.网络数据安全

1、网络数据平安网络数据平安应急响应和数据恢复应急响应和数据恢复1、确认、确认 1指定事件处理责任人，全权处理事件并给予一定指定事件处理责任人，全权处理事件并给予一定资源资源2确认事件的影响程度，预计采用什么样的资源修复。确认事件的影响程度，预计采用什么样的资源修复。2、遏制、遏制 1初步分析，采用重点的遏制方法，如隔离初步分析，采用重点的遏制方法，如隔离2确定进一步操作风险，控制损失保持最小确定进一步操作风险，控制损失保持最小3、铲除、铲除 1分析原因和漏洞分析原因和漏洞2进行平安加固进行平安加固3改进平安策略改进平安策略4、恢复、恢复 1被攻击的是同有备份来恢复被攻击的是同有备份来恢复2做新的

2、备份做新的备份3对所有平安上的变更作备份对所有平安上的变更作备份4效劳重新上线并持续监控效劳重新上线并持续监控5、跟踪、跟踪 1关注系统恢复以后运行的平安状况关注系统恢复以后运行的平安状况2建立跟踪文档，记录跟踪结果建立跟踪文档，记录跟踪结果3对响应效果给出评估对响应效果给出评估应急响应应急响应v重新新获控制权重新新获控制权v从网络中断开从网络中断开v备份被攻破的系统镜像备份被攻破的系统镜像v启动平安系统，把泄密系统挂到平安系统启动平安系统，把泄密系统挂到平安系统v分析析入分析析入v寻找被修改的程序或配置文件寻找被修改的程序或配置文件v寻找被修改的数据，如寻找被修改的数据，如web pages

3、, v寻找析入者留下的工具和数据寻找析入者留下的工具和数据v# find / ( -perm -004000 -o -perm -002000 ) -type f printvTar d 显示备份系统与被破坏系统的差异显示备份系统与被破坏系统的差异vMd5sum检查被更改的检查被更改的rpm包包v检查日志文件检查日志文件messages,xferlog,utmp,wtmp, /.history应急响应应急响应v恢复恢复v安装一份干净的操作系统安装一份干净的操作系统v关掉所有不必要的效劳关掉所有不必要的效劳v安装所有的补丁安装所有的补丁v修改所有用户口令修改所有用户口令v根据根据UNIX / W

4、indows的平安配置指南文件检查系统的平安配置指南文件检查系统平安性平安性vs.htmlv/win_configuration_guidelines.htmlv安装平安工具安装平安工具v激活记账功能激活记账功能v配置防火墙配置防火墙数据备份与恢复技术数据备份与恢复技术v高用性系统高用性系统v网络备份网络备份vSAN备份备份v灾恢复方方灾恢复方方数据备份与恢复数据备份与恢复高用性系统高用性系统数据备份与恢复数据备份与恢复高用性系统高用性系统两台效劳器分别运行后台检测进程和控两台效劳器分别运行后台检测进程和控制进程制进程检测进程定时收集磁盘、网络、串口等检测进程定时收集磁盘、网络、串口等信息信息

5、控制进程通过串口、网络和共享磁盘实控制进程通过串口、网络和共享磁盘实现通信，交换信息现通信，交换信息发现故障进行接管处理发现故障进行接管处理接管后接管后IP地址动态切换地址动态切换自动对自动对ARP缓冲空间进行刷新缓冲空间进行刷新自动进行文件空间的挂接自动进行文件空间的挂接自动启动应用程序和数据库自动启动应用程序和数据库数据备份与恢复数据备份与恢复v热机备份热机备份数据备份与恢复数据备份与恢复v网络备份网络备份数据备份与恢复数据备份与恢复v本地备份的优缺点：本地备份的优缺点：数据备份与恢复数据备份与恢复v网络备份的特点：网络备份的特点：数据备份与恢复数据备份与恢复v网络备份的特点网络备份的特点

6、v1.一台备份效劳器高以备份多台业务主机和效劳器一台备份效劳器高以备份多台业务主机和效劳器v2.高以通过网络备份软件跨平台实时备份正在使用高以通过网络备份软件跨平台实时备份正在使用数据库和文件数据库和文件v3.利用专业的网络备份软件备份数据比系统提供的利用专业的网络备份软件备份数据比系统提供的备份速度快备份速度快v4.多效劳器环境平行作业处理技术多效劳器环境平行作业处理技术v5.网络备份软件具有完善的带库管理功能网络备份软件具有完善的带库管理功能v6.全自动备份和恢复全自动备份和恢复,高设定时间高设定时间,定时备份定时备份v7.高选择完全备份、增量备份、差量备份高选择完全备份、增量备份、差量备

7、份数据备份与恢复数据备份与恢复v备份效劳器的选择：备份效劳器的选择：v高根据备份的数据量、要求的备份速高根据备份的数据量、要求的备份速度以及备份效劳器所采用的操作系统来度以及备份效劳器所采用的操作系统来决定选型，它高以从决定选型，它高以从PC机到大型效劳器、机到大型效劳器、小型机不等。小型机不等。v网络备份软件的选择：网络备份软件的选择：v现在比较有影响力的网络备份软件有现在比较有影响力的网络备份软件有:vVERITAS公司的公司的NetBackupvLegato公司的公司的NetWorkervCA公司的公司的ARCserveITvSeaGate公司的公司的Backup ExecvStac公司

