网络犯罪调查与电子数据取证

2018年1月31日，中国互联网络信息中心（CNNIC）发布第41次《中国互联网络发展状况统计报告》截至2017年12月，我国网民规模达7.72亿，普及率达到55.8%，手机网民规模达7.53亿，我们越来越真切的感受到，网络与空气、水一样，给我们创造了一个赛博空间。网络空间（Cyberspace）针对传统的物理空间而言的，也称为赛博空间，是指由互联互通的设备和网络按照一定的规则和程序组成的、可供人们交流互动的虚拟空间。网络空间是客观存在的，只是存在方式区别于传统的物理空间。因此网络空间是建立在网络技术上的现实社会的特殊组成部分。随着人工智能、虚拟现实、物联网、云计算、大数据等技术的进步，可以预见的是，将来现实社会中的犯罪类型也将发生在网络空间，并且可能滋生出网络空间特有的犯罪类型。2018年3月5日在第十三届全国人民代表大会上，国务院总理李克强向大会作政府工作报告，报告提出：“推进平安中国建设，严密防范和坚决打击暴力恐怖活动，依法开展扫黑除恶专项斗争，惩治盗抢骗黄赌毒等违法犯罪活动，整治电信网络诈骗、侵犯公民个人信息、网络传销等突出问题，维护国家安全和公共安全”，可见网络空间环境的平安已经成为平安中国重要的组成部分。

网络犯罪（Cyber Crime）并不是独立于传统犯罪的全新犯罪类型，而是犯罪在信息时代的必然发展。互联网+犯罪时代，传统犯罪由“现实空间”延展为“现实空间”和“网络空间”，犯罪行为跨越网络空间和现实社会两个平台 。恐怖主义、分裂主义、极端主义等势力利用网络煽动、策划、组织和实施暴力恐怖活动;网络欺诈、黑客攻击、侵犯个人信息等不法行为高发，严重损害国家、企业和个人利益，影响社会和谐稳定。据统计，中国网络犯罪占犯罪总数1/3 ，并以每年30%以上速度增长，而在未来，绝大多数犯罪都会涉及网络，甚至杀人、强奸等恶性犯罪亦不例外。

根据某互联网公司的调研和测算，中国黑灰产业规模大概在1000亿左右，从事互联网底下黑色产业链的规模大概超过40万人。其中包括触及法律底线，构成网络犯罪的行为，也包括利用网络规则漏洞，从事灰色产业的从业者。网络犯罪已经发展为成熟的产业链条，分工明确，环环相扣，各取所需，危害整个网络生态安全。目前以电信诈骗为代表的网络犯罪已成为影响社会稳定和群众安全感的突出犯罪问题。随着大学新生徐玉玉因诈骗死亡一案在网上引爆舆论，以及当下各种个人信息泄露案例泛滥的情况，民众对网络犯罪打击治理表示了强烈关注。

面对网络犯罪持续高发多发、犯罪形势复杂多变的态势，对网络犯罪侦查打击也提出了变革的要求，执法机关应该建立科学指挥、技术支撑的新机制，提高防范打击新型犯罪的能力和水平。而从企业的角度来看，知己知彼才能做好安全防护，了解网络犯罪的发展过程与特点、黑灰产产业的常用手法是十分必要的。互联网+犯罪的时代，电子证据无疑是证明网络犯罪事实的最佳武器，企业为自身防护和防御外来攻击，也十分了解电子数据取证相关法律法规、行业标准、技术技能，同时加强与执法部门协作，安全体系建设的同时充分考虑到取证溯源的需求。电子数据取证并非只有执法部门关注，除公检法等政府部门外，知识产权服务、大数据服务、情报分析、企业安全运维、企业内部审计调查、法律咨询等领域都广泛应用电子数据取证技术，亟需大量专业人才。

如果想了解网络犯罪调查与电子数据取证，推荐三部影视剧《网络犯罪调查》（CSI:Cyber）、《幽灵》和《巨额来电》。然而，影视作品来源于生活，又不完全等同于生活，这篇文章就与大家一起了解一下我国网络犯罪过去，现在与未来态势的变化，魔高一尺，道高一丈，魔与道的对决。

本文主要内容包括：

魔与道：认识网络犯罪

道高一丈：网络犯罪调查策略

合纵连横：灰色产业链打击治理

利剑出鞘：电子数据取证概览

 

