關于存儲原理與數據恢復課程的建設與思考

徐仙偉

摘要：從當前公安偵查專業計算機犯罪偵查方向學生的培養要求出發，對“存儲原理與數據恢復”課程的培養目標、教學內容、教學方法等方面進行探討，指出該課程建設的主要方向與具體思路，目的是使公安偵查專業計算機犯罪偵查方向的學生能夠更好地掌握數據存儲的理論知識以及數據恢復的原理與方法，并將其所學運用到計算機犯罪取證中去，為以后從事公安計算機犯罪取證工作打下基礎。

關鍵詞：計算機犯罪偵查；數據存儲；數據恢復

1、課程建設的目的和意義

隨著我國信息技術和信息產業的發展，計算機和網絡已經滲透到我國政治、經濟、軍事、科技、文化等各個方面，與此同時，計算機網絡犯罪呈逐年遞增趨勢。計算機網絡犯罪具有犯罪主體專業化、犯罪行為智能化、犯罪客體復雜化、犯罪對象多樣化、危害后果隱蔽等特點，這使得計算機網絡犯罪明顯有別于傳統的刑事犯罪。因此，構建全面有效打擊各種計算機網絡犯罪的數據恢復、計算機取證、電子物證技術學已成為打擊計算機犯罪的有效利器。

經過多年的發展，國家各級公安機關現已成立了計算機犯罪監察機構，司法部專門將涉及數據恢復、計算機取證、電子物證的計算機（司法）鑒定作為一個獨立的類型加以規范。但客觀現實是，我國不僅缺乏具有豐富電子物證、計算機取證、數據恢復知識的調查人員或調查機構，更缺乏切實可用的電子物證、計算機取證、數據恢復技術整合。因此，公安院校更應該結合公安實際工作需要，培養出在數據恢復、計算機取證、電子物證收集與處理等專業領域有一定理論基礎，將來能夠從事計算機犯罪偵查工作的學員。這些學員要能夠從事安全檢查、刑事技術、電子物證、反恐排爆、禁毒緝毒、安全防范等公檢法多個部門、多個業務領域。

2、課程簡介

2.1 課程定位

存儲原理與數據恢復課程是公安偵查專業計算機犯罪偵查方向的專業方向課，在專業課程體系結構中起主干作用，主要講解計算機犯罪取證中關于計算機存儲技術方面的理論知識，同時配合理論知識點進行實踐教學，目的是通過課程學習為學生以后從事公安一線的計算機犯罪取證工作提供指導與幫助。

2.2 課程培養目標

存儲原理與數據恢復課程是培養學生儲備公安工作信息化知識，采用信息技術對計算機犯罪取證進行有效處理的重要一步?；诖耍囵B既懂公安業務又懂信息化技術的高級應用型人才一直是該課程的指導思想。我們力求使學生在學完本課程之后，能夠掌握數據存儲基本理論，同時結合理論知識點與公安業務實際需求，將數據恢復技術應用于計算機犯罪取證實踐中。學生通過本課程的學習，一方面培養自己計算機存儲理論知識水平，另一方面培養自己的實際動手能力，學會數據恢復技術原理與基本操作方法，并在具體對象上運用不同的數據恢復手段進行熟練操作，體現出數據恢復方法正確、思路清晰、步驟合理、效果顯著的特點。此外，學生通過本課程的學習，培養自己良好的科學作風，樹立理論聯系實際的觀點，培養創新意識和創新能力，培養自己的合作精神，為將來從事公安工作打下良好的基礎。

3、課程建設內容

3.1 完善課程教學內容

完善的教學資源是課程取得成效的重要基礎。在前期的教學實踐中，雖然已經積累了很多教學資源，但這些資源仍然不夠全面、不夠豐富。為服務于培養高素質應用性警務人才，本課程至少要安排36學時（包括理論教學與實驗教學）。隨著課程建設的進一步深入，我們希望能安排更多的實驗環節教學，提高學生的實際操作能力。

由于存儲原理的知識體系非常龐大，因此我們必須對其知識體系進行精簡，抓住存儲原理的精華，以點帶面，突出重點，著重講解與實際公安工作結合緊密的、在實際計算機取證領域應用廣泛的理論知識點進行講解。主要知識點包括：

