徐仙偉

摘要：從當前公安偵查專業(yè)計算機犯罪偵查方向學生的培養(yǎng)要求出發(fā)，對“存儲原理與數(shù)據(jù)恢復”課程的培養(yǎng)目標、教學內容、教學方法等方面進行探討，指出該課程建設的主要方向與具體思路，目的是使公安偵查專業(yè)計算機犯罪偵查方向的學生能夠更好地掌握數(shù)據(jù)存儲的理論知識以及數(shù)據(jù)恢復的原理與方法，并將其所學運用到計算機犯罪取證中去，為以后從事公安計算機犯罪取證工作打下基礎。

關鍵詞：計算機犯罪偵查；數(shù)據(jù)存儲；數(shù)據(jù)恢復

1、課程建設的目的和意義

隨著我國信息技術和信息產(chǎn)業(yè)的發(fā)展，計算機和網(wǎng)絡已經(jīng)滲透到我國政治、經(jīng)濟、軍事、科技、文化等各個方面，與此同時，計算機網(wǎng)絡犯罪呈逐年遞增趨勢。計算機網(wǎng)絡犯罪具有犯罪主體專業(yè)化、犯罪行為智能化、犯罪客體復雜化、犯罪對象多樣化、危害后果隱蔽等特點，這使得計算機網(wǎng)絡犯罪明顯有別于傳統(tǒng)的刑事犯罪。因此，構建全面有效打擊各種計算機網(wǎng)絡犯罪的數(shù)據(jù)恢復、計算機取證、電子物證技術學已成為打擊計算機犯罪的有效利器。

經(jīng)過多年的發(fā)展，國家各級公安機關現(xiàn)已成立了計算機犯罪監(jiān)察機構，司法部專門將涉及數(shù)據(jù)恢復、計算機取證、電子物證的計算機（司法）鑒定作為一個獨立的類型加以規(guī)范。但客觀現(xiàn)實是，我國不僅缺乏具有豐富電子物證、計算機取證、數(shù)據(jù)恢復知識的調查人員或調查機構，更缺乏切實可用的電子物證、計算機取證、數(shù)據(jù)恢復技術整合。因此，公安院校更應該結合公安實際工作需要，培養(yǎng)出在數(shù)據(jù)恢復、計算機取證、電子物證收集與處理等專業(yè)領域有一定理論基礎，將來能夠從事計算機犯罪偵查工作的學員。這些學員要能夠從事安全檢查、刑事技術、電子物證、反恐排爆、禁毒緝毒、安全防范等公檢法多個部門、多個業(yè)務領域。

2、課程簡介

2.1 課程定位

存儲原理與數(shù)據(jù)恢復課程是公安偵查專業(yè)計算機犯罪偵查方向的專業(yè)方向課，在專業(yè)課程體系結構中起主干作用，主要講解計算機犯罪取證中關于計算機存儲技術方面的理論知識，同時配合理論知識點進行實踐教學，目的是通過課程學習為學生以后從事公安一線的計算機犯罪取證工作提供指導與幫助。

2.2 課程培養(yǎng)目標

存儲原理與數(shù)據(jù)恢復課程是培養(yǎng)學生儲備公安工作信息化知識，采用信息技術對計算機犯罪取證進行有效處理的重要一步。基于此，培養(yǎng)既懂公安業(yè)務又懂信息化技術的高級應用型人才一直是該課程的指導思想。我們力求使學生在學完本課程之后，能夠掌握數(shù)據(jù)存儲基本理論，同時結合理論知識點與公安業(yè)務實際需求，將數(shù)據(jù)恢復技術應用于計算機犯罪取證實踐中。學生通過本課程的學習，一方面培養(yǎng)自己計算機存儲理論知識水平，另一方面培養(yǎng)自己的實際動手能力，學會數(shù)據(jù)恢復技術原理與基本操作方法，并在具體對象上運用不同的數(shù)據(jù)恢復手段進行熟練操作，體現(xiàn)出數(shù)據(jù)恢復方法正確、思路清晰、步驟合理、效果顯著的特點。此外，學生通過本課程的學習，培養(yǎng)自己良好的科學作風，樹立理論聯(lián)系實際的觀點，培養(yǎng)創(chuàng)新意識和創(chuàng)新能力，培養(yǎng)自己的合作精神，為將來從事公安工作打下良好的基礎。

3、課程建設內容

3.1 完善課程教學內容

完善的教學資源是課程取得成效的重要基礎。在前期的教學實踐中，雖然已經(jīng)積累了很多教學資源，但這些資源仍然不夠全面、不夠豐富。為服務于培養(yǎng)高素質應用性警務人才，本課程至少要安排36學時（包括理論教學與實驗教學）。隨著課程建設的進一步深入，我們希望能安排更多的實驗環(huán)節(jié)教學，提高學生的實際操作能力。

由于存儲原理的知識體系非常龐大，因此我們必須對其知識體系進行精簡，抓住存儲原理的精華，以點帶面，突出重點，著重講解與實際公安工作結合緊密的、在實際計算機取證領域應用廣泛的理論知識點進行講解。主要知識點包括：

