摘要：本文探討了計算機取證的理論研究內容，及與之相關的課程建設的原則、課程設置的構想、課程教學模式等內容。

關鍵詞：計算機取證；計算機取證理論；課程建設

中圖分類號：G64 文獻標識碼：B

文章編號：1672-5913（2007）09-0046-03

1 計算機取證的發(fā)展現(xiàn)狀

針對日益增長的計算機犯罪，20世紀80年代到20世紀90年代早期，美國執(zhí)法機構開始合作制定培訓計劃，以增加自己處理計算機犯罪問題的能力。這些主動措施帶動一些組織機構制定了相關的執(zhí)法培訓課程，這些組織機構包括SERACH、美國白領犯罪中心（National White Collar Center，NW3C）等，其后美國以及其他國家建立了特殊組織，并按照國際水準調查計算機相關的犯罪。技術和計算機相關犯罪的高速發(fā)展，產生了金字塔式的教育培訓結構和計算機取證組織結構。對電子證據的收集、處理、分析這些不同的任務領域也定義了各自領域的培訓課程和相關標準，2002年，數(shù)字證據科學組（Scientific Working Group for Digital Evidence，簡稱SWGDE）發(fā)布了培訓和最佳做法指南，美國犯罪實驗室主任協(xié)會（American Society of Crime Laboratory Directors，ASCLD）提議法學實驗室需要計算機取證檢驗人員，同樣歐洲法學研究所（ENFSI，2003）等組織促進了計算機取證檢驗成為一種國家標準中（ISO17025）公認的學科。

目前美國的聯(lián)邦法律事務培訓中心(Federal Law Enforcement Training Center)、美國的IOCE培訓組織、美國高新技術犯罪調查、DCITP等組織以及幾乎所有的生產計算機取證工具產品的公司如英國的NSLEC、加拿大的FDRASR Data、NTI、Data Recovery等公司都設有計算機取證技術的教育與培訓課程，加拿大警察學院(CPC)、意大利的Bologna大學、英國的Cranfield大學、Stafford大學、美國的The George Washington大學、Oklahoma大學、Purdue等大學也開設了計算機取證學科及專業(yè)并進行這方面的教學和研究。

在我國，計算機取證培訓僅僅局限于很少的一些推銷計算機取證產品的公司。也有極少數(shù)高等院校進行計算機取證的研究和培訓，但只對研究生開設，而且課程設置的科學性和合法性有待進一步論證。從我國當前的取證實踐看，有些警察面對計算機證據不知道如何處置甚至進行錯誤的處理，導致了電子證據的破壞和損毀，使犯罪分子逍遙法外。當然對電子證據取證人員有大量需求的司法部門、IT及金融等部門也面臨著同樣的問題。從實踐部門的反饋來看，計算機取證理論和實踐的研究有著廣闊的空間，有待于進一步挖掘和探尋。當今，擺在我們面前的現(xiàn)有存在的學科遠不能覆蓋計算機取證的相關內容，

隨著計算機在軍事、政府、金融、商業(yè)等部門的廣泛應用，社會對計算機的依賴越來越大，如果計算機系統(tǒng)的安全受到破壞將導致社會的混亂并造成巨大損失。尤其是20世紀90年代來，Internet的商業(yè)化以及萬維網的發(fā)展使Internet得到了廣泛普及，全球網絡中的犯罪是五花八門，犯罪的焦點已經超越了簡單的計算機入侵。在面對新型的網絡犯罪模式時，必會引發(fā)許多新的問題，我們有必要對計算機取證理論和實踐進行系統(tǒng)的研究，因此，在我國建立計算機取證知識體系，加強計算機取證理論和課程體系及實踐的研究，將會豐富學科的建設、滿足人才培養(yǎng)的需要，適應新形勢下計算機犯罪的需要，將是十分有益和勢在必行的。

2 計算機取證理論的研究內容

計算機取證（computer /electronic/digital forensics）是用科學的證明方法去收集、分析、使用電子證據來提供一份有結論性的電腦犯罪活動的描述報告（ISP Webopedia，2005）。文獻[5，6，7]等研究表明計算機取證學涉及到法律、偵察學、計算機科學、計算機工程學、軟件工程學、心理學、社會學等學科，是一門綜合性、交叉性的學科。計算機取證理論研究的內容涉及到法律領域、計算機科學領域、法學、行為證據分析。

