数字时代的犯罪现场保护

“敢告某县主：男子某有鞫，辞曰：士五（伍），居某里可定名事里，所坐论云可（何），可（何）罪赦，或覆问毋（无）有，遣识者以律封守，当腾，腾皆为报，敢告主。”

上面这段话出自睡虎地秦墓竹简《封诊式•有鞫》，是有记载的中国最早关于犯罪现场保护的文字记录，距今约有2300年。

自法律产生以来，无论犯罪形式如何变化，对犯罪证据的有效保护一直是一个不变的话题。

时光飞逝，转眼几千年过去了，伴随着科技的迅猛发展，尤其是计算机技术不断发生革命性的飞跃式前进，越来越多的非接触性犯罪在虚拟的数字世界里发生，与此相应，对证据的要求也在转变。正如中国人民大学法学教授何家弘所言：“就司法证明方法的历史而言，人类曾经从‘神证’时代走入‘人证’时代，又从‘人证’时代走入‘物证’时代，也许，我们即将走入另一个司法证明时代，即电子证据时代。”

2012年，在《刑事诉讼法》修正案中，首次将电子数据列为八大证据类型之一。电子数据，是指案件发生过程中形成的，以数字化形式存储、处理、传输的，能够证明案件事实的数据。伴随着大数据、智能化、移动互联网、云计算等技术的普及与发展，特别是随着我国《刑事诉讼法》《行政诉讼法》《民事诉讼法》以及《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》等法律法规对电子数据的规范完善，电子数据已成为司法活动不可或缺的重要证据之一，且发挥着不可替代的作用。

当前，在公安司法实践中，必须十分重视对电子数据的现场保护，以充分发挥其侦查破案和惩罚犯罪的源头性证据效用。

融入人们日常工作生活的涉及案件的移动通信、电子邮件、电子文档、多媒体数码设备、手机聊天软件等产生的电子数据，与传统的证据相比，无论是其表现形式还是技术手段等方面，均具有显著的特点，特别是电子数据的易灭失、易破坏性，使得在电子数据的现场勘查中，如果以传统物证现场保护的思维方式，依托传统物证的现场保护措施方法，则可能无法满足对各类电子数据存储载体的保护需求，造成电子数据被破坏、删除甚至灭失，从而影响、制约案件的侦办。笔者认为，侦查实践中要有效实施电子数据的现场保护，须从环境、人员、设备、装备四要素入手，方能奏效。

环境——电子数据现场周围的状况和条件

任何电子数据的产生、存在、变化和灭失均离不开一定的环境条件，现场环境条件的不同，其存在的方式、时间与结果是不一样的。因此，这是开展涉案电子数据现场保护要考虑的首要因素。否则，侦查人员不仅不能查明涉案现场电子数据的情况，还可能迷失侦查方向，甚至被犯罪嫌疑人诱入陷阱圈套。

2016年7月某日晚，某报社CMS（内容管理）系统遭黑客攻击，报社信息发布系统无法正常运行。案发后，属地派出所民警第一时间赶赴现场开展工作。但由于派出所民警到现场后没有对被侵害系统拓扑结构进行观察调取分析，在尚未熟悉掌握电子数据现场环境因素的情况下，直接对报业系统的服务器进行了现场勘查。经过5个多小时的勘查工作，一直没有发现被网络攻击的迹象。在辖区派出所的请求下，网安部门派出技术力量赶赴现场支持。网安技术人员到达现场后，首先对现场环境进行了分析，发现CMS系统存在内外网交互情况，为方便报社记者对稿件的处理，报社在互联网搭建了外网稿件管理系统，稿件通过内外网交互后进入内网CMS系统，待报社编辑审核完毕后再通过内外网交互方式发布至外网新闻网站，其间涉及内网（局域网）和外网（互联网）多台服务器。而先前派出所办案民警勘查的服务器系该报社的文件内容中转服务器，主要用于报社内网信息的发布管理，没有受到外部侵害。经过网安技术人员进一步的勘查发现，真正被黑客攻击并导致系统被破坏的服务器系外网的稿件接收服务器，并在该服务器上成功发现、提取和保全了黑客植入的木马文件，从而为案件侦办奠定了电子数据证据基础。

