公安院校电子取证课程基于云平台的建设与实践

张萍 彭建新

摘要：电子取证作为一门新兴的科研和教育学科已陆续在各大高校中开设。对于最早开设电子取证课程的公安院校来说，建设一个集高校学历教育和公安在职培训为一体的电子取证云平台可以达到双赢的效果。本平台依托云容器技术，建立融合教学、科研为一体的“新工科教育”云实践平台。通过引进模拟仿真教学的理念，云平台为电子取证教学虚拟各种实验操作环境，让学生体验真正的实际取证操作过程。同时，它的以课程管理为中心、以学习活动为驱动的一套辅助性培训信息化软件系统，可根据教学和培训目的动态调整实验内容。并且，电子取证云平台创新性地以案例库的形式纳入了近期新型网络犯罪频发的典型案件类型，借助云平台的特有优势，可以多维度地开发公安院校电子取证课程的独有特点。

关键词：云容器;电子取证;云平台;互联网犯罪;实践教学

中图分类号：TP393.08-4;G642  文献标识码：A  论文编号：1674-2117（2021）14-0101-07

● 引言

伴随着刑事案件和民事纠纷涉及电子设备类型物证的不断增多，电子数据自2012年修订《刑事诉讼法》后，正式被列为了八类证据类型之一。作为取证科学分支之一的电子取证，得到了社会更加广泛的重视，最高检、最高法、公安部相继在2016年和2019年针对涉及电子数据的刑事案件发布了电子取证的相关规定和规则。社会对电子取证类人才的需求也在日益增加，其中主要包括计算机类信息安全公司、国际会计师审计师事务所、专业咨询类公司，特别是经济管理类的集成软件供应商和大型跨国公司对电子取证类人才更加重视。作为一门综合类跨学科的课程，电子取证陆续在多所公安和普通高校中被设置为专业课程[1]，同时，社会对专业性的电子取证职业培训的需求也越来越多。

国内外学者对电子取证课程的高校教育和职业培训模式与体系进行了大量的探讨[2-4]，在公安院校的本科教育中，电子取证课程初期作为选修课开设，而今已成为专业核心课程。课程的理论教学内容已逐渐形成成熟的知识体系，但是电子取证课程实训内容却一直是教学上的一个难点。[5]由于电子取证实验涵盖大量的实验内容，且实验的素材和所需的分析软件一般都占有较大的存储空间，因此，搭建一个电子取证云实验平台具有重要的实际意义。同时，借助此平台可建立丰富的案例库，并根据不同的教学或培训对象选择不同类型的电子取证实验类型，进行便捷的调试和修改，实现动态实驗环境部署和优化。云平台下无需重复搭建复杂的实验环境，也节省了购买实验检材的费用，方便学生在课堂或自习室随时随地进行学习。

● 电子取证云平台的建设意义与优势

1.电子取证课程的特点

电子取证作为公安院校网络安全与执法专业的核心主干类专业课程，具有十分明显的专业特色，实验课程教学的占比较重，而且与实际案件关系密切。该课程具有以下几个显著的特点：

①电子取证与其他学科“顶层到底层”的架构体系不同，电子取证是从实际的破案需求中开始萌芽，进而吸纳各个与之相关联的跨学科技术而形成的一个新学科。电子取证是从实践中破土而出的，也时时刻刻离不开实践，因此在教育和培训中，实验与理论课程同等重要。

②实验涵盖的内容广泛，实验涉及的操作系统类型、数据类型和电子设备类型纷繁复杂，所关注的设备对象不仅仅是传统的计算机[6-7]，也包括智能移动终端[8-9]，还涉及各种网络互连设备和网络安全设备。[10]

③电子取证实验的素材数据类型繁多且占据存储空间较大。不论是硬盘、手机还是远程取证获取的网络数据，都是数据量庞大的取证对象，而传统的基于本地的实验环境每次仅仅拷贝一个实验镜像文件都要耗费几个甚至十几个小时。

④利用高科技进行的犯罪逐年呈上升趋势，针对涌现出来的新型犯罪案件，传统的技术和思路必须不断改进才能够打击犯罪，保障国家和人民的安全。广州市法学会、广东省公安厅、中国人民公安大学等部门和院校也相继成立了新型犯罪研究中心。这对电子取证同样带来了很大的挑战，在云计算、大数据、IoT[11-13]、智能汽车[14]、网络货币[15-16]、暗网[17]等新技术领域中，传统数字取证的技术和工具大多不再适用，并且取证过程涉及的调查对象比传统数字取证更多，交互也更加复杂。

