云計算已經(jīng)成為IT基礎設施建設的首選，同時(shí)云安全問(wèn)題越來(lái)越突出。云計算平臺由于用戶(hù)、信息資源的高度集中，更易成為網(wǎng)絡(luò )攻擊的目標。CNCERT發(fā)布的《2018我國互聯(lián)網(wǎng)網(wǎng)絡(luò )安全態(tài)勢綜述》中指出，云平臺現已成為發(fā)生網(wǎng)絡(luò )攻擊的重災區，在各類(lèi)型網(wǎng)絡(luò )安全事件數量中，云平臺上的DDoS攻擊次數、被植入后門(mén)的網(wǎng)站數量、被篡改網(wǎng)站數量均占比超過(guò)50%，安全形勢異常嚴峻。

網(wǎng)絡(luò )安全沒(méi)有銀彈，云安全亦是如此，云安全事件時(shí)有發(fā)生，防不勝防，這就需要電子數據取證來(lái)進(jìn)行事后追責和懲治。電子數據取證技術(shù)也是云計算環(huán)境下對各種惡意行為進(jìn)行調查取證、追究法律責任不可或缺的技術(shù)手段，可用于威懾和打擊各類(lèi)云犯罪活動(dòng)，維護用戶(hù)正當權益。此外，《網(wǎng)絡(luò )安全法》強化了網(wǎng)絡(luò )運營(yíng)商的責任和義務(wù)，確定了網(wǎng)絡(luò )運營(yíng)商在網(wǎng)絡(luò )安全維護中的主體責任地位，云取證技術(shù)是云服務(wù)運營(yíng)商履行主體責任的主要技術(shù)手段之一。

電子數據取證是指科學(xué)地運用提取和證明方法，對于從電子數據源提取的電子證據進(jìn)行保護、收集、驗證、鑒定、分析、解釋、存檔和出示，以有助于進(jìn)一步的犯罪事件重構或者幫助識別某些與計劃操作無(wú)關(guān)的非授權性活動(dòng)。

其中，保護是指對于電子數據證據源的環(huán)境、介質(zhì)、系統、文檔等進(jìn)行的最大限度地保護，以保證證據的充分性。收集是指對于電子數據證據的收取、采集、獲取等。驗證是指對于獲取的電子數據進(jìn)行校驗和證明，確定其真偽、生成或修改的時(shí)間、地點(diǎn)、責任人、工具等，以確定其可采用性。鑒定是指是指鑒定人運用信息學(xué)、物理學(xué)以及電子技術(shù)的原理和技術(shù)手段，對訴訟涉及的電子數據進(jìn)行恢復、鑒別和判斷，并提供鑒定意見(jiàn)。分析是指對于獲取的含有電子數據證據的數據采用適當的統計分析方法進(jìn)行分類(lèi)、分層、搜索、過(guò)濾、恢復、可視化等，為提取有用信息和形成結論而對數據加以詳細研究和概括總結的過(guò)程。解釋是指要把電子數據證據及相關(guān)的環(huán)境、人員等以能夠理解的方式表達出來(lái)。存檔是指電子數據取證過(guò)程中對一些重要數據的存檔，包括原數據的存檔和內容數據的存檔。出示是指把電子數據證據呈現在需要的場(chǎng)合的行為。一般而言，需要按照法律法規和規章的要求進(jìn)行呈現。

云取證是針對云計算的犯罪進(jìn)行的電子數據取證過(guò)程，是電子數據取證技術(shù)在云計算環(huán)境這樣一個(gè)特定場(chǎng)景下的應用。

Ruan K教授從三個(gè)維度對云取證領(lǐng)域相關(guān)問(wèn)題進(jìn)行劃分，包括技術(shù)、組織和法律。技術(shù)維度主要涉及在云計算環(huán)境中進(jìn)行電子數據取證的具體過(guò)程和試用的技術(shù)和工具。組織維度主要指云計算環(huán)境中包含的角色，包括云服務(wù)提供商、云服務(wù)用戶(hù)、云服務(wù)中介、審計人員和取證人員，不同的角色在云取證活動(dòng)中的職責不同，他們之間的交互可以促進(jìn)云取證的實(shí)施。法律維度主要關(guān)注在涉及跨多個(gè)管轄區的法律問(wèn)題。2017 年，云安全聯(lián)盟（CSA，Cloud Security Alliance）發(fā)布的《云計算關(guān)鍵領(lǐng)域安全指南V4.0》將云取證作為云計算發(fā)展的重點(diǎn)關(guān)注領(lǐng)域提出。但由于云計算基礎設施規模龐大，服務(wù)種類(lèi)多樣，并具有分布性、虛擬性和共享性等特點(diǎn)，云取證面臨著(zhù)巨大挑戰。

1. 云環(huán)境下數據多采用分布式存儲，數據文件被分割成數據塊，存儲于不同的數據中心，甚至跨司法管轄范圍，導致了數據定位和提取的困難。

2. 虛擬化技術(shù)使得多個(gè)用戶(hù)共享同一個(gè)或多個(gè)物理設備，針對物理設備的取證將威脅到無(wú)關(guān)用戶(hù)的數據安全。

