ICS35.040 CCSA24 14 山西省地方标准 DB14/T2990-2024 电子数据证据取证要求 2024-02-08发布 2024-05-07实施 山西省市场监督管理局  发布DB14/T2990-2024 I目次 前言..................................................................................II 1范围.................................................................................1 2规范性引用文件.......................................................................1 3术语和定义...........................................................................1 4一般要求.............................................................................1 5取证阶段要求.........................................................................2DB14/T2990-2024 II前言 本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草。 本文件由山西省公安厅提出、组织实施和监督检查。 山西省市场监督管理局对标准的组织实施情况进行监督检查。 本文件由山西省公共安全标准化技术委员会归口。 本文件起草单位：山西省公安厅、太原市公安局、厦门市兴百邦科技有限公司、国投智能（厦门） 信息股份有限公司、北京奇安信科技有限公司、北京锐安科技有限公司、上海弘连网络科技有限公司、 亚信科技（成都）有限公司、山西晋信安科技有限公司。 本文件主要起草人：马静旻、郭伟光、董杰、胡壮、闫鹏飞、范鑫、崔洪宇、张登峰、王勇、马超 DB14/T2990-2024 1电子数据证据取证要求 1范围 本文件规定了电子数据证据取证的术语和定义,一般要求,以及发现、收集、提取、固定、分析、检 验、鉴定、记录、流转和保存等取证要求。 本文件适用于电子数据证据取证。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GA/T754电子数据存储介质复制工具要求及检测方法 GA/T755电子数据存储介质写保护设备要求及检测方法 3术语和定义 下列术语和定义适用于本文件。 3.1 电子数据证据 电子数据证据是指以数字化形式存储、处理、传输的，能够证明案件事实的数据。 3.2 易失性数据 容易改变或消失的电子数据。 3.3 完整性校验值 使用散列算法对数据进行计算后获得的可以用来校验数据完整性的输出值。 3.4 物理提取 对物理存储介质进行位对位的复制以创建数据副本的提取方式。 3.5 逻辑提取 在文件系统等层面采用非位对位复制的方式对文件、文件夹等结构化数据创建数据副本的提取方式。 4一般要求 4.1电子数据证据取证至少由两名具有专门知识的人员实施。 4.2应及时实施电子数据证据取证活动。 4.3电子数据证据取证应避免对原数据的更改，若不可避免造成更改，应记录更改内容、原因及过程。 DB14/T2990-2024 24.4电子数据证据取证应使用准确性得到验证的工具。 4.5在电子数据证据取证过程中，应保证电子数据证据安全。 5取证阶段要求 5.1发现 电子数据证据发现是指搜索、识别电子数据证据的过程，包含但不限于如下要求。 a）应发现电子数据证据的不同表现形式，必要时制定相关方案。 b）应优先处理电子数据证据介质上的生物证据。 c）不得改变电子数据证据介质的原始状态。 d）应及时识别相关设备的电力供应状态，采用电池供电的设备应及时保持电力供应。 e）应及时识别现场网络覆盖情况和相关设备的网络状态。 f）应注意识别与记录电子数据证据其他相关信息，包含但不限于设备或网络的密码等。 5.2收集 电子数据证据收集是指将电子数据证据介质从其原始位置移置到实验室或其他受控环境的过程,包 含但不限于如下要求。 a)若存在易失性数据，应直接对易失性数据进行提取。 b)不存在易失性数据的情况下，应根据电子数据证据介质情况直接移除电源或正常关机。 c)应及时收集与电子数据证据相关的信息、材料，包含但不限于记录密码的纸张、设备线缆、充电 器等。 d)应将收集的电子数据证据介质进行封存。 