计算机取证理论及课程建设的思考
计算机取证理论及课程建设的思
摘要:本文探讨了计算机取证的理论研究内容,及与之相关的课程建设的原则、课程设置
的构想、课程教学模式等内容。
关键词:计算机取证;计算机取证理论;课程建设
中图分类号:G64 文献标识码:B
文章编号:1672-5913(2007)09-0046-03论文联盟
1 计算机取证的发展现状
针对日益增长的计算机犯罪,20世纪 80年代到 20世纪 90年代早期,美国执法机构
开始合作制定培训计划,以增加自己处理计算机犯罪问题的能力。这些主动措施带动一些
组织机构制定了相关的执法培训课程,这些组织机构包括 SERACH、美国白领犯罪中心
(National White Collar Center,NW3C)等,其后美国以及其他国家建立了特殊组织,
并按照国际水准调查计算机相关的犯罪。技术和计算机相关犯罪的高速发展,产生了金字
塔式的教育培训结构和计算机取证组织结构。对电子证据的收集、处理、分析这些不同的
任务领域也定义了各自领域的培训课程和相关标准,2002年,数字证据科学组
(Scientific Working Group for Digital Evidence,简称 SWGDE)发布了培训和最佳做
法指南,美国犯罪实验室主任协会(American Society of Crime Laboratory
Directors,ASCLD)提议法学实验室需要计算机取证检验人员,同样欧洲法学研究所
(ENFSI,2003)等组织促进了计算机取证检验成为一种国家标准中(ISO17025)公认的
学科。
目前美国的联邦法律事务培训中心(Federal Law Enforcement Training Center)、
美国的 IOCE培训组织、美国高新技术犯罪调查、DCITP等组织以及几乎所有的生产计算机
取证工具产品的公司如英国的 NSLEC、加拿大的 FDRASR Data、NTI、Data Recovery等公
司都设有计算机取证技术的教育与培训课程,加拿大警察学院(CPC)、意大利的 Bologna
大学、英国的 Cranfield大学、Stafford大学、美国的 The George Washington大
学、Oklahoma大学、Purdue等大学也开设了计算机取证学科及专业并进行这方面的教学
和研究。
在我国,计算机取证培训仅仅局限于很少的一些推销计算机取证产品的公司。也有极
少数高等院校进行计算机取证的研究和培训,但只对研究生开设,而且课程设置的科学性和
合法性有待进一步论证。从我国当前的取证实践看,有些警察面对计算机证据不知道如何
处置甚至进行错误的处理,导致了电子证据的破坏和损毁,使犯罪分子逍遥法外。当然对
电子证据取证人员有大量需求的司法部门、IT及金融等部门也面临着同样的问题。从实践
部门的反馈来看,计算机取证理论和实践的研究有着广阔的空间,有待于进一步挖掘和探
寻。当今,摆在我们面前的现有存在的学科远不能覆盖计算机取证的相关内容,
随着计算机在军事、政府、金融、商业等部门的广泛应用,社会对计算机的依赖越来
越大,如果计算机系统的安全受到破坏将导致社会的混乱并造成巨大损失。尤其是 20世
纪 90年代来,Internet的商业化以及万维网的发展使 Internet得到了广泛普及,全球网
络中的犯罪是五花八门,犯罪的焦点已经超越了简单的计算机入侵。在面对新型的网络犯
罪模式时,必会引发许多新的问题,我们有必要对计算机取证理论和实践进行系统的研
究,因此,在我国建立计算机取证知识体系,加强计算机取证理论和课程体系及实践的研
究,将会丰富学科的建设、满足人才培养的需要,适应新形势下计算机犯罪的需要,将是
十分有益和势在必行的。
2 计算机取证理论的研究内容
计算机取证(computer /electronic/digital forensics)是用科学的证明方法去收
集、分析、使用电子证据来提供一份有结论性的电脑犯罪活动的描述报告(ISP
Webopedia,2005)。文献[5,6,7]等研究表明计算机取证学涉及到法律、侦察学、计算机
科学、计算机工程学、软件工程学、心理学、社会学等学科,是一门综合性、交叉性的学
