克拉瑪依實(shí)驗(yàn)室建設(shè)技術(shù)方案

克拉瑪依取證實(shí)驗(yàn)室

建設(shè)項(xiàng)目方案書

目錄

第1章公司介紹5

第2章實(shí)驗(yàn)室介紹6

2.1建設(shè)需求6

2.2方案設(shè)計(jì)原則7

2.2.1全面性原則7

2.2.2符合性原則7

2.2.3先進(jìn)性原則7

2.2.4完備性原則7

2.2.5實(shí)用、好用原則7

2.2.6可擴(kuò)展性原則8

2.3實(shí)驗(yàn)室架構(gòu)8

2.4區(qū)域規(guī)劃9

2.5裝修要求10

第3章本項(xiàng)目設(shè)計(jì)圖12

3.1平面設(shè)計(jì)圖12

3.2設(shè)計(jì)效果圖12

3.3弱電配置圖13

3.4門禁及監(jiān)控配置圖13

第4章實(shí)驗(yàn)室區(qū)域規(guī)劃14

4.1受理區(qū)14

4.1.1案件初檢/數(shù)據(jù)采集14

4.1.2盤石計(jì)算機(jī)取證分析平臺(tái)14

4.1.3盤石取證一體機(jī)(PansafeForensicsBox)15

4.1.4獨(dú)立光盤復(fù)制機(jī)17

4.1.5高性能主機(jī)18

4.1.6條形碼掃描器20

4.2提取分析區(qū)20

4.2.1盤石可視化數(shù)據(jù)分析平臺(tái)20

4.2.2盤石介質(zhì)取證分析系統(tǒng)(SafeAnalyzer)24

4.2.3盤石計(jì)算機(jī)仿真取證系統(tǒng)(SafeVM)33

4.2.4盤石易載鏡像助手(SafeMount)34

4.2.5高性能顯卡36

4.2.6KVM轉(zhuǎn)換器37

4.2.7數(shù)據(jù)恢復(fù)工具38

4.3手機(jī)取證區(qū)39

4.3.1手機(jī)取證平臺(tái)40

4.3.2CelleBrite便攜式手機(jī)取證設(shè)備43

2

4.4遠(yuǎn)程勘驗(yàn)區(qū)46

4.4.1遠(yuǎn)程取證平臺(tái)46

4.5密碼破解區(qū)48

4.5.2分布式密碼破解系統(tǒng)50

4.6仿真還原區(qū)56

4.6.1盤石計(jì)算機(jī)仿真取證系統(tǒng)(SafeVM)56

4.6.2盤石易載鏡像助手(SafeMount)56

4.7檢材存儲(chǔ)系統(tǒng)56

4.7.1案件管理系統(tǒng)60

4.8存檔區(qū)(檢材及檔案)62

4.8.1密碼物證存儲(chǔ)柜62

4.8.2物證封存袋、封存條63

4.8.3實(shí)驗(yàn)辦公輔助設(shè)備63

4.8.4五金工具63

4.9數(shù)據(jù)銷毀區(qū)63

4.9.1碎紙機(jī)63

4.10辦公打印區(qū)64

4.10.1多功能一體機(jī)64

4.10.2掃描儀64

4.11實(shí)驗(yàn)室基礎(chǔ)設(shè)施建設(shè)64

4.11.1實(shí)驗(yàn)室弱電裝修清單64

第5章實(shí)驗(yàn)室管理66

5.1實(shí)驗(yàn)室管理制度66

5.2實(shí)驗(yàn)室CNAS管理67

第6章工程項(xiàng)目管理70

6.1項(xiàng)目組織結(jié)構(gòu)70

6.2工程實(shí)施流程73

6.2.1環(huán)境調(diào)研73

6.2.2實(shí)施計(jì)劃73

6.2.3安裝與調(diào)試73

6.2.4操作培訓(xùn)74

6.2.5試運(yùn)行74

6.2.6實(shí)施報(bào)告74

6.2.7驗(yàn)收75

6.2.8工程文檔75

6.3工程施工說明76

6.3.1系統(tǒng)安裝規(guī)范76

6.3.2系統(tǒng)安裝的工藝要求76

6.3.3施工說明77

6.4工程實(shí)施進(jìn)度安排82

3

6.5質(zhì)量保證措施83

6.6實(shí)驗(yàn)室規(guī)章制度制定和宣貫83

6.7工程項(xiàng)目驗(yàn)收84

第7章服務(wù)條款85

7.1技術(shù)培訓(xùn)85

7.2技術(shù)支持85

7.3應(yīng)急響應(yīng)和質(zhì)量保證86

4

第1章公司介紹

盤石軟件（前身”上海盤石數(shù)碼信息技術(shù)有限公司”）成立于2002年，專業(yè)從事網(wǎng)絡(luò)安全

和計(jì)算機(jī)取證產(chǎn)品的研發(fā)和服務(wù)。2004年4月，隨著專業(yè)取證技術(shù)的發(fā)展，計(jì)算機(jī)取證產(chǎn)品

的研發(fā)和服務(wù)即成為公司的主要發(fā)展方向。盤石公司的取證技術(shù)人員曾多次參與針對(duì)公安技術(shù)

人員的全國(guó)性的培訓(xùn)講解，和公安信息網(wǎng)絡(luò)安全保衛(wèi)部門建立了良好的溝通關(guān)系，提供專業(yè)的

取證產(chǎn)品和技術(shù)服務(wù)，在一些新的技術(shù)領(lǐng)域和案件上提出自己的見解并參與到實(shí)際工作中。

在計(jì)算機(jī)取證研發(fā)和實(shí)踐過程中，盤石公司對(duì)國(guó)內(nèi)外電子證據(jù)鑒定實(shí)驗(yàn)室的建設(shè)也十分關(guān)

