8、數(shù)據(jù)安全

1、數(shù) 據(jù) 安 全,劉春林,數(shù)據(jù)備份重點內(nèi)容,應(yīng)急響應(yīng)和數(shù)據(jù)恢復(fù)容災(zāi)備份原理數(shù)據(jù)備份技術(shù) Windows文件恢復(fù),應(yīng)急響應(yīng)和數(shù)據(jù)恢復(fù),計算機(jī)應(yīng)急響應(yīng)和數(shù)據(jù)恢復(fù)的背景：自互聯(lián)網(wǎng)誕生以來，計算機(jī)網(wǎng)絡(luò)安全就成為大家共同面對的問題，從進(jìn)入21世紀(jì)后，這一全球性問題驟然變得突出起來。如2000年yahoo網(wǎng)站遭到大規(guī)模拒絕服務(wù)攻擊而癱瘓，2001年爆發(fā)了紅色代碼等蠕蟲事件，2002年全球的根域名服務(wù)器遭到大規(guī)模服務(wù)攻擊，2003年又爆發(fā)了S

2、QL Slammer等蠕蟲事件，其間還發(fā)生著不計其數(shù)的網(wǎng)頁惡意篡改和黑客攻擊競賽等計算機(jī)網(wǎng)絡(luò)安全問題。針如何對這些問題進(jìn)行預(yù)防和補(bǔ)救呢，應(yīng)急響應(yīng)和數(shù)據(jù)恢復(fù)應(yīng)運(yùn)而生,應(yīng)急響應(yīng)和數(shù)據(jù)恢復(fù),應(yīng)急響應(yīng)概念計算機(jī)安全技術(shù)人員在計算機(jī)系統(tǒng)遇到突發(fā)事件后所采取的措施和行動。突發(fā)事件是指影響一個系統(tǒng)正常工作的情況，可分為主機(jī)范疇和網(wǎng)絡(luò)范疇兩個方面，具體是指黑客入侵、信息竊取、拒絕服務(wù)攻擊、宕機(jī)、網(wǎng)絡(luò)數(shù)據(jù)流量異常等等,應(yīng)急響應(yīng)和數(shù)據(jù)恢復(fù),數(shù)據(jù)恢復(fù)

3、是指系統(tǒng)數(shù)據(jù)在遭到意外破壞或丟失的時候，將實現(xiàn)備份復(fù)制的數(shù)據(jù)釋放到系統(tǒng)中去的過程。數(shù)據(jù)恢復(fù)在應(yīng)急響應(yīng)處理中具有舉足輕重的作用。數(shù)據(jù)恢復(fù)包括：系統(tǒng)文件的恢復(fù)、系統(tǒng)配置內(nèi)容的恢復(fù)、數(shù)據(jù)庫數(shù)據(jù)的恢復(fù)等等,應(yīng)急響應(yīng)和數(shù)據(jù)恢復(fù),應(yīng)急響應(yīng)的一般階段：1、確認(rèn)2、遏制3、根除4、恢復(fù)5、跟蹤,應(yīng)急響應(yīng)和數(shù)據(jù)恢復(fù),1、確認(rèn) 1）指定事件處理責(zé)任人，全權(quán)處理事件并給予一定資源2）確認(rèn)事件的影響程度，預(yù)計采用什么樣的資源修復(fù)。2、遏制

4、 1）初步分析，采用重點的遏制方法，如隔離2）確定進(jìn)一步操作風(fēng)險，控制損失保持最小3、根除 1）分析原因和漏洞2）進(jìn)行安全加固3）改進(jìn)安全策略4、恢復(fù) 1）被攻擊的是同有備份來恢復(fù)2）做新的備份3）對所有安全上的變更作備份4）服務(wù)重新上線并持續(xù)監(jiān)控5、跟蹤 1）關(guān)注系統(tǒng)恢復(fù)以后運(yùn)行的安全狀況2）建立跟蹤文檔，記錄跟蹤結(jié)果3）對響應(yīng)效果給出評估,應(yīng)急響應(yīng),𙦧

