作为工作重点之一，不断充实强化针对计算机恐怖主义的监视、信息采集及应急体制的建立。2001年，根据《警察信息安全政策系统》的要求，各管区警察局信息通信部门均下设了技术对策科，并将其定位为“电子部队”。同时，警察厅技术对策科下设了“计算机恐怖主义对策技术室（通常称之为‘电子部队中心’）”以作为“电子部队”的总指挥部。

2004年，警察厅技术对策科改组为警察厅信息技术解析科，以强化体制建设。另外，各地方机关也通过改组技术对策科等方式，在各管区警察局信息通信部及各府县信息通信部中设立了信息技术解析科。随着来自计算机空间威胁的增大，2011年，《综合应对计算机空间威胁推进大纲》出台。因需要对恶性化、极端化的违法程序进行解析的案件不断增多，2012年，警察厅信息技术解析科下设了“违法程序先解析中心”，同年又将该中心改组为“高度信息技术解析中心”，以强化体制建设。

2005年，为普及数字取证并促进其发展，日本专门成立了“数字取证研究会”。而为了推进数字取证的国际化、标准化，日本于2012年推出了ISO/ IEC27037《电子证据的识别、采集、获取和保存指南》。此外，日本还相继对ISO/IEC27041《调查手法适应性、妥善性的确保指南》、ISO/IEC17042《电子证据的解析、解释指南》、ISO/ IEC27043《调查原则及程序》等草案进行了审议，警察厅高度信息技术解析中心作为草案制订组成员之一参与了草案的审议。

2.组织构成

警察厅信息技术解析科的工作职责是“为了取缔犯罪而开展信息技术解析等相关工作”，这也是国家公安委员会的综合工作之一。无论是警察厅、管区警察局还是都道府县的信息技术解析部门均为国家机关。

（1）警察厅信息技术解析科

目前，警察厅信息技术解析科是作为全国信息技术解析部门的中心来运行的，特别是在技术层面上，由高度信息技术解析中心和计算机部队工作中心两个部门向全国提供支持。

A.高度信息技术解析中心

在有些网络银行非法交易等案件中，有时都道府县（方面）的信息技术解析科、管区信息技术解析科均难以对犯罪嫌疑人所使用的恶性计算机病毒进行解析，此时，高度信息技术解析中心将会向有关部门提供解析方面的技术指导，或受理申请亲自进行解析。

另外，电磁记录解析方面，该部门能够对残留在计算机等载体上的痕迹是在何种情况下产生的等事宜进行检验。都道府县信息技术解析科无法完成的一些工作，如针对智能手机软件所进行的高度解析及从破损的机器中提取数据等，在这里都能够得到实现。

高度信息技术解析中心正因为具有这种职能，因此可汇总全国的相关技术信息，建立解析数据库，当类似案件发生时，能够迅速对其实施解析。

B.计算机部队工作中心

2013年，在不断强化计算机攻击对策体制的同时，计算机部队扩充至了都道府县，并逐步与警察厅警备局下设的以计算机攻击对策官为最高指挥官的计算机攻击分析中心等部门展开合作。计算机部队工作中心作为计算机部队的指令塔，正不断推进工作的展开。

计算机部队工作中心实行24小时工作制，对计算机恐怖主义进行预测性把握，提供并分析所搜集到的情报，对通过目标邮件进行恶意攻击的非法程序等进行分析。全国的计算机部队基于从各类业务中获取的技术信息，与各都道府县的警察合作，针对计算机攻击对策等提供技术性指导。此外，计算机部队还通过警察厅网站向国民广泛宣传计算机恐怖主义的危害，并致力于呼吁更多的群众提高对计算机恐怖主义的警惕性。

（2）管区信息技术解析科

管区信息技术解析科主要针对管区内各府县信息技术解析科进行指导及调整，同时，还负责对府县信息技术解析科无法实现的解析进行调整解析，并负责管区内警校的信息技术解析教育。此外，作为管区电子部队中心，该科还负责对管区内重要基础建设的从业人员进行个别走访。

（3）都道府县信息技术解析科

都道府县信息技术解析科受理各都道府县警察提出的技术支援的申请及咨询，并基于此提供相应支援。针对队伍派遣及技术解析支援方面的相关申请，由各警察信息通信部门及都道府县信息技术解析科进行受理，接受申请的都道府县信息技术解析科除可直接提供支援外，还可根据需要，接受管区警察局、警察厅的调整及支援。另外，全国的信息通信部门均下设作为应对计算机攻击技术基础的技术部队，该部队通常被称为“电子部队”，都道府县的信息技术解析科也下设都道府县电子部队。

