关于存储原理与数据恢复课程的建设与思考

徐仙伟

摘要：从当前公安侦查专业计算机犯罪侦查方向学生的培养要求出发，对“存储原理与数据恢复”课程的培养目标、教学内容、教学方法等方面进行探讨，指出该课程建设的主要方向与具体思路，目的是使公安侦查专业计算机犯罪侦查方向的学生能够更好地掌握数据存储的理论知识以及数据恢复的原理与方法，并将其所学运用到计算机犯罪取证中去，为以后从事公安计算机犯罪取证工作打下基础。

关键词：计算机犯罪侦查；数据存储；数据恢复

1、课程建设的目的和意义

随着我国信息技术和信息产业的发展，计算机和网络已经渗透到我国政治、经济、军事、科技、文化等各个方面，与此同时，计算机网络犯罪呈逐年递增趋势。计算机网络犯罪具有犯罪主体专业化、犯罪行为智能化、犯罪客体复杂化、犯罪对象多样化、危害后果隐蔽等特点，这使得计算机网络犯罪明显有别于传统的刑事犯罪。因此，构建全面有效打击各种计算机网络犯罪的数据恢复、计算机取证、电子物证技术学已成为打击计算机犯罪的有效利器。

经过多年的发展，国家各级公安机关现已成立了计算机犯罪监察机构，司法部专门将涉及数据恢复、计算机取证、电子物证的计算机（司法）鉴定作为一个独立的类型加以规范。但客观现实是，我国不仅缺乏具有丰富电子物证、计算机取证、数据恢复知识的调查人员或调查机构，更缺乏切实可用的电子物证、计算机取证、数据恢复技术整合。因此，公安院校更应该结合公安实际工作需要，培养出在数据恢复、计算机取证、电子物证收集与处理等专业领域有一定理论基础，将来能够从事计算机犯罪侦查工作的学员。这些学员要能够从事安全检查、刑事技术、电子物证、反恐排爆、禁毒缉毒、安全防范等公检法多个部门、多个业务领域。

2、课程简介

2.1 课程定位

存储原理与数据恢复课程是公安侦查专业计算机犯罪侦查方向的专业方向课，在专业课程体系结构中起主干作用，主要讲解计算机犯罪取证中关于计算机存储技术方面的理论知识，同时配合理论知识点进行实践教学，目的是通过课程学习为学生以后从事公安一线的计算机犯罪取证工作提供指导与帮助。

2.2 课程培养目标

存储原理与数据恢复课程是培养学生储备公安工作信息化知识，采用信息技术对计算机犯罪取证进行有效处理的重要一步。基于此，培养既懂公安业务又懂信息化技术的高级应用型人才一直是该课程的指导思想。我们力求使学生在学完本课程之后，能够掌握数据存储基本理论，同时结合理论知识点与公安业务实际需求，将数据恢复技术应用于计算机犯罪取证实践中。学生通过本课程的学习，一方面培养自己计算机存储理论知识水平，另一方面培养自己的实际动手能力，学会数据恢复技术原理与基本操作方法，并在具体对象上运用不同的数据恢复手段进行熟练操作，体现出数据恢复方法正确、思路清晰、步骤合理、效果显著的特点。此外，学生通过本课程的学习，培养自己良好的科学作风，树立理论联系实际的观点，培养创新意识和创新能力，培养自己的合作精神，为将来从事公安工作打下良好的基础。

3、课程建设内容

3.1 完善课程教学内容

完善的教学资源是课程取得成效的重要基础。在前期的教学实践中，虽然已经积累了很多教学资源，但这些资源仍然不够全面、不够丰富。为服务于培养高素质应用性警务人才，本课程至少要安排36学时（包括理论教学与实验教学）。随着课程建设的进一步深入，我们希望能安排更多的实验环节教学，提高学生的实际操作能力。

由于存储原理的知识体系非常庞大，因此我们必须对其知识体系进行精简，抓住存储原理的精华，以点带面，突出重点，着重讲解与实际公安工作结合紧密的、在实际计算机取证领域应用广泛的理论知识点进行讲解。主要知识点包括：

