史偉奇 何 平
摘要本文簡述了計算機取證的概念,分析了計算機取證的相關(guān)技術(shù)及取證工具軟件,提出了計算機取證專業(yè)的課程體系建設(shè)框架。
關(guān)鍵詞計算機取證計算機取證專業(yè)課程建設(shè)
1 引言
隨著計算機技術(shù)的迅猛發(fā)展和Internet規(guī)模的不斷增大,以網(wǎng)絡系統(tǒng)作為犯罪對象和以計算機作為犯罪工具的各類計算機犯罪活動越來越多,為了打擊這類犯罪,需要對存在于計算機及相關(guān)外圍設(shè)備(包括網(wǎng)絡介質(zhì))中的電子證據(jù)(Electronic Evidence)進行取證,計算機取證學作為計算機科學和法學的交叉學科應運而生。
計算機取證是對計算機犯罪的證據(jù)進行獲取、保存、分析和出示,它實質(zhì)上是一個詳細掃描計算機系統(tǒng)以及重建入侵事件的過程。
國外十分重視計算機取證(Computer Forensics)研究,美國至少有70%的法律部門擁有自己的計算機取證實驗室。我國雖然還沒有專門的取證機構(gòu),但已在公安部門設(shè)置了專門的網(wǎng)絡監(jiān)察機構(gòu),該機構(gòu)的一部分職責是負責計算機取證工作。
目前,雖然國內(nèi)學界已在計算機取證技術(shù)研究方面作出了積極反應,開發(fā)出了一些系統(tǒng)和工具,并且運用這些技術(shù)偵破了一些實際犯罪案例,但由于計算機取證工作專業(yè)性要求較高,計算機取證專業(yè)人才十分匱乏。據(jù)了解,國內(nèi)各高校都尚未開設(shè)計算機取證學專業(yè)或建立計算機取證學專業(yè)方向。因此,對計算機取證專業(yè)(方向)課程設(shè)置的研究,對取證專業(yè)人才的培養(yǎng)已成當務之急,它將在我國高等院校尤其是公安高校的專業(yè)課程設(shè)置中占有重要的地位。
2 計算機取證概念
2.1計算機取證概述
計算機取證專業(yè)資深人士Judd Robins認為:計算機取證是將計算機調(diào)查和分析技術(shù)應用于對潛在的、有法律效力的證據(jù)的確定與獲取上。2004年6月,我國公安部11局許建卓博士在西安召開的“第十九次全國計算機安全學術(shù)交流會”上提出了數(shù)字化證據(jù)學的概念,闡明了數(shù)字證據(jù)的發(fā)現(xiàn)、固定、提取、分析和表達等五個層次的框架學說。因此,我們可以將計算機取證技術(shù)分為證據(jù)發(fā)現(xiàn)技術(shù)(獲取證據(jù))、證據(jù)固定技術(shù)、證據(jù)提取技術(shù)、證據(jù)分析技術(shù)和證據(jù)表達技術(shù)五個方面。
2.2計算機取證技術(shù)
證據(jù)的發(fā)現(xiàn)技術(shù)實際上屬于偵查技術(shù)。根據(jù)計算機證據(jù)的來源不同,可以分為網(wǎng)絡證據(jù)、單機證據(jù)和相關(guān)設(shè)備證據(jù)的發(fā)現(xiàn)。網(wǎng)絡證據(jù)的發(fā)現(xiàn)涉及到入侵檢測、網(wǎng)絡監(jiān)控、蜜罐(網(wǎng))、防火墻、網(wǎng)絡線索自動挖掘技術(shù)等;單機證據(jù)的發(fā)現(xiàn)主要涉及溯源技術(shù)、數(shù)據(jù)過濾、磁盤鏡像技術(shù)等。
證據(jù)的固定技術(shù)是解決證據(jù)的完整性驗證,即通過數(shù)字簽名和見證人簽名等措施保證現(xiàn)場勘察和偵查獲得的數(shù)據(jù)的完整性和真實性。通常采用的技術(shù)有加密、時間戳、軟件水印和電子簽名技術(shù)等,它們都可以產(chǎn)生證據(jù)監(jiān)督鏈(Chain of custody)以證實電子證據(jù)的真實完整性。
證據(jù)的提取技術(shù)是從眾多未知和不確定的數(shù)據(jù)中找到確定性的東西,一般包括:恢復——找到被刪除的數(shù)據(jù)、被部分覆蓋以及以特殊方式存儲的殘缺數(shù)據(jù);過濾——提取出需要分析的數(shù)據(jù),如專題信息挖掘、軟件殘留痕跡自動分析等;解碼——將數(shù)據(jù)表達成分析人員能夠理解的數(shù)據(jù),包括解密、隱藏信息的提取、元數(shù)據(jù)解碼、普通編碼數(shù)據(jù)的解碼等。