注。參照國(guó)外實(shí)驗(yàn)室的框架我們?yōu)楣膊?、上海、廣州、湖北、安徽、浙江等地的實(shí)驗(yàn)室提供

了建設(shè)方案，并參與公安部十一局、湖北省公安廳、安徽省公安廳、上海市公安局等各地電子

證據(jù)鑒定實(shí)驗(yàn)室的建設(shè)和裝備提供。

目前公司已經(jīng)在電子取證系列產(chǎn)品和裝備供應(yīng)、電子證據(jù)鑒定實(shí)驗(yàn)室建設(shè)、取證技術(shù)服務(wù)、

案件服務(wù)、網(wǎng)絡(luò)取證、數(shù)據(jù)恢復(fù)、電子證據(jù)技術(shù)培訓(xùn)等各方面具備有雄厚的基礎(chǔ)，進(jìn)而形成了

提供有效的司法和商業(yè)電子安全取證解決方案的綜合實(shí)力。

盤石軟件的企業(yè)文化：

企業(yè)愿景：成為具有世界水平的電子取證技術(shù)專業(yè)公司

企業(yè)目標(biāo)：高度專注于電子取證領(lǐng)域的軟件開發(fā)與技術(shù)服務(wù)

核心價(jià)值觀：為社會(huì)、客戶、員工創(chuàng)造共同價(jià)值

企業(yè)口號(hào)：發(fā)展安全、專注取證、堅(jiān)如磐石

質(zhì)量方針：持續(xù)創(chuàng)新、技術(shù)領(lǐng)先、品質(zhì)卓越、專業(yè)服務(wù)

5

第2章實(shí)驗(yàn)室介紹

2.1建設(shè)需求

早期的計(jì)算機(jī)犯罪犯屬于高科技犯罪類型，隨著計(jì)算機(jī)技術(shù)的普及，計(jì)算機(jī)犯罪的門檻越

來越低，并且在很多的常規(guī)案件中也越來越多的要求從計(jì)算機(jī)、網(wǎng)絡(luò)等電子數(shù)據(jù)中提取和分析

證據(jù)信息。電子數(shù)據(jù)的實(shí)驗(yàn)室鑒定也就越來越重要，電子數(shù)據(jù)鑒定，一方面對(duì)存儲(chǔ)在計(jì)算機(jī)硬

盤、光盤、U盤、軟盤等介質(zhì)中的數(shù)據(jù)進(jìn)行恢復(fù)、固化、查找、提取、分析并出具鑒定結(jié)論；

另一方面對(duì)各種網(wǎng)站等網(wǎng)絡(luò)環(huán)境下的數(shù)據(jù)進(jìn)行證據(jù)的固化、查找、提取、分析并出具鑒定結(jié)論,

涉及的數(shù)據(jù)和工作量都非常巨大，尤其是對(duì)計(jì)算機(jī)病毒、間諜軟件、木馬程序等破壞性程序進(jìn)

行查找、提取與功能鑒定分析等功能。顯然，在現(xiàn)代犯罪案件處理中，僅僅依賴現(xiàn)場(chǎng)調(diào)查已經(jīng)

遠(yuǎn)遠(yuǎn)不能滿足工作的需要，還必須配合電子數(shù)據(jù)的深入分析。因此，計(jì)算機(jī)鑒定分析實(shí)驗(yàn)室的

建設(shè)已經(jīng)勢(shì)在必行，從實(shí)際需求的角度來分析，實(shí)驗(yàn)室應(yīng)當(dāng)具備如下功能：

1)數(shù)據(jù)提取固定功能：包括各類介質(zhì)和設(shè)備的證據(jù)獲取和固定；

2)應(yīng)用數(shù)據(jù)分析能力：包括各類應(yīng)用程序中的用戶數(shù)據(jù)的提取及分析等功能，例如：

聊天記錄、郵件、惡意軟件等。

3)手機(jī)分析：針對(duì)手機(jī)數(shù)據(jù)的獲取、分析、關(guān)聯(lián)等進(jìn)行綜合處理，包括對(duì)手機(jī)中的電

話本、通話記錄、短信和文件等的提取，對(duì)涉案手機(jī)鏡像分析的功能等；

4)數(shù)據(jù)恢復(fù)：包括存儲(chǔ)介質(zhì)邏輯及物理?yè)p壞的恢復(fù)處理等功能，比如：涉案的計(jì)算機(jī)

硬盤數(shù)據(jù)丟失，需要找回丟失數(shù)據(jù)的情況；

5)密碼破解系統(tǒng)：包括系統(tǒng)密碼破解、加密文檔破解的功能；

6)系統(tǒng)仿真和網(wǎng)絡(luò)分析：包括重建涉案的計(jì)算機(jī)系統(tǒng)或者網(wǎng)絡(luò)結(jié)構(gòu)，同時(shí)具備分析網(wǎng)

絡(luò)上的各類通訊數(shù)據(jù)分析的功能；

7)案件數(shù)據(jù)存儲(chǔ)：提供案件數(shù)據(jù)的存儲(chǔ)能力；

8)案件管理：包含案件的創(chuàng)建、管理，以及案件相關(guān)鏡像及檔案的管理

9)配套基礎(chǔ)設(shè)施：提供實(shí)驗(yàn)室、物證存放、網(wǎng)絡(luò)、安防、監(jiān)控、管理等基礎(chǔ)設(shè)施的建

設(shè)

本方案以我公司計(jì)算機(jī)司法鑒定所實(shí)驗(yàn)室為藍(lán)本，依據(jù)國(guó)家相關(guān)標(biāo)準(zhǔn)針對(duì)取證領(lǐng)域所涉及

到的各類工作，提供了完善的建設(shè)方案供參考，在下文各章節(jié)中進(jìn)行了詳細(xì)的說明。

6

2.2方案設(shè)計(jì)原則

對(duì)實(shí)驗(yàn)室的建設(shè)需求進(jìn)行詳細(xì)分析之后，我們認(rèn)為實(shí)驗(yàn)室的建設(shè)是個(gè)綜合性的系統(tǒng)工程，