法律領域研究法律相關領域的概覽，以及它們是如何受到技術因素影響的，研究一些基本的法律原則諸如司法權、隱私權等，以便提高對相關法律如何詮釋和應用到Internet和其他技術領域的理解，進行具體的法律規(guī)程問題的研究。計算機犯罪僅是古老犯罪的一種新的表現(xiàn)，然而，Internet的出現(xiàn)對傳統(tǒng)的犯罪形式產生了新的挑戰(zhàn)，諸如計算機入侵、詐騙、知識產權盜竊、兒童色情、跟蹤騷擾、性騷擾甚至暴力犯罪、恐怖活動等，雖然許多現(xiàn)有的計算機犯罪都能通過現(xiàn)有的法律解決，但需要研究考慮法律方面的適應性問題并進行相應的修正立法工作研究。

計算機科學領域研究計算機取證各方面內容的技術細節(jié)。其中包括基于主機的和基于網絡的數(shù)據獲取技術、數(shù)據保全技術、電子證據鑒定技術，以及電子證據數(shù)據分析技術等。

法學領域研究提供分析類型電子數(shù)據證據的通用方法。法學的作用是提供已經經過事實證明的方法，處理和分析證據，得出沒有扭曲和偏見得并可再次生成的結論。法學領域的研究就是利用了法學的原理和技術包括分類、對比、個體化和證據源評估等應用到電子數(shù)據證據的案件調查中。

行為證據分析領域研究如何提供一個綜合特定技術知識和常用科學方法的系統(tǒng)化方法，以便對計算機犯罪行為和動機進行深入的理解。研究隨著計算機和Internet技術的發(fā)展，罪犯的慣用手法和罪犯的動機的關聯(lián)性，以及這些發(fā)展對罪犯的犯罪方式和原因的影響。

3 計算機取證相關課程建設的構想

課程體系是一個隨著社會的變遷和學科理論內容的發(fā)展需要不斷進行研究的復雜系統(tǒng) ，其核心是具體課程設計。在高等教育的發(fā)展歷程中，始終存在著“教什么”和“學什么”這一永恒的主題。

3.1 課程建設的原則

（1）學科及專業(yè)取向。每一門課程都有其相對應的研究領域，課程設計應該反映本學科及專業(yè)的基本知識取向，因而課程體系的設計是開展專業(yè)教育的主要組成部分，這些課程及其相關課程承擔著專業(yè)教育的主要任務，集中體現(xiàn)專業(yè)的特點，它們與學科的聯(lián)系最緊密，專業(yè)知識含量大，是實現(xiàn)培養(yǎng)目標的重要保證。

（2）素質教育和能力發(fā)展。計算機取證工作作為一項業(yè)務性很強的社會管理工作，要求取證人員不僅要政治素質高、而且必須基礎知識扎實、實踐能力高、綜合素質高，這很大程度上是通過課程教學來實現(xiàn)的，將能力、素質全面發(fā)展列為課程目標，有助于形成符合實際需要的知識結構和能力結構，滿足取證人才培養(yǎng)的需要。

（3）社會取向。學校作為社會的一個組成部分，最終應為社會服務，課程建設要體現(xiàn)實踐性、應用性，要貼近社會實際工作提出的一些重大問題，發(fā)揮其對實踐的能動指導作用。隨計算機及網絡的不斷發(fā)展，計算機犯罪的形式也在不斷變化，這就需要不斷將新的現(xiàn)代科學技術、最新成果以及取證實踐中創(chuàng)造的許多經驗和新成果吸納到課程體系建設中。

3.2 課程建設的初步構想

課程建設包括基礎課、專業(yè)基礎課、專業(yè)課、實驗課程與取證實踐技能鍛煉，其中基礎課體系：公共基礎體系涵蓋了學生的人文修養(yǎng)基礎課與學科學習基礎的必修課，開設的課程包括：人文選修課、英語、高等數(shù)學、計算機取證學導論、法學基礎、心理學、信息安全管理與規(guī)范等課程。占整個學時的30%。

專業(yè)基礎課：是專業(yè)核心課程開展的前提，是培養(yǎng)學生扎實理論和基本專業(yè)技能的重要環(huán)節(jié)。開設的課程包括：計算機原理、數(shù)據結構、程序設計基礎、操作系統(tǒng)、數(shù)據庫系統(tǒng)原理、計算機取證工具軟件、證據學、現(xiàn)場勘察、密碼學等，占整個學時的20%。

專業(yè)課體系：包括計算機網絡、Unix操作系統(tǒng)（Unix/Linux）、Windows操作系統(tǒng)、匯編語言程序設計、取證協(xié)議研究、入侵檢測技術、密罐與密網實現(xiàn)、計算機病毒、惡意代碼識別研究、計算機取證學、常用取證軟件應用等，占整個學時的20%。

