摘 要：“數(shù)字取證”是一門綜合性與實(shí)踐性較強(qiáng)的學(xué)科，需要選擇適當(dāng)?shù)慕虒W(xué)方法。文章針對(duì)數(shù)字取證課程實(shí)驗(yàn)教學(xué)進(jìn)行了探索，提出了使實(shí)驗(yàn)結(jié)合啟發(fā)式教學(xué)的策略，旨在將理論教學(xué)和實(shí)踐更好地結(jié)合。

關(guān)鍵詞：數(shù)字取證；啟發(fā)式教學(xué)；實(shí)驗(yàn)教學(xué)

中圖分類號(hào)：G642.0 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1002-4107（2017）02-0013-02

計(jì)算機(jī)和網(wǎng)絡(luò)在社會(huì)生活的各個(gè)領(lǐng)域的應(yīng)用越來(lái)越普遍，與之相關(guān)的犯罪也越來(lái)越多。要打擊并遏制此類犯罪，執(zhí)法機(jī)關(guān)必須依照法律的要求獲取各種合法的證據(jù)。數(shù)字取證就是為打擊與計(jì)算機(jī)有關(guān)的犯罪提供證據(jù)的科學(xué)方法和手段，它的迅速發(fā)展使得對(duì)數(shù)字取證的專業(yè)人才的需求越來(lái)越迫切。國(guó)外十分重視數(shù)字取證的教學(xué)研究，比如麻省理工學(xué)院提供了信息系統(tǒng)安全認(rèn)證研究生課程，加利福尼亞大學(xué)設(shè)置了計(jì)算機(jī)安全實(shí)驗(yàn)室，同時(shí)開展了相關(guān)的技術(shù)研究[1]。目前，國(guó)內(nèi)一些高校也開設(shè)了數(shù)字取證的相關(guān)課程，但對(duì)該課程的教學(xué)及相關(guān)建設(shè)都還在探索階段。

啟發(fā)式教學(xué)是一種先進(jìn)的教學(xué)理念和方法，它提倡以學(xué)生為主體，充分調(diào)動(dòng)學(xué)生的積極能動(dòng)性。啟發(fā)式教學(xué)法應(yīng)該與具體的教學(xué)實(shí)踐相結(jié)合，滲透在教學(xué)的各個(gè)環(huán)節(jié)中。數(shù)字取證是一門實(shí)踐性很強(qiáng)的學(xué)科，實(shí)驗(yàn)教學(xué)是一個(gè)重要的環(huán)節(jié)，對(duì)于數(shù)字取證技術(shù)人員而言尤為重要。因此，開展數(shù)字取證的實(shí)驗(yàn)教學(xué)的研究具有重要意義。本文對(duì)“數(shù)字取證”啟發(fā)式教學(xué)中的實(shí)驗(yàn)教學(xué)進(jìn)行了探索。

一、啟發(fā)式教學(xué)的內(nèi)涵

啟發(fā)式教學(xué)是指在教學(xué)過(guò)程中，以學(xué)生自主學(xué)習(xí)和合作討論為前提，在教師的啟發(fā)引導(dǎo)下，學(xué)生積極思維，質(zhì)疑探究并解決實(shí)際問(wèn)題的教學(xué)形式。在啟發(fā)式教學(xué)的具體實(shí)踐中，教師應(yīng)激發(fā)學(xué)生的學(xué)習(xí)興趣，讓學(xué)生從被動(dòng)接受教育變?yōu)橹鲃?dòng)探索學(xué)習(xí)。教師要為學(xué)生的學(xué)習(xí)創(chuàng)設(shè)合適的情境和氛圍，引導(dǎo)學(xué)生進(jìn)行具體的操作，鼓勵(lì)學(xué)生大膽陳述自己的見(jiàn)解，把握討論的深度，再通過(guò)適當(dāng)?shù)姆答伜驮u(píng)價(jià)建立學(xué)生的自信。

