1、數(shù) 據(jù) 安 全,劉春林,數(shù)據(jù)備份重點內(nèi)容,應急響應和數(shù)據(jù)恢復容災備份原理數(shù)據(jù)備份技術 Windows文件恢復,應急響應和數(shù)據(jù)恢復,計算機應急響應和數(shù)據(jù)恢復的背景：自互聯(lián)網(wǎng)誕生以來，計算機網(wǎng)絡安全就成為大家共同面對的問題，從進入21世紀后，這一全球性問題驟然變得突出起來。如2000年yahoo網(wǎng)站遭到大規(guī)模拒絕服務攻擊而癱瘓，2001年爆發(fā)了紅色代碼等蠕蟲事件，2002年全球的根域名服務器遭到大規(guī)模服務攻擊，2003年又爆發(fā)了S

2、QL Slammer等蠕蟲事件，其間還發(fā)生著不計其數(shù)的網(wǎng)頁惡意篡改和黑客攻擊競賽等計算機網(wǎng)絡安全問題。針如何對這些問題進行預防和補救呢，應急響應和數(shù)據(jù)恢復應運而生,應急響應和數(shù)據(jù)恢復,應急響應概念計算機安全技術人員在計算機系統(tǒng)遇到突發(fā)事件后所采取的措施和行動。突發(fā)事件是指影響一個系統(tǒng)正常工作的情況，可分為主機范疇和網(wǎng)絡范疇兩個方面，具體是指黑客入侵、信息竊取、拒絕服務攻擊、宕機、網(wǎng)絡數(shù)據(jù)流量異常等等,應急響應和數(shù)據(jù)恢復,數(shù)據(jù)恢復

3、是指系統(tǒng)數(shù)據(jù)在遭到意外破壞或丟失的時候，將實現(xiàn)備份復制的數(shù)據(jù)釋放到系統(tǒng)中去的過程。數(shù)據(jù)恢復在應急響應處理中具有舉足輕重的作用。數(shù)據(jù)恢復包括：系統(tǒng)文件的恢復、系統(tǒng)配置內(nèi)容的恢復、數(shù)據(jù)庫數(shù)據(jù)的恢復等等,應急響應和數(shù)據(jù)恢復,應急響應的一般階段：1、確認2、遏制3、根除4、恢復5、跟蹤,應急響應和數(shù)據(jù)恢復,1、確認 1）指定事件處理責任人，全權處理事件并給予一定資源2）確認事件的影響程度，預計采用什么樣的資源修復。2、遏制

4、 1）初步分析，采用重點的遏制方法，如隔離2）確定進一步操作風險，控制損失保持最小3、根除 1）分析原因和漏洞2）進行安全加固3）改進安全策略4、恢復 1）被攻擊的是同有備份來恢復2）做新的備份3）對所有安全上的變更作備份4）服務重新上線并持續(xù)監(jiān)控5、跟蹤 1）關注系統(tǒng)恢復以后運行的安全狀況2）建立跟蹤文檔，記錄跟蹤結果3）對響應效果給出評估,應急響應,𙦧

5、2;重新獲得控制權從網(wǎng)絡中斷開備份被攻破的系統(tǒng)鏡像啟動安全系統(tǒng)，把泄密系統(tǒng)掛到安全系統(tǒng)􀂈分析入侵尋找被修改的程序或配置文件尋找被修改的數(shù)據(jù)，如web pages, 尋找入侵者留下的工具和數(shù)據(jù)# find / \( -perm -004000 -o -perm -002000 \) -type f –printTar –d 顯示備份系統(tǒng)與被破壞系統(tǒng)的差別Md5sum

6、檢查被更改的rpm包檢查日志文件messages,xferlog,utmp,wtmp, ~/.history,應急響應,􀂈恢復安裝一份干凈的操作系統(tǒng)􀂀關掉所有不必要的服務􀂀安裝所有的補丁􀂀修改所有用戶口令􀂀根據(jù)UNIX / Windows的安全配置指南文件檢查系統(tǒng)安全性􀂙http://www

7、.cert.org/tech_tips/unix_configuration_guidelines.html􀂙http://www.auscert.org.au/Information/Auscert_info/Papers/win_configuration_guidelines.html􀂀安裝安全工具􀂀激活記賬功能􀂀配置防火墻,數(shù)據(jù)備份

8、與恢復技術,􀂈高可用性系統(tǒng)􀂈網(wǎng)絡備份􀂈SAN備份􀂈災難恢復方案,數(shù)據(jù)備份與恢復,高可用性系統(tǒng),數(shù)據(jù)備份與恢復,高可用性系統(tǒng)–兩臺服務器分別運行后臺檢測進程和控制進程–檢測進程定時收集磁盤、網(wǎng)絡、串口等信息–控制進程通過串口、網(wǎng)絡和共享磁盤實現(xiàn)通信，交換信息–發(fā)現(xiàn)故障進行接管處理–接管后IP地址動態(tài)切換–自動對ARP緩沖空間進行刷新–