科。计算机取证理论研究的内容涉及到法律领域、计算机科学领域、法学、行为证据分
析。
法律领域研究法律相关领域的概览,以及它们是如何受到技术因素影响的,研究一些
基本的法律原则诸如司法权、隐私权等,以便提高对相关法律如何诠释和应用到 Internet
和其他技术领域的理解,进行具体的法律规程问题的研究。计算机犯罪仅是古老犯罪的一
种新的表现,然而,Internet的出现对传统的犯罪形式产生了新的挑战,诸如计算机入
侵、诈骗、知识产权盗窃、儿童色情、跟踪骚扰、性骚扰甚至暴力犯罪、恐怖活动等,虽
然许多现有的计算机犯罪都能通过现有的法律解决,但需要研究考虑法律方面的适应性问
题并进行相应的修正立法工作研究。
计算机科学领域研究计算机取证各方面内容的技术细节。其中包括基于主机的和基于
网络的数据获取技术、数据保全技术、电子证据鉴定技术,以及电子证据数据分析技术
等。
法学领域研究提供分析类型电子数据证据的通用方法。法学的作用是提供已经经过事
实证明的方法,处理和分析证据,得出没有扭曲和偏见得并可再次生成的结论。法学领域
的研究就是利用了法学的原理和技术包括分类、对比、个体化和证据源评估等应用到电子
数据证据的案件调查中。
行为证据分析领域研究如何提供一个综合特定技术知识和常用科学方法的系统化方
法,以便对计算机犯罪行为和动机进行深入的理解。研究随着计算机和 Internet技术的
发展,罪犯的惯用手法和罪犯的动机的关联性,以及这些发展对罪犯的犯罪方式和原因的
影响。
3 计算机取证相关课程建设的构想
课程体系是一个随着社会的变迁和学科理论内容的发展需要不断进行研究的复杂系统
,其核心是具体课程设计。在高等教育的发展历程中,始终存在着“教什么”和“学什
么”这一永恒的主题。
课程建设的原则
(1)学科及专业取向。每一门课程都有其相对应的研究领域,课程设计应该反映本
学科及专业的基本知识取向,因而课程体系的设计是开展专业教育的主要组成部分,这些
课程及其相关课程承担着专业教育的主要任务,集中体现专业的特点,它们与学科的联系
最紧密,专业知识含量大,是实现培养目标的重要保证。
(2)素质教育和能力发展。计算机取证工作作为一项业务性很强的社会管理工作,
要求取证人员不仅要政治素质高、而且必须基础知识扎实、实践能力高、综合素质高,这
很大程度上是通过课程教学来实现的,将能力、素质全面发展列为课程目标,有助于形成
符合实际需要的知识结构和能力结构,满足取证人才培养的需要。
(3)社会取向。学校作为社会的一个组成部分,最终应为社会服务,课程建设要体
现实践性、应用性,要贴近社会实际工作提出的一些重大问题,发挥其对实践的能动指导
作用。随计算机及网络的不断发展,计算机犯罪的形式也在不断变化,这就需要不断将新
的现代科学技术、最新成果以及取证实践中创造的许多经验和新成果吸纳到课程体系建设
中。
课程建设的初步构想
课程建设包括基础课、专业基础课、专业课、实验课程与取证实践技能锻炼,其中基
础课体系:公共基础体系涵盖了学生的人文修养基础课与学科学习基础的必修课,开设的
课程包括:人文选修课、英语、高等数学、计算机取证学导论、法学基础、心理学、信息
安全管理与规范等课程。占整个学时的 30%
专业基础课:是专业核心课程开展的前提,是培养学生扎实理论和基本专业技能的重
要环节。开设的课程包括:计算机原理、数据结构、程序设计基础、操作系统、数据库系
统原理、计算机取证工具软件、证据学、现场勘察、密码学等,占整个学时的 20%。
专业课体系:包括计算机网络、Unix操作系统(Unix/Linux)、Windows操作系统、
汇编语言程序设计、取证协议研究、入侵检测技术、密罐与密网实现、计算机病毒、恶意
代码识别研究、计算机取证学、常用取证软件应用等,占整个学时的 20%。
实践教学内容体系与取证实践技能锻炼:计算机取证专业是实践性很强的专业,实践
教学课程设置由基本技能、专业技能和技术应用或综合技能三大模块组成并呈递进关系开
设,实验课程应该贯穿于整个学习过程,专业课主要集中于技能训练实践;在学生培养过
程中必须组织学生到计算机取证的第一线进行综合实践训练,占整个学时的 30%。
计算机取证课程建设需要教学模式的改革
