8、數(shù)據(jù)安全

1、數(shù) 據(jù) 安 全,劉春林,數(shù)據(jù)備份重點(diǎn)內(nèi)容,應(yīng)急響應(yīng)和數(shù)據(jù)恢復(fù)容災(zāi)備份原理數(shù)據(jù)備份技術(shù) Windows文件恢復(fù),應(yīng)急響應(yīng)和數(shù)據(jù)恢復(fù),計(jì)算機(jī)應(yīng)急響應(yīng)和數(shù)據(jù)恢復(fù)的背景：自互聯(lián)網(wǎng)誕生以來(lái)，計(jì)算機(jī)網(wǎng)絡(luò)安全就成為大家共同面對(duì)的問(wèn)題，從進(jìn)入21世紀(jì)后，這一全球性問(wèn)題驟然變得突出起來(lái)。如2000年yahoo網(wǎng)站遭到大規(guī)模拒絕服務(wù)攻擊而癱瘓，2001年爆發(fā)了紅色代碼等蠕蟲(chóng)事件，2002年全球的根域名服務(wù)器遭到大規(guī)模服務(wù)攻擊，2003年又爆發(fā)了S

2、QL Slammer等蠕蟲(chóng)事件，其間還發(fā)生著不計(jì)其數(shù)的網(wǎng)頁(yè)惡意篡改和黑客攻擊競(jìng)賽等計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題。針如何對(duì)這些問(wèn)題進(jìn)行預(yù)防和補(bǔ)救呢，應(yīng)急響應(yīng)和數(shù)據(jù)恢復(fù)應(yīng)運(yùn)而生,應(yīng)急響應(yīng)和數(shù)據(jù)恢復(fù),應(yīng)急響應(yīng)概念計(jì)算機(jī)安全技術(shù)人員在計(jì)算機(jī)系統(tǒng)遇到突發(fā)事件后所采取的措施和行動(dòng)。突發(fā)事件是指影響一個(gè)系統(tǒng)正常工作的情況，可分為主機(jī)范疇和網(wǎng)絡(luò)范疇兩個(gè)方面，具體是指黑客入侵、信息竊取、拒絕服務(wù)攻擊、宕機(jī)、網(wǎng)絡(luò)數(shù)據(jù)流量異常等等,應(yīng)急響應(yīng)和數(shù)據(jù)恢復(fù),數(shù)據(jù)恢復(fù)

3、是指系統(tǒng)數(shù)據(jù)在遭到意外破壞或丟失的時(shí)候，將實(shí)現(xiàn)備份復(fù)制的數(shù)據(jù)釋放到系統(tǒng)中去的過(guò)程。數(shù)據(jù)恢復(fù)在應(yīng)急響應(yīng)處理中具有舉足輕重的作用。數(shù)據(jù)恢復(fù)包括：系統(tǒng)文件的恢復(fù)、系統(tǒng)配置內(nèi)容的恢復(fù)、數(shù)據(jù)庫(kù)數(shù)據(jù)的恢復(fù)等等,應(yīng)急響應(yīng)和數(shù)據(jù)恢復(fù),應(yīng)急響應(yīng)的一般階段：1、確認(rèn)2、遏制3、根除4、恢復(fù)5、跟蹤,應(yīng)急響應(yīng)和數(shù)據(jù)恢復(fù),1、確認(rèn) 1）指定事件處理責(zé)任人，全權(quán)處理事件并給予一定資源2）確認(rèn)事件的影響程度，預(yù)計(jì)采用什么樣的資源修復(fù)。2、遏制

4、 1）初步分析，采用重點(diǎn)的遏制方法，如隔離2）確定進(jìn)一步操作風(fēng)險(xiǎn)，控制損失保持最小3、根除 1）分析原因和漏洞2）進(jìn)行安全加固3）改進(jìn)安全策略4、恢復(fù) 1）被攻擊的是同有備份來(lái)恢復(fù)2）做新的備份3）對(duì)所有安全上的變更作備份4）服務(wù)重新上線并持續(xù)監(jiān)控5、跟蹤 1）關(guān)注系統(tǒng)恢復(fù)以后運(yùn)行的安全狀況2）建立跟蹤文檔，記錄跟蹤結(jié)果3）對(duì)響應(yīng)效果給出評(píng)估,應(yīng)急響應(yīng),𙦧

5、2;重新獲得控制權(quán)從網(wǎng)絡(luò)中斷開(kāi)備份被攻破的系統(tǒng)鏡像啟動(dòng)安全系統(tǒng)，把泄密系統(tǒng)掛到安全系統(tǒng)􀂈分析入侵尋找被修改的程序或配置文件尋找被修改的數(shù)據(jù)，如web pages, 尋找入侵者留下的工具和數(shù)據(jù)# find / \( -perm -004000 -o -perm -002000 \) -type f –printTar –d 顯示備份系統(tǒng)與被破壞系統(tǒng)的差別Md5sum