2.电子取证云平台的优势

针对课程特点，本项目依托云容器技术建立了一个电子取证实验云平台，本平台的优势有以下几点：

①利用云计算技术更便捷地对各类不同类型的电子取证案例进行模拟，无需重复搭建复杂的实验环境，也节省了购买实验检材的费用，方便学生在课堂或自习室随时随地进行学习。同时，云实验平台的使用可以更加便捷地达到加强学生管理、校园管理，提高校园资源利用率的目的。

②建立了一个丰富的电子取证实验案例库，可以实现根据不同的教学或培训对象选择不同类型的电子取证实验类型，同时实现动态实验环境部署和优化。例如，针对学历教育主要侧重于普适性教育，针对在职民警培训会涉及一些重点网络犯罪案件类型的实验，针对企业取证培训则侧重于公司审计方向的电子取证。

③实现将科研、实验所需要的材料、虚拟机资源、网络、存储资源等整合成全新的实验供学生使用。实验平台所需的计算资源均通过虚拟化的方式提供，可灵活适应教学实验与科研工作需要，实验平台通过虚拟机的方式为学生提供了实验开发与操作平台，同时也为教师科研提供了便利。

④如今，随着越来越多的高科技犯罪利用云服务搭建服务器，针对传统数字取证的框架和取证工具大多不太适用，借助本取证平台可以更好地衔接新型犯罪取证实验环境。

● 电子取证云平台的设计框架

1.基础建设

本项目的总体建设框架，共分为三层（如下页图1）：依托华云的CloudUltra4.0技术搭建容器资源层，主要包括计算机集群、数据存储集群、镜像仓库的搭建;中间层为容器管理层，是调度与管理所有容器虚拟主机的部分，能够灵活调度大规模Docker容器虚拟主机;门户层的建设支持本地私有云（KVM）虚拟化环境资源纳管，以确保其扩展性，亦支持对接公有云资源，最终实现对学校云计算环境资源的统一管理。

本平台向后台管理运营人员提供统一的Iaas、PaaS、物理主机、虚拟主机的管理和调度入口，同时也可面向终端用户提供简单的虚拟主机自助管理服务。云计算虚拟平台通过云计算管理平台为计算机教学虚拟各种实验操作环境，让学生进行各种电子数据取证实验的演示和操作，体验真正电子取证的实际操作过程。同时，平台将课程学习及考试与培训班有机结合，对在线培训进行有效管理，以满足学历教育和在职培训的需求。本项目的基本建设环节和已实现的功能如图2所示。

本项目共部署了三台应用主机，可用CPU总量88核，内存总量为314.12G，磁盘总量为1363.05GB，依靠华云的CloudUltra4.0底层支持。图3为平台的全局总览界面。

2.平台功能

（1）用户管理功能

本平台共设置了三个用户类型，分别是管理员、教师、学生，且不同类型用户的权限依据信息安全基本特性设置访问权限。用户和权限的具体配置如下页表1所示。

（2）资源权限管理功能

本平台根据使用人员的身份进行不同类型账户的开通并授予不同的权限，其中管理员可以设置教师用户和学生用户的权限。本平台现在运行状态下的具体权限如下页表2所示。可以设置的权限包括主机权限、集群权限、应用权限、备份权限和产品权限，其中应用权限又可针对每个单独的服务进行权限的授予和回收。教师用户和学生用户都可以被授予对主机、集群、应用（包括应用下面具体的某个服务）的操作权限，具体权限动作包括增加、修改和删除。上页图4是本平台具体的对某一用户的权限管理界面。

（3）应用管理功能

应用可以理解为一组服务的集合，而服务可以理解为一组特定微服务的集合，三层分开管理。本平台内对应用的管理包括添加或删除应用，在应用中则可添加或删除服务，可用的服务模板如图5所示。

此外，本平台根据电子取证实操需求，定制化地将电子取证处理和分析检材最常用、最实用的数款软件和服务集成在了虚拟机和虚拟桌面内，其中包括Encase软件、XWays软件、FTK、PassWareKit等。

（4）实验内容管理功能

本平台将不同的取证实验以不同的应用进行设立，再根据取证实验的具体需要进行服务的设立及环境的配置。同时，由于通常电子取证需要分析的检材占据存储空间较大，为了不使服务器过于臃肿，本项目将取证镜像文件存储在FTP服务器中。用户根据案件或课程需求自行选择需要的资源进行下载。

3.案例库功能

电子取证课程最大的特点之一就是实验类型丰富，针对这一特点，本项目对入库的实验进行了如图2所示的流程规划。

（1）典型案例入库

根据不同专业电子取证的本科教学大纲和针对不同培训对象的职业培训规划，将典型的电子取证实验案例纳入到平台内。以符合最新的电子取证实战需求为基准，以最大限度的不重复建设实验资源为原则，使案例库涵盖基础电子取证实操和进阶电子取证实训。

