2012年1月11日，第六届中国IDC产业年度大典在北京国家会议中心盛大开幕，本届大会以“构建云数据中心暨云应用创新论坛”为主题，邀电信运营商、IDC企业、设备厂商、互联网等业界同仁共同探讨云计算时代下的IDC产业机遇与责任，现在是中国计算机法政技术研究会的执行会长郭永健发表演讲：云计算冲击下的网络安全。

郭永健：今天的讨论的话题除了云计算时代的网络安全，其实我主要研究的是计算机取证技术，类似于大家所熟识的司法鉴定，电子数据的鉴定，我们是研究单机状态下、网络状态下、互联网，以及未来云计算方向下的如何对电子数据的防护和证据保全，为了企业或者是个人提供这方面的一个方法和支持。

我本人是法政技术研究会的执行会长，我们会长是中科院高能物理研究所的徐如生研究院，中国互联网第一条线路是他开发的，之后主要研究互联网信息安全方向。我还是ISFS资讯保安及法政工会，还是HTCIA高科技犯罪调查协会亚太区分会的研究官，针对高智商的，或者是针对IT和白领这个圈子内发生的，唯一把信息安全作为犯罪情况的发生。我今天代表这三个协会来介绍我的题目。

一、云计算的一些数据二、传统的计算机取证技术三、未来云计算发展平台下的挑战和影响四、我们所正在初步研究的取证方案计算机取证听起来跟大家距离比较远，实际上我们未来可能遇到的很多事，都和这项技术相关。比如说我们的协会和我们合作的机构，近几年，企业和政府部门做了一些服务和支持，他们涉及的一些做了一些故事，大家通过这些故事，对未来自身企业或者个人涉及到的这方面的安全问题。

去年我们在上海为一家国际上比较大的咨询顾问公司做了一个服务，这家公司主要研究的是各个行业的发展状况，结合各行业的发展状况，写一些评测报告，评测报告会发布在国际、国内，是一大很大的企业。在这家企业里后来出现一些问题，企业负责市场和IT的两个部门经理突然离职，离职后把电脑交给公司以后，发现电脑完全格式化了，还把系统重新做了分区，重新分区之后又重新建成了linux的分区，拷贝了一些数据，把电脑交给公司就走了。公司对这个人的离职，觉得有问题，因为他有一些其他未交接的事情，邀请我们对他的电脑进行分析，通过一些取证技术，比如说涉及到数据恢复，我后面会介绍一些详细的技术。从中发现了一些他泄漏公司，他和外面的邮件通讯，从邮件通讯里涉及到他把公司信息发到邮箱，把东西修改，包括把客户群信息都带走，同时还自己建立一个公司，做同样业务的和原本公司做一些竞争。

从这个例子我们可以看到，计算机取证技术，帮我们恢复事件的原貌，找出对我们有利，解决这个问题有利的一些证据和方法。

前两天我们又接到一个服务，也是国内一个企业，很大的一个IT厂商，同时还涉及到上海的银行，这两个情况很相似，都是IT的高管，整个系统管理员，对系统内不应该访问的数据做了访问，尤其是对公司老板和一些人的邮件，他非法访问了邮件系统，而且查看了一些东西，按照因为他的不慎留下了一些痕迹。这个也是涉及到企业的信息安全问题，这两个问题跟云计算没有什么关系，我只是通过这两个例子告诉大家电子证据和计算机取证是怎么回事。

到了云计算以后，这些事情发生了很大的办法，我们传统的取证方式和现在云计算平台下的取证方式发生很大变化，对未来的取证带来了一些难度，也可以说是相当大的难度。后面我会简单介绍对这些问题的看法和初步应对策略。

我本人是在电子证据和电子数据这块做了20年的研究，同时为了在国内推广计算机法政技术，我们也创建了协会，联合了一些研究机构，共同的这方面的理念和服务。包括本身我们也是做一些研发，为这些做证据研究的机构提供一些武器。本人比较喜欢这些技术，所以做了汉化官方的培训，使一些国外比较优秀的产品和技术，对于电子数据分析方面有些特色的地方，当然国内一些公司也在研究这方面的技术，也开发了一些产品，综合的来说，这些工具综合的应用，这样才能解决不同案件，不同状态，不同情况下的一些问题。

