計算機取證專業課程建設的探討

史偉奇　何　平

摘要本文簡述了計算機取證的概念，分析了計算機取證的相關技術及取證工具軟件，提出了計算機取證專業的課程體系建設框架。

關鍵詞計算機取證計算機取證專業課程建設

1 引言

隨著計算機技術的迅猛發展和Internet規模的不斷增大，以網絡系統作為犯罪對象和以計算機作為犯罪工具的各類計算機犯罪活動越來越多，為了打擊這類犯罪，需要對存在于計算機及相關外圍設備（包括網絡介質）中的電子證據(Electronic Evidence)進行取證，計算機取證學作為計算機科學和法學的交叉學科應運而生。

計算機取證是對計算機犯罪的證據進行獲取、保存、分析和出示，它實質上是一個詳細掃描計算機系統以及重建入侵事件的過程。

國外十分重視計算機取證（Computer Forensics）研究，美國至少有70%的法律部門擁有自己的計算機取證實驗室。我國雖然還沒有專門的取證機構，但已在公安部門設置了專門的網絡監察機構，該機構的一部分職責是負責計算機取證工作。

目前，雖然國內學界已在計算機取證技術研究方面作出了積極反應，開發出了一些系統和工具，并且運用這些技術偵破了一些實際犯罪案例，但由于計算機取證工作專業性要求較高，計算機取證專業人才十分匱乏。據了解，國內各高校都尚未開設計算機取證學專業或建立計算機取證學專業方向。因此，對計算機取證專業（方向）課程設置的研究，對取證專業人才的培養已成當務之急，它將在我國高等院校尤其是公安高校的專業課程設置中占有重要的地位。

2 計算機取證概念

2.1計算機取證概述

計算機取證專業資深人士Judd Robins認為：計算機取證是將計算機調查和分析技術應用于對潛在的、有法律效力的證據的確定與獲取上。2004年6月，我國公安部11局許建卓博士在西安召開的“第十九次全國計算機安全學術交流會”上提出了數字化證據學的概念，闡明了數字證據的發現、固定、提取、分析和表達等五個層次的框架學說。因此，我們可以將計算機取證技術分為證據發現技術（獲取證據）、證據固定技術、證據提取技術、證據分析技術和證據表達技術五個方面。

2.2計算機取證技術

證據的發現技術實際上屬于偵查技術。根據計算機證據的來源不同，可以分為網絡證據、單機證據和相關設備證據的發現。網絡證據的發現涉及到入侵檢測、網絡監控、蜜罐(網)、防火墻、網絡線索自動挖掘技術等；單機證據的發現主要涉及溯源技術、數據過濾、磁盤鏡像技術等。

證據的固定技術是解決證據的完整性驗證，即通過數字簽名和見證人簽名等措施保證現場勘察和偵查獲得的數據的完整性和真實性。通常采用的技術有加密、時間戳、軟件水印和電子簽名技術等，它們都可以產生證據監督鏈（Chain of custody）以證實電子證據的真實完整性。

證據的提取技術是從眾多未知和不確定的數據中找到確定性的東西，一般包括：恢復——找到被刪除的數據、被部分覆蓋以及以特殊方式存儲的殘缺數據；過濾——提取出需要分析的數據，如專題信息挖掘、軟件殘留痕跡自動分析等；解碼——將數據表達成分析人員能夠理解的數據，包括解密、隱藏信息的提取、元數據解碼、普通編碼數據的解碼等。

證據的分析技術是通過關聯分析證實信息的存在、信息的來源以及信息傳播途徑，重構犯罪行為、動機以及嫌疑人特征。它包括分析計算機的類型、采用的操作系統，是否為多操作系統或有無隱藏的分區,有無可疑外設,有無遠程控制、木馬程序及當前計算機系統的網絡環境；分析開機、關機過程，盡可能避免正在運行的進程數據丟失或存在的不可逆轉的刪除程序；分析在磁盤特殊區域中發現的所有相關數據,利用磁盤存儲空閑空間的數據分析技術進行數據恢復，獲得文件被增、刪、改、復制前的痕跡；分析計算機的所有者，或電子簽名、密碼、交易記錄、回郵信箱、郵件發送服務器的日志、上網IP等計算機特有信息識別體，結合全案其他證據進行綜合審查。

證據的表達技術把對目標計算機系統的全面分析和追蹤結果進行匯總，然后給出分析結論，標明提取時間、地點、機器、提取人及見證人,然后以證據的形式按照合法程序提交給司法機關。

2.3計算機取證軟件

目前，國際上主要有以下幾種主流計算機取證軟件產品。Forensic Toolkit:它是一個一系列基于命令行的工具，可以幫助推斷Windows NT文件系統中的訪問行為；The Coroner's Toolkit(TCT):它主要用來調查被“黑”的Unix主機，并提供了強大的調查能力,其特點是可以對運行著的主機的活動進行分析，并捕獲目前的狀態信息；EnCase:它是一個完全集成的基于Windows界面的取證應用程序，其功能包括：數據瀏覽、搜索、磁盤瀏覽、數據預覽、建立案例、建立證據文件、保存案例等；ForensicX:它是一個以收集數據及分析數據為主要目的基于Linux環境取證軟件，它與配套的硬件組成專門工作平臺，利用了Linux支持多種文件系統的特點，提供在不同的文件系統里自動裝配映像等功能，能夠發現分散空間里的數據，可以分析Unix系統是否含有木馬程序。

