[科普中国]-美国电子数据取证标准

简介电子数据证据

在美国，相关判例认为，电子证据包括以下三类：计算机储存记录、计算机生成记录、电子数据证据。计算机储存记录是由人创制的电子数据，比如电子邮件、网络聊天等；计算机生成记录是计算机自动生成的电子数据，比如计算机日志、电话记录等；电子数据证据即计算机合成记录，是由以上两类电子数据混合形成的电子数据证据。2

概况美国在电子数据取证方面的研究远超于其他国家，美国国家标准与技术研究院、美国司法部、美国联邦调查局的“数字取证科学组”和“图像技术科学组、美国试验与材料学会国际组织等机构制定了一系列电子数据取证相关的标准和规范。

美国国家标准与技术研究院美国国家标准与技术研究院（NIST）成立于1901年，是一个非监管性质的联邦部门，是美国测量技术和标准的国家级研究机构。NIST通过出台标准和指南相结合方式为政府部门的取证管理规范提供支持，大部分已经出台的文件都是指南的性质，不具备强制性，而是为政府部门的相关工作提供实施的思路和方法。NIST出台的电子数据取证方面的标准和文件包括特别出版物（SP 800）系列和内部报告（IRs）系列等。

特别出版物（SP 800）系列SP 800系列是指南文件，对联邦政府部门不具备强制性，而只是提供一种供参考的方法或经验。目前，SP 800系列与电子数据取证相关的标准有：

1、2004年11月，NIST SP 800-72《Guidelines on PDA Forensics》

2、2006年8月，NIST SP 800-86《Guide to Integrating Forensic Techniques into Incident Response》

3、2014年5月，NIST SP 800-101 Revision 1《Guidelines on CellPhone Forensic》

内部报告（IRs）系列内部报告系列主要向特定读者描述相关技术方面的研究内容，包括向NIST的资助者（政府和非政府组织）提交的过程或最终报告。目前，内部报告与电子数据取证相关的有：

1、2004年8月，NISTIR 7100《PDA Forensic Tools: An Overview and Analysis》

2、2005年10月, NISTIR 7250《Cell Phone Forensic Tools: An Overview and Analysis》

3、2007年3月, NISTIR 7387《Cell Phone Forensic Tools: An Overview and Analysis Update》

4、2008年8月，NISTIR 7516《Forensic Filtering of Cell Phone Protocols》

5、2009年10月, NISTIR 7617《Mobile Forensic Reference Materials: A Methodology and Reification》

6、2014年1月, NISTIR 8006《DRAFT NIST Cloud Computing Forensic Science Challenges》

相关工作NIST 针对电子取证制定的指导性文件并不多，这可能与其职能定位有关，但是为了配合其他机构开展电子取证相关工作，NIST 发起了包括“计算机取证工具测试”项目（ Computer Forensics Tool Testing ， CFTT ）、“国家软件参考库”项目（ National SoftwareReference Library ， NSRL ）以及“计算机取证参考数据集”（ Computer Forensic ReferenceData Sets ， CFReDS ）在内的多个研究项目。其中， CFTT 项目旨在为确保执法部门使用的电子取证工具的有效性，而建立一套测试电子取证软件工具方法，内容包括规格说明书编制、测试程序、测试标准、测试数据集和测试硬件。 NSRL项目负责建立一个包含各种软件的文件以及数字签名的目录，以便在执法和数字取证时使用。CFReDS 项目为取证工具有效性验证、装备检查、人员训练，以及在实验室认可工作中取证人员的能力水平测试等工作中提供数据。1

美国司法部国家司法研究所（ National Institute ofJustice ， NIJ ）隶属于司法部，在 2001 年颁布了《计算机现场勘查指南》后，不断资助相关领域的研究项目以促进电子证据取证工作，并以特别报告（ Special Report ）的形式发布了部分标准。其中《电子犯罪现场勘查：首要响应人员指南》 和《电子犯罪现场勘查：执法人员指南》两部文献中提出了电子取证的“三项原则”，即：

1.收集、保全、传输电子数据不应造成电子数据的改变；

2.电子数据检验应由受过专门培训的专业人员进行；

3.扣押、传输、存储电子数据的所有行为都应建立完整的书面记录，并归档备查。1

目前有效标准有：

1、2004年4月，NIJ Special Report NCJ 199408《Forensic Examinationof Digital Evidence: A Guide for Law Enforcement》

