【GA公共安全标准】 网页浏览器历史数据检验技术方法

ICS35.240.01
中华人民共和国公共安全行业标准GA/T1176—2014
网页浏览器历史数据检验技术方法Technical methods for examination of web browser history data2014-07-09发布
中华人民共和国公安部
2014-07-09实施
本标准按照GB/T1.1—2009给出的规则起草。本标准由公安部第三研究所提出。本标准由公安部信息系统安全标准化技术委员会归口本标准起草单位：公安部第三研究所。本标准主要起草人：孙永清、林九川、金波、郭弘、黄道丽、沙晶、蔡立明。GA/T1176—2014
1范围
网页浏览器历史数据检验技术方法GA/T11762014
本标准规定了从网页浏览器中提取历史数据，并对提取的历史数据进行固定保全和检验分析的技术方法。
本标准适用于电子数据检验鉴定工作中，提取、固定和检验网页浏览器历史数据。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GA/T756—2008数字化设备证据数据发现提取固定方法RFC1738国际工程任务组织（IFTF)对统一资源定位器的详细说明3术语和定义
下列术语和定义适用于本文件。3.1
网页浏览器
webbrowser
一种访问和展示互联网信息资源的网络应用软件，通过该软件可向web服务器发送各种请求，并对从服务器发来的超文本信息和各种多媒体数据格式进行解释、显示和播放。3.2
网页浏览器缓存webbrowsercache一些临时保存网页浏览器最近访问信息的文档，当访问者再次请求这个页面时，网页浏览器就从本地磁盘显示文档。
网站website
在互联网上，根据一定的规则制作的，用于展示特定内容的相关网页的集合，网站可用于展示内容和提供网络服务，展示的内容包括文本、视频、声音、图片等。3.4
历史数据historydata
访问者通过网页浏览器访问网站留下的数据记录，既包括访问者本地的缓存文件、历史记录、临时文件等，也包括服务器端和代理服务器的日志记录等。3.5
统-资源标志符uniformresource identifier(URI)对互联网上的资源进行统一定位的字符串，并规定了所有协议都必须遵循的通用文法规则。3.6
Funiformresourcelocator(URL)统一资源定位符
RFC1738中规定的用于描述互联网上可用资源的字符串，也称网页地址。1
GA/T 1176—2014免费标准下载网bzxz
泄漏记录leakrecord
记录在网页浏览器缓存中的记录，当删除访问过的URL记录时，如果缓存记录没有被删除，就会产生一条泄漏记录。
4检验步骤
记录检材情况
对送检检材情况要进行详细的记录，包括：a）对送检检材进行唯一性编号；b）对送检检材进行逐一拍照，并记录检材特征：对具备保全条件的送检检材进行保全备份，保全备份应按照各种电子数据存储介质复制工具的使用说明书进行操作。
制定历史数据获取方案
在进行历史数据获取之前，需制定详细的获取方案，包括：历史数据的获取目的和范围；
b）产生历史数据的网页浏览器的名称和版本；运行网页浏览器的操作系统名称和版本；c
历史数据的保存路径和文件格式e）
获取历史数据需用到的软硬件设备，）规定历史数据获取的顺序；
如需要对浏览内容进行溯源，要制定溯源的范围和注意事项；g)
如果有条件从代理服务器或网站服务器获取历史数据，需明确获取范围；由于检材或网页浏览器对象不同，而需特别注意的事项；i
如需获取已删除的历史数据，应制定数据恢复的方法i
4.3发现提取历史数据
从送检检材中发现提取历史数据，形成可供检验的数据文件，包括：按照4.2中制定的方案和GA/T756-2008对发现提取固定证据数据的要求，对网页浏览器a）
历史数据进行发现提取；
在检材中相同文件目录下的历史数据，应保存在同一文件目录下，并记录检材中的目录全路径；不同文件目录下的历史数据，应保存在不同文件目录下；c）计算获取的历史数据文件和原始的历史数据文件的哈希值，验证一致性，确保两者是相同的。4.4网页浏览器历史数据的检验
对4.3发现提取的历史数据文件进行检验，包括：a）将获取的历史数据文件导出为检出文件，记录检出文件的哈希值；b）保存检出文件的哈希值到文件中，保证其完整性并作为过程记录保存下来；c）将检出文件复制到专用的电子数据存储介质中，并检验数据的完整性；）对历史数据文件进行分析，可依据但不限于以下数据内容：d)
网页浏览器缓存文件头，该文件头包含了网页浏览器的版本信息；1）
访问URL时收到的http头；
5记录
用户通过网页浏览器曾经访问过的URL记录；用户直接和通过重定向方式访问过的URL记录。被保存的网站文件的最后修改时间；访问网站的时间；
网站对应的本地文件夹和文件名称；GA/T1176—2014
网页浏览器缓存位置的非网页文件，如扩展名为rar、doc和pdf等格式的文件：泄漏记录；
特定网站的访问内容；
服务器和本地数据的对比；
伪造数据检验；
cookie信息检验。
在网页浏览器历史数据检验中，应按照GA/T756--2008中检验记录的要求，记录整个检验过程，检验报告
检验报告应包含所有与案件相关的必要信息，并列出检验结果。检验报告应包含以下信息：a）获取网页浏览器历史数据目的和范围；发现提取网页浏览器历史数据的过程和结果；b
网页浏览器历史数据的分析检验结果。GA/T1176-2014
打印H期：2014年11月11HF009A
中华人民共和国公共安全
行业标准
网页浏览器历史数据检验技术方法GA/T 1176—2014
中国标准出版社出版发行
北京市朝阳区和平里西街甲2号（100029）北京市西城区三里河北街16号（100045）网址spc.net.cn
总编室：(010)64275323
3发行中心：（010)51780235
读者服务部：（010）68523946
中国标准出版社秦皇岛印刷厂印刷各地新华书店经销
开本880×1230
印张0.5
字数8千字
2014年9月第一版2014年9月第一次印刷书号：155066·2-27346定价14.00元如有印装差错由本社发行中心调换侵权必究
版权专有
举报电话：（01068510107
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。