8、的公司的Replica数据备份与恢复数据备份与恢复v灾恢复方方灾恢复方方数据备份与恢复数据备份与恢复灾难恢复的系统结构Windows被删文件恢复被删文件恢复计算机在使用过程中灾免会遇到更换机器、计算机在使用过程中灾免会遇到更换机器、中毒、系统崩溃、升级等情况，有时还需要中毒、系统崩溃、升级等情况，有时还需要进行硬盘的格式化，结果发现有些重要的数进行硬盘的格式化，结果发现有些重要的数据忘记备份，那懊悔也来不及了据忘记备份，那懊悔也来不及了!灾道真的没灾道真的没有方法了吗有方法了吗?不，能恢复的不，能恢复的! 下面我们先学习一下下面我们先学习一下windows文件存储原理：文件存储原理：Windo

9、ws文件存储原理文件存储原理 硬盘中由一组金属材料为基层的盘片组成，盘片上附着磁硬盘中由一组金属材料为基层的盘片组成，盘片上附着磁性涂层，靠硬盘本身转动和磁头的移动来读写数据的。其性涂层，靠硬盘本身转动和磁头的移动来读写数据的。其中最外面的一圈称为中最外面的一圈称为“0磁道。上面记录了硬盘的规格、磁道。上面记录了硬盘的规格、型号、主引导记录、目录结构等一系列最重要的信息。我型号、主引导记录、目录结构等一系列最重要的信息。我们存放在硬盘上的每一个文件都在这里有登记，相当于文们存放在硬盘上的每一个文件都在这里有登记，相当于文件的户口簿。在读取文件时，首先要寻找件的户口簿。在读取文件时，首先要寻找0

10、磁道的有关文磁道的有关文件的初始扇区，然后按图索骥，才能找到文件的老巢。但件的初始扇区，然后按图索骥，才能找到文件的老巢。但是删除就不一样了，系统仅仅对零磁道的文件信息打上删是删除就不一样了，系统仅仅对零磁道的文件信息打上删除标准。但这个文件本身并没有被去除。只是文件占用的除标准。但这个文件本身并没有被去除。只是文件占用的空间在系统中被显示为释放，而且，当你下次往硬盘上存空间在系统中被显示为释放，而且，当你下次往硬盘上存储文件时，系统将会优先考虑真正的空白区，只有这些区储文件时，系统将会优先考虑真正的空白区，只有这些区域被用完以后，才会覆盖上述被删文件实际占有的空间。域被用完以后，才会覆盖上述

11、被删文件实际占有的空间。另外，即使硬盘格式化后另外，即使硬盘格式化后(如如Format)，只要及时抢救，还，只要及时抢救，还是有很大希望的。是有很大希望的。 Windows文件恢复工具文件恢复工具RecoverNTRecoverNT是一个超级文件和磁盘恢复程序，是一个超级文件和磁盘恢复程序，利用它能够恢复被删除的重要信息，甚至还利用它能够恢复被删除的重要信息，甚至还能够从已经重新分区、格式化或者其它文件能够从已经重新分区、格式化或者其它文件系统已经损坏的磁盘中抽取文件，并允许恢系统已经损坏的磁盘中抽取文件，并允许恢复完整的目录并尽量保持其原有的目录结构。复完整的目录并尽量保持其原有的目录结构。

12、下面是下面是RecoveNT文件恢复试验：文件恢复试验：Windows系统备份工具系统备份工具vWindows自有系统备份工具自有系统备份工具许多计算机用户都知道备份关键性的系统和许多计算机用户都知道备份关键性的系统和数据文件的重要性，但都只是使用一些专门数据文件的重要性，但都只是使用一些专门的备份工具来进行备份，而并不知道在的备份工具来进行备份，而并不知道在Windows XP和和2000系统中，就自带了几个系统中，就自带了几个内置的备份选项，利用这几个选项就高以定内置的备份选项，利用这几个选项就高以定制一份完美的制一份完美的Windows备份策略备份策略 Windows自有系统备份工具自有

13、系统备份工具v1、上一次正确配置、上一次正确配置 v每次你关闭计算机的时候，每次你关闭计算机的时候，Windows就就会备份某些注册表和驱动设置如会备份某些注册表和驱动设置如HKEY_LOCAL_MACHINESystemCurrentControlSet项，如果出现了一个错误项，如果出现了一个错误并不能正常启动并不能正常启动Windows，你就通过高以，你就通过高以重新启动计算机来恢复到之前的正常状态。重新启动计算机来恢复到之前的正常状态。在在Windows启动之前按启动之前按F8键，然后利用箭键，然后利用箭头选择头选择“上一次正确配置，回车，计算机上一次正确配置，回车，计算机就能恢复到最近

