《信息安全导论》 课件 第7、8章 软件安全与病毒防护、数据安全

第七章软件安全与病毒防护1.代码安全漏洞2015年4月中旬，阿里安全研究实验室发现了一个名为“WiFi杀手”的安卓系统漏洞。利用该漏洞，黑客可对开启了WiFi的安卓手机远程攻击，窃取手机内的照片、通讯录等重要信息，影响市面上大部分安卓设备。除了手机上的代码漏洞问题，Web应用程序的漏洞问题也是当前攻击事件频发的根源之一。虽然目前绝大部分网络已安装有防火墙、入侵检测系统等安全设备，但并没有从根本上解决Web安全问题。由于现实世界中存在各种恶意企图的攻击者，利用系统存在的、或是新挖掘出的安全漏洞，加上安全防护体系的缺陷、使用人员的安全意识薄弱、管理制度的薄弱等问题，Web应用安全事件层出不穷。根据补天漏洞响应平台的数据进行的统计，自2014年4月至2015年3月的12个月间，补天平台上显示的有效高校网站漏洞多达3495个，涉及高校网站1088个。其中，高危漏洞2611个，占74.7%；中危漏洞691个，占19.8%；低危漏洞193个，占5.5%。Web应用程序的漏洞问题也是当前攻击事件频发的根源之一。事例：黑客捏造了一篇清华大学校长顾秉林接受采访的新闻报道，批评现行教育制度应用软件面临的第1个安全问题是：代码安全漏洞手机恶意程序的数量逐年翻翻。这些安装在手机中的恶意程序可以对用户进行远程控制、隐私窃取、恶意扣费。手机恶意程序的数量逐年翻翻。手机上的恶意程序还只是整个信息系统中恶意代码的冰山一角。黑客会盗取网站后台数据库的重要信息，对社会对个人造成更大的损坏。视频3：专业黑客组织HackingTeam被黑应用软件的第3个安全问题：对应用软件本身的非法访问例如针对手机的越狱越狱反映的安全问题有：一是，越狱打破了手机封闭的生态环境，给获得了root权限的恶意代码有了可趁之机。二是，越狱后的设备失去了厂商对其保修的保护。三是，越狱后手机安装被破解的应用程序涉及盗版行为，侵犯了版权人的利益。根据应用软件面临的三大安全问题，应用软件安全包括：一是防止对应用软件漏洞的利用，如代码安全漏洞的防范；二是防止应用软件对支持其运行的计算机系统的安全产生破坏，如恶意代码的防范；三是防止对应用软件本身的非法访问，如对软件版权的保护。接下来本讲就主要围绕第2个方面展开介绍，介绍恶意代码的概念和防范技术恶意代码（Malware，也就是MaliciousSoftware的缩写），是在未被授权的情况下，以破坏软硬件设备、窃取用户信息、干扰用户正常使用、扰乱用户心理为目的而编制的软件或代码片段。恶意代码是软件或代码片段，其实现方式可以有多种，如二进制执行文件、脚本语言代码、宏代码、寄生在其他代码或启动扇区中的一段指令。依据定义，恶意代码包括：计算机病毒（ComputerVirus）蠕虫病毒（Worm）特洛伊木马（TrojanHorse）后门（BackDoor）内核套件（Rootkit）间谍软件（Spyware）恶意广告（DishonestAdware）流氓软件（Crimeware）恶意软件依赖主机程序独立于主机程序后门逻辑炸弹木马病毒蠕虫病毒僵尸(DOS)可复制从主机依赖的角度进行的分类，恶意软件大致分为两类：18（1）计算机病毒在1994年2月28日颁布的《中华人民共和国计算机信息系统安全保护条例》中是这样定义计算机病毒的：指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，且能自我复制的一组计算机指令或者程序代码。（1）计算机病毒按照病毒的寄生存储的位置分类（1）引导型病毒。也称为引导区病毒。操作系统的引导模块存放在磁盘引导区，并且控制权的转接方式是以物理地址为依据，因此病毒占据该物理位置即可获得控制权。（2）文件型病毒。文件型病毒主要感染可执行文件，如扩展名为.EXE、.COM等文件，是一种较为常见的病毒。目录病毒是文件型病毒的一种特例，其感染方式非常独特，仅修改目录区，便可达感染的目的。宏病毒则是一种数据文件型病毒。（3）混合型病毒。