電子數(shù)據(jù)取證實(shí)驗(yàn)室發(fā)展趨勢(shì)研究

趙 庸，滕 達(dá)

（廈門市美亞柏科信息股份有限公司 廈門 361008）

1 概述

電子證據(jù)鑒定是由專門鑒定機(jī)構(gòu)的鑒定人或者具有專門知識(shí)的人，就具體的專門性問(wèn)題，對(duì)計(jì)算機(jī)設(shè)備、通信設(shè)備、網(wǎng)絡(luò)設(shè)備、數(shù)控設(shè)備、視聽(tīng)設(shè)備、廣電設(shè)備等各種存儲(chǔ)介質(zhì)及其所存儲(chǔ)的數(shù)據(jù)，按照一定的技術(shù)規(guī)程，運(yùn)用專門知識(shí)、特定的食品設(shè)備和技術(shù)方法，進(jìn)行檢查、驗(yàn)證、發(fā)現(xiàn)、提取、解釋、分析、鑒別、卷宗并出具鑒定結(jié)論的過(guò)程。電子數(shù)據(jù)鑒定必須依循著定義良好且清楚，兼具靈活與彈性的方法、程序，進(jìn)行計(jì)算機(jī)媒體的資料搜集、分析及展示，其最終的目的是讓司法審理時(shí)作為判決的證據(jù)。

證據(jù)是一個(gè)案件的核心和靈魂，證據(jù)的確鑿充分程度將決定一個(gè)案件的勝負(fù)命運(yùn)。隨著我國(guó)法制建設(shè)的不斷完善，電子證據(jù)的使用將成為庭審的焦點(diǎn)。因此，在電子證據(jù)鑒定法律規(guī)制的的過(guò)程中，我們需要借鑒有關(guān)的國(guó)際經(jīng)驗(yàn)，參考我國(guó)司法鑒定的理論與法律成果，依托我國(guó)電子證據(jù)鑒定實(shí)踐和發(fā)展趨勢(shì)，積極構(gòu)建和完善我國(guó)電子證據(jù)鑒定的各項(xiàng)規(guī)則，進(jìn)一步加強(qiáng)電子證據(jù)的提取、保管、鑒別、取證、分析、鑒定等流程的標(biāo)準(zhǔn)化、科學(xué)化、規(guī)范化，建立與發(fā)展符合社會(huì)要求的電子數(shù)據(jù)取證實(shí)驗(yàn)室。

自2004年，國(guó)內(nèi)第一個(gè)電子數(shù)據(jù)取證實(shí)驗(yàn)室廈門市美亞柏科電子數(shù)據(jù)取證實(shí)驗(yàn)室（福建中證司法鑒定中心的前身）和廣州市電子數(shù)據(jù)檢驗(yàn)鑒定中心建立以來(lái)，已相繼建設(shè)完成了80多個(gè)電子數(shù)據(jù)取證實(shí)驗(yàn)室。筆者認(rèn)真分析近7年來(lái)該實(shí)驗(yàn)室（鑒定中心）的建設(shè)、取證技術(shù)的發(fā)展、工作模式的改變，大體經(jīng)歷了4個(gè)階段。

2 電子數(shù)據(jù)取證實(shí)驗(yàn)室發(fā)展歷程

2.1 第一階段

時(shí)間：2004-2005年。

特點(diǎn)：功能逐步完善。

作為國(guó)內(nèi)電子數(shù)據(jù)取證實(shí)驗(yàn)室（鑒定中心）的起步階段，為了應(yīng)對(duì)當(dāng)時(shí)的需要，實(shí)驗(yàn)室建設(shè)更多是滿足當(dāng)時(shí)的介質(zhì)類型，提供大量SCSI、IDE和少量SATA、USB只讀接口。由于當(dāng)時(shí)的硬盤容量較小，通常在80 GB左右，因此，對(duì)速度的要求還不是十分明顯，更注重提供眾多只讀接口來(lái)滿足案件鑒定需要。當(dāng)時(shí)流行只讀鎖按接口類型不同而獨(dú)立設(shè)計(jì)，再加上一些1.8”、2.5”轉(zhuǎn)3.5”IDE轉(zhuǎn)接卡和50針或80針轉(zhuǎn)68針的SCSI轉(zhuǎn)接卡。設(shè)備、轉(zhuǎn)接卡繁多，使用非常不方便，不適合在實(shí)驗(yàn)室中廣泛應(yīng)用。

