1、 数数 据据 安安 全全数据备份重点内容数据备份重点内容v应急响应和数据恢复应急响应和数据恢复v容灾备份原理容灾备份原理v数据备份技术数据备份技术 vWindows文件恢复文件恢复 应急响应和数据恢复应急响应和数据恢复计算机应急响应和数据恢复的背景:计算机应急响应和数据恢复的背景:自互联网诞生以来,计算机网络安全就自互联网诞生以来,计算机网络安全就成为大家共同面对的问题,从进入成为大家共同面对的问题,从进入21世世纪后,这一全球性问题骤然变得突出起纪后,这一全球性问题骤然变得突出起来。如来。如2000年年yahoo网站遭到大规模拒网站遭到大规模拒绝服务攻击而瘫痪,绝服务攻击而瘫痪,2001年爆
2、发了红色年爆发了红色代码等蠕虫事件,代码等蠕虫事件,2002年全球的根域名年全球的根域名服务器遭到大规模服务攻击,服务器遭到大规模服务攻击,2003年又年又爆发了爆发了SQL Slammer等蠕虫事件,其间等蠕虫事件,其间还发生着不计其数的网页恶意篡改和黑还发生着不计其数的网页恶意篡改和黑客攻击竞赛等计算机网络安全问题。针客攻击竞赛等计算机网络安全问题。针如何对这些问题进行预防和补救呢,应如何对这些问题进行预防和补救呢,应急响应和数据恢复应运而生急响应和数据恢复应运而生应急响应和数据恢复应急响应和数据恢复v应急响应概念应急响应概念计算机安全技术人员在计算机系统遇到计算机安全技术人员在计算机系统
3、遇到突发事件后所采取的措施和行动。突发突发事件后所采取的措施和行动。突发事件是指影响一个系统正常工作的情况,事件是指影响一个系统正常工作的情况,可分为主机范畴和网络范畴两个方面,可分为主机范畴和网络范畴两个方面,具体是指黑客入侵、信息窃取、拒绝服具体是指黑客入侵、信息窃取、拒绝服务攻击、宕机、网络数据流量异常等等务攻击、宕机、网络数据流量异常等等应急响应和数据恢复应急响应和数据恢复v数据恢复数据恢复是指系统数据在遭到意外破坏或丢失的是指系统数据在遭到意外破坏或丢失的时候,将实现备份复制的数据释放到系时候,将实现备份复制的数据释放到系统中去的过程。数据恢复在应急响应处统中去的过程。数据恢复在应急
4、响应处理中具有举足轻重的作用。数据恢复包理中具有举足轻重的作用。数据恢复包括:系统文件的恢复、系统配置内容的括:系统文件的恢复、系统配置内容的恢复、数据库数据的恢复等等恢复、数据库数据的恢复等等应急响应和数据恢复应急响应和数据恢复v应急响应的一般阶段:应急响应的一般阶段:1、确认、确认2、遏制、遏制3、根除、根除4、恢复、恢复5、跟踪、跟踪应急响应和数据恢复应急响应和数据恢复1、确认、确认 1)指定事件处理责任人,全权处理事件并给予一定)指定事件处理责任人,全权处理事件并给予一定资源资源2)确认事件的影响程度,预计采用什么样的资源修复。)确认事件的影响程度,预计采用什么样的资源修复。2、遏制、
5、遏制 1)初步分析,采用重点的遏制方法,如隔离)初步分析,采用重点的遏制方法,如隔离2)确定进一步操作风险,控制损失保持最小)确定进一步操作风险,控制损失保持最小3、根除、根除 1)分析原因和漏洞)分析原因和漏洞2)进行安全加固)进行安全加固3)改进安全策略)改进安全策略4、恢复、恢复 1)被攻击的是同有备份来恢复)被攻击的是同有备份来恢复2)做新的备份)做新的备份3)对所有安全上的变更作备份)对所有安全上的变更作备份4)服务重新上线并持续监控)服务重新上线并持续监控5、跟踪、跟踪 1)关注系统恢复以后运行的安全状况)关注系统恢复以后运行的安全状况2)建立跟踪文档,记录跟踪结果)建立跟踪文档,