2、2007年1月，NIJ Special Report NCJ 211314《Digital Evidence in the Courtroom: A Guide for Law Enforcement and Prosecutors》

3、2007年1月，NIJ Special Report NCJ 210798《Investigations Involving the Internet and Computer Networks》

4、2007年10月，NIJ Special Report NCJ 213030《Investigative Uses of Technology: Devices, Tools, and Techniques》

5、2008年4月，NIJ Special Report NCJ 219941《Electronic CrimeScene Investigation: A Guide for First Responders》2nd Edition

6、2009年11月，NIJ Special Report NCJ 227050《Electronic CrimeScene Investigation: An On-the-Scene Reference for First Responders》

“数字取证科学组”和“图像技术科学组”美国联邦调查局隶属于司法部，是美国政府打击各种犯罪的联邦机构。其下属的“数字取证科学组”（ Scientific Working Group onDigital Evidence ， SWGDE ）和“图像技术科学组”（ Scientific Working Group on ImagingTechnology ， SWGIT ），以联合或者独立的形式发布了一系列涉及电子证据获取与分析技术、规范流程、质量管理体系等的标准与规范，标准体系较完备，针对性和实用性强，在业界有很高的影响力1

SWGDE和SWGIT联合发布1、2004年1月，《Guidelines & Recommendations for Training in Digital &Multimedia Evidence》2.0版本

2、2006年1月，《Proficiency Test Program Guidelines》1.1版本

3、2013年4月，《Digital & Multimedia Evidence Glossary》2.7版本

SWGDE发布1、2006年4月，《Digital Evidence Findings》1.0版本

2、2008年1月，《Position Paper Standards and Controls》1.0版本

3、2008年1月，《Peer to Peer Technologies》1.0版本

4、2010年5月，《Min Req for QA in Proc Digital & Multimedia Evidence》1.0版本

5、2011年9月，《Core Competencies for Forensic Audio》1.0版本

6、2012年6月，1.0版本

7、2012年9月，《Model Quality Assurance Manual for Digital Evidence Laboratories》3.0版本

8、2012年9月，《Model Standard Operation Procedures for Computer Forensics》3.0版本

9、2013年2月，《Best Practices for Mobile Phone Examinations》2.0版本

10、2013年2月，《CoreCompetencies for Mobile Phone Forensics》1.0版本

11、2013年2月，《BestPractices for Vehicle Navigation and Infotainment System Examinations》1.0版本

12、2014年2月，《UEFI andits Effect on Digital Forensics Imaging》1.0版本

13、2014年2月，《ElectricNetwork Frequency Discussion Paper》1.2版本

14、2014年6月，《EstablishingConfidence in Digital Forensic Results by Error Mitigation Analysis》1.4版本

15、2014年6月，《BestPractices for Examining Magnetic Card Readers》1.0版本

16、2014年9月，《Digitaland Multimedia Evidence (Digital Forensics) as a Forensic Science Discipline》2.0版本

17、2014年9月，《FocusedCollection and Examination of Digital Evidence》1.0版本

18、2014年9月，《BestPractices for Computer Forensics》3.1版本

19、2014年9月，《RecommendedGuidelines for Validation Testing》2.0版本

20、2014年9月，《BestPractices for Handling Damaged Hard Drives》1.0版本

21、2014年9月，《BestPractices for Forensic Audio》2.0版本

22、2014年9月，《Mac OS XTech Notes》1.1版本

23、2014年9月，《Capture ofLive Systems》2.0版本

SWGIT发布1、2010年6月，Section 1《Overview of SWGIT and the Use of Imaging Technology in the CriminalJustice System》3.3版本

2、2010年8月，Section 4《Recommendations and Guidelines for Using Closed-Circuit TelevisionSecurity Systems in Commercial Institutions》3.0版本

3、2010年1月，Section 5《Guidelines for Image Processing》2.1版本

4、2010年6月，Section 6《Guidelines and Recommendations for Training in Imaging Technologiesin the Criminal Justice System》1.3版本

5、2009年1月，Section 7《Best Practices for Forensic Video Analysis》1.0版本

6、2010年6月，Section 8《General Guidelines for Capturing Latent Impressions Using a DigitalCamera》1.3版本

7、2013年9月Section 9《General Guidelines for Photographing Footwear and Tire Impressions》1.0版本