因此實(shí)驗(yàn)室方案的設(shè)計(jì)必須綜合考慮多方因素。設(shè)計(jì)本方案，我們貫徹了如下的設(shè)計(jì)原則：

2.2.1全面性原則

計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的發(fā)展使得電子數(shù)據(jù)在我們的生活中扮演越來越重要的角色，電子數(shù)據(jù)

以紛繁復(fù)雜的形式展現(xiàn)在我們面前，因此不同于一般的檢測(cè)實(shí)驗(yàn)室，電子取證實(shí)驗(yàn)室的工作對(duì)

象也是各式各樣，涵蓋了小到手持設(shè)備、大到巨型計(jì)算機(jī)的各種設(shè)備，電子證據(jù)的分析也包括

了從單純的文件提取到復(fù)雜的數(shù)據(jù)分析的各種層次、各種方式。

在設(shè)計(jì)實(shí)驗(yàn)室方案時(shí)，我們充分考慮各種電子數(shù)據(jù)的獲取和分析，力圖通過不同的設(shè)備和

軟件來達(dá)到覆蓋盡可能多的電子數(shù)據(jù)載體。

2.2.2符合性原則

考慮到電子取證實(shí)驗(yàn)室工作的特殊性，我們?cè)谙到y(tǒng)軟硬件配備、網(wǎng)絡(luò)的設(shè)計(jì)與建設(shè)、機(jī)房

的裝修設(shè)計(jì)等方面，都嚴(yán)格遵循相關(guān)規(guī)范，參考有關(guān)司法鑒定流程，按照國(guó)際電子證據(jù)鑒定的

原則和要求進(jìn)行設(shè)計(jì)和建設(shè)。

2.2.3先進(jìn)性原則

計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的發(fā)展日新月異，特別是近幾年互聯(lián)網(wǎng)和無(wú)線通信的發(fā)展，不斷有新的

設(shè)備和軟件需要對(duì)其進(jìn)行取證分析，我們的方案通過配備最新的軟硬件來對(duì)當(dāng)前的應(yīng)用的取證

進(jìn)行支持，同時(shí)考慮到取證的時(shí)效性，我們也試圖用最新的網(wǎng)絡(luò)和存儲(chǔ)技術(shù)來幫助實(shí)驗(yàn)室解決

突飛猛進(jìn)的存儲(chǔ)和設(shè)備訪問需求。

2.2.4完備性原則

在實(shí)驗(yàn)室工程建設(shè)中堅(jiān)持滿足計(jì)算機(jī)取證各個(gè)環(huán)節(jié)的整體性和系統(tǒng)性要求，統(tǒng)一規(guī)劃，遵

循標(biāo)準(zhǔn)，嚴(yán)格規(guī)范，統(tǒng)一管理，進(jìn)而達(dá)到系統(tǒng)的完備性。

除了實(shí)驗(yàn)室硬件的配備合理完整，還有實(shí)驗(yàn)室支持服務(wù)體系的齊套，包括完整的工程實(shí)施

措施、人員組織結(jié)構(gòu)、質(zhì)量管理機(jī)制、技術(shù)服務(wù)支持體系等，對(duì)于技術(shù)跨度大、服務(wù)支持體系

要求高的項(xiàng)目，是項(xiàng)目順利且有質(zhì)量完成的保證。我們以多年的服務(wù)經(jīng)驗(yàn)，積累出一套完善的

工程服務(wù)機(jī)制，使得實(shí)驗(yàn)室建設(shè)系統(tǒng)保證完備性。

2.2.5實(shí)用、好用原則

實(shí)驗(yàn)室建設(shè)以滿足科研和實(shí)戰(zhàn)的需求為根本目標(biāo)，為一線實(shí)戰(zhàn)提供好用工具、實(shí)用技術(shù)、

便捷的服務(wù)支持，強(qiáng)調(diào)實(shí)效，進(jìn)而把發(fā)揮效益作為衡量實(shí)驗(yàn)室建設(shè)的標(biāo)準(zhǔn)。

7

2.2.6可擴(kuò)展性原則

電子取證實(shí)驗(yàn)室是一項(xiàng)投入巨大的工程，如果對(duì)于可能出現(xiàn)的新需求不做考慮，不能提供

靈活的擴(kuò)展方式，這樣會(huì)導(dǎo)致重復(fù)建設(shè)的問題。因此在設(shè)計(jì)方案的時(shí)候我們?yōu)閷砜赡艿囊恍?/p>

需求預(yù)先做了考慮，整體的建設(shè)可以無(wú)縫的進(jìn)行擴(kuò)展。

2.3實(shí)驗(yàn)室架構(gòu)

實(shí)驗(yàn)室的架構(gòu)可以劃分成兩部分，一是物理建設(shè)，二是邏輯架構(gòu)搭建。物理建設(shè)根據(jù)場(chǎng)地

等實(shí)際環(huán)境的影響，可以有各自各樣的布局，下圖是本次項(xiàng)目實(shí)驗(yàn)室布局平面圖：

通常實(shí)際的實(shí)驗(yàn)室會(huì)根據(jù)場(chǎng)地面積大小及形狀而定，盤石公司會(huì)與客戶一起實(shí)地察看后，

共同設(shè)計(jì)出最為合適的布局樣式。

然而，更為重要的是邏輯架構(gòu)的搭建，邏輯架構(gòu)可以反映出最后建成的實(shí)驗(yàn)室具備什么功

能，能夠處理哪些工作，擴(kuò)展性和工作效率如何。

實(shí)驗(yàn)室非常注重統(tǒng)一性，它與單兵裝備或勘查箱的區(qū)別，實(shí)驗(yàn)室中的所有設(shè)備是相互關(guān)聯(lián)

