一、国际标准-凯发娱乐
(一)国际标准化组织
国际标准化组织信息安全技术委员会(iso/iec jtc1/sc27)在2012年10月发布了《电子证据识别、收集、获取和保存指南》(iso/iec 27037:2012),使用对象为数字证据第一响应员(derf)、数字证据专家(des)、事件响应专家和取证实验室人员。该指南规定了数字证据收集的上下文环境,电子数据处理的需求分析和处理步骤,数字证据识别、收集、获取和保存的关键组件,示例说明以及网络设备和数码相机、摄像机的识别、收集、获取和保存描述。
此外,国际标准化组织在2012年12月发布了iso/iec 27041《调查方法适宜性充分性保障指南》、iso/iec 27042《电子证据分析解释指南》和iso/iec 27043《调查原则和过程》的草案文本。其中,iso/iec 27041为确保在信息安全事件调查中所使用的方法和过程的适宜性的机制提供了指南,包括要求定义、方法描述、证据提供的最佳实践以及满足要求的方法实施,还包括如何使用供货商和第三方测试来协助保障该过程。iso/iec 27042为电子证据的分析和解释提供了指南,某种意义上解决了连续性、有效性、可再现性和可重复性的问题。它包括以下方面的最佳实践:分析过程的选择、设计和实施;记录充分的信息以支持独立调查(需要时)。它为展示调查者水平和能力的适当机制提供了指南。iso/iec 27043为调查过程提供了理想模型的指南,包括不同的调查场景,这些场景大部分涉及电子数据。其中,不但包括从事件处理的前期准备直至证据存储或公开,还包括对过程、证据的适当研究以及获取、收集、检查和展示方面的建议和警告。iso/iec 27043指南旨在处理各种调查过程,以发现潜在的电子数据。该指南不但提供了网络犯罪的调查过程,还提供其他涉及电子数据事件的调查的过程,例如未授权访问、数据损坏、系统崩溃和其他要求调查事件。[13]
(二)internet工程任务组(ietf)
互联网工程任务组,成立于1985年年底,是全球互联网最具权威的技术标准化组织,主要任务是负责互联网相关技术规范的研发和制定。ietf早在2002年2月就发布了rfc 3227《电子证据收集、保管指南》。该指南由brezinski&killalea编著,指南由绪论、电子数据收集过程中指导原则、收集程序、归档保存程序以及工具使用要求章节组成,在第三节数字数据收集的技术规范中指出[14]:
(1)透明度。证据收集的方法应该是透明的、可重复的。采用的方法是准确的、可重复的、被独立专家们测试过的。
(2)收集步骤。
①证据在什么地方?列出系统涉及的事件和涉及的证据。
②建立哪些可能是相关的证据,哪些可能是可采纳的证据。
③对于每个系统,列出其证据的易失性程度。
④删除外部更改的途径。
⑤按照证据的易失性顺序,使用合适的工具来收集证据。
⑥记录系统时间的差异。(https://www.daowen.com)
⑦在证据收集时,注意其他潜在的证据源。
⑧文档化记录收集过程中的每一步。
⑨不要忘记涉及的人员。注意谁在那?他们正在做什么?他们观察到了什么和反映什么?
同时考虑给收集的证据进行校验和加密签名,这样易于形成证据保管链,并且不易改变证据。
(三)计算机证据国际组织
计算机证据国际组织(international organization on computer evidence)成立于1995年。其成立主要力图解决国家与国家之间计算机证据处理的方法不一致、在司法实践中国家与国家之间对收集获取的计算机证据不能互相使用等问题。2000年3月,ioce依据1999年在伦敦召开的国际高技术犯罪和取证大会的内容,向其下属机构提交了一份报告,提出了一系列计算机取证的定义和原则,该报告中指出计算机取证过程中应该遵守的6条基本原则。[15]
(1)必须遵守所有取证和处理证据的原则。
(2)获取证据时所采用的方法不能改变原始证据。
(3)取证人员必须经过专门培训。
(4)证据获取、访问、存储或传输过程应该有完整的记录,应妥善保存这些记录。
(5)每一名保管电子证据的人员应对其针对电子证据的每一个行为负责。
(6)任何负责获取、访问、存储或传输电子证据的机构有责任遵循这些原则。
2002年,ioce制定了guidelines for best practice in the forensic examination ofdigital technology,该准则对电子数据的采集、保存、检验和传送提出了特别的要求,并获得了八国集团的认可。[16]