云计算在公安电子数据取证技术中的研究与应用

何 明

（河北省冀中公安局 河北 062552）

0 引言

信息技术的快速发展对于我国各项工作的开展都带来了极大的便利，尤其是云计算的技术，它作为第四次产业革命发展的大趋势，在我国公安的信息化建设以及取证调查中一定会起到非常重要的作用。云计算在电子证据取证过程中的作用是非常明显的，一些以电子形式记录的证据所包含的信息可能会给公安的案件侦查工作带来更多的有效信息。但目前，我国的公安机关对云计算这种技术的应用仍然处于探索和起步的阶段，云计算在公安的数字取证中的应用还有很大的发展空间。

1 云计算的技术概况

云计算也被称作“云”，作为目前发展潜力最大的新兴计算机技术之一，它主要是一种按需交付资源以及按使用收费的基础架构，主要是通过互联网的方式来提供动态已扩展并且通常为虚拟化的一些资源。美国国家标准与技术研究院（NIST）定义：云计算是一种按使用量付费的模式，这种模式提供可用的、便捷的、按需的网络访问，进入可配置的计算资源共享池（资源包括网络，服务器，存储，应用软件，服务），这些资源能够被快速提供，只需投入很少的管理工作，或与服务供应商进行很少的交互。它的别称“云”作为一种比喻说法，很好的形容了它在计算机网络中信息交互和传递的作用。云计算凭借着每秒10万亿次的超强的运算能力，不仅可以预测日常的天气变化，也能够推理出日后的市场大致发展趋势，甚至可以用来模拟核爆炸等军事用途。云计算的操作非常简单，无论是使用计算机还是手机等，都可以通过接入数据中心的方式来进行符合自己要求的运算。目前，比较流行的云计算的架构有Hadoop，C1oud Stack，Openstack和 Euca1yptus等。云计算的技术通过互联网传输的方式，将计算分布在大量的分布式计算机上，用户可以根据自己的需求，对计算机以及存储系统进行访问。云计算在各类的应用中总结出来以下的几个特点。

1.1 云计算庞大的规模

云计算的规模庞大是毋庸置疑的，仅以Goog1e的云计算为例，Goog1e拥有的云计算服务器总数达到100多万台，而其他的网络公司，例如雅虎、微软等也都平均拥有几十万台的服务器。一些中型或大型的私人企业和公司也平均都拥有几千台的服务器。对于这么庞大的数据，云计算必须具有高效的数据管理技术才能够应对和运作。目前云计算系统中主要运用的数据管理技术是Goog1e的BT ST～IO数据管理技术，以及由Hadoop团队开发的 Hbase——开源数据管理软件。在这规模巨大的分布式数据中，如何找到特定的数据，也是云计算数据技术必须攻克的难题。与大数据相比，云计算与其既有联系、又有不同。从理论角度来看，二者属于不同层次的事情，云计算研究的是计算问题，大数据研究的是巨量数据处理问题，而巨量数据处理依然属于计算问题的研究范围，因此，从这个角度来看，大数据是云计算的一个子领域。从应用角度来看，大数据是云计算的应用案例之一，云计算是大数据的实现工具之一。但二者都表现出来同一个内容，即云计算中处理的数据规模是很庞大的。

1.2 云计算运用的灵活性

云计算作为一个虚拟化的、不是固定实体的计算技术，所有的应用都是在“云”中进行的。用户不需要找到和了解计算运行的具体位置，只需要通过手机或电脑，连入计算机的网络服务中就可以得到我们所需要的数据资源。与其他的软件相比，云计算的通用性很高，它不需要针对特定的一些应用，只需要在“云”的支撑下，就可以适用于各类不同规格和类型的应用。与此同时，云计算凭借着自己强大的可扩展性，通过“云”规模的动态伸缩，满足了用户规模变化的需要。云计算的自动化集中式的管理使得更多的企业和部门可以引进云计算的技术，在使用的同时无需担负高昂的数据中心管理成本，使各类的资源的利用率大大提高。