證據(jù)的分析技術(shù)是通過關(guān)聯(lián)分析證實信息的存在、信息的來源以及信息傳播途徑,重構(gòu)犯罪行為、動機以及嫌疑人特征。它包括分析計算機的類型、采用的操作系統(tǒng),是否為多操作系統(tǒng)或有無隱藏的分區(qū),有無可疑外設(shè),有無遠程控制、木馬程序及當前計算機系統(tǒng)的網(wǎng)絡環(huán)境;分析開機、關(guān)機過程,盡可能避免正在運行的進程數(shù)據(jù)丟失或存在的不可逆轉(zhuǎn)的刪除程序;分析在磁盤特殊區(qū)域中發(fā)現(xiàn)的所有相關(guān)數(shù)據(jù),利用磁盤存儲空閑空間的數(shù)據(jù)分析技術(shù)進行數(shù)據(jù)恢復,獲得文件被增、刪、改、復制前的痕跡;分析計算機的所有者,或電子簽名、密碼、交易記錄、回郵信箱、郵件發(fā)送服務器的日志、上網(wǎng)IP等計算機特有信息識別體,結(jié)合全案其他證據(jù)進行綜合審查。
證據(jù)的表達技術(shù)把對目標計算機系統(tǒng)的全面分析和追蹤結(jié)果進行匯總,然后給出分析結(jié)論,標明提取時間、地點、機器、提取人及見證人,然后以證據(jù)的形式按照合法程序提交給司法機關(guān)。
2.3計算機取證軟件
目前,國際上主要有以下幾種主流計算機取證軟件產(chǎn)品。Forensic Toolkit:它是一個一系列基于命令行的工具,可以幫助推斷Windows NT文件系統(tǒng)中的訪問行為;The Coroner's Toolkit(TCT):它主要用來調(diào)查被“黑”的Unix主機,并提供了強大的調(diào)查能力,其特點是可以對運行著的主機的活動進行分析,并捕獲目前的狀態(tài)信息;EnCase:它是一個完全集成的基于Windows界面的取證應用程序,其功能包括:數(shù)據(jù)瀏覽、搜索、磁盤瀏覽、數(shù)據(jù)預覽、建立案例、建立證據(jù)文件、保存案例等;ForensicX:它是一個以收集數(shù)據(jù)及分析數(shù)據(jù)為主要目的基于Linux環(huán)境取證軟件,它與配套的硬件組成專門工作平臺,利用了Linux支持多種文件系統(tǒng)的特點,提供在不同的文件系統(tǒng)里自動裝配映像等功能,能夠發(fā)現(xiàn)分散空間里的數(shù)據(jù),可以分析Unix系統(tǒng)是否含有木馬程序。
3 計算機取證專業(yè)課程體系
從專業(yè)計劃構(gòu)建的角度看,課程體系主要由基礎(chǔ)課、專業(yè)基礎(chǔ)課、專業(yè)課以及選修課程四個部分組成。專業(yè)計劃是高等院校教學的基礎(chǔ),它集中體現(xiàn)了學校人才培養(yǎng)和科學研究的中心任務,直接影響并決定著高等院校人才培養(yǎng)和科學研究的水平、質(zhì)量和層次。
根據(jù)計算機取證學形成的基本原理、基礎(chǔ)理論、技術(shù)及應用范疇,按照專業(yè)課程體系構(gòu)建的基本框架要素,結(jié)合21世紀計算機取證技術(shù)的發(fā)展趨勢和研究熱點,筆者認為,要全方位地建立起計算機取證專業(yè)(方向),一方面要加強基礎(chǔ)理論體系的創(chuàng)建和完善,另一方面還應當強調(diào)專業(yè)理論知識的深入,重視貼近實戰(zhàn)的應用型科技技術(shù)。本文初步提出計算機取證專業(yè)課程建設(shè)的覆蓋范圍。
3.1基礎(chǔ)課體系
公共基礎(chǔ)體系涵蓋了大學生的人文修養(yǎng)基礎(chǔ)課與學科能力基礎(chǔ)課,是培養(yǎng)健全人格與學科學習基礎(chǔ)的必修課。開設(shè)的課程包括:人文選修課類(包括多門學科,由學校根據(jù)需要開設(shè))、英語、高等數(shù)學、計算機取證學導論、法學基礎(chǔ)、信息安全法規(guī)與標準等。
3.2專業(yè)基礎(chǔ)課體系
專業(yè)基礎(chǔ)理論是專業(yè)核心課程開展的前提,是培養(yǎng)學生扎實理論和基本專業(yè)技能的重要環(huán)節(jié)。開設(shè)的課程包括:離散數(shù)學、計算機原理、數(shù)據(jù)結(jié)構(gòu)、程序設(shè)計基礎(chǔ)、面向?qū)ο缶幊?、計算機取證工具軟件、數(shù)據(jù)庫系統(tǒng)原理、操作系統(tǒng)、人工智能導論、密碼學及應用、專業(yè)英語、證據(jù)學、現(xiàn)場勘察等。