5、2;重新獲得控制權(quán)從網(wǎng)絡(luò)中斷開備份被攻破的系統(tǒng)鏡像啟動安全系統(tǒng)，把泄密系統(tǒng)掛到安全系統(tǒng)􀂈分析入侵尋找被修改的程序或配置文件尋找被修改的數(shù)據(jù)，如web pages, 尋找入侵者留下的工具和數(shù)據(jù)# find / \( -perm -004000 -o -perm -002000 \) -type f –printTar –d 顯示備份系統(tǒng)與被破壞系統(tǒng)的差別Md5sum

6、檢查被更改的rpm包檢查日志文件messages,xferlog,utmp,wtmp, ~/.history,應(yīng)急響應(yīng),􀂈恢復(fù)安裝一份干凈的操作系統(tǒng)􀂀關(guān)掉所有不必要的服務(wù)􀂀安裝所有的補(bǔ)丁􀂀修改所有用戶口令􀂀根據(jù)UNIX / Windows的安全配置指南文件檢查系統(tǒng)安全性􀂙http://www

7、.cert.org/tech_tips/unix_configuration_guidelines.html􀂙http://www.auscert.org.au/Information/Auscert_info/Papers/win_configuration_guidelines.html􀂀安裝安全工具􀂀激活記賬功能􀂀配置防火墻,數(shù)據(jù)備份

8、與恢復(fù)技術(shù),􀂈高可用性系統(tǒng)􀂈網(wǎng)絡(luò)備份􀂈SAN備份􀂈災(zāi)難恢復(fù)方案,數(shù)據(jù)備份與恢復(fù),高可用性系統(tǒng),數(shù)據(jù)備份與恢復(fù),高可用性系統(tǒng)–兩臺服務(wù)器分別運(yùn)行后臺檢測進(jìn)程和控制進(jìn)程–檢測進(jìn)程定時收集磁盤、網(wǎng)絡(luò)、串口等信息–控制進(jìn)程通過串口、網(wǎng)絡(luò)和共享磁盤實現(xiàn)通信，交換信息–發(fā)現(xiàn)故障進(jìn)行接管處理–接管后IP地址動態(tài)切換–自動對ARP緩沖空間進(jìn)行刷新–

9、自動進(jìn)行文件空間的掛接–自動啟動應(yīng)用程序和數(shù)據(jù)庫,數(shù)據(jù)備份與恢復(fù),熱機(jī)備份,數(shù)據(jù)備份與恢復(fù),網(wǎng)絡(luò)備份,數(shù)據(jù)備份與恢復(fù),本地備份的優(yōu)缺點：,數(shù)據(jù)備份與恢復(fù),網(wǎng)絡(luò)備份的特點：,數(shù)據(jù)備份與恢復(fù),網(wǎng)絡(luò)備份的特點1.一臺備份服務(wù)器可以備份多臺業(yè)務(wù)主機(jī)和服務(wù)器2.可以通過網(wǎng)絡(luò)備份軟件跨平臺實時備份正在使用數(shù)據(jù)庫和文件3.利用專業(yè)的網(wǎng)絡(luò)備份軟件備份數(shù)據(jù)比系統(tǒng)提供的備份速度快4.多服務(wù)器環(huán)境平行作業(yè)處理技術(shù)5.網(wǎng)絡(luò)備份軟件具有完

10、善的帶庫管理功能6.全自動備份和恢復(fù),可設(shè)定時間,定時備份7.可選擇完全備份、增量備份、差量備份,數(shù)據(jù)備份與恢復(fù),備份服務(wù)器的選擇：可根據(jù)備份的數(shù)據(jù)量、要求的備份速度以及備份服務(wù)器所采用的操作系統(tǒng)來決定選型，它可以從PC機(jī)到大型服務(wù)器、小型機(jī)不等。網(wǎng)絡(luò)備份軟件的選擇：現(xiàn)在比較有影響力的網(wǎng)絡(luò)備份軟件有:?VERITAS公司的NetBackup?Legato公司的NetWorker?CA公司的ARCserveI

