关于公安院校计算机取证实验室建设的探讨

关于公安院校计算机取证实验室建设的探讨 任明海 ,米　佳 (辽宁警官高等专科学校　公安信息系 ,辽宁　大连　116033) 摘　要 :近几年来 ,随着计算机和网络的普及与发展 ,存在于计算机及其他信息设备中的电子证据逐步成为 司法刑事案件中的重要的诉讼依据。为此 ,很多公安高等院校增设了计算机犯罪侦查专业以及计算机取证等相关 专业课程。但是在进行专业调整的同时 ,目前公安院校计算机取证实验室的建设尚没有一个成熟的方案。因此 , 笔者参照国内外先进经验 ,结合公安院校实际需要 ,提出了公安高等院校基于教学的计算机取证实验室方案 ,以供 参考。 关键词 :计算机取证 ; 实验室建设 ; 探讨 中图分类号 : 　D631. 15 　　文献标识码 : 　A 　　文章编号 :1008 - 5378 (2005) 05 - 0093 - 03 　　　　　　　　　　　 　收稿日期 :2004 - 03 - 31 作者简介 :任明海 (1972 —) ,男 ,辽宁营口人 ,实验师 ;米 　佳 (1966 —) ,女 ,山西潞城人 ,主任 ,副教授 ,硕士。 基金项目 :辽宁省教育厅科研基金资助项目 (2004F041) 　　一、前言 随着信息化社会的发展 ,人们对计算机和网络的依赖 程度越来越高。目前 ,无论是基于计算机和网络的高科 技、高智能犯罪案件还是传统的各类刑事案件、经济案件、 政治案件等 ,许多案件的重要证据都会不可避免地留在计 算机和网络中。因此 ,公安民警和司法人员从计算机和网 络里获取犯罪证据的能力就显得尤为重要。 计算机取证也称计算机法医学 ,它是指把计算机看作 是犯罪现场 ,对各种计算机存储介质中保存、恢复的数据 进行一种科学的检查和分析 ,搜寻确认罪犯及其犯罪证 据 ,并据此提起诉讼。计算机取证技术主要包括对嫌疑计 算机数据的安全获取、恢复 ;对疑犯数据的检测和分析 ,以 判定数据的来源和内容 ,提供法庭所需计算机证据的展 示。目前计算机取证不仅被用来解决大量的计算机犯罪 和事故 ,包括网络入侵、盗用知识产权、保险诈骗、洗钱、色 情、赌博和 E - mail 欺骗等 ,而且在案件侦破工作中 ,也已 成为所有公司和政府部门信息安全保证的基本工作。 计算机取证技术是计算机领域和法学领域的一门交 叉科学。由于在传统案件中 ,公安民警已习惯于处理实实 在在的物理证据 ,而对于以此特殊字节的形式存储在软盘 和硬盘中的电子证据 ,在心理上和技术上都有一定的差 距 ,所以 ,计算机取证技术的研究、培训成为当务之急。这 就 要求 对教师党员的评价套管和固井爆破片与爆破装置仓库管理基本要求三甲医院都需要复审吗 公安院校要适应新的形势需要 ,在调整专业和学科 建设的同时 ,加强计算机取证实验室的建设 ,以满足公安 一线的需要。 二、国内外计算机取证实验室建设的现状 高度依赖于计算机和网络的美国人早就提出 :对于计 算机犯罪仅有防守是不够的。因此 ,早在 20 世纪 80 年代 , 他们就着手研究如何在计算机和网络上捕捉违法犯罪分 子罪证的技术 ,开始了计算机取证及磁性介质上电子文档 的增、删、改痕迹鉴别技术和数据恢复技术等有关计算机 法医学方面的研究 ,并建立了世界上第一个计算机取证实 验室 (CFLAB) 。到 1995 年美国至少有 70 %的法律部门拥 有了自己的计算机取证实验室 ,取证专家在实验室内分析 从犯罪现场获取的计算机 (和外设) ,并试图找出入侵行 为 ,这极大地提高了司法机关侦查计算机犯罪的能力。 据美国密西西比州立大学计算机科学副教授戴维·丹 皮尔介绍 :“取证是对证据有系统的研究 ,计算机取证就是 把取证方法应用于计算机上。这是一个迅速成长的研究 领域 ,在国家安全、消费者保护和犯罪调查方面有重要的 应用前景。”为此 ,密西西比州立大学建设了计算机安全研 究中心。这个中心下设的实验室拥有独立计算机网络 ,能 够用于计算机攻击和防护教学。实验室还装有软件和其 他工具 ,帮助学生研究新的计算机取证技巧。