6、记录跟踪结果3)对响应效果给出评估)对响应效果给出评估应急响应应急响应v重新新得控制权重新新得控制权从网络中断开从网络中断开备份被攻破的系统镜像备份被攻破的系统镜像启动安全系统,把泄密系统挂到安全系统启动安全系统,把泄密系统挂到安全系统v分析入侵分析入侵寻找被修改的程序或配置文件寻找被修改的程序或配置文件寻找被修改的数据,如寻找被修改的数据,如web pages,寻找入侵者留下的工具和数据寻找入侵者留下的工具和数据#find/(-perm-004000-o-perm-002000)-type f printTar d 显示备份系统与被破坏系统的差别显示备份系统与被破坏系统的差别Md5sum检查
7、被更改的检查被更改的rpm包包检查日志文件检查日志文件messages,xferlog,utmp,wtmp,/.history应急响应应急响应数据备份与恢复技术数据备份与恢复技术v可用性系统可用性系统v网络备份网络备份vSAN备份备份v灾灾恢复方方灾灾恢复方方数据备份与恢复数据备份与恢复可用性系统可用性系统数据备份与恢复数据备份与恢复可用性系统可用性系统两台服务器分别运行后台检测进程和控两台服务器分别运行后台检测进程和控制进程制进程检测进程定时收集磁盘、网络、串口等检测进程定时收集磁盘、网络、串口等信息信息控制进程通过串口、网络和共享磁盘实控制进程通过串口、网络和共享磁盘实现通信,交换信息现通
8、信,交换信息发现故障进行接管处理发现故障进行接管处理接管后接管后IP地址动态切换地址动态切换自动对自动对ARP缓冲空间进行刷新缓冲空间进行刷新自动进行文件空间的挂接自动进行文件空间的挂接自动启动应用程序和数据库自动启动应用程序和数据库数据备份与恢复数据备份与恢复v热机备份热机备份数据备份与恢复数据备份与恢复v网络备份网络备份数据备份与恢复数据备份与恢复v本地备份的优缺点:本地备份的优缺点:数据备份与恢复数据备份与恢复v网络备份的特点:网络备份的特点:数据备份与恢复数据备份与恢复v网络备份的特点网络备份的特点1.一台备份服务器可以备份多台业务主机和服务器一台备份服务器可以备份多台业务主机和服务器
9、2.可以通过网络备份软件跨平台实时备份正在使用数据可以通过网络备份软件跨平台实时备份正在使用数据库和文件库和文件3.利用专业的网络备份软件备份数据比系统提供的备份利用专业的网络备份软件备份数据比系统提供的备份速度快速度快4.多服务器环境平行作业处理技术多服务器环境平行作业处理技术5.网络备份软件具有完善的带库管理功能网络备份软件具有完善的带库管理功能6.全自动备份和恢复全自动备份和恢复,可设定时间可设定时间,定时备份定时备份7.可选择完全备份、增量备份、差量备份可选择完全备份、增量备份、差量备份数据备份与恢复数据备份与恢复v备份服务器的选择:备份服务器的选择:可根据备份的数据量、要求的备份速度
10、可根据备份的数据量、要求的备份速度以及备份服务器所采用的操作系统来决以及备份服务器所采用的操作系统来决定选型,它可以从定选型,它可以从PC机到大型服务器、机到大型服务器、小型机不等。小型机不等。v网络备份软件的选择:网络备份软件的选择:现在比较有影响力的网络备份软件有现在比较有影响力的网络备份软件有:VERITAS公司的公司的NetBackupLegato公司的公司的NetWorkerCA公司的公司的ARCserveITSeaGate公司的公司的Backup ExecStac公司的公司的Replica数据备份与恢复数据备份与恢复v灾灾恢复方方灾灾恢复方方数据备份与恢复数据备份与恢复灾难恢复的系
