中科院软件研究所丁丽萍：云环境下的电子数据取证技术研究

一、云环境下的安全问题与云取证的提出 云计算已经成为IT基础设施建设的首选，同时云安全问题越来越突出。云计算平台由于用户、信息资源的高度集中，更易成为网络攻击的目标。CNCERT发布的《2018我国互联网网络安全态势综述》中指出，云平台现已成为发生网络攻击的重灾区，在各类型网络安全事件数量中，云平台上的DDoS攻击次数、被植入后门的网站数量、被篡改网站数量均占比超过50%，安全形势异常严峻。 网络安全没有银弹，云安全亦是如此，云安全事件时有发生，防不胜防，这就需要电子数据取证来进行事后追责和惩治。电子数据取证技术也是云计算环境下对各种恶意行为进行调查取证、追究法律责任不可或缺的技术手段，可用于威慑和打击各类云犯罪活动，维护用户正当权益。此外，《网络安全法》强化了网络运营商的责任和义务，确定了网络运营商在网络安全维护中的主体责任地位，云取证技术是云服务运营商履行主体责任的主要技术手段之一。

二、电子数据取证与云取证 电子数据取证是指科学地运用提取和证明方法，对于从电子数据源提取的电子证据进行保护、收集、验证、鉴定、分析、解释、存档和出示，以有助于进一步的犯罪事件重构或者帮助识别某些与计划操作无关的非授权性活动。 其中，保护是指对于电子数据证据源的环境、介质、系统、文档等进行的最大限度地保护，以保证证据的充分性。收集是指对于电子数据证据的收取、采集、获取等。验证是指对于获取的电子数据进行校验和证明，确定其真伪、生成或修改的时间、地点、责任人、工具等，以确定其可采用性。鉴定是指是指鉴定人运用信息学、物理学以及电子技术的原理和技术手段，对诉讼涉及的电子数据进行恢复、鉴别和判断，并提供鉴定意见。分析是指对于获取的含有电子数据证据的数据采用适当的统计分析方法进行分类、分层、搜索、过滤、恢复、可视化等，为提取有用信息和形成结论而对数据加以详细研究和概括总结的过程。解释是指要把电子数据证据及相关的环境、人员等以能够理解的方式表达出来。存档是指电子数据取证过程中对一些重要数据的存档，包括原数据的存档和内容数据的存档。出示是指把电子数据证据呈现在需要的场合的行为。一般而言，需要按照法律法规和规章的要求进行呈现。 云取证是针对云计算的犯罪进行的电子数据取证过程，是电子数据取证技术在云计算环境这样一个特定场景下的应用。 Ruan K教授从三个维度对云取证领域相关问题进行划分，包括技术、组织和法律。技术维度主要涉及在云计算环境中进行电子数据取证的具体过程和试用的技术和工具。组织维度主要指云计算环境中包含的角色，包括云服务提供商、云服务用户、云服务中介、审计人员和取证人员，不同的角色在云取证活动中的职责不同，他们之间的交互可以促进云取证的实施。法律维度主要关注在涉及跨多个管辖区的法律问题。2017 年，云安全联盟（CSA，Cloud Security Alliance）发布的《云计算关键领域安全指南V4.0》将云取证作为云计算发展的重点关注领域提出。但由于云计算基础设施规模庞大，服务种类多样，并具有分布性、虚拟性和共享性等特点，云取证面临着巨大挑战。

三、云取证技术面临的挑战 1. 云环境下数据多采用分布式存储，数据文件被分割成数据块，存储于不同的数据中心，甚至跨司法管辖范围，导致了数据定位和提取的困难。 2. 虚拟化技术使得多个用户共享同一个或多个物理设备，针对物理设备的取证将威胁到无关用户的数据安全。 3. 虚拟化技术中资源的回收和再分配频繁，导致很多云平台中的数据成为易失性数据，一旦被释放回收，相关的数据就难以恢复。 4. 由于云计算中资源的所有权、管理权和使用权的分离使得用户失去了对物理资源的额直接控制，也失去对网络环境的控制，无法从用户层面进行网络取证。 5. 云环境下安全运维一直是行业痛点，云平台用户规模巨大，云取证同样面临着运维复杂、响应不及时的难题。

四、云取证技术领域的研究热点

1. 云取证模型的研究 传统的电子数据取证模型主要适用于计算机取证和网络取证，难以直接应用于云环境，因为云取证不同于一般的计算机取证或网络取证环境，其获取、传输、存储和分析都要遵循一定的原则和步骤，否则无法保证电子证据的真实性、相关性与合法性，从而无法满足电子证据的可采用性标准，为此需要进行云计算环境下的取证模型研究。云取证模型的研究一方面需要针对云计算环境的特点指导取证人员从海量的数据中识别电子证据，定位电子数据所在虚拟机的物理位置，采取合理可行的证据收集策略与方法，并提供云计算环境下有效的证据分析方法，另一方面需要论证取证模型满足电子证据的三性。针对云取证模型的研究很多，但是目前尚没有给出综合性、整体性的取证策略与实施方法，不足以指导云环境下的取证工作。设计云取证模型依然是当前云取证研究的主要方向之一，对于云取证工作具有重要的指导意义。

2.云环境中电子数据的提取技术研究 云环境中的电子数据提取是在证据获取阶段，取证调查者借助取证工具对云环境中涉及案件的电子数据的收集过程。由于云计算具有分布性和虚拟性等特性，传统的基于单机的证据提取方法存在诸多局限，云环境中电子数据的提取一直是云取证的热点和难点问题。如轰动一时的e租宝一案，丁宁等人通过“e租宝”互联网平台发布虚假的融资租赁债权和个人债权项目，以承诺还本付息为诱饵，通过媒体等途径向社会公开宣传，非法吸收公众资金。该e租宝平台就是搭建在云平台中，为了进行调查取证，公安机关调取了300多台虚拟服务器，但是光调取这些服务器就耗时半年，严重影响调查进展。解决云平台电子数据的提取难题迫在眉睫。目前的研究思路主要包括通过分层将传统的取证工具整合进云平台中实现实时证据提取，虚拟机的电子数据自动化提取技术，以及作为补充的客户端本地缓存数据的提取等。然而这些方法普遍存在存储开销和性能负载过高、运维困难而难以落地实施等问题，需要进一步深入的研究。

3.云环境中电子数据的分析技术研究 云环境中的电子数据分析是指取证调查者借助分析工具、分析算法对涉案电子数据进行分析的过程，主要包括数据源的分析、数据恢复、事件重构、数据检索等。而云环境中的涉案数据量巨大、数据格式众多、多源证据时间戳不一致、网络环境复杂等特性给证据的分析带来挑战。在笔者真实的司法鉴定技术服务中就常遇到提取的云环境中数据量太大、格式复杂，常规的取证分析工具难以支持的情况。面对数据量巨大的问题，目前的研究思路已经从分析所有的数据的取证思路转变为借助机器学习的方法进行智能分析上来，而针对数据源分析困难，有研究者提出借助SDN网络取证分析来实现网络攻击溯源等方法。然而目前提出的方法均存在局限性，难以有效解决目前的困境。云环境中电子数据的分析方法臻待进一步的研究。

五、总结 云取证作为云安全闭环中不可或缺的一环对云计算的发展起着举足轻重的作用。随着《网络安全法》强化了网络运营商的责任和义务，云取证也必将成为云平台合理合法运营的重要保障。然而云取证技术尚处于发展阶段，云取证实务面临种种难题，还需要更加健全的国家法律法规和更加先进的云取证相关技术。 来源：中国信息安全