一、魔与道：认识网络犯罪

（一）网络犯罪

简言之，网络犯罪（Cyber crime）是针对和利用网络进行的犯罪。大家可能注意到了，我们这里用得是Cyber,而不是Network或Internet,原因就是网络空间已经成为我们赖以生存的第五空间。

网络犯罪并非法定概念，不是刑法中单独规定的罪名，而是犯罪学意义上对一类犯罪的统称。网络犯罪表现形式多种多样。狭义的网络犯罪是指刑法所规定的网络犯罪活动。按照《中华人民共和国刑法》可将网络犯罪分为以网络为对象的犯罪和以网络为工具的犯罪。包括非法侵入计算机系统、破坏计算机信息安全，及以计算机为犯罪手段的各种犯罪活动，利用计算机实施盗窃、诈骗、非法经营活动等。从广义的角度看，只要涉及计算机和网络的犯罪行为都是网络犯罪。
广义的网络犯罪定义太过宽泛，使网络犯罪的内涵和外延的界限模糊不清。目前理论界多使用狭义概念，但随着网络犯罪的发展，新形式的网络犯罪例如网络空间犯罪讲逐渐增多，使用狭义的网络犯罪概念同样是值得探讨的。

在侦查实践中，2014年最高人民法院、最高人民检察院、公安部发布《关于办理网络犯罪案件适用刑事诉讼程序若干问题的意见》，明确网络犯罪案件主要包括以下四种形式：危害计算机信息系统安全犯罪案件；通过危害计算机信息系统安全实施的盗窃、诈骗、敲诈勒索等犯罪案件；在网络上发布信息或者设立主要用于实施犯罪活动的网站、通讯群组，针对或者组织、教唆、帮助不特定多数人实施的犯罪案件；主要犯罪行为在网络上实施的其他案件。

从公安实战的角度出发，公安管辖职能下经常涉及的计算机信息网络犯罪案件的具体类型可分为：案件侵害的客体为计算机信息系统或计算机信息网络;主要犯罪行为通过计算机信息系统或计算机信息网络实施;被害人的损失主要体现在计算机系统或计算机信息网络内;案件与计算机信息系统或计算机信息网络无关，但留有线索的。

（二）网络犯罪发展态势

1.萌芽期

回顾网络犯罪的发展过程，大家可能并不了解我们国家第一起计算机犯罪是什么时间。考证我国第一起网络犯罪，教科书里是这样写的，1986年深圳破获了我国第一起计算机犯罪案件。 1986年7月13日，中国发生了第1起被破获的计算机犯罪案件。作案者是中国银行深圳分行蛇口支行会计兼电脑控制机主管员陈某和中国银行深圳分行东门支行会计苏某。先由陈犯盗抄银行帐号，非法查阅帐户情况，伪造中国银行电脑活期储蓄存折，后由苏犯凭假存折按银行手续顺利骗取出现金3万元港币和2万元人民币。陈犯于1987年1月29日投案自首。同年6月，陈、苏二犯被判有期徒刑6年。

2.发展期

时间来到了2006年，很多人都对这个可爱的小熊猫图标记忆尤新。熊猫烧香病毒被评为2006年毒王，感染百万台机器，造成大量数据被破坏，编写者李俊也成为大家口中的传奇，当时采用了多种方式传播病毒，以自己出售和由他人代卖的方式，在网络上将该病毒销售给120余人，非法获利10万余元。李俊也因此获刑三年，并成为国内因制造病毒而获刑的第一人。李俊出狱后，又因为设立 “金元宝棋牌”网络游戏平台非法获利数百万元，涉及赌资达数千万元。丽水公安局将李俊等17人抓获，当然这是后话了。实际上在熊猫烧香案中，已经形成了庞大的犯罪链条中，处于利润最丰厚环节的“老板”，可能通过比“熊猫烧香”隐蔽得多的病毒，或者是其他不为外人所知的手段，每个月攫取200万元的财富。

这一时期网络犯罪套路日渐成熟，他们追逐的两大目标，一个是数据，一个就是流量。但相应的法律法规远远没有跟上犯罪的发展，据说很多安全圈大佬的安全之路就是从2000年左右起步的，从抓肉鸡（摄像头看妹子）、破解游戏开始的。

3.专业化运作期

十年之后的2016年，徐玉玉案获得了大家的广泛关注。这个案例从专业化的角度来看并不是那么复杂，他们从网上买来数据，数据是黑客从某报名信息平台当中窃取的，利用web漏洞攻击进入之后进行脱库，陈文辉从网上找来剧本，电话卡、银行卡、身份证也是从网上买来的。陈文辉指挥自己的人进行诈骗，取款的团伙是位于福建泉州。这种手法具有很强的地域性特点。

