计算机取证专业课程建设的探讨

3 4 计算机教育 2006.2 获/奖/论/文/展/登 1 引言 随着计算机技术的迅猛发展和 Internet规模的不断增大，以网络 系统作为犯罪对象和以计算机作为 犯罪工具的各类计算机犯罪活动越 来越多，为了打击这类犯罪，需要 对存在于计算机及相关外围设备 （包括网络介质）中的电子证据 (Electronic Evidence)进行取证，计 算机取证学作为计算机科学和法学 的交叉学科应运而生。 计算机取证是对计算机犯罪的 证据进行获取、保存、 分析 定性数据统计分析pdf销售业绩分析模板建筑结构震害分析销售进度分析表京东商城竞争战略分析 和出示， 它实质上是一个详细扫描计算机系 统以及重建入侵事件的过程。 国外十分重视计算机取证 （Computer Forensics）研究，美国 至少有70%的法律部门拥有自己的 计算机取证实验室。我国虽然还没 有专门的取证机构，但已在公安部 门设置了专门的网络监察机构，该 机构的一部分职责是负责计算机取 证工作。 目前，虽然国内学界已在计算 机取证技术研究方面作出了积极反 应，开发出了一些系统和工具，并 且运用这些技术侦破了一些实际犯 罪案例，但由于计算机取证工作专 业性要求较高，计算机取证专业人 才十分匮乏。据了解，国内各高校 都尚未开 设计 领导形象设计圆作业设计ao工艺污水处理厂设计附属工程施工组织设计清扫机器人结构设计 算机取证学专业或建 立计算机取证学专业方向。因此， 对计算机取证专业（方向）课程设 置的研究，对取证专业人才的培养 已成当务之急，它将在我国高等院 校尤其是公安高校的专业课程设置 中占有重要的地位。 　　 2 计算机取证概念 2.1计算机取证概述 计算机取证专业资深人士Judd Robins认为：计算机取证是将计算 机调查和分析技术应用于对潜在 的、有法律效力的证据的确定与获 取上。2004年6月，我国公安部11 局许建卓博士在西安召开的“第十 九次全国计算机安全学术交流会” 上提出了数字化证据学的概念，阐 明了数字证据的发现、固定、提取、 分析和表达等五个层次的框架学 说。因此，我们可以将计算机取证 技术分为证据发现技术（获取证 据）、证据固定技术、证据提取技 术、证据分析技术和证据表达技术 五个方面。 2.2计算机取证技术 证据的发现技术实际上属于侦 查技术。根据计算机证据的来源不 同，可以分为网络证据、单机证据 和相关设备证据的发现。网络证据 的发现涉及到入侵检测、网络监 控、蜜罐(网)、防火墙、网络线索自 动挖掘技术等；单机证据的发现主 要涉及溯源技术、数据过滤、磁盘 镜像技术等。 证据的固定技术是解决证据的 完整性验证，即通过数字签名和见 证人签名等措施保证现场勘察和侦 查获得的数据的完整性和真实性。 通常采用的技术有加密、时间戳、 软件水印和电子签名技术等，它们 都可以产生证据监督链（Chain of custody）以证实电子证据的真实完 整性。 证据的提取技术是从众多未知 计算机取证专业课程建设的探讨 史伟奇1 何　平2 (1 湖南公安高等专科学校 长沙 2 湖南大学 长沙) 摘　要　本文简述了计算机取证的概念，分析了计算机取证的相关技术及取证工具软件，提出了计算机取证专 业的课程体系建设框架。 关键词　计算机取证　计算机取证专业　课程建设 3 5计算机教育 2006.2 获/奖/论/文/展/登 和不确定的数据中找到确定性的东 西，一般包括：恢复——找到被删 除的数据、被部分覆盖以及以特殊 方式存储的残缺数据；过滤——提 取出需要分析的数据，如专题信息 挖掘、软件残留痕迹自动分析等； 解码——将数据表达成分析人员能 够理解的数据，包括解密、隐藏信 息的提取、元数据解码、普通编码 数据的解码等。 