1、信息安全培训教程信息安全培训教程 有没有遇见以下类式情况o上网的时候,突然IE窗口不停地打开,最后直到资源耗尽死机?oQQ被盗,通过密码保护找回后,但里面的好友和群已经全部被删除。o想工作资料拷贝到单位电脑上,可是插入u盘后里面空空如也,辛苦的工作付之东流。o某一天下着大雨,突然“霹雳”一声,电脑突然断线了,经查是上网用的adsl modem被击坏了。o中国银行、工商银行、农业银行的网站已经在互联网上被克隆,这些似是而非的假银行网站极具欺骗性,呼和浩特市的一位市民,因登陆了假的中国银行网站,卡里的2.5万元不翼而飞。2011年度重大信息安全事件o3 月份 RSA 遭到黑客攻击,获取认证的 Se
2、curID 相关信息被窃取,而这只是麻烦的开始。在这起数据泄露事件中,黑客随后攻击了RSA客户,其中包括洛克希德马丁公司。这起事件使得RSA的母公司EMC损失了5500万美元。o4 月份“索尼被黑”事件导致黑客从索尼在线 PlayStation 网络中窃取了 7700 万客户的信息,包括信用卡账号,这一黑客攻击事件导致索尼被迫关闭了该服务并损失了 1.7 亿美元。o6月份,花旗集团承认有黑客侵入并有超过36万用户的信用卡数据被黑客盗取。这起黑客入侵事件为花旗集团造成了270万美元的损失。4 系统漏洞系统漏洞雷雨雷雨包括蠕虫、木马2.黒客行为(盗取帐号、非法控制)3.恶意软件、垃圾邮件1.人为错
3、误,比如使用不当,安全意识差等2.自然灾害、意外事故10三分技术,七分管理!2011年4月12日,韩国农协银行疑遭电脑黑客袭击,其电脑网络瘫痪了3天,数以万计的客户信息和交易数据被删除。韩国农协银行有约5000家分行,是韩国境内最大的银行网络。4月12日,该银行电脑网络开始出现故障,客户无法提款、转账、使用信用卡取得贷款。其后,银行电脑网络瘫痪3天,大约540万名信用卡客户的交易记录暂时被删除,农协银行接获大约31万名客户的投诉,另外还有将近1000人要求银行予以赔偿。根据农协银行工作人员、韩国检察官、金融监督院、中央银行调查员的初步调查,4月12日下午4点30分到5点之间,某人在外包团队中一
4、位雇员的笔记本(农协银行系统共有553台服务器,其中有320台与该笔记本有网络连接)对银行核心系统的275台服务器下达了rm.dd命令,该命令会删除服务器上的所有文件。被删除的服务器包含重启系统用的服务器。结果就是当天下午5点30分左右开始,该银行在全国1154个分行的服务中断。rm.dd是linux系统的删除命令,在农协银行也是最高级别的系统命令,只有超级管理员(Super Root)才有权限执行,根据调查员的确认,农协银行IT部门有4-5人拥有这一权限。笔记本的所有者表示删除命令并非自己所下达。事发当时,该员工的笔记本放置在银行的办公室内。有可能是拥有超级管理员权限的人利用该笔记本下达了删
5、除命令,同时,也不排除有黑客从外部互联网连接到这台笔记本,再通过这台笔记本做跳板对服务器下达指令的可能,因为该笔记本在当天的24小时内与外网是连通的。根据当天闭路电视的录像,可能有20个人有机会接触到这台笔记本,这20人当中有一人拥有Super Root权限。完整的备份方案 不足之处:不足之处:o 对于最高级别权限的super root的管理不足;o 没有基本的隔离安全机制(笔记本直接连入外网);o 没有有效的物理隔离机制(笔记)(当天有20人接触过此台电脑);o 容灾备份机制没有发挥作用;物理安全包括三个方面:物理安全包括三个方面:(1)环境安全:是指系统所在环境的安全,主要是场地与机房(2
6、)设备安全:主要指设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等(3)媒体安全:包括媒体数据的安全及媒体本身的安全。15161、设备安全主要包括设备的防盗和防毁,防止电磁信息泄漏,防止线路截获,抗电磁干扰以及电源保护。2、TEMPEST技术 1985年,荷兰学者艾克在第三届计算机通信安全防护大会上,发表关于计算机视频显示单元电磁辐射的研究报告,CRT信号在1000米以外还能接收和复现 其它外部设备如键盘、磁盘和打印机在工作中同样辐射带信号的电磁波人体健康+电磁干扰+信息泄密 17媒体安全是指媒体数据和媒体本身的安全。媒体安全:媒体的防盗;媒体的防毁;媒体数据的安全删
