1、ICS35.040CCS A 2414山西省地方标准DB14/T 2990-2024电子数据证据取证要求2024-02-08 发布2024-05-07 实施山西省市场监督管理局发 布DB14/T 2990-2024I目次前言.II1 范围.12 规范性引用文件.13 术语和定义.14 一般要求.15 取证阶段要求.2DB14/T 2990-2024II前言本文件按照GB/T 1.12020标准化工作导则第1部分:标准化文件的结构和起草规则的规定起草。本文件由山西省公安厅提出、组织实施和监督检查。山西省市场监督管理局对标准的组织实施情况进行监督检查。本文件由山西省公共安全标准化技术委员会归口。本
2、文件起草单位:山西省公安厅、太原市公安局、厦门市兴百邦科技有限公司、国投智能(厦门)信息股份有限公司、北京奇安信科技有限公司、北京锐安科技有限公司、上海弘连网络科技有限公司、亚信科技(成都)有限公司、山西晋信安科技有限公司。本文件主要起草人:马静旻、郭伟光、董杰、胡壮、闫鹏飞、范鑫、崔洪宇、张登峰、王勇、马超DB14/T 2990-20241电子数据证据取证要求1范围本文件规定了电子数据证据取证的术语和定义,一般要求,以及发现、收集、提取、固定、分析、检验、鉴定、记录、流转和保存等取证要求。本文件适用于电子数据证据取证。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的
3、条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GA/T 754电子数据存储介质复制工具要求及检测方法GA/T 755电子数据存储介质写保护设备要求及检测方法3术语和定义下列术语和定义适用于本文件。3.1电子数据证据电子数据证据是指以数字化形式存储、处理、传输的,能够证明案件事实的数据。3.2易失性数据容易改变或消失的电子数据。3.3完整性校验值使用散列算法对数据进行计算后获得的可以用来校验数据完整性的输出值。3.4物理提取对物理存储介质进行位对位的复制以创建数据副本的提取方式。3.5逻辑提取在文件系统等层面采用非位
4、对位复制的方式对文件、文件夹等结构化数据创建数据副本的提取方式。4一般要求4.1电子数据证据取证至少由两名具有专门知识的人员实施。4.2应及时实施电子数据证据取证活动。4.3电子数据证据取证应避免对原数据的更改,若不可避免造成更改,应记录更改内容、原因及过程。DB14/T 2990-202424.4电子数据证据取证应使用准确性得到验证的工具。4.5在电子数据证据取证过程中,应保证电子数据证据安全。5取证阶段要求5.1发现电子数据证据发现是指搜索、识别电子数据证据的过程,包含但不限于如下要求。a)应发现电子数据证据的不同表现形式,必要时制定相关方案。b)应优先处理电子数据证据介质上的生物证据。c
5、)不得改变电子数据证据介质的原始状态。d)应及时识别相关设备的电力供应状态,采用电池供电的设备应及时保持电力供应。e)应及时识别现场网络覆盖情况和相关设备的网络状态。f)应注意识别与记录电子数据证据其他相关信息,包含但不限于设备或网络的密码等。5.2收集电子数据证据收集是指将电子数据证据介质从其原始位置移置到实验室或其他受控环境的过程,包含但不限于如下要求。a)若存在易失性数据,应直接对易失性数据进行提取。b)不存在易失性数据的情况下,应根据电子数据证据介质情况直接移除电源或正常关机。c)应及时收集与电子数据证据相关的信息、材料,包含但不限于记录密码的纸张、设备线缆、充电器等。d)应将收集的电
6、子数据证据介质进行封存。5.3提取电子数据证据提取是指创建电子数据证据副本的过程,包含但不限于如下要求。a)对于客观条件无法提取的电子数据证据,应及时进行冻结。b)提取易失性数据时,应同时生成操作过程记录和录像记录。c)同一介质可以采用物理提取、逻辑提取的方法提取电子数据证据时,优先采用物理提取的方法。d)对于具备复制条件的电子数据证据介质,应使用电子数据证据介质复制工具进行镜像,电子数据证据复制工具应符合GA/T 754要求。e)对于具备写保护条件的电子数据证据介质,应使用写保护设备接入到检验设备上进行后续操作,写保护设备应符合GA/T 755要求。f)对于无需启动即可提取电子数据证据的介质
7、,优先选择在不启动状态下提取电子数据证据。g)应将完成提取的原始电子数据证据介质进行封存。5.4固定电子数据证据固定是指进行电子数据证据原始性、完整性保护的过程,包含但不限于如下要求。a)应对收集、提取的电子数据证据进行标记,以便数据之间的关联。b)应对提取的电子数据证据与原始数据进行完整性校验并生成完整性校验值,保护数据原始性和完整性。c)无法进行完整性校验时,应同时生成操作过程记录和录像记录。d)应使用稳定性良好的介质保存已提取的电子数据证据,并进行封存。DB14/T 2990-202435.5分析电子数据证据分析是指对收集的原始存储介质或者提取的电子数据,通过恢复、破解、搜索、仿真、关联