硬盤復(fù)制機(jī)以國(guó)外產(chǎn)品以SF5000、SOLO II為主，國(guó)內(nèi)以DC-8100（可滿足1對(duì)2的IDE硬盤復(fù)制）和DC-8200（支持IDE和SCSI硬盤的復(fù)制）為主。但速度大都在3 GB/min左右 （80～120 GB的硬盤一般在40 min之內(nèi)就可完成位對(duì)位復(fù)制）。

當(dāng)時(shí)，介質(zhì)取證分析軟件只有國(guó)外Guidance Software的EnCase V4和AccessData的FTK 2.0，手機(jī)取證軟件多采用Paraben公司的Cell Seizure，密碼破解采用AccessData公司的DNA 2.0和PRTK，圖形化關(guān)聯(lián)關(guān)系分析系統(tǒng)——i2公司的Analyst’s Notebook 6開(kāi)始在國(guó)內(nèi)應(yīng)用。國(guó)內(nèi)取證軟件開(kāi)始有了雛形，推出了DiskForen，但功能有限，使用面不大。

香港警察2002年建設(shè)完成的取證實(shí)驗(yàn)室（Computer Forensics Lab）也初步嘗試進(jìn)行區(qū)域的合理規(guī)劃和取證設(shè)備的合理集成。同期，美國(guó)洛杉磯警察的計(jì)算機(jī)犯罪行動(dòng)組（Los Angeles Electronic Crimes Task Force）在其實(shí)驗(yàn)室建設(shè)中，充分考慮了證據(jù)文件的集中管理問(wèn)題，并強(qiáng)化了無(wú)塵室在硬盤開(kāi)盤維修中的應(yīng)用。但在網(wǎng)絡(luò)建設(shè)方面仍不完善，而流程審計(jì)監(jiān)管方面并未涉及。

2004年，在全國(guó)第一個(gè)取證實(shí)驗(yàn)室——廣州市公安局取證實(shí)驗(yàn)室中，首次把幾種不同類型的只讀鎖集中到一臺(tái)專用取證工作站上，并率先提出了“取證流程審計(jì)”的概念，進(jìn)而有了功能相對(duì)簡(jiǎn)單、初級(jí)的“取證流程審計(jì)監(jiān)管系統(tǒng)”雛形，成為計(jì)算機(jī)取證領(lǐng)域的“首創(chuàng)”。廣州實(shí)驗(yàn)室中的取證分析工作是基于雙網(wǎng)進(jìn)行的：強(qiáng)調(diào)將介質(zhì)轉(zhuǎn)換成證據(jù)文件，存放于文件服務(wù)器上，通過(guò)網(wǎng)絡(luò)映射到本地進(jìn)行分析，以保證原始介質(zhì)內(nèi)數(shù)據(jù)的完整性[1]；流程監(jiān)管系統(tǒng)在后臺(tái)對(duì)鑒定全過(guò)程進(jìn)行記錄，并產(chǎn)生審計(jì)監(jiān)管報(bào)告。但工作臺(tái)仍為傳統(tǒng)的辦公工位方式，不利于桌面操作，便利性和人性化不足。此模式也為以后全國(guó)各地實(shí)驗(yàn)室建設(shè)摸清了路子，理清了思路，探索了模式，成為當(dāng)時(shí)全國(guó)各地去廣州參觀學(xué)習(xí)的重點(diǎn)內(nèi)容。