2016年8月某日，某小额贷款公司运营的网站被黑客攻击，其网站首页被非法篡改。属地公安机关接报后立即赶赴现场开展工作。办案民警开展勘查时，了解到该公司在得知被侵害后，出于对服务器的安全保护，已在第一时间对服务器进行了断网，防止了网站系统被二次侵害。经测试，发现服务器互联网的网卡接口线已经拔出，网站无法登录访问，于是按照电子数据现场勘查中的计算机现场勘查方法，对服务器硬盘进行了镜像制作，并提取了服务器硬盘带回实验室进行进一步分析。但是，经办案公安机关电子数据取证分析检验，发现该服务器中的整个网站文件目录已被删除，且没有web应用中间件tomcat和防火墙日志资料，对攻击源的分析难度较大。办案民警试图通过对服务器删除文件进行恢复，却发现被删文件均已被多次覆盖，无法恢复。再经过对windows登录日志的调取分析，发现一个可疑IP于民警在机房进行现场勘查工作时登录过该服务器，并访问过服务器被删除文件。基于办案民警在对服务器进行勘查前已经拔掉了互联网接口线，处于单机状态的情况下，相关信息除了可能被木马自行删除外，仍有可能是人为删除的。为查明真相，办案民警耗费了大量的时间和精力对现场勘查过程中的可疑IP（因该公司内网路由DHCP自动分配IP地址，无法确定为哪台电脑）进行排查。最终，借助该公司的视频监控系统发现了线索，某系统管理员在民警进行现场勘查时，偷偷利用公司内网登录到服务器，用文件粉碎机删除了网站文件目录。该案中，现场勘查时虽然对互联网进行了物理隔离，但是没有将局域网进行断网保护，从而给他人提供了篡改服务器数据的机会，严重误导了现场侦查取证工作。

上述两案，办案民警之所以在现场勘查中出现失误，是因为不熟悉电子数据的网络环境，进行现场勘查之前也没有对服务器的联网情况进行仔细检查。实施电子数据现场勘查，首先必须考虑现场环境要素，这也是做好电子数据现场保护的第一步。在保护之前，需要了解以下几个方面情况：一是机房的情况。要了解机房的周边环境、出入口和通道情况，以及机房所在地温控、消防、供电等情况，进而制订相关预案，防止现场遭物理破坏。二是网络拓扑情况。要了解机房服务器的网络拓扑结构，整体网络进出口和框架，网络路由情况、负载均衡以及CDN传输加速、远程云存储等情况，便于制订科学合理的电子数据提取、固定、保护方案。三是安全防护情况。要了解掌握服务器是否具有防火墙，是否存在内外网交互、链路转换等问题，还要确认是否存在堡垒机、审计系统等情况，以便进一步确定取证保护方向。

人员——电子数据现场相关人员调查

人员要素是影响、制约甚至决定电子数据现场保护最活跃、最关键的要素。忽视这一要素，涉案电子数据现场保护将会受到严重干扰。

2018年11月，某省公安机关在开展侵犯公民个人信息案件的集中收网行动中，专案组赴省外某科技公司对该公司主要管理人员和技术人员进行集中抓捕。在抓捕现场，办案民警根据前期掌握的该公司存在某云服务的相关情况，在抓捕到公司技术人员后，立即对该公司在某云上的相关应用数据库进行了下载固定。经过6个小时的下载，成功固定了该服务器上所有涉案数据库，并完成了远程勘验工作。正当办案民警连夜对嫌疑人开展审查时，发现该公司涉案服务器数据于统一行动次日凌晨2时被清空，直接涉案电子证据被人为破坏。后经办案人员的进一步侦查，发现统一行动时该公司正巧有技术员在外出差，没有在此次行动中落网，这名技术员发现无法与管理层和其他人员取得联系，意识到公司可能“出事”，故连夜登录了公司在某云上的应用服务器控制平台，对服务器进行了重置，从而导致了涉案某云上的应用服务器电子数据无法恢复的后果。值得肯定的是，该案警方在抓捕行动时第一时间通过涉案相关人员获取了该公司的云服务器登录账号，对未能被公安机关控制的服务器核心数据库进行了证据固定，后期在云服务器上数据被破坏的情况下，仍对该案的电子证据进行了有效保全，保障了案件得以正常侦办。但是，在此案件现场侦办过程中留下的缺憾难以弥补。

民警通过屏幕固定证据

此案例警示我们，在电子数据现场保护中，办案民警必须进一步强化涉案人员要素意识。在涉案电子数据现场保护过程中，要千方百计通过对现场相关人员的询问，从中发现有价值的线索信息，有效实施现场保护工作，主要包括以下内容：一是报案人。有些报案人就是受害人，对整个案情相对清楚，应对报案人进行详细询问，了解案件发生的基本情况，便于做综合研判；若报案人仅仅是现场发现人，则应该记录他的目击情况，判断现场是否存在数据污染、人为破坏等情况，为勘查取证的现场保护方案提供参考。二是机房管理员。要了解日常机房的管理情况，询问机房管理员访客登记和机房管理制度，做好相关信息收集工作。三是系统运行维护人员。要了解系统的运行情况，询问系统运行维护人员管理账号和密码，了解数据存储备份机制以及相关的日志保存机制。同时，还必须搞清楚现场涉案人员的范围及其人员到位情况，有针对性地控制涉案现场相关人员，以确保电子数据的现场保护。