5.3提取 电子数据证据提取是指创建电子数据证据副本的过程，包含但不限于如下要求。 a)对于客观条件无法提取的电子数据证据，应及时进行冻结。 b)提取易失性数据时，应同时生成操作过程记录和录像记录。 c)同一介质可以采用物理提取、逻辑提取的方法提取电子数据证据时，优先采用物理提取的方法。 d)对于具备复制条件的电子数据证据介质，应使用电子数据证据介质复制工具进行镜像，电子数据 证据复制工具应符合GA/T754要求。 e)对于具备写保护条件的电子数据证据介质，应使用写保护设备接入到检验设备上进行后续操作， 写保护设备应符合GA/T755要求。 f)对于无需启动即可提取电子数据证据的介质，优先选择在不启动状态下提取电子数据证据。 g)应将完成提取的原始电子数据证据介质进行封存。 5.4固定 电子数据证据固定是指进行电子数据证据原始性、完整性保护的过程，包含但不限于如下要求。 a)应对收集、提取的电子数据证据进行标记，以便数据之间的关联。 b)应对提取的电子数据证据与原始数据进行完整性校验并生成完整性校验值，保护数据原始性和完 整性。 c)无法进行完整性校验时，应同时生成操作过程记录和录像记录。 d)应使用稳定性良好的介质保存已提取的电子数据证据，并进行封存。DB14/T2990-2024 35.5分析 电子数据证据分析是指对收集的原始存储介质或者提取的电子数据，通过恢复、破解、搜索、仿真、 关联、统计、比对、反编译等方式，进一步获取与案件相关线索、证据的过程，包含但不限于如下要求。 a)应确保电子数据证据分析环境的安全。 b)应通过写保护设备接入到分析设备进行分析，或者制作电子数据备份并进行分析。 c)分析具有无线通信功能的原始介质，应采取信号屏蔽、信号阻断或者切断电源等措施保护电子数 据的完整性。 d)解除封存、重新封存前后应拍摄被封存原始存储介质的照片，清晰反映封口或者张贴封条处的状 况。 e)电子数据证据分析工作结束后，应制作电子数据证据分析文书，记录基本情况、分析方法、分析 过程和结果，并由参加分析的人员签名。 5.6检验 电子数据证据检验是指采取量测、检查、试验等方法，对特定环境下电子数据的变化、改变电子数 据的操作行为、软硬件具备的特定功能或性能等情形进行验证的过程，包含但不限于如下要求。 a)电子数据证据检验应进行2次以上。 b)对于检验目标为独立于数字化设备的软件时，应对保全后的检验目标进行检验；对于检验目标为 数字化设备的整机系统，应对数字化设备整机系统进行检验。 c)检验使用的电子设备、网络环境等应与原环境一致或者基本一致并确保检验环境的安全；必要时， 可以采用相关技术方法对相关环境进行模拟或者进行对照实验。 d)禁止影响非实验环境计算机信息系统正常运行的检验行为。 e)电子数据证据检验，应使用相关手段客观记录检验过程。 f)解除封存、重新封存前后应拍摄被检验目标，清晰反映封口或者张贴封条处的状况。 g)电子数据证据检验工作结束后，应制作电子数据证据检验文书，记录检验的条件、方法、过程和 结果，并由参加检验的人员签名。 5.7鉴定 电子数据证据鉴定是指具备资格的鉴定人运用科学技术或者专门知识对电子数据证据中涉及的专 门性问题进行鉴别和判断并提供鉴定意见的活动，包含但不限于如下要求。 a)电子数据证据司法鉴定应由具有司法鉴定资质机构委派至少两名取得司法鉴定执业资格的人员 实施。 b)应审核检材或样本的送检状态，使用拍照、录像等方式记录其外观和标识，确认委托方要求鉴定 的电子数据，从技术层面确认委托鉴定要求的有效性和可行性，引导其提出科学、合理、明确的鉴定要 求并予以确定。 c)对可制作电子数据副本的检材应先制作电子数据副本并进行完整性校验，制作完成后检材应妥善 保管；对不能制作电子数据副本的，应在操作过程中采取写保护措施并采用拍照、录像等方式记录所有 对检材的操作行为。 d)如遇特殊情况，需要以检材作为操作对象并可能对其造成修改时，必须经委托人书面同意，并记 录说明所有对检材的具体操作及结果。 e)电子数据证据鉴定的操作过程应严格遵守方案所选择的鉴定方法，合理使用设备仪器进行电子数 据证据鉴定。 DB14/T2990-2024 4f)电子数据证据鉴定完成后应出具鉴定文书，客观反映鉴定的由来、鉴定过程，经过检验、论证得 出鉴定意见的，鉴定文书由参与鉴定的鉴定人签名并加盖司法鉴定机构的司法鉴定专用章，对鉴定意见 有不同意见的，应当注明。 5.8记录 电子数据证据取证全过程应进行详细记录。 记录电子数据证据介质应包括但不限于以下内容： a)类别； b)型号； c)外观； d)序列号等唯一性标识信息； e)时间及与北京时间的差异情况； f)屏幕显示内容； g)