第一階段的電子數(shù)據(jù)檢驗(yàn)鑒定中心平面規(guī)劃如圖1所示。

2.2 第二階段

時(shí)間：2006-2007年。

特點(diǎn)：區(qū)域規(guī)劃趨于合理。

圖1 第一階段的電子數(shù)據(jù)檢驗(yàn)鑒定中心平面規(guī)劃

隨著技術(shù)的發(fā)展，取證設(shè)備也取得了長(zhǎng)足進(jìn)步，尤其是國(guó)內(nèi)取證專業(yè)技術(shù)公司的自主知識(shí)產(chǎn)權(quán)產(chǎn)品逐步登上“大雅之堂”。桌面式只讀工作模塊越發(fā)成熟，IDE、SCSI、SATA、USB及只讀讀卡器從取證專用工作站中脫離出來(lái)，有效地集中到一個(gè)大模塊中，安置于桌面。新設(shè)計(jì)的專用工作臺(tái)加裝了吊柜，DC-8750只讀模塊、強(qiáng)/弱電模塊都固定在桌面，十分便于取證分析工作的開(kāi)展，減小了勞動(dòng)強(qiáng)度。

硬盤復(fù)制機(jī)以國(guó)外產(chǎn)品以MD5、SOLO III為主，國(guó)內(nèi)以DC-8101和DC-8200A為主。速度有了一定的提升，達(dá)到4 GB/min左右 （120～250 GB的硬盤一般在1 h之內(nèi)就可位對(duì)位復(fù)制完成）?，F(xiàn)場(chǎng)勘查取證設(shè)備則由功能相對(duì)較弱的勘查箱和DC-8000升級(jí)為FL-200移動(dòng)式勘查取證綜合平臺(tái)。

介質(zhì)取證分析軟件只有國(guó)外Guidance Software的EnCase V5（中文版）和AccessData的FTK 2.0，手機(jī)取證軟件多采用Paraben公司Device Seizure、XRY和國(guó)內(nèi)的Safe Mobile，密碼破解采用AccessData公司的 DNA 2.3和Rainbow Tables。計(jì)算機(jī)仿真取證設(shè)備初露端倪，現(xiàn)場(chǎng)在線取證分析軟件和設(shè)備開(kāi)始推向市場(chǎng)，MAC、郵件、關(guān)聯(lián)數(shù)據(jù)分析系統(tǒng)逐步成熟。國(guó)內(nèi)取證軟件數(shù)量不多、功能相對(duì)簡(jiǎn)單，技術(shù)研發(fā)進(jìn)展不大。

國(guó)內(nèi)電子數(shù)據(jù)取證實(shí)驗(yàn)室開(kāi)始考慮無(wú)塵環(huán)境建設(shè)，部分國(guó)家級(jí)和省級(jí)電子數(shù)據(jù)檢驗(yàn)鑒定實(shí)驗(yàn)室采用了無(wú)塵工作臺(tái)，基本滿足了故障硬盤的開(kāi)盤維修工作需要。

在此階段，鑒于已建設(shè)完成的實(shí)驗(yàn)室存在的問(wèn)題和電子數(shù)據(jù)鑒定的規(guī)范化要求，重點(diǎn)按電子數(shù)據(jù)取證流程、功能和技術(shù)特點(diǎn)，將實(shí)驗(yàn)室劃分為7個(gè)功能相對(duì)獨(dú)立的區(qū)域。

（1）設(shè)備預(yù)檢/受理區(qū)：完成送檢設(shè)備的受理、登記、外觀拍攝、檢驗(yàn)完畢后設(shè)備的回退、檢驗(yàn)報(bào)告提交等工作。

（2）取證/獲取區(qū)：完成對(duì)送檢設(shè)備的檢測(cè)、證據(jù)固定、鏡像、獲取、校驗(yàn)等工作。

（3）存儲(chǔ)介質(zhì)物理修復(fù)區(qū)：對(duì)檢測(cè)判定有故障的硬盤等存儲(chǔ)介質(zhì)進(jìn)行維修，完成介質(zhì)電路故障檢修、硬盤開(kāi)盤處理（更換磁頭、電機(jī)等）、固件故障處理等工作。

（4）電子數(shù)據(jù)邏輯恢復(fù)區(qū)：對(duì)各類光、電、磁存儲(chǔ)介質(zhì)當(dāng)中的數(shù)據(jù)進(jìn)行邏輯恢復(fù)、修復(fù)和重構(gòu)。