实际上2016年暑假还有两起学生被诈骗不幸去世这样的新闻。细究之下，他们分别采用了不同的犯罪手法。

同样是山东临沂发生的宋振宇被诈骗案，宋振宁手机上接收到一条显示发自“95599”的短信，称他的一张信用卡将被扣除1980元的年费。于是就拨打短信中留下的电话，假冒的银行客服说他有大额不正常消费，让其拨打警察电话，宋信以为真，拨打了冒充警察的电话，骗子以各种借口诱骗受害人向指定账户转账汇款。实际上这条短信是伪基站发出的。

广东省惠来县高考录取新生蔡淑妍接到不法分子假冒“奔跑吧，兄弟”栏目组发出的虚假中奖短信，蔡淑妍回拨短信中的电话号码，被嫌疑人诱骗点击登录钓鱼网站，并填入相关个人信息。随后，嫌疑人又以缴纳“保证金”、“个人所得税”等理由诱骗受害人向嫌疑人提供的账户汇款，分三次共汇入9800元。犯罪嫌疑人陈某等在海南海口设立短信群发和钓鱼网站窝点，指使另外的人员海南儋州设立话务诈骗窝点。犯罪嫌疑人首先使用电脑软件群发虚假中奖短信，然后由话务窝点人员诱导受害人点击钓鱼网站获取精确个人信息，再以各种理由诱骗受害人向嫌疑人提供的账户汇款。

这三个令人心痛的案例告诉我们，网络诈骗的专业化运作早已成熟，而且带有鲜明的地域特色。据悉，2017年11月29日，国务院打击治理电信网络新型违法犯罪工作部际联席会议办公室发出通报，决定对10个挂牌的电信网络诈骗犯罪及传统盗抢骗犯罪重点地区予以摘牌，同时宣布启动第二轮重点地区挂牌整治工作，并新增福建安溪县等9个重点地区实行挂牌整治。截至目前，全国共有13个电信网络诈骗犯罪重点地区为：福建安溪县（赴境外诈骗窝点作案人员流出地）；福建南靖县（赴境外诈骗窝点作案人员流出地）；湖北孝昌县（虚假办卡贷款诈骗）；广东饶平县（游戏币诈骗）；广西陆川县（福利彩票中奖诈骗）；海南东方市（游戏币诈骗）；辽宁鞍山市（生产销售“黑广播”）；河南上蔡县（冒充军人采购诈骗）；湖北仙桃市（冒充公检法诈骗）；湖南双峰县（PS照片诈骗）；广西宾阳县（QQ诈骗）；海南儋州市（机票改签诈骗）；四川德阳市（利用网上点卡平台洗钱诈骗）。

4.网络犯罪2.0

2017年发生了一个特别典型的案例，受害人不知不觉的时候他的钱已经没有了，也没有什么明显的征兆。盗窃分子从网上购买受害人个人信息四大件（身份证、银行卡、密码、手机号），购买之后进行钓鱼短信传播，我们看到这个图里面他要去绑定受害人的手机号作为副号，如果受害人他的手机在关机状态下，发的短信全转到诈骗人手机上去。因为受害人用的是某品牌智能手机，该手机云服务功能很强，可以发送销毁资料，还可以强制关机。他通过某电商平台消费、贷款，一共窃取了5万多元。

这个案例是我们应该关注的一个方向。相当长时间以来，我们对个人信息的保护意识不足，打击治理不到位，造成我们个人的信息已经是相当的泛滥。冰冻三尺非一日之寒。行话中把各种个人信息称为料，根据来源不同又分为菠菜料、轨道料、拦截料、钓鱼料等等，泄露个人信息的途径太多了。基于精准的数据分析，专业化体系运作，专门化技术服务，网络犯罪已然进入2.0时代。

这是一个日新月异的时代，太多新事物涌现，我们目睹了太多网络犯罪的发生，勒索软件攻击医院等关键信息基础设施，币安遭遇“黑客+金融”式割韭菜等等事件，让我们真切的感受到网络犯罪的威胁确实无处不在。魔高一尺，道高一丈，网络犯罪的威胁不断增多，影响更为深远，反观我们是否已经具备了与之抗衡的资源与素养？

