“数字取证”课程实验教学探索
2017-02-16戴丹
摘 要:“数字取证”是一门综合性与实践性较强的学科,需要选择适当的教学方法。文章针对数字取证课程实验教学进行了探索,提出了使实验结合启发式教学的策略,旨在将理论教学和实践更好地结合。
关键词:数字取证;启发式教学;实验教学
中图分类号:G642.0 文献标识码:A 文章编号:1002-4107(2017)02-0013-02
计算机和网络在社会生活的各个领域的应用越来越普遍,与之相关的犯罪也越来越多。要打击并遏制此类犯罪,执法机关必须依照法律的要求获取各种合法的证据。数字取证就是为打击与计算机有关的犯罪提供证据的科学方法和手段,它的迅速发展使得对数字取证的专业人才的需求越来越迫切。国外十分重视数字取证的教学研究,比如麻省理工学院提供了信息系统安全认证研究生课程,加利福尼亚大学设置了计算机安全实验室,同时开展了相关的技术研究[1]。目前,国内一些高校也开设了数字取证的相关课程,但对该课程的教学及相关建设都还在探索阶段。
启发式教学是一种先进的教学理念和方法,它提倡以学生为主体,充分调动学生的积极能动性。启发式教学法应该与具体的教学实践相结合,渗透在教学的各个环节中。数字取证是一门实践性很强的学科,实验教学是一个重要的环节,对于数字取证技术人员而言尤为重要。因此,开展数字取证的实验教学的研究具有重要意义。本文对“数字取证”启发式教学中的实验教学进行了探索。
一、启发式教学的内涵
启发式教学是指在教学过程中,以学生自主学习和合作讨论为前提,在教师的启发引导下,学生积极思维,质疑探究并解决实际问题的教学形式。在启发式教学的具体实践中,教师应激发学生的学习兴趣,让学生从被动接受教育变为主动探索学习。教师要为学生的学习创设合适的情境和氛围,引导学生进行具体的操作,鼓励学生大胆陈述自己的见解,把握讨论的深度,再通过适当的反馈和评价建立学生的自信。
启发式教学方法更符合教学规律,关于这一点已有很多人进行了大量的研究和证明。笔者通过自身的实践过程和体会,把数字取证实验中的启发式教学方法与读者分享,希望能引起共鸣。
二、“数字取证”课程建设的思考
数字取证是一门跨学科的综合学科[2],同时涉及法学、司法鉴定、计算机科学、信息安全、社会工程学、心理学等多个学科领域,是多学科交叉融合形成的新型学
科。与数字取证相关的术语有计算机取证、电子取证、手机取证、网络取证等等。这些术语之间的界定不是很清晰,各有侧重,但取证的结果都是电子证据。电子证据具有脆弱易失性、不可靠性及表现形式多样性等特点[3],若要将其作为法庭上的证据,必须采用科学的方法和严格的程序保证电子证据具有客观性、关联性、合法性以及证据连续性。“数字取证”课程的开设,强调理论与实践并重,学生在學好理论课程的同时,应有较强的实践动手能力。与传统的物证技术相比, 数字取证无论是在法律依据上还是在技术上都需要解决大量的问题,因此,
需要在实验教学中采取合适的方法。
(一)完善“数字取证”实验教学体系
要做好“数字取证”的实验教学工作,就需要构建一个合理的、科学的教学体系。“数字取证”的实验内容主要包括电子证据(包括易失性数据)的确认、提取、保护、分析和归档等过程。通过该实验课的基本训练,学生不只加深理解和巩固所学的理论知识,掌握常用的原理和实现方法,更要将理论基础知识应用于实践,切实掌握数字取证技术的基本技能和技巧,熟练使用常用的数字取证的工具,初步具备数字取证工作的能力。提升专业技能的应用的同时,通过分组实验,加强学生的科学素养和团队协作精神,为培养更专业的数字取证技术人才奠定良好的基础。
(二)营造数字取证的实验环境
由于计算机犯罪中形式的多样性,实验室需要模拟各种与计算机有关的犯罪形式和信息数据,使学生在各种模拟的犯罪现场中能够进行证据的提取和调查工作。因此,实验室应该有几十台计算机以及路由器、交换机等网络设备,并将这些设备构建出一个网络,该网络与互联网相连。为了数据的获取和备份,应该有一些大容量的移动硬盘和备份设备,备份设备应充分考虑驱动器的类型、容量以及专业要求。为了保证数字证据的连续性,还应该有专业的磁盘映像工具,该工具能实现位对位的磁盘映像并对磁盘映像文件产生内部校验和错误日志。如果有条件,还可以购置一些专门用于数字取证的取证计算机和数字取证勘察箱或者是数字取证塔等硬件设备。
数字取证实验室的软件包括操作系统、应用软件、取证工具软件等三类软件。操作系统应该安装常用的Unix、Linux、Windows等,用来模拟犯罪环境。操作系统本身自带了大量的软件工具,其中有一些工具可以用来进行数字取证。应用软件用来模拟产生犯罪现场中的数据和信息,比如常用的office办公软件可以模拟出各种
犯罪数据,如犯罪嫌疑人记录的联系人、资金账单等。