11、T?SeaGate公司的Backup Exec?Stac公司的Replica,數(shù)據(jù)備份與恢復(fù),災(zāi)難恢復(fù)方案,數(shù)據(jù)備份與恢復(fù),,災(zāi)難恢復(fù)的系統(tǒng)結(jié)構(gòu),Windows被刪文件恢復(fù),計算機(jī)在使用過程中難免會遇到更換機(jī)器、中毒、系統(tǒng)崩潰、升級等情況，有時還需要進(jìn)行硬盤的格式化，結(jié)果發(fā)現(xiàn)有些重要的數(shù)據(jù)忘記備份，那后悔也來不及了!難道真的沒有辦法了嗎?不，能恢復(fù)的! 下面我們先學(xué)習(xí)一下windows文件存儲原理：,Windows文件存儲原理

12、,硬盤中由一組金屬材料為基層的盤片組成，盤片上附著磁性涂層，靠硬盤本身轉(zhuǎn)動和磁頭的移動來讀寫數(shù)據(jù)的。其中最外面的一圈稱為“0”磁道。上面記錄了硬盤的規(guī)格、型號、主引導(dǎo)記錄、目錄結(jié)構(gòu)等一系列最重要的信息。我們存放在硬盤上的每一個文件都在這里有登記，相當(dāng)于文件的戶口簿。在讀取文件時，首先要尋找0磁道的有關(guān)文件的初始扇區(qū)，然后按圖索驥，才能找到文件的老巢。但是刪除就不一樣了，系統(tǒng)僅僅對零磁道的文件信息打上刪除標(biāo)準(zhǔn)。但這個文件本身并沒有被清除。

13、只是文件占用的空間在系統(tǒng)中被顯示為釋放，而且，當(dāng)你下次往硬盤上存儲文件時，系統(tǒng)將會優(yōu)先考慮真正的空白區(qū)，只有這些區(qū)域被用完以后，才會覆蓋上述被刪文件實際占有的空間。另外，即使硬盤格式化后(如Format)，只要及時搶救，還是有很大希望的。,Windows文件恢復(fù)工具RecoverNT,RecoverNT是一個超級文件和磁盤恢復(fù)程序，利用它能夠恢復(fù)被刪除的重要信息，甚至還能夠從已經(jīng)重新分區(qū)、格式化或者其它文件系統(tǒng)已經(jīng)損壞的磁盤中抽取文件，

14、并允許恢復(fù)完整的目錄并盡量保持其原有的目錄結(jié)構(gòu)。下面是RecoveNT文件恢復(fù)試驗：,Windows系統(tǒng)備份工具,Windows自有系統(tǒng)備份工具許多計算機(jī)用戶都知道備份關(guān)鍵性的系統(tǒng)和數(shù)據(jù)文件的重要性，但都只是使用一些專門的備份工具來進(jìn)行備份，而并不知道在Windows XP和2000系統(tǒng)中，就自帶了幾個內(nèi)置的備份選項，利用這幾個選項就可以定制一份完美的Windows備份策略,Windows自有系統(tǒng)備份工具,1、上一次正確配置

15、每次你關(guān)閉計算機(jī)的時候，Windows就會備份某些注冊表和驅(qū)動設(shè)置（如HKEY_LOCAL_MACHINE\System\CurrentControlSet項），如果出現(xiàn)了一個錯誤并不能正常啟動Windows，你就通過可以重新啟動計算機(jī)來恢復(fù)到之前的正常狀態(tài)。在Windows啟動之前按F8鍵，然后利用箭頭選擇“上一次正確配置”，回車，計算機(jī)就能恢復(fù)到最近一次正常啟動電腦的注冊表等一系列設(shè)置。,Windows自有系統(tǒng)備份工具,2、返回驅(qū)動

16、程序 每當(dāng)你更新設(shè)備驅(qū)動時，Windows就會自動備份舊的設(shè)備驅(qū)動。一旦驅(qū)動出現(xiàn)問題，就可以利用這個備份來使其恢復(fù)到正常運(yùn)行狀態(tài)。執(zhí)行“開始”→“運(yùn)行”命令，鍵入“devmgmt.msc”，然后回車，就會打開“設(shè)備管理器”。雙擊要返回驅(qū)動的設(shè)備，就會打開其“屬性”對話框，選擇“驅(qū)動程序”選項卡，點擊“返回驅(qū)動程序”即可。,Windows自有系統(tǒng)備份工具,,Windows自有系統(tǒng)備份工具,3、Windows 備份工具　　在Wind