（二）网络暗流

在网络犯罪的暗流中可以看到各种形形色色的团伙，他们的目标就是一个，钱。而钱是建立在流量和数据的基础上。

我们可以把整个网络暗流分为三个层次，第一个层次就是基础的设施，既然要实施网络的诈骗，必然要有域名，网络的接入，存储的空间、支付的流通、通讯的线路。还有专门对他们的犯罪行为进行犯罪服务的，比如黑客技术，黑客攻击，木马研发，推广传播，数据交易、黑卡买卖。真正犯罪实施的环节是我们受害人能够感受到，但上游的这些环节可能受害人不能直接感受到，但对整个网络环境是巨大的破坏。网络安全生态确实需要大家共同努力和担当。

当然，网络诈骗作为一类网络犯罪，是目前我们最关注，打击力度最大的，但并不是网络犯罪的全部。从网络作为犯罪的对象，到网络作为工具，再到网络作为犯罪空间，立法在逐步适应和修改，但应当看到，面对新的、变化迅速的犯罪类型，立法永远会是滞后的。

（三）魔之进化

网络犯罪的进化速度是超出我们想象的，利益的驱使是第一动力。例如以Wannacry为代表的勒索软件，其犯罪技术的迭代、方法的更新是相当快的。国内知名的诈骗重点地区广西宾阳，诈骗嫌疑人最早通过QQ尾巴传播木马，后来盗号，播放针对性的诈骗留学生家长，目前最新犯罪手法是通过安卓木马，拦截短信，进一步实施犯罪，这不过几年的时间。

1.网络犯罪即服务

而且现在还有一个趋势就是网络犯罪即服务，原来我们可能需要有一些技术的基础才能够实施一些诈骗行为，比如真正搭个网站得找人帮忙搭，现在犯罪实施者只需要享受恶意软件即服务，勒索即服务，DDOS即服务就可以了，只要买平台帐号可以自动生成钓鱼网站，成本和技术门槛进一步降低了。

2.隐秘信道&加密数字货币

借助暗网的犯罪将会是未来打击的难点，信息流方面以TOR为代表的匿名网络，资金流以比特币为代表的加密数字货币，对网络犯罪调查溯源制造了障碍。大家对FBI 打击丝绸之路、Alphabay等非法交易平台的案例津津乐道，然而，如果不是其管理员在暗网运营过程中出现了破绽，溯源和打击的难度还是相当大的。

从Wannacry的肆虐到近期国内多家机构包括医院遭受GlobeImposter等勒索软件的攻击，都采用了TOR匿名网络传播信息+勒索Bitcoin、Dash等加密数字货币的模式，新的挑战，也是全世界网络犯罪对抗面临的共同问题。

3.身份认证机制突破

目前业内安全的一些基础面临巨大的挑战，比如身份认证，很多应用要求要上传手持身份证的照片，这样一种验证机制甚至我们手机号验证码验证机制都不是特别完美，我们很多环节都可以进行突破，比如街头办一些活动，让老头老太太把身份证号拿手里照一下，他都很愿意的，钓鱼wifi等等有很多环节。通过软件能够用人的照片自动的生成摇头、点头的动画，这样我们人脸识别进行身份验证基础面临着威胁。

AI技术已经用在了网络犯罪的领域，打码平台，原来是人工打码，很多人一分钟可以打好多，这是人海战术，而现在更先进的一种打码方式，通过分布式的AI验证码识别系统，进行人工智能打码，进一步降低了他们的成本。

二、道高一丈：网络犯罪调查策略的发展

网络犯罪借助互联网隐蔽与无界的特点，与传统犯罪相比，主要特点体现在手法新，利用的技术新。具有高发频发、犯罪手段屡屡翻新、产业链复杂完善、侵财型案件多发、地域性明显、跨地域作案等。在新形势下，需要将一案一破的传统思路，转变为运用信息技术、大数据分析预测技术，立足防范，行刑衔接，打源头、打团伙、打利益链条，既要惩戒犯罪分子，又要整治网络平台，彻底铲除滋生网络犯罪的源头，切断助推网络犯罪的黑色产业链。

网络犯罪调查首先需要解决的是虚拟世界的数据和现实社会人员身份落地关联的问题。网络环境下的IP、域名、邮箱、社交网络账号、网络流量、恶意代码、设备指纹信息等数据，要落地转换为实体世界的地址、交通工具、银行账号、电话、亲友关系等。从数据到实体，调查的过程也是构建虚实世界关联的过程。梳理近年来网络犯罪调查策略的进步，大致经过了三次大的跨越。