也称为多型病毒，是综合了引导型和文件型病毒特征的病毒，可感染文件和引导扇区两种目标。（1）计算机病毒特点：寄生性：计算机病毒不是用户所希望执行的程序，一般不独立存在（计算机病毒本原除外），而是寄生在别的有用的程序或文档之上。可执行性：计算机病毒与其他合法程序一样，是一段可执行程序，但它不是一个完整的程序，而是寄生在其他可执行程序上，因此它享有一切程序所能得到的权力。隐蔽性：有的可以通过病毒软件检查出来，有的根本就查不出来，有的时隐时现、变化无常，这类病毒处理起来通常很困难（1）计算机病毒特点：传染性：计算机病毒最特殊的地方在于它能自我复制，或者称为传染性可触发性：病毒因某个事件或数值的出现，诱使病毒实施感染或进行攻击的特性称为可触发性。为了隐蔽自己，病毒必须潜伏，少做动作。如果完全不动，一直潜伏的话，病毒既不能感染也不能进行破坏，便失去了杀伤力破坏性：产生破坏。（1）计算机病毒它的另一特殊之处是，在条件满足时能被激活，可称为潜伏性或可触发性。当然，破坏性是其主要特征。计算机病毒在结构上有着共同性，一般由潜伏、传染和表现3部分组成。（2）蠕虫定义：1988年Morris蠕虫爆发该蠕虫是网络中的超级间谍，狡猾地不断截取用户口令等网络中的“机密文件”，利用这些口令欺骗网络中的“哨兵”，长驱直入互联网中的用户电脑。入侵得手，立即反客为主，并闪电般地自我复制，抢占地盘。用户目瞪口呆地看着这些不请自来的神秘入侵者迅速扩大战果，充斥电脑内存，使电脑莫名其妙地“死掉”康奈尔大学高材生：罗伯特莫里斯（2）蠕虫定义：1988年尤金·斯帕福德(EugeneSpafford)为了区分蠕虫和病毒，给出了蠕虫的技术角度的定义，“蠕虫程序可以独立运行，并能把自身的一个包含所有功能的版本传播到另外的计算机上。”美国普渡大学信息安保教育和研究中心主任、前沿互联网安全专家（2）蠕虫独立的计算机程序，不需要宿主自我复制，自主传播（Mobile）利用系统漏洞利用电子邮件（无需用户参与）占用系统网络资源，破坏其他程序（2）蠕虫2001年7月19日CRI蠕虫病毒发作24小时全球感染图传播速度快:在网络中通过网络通信机制，借助高速通信网络进行迅速扩散。（2）蠕虫清除难度大网络中只要有一台主机未能杀毒干净就可使整个网络重新全部被病毒感染。甚至刚刚完成杀毒工作的一台主机马上就能被网上另一台主机的带毒程序所传染。仅对主机进行病毒清除不能彻底解决网络蠕虫的问题，而需要借助防火墙等安全设备进行管理。（2）蠕虫破坏力强网络中蠕虫病毒直接影响网络的工作状态，轻则降低速度，影响工作效率，重则造成整个网络系统瘫痪，破坏服务器系统资源，使系统数据毁于一旦。（2）蠕虫与病毒的区别：蠕虫和病毒都具有传染性和复制功能，但蠕虫的最大特点是利用各种安全漏洞进行自动传播（2）蠕虫蠕虫在功能上可以分为基本功能模块和扩展功能模块。实现了基本功能模块的蠕虫程序就能完成复制传播流程，包含扩展功能模块的蠕虫程序则具有更强的生存能力和破坏力。扫描搜索模块基本功能模块攻击模块传输模块信息收集模块繁殖模块隐藏模块破坏模块通信模块控制模块扩展功能模块蠕虫程序功能结构扫描搜索模块攻击模块传输模块信息收集模块繁殖模块寻找下一台要传染的计算机。为提高搜索效率，可以采用搜索算法。在被感染的计算机上建立传输通道。为减少传染数据传输量，可以采用引导式结构。计算机之间的蠕虫程序复制。搜寻和建立被传染计算机的信息。建立自身的多个副本，在同一台计算机上提高传输效率、避免重复传输。隐藏模块破坏模块通信模块控制模块隐藏蠕虫程序，使简单的检测不能发现蠕虫。摧毁或破坏被感染计算机，或在被感染计算机上留下后门程序等。蠕虫之间、蠕虫同黑客之间进行交流，这可能是未来蠕虫发展重点。调整蠕虫行为，更新其他功能模块，控制被感染计算机。（3）木马名称由来：特洛伊木马计（3）木马该木马主要通过不良网站提供假视频下载地址进行广泛传播。当用户安装了携带该木马的视频播放软件后，该木马就随之运行，监视用户的网上银行操作，篡改用户的网银订单，从而获得现金转账，导致用户资金的流失。2013年9月，被安全软件厂商腾讯管家截获。