计算机取证自身的特点决定了有关课程必须包含很强的实践性和操作性,这就需要现
有教学模式的更新。改革传统的课堂讲授,课下练习的旧的教学方法,建立起真正适应计
算机取证本身特点的科学的教学模式。因此课程建设中要突出:
(1)实验教学法。改变以往以理论概念为学习核心,用做习题的方式来加深理解,
实验只是补充说明理论概念的辅助工具。教师在教学中提出一系列取证实际问题供学生在
实验过程中思考,学生查资料准备,师生共同总结实验并推出理论。学生带着问题作实
验,这种方法可有效地培养学生独立思考能力和解决取证实际问题的能力,也符合计算机
取证专业的发展趋势。
(2)案例教学法。根据一定的教学目的,通过对取证案例的阅读、分析、讨论,就
有关问题作出判断和决策,培养学生运用掌握取证的理论知识解决实际问题的能力,在入
侵检测技术、操作系统等课程中都非常适用案例教学法。当然在运用此方法时,注意制订
切合实际的教学计划,选择具有启发性的案例。
(3)理论与实践法。聘请取证实践部门人员定期或不定期来校授课或讲学,将目前
计算机取证发展的现状、实际需求、发展中的问题、实战中的经验和教训、网络中犯罪的
特点等知识充实到教学中来。在具体的理论联系实践过程中可采用“情景模拟法”,也可
采用“仿真法”等,培养和检验学生的决策理解分析能力,提高他们对实际效果的关注。
如事先请“取证实战部门的人员”就已解决的案件来提出问题,学生自己动手设计、分
析,最后请“取证实战部门的人员” 来告知结果。
4 结束语
当今,计算机取证不论作为一种理论还是作为实际的应用,都是处于刚刚起步萌芽状
态,有很多不完善的地方和困难摆在面前。理论上,需要大量地学习和借鉴相关科学的精
华之处,并加以融会贯通;实践中,特别是取证业务部门需要大批懂技术的科技人才,而
且需要相应配套的硬件设备,资金的投入,领导观念的转变等等,这些困难都决定了实施
计算机取证和开设相关课程都不是一蹴而就的。但是,把计算机取证作为学科进行发展,
是历史的选择,是时代发展的必然产物。计算机取证作为一种新型的概念和理论被提出,
需要有其成长、发展的学术和实践环境。在高等院校教学相长的环境下,在研究人员的探
索下,在前沿理论的带动下有助于计算机取证理论和课程建设的快速成长。
参考文献:
[1] Eoghan Casey. Digital evidence and computer crime [M]. London:
Academic Press, 2000.
[2] .
[3] 丁丽萍. 对公安院校开设计算机取证课程的思考[J]. 北京人民警察学院学
报.2005,(2):18.
[4] .
[5] William De Witt, Leslie Geddes, Frank Johnson. A MASTER OF SCIENCE
CURRICULUM IN FORENSIC ENGINEERING[J]. 31th ASEE/IEEE Frontiers in Education
Conference. October 10-13,2001 Reno,NV .
[6] Gregory A. Hall, Wilbon P. Davis. Toward Defining the Intersection of
Forensics and Information Technology[J]. International Journal of Digital
Evidence. Spring 2005, Volume 4, Issue 1 .
[7] Garber, L. (2001). Computer Forensics: High-Tech Law Enforcement[J].
IEEE Computer, January 2001.
收稿日期:2007-01-18
作者简介:刘志军(1975—),男,武汉大学计算机学院博士生,研究方向:计算机取
证。
基金项目:鄂警院重点教学项目“公安计算机取证课程体系建设”;公安部项目(公
科研[2005]246号) “电子证据的技术和法律问题研究”;湖北省教育厅十五规划项目
(2004d49);湖北省社会科学基金“十五”规划项目([2005]073)