1）電子證據中常用的存儲介質。

目前各類存儲介質已成為人們生活工作不可或缺的一個部分。相關的利用計算機制作、復制、傳播色情、淫穢物品案件，網上詐騙、敲詐勒索、非法傳銷案件，利用互聯網危害國家安全案件等在逐年遞增，這些已折射出我國司法在實際數據恢復、計算機取證、收集電子物證打擊計算機網絡犯罪工作中面臨的巨大挑戰。一般來說，電子證據是指在計算機系統運行過程中產生的、以其記錄的內容來證明案件事實的電磁、光記錄物。常有的存儲介質包括硬盤、u盤、CF卡、FLASH存儲等。由于各種原因（物理故障包括磁頭損壞、電機損壞、磁盤壞道、電路損壞等；邏輯故障包括誤刪除、誤克隆、誤格式化、病毒攻擊等）導致目標數據丟失、破壞的情況廣泛存在，必須有相關數據恢復、計算機取證技術來完成目標電子物證數據的提取分析。因此本課程將重點介紹存儲介質的發展歷程以及存儲技術的分類，同時結合硬盤在存儲介質中使用最廣泛的特點，對其存儲結構重點加以分析。

2）電子證據中文件的組織方式。

由于存儲介質在使用過程中應用的操作系統不同，其數據的組織方式不同，課程將重點從文件系統的角度對不同環境下數據的組織方式進行介紹，主要介紹幾種文件系統類型。我們只有深入理解了文件系統的知識點，才能準確地查找出各操作系統環境下數據內容、存放在存儲介質上的位置等重要信息，只有獲取這些知識，才能為下一步的數據恢復和取證工作提供幫助。

由于操作系統種類很多，課程中不能對所有操作系統的文件系統進行詳細介紹，只能結合當前應用最多、使用最廣的幾種操作系統類型（如Windows、Linux等）進行分析。由于存儲理論中關于文件系統的各知識點也有相通之處，因此我們希望通過本課程的學習，為學生在以后其他相關知識點的學習中提供幫助。

3）網絡存儲技術。

針對如今網絡化存儲的特點，本課程還應介紹網絡環境下使用最多的存儲設備——磁盤陣列（RAID）。隨著網絡化、信息化和數據化的發展，數據量越來越大，需要用到的存儲設備的容量和數量也越來越多。RAID作為一種由多個存儲設備組成的、能夠協同工作的存儲設備，可以充分發揮其多個存儲設備的優勢。RAID既可以提升存儲速度，更可以增大容量，利用冗余信息位的作用，很好地提供對于數據的容錯與數據恢復的功能。因此本課程將介紹RAID的概念、分類、優點、發展趨勢等，著重對其各級別進行詳細講解及對比分析。

4）強化數據恢復技能培養。

由于數據恢復技術是計算機犯罪取證中的重要環節，我們要求依據課程前面的理論知識，結合實驗指導書進行實踐操作，加深理解。

數據恢復技術是指把保留在存儲介質上的數據重新恢復的過程。即使數據被刪除、黑客攻擊或存儲介質出現物理故障、電路燒毀、壞道、磁頭損壞，數據恢復技術也能使相關數據完好無損地恢復，便于后期計算機取證、電子物證收集工作的順利開展。自2006年起我國在公安、檢查、經偵、刑偵、網監等陸續開始關注相關尖端數據恢復、計算機取證技術對于電子物證取證的“特殊能力”。同時，數據恢復、計算機取證技術體系憑借其穩定性、安全性和功能性，在我國司法領域逐漸獲得了極高的認知度。

由于計算機取證課程中也會涉及這方面知識點，因此為了保證專業課程之間內容不出現相交，作為前導課程，實驗環節主要從存儲原理的角度，即依據不同操作系統下數據組織的特點來安排實踐教學，突出理論與教學相結合。

除了做好常規的課堂實驗教學外，我們還要積極開展課外課堂，培養學生的動手實踐能力和綜合創新能力。課外課堂培養主要包括：①進行開放實驗，鼓勵學生在學校范圍內從事對外提供數據恢復技術方面的服務，由課程教師進行課外實踐指導，利用學校現有的硬件資源安排學生進行實驗操作，培養學生的探索精神；②參與學院組織的數據恢復技能項目，由教師提出項目名稱，學生在教師的指導下進行項目申報的填寫，并獨立完成項目的方案實施。