（5）鑒定分析區(qū)：對(duì)復(fù)制的涉案硬盤、取證/獲取區(qū)獲取的證據(jù)文件（此文件存儲(chǔ)于中心服務(wù)器的磁盤陣列中，通過(guò)網(wǎng)絡(luò)分發(fā)給每一個(gè)鑒定分析終端進(jìn)行鑒定分析）進(jìn)行鑒定分析。

（6）中心設(shè)備區(qū)：是整個(gè)取證實(shí)驗(yàn)室核心網(wǎng)絡(luò)設(shè)備、分布式密碼破解系統(tǒng)、案件管理系統(tǒng)、門禁系統(tǒng)、閉路電視監(jiān)控系統(tǒng)、配電系統(tǒng)等的配置區(qū)域。

（7）卷宗文檔保存區(qū)：對(duì)受檢介質(zhì)、受檢設(shè)備、復(fù)制介質(zhì)、鑒定文書、卷宗文檔進(jìn)行分類、保存和管理。

第二階段的電子數(shù)據(jù)檢驗(yàn)鑒定中心平面規(guī)劃如圖2所示。

2.3 第三階段

時(shí)間：2008-2009年。

特點(diǎn)：強(qiáng)調(diào)規(guī)范化管理和質(zhì)量控制。

圖2 第二階段的電子數(shù)據(jù)檢驗(yàn)鑒定中心平面規(guī)劃

在這一階段當(dāng)中，國(guó)內(nèi)電子數(shù)據(jù)取證設(shè)備迅速占據(jù)大部分取證市場(chǎng)。硬件設(shè)備的技術(shù)性能、工藝水平、穩(wěn)定性和可靠性有了質(zhì)的飛躍。推出了以DC-8200 PRO復(fù)制機(jī)、DC-8000 PRO取證專用機(jī)、ATT-2000/ATT-3000仿真取證專用機(jī)、ATT-5000 PRO加密硬盤取證專用機(jī)、ATT-1000 PRO密碼破解專用設(shè)備、DC-4500手機(jī)取證設(shè)備、ATT-4000現(xiàn)場(chǎng)專用獲取設(shè)備、DC-8650現(xiàn)場(chǎng)取證設(shè)備、DC-8750 RPO實(shí)驗(yàn)室專用只讀模塊、NF-9300無(wú)線取證設(shè)備、FL-200 PRO等。這些設(shè)備在2008、2009年的重大事件中得到廣泛應(yīng)用，并經(jīng)受住了各種苛刻環(huán)境的嚴(yán)格考驗(yàn)，其技術(shù)、戰(zhàn)術(shù)性能得到了進(jìn)一步完善和提高，形成了較強(qiáng)戰(zhàn)斗力，受到各使用單位好評(píng)。國(guó)外產(chǎn)品主要以SOLO IV（支持SAS硬盤）、TD1為主，其使用的便利性和適用性大大提高，速度也提高到6 GB/min左右。其傳統(tǒng)優(yōu)勢(shì)被國(guó)內(nèi)產(chǎn)品趕上，甚至有被全面超越的勢(shì)頭。

美國(guó)Tableau公司成為國(guó)外公司中進(jìn)步最大、產(chǎn)品推出最多、口碑相對(duì)較好的一家取證硬件廠商，其硬盤復(fù)制機(jī)TD1、“取證橋”和T3458is只讀模塊較有新意。

介質(zhì)取證分析軟件都做了升級(jí)。EnCase V6、FTK 3.0、X-Ways、Analyst’s Notebook 8、DNA 3.0 等一批軟件全新推出，手機(jī)取證軟件多采用Paraben公司Device Seizure 4.0、XRY、CellDEK 和國(guó)內(nèi)的 DC-4500、Safe Mobile。由于并行運(yùn)算能力的提高，密碼破解原來(lái)多采用DNA、Rainbow Tables，現(xiàn)多采用“極光”和Elcomsoft，運(yùn)算能力和針對(duì)性有了巨大提升。