1.从传统侦查方法向信息化侦查跨越

传统案件侦查立足于现场和案件调查，运用刑事案件侦查的基本原理分析判断案情，通过物证调查、摸排走访等传统侦查手段发现、查找犯罪嫌疑人。而网络犯罪痕迹存于网络，在整个犯罪过程中痕迹以电子形式存在。电子痕迹本质上是反映客体特征的信息，遵循着从“物理空间”到“单机空间”再到“网络空间”的信息转移规律。如果说DNA、指纹等与犯罪疑犯身份是直接的强联系，电子痕迹广泛存在于网络空间，在很多时候需要经过复杂的梳理、分析、综合、比对、关联，剥茧抽丝，突破和跨越虚实空间的隔阂，才能真正追击疑犯，惩治犯罪。

2.从被动侦查模式到情报主导警务

云计算技术作为第四次产业革命的发展趋势，将为公安信息化带来创新式的突破。大数据警务云建设将有效聚焦违法犯罪问题热点区域和成因，指导集约化开展打防行动，把数据变成线索、把线索变成指令，起到主动预测犯罪、防范犯罪的作用。

纵观警务信息化的发展历程，从资源平台的初步建设到整合，再到运用云计算等信息技术，利用大数据分析、预测方法进行案件侦查，20年的时间，是案件侦查的需求，也带动了侦查思维和模式的变革和发展，实现了从传统侦查方法到信息化侦查的跳跃，也在情报主导警务理念指导下进行了很多有益的探索。

然而在网络犯罪高发的今天，仅仅依靠公安一家已经远远无法满足实践需求。要借助社会、企业的力量，利用广大的社会资源，才能真正实现精准打击。

3.从事后打击到打防控一体

网络犯罪职业化、动态化特点突出，作案手法不断翻新，涉案资金转移极快，作案过程隐秘。迫切需要打通公安内部各部门以及与通讯运营商、金融机构、互联网企业之间的壁垒，从顶层设计、犯罪源头治理，建立高效、便捷、全覆盖的“跨界”合成作战机制和一体化运作模式。

以近来危害突出的 “假冒公检法诈骗”类案件为例， 此类案件往往涉案金额大，打击难度大。分析其作案手法，专业化、集团化、跨境犯罪的特点非常鲜明。首先骗子通过各种途径购买个人信息后，就会物色目标，拨打电话，通过编造涉案罪名制造恐慌，精心编造出洗钱、诈骗、贩毒、逃税等等各种罪名，攻破受害人心理防线。2016年清华教师被骗1700多万的案例，就是受害人在卖房后信息被骗子获取。骗子假称其有偷税嫌疑，利用受害人恐慌心理，进行诈骗。

根据已侦破的案例分析，这类案件信息流、资金流、通讯流的梳理复杂，由于犯罪人员位于境外，追踪溯源需要跨境协作，款项难追回，同时还折射出相关部门在线路租借、呼叫改号、信息泄露方面监管不到位的情况。任何一种犯罪现象的发生都不是孤立的，在分析某种犯罪现象打击难点的时候，都是需要我们反思和调整的时候。以珠海警方侦破的特大电信诈骗案件“4·30专案”为例，该案致使全国几百位名受害人被骗3000多万元，但为侦破案件，打击投入成本1000多万元，赃款大多没有被追回。因此，单纯的被动打击成本高，难以挽回经济损失，必须转变思路，打防控一体。

以郑州被骗3866万元的电信诈骗案为例。因为银联在台湾取款一天一万，得手后，嫌犯就按金字塔结构转账，迅速把3866万五级转账到3866个银行卡里，在台湾取现。快速层层分解的资金流动是有规律的，具有明显的特征。反洗钱法明确了大额交易和可疑交易报告制度并制定了相应的管理办法，如果可以通过大数据分析研判模型，深度研判、比对、提炼形成指向明确的行动线索，进行精准打击，同时从通讯流、资金流的异常发现犯罪线索，进行境外电信诈骗电话拦截、漫游境外诈骗电话关停、涉案银行账户预警等防范工作。

网络犯罪的打击讲究道法自然，也就是充分了解犯罪规律，建立数据模型，进行溯源、预警。例如，犯罪分子通过改号软件进行诈骗，那么我们能否建立改号、拨打时间、拨打规律、设备使用情况的模型来预警呢？有的公司已经这样做了，也收到了不错的效果。那么通过机器学习、人工智能等方法和技术进行黑词发现、恶意url识别、风险通讯、风险银行卡、风险交易、冒用身份等行为的发现，将大大提高犯罪成本。

