网络犯罪与计算机取证课程的建设与研究*

2010-04-04唐玲

电信科学 2010年2期

唐玲

（华东政法大学上海 201620）

1 引言

随着计算机技术和互联网络的成熟和普及，犯罪分子利用计算机以及互联网进行信息犯罪的现象日益严重。然而，信息犯罪与传统犯罪有着很大的不同，其本身具有高科技性强，隐蔽性强，传播性强的“三强”特点，例如2007年的“熊猫烧香”病毒传播案件就是一起典型的信息犯罪案件，该病毒导致的破坏范围之广，经济损失之大，也是近年来罕见的。为了遏制和彻底铲除此种社会危害极大的信息犯罪现象，不仅需要建立和完善相关法律法规，还需要计算机专业知识的支撑，这就形成了一个计算机和法律的交叉学科，即计算机取证。其研究热点就是如何在信息犯罪案件中利用计算机技术进行证据的获取。因为在此类案件中，绝大部分的证据都是以电子证据的形式存在的，其收集的规则和鉴定的方法需要借助计算机技术，这就和传统的证据采集方式有着很大的不同。与此同时，相关政府执法部门和公司企业需要大量的计算机取证专业技术人员。作为处于我国科学研究和培养高素质人才主重要阵地的高校，有责任和义务对计算机取证进行研究，并在本科生中开设相关的计算机取证课程，为国家培养专业的计算机取证人才。

2 计算机取证概述

2.1 定义

最初，资深计算机取证专家Judd Robbins认为计算机取证是将计算机调查和分析技术应用于对潜在的、有法律效力的证据的确定与获取。SANS公司在此基础上进一步扩展为计算机取证是使用软件和工具，按照一些预先定义的程序，全面地检查计算机及相关系统，以提取和保护有关计算机犯罪的证据。

[1]我国计算机取证专家则认为计算机取证是指对能够为法庭接受的，足够可靠和有说服性的，存在于计算机和相关外设中的电子证据的确认、保护、提取和归档的过程。

2.2 国内外现状

国际上于2001年至2003年召开的第13～15这3届的FIRST（forum of incident response and security team）网络安全年会，连续以网络犯罪为主题，研讨了网络安全应急响应策略中的证据获取与事件重建技术。我国已将网络犯罪和计算机取证研究列入了国家级课题项目，例如，国家“863”项目子课题——电子物证保护及分析技术，国家社会科学基金项目——计算机取证相关法律与技术问题研究等。从2004年到2009年，我国相继举行了3届中国计算机取证技术研讨会，这对网络犯罪和计算机取证的理论与教学产生了积极的影响，推动了我国在此学科的研究与发展。

3 计算机取证课程建设

由于计算机取证是一门年轻的学科，因此对于该课程的教学和相关建设都处于探索阶段。最初，该课程仅仅作为信息安全专业的一个知识补充，近几年国内外高校设置专门的计算机取证课程，开展相关的教学工作，同时一些研究机构也联合学校开展教学活动。例如，麻省理工大学的安全信息系统中心提供了信息系统安全认证研究生课程，California大学开设了计算机安全实验室并开展了相关的技术研究[2]。目前，国内一些高校也相继开设了计算机取证的相关课程，并进行了相关的研究。

华东政法大学开设的《网络犯罪与计算机取证》是一门专业特色课程。它依托学校强大的法学背景，将计算机技术与法律相结合，很好地实现了学科交叉，专业互补。该课程于2007年开设，已累计教授4届计算机专业的本科学生，积累了丰富的教学经验。在此基础上，于2009年开设面向全校的公共选修课程，累计教授学生近500人。从学生的成绩和评教等反馈信息来看，该课程不仅可以胜任计算机专业的特色课程，还可以提高全校学生对网络犯罪和计算机取证这一交叉学科的认知程度，极大地扩充了学生的知识面，取得了良好的教学效果。从学生参加学术竞赛的情况看，学生相继参加了首届上海市高校信息安竞赛等相关竞赛，获得了优异的比赛成绩。从学生的就业情况来看，该课程的教学内容和实践安排很好地满足了用人单位的需求，学生的就业范围覆盖了从公安机关等政府部门到从事计算机取证软件开发的相关公司等多个行业，达到了培养新时期跨学科、综合型应用人才的培养目标。从学生的深造情况来看，相继有多位学生考取硕士研究生或者出国深造，从事计算机取证的科学理论研究和计算机取证中所取证据的证明力和完整性等法学相关问题的研究。