证据的分析技术是通过关联分 析证实信息的存在、信息的来源以 及信息传播途径，重构犯罪行为、 动机以及嫌疑人特征。它包括分析 计算机的类型、采用的操作系统， 是否为多操作系统或有无隐藏的分 区,有无可疑外设,有无远程控制、 木马程序及当前计算机系统的网络 环境；分析开机、关机过程，尽可 能避免正在运行的进程数据丢失或 存在的不可逆转的删除程序；分析 在磁盘特殊区域中发现的所有相关 数据,利用磁盘存储空闲空间的数 据分析技术进行数据恢复，获得文 件被增、删、改、复制前的痕迹；分 析计算机的所有者，或电子签名、 密码、交易记录、回邮信箱、邮件 发送服务器的日志、上网IP等计算 机特有信息识别体，结合全案其他 证据进行综合审查。 证据的表达技术把对目标计算 机系统的全面分析和追踪结果进行 汇总，然后给出分析结论，标明提 取时间、地点、机器、提取人及见 证人,然后以证据的形式按照合法 程序提交给司法机关。 2.3计算机取证软件 目前，国际上主要有以下几种 主流计算机取证软件产品。Forensic Toolkit:它是一个一系列基于命令 行的工具，可以帮助推断Windows NT文件系统中的访问行为；The Coroner's Toolkit(TCT):它主要用 来调查被“黑”的Unix主机，并提 供了强大的调查能力,其特点是可 以对运行着的主机的活动进行分 析，并捕获目前的状态信息； EnCase:它是一个完全集成的基于 Windows界面的取证应用程序，其 功能包括：数据浏览、搜索、磁盘 浏览、数据预览、建立案例、建立 证据文件、保存案例等；ForensicX: 它是一个以收集数据及分析数据为 主要目的基于Linux环境取证软 件，它与配套的硬件组成专门工作 平台，利用了Linux支持多种文件 系统的特点，提供在不同的文件系 统里自动装配映像等功能，能够发 现分散空间里的数据，可以分析 Unix系统是否含有木马程序。 　　 3 计算机取证专业课程体系 从专业计划构建的角度看，课 程体系主要由基础课、专业基础 课、专业课以及选修课程四个部分 组成。专业计划是高等院校教学的 基础，它集中体现了学校人才培养 和科学研究的中心任务，直接影响 并决定着高等院校人才培养和科学 研究的水平、质量和层次。 根据计算机取证学形成的基本 原理、基础理论、技术及应用范畴， 按照专业课程体系构建的基本框架 要素，结合21世纪计算机取证技术 的发展趋势和研究热点，笔者认 为，要全方位地建立起计算机取证 专业（方向），一方面要加强基础理 论体系的创建和完善，另一方面还 应当强调专业理论知识的深入，重 视贴近实战的应用型科技技术。本 文初步提出计算机取证专业课程建 设的覆盖范围。 3.1基础课体系 公共基础体系涵盖了大学生的 人文修养基础课与学科能力基础 课，是培养健全人格与学科学习基 础的必修课。开设的课程包括：人 文选修课类(包括多门学科，由学校 3 6 计算机教育 2006.2 获/奖/论/文/展/登 根据需要开设)、英语、高等数学、 计算机取证学导论、法学基础、信 息安全法规与 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 等。 3.2专业基础课体系 专业基础理论是专业核心课程 开展的前提，是培养学生扎实理论 和基本专业技能的重要环节。开设 的课程包括：离散数学、计算机原 理、数据结构、程序设计基础、面 向对象编程、计算机取证工具软 件、数据库系统原理、操作系统、人 工智能导论、密码学及应用、专业 英语、证据学、现场勘察等。 3.3专业课体系 专业核心课程包括：计算机网 络、汇编语言程序设计、网络与信 息安全概论、计算机取证学、UNIX 操作系统、Windows操作系统、网 络编程与计算技术、取证 协议 离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载 研 究、入侵检测技术、蜜罐与蜜网实 现、计算机病毒原理、恶意代码识 别研究、常用取证软件应用等。 