同样 ,为了 满足对计算机侦查技术、计算机取证技术的培训 ,加拿大 警官学院一直注重警员计算机犯罪调查技能的培训 ,并成 立了专门的计算机犯罪调查培训中心。2002 年 9 月 ,香港 警察总署为了满足司法需要 ,斥资建成了香港第一家计算 机取证实验室。 我国目前已有厦门美亚柏科、北京天宇等多家公司开 始从事计算机取证产品的开发和推广。2005 年 1 月 ,北京 市公安局成立了我国首家电子数据司法鉴定中心。但是 , 面向公安院校教学一线需要的实验室建设还处于初级阶 段 ,没有现成的理想方案可供参考。目前中国刑警学院、 中国人民公安大学等公安高等院校已经开始在这一领域 进行实验性建设。 ·39· 2005 年 9 月 　　　　　　　　　　　　辽 宁 警 专 学 报　　　　　　　　　　　 　　　　Sept . 2005 第 5 期 (总第 33 期) 　　 　　　JOURNAL OF LIAONING POLICE ACADEMY　　　　 　　　　No. 5 (Sum. 33) © 1995-2006 Tsinghua Tongfang Optical Disc Co., Ltd. All rights reserved. 三、公安院校计算机取证实验室的建设 (一)计算机取证实验室建设的目的 公安院校建设计算机取证实验室的目的在于 ,适应新 形势下信息网络安全监察部门和其他各警种业务部门犯 罪案件侦破的需要 ,培养学员能力 ,使学员通过实验掌握 计算机取证技术的基本技能和技巧 ,熟练使用常用的计算 机取证硬件工具和软件工具 ,对嫌疑计算机 (包括各种电 子设备)中的数据进行备份、恢复、分析、检查、打印 ,并对 所分析数据作出报告。同时 ,出于实验室建设要出人才、 出成果、出效益的目的 ,计算机取证实验室还可以为科研 和公安一线案件的侦破提供技术支持以及面向政府机关、 各大公司、企业提供电子数据恢复、电子数据销毁、电子数 据文件修复、电子数据文件密码破解及硬盘修复等服务。 (二)计算机取证实验室构成 按照公安院校取证实验室建设的目的和宗旨 ,在设计 实验室方案时 ,首先把教学放在第一位 ,同时考虑到实验 室功能的拓展 ,还要满足科研和服务的需要。计算机取证 实验室构成平面图 (如图 1 所示。) 参照国外电子数据取证实验室环境的建立与功能区 域划分方法和厦门美亚公司提出的方案 ,按照完整的计算 机取证、鉴定程序 ,实验室的主要组成区域包括用于涉密 案件、独立电子证据查看的电子数据检查区 ;用于证据固 化、复制、取证调查分析的电子数据鉴定分析区 ;存放和案 件有关的电子介质的电子介质存放区 ;模拟重现网络攻击 行为、定性网络攻击活动的网络攻击环境重建区及中心机 房。实验室整个的取证分析过程、密码破解、数据恢复、证 据链分析等都基于电子证据取证分析网络进行。为了确 保电子证据的可信度、保证其司法效力 ,可增设数据监控 网络和闭路电视监控网络 ,该系统可对在实验室进行的一 系列取证步骤和过程进行记录并制作报告。取证分析网 络、数据监控网络和闭路电视监控网络的网络拓扑结构 (如图 2 所示。)主要设备组成包括 : 1、现场取证设备 :包括计算机犯罪案件现场勘查箱 (内含笔记本电脑、现场取证常用工具、常用软件) 、高速硬 盘复制机、现场特定数据获取设备以及各种类型硬盘只读 锁和转换接口等。 2、电子数据证据分析设备 :电子数据证据分析服务 器、电子数据证据分析软件、磁盘阵列、电子数据取证分析 工作站及百兆网络交换机和一些辅助设备。 3、DNA 分布式网络密码破解系统 :密码破解服务器、 密码破解软件、密码破解工作站及网络交换机、专用机柜、 UPS电源等。 图 1 　计算机取证实验室构成平面图 　　(三)计算机取证实验室建设的几点建议 1、实验室建设必须突出实用性和实践性 高等院校的实验室建设应该满足教学、科研和实战三方 面的需求。计算机取证实验室建设的重点是为公安一线培 养电子数据取证专业人才 ,但是在设计中还要考虑到实验室 功能的拓展 ,保证实验室在满足教学的同时 ,还要成为教师 和学员的科研基地 ,并能够为一线办案民警提供技术指导与 服务。 