计算机取证专业及相关课程建设

2010-04-04朱殷晨

电信科学 2010年2期

朱殷晨，陈适

（武汉理工大学信号传输与处理实验室武汉430070）

1 前言

尽管计算机网络技术一直飞速发展，但是安全性仍然是一个挑战性难题。计算机犯罪案例层出不穷，给社会经济造成极大损失。要将犯罪人员绳之以法，计算机取证技术应运而生。所谓计算机取证是指对存储在计算机系统或网络设备中潜在的电子证据识别、收集、保护、检查和分析以及法庭出示的过程。计算机取证不单单是计算机或网络的技术问题，还涉及到法律、道德规范等问题，属于计算机科学和法学领域的交叉学科，取证工作需要计算机专家、执法官员和律师等多方面人员的共同协作，哪一环节出现差错的话，都会导致取得的电子证据失去效力，影响最终裁判执法公正。因此对于计算机取证人员、法官、律师和法律执法机构都需要采取相应的培训，制定完整的课程，确保计算机取证技术的发展。

2 计算机取证破案举例

2003年11月14日，甘肃省破获首例利用邮政储蓄专用网络进行远程金融盗窃的案件。10月5日13时12分，一名黑客将目光瞄准了邮政储蓄，利用网络窃取了83万余元。省公安厅成立专案组兵分两路，一方面在省、市邮政局业务领导和计算机专家的协助下，从技术的角度分析黑客作案的手段以及入侵的路径；另一方面，使用传统的刑侦方法，大范围调查取证。经过大量网络数据资料的分析，发现作案人身份登录线索，又暗查发现，其办公桌上有一条电缆线连接在了不远处的邮政储蓄专用网络上。专案组确认了这起金融盗窃案的主谋，最终，将其绳之以法。

世界上第一例有案可查的涉计算机犯罪案例于1958年发生于美国的硅谷，但是直到1966年才被发现。中国第一例涉及计算机的犯罪（利用计算机贪污）发生于1986年，而被破获的第一例纯粹的计算机犯罪（该案为制造计算机病毒案）则是发生在1996年11月2日。

从首例计算机犯罪被发现至今，涉及计算机的犯罪无论从犯罪类型还是发案率来看都在逐年大幅度上升，方法和类型成倍增加，逐渐开始由以计算机为犯罪工具的犯罪向以计算机信息系统为犯罪对象的犯罪发展，并呈愈演愈烈之势，而后者无论是在犯罪的社会危害性还是犯罪后果的严重性等方面都远远大于前者。正如国外有的犯罪学家所言，“未来信息化社会犯罪的形式将主要是计算机犯罪”，计算机犯罪“也将是未来国际恐怖活动的一种主要手段”。在网络犯罪案件中，很大一部分是因为使用者安全意识淡薄造成的。在后期的计算机取证工作中，也有很大一部分由于取证不规范而导致电子证据的损坏或失效，可以说目前我国对计算机取证技术的研究和掌握情况均属薄弱，因此，加大对计算机取证专业及相关课程建设及其重要。

3 专业和课程建设

我国开展计算机取证的研究时间不长，对于计算机取证的研究与实践尚处于起步阶段。着力开发管理信息系统安全课程与计算机取证课程是目前计算机取证领域教育工作的重中之重。

根据数字取证研究工作组(DFRWS)提出的框架，计算机取证技术的研究内容包括6大方面：证据识别技术、证据保全技术、证据收集技术、证据检查技术、证据分析技术和证据呈堂技术。

（1）证据识别技术

是指从被调查计算机的内部和外部设备及网络中的海量数据信息中找出与被调查案件相关数据的过程。进行证据识别的数据主要来源于计算机主机系统、计算机外部设备和网络方面。证据识别中可能用到的具体技术包括：数据复制技术、数据恢(修)复技术、数据解密技术、端口及漏洞扫描技术、对比搜索技术、数据挖掘技术、日至分析技术等。

媒体宣传是把双刃剑,尤其是随着互联网技术的迅速发展,各类新媒体宣传层出不穷。为避免一些不良媒体为博关注恶意激化医患关系,政府应该加强日常卫生工作宣传,主动发布权威的卫生健康政策解读,科普国民健康政策、健康生活方式和优生优育知识。对于医改方面的新政策进行有效的宣传,对医事服务费、药费等内容向群众重点宣传,引导群众调整心理预期,提高群众获得感和满意度,避免群众将情绪发泄在医护人员身上,同时也加强群众对医护人员的尊重,和谐医患关系,营造爱医敬医的社会氛围。

（2）证据收集技术

是指取证人员通过合法的途径，采用技术手段捕获和搜集与计算机犯罪或与被调查事件有关的数据信息的过程。该过程中可能用到的技术包括：数据复制技术、扫描技术、数据恢(修)复技术、数据截取技术、“陷阱”取证技术等。

