丁丽萍：新型网络环境下的计算机取证

中国科学院软件研究所基础软件国家工程研究中心系统安全与可信计算研究室负责人丁丽萍女士

演讲实录：

丁丽萍：各位来宾大家好！计算机取证的研究就是在计算机系统以及相关外部设备中获取 一些犯罪证据，这个学科是法学和计算机科学的一个交叉学科，从技术的领域来说最新的研究就是基于系统和外围的设备，最底层到了BIOS的取证 ，再往上是操作系统的取证 ，然后是应用层的取证 ，最后是相关的设备。

BIOS曾经做出一个基于某个形象BIOS木马的植入以及对木马的防患。基于操作系统的取证最早是我在做的，基于操作系统无非 是基于日志的取证 ，系统调用的取证等等。应用层的取证 就是Office取证 ，e-mail取证 ，网络跟踪 ，和版权保护的取证 等等。相关设备的取证 也很多，比如打印机，打印机中可能留存犯罪分子曾经打印过的东西，比如数码相机，比如电话，比如各种信用卡。

既然它是个交叉学科，我们不能光从技术上研究，从法律上要回顾一下国家和计算机相关的法律有这样几个。《中华人民共和国计算机系统安全保护条 例》，《计算机信息网络国际联网的暂行规定》，刑法的285、286、287三条，和《中华人民共和国电子签名 法》，这部法承认了电子证据具有司法效率，所以使得这个领域的研究更加得到国家的认可。从技术方面，最早提出的主动防御策略促进了这个领域的发展，在 03-05年出现一些国家级的课题和研究的文章，2000年公安部确定以办理计算机犯罪 案件为主线，以电子数据证据为核心，目前提出了计算机取证 的研究。04年在北京召开首届计算机取证技术研讨会，当时我还是警察，这届研讨会非常的热烈，大家热情非常高，说要成立一个协会和交流的平台。后来我们就 成立了一个电子学会下的计算机取证专家委员会。第二届取证技术研讨会是在新疆，以网络反恐为主题召开的。第三届即将在上海举行。

我的话题是新型网络 下的计算机取证 ，就是云计算、互联网、"三网融合"的网络模式下计算机取证如何发展。

云计算为 计算机取证带来一些机遇和挑战，云计算自身存在一些安全威胁，计算机取证里面因为有安全威胁，而且防护措施无法防护的时候，事情已经发生了，事后我们要提 取这个事情怎么发生的。所以我们必须首先了解在云计算环境下安全威胁有哪他。云计算环境下安全威胁是三个方面，一个是云计算服务者自身的，第二个是云计算 引发的，第三个是云计算的便利带来的威胁。云计算给计算机取证带来很大便利，我们可以基于IaaS提供的条件，建立专门的取证服务器，当案件发生需要取证 时，克隆 该服务器并使得克隆 后的服务器磁盘 对取证 服务器开放。无需临时寻找存储设备，并花时间等待其启动并进入使用状态，从而大大降低成本和缩短时间。

物联网也有一些安全威胁，它的安全威胁是由网络世界延伸到物质世界，加大网络安全防范的范围和治理难度，安全威胁通过网络扩展到众多节点。大家 知道这些节点五花八门，比如说一个汽车、一个电冰箱，这些都是物联网的节点，你要保护它的安全性就非常困难。同时我觉得安全威胁由物联网自身放大到了云计 算这样一个体系，因为物体的信息处理是要传到服务端处理的，所以安全威胁更加复杂，难度 更大。

"三网融合"使得网络入侵 取证 的范围更为广泛，取证 由原来的计算机网络扩展到了电信网和广电网，应该研究网络融合的原理，融合后网络犯罪的新特点，从而找到计算机取证 的新技术、新方法。

我的报告就这些，谢谢！