7、除和媒体的安全销毁计算机磁盘是常用的计算机信息载体,剩磁效应可以使正常删除的信息后使用高灵敏度的磁头和放大器可以将已抹除信息的磁盘上的原有信息提取出来 磁盘的安全防护:磁盘信息加密+磁盘信息清除 安全项目安全类别C类B类A类场地选择-+防火+内部装修-+*供配电系统+*空调系统+*火灾报警和消防设施+*防水-+*防静电-+*防雷击-+*防鼠害-+防电磁泄露-+机房安全等级注:“-”表示无要求:“+”表示有要求或增加要求,“*”表示要求与前级相同。2001年2月9日中美之间的一条海底光缆在日本横滨维护区发生阻断,造成中国电信及其他电信运营商北美方向部分电路中断。其直接维修费用估计在 500 万至
8、 600 万元人民币,间接经济损失更是无法估算。事故发生后,许多国外网站无法浏览,一些公司的业务被迫中断,甚至传说有的公司因此影响而倒闭。经有关部门调查,中美海缆阻断事故系帆布涨网捕鱼所致2009年8月17日由于台风莫拉克的影响,连接北亚地区的海缆位于韩国釜山附近的一段受到损害,致使我国至北美方向70的互联网电路中断。17、18日,连续两天,MSN及多家境外网站无法登录。不少以MSN和HOTMAIL作为主要通信手段的企业及个人的信息往来与沟通受到严重影响。操作系统是应用软件和服务运行的公共平台,操作系统安全漏洞是网络入侵的重要因素。网络入侵者一般是通过相应的扫描工具,找出被攻击的系统漏洞,并策
9、划相关的手段利用漏洞进行攻击。一次成功的攻击一般有以下五个基本步骤:1.隐藏自己的IP。2.利用扫描工具寻找攻击目标的漏洞。3.获得系统的管理员权限。4.在已经被攻破的计算机上种植供自己访问的后门。5.清除登陆日志以隐藏攻击行为。o WINDOWS本地安全策略o UACo 事件查看器o 备份和还原o 关闭系统:只有Administrators组、其它全部删除。o 通过终端服务拒绝登陆:加入Guests组。o 通过终端服务允许登陆:只加Administrators组,其他全部删除。o交互式登陆:不显示上次的用户名启用o网络访问:不允许SAM帐户和共享的匿名枚举 启用o网络访问:不允许为网络身份验
10、证储存凭证启用o网络访问:可匿名访问的共享全部删除o网络访问:可匿名访问的命名管道全部删除o网络访问:可远程访问的注册表路径全部删除o网络访问:可远程访问的注册表路径和子路径全部删除o帐户:重命名来宾帐户重命名一个帐户o帐户:重命名系统管理员帐户重命名一个帐户o 复位用户锁定计数器时间为20分钟o 用户锁定时间为20分钟o 用户锁定阈值为3次o 密码必须符合复杂性要求启用o 密码长度最小值6位o 强制密码历史5次o 密码最长使用期限42天UAC(User Account Control,用户帐户控制)是微软为提高系统安全而在Windows Vista中引入的新技术,它要求用户在执行可能会影响计
11、算机运行的操作或执行更改影响其他用户的设置的操作之前,提供权限或管理员?密码。通过在这些操作启动前对其进行验证,UAC 可以帮助防止恶意软件和间谍软件在未经许可的情况下在计算机上进行安装或对计算机进行更改。UAC四级控制:3级:始终通知2级:只有在应用程序试图改变计算机设置时才会提示用户,而用户主动对Windows进行更改设置则不会提示。1级:与默认级别稍有不同的是该级别将不启用安全桌面。0级:最低的级别则是关闭UAC功能。无论是普通计算机用户,还是专业计算机系统管理员,在操作计算机的时候都会遇到某些系统错误。很多朋友经常为无法找到出错原因,解决不了故障问题感到困扰。事实上,利用Windows
12、内置的事件查看器,加上适当的网络资源,就可以很好地解决大部分的系统问题。备份、还原从来都是系统中的关键组件。当系统或数据遭到破坏时,备份和还原功能就是信息安全的最后一道防线。o 对数据库的不正确访问,引起数据库数据错误;o 为了某种目的,故意破坏数据库,使其不能恢复;o 非法访问不该访问的数据库信息,且又不留痕迹;o 用户通过网络进行数据库访问时,有可能受到各种技术(如搭线窃听等)的攻击;o 未经授权非法修改数据库数据,使其数据失去真实性;大量信息存储在计算机的数据库中。但由于这些信息(特别是政府、军事、银行、证劵和商业等重要部门的信息)是有价值的,所以,越来越受到计算机犯罪的威胁。数据库存放