3.3專業(yè)課體系
專業(yè)核心課程包括:計算機網(wǎng)絡、匯編語言程序設(shè)計、網(wǎng)絡與信息安全概論、計算機取證學、UNIX操作系統(tǒng)、Windows操作系統(tǒng)、網(wǎng)絡編程與計算技術(shù)、取證協(xié)議研究、入侵檢測技術(shù)、蜜罐與蜜網(wǎng)實現(xiàn)、計算機病毒原理、惡意代碼識別研究、常用取證軟件應用等。
3.4選修課體系
選修課程包括:計算機安全、網(wǎng)絡安全、刑法、民法、經(jīng)濟法、合同法、取證相關(guān)法律匯編、計算機取證法律研究、計算機取證法定程序研究、互聯(lián)網(wǎng)法律匯編及其立法研究等。
3.5實踐課程
計算機取證專業(yè)是一門實踐性很強的專業(yè),所以,在培養(yǎng)過程中必須重視專業(yè)實踐,即必須組織學生到計算機取證的第一線進行綜合實踐訓練,只有這樣才能達到培養(yǎng)目標。本課程設(shè)置中未單獨設(shè)立實踐課,是因為除了最后的綜合實踐外,實踐應該貫穿于整個學習過程,如專業(yè)課大多包括技能訓練實踐,具體安排教學計劃時應將其重點列入,特別是綜合訓練應該成為學生畢業(yè)的必修課。
4 培養(yǎng)目標
目前,計算機取證人員的角色主要是執(zhí)法者如警察,當然也包括警察授權(quán)下的專業(yè)技術(shù)人員。由于社會的發(fā)展,今后中立的取證機構(gòu)工作人員或者是代表當事人利益的法律維護者(如律師)也會越來越多,但無論何種身份,他都必須達到如下目標:熟悉并遵守相關(guān)法律,具有良好的法律素養(yǎng)與職業(yè)道德;掌握牢固的計算機技術(shù)、信息技術(shù)、通信技術(shù)等基礎(chǔ)理論;熟練掌握計算機取證理論及證據(jù)獲取、固定、提取、分析技術(shù),具有使用常用計算機取證軟件進行綜合取證分析的能力。
總之,本課程設(shè)置培養(yǎng)的人才是較精通計算機取證技術(shù),有一定法律知識、職業(yè)道德高尚、有一定實踐能力和研究能力的工學與法學復合型人才。課程體系的設(shè)置適用于大學??啤⒋髮W本科教學,若僅為大學???,根據(jù)應用型人才培養(yǎng)目標的要求可做適當壓縮,并側(cè)重加強實踐性環(huán)節(jié)教學。
5 結(jié)論
按照上述課程設(shè)計框架,可以開設(shè)計算機取證專業(yè)(方向),但構(gòu)建一個完善的計算機取證專業(yè)體系,還需要做大量的工作。首先是在相關(guān)學科理論的指導下,結(jié)合取證工作的特點,及時吸收先進的取證技術(shù)和理論,充實到計算機取證學中來;其次是要加強學科隊伍建設(shè),建立起計算機取證學專門的學會、學術(shù)刊物和學術(shù)機構(gòu),爭取學科獨立,多方位、多層次地開展學術(shù)交流和學術(shù)爭論,不斷完善學科體系;第三,加強配套教材建設(shè)和專門實驗室建設(shè)。
總之,計算機取證學是一個新的學科,也是一種交叉學科,計算機取證特殊人才的需求需要特定的專業(yè)培養(yǎng)。不斷歸納、總結(jié)和完善取證專業(yè)理論、技術(shù)和課程體系,是建立計算機取證學科體系的長期任務。
(本文獲得“2005年全國青年教師計算機教育優(yōu)秀論文評比”職業(yè)教育與培訓三等獎)
參考文獻
1王玲,錢華林.計算機取證技術(shù)及其發(fā)展趨勢.軟件學報,2003,14(9):1635~1644
2 Judd Robbins.An Explanation Of Computer Forensics[OL].
http//www.computerforensics. net/forensics.htm
3丁麗萍,王永吉.計算機取證的相關(guān)法律技術(shù)問題研究.軟件學報,2005,16(2):260~274
4錢桂瓊,楊澤明.許榕生.計算機取證的研究與設(shè)計.計算機工程,2002,28(6):56~58
5趙小敏,陳慶章.計算機取證的研究現(xiàn)狀和展望.計算機安全,2003,10:23~25
6劉欣,計算機取證技術(shù)教案.http://infosec.pku.edu.cn/~hjbin/course/security/courseware//securityl5.ppt
7張斌,李輝.計算機取證有效打擊計算機犯罪.網(wǎng)絡安全技術(shù)與應用,2004,7:59~61