3 計算機取證專業課程體系

從專業計劃構建的角度看，課程體系主要由基礎課、專業基礎課、專業課以及選修課程四個部分組成。專業計劃是高等院校教學的基礎，它集中體現了學校人才培養和科學研究的中心任務，直接影響并決定著高等院校人才培養和科學研究的水平、質量和層次。

根據計算機取證學形成的基本原理、基礎理論、技術及應用范疇，按照專業課程體系構建的基本框架要素，結合21世紀計算機取證技術的發展趨勢和研究熱點，筆者認為，要全方位地建立起計算機取證專業（方向），一方面要加強基礎理論體系的創建和完善，另一方面還應當強調專業理論知識的深入，重視貼近實戰的應用型科技技術。本文初步提出計算機取證專業課程建設的覆蓋范圍。

3.1基礎課體系

公共基礎體系涵蓋了大學生的人文修養基礎課與學科能力基礎課，是培養健全人格與學科學習基礎的必修課。開設的課程包括：人文選修課類(包括多門學科，由學校根據需要開設)、英語、高等數學、計算機取證學導論、法學基礎、信息安全法規與標準等。

3.2專業基礎課體系

專業基礎理論是專業核心課程開展的前提，是培養學生扎實理論和基本專業技能的重要環節。開設的課程包括：離散數學、計算機原理、數據結構、程序設計基礎、面向對象編程、計算機取證工具軟件、數據庫系統原理、操作系統、人工智能導論、密碼學及應用、專業英語、證據學、現場勘察等。

3.3專業課體系

專業核心課程包括：計算機網絡、匯編語言程序設計、網絡與信息安全概論、計算機取證學、UNIX操作系統、Windows操作系統、網絡編程與計算技術、取證協議研究、入侵檢測技術、蜜罐與蜜網實現、計算機病毒原理、惡意代碼識別研究、常用取證軟件應用等。

3.4選修課體系

選修課程包括：計算機安全、網絡安全、刑法、民法、經濟法、合同法、取證相關法律匯編、計算機取證法律研究、計算機取證法定程序研究、互聯網法律匯編及其立法研究等。

3.5實踐課程

計算機取證專業是一門實踐性很強的專業，所以，在培養過程中必須重視專業實踐，即必須組織學生到計算機取證的第一線進行綜合實踐訓練，只有這樣才能達到培養目標。本課程設置中未單獨設立實踐課，是因為除了最后的綜合實踐外，實踐應該貫穿于整個學習過程，如專業課大多包括技能訓練實踐，具體安排教學計劃時應將其重點列入，特別是綜合訓練應該成為學生畢業的必修課。

4 培養目標

目前，計算機取證人員的角色主要是執法者如警察，當然也包括警察授權下的專業技術人員。由于社會的發展，今后中立的取證機構工作人員或者是代表當事人利益的法律維護者（如律師）也會越來越多，但無論何種身份，他都必須達到如下目標：熟悉并遵守相關法律，具有良好的法律素養與職業道德；掌握牢固的計算機技術、信息技術、通信技術等基礎理論；熟練掌握計算機取證理論及證據獲取、固定、提取、分析技術，具有使用常用計算機取證軟件進行綜合取證分析的能力。

總之，本課程設置培養的人才是較精通計算機取證技術，有一定法律知識、職業道德高尚、有一定實踐能力和研究能力的工學與法學復合型人才。課程體系的設置適用于大學?？?、大學本科教學，若僅為大學專科，根據應用型人才培養目標的要求可做適當壓縮，并側重加強實踐性環節教學。

5 結論

按照上述課程設計框架，可以開設計算機取證專業（方向），但構建一個完善的計算機取證專業體系，還需要做大量的工作。首先是在相關學科理論的指導下，結合取證工作的特點，及時吸收先進的取證技術和理論，充實到計算機取證學中來；其次是要加強學科隊伍建設，建立起計算機取證學專門的學會、學術刊物和學術機構，爭取學科獨立，多方位、多層次地開展學術交流和學術爭論，不斷完善學科體系；第三，加強配套教材建設和專門實驗室建設。

總之，計算機取證學是一個新的學科，也是一種交叉學科，計算機取證特殊人才的需求需要特定的專業培養。不斷歸納、總結和完善取證專業理論、技術和課程體系，是建立計算機取證學科體系的長期任務。

（本文獲得“2005年全國青年教師計算機教育優秀論文評比”職業教育與培訓三等獎）

參考文獻

1王玲，錢華林.計算機取證技術及其發展趨勢.軟件學報,2003,14(9):1635～1644

2 Judd Robbins.An Explanation Of Computer Forensics[OL].

http//www.computerforensics. net/forensics.htm

3丁麗萍，王永吉.計算機取證的相關法律技術問題研究.軟件學報,2005,16(2):260～274

4錢桂瓊，楊澤明.許榕生.計算機取證的研究與設計.計算機工程,2002,28(6):56～58

5趙小敏，陳慶章.計算機取證的研究現狀和展望.計算機安全,2003,10:23～25

6劉欣，計算機取證技術教案.http://infosec.pku.edu.cn/~hjbin/course/security/courseware/／securityl5.ppt

7張斌，李輝.計算機取證有效打擊計算機犯罪.網絡安全技術與應用,2004,7:59～61