的，而不是獨(dú)立無(wú)關(guān)的。因?yàn)?，?shí)驗(yàn)室處理的是案件，案件中涉及的檢材各種各樣，但是都與

案件相關(guān)聯(lián)。

實(shí)驗(yàn)室需要一個(gè)案件系統(tǒng)，它不僅僅用于記錄案件，更需要可以跟蹤每個(gè)案件的處理過程。

通過該系統(tǒng)可以調(diào)配實(shí)驗(yàn)室的各類資源，其中也包括工作人員。

實(shí)驗(yàn)室需要有足夠的分析能力，不僅能夠做常規(guī)分析，更需要對(duì)現(xiàn)場(chǎng)無(wú)法處理的問題進(jìn)行

深入處理。在平臺(tái)上分析人員可以完成各自各樣的分析，模擬各自類型的現(xiàn)場(chǎng)環(huán)境。如果說案

件系統(tǒng)是人的大腦，那么分析系統(tǒng)就是它的軀干及手腳。

實(shí)驗(yàn)室還需要足夠的存儲(chǔ)來保存案件數(shù)據(jù)。存儲(chǔ)包含了電子數(shù)據(jù)的存儲(chǔ)及物證的存放。

左圖是實(shí)驗(yàn)室存儲(chǔ)邏輯示意圖，包含了實(shí)驗(yàn)室的最基本功能，實(shí)際應(yīng)用過程中

需要對(duì)其功能進(jìn)行擴(kuò)展。

在此之前，先了解一下案件在實(shí)驗(yàn)室中的處理過程。首先，需要給案件建

立一個(gè)檔案，然后對(duì)案件中涉及到的電子設(shè)備進(jìn)行檢查，確定所有需要分析的

設(shè)備情況。接著，對(duì)檢材進(jìn)行數(shù)據(jù)固定，其中可能包括硬盤、光盤、手機(jī)或者

8

MP3等。隨后，案件進(jìn)入了分析階段，分析人員領(lǐng)取到檢材鏡像后對(duì)其進(jìn)行分析、仿真及其它

相關(guān)處理。在處理過程中需要對(duì)處理情況進(jìn)行記錄。最后出具分析報(bào)告，并將相關(guān)電子證據(jù)刻

錄成光盤與檢材一起交給委托人。當(dāng)整個(gè)分析過程都完成后將該案件相關(guān)的文檔及數(shù)據(jù)封存歸

檔，到此一個(gè)案件處理完畢。

案件處理過程中可能會(huì)涉及到以下功能：

1)數(shù)據(jù)提取固定功能5)密碼破解系統(tǒng)

2)應(yīng)用數(shù)據(jù)分析能力6)系統(tǒng)仿真和網(wǎng)絡(luò)分析

3)手機(jī)分析7)案件數(shù)據(jù)存儲(chǔ)

4)數(shù)據(jù)恢復(fù)8)案件管理

其中，1-6的功能都是歸屬于分析系統(tǒng)之中。所以，分析系統(tǒng)并不僅僅是幾臺(tái)分析PC,

它需要形成一個(gè)網(wǎng)狀結(jié)構(gòu)，其中心包含案件處理服務(wù)器服務(wù)器以及存儲(chǔ)，多種功能節(jié)點(diǎn)接入其

中完成各項(xiàng)工作。

盤石電子數(shù)據(jù)鑒定實(shí)驗(yàn)室系統(tǒng)的核心就是基于萬(wàn)兆交換的虛擬化高速存儲(chǔ)，它可以通過網(wǎng)

絡(luò)來將原先分散的功能節(jié)點(diǎn)集中在一起。下文將詳細(xì)介紹該方案。

2.4區(qū)域規(guī)劃

本章將對(duì)本實(shí)驗(yàn)室的布局規(guī)劃及分割進(jìn)行相關(guān)的說明。

該實(shí)驗(yàn)室建設(shè)項(xiàng)目的特點(diǎn)我們根據(jù)具體實(shí)際情況可分為以下幾種：

1.業(yè)務(wù)受理區(qū)（包含預(yù)檢工作、數(shù)據(jù)采集、取證一體機(jī)分析、1對(duì)3光盤復(fù)制機(jī)、高性

能主機(jī)以及條碼掃描器）

2.數(shù)據(jù)分析區(qū)（針對(duì)不同的案件適用不同的軟件進(jìn)行取證分析如：盤石取證分析系統(tǒng)、

實(shí)驗(yàn)室管理系統(tǒng)、介質(zhì)分析系統(tǒng)等產(chǎn)品）

3.手機(jī)分析區(qū)（針對(duì)不同的手機(jī)操作系統(tǒng)，如：安卓、塞班、蘋果、WinCE.

WindowsPhone）

4.仿真還原區(qū)（針對(duì)不同的案件在不損壞文件的條件下，把原始盤符做成鏡像文件進(jìn)

行仿真）

9

5.遠(yuǎn)程勘驗(yàn)區(qū)（運(yùn)行取證平臺(tái)需要連接到因特網(wǎng)，進(jìn)行勘察和取證工作，因此由一臺(tái)

獨(dú)立的主機(jī)完成包含Samspade（免費(fèi)），GetlfSnmpMIBBrowser,數(shù)據(jù)庫(kù)客戶端等軟

件進(jìn)行操作）

6.數(shù)據(jù)銷毀區(qū)（把以前處理過的重要文件進(jìn)行銷毀不留下任何痕跡）

7.密碼破解區(qū)（通過盤石分布式密碼破解系統(tǒng)進(jìn)行破解）

8.存檔區(qū)（包含送檢檢材及案件文檔）

9.辦公打印區(qū)（常見的打印機(jī)、復(fù)印機(jī)、傳真機(jī)及一體機(jī)）

2.5裝修要求

本節(jié)是我方對(duì)于貴方實(shí)驗(yàn)室裝修的一些建議，具體如下：

1.實(shí)驗(yàn)室地板建議使用架空方式，方便日后工位擴(kuò)容時(shí)線路的部署

2.受理區(qū)建議配置閉路電視，可以查看第2點(diǎn)建議中提及的區(qū)域中的工作

3.實(shí)驗(yàn)室的網(wǎng)絡(luò)線路全部采用千兆線（6類線），可以滿足目前工作的需要

4.實(shí)驗(yàn)室的墻面可以懸掛一些軟裝潢，例如流程圖等

5.每個(gè)工位上需要預(yù)留充足的電源插座，必須是支持多國(guó)標(biāo)準(zhǔn)的，建議每工位6個(gè)