與此相對(duì)應(yīng)的是，國(guó)產(chǎn)取證軟件更是取得了巨大的進(jìn)步?！叭∽C大師”在計(jì)算機(jī)取證行業(yè)當(dāng)中率先提出并應(yīng)用了“自動(dòng)智能取證技術(shù)”，強(qiáng)調(diào)了取證規(guī)范和便捷，并作為自主知識(shí)產(chǎn)權(quán)的軟件在實(shí)戰(zhàn)中取得不俗戰(zhàn)績(jī)。其與Safe Analyzer等為代表的它們避開(kāi) EnCase、FTK、X-Ways等取證軟件的鋒芒，以智能、簡(jiǎn)單、實(shí)用、快速、針對(duì)性強(qiáng)為顯著特征，強(qiáng)調(diào)易用性和面向一線計(jì)算機(jī)水平相對(duì)較弱的人員使用，加強(qiáng)了規(guī)范化、程序化、專業(yè)化要求，取得明顯效果。

青海省、山東省公安廳電子數(shù)據(jù)取證實(shí)驗(yàn)室率先配置了10多平方米的100級(jí)無(wú)塵室，將國(guó)內(nèi)電子數(shù)據(jù)取證實(shí)驗(yàn)室中的故障硬盤開(kāi)盤處理能力提升到一個(gè)新的高度。

電子數(shù)據(jù)取證實(shí)驗(yàn)室有別于傳統(tǒng)的勘查取證實(shí)驗(yàn)室，更多是針對(duì)電子數(shù)據(jù)及存儲(chǔ)介質(zhì)勘驗(yàn)檢查，而電子數(shù)據(jù)具有脆弱性、易失性、多態(tài)性、復(fù)合性等特點(diǎn)，要保證其合法性、及時(shí)性、準(zhǔn)確性、環(huán)境安全性原則，必須保證“證據(jù)連續(xù)性”（chain of custody，即證據(jù)鏈[2]）。因此，在證據(jù)的鑒識(shí)、準(zhǔn)備、策略制定、收集、保存、檢驗(yàn)、分析、展示等方面必須有不同于傳統(tǒng)勘查取證的方法和技術(shù)手段。尤其，當(dāng)檢材送達(dá)電子數(shù)據(jù)取證實(shí)驗(yàn)室時(shí)，檢材的預(yù)檢、校驗(yàn)、確認(rèn)、交接、標(biāo)識(shí)、復(fù)制、保管、調(diào)用、清退等各個(gè)環(huán)節(jié)都要有嚴(yán)格的冊(cè)表手續(xù)（借助實(shí)驗(yàn)室案件管理系統(tǒng)之檢材管理系統(tǒng)來(lái)完成各環(huán)節(jié)的管理和控制）；同樣，電子數(shù)據(jù)分析不具備傳統(tǒng)介質(zhì)分析的“可視性、可物化、可量化”的特征，分析人員在根據(jù)系統(tǒng)授予的權(quán)限范圍內(nèi)，完成基于相應(yīng)案件復(fù)制介質(zhì)的分析工作過(guò)程中，必須接受“電子數(shù)據(jù)鑒定流程審計(jì)監(jiān)管系統(tǒng)”的管控，以達(dá)到質(zhì)量控制、過(guò)程監(jiān)管的目的[3]；報(bào)告審核、打印、裝訂，光盤刻錄、盤面打印、封裝亦通過(guò)技術(shù)手段，實(shí)現(xiàn)自動(dòng)處理，減少人工控制環(huán)節(jié)。

為加強(qiáng)規(guī)范化和加強(qiáng)質(zhì)量管理，公安部相應(yīng)制定了4個(gè)標(biāo)準(zhǔn)：GA/T 754-2008《電子數(shù)據(jù)存儲(chǔ)介質(zhì)復(fù)制工具要求及檢測(cè)方法》、GA/T 755-2008《電子數(shù)據(jù)存儲(chǔ)介質(zhì)寫保護(hù)設(shè)備要求及檢測(cè)方法》、GA/T 756-2008《數(shù)字化設(shè)備證據(jù)數(shù)據(jù)發(fā)現(xiàn)提取固定方法》、GA/T 757-2008《程序功能檢驗(yàn)方法》。各地在電子數(shù)據(jù)取證實(shí)驗(yàn)室建設(shè)和管理、使用過(guò)程中，強(qiáng)調(diào)了嚴(yán)格落實(shí)規(guī)范、標(biāo)準(zhǔn)，并把通過(guò)CNAS（China national accreditation for conformity assessment，中國(guó)合格評(píng)定國(guó)家認(rèn)可委員會(huì)）認(rèn)可作為重要目標(biāo)，強(qiáng)調(diào)鑒定結(jié)論的可信性、可溯源性、客觀性和公正性。