弼马温木马（3）木马通过伪装成其他程序、有意隐藏自己恶意行为的程序，通常留下一个远程控制的后门，没有自我复制的功能一种表面有用，但实际有破坏作用的计算机程序

（3）木马（3）木马木马病毒组成一个完整的木马程序由两部分组成

服务器端中木马的计算机,即被控制端客户端通过网络控制您的计算机木马内的士兵城外的大部队客户端Internet服务器端①配置木马②传播木马传播方式｝启动方式｝发作方式｝③运行木马④建立链接⑤传回消息木马病毒如何工作Internet1.下载邮件2.释放木马3.复制到系统4.在系统中隐藏5.发回密码信息（3）木马特点：隐蔽性：为了防止木马被发现，会采用多种手段隐藏木马，这样受控端即使发现感染了木马，也不能确定其具体位置；非授权性：指一旦控制端与受控端连接后，控制端将享有受控端的大部分操作权限，包括修改文件、修改注册表、控制鼠标、键盘等（3）木马共性是自我传播，都不感染其他文件。传播特性：木马需要诱骗用户上当后进行传播，而蠕虫包含自我复制程序，利用漏洞进行传播。破坏性：蠕虫的破坏性更多的体现在耗费系统资源的拒绝服务攻击上，而木马更多体现在秘密窃取用户信息上。与蠕虫的区别与联系：（4）后门后门是指绕过安全控制而获取对程序或系统访问权的方法，最主要目的就是方便以后再次秘密进入或者控制系统。（4）后门两种情况：攻击者攻陷一台主机，获得其控制权后，在主机上建立后门，比如安装木马程序，以便下一次入侵时使用。在程序开发与调试期间，程序员常常为了测试一个模块，或者为了今后的修改与扩充，或者为了在程序正式运行后，当程序发生故障时能够访问系统内部信息等目的而有意识预留的。（4）后门Word2003程序中的彩蛋：输入=rand()，看看效果（4）后门Word2003程序中的彩蛋：输入=rand()，看看效果（5）Rootkit最初，Rootkit是攻击者用来修改Unix操作系统和保持根权限且不被发现的工具，正是由于它是用来获得root后门访问的kit工具包，所以被命名为“root”+“kit”。目前通常所说的Rootkit是指：一类特洛伊木马后门工具，通过修改现有的操作系统软件，使攻击者获得访问权限并隐藏在计算机中。（5）RootkitRootkit与特洛伊木马、后门等既有联系又有区别。Rootkit属于特洛伊木马的范畴，它用恶意的版本替换运行在目标计算机上的常规程序来伪装自己，从而达到掩盖其真实的恶意目的，而这种伪装和隐藏机制正是特洛伊木马的定义特性。各种Rootkit通过后门口令，远程Shell或其它可能的后门途径，为攻击者提供绕过检查机制的后门访问通道，而这正是后门工具的定义特性。（5）RootkitRootkit与特洛伊木马、后门等既有联系又有区别。作为一类特殊形态的木马后门工具，一个恶意代码之所以能够被称为Rootkit，就必须具备替换或修改现有操作系统软件进行隐藏的特性，而这才是Rootkit的定义特性。Rootkit强调的是强大的隐藏功能、伪造和欺骗的功能，而木马、后门强调的是窃取功能、远程侵入功能。两者的侧重点不一样，两者结合起来则可以使得攻击者的攻击手段更加的隐蔽、强大。针对恶意代码的两条主要防范途径：（1）法律防范（2）技术防范对计算机病毒的法律惩处：（1）法律防范我国刑法第286条第一款：违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役；后果特别严重的，处五年以上有期徒刑。我国刑法第286条第二款：违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，后果严重的，依照前款的规定处罚对计算机病毒的法律惩处：（1）法律防范我国刑法第286条第三款规定：故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，后果严重的，依照第一款的规定处罚。根据该款规定，故意制作、传播计算机病毒的，也构成破坏计算机信息系统罪。对计算机病毒的法律惩处：依照这两款规定，行为人利用计算机病毒对他人计算机系统进行破坏，造成他人计算机信息系统不能正常运行的，或者对他人数据和程序进行破坏的，后果严重的，构成破坏计算机信息系统罪。这两款规定并不直接针对计算机病毒，而是对利用计算机病毒对他人计算机信息系统造成破坏的予以打击，因而是一种间接规制。但这样的刑法规定在面临新型的计算机病毒时出现了难题越来越多的计算机病毒，如木马程序，不再是破坏性的，而是以侵入、控制他人计算机为手段，意图获取他人计算机信息数据以谋取经济利益。原有的刑法规定的对象均是破坏性程序，对此类程序则无能为力。