11、统结构Windows被删文件恢复被删文件恢复计算机在使用过程中灾免会遇到更换机器、计算机在使用过程中灾免会遇到更换机器、中毒、系统崩溃、升级等情况,有时还需要中毒、系统崩溃、升级等情况,有时还需要进行硬盘的格式化,结果发现有些重要的数进行硬盘的格式化,结果发现有些重要的数据忘记备份,那后悔也来不及了据忘记备份,那后悔也来不及了!灾道真的没灾道真的没有办法了吗有办法了吗?不,能恢复的不,能恢复的!下面我们先学习一下下面我们先学习一下windows文件存储原理:文件存储原理:Windows文件存储原理文件存储原理 硬盘中由一组金属材料为基层的盘片组成,盘片上附着磁硬盘中由一组金属材料为基层的盘片组
12、成,盘片上附着磁性涂层,靠硬盘本身转动和磁头的移动来读写数据的。其性涂层,靠硬盘本身转动和磁头的移动来读写数据的。其中最外面的一圈称为中最外面的一圈称为“0”磁道。上面记录了硬盘的规格、磁道。上面记录了硬盘的规格、型号、主引导记录、目录结构等一系列最重要的信息。我型号、主引导记录、目录结构等一系列最重要的信息。我们存放在硬盘上的每一个文件都在这里有登记,相当于文们存放在硬盘上的每一个文件都在这里有登记,相当于文件的户口簿。在读取文件时,首先要寻找件的户口簿。在读取文件时,首先要寻找0磁道的有关文磁道的有关文件的初始扇区,然后按图索骥,才能找到文件的老巢。但件的初始扇区,然后按图索骥,才能找到文
13、件的老巢。但是删除就不一样了,系统仅仅对零磁道的文件信息打上删是删除就不一样了,系统仅仅对零磁道的文件信息打上删除标准。但这个文件本身并没有被清除。只是文件占用的除标准。但这个文件本身并没有被清除。只是文件占用的空间在系统中被显示为释放,而且,当你下次往硬盘上存空间在系统中被显示为释放,而且,当你下次往硬盘上存储文件时,系统将会优先考虑真正的空白区,只有这些区储文件时,系统将会优先考虑真正的空白区,只有这些区域被用完以后,才会覆盖上述被删文件实际占有的空间。域被用完以后,才会覆盖上述被删文件实际占有的空间。另外,即使硬盘格式化后另外,即使硬盘格式化后(如如Format),只要及时抢救,还,只要
14、及时抢救,还是有很大希望的。是有很大希望的。Windows文件恢复工具文件恢复工具RecoverNTRecoverNT是一个超级文件和磁盘恢复程序,是一个超级文件和磁盘恢复程序,利用它能够恢复被删除的重要信息,甚至还利用它能够恢复被删除的重要信息,甚至还能够从已经重新分区、格式化或者其它文件能够从已经重新分区、格式化或者其它文件系统已经损坏的磁盘中抽取文件,并允许恢系统已经损坏的磁盘中抽取文件,并允许恢复完整的目录并尽量保持其原有的目录结构。复完整的目录并尽量保持其原有的目录结构。下面是下面是RecoveNT文件恢复试验:文件恢复试验:Windows系统备份工具系统备份工具vWindows自有
15、系统备份工具自有系统备份工具许多计算机用户都知道备份关键性的系统和许多计算机用户都知道备份关键性的系统和数据文件的重要性,但都只是使用一些专门数据文件的重要性,但都只是使用一些专门的备份工具来进行备份,而并不知道在的备份工具来进行备份,而并不知道在Windows XP和和2000系统中,就自带了几个系统中,就自带了几个内置的备份选项,利用这几个选项就可以定内置的备份选项,利用这几个选项就可以定制一份完美的制一份完美的Windows备份策略备份策略 Windows自有系统备份工具自有系统备份工具v1、上一次正确配置、上一次正确配置 每次你关闭计算机的时候,每次你关闭计算机的时候,Windows就