（2）案例分类

根据实验案例的类型进行分类，由于本科教学和职业培训的范畴有一定的交叉，且不同专业的学生或不同主题的培训也会有不同的实验需求，内容上可能会有重叠。因此，为了能够从多维度对实验进行分类且最大限度地方便教师组织实验，本项目采用标签标识的方式。

（3）案例部署

根据不同实验的特点搭建具体的应用、服务和所需的配置，将典型案例经过统计总结典型特点，建立贴合实战的具体取证实验。

● 特色实验搭建

本项目针对典型新型犯罪案件分别建立了特色实验应用，契合了教育部近年来大力发展新工科教育的发展理念，同时可以方便在职民警快速掌握当前的信息犯罪新技术、新手段。

1.云端服务器取证实验

近年来，随着云服务的商用和民用的快速普及，传统类型犯罪也逐渐向云服务平台转移。其中，多数为涉及云服务器的案件，通常是犯罪嫌疑人租赁云服务搭建服务器，这样既可节省维护硬件的成本，也给公安部门调查取证增加了难度。本平台原生态支持云服务器，这大大方便了本实验的部署。本团队统计了新型犯罪案件中的云服务器配置，选取了常用的CentOS和Windows 7操作系统两类云服务器，两类云服务器中的配置服务具体参数如表3所示。

本实验中部署的基于Docker的云服务器是后续取证实验的搭建基础，因此本实验仅具备基本的云服务器环境。本平台是基于Docker容器技术搭建起来的平台，因此在取证中也可利用docker的獨有功能。具体的取证过程可有以下几种选择，在实验过程中可根据实验的具体需要选择一种或多种方法。

①利用dd命令制作物理镜像，并通过取证软件对镜像文件进行分析，掌握云服务器的架构;

②利用云平台的特点，学生可以在取证平台内运行云服务器的副本，在云服务器中进行动态取证，类似于传统取证技术中的仿真实验;

③利用tar命令制作逻辑镜像，并通过取证软件对镜像文件进分析，掌握云服务器的架构。

2.赌博网站取证实验

赌博网站也是近年来出现频率较高的一类刑事犯罪案件，赌博的开展方式由传统的线下面对面进行发展至网络赌博、微信赌博、APP赌博等新类型赌博。本实验在云服务器基础上，模拟构架了一个依托云服务器的赌博网站。

本实验总结了此类案件网站的一些共性和特点，选取了经典的PHP7.2+Apache2+Mysql组合部署网站。同时通过对近期此类案件的梳理发现，犯罪嫌疑人对网站数据的安全防护十分注重，因此实验搭建中增加了一些典型的安全防御机制，增大了取证的难度。赌博网站实验的架构如图6所示。

由于赌博网站的赌博方式大同小异，实验选取了“比大小”“转盘抽奖”和“老虎机”三个最具有代表性的赌博游戏。很多赌博网站除了诈骗钱财外，还可能附带经营洗钱业务，其中利用“比大小”进行洗钱是较为常见的方式。为模拟真实案件的效果，本实验部署时综合了几种典型的反取证的保密技术。

本实验的取证要求学生主要针对赌博网站的云服务器进行取证实验，通过分析云服务器中的数据，梳理网站的经营模式，厘清赌博网站的资金流向和经营赌博网站的人员架构。

3.团伙犯罪取证实验

团伙性犯罪是近年来公安机关严厉打击的对象，团伙往往内部分工明确，犯罪行为多样，社会危害性较大，对此类案件的取证工作也较为烦琐，而且信息网络空间是现代犯罪团伙的重要活动地点，给犯罪团伙提供了天然的隐匿之地。对于团伙性犯罪案件的取证实验，本项目选取了某犯罪团伙通过网络进行敲诈勒索为案情背景，创建了实验环境。本实验模拟了犯罪团伙在论坛上进行撒网式发布广告，对潜在意向客户进行有目的性的推销。在模拟的案情中，犯罪嫌疑人在论坛对被害人实施诽谤和敲诈勒索的犯罪行为，通过社交软件与委托实施网络暴力的客户进行具体的交易细节沟通，并将交易的记录详细信息保存在加密文件中。

本实验依然依托于之前搭建的云服务器，在此基础上创建了现实生活中普遍流行的Discuz架构的论坛，具体版本是Discuz_X3.4_SC_UTF8。本实验的犯罪团伙人员组织架构如图7所示。