（三孔），并且保證工作臺(tái)面上方及下方都有，下方用于平臺(tái)等，上方用于移動(dòng)設(shè)

備等

6.每工位需要配置充足的網(wǎng)絡(luò)接口，與電源插座相同需要注意桌面上下都有網(wǎng)絡(luò)口，

建議每個(gè)工位6個(gè)以上

7.辦公區(qū)域、會(huì)議室等需預(yù)留2個(gè)實(shí)驗(yàn)室內(nèi)部網(wǎng)絡(luò)口

8.根據(jù)目前選用設(shè)備的功耗，實(shí)驗(yàn)室機(jī)房需要獨(dú)立的三相電，目前配2組42U機(jī)柜，

如果全負(fù)荷運(yùn)行需要75平方毫米的電線。

10

11

第3章本項(xiàng)目設(shè)計(jì)圖

3.1平面設(shè)計(jì)圖

實(shí)驗(yàn)室總面積為：12600mmx5200mm,具體平面設(shè)計(jì)如下圖所示，其中也包含了門禁和監(jiān)控。

8600mm

4

-B—

—鑒

定

1

分

析

區(qū)/

C

J

U

岳\

0

0

P

受碼物證相

珞腳＜1--

裝訂光盤復(fù)制門描打印復(fù)印

saIC-DIE^K

fJM

圖4.IT：實(shí)驗(yàn)室平面圖

3.2設(shè)計(jì)效果圖

12

3.3弱電配置圖

3.4門禁及監(jiān)控配置圖

參見4.1節(jié)平面設(shè)計(jì)圖。

13

第4章實(shí)驗(yàn)室區(qū)域規(guī)劃

實(shí)驗(yàn)室中除了機(jī)房以外包括多個(gè)功能區(qū)域，共同組成了實(shí)驗(yàn)室的整體結(jié)構(gòu)。根據(jù)項(xiàng)目要求進(jìn)行逐一

描述。

4.1受理區(qū)

本項(xiàng)目的業(yè)務(wù)受理區(qū)以柜臺(tái)方式設(shè)計(jì),在受理區(qū)工作人員會(huì)詳細(xì)了解委托人的委托要求,并且將案件

相關(guān)信息通過架設(shè)在流程監(jiān)管網(wǎng)中的案件管理系統(tǒng)進(jìn)行登記。同時(shí)工作人員會(huì)將送檢的檢材送至初檢區(qū)

進(jìn)行預(yù)檢，如果不能立即獲得初檢結(jié)果的，會(huì)向委托人出具領(lǐng)取憑證，并在2?3天內(nèi)給予答復(fù)。

如果委托人提出需要跟蹤初檢流程的，可以通過業(yè)務(wù)受理區(qū)中的閉路電視實(shí)時(shí)觀看整個(gè)過程，其中

包括拆機(jī)、開盤、手機(jī)檢驗(yàn)等。該閉路電視是實(shí)驗(yàn)室的視頻監(jiān)控網(wǎng)的一部分。所有監(jiān)控視頻可以進(jìn)行錄

制并提供給客戶。

4.1.1案件初檢/數(shù)據(jù)采集

根據(jù)國(guó)家相關(guān)標(biāo)準(zhǔn)，實(shí)驗(yàn)室應(yīng)當(dāng)具備硬盤復(fù)制、鏡像制作及檢驗(yàn)分析的能力。案件初檢區(qū)域所承擔(dān)

的任務(wù)包括了：檢材登記、鏡像制作和案件檔案的建立工作。該區(qū)域中部署了數(shù)據(jù)采集終端以及硬盤復(fù)

制機(jī)等裝備。下文章節(jié)將詳細(xì)介紹各類裝備的功能及參數(shù)。

4.1.2盤石計(jì)算機(jī)取證分析平臺(tái)

本方案推薦使用的是我公司自主研發(fā)的盤石計(jì)算

機(jī)取證分析平臺(tái)201及203型，這兩種型號(hào)的平臺(tái)的

優(yōu)點(diǎn)在于集成多種硬件高速只讀接口，例如支持

SASISATA硬件只讀的硬盤倉(cāng)，可以支持8塊3.5硬盤

或者8塊2.5寸硬盤。203還可以同時(shí)支持6組

SCSI80接口的硬盤倉(cāng)，對(duì)于數(shù)據(jù)采集及恢復(fù)而言是必

不可缺的，同時(shí)我們?cè)谄脚_(tái)上加入了萬(wàn)兆網(wǎng)絡(luò)支持，可以結(jié)合實(shí)驗(yàn)室

內(nèi)部的存儲(chǔ)網(wǎng)，利用萬(wàn)兆網(wǎng)絡(luò)將檢材鏡像快速上傳至中心存儲(chǔ)中供鑒定人員分析。

兩種平臺(tái)的配置如下:

14

單排塔式機(jī)箱，通過eSATA接口訪問SATA/IDE/SCSI/USB只讀

接口，4XSATA/SAS熱拔插只讀倉(cāng)，4XSATA/SAS熱拔插讀寫

倉(cāng)，4X2.5SAS/SATA熱拔插只讀倉(cāng),4X2.5SAS/SATA熱拔

插讀寫倉(cāng)，USB/PS2/多功能讀卡器；IntelXeon5620X2,

盤石計(jì)算機(jī)取證分16GECC內(nèi)存,500G+4T硬盤,Intel?82573LV雙千兆網(wǎng)卡，

析平臺(tái)，201型萬(wàn)兆網(wǎng)卡1,HD68501GDDR5顯存，DVDRW,雙顯示器

內(nèi)置取證系統(tǒng)及相關(guān)軟件包括：

取證分析套件(SafeAnalyzer>SafeVM>SafeMount,2年服

務(wù))、VmwareWorkstation。

表5.1.2-1：201型平臺(tái)配置表

4.1.3盤石取證一體機(jī)(PansafeForensicsBox)

“盤石取證一體機(jī)”是盤石軟件在多年取證實(shí)踐的基礎(chǔ)上，結(jié)合來自一線的取證需求，參考國(guó)際上

流行的取證硬件，設(shè)計(jì)的一款高度集成的一體化的便攜勘察取證專業(yè)設(shè)備。該產(chǎn)品瞄準(zhǔn)當(dāng)今計(jì)算機(jī)發(fā)展

的最新潮流，面向司法取證領(lǐng)域面臨的取證難題，采用了全球最快的硬盤復(fù)制技術(shù)、最全面的計(jì)算機(jī)取

證分析技術(shù)和最易用的仿真取證技術(shù)。該設(shè)備采用了物理只讀技術(shù)，相比驅(qū)動(dòng)只讀技術(shù)，可以更好的提

供符合司法要求的數(shù)據(jù)保護(hù)功能。同時(shí)該設(shè)備在單一設(shè)備內(nèi)盡可能集成了多種只讀接口，可以提供包括

硬盤、U盤、存儲(chǔ)卡等數(shù)據(jù)保護(hù)功能?？梢院?jiǎn)化現(xiàn)場(chǎng)取證勘察工作，幫助勘察取證人員更快更好的進(jìn)行

取證勘察工作，有助于規(guī)范勘察取證流程，實(shí)現(xiàn)取證分析工作的標(biāo)準(zhǔn)化。

主要技術(shù)特點(diǎn)：

?一體化硬件設(shè)計(jì)

?高性能CPU和主板架構(gòu)，充分考慮分析性能設(shè)計(jì)

15

?真正物理只讀設(shè)計(jì)，杜絕由于驅(qū)動(dòng)導(dǎo)致非只讀問題

?內(nèi)置多種設(shè)備只讀接口，涵蓋SATA、SAS、USB,多功能讀卡器

?機(jī)身內(nèi)置兩個(gè)硬盤只讀接口和2個(gè)讀寫接口，可以完成2對(duì)2、2對(duì)1、1對(duì)2等多種方式的復(fù)

制。復(fù)制過程中原始硬盤始終只讀

?可以通過擴(kuò)展增加四個(gè)硬盤只讀接口

?內(nèi)置雙千兆網(wǎng)卡，可以進(jìn)行高速網(wǎng)絡(luò)固定和分析

?多種復(fù)制格式，支持100%復(fù)制（位對(duì)位）、或者“證據(jù)”硬盤或者U盤上的LinuxDD鏡像

（工業(yè)標(biāo)準(zhǔn)）和E01鏡像文件（EnCase取證文件格式）?？梢宰远xLinuxDD的分片文件大

小

?硬盤復(fù)制速度最高14GB/分鐘

?內(nèi)置國(guó)內(nèi)最好的取證分析軟件SafeAnalyzer,包括中文搜索、聊天分析、上網(wǎng)分析、郵件分

析、日志分析、注冊(cè)表分析、哈希分析、時(shí)間線分析以及各種數(shù)據(jù)恢復(fù)功能

?內(nèi)置國(guó)內(nèi)最好的計(jì)算機(jī)仿真軟件SafeVM,可以將取證鏡像文件或者外接的硬盤模擬為虛擬機(jī),

在虛擬機(jī)環(huán)境下進(jìn)行啟動(dòng)，取證調(diào)查人員可以以交互的方式和系統(tǒng)用戶的角度直觀的檢查和操

作目標(biāo)系統(tǒng)，收集相關(guān)證據(jù)。

性能參數(shù)

?CPU：Intel?酷睿15系列處理器QPI最大可達(dá)6.4GT/s

?主板：Intel?QM67

16

內(nèi)存：2G1066MHzDDR2X2

?硬盤：64GSSD

?網(wǎng)卡：雙Intel82579\82583VGbE

?顯示屏：10.1寸觸摸屏，最高分辨率可達(dá)1024*768

?8088高密SAS外置接口X1

?USB3.0X2

?USB2.0X2

?HDMIX2

?E-SATAX1(可選)

?熱拔插硬盤倉(cāng)X2

?外置擴(kuò)展硬盤接口X2

?尺寸：292mm*312mm*110mm(64mm)

工作環(huán)境：WC~35℃運(yùn)輸/儲(chǔ)存環(huán)境：-40℃?70℃迷你耳麥

4.1.4獨(dú)立光盤復(fù)制機(jī)

C1001對(duì)3光盤復(fù)制機(jī)

推薦的產(chǎn)品為盤石1：3光盤復(fù)制機(jī)，該產(chǎn)品專為光盤取證所設(shè)計(jì)，支持一對(duì)三復(fù)制，支持盤片格

式有:DVD-ROM>DVD-Video、DVD-R、DVD-Audio,DVD-RAM、DVD-RW、DVD+R、DVD+RW.DVD-R、DVD-RW

等規(guī)格。其主要規(guī)格如下：

■顯示方式LED液晶面板顯示

17

■寫入模式自動(dòng)偵測(cè)(DAO,TAO)