啟發(fā)式教學(xué)方法更符合教學(xué)規(guī)律，關(guān)于這一點(diǎn)已有很多人進(jìn)行了大量的研究和證明。筆者通過(guò)自身的實(shí)踐過(guò)程和體會(huì)，把數(shù)字取證實(shí)驗(yàn)中的啟發(fā)式教學(xué)方法與讀者分享，希望能引起共鳴。

二、“數(shù)字取證”課程建設(shè)的思考

數(shù)字取證是一門跨學(xué)科的綜合學(xué)科[2]，同時(shí)涉及法學(xué)、司法鑒定、計(jì)算機(jī)科學(xué)、信息安全、社會(huì)工程學(xué)、心理學(xué)等多個(gè)學(xué)科領(lǐng)域，是多學(xué)科交叉融合形成的新型學(xué)

科。與數(shù)字取證相關(guān)的術(shù)語(yǔ)有計(jì)算機(jī)取證、電子取證、手機(jī)取證、網(wǎng)絡(luò)取證等等。這些術(shù)語(yǔ)之間的界定不是很清晰，各有側(cè)重，但取證的結(jié)果都是電子證據(jù)。電子證據(jù)具有脆弱易失性、不可靠性及表現(xiàn)形式多樣性等特點(diǎn)[3]，若要將其作為法庭上的證據(jù)，必須采用科學(xué)的方法和嚴(yán)格的程序保證電子證據(jù)具有客觀性、關(guān)聯(lián)性、合法性以及證據(jù)連續(xù)性?！皵?shù)字取證”課程的開設(shè)，強(qiáng)調(diào)理論與實(shí)踐并重，學(xué)生在學(xué)好理論課程的同時(shí)，應(yīng)有較強(qiáng)的實(shí)踐動(dòng)手能力。與傳統(tǒng)的物證技術(shù)相比， 數(shù)字取證無(wú)論是在法律依據(jù)上還是在技術(shù)上都需要解決大量的問(wèn)題，因此，

需要在實(shí)驗(yàn)教學(xué)中采取合適的方法。

（一）完善“數(shù)字取證”實(shí)驗(yàn)教學(xué)體系

要做好“數(shù)字取證”的實(shí)驗(yàn)教學(xué)工作，就需要構(gòu)建一個(gè)合理的、科學(xué)的教學(xué)體系。“數(shù)字取證”的實(shí)驗(yàn)內(nèi)容主要包括電子證據(jù)（包括易失性數(shù)據(jù)）的確認(rèn)、提取、保護(hù)、分析和歸檔等過(guò)程。通過(guò)該實(shí)驗(yàn)課的基本訓(xùn)練，學(xué)生不只加深理解和鞏固所學(xué)的理論知識(shí)，掌握常用的原理和實(shí)現(xiàn)方法，更要將理論基礎(chǔ)知識(shí)應(yīng)用于實(shí)踐，切實(shí)掌握數(shù)字取證技術(shù)的基本技能和技巧，熟練使用常用的數(shù)字取證的工具，初步具備數(shù)字取證工作的能力。提升專業(yè)技能的應(yīng)用的同時(shí)，通過(guò)分組實(shí)驗(yàn)，加強(qiáng)學(xué)生的科學(xué)素養(yǎng)和團(tuán)隊(duì)協(xié)作精神，為培養(yǎng)更專業(yè)的數(shù)字取證技術(shù)人才奠定良好的基礎(chǔ)。