三、灰色产业链打击治理

当前黑灰产业无疑已经成为互联网的毒瘤，有的企业基于自身业务形态，将黑灰产业的识别控制纳入反欺诈、风控范畴。所谓黑产主要指的是能造成直接法律后果，有明确的法律法规依据的网络犯罪行为。比如一类是涉嫌网络攻击行为的黑客团伙，一类是盗取公民个人信息和财产账号的盗号团伙，还有各类利用钓鱼网站、木马程序进行犯罪的团伙，这些都是大家都不陌生的典型的违法犯罪行为，在实践中也有很多打击的案例。

相比而言，灰产链条更加隐秘，也更加难以界定。比较典型的如“恶意注册”，“虚假认证”等活动，用于刷单，线上黄牛，薅羊毛，甚至诈骗等活动。由于其本身没有直接产生危害后果，游走在法律的边缘，所以被称为灰色产业。

有的灰产从业人员也不认为自己的行为违法。但这些虚假注册随后可以会引发一系列的诈骗等活动，比如我们经常会遇到的微信美女打招呼求加好友，背后隐藏着陷阱。灰产已经成为黑产活动的土壤和基础，也是黑产的上游产业，不能放任和姑息。有一些报道中，我们也看到有的互联网企业为了数据好看，甚至欢迎灰产行为，这无疑是饮鸩止渴。当前对对灰产打击治理的难点主要有：

  （一）缺乏相关法律依据

在刑法修正案九当中，将网络犯罪的帮助犯和预备犯独立入罪，两高一部在关于办理电信网络诈骗等刑事案件适用法律若干问题的意见中并未对虚假注册等灰产行为进行规制。

随着互联网应用的进一步发展，很可能会出现更多游走在法律边缘的灰色产业链条，需要立法部门未雨绸缪，关注新的犯罪形态，打击惩治犯罪。

由于灰产打击法律依据不足，难度大，所以现实情况中，主要依赖一些企业和平台主动的防控措施，例如运用大数据的技术来识别和封停异常账号。

（二）业务场景复杂

很多互联网企业，给用户提供的服务非常丰富，但同时覆盖的风险也是非常复杂的。因此在防护上也需要厘清业务场景，做到全方位多层次的业务风控。

（三）识别难度大

灰产产业链为了规避互联网平台的封堵，一般都会采用各种技术手段突破风控技术。由于现有的风控技术大多基于已知行为的建模，还是比较容易被钻空子的。灰产自身的特点决定了平台上留下的痕迹是大量的虚假数据，如何从这些虚假数据表面，挖掘出其深层的、背后的东西，溯源到异常行为的源头，难度是非常大的。

很多企业已经把传统的人工风控升级到自动的异常识别，也结合了生物学特征来识别人机，通过用户行为分析、画像等技术，结合大数据、机器学习、人工智能算法，未来一定会把灰产风险控制到更低的水平。我想这也是警学企研可以深度协作创新的一个很好的切入点，各自发挥优势，共同实现黑灰产打击的目标。从实名认证到实人认证。

（四）取证难度大

说到取证的问题，这也是很多网络犯罪无法有效打击面临的共同问题，网络犯罪最主要的证据是电子数据，而电子数据本身具有易失性，时效性，易篡改等特点。电子数据的获取，固定，审查判断和开示都需要严格遵守相关法律法规和标准。网络犯罪的电子证据来源十分复杂，随着互联网的普及应用，几乎涉及到我们衣食住行的各个环节，证据链条的构建也相应复杂化，民警在侦查办案的过程中，大量的时间是耗费在证据的调取和数据的分析上。灰产溯源难，取证难实际也是迟迟没有进入立法视野的一个重要原因。同时，证据的固定、展示也是电子数据运用的难题。笔者认为，互联网应用企业安全建设应做到留痕和去伪存真，一旦出现网络攻击等安全问题，可以快速进行溯源取证。根据《网络安全法》的要求，做好日志留存，并增加取证溯源专业设备。

（五）企业间的协作与数据共享

针对企业的黑灰产业就像蝗虫一样，哪里有利益就扑到哪里，企业难以独善其身，所以要构建一个安全健康的生态，首先要解决企业间的协作与数据共享问题，数据流动起来才具有价值，威胁情报平台的信息共享已经发挥了作用。

四、利剑出鞘：电子数据取证概览

（一）电子数据：证据之王

2016年快播公司王欣等被告人涉嫌传播淫秽物品牟利罪案一审开庭采取了网络直播的方式，控辩双方围绕证据有效性开展了充分的论述，获得了社会的广泛关注。案件最关键性证据就是行政机关查获的四台服务器及从中检出的淫秽视频，这些数据对于证明被告人涉嫌罪名构成要件，定罪量刑和间接认定被告人的主观方面要件至关重要。