■功能模式直接刻錄模式,模擬刻錄模式,擦除光盤,母片糾錯(cuò)測(cè)試，安全刻錄模式，比對(duì)刻錄碟

片，系統(tǒng)功能設(shè)定。

■操作方式脫機(jī)拷貝，多鍵式觸控面板控制

產(chǎn)品性能：

■不需接計(jì)算機(jī)只需插上電源即可使用。操作簡(jiǎn)單,拷貝完成后碟片自動(dòng)彈出。

■采用IDE接口，刻錄DVD-R/DVD-RW只需5-10分鐘，可同時(shí)復(fù)制4.7GBDVD-R/DVD-RW光盤1-2

張。

■支持目前所有格式。

■液晶面板全程顯示，聲音提示。

■具有直接刻錄，盤片檢測(cè)，仿真刻錄功能。

4.1.5高性能主機(jī)

采用戴爾(Dell)V260R-388,主要配置如下:

主體

品牌戴爾DELL

型號(hào)V260R-388

平臺(tái)Intel平臺(tái)

操作系統(tǒng)win7HB

機(jī)箱類型ATXTower（微塔式）

主板

芯片組IntelH61

顯卡類型獨(dú)立顯卡

聲卡集成聲卡

網(wǎng)卡集成10/100/1000以太網(wǎng)卡

CPU

類型英特爾酷睿i5處理器

CPU型號(hào)i5-2400

18

核心數(shù)四核

三級(jí)緩存6MB

顯卡

顯示芯片nVIDIAGeforceGT530

顯存容量獨(dú)立1GB

內(nèi)存

容量4GB

速度DDR3

插槽數(shù)量2個(gè)

最大支持容量8G

硬盤

容量500G

類型SATA串行

轉(zhuǎn)速7200轉(zhuǎn)/分鐘

光驅(qū)

類型DVD刻錄

輸入設(shè)備

鼠標(biāo)DellMSI11USB光電鼠標(biāo)

鍵盤DellKB212-BUSB入門級(jí)商務(wù)鍵盤（簡(jiǎn)體中文）

前（側(cè)）面接口

USB2

音頻接口麥克風(fēng)/耳機(jī)

讀卡器TrendsMicro19合1讀卡器

后面接口

COM無(wú)

PS/2無(wú)

視頻接口1個(gè)VGA；1個(gè)HDMI

音頻接口1個(gè)麥克風(fēng)/I個(gè)耳機(jī)/I個(gè)Line-in接口

USB6

RJ451

擴(kuò)展性

19

PCI-E3個(gè)PCIexl;PCIexl6一個(gè)

規(guī)格

電源功率250W

尺寸360*175*436.3毫米（高*寬*深）

4.1.6條形碼掃描器

DatalogicFireScan1）131手持式激光條碼掃描閱讀器，是一個(gè)操作簡(jiǎn)單、外表美觀，依照人體工

程學(xué)的設(shè)計(jì)、卓越的解碼表現(xiàn)和優(yōu)越的技術(shù)?；谌碌慕Y(jié)構(gòu)，F(xiàn)ireScan1）131擁有多項(xiàng)先進(jìn)的功能，

在解碼能力方面，PuzzleSolver的實(shí)施，能大大提升對(duì)劣質(zhì)條碼或受傷條碼的解讀能力，強(qiáng)勁的數(shù)據(jù)

編輯和數(shù)據(jù)格式能力，保證軟件的兼容性，以避免軟件更新費(fèi)用。DatalogicFireScanD131提供多種

接口，Wedge鍵盤仿真（PS2）,RS232串口，USB等。

4.2提取分析區(qū)

取證實(shí)驗(yàn)室優(yōu)勢(shì)集中體現(xiàn)在對(duì)常規(guī)案件的處理能力，因此常規(guī)分析區(qū)的配置基本涵蓋了常規(guī)案件分

析所需要的所有設(shè)備。

4.2.1盤石可視化數(shù)據(jù)分析平臺(tái)

20

盤石可視化數(shù)據(jù)分析平臺(tái)提供全新的可視化分析調(diào)查功能，使情報(bào)分析人員能快速掌握相關(guān)信息,

也為預(yù)防和打擊犯罪提供及時(shí)支持，讓情報(bào)分析更兼具時(shí)效性與準(zhǔn)確性。

案件數(shù)據(jù)處理過程中所涉及到的信息多種多樣，很難有專們的工具進(jìn)行分析，通常以人工分析為主。

分析過程的非結(jié)構(gòu)性和不確定性，不易形成固定的分析流程或模式，使得調(diào)查取證中的信息很難進(jìn)入現(xiàn)

有的系統(tǒng)中。借助功能強(qiáng)大的IDVP,可將各類數(shù)據(jù)導(dǎo)入系統(tǒng)進(jìn)行關(guān)聯(lián)分析，做出完整的分析圖表，也整

展示案件分析過程和證據(jù)鏈。

QCJnfniteDatasetVisualiutiooPtarfonn?jZev._

：■MME)g㈤S3KQ)SQW.(D現(xiàn)BM窗口業(yè))

w?N*w_DaUtet「［

date-time目體敕^K

母杼雄件：|文本笫析（切W）,溢件達(dá)頊>>

；

1―2010^06W|NtwDaabMef：WicS0KeV*wD?ub?se.|：?:；pace\Nev,

2i2010-4-0610：待第析文件：F:\WortSpace\nSAQ

▼

3Tzoioioisiol

文件喝碼：系理認(rèn)，文件類型：JIS日戀▼蕓的聯(lián)條目

2010-44)610.字段設(shè)m

52oio-4.oeio:定義姻?…

date-times-sitenamesdp_cs-methodcs-un-slemcs-us*

62010-4-0610；

72010-4-0610JE

2010-04-06102931W3SVC1323706687192?M23MGETAncbde/asp

8：2010-4-0610.