13、着在线资源中最真实和最有价值的那部分资产1.知识产权(就像可口可乐的配方或Microsoft的程序源代码)2.价格和交易数据(比如某公司的账务系统)3.客户信息(如某公司的客户资料文档)数据库中的这些数据作为商业信息或知识,一旦遭受安全威胁将带来难以想像的严重后果。o 监听网络上开放1433端口的SQL Server服务器,获取相应的IP。o 通过Xscan工具监听SQL Server服务器是否存在弱口令漏洞。o 如果存在漏洞,通过SQL综合利用工具连接上SQL Server服务器。o 通过命令行窗口创建用户,并把用户提升到administrator权限。o 通过命令行窗口打开服务器的远程服务
14、。o 通过创建的管理员用户远程入侵服务器。o 使用安全的密码策略o 使用安全的帐号策略o 加强数据库日志的记录o 使用协议加密o 端口限制o 对网络连接进行IP限制例如:很多数据库帐号的密码过于简单,这跟系统密码过于简单是一个道理。对于sa更应该注意,同时不要让sa帐号的密码写于应用程序或者脚本中。查询密码为空的数据库验证帐号Use master Select name,Password from syslogins where isntname=0 and password is null*isntname=0表示是SQL Server登录、1表示是Windows用户或组例如:SA(系统管理
15、帐号)拥有数据库的最高权限,且在默认情况下,数据库不允许修改或删除该帐号,所以这种情况就给数据库带来了很大的安全隐患。所以需要赋予SA帐号一个强壮的密码,并尽量不要在数据库应用中使用SA帐号,通过新建一个和SA一样权限的超级用户来管理数据库。例如:因为SQL Server认证模式有Windows身份认证和混合身份认证两种。如果数据库管理员不希望操作系统管理员通过操作系统来登陆数据库,可以在帐号管理中删除”BULTINA/Administrator”SQL Server 2000使用的Tabular Data Stream协议来进行网络数据交换,如果不加密的话,所有的网络传输都是明文的,包括密码
16、、数据库内容等等,这是一个很大的安全威胁。能被人在网络中截获到他们需要的东西,包括数据库帐号和密码。所以,在条件容许情况下,最好使用SSL来加密协议。默认情况下,SQL Server使用1433端口监听,站在信息安全的角度,公开且开放的端口是一个不安全的因素,所以我需要对端口进行限制。1.修改数据库实例的默认TCP/IP端口(1433)2.禁示通过1434端口探测实例的TCP/IP端口3.通过防火墙过滤拒绝掉1434端口的UDP通读因为SQL Server 数据库本身没有提供网络连接的安全解决办法,所以可以通过操作系统的IPSec实现IP数据包的安全性。例:通过对IP连接进行限制,保证只有允许
17、的IP地址访问数据库服务器,拒绝掉其它IP进行端口连接,把来自网络上的安全威胁进行有效的控制。某企业曾经准备将淘汰的三十余台电脑捐献给贫困山区的学校,该企业的负责人为了让捐出去的电脑更可靠,找了一家电脑维修店给每台电脑打扫下卫生并做个体检。虽然在把电脑交给维修店之前已经删除了硬盘上的所以数据,但没过多久该企业的部分财务数据出现在互联网上。事后查明原来是维修店的技术人员用软件恢复了硬盘中的部分数据,从而造成了严重的商业泄密事件。o 数据恢复:o 数据销毁:o 删除操作:删除操作只是将文件的索引删除,被删除的文件数据仍保存在硬盘上。o 格工化操作:格式化操作只是仅仅是为操作系统创建一个全新的空的文
18、件索引,将所有扇区标记为“未使用”的状态,让操作系统认为硬盘上是没有文件的。o EasyRecoveryo FinalDatao Power Data Recovery用过的硬盘或坏的硬盘不加处理就返修或淘汰将带来信息泄密的危险,多次格式化硬盘也并不能彻底消除信息记录,借助一些专门的恢复软件,很容易重建数据;专业的数据恢复公司亦有可能读取硬盘内的数据。而信息泄密意味着:丧失竞争力丢失公司机密数据;遭遇法律诉讼丢失客户私人数据国家安全受到威胁政府、军队信息遭窃取o方法一:覆写法 通过软件对存储介质进覆写操作。o方法二:消磁法通过消磁机对存储介质进行消磁操作。o方法三:物理消除法破坏数据的储存媒体
19、,让数据无法被系统读出。o方法四:焚毁法。焚毁存储介质,使得数据永远无法恢复。为了保护网络资源及落实安全政策。需要提供可追究责任的机制,这里涉及到三个概念:认证、授权及审计。认证:认证:对用户身份或用户访问对象的资格的验证,防止攻击者假冒合法用户获取访问权限授权:授权:当用户身份被确认合法后,赋予该用户进行文件和数据等操作的权限,包括读、写、执行及从属权审计:审计:每一个人都应该对自己所做的操作负责,所以在做完事情之后都要留下记录,以便核查责任访问控制用户身份认证资源授权数据库审计数据库对身份认证过程中攻击:对身份认证过程中攻击:数据流窃听数据流窃听(Sniffer)(Sniffer):由于认
