计算机取证是计算机领域和法学领域的一门交叉学科,被用来解决大量的计算机犯罪和事故,包括网络入侵,信息数据盗取盗用,以及知识产权盗用,网络欺诈等等。
对于取证本身,它是指数字证据的收集,保存,确认,识别,分析,解释,归档和呈现,并支持对网络犯罪行为的现场重构指控。作为证据,对网络犯罪行为进行法律打击。从技术上而言,计算机取证是一个对贝亲计算机系统进行扫描和破解的过程,以及对入侵事件进行重建的过程,可以理解为计算机上提取证据,并确保证据的可信度。
目前,网络攻击,网络犯罪相关的活动日益猖獗,所涉及的损失也逐年增长,呈现出强增长的趋势,但最终落网的不法分子却屈指可数,背后的原因其实就是证据的问题。这主要也是源于这种活动涉及的行为隐蔽,攻击链路复杂,技术层面参差不齐,参与人员国际化,团队化,缺乏及时有效的取证,无法对犯罪进行有效法律制裁。2021到2023,我们也同样在国际上被一些有意人员进行诋毁,诬陷,这里面也涉及到了关于取证不足导致的国与国之间的恶意竞争问题。所以网络空间取证是保证公正、透明以及正义力量的必要技术。
近期刚好也是我们网络宣传周的时间,网络安全为大家,网络安全靠大家。只有通过完整的,准确的,及时的取证,才能将网络中犯罪分子绳之以法,才能对网络犯罪,网络欺诈等不法网络行为产生重要的震慑性,其重要意义不言而喻,对国家立法,执法和治理网络空间有着重要的支撑作用。
当前,取证在整个网络空间技术领域还是面临着一些挑战。具体我们可以从如下几类分别阐述。
一类是取证困难,无法去确保证据的完整性,有效性和及时性。中间数据的原始状态可能会受到技术性的破坏,这样就导致了证据的法律效应。另外一个维度是取证中原始数据的数量庞大,从中去获取关联相关的有效证据比较困难。
其次是取证技术的难度比较大,特别是针对于一些复杂环境,复杂链条等的应用场景,在各个不同阶段因其所具备的条件不同,对调查取证以及分析减少了质量保证。
再次,取证中多方协同的问题因网络犯罪行为实施并不仅仅局限于某一个内网或某一个城域网,还涉及到更大的互联网,国际网络网。在取证过程当中,就需要得到的方的协同和支持的,只有这样才能,尽可能最大效益的完成取证工作。
当前取证的方式从技术角度看,可以有分析硬盘,光盘,软盘,磁盘,U盘,内存缓冲,以及其他相关存储的介质。同时还可以用诸如信息源的方式比如系统日志,网络设备及安全设备的,工作记录,审计,网络流量监控,记录,电子邮件,浏览器缓存,历史浏览记录等等。
目前,随着取证技术和应用的不断发展,在取证领域已经形成了一系列的取证模型,比如基于过程的模型事件,响应过程模型,法律执行过程,模型过程,抽象模型等,并且以此为基础,形成了多种配套综合的取证技术。比如结合入侵检测的取证技术,结合入侵诱骗的取证技术,证据保全技术等等,在整体上的思路是在保证系统核心功能的前提下,尽可能多的记录收集可能会有的网络犯罪行为的痕迹。
以上整理的内容来源于《网络空间安全问题分析与体系研究》
【注:以上作者学习摘录,仅作为参考】
来源:安全壹壹肆 【关注公众号或是加入知识星球(安全114)】
声明:文章中部分展示图例来源于网络,版权并不属于作者