6、檢查被更改的rpm包檢查日志文件messages,xferlog,utmp,wtmp, ~/.history,應(yīng)急響應(yīng),􀂈恢復(fù)安裝一份干凈的操作系統(tǒng)􀂀關(guān)掉所有不必要的服務(wù)􀂀安裝所有的補(bǔ)丁􀂀修改所有用戶口令􀂀根據(jù)UNIX / Windows的安全配置指南文件檢查系統(tǒng)安全性􀂙http://www

7、.cert.org/tech_tips/unix_configuration_guidelines.html􀂙http://www.auscert.org.au/Information/Auscert_info/Papers/win_configuration_guidelines.html􀂀安裝安全工具􀂀激活記賬功能􀂀配置防火墻,數(shù)據(jù)備份

8、與恢復(fù)技術(shù),􀂈高可用性系統(tǒng)􀂈網(wǎng)絡(luò)備份􀂈SAN備份􀂈災(zāi)難恢復(fù)方案,數(shù)據(jù)備份與恢復(fù),高可用性系統(tǒng),數(shù)據(jù)備份與恢復(fù),高可用性系統(tǒng)–兩臺(tái)服務(wù)器分別運(yùn)行后臺(tái)檢測(cè)進(jìn)程和控制進(jìn)程–檢測(cè)進(jìn)程定時(shí)收集磁盤(pán)、網(wǎng)絡(luò)、串口等信息–控制進(jìn)程通過(guò)串口、網(wǎng)絡(luò)和共享磁盤(pán)實(shí)現(xiàn)通信，交換信息–發(fā)現(xiàn)故障進(jìn)行接管處理–接管后IP地址動(dòng)態(tài)切換–自動(dòng)對(duì)ARP緩沖空間進(jìn)行刷新–

9、自動(dòng)進(jìn)行文件空間的掛接–自動(dòng)啟動(dòng)應(yīng)用程序和數(shù)據(jù)庫(kù),數(shù)據(jù)備份與恢復(fù),熱機(jī)備份,數(shù)據(jù)備份與恢復(fù),網(wǎng)絡(luò)備份,數(shù)據(jù)備份與恢復(fù),本地備份的優(yōu)缺點(diǎn)：,數(shù)據(jù)備份與恢復(fù),網(wǎng)絡(luò)備份的特點(diǎn)：,數(shù)據(jù)備份與恢復(fù),網(wǎng)絡(luò)備份的特點(diǎn)1.一臺(tái)備份服務(wù)器可以備份多臺(tái)業(yè)務(wù)主機(jī)和服務(wù)器2.可以通過(guò)網(wǎng)絡(luò)備份軟件跨平臺(tái)實(shí)時(shí)備份正在使用數(shù)據(jù)庫(kù)和文件3.利用專業(yè)的網(wǎng)絡(luò)備份軟件備份數(shù)據(jù)比系統(tǒng)提供的備份速度快4.多服務(wù)器環(huán)境平行作業(yè)處理技術(shù)5.網(wǎng)絡(luò)備份軟件具有完

10、善的帶庫(kù)管理功能6.全自動(dòng)備份和恢復(fù),可設(shè)定時(shí)間,定時(shí)備份7.可選擇完全備份、增量備份、差量備份,數(shù)據(jù)備份與恢復(fù),備份服務(wù)器的選擇：可根據(jù)備份的數(shù)據(jù)量、要求的備份速度以及備份服務(wù)器所采用的操作系統(tǒng)來(lái)決定選型，它可以從PC機(jī)到大型服務(wù)器、小型機(jī)不等。網(wǎng)絡(luò)備份軟件的選擇：現(xiàn)在比較有影響力的網(wǎng)絡(luò)備份軟件有:?VERITAS公司的NetBackup?Legato公司的NetWorker?CA公司的ARCserveI

11、T?SeaGate公司的Backup Exec?Stac公司的Replica,數(shù)據(jù)備份與恢復(fù),災(zāi)難恢復(fù)方案,數(shù)據(jù)備份與恢復(fù),,災(zāi)難恢復(fù)的系統(tǒng)結(jié)構(gòu),Windows被刪文件恢復(fù),計(jì)算機(jī)在使用過(guò)程中難免會(huì)遇到更換機(jī)器、中毒、系統(tǒng)崩潰、升級(jí)等情況，有時(shí)還需要進(jìn)行硬盤(pán)的格式化，結(jié)果發(fā)現(xiàn)有些重要的數(shù)據(jù)忘記備份，那后悔也來(lái)不及了!難道真的沒(méi)有辦法了嗎?不，能恢復(fù)的! 下面我們先學(xué)習(xí)一下windows文件存儲(chǔ)原理：,Windows文件存儲(chǔ)原理