220f0-04-061O?31W3SVCt323706M71s.18823.80GETAnck?de>)ava

920KM-0610：

32010-04-06105931W3SVC*323708687hncktaoffSbc

10201M-0610；

11；2010-4-0610；42310-04-06132931'.'/3SVC1323706687Ancbde/tse

52010-04-0610.2931'W3SVC1323706687---L-'r!”80

122010-4-0610：

620t0-04.0e102d31W3SVC1323706687AncbtWzioHM80

132010-4-0610；

72010-04-061O.?31W3SVCt32370668780

14；213,8：：

82010-04-0610:2?31W3SVC1323706687McMMMMc80

152010-4-0610；

16!2010-4-0810^92O>0-04-0610?31VCSVC1323706687

102010-04-06102*31W3SVC1323706687Ancbd?/nc*

17：：W.4.5￡:：

18,20104001"112010-04-06102??

12MIO-04-0610?44W3SVCI323706M7Ancbde/oracle

192010-4-0610：

2010-04-0?10:?44W3SVC1323706687192.>6823.80SETAnctoderodbc

20‘20104.0610：

2010-04-0610:2944W3SVC132370668?192.IM23.80OCTAncbdeHnal_?

21;2010-4-0610；

2010-04-0€10.2944W3SVC1323706887192.IM23.80GETAncMeAVebTr80

222C10-4-061。；

2010-04-0610.?45V/3SVC1323706687l92.16823iOGET80

2320KM-0610；

242010-4-06Wi

252010-4^06

26:1I。-抄：：；

272X0-4-M：：；

**'*????(

圖3.7.1-1：IDVP界面圖

主要功能:

?通過導(dǎo)入插件和腳本，將各種格式的日志數(shù)據(jù)、結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)導(dǎo)入到數(shù)據(jù)中心

21

?通過基礎(chǔ)分析功能和腳本，對(duì)導(dǎo)入的數(shù)據(jù)進(jìn)行整合、分析

?通過數(shù)據(jù)展現(xiàn)和腳本，將數(shù)據(jù)對(duì)象化并生成易于理解的信息圖，尋找、剔除或展示關(guān)鍵點(diǎn)

?通過導(dǎo)出插件和腳本，將數(shù)據(jù)導(dǎo)出為各種可能的格式

?通過腳本生成特定的解決方案

?可擴(kuò)充的插件和腳本庫(kù)

圖3.7.1-2：IDVP結(jié)構(gòu)圖

技術(shù)特點(diǎn)

?更好的穩(wěn)定性

在大部分?jǐn)?shù)據(jù)分析軟件中，最容易崩潰的地方往往發(fā)生在數(shù)據(jù)結(jié)構(gòu)化的過程中，IDVP采用多進(jìn)程的

方式有效地處理各種異常情況，保證了工作的連續(xù)和我擬定性。

22

?更好的數(shù)據(jù)庫(kù)支持

統(tǒng)一的數(shù)據(jù)中心解決方案，同時(shí)支持SQL數(shù)據(jù)庫(kù)和NoSql數(shù)據(jù)庫(kù)。

ORACLG'

SQLServer

圖3.7.1-3：IDVP數(shù)據(jù)結(jié)構(gòu)示意圖

?絢麗的可視化效果

提供多種圖形對(duì)結(jié)果展示，包括：各種分布圖（中心分布、樹形分布、層次分布、主題分布等）、

統(tǒng)計(jì)圖（餅圖、柱形圖、面積圖、趨勢(shì)圖、散點(diǎn)圖等）。數(shù)據(jù)之間關(guān)系直接對(duì)象化，方便直觀顯示數(shù)據(jù)

的關(guān)系。

?高擴(kuò)展性

數(shù)據(jù)分析的各個(gè)階段都提供相應(yīng)的系統(tǒng)API,采用成熟的Python語(yǔ)言作為腳本語(yǔ)言，用戶和合作伙

伴可以方便定制所需的功能，系統(tǒng)內(nèi)置多種預(yù)定義腳本，常見的數(shù)據(jù)類型系統(tǒng)內(nèi)置插件和腳本支持。

?豐富的數(shù)據(jù)來源支持

系統(tǒng)內(nèi)置對(duì)文本文件、二進(jìn)制文件、數(shù)據(jù)庫(kù)、PDF、Excel等等數(shù)據(jù)的分析，并通過插件和腳本不斷

增加數(shù)據(jù)來源支持。

?多種數(shù)據(jù)導(dǎo)出方式

提供腳本和插件支持導(dǎo)出結(jié)果到常見的文件格式，如：Word,Excel.HtmhPDF等等，并且支持的

格式不斷增加中。

23

4.2.2盤石介質(zhì)取證分析系統(tǒng)(SafeAnalyzer)

SafeAnalyzer為執(zhí)法部門提供全面、徹底的計(jì)算機(jī)數(shù)據(jù)分析、檢查能

力。具有強(qiáng)大的數(shù)據(jù)恢復(fù)、過濾、分析、查找和報(bào)告功能，并提供簡(jiǎn)單易

用的操作界面，是當(dāng)前電子數(shù)據(jù)取證分析的首選工具。符合司法取證的需

求。該產(chǎn)品是ENCASE/FTK/Winhex等分析軟件的全中文替代品。更加符合

中國(guó)用戶的使用習(xí)慣。在部分功能效率上超越了國(guó)外產(chǎn)品。

■獲取鏡像生成MD5哈希校驗(yàn)值，并可隨時(shí)校驗(yàn)；

■導(dǎo)出文件可以同時(shí)計(jì)算文件的MD5哈希；

■分析過程有詳細(xì)的審計(jì)日志，便于案件的審查復(fù)核工作

關(guān)鍵詞命中結(jié)果上網(wǎng)日志注冊(cè)表事件日志都件分析即時(shí)通訊下載軟件時(shí)間注

文件

的ext=="jpg"ORext=="gif-ORext="pd￡;隨畫回園因圍畫

卜。口目文件系統(tǒng)

CheckedFiles擴(kuò)廄名創(chuàng)謝洞修改時(shí)間殿后訪i印寸問遇苜長(zhǎng)度

白?？?0

Foldes...JPG2011-07-0417:20:27