2、实验室建设必须注重先进性 计算机取证实验室的建设在我国是个新生事物 ,所以在 实验室建设上要与国外先进的计算机取证技术发展相适应 , 在满足公安业务发展对电子证据鉴定的需求下 ,在设备选取 上要保证先进、安全和可扩展性 ,在资金允许的范围内 ,尽可 能选取国外最新产品。 3、实验室建设必须把握整体性和连续性 计算机取证实验室的建设是一项投资大、技术难度高的 系统工程 ,所以在系统建设中坚持满足计算机取证各个步骤 的整体和系统要求 ,统一规划 ,统一管理。在建设中 ,可以根 ·49· 辽宁警专学报 　　2005 年第 5 期 　　　　　　　　　　　　　　　　　　　　　　　 　　　　　　　　 © 1995-2006 Tsinghua Tongfang Optical Disc Co., Ltd. All rights reserved. 据各个公安院校的具体情况 ,分步骤进行投资建设。在整个 实验室建设中 ,现场取证设备的使用、证据分析网络的建设 是重中之重。在实验室建设方案中要考虑到实验室建设的 连续性 ,在发展的前提下 ,充分合理地利用现有基础设备 ,同 时还要保持一支长期稳定的实验室管理队伍。 图 2 　计算机取证实验室网络拓扑结构图 　　四、结束语 在信息社会与高科技犯罪活动较量的背后 ,实质上是人 才的较量。目前 ,很多公安院校瞄准公安实战部门的需要 , 把计算机犯罪侦查、信息安全等作为新的学科增长点 ,努力 为公安实战部门培养急需人才。在调整专业结构、注重理论 教学的同时 ,加强专业实验室建设 ,不仅要在硬件上进行投 入 ,而且要在软件上 (包括人才培养) 加大投入 ,确保充分发 挥设备优势 ,保证人才培养的质量。 (责任编辑 :李 　娜) A Discuss Of Setting a Computer Forensics Lab in Police Academy REN Minghai ,MI Jia ( Police Information Department , Liaoning Police Academy , Dalian Liaonig 116033 , China) Abstract : According to the developing of computer and network in recent years , the digital evidence has been became an important law gist in justices criminal cases. Lots of Police Academies in our country built new major on computer criminal investigation and design some course such as computer forensic , but during this adjustment , there isn’t a good design for computer forensic lab for teaching. Hereby in this paper , the authors give a well designed solution on setting computer forensic lab based on the teaching of Police Academy , just as reference. Key words : computer forensic ;lab construction ; discuss ·59· 　　　　　　　　　　　　　　　　　　　任明海 ,米 　佳 :关于公安院校计算机取证实验室建设的探讨 © 1995-2006 Tsinghua Tongfang Optical Disc Co., Ltd. All rights reserved.