摘〓要:公安机关网络安全保卫部门应利用信息网络技术手段,提高预防和打击针对互联网及其他信息网络的违法犯罪活动的能力,降低此类违法犯罪案件的发案率,减少此类违法犯罪活动对公民个人、国家安全和整个社会稳定的危害,并提出警用网上特种侦察电子数据平台建设思路及路径。
关键词:特种侦察;电子数据;平台;建设
一、网络侦察工作面临的困难和挑战
(一)困难
1.犯罪分子向幕后操纵转型
犯罪集团的主要分子在幕后组织操纵整个犯罪实施,雇用人员实施网络诈骗等犯罪形式。
2.跨地域作案
犯罪集团往往实施跨地域、境外作案,赴各城市转款、提现,将赃款转至多个不同账户,给侦察工作带来了很大的挑战。
3.分工合作
犯罪集团逐渐形成了从开发制作、组织策划、角色分工、分赃销赃已经较为完善的产业链条,反侦察意识比较强。
4.技术更新快
犯罪集团不断通过电信、网络等新媒介平台作案,通过改号、变声等手段针对性作案,频繁得手,气焰嚣张。
(二)挑战
1.线索协查难
目前线索协查申请流程比较复杂,线下纸质审批,流程效率较低。
2.信息未打通
目前网络犯罪侦察部门主要包括技侦、大数据中心等,社会面又要面对运营商、银行、第三方支付公司、相关企业等,对共享协作、整齐划一调度等方面工作的要求非常高。
3.侦办效率低
网络侦察工具和侦察系统支撑略显不足,缺乏案件模板和侦办经验的沉淀。
二、警用网上特种侦察电子数据平台建设功能模块
(一)网警信息安全保密U盘
主要是基于C/S模式,采用VimalStiidio.Net开发平台的C++语言开发,集成菜单类、模块类、图标类等于一体的面向对象技术,加密算法采用AES加密方式,通过设有安全区、隐藏区进行不同程序的加密,保证数据存储的隐蔽性、安全性,并且防病毒感染。
(二)网络隐蔽刺探接入系统
基于TCP/IP网络协议,采用0pen Wrt固件更新方式,通过脚本代码实现自动更新链路服务器配置信息,无需手动设置,多组备用链路服务器,保证链路畅通,结合AES256加密方式进行加密连接,由客户端接收Socks5请求,经过加密后发送到服务端程序,服务端解密请求后,向目标服务器进行请求,再将响应数据经过加密返回到客户端,最后将解密后的数据返回到互联网应用中。
(三)互联网移动终端查控系统
基于安卓4.0以上版本,通过自主研发配置系统包,实现能够支持SS,VPN,Socks5等等多种方式的代理。对外以Wifi热点形式提供隐蔽链路接入,减少配置的复杂度。支持3G加Wifi网络环境,能够对接入的Wifi网络内网进行安全检测。能够通过隐蔽链路对目标站点进行渗透测试。能够采集附近的基站信息。
(四)网警数据挖掘比对系统
基于Apadre启动服务,采用B/S访问模式,建立PHP+MySql使用环境,通过批处理脚本程序建立数据库聚集索引,将数十亿条海量数据,通过建立数据索引后有效提高数据查询速度,一键式秒查即可返回结果,可随时添加更新数据,保证数据新鲜度,设备使用方便,即插即用无须过多配置,为锁定人物、信息扩线具有一定的帮助。
相关知识推荐:怎么发表论文才安全
(五)网警特种侦察工具系统
网警工具盘现存有20余项分类,融汇近百款工具软件。方便携带、易于管理,存储于U盘或移动硬盘,融合众多常用工具于一身,有效提高工作效率,为网警日常工作与执行任务提供便利作用。
三、警用网上特种侦察电子数据平台建设路径
(一)磁存储介质物理数据提取设备
