日本警察廳的信息技術解析工作概覽

劉欣如

日本警察廳的信息技術解析工作概覽

劉欣如

2013年，日本網民人數首次超過1億人，網絡普及率達到了82.8%。同時，包括智能電話在內的移動電話保有率也達到了94.8%，移動電話的簽約數已超過1.39億臺，這意味著每個國民平均持有手機數量超過一部。在這種現狀下，在犯罪偵查現場，對嫌疑人所持智能手機或移動電話進行調查將會對查明事實真相提供極大幫助。與此相對，嫌疑人為毀滅證據而做出的破壞智能手機、移動電話、移動計算機等的情況也頻繁發生。為了使上述偵查現場出現的種種電磁記錄可視化、可讀化，通過信息技術解析（也稱“數字取證”）的方式對犯罪行為進行取證就顯得更為重要。

信息技術解析的意義

日本警察廳將“信息技術解析”定義為“為了取證而進行的電磁記錄解析技術及其相關手續”。近年來，從音樂、電影、書籍，到個人的地址簿、日程表、便條，各種各樣的信息都被電子化，并保存到各類媒體中，而犯罪分子利用計算機、智能手機從事犯罪活動的趨勢日益顯著。此外，隨著各類信息通信服務日漸多樣，在越來越多的案件中，能否正確地解析出殘留在計算機服務器、網絡運營商等系統中的通信記錄等將決定著能否查明犯罪事實、能否識別犯罪嫌疑人。為了做好犯罪行為取證工作，就必須確保所提取信息的舉證能力及證明力。因此，恰當的從電磁記錄媒體中提取其記錄的數據并使之證據化是一項非常重要的工作。2013年，日本全國信息技術解析部門提供信息技術解析支援的案件數量約為21000起。

日本警察廳信息技術解析部門

1.成立始末

日本警察廳信息通信局于1996年起開展了“計算機犯罪偵查支援項目”，該項目于次年更名為“高科技犯罪偵查支援項目”?！案呖萍挤缸飩刹橹г椖俊焙髞硪渤蔀榱?999年成立的警察廳技術對策科的母體。警察廳技術對策科主要通過其下設的技術中心向日本各都道府縣的警察提供直接的偵查支援及電磁記錄解析幫助。2000年2月出臺的《警察廳信息安全政策系統》中指出，要與打擊計算機犯罪一道，將強化打擊計算機恐怖主義作為工作重點之一，不斷充實強化針對計算機恐怖主義的監視、信息采集及應急體制的建立。2001年，根據《警察信息安全政策系統》的要求，各管區警察局信息通信部門均下設了技術對策科，并將其定位為“電子部隊”。同時，警察廳技術對策科下設了“計算機恐怖主義對策技術室（通常稱之為‘電子部隊中心’）”以作為“電子部隊”的總指揮部。

2004年，警察廳技術對策科改組為警察廳信息技術解析科，以強化體制建設。另外，各地方機關也通過改組技術對策科等方式，在各管區警察局信息通信部及各府縣信息通信部中設立了信息技術解析科。隨著來自計算機空間威脅的增大，2011年，《綜合應對計算機空間威脅推進大綱》出臺。因需要對惡性化、極端化的違法程序進行解析的案件不斷增多，2012年，警察廳信息技術解析科下設了“違法程序先解析中心”，同年又將該中心改組為“高度信息技術解析中心”，以強化體制建設。

2005年，為普及數字取證并促進其發展，日本專門成立了“數字取證研究會”。而為了推進數字取證的國際化、標準化，日本于2012年推出了ISO/ IEC27037《電子證據的識別、采集、獲取和保存指南》。此外，日本還相繼對ISO/IEC27041《調查手法適應性、妥善性的確保指南》、ISO/IEC17042《電子證據的解析、解釋指南》、ISO/ IEC27043《調查原則及程序》等草案進行了審議，警察廳高度信息技術解析中心作為草案制訂組成員之一參與了草案的審議。

2.組織構成

警察廳信息技術解析科的工作職責是“為了取締犯罪而開展信息技術解析等相關工作”，這也是國家公安委員會的綜合工作之一。無論是警察廳、管區警察局還是都道府縣的信息技術解析部門均為國家機關。

（1）警察廳信息技術解析科

目前，警察廳信息技術解析科是作為全國信息技術解析部門的中心來運行的，特別是在技術層面上，由高度信息技術解析中心和計算機部隊工作中心兩個部門向全國提供支持。

A.高度信息技術解析中心

在有些網絡銀行非法交易等案件中，有時都道府縣（方面）的信息技術解析科、管區信息技術解析科均難以對犯罪嫌疑人所使用的惡性計算機病毒進行解析，此時，高度信息技術解析中心將會向有關部門提供解析方面的技術指導，或受理申請親自進行解析。