对恶意代码等计算机侵害的法律惩处：增加了新的网络犯罪条款新增非法侵入、控制计算机信息系统新增非法提供程序、工具罪新增非法获取计算机数据罪新增非法控制计算机信息系统罪修订了非法侵入计算机信息系统罪2009年，《刑法修正案（七）》思路：恶意代码的技术防范本质上是软件的可信验证问题Anderson于1972年首次提出了可信系统的概念自此，应用软件的可信性问题就一直受到广泛关注（2）技术防范思路：恶意代码的技术防范本质上是软件的可信验证问题ISO/IEC15408标准和可信计算组织（TrustedComputingGroup）将可信定义为：一个可信的组件、操作或过程的行为在任意操作条件下是可预测的，并能很好地抵抗应用软件、病毒以及一定的物理干扰造成的破坏。（2）技术防范模型：软件可信验证模型FICE特征可信验证Feature身份可信验证Identity能力可信验证Capability环境可信验证Environment（2）技术防范1、软件的可信性要求其独有的特征指令序列总是处于恶意软件特征码库之外，或其Hash值总是保持不变。其技术核心是特征码的获取、Hash值的比对。（2）技术防范软件可信验证模型FICE特征可信验证Feature身份可信验证Identity能力可信验证Capability环境可信验证Environment1、软件的可信性特征码扫描技术，首先提取新恶意软件的独有特征指令序列，并将其更新至病毒特征码库，在检测时将当前文件与特征库进行对比，判断是否存在某一文件片段与已知样本相吻合，从而验证文件的可信性。（2）技术防范1、软件的可信性Hash值对比（2）技术防范软件可信验证模型FICE特征可信验证Feature身份可信验证Identity能力可信验证Capability环境可信验证Environment2、身份可信验证用户获得的软件程序不是购自供应商，就是来自网络的共享软件，用户对这些软件往往非常信赖，殊不知正是由于这种盲目的信任，将可能招致重大的损失。（2）技术防范软件可信验证模型FICE特征可信验证Feature身份可信验证Identity能力可信验证Capability环境可信验证Environment2、身份可信验证传统的基于身份的信任机制主要提供面向同一组织或管理域的授权认证。如PKI和PMI等技术依赖于全局命名体系和集中可信权威优点：对于解决单域环境的安全可信问题具有良好效果。缺点：随着软件应用向开放和跨组织的方向发展，如何在不可确知系统边界的前提下实现有效的身份认证，如何对跨组织和管理域的协同提供身份可信保障已成为新的问题（2）技术防范软件可信验证模型FICE特征可信验证Feature身份可信验证Identity能力可信验证Capability环境可信验证Environment2、身份可信验证本机系统软件代码签名验证：依次点击“开始”→“所有程序”→“附件”，点击“运行”（或者使用组合键win+r）。在“运行”对话框中，输入sigverif。然后点击“确定”按钮。（2）技术防范软件可信验证模型FICE特征可信验证Feature身份可信验证Identity能力可信验证Capability环境可信验证Environment2、身份可信验证本机系统软件代码签名验证：在弹出的“文件签名验证”窗口下，点击“开始”按钮。（2）技术防范软件可信验证模型FICE特征可信验证Feature身份可信验证Identity能力可信验证Capability环境可信验证Environment2、身份可信验证本机系统软件代码签名验证：返回到“文件签名验证”窗口下，点击图中“高级”按钮。在弹出的“高级文件签名验证设置”窗口下，点击“查看日志”按钮，查看签名验证的记录。（2）技术防范2、身份可信验证IE中软件签名验证设置：首先打开IE浏览器Internet选项对话框，进入“高级”页框，去掉“允许运行或安装软件，即使签名无效”选项前面的勾。“下载未签名的ActiveX控件”选项选择“禁用（推荐）”“下载已签名的ActiveX控件”选择选择“提示（推荐）”（2）技术防范3、能力可信验证软件的可信性要求软件系统的行为和功能是可预期的，其技术核心是软件系统的可靠性和可用性，如源代码静态分析法、系统状态建模法等，统称为能力（行为）可信问题。（2）技术防范软件可信验证模型FICE特征可信验证Feature身份可信验证Identity能力可信验证Capability环境可信验证Environment4、环境可信验证软件的可信性要求其运行的环境必须是可知、可控和开放的，其技术核心是运行环境的检测、控制和交互。（2）技术防范1.病毒和杀毒软件的开始从微软的DOS操作系统开始，电脑病毒就出现了。