第三階段的電子數(shù)據(jù)檢驗(yàn)鑒定中心平面規(guī)劃如圖3所示。

3 電子數(shù)據(jù)取證實(shí)驗(yàn)室發(fā)展趨勢(shì)

這即是電子數(shù)據(jù)取證實(shí)驗(yàn)室發(fā)展的第4階段。

時(shí)間：2010年起。

特點(diǎn)：取證“云”階段。

經(jīng)過(guò)近7年的發(fā)展，傳統(tǒng)取證實(shí)驗(yàn)室網(wǎng)絡(luò)架構(gòu)存在的問(wèn)題已經(jīng)非常突出，重點(diǎn)表現(xiàn)在以下幾個(gè)方面：

·以太網(wǎng)傳輸?shù)哪Ｊ剑\(yùn)行性能受網(wǎng)絡(luò)性能和陣列性能的制約嚴(yán)重；

·傳輸平臺(tái)采用吉比特網(wǎng)絡(luò)共享式的，傳輸性能遠(yuǎn)不能達(dá)到要求，多人同時(shí)使用速度較慢，不能滿足同時(shí)分析單項(xiàng)工作的要求；

·硬盤容量發(fā)展很快，把硬盤做成鏡像文件，耗費(fèi)時(shí)間長(zhǎng)，對(duì)存儲(chǔ)空間需求巨大，投資越來(lái)越大并且越來(lái)越不具備可行性；

圖3 第三階段的電子數(shù)據(jù)檢驗(yàn)鑒定中心平面規(guī)劃

·大量化犯罪案例時(shí)有發(fā)生，硬盤數(shù)量多、時(shí)間短、時(shí)限要求高，傳統(tǒng)的平臺(tái)架構(gòu)缺乏同時(shí)、快速分析多塊硬盤的能力；

·各個(gè)功能模塊相對(duì)較獨(dú)立，分析過(guò)程中各個(gè)功能模塊的穿插使用較頻繁，缺乏單平臺(tái)多功能的工作模式，效率較低；

·不能滿足遠(yuǎn)程指導(dǎo)/遠(yuǎn)程協(xié)助工作的需要。

隨著“云”的概念不斷推出，電子數(shù)據(jù)取證實(shí)驗(yàn)室已將關(guān)注點(diǎn)由實(shí)驗(yàn)室的內(nèi)部能力轉(zhuǎn)向轄區(qū)內(nèi)資源共享、轄區(qū)外遠(yuǎn)程技術(shù)支持、遠(yuǎn)程“會(huì)診”，在嚴(yán)格的認(rèn)證和遠(yuǎn)程傳輸安全條件下將實(shí)驗(yàn)室的觸角向下級(jí)甚至更下一級(jí)的管控“末稍”延伸。

網(wǎng)絡(luò)版取證大師、取證塔、取證池等將成為“云”的“神經(jīng)”和“骨架”。

（1）網(wǎng)絡(luò)版取證大師

網(wǎng)絡(luò)版取證大師分為服務(wù)器端和客戶端，二者協(xié)同，共同完成轄區(qū)內(nèi)基于網(wǎng)絡(luò)的取證分析工作。