20、证信息要通过网络传递,并且很多认证系统的口令是未经加密的明文,攻击者通过窃听网络数据,就很容易分辨出某种特定系统的认证数据,并提取出用户名和口令。拷贝拷贝/重传:重传:非法用户截获信息,然后再传送给接收者。修改或伪造:修改或伪造:非法用户截获信息,替换或修改信息后再传送给接收者,或者非法用户冒充合法用户发送信息。基于口令的认证基于口令的认证 用户名(身份)+口令(验证)=用户身份,对口令的攻击:窃听 监听Login:UserA Password:12345基于口令的认证基于口令的认证 对口令的攻击:截取/重放 拷贝认证信息然后重放认证信息(加密的口令)57对口令的攻击方法对口令的攻击方法 o
21、少于8个字符o 单一的字符类型,例如只用小写字母,或只用数字o 用户名与口令相同o 最常被人使用的弱口令:I.自己、家人、朋友、亲戚、宠物的名字II.生日、结婚纪念日、电话号码等个人信息III.工作中用到的专业术语,职业特征IV.字典中包含的单词,或者只在单词后加简单的后缀o 所有系统都使用相同的口令o 口令一直不变5960防火墙:是加载于可信网络与不可信网络之间的安全设备,是网络安全政策的有机组成部分,它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理。防火墙可以是软件、硬件和软硬件结合的发展历经简单包过滤、应用代理、状态检测(状态包过滤)防火墙最新技术是具有数据流过滤功
22、能的防火墙对于一个网络来说,所有通过“内部”和“外部”的网络流量都要经过防火墙防火墙本身必须建立在安全操作系统的基础上包过滤器在数据包的基础上控制哪些数据包可以进出网络而哪些数据包应被网络拒绝。工作在网络层,纯包过滤器只关注下列信息:源IP地址、目标IP地址、源端口、目标端口、包类型。能够在标准的路由器上以及专门的防火墙设备上执行。(1)容易实现,费用少,如果被保护网络与外界之间已经有一个独立的路由器,那么只需简单地加一个分组过滤软件便可保护整个网络。(2)分组过滤在网络层实现,不要求改动应用程序,对用户透明,用户感觉不到过滤服务器的存在,因而使用方便。(1)规则表随着应用的深化会很快变得很大
23、而且复杂,这样不仅规则难以测试,而且规则结构出现漏洞的可能性也会增加。(2)另一个重要的局限是它不能分辨好的和坏的用户,只能区分好的数据包和坏的数据包。包过滤只能工作在有黑白分明安全策略的网络环境中。o 在身份认证的基础上,依据授权对提出的资源访问请求加以控制o 安全防范和保护的主要策略,可以限制对关键资源的访问,防止非法用户的入侵和合法用户的越权访问进行访问规则检查发起访问请求合法请求则允许对外访问将 访 问 记 录写 进 日 志 文件合 法 请 求则 允 许 对内访问发起访问请求WWW Mail DNS管理子网一般子网内部WWW重点子网进行访问规则检查发起访问请求合法请求则允许对外访问将
24、访 问 记 录写 进 日 志 文件禁 止 对 外发 起 连 结请求发起访问请求WWW Mail DNS管理子网一般子网内部WWW重点子网进行访问规则检查发起访问请求合法请求则允许对外访问将 访 问 记 录写 进 日 志 文件禁止对工作子网发起连结请求发起访问请求WWW Mail DNS管理子网一般子网内部WWW重点子网Host C Host D 在防火墙上制定基于时间的访问控制策略上班时间不允许访问Internet上班时间可以访问公司的网络InternetHost C Host D Host B Host A 受保护网络Internet PermitPasswordUsername预先可在防火
25、墙上设定用户root123root123Yesadmin883No不管那台电脑都可以用相同的用户名来登陆防火墙只需在防火墙设置该用户的规则即可InternetHost A 199.168.1.2Host B199.168.1.3Host C199.168.1.4Host D199.168.1.500-50-04-BB-71-A600-50-04-BB-71-BC防火墙允许Host A上网Host C Host D Host B Host A 受保护网络Host A的流量已达到 10MHost A的流量已达到 极限值30M阻断Host A的连接Internet202.102.93.54Host