17、ows XP和2000系統(tǒng)中，可以手動地進(jìn)行系統(tǒng)備份。執(zhí)行“開始”→“所有程序”→“附件”→“系統(tǒng)工具”→“備份”，然后根據(jù)向?qū)崾疽徊揭徊降牟僮骶涂梢粤?，步驟比較簡單。,Windows自有系統(tǒng)備份工具,4、系統(tǒng)還原在Windows中，最好的備份系統(tǒng)設(shè)置、驅(qū)動程序、關(guān)鍵系統(tǒng)文件的方法是使用系統(tǒng)備份。只要你定義一張時間表，系統(tǒng)就會自動地進(jìn)行相應(yīng)的備份。執(zhí)行“開始”→“所有程序”→“附件”→“系統(tǒng)工具”→“系統(tǒng)還原”，然后選擇“創(chuàng)建一個

18、還原點”。這樣，以后當(dāng)系統(tǒng)被破壞時，就可以選擇這個還原點進(jìn)行還原。,Windows系統(tǒng)口令忘記或被非法篡改后的無條件恢復(fù)技術(shù),創(chuàng)建windows系統(tǒng)口令恢復(fù)盤,創(chuàng)建windowsXP系統(tǒng)口令恢復(fù)盤,如需創(chuàng)建口令恢復(fù)盤, 我們來演示下列操作步驟：1、依次點擊開始、控制面板和用戶帳號。2、點擊您自己的帳戶名稱。3、在“相關(guān)任務(wù)”下方, 點擊“保護(hù)被忘記”的口令。4、依照“口令恢復(fù)向?qū)А彼崾镜牟襟E創(chuàng)建口令恢復(fù)盤。鑒于任何人均可借

19、助口令恢復(fù)盤對您的用戶帳號進(jìn)行訪問調(diào)用, 因此, 請注意將該磁盤保存在安全位置。,容災(zāi)備份原理,容災(zāi)概念任何提高系統(tǒng)可用性的努力，都可稱之為容災(zāi)。 容災(zāi)分為本地容災(zāi)（就是主機(jī)集群，當(dāng)某臺主機(jī)出現(xiàn)故障，不能正常工作時，其他的主機(jī)可以替代該主機(jī)，繼續(xù)進(jìn)行正常的工作）和遠(yuǎn)程容災(zāi)。備份概念是指將數(shù)據(jù)進(jìn)行復(fù)制保存。備份分為本地備份和異地備份。,容災(zāi)備份的原理,容災(zāi)備份的原理向?qū)π畔⑾到y(tǒng)而言，就是通過將目前工作中的系統(tǒng)的基礎(chǔ)上再在本地或異

20、地增加一套或者若干套可以完成同樣功能的具有同步數(shù)據(jù)的系統(tǒng)，以減少工作中的系統(tǒng)以外出現(xiàn)崩潰時造成的損失。,容災(zāi)備份的重要性,1993年2月，美國世貿(mào)中心大樓發(fā)生爆炸。爆炸前，約有350家企業(yè)在該樓中工作。一年后，再回到世貿(mào)大樓的公司變成了150家，有200家企業(yè)由于無法存取原有重要的信息系統(tǒng)而倒閉。2003年，國內(nèi)某電信運(yùn)營商的計費(fèi)存儲系統(tǒng)發(fā)生兩個小時的故障，造成400多萬元的損失。這些還不包括導(dǎo)致的無形資產(chǎn)損失。 　　據(jù)IDC的統(tǒng)計數(shù)

21、字表明，美國在2000年以前的十年間發(fā)生過災(zāi)難的公司中，有55％當(dāng)時倒閉，剩下的45％中，因為數(shù)據(jù)丟失，有29％也在兩年之內(nèi)倒閉，生存下來的僅占16％。Gartner Group的數(shù)據(jù)也表明，在經(jīng)歷大型災(zāi)難而導(dǎo)致系統(tǒng)停運(yùn)的公司中有2/5再也沒有恢復(fù)運(yùn)營，剩下的公司中也有1/3在兩年內(nèi)破產(chǎn)。,SAN備份,SAN（StorageAreaNetwork），譯為存儲區(qū)域網(wǎng)絡(luò)。它是一種類似于普通局域網(wǎng)的一種高速存儲網(wǎng)絡(luò)，它通過專用的集線器、交換