隨著資訊安全領域的迅速發展及美國熱門電視影集「CSI犯罪現場」的熱情催化下,讓許多的資訊人開始注意到電腦鑑識這個專業領域及其職場的發展潛力。本文可作為有興趣進入該領域讀者的叩門磚。
最近收到許多讀者來信,詢問有關電腦鑑識職場生涯規劃的問題。電腦鑑識隨著資訊安全領域的迅速發展及美國熱門電視影集「CSI(Crime Scene Investigation)犯罪現場」的熱情催化下,讓許多的資訊人開始注意到電腦鑑識這個專業領域及其職場的發展潛力,現在我就以這篇文章為想成為電腦CSI的讀者做一個基本的介紹,並提供我個人在這個領域的生涯經驗,希望能給對這個領域有興趣的讀者一個學術鑽研及生涯規劃的方向。
電腦鑑識
在各位讀者想要變成電腦 CSI之前, 必須先了解電腦 C S I 到底要做些什麼事。何謂電腦鑑識(Computer Forensics ,學術性上又稱為 Forensic Computing)?電腦鑑識又包含那些領域及專業?
電腦鑑識屬於犯罪鑑識科學(Forensic Science)中的一個領域,主要是利用科學的方法對電腦等資訊科技設備進行犯罪蒐證,提供重要的線索及證據,來幫助犯罪案件的偵查或是法庭的審訊。電腦鑑識自1990年起己經被歐美等先進國家的司法系統所採用,以往只有在政府或軍警情治等執法單位才有這樣的資訊、資源及人才。但是因網路及電腦設備日漸普及,商業及金融產業也開始有這方面的需求。再加上新式的犯罪事件大量採用高科技電腦相關資訊設備,科技進步太過迅速,案件複雜性也日益提昇,使得有限的電腦鑑識人員也力不從心,因而開始對外與產業界的專業人才合作共同進行案件的偵辦。
由於資訊設備的電磁儲存及其運作方式的天性,正所謂是「凡走過必留下痕跡」,只要曾經在這台電腦上輸入或儲存過的資訊,一定會被記錄在這台電腦設備的儲存裝置上。即使經過無意或蓄意的刪除,還是有還原的可能性。這也就是為什麼電腦鑑識在高科技犯罪案件中佔有重要一環的原因。
電腦鑑識所涵蓋的領域非常的廣泛,但一般是圍繞在電腦的週邊設備。不過現在幾乎所有可以儲存數位資訊的裝置都包含在電腦鑑識的範圍內,例如:軟碟、硬碟、光碟、記憶卡、PDA、媒體播放裝置、手機等。
雖然電腦鑑識包含以上各個領域,但其實每個領域的鑑識程序及技術都自成一個較小的專業領域。例如:硬碟鑑識技巧和光碟鑑識有所不同、PDA鑑識和手機鑑識也完全不同。所以制訂出一套標準的電腦鑑識程序對日常鑑識工作的執行及日後接受司法系統的驗證都是非常重要的。電腦鑑識一般是以離線的方式(offline,就是在電腦關機或斷電的情況下)進行數位採證。當然在某些特定的情況下,是無法將電腦關機進行採證,這時便需要使用動態採證( Live Acquisition)的方式,例如公司的網站伺服器或是電子郵件伺服器。因為某些特定的資訊或證據會因為電腦關機斷電時而將永遠失去,所以動態採證便是針對這些證據作採證,例如:
? 存在隨機存取記憶體(RAM)之中的資料。
? 網路連線及網路設定值(包含本地端主機及來自遠端主機正在連線中的 IP Address、本地端主機的網路設定,如:Network Mask、DNS/DHCP/Gateway 設定值)。
? 正在執行中的處理程序及應用程式(Processes 和 applications)。
? 存在暫存交換檔(SWAP file 或Pagefile)中的資料。
電腦鑑識員的第一步
要如何才能成為電腦鑑識員,進入電腦鑑識工作的領域呢?我想透過有系統的教育方式是最有效的。目前有兩種最直接的方法可以開始進入這個獨特的職場領域:
? 大學或碩士課程
? 業界專業認證
接下來將分別為各位讀者介紹應注意及專注的事項。
大學或碩士教育課程
由於這個領域的快速發展,目前己經有許多學術單位及政府相關部門開始提供這類的大學或是碩士課程,但主要以美國及英國為主。台灣目前僅有警察大學的資訊管理學系之下有開設相關的科目,例如:電腦犯罪偵查及數位證據鑑識課程。
接下來我將針對英國所提供的電腦鑑識相關碩士課程為各位讀者作基本的介紹。雖然我所介紹的是針對英國的碩士課程,但我會將重點放在考慮選擇一個課程所應注意的事項及要點,如此當各位在考慮其它學校課程時,這些要點將對讀者決定那間學校及課程有很大的幫助。(請注意,以下課程是以學校字母順序排列,並非學校的排名。)
MScForensic Computing–University of Bradford
http://www.comp.brad.ac.uk/courses/courses.php/pg/mscfc