（二）營(yíng)造數(shù)字取證的實(shí)驗(yàn)環(huán)境

由于計(jì)算機(jī)犯罪中形式的多樣性，實(shí)驗(yàn)室需要模擬各種與計(jì)算機(jī)有關(guān)的犯罪形式和信息數(shù)據(jù)，使學(xué)生在各種模擬的犯罪現(xiàn)場(chǎng)中能夠進(jìn)行證據(jù)的提取和調(diào)查工作。因此，實(shí)驗(yàn)室應(yīng)該有幾十臺(tái)計(jì)算機(jī)以及路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備，并將這些設(shè)備構(gòu)建出一個(gè)網(wǎng)絡(luò)，該網(wǎng)絡(luò)與互聯(lián)網(wǎng)相連。為了數(shù)據(jù)的獲取和備份，應(yīng)該有一些大容量的移動(dòng)硬盤和備份設(shè)備，備份設(shè)備應(yīng)充分考慮驅(qū)動(dòng)器的類型、容量以及專業(yè)要求。為了保證數(shù)字證據(jù)的連續(xù)性，還應(yīng)該有專業(yè)的磁盤映像工具，該工具能實(shí)現(xiàn)位對(duì)位的磁盤映像并對(duì)磁盤映像文件產(chǎn)生內(nèi)部校驗(yàn)和錯(cuò)誤日志。如果有條件，還可以購(gòu)置一些專門用于數(shù)字取證的取證計(jì)算機(jī)和數(shù)字取證勘察箱或者是數(shù)字取證塔等硬件設(shè)備。

數(shù)字取證實(shí)驗(yàn)室的軟件包括操作系統(tǒng)、應(yīng)用軟件、取證工具軟件等三類軟件。操作系統(tǒng)應(yīng)該安裝常用的Unix、Linux、Windows等，用來(lái)模擬犯罪環(huán)境。操作系統(tǒng)本身自帶了大量的軟件工具，其中有一些工具可以用來(lái)進(jìn)行數(shù)字取證。應(yīng)用軟件用來(lái)模擬產(chǎn)生犯罪現(xiàn)場(chǎng)中的數(shù)據(jù)和信息，比如常用的office辦公軟件可以模擬出各種

犯罪數(shù)據(jù)，如犯罪嫌疑人記錄的聯(lián)系人、資金賬單等。

取證軟件可以收集或分析有關(guān)數(shù)據(jù)，以便于發(fā)現(xiàn)與案件相關(guān)的信息。這些取證工具可以使用非專門的取證軟件，也可以使用為取證工作專門開發(fā)的專業(yè)軟件。非專門的取證軟件數(shù)量眾多，功能也不一樣。比如用于數(shù)據(jù)恢復(fù)的Easy Recovery、用于證據(jù)保全的MD5校驗(yàn)工

具md5sum等等。

目前，全球廣泛使用的專業(yè)的數(shù)字取證的工具主要有：EnCase，F(xiàn)orensic Toolkit，WinHex以及TCT[4]。此外，國(guó)內(nèi)一些研究人員、研究機(jī)構(gòu)和企業(yè)也致力于研發(fā)專業(yè)的數(shù)字取證工具。如廈門美亞柏科公司的取證大師等。在實(shí)驗(yàn)教學(xué)中，主要選擇了國(guó)內(nèi)廣泛使用的Encase軟件進(jìn)行具體的實(shí)踐。Encase軟件的主要功能包括建立案例、建立證據(jù)文件、數(shù)據(jù)保全、磁盤瀏覽、數(shù)據(jù)搜索、數(shù)據(jù)恢復(fù)、網(wǎng)頁(yè)及電子郵件搜索等，能自動(dòng)提取及分析常見(jiàn)的數(shù)據(jù)。

三、“數(shù)字取證”實(shí)驗(yàn)教學(xué)策略

經(jīng)過(guò)幾年來(lái)對(duì)“數(shù)字取證”課程的講授，逐步探索對(duì)課程教學(xué)內(nèi)容及教學(xué)方法的改革。加強(qiáng)教學(xué)內(nèi)容的更新，適應(yīng)數(shù)字取證技術(shù)的發(fā)展；同時(shí)，加強(qiáng)理論和實(shí)驗(yàn)教學(xué)方式的創(chuàng)新，注重理論與實(shí)踐并重。