解決的問(wèn)題有：

·并發(fā)多案件協(xié)同處理；

·存儲(chǔ)介質(zhì)的批量取證分析；

·單個(gè)存儲(chǔ)介質(zhì)容量大，網(wǎng)絡(luò)傳輸速度瓶頸突出；

·案件管理，大量證據(jù)文件歸檔，數(shù)據(jù)關(guān)聯(lián)；

·取證業(yè)務(wù)流水線化，明確角色；

·實(shí)現(xiàn)遠(yuǎn)程仿真和軟件仿真；

·實(shí)現(xiàn)與《實(shí)驗(yàn)室案件管理系統(tǒng)》無(wú)縫融合；

·實(shí)現(xiàn)集中存儲(chǔ)、并行分析、分布調(diào)度的功能。

采用網(wǎng)格技術(shù)作為技術(shù)平臺(tái)，具體的技術(shù)有：

·MPI技術(shù)實(shí)現(xiàn)聚合和傳輸服務(wù)；

·iSCSI技術(shù)實(shí)現(xiàn)遠(yuǎn)程磁盤訪問(wèn)；

·RAID磁盤陣列實(shí)現(xiàn)海量數(shù)據(jù)存儲(chǔ)；

·磁盤鏡像遠(yuǎn)程掛載；

·SSH實(shí)現(xiàn)安全的授權(quán)機(jī)制；

·SliverLight技術(shù)實(shí)現(xiàn)美觀的Web界面。

（2）取證塔

·具備4個(gè)只讀硬盤倉(cāng)和4個(gè)目標(biāo)硬盤倉(cāng)；

· 可完成 1對(duì) 1、2對(duì) 2、3對(duì) 3、4對(duì) 4、多對(duì) 1的復(fù)制，并且每個(gè)復(fù)制通道的最高速度可達(dá)13 GB/min（SSD 硬盤）；

·可重組硬盤陣列；

·可同步完成復(fù)制、分析、仿真、出報(bào)告工作；

·可配多屏，分別顯示不同的工作內(nèi)容；

·并配有可獨(dú)立使用的All in One超級(jí)多功能只讀模塊。

表1 目前不同實(shí)驗(yàn)室架構(gòu)的優(yōu)勢(shì)比對(duì)

（3）取證池

·解決大數(shù)量級(jí)硬盤并行分析的難題，一個(gè)機(jī)柜可支持?jǐn)?shù)十塊硬盤的同時(shí)接入并行分析，并且可無(wú)限制無(wú)縫擴(kuò)容；

· 完美支持主流硬盤接口：SAS、SATA、IDE、SCSI，并且可通過(guò)硬盤盒轉(zhuǎn)接方式支持多種尺寸接口；

·集中式控制，取證池本身不帶有操作界面，通過(guò)遠(yuǎn)程分發(fā)服務(wù)端充分實(shí)現(xiàn)多人單任務(wù)、多人多任務(wù)、單人多任務(wù)的并發(fā)工作，所有結(jié)果數(shù)據(jù)集約式管理存儲(chǔ)并分發(fā)；并且對(duì)于介質(zhì)硬盤一次接入解決所有問(wèn)題，避免了傳統(tǒng)分析中硬盤需要多次拔插，多次分析，易損壞介質(zhì)且安全性得不到保證的問(wèn)題；

· 重點(diǎn)解決人少、事多，人多、事雜的矛盾。

目前，所有不同實(shí)驗(yàn)室網(wǎng)絡(luò)架構(gòu)的優(yōu)勢(shì)比對(duì)見(jiàn)表1。

4 結(jié)束語(yǔ)

本研究基于各地已建設(shè)實(shí)驗(yàn)室的發(fā)展歷程，描述了各階段設(shè)備及技術(shù)能力，總結(jié)了各階段的特點(diǎn)，并對(duì)今后的電子數(shù)據(jù)取證實(shí)驗(yàn)室發(fā)展趨勢(shì)做出了分析，由于所處角度和高度不同，不一定能全面概括其方方面面，希望能給已建實(shí)驗(yàn)室的升級(jí)和近期要建實(shí)驗(yàn)室的單位提供參考和借鑒。

1 劉品新.電子取證的法律規(guī)制.北京：中國(guó)法制出版社，2010

2 陳龍，麥永浩，黃傳河.計(jì)算機(jī)取證技術(shù).武漢：武漢大學(xué)出版社，2007

3 潘大四，凌彥.電子證據(jù)取證流程監(jiān)管系統(tǒng)研究與實(shí)現(xiàn).電腦知識(shí)與技術(shù)，2007（20）