1）电子证据中常用的存储介质。

目前各类存储介质已成为人们生活工作不可或缺的一个部分。相关的利用计算机制作、复制、传播色情、淫秽物品案件，网上诈骗、敲诈勒索、非法传销案件，利用互联网危害国家安全案件等在逐年递增，这些已折射出我国司法在实际数据恢复、计算机取证、收集电子物证打击计算机网络犯罪工作中面临的巨大挑战。一般来说，电子证据是指在计算机系统运行过程中产生的、以其记录的内容来证明案件事实的电磁、光记录物。常有的存储介质包括硬盘、u盘、CF卡、FLASH存储等。由于各种原因（物理故障包括磁头损坏、电机损坏、磁盘坏道、电路损坏等；逻辑故障包括误删除、误克隆、误格式化、病毒攻击等）导致目标数据丢失、破坏的情况广泛存在，必须有相关数据恢复、计算机取证技术来完成目标电子物证数据的提取分析。因此本课程将重点介绍存储介质的发展历程以及存储技术的分类，同时结合硬盘在存储介质中使用最广泛的特点，对其存储结构重点加以分析。

2）电子证据中文件的组织方式。

由于存储介质在使用过程中应用的操作系统不同，其数据的组织方式不同，课程将重点从文件系统的角度对不同环境下数据的组织方式进行介绍，主要介绍几种文件系统类型。我们只有深入理解了文件系统的知识点，才能准确地查找出各操作系统环境下数据内容、存放在存储介质上的位置等重要信息，只有获取这些知识，才能为下一步的数据恢复和取证工作提供帮助。

由于操作系统种类很多，课程中不能对所有操作系统的文件系统进行详细介绍，只能结合当前应用最多、使用最广的几种操作系统类型（如Windows、Linux等）进行分析。由于存储理论中关于文件系统的各知识点也有相通之处，因此我们希望通过本课程的学习，为学生在以后其他相关知识点的学习中提供帮助。

3）网络存储技术。

针对如今网络化存储的特点，本课程还应介绍网络环境下使用最多的存储设备——磁盘阵列（RAID）。随着网络化、信息化和数据化的发展，数据量越来越大，需要用到的存储设备的容量和数量也越来越多。RAID作为一种由多个存储设备组成的、能够协同工作的存储设备，可以充分发挥其多个存储设备的优势。RAID既可以提升存储速度，更可以增大容量，利用冗余信息位的作用，很好地提供对于数据的容错与数据恢复的功能。因此本课程将介绍RAID的概念、分类、优点、发展趋势等，着重对其各级别进行详细讲解及对比分析。

4）强化数据恢复技能培养。

由于数据恢复技术是计算机犯罪取证中的重要环节，我们要求依据课程前面的理论知识，结合实验指导书进行实践操作，加深理解。

数据恢复技术是指把保留在存储介质上的数据重新恢复的过程。即使数据被删除、黑客攻击或存储介质出现物理故障、电路烧毁、坏道、磁头损坏，数据恢复技术也能使相关数据完好无损地恢复，便于后期计算机取证、电子物证收集工作的顺利开展。自2006年起我国在公安、检查、经侦、刑侦、网监等陆续开始关注相关尖端数据恢复、计算机取证技术对于电子物证取证的“特殊能力”。同时，数据恢复、计算机取证技术体系凭借其稳定性、安全性和功能性，在我国司法领域逐渐获得了极高的认知度。

由于计算机取证课程中也会涉及这方面知识点，因此为了保证专业课程之间内容不出现相交，作为前导课程，实验环节主要从存储原理的角度，即依据不同操作系统下数据组织的特点来安排实践教学，突出理论与教学相结合。

除了做好常规的课堂实验教学外，我们还要积极开展课外课堂，培养学生的动手实践能力和综合创新能力。课外课堂培养主要包括：①进行开放实验，鼓励学生在学校范围内从事对外提供数据恢复技术方面的服务，由课程教师进行课外实践指导，利用学校现有的硬件资源安排学生进行实验操作，培养学生的探索精神；②参与学院组织的数据恢复技能项目，由教师提出项目名称，学生在教师的指导下进行项目申报的填写，并独立完成项目的方案实施。