在“數(shù)字取證”課程的教學(xué)過(guò)程中，使用了啟發(fā)式教學(xué)。啟發(fā)式教學(xué)涉及“數(shù)字取證”教學(xué)過(guò)程的各個(gè)環(huán)節(jié)，具體的方法也有很多[5]。在實(shí)驗(yàn)教學(xué)中，我們主要通過(guò)以下幾個(gè)環(huán)節(jié)精心安排：設(shè)置場(chǎng)景、置問(wèn)與引導(dǎo)、反饋與評(píng)價(jià)。

（一）設(shè)置場(chǎng)景

對(duì)于啟發(fā)式教學(xué)來(lái)說(shuō)，通常要有一些好的問(wèn)題對(duì)學(xué)生進(jìn)行啟發(fā)引導(dǎo)，激發(fā)學(xué)生解決問(wèn)題的動(dòng)機(jī)和活力。但在實(shí)踐中找到好的問(wèn)題并不容易。為了避免問(wèn)題過(guò)于簡(jiǎn)單、過(guò)于復(fù)雜或是偏離主題，我們精心準(zhǔn)備了問(wèn)題產(chǎn)生的實(shí)驗(yàn)場(chǎng)景。在這些場(chǎng)景中，學(xué)生們分成很多小組，組內(nèi)進(jìn)行任務(wù)分工。一些學(xué)生扮演犯罪分子實(shí)施場(chǎng)景內(nèi)的犯罪活動(dòng)，另一些學(xué)生則扮演數(shù)字取證技術(shù)人員開展具體的調(diào)查取證工作。根據(jù)“數(shù)字取證”課程的教學(xué)要求和具體的學(xué)時(shí)數(shù)，主要設(shè)置了三類場(chǎng)景。

1.保護(hù)案發(fā)現(xiàn)場(chǎng)場(chǎng)景。在此場(chǎng)景中，扮演犯罪分子的學(xué)生模擬出犯罪現(xiàn)場(chǎng)；扮演技術(shù)人員的學(xué)生需要進(jìn)行現(xiàn)場(chǎng)的保護(hù)及現(xiàn)場(chǎng)必要證據(jù)的收集。包括物理證據(jù)的收集、軟件環(huán)境的保護(hù)、易失性數(shù)據(jù)的收集以及現(xiàn)場(chǎng)的計(jì)算機(jī)和外圍設(shè)備、網(wǎng)絡(luò)設(shè)備的封存等工作。

2.獲取證據(jù)場(chǎng)景。在該場(chǎng)景中，扮演犯罪分子的學(xué)生對(duì)模擬出的犯罪證據(jù)進(jìn)行刪除、加密及清除等各種操作；扮演技術(shù)人員的學(xué)生要獲取真實(shí)的、具體的證據(jù)，同時(shí)應(yīng)該保證數(shù)據(jù)的安全性和完整性。包括數(shù)據(jù)的恢復(fù)、數(shù)據(jù)的解密、數(shù)據(jù)的備份以及數(shù)據(jù)的保全等工作。

3.分析及記錄場(chǎng)景。在該場(chǎng)景中，給出了濫用公司資源、少女失蹤等等具體的案例。扮演犯罪分子的學(xué)生模擬出案例中的犯罪活動(dòng)；扮演技術(shù)人員的學(xué)生對(duì)獲取的證據(jù)進(jìn)行綜合分析，找到有用的、合法的證據(jù)并準(zhǔn)確記錄歸檔。這里，讓學(xué)生對(duì)具體案例所涉及的計(jì)算機(jī)相關(guān)的證據(jù)進(jìn)行提取、分析和決策，同時(shí)進(jìn)行詳細(xì)記錄，據(jù)此完成最后的實(shí)驗(yàn)報(bào)告[6]。

（二）置問(wèn)與引導(dǎo)

置問(wèn)是啟發(fā)式教學(xué)的一個(gè)重要目的。在具體的實(shí)驗(yàn)中，先采用以教師置問(wèn)為主的方式引導(dǎo)學(xué)生。同時(shí)，為了減輕教師置問(wèn)對(duì)學(xué)生帶來(lái)的消極影響，激發(fā)學(xué)生的探疑解難的興趣，我們?cè)O(shè)計(jì)了上節(jié)提到的各種場(chǎng)景。為了讓學(xué)生在課上討論充分，通常提前幾天把場(chǎng)景的材料發(fā)放給學(xué)生，讓學(xué)生有充足的時(shí)間去熟悉案例，查閱相關(guān)資料。