根据申请要求，都道府县信息技术解析科可以提供下述手段支持。

A.派遣：是基于信息技术解析方面的认知，提供在侦查现场开展的搜索冻结等技术支援。

B.解析：为了查明案件，从扣押的电磁记录媒体中调取必要信息并使其资料化的一种业务。此外，都道府县解析科也对各都道府县警察所开展的信息技术解析教育活动提供支持。

与都道府县信息技术解析科相对应，警察厅组建了计算机犯罪应对部门及计算机攻击应对部门，并提出要以此为起点，不断强化与都道府县警察部门间的日常协作。

信息技术解析现场的注意事项

以电磁记录作为证据使用时，必须通过适当的处理，设法保全数据。然而遗憾的是，证物遭到损坏的事件还是时有发生。

为了防止证物受损事件发生，在进行取证时需特别注意以下几点。

（1）全面的注意点

A.要注意电磁记录媒体是一种精密机械。

因为无论是用于个人还是商务用途，计算机等仪器平常就经常利用，因此也往往会在无意识中遭到粗暴的对待，然而计算机等仪器都是内部容纳着复杂机械构造及电子回路的精密机械。因此，在处理这些精密机械时，切忌强冲击、震动、潮湿、水浸等。

B.要控制外接设备的接入及电源的开关。

当电磁记录媒体处于运作中，且其内部信息能够读取时，如果不采取特别手段进行应对的话，就可能发生信息的写入、改写及消除的情况。此时，计算机、手机、智能手机等电磁记录媒体可能会通过内部基本软件的运行，对部分信息进行改写（改变的信息主要以关于日期信息的时间戳为主）、写入（主要为注册中心等于机器设定的相关信息）以及删除（一般是在对回收站、收藏中的已删除数据进行整理时出现）。

因此，作为工作原则，要避免通过错误的解析作业顺序进行信息读取、随意插入电源的行为。然而，在搜查工作需要对电磁记录媒体内部信息进行确认时，对侦查工作开展的日期及内容进行适当的记录是非常重要的。

C.要保留物理处理记录（保管、录入输出等）。

电磁记录很容易就会遭到改写或删除，而且这种情况还很难被直接发现，因此为了防止电磁记录信息因受到到被更改的质疑，而导致电磁记录的证据价值降低的情况发生，那么就不仅要注意前面作业的内容，而且还需要对信息的保管情况以及录入输出情况进行适当的记录。

（2）对计算机等的处理

A.要确认计算机与周边机器的连接情况。

一台计算机很有可能连接众多的周边机器，有时，是否掌握计算机与其他机器的连接情况，将对后来的解析工作效率产生到极大的影响。另外，当计算机连接了外接记录媒体时，就要考虑到该外接媒体中可能存储着计算机的主要信息，因此做好计算机连接情况的详细确认能够很好地起到避免对外接媒体中存储信息漏查情况的发生。

通过采取对计算机的外部连接情况进行拍摄、在计算机机身、数据线及外接的机器上贴上适当的标签等处理方式，能够使计算机再现其最初的连接情况。

B.要将套装软件及使用说明书、周边器材及连接线等一并扣押，并进行整体处理。

进行电磁记录解析时，有时需要掌握应用于数据编写的软件情况。在解析非常规性软件编写出的数据时，如不掌握相关软件，那么解析就可能会花费更多时间。当发现可能为被扣押计算机的某一应用软件包时，应将该软件包与计算机一并扣押，并进行打包处理。另外，关于各种周边器材的处理方面，因为被扣押的计算机的某些应用软件的运行需要有特定的周边器材来支持，而这些器材拥有其专属的连接线，在做解析时，对上述物品也不能掉以轻心，需要进行打包扣押。

（3）手机及智能手机的处理

A.要事先确认机器内是否插有SIM卡及存储卡。

必须要事先插入从运营商方借来的SIM卡。此外由于现在的手机末端一般都会内置存储卡（基本上都是micro SD卡），因此一般的机型都能够存储大量信息。当对其进行解析时，根据需要，有时需将上述卡拔出，因此需要事前确认手机内是否有内置卡，同时需要明确证物的使用现状。另外，因为手机外装部件中，大多是由质地脆弱的塑料制成，因此要避免随意用力撬开机身盖或对手机进行拆解的行为发生。

B.将手机设定为信号关闭等无法通信的信号模式。

手机及智能机在与通信回路进行连接后，就会转变为在线模式。此时，手机极有可能出现下述行为：开始读取接受到的短信息、运作中的应用程序开始自动下载信息、根据事前的设定而自动禁止某项操作、删除内部信息等。因此，在进行解析时，最好能够在切断电源的情况下开展工作。在未切断电源的情况下，要尽可能地将手机设定为无信号模式（信号关闭模式、飞行模式）。

另外，当出现手机操作方式不明、密码锁屏、图形锁屏的情况而导致无法进行进一步解析时，在进行了必要的确认后，要立即切断电源。

（4）其他电子机器类的处理

针对其他机器，尽量保持现状，在确认了生产厂家、机器型号等情况的基础上，与信息技术解析部门共同商讨相应的处理方法。

（5）破损机器类的处理

A.不要接通电源。

因破损的机器内部究竟处于何种状态尚且不明，如果此时接通电源，极有可能出现因回路短路而引起火灾的情况，或者出现对信息记录部件造成损伤的情况，因此接通电源后再确认操作是一个非常危险的举动。

