电子证据溯源研究　[www.dffy.com]

　　对于信息系统使用者，种类属性用于判别其属于哪类人群，比如使用何种语言、技术水平高低这样的特征信息。在入侵破坏案件中根据入侵难度的高低来判断入侵者的技术水平；根据入侵工具的控制界面语言，源程序中的注释语言种类，判断入侵者是使用何种语言的人群。

　　种属特征信息不能用于直接识别信息系统个体或者制作人个体，但是可以用于判别大体的来源范围，以及用于在数字信息与来源之间建立关联关系。

　　2、个体特征信息

　　对于信息系统，有关身份标识的信息是比较重要的一类特征信息，尤其是进行互联通信的数字信息设备、计算机，都需要设定不同的身份标识来相互区别，如数字手机IMEI串码、计算机网卡的MAC地址、同一IP网络中不同设备的IP地址。设备及产品的序列号也是一类个体标识。在电子证据取证中，往往就需要记录数字设备、计算机的序列号。另外，信息系统运行过程中，由于运行状态变化也会导致不同信息系统之间的个体差异性，这种差异性也是一种个体特征。比如，访问过某一web页面的计算机，在其硬盘中往往会有该页面内容的残留，这也是区别于其他计算机的个体特征信息。

　　对于信息系统使用者，在信息系统中为了区别不同的用户，也给不同的用户分配不同的身份标识。比如操作系统的管理员帐号、电子邮件用户名。这种身份标识与数字信息制作人是直接对应的，可以利用身份标识确定数字信息的制作人。除身份标识外，其他反映出电子信息制作人个体特征的信息，都可以用于制作人身份的鉴别。

　　根据信息系统的个体特征差异可以区别不同的个体，直接确定电子证据的来源。电子证据溯源就要从证据材料中发现这些特征信息，以此为依据实现对证据来源的溯源。在利用特征信息溯源时要考虑特征信息区分个体的范围。比如根据IP地址区分计算机时，要考虑是专用网络中自由分配的IP地址还是全球互联网中的IP地址。另外，还要考虑特征信息的稳定性，有些特征信息是固定不变还是可以更改的，是随时变化的还是在一定时间段内固定不变的。

　　4.3 电子证据的可靠性

　　信息系统与取证操作的可靠性是电子证据溯源的前提。图 1取证过程所示是数字信息产生以及经取证成为电子证据的过程。信息系统的可靠性，保证了信息系统产生的数字信息是准确可靠的，是对现实世界输入信息准确记录和正确处理的结果。比如，功能正常可靠的计算机系统所产生的系统入侵日志，就是对入侵事件的正确记录和反映。

　　取证过程的可靠性，保证了电子证据中提取的数字信息与信息系统中的数字信息是一致的，准确反映了数字信息在信息系统中的原始状态。经可靠取证程序获得的证据，可看作是信息系统中原始数字信息的相同复制品。按照功能等同法，无须有原件与复制件的争议，可把电子证据作为原件来对待。可靠性前提保证了电子证据与其制作者和信息系统之间存在内在的可靠的关联关系，在这种可靠关联关系的基础之上，从电子证据到电子证据制作者、生成电子证据的信息系统的回溯是真实可靠的。

　　信息系统处理信息的可靠性是信息系统的重要指标，在信息系统中都存在保证可靠性的机制，如CRC纠错编码。一般而言，正常使用的信息系统其可靠性是有保障的，在实践中，对于正常运行业务的信息系统都推定其是可靠的。当然，由于环境及人为因素的威胁，信息系统的可靠性也可能受到影响和破坏，此时应做具体分析、区别对待。

　　5 电子证据溯源的一般方法

　　电子证据溯源的基本方法是以电子证据中的数字信息为分析基础，根据电子证据所具有的反映性、差异性、可靠性的性质，从数字信息中发现来源信息系统、制作人的特征信息，根据属性特征信息和个体特征信息建立其数字信息与来源信息系统、制作人之间的关联关系。如果根据某个特征信息或者特征信息的组合可以达到确定信息系统、制作人个体的程度，那么就完成了电子证据来源的鉴别。这种根据个体特征直接确定来源的情况是建立一种直接的关联关系。

　　如果根据个体特征无法完成从数字信息到来源的之间直接关联认定，那么就需要首先从数字信息到信息系统之间建立关联关系，然后再在信息系统与制作人之间建立关联关系，这是间接的关联。间接的关联关系也需要考虑信息传输、处理的中间环节，在每个环节的信息系统之间建立起关联关系。电子证据溯源分析是对取证过程的反向分析，如图 2溯源过程所示。

　　电子证据来源可以是数字信息领域的信息系统，也可以具体到现实领域的制作者。基本的方法是分析发现电子证据中包含的有关信息系统、信息制作者的特征信息，建立起电子证据与信息系统、信息制作人之间的关联关系，以此为依据认定电子证据的来源。

　　

　　图 2溯源过程

　　取证审计记录是记录电子证据直接来源的资料，在电子证据与其直接来源的信息系统之间建立关联关系。证明电子证据是自哪个信息系统或信息设备获取的，是电子证据溯源的基础。

　　在电子证据中可能即包含信息制作者的信息也包含信息系统的信息，在电子证据与信息系统和制作者之间都能建立起关联关系，需要综合多个关联关系，进行相互印证比较。综合考虑特征信息的差异性、稳定性、可靠性等因素，在此基础上得出认定来源的结论。

　　6 电子证据溯源的具体分析

　　对电子证据进行溯源分析，需要分析审查电子的相关证据材料内容进行审查，主要包括取证审计记录和数字信息形式的电子证据两类内容。

　　6.1 取证审计记录的溯源分析

　　取证审计记录是在电子证据收集保全过程中关于证据来源、取证方法、过程、结果的记录，是电子证据重要组成部分。对于电子证据能否被采纳非常重要。在司法实践中，如果只提供了电子证据本身，没有取证审计记录的补充说明，这样的电子证据由于其真实性和来源都无法认定，一般难以采纳。缺乏审计记录的电子证据，在建立间接关联关系时，无法在电子证据与其直接来源之间建立关联关系；根据个体特征信息直接认定来源时，没有审计记录就无法保证来源的真实性和可靠性。

　　

　　图 3 取证审计记录示例

　　在关于计算机司法取证技术的研究中，对于取证审计记录都给与高度重视。关于电子证据取证有各种不同的取证模型，但审计记录都是其中必不可少的环节。⑤我国公安机关规定，在勘验检查计算机犯罪现场时，对于提取固定电子证据要做详细记录，包括《现场勘验检查笔录》、《固定电子证据清单》、《封存电子证据清单》和《勘验检查照片记录表》等记录①。以图 3 取证审计记录示例为例⑥，其中有关于“sony1-1.dd”证据文件来源的明确说明：计算机的物理位置、品牌型号、序列号、使用者等都有记录。

　　审计记录中关于证据固定的内容是审计记录的重要组成部分②。证据固定记录保证电子证据中的数字信息内容与取证目标信息系统中的内容是完全一致的。审计记录中关于证据来源的记录，证明了取证目标信息系统的物理位置、所有者、使用者、型号、运行状态等属性信息。这两部分内容保证了电子证据内容是真实可靠的，来源是明确的。

此文章共有4页 [上一页] [1] [2] [3] [4] [下一页]

　　查看董健　杨永川的其他文章　本文关键词：证据

收藏到法律网摘　讨论　打印　页顶　关闭

你的位置：首页 >> 法学阶梯 >> 诉讼 >> 正文　　　　　　　　　　　　　　　　双击自动滚屏