另外，電磁記錄解析方面，該部門能夠對殘留在計算機等載體上的痕跡是在何種情況下產生的等事宜進行檢驗。都道府縣信息技術解析科無法完成的一些工作，如針對智能手機軟件所進行的高度解析及從破損的機器中提取數據等，在這里都能夠得到實現。

高度信息技術解析中心正因為具有這種職能，因此可匯總全國的相關技術信息，建立解析數據庫，當類似案件發生時，能夠迅速對其實施解析。

B.計算機部隊工作中心

2013年，在不斷強化計算機攻擊對策體制的同時，計算機部隊擴充至了都道府縣，并逐步與警察廳警備局下設的以計算機攻擊對策官為最高指揮官的計算機攻擊分析中心等部門展開合作。計算機部隊工作中心作為計算機部隊的指令塔，正不斷推進工作的展開。

計算機部隊工作中心實行24小時工作制，對計算機恐怖主義進行預測性把握，提供并分析所搜集到的情報，對通過目標郵件進行惡意攻擊的非法程序等進行分析。全國的計算機部隊基于從各類業務中獲取的技術信息，與各都道府縣的警察合作，針對計算機攻擊對策等提供技術性指導。此外，計算機部隊還通過警察廳網站向國民廣泛宣傳計算機恐怖主義的危害，并致力于呼吁更多的群眾提高對計算機恐怖主義的警惕性。

（2）管區信息技術解析科

管區信息技術解析科主要針對管區內各府縣信息技術解析科進行指導及調整，同時，還負責對府縣信息技術解析科無法實現的解析進行調整解析，并負責管區內警校的信息技術解析教育。此外，作為管區電子部隊中心，該科還負責對管區內重要基礎建設的從業人員進行個別走訪。

（3）都道府縣信息技術解析科

都道府縣信息技術解析科受理各都道府縣警察提出的技術支援的申請及咨詢，并基于此提供相應支援。針對隊伍派遣及技術解析支援方面的相關申請，由各警察信息通信部門及都道府縣信息技術解析科進行受理，接受申請的都道府縣信息技術解析科除可直接提供支援外，還可根據需要，接受管區警察局、警察廳的調整及支援。另外，全國的信息通信部門均下設作為應對計算機攻擊技術基礎的技術部隊，該部隊通常被稱為“電子部隊”，都道府縣的信息技術解析科也下設都道府縣電子部隊。

根據申請要求，都道府縣信息技術解析科可以提供下述手段支持。

A.派遣：是基于信息技術解析方面的認知，提供在偵查現場開展的搜索凍結等技術支援。

B.解析：為了查明案件，從扣押的電磁記錄媒體中調取必要信息并使其資料化的一種業務。此外，都道府縣解析科也對各都道府縣警察所開展的信息技術解析教育活動提供支持。

與都道府縣信息技術解析科相對應，警察廳組建了計算機犯罪應對部門及計算機攻擊應對部門，并提出要以此為起點，不斷強化與都道府縣警察部門間的日常協作。

信息技術解析現場的注意事項

以電磁記錄作為證據使用時，必須通過適當的處理，設法保全數據。然而遺憾的是，證物遭到損壞的事件還是時有發生。

為了防止證物受損事件發生，在進行取證時需特別注意以下幾點。

（1）全面的注意點

A.要注意電磁記錄媒體是一種精密機械。

因為無論是用于個人還是商務用途，計算機等儀器平常就經常利用，因此也往往會在無意識中遭到粗暴的對待，然而計算機等儀器都是內部容納著復雜機械構造及電子回路的精密機械。因此，在處理這些精密機械時，切忌強沖擊、震動、潮濕、水浸等。

B.要控制外接設備的接入及電源的開關。

當電磁記錄媒體處于運作中，且其內部信息能夠讀取時，如果不采取特別手段進行應對的話，就可能發生信息的寫入、改寫及消除的情況。此時，計算機、手機、智能手機等電磁記錄媒體可能會通過內部基本軟件的運行，對部分信息進行改寫（改變的信息主要以關于日期信息的時間戳為主）、寫入（主要為注冊中心等于機器設定的相關信息）以及刪除（一般是在對回收站、收藏中的已刪除數據進行整理時出現）。