B.如果可能的话要取出电池

特别是遭受水浸的回路一旦通电的话，本来不通电的部分也会有电流通过，这极有可能给部件带来损伤。除此之外，还很有可能出现类似于电镀的现象，导致回路盐类析出，使回路受到毁灭性的物理破坏。所以，在进行解析时，要将手机、智能机的电池取出。然而，上述做法不适用于通过物理方法无法取出电池的手机。

C.尽可能搜集部件。

对于遭到物理性破坏的机器，要根据情况，找到从回路基板上脱落的异常细小的部件，因此要尽可能地搜集包括回路碎片在内的机器零件。

D.要将后续处理事宜与专家进行商讨。

在出现机器受到损坏的情况下，其后续的保存与处理方法就会发生改变，因此面对该情况时，应与技术解析部门的负责人就适宜的处理方式进行商讨。

信息技术解析部门与侦查部门的合作

在犯罪侦查过程中，信息技术解析工作显得愈发重要。各都道府县信息通信部的信息技术解析科员只有事前接受相关技术与手续双方面的基本培训后，才能接受其所属警察总部及警察署的协查申请，到侦查现场进行支援。下面这一个假想事例可以解释信息技术解析部门与侦查部门的合作流程。

1.概要

A县B警察署在侦办一起秘密出售药物案件中，在逮捕犯罪嫌疑人时，扣押了一部可能为犯罪嫌疑人用于接受非法药物购买预定的手机，发现时，该手机已遭到破坏。B警察署就该手机的解析事宜与A县信息解析科进行了商讨。

2.事前商讨

B署与A县信息技术解析科间进行了事前商讨。双方就案件情况、此次端末解析的必要性、侦查日程表等事宜交换了意见，同时，对此次端末修复的方法、应该成为证据的数据等情况进行了讨论，在达成共识的基础上，B署向A县信息技术解析科提出了解析申请。

3.实施解析

A县信息技术解析科对破损手机实施了端末修复，并确认了该端末能够启动并能够正常运转。随后，工作人员调取了该端末的通话记录、电话本、短信及照片，并向B署提交了解析结果报告书。

4.罪行举证及明确案件全貌

调取的号码拨出记录与扣押的SIM卡中已查明的接通方的号码的记录相符。虽然也存在逮捕嫌疑人时作案手机的SIM卡被拔出、通过除查询已损坏的电话端末的拨打记录外无法固定作案手机的情况，但通过上述的解析结果，是可以确定所修复的端末即为进行药物秘密出售时所使用的端末的。另外，通过调取的短信能够确定新的案件关系人，由此可明确案件全貌。

为了能使数字取证得到十二分的应用，侦查员与解析负责人间的合作是必不可少的。合作的本质就是相互沟通与相互理解。侦查员与解析负责人双方应共享案件及解析工作的最新进展情况，在达成“何种证据是必要证据”的共识的同时，解析负责人应向侦查员就“何种信息是能够提取的”等事宜提供可行性建议，以确保在案情处于时时变化中的案件侦办工作中，能够第一时间将必要的数据证据化，最终达到迅速侦破案件的效果。

不仅如此，在上述的相互理解的基础上，应对解析对象的解析顺序进行最优化调整，以确保解析对象的电磁记录量的增加与侦查时间限制间能够达到相互平衡。在解析业务量不断加大、案件复杂程度及困难程度不断加深的情况下，上述事宜应该得到充分的考虑，且已经开始得到了全世界的重视。

作为信息解析部门，应以上述观点为基础，不断深化与侦查部门间的合作。

未来的展望

随着科技的日益发展，不断高度化、复杂化的最新信息通信器材不断涌现。然而在此种情况下，仅限于公安部门内部的努力是很难达到确保必要的解析能力的目的的，因此必须要加强国内外相关部门间的合作。在这种大趋势下，警察大学计算机安全研究研修中心在不断推进针对各类信息通信器材解析过程中，对必要技术要素等信息技术解析方面研究的同时，还开展了与其他大学间相关领域的共同研究工作。另外，警察厅信息技术解析科在逐步开展与计算机安全研究中心间的合作的同时，主持召开了国内侦查机关等参加的数字取证交流会、亚洲大洋洲地区侦查机关共同参会的计算机犯罪侦查技术大会（CTINS）等一系列会议，不断通过国内外治安机关、学术机关、民间组织等积极探索最新解析手法。

今后在各类侦查现场，与犯罪活动紧密相关的不仅仅局限于智能手机、计算机等联络手段，需要应用信息技术解析手段的案件数一定会不断增加。随着解析需求的不断提升，信息技术解析部门应不断完善体制建设，积极推进解析器材的更新换代。此外，侦查员自身是否具备操作信息通信器材的能力、是否对计算机空间的各类服务及信息通信技术有基本的了解将极大地影响案件事实的查明。因此，在信息技术解析部门，除了需要向侦查员提供必要的侦查现场的支援外，也必须对侦查员提供各类培训及解析方面相关内容的教学。

（刘欣如，辽宁省丹东市公安局。）