曹敏
摘要:文章在分析了计算机取证现状和当前公安院校对信息网络安全监察专业迫切需求的基础上,提出了计算机取证课程建设方面的建议。主要从课程性质与定位、课程教学思路与建议以及以教学为基本职能的实验室建设展开讨论。
关键词:计算机取证;实验室;网络安全监察
1.计算机取证现状
在飞速发展的“互联网+”时代,高效率和高质量的工作生活方式正在前所未有地影响着人们,但是与之伴随的还有一种高科技犯罪一一计算机犯罪。公安机关若要有效打击计算机犯罪,必须加强计算机取证研究。计算机取证涉及法学、侦查学和计算机等多个学科,通过计算机专业技术原理和方法,对存储在电脑硬盘或其他电子存储设备中的数据进行提取分析,并整理成能够在法庭上呈现的证据,从而确定犯罪事实。
近年来,国内外越来越重视计算机取证方面的研究,美国70%的法律部门拥有自己的计算机取证实验室,而我国在计算机取证方面的研究仅仅处于起步阶段。我国当前的计算机取证操作人员很多并非计算机取证专业出身,缺乏相应的计算机操作水平和处理数据证据的能力,往往导致计算机数据破坏和损毁,使得取证工作不能顺利开展。因此,计算机取证专业的学员在网络犯罪形式多元化、多样化发展的今天,是符合我国致力于有效打击计算机犯罪和网络犯罪发展的一种需求。
2.公安院校开设计算机取证课程的必要性
随着计算机犯罪案例的逐年递增,侵犯知识产权案例、网络欺诈、网络赌博、淫秽色情网站的散布、计算机病毒入侵、网站攻击等案例层出不穷,国家和人民的经济、安全正面临着极大威胁,严重影响社会秩序。在公安信息化和金盾工程如火如荼进行时,为了有效打击计算机犯罪,人民警察作为计算机取证的主体,应该全面提高计算机取证水平,因此对相关专业的学员进行有效培训是公安工作可持续发展的重要方法。近年来,国内外都在加大计算机取证专业人才的培养力度,争取培养更多具备理论和技能并重、法律和侦查知识兼备的复合型人才。
计算机取证人员必须政治素养高,有扎实的基础知识和实践能力,只有综合素质过硬才能胜任计算机取证这种专业性强的社会工作。而工作人员的这种综合素质的培养,与完善的课程教学是分不开的,将能力、素质全面发展列为课程目标,有助于形成符合实际需要的知识结构和能力结构,满足取证人才培养的需要。
3.计算机取证课程的建设
在信息技术已经高度发达的今天,网络犯罪也日益增多,而计算机取证与司法鉴定变得尤为重要,以山西警官高等专科学校为例,山西警官高等专科学校所选用的计算机取证教材是由清华大学出版社出版的《计算机取证与司法鉴定》,作为公安院校信息网络安全监察专业开设的一门专业基础课,主要学习如何按照符合法律规范的方式,对能够成为合法、可靠、可信的,存在于计算机、相关外设和网络中的电子证据的识别、获取、传输、保存、分析和提交数字证据的过程。通过对本课程的学习,使学生具备依法进行电子取证的基础原理、基础知识、基本技能和基本素质,从而适应公安机关相关部门的工作。
3.1课程性质与定位
随着计算机犯罪的网络化和职能化,计算机取证方式由以前的静态取证逐渐发展为动态取证,计算机取证学作为计算机科学、刑事侦查学和法学的交叉学科,正日益受到各国科研机构的重视和研究。《计算机取证与司法鉴定》是公安院校信息网络安全监察专业的必修课,也是该专业所有课程中非常重要的一门。
本课程所涉及的计算机取证与司法鉴定相关法学问题和基础知识、网络取证、木马取证等内容使网络安全监察专业学生在进行计算机取证操作过程中,能秉承“立警为公、执法为民”的信念,从而使学生们能够学以致用,真正为公安事业服务。
3.2本课程与其他课程的关系
计算机取证课程是网监专业的主干课程,因为该课程是一门交叉学科,所以学生在学习该课程前,需要把法律、侦查学和计算机专业课作为基础课。例如《计算机组成原理》《c语言》《操作系统》《数据库概论》等是计算机课程开展的前提。而《刑法》《刑事诉讼法》《民法》等,则能保证取证过程全面建立在法律知识基础上。侦查学的《犯罪现场勘查》《刑事技术》等课程为现场取证人员保护现场和获取物理证据提供理论指导。