3.2 与公安工作结合

计算机存储理论与数据恢复技术作为电子数据提取技术的一部分，近年来在公安机关侦查犯罪案件中得到了广泛应用。通过锁定计算机入侵、破坏、欺诈、攻击等犯罪行为留下的相关数据、图片及影音视频资料来帮助执法机构快速获取、挖掘相关电子证据线索。因此在课程设计中适当加入公安实际案例教学，有利于学生以后更好、更快地适应公安机关的网监、经侦、刑侦等实际工作需要。

课程内容应尽可能与公安业务相结合。课程组教师通过公安业务实践、调研、高层次公安院校学习，收集更多、更全的课程应用案例，并将其应用到课堂教学和实验环节中去，让学生了解课程与实际业务的关联，学会利用学到的知识解决计算机犯罪取证工作中的实际问题，协助侦查人员侦破案件等。

3.3 改进教学方法

在前期的教学实践中，由于本课程教学内容太多，在课堂教学中，教师的主导地位比较强势，没有充分调动学生的主动性，没有充分发挥学生的创造性。因此我们需要通过课程建设，努力形成突出学生主体地位的教学模式，创造可以充分调动学生主动性的条件，采用多种教学方法，鼓励教师大胆尝试、鼓励学学勇于挑战权威、挑战自我。

1）案例教学。

在课堂教学环节，结合教学内容，特别是存储原理中难懂的部分，授课教师可以运用理论讲解，配合案例进行教学。在该课程的教学过程和实验过程中，教师将相应的案例贯穿其中。案例教学可以使深奥枯燥的理论从应用的角度进行较好的诠释。同时，案例教学还可以培养学生学以致用的思路和习惯。另外，运用贴近公安特色的案例进行教学，能引发学生极大的学习兴趣，也为学生日后能够尽快融入公安工作奠定基础。

2）启发式教学。

该课程无论是在理论部分还是实践部分，都采用了启发式的教学方法。在讲解新的理论知识时，教师不是直接抛出，而是从该理论的实用价值出发，引出该理论的重要意义，然后进行讲解。这样做，一方面可以激发学生的学习兴趣，引发学生的自主思考，另一方面也可以解决学生学习目的不明确的问题。在实验课中，对于一个问题的解决，教师不是直接给出答案，而是鼓励学生的给出各种不同的解决办法，然后进行点评，不但使学生学会了从不同角度思考问题，而且学会了对问题的评价方法。

3）任务驱动学习。

该方法主要用于设计型实验环节，并将设计型实验的要求明确告诉学生。学生组织成多个学习小组，每个小组都有明确的实验目的和要求。学生可以围绕实验项目储备知识，经过不断的努力，看着自己一步步接近项目的目标，学生分析问题和解决问题的能力会在短时间内得到极大的提升。

3.4 注重自学能力培养，加强教与学互动

教育工作应该意识到发现问题以及提出问题的重要性，因此，教师在教学过程中应该自觉地、有意识地培养和提高学生这方面的能力。学生在学习过程中，遇到不懂的问题，应当首先由自己来思考。思考无果后，可以设法去查阅有关的资料文献。目前很多资料文献是可以在网上查找到的，因此教师在教学的过程中也应当结合本课程的教学，适当布置一些教学任务让学生自主完成，教师只是起指导作用，同时提供一些参考书籍、文献帮助来引导学生完成任务。此外在教学过程中教师通过课程网站向学生提供网络学习平台，实现教与学的互动。

4、结语

通过对存储原理与数据恢复课程的建设进行分析，进一步理清了本课程在计算机犯罪侦查方向中的作用，明确课程的定位与培养目标以及课程的教学内容、思路及方法。下一步我们将依据上述建设内容进一步展开工作，如结合公安实际需要，编制合理的课程教材、实验指导书等；依据教学内容，利用上述教学方法进行教案整理、设计，为培养学生课外自学与实践操作能力，开展课外课堂指导以及应用课程网络平台实现教与学的互动等。