12、,硬盤(pán)中由一組金屬材料為基層的盤(pán)片組成，盤(pán)片上附著磁性涂層，靠硬盤(pán)本身轉(zhuǎn)動(dòng)和磁頭的移動(dòng)來(lái)讀寫(xiě)數(shù)據(jù)的。其中最外面的一圈稱為“0”磁道。上面記錄了硬盤(pán)的規(guī)格、型號(hào)、主引導(dǎo)記錄、目錄結(jié)構(gòu)等一系列最重要的信息。我們存放在硬盤(pán)上的每一個(gè)文件都在這里有登記，相當(dāng)于文件的戶口簿。在讀取文件時(shí)，首先要尋找0磁道的有關(guān)文件的初始扇區(qū)，然后按圖索驥，才能找到文件的老巢。但是刪除就不一樣了，系統(tǒng)僅僅對(duì)零磁道的文件信息打上刪除標(biāo)準(zhǔn)。但這個(gè)文件本身并沒(méi)有被清除。

13、只是文件占用的空間在系統(tǒng)中被顯示為釋放，而且，當(dāng)你下次往硬盤(pán)上存儲(chǔ)文件時(shí)，系統(tǒng)將會(huì)優(yōu)先考慮真正的空白區(qū)，只有這些區(qū)域被用完以后，才會(huì)覆蓋上述被刪文件實(shí)際占有的空間。另外，即使硬盤(pán)格式化后(如Format)，只要及時(shí)搶救，還是有很大希望的。,Windows文件恢復(fù)工具RecoverNT,RecoverNT是一個(gè)超級(jí)文件和磁盤(pán)恢復(fù)程序，利用它能夠恢復(fù)被刪除的重要信息，甚至還能夠從已經(jīng)重新分區(qū)、格式化或者其它文件系統(tǒng)已經(jīng)損壞的磁盤(pán)中抽取文件，

14、并允許恢復(fù)完整的目錄并盡量保持其原有的目錄結(jié)構(gòu)。下面是RecoveNT文件恢復(fù)試驗(yàn)：,Windows系統(tǒng)備份工具,Windows自有系統(tǒng)備份工具許多計(jì)算機(jī)用戶都知道備份關(guān)鍵性的系統(tǒng)和數(shù)據(jù)文件的重要性，但都只是使用一些專門(mén)的備份工具來(lái)進(jìn)行備份，而并不知道在Windows XP和2000系統(tǒng)中，就自帶了幾個(gè)內(nèi)置的備份選項(xiàng)，利用這幾個(gè)選項(xiàng)就可以定制一份完美的Windows備份策略,Windows自有系統(tǒng)備份工具,1、上一次正確配置

15、每次你關(guān)閉計(jì)算機(jī)的時(shí)候，Windows就會(huì)備份某些注冊(cè)表和驅(qū)動(dòng)設(shè)置（如HKEY_LOCAL_MACHINE\System\CurrentControlSet項(xiàng)），如果出現(xiàn)了一個(gè)錯(cuò)誤并不能正常啟動(dòng)Windows，你就通過(guò)可以重新啟動(dòng)計(jì)算機(jī)來(lái)恢復(fù)到之前的正常狀態(tài)。在Windows啟動(dòng)之前按F8鍵，然后利用箭頭選擇“上一次正確配置”，回車，計(jì)算機(jī)就能恢復(fù)到最近一次正常啟動(dòng)電腦的注冊(cè)表等一系列設(shè)置。,Windows自有系統(tǒng)備份工具,2、返回驅(qū)動(dòng)

16、程序 每當(dāng)你更新設(shè)備驅(qū)動(dòng)時(shí)，Windows就會(huì)自動(dòng)備份舊的設(shè)備驅(qū)動(dòng)。一旦驅(qū)動(dòng)出現(xiàn)問(wèn)題，就可以利用這個(gè)備份來(lái)使其恢復(fù)到正常運(yùn)行狀態(tài)。執(zhí)行“開(kāi)始”→“運(yùn)行”命令，鍵入“devmgmt.msc”，然后回車，就會(huì)打開(kāi)“設(shè)備管理器”。雙擊要返回驅(qū)動(dòng)的設(shè)備，就會(huì)打開(kāi)其“屬性”對(duì)話框，選擇“驅(qū)動(dòng)程序”選項(xiàng)卡，點(diǎn)擊“返回驅(qū)動(dòng)程序”即可。,Windows自有系統(tǒng)備份工具,,Windows自有系統(tǒng)備份工具,3、Windows 備份工具　　在Wind