电子数据取证（Digital Forensics）一般指运用计算机及相关科学、技术原理和方法获取电子数据以证明某个客观事实的过程。它包括电子证据的确定、收集、保护、分析、归档以及法庭出示等环节。

2016年两高一部《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》（以下简称规定）以定义和列举的方式，对电子数据做了明确规定：电子数据是案件发生过程中形成的，以数字化形式存储、处理、传输的，能够证明案件事实的数据。电子数据包括但不限于下列信息、电子文件：网页、博客、微博客、朋友圈、贴吧、网盘等网络平台发布的信息；手机短信、电子邮件、即时通信、通讯群组等网络应用服务的通信信息；用户注册信息、身份认证信息、电子交易记录、通信记录、登录日志等信息；文档、图片、音视频、数字证书、计算机程序等电子文件。

基于互联网广泛应用、无界、隐蔽等特性，网络犯罪也具有明显区别于传统犯罪的特征，使得网络犯罪的溯源打击难度增大。犯罪形态发生了变化，相应的证据形态也发生了变化，电子数据无疑是证明网络犯罪行为的关键证据。2002年何家弘教授曾经预言：“就司法证明方式的历史而言，人类曾从‘神证’时代走向‘人证’时代，又从‘人证’时代走向‘物证’时代。也许，我们即将走入另一个新的司法证明时代，即电子证据时代。“实践中，互联网技术广泛应用的背景下，电子数据与我们的生活息息相关，不仅网络犯罪，各类刑事案件，民事纠纷都涉及到电子数据。

回顾我国电子数据证据地位的确立过程，2012年《民事诉讼法》第63条将“电子数据”作为独立的诉讼证据种类。2012年《刑事诉讼法》第48条将“电子数据”首次纳入法定证据种类，电子数据在刑事诉讼中取得了独立的法律地位。2014年《行政诉讼法》第33条将电子数据作为独立的诉讼证据之一。三大诉讼法不约而同将电子数据写入，是我国证据种类立法的巨大进步，司法实践中的应用日益广泛，电子证据已经成名副其实的“证据之王“，电子数据取证应用空间日益广阔。

（二）电子数据的特点

与其他传统证据例如书证相比较，电子数据的记录方式具有很大的特殊性。其记录方式决定电子数据的信息与载体是可分离的，并可复制多份副本。笔者认为电子数据的特点主要有以下几点：

电子化：电子数据本质上是以电子形式存储或者传输的数据。

易篡改：通过操作电子证据可以很轻易的改动或者被删除，因此在取证的过程中强调规范和严谨。

技术依赖性：电子数据的生成、存储、提取、检验均以软硬件技术为基础。

易失性、时效性：内存数据在关机时会丢失，基于网络的电子证据可能是无时无刻不在变化中，时效性很重要
因此强调普通侦查人员应具备电子证据的意识和敏感性，并掌握一定的取证技术。

相对稳定性：电子证据通过合适的载体，在合适的保管条件下可以长时间的保持不变。而某些条件下被破坏的数据可以通过技术手段恢复。

基于这些特点，由英国高级警官协会(ACPO)发布的 “Good Practice Guide ACPO Good Practice Guide for Digital Evidence v5.0“总结了电子数据取证四大基本原则，在电子数据取证领域获得了广泛认同：

原则1.执法机构及其雇佣人员不得采取任何导致可能向法庭提交的数据发生改变的措施。

原则2.在必须访问原始数据的情况下应保证人员资质与技术水平，并说明其相关性和活动的应用。

原则3. 取证过程必须创建审计追溯记录或其他记录，并加以保存，任何独立的第三方机构经过程验证都以得出相同的结果。

原则4.调查人员应负责遵守法律法规及原则

电子数据的特点也决定了其在刑事司法运用中的特殊性。因此在两高一部《规定》中，特别强调电子数据真实性、完整性、合法性、关联性的审查判断。

（三）电子数据取证法律法规、行业标准

每个国家都有自己的电子数据取证相关的法律法规、行业标准，取证的整个过程必须符合相关规定，这也是保证电子数据真实性、完整性、合法性、关联性的关键。电子数据取证必须是一个严谨的过程，必须从“人、机、料、法、环”等多个方面规范电子数据取证工作。