學校位於英國中北部的約克夏郡(Yorkshire)。這個課程是今年開始由學校的鑑識科學系(Forensic Science Department)及西約克夏警察合作(West Yorkshire Police)。課程內容包含以下各科目:
必修課程:
? Computer Architecture and Operating Systems(電腦架構及作業系統)
? Crime Scene Management(犯罪現場管理)
? Foundation of Cryptography(密碼學基礎)
? Networks and Protocols(網路及通訊協定)
? Computer Crime Investigation(電腦犯罪調查)
? Security, Privacy Data Protection and E-commerce(安全,隱私資料保護及電子商務)
? C o m p u t e r G r a p h i c s a n d Applications(電腦繪圖及應用)
? Crime Analysis(犯罪分析)
? Digital Image Processing(數位影像處理)
? D i s s e r t a t i o n ( F o r e n s i c Computing)(電腦鑑識論文)
選修課程:
? Data Fusion(資料融合)
? Design and Modelling of MobileProtocols(行動通訊協定的設計及模型)
? Internet Security and Protocols(網際網路安全及通訊協定)
這個課程是今年第一年開始授課,課程包含理論及實務上機操作。課程內容著重於電腦犯罪調查及電腦鑑識,其中有多門必修課程與電腦犯罪調查有非常直接的關聯,例如:Crime Scene Management,Computer Crime Investigation,Crime Analysis。另外有幾門課程對輔助電腦鑑識有實際的幫助,因為電腦鑑識過程中有部份是要用最有效的方式將犯罪過程或是數位證據表現在法庭上,讓律師及法官能清楚的了解,因此運用視覺表現的技巧就顯得格外重要,例如:Computer Graphicsand Applications,Digital Image Processing。
M S c F o r e n s i c C o m p u t i n g -Cranfield University, The RoyalMilitary College of Science
http://www.dcmt.cranfield.ac.uk/prospectus/postgraduate/computing
這是英國國防部的皇家科學軍校,學校位於英國南部的威爾特郡(Wiltshire)。課程內容包含以下各科目:
必修課程:
? Forensic Computing Foundation(Part I)(電腦鑑識基礎之一)
? Forensic Computing Foundation(Part II)(電腦鑑識基礎之二)
? S y s t ems p r o g r ammi n g f o r Forensic Computing(電腦鑑識系統程式設計)
? Law and Courtroom Skills(法律與法庭技巧)
? Corporate Security(企業安全)
選修課程:
? E-Crime(電子犯罪)
? Internet Investigation(網際網路調查)
? Forensic Networks(網路鑑識)
? Forensic Internet(網際網路鑑識)
目前這門課以Part-Time的方式進行,主要是提供給在職人員希望進入電腦鑑識領域進修。入學需求中要求英文IELTS至少要達到7分;由於這是一所軍校,而電腦鑑識又是一門敏感的科目,所以所有申請的學生都必須接受身家背景調查。
? 碩士(MSc):需要念三年。
? 碩士證書(PgDip):有學位,需要念二年。
? 碩士證書(PgCert):無學位,需要念一年。
課程於2002年開始,每年3月開課,其中有兩個月要住在學校宿舍,由學校的教授及業界的專家授課。一班約有20至25人,學生有來自世界各地的警察單位、情治單位、政府相關調查機構及一般民間資訊安全及電腦鑑識企業。
MSc Information Secruity andComputer Crime-University ofGlamorgan
h t t p : / /www. g l am. a c . u k /coursedetails/685/549