因此，作為工作原則，要避免通過錯誤的解析作業順序進行信息讀取、隨意插入電源的行為。然而，在搜查工作需要對電磁記錄媒體內部信息進行確認時，對偵查工作開展的日期及內容進行適當的記錄是非常重要的。

C.要保留物理處理記錄（保管、錄入輸出等）。

電磁記錄很容易就會遭到改寫或刪除，而且這種情況還很難被直接發現，因此為了防止電磁記錄信息因受到到被更改的質疑，而導致電磁記錄的證據價值降低的情況發生，那么就不僅要注意前面作業的內容，而且還需要對信息的保管情況以及錄入輸出情況進行適當的記錄。

（2）對計算機等的處理

A.要確認計算機與周邊機器的連接情況。

一臺計算機很有可能連接眾多的周邊機器，有時，是否掌握計算機與其他機器的連接情況，將對后來的解析工作效率產生到極大的影響。另外，當計算機連接了外接記錄媒體時，就要考慮到該外接媒體中可能存儲著計算機的主要信息，因此做好計算機連接情況的詳細確認能夠很好地起到避免對外接媒體中存儲信息漏查情況的發生。

通過采取對計算機的外部連接情況進行拍攝、在計算機機身、數據線及外接的機器上貼上適當的標簽等處理方式，能夠使計算機再現其最初的連接情況。

B.要將套裝軟件及使用說明書、周邊器材及連接線等一并扣押，并進行整體處理。

進行電磁記錄解析時，有時需要掌握應用于數據編寫的軟件情況。在解析非常規性軟件編寫出的數據時，如不掌握相關軟件，那么解析就可能會花費更多時間。當發現可能為被扣押計算機的某一應用軟件包時，應將該軟件包與計算機一并扣押，并進行打包處理。另外，關于各種周邊器材的處理方面，因為被扣押的計算機的某些應用軟件的運行需要有特定的周邊器材來支持，而這些器材擁有其專屬的連接線，在做解析時，對上述物品也不能掉以輕心，需要進行打包扣押。

（3）手機及智能手機的處理

A.要事先確認機器內是否插有SIM卡及存儲卡。

必須要事先插入從運營商方借來的SIM卡。此外由于現在的手機末端一般都會內置存儲卡（基本上都是micro SD卡），因此一般的機型都能夠存儲大量信息。當對其進行解析時，根據需要，有時需將上述卡拔出，因此需要事前確認手機內是否有內置卡，同時需要明確證物的使用現狀。另外，因為手機外裝部件中，大多是由質地脆弱的塑料制成，因此要避免隨意用力撬開機身蓋或對手機進行拆解的行為發生。

B.將手機設定為信號關閉等無法通信的信號模式。

手機及智能機在與通信回路進行連接后，就會轉變為在線模式。此時，手機極有可能出現下述行為：開始讀取接受到的短信息、運作中的應用程序開始自動下載信息、根據事前的設定而自動禁止某項操作、刪除內部信息等。因此，在進行解析時，最好能夠在切斷電源的情況下開展工作。在未切斷電源的情況下，要盡可能地將手機設定為無信號模式（信號關閉模式、飛行模式）。

另外，當出現手機操作方式不明、密碼鎖屏、圖形鎖屏的情況而導致無法進行進一步解析時，在進行了必要的確認后，要立即切斷電源。

（4）其他電子機器類的處理

針對其他機器，盡量保持現狀，在確認了生產廠家、機器型號等情況的基礎上，與信息技術解析部門共同商討相應的處理方法。

（5）破損機器類的處理

A.不要接通電源。

因破損的機器內部究竟處于何種狀態尚且不明，如果此時接通電源，極有可能出現因回路短路而引起火災的情況，或者出現對信息記錄部件造成損傷的情況，因此接通電源后再確認操作是一個非常危險的舉動。

B.如果可能的話要取出電池

特別是遭受水浸的回路一旦通電的話，本來不通電的部分也會有電流通過，這極有可能給部件帶來損傷。除此之外，還很有可能出現類似于電鍍的現象，導致回路鹽類析出，使回路受到毀滅性的物理破壞。所以，在進行解析時，要將手機、智能機的電池取出。然而，上述做法不適用于通過物理方法無法取出電池的手機。