9、自動進行文件空間的掛接–自動啟動應用程序和數(shù)據(jù)庫,數(shù)據(jù)備份與恢復,熱機備份,數(shù)據(jù)備份與恢復,網(wǎng)絡備份,數(shù)據(jù)備份與恢復,本地備份的優(yōu)缺點：,數(shù)據(jù)備份與恢復,網(wǎng)絡備份的特點：,數(shù)據(jù)備份與恢復,網(wǎng)絡備份的特點1.一臺備份服務器可以備份多臺業(yè)務主機和服務器2.可以通過網(wǎng)絡備份軟件跨平臺實時備份正在使用數(shù)據(jù)庫和文件3.利用專業(yè)的網(wǎng)絡備份軟件備份數(shù)據(jù)比系統(tǒng)提供的備份速度快4.多服務器環(huán)境平行作業(yè)處理技術5.網(wǎng)絡備份軟件具有完

10、善的帶庫管理功能6.全自動備份和恢復,可設定時間,定時備份7.可選擇完全備份、增量備份、差量備份,數(shù)據(jù)備份與恢復,備份服務器的選擇：可根據(jù)備份的數(shù)據(jù)量、要求的備份速度以及備份服務器所采用的操作系統(tǒng)來決定選型，它可以從PC機到大型服務器、小型機不等。網(wǎng)絡備份軟件的選擇：現(xiàn)在比較有影響力的網(wǎng)絡備份軟件有:?VERITAS公司的NetBackup?Legato公司的NetWorker?CA公司的ARCserveI

11、T?SeaGate公司的Backup Exec?Stac公司的Replica,數(shù)據(jù)備份與恢復,災難恢復方案,數(shù)據(jù)備份與恢復,,災難恢復的系統(tǒng)結構,Windows被刪文件恢復,計算機在使用過程中難免會遇到更換機器、中毒、系統(tǒng)崩潰、升級等情況，有時還需要進行硬盤的格式化，結果發(fā)現(xiàn)有些重要的數(shù)據(jù)忘記備份，那后悔也來不及了!難道真的沒有辦法了嗎?不，能恢復的! 下面我們先學習一下windows文件存儲原理：,Windows文件存儲原理

12、,硬盤中由一組金屬材料為基層的盤片組成，盤片上附著磁性涂層，靠硬盤本身轉(zhuǎn)動和磁頭的移動來讀寫數(shù)據(jù)的。其中最外面的一圈稱為“0”磁道。上面記錄了硬盤的規(guī)格、型號、主引導記錄、目錄結構等一系列最重要的信息。我們存放在硬盤上的每一個文件都在這里有登記，相當于文件的戶口簿。在讀取文件時，首先要尋找0磁道的有關文件的初始扇區(qū)，然后按圖索驥，才能找到文件的老巢。但是刪除就不一樣了，系統(tǒng)僅僅對零磁道的文件信息打上刪除標準。但這個文件本身并沒有被清除。

13、只是文件占用的空間在系統(tǒng)中被顯示為釋放，而且，當你下次往硬盤上存儲文件時，系統(tǒng)將會優(yōu)先考慮真正的空白區(qū)，只有這些區(qū)域被用完以后，才會覆蓋上述被刪文件實際占有的空間。另外，即使硬盤格式化后(如Format)，只要及時搶救，還是有很大希望的。,Windows文件恢復工具RecoverNT,RecoverNT是一個超級文件和磁盤恢復程序，利用它能夠恢復被刪除的重要信息，甚至還能夠從已經(jīng)重新分區(qū)、格式化或者其它文件系統(tǒng)已經(jīng)損壞的磁盤中抽取文件，

14、并允許恢復完整的目錄并盡量保持其原有的目錄結構。下面是RecoveNT文件恢復試驗：,Windows系統(tǒng)備份工具,Windows自有系統(tǒng)備份工具許多計算機用戶都知道備份關鍵性的系統(tǒng)和數(shù)據(jù)文件的重要性，但都只是使用一些專門的備份工具來進行備份，而并不知道在Windows XP和2000系統(tǒng)中，就自帶了幾個內(nèi)置的備份選項，利用這幾個選項就可以定制一份完美的Windows備份策略,Windows自有系統(tǒng)備份工具,1、上一次正確配置