在這些場(chǎng)景中，學(xué)生自由表達(dá)觀點(diǎn)、質(zhì)疑探究問(wèn)題，并通過(guò)個(gè)人、小組、集體和教師引導(dǎo)等多種形式的解難釋疑活動(dòng)，用所學(xué)知識(shí)解決實(shí)際問(wèn)題。在此過(guò)程中，教師可以走下講臺(tái)，根據(jù)學(xué)生實(shí)驗(yàn)的實(shí)際情況有針對(duì)性地指導(dǎo)，實(shí)現(xiàn)師生互動(dòng)。此外，小組實(shí)驗(yàn)中，不同的學(xué)生承擔(dān)不同的角色，相互之間可以討論、互助，實(shí)現(xiàn)生生互動(dòng)。

（三）反饋與評(píng)價(jià)

為了通過(guò)總結(jié)獲得更多的啟發(fā)。在學(xué)生實(shí)驗(yàn)完成后，還要進(jìn)行反饋與評(píng)價(jià)。教師請(qǐng)一些小組向全班學(xué)生講述自己的實(shí)驗(yàn)過(guò)程、實(shí)驗(yàn)結(jié)果以及體會(huì)。再由其他學(xué)生對(duì)此講述自己的意見(jiàn)和建議。最后教師對(duì)學(xué)生的實(shí)驗(yàn)情況給出評(píng)講。在評(píng)講的過(guò)程中，要多以贊賞鼓勵(lì)為主，以指出下次努力的方向?yàn)檩o。教師對(duì)學(xué)生取得的點(diǎn)滴進(jìn)步的贊揚(yáng)會(huì)很好地激發(fā)學(xué)生的自我認(rèn)同感，提升其自信心。

數(shù)字取證科學(xué)是一個(gè)比較新的領(lǐng)域，其綜合性和實(shí)踐性都比較強(qiáng)，需要結(jié)合不斷出現(xiàn)的各種新問(wèn)題及新技術(shù)來(lái)不斷地完善其教學(xué)體系。在進(jìn)行“數(shù)字取證”教學(xué)的探索研究的過(guò)程中，應(yīng)做好實(shí)驗(yàn)課程的建設(shè)。本文探討了數(shù)字取證的實(shí)驗(yàn)環(huán)境的建設(shè)并從啟發(fā)式教學(xué)的角度闡述了“數(shù)字取證”課程的實(shí)驗(yàn)教學(xué)的一些探索。

參考文獻(xiàn)：

[1]李念.計(jì)算機(jī)取證教學(xué)體系研究[J].遼寧行政學(xué)院學(xué) 報(bào)，2007，（11）.

[2]丁麗萍.對(duì)公安院校開設(shè)計(jì)算機(jī)取證課程的思考[J].北 京人民警察學(xué)院學(xué)報(bào)，2005，（2）.

[3]王群，李馥娟.計(jì)算機(jī)取證技術(shù)實(shí)驗(yàn)室建設(shè)[J].實(shí)驗(yàn)室 研究與探索，2013，（10）.

[4]翟皓，昊石文，昌梁彬等.基于TCT的取證工具適應(yīng)性問(wèn) 題及其解決方法研究[J].計(jì)算機(jī)應(yīng)用與軟件，2012，（11）.

[5]戴丹.啟發(fā)式教學(xué)在計(jì)算機(jī)取證教學(xué)中的應(yīng)用[J].現(xiàn)代 計(jì)算機(jī)，2012，（12）.

[6]宋秀麗，陳龍，鄧紅耀.計(jì)算機(jī)取證課程實(shí)驗(yàn)教學(xué)探討 [J].實(shí)驗(yàn)室研究與探討，2007，（6）.