3.2 與公安工作結合

計算機存儲理論與數據恢復技術作為電子數據提取技術的一部分，近年來在公安機關偵查犯罪案件中得到了廣泛應用。通過鎖定計算機入侵、破壞、欺詐、攻擊等犯罪行為留下的相關數據、圖片及影音視頻資料來幫助執法機構快速獲取、挖掘相關電子證據線索。因此在課程設計中適當加入公安實際案例教學，有利于學生以后更好、更快地適應公安機關的網監、經偵、刑偵等實際工作需要。

課程內容應盡可能與公安業務相結合。課程組教師通過公安業務實踐、調研、高層次公安院校學習，收集更多、更全的課程應用案例，并將其應用到課堂教學和實驗環節中去，讓學生了解課程與實際業務的關聯，學會利用學到的知識解決計算機犯罪取證工作中的實際問題，協助偵查人員偵破案件等。

3.3 改進教學方法

在前期的教學實踐中，由于本課程教學內容太多，在課堂教學中，教師的主導地位比較強勢，沒有充分調動學生的主動性，沒有充分發揮學生的創造性。因此我們需要通過課程建設，努力形成突出學生主體地位的教學模式，創造可以充分調動學生主動性的條件，采用多種教學方法，鼓勵教師大膽嘗試、鼓勵學學勇于挑戰權威、挑戰自我。

1）案例教學。

在課堂教學環節，結合教學內容，特別是存儲原理中難懂的部分，授課教師可以運用理論講解，配合案例進行教學。在該課程的教學過程和實驗過程中，教師將相應的案例貫穿其中。案例教學可以使深奧枯燥的理論從應用的角度進行較好的詮釋。同時，案例教學還可以培養學生學以致用的思路和習慣。另外，運用貼近公安特色的案例進行教學，能引發學生極大的學習興趣，也為學生日后能夠盡快融入公安工作奠定基礎。

2）啟發式教學。

該課程無論是在理論部分還是實踐部分，都采用了啟發式的教學方法。在講解新的理論知識時，教師不是直接拋出，而是從該理論的實用價值出發，引出該理論的重要意義，然后進行講解。這樣做，一方面可以激發學生的學習興趣，引發學生的自主思考，另一方面也可以解決學生學習目的不明確的問題。在實驗課中，對于一個問題的解決，教師不是直接給出答案，而是鼓勵學生的給出各種不同的解決辦法，然后進行點評，不但使學生學會了從不同角度思考問題，而且學會了對問題的評價方法。

3）任務驅動學習。

該方法主要用于設計型實驗環節，并將設計型實驗的要求明確告訴學生。學生組織成多個學習小組，每個小組都有明確的實驗目的和要求。學生可以圍繞實驗項目儲備知識，經過不斷的努力，看著自己一步步接近項目的目標，學生分析問題和解決問題的能力會在短時間內得到極大的提升。

3.4 注重自學能力培養，加強教與學互動

教育工作應該意識到發現問題以及提出問題的重要性，因此，教師在教學過程中應該自覺地、有意識地培養和提高學生這方面的能力。學生在學習過程中，遇到不懂的問題，應當首先由自己來思考。思考無果后，可以設法去查閱有關的資料文獻。目前很多資料文獻是可以在網上查找到的，因此教師在教學的過程中也應當結合本課程的教學，適當布置一些教學任務讓學生自主完成，教師只是起指導作用，同時提供一些參考書籍、文獻幫助來引導學生完成任務。此外在教學過程中教師通過課程網站向學生提供網絡學習平臺，實現教與學的互動。

4、結語

通過對存儲原理與數據恢復課程的建設進行分析，進一步理清了本課程在計算機犯罪偵查方向中的作用，明確課程的定位與培養目標以及課程的教學內容、思路及方法。下一步我們將依據上述建設內容進一步展開工作，如結合公安實際需要，編制合理的課程教材、實驗指導書等；依據教學內容，利用上述教學方法進行教案整理、設計，為培養學生課外自學與實踐操作能力，開展課外課堂指導以及應用課程網絡平臺實現教與學的互動等。