3.4选修课体系 选修课程包括：计算机安全、网 络安全、刑法、民法、经济法、合 同法、取证相关法律汇编、计算机 取证法律研究、计算机取证法定程 序研究、互联网法律汇编及其立法 研究等。 3.5实践课程 计算机取证专业是一门实践 性很强的专业，所以，在培养过程 中必须重视专业实践，即必须组 织学生到计算机取证的第一线进 行综合实践训练，只有这样才能 达到培养目标。本课程设置中未 单独设立实践课，是因为除了最 后的综合实践外，实践应该贯穿 于整个学习过程，如专业课大多 包括技能训练实践，具体安排教 学计划时应将其重点列入，特别 是综合训练应该成为学生毕业的 必修课。 4 培养目标 目前，计算机取证人员的角色 主要是执法者如警察，当然也包括 警察授权下的专业技术人员。由于 社会的发展，今后中立的取证机构 工作人员或者是代表当事人利益的 法律维护者（如律师）也会越来越 多，但无论何种身份，他都必须达 到如下目标：熟悉并遵守相关法 律，具有良好的法律素养与职业道 德；掌握牢固的计算机技术、信息 技术、通信技术等基础理论；熟练 掌握计算机取证理论及证据获取、 固定、提取、分析技术，具有使用 常用计算机取证软件进行综合取证 分析的能力。 总之，本课程设置培养的人才 是较精通计算机取证技术，有一定 法律知识、职业道德高尚、有一定 实践能力和研究能力的工学与法学 复合型人才。课程体系的设置适用 于大学专科、大学本科教学，若仅 为大学专科，根据应用型人才培养 目标的要求可做适当压缩，并侧重 加强实践性环节教学。 　　 5 结论 按照上述课程设计框架，可以 开设计算机取证专业（方向），但构 建一个完善的计算机取证专业体 系，还需要做大量的工作。首先是 在相关学科理论的指导下，结合取 证工作的特点，及时吸收先进的取 证技术和理论，充实到计算机取证 学中来；其次是要加强学科队伍建 设，建立起计算机取证学专门的学 会、学术刊物和学术机构，争取学 科独立，多方位、多层次地开展学 术交流和学术争论，不断完善学科 体系；第三，加强配套教材建设和 专门实验室建设。 总之，计算机取证学是一个新 的学科，也是一种交叉学科，计算 机取证特殊人才的需求需要特定的 专业培养。不断归纳、总结和完善 取证专业理论、技术和课程体系， 是建立计算机取证学科体系的长期 任务。 （本文获得“2005年全国青年教 师计算机教育优秀 论文 政研论文下载论文大学下载论文大学下载关于长拳的论文浙大论文封面下载 评比”职业 教育与培训三等奖） 参考文献 1王玲，钱华林.计算机取证技 术及其发展趋势.软件学报,2003, 14(9):1635～1644 2 Judd Robbins.An Explana- tion Of Computer Forensics[OL]. http//www.computerforensics. net/forensics.htm 3丁丽萍，王永吉.计算机取证 的相关法律技术问题研究.软件学 报,2005,16(2):260～274 4钱桂琼，杨泽明.许榕生.计 算机取证的研究与设计.计算机工 程,2002,28(6):56～58 5赵小敏，陈庆章.计算机取证 的研究现状和展望.计算机安全, 2003,10:23～25 6刘欣，计算机取证技术教案. http://infosec.pku.edu.cn/~hjbin/ course/security/courseware/／ securityl5.ppt 7张斌，李辉.计算机取证有效 打击计算机犯罪.网络安全技术与 应用,2004,7:59～61