目前，对电子数据相关问题进行规范的法律法规主要有：计算机犯罪现场勘验与电子证据检查规则（公信安[2005]161号）、公安机关电子数据鉴定规则 （公信安[2005]281号）、最高人民检察院《电子证据鉴定程序规则（试行）》、《人民检察院电子证据勘验程序规则（试行）》（2009）、《关于办理网络犯罪案件适用刑事诉讼程序若干问题的意见》（公通字〔2014〕10号）、公安机关执法细则(第三版，2016)、《公安机关鉴定规则》（公通字〔2017] 6号）等等。

相关技术规范国家标准《电子物证数据恢复检验规程》、《电子物证文件一致性检验规程》、《电子物证数据搜索检验规程》等4个；公共安全行业标准22个；司法鉴定技术规范10个，初步形成了比较成熟的标准体系。

另外一些行业协会编写的指导书也值得实践参考。如中华全国律师协会发布的《律师办理电子数据证据业务操作指引》（2012）。

国际标准化组织（ISO）及国际电工委员会（IEC）制定了电子取证系列标准，美国国家标准与技术研究院（NIST）、英国标准学会（BSI）、英国高级警官协会(ACPO)等机构也制定了值得参考的标准和指导书。

（四）电子数据取证过程

Keith Inman 和Norah Rudin共同提出的英曼.鲁丁范式（Inman-Rudin paradigm）将电子数据取证分为四个过程，分别是辨识、关联、分类、重建。

电子数据取证的基本过程和步骤包括：

(1)电子数据证据的发现，通过侦查和现场勘查收集原始证据。

(2)电子数据证据的固定，保证现场勘查和侦察获得的数据的完整性和真实性。

(3)电子数据证据的提取，本质上说就是从众多未知和不确定性中找到确定性的线索。

(4)电子数据证据的分析，证实信息的存在、信息的来源及信息传播途径，重构犯罪行为、动机及嫌疑人特征

(5)电子数据证据的报告和展示，把获取的相关证据按照法庭的要求以一定的格式客观、准确地报告事实

（五）电子数据取证在网络空间安全学科的地位

电子数据取证是一门交叉学科，涉及到法律、技术、管理等多个领域。仅从技术层面来看，电子数据取证是网络空间安全学科的重要组成部分。

在我国，2010年《信息安全专业指导性专业规范》中将数字取证技术作为信息系统安全的一门选修课程，要求掌握电子证据的概念，了解电子证据相关法律，熟悉基本的数字取证技术，了解电子数据取证技术的应用。目前，国内院校网络空间安全学科一般将电子数据取证放到应用安全方向，作为一门课程。

警察院校及部分政法院校开设的网络安全与执法专业，以培养打击信息领域犯罪的执法人才为目标，电子数据取证是重要主干课程，以刑警学院为例，其网络安全与执法专业下设网络犯罪侦查和电子物证两个专业方向。

近日，ACM和 IEEE发布了网络空间安全课程指导（CSEC 2017），将网络空间安全分为数据、软件、组件、连接、系统、人、组织、社会安全八大知识域。其中，数据安全将电子数据取证作为核心知识单元，同时系统安全等部分也包含电子数据取证知识单元。CSEC2017电子数据取证知识单元主要包括概念介绍、法律法规、取证工具、调查过程、证据获取与保存、证据分析、结果展示、证据鉴定、报告及事件响应与处理、移动取证等部分。

(六)电子数据取证技术

电子数据取证的对象日渐繁杂，对应的取证技术也是日新月异，快速的发展更新变化，其分类标准难以统一。

按照取证针对的操作系统分为Windows取证、Linux取证、Android取证、Mac取证……；

按照计算机取证状态分为静态取证和动态取证

按照取证流程可分为发现、固定、提取、分析、展示技术……；

按照取证技术细分可分为内存、注册表、日志、文件、数据库、电子邮件、浏览器、社交软件、病毒木马取证……；

按照部门工作规范可分为现场取证、远程勘验、检验鉴定……；

按照取证工作模式可分为单机取证、网络取证……

另外新的IT应用背景下，云取证，人工智能设备取证、物联网设备取证、智能汽车取证等细分领域也开始涌现。

因此，取证人需要了解和掌握的知识门类多，更需要不断的学习、更新、储备知识。

 

最后，网络犯罪的威胁与挑战是我们无法回避的，网络空间和现实空间一样存在阴暗的一面，只有认识，了解，研究，实践网络犯罪的溯源取证、打击治理才能创造更加安全的网络空间环境，共建一个更美好的网络生态！