15、每次你關閉計算機的時候，Windows就會備份某些注冊表和驅(qū)動設置（如HKEY_LOCAL_MACHINE\System\CurrentControlSet項），如果出現(xiàn)了一個錯誤并不能正常啟動Windows，你就通過可以重新啟動計算機來恢復到之前的正常狀態(tài)。在Windows啟動之前按F8鍵，然后利用箭頭選擇“上一次正確配置”，回車，計算機就能恢復到最近一次正常啟動電腦的注冊表等一系列設置。,Windows自有系統(tǒng)備份工具,2、返回驅(qū)動

16、程序 每當你更新設備驅(qū)動時，Windows就會自動備份舊的設備驅(qū)動。一旦驅(qū)動出現(xiàn)問題，就可以利用這個備份來使其恢復到正常運行狀態(tài)。執(zhí)行“開始”→“運行”命令，鍵入“devmgmt.msc”，然后回車，就會打開“設備管理器”。雙擊要返回驅(qū)動的設備，就會打開其“屬性”對話框，選擇“驅(qū)動程序”選項卡，點擊“返回驅(qū)動程序”即可。,Windows自有系統(tǒng)備份工具,,Windows自有系統(tǒng)備份工具,3、Windows 備份工具　　在Wind

17、ows XP和2000系統(tǒng)中，可以手動地進行系統(tǒng)備份。執(zhí)行“開始”→“所有程序”→“附件”→“系統(tǒng)工具”→“備份”，然后根據(jù)向?qū)崾疽徊揭徊降牟僮骶涂梢粤耍襟E比較簡單。,Windows自有系統(tǒng)備份工具,4、系統(tǒng)還原在Windows中，最好的備份系統(tǒng)設置、驅(qū)動程序、關鍵系統(tǒng)文件的方法是使用系統(tǒng)備份。只要你定義一張時間表，系統(tǒng)就會自動地進行相應的備份。執(zhí)行“開始”→“所有程序”→“附件”→“系統(tǒng)工具”→“系統(tǒng)還原”，然后選擇“創(chuàng)建一個

18、還原點”。這樣，以后當系統(tǒng)被破壞時，就可以選擇這個還原點進行還原。,Windows系統(tǒng)口令忘記或被非法篡改后的無條件恢復技術,創(chuàng)建windows系統(tǒng)口令恢復盤,創(chuàng)建windowsXP系統(tǒng)口令恢復盤,如需創(chuàng)建口令恢復盤, 我們來演示下列操作步驟：1、依次點擊開始、控制面板和用戶帳號。2、點擊您自己的帳戶名稱。3、在“相關任務”下方, 點擊“保護被忘記”的口令。4、依照“口令恢復向?qū)А彼崾镜牟襟E創(chuàng)建口令恢復盤。鑒于任何人均可借

19、助口令恢復盤對您的用戶帳號進行訪問調(diào)用, 因此, 請注意將該磁盤保存在安全位置。,容災備份原理,容災概念任何提高系統(tǒng)可用性的努力，都可稱之為容災。 容災分為本地容災（就是主機集群，當某臺主機出現(xiàn)故障，不能正常工作時，其他的主機可以替代該主機，繼續(xù)進行正常的工作）和遠程容災。備份概念是指將數(shù)據(jù)進行復制保存。備份分為本地備份和異地備份。,容災備份的原理,容災備份的原理向?qū)π畔⑾到y(tǒng)而言，就是通過將目前工作中的系統(tǒng)的基礎上再在本地或異

20、地增加一套或者若干套可以完成同樣功能的具有同步數(shù)據(jù)的系統(tǒng)，以減少工作中的系統(tǒng)以外出現(xiàn)崩潰時造成的損失。,容災備份的重要性,1993年2月，美國世貿(mào)中心大樓發(fā)生爆炸。爆炸前，約有350家企業(yè)在該樓中工作。一年后，再回到世貿(mào)大樓的公司變成了150家，有200家企業(yè)由于無法存取原有重要的信息系統(tǒng)而倒閉。2003年，國內(nèi)某電信運營商的計費存儲系統(tǒng)發(fā)生兩個小時的故障，造成400多萬元的損失。這些還不包括導致的無形資產(chǎn)損失。 　　據(jù)IDC的統(tǒng)計數(shù)

21、字表明，美國在2000年以前的十年間發(fā)生過災難的公司中，有55％當時倒閉，剩下的45％中，因為數(shù)據(jù)丟失，有29％也在兩年之內(nèi)倒閉，生存下來的僅占16％。Gartner Group的數(shù)據(jù)也表明，在經(jīng)歷大型災難而導致系統(tǒng)停運的公司中有2/5再也沒有恢復運營，剩下的公司中也有1/3在兩年內(nèi)破產(chǎn)。,SAN備份,SAN（StorageAreaNetwork），譯為存儲區(qū)域網(wǎng)絡。它是一種類似于普通局域網(wǎng)的一種高速存儲網(wǎng)絡，它通過專用的集線器、交換