由于本项目以模拟真实案件为出发点，所以本实验的背景设定为犯罪嫌疑人电脑中发现虚拟机（Windows 7），且需要登录密码，但嫌疑人拒绝告知密码。此实验的取证过程大致包括：要求学生利用SAM文件和system文件获取系统的登录密码;通过对QQ数据的分析，获得双方交易协商记录，以及嫌疑人完成客户委托后发送的压缩文件，作为证据之一;查看浏览器历史记录和存储的设置获取嫌疑人在涉案论坛上的账号和密码;通过分析关键文件、破解文件密码获取关键证据。

● 总结

本项目引进了模拟仿真教学的理念，借助云容器技术、虚拟化技术建设了一个契合公安院校建设“新工科教育”理念的实验平台。该平台针对公安院校的特色电子取证课程进行平台的建设，形成了一个结合理论与实战、教学与科研的可持续化发展实验平台，实现动态实验环境部署和优化。通过不断调整案例库的实验素材，时刻紧跟电子取证的发展步伐，做到与时俱进，为建设具有公安本科院校特色的“新工科教育”进行了具有强执行性、高拓展性的尝试。

参考文献：

[1]周建华，钟钢.在公安高校开设计算机犯罪取证课程的探索[J].湖南警察学院学报，2006，18（03）：101-104.

[2]丁丽萍.电子数据取证人才培养的思考[J].中国信息安全，2019（05）：74-75.

[3]高云飞，徐志强.论电子数据取证培训及考核体系建设[J].电信科学，2010（S2）：187-192.

[4] Zhang X ， Yuen T T ， Choo K K R . Experiential Learning in Digital Forensics[M]// Digital Forensic Education. 2020.

[5]王亮，刘磊，张华，等.网络工程类人才“取证型”仿真教学模式的探索[J].通讯世界，2018（11）.

[6]Quick D，Choo KKR. Impacts of increasing volume of digital forensic data： A survey and future research challenges[J].Digital Investigation，2014，11（04）：273-294.

[7]Van Der Horst L，Choo KKR，Le-Khac N A. Process memory investigation of the bitcoin clients electrum and bitcoin core[J].IEEE Access，2017（04）：22385-22398.

[8]Barmpatsalou K，Cruz T，Monteiro E，et al. Current and future trends in mobile device forensics： A survey[J].ACM Computing Surveys （CSUR），2018，51（03）：1-31.

[9]Scrivens N，Lin X. Android digital forensics： data，extraction and analysis[C]//Proceedings of the ACM Turing 50th Celebration Conference-China. 2017：1-10.

[10]韩马剑. 路由器取证研究[J].信息网络安全，2016（09）：51-55.

[11]Quick D， Choo K K R. IoT device forensics and data reduction[J].IEEE Access， 2018（06）： 47566-47574.

[12]Rondeau C M，Temple M A，Lopez J.Industrial IoT cross‐layer forensic investigation[J].Wiley Interdisciplinary Reviews： Forensic Science，2019，1（01）：e1322.

[13]Stoyanova M， Nikoloudakis Y， Panagiotakis S， et al. A Survey on the Internet of Things （IoT） Forensics： Challenges， Approaches and Open Issues[J]. IEEE Communications Surveys & Tutorials，2020.

[14]Le-Khac N A，Jacobs D，Nijhoff J， et al. Smart vehicle forensics： Challenges and case study[J].Future Generation Computer Systems，2020（109）：500-510.

[15]Weber M，Domeniconi G，Chen J，et al. Anti-money laundering in bitcoin： Experimenting with graph convolutional networks for financial forensics[J].arXiv preprint arXiv：1908.02591，2019.

[16]Cebe M，Erdin E，Akkaya K，et al.Block4forensic： An integrated lightweight blockchain framework for forensics applications of connected vehicles[J].IEEE Communications Magazine，2018，56（10）：50-57.

[17]Jadoon A K，Iqbal W，Amjad M F，et al. Forensic Analysis of Tor Browser： A Case Study for Privacy and Anonymity on the Web[J].Forensic Science International，2019：59-73.

作者簡介：张萍（1986—），女，山东青岛人，讲师，博士，主要研究方向为信息安全、电子取证、网络犯罪侦查研究;彭建新（1977—），通讯作者，男，湖南双峰人，主任，教授，主要研究方向为网络与信息安全、电子取证。

基金项目：教育部科技发展中心高校产学研创新基金项目“云计算在公安院校电子取证课程建设中的应用研究”（2018A01002）;广东省教育厅普通高校特色创新项目（自然科学）“电子取证在云容器技术下的应用研究”（项目编号：CIA120150）。