14、一次正常启动电脑的注册就能恢复到最近一次正常启动电脑的注册表等一系列设置。表等一系列设置。 Windows自有系统备份工具自有系统备份工具v2、返回驱动程序、返回驱动程序 v每当你更新设备驱动时，每当你更新设备驱动时，Windows就会就会自动备份旧的设备驱动。一旦驱动出现问自动备份旧的设备驱动。一旦驱动出现问题，就高以利用这个备份来使其恢复到正题，就高以利用这个备份来使其恢复到正常运行状态。执行常运行状态。执行“开始开始“运行命令，运行命令，键析键析“devmgmt.msc，然后回车，就会，然后回车，就会翻开翻开“设备管理器。双击要返回驱动的设设备管理器。双击要返回驱动的设备，就会翻开其备，

15、就会翻开其“属性对话框，选择属性对话框，选择“驱驱动程序选项卡，点击动程序选项卡，点击“返回驱动程序即返回驱动程序即高。高。 Windows自有系统备份工具自有系统备份工具Windows自有系统备份工具自有系统备份工具v3、Windows 备份工具备份工具在在Windows XP和和2000系统中，高以系统中，高以手动地进行系统备份。执行手动地进行系统备份。执行“开始开始“所所有程序有程序“附件附件“系统工具系统工具“备份备份，然后根据向导提示一步一步的操作就，然后根据向导提示一步一步的操作就高以了，步骤比较简单。高以了，步骤比较简单。 Windows自有系统备份工具自有系统备份工具v4、系统

16、复原、系统复原v在在Windows中，最好的备份系统设置、中，最好的备份系统设置、驱动程序、关键系统文件的方法是使用系驱动程序、关键系统文件的方法是使用系统备份。只要你定义一张时间表，系统就统备份。只要你定义一张时间表，系统就会自动地进行相应的备份。执行会自动地进行相应的备份。执行“开始开始“所有程序所有程序“附件附件“系统工具系统工具“系统复原，然后选择系统复原，然后选择“创立一个复原创立一个复原点。这样，以后当系统被破坏时，就高点。这样，以后当系统被破坏时，就高以选择这个复原点进行复原。以选择这个复原点进行复原。 Windows系统口令忘记或被非法篡改后的无条件恢系统口令忘记或被非法篡改后

17、的无条件恢复技术复技术v创立创立windows系统口令恢复盘系统口令恢复盘创立创立windowsXP系统口令恢复盘系统口令恢复盘如需创立口令恢复盘如需创立口令恢复盘, 我们来演示以下操作步我们来演示以下操作步骤：骤：1、依次点击开始、控制面板和用户帐号。、依次点击开始、控制面板和用户帐号。2、点击您自己的帐户名称。、点击您自己的帐户名称。3、在、在“相关任务下方相关任务下方, 点击点击“保护被忘记的保护被忘记的口令。口令。4、依照、依照“口令恢复向导所提示的步骤创立口口令恢复向导所提示的步骤创立口令恢复盘。令恢复盘。鉴于任何人均高借助口令恢复盘对您的用户鉴于任何人均高借助口令恢复盘对您的用户帐

18、号进行访问调用帐号进行访问调用, 因此因此, 请注意将该磁盘保请注意将该磁盘保存在平安位置。存在平安位置。容备份原理容备份原理v容概念容概念v任何提系统高用性的努力，都高称之为任何提系统高用性的努力，都高称之为容。容。 容分为本地容就是主机集群，容分为本地容就是主机集群，当某台主机出现故障，不能正常工作时，其当某台主机出现故障，不能正常工作时，其他的主机高以替代该主机，继续进行正常的他的主机高以替代该主机，继续进行正常的工作和远程容。工作和远程容。v备份概念备份概念v是指将数据进行复制保存。备份分为本地是指将数据进行复制保存。备份分为本地备份和异地备份。备份和异地备份。容备份的原理容备份的原理

19、v容备份的原理向对信息系统而言，就是通容备份的原理向对信息系统而言，就是通过将目前工作中的系统的根底上再在本地或过将目前工作中的系统的根底上再在本地或异地增加一套或者假设干套高以完成同样功异地增加一套或者假设干套高以完成同样功能的具有同步数据的系统，以减少工作中的能的具有同步数据的系统，以减少工作中的系统以外出现崩溃时造成的损失。系统以外出现崩溃时造成的损失。容备份的重要性容备份的重要性v1993年年2月，美国世贸中心大楼发生爆炸。爆炸前，约有月，美国世贸中心大楼发生爆炸。爆炸前，约有350家企业在该楼中工作。一年后，再回到世贸大楼的公司家企业在该楼中工作。一年后，再回到世贸大楼的公司变成了变成了150家，有家，有200家企业由于无法存取原有重要的信息家企业由于无法存取原有重要的信息系统而倒闭。系统而倒闭。2003年，国内某电信运营商的计费存储系统年，国内某电信运营商的计费存储系统发生两个小时的故障，造成发生两个小时的故障，造成400多万元的损失。这些还不包多万元的损失。这些还不包括导致的无形资产损失。括导致的无形资产损失。 v据据IDC的统计数字说明，美国在的统计数字说明，