17、ows XP和2000系統(tǒng)中，可以手動(dòng)地進(jìn)行系統(tǒng)備份。執(zhí)行“開(kāi)始”→“所有程序”→“附件”→“系統(tǒng)工具”→“備份”，然后根據(jù)向?qū)崾疽徊揭徊降牟僮骶涂梢粤耍襟E比較簡(jiǎn)單。,Windows自有系統(tǒng)備份工具,4、系統(tǒng)還原在Windows中，最好的備份系統(tǒng)設(shè)置、驅(qū)動(dòng)程序、關(guān)鍵系統(tǒng)文件的方法是使用系統(tǒng)備份。只要你定義一張時(shí)間表，系統(tǒng)就會(huì)自動(dòng)地進(jìn)行相應(yīng)的備份。執(zhí)行“開(kāi)始”→“所有程序”→“附件”→“系統(tǒng)工具”→“系統(tǒng)還原”，然后選擇“創(chuàng)建一個(gè)

18、還原點(diǎn)”。這樣，以后當(dāng)系統(tǒng)被破壞時(shí)，就可以選擇這個(gè)還原點(diǎn)進(jìn)行還原。,Windows系統(tǒng)口令忘記或被非法篡改后的無(wú)條件恢復(fù)技術(shù),創(chuàng)建windows系統(tǒng)口令恢復(fù)盤(pán),創(chuàng)建windowsXP系統(tǒng)口令恢復(fù)盤(pán),如需創(chuàng)建口令恢復(fù)盤(pán), 我們來(lái)演示下列操作步驟：1、依次點(diǎn)擊開(kāi)始、控制面板和用戶帳號(hào)。2、點(diǎn)擊您自己的帳戶名稱。3、在“相關(guān)任務(wù)”下方, 點(diǎn)擊“保護(hù)被忘記”的口令。4、依照“口令恢復(fù)向?qū)А彼崾镜牟襟E創(chuàng)建口令恢復(fù)盤(pán)。鑒于任何人均可借

19、助口令恢復(fù)盤(pán)對(duì)您的用戶帳號(hào)進(jìn)行訪問(wèn)調(diào)用, 因此, 請(qǐng)注意將該磁盤(pán)保存在安全位置。,容災(zāi)備份原理,容災(zāi)概念任何提高系統(tǒng)可用性的努力，都可稱之為容災(zāi)。 容災(zāi)分為本地容災(zāi)（就是主機(jī)集群，當(dāng)某臺(tái)主機(jī)出現(xiàn)故障，不能正常工作時(shí)，其他的主機(jī)可以替代該主機(jī)，繼續(xù)進(jìn)行正常的工作）和遠(yuǎn)程容災(zāi)。備份概念是指將數(shù)據(jù)進(jìn)行復(fù)制保存。備份分為本地備份和異地備份。,容災(zāi)備份的原理,容災(zāi)備份的原理向?qū)π畔⑾到y(tǒng)而言，就是通過(guò)將目前工作中的系統(tǒng)的基礎(chǔ)上再在本地或異

20、地增加一套或者若干套可以完成同樣功能的具有同步數(shù)據(jù)的系統(tǒng)，以減少工作中的系統(tǒng)以外出現(xiàn)崩潰時(shí)造成的損失。,容災(zāi)備份的重要性,1993年2月，美國(guó)世貿(mào)中心大樓發(fā)生爆炸。爆炸前，約有350家企業(yè)在該樓中工作。一年后，再回到世貿(mào)大樓的公司變成了150家，有200家企業(yè)由于無(wú)法存取原有重要的信息系統(tǒng)而倒閉。2003年，國(guó)內(nèi)某電信運(yùn)營(yíng)商的計(jì)費(fèi)存儲(chǔ)系統(tǒng)發(fā)生兩個(gè)小時(shí)的故障，造成400多萬(wàn)元的損失。這些還不包括導(dǎo)致的無(wú)形資產(chǎn)損失。 　　據(jù)IDC的統(tǒng)計(jì)數(shù)

21、字表明，美國(guó)在2000年以前的十年間發(fā)生過(guò)災(zāi)難的公司中，有55％當(dāng)時(shí)倒閉，剩下的45％中，因?yàn)閿?shù)據(jù)丟失，有29％也在兩年之內(nèi)倒閉，生存下來(lái)的僅占16％。Gartner Group的數(shù)據(jù)也表明，在經(jīng)歷大型災(zāi)難而導(dǎo)致系統(tǒng)停運(yùn)的公司中有2/5再也沒(méi)有恢復(fù)運(yùn)營(yíng)，剩下的公司中也有1/3在兩年內(nèi)破產(chǎn)。,SAN備份,SAN（StorageAreaNetwork），譯為存儲(chǔ)區(qū)域網(wǎng)絡(luò)。它是一種類似于普通局域網(wǎng)的一種高速存儲(chǔ)網(wǎng)絡(luò)，它通過(guò)專用的集線器、交換