本课程的教学一直在探索多元化的教学模式，通过使用多媒体教学课件，使得课堂教学变得更加生动。教师在课堂教学的时，注意将专业技术知识与最新案例相结合，加强学生对专业理论和技术的理解和消化。同时，为了培养学生的创新能力，组织学生成立若干研究小组，针对本学科的最新发展动向和自身的学习兴趣，在教师的指导下开展相应的研究和探索，并将其研究成果以学术报告的形式呈在课堂上。学生可以在讲台上发表自己的研究观点，老师和其他同学一起进行提问和探讨，做到了良好的师生互动的效果，从而避免了传统的填鸭式教学带来的课堂气氛沉闷、教学内容枯燥等缺点，大大地提高了学生的学习兴趣和效率。作为对课堂教学的补充，开设网络课堂作为课外教学的新模式。师生之间可以通过网络可以随时随地进行交流，对热点问题进行探讨，取得了理想的效果。

计算机取证是一门对动手实践能力要求很高的课程，因此在课程建设过程中需要注重配套实验环节的建设。本课程配有多个实验，涉及计算机硬盘的数据恢复、数据的加密与解密、计算机日志系统的取证和网络信息的监听等多个方面。学生在专业的网络与信息安全实验室中进行课程实验，通过实际动手操作，不但可以检验课堂所学的理论知识，还能够培养学生的创新意识和解决实际问题的能力。本实验室的建设也具有专业特色：实验室由8个六边型实验桌组成，每个组组成一个子网，每组由多台路由器和交换机设备组成了专业实验台。每个实验台由一台访问控制管理服务器来控制，网络设备连接可以任意组合，用户通过访问控制管理服务器来控制网络实验设备，可以模拟网络互访、各类攻击的真实环境，完成实验功能。这种布局便于组建学习小组，开展启发式课程实验。网络架构用A、B组网，通过岛型连接，配合多媒体实验教学环境，用于投影和上课时教师与学生的互动，在此基础上，搭建相关实验环境，并通过有配套的教学软件对学生的操作进行管理和控制，指导学生认真进行操作与分析，要求学生如实进行实验证据记录，填写实验报告[3]。为检查实验质量，教师进行随机考查，讲评学生实验数据和报告。既可以培养学生独立获取知识和技能的能力，又能够培养学生之间相互协作的精神。

在学科建设上，我校于2008年开始筹备计算机取证与司法鉴定硕士研究方向，已拥有导师5名，该研究方向于2009年开始招收硕士研究生。这标志着计算机取证课程的建设得到了纵深的发展，从培养计算机取证专业技术人才上升到开展计算取证的相关问题的科学研究。主要针对计算机取证人员专业知识要求高，证据载体特殊，取证成本高等特点，研究在司法鉴定过程中如何对计算机证据的搜集、获取、固定以及对已删除的数据进行恢复等关键问题，在此基础上总结并提出相应的规范制度和行之有效的技术解决方案。同时，改善计算机证据在司法鉴定实践中出现的的脆弱性（容易丢失和损坏）和出示困难等缺陷，提高其证明力和证据力。研究尝试制定一套合理有效的司法鉴定流程，包括管理体系的架构、文件的控制、技术要求、设施和环境、人员培训、内部审核、结果质量控制、司法鉴定文书的出具等。通过科学研究来提高教师的自身专业素养，掌握本学科发展的最新动态，并将这些最前沿的知识和技术消化理解后用于课堂教学，进一步提高教学质量。

在师资队伍上，本课程拥有强大的教学团队，并有一定的梯度。整个教学队伍中每个成员各有所长，起到了很好的互补作用。同时，本师资队伍都具有硕士以上学位，整体素质较高，具有很好的理论知识和实践经验，对本学科的发展有很好的掌握。

在教材建设上，由我校王永全教授和英国坎特布雷大学的齐曼博士联合主编的专业特色教材《信息犯罪与电子取证》已由北京大学出版社出版，于2010年秋季投入使用。与此同时，《信息犯罪与电子取证》配套的实验教材也正在筹备中。相信随着该配套教材的出版，计算机取证的教材建设将得到进一步的完善和提高。