1.3 云计算潜在的危险性

云计算的技术是存在一定的危险性的，这是因为云计算不仅仅是提供一种计算服务，它同时还提供了存储服务。对于政府的相关部门以及各类的商业机构，一旦选择应用了大规模的云计算服务，那就使得这些“数据信息”受到可能被窃取的风险。在今天这个信息社会，各类的“数据信息”都是非常重要的。这些数据信息不仅是用户个人的隐私，应当被予以保密服务。同时，这些数据信息也会直接影响社会的商业走向及其他方面的社会影响。因此，在选择使用云计算技术之前，要充分考虑云计算服务可能存在的危险性，经过慎重的考虑再选择进行应用。

2 公安电子数据取证工作的现状

公安电子数据取证工作作为公安部门执法办案过程中的重要环节，具有十分重要的作用。随着 “天网工程”、移动互联网和城市无线互联网络的完善和普及，在当前案件调查过程中，通过电子取证对监控录像和移动互联、城市无线互联网等相关电子信息的发现、固定、收集、获取。可以对侦查环节收集案件线索、确定犯罪嫌疑人真实身份；诉讼环节验证犯罪嫌疑人是否有罪提供诸多可靠证据。随着我国社会主义民主政治的建设和法治社会的构建，各项法律法规在发展、完善，公安机关执法范围也在不断扩大，要求执法民警在案件办理质量提高同时，更加注重证据意识。电子证据提取、固定在整个取证过程中比重越来越大，发挥的作用也越来越大，因此，对这项工作的研究十分具有重要性和必要性。

刑事诉讼法修改对于公安部门的工作既是机遇也是挑战，近几年，公安的电子取证工作中，成绩与不足是并存的。一方面，这些年来，公安部门在电子取证工作中取得了显著的成绩，尤其是公安电子取证工具的发展和普及，促进了公安部门电子取证向规范化、多元化、标准化方向迈进，传统计算机单机和网络服务器、远程网络取证、简单电子设备取证方面着实有着长足的进步。另一方面，在非传统网络应用的电子数据取证、新技术在公安电子数据取证工作中的运用仍存在着一些问题。

2.1 对传统案件侦查方面，获取、固定、运用电子数据意识不够。工作效率不高，过程拖沓

公安机关因其特殊性质，办理案件分秒必争，必须要有极高的工作效率、极强的时间意识。然而有些单位或相关人员工作态度不认真，拖沓懈怠，主次不清，不分轻重缓急，给取证工作带来极大的不便与麻烦。主要表现在以下几个方面：第一个是特定环境下的案件取证时效性差。如公共场所的盗窃案件和寻衅滋事、拐卖事件等等，由于公共场所由于具有人口流动频率快、机动性强等特点，有利于作案人的隐藏或者离开作案现场，调查人员往往会将询查线索与获取电子证据相对立，先破案再固定电子证据。往往会造成找不到部分嫌疑人或者关键证人，从而影响诉讼。第二个方面体现在特定电子数据证失去时效。对于大多数服务器架设在境外的网络赌博案件，在查扣电子物证时，如果忽略了现场电子数据的固定和取证，往往会对案件调查进展产生不良影响，案件调查的第一手证据就会永远消失。最简单包括象验证码、登录用户的Cookies信息等等，取证人员稍有怠慢，就面临着重要的电子信息无法固定、获取。第三方面的原因是对于高智商高科技犯罪取证难度大。由于取证人员专业知识不足和使用取证设备并不处在前沿等原因，对于一些使用高端科技和信息化知识专业性很强的罪犯，往往取证上会出现很多困难。

2.2 公安电子数据取证结果不完整、不全面

首先，取证人员在调查证据时，由于专业能力差、证据意识不强、搜针范围过于狭窄，造成对于现场的调查不仔细，有些细微证据未能被发现，就如对于一个简单的聊天记录的调查，由于取证人员忽视，没有搜齐聊天所使用的设备，可能造成的影响就是获取的聊天记录不完整，关键证据丢失。对于人证的调查以偏概全，不够完整。询问缺乏系统性等原因，导致信息错误、关键细节漏问，造成无法通过取证技术获取其在网络上隐藏证据的信息。对送检电子检材及案件细节描述不清、对检材鉴定需求不明，造成提取的电子证据联系松散，不能相互印证，大大降低了电子证据的效用；最后，电子数据取证工作还存在漏取现象。很多办案单位在取证过程中重“大件儿”，对于损失大影响大的大型案件或者要件的电子数据取证很上心，而一般案件的电子数据取证却比较松懈。造成电子数据提取的结果不完整。