计算机取证的主要内容包括计算机取证的准备、计算机取证的现场勘查、计算机取证的固定与获取、计算机取证的分析、计算机取证的鉴定和计算机取证的呈堂等。由于计算机取证具有易失性,很容易被破坏或修改,所以在取证过程中,要严格按照取证程序执行。在计算机取证课程中要重点强调证据的获取和保存监督链。
3.3课程教学设计思路与建议
《计算机取证与司法鉴定》是网监专业的一门关于计算机取证方法的必修专业课程,是网监学科中的一个重要组成部分。在内容上有完整的学科体系,在教学上,遵循“学以致用”原则,采用“项目教学法”,结合网监工作实际,使教学内容有具体的事物、形象的描述、明确的任务,强调教学内容与岗位实际的紧密联系,通过师生共同参与,共同努力,达成教学目标。
课程设计是反映本学科及专业所对应研究领域的基本知识取向,所以设计合理的课程体系是集中体现专业教育的重中之重,计算机取证作为网监专业课程体系中不可或缺的一员,它的开设目的是培养具有计算机证据获取、分析和鉴定能力的优秀学员。计算机取证的课时分为理论课时和实验课时,理论课时主要学习计算机取证工作的基本原理,计算机取证与司法鉴定的原则、法律法规;实验课时主要学习取证操作方法和仪器使用。教学过程中,学员的动手实验非常重要。教师应根据公安工作实际情况,设计逼真的教学案例模拟实验。例如,模拟某计算机犯罪现场,让学生使用取证工具开展调查取证工作,完成计算机取证过程,并最终提交完整的计算机取证报告。
计算机取证教师作为教学工作中的主导者,在教育观念和教学内容上面都要努力改革,尤其需要在实践经验方面多作工作,克服实战经验不足,与公安实际情况脱节的弱点。为此,我校与多个地市签订校局合作计划,派出专业教师到公安一线学习最前沿的实战操作技能,并选用优秀警官到我校担任教官,加强公安院校与公安实务部门人事交流。
3.4以教学为基本职能的实验室建设
以教学、科研和社会服务3项职能为核心的高等院校,是专业技术培养的前沿阵地,公安院校作为专业技术更为突出的高等院校,在人才培养方面更注重提高专业技术的教学理念。在计算机取证课程教学中,取证实验必定是重中之重,为使学生能够熟练掌握以电子数据恢复、网络取证、手机取证、电子数据文件加解密等重要技术,在教学当中必须能够高质量地完成计算机取证实验。所以,计算机取证实验室的建设要从符合实验教学的需求出发,为计算机取证实验教学提供内容丰富而全面的基础平台。
针对我校师生实际情况,计算机取证实验室建设方面需要70台装有WIN7系统的计算机、30个左右的计算机取证勘查箱,数台交换机、路由器、防火墙、审计日志、服务器等设备,并将计算机组以局域网的形式接入互联网,正确安装防火墙,同时还应具备一定数量的计算机取证软硬件工具,具体如下:(1)数据恢复工具。数据恢复实验可采用EasyRecovery软件,该软件具有操作方便、使用安全、价格便宜等优点,可由用户自主控制操作的数据恢复软件,它可以恢复手机、u盘、硬盘、光盘、数码相机等存储介质中的内容,并且恢复的文件格式包括文档、图片、音频、视频等多种类型,因此被广泛应用。(2)证据分析工具。证据分析采用En Case软件,该软件被认为是法庭犯罪取证的标准,它具有数据分析、数据搜索等功能,并能够发现存储介质中隐藏或者被删除的更深层次的数据。(3)克隆机。克隆机又叫硬盘复制机,它的功能是将原盘内的数据以位对位的形式完全克隆到目标盘,司法专用型克隆机具有数据校验功能和数据单向获取功能。这些设备通过MD5校验算法精确、实时地计算出原盘和目标盘的哈希值,从而力证克隆过程中未对原盘做任何改动。目前使用较多的是厦门美亚柏科公司的电子数据取证产品。(4)只读接口。若要保证检材内电子证据不被破坏,在进行检材备份时需要用到只读接口,从而可以确保电子证据的原始性和完整性。只读工具包括硬件只读和软件只读2种,软件只读是依据操作系统的指令实现的,而硬件只读是通过某特定设备来阻止数据的“写入”操作。
4.结语
计算机取证作为一门新兴的公安专业课,起步晚,科学建设不够完善,但它对公安工作有着广阔的应用前景和实际意义。因此,公安院校教师应积极发挥教学主导作用,设计合理的教学内容和实验教学体系,建设功能完善的计算机取证实验室,通过生动的课堂教学加深学生对计算机取证理论的理解,在熟练操作各种取证软硬件的基础上培养学生的动手能力,从而培养出社会需要的计算机取证专业人才。