16、会就会备份某些注册表和驱动设置(如备份某些注册表和驱动设置(如HKEY_LOCAL_MACHINESystemCurrentControlSet项),如果出现了一个错误项),如果出现了一个错误并不能正常启动并不能正常启动Windows,你就通过可以,你就通过可以重新启动计算机来恢复到之前的正常状态。重新启动计算机来恢复到之前的正常状态。在在Windows启动之前按启动之前按F8键,然后利用箭键,然后利用箭头选择头选择“上一次正确配置上一次正确配置”,回车,计算,回车,计算机就能恢复到最近一次正常启动电脑的注机就能恢复到最近一次正常启动电脑的注册表等一系列设置。册表等一系列设置。Windows自
17、有系统备份工具自有系统备份工具v2、返回驱动程序、返回驱动程序 每当你更新设备驱动时,每当你更新设备驱动时,WindowsWindows就会自动备份旧的设备就会自动备份旧的设备驱动。一旦驱动出现问题,就可以利用这个备份来使其恢驱动。一旦驱动出现问题,就可以利用这个备份来使其恢复到正常运行状态。执行复到正常运行状态。执行“开始开始”“运行运行”命令,键入命令,键入“devmgmt.mscdevmgmt.msc”,然后回车,就会打开,然后回车,就会打开“设备管理器设备管理器”。双击要返回驱动的设备,就会打开其双击要返回驱动的设备,就会打开其“属性属性”对话框,选对话框,选择择“驱动程序驱动程序”选
18、项卡,点击选项卡,点击“返回驱动程序返回驱动程序”即可。即可。Windows自有系统备份工具自有系统备份工具Windows自有系统备份工具自有系统备份工具v3、Windows 备份工具备份工具在在Windows XP和和2000系统中,可以系统中,可以手动地进行系统备份。执行手动地进行系统备份。执行“开开始始”“所有程序所有程序”“附件附件”“系统系统工具工具”“备份备份”,然后根据向导提示一,然后根据向导提示一步一步的操作就可以了,步骤比较简单。步一步的操作就可以了,步骤比较简单。Windows自有系统备份工具自有系统备份工具v4、系统还原、系统还原在在Windows中,最好的备份系统设置、
19、驱中,最好的备份系统设置、驱动程序、关键系统文件的方法是使用系统动程序、关键系统文件的方法是使用系统备份。只要你定义一张时间表,系统就会备份。只要你定义一张时间表,系统就会自动地进行相应的备份。执行自动地进行相应的备份。执行“开开始始”“所有程序所有程序”“附件附件”“系统系统工具工具”“系统还原系统还原”,然后选择,然后选择“创建创建一个还原点一个还原点”。这样,以后当系统被破坏。这样,以后当系统被破坏时,就可以选择这个还原点进行还原。时,就可以选择这个还原点进行还原。Windows系统口令忘记或被非法篡改后的无条件恢系统口令忘记或被非法篡改后的无条件恢复技术复技术v创建创建windows系
20、统口令恢复盘系统口令恢复盘创建创建windowsXP系统口令恢复盘系统口令恢复盘如需创建口令恢复盘如需创建口令恢复盘,我们来演示下列操作步我们来演示下列操作步骤:骤:1、依次点击开始、控制面板和用户帐号。、依次点击开始、控制面板和用户帐号。2、点击您自己的帐户名称。、点击您自己的帐户名称。3、在、在“相关任务相关任务”下方下方,点击点击“保护被忘记保护被忘记”的口令。的口令。4、依照、依照“口令恢复向导口令恢复向导”所提示的步骤创建所提示的步骤创建口令恢复盘。口令恢复盘。鉴于任何人均可借助口令恢复盘对您的用户鉴于任何人均可借助口令恢复盘对您的用户帐号进行访问调用帐号进行访问调用,因此因此,请注