2.3 目前的公安电子数据取证过程缺乏方法和策略

目前普遍存在电子取证方面，缺乏方法与策略。有些取证人员将电子取证变成了一个机械步骤，操作按部就班，取证方法千篇一律，取证过程模式化，不能做到因人而异、因事而变。二是目前的公安人员在取证后缺乏信息的交流和沟通，只将自己获得的证据进行小规模的共享，没有能力扩散到更多需要相关证据的部门，因此这样缺乏沟通性的方法和策略容易使所获得的证据形成信息孤岛，不利于公安机关作为一个整体，开展办案和取证的工作。

3 云计算的技术在公安数字取证技术中的具体应用

3.1 云计算中数据信息的复制技术

在信息技术快速发展的今天，公安的电子数据取证工作面临着的往往是具有很高水平的入侵者，运用现代网络技术的能力很强，各种技术和方法作为犯罪手段应用千变万化、层出不穷，因此在电子取证中也需要引进更高水平的应对技术。云计算技术可以在电子数据取证中，对数据的复制、线索比对、密码破解、数据分析等方面发挥很好的作用，例如在数据的复制技术中，云计算技术可以在数据备份、数据镜像、拍照和摄像等方面发挥着其特有的作用。举例说明，当一些数据信息中包含一些的视听资料，就可以在用拍照和摄像的方式记录下取证的全过程后进行保存和记录，并通过数据镜像的方式将备份在短时间内恢复到另外的一台主机上。这主要是考虑到在映像上进行的分析工作要比在原件的基础上进行分析和操作更加安全和可靠，避免对原件造成损失。这些复制的数据可以增强公安在取证中的权威性，避免出现犯人翻供的情况。总之，应用云计算的技术，可以代替以往使用效率较低的公安办公中的“烟囱式 IT”的结构管理模式，合理的运用已有的硬件资源，将硬件资源进行合理化的应用，提高这些物理设备的使用效率。通过云计算的数据处理及数据复制的技术，在一定程度上减少设备的采购数量，从整体上为公安机关节省资金，提高整体机器的使用效率。

3.2 云计算中数据信息比对技术

公安电子数据取证发展，一方面通过新获取的证据数据对已有的证据数据进行补充，形成海量。运用云计算技术形成各类数据专家库，另一方面在原有的数据中对新获取的证据数据进行分布式比对，发现线索、关联证据，为公安案件侦查、窜案、并案提供线索。面对数量庞大的数据星系，可以考虑应用人工智能和数据挖掘技术，对特定的证据以及特定的犯罪案件进行比对。做到不仅是收集证据资料，而且实现了取证的智能化。这种智能技术的核心在于开发专家系统，这种专家系统可以将系统指定为有标识或者能够预测类型数据的能力，这样的智能性提高了数据分析的能力，也对证据之间的关联规则分析、分类和联系分析等有了更好的阐释。

3.3 云计算中数据信息的复原技术

在公安进行数字取证的过程中，因为系统原因造成的数据丢失或者遇到一些不法分子对已有的数据进行了不同程度的破坏，阻碍案件侦查的顺利进行。利用云计算的技术，可以通过对提取电子证据进行复原，对一些遭到破坏的数据信息进行恢复以及一些对不可见区域的数据提取，通过复原的公安电子数据信息，为案件侦查提供可靠的信息支持，从而提高公安的工作效率和工作质量。需要注意的是，大多数的计算机系统其实本身就自带有一些自动生成辈分数据或者恢复数据的功能，一些经过特殊设置的计算机安全系统还会为计算机的中的重要数据进行专门的备份。这些安全系统在设置时一般都是用一些专门的设备以及专业的操作管理共同组成的，如果想要进行篡改，难度比较大。因此，当一些不法分子通过计算机网络进行非法的交易，并将相关的证据、数据信息进行修改和破坏时，公安部门可以通过云计算的技术，将系统为之自动备份的数据和经过处理后的数据进行证据之间的对比和比较，尽量恢复原数据，最终获取在破案中所需要的真实数据。