比如说这里面可以看到有邮件的问题，不同的邮件系统，nuix，涉及到密码的问题我们怎么解决，涉及到手机我们怎么解决，包括苹果系统等等这些工具。除此之外，我刚刚翻译完一本书苹果的《IOS取证分析》，对iPad，iPhone的系统分析。此外，还正在写一本书，《计算机取证工具实战》。这是我的博客，在国内我的博客涉及到计算机技术分析内容比较多的地方，大家如果想更多的了解这个技术，可以参考我写的文章。

合作团队：我们联合了一些国内做这方面主要的公司和研究机构，共同来做一些产品开发了培训，还有一些国际的应用。

国际合作伙伴：涉及到我前面提到的专门做电子数据取证和鉴定这些主流工具，特别是一些国际主流的取证产品，我们是他们中国的总代理机构。

云计算的问题，刚才袁女士对云计算基础知识讲的很多，我也不讲这些东西了，这些内容也可以在很多方面找到相关资料。我们所关注的是基于不同的云计算平台，不同的方式，无论采取哪种架构方式之外，我们重点关注的是数据安全，这个安全和大家普遍理解的安全概念不太一样，我们不是研究如何防止这个网站被攻击，如何防止这个信息被泄漏，我们所研究的是出现这个事件之后，我们企业或者部门应该采取什么方法去解决这个问题。解决这个问题，目前来看，很多人认为只是事件发生之后我们再去想办法，我们去找执法部门，我们去找鉴定机构，我们去找IT的精英，帮我们解决这些问题。实际上，真正发生这种问题之后，出现问题的时候，我们再采取任何的措施都已经晚了，我们只能是从中找到其中相关的，可能对后期事件有帮助的这些数据。

这些数据能找到多少？根据不同的情况，根据不同的平台化学，这都是不太一样的，特别是针对现在不同的架构，无论是公有云也好，私有云也好等等，我们涉及到的最大的挑战就是这些数据并没有在一个固定的服务器上保存，而是不知道保存在什么地方。比如说我们现在在普通的企业架构下，我们的网站被攻击，我们的数据遭泄漏，涉及到一些数据，或者是企业之间的纠纷，在一台服务器，或者几台服务器，包括就算几十台服务器的情况下，还是有办法可以做的，起码是对证据固定方面，我们至少可以找到一台服务器，或者几台服务器，用标准的流程把这些数据采集下来，然后做分析。随着云的发展，如果将来再类似这样的情况，作为取证，和作为对有效数据的查找，这是一个极为困难的事情。

这些都是前面大家比较了解的技术分类，就不讲了，这个图可以参考一下，这是从计算机，包括到互联网，包括云时代的一个发展，这个资料是参考于《云计算安全隐私这本书》，这本书是由中科院高能所的几位博士翻译的，这本书对大家了解云计算时代的安全是有帮助的。一些国外知名人物对这个书都有一个评价，它是对我们未来掌握云时代的安全方面，或者是个人隐私方面，解决一些相关问题一个比较好的参考数据，大家可以找一些。

除了我们刚才介绍的企业的云之外，私有云也好，我们现在还面临着一个问题，个人也有可能利用已有的云，来做一个自己的，不叫做云，也可以叫做云，是比较模糊的一个概念。这个设备，Pogoplug，类似于网盘，个人数据共享的空间，有5G的空间，可以免费注册，对于不同人来说，我们利用Pogoplug的云，给我们带来一些便利性。这个设备最大的问题，直接把这个设备加到路由器之后，你的硬盘通过路由器连接到Pogoplug服务器，你里面的数据可以加入这个云，作为网上资源的共享。这个问题带来一个未来信息的，可以说会涉及到隐私问题会涉及到版权问题，会涉及到这个数据无法控制问题，为什么无法空气呢？因为这个设备加入到了Pogoplug，这个数据我们找不到它在哪儿，我再接上我的硬盘，我的硬盘数据到底在哪儿。这个硬盘可能在我的家里，也可能在办公室里，我可能在美国，我只要插上，登录账号就可以了。这个问题是由我的朋友，香港海关他们提到的一个影视版权和反盗版的一些问题。

比如说有些人去分享一些盗版电影，他现在的方式就可以通过把这个设备往云上一接，就可以分享这些数据，执法部门根本找不到这个设备在哪儿，因为这个有可能后面会提到，他有可能在任何的地方，如果超过了本地的管辖权。比如说我们是中国警察，虽然说犯事是在中国，但是证据有可能在美国，或者俄罗斯，那怎么解决这个问题，这就是云时代给我们带来的又一个挑战。