學校位於英國西部的威爾斯(Wales)。這個課程在2001年開始,結合資訊安全及電腦犯罪,所以對電腦鑑識也有相當的涵蓋。學校並與英國威爾斯警方 (Wales Police)合作,進行一些電腦鑑識及電腦犯罪調查案件。基本上這個系主要有六門必修課程:
? P r o j e c t M a n a g e m e n t a n d Research Methodologies(專案管理及研究方法)
? Security Management(安全管理)
? Computer Forensics(電腦鑑識)
? Network Security(網路安全)
? Cryptography and Electronic Commerce(密碼學及電子商務)
? Computer Law(電腦犯罪相關法律)
? Individual Project (畢業論文)雖然六門課都是必修,但考試只有考一科,就是密碼學及電子商務(Cryptography and Electronic Commerce),其它五科都只需要交書面作業,每科是兩份報告,每份報告約3、4千字左右,再加上學期末的畢業論文。
上課的部份則是隔週上課,每週上5天,每天上7小時。上課時包含理論課程及實務課程,所以會有實際上機操作的機會,例如 EnCase及 Forensics ToolKit(FTK)的系統實作。同時,課程內容也著重在最新的資訊,例如:最新的作業系統如?Windows XP、Windows Server 2003、 Linux等。一班約收20至30位學生。
由於這門課自2001年就己經開始在教授,所以至今己經有5年課程及教學的經驗,許多缺點或是問題,也在這些年的教學經驗中逐漸地改善,所以可能會較具規模。而過去幾年的學生,畢業後進入相關產業工作,也會對學校在授課內容的調整有所幫助。這些課程專注在Information Security和Computer Crime兩個領域,所以對不只想要專研電腦鑑識或是電腦犯罪領域的同學,還可同時學習資訊安全方面的領域。
M S c F o r e n s i c I n f o r m a t i o n T e c h n o l o g y - U n i v e r s i t y o f Portsmouth
h t t p : / / w w w . p o r t . a c . u k /courses/coursetypes/postgraduate/MScForensicInformationTechnology/
這個課程是 2005 年制訂出來的,但今年是第一次開始授課,課程內容包含下列各科目:
必修課:(六科)
? Cryptography(密碼學)
? C y b e r C r i m e a n d C y b e r Governance(網路犯罪及網路管理)
? Digital Forensics(數位鑑識)
? Network Security(網路安全)
? Masters Skills and Practices
? Strategic Risk Management(策略風險管理)
選修課:(至少要選兩科)
? Data Mining(資料開採)
? Offender Profiling(違法者剖析研究)
? White-Collar Crime(白領階級犯罪)
? Wireless Networks(無線網路)
主要是由學校教授上課,並邀請產業界的專業講師到校授課並分享其專業經驗。課程主要是針對電腦犯罪及鑑識為主。課程由學校的電腦學系(School of Computing)和犯罪學系(Criminal Justice)兩系合辦。學校也和警察單位有所合作,並提供理論課程及實務上機課程。今年預計應該一班會約有20位學生。
由於Portsmouth 今年是第一年開課,所以教學及行政上可能會有一些實驗性質,作為日後改善的方向,因此會有類似Pilot course的感覺。由於課程是Forensic Information Technology,所以著重的方向將會是電腦鑑識或是電腦犯罪。其中幾門選修課我想應該都會很有意思,例如:D a t a Mi n i n g,O f f e n d e r Profiling及White-Collar Crime。
由於是碩士課程,且希望畢業後可以對工作有直接的幫助,所以我認為應著重在應用性及實用性較高的課程內容,對畢業後的就職競爭力將提供較有效及直接的幫助,同時,就收益成本來計算也較為划算,因為可以現學現用。
下一期有更精采的《電腦鑑識生涯規劃-你也想成為電腦 CSI嗎?(下)》!