1、ICS35.040CCS A 2414山西省地方标准DB14/T 2990-2024电子数据证据取证要求2024-02-08 发布2024-05-07 实施山西省市场监督管理局发 布DB14/T 2990-2024I目次前言.II1 范围.12 规范性引用文件.13 术语和定义.14 一般要求.15 取证阶段要求.2DB14/T 2990-2024II前言本文件按照GB/T 1.12020标准化工作导则第1部分:标准化文件的结构和起草规则的规定起草。本文件由山西省公安厅提出、组织实施和监督检查。山西省市场监督管理局对标准的组织实施情况进行监督检查。本文件由山西省公共安全标准化技术委员会归口。本
2、文件起草单位:山西省公安厅、太原市公安局、厦门市兴百邦科技有限公司、国投智能(厦门)信息股份有限公司、北京奇安信科技有限公司、北京锐安科技有限公司、上海弘连网络科技有限公司、亚信科技(成都)有限公司、山西晋信安科技有限公司。本文件主要起草人:马静旻、郭伟光、董杰、胡壮、闫鹏飞、范鑫、崔洪宇、张登峰、王勇、马超DB14/T 2990-20241电子数据证据取证要求1范围本文件规定了电子数据证据取证的术语和定义,一般要求,以及发现、收集、提取、固定、分析、检验、鉴定、记录、流转和保存等取证要求。本文件适用于电子数据证据取证。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的
3、条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GA/T 754电子数据存储介质复制工具要求及检测方法GA/T 755电子数据存储介质写保护设备要求及检测方法3术语和定义下列术语和定义适用于本文件。3.1电子数据证据电子数据证据是指以数字化形式存储、处理、传输的,能够证明案件事实的数据。3.2易失性数据容易改变或消失的电子数据。3.3完整性校验值使用散列算法对数据进行计算后获得的可以用来校验数据完整性的输出值。3.4物理提取对物理存储介质进行位对位的复制以创建数据副本的提取方式。3.5逻辑提取在文件系统等层面采用非位
4、对位复制的方式对文件、文件夹等结构化数据创建数据副本的提取方式。4一般要求4.1电子数据证据取证至少由两名具有专门知识的人员实施。4.2应及时实施电子数据证据取证活动。4.3电子数据证据取证应避免对原数据的更改,若不可避免造成更改,应记录更改内容、原因及过程。DB14/T 2990-202424.4电子数据证据取证应使用准确性得到验证的工具。4.5在电子数据证据取证过程中,应保证电子数据证据安全。5取证阶段要求5.1发现电子数据证据发现是指搜索、识别电子数据证据的过程,包含但不限于如下要求。a)应发现电子数据证据的不同表现形式,必要时制定相关方案。b)应优先处理电子数据证据介质上的生物证据。c
5、)不得改变电子数据证据介质的原始状态。d)应及时识别相关设备的电力供应状态,采用电池供电的设备应及时保持电力供应。e)应及时识别现场网络覆盖情况和相关设备的网络状态。f)应注意识别与记录电子数据证据其他相关信息,包含但不限于设备或网络的密码等。5.2收集电子数据证据收集是指将电子数据证据介质从其原始位置移置到实验室或其他受控环境的过程,包含但不限于如下要求。a)若存在易失性数据,应直接对易失性数据进行提取。b)不存在易失性数据的情况下,应根据电子数据证据介质情况直接移除电源或正常关机。c)应及时收集与电子数据证据相关的信息、材料,包含但不限于记录密码的纸张、设备线缆、充电器等。d)应将收集的电
6、子数据证据介质进行封存。5.3提取电子数据证据提取是指创建电子数据证据副本的过程,包含但不限于如下要求。a)对于客观条件无法提取的电子数据证据,应及时进行冻结。b)提取易失性数据时,应同时生成操作过程记录和录像记录。c)同一介质可以采用物理提取、逻辑提取的方法提取电子数据证据时,优先采用物理提取的方法。d)对于具备复制条件的电子数据证据介质,应使用电子数据证据介质复制工具进行镜像,电子数据证据复制工具应符合GA/T 754要求。e)对于具备写保护条件的电子数据证据介质,应使用写保护设备接入到检验设备上进行后续操作,写保护设备应符合GA/T 755要求。f)对于无需启动即可提取电子数据证据的介质,优先选择在不启动状态下提取电子数据证据。g)应将完成提取的原始电子数据证据介质进行封存。5.4固定电子数据证据固定是指进行电子数据证据原始性、完整性保护的过程,包含但不限于如下要求。a)应对收集、提取的电子数据证据进行标记,以便数据之间的关联。b)应对提取的电子数据证据与原始数据进行完整性校验并生成完整性校验值,保护数据原始性和完整性。c)无法进行完整性校验时,应同时生成操作过程记录和录像记录。
安全达人 