26、A受保护网络Host C Host D 192.168.1.21192.168.1.25防火墙Eth2:192.168.1.23Eth0:101.211.23.1数据IP报头数据IP报头源地址:192.168.1.21目地址:202.102.93.54源地址:101.211.23.1目地址:202.102.93.54101.211.23.2 隐藏了内部网络的结构 内部网络可以使用私有IP地址 公开地址不足的网络可以使用这种方式提供IP复用功能计算机网络的安全理解为:通过采用各种技术和管理措施,使网络系统正常运行,从而确保网络数据的可靠性、可用性、完整性和保密性。(1)可靠性:是指保证网络系统不
27、因各种因素的影响而终端正常工作。(2)可用性:是指在保证软件和数据完整的同时,还要能使其被正常利用和操作。(3)完整性:是指保护网络系统中存储和传输的软件(程序)与数据不被非法操作,即保证数据不被插入、替换和删除,数据分组不丢失、乱序,数据库中的数据或系统汇总的程序不被破坏等。(4)保密性:主要指利用密码技术对软件和数据进行加密处理,保证在系统中存储和网络上传输的软件和数据不被无关人员识别。o 网络监听的作用:监视网络的流量、状态、数据等信息,分析数据包,获得有价值的信息。o 网络监听工具:Sniffer(嗅探器),有硬件和软件两种类型。o 一把双刃剑:管理员的管理工具,主要是进行数据包分析,
28、通过网络监听软件,观测分析实时经由的数据包,从而进行网络故障定位 攻击者们常用的收集信息的工具 o 网卡工作在数据链路层,数据以帧为单位进行传输,在帧头部分含有数据的目的MAC地址和源MAC地址。o 普通模式下,网卡只接收与自己MAC地址相同的数据包,并将其传递给操作系统。o 在“混杂”模式下,网卡将所有经过的数据包都传递给操作系统。o DNS欺骗o IP欺骗:假冒他人的IP地址发送信息o 邮件欺骗:假冒他人的email地址发送信息o Web欺骗:你能相信你所看到的信息吗?DNS欺骗(域名劫持)欺骗(域名劫持)用户用户请问请问的的IP地址地址DNS服务器服务器的的IP地址是地址是主机主机的的I
29、P地址是地址是199.6.6.9返回查询结果返回查询结果的的IP地址是地址是202.109.2.2IP欺骗的动机隐藏自己的IP地址,防止被跟踪以IP地址作为授权依据穿越防火墙IP欺骗的形式单向IP欺骗:不考虑回传的数据包双向IP欺骗:要求看到回传的数据包更高级的欺骗:TCP会话劫持IP欺骗的动机隐藏自己的IP地址,防止被跟踪以IP地址作为授权依据穿越防火墙IP欺骗的形式单向IP欺骗:不考虑回传的数据包双向IP欺骗:要求看到回传的数据包更高级的欺骗:TCP会话劫持改变自己的地址IP盗用:用网络配置工具改变机器的IP地址用程序实现IP欺骗发送IP包,IP包头填上假冒的源IP地址在Unix/Linu
30、x平台上,直接用socket就可以发送,但是需要root权限在Windows平台上,不能使用Winsock可以使用winpcap注意:只能发送数据包收不到回包防火墙可能阻挡用程序实现IP欺骗发送IP包,IP包头填上假冒的源IP地址在Unix/Linux平台上,直接用socket就可以发送,但是需要root权限在Windows平台上,不能使用Winsock可以使用winpcap注意:只能发送数据包收不到回包防火墙可能阻挡如何避免如何避免IP欺骗欺骗(1)主机保护保护自己的机器不被用来实施IP欺骗保护自己的机器不被成为假冒的对象(2)网络防护路由器上设置过滤器入口过滤,外来的包带有内部IP地址出口
31、过滤,内部的包带有外部IP地址(3)保护免受源路由攻击路由器上禁止这样的数据包电子邮件欺骗的动机:匿名信欺骗的形式:o 使用类似的电子邮件地址o 修改邮件客户软件的账号配置o 直接连到smtp服务器上发信Web是应用层上提供的服务,直接面向Internet用户,欺骗的根源在于由于Internet的开放性,任何人都可以建立自己的Web站点Web站点名字(DNS域名)可以自由注册,按先后顺序并不是每个用户都清楚Web的运行规则Web欺骗的动机商业利益,商业竞争,政治目的Web欺骗的形式使用相似的域名改写URL劫持Web会话DoS通过某些手段使得目标系统或者网络不能提供正常的服务。DoS是针对可用性
