ICS 13.310 A 92 中 华人民 共和国 公共安 全行业 标准 GA GA/T × × × × —× × × × 法庭科学 电子物证检验实验室建设规范 Forensic science s—Specification s for building laboratories for electronic evidence examination ×××× -×× -××发布 ×××× -×× -××实施 中华人民共和国公安部 发布 GA/T × × × ×—× × × × II 前 言 本标准按照 GB/T 1.1-2009给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由全国刑事技术标准化技术委员会电子物证检验分技术委员会（ SAC/TC179/SC7 ）提 出。 本标准由全国刑事技术标准化技术委员会（ SAC/TC179 ）归口。 本标准起草单位：公安部物证鉴定中心 、最高人民检察院检察技术信息研究中心、 黑龙江省公安 厅、重庆市公安局、天津市公安局 。 本标准主要起草人： 张国臣、李运策、 邢桂东、康艳荣、 楚川红、 王洪庆、 郭文举、范玮 、 尹春社、龙源、 周冬林、郭丽莉 、赵露、李效鲁。 GA/T × × × ×—× × × × 1 法庭科学 电子物证检验实验室建设规范 1 范围 本标准规定了电子物证检验实验室建设规范。 本标准适用于法庭科学领域中的电子物证检验实验室建设。 2 引用标准 下列文件对于本文件的应用是必不可少的。 凡是注日期的引用文件， 仅注日期的版本适用于本文件。 凡是不注日期的引用文件，其最新版本（包括所有的修改 单）适用于本文件。 GB 50015 -2010建筑给水排水设计规范 GB 50016 -2014建筑设计防火规范 GB 50019 -2015采暖通风与空气 调节设计规范 GB 50057 -2016建筑物防雷设计规范 GB 50073 -2013 洁净厂房设计规范 GB 50116 -2013火灾自动报警系统设计规范 GB 50174 -2016电子信息系统机房设计规范 GB 50222 -2015建筑内部装修设计防火规范 GB 50311 -2015综合布线系统工程设计规范 GB 50343 -2015建筑物电子信息系统防雷技术规范 3 实验室分级 电子物证实验室分三级： a) 一级电子物证实验室 ； b) 二级电子物证实验室 ； c) 三级电子物证实验室。 4 业务范围 4.1 电子物证提取与固定 对电子物 证及相关物品发现、识别、提取和固定。 4.2 现场保全 对提取的电子物证在现场进行保全或者备份。 4.3 易失性数据提取 对网络中传输或运行于计算机等电子设备中随电源切断或关机而消失的数据进行提取和固定。 4.4 数据恢复 对检材中操作系统不能访问或识别的文件数据进行还原的检验。 4.5 数据搜索 依据相关的关键字或已知内容，在检材中进行搜索的检验。 4.6 文件一致性检验 比较两个文件的数据内容是否相同的检验。 4.7 软件功能检验 GA/T × × × ×—× × × × 2 确定软件是否具备某种（某些）功能的检验。 4.8 软件一致性检验 比较两个软件功能是否完全相同（或相似）的检验。 4.9 时间属性检验 对文件时间属性、系统时间属性和开关机时间属性等的检验。 4.10 上网记录检验 对上网形成的各种记录的检验。 4.11 电子邮件检验 对电子邮件内容或其属性的检验。 4.12 即时通讯检验 对即时通讯内容或其属性的检验。 4.13 日志检验 对计算机操作系统、数据库、应用系统等日志内容的检验。 4.14 数据库检验 对数据库内容或属性的检验。 4.15 密码破解 对带有密码保护的操作系统、文件、存储介质等进行解密。 4.16 手机检验 对手机机身和手机用户识别卡、扩展存储卡中数据的检验。 4.17 视频监控设备检验 对视频监控设备中数据进行提取分析的检验。 4.18 伪基站检验 对伪基站 设备进行 功能性检验和发送数据检验。 4.19 损坏存储介质检验 提取损坏的硬盘、光盘、闪 存盘、存储卡等存储介质 中存储的数据。 4.20 介质数据擦除 对硬盘等存储介质 逐位写入特定数据 。 