Pogoplug，这个可以做到任何设备，任何地方，包括手机、电脑，都可以访问到你所公开的个人云，你可以把数据存进去，做共享。大家如果有兴趣可以注册一个账号，测试一下Pogoplug的服务。这里面有一些服务，帮助使用者，不需要第三方软件就可以看自己的数据，这就是我在上面放的一文档，大家可以直接看到我其中的内容。这个设备就是一个硬件的接入设备，利用它很容易的你把你的硬盘，把这个设备连接到交换机上，然后把硬盘再连接到这个设备上，现在最新版的支持四个接口，访问速度有所提升。之后存到你的硬盘的数据是这个样子，可以通过它的地址访问，并且方向其中的数据。

另外一个和它类似的服务叫Dropbox，他主要是做数据分享、存储、备份、共享为主，申请一个空间，把数据本地做一个Dropbox目录，在目录下建立文件，你所分享的不同文件，可以去和云端的空间做同步。你可以同步账号，比如说你的笔记本，你的台式机，家里的电脑，办公室的电脑，这些都可以用你的账户来做同步。几台电脑都可以保持数据的最新状态的，而且你可以利用你的工作组和你的团队之间，共同解决一些比如说数据的修改这些问题，共同修订这个文件，它能够永远保持最新的状态。可以把数据同步到不同的但是上，但是相对来说这个服务对我们的安全问题相对容易一些，虽然我们找不到Dropbox上的数据，我们不可能完整的把这个数据保存下来，但是它在本地存储的数据是比较规范的，本地删除的数据会有痕迹。这就是它的本地和云端的对比，左边这个图是本地的目录，右边这个云端是和这个目录完全一样的，所有数据是完全同步的。

刚才介绍的是云端个人数据如何利用云做了一些更为便利的操作，对个人提供了更大的支持，后面再简单看一下传统的计算机取证技术，通过了解传统的计算机取证，我们也会知道为什么将来云端取证会带来一些困难。

什么是计算机取证？这个技术发展的比较早，84年左右美国就开始这方面的研究，注重对电子数据和工具的研究。这个取证可以理解为一个技术，但是更应该把它列为一个过程，从证据的获取、固定，到分析、发现、提取，到最后法庭的出示，这是一个完整的过程，不见得最后非要到法庭出示，企业也可以内部解决，在这种情况下，我们可以不依赖于其他的官方机构来做，可以利用一些民间的服务机构，就可以做这方面的技术。研究的主要是这个数据如何去发现它，删的东西如何恢复出来，加密的东西如何解密，隐藏的东西如何找到，综合这些技术之后，把这些数据拿出来，作为最后的一个综合分析判别得出结论的这么一套方法。

计算机取证技术发展阶段：1、1985年之前是史前期计算机技术，计算机系统已经得到了应用，但是应用了之后我们遇到了一些问题没有什么解决的方法。比如说涉及到的欺诈、泄密、白领犯罪，涉及到的内容已经很多了，但是其中解决这些问题的人，除了一些执法部门的人员之外，主要是依靠于公司的IT，来帮助一些技术问题。当时的数据也是没有什么专业的取证工具。

2、1985年-1995年是婴儿期这个方面从事这个事业的人员开始增多，计算机以及个人计算机发展越来越快，很多人开始重视起来，越来越多的警察开始做这方面的研究，出现了一些专业的工具，像ilook啊。当时主要的目标是针对窃取账号口令，一些黑客行为，还有公司内部数据的外泄，而且当时出现了Windows，在Windows之后的一些应用，和过去DOS下的应用不太一样，也是出现在互联网的初期。

一些国际的机构，高科技犯罪调查协会，已经开始做这联系和推广，还有内部的技术培训等等。FACT，已经发展20年了，主要是退役警察，企业信息安全人士。

3、1995年-2005年是童年期。

这个年代互联网得到了迅速的发展，但是基于互联网环境下出现的问题也越来越多。比如说通过网络入侵，通过网络造成数据泄密，泄漏，以及主要打击的一些儿童色情等等都是在这个时代出现的，特别是911事件的出现，让国际除了对反恐之外，也是对互联网的安全有了更为密切的关注，因为911事件整体策划，也是通过互联网来传递一些信息，而其中所传递的信息又多以隐藏和加密的方式进行传递的，造成了美国的执法部门，各国的执法部门，对此事件都没有任何的预知。