32、发起的攻击拒绝服务攻击的目的拒绝服务访问,破坏组织的正常运行,使网络功能失效。使服务器崩溃并让其他人也无法访问;使某个服务器瘫痪,以方便黑客冒充;强制服务器重启,以便于黑客启动木马程序。o 粗略来看,分为三种形式n 消耗有限的物理资源o 网络连接o 带宽资源o 其他资源,如磁盘空间、进程数n合法用户可登录尝试的次数有限,攻击者可以用掉这些尝试次数n 利用漏洞,比如Ping of Deathn 修改配置信息造成DoSo 比如,修改路由器信息,造成不能访问网络;修改NT注册表,也可以关掉某些功能n 物理部件的移除,或破坏o 早期的Internet蠕虫病毒o 消耗网络资源n 分片装配,非法的TCP标
33、志,SYN Flood,等o 利用系统实现上的缺陷,点对点形式n Ping of Death,IP分片重叠o 分布式DoS(DDoS)攻击n 最著名的smurf攻击o 原理:直接利用ping包,即ICMP Echo包,有些系统在收到大量比最大包还要长的数据包,会挂起或者死机o 受影响的系统:许多操作系统受影响o 攻击做法n 直接利用ping工具,发送超大的ping数据包o 防止措施n 打补丁n 防火墙阻止这样的ping包95分布式拒绝服务攻击(DDoS)攻击者攻击者各种客户主机各种客户主机目标系统目标系统攻击准备攻击准备安置代理代理程序代理程序96分布式拒绝服务攻击(DDoS)攻击者目标系统目
34、标系统发起攻击发起攻击指令指令攻击的代理程序虚假的连接请求虚假的连接请求DoS是一台机器攻击目标,DDoS是很多台机器利用他们的高带宽攻击目标97DDoS模型o 对于网络n路由器和防火墙配置得当,可以减少受DoS攻击的危险n入侵检测系统,检测异常行为o 对于系统n升级系统内核,打上必要的补丁,特别是一些简单的DoS攻击,例如SYN Floodingn关掉不必要的服务和网络组件n如果有配额功能的话,正确地设置这些配额n监视系统的运行,避免降低到基线以下n检测系统配置信息的变化情况o 保证物理安全o 建立备份和恢复机制98防止DoS99计算机系统的可靠性 避错:提高软硬件的质量,抵御故障的发生通过
35、元器件的精选、严格的工艺、精心的设计、合理的配置、规范的管理和使用来提高可靠性。容错:使得在故障发生时,系统仍能继续运行,提供服务与资源。采用的是用冗余的资源使计算机具有容忍故障的能力。100提高计算机系统可靠性的措施 系统可靠性系统可靠性的的获得获得 可靠性 容错性 完美性 (fault tolerance)(perfection)冗余技术硬件冗余 完美硬件 完美软件(redundancy)软件冗余 整机完美性|时间冗余 部件完美性 可信软件|信息冗余 器件完美性|静态冗余(部件冗余)动态重组|-被动重组(后备 stand-by)|-主动重组(优美降级 graceful degradatio
36、n)102冗余技术o 容错主要依靠冗余设计来实现,它以增加资源的办法换取可靠性。o 根据冗余资源的不同,冗余技术分:o 硬件、软件、信息和时间冗余103冗余技术o 1、硬件冗余:通过硬件的重复使用来获得容错能力o 2、软件冗余:用多个不同软件执行同一功能,利用软件设计差异来实现容错。o 3、信息冗余:外加的一部分信息位来检测或纠正错误,可靠性编码:奇偶校验、循环冗余码CRC校验、海明码;备份o 4、时间冗余:通过消耗时间重复运算,检测故障来实现容错 指令级复执:根据错误恢复请求信 号,重新执行指令程序级复执:常用程序滚回技术,存储检查点状态,故障则返回上一正确检查点104可靠性VS成本o 冗余
37、要消耗资源,o 资源与成本按线性增加,而故障概率则可按对数规律下降,o 应当在可靠性与资源消耗之间进行权衡和折衷。105容错系统架构o 双CPU系统o 双机热备份系统o 三机表决系统o 集群系统106双CPU容错系统o 当一个 CPU板出现故障时,另一个 CPU保持继续运行。这个过程对用户是透明的,系统没有受到丝毫影响,更不会引起交易的丢失,充分保证数据的一致性和完整性。系统的容错结构能够提供系统连续运行的能力,任何单点故障不会引起系统停机,系统提供在线的维护诊断工具可在应用继续运转的情况下修复单点故障。107双机热备份双机热备份传统的高可靠性系统采用双机热备份方案。两台服务器都处于热机状态,
