王 萌
(河北公安警察职业学院,河北 石家庄 050091)
浅谈计算机取证课在公安院校的建设
王 萌
(河北公安警察职业学院,河北 石家庄 050091)
计算机犯罪是21世纪破坏性最大的一类犯罪,要打击和遏制这种犯罪,计算机取证承担着不可取代的作用,这是我国信息网络安全亟须研究的重要问题,具有强烈的社会需求。随着公安信息化的不断深入,公安院校开展计算机取证教育也势在必行。
计算机犯罪;计算机取证;公安教育
国内外学者认为计算机犯罪主要分为广义说、狭义说。广义说认为所有涉及计算机的犯罪都是计算机犯罪。狭义说则认为只有以计算机为工具或以计算机系统(软件或硬件)和计算机信息为攻击对象(物理破坏除外)而实施的犯罪行为才是计算机犯罪。我国刑法还没有专门的计算机犯罪这一概念,综合近几年的研究,从刑法学的角度给计算机犯罪所下的定义是:违反国家法律规定,利用计算机技术或技术特性,侵犯计算机信息系统安全或妨害计算机信息交流安全秩序,严重危害社会,依法应负刑事责任的行为。
计算机取证涵盖的范围较广,包括对计算机、其他电子设备及借助信息技术形成的设备的取证。杨永川在《计算机取证》一书中定义的计算机取证是:为了揭示与计算机相关设备有关的犯罪或过失行为以及由其他原因导致的使系统发生故障的现象,利用一切科学、合法、合理的方法和工具,对以0/1二进制记录的数据电文进行识别、保存、收集、检查、分析和呈堂等活动过程。
20世纪90年代,随着Internet网络技术的发展,以计算机犯罪为主的电子犯罪日益猖獗,国外的取证技术及取证工具由于强烈的需求飞速发展。在国内,有关这方面的研究和实践则落后很多,执法机关对计算机取证工具的应用还多是利用国外一些常用的取证工具,取证操作规范的执行也有所欠缺。
数据保全中的磁盘映像复制技术一直是基于主机取证技术的重要研究内容,目前可进行硬盘数据复制的软硬件产品很多,主要有专用硬盘取证工具SOLOⅢ、硬盘拷贝机Echo、取证分析软件Encase、“网警”计算机犯罪取证勘察箱(厦门美亚)等。数据恢复技术中有普遍看好的取证软件TCT和Encase等。现在七次覆盖后进行恢复的技术还不是很成熟,国外的Ontrack公司等机构正在进行此项研究。分析目标主机上的可疑程序可以使用反向工程技术,从而取得证据,但目前这方面的研究还很少。
现有的许多用于网络信息数据流捕获的工具,如NerXray、Lanexplore等,对各种信息协议的分析都相当透彻,如果将数据仓库技术运用到大量的网络数据分析中会更好。在取证的分析阶段往往使用搜索技术进行相关数据信息的查找,这方面的研究技术主要是数据过滤技术、数据挖掘技术等。网络追踪是计算机取证的一个重要手段,突破网络代理定位攻击源是其中很重要的环节。
目前国内外很多研究机构和公司主要致力于蜜罐技术的研究,较大型的研究项目有研究蜜网技术的Honeynet Project、致力于部署分布式蜜罐的Distributed Honeypot Project等。
在各类信息系统中获取的机密信息很大部分都是经过加密处理的,因而密码分析与破解成为网络信息获取中的一个必须面对的问题。结合实际的密码应用,通过对密码分析的研究将会大大提高电子取证工作的成效。密码破解技术将成为一个重要研究热点,应用前景非常可观。
计算机取证涉及计算机科学和法学中的行为证据分析以及法律领域,这是一个新兴领域、交叉领域和前沿领域。
近年来,我国涉计算机犯罪案例呈逐年上升趋势,给国家和人民带来巨大的经济损失,甚至威胁国家的安全,破坏社会秩序。计算机的犯罪五花八门,犯罪的焦点已经超越了简单的计算机入侵,色情和猥亵的散布、侵犯人权、著作权(版权)和电子知识产权的窃取、网络欺诈和伪造、网络赌博等新型犯罪层出不穷。为有效打击计算机犯罪,计算机取证是一个重要手段。在我国,公安信息化建设正如火如荼地展开,警察的信息化水平在不断提高,这为我们讲授计算机取证课提供了非常好的环境。因为计算机取证的执法者主要是警察(包括警察授权下的专业技术人员),因此对相应专业的试点班学员进行计算机取证培训为公安工作提供了强有力的警力基础支撑,实现了公安工作的可持续发展。