C.盡可能搜集部件。

對于遭到物理性破壞的機器，要根據情況，找到從回路基板上脫落的異常細小的部件，因此要盡可能地搜集包括回路碎片在內的機器零件。

D.要將后續處理事宜與專家進行商討。

在出現機器受到損壞的情況下，其后續的保存與處理方法就會發生改變，因此面對該情況時，應與技術解析部門的負責人就適宜的處理方式進行商討。

信息技術解析部門與偵查部門的合作

在犯罪偵查過程中，信息技術解析工作顯得愈發重要。各都道府縣信息通信部的信息技術解析科員只有事前接受相關技術與手續雙方面的基本培訓后，才能接受其所屬警察總部及警察署的協查申請，到偵查現場進行支援。下面這一個假想事例可以解釋信息技術解析部門與偵查部門的合作流程。

1.概要

A縣B警察署在偵辦一起秘密出售藥物案件中，在逮捕犯罪嫌疑人時，扣押了一部可能為犯罪嫌疑人用于接受非法藥物購買預定的手機，發現時，該手機已遭到破壞。B警察署就該手機的解析事宜與A縣信息解析科進行了商討。

2.事前商討

B署與A縣信息技術解析科間進行了事前商討。雙方就案件情況、此次端末解析的必要性、偵查日程表等事宜交換了意見，同時，對此次端末修復的方法、應該成為證據的數據等情況進行了討論，在達成共識的基礎上，B署向A縣信息技術解析科提出了解析申請。

3.實施解析

A縣信息技術解析科對破損手機實施了端末修復，并確認了該端末能夠啟動并能夠正常運轉。隨后，工作人員調取了該端末的通話記錄、電話本、短信及照片，并向B署提交了解析結果報告書。

4.罪行舉證及明確案件全貌

調取的號碼撥出記錄與扣押的SIM卡中已查明的接通方的號碼的記錄相符。雖然也存在逮捕嫌疑人時作案手機的SIM卡被拔出、通過除查詢已損壞的電話端末的撥打記錄外無法固定作案手機的情況，但通過上述的解析結果，是可以確定所修復的端末即為進行藥物秘密出售時所使用的端末的。另外，通過調取的短信能夠確定新的案件關系人，由此可明確案件全貌。

為了能使數字取證得到十二分的應用，偵查員與解析負責人間的合作是必不可少的。合作的本質就是相互溝通與相互理解。偵查員與解析負責人雙方應共享案件及解析工作的最新進展情況，在達成“何種證據是必要證據”的共識的同時，解析負責人應向偵查員就“何種信息是能夠提取的”等事宜提供可行性建議，以確保在案情處于時時變化中的案件偵辦工作中，能夠第一時間將必要的數據證據化，最終達到迅速偵破案件的效果。

不僅如此，在上述的相互理解的基礎上，應對解析對象的解析順序進行最優化調整，以確保解析對象的電磁記錄量的增加與偵查時間限制間能夠達到相互平衡。在解析業務量不斷加大、案件復雜程度及困難程度不斷加深的情況下，上述事宜應該得到充分的考慮，且已經開始得到了全世界的重視。

作為信息解析部門，應以上述觀點為基礎，不斷深化與偵查部門間的合作。

未來的展望

隨著科技的日益發展，不斷高度化、復雜化的最新信息通信器材不斷涌現。然而在此種情況下，僅限于公安部門內部的努力是很難達到確保必要的解析能力的目的的，因此必須要加強國內外相關部門間的合作。在這種大趨勢下，警察大學計算機安全研究研修中心在不斷推進針對各類信息通信器材解析過程中，對必要技術要素等信息技術解析方面研究的同時，還開展了與其他大學間相關領域的共同研究工作。另外，警察廳信息技術解析科在逐步開展與計算機安全研究中心間的合作的同時，主持召開了國內偵查機關等參加的數字取證交流會、亞洲大洋洲地區偵查機關共同參會的計算機犯罪偵查技術大會（CTINS）等一系列會議，不斷通過國內外治安機關、學術機關、民間組織等積極探索最新解析手法。

今后在各類偵查現場，與犯罪活動緊密相關的不僅僅局限于智能手機、計算機等聯絡手段，需要應用信息技術解析手段的案件數一定會不斷增加。隨著解析需求的不斷提升，信息技術解析部門應不斷完善體制建設，積極推進解析器材的更新換代。此外，偵查員自身是否具備操作信息通信器材的能力、是否對計算機空間的各類服務及信息通信技術有基本的了解將極大地影響案件事實的查明。因此，在信息技術解析部門，除了需要向偵查員提供必要的偵查現場的支援外，也必須對偵查員提供各類培訓及解析方面相關內容的教學。

（劉欣如，遼寧省丹東市公安局。）