38、如果一台服务器坏了,另一台服务器可以将所有的业务接管过来。两种工作方式:Online方式:两台服务器都在工作,分别担负不同的任务,均衡负载。成本大,管理难。Standby方式:备份机不工作,只是监测作业机的工作状况。缺点:服务器之间切换时间较长。例如:双机热备份(网络)RS232M机S机系统盘SCSISCSISCSISCSIRS232数据盘心跳线桥109三机表决系统三机表决系统三台主机同时运行,由表决器(Voter)根据三台机器的运行结果进行表决,有两个以上的机器运行结果相同,则认定该结果为正确。通常可靠性比双机系统要高。缺点:成本高。当一台机器出现故障后表决已失去意义,其可靠性甚至比不上一个
39、双机系统。因此当三机中坏掉一台后就当作双机备份系统来用,不再进行表决。110集群系统集群系统(Clusting)指均衡负载的双机或多机系统。DEC公司最早在其 VAX系统上实现了集群技术,多服务器集群系统的主要目的是使用户的应用获得更高的速度、更好的平衡和通信能力,而不仅仅是数据可靠性很好的备份系统。集群系统对于金融、证券等大型关键业务系统是最好选择。111集群系统集群系统(Clusting)指均衡负载的双机或多机系统。DEC公司最早在其 VAX系统上实现了集群技术,多服务器集群系统的主要目的是使用户的应用获得更高的速度、更好的平衡和通信能力,而不仅仅是数据可靠性很好的备份系统。集群系统对于金
40、融、证券等大型关键业务系统是最好选择。112容错系统工作方式(主容错系统工作方式(主-从或备系统)从或备系统)o 1.自动侦测:运行中自动地通过专用的冗余侦测线路和软件判断系统运行情况(硬软件、网络、应用等),检测冗余系统各冗余单元是否存在故障,故障确认后启动从系统。o 2.自动切换:当确认某一主机出错时,正常主机除了保证自身原来的任务继续运行外,还接管预先设定的后备作业程序,进行后续程序及服务。o 3.自动恢复:故障主机被替换后,进行故障隔离,离线故障修复。修复后通过冗余通信线与正常主机连线,继而将原来的工作程序和磁盘上的数据自动切换回修复完成的主机上。o 容灾指对灾难的容忍,o 就是减少灾
41、难事件发生的可能性以及限制灾难对关键业务流程所造成的影响的一整套行为容灾容灾的要素o 容灾方案的要点:n灾难的类型,会有哪些灾难,会对系统带来多大损失;n恢复时间,灾难发生以后需要多久的时间来恢复;n恢复程度,是系统恢复还是数据恢复,恢复上一周情况还是去年一年的情况;n实用技术,目前的技术发展水平,被证明是可靠的技术;n成本,实现这个容灾方案会要花多少钱,如果不实现在灾难时又会损失多少钱。o容灾是一项工程,它涉及到管理、流程、规范等方方面面,而不仅仅是技术 容灾项目的实施过程 容灾等级o 容灾系统的保护程度是和成本紧密关联的o 不同重要性的信息系统,应该制订不同层次的保护策略,对容灾进行分级是
42、十分必要的o 国际标准:SHARE组织于1992年提出的SHARE 78n 将容灾系统定义成七个层次,这七个层次对应的容灾方案在功能、适用范围等方面都有所不同 容灾等级SHARE 78的中的容灾等级划分 o 第0级:本地冗余备份o 第1级:数据介质转移o 第2级:应用系统冷备o 第3级:数据电子传送o 第4级:应用系统温备o 第5级:应用系统热备o 第6级:数据零丢失我国于2005年4月发布重要信息系统灾难恢复指南o根据数据备份系统、备用数据处理系统、备用网络系统、备用基础设施、技术支持、运行维护支持、灾难恢复预案个要素,分成级o基本上可以与SHARE78的1到6级对应,没有了0级,并在每一级
43、的规定上,更多的结合了我国现阶段的实际情况 o第级:基础支持o第级:备用场地支持o第级:电子传输和部分设备支持o第级:电子传输和完整设备支持o第级:实时数据传输和完整设备支持 o第级:数据零丢失和远程集群支持数据备份的概念 o 备份就是将某种物质以某种方式加以保留,以便在系统遭受破坏或其它特定情况下,重新加以利用的一个过程o 数据备份的根本目的是重新利用,防止由于自然灾害、故意破坏、病毒、非法操作、黑客攻击、内部人员故意破坏篡改、误操作等造成联机的数据丢失(防单点失效)o a、许多数据不经常使用(数据分级):联机(常用)+后备设备(不常用)+脱机备份(很少用)o b、防止由于自然灾害、故意破坏
44、、病毒、非法操作、黑客攻击、内部人员故意破坏篡改、误操作等造成联机的数据丢失(防单点失效)121数据备份的重要性原因数据备份存储介质 o 软盘 o 磁带 o 磁盘 n 磁盘冗余阵列(Redundant Array of Inexpensive Disks,简称RAID)o 光盘 o USBo 网络存储o 按备份的策略可分为:n 完全备份、差分备份、增量备份、按需备份 o 按备份介质存放的位置可分为n本地备份本地备份、异地备份异地备份o 按备份后的数据是否可更改可分为n活备份活备份与死备份死备份 o 按选择的备份软件的功能可分为n动态备份动态备份与静态备份静态备份数据备份分类123数据备份技术