8、、统计、比对、反编译等方式,进一步获取与案件相关线索、证据的过程,包含但不限于如下要求。a)应确保电子数据证据分析环境的安全。b)应通过写保护设备接入到分析设备进行分析,或者制作电子数据备份并进行分析。c)分析具有无线通信功能的原始介质,应采取信号屏蔽、信号阻断或者切断电源等措施保护电子数据的完整性。d)解除封存、重新封存前后应拍摄被封存原始存储介质的照片,清晰反映封口或者张贴封条处的状况。e)电子数据证据分析工作结束后,应制作电子数据证据分析文书,记录基本情况、分析方法、分析过程和结果,并由参加分析的人员签名。5.6检验电子数据证据检验是指采取量测、检查、试验等方法,对特定环境下电子数据的变
9、化、改变电子数据的操作行为、软硬件具备的特定功能或性能等情形进行验证的过程,包含但不限于如下要求。a)电子数据证据检验应进行2次以上。b)对于检验目标为独立于数字化设备的软件时,应对保全后的检验目标进行检验;对于检验目标为数字化设备的整机系统,应对数字化设备整机系统进行检验。c)检验使用的电子设备、网络环境等应与原环境一致或者基本一致并确保检验环境的安全;必要时,可以采用相关技术方法对相关环境进行模拟或者进行对照实验。d)禁止影响非实验环境计算机信息系统正常运行的检验行为。e)电子数据证据检验,应使用相关手段客观记录检验过程。f)解除封存、重新封存前后应拍摄被检验目标,清晰反映封口或者张贴封条
10、处的状况。g)电子数据证据检验工作结束后,应制作电子数据证据检验文书,记录检验的条件、方法、过程和结果,并由参加检验的人员签名。5.7鉴定电子数据证据鉴定是指具备资格的鉴定人运用科学技术或者专门知识对电子数据证据中涉及的专门性问题进行鉴别和判断并提供鉴定意见的活动,包含但不限于如下要求。a)电子数据证据司法鉴定应由具有司法鉴定资质机构委派至少两名取得司法鉴定执业资格的人员实施。b)应审核检材或样本的送检状态,使用拍照、录像等方式记录其外观和标识,确认委托方要求鉴定的电子数据,从技术层面确认委托鉴定要求的有效性和可行性,引导其提出科学、合理、明确的鉴定要求并予以确定。c)对可制作电子数据副本的检
11、材应先制作电子数据副本并进行完整性校验,制作完成后检材应妥善保管;对不能制作电子数据副本的,应在操作过程中采取写保护措施并采用拍照、录像等方式记录所有对检材的操作行为。d)如遇特殊情况,需要以检材作为操作对象并可能对其造成修改时,必须经委托人书面同意,并记录说明所有对检材的具体操作及结果。e)电子数据证据鉴定的操作过程应严格遵守方案所选择的鉴定方法,合理使用设备仪器进行电子数据证据鉴定。DB14/T 2990-20244f)电子数据证据鉴定完成后应出具鉴定文书,客观反映鉴定的由来、鉴定过程,经过检验、论证得出鉴定意见的,鉴定文书由参与鉴定的鉴定人签名并加盖司法鉴定机构的司法鉴定专用章,对鉴定意
12、见有不同意见的,应当注明。5.8记录电子数据证据取证全过程应进行详细记录。记录电子数据证据介质应包括但不限于以下内容:a)类别;b)型号;c)外观;d)序列号等唯一性标识信息;e)时间及与北京时间的差异情况;f)屏幕显示内容;g)网络信息及其他状态的描述,包含但不限于IP/域名等。记录工作过程应包括但不限于以下内容:a)人员;b)目的;c)时间;d)步骤;e)环境;f)使用工具;g)提取的电子数据证据的存储位置、文件名、完整性校验值等信息;h)分析、检验的方法、结论;i)鉴定编号、鉴定要求、鉴定方法、操作过程、鉴定发现及结果。工作过程录像文件的说明文档应包括但不限于以下内容:a)操作人员;b)
13、开始时间;c)结束时间;d)存储位置、文件名、完整性校验值等信息。5.9保存和流转应在电子数据证据介质上粘贴标识,无法直接粘贴标识的,可在外包装上进行标识。电子数据证据介质应集中放置在防磁、防静电的存储环境中。电子数据证据介质在流转过程中应办理交接手续,妥善保存,防止其损坏或遗失并核对其完整性校验值是否正确和封存的照片与当前封存的状态是否一致。DB14/T 2990-20245参考文献1 GB/T 29360-2023 法庭科学 电子数据恢复检验规程2 GB/T 29361-2023 法庭科学 电子数据文件一致性检验规程3 GB/T 29362-2023 法庭科学 电子数据搜索检验规程4 GA
14、/T 756-2021 法庭科学 电子数据收集提取技术规范5 GA/T 1069-2021 法庭科学 电子物证手机检验技术规范6 GA/T 1174-2014 电子证据数据现场获取通用方法7 GA/T 1474-2018 法庭科学计算机系统用户操作行为检验技术规范8 GA/T 1564-2019 法庭科学 现场勘查电子物证提取技术规范9 SF/Z JD0400001-2014 电子数据司法鉴定通用实施规范10 SF/Z JD0400002-2015 电子数据证据现场获取通用规范11 SF/T0157-2023 移动终端电子数据鉴定技术规范12 SF/T 0105-2021 储存介质数据镜像技术规程13 关于办理刑事案件收集提取和审查判断电子数据若干问题的规定(2016 年 9 月 9 日最高人民法院、最高人民检察院、公安部法发201622 号文件发布)14 司法鉴定程序通则(2016 年 3 月 2 日司法部司法第 132 号部令发布)15 公安机关鉴定规则(2017 年 2 月 16 日公安部公通字20176 号文件发布)16 公安机关办理刑事案件电子数据取证规则(2019 年 1 月 2 日公安部公通字 2018 41 号文件发布)
浙ICP备2021020529号-1 | 浙B2-20240490 