取证软件可以收集或分析有关数据,以便于发现与案件相关的信息。这些取证工具可以使用非专门的取证软件,也可以使用为取证工作专门开发的专业软件。非专门的取证软件数量众多,功能也不一样。比如用于数据恢复的Easy Recovery、用于证据保全的MD5校验工
具md5sum等等。
目前,全球广泛使用的专业的数字取证的工具主要有:EnCase,Forensic Toolkit,WinHex以及TCT[4]。此外,国内一些研究人员、研究机构和企业也致力于研发专业的数字取证工具。如厦门美亚柏科公司的取证大师等。在实验教学中,主要选择了国内广泛使用的Encase软件进行具体的实践。Encase软件的主要功能包括建立案例、建立证据文件、数据保全、磁盘浏览、数据搜索、数据恢复、网页及电子邮件搜索等,能自动提取及分析常见的数据。
三、“数字取证”实验教学策略
经过几年来对“数字取证”课程的讲授,逐步探索对课程教学内容及教学方法的改革。加强教学内容的更新,适应数字取证技术的发展;同时,加强理论和实验教学方式的创新,注重理论与实践并重。
在“数字取证”课程的教学过程中,使用了启发式教学。启发式教学涉及“数字取证”教学过程的各个环节,具体的方法也有很多[5]。在实验教学中,我们主要通过以下几个环节精心安排:设置场景、置问与引导、反馈与评价。
(一)设置场景
对于启发式教学来说,通常要有一些好的问题对学生进行启发引导,激发学生解决问题的动机和活力。但在实践中找到好的问题并不容易。为了避免问题过于简单、过于复杂或是偏离主题,我们精心准备了问题产生的实验场景。在这些场景中,学生们分成很多小组,组内进行任务分工。一些学生扮演犯罪分子实施场景内的犯罪活动,另一些学生则扮演数字取证技术人员开展具体的调查取证工作。根据“数字取证”课程的教学要求和具体的学时数,主要设置了三类场景。
1.保护案发现场场景。在此场景中,扮演犯罪分子的学生模拟出犯罪现场;扮演技术人员的学生需要进行现场的保护及现场必要证据的收集。包括物理证据的收集、软件环境的保护、易失性数据的收集以及现场的计算机和外围设备、网络设备的封存等工作。
2.获取证据场景。在该场景中,扮演犯罪分子的学生对模拟出的犯罪证据进行删除、加密及清除等各种操作;扮演技术人员的学生要获取真实的、具体的证据,同时应该保证数据的安全性和完整性。包括数据的恢复、数据的解密、数据的备份以及数据的保全等工作。
3.分析及记录场景。在该场景中,给出了滥用公司资源、少女失踪等等具体的案例。扮演犯罪分子的学生模拟出案例中的犯罪活动;扮演技术人员的学生对获取的证据进行综合分析,找到有用的、合法的证据并准确记录归档。这里,让学生对具体案例所涉及的计算机相关的证据进行提取、分析和决策,同时进行详细记录,据此完成最后的实验报告[6]。
(二)置问与引导
置问是启发式教学的一个重要目的。在具体的实验中,先采用以教师置問为主的方式引导学生。同时,为了减轻教师置问对学生带来的消极影响,激发学生的探疑解难的兴趣,我们设计了上节提到的各种场景。为了让学生在课上讨论充分,通常提前几天把场景的材料发放给学生,让学生有充足的时间去熟悉案例,查阅相关资料。
在这些场景中,学生自由表达观点、质疑探究问题,并通过个人、小组、集体和教师引导等多种形式的解难释疑活动,用所学知识解决实际问题。在此过程中,教师可以走下讲台,根据学生实验的实际情况有针对性地指导,实现师生互动。此外,小组实验中,不同的学生承担不同的角色,相互之间可以讨论、互助,实现生生互动。
(三)反馈与评价
为了通过总结获得更多的启发。在学生实验完成后,还要进行反馈与评价。教师请一些小组向全班学生讲述自己的实验过程、实验结果以及体会。再由其他学生对此讲述自己的意见和建议。最后教师对学生的实验情况给出评讲。在评讲的过程中,要多以赞赏鼓励为主,以指出下次努力的方向为辅。教师对学生取得的点滴进步的赞扬会很好地激发学生的自我认同感,提升其自信心。
数字取证科学是一个比较新的领域,其综合性和实践性都比较强,需要结合不断出现的各种新问题及新技术来不断地完善其教学体系。在进行“数字取证”教学的探索研究的过程中,应做好实验课程的建设。本文探讨了数字取证的实验环境的建设并从启发式教学的角度阐述了“数字取证”课程的实验教学的一些探索。
参考文献:
[1]李念.计算机取证教学体系研究[J].辽宁行政学院学 报,2007,(11).
[2]丁丽萍.对公安院校开设计算机取证课程的思考[J].北 京人民警察学院学报,2005,(2).
[3]王群,李馥娟.计算机取证技术实验室建设[J].实验室 研究与探索,2013,(10).
[4]翟皓,昊石文,昌梁彬等.基于TCT的取证工具适应性问 题及其解决方法研究[J].计算机应用与软件,2012,(11).
[5]戴丹.启发式教学在计算机取证教学中的应用[J].现代 计算机,2012,(12).
[6]宋秀丽,陈龙,邓红耀.计算机取证课程实验教学探讨 [J].实验室研究与探讨,2007,(6).