實踐教學內容體系與取證實踐技能鍛煉：計算機取證專業(yè)是實踐性很強的專業(yè)，實踐教學課程設置由基本技能、專業(yè)技能和技術應用或綜合技能三大模塊組成并呈遞進關系開設，實驗課程應該貫穿于整個學習過程，專業(yè)課主要集中于技能訓練實踐；在學生培養(yǎng)過程中必須組織學生到計算機取證的第一線進行綜合實踐訓練，占整個學時的30%。

3.3 計算機取證課程建設需要教學模式的改革

計算機取證自身的特點決定了有關課程必須包含很強的實踐性和操作性，這就需要現(xiàn)有教學模式的更新。改革傳統(tǒng)的課堂講授，課下練習的舊的教學方法，建立起真正適應計算機取證本身特點的科學的教學模式。因此課程建設中要突出：

（1）實驗教學法。改變以往以理論概念為學習核心，用做習題的方式來加深理解，實驗只是補充說明理論概念的輔助工具。教師在教學中提出一系列取證實際問題供學生在實驗過程中思考，學生查資料準備，師生共同總結實驗并推出理論。學生帶著問題作實驗，這種方法可有效地培養(yǎng)學生獨立思考能力和解決取證實際問題的能力，也符合計算機取證專業(yè)的發(fā)展趨勢。

（2）案例教學法。根據一定的教學目的，通過對取證案例的閱讀、分析、討論，就有關問題作出判斷和決策，培養(yǎng)學生運用掌握取證的理論知識解決實際問題的能力，在入侵檢測技術、操作系統(tǒng)等課程中都非常適用案例教學法。當然在運用此方法時，注意制訂切合實際的教學計劃，選擇具有啟發(fā)性的案例。

（3）理論與實踐法。聘請取證實踐部門人員定期或不定期來校授課或講學，將目前計算機取證發(fā)展的現(xiàn)狀、實際需求、發(fā)展中的問題、實戰(zhàn)中的經驗和教訓、網絡中犯罪的特點等知識充實到教學中來。在具體的理論聯(lián)系實踐過程中可采用“情景模擬法”，也可采用“仿真法”等，培養(yǎng)和檢驗學生的決策理解分析能力，提高他們對實際效果的關注。如事先請“取證實戰(zhàn)部門的人員”就已解決的案件來提出問題，學生自己動手設計、分析，最后請“取證實戰(zhàn)部門的人員” 來告知結果。

4 結束語

當今，計算機取證不論作為一種理論還是作為實際的應用，都是處于剛剛起步萌芽狀態(tài)，有很多不完善的地方和困難擺在面前。理論上，需要大量地學習和借鑒相關科學的精華之處，并加以融會貫通；實踐中，特別是取證業(yè)務部門需要大批懂技術的科技人才，而且需要相應配套的硬件設備，資金的投入，領導觀念的轉變等等，這些困難都決定了實施計算機取證和開設相關課程都不是一蹴而就的。但是，把計算機取證作為學科進行發(fā)展，是歷史的選擇，是時代發(fā)展的必然產物。計算機取證作為一種新型的概念和理論被提出，需要有其成長、發(fā)展的學術和實踐環(huán)境。在高等院校教學相長的環(huán)境下，在研究人員的探索下，在前沿理論的帶動下有助于計算機取證理論和課程建設的快速成長。

參考文獻：

[1] Eoghan Casey. Digital evidence and computer crime [M]. London: Academic Press， 2000.

[2]http://www.forensicfocus.com .

[3] 丁麗萍. 對公安院校開設計算機取證課程的思考[J]. 北京人民警察學院學報.2005，(2)：18.

[4] http://isp.webopedia.com/TERM/C/cyber_forensics.html .

[5] William De Witt， Leslie Geddes， Frank Johnson. A MASTER OF SCIENCE CURRICULUM IN FORENSIC ENGINEERING[J]. 31th ASEE/IEEE Frontiers in Education Conference. October 10-13，2001 Reno，NV .

[6] Gregory A. Hall， Wilbon P. Davis. Toward Defining the Intersection of Forensics and Information Technology[J]. International Journal of Digital Evidence. Spring 2005， Volume 4， Issue 1 .

[7] Garber， L. (2001). Computer Forensics: High-Tech Law Enforcement[J]. IEEE Computer， January 2001.

收稿日期：2007-01-18

作者簡介：劉志軍(1975—)，男，武漢大學計算機學院博士生，研究方向：計算機取證。

基金項目：鄂警院重點教學項目“公安計算機取證課程體系建設”；公安部項目(公科研[2005]246號) “電子證據的技術和法律問題研究”；湖北省教育廳十五規(guī)劃項目（2004d49）；湖北省社會科學基金“十五”規(guī)劃項目（[2005]073）。