21、意将该磁盘保请注意将该磁盘保存在安全位置。存在安全位置。容灾备份原理容灾备份原理v容灾概念容灾概念任何提系统可用性的努力,都可称之为容任何提系统可用性的努力,都可称之为容灾。灾。容灾分为本地容灾(就是主机集群,当容灾分为本地容灾(就是主机集群,当某台主机出现故障,不能正常工作时,其他某台主机出现故障,不能正常工作时,其他的主机可以替代该主机,继续进行正常的工的主机可以替代该主机,继续进行正常的工作)和远程容灾。作)和远程容灾。v备份概念备份概念是指将数据进行复制保存。备份分为本地备是指将数据进行复制保存。备份分为本地备份和异地备份。份和异地备份。容灾备份的原理容灾备份的原理v容灾备份的原理向对
22、信息系统而言,就是通容灾备份的原理向对信息系统而言,就是通过将目前工作中的系统的基础上再在本地或过将目前工作中的系统的基础上再在本地或异地增加一套或者若干套可以完成同样功能异地增加一套或者若干套可以完成同样功能的具有同步数据的系统,以减少工作中的系的具有同步数据的系统,以减少工作中的系统以外出现崩溃时造成的损失。统以外出现崩溃时造成的损失。容灾备份的重要性容灾备份的重要性v1993年年2月,美国世贸中心大楼发生爆炸。爆炸前,约有月,美国世贸中心大楼发生爆炸。爆炸前,约有350家企业在该楼中工作。一年后,再回到世贸大楼的公司家企业在该楼中工作。一年后,再回到世贸大楼的公司变成了变成了150家,有
23、家,有200家企业由于无法存取原有重要的信息家企业由于无法存取原有重要的信息系统而倒闭。系统而倒闭。2003年,国内某电信运营商的计费存储系统年,国内某电信运营商的计费存储系统发生两个小时的故障,造成发生两个小时的故障,造成400多万元的损失。这些还不包多万元的损失。这些还不包括导致的无形资产损失。括导致的无形资产损失。v据据IDC的统计数字表明,美国在的统计数字表明,美国在2000年以前的十年间发年以前的十年间发生过灾灾的公司中,有生过灾灾的公司中,有55当时倒闭,剩下的当时倒闭,剩下的45中,因中,因为数据丢失,有为数据丢失,有29也在两年之内倒闭,生存下来的仅占也在两年之内倒闭,生存下来
24、的仅占16。Gartner Group的数据也表明,在经历大型灾灾而导的数据也表明,在经历大型灾灾而导致系统停运的公司中有致系统停运的公司中有2/5再也没有恢复运营,剩下的公司再也没有恢复运营,剩下的公司中也有中也有1/3在两年内破产。在两年内破产。SAN备份备份SAN(StorageAreaNetwork),译为存储),译为存储区域网络。它是一种类似于普通局域网的一区域网络。它是一种类似于普通局域网的一种速存储网络,它通过专用的集线器、交种速存储网络,它通过专用的集线器、交换机和网关建立起与服务器和磁盘阵列之间换机和网关建立起与服务器和磁盘阵列之间的直接连接。的直接连接。SAN不是一种产品而是配置网不是一种产品而是配置网络化存储的一种方法。这种网络技术支持远络化存储的一种方法。这种网络技术支持远距离通信,并允许存储设备真正与服务器隔距离通信,并允许存储设备真正与服务器隔离,使存储成为可由所有服务器共享的资源。离,使存储成为可由所有服务器共享的资源。SAN也允许各个存储子系统,如磁盘阵列和也允许各个存储子系统,如磁盘阵列和磁带库,无需通过专用的中间服务器即可互磁带库,无需通过专用的中间服务器即可互相协作。相协作。SAN备份方式(一)备份方式(一)SAN备份方式(二)备份方式(二)
