赢在“起跑线”——再谈电子数据保全对克隆机的挑战

作为电子取证工作有效开展的“起跑线”，数据获取与保全在发展初期的主要内容就是将原始硬盘以位对位拷贝或镜像文件获取的方式制作一份或多份“一模一样”的复制件或数据文件。开展这一工作的代表设备为硬盘克隆机，与之相应，那时克隆机的核心功能都紧密围绕硬盘克隆，而克隆速度也成为当时用户的核心关注点。

随着电子取证的高速发展，早期“证据固定即硬盘克隆，性能好即速度快”的稚嫩认识，早已不能适应当前的需要。专业技术人员都知道，在实际工作中克隆速度的瓶颈都是源盘的读写速度，而目前80%以上源盘仍然是传统机械硬盘，即便克隆机的设计速度非常高且使用高速固态硬盘作为复制件，克隆机的实际工作速度也难以达到理想状态。因此，再单纯地用两端都是最新固态硬盘做出来的克隆速度，使之成为招投标中的文字游戏，只能说明设备本身的苍白和对当前数据工作面临的现实挑战与要求了解不多。

概括说来，电子数据获取面对的新形势与新要求包括：

1、取证对象与取证环境的复杂多样化，既有硬盘对硬盘的传统经典模式也有网络化完全无法接触到物理设备的情况;

2、取证数据量海量化，必须依靠海量存储设备才能容纳得下取得的数据，传统靠外接一个物理硬盘作为数据存储的模式在很多场合已经无法满足需要;

3、取证对象数据接口的多样化、复杂化，包括各种接口的硬盘、存储器，不同品牌、操作系统的计算机、移动设备等;

4、加密存储介质数据获取与获取数据的安全加密;

5、非现场远程设备控制与数据获取;多任务并发处理，高速获取等等。

可以毫不夸张地说，电子取证对数据获取与保全提出的全新要求是关于数据获取与保全的一个整体解决方案。

成立于1993年的美国Logicube公司是世界硬盘克隆和硬件取证领域的领先厂商。其全新Falcon®-NEO硬盘克隆机作为迎接新时代新要求的代表产品，以其理念的前瞻性、功能的丰富性、设备的高品质以及权威机构认证等优势，帮助电子取证、企业内审、信息安全等相关领域从业者有效应对全新挑战。产品特点包括：

支持CIFS协议将数据直接克隆并传输至一个网络位置

支持iSCSI协议将数据从一个网络位置克隆至外置NAS

支持网络推送，双10Gb网络接口

支持抓取网络VOIP，网络活动信息

支持创建逻辑镜像或分区镜像，对指定文件、指定分区进行镜像

超高速克隆，镜像速度可超过50GB/分钟，PCIe至PCIe克隆可达90GB/分钟，镜像生成的同时可进行完整性验证

多任务并行，最多可达5原始检材及8终端存储位置操作

BitLocker加密硬盘进行解密(需密码)，并直接镜像目标分区

AES 256加密机制，保护获取数据

SAS/SATA/USB3/PCIe/mSATA/microSATA/eSATA/IDE/SCSI支持

PCIe卡支持，可对M.2 PCIe, PCIe, mini-PCIe卡进行扩展支持

使用USB-C接口对苹果MAC设备镜像

MacBook Pro免开机镜像，PC/笔记本、Surface Pro免拆机镜像

远程操作功能，支持网络浏览器进行远程操作。

支持CD/DVD 蓝光进行镜像

DoD模式擦除，高速擦除

大数据量、大数据量压缩文件、数据碎片检材支持

最大限度的获取到涉案电子数据是电子取证所有后续工作的基础。但由于意识、工具能力的局限造成“能提的数据提不到、提不全”屡见不鲜。

电子取证作为法庭科学领域知识更新速度最快的学科，无论是从学科自身发展角度，还是从服务打击犯罪的角度，都需要从业者的理念与时俱进，需要专业设备不断推陈出新。

对于电子取证工作者来说，应该从源头做起，赢在起跑线。