通过这个事件，也可以联想到云计算未来的发展，这个之后，这种不同的软件，不同的平台，不同数据共享的方式，也有可能被未来的事件带来更多的方式，我们也可能很难预测到这种事件会不会再发生，会不会已经在策划中？这个是因为的确到了云计算这个时代，很多事件是很难再进一步控制的。

4、2005年前后-至今是青春期。

从这个年代开始，研究这方面的人越来越多了，民间从事电子数据服务的，不是司法鉴定机构的，这种服务的机构也越来越多。国外这种服务以司大、调查行，国内的这种机构并不太多，我们协会和协会成员单位是可以提供服务之一，到这个时代，对人员的资质和专业培训背景要求越来越高，所从事的人员是不是曾经参与过这方面的培训，是不是受过各方面知识的系统培训。涉及的电子证据这块我在后面会详细介绍。

社群，这个时代涉及到关注这个行业的机构也是越来越多，无论是从国防、情报、执法，还有民间企业，电子证据发现，主要以律师行业，调查行这个行业为主。现在越来越多的信息安全的团体，对这个电子证据发现，现在有了越来越浓厚的兴趣。后期，如何让这个技术慢慢的成熟起来，需要不断的做一些工作，除了在理念上的推广，我们也会提供各方面的信息，培训，产品，解决方案，帮助企业、个人等等来解决他们自己和企业所面临的这类问题。

涉及到电子证据这些数据到底在哪儿？都包含了哪些东西？我们日常生活接触的很多东西都可以作为电子证据，个人计算机，PC系列也好，苹果系列也好，服务器也好，这都是我们研究的主要方向。刚才说到涉及到云计算的时候，我们云计算涉及到也是上千台的服务器而已，或者上万台的，或者更多的，无论再大，最终落地都是以虚拟机形式存在的，它是有它的存储和操作系统、应用程序这几个因素而已。

作为移动存储，从计算机存储之外，我们经常涉及到的存储介质都是和这个相关的，其中最重要的是硬盘，每台计算机里都有一块，或者几块硬盘，无论是什么接口的，IDE.还有光盘、磁带、U盘、闪存、录音笔、数字录像机，还有iPod等Mp3/Mp4播放器，或者游戏机。现在我们的手机，包括游戏机，也可以通过那些软件来访问云上的一些应用，通过出现的越来越多的应用，手机和游戏机的功能会越来越强，可实现的越来越多，计算能力也越来越强。

电子证据-手机手机针对不同的操作系统，其中的应用程序，以及数据的存储形式，以及它可能包含的一些数据种类和保存形态也不太一样，手机也是主要的研究方向。包括手机里面还有信用卡，和本身内制的闪存卡，包括像iPod，iPhone，iPad等等内制的存储是无法取出来的，是固化的，比如说8G、16G、64G等等固化在内的，取不出来的，是手机内存有的数据。

计算机法政服务，我前面都提到了，帮助企业解决他的问题，前一段时间一个大型门户网站咨询我们，他其中涉及到搜索和最终的支付之间出现了一些问题，实际上提供了一些搜索引擎，或者是提供了一些网站广告，特别是排位这些事情，他解决了，帮助做了，但是对其他网站所引用的搜索无法得到正确的统计，就出现了这方面的纠纷。

再有一个就是涉及到像360和QQ大战站这类问题，虽然最后没有以法律途径解决，但在准备过程中，他们都做了如何保存对自己最有利证据的步骤，只不过这个步骤对外没有公布，但是这些方法都是大家可以参考的。面临可能遇到的一些纠纷，我们如何准备。

通过了解传统的计算机取证技术，传统的计算机取证技术有几个环节，这块在国外有几个词，一个叫做，更侧重于计算机本身和计算机本身的存储，相关的存储介质做的一项研究技术。

还有一个叫netwook，基于局域网、企业内部、邮件系统等等，企业内部的数据管理、审计等等这么一个环节。

还有一个seb？？，这个是基于互联网虚拟空间的，我们看不到的，不像单机取证、网络取证，我们都可以看到，涉及到互联网这一块，我们肉眼看不到，而且很多东西不是能够通过权利执法部门做到的事情，民间研究这块的也比较少。

对云状态下的特别取证，这块没有明确的词，国外对它的称呼基本叫做(英文)，在云状态下的取证，这块主要面临的问题，因为前面也简单说到了，云上的数据，我们不知道它真正存在在哪儿，它是分散在很多地方，基于这种管理不断的变化。

(责任编辑：)