在《公安机关网安部门电子物证检验鉴定实验室装备分级标准》中对于本地数字化设备非运行状态下的数据提取中,涉及到了磁存储介质物理数据的提取,主要是针对硬盘固件在无尘工作环境下的修复、拆卸、盘片替换,及电路板的测试,对于此项工作的开展情况,根据我们的实地考察,发现已建成的绝大多数实验室均未有效开展,造成了极大的浪费。针对工作中存在的实际问题,本文认为主要有两点原因:
1.硬盘修复工作对人员素质要求极高
要想修复一块硬件损坏的硬盘,需要维修人员掌握硬盘的结构组成、常用维修工具的使用方法、元器件好坏的判定方法、硬盘的低级格式化、硬盘坏道修复方法、硬盘控制电路及检修、硬盘盘体及检修等内容,这就需要维修人员有大量的理论知识储备。同时,硬盘的修复往往是针对原盘进行的,这就要求操作人员几乎不能存在失误,否则对盘中证据的损坏是致命的,这就需要维修人员有大量的经验积累,以面对各种突然的复杂的情况。绝大多数网安部门民警中几乎没有这样的人才,造成了硬盘修复工作无法开展的窘境。
2.硬盘拆卸和盘片的替换需要有大量的硬盘储备
目前,计算机技术发展日新月异,相应的硬件要求也在逐步提高,硬件的淘汰更新速度很快。我们在实际工作过程中,往往获取的嫌疑人硬盘都是几年前的,甚至是更老、市面上已经没有出售的硬盘种类,这就要求储备大量的各个年代的、各种型号的硬盘,以备各种器件的更换使用。而这项工作具体开展难度较大,不仅需要较大资金投入,要想集齐生产年代较早、型号较全的硬盘也是一件不容易的事情。
(二)各种接口、复制设备数量可以统筹考虑,避免无意义的投入
在《装备分级标准》中,针对不同等级的实验室,对只读接口、高速存储介质复制设备、各类接口存储介质离线转换接口都提出了明确的数量要求,但在实际采购中我们不难发现有很多设备,自身已提供只读接口,或各类转换接口,所以只要满足可移动设备的数量要求,完全可以进行整合,这样既可以避免长时间闲置设备,又可以节省资金投入。
(三)鉴于在实际工作中的客观需要,建议实验室部分功能项可以加大投入力度,如手机取证及密码破解。
1.无论传统案件,还是涉网类案件,手机取证已经变成侦办案件的基本需求
在实际的工作中,我们经常遇到嫌疑人有两部甚至更多部手机,而在手机的存储卡、SIM卡,及手机本机中往往存在大量的重要证据,例如在网络赌博案件中,短信内容经常有代理和会员的账号、密码、下注金额等重要的证据。同时,以往我们通过技侦手段获取的信息只能作为内部侦查时使用,而手机取证却可以名正言顺的将信息转化为法律认可的证据。当然,这需要鉴定人以事实为依据,客观真实的提取手机中的证据。因此,建议在实验室的智能手机等智能设备数据提取和恢复软件设备上,应该提高能力要求,尽可能选择恢复能力强、恢复效果好的硬件设备,可能不同的设备针对恢复内容有所差别,建议具备条件的单位,可以在该功能项上加大投入力度,选择多款手机恢复软件。
2.嫌疑人反侦查意识较强,密码破解逐步成为取证工作中体现攻坚能力的重要内容
工作中,我们发现在电脑中存储了重要证据的,往往是嫌疑人对本机系统设置了登录密码、对重要盘符进行了加密、对文档和压缩包设置了密码,嫌疑人认为即使警方掌握了这些内容,也是无从下手。而在实际工作中,这也是我们遇到的比较棘手的问题,尤其是嫌疑人设置密码位数较长,数字、字母混合出现的,更为我们的取证工作加大了难度。我们建议在常用加密文件的识别和解密软件和设备、常用加密口令的解密软件和设备上可以加大投入,提高应对能力。——论文作者:杜彬,任佳
* 稍后学术顾问联系您