1）電子證據(jù)中常用的存儲介質。

目前各類存儲介質已成為人們生活工作不可或缺的一個部分。相關的利用計算機制作、復制、傳播色情、淫穢物品案件，網(wǎng)上詐騙、敲詐勒索、非法傳銷案件，利用互聯(lián)網(wǎng)危害國家安全案件等在逐年遞增，這些已折射出我國司法在實際數(shù)據(jù)恢復、計算機取證、收集電子物證打擊計算機網(wǎng)絡犯罪工作中面臨的巨大挑戰(zhàn)。一般來說，電子證據(jù)是指在計算機系統(tǒng)運行過程中產(chǎn)生的、以其記錄的內容來證明案件事實的電磁、光記錄物。常有的存儲介質包括硬盤、u盤、CF卡、FLASH存儲等。由于各種原因（物理故障包括磁頭損壞、電機損壞、磁盤壞道、電路損壞等；邏輯故障包括誤刪除、誤克隆、誤格式化、病毒攻擊等）導致目標數(shù)據(jù)丟失、破壞的情況廣泛存在，必須有相關數(shù)據(jù)恢復、計算機取證技術來完成目標電子物證數(shù)據(jù)的提取分析。因此本課程將重點介紹存儲介質的發(fā)展歷程以及存儲技術的分類，同時結合硬盤在存儲介質中使用最廣泛的特點，對其存儲結構重點加以分析。

2）電子證據(jù)中文件的組織方式。

由于存儲介質在使用過程中應用的操作系統(tǒng)不同，其數(shù)據(jù)的組織方式不同，課程將重點從文件系統(tǒng)的角度對不同環(huán)境下數(shù)據(jù)的組織方式進行介紹，主要介紹幾種文件系統(tǒng)類型。我們只有深入理解了文件系統(tǒng)的知識點，才能準確地查找出各操作系統(tǒng)環(huán)境下數(shù)據(jù)內容、存放在存儲介質上的位置等重要信息，只有獲取這些知識，才能為下一步的數(shù)據(jù)恢復和取證工作提供幫助。

由于操作系統(tǒng)種類很多，課程中不能對所有操作系統(tǒng)的文件系統(tǒng)進行詳細介紹，只能結合當前應用最多、使用最廣的幾種操作系統(tǒng)類型（如Windows、Linux等）進行分析。由于存儲理論中關于文件系統(tǒng)的各知識點也有相通之處，因此我們希望通過本課程的學習，為學生在以后其他相關知識點的學習中提供幫助。

3）網(wǎng)絡存儲技術。

針對如今網(wǎng)絡化存儲的特點，本課程還應介紹網(wǎng)絡環(huán)境下使用最多的存儲設備——磁盤陣列（RAID）。隨著網(wǎng)絡化、信息化和數(shù)據(jù)化的發(fā)展，數(shù)據(jù)量越來越大，需要用到的存儲設備的容量和數(shù)量也越來越多。RAID作為一種由多個存儲設備組成的、能夠協(xié)同工作的存儲設備，可以充分發(fā)揮其多個存儲設備的優(yōu)勢。RAID既可以提升存儲速度，更可以增大容量，利用冗余信息位的作用，很好地提供對于數(shù)據(jù)的容錯與數(shù)據(jù)恢復的功能。因此本課程將介紹RAID的概念、分類、優(yōu)點、發(fā)展趨勢等，著重對其各級別進行詳細講解及對比分析。

4）強化數(shù)據(jù)恢復技能培養(yǎng)。

由于數(shù)據(jù)恢復技術是計算機犯罪取證中的重要環(huán)節(jié)，我們要求依據(jù)課程前面的理論知識，結合實驗指導書進行實踐操作，加深理解。

數(shù)據(jù)恢復技術是指把保留在存儲介質上的數(shù)據(jù)重新恢復的過程。即使數(shù)據(jù)被刪除、黑客攻擊或存儲介質出現(xiàn)物理故障、電路燒毀、壞道、磁頭損壞，數(shù)據(jù)恢復技術也能使相關數(shù)據(jù)完好無損地恢復，便于后期計算機取證、電子物證收集工作的順利開展。自2006年起我國在公安、檢查、經(jīng)偵、刑偵、網(wǎng)監(jiān)等陸續(xù)開始關注相關尖端數(shù)據(jù)恢復、計算機取證技術對于電子物證取證的“特殊能力”。同時，數(shù)據(jù)恢復、計算機取證技術體系憑借其穩(wěn)定性、安全性和功能性，在我國司法領域逐漸獲得了極高的認知度。

由于計算機取證課程中也會涉及這方面知識點，因此為了保證專業(yè)課程之間內容不出現(xiàn)相交，作為前導課程，實驗環(huán)節(jié)主要從存儲原理的角度，即依據(jù)不同操作系統(tǒng)下數(shù)據(jù)組織的特點來安排實踐教學，突出理論與教學相結合。