8、2010年1月，Section 11《Best Practices for Documenting Image Enhancement》1.3版本

9、2012年6月，Section 12《Best Practices for Forensic Image Analysis》1.7版本

10、2012年1月，Section 13《BestPractices for Maintaining the Integrity of Digital Images and Digital Video》1.1版本

11、2013年1月，Section 14《BestPractices for Image Authentication》1.1版本

12、2012年1月，Section 15《BestPractices for Archiving Digital and Multimedia Evidence (DME) in the CriminalJustice System》1.1版本

13、2013年1月，Section 16《BestPractices for Forensic Photographic Comparison》1.1版本

14、2012年1月，Section 17《DigitalImaging Technology Issues for the Courts》2.2版本

15、2010年1月，Section 18《BestPractices for Automated Image Processing》1.0版本

16、2011年1月，Section 19《IssuesRelating to Digital Image Compression and File Formats》1.1版本

17、2012年1月，Section 20《Recommendationsand Guidelines for Crime Scene/Critical Incident Videography》1.0版本

18、2012年1月，Section 21《Procedurefor Testing Scanner Resolution for Latent Print Imaging》1.0版本

19、2012年1月，Section 22《Procedurefor Testing Digital Camera System Resolution for Latent Print Photography》1.0版本

20、2013年1月，Section 23《BestPractices for the Analysis of Digital Video Recorders》1.0版本

21、2013年9月，Section 24《BestPractices for the Retrieval of Digital Video》1.0版本

美国试验与材料学会国际组织成立于1898年的ASTM International（美国试验与材料学会国际组织）是目前世界上最大的制定自愿性标准的组织,也是美国为数不多的专注于标准制定工作的标准化机构。主要任务是制定材料、产品、系统、和服务等领域的特性和性能标准，试验方法和程序标准，促进有关知识的发展和推广。ASTM标准分为六种类型：标准试验方法(Standard Test Method)、标准规范(Standard Specification)、标准惯例(StandardPractice)、标准术语(Standard Terminology)、标准指南(Standard Guide)和标准分类(Class．fication)。

电子数据取证专业隶属于ASTM技术委员会E30下设分技术委员会E30.12《数字和多媒体证据》，目前已经发布的标准有

1、2009年，ASTM E2678-09《Standard Guide for Education and Training in Computer Forensics》

2、2010年，ASTM E2763-10《StandardPractice for Computer Forensics》

3、2012年，ASTM E2825-12《Standard Guide for Forensic Digital Image Processing》

4、2013年，ASTM E2825-12《Standard Guide for Forensic Digital Image Processing》3

正在编制的标准有：

1、ASTM WK45289《New Specification for Establishing Confidence in Digital ForensicResults by Error Mitigation Analysis》

2、ASTM WK46449《New Guide for Core Competencies for Mobile Phone Forensics》

3、ASTM WK46469《New Practice for Examining Magnetic Card Readers》

计算机犯罪与知识产权处计算机犯罪与知识产权处（CCIPS）隶属于美国司法部的刑事犯罪部门，主要负责调查计算机犯罪（黑客，病毒，蠕虫）和知识产权犯罪，专门从事计算机和网络上的数字证据的搜查和扣押。目前CCIPS的文件包括：

1、2006年9月，《Prosecuting Intellectual Property Crimes》第三版

2、2009年9月，《Searching & Seizing Computers and Obtaining Electronic Evidencein Criminal Investigations》第三版

3、2010年10月，《Prosecuting Computer Crimes》4

美国特勤局美国特勤局（USSS）是美国联邦政府的执法机构，隶属于美国国土安全部。该机构的主要管辖权是预防和调查对美元和债券的伪造，以及保护总统、副总统等重要人员和国土安全部指定的国家特别安全事件。同时，该机构还负责跟踪调查各种金融诈骗犯罪的相关嫌疑人，并为一些地方犯罪的调查提供协助。特勤局和电子数据取证相关的规范有：

1、2002年，《Best Practices for Seizing Electronic Evidence》第一版

2、2003年，《Best Practices for Seizing Electronic Evidence》第二版

3、2007年，《Best Practices For Seizing Electronic Evidence v.3 - A Pocket Guidefor First Responders》

美国互联网供应商协会美国互联网供应商协会（US ISPA）为保障互联网服务供应商的合法权益，指导成员处理具体法律事务，颁布了以下文件：

1、2003年，《Electronic Evidence Compliance: A Guide for ISP》

2、2010年，《Internet Service Provider Law Enforcement Subpoena Response SoundPractices Guide》