目前公安院校招录培养体制发生了变化,教学对象的改变要求公安院校教学也要跟着改变。公安部根据公安工作实际需求提出了“教、学、练、战”一体化和教学中突出实验实训,这是做好招录体制改革试点专业教学的重点。我们认为公安院校计算机取证建设首先把满足教学需求放在第一位,培养学生动手能力,使学生通过实验掌握计算机取证技术的基本技能和技巧,熟练使用常用的计算机取证软、硬件工具,对嫌疑计算机(包括各种电子设备)中的数据进行备份、恢复、分析、检查、打印,并对所分析数据作出报告。同时考虑到功能的拓展,还要满足服务和培训的需要,即适应新形势下信息网络安全监察部门和其他各警种业务部门犯罪案件侦破的需要,可以为科研和公安一线案件的侦破提供技术支持。
由于计算机犯罪形式的多样性,该门课的硬件建设需要模拟各种计算机犯罪形式和信息数据,使学生在各种模拟的犯罪现场,能够进行证据的取证调查工作。考虑到公安院校该门课程经费和师资严重不足的现状,为了模拟各种犯罪现场,该门课实验室的最低配置应该有几十台计算机、一定数量的路由器、交换机、服务器、集线器、防火墙等通用计算机网络设备,同时还需要将计算机组成局域网、安装防火墙、进行有关的安全设置并能够登录Internet。为了完成取证分析电子证据,还需要简单的现场取证设备,包括计算机犯罪案件现场勘查箱(内含笔记本电脑、现场取证常用工具、常用软件)、高速硬盘复制机、现场特定数据获取设备以及各种类型硬盘只读锁和转换接口等;更精深的证据分析设备包括电子数据证据分析服务器、电子数据证据分析软件、磁盘阵列、电子数据取证分析工作站;网络密码破解系统包括密码破解服务器、密码破解软件、密码破解工作站等。
课程分为授课及实验两部分。授课的主要内容为计算机工作的基本原理、计算机取证法律和规范及计算机取证程序。实验则侧重计算机取证技术和计算机取证工具的使用。
电子证据具有易失性、不易保存等特点,使得取证人员对电子证据要能熟练地收集、文档化保存和恰当地数字证据处理和解释,否则就易毁掉整个调查工作,无法有效地打击犯罪行为,浪费案件有价值的资源。要做到熟练就要进行大量的实验。主要的实验包括:
(1)数据恢复。就是用数据恢复软件恢复被删除的文件。通常需要了解数据恢复的原理和掌握几种常见的数据恢复软件,会用其中的一种软件如EasyRecovery恢复已被破坏的文件。
(2)磁盘备份。即对磁盘数据作镜像备份,并保全证据的完整性。如使用高速硬盘复制机或者用镜像工具SafeBack创建备份的镜像文件并写到光盘上,运用MD5sum保全证据的完整性。
(3)易失性数据收集。主要内容是创建应急工具箱,对突发事件做出适当的响应,在不破坏现场的前提下收集易失性数据,为侦查破案提供有力的证据。
(4)分析证据。用EnCase取证工具进行关键字查找、Hash值分析和E-mail文件分析,将隐藏的数据列出来,并将证据归档。
(5)获取网络证据。监控、捕获并分析数据包是获取网络证据的主要手段,如采用厦门美亚公司的网络信息取证系统,它能够记录网络上的全部底层报文,监控流经网络的全部信息流,较好地解决了目前计算机犯罪案件中侦查、取证等难题。
(6)密码破解取证。在很多情况下都面临如何将加密的数据进行解密的问题,常常采用口令字典、重点猜测、穷举破解等技术。
综上所述,计算机取证教育是公安院校发展的重要一环,教育的重点是加强取证领域的实践性培养。由于电子证据的多态性,使得案件具有差异性,要求采用不同的处理方式。当案件环境等发生变化时,应用能力显得尤其重要,培养的取证人才要具有解决实际问题的能力。计算机取证是一门技术性很强的职业教育,取证技术更新也非常迅速,这就需要不断将现代科学技术的最新成果以及公安实践中创造的许多经验吸纳到这门课中来,保证课程的鲜活与常新。
[1]孙维愈.计算机犯罪侦查问题研究[D].山西大学硕士学位论文,2007.
[2]杨永川,顾益军,张培晶.计算机取证[M].北京:高等教育出版社,2008.
[3]麦永浩,孙国梓,许榕生,戴士剑.计算机取证与司法鉴定[M].北京:清华大学出版社,2009.
[4]李进.公安院校计算机取证实验室建设研究[J].西南民族大学学报(自然科学版),2009,(5).
D631.15
A
1672-6405(2010)02-0079-02
王萌,女,河北公安警察职业学院教师。
2010-05-10
张钦]