3. 虛擬化技術(shù)中資源的回收和再分配頻繁，導致很多云平臺中的數據成為易失性數據，一旦被釋放回收，相關(guān)的數據就難以恢復。

4. 由于云計算中資源的所有權、管理權和使用權的分離使得用戶(hù)失去了對物理資源的額直接控制，也失去對網(wǎng)絡(luò )環(huán)境的控制，無(wú)法從用戶(hù)層面進(jìn)行網(wǎng)絡(luò )取證。

5. 云環(huán)境下安全運維一直是行業(yè)痛點(diǎn)，云平臺用戶(hù)規模巨大，云取證同樣面臨著(zhù)運維復雜、響應不及時(shí)的難題。

1. 云取證模型的研究

傳統的電子數據取證模型主要適用于計算機取證和網(wǎng)絡(luò )取證，難以直接應用于云環(huán)境，因為云取證不同于一般的計算機取證或網(wǎng)絡(luò )取證環(huán)境，其獲取、傳輸、存儲和分析都要遵循一定的原則和步驟，否則無(wú)法保證電子證據的真實(shí)性、相關(guān)性與合法性，從而無(wú)法滿(mǎn)足電子證據的可采用性標準，為此需要進(jìn)行云計算環(huán)境下的取證模型研究。云取證模型的研究一方面需要針對云計算環(huán)境的特點(diǎn)指導取證人員從海量的數據中識別電子證據，定位電子數據所在虛擬機的物理位置，采取合理可行的證據收集策略與方法，并提供云計算環(huán)境下有效的證據分析方法，另一方面需要論證取證模型滿(mǎn)足電子證據的三性。針對云取證模型的研究很多，但是目前尚沒(méi)有給出綜合性、整體性的取證策略與實(shí)施方法，不足以指導云環(huán)境下的取證工作。設計云取證模型依然是當前云取證研究的主要方向之一，對于云取證工作具有重要的指導意義。

2.云環(huán)境中電子數據的提取技術(shù)研究

云環(huán)境中的電子數據提取是在證據獲取階段，取證調查者借助取證工具對云環(huán)境中涉及案件的電子數據的收集過(guò)程。由于云計算具有分布性和虛擬性等特性，傳統的基于單機的證據提取方法存在諸多局限，云環(huán)境中電子數據的提取一直是云取證的熱點(diǎn)和難點(diǎn)問(wèn)題。如轟動(dòng)一時(shí)的e租寶一案，丁寧等人通過(guò)“e租寶”互聯(lián)網(wǎng)平臺發(fā)布虛假的融資租賃債權和個(gè)人債權項目，以承諾還本付息為誘餌，通過(guò)媒體等途徑向社會(huì )公開(kāi)宣傳，非法吸收公眾資金。該e租寶平臺就是搭建在云平臺中，為了進(jìn)行調查取證，公安機關(guān)調取了300多臺虛擬服務(wù)器，但是光調取這些服務(wù)器就耗時(shí)半年，嚴重影響調查進(jìn)展。解決云平臺電子數據的提取難題迫在眉睫。目前的研究思路主要包括通過(guò)分層將傳統的取證工具整合進(jìn)云平臺中實(shí)現實(shí)時(shí)證據提取，虛擬機的電子數據自動(dòng)化提取技術(shù)，以及作為補充的客戶(hù)端本地緩存數據的提取等。然而這些方法普遍存在存儲開(kāi)銷(xiāo)和性能負載過(guò)高、運維困難而難以落地實(shí)施等問(wèn)題，需要進(jìn)一步深入的研究。

3.云環(huán)境中電子數據的分析技術(shù)研究

云環(huán)境中的電子數據分析是指取證調查者借助分析工具、分析算法對涉案電子數據進(jìn)行分析的過(guò)程，主要包括數據源的分析、數據恢復、事件重構、數據檢索等。而云環(huán)境中的涉案數據量巨大、數據格式眾多、多源證據時(shí)間戳不一致、網(wǎng)絡(luò )環(huán)境復雜等特性給證據的分析帶來(lái)挑戰。在筆者真實(shí)的司法鑒定技術(shù)服務(wù)中就常遇到提取的云環(huán)境中數據量太大、格式復雜，常規的取證分析工具難以支持的情況。面對數據量巨大的問(wèn)題，目前的研究思路已經(jīng)從分析所有的數據的取證思路轉變?yōu)榻柚鷻C器學(xué)習的方法進(jìn)行智能分析上來(lái)，而針對數據源分析困難，有研究者提出借助SDN網(wǎng)絡(luò )取證分析來(lái)實(shí)現網(wǎng)絡(luò )攻擊溯源等方法。然而目前提出的方法均存在局限性，難以有效解決目前的困境。云環(huán)境中電子數據的分析方法臻待進(jìn)一步的研究。

云取證作為云安全閉環(huán)中不可或缺的一環(huán)對云計算的發(fā)展起著(zhù)舉足輕重的作用。隨著(zhù)《網(wǎng)絡(luò )安全法》強化了網(wǎng)絡(luò )運營(yíng)商的責任和義務(wù)，云取證也必將成為云平臺合理合法運營(yíng)的重要保障。然而云取證技術(shù)尚處于發(fā)展階段，云取證實(shí)務(wù)面臨種種難題，還需要更加健全的國家法律法規和更加先進(jìn)的云取證相關(guān)技術(shù)。