电子数据取证金字塔模型及应用研究

(一)国外电子数据取证模型

由于电子数据的特殊性，电子数据取证既涉及技术问题又涉及法律法规的约束，为保障电子数据取证所获取的证据的法律效力，电子数据取证需要遵守严格的过程和程序。自20世纪90年代以来，国外有很多相关组织根据不同方面提出了各种取证过程模型，如基本过程模型(Basic Process Model)、事件响应过程模型(Incident Response Process Model)、法律执行过程模型(Law Enforcement Process Model)、过程抽象模型(An Abstract Process Model)、DFRW过程模型、综合过程模型(IDIPM，The Integrated Digital Investigation Model)和增强过程模型(The Enhanced Digital Investigation Process Model，EIDIPM)。此外，巴西研究人员Marcelo Abdalla dos Reis在第十四届FIRST技术论坛上提出了计算机取证协议的程序的标准化思想，指出标准化的模型分为合法标准和技术标准，合法标准包括合法原则和证据的法律和规则，技术标准包括技术原则、分析策略以及技术方案和解决方法。美国FBI的取证专家M.Noblet等人提出了电子数据取证的金字塔模型，包括检查原则、策略与实践以及程序与技术三类标准。

比较典型的电子数据取证模型有^[24]:

1.基本过程模型(Basic Process Model)

由Farmer和Venema在1999年的一次取证培训会议上提出，模型包括下列一些基本取证步骤:保证现场安全并进行隔离，记录现场信息，系统地查找证据，对证据进行提取和打包，维护监督链。该模型为电子数据取证程序模型的发展起到了奠定基础的作用。

2.事件响应模型(Incident Response Process Model)

由Chris Prosise和Kevin Mandia在《应急响应:计算机犯罪调查》(Incident Response:Investigating Computer Crime)一书中提出，事件响应模型包括以下步骤:事前准备，事件检测，初始响应，响应策略规划，备份查系统，调查，实施安全措施，网络监听，恢复，报告。该模型主要针对可疑的网络系统的紧急响应，核实是否存在对系统正在进行的攻击，以及攻击后系统状态的恢复。

3.法律执行过程模型(Law Enforcement Process Model)

由美国司法部在2001年发布的《电子犯罪现场调查指南》中提出，法律执行过程模型的基本步骤为:准备阶段，收集阶段，检验阶段，分析阶段，报告生成。该模型是一个针对物理犯罪现场的调查过程模型，对不同类型的电子数据及安全处理的方法进行了阐述。

4.取证抽象过程模型(An Abstract Process Model)

取证抽象过程模型是针对早期的模型着眼于特定技术或方法细节，难以有较好的普适性，而提出的一种具有共性的数字取证程序。该模型分为以下几个阶段:识别阶段，准备阶段，策略制定阶段，保存阶段，收集阶段，检验阶段，分析阶段，陈述阶段。(www.xing528.com)

5.综合调查过程模型(IDIPM，An Integrate Digital Investigation Process Model)

该模型是在前面几个模型的基础上建立的，同时也指出了物理取证和电子取证分处的各自不同阶段。该模型分为:预备阶段，配置阶段，物理犯罪现场调查阶段，数字犯罪现场调查阶段，检查阶段。而现场调查阶段分为现场保护，调查取证，记录归档，搜索收集，重构，提交六个阶段。

(二)国内电子数据取证模型

1.基于需求的网络电子数据取证过程模型

针对电子数据的完整性、可靠性、抗抵赖性问题，该模型从针对上述特定的问题，以软件工程的思路，对取证环境进行分析，然后拟定取证的目标，在这个目标的基础上确定取证的过程需求，进行取证过程的概要设计，最后是对取证过程的实现。^[25]该模型由四个阶段组成:攻击预防阶段，攻击过程取证阶段，事后分析阶段，结果提交阶段。

2.计算机取证的层次模型

该模型将计算机取证分为证据发现层，证据固定层，证据提取层，证据分析层和证据表达层五个层次。^[26]证据发现层是通过侦查和现场勘察搜集最原始的证据层；证据固定层通过数字签名和见证人签名等保证获得数据的完整性、真实性；证据提取层是将原始数据表达成可以理解的抽象数据层；证据分析层是通过关联分析信息的形成、产生、传播等，用以得出犯罪的动机，行为重构，以及找寻犯罪嫌疑人特征层；证据表达层是通过技术将原始数据表达成可以理解的抽象数据层。

3.多维取证模型

在国内外对上述模型的深入比较研究和分析的基础上，我国学者丁丽萍、王永吉提出了随时间而变化，随犯罪分子犯罪手段的升级而改变的多维计算机取证模型。该模型分为:数据层，证据获取层，取证监督层三个层次。而实施步骤包括:取证准备阶段，物理取证阶段，数字取证阶段，取证的全程监督，证据的呈堂，总结阶段。该模型增加了时间约束，增加了审计过程的全程监督，在这个多维取证程序框架模型，可以避免可能出现的不足或失误，取证人员也可以从多个角度开展取证工作。^[27]