4.21 手机信息关联分析 对手机中的通讯录、短信、通话记录、即时通讯聊天记录等信息进行关联分析。 4.22 网络信息关联分析 利用从检材中检出信息与 共享资源网中 的信息进行关联分析。 4.23 实验室业务项目设置 各级实验室开展的业务项目，见表 1。 表1 实验室业务项目设置 序号 项目名称 实验室等级 一级 二级 三级 1 电子物证提取与固定 必备 必备 必备 2 现场保全 必备 必备 必备 3 易失性数据提取 必备 必备 必备 4 数据恢复 必备 必备 必备 5 数据搜索 必备 必备 必备 6 文件一致性检验 必备 必备 必备 7 软件功能检验 必备 可选 可选 8 软件一致性检验 必备 可选 可选 GA/T × × × ×—× × × × 3 9 时间属性检验 必备 必备 必备 10 上网记录检验 必备 必备 必备 11 电子邮件检验 必备 必备 可选 12 即时通讯检验 必备 必备 必备 13 日志检验 必备 必备 可选 14 数据库检验 必备 可选 可选 15 密码破解 必备 可选 可选 16 手机检验 必备 必备 必备 17 视频监控设备检验 必备 必备 必备 18 “伪基站”检验 必备 可选 可选 19 损坏存储介质检验 必备 可选 可选 20 介质数据擦除 必备 必备 必备 21 手机信息关联分析 必备 必备 可选 22 网络信息关联分析 必备 可选 可选 5 实验室区域设置 5.1 业务受理 /预检区 用于案（事）件检验委托受理，接待委托人，包括送检检材的受理、登记、唯一性编号并拍照。 5.2 存储介质修复区 用于对物理损坏的存储介质，通过专用的技术手段或在无尘环境进行开盘修复， 提取数据。 5.3 数据获取区 用于对检材进行位对位保全备份，或将其获取为证据文件。 5.4 综合检验区 用于对获取的计算机、监控录像机等电子设备（存储介质）中的电子数据进行综合检验，包括数据 分析、搜索、恢复等。 5.5 移动终端检验区 用于对手机等移动终端进行检验。 5.6 数据解密区 用于对电子设备 、数据文件 等进行解密检验 。 5.7 物证保管区 用于存放和案（事）件相关的电子设备、存储介质和在检验过程中生成的数据备份。 5.8 中心机房区 用于存放服务器、网络设备、存储设备等。 5.9 洁净室 用于对检验环境 应符合 GB 50073 -2013中洁净度 3级有关规定 的检材进行检验 。 5.10 屏蔽室 用于对检验环境 应屏蔽无线信号的检材进行检验 。 6 建设设施要求 6.1 实验室面积 各级实验室各区域面积要求，见表 2。 GA/T × × × ×—× × × × 4 表2 实验室各区域面积（单位： m2） 区域划分 实验室等级 一级 二级 三级 区 域 名 称 案件受理 /预检区 ≥20 ≥15 ≥10 存储介质修复区 ≥10 可选 可选 数据获取区 ≥30 ≥15 可选 综合检验区 ≥100 ≥70 ≥40 移动终端检验区 ≥30 ≥20 ≥10 数据解密区 ≥20 可选 可选 物证保管区 ≥50 ≥20 ≥10 中心机房区 ≥40 ≥30 可选 洁净室 可选 可选 可选 屏蔽室 可选 可选 可选 总面积 ≥300 ≥170 ≥70 6.2 位置选择 6.2.1 自然环境清洁。 6.2.2 远离产生粉尘、油烟、有害气体以及生产或贮存具有腐蚀性、易燃、易爆物品的场所。 6.2.3 远离水灾、火灾隐患区域。 6.2.4 远离强振源和强噪声源。 6.2.5 避开强电磁场干扰。 6.2.6 有稳定可靠的电力供给。 6.3 建筑结构 6.3.1 采光要求 应具有良好的自然采光或室内照明。 6.3.2 实验室高度 实验室净高不宜小于 2.5m。 6.3.3 排风风道 当设排风风道时，应设置在较为隐蔽处或者墙角处。 6.3.4 用水设备 当主机房内设有用水设备时，应采取防止水漫溢措施。给水排水管道应采取防渗漏和防结露措施， 且应符合 GB 50015 -2010中的规定。 6.3.5 网络 6.3.5.1 实验室内宜铺设局域网、互联网和专网三种网络，且三种网络物理隔离。 6.3.5.2 网络布线系统设计，应符合 GB 50311 -2015的规定。 6.3.5.3 网