45、o NAS和SAN o 远程镜像技术 o 快照技术 NAS和SANo 网络附加存储(Network Attached Storage,简称NAS)o 存储局域网(Storage Area Network,简称SAN)o SAN和NAS经常被视为两种竞争技术,实际上,二者还能够很好地相互补充,以提供对不同类型数据的访问o SAN针对海量、面向数据块的数据传输,而NAS则提供文件级的数据访问功能NAS的“文件级”数据处理o 通常配置作为文件服务的设备,o 由工作站或服务器通过网络协议(如TCP/IP)和应用程序(如网络文件系统NFS或者通用互联网文件系统CIFS)来进行文件访问o 用户可以把NAS
46、存储设备附加在已经存在的以太网上NAS的“文件级”数据处理SAN的面向数据块的数据传输o 为提供高性能和高扩展性的存储环境而设计的网络基础设施(高速的子网),o 通常由RAID阵列连接光纤通道构成,支持传输海量数据块 远程镜像技术o 在业务中心和备份中心之间进行数据备份o 镜像是在两个或多个磁盘或磁盘子系统上产生同一个数据的镜像视图的信息存储过程,一个叫主镜像系统,另一个叫从镜像系统。o 按主从镜像存储系统所处的位置可分为本地镜像和远程镜像 快照技术 o 对指定数据集合在某个时间点的一个完全拷贝,该拷贝包括相应数据(拷贝开始的时间点)的映像。o 快照技术分为两类:o 指针型:通过软件对待备份的
47、磁盘子系统的数据快速扫描,建立待备份数据的快照逻辑单元号和快照缓存,在快速扫描时,把备份过程中将要修改的数据块同时快速拷贝到快照缓存中o 空间型:驻留在磁盘阵列系统中,它使主机系统和磁盘阵列设备管理者能够在后台状态下,为主机处理的数据在磁盘阵列内部实时创建可独立寻址多拷贝卷132一是系统防护技术:防病毒、入侵、渗透、篡改等;二是系统保护(恢复)技术:备份、异地存放、灾难恢复、远程控制等;保证数据安全包括两个方面133实现自动化的备份、文件归档、数据分级存储以及灾难恢复;结合相应的硬件和存储设备,对分布式网络环境下的数据备份进行集中管理。备份服务器+数据备份管理的服务器 通过备份软件的计划功能,
48、可建立一个完善的备份计划及策略,并可借助备份时的呼叫功能,让所有的服务器备份都能在同一时间进行。同时提供灾难恢复手段。网络数据存储管理软件:1341、系统恢复:在服务器发生意外灾难导致数据全部丢失、系统崩溃或是有计划的系统升级、系统重组等,需要系统恢复。2、个别文件恢复:个别文件恢复可能要比全盘恢复常见得多,利用网络备份系统的恢复功能,我们很容易恢复受损的个别文件。重定向恢复:将备份的文件恢复到另一个不同的位置或系统上去,而不是进行备份操作时它们当时所在的位置 灾难恢复操作135包括备份策略、方案、位置、灾难恢复计划、定期进行灾难演练完整的备份方案 136磁盘阵列?RAID:是由加州大学伯克利
49、分校Patterson在1988年提出。RAID将一组磁盘驱动器逻辑上联系起来,作为一个磁盘驱动器来使用。作为一种数据保存手段,RAID提供了专用服务器中接入多个磁盘(专指硬盘)时,以磁盘阵列方式组成一个超大容量、响应速度快、可靠性高的存储子系统。以冗余技术增加其可靠性,以多个低成本磁盘构成磁盘子系统,提供比单一硬盘更完备的可靠性和高性能,RAID被广泛地应用在服务器体系中。137磁盘阵列?RAID的优点1成本低,功耗小,传输速率高。在RAID中,可以让很多磁盘驱动器同时传输数据,远远超过单个磁盘驱动器。2提供容错功能,因而具有更高的安全性。3RAID与传统的大直径磁盘驱动器相比,价格要低?1
50、38磁盘阵列?IDEEIDESCSIDAC7/15个盘Integrated?Device?Electronics集成设备电路仅支持2个盘增强型IDE接口可支持4个盘小型计算机系统接口可支持多个盘DAC磁盘阵列控制器可支持多分组多个磁盘例如:RAID系统。部件级容错139磁盘阵列?RAID0:无冗余无校验的磁盘阵列 简单将数据分配到各个磁盘上,不提供真正容错性。至少需要2个硬盘,可支持8/16/32个磁盘。整个逻辑盘的数据是被分条(stripped)分布在多个物理磁盘上,可以并行读/写,速度最快,但无容错能力。优点:更好地利用磁盘空间,延长磁盘寿命,多个硬盘并行工作,提高了读写性能。缺点:不提供