除了做好常規(guī)的課堂實驗教學外，我們還要積極開展課外課堂，培養(yǎng)學生的動手實踐能力和綜合創(chuàng)新能力。課外課堂培養(yǎng)主要包括：①進行開放實驗，鼓勵學生在學校范圍內從事對外提供數(shù)據(jù)恢復技術方面的服務，由課程教師進行課外實踐指導，利用學?，F(xiàn)有的硬件資源安排學生進行實驗操作，培養(yǎng)學生的探索精神；②參與學院組織的數(shù)據(jù)恢復技能項目，由教師提出項目名稱，學生在教師的指導下進行項目申報的填寫，并獨立完成項目的方案實施。

3.2 與公安工作結合

計算機存儲理論與數(shù)據(jù)恢復技術作為電子數(shù)據(jù)提取技術的一部分，近年來在公安機關偵查犯罪案件中得到了廣泛應用。通過鎖定計算機入侵、破壞、欺詐、攻擊等犯罪行為留下的相關數(shù)據(jù)、圖片及影音視頻資料來幫助執(zhí)法機構快速獲取、挖掘相關電子證據(jù)線索。因此在課程設計中適當加入公安實際案例教學，有利于學生以后更好、更快地適應公安機關的網(wǎng)監(jiān)、經(jīng)偵、刑偵等實際工作需要。

課程內容應盡可能與公安業(yè)務相結合。課程組教師通過公安業(yè)務實踐、調研、高層次公安院校學習，收集更多、更全的課程應用案例，并將其應用到課堂教學和實驗環(huán)節(jié)中去，讓學生了解課程與實際業(yè)務的關聯(lián)，學會利用學到的知識解決計算機犯罪取證工作中的實際問題，協(xié)助偵查人員偵破案件等。

3.3 改進教學方法

在前期的教學實踐中，由于本課程教學內容太多，在課堂教學中，教師的主導地位比較強勢，沒有充分調動學生的主動性，沒有充分發(fā)揮學生的創(chuàng)造性。因此我們需要通過課程建設，努力形成突出學生主體地位的教學模式，創(chuàng)造可以充分調動學生主動性的條件，采用多種教學方法，鼓勵教師大膽嘗試、鼓勵學學勇于挑戰(zhàn)權威、挑戰(zhàn)自我。

1）案例教學。

在課堂教學環(huán)節(jié)，結合教學內容，特別是存儲原理中難懂的部分，授課教師可以運用理論講解，配合案例進行教學。在該課程的教學過程和實驗過程中，教師將相應的案例貫穿其中。案例教學可以使深奧枯燥的理論從應用的角度進行較好的詮釋。同時，案例教學還可以培養(yǎng)學生學以致用的思路和習慣。另外，運用貼近公安特色的案例進行教學，能引發(fā)學生極大的學習興趣，也為學生日后能夠盡快融入公安工作奠定基礎。

2）啟發(fā)式教學。

該課程無論是在理論部分還是實踐部分，都采用了啟發(fā)式的教學方法。在講解新的理論知識時，教師不是直接拋出，而是從該理論的實用價值出發(fā)，引出該理論的重要意義，然后進行講解。這樣做，一方面可以激發(fā)學生的學習興趣，引發(fā)學生的自主思考，另一方面也可以解決學生學習目的不明確的問題。在實驗課中，對于一個問題的解決，教師不是直接給出答案，而是鼓勵學生的給出各種不同的解決辦法，然后進行點評，不但使學生學會了從不同角度思考問題，而且學會了對問題的評價方法。

3）任務驅動學習。

該方法主要用于設計型實驗環(huán)節(jié)，并將設計型實驗的要求明確告訴學生。學生組織成多個學習小組，每個小組都有明確的實驗目的和要求。學生可以圍繞實驗項目儲備知識，經(jīng)過不斷的努力，看著自己一步步接近項目的目標，學生分析問題和解決問題的能力會在短時間內得到極大的提升。

3.4 注重自學能力培養(yǎng)，加強教與學互動

教育工作應該意識到發(fā)現(xiàn)問題以及提出問題的重要性，因此，教師在教學過程中應該自覺地、有意識地培養(yǎng)和提高學生這方面的能力。學生在學習過程中，遇到不懂的問題，應當首先由自己來思考。思考無果后，可以設法去查閱有關的資料文獻。目前很多資料文獻是可以在網(wǎng)上查找到的，因此教師在教學的過程中也應當結合本課程的教學，適當布置一些教學任務讓學生自主完成，教師只是起指導作用，同時提供一些參考書籍、文獻幫助來引導學生完成任務。此外在教學過程中教師通過課程網(wǎng)站向學生提供網(wǎng)絡學習平臺，實現(xiàn)教與學的互動。

4、結語

通過對存儲原理與數(shù)據(jù)恢復課程的建設進行分析，進一步理清了本課程在計算機犯罪偵查方向中的作用，明確課程的定位與培養(yǎng)目標以及課程的教學內容、思路及方法。下一步我們將依據(jù)上述建設內容進一步展開工作，如結合公安實際需要，編制合理的課程教材、實驗指導書等；依據(jù)教學內容，利用上述教學方法進行教案整理、設計，為培養(yǎng)學生課外自學與實踐操作能力，開展課外課堂指導以及應用課程網(wǎng)絡平臺實現(xiàn)教與學的互動等。