设备——涉案电子数据的载体

电子数据的载体，是电子数据现场保护的客体对象。电子数据的载体形态千差万别，只有有的放矢地实施保护，才能取得成功。

2018年3月，某公安局在侦办一起网络赌博案时，发现用于赌博的APP服务器位于外省某市一机房内，便立即赶赴该市现场，对服务器进行了现场勘查。到达机房后，由于事先不掌握服务器的登录密码，办案民警没有立即开展服务器勘查取证，而是对服务器进行了外围调查分析。经调查，发现该服务器内的数据库存放于VeraCrypt加密容器，该加密容器会随着系统关机自动退出，重新加载则需要高强度的密码，针对该加密方式目前无法实施有效的技术破解。然而根据当时的技术状况，需要对服务器登录密码进行破解则必须重新启动服务器。但是一旦重新启动服务器，VeraCrypt加密容器就会被强制退出，在未得到密码前，数据会全部丢失。为破解这一技术难点，办案民警调整工作思路，重新制订了勘验方案，对服务器进行了远程勘验，确保数据安全为先。最终，通过远程勘验方式，办案民警成功获取了该服务器访问权限，登录并及时下载固定了数据库。

此案的成功侦办告诉我们，在电子数据现场中，由于设备上承载了我们所需的电子数据，因此设备是主要的保护对象，所有对设备及数据有损的取证方式，都必须慎重，不到万不得已不得采用。因此，电子数据的现场保护必须针对设备要素实施，主要包括以下内容：一是服务器的基本情况。要了解服务器的类型，属于单机工作站，还是分布式集群，服务器承载应用的实时性和计划任务，是否存在加密容器，是否依托网络运行等。二是操作系统情况。要了解服务器操作系统的类型和版本号，做好在无法获取账号密码的情况下对相应操作系统进行破解的准备，给下一步选取取证装备提供参考依据。三是应用程序情况。要了解服务器是否安装了相关的保护性应用程序用于自动重启或消除数据，尽可能地了解会对数据造成破坏的应用程序。

装备——实施电子数据现场保护须具备的工具条件

“工欲善其事，必先利其器。”办案民警的必备工具，是实施现场保护的物质保障和重要条件。

现场取证

2016年8月某日，某单位的网上政务中心被黑客攻击，导致该单位的全省业务调度系统瘫痪。办案民警接报后，立即赶赴现场展开工作。民警到达现场后发现，由于该单位的网络系统管理员没有按照安全管理要求开展安全防护工作，致使相关访问日志和防火墙日志均没有记录，同时导致该事件的木马也已被自动删除，现场无证可取。对此，按照电子数据取证规则，公安机关需要对该服务器进行现场镜像，并对系统服务器硬盘扣押封存，送电子数据取证分析实验室开展进一步检验分析。经过现场查看，该系统服务器是3块2TB硬盘组成的“RAID 5”磁盘存储阵列，服务器硬盘存储空间将近4TB。但是，办案民警在处警过程中，没有事先准备大容量的硬盘，实验室也没有4TB容量的备用硬盘，最终无法在现场实现服务器磁盘镜像。

通过此案例可以看出，在电子数据现场中，需要根据现场勘查取证保护的需求，准备相关的取证装备，尤其是针对需要现场镜像的，应事先备有相应的大容量硬盘。因此，在实际工作中，电子数据现场勘查保护所需的装备包括：一是现场勘查装备。根据现场环境、设备的情况，选择相应的现场勘查装备，如对动态运行的内存数据进行镜像的工具，对磁盘镜像的工具，现场快取工具等。二是数据存储工具。根据需要准备好合适容量的存储硬盘，以及硬盘只读设备、硬盘复制机等，必要时还要准备现场电子数据分析工具。三是录音、录像工具。要根据现场勘验工作量的需要，准备充足的录音、录像工具，如要开展多台服务器同时取证保护时，则须准备多套录音、录像工具。

上述环境、人员、设备、装备四要素，仅仅是在现有电子数据现场勘查保护实践中总结得出的经验，随着计算机技术和现场勘查技术的不断发展，电子数据现场保护工作也将与时俱进，从而不断维护电子数据作为证据体系一员的合法性，有效发挥其应有的证据效用。

作者：袁忠民 吴坚

原文编辑：李 汨

审 核：张 曙

声明：本文来自中国警察杂志，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。