3.4 云计算中数据信息的密码破解技术

在目前的公安电子数据取证工作中，一个重要的工作内容就是对相关应用程序用户密码或加密数据的密码进行破解。利用云计算和分布式运算技术，在取证云计算机上部署密码破译恢复模块，帮助取证人员破译不同类型的密码，让取证人员获取密码的时间相对缩短。例如，当我们使用Ping或Traceroute的命令时，Ping命令会向目标的主机发送数据请求，并开启监听的ICMP的应答设备，这样我们就可以通过Traceroute的命令获得从源主机到互联网另一端的目标主机的路径参数，包括事件、设备名称以及IP地址等。

3.5 云计算的具体使用步骤

在通过云计算进行取证的过程中，主要的用法包括了取证调查、故障的排除、日志的检测以及数据和系统的恢复。在取证调查中，可以针对一些具有违反多管辖权和多租户的云计算环境中的调查。另外，对一些可疑的交易、操作以及系统事件响应云计算的调查，进行关于云事件的重建。针对一些可疑的调查证据，可以选择向法院提供必要的破案证据。在故障的排除过程中，可以通过定位某个数据文件的方式，在云环境下追踪相关的部件。也可以在确认了单个事件的发生后，逐渐找出与其相关的多个事件的原因，在新的战略方案下寻找根本原因，防止故障的发生。在日志的监测中，公安机关应当在法律允许的范围内，进行尽职的相关数据的调查，并对相关的数据进行收集、分析和审计。针对一些被意外或故意删除、修改的证据和数据，可以进行恢复，并对重要的问题进行加密。公安机关在云计算的帮助下，应尽最大的努力，根据相关的规定进行工作的取证，并保证在取证过程中保护用户的敏感信息，并定期进行监测和维护，保证公安机关在进行办案取证的同时，不干扰和损害其他用户的正规利益，使公安机关的工作得以正常的开展和运行。

通过云计算进行取证的具体的操作步骤是这样进行的，第一个是在取证之前明确公安机关需要通过云计算进行什么样的取证，即取证的目的。第二个步骤是需要确定和识别云计算中取证的服务类型，如到底是PaaS、还是IaaS、或是SaaS的技术。第三个步骤主要是为了确定自己所采用的背景技术类型是什么。第四个步骤是针对于客户端而言的，在进行云计算的取证之前，要确定用户在客户端中的作用，并且通过取证工具，进行用户在客户端所执行过的活动的取证和记录。第五个步骤是针对于服务器端而言的，在取证前需要得到来自用户器端的相关使用证据，并与云服务的提供商进行交流和沟通，避免出现冒名顶替服务器端进行数据查询的情况出现，减少威胁数据安全的行为。另外，服务器端可以从云服务的提供商处进行日志的收集，在经过云服务的身份确认后，在提供商处收集全部的证据。最后一步，针对云计算的开发方，可以在开发方处进行全部证据的收集，然后识别在数据上传过程中所需要使用的工具，最后确认一边云服务提供商接受数据的时间是否一致。

4 结束语

在科学技术的推动下，云计算近期推出了云取证的操作方式。在当前的公安电子数据取证的过程中，有很多新的挑战和挫折需要公安机关面对，包括一些司法管辖权问题和国际合作的问题。目前云计算缺乏相关的标准和政策，这既是一种发展机会，又存在着潜在的危险。因此，公安机关应当将云计算更好的应用在取证过程中，无论是静态的电子证据，还是动态的网络电子取证，都可以通过强调关键技术的方式帮助公安机关提高办案的工作效率，更好的保障公安机关工作的正常运行。

[1]罗军舟,金嘉晖,宋爱波等.云计算：体系架构与关键技术[J].通信学报.2011.

[2]国光明,杨健云.计算在公安信息化建设中的应用[J].武汉公安干部学院学报.2013.

[3]郭军.云计算在公安信息化建设中的应用研究[J].科技向导.2015.