（3）证据保全技术

证据保全是指采取有效措施保护恒子证据的完整性、原始性及真实性，可以划分为3个阶段：证据分析前保全、证据分析过程中的保全和分析后对证据。证据保全中可能使用到的具体技术包括：数据复制技术、数据加密技术、数据隐藏技术、数字摘要技术、数字签名和数字时间戳技术、数字审计技术等的保全。

（4）证据检查技术

证据检查是对收集来的数据进行检查并从中识别和提取可以作为证据的数据的过程。另外，在取证过程结束时，取证人员通过回顾检查的方式检查取证过程可能存在的漏洞时往往涉及到证据检查技术的运用。证据检查中可能用到的具体技术有数据挖掘技术、对比搜索技术、扫描技术、数据解密技术等。

（5）证据分析技术

利用证据收集技术所获取的涉案数据还是最原始的形式，为揭示这些数据与案件的联系就必须对这些数据进行检查和分析，证明这些数据就是攻击或者犯罪的证据，从而为证明案件真相提供证据支持。证据分析类技术包含检查类技术和分析技术。用于证据分析的技术包括：对比分析技术、日志分析技术、数据挖掘技术、数据解密技术、攻击源追踪技术等。

（6）证据呈堂技术

数据呈堂的主要任务是：计算机犯罪的相关情况记录的归档处理；取证工作整个过程中证据的完整性情况证明；病毒评估分析报告、文件种类、取证工具许可证书、专家对电子证据的分析结果的归档处理和呈交；其他需要说明和解释事项的处理等。

与计算机取证研究相比，对反取证技术的研究相对较少。对于计算机取证人员来说，研究反取证技术意义非常重大，一方面可以了解入侵者有哪些常用手段用来掩盖甚至擦除入侵痕迹：另一方面可以在了解这些手段的基础上，开发出更加有效、实用的计算机取证工具，从而加大对计算机犯罪的打击力度，保证信息系统的安全性。

计算机反取证技术，简而言之是招采用数据加密、数据删除、数据隐藏等计算机技术删除、隐藏、加密或毁杯涉案电子证据，抹除作案痕迹的技术和方法的总称。当前已有许多反取证软件如：数据删除类的Powerful Cookies、ultrashredder、SystemShied、Wywz、Esast-Tec Eeaser、Wipelnfo等；数据加密隐藏类的加密金刚锁、Hide in picture、Steganos Security Suite等都可以彻底删除用户所有的使用痕迹和系统的日志文件记录，因而想要获取此类证据变得愈来愈难。

常用的计算机反取证技术(以XP系统为例)有数据隐藏、数据删除、数据加密以及隐写术、改变系统环境等方法，需要开展课程进行应对策略的研究。

综上，对以上过程中常用的计算机取证技术都需要开展相应的课程进行学习，学习过程可包括讲课、国内专家讲座、阅读案例、布置社会作业、问题解决会议和书面测试等多种形式。计算机取证相关的法律、道德、操作系统安全、安全协议和实践、网络建模取证工具、写作专家证人报告格式、近年来的入侵检测方法和反应、认证方法、访问控制、风险评估等，都将是计算机取证专业研究的不同方向。

4 建议

对于学校开展计算机取证专业技术的学习外，结合实际情况，本文对学生的社会学习提出一些建议。

（1）课程材料开发与共享

随着计算机取证研究工作的不断深入和改善，计算机取证技术将向智能化、专业化和自动化。需要联合计算机取证各个技术领域的研究工作在国内处于领先地位的相关院校和单位，对课程材料不断进行开发与共享，补充国内外最前沿的理论和技术。

（2）实际和虚拟结合

研究现实生活中的犯罪案件，不仅能让学生更好地理解信息安全,也将更有效帮助法律知识的传播。参与的学生在这些现实生活的案例研究将会增加热情，学习传统取证的方法。同时结合计算机网络世界中的案例或虚拟的案例课题，让参与的学生试验、分析，发现其他相似的数学模型、案例和应用方法，找到解决问题的方法。

（3）建立学校实验室

需要建立计算机取证技术的专业实验室，构建网络环境，教会学生从网络中数据包中识别入侵数据，利用网络协议分析仪捕捉并分析，加大对学生的实践培养。这些实验室将帮助学生了解如何学习和运用计算机取证的方法。

（4）联合法律机构

对于国内计算机取证领域来说，还有许多法律问题尚待解决。目前国内学术界在对计算机取证的研究上，法学专家和计算机专家还没有形成很好的沟通协作，各自局限在本专业领域内进行研究。计算机取证需要各领域的专家合作，促进计算机取证理论的形成和完善。学生们需要机会与律师或法律执行机构沟通和咨询，在技术和法律相结合的一体化的知识汲取过程中，我们将会发现，计算机取证的深入研究还有更多更宽广的课题。

（5）加大软件的开发

目前国内还没有经过法庭和认证机构认证的电子证据取证工具，所利用的取证工具大多只是从网上下载的一些工具软件。当然，这些问题都是暂时的，在我国加大信息技术前进的步伐下，计算机取证技术的研究必将取得丰硕成果。