到了1988年，麦卡菲推出了自己的第一款杀软McAfeeVirusScan，这才标志着商业化杀毒软件的开始。

1.病毒和杀毒软件的开始

“防病毒卡”

1.病毒和杀毒软件的开始这种卡可以插在主机的任何一个扩展槽上，不占内存空间。它会在电脑上电自检的时候把程序挂在系统上，就可以对病毒实时检测了。1991年，刚刚成立的瑞星公司研发出一款全新的防病毒卡，并用一年多的时间就拿下国内一半以上的市场份额。

到了93年，瑞星的防病毒卡日销量已经接近1000套，毛利润达20万，这个数字对于当时年销售量只有45万台的国内计算机市场来说，还是非常震撼的。1.病毒和杀毒软件的开始但“防病毒卡”这种硬件不能及时升级病毒库，要是出了新病毒，你还得把卡寄回去，非常麻烦。江民公司的KV系列KV系列最早只能消灭六种病毒，所以叫KV6，但随着病毒不停出现变种，KV6肯定是不够用了。于是王江民发明了一种叫做“广谱特征码”的技术，通过添加病毒特征码来查杀变种病毒。1.病毒和杀毒软件的开始KV系列杀毒软件越卖越好，从1996年到1998年，KV系列一度占据了市场80%的份额，将同时代的其他软件厂商远远抛在后头。在那个盗版泛滥的年代，KV系列还能拥有100万的用户，堪称是软件界的奇迹。

2.从装机必备的黄金时代到广告泛滥后的日薄西山而另一边，当瑞星反应过来的时候，防病毒卡早就大势已去，自家产品被王江民吊起来打，于是他们也开始转型做杀毒软件。但这时候再想打入市场已经非常困难，瑞星的老大王莘想到想到个好办法，跟联想、方正这些硬件厂商合作，把瑞星作为预装软件放在电脑里，用这种“蹭热度”的方式来打广告。

2.从装机必备的黄金时代到广告泛滥后的日薄西山要光有这种手段，也很难让瑞星站稳，杀毒能力不行的话，估计下场就跟IE差不多。图片所以瑞星急切的需要一个机会，证明自己实力。而这个机会并没有让他们等太久。1999年的4月26日，全球各地的6000万台电脑开始陆续瘫痪，那些中毒的电脑，会被不断写入垃圾信息，覆盖硬盘，直到BIOS被破坏，电脑崩溃，这就是当时最恐怖的病毒，CIH。78

2.从装机必备的黄金时代到广告泛滥后的日薄西山CIH只有1kb大小，却造成了10亿美元的损失。而瑞星之所以迅速崛起，就是因为他们是当时国内第一家清除了CIH病毒的公司。在之后不到一年的时间，瑞星的销量极速回升，月销量轻松超过十万套。直到2003年，瑞星都一直占据着60%的市场份额，他们的年销量超过7个亿，可以说，只要你在国内上网，就不可能不知道瑞星。

2.从装机必备的黄金时代到广告泛滥后的日薄西山雷军的金山毒霸

2.从装机必备的黄金时代到广告泛滥后的日薄西山为了抢市场，金山毒霸推出了免费测试和降价的策略，一度把价格干到50元，宣传自己是“人人都买得起的高品质反病毒软件”。要知道KV300的零售价是260元，98版瑞星的零售价是230元，而98年浙江省的人均月收入仅有771元。所以雷军这张降价牌打的非常成功，不到三年，就在市场占有率上超过了老大哥江民，仅次于瑞星。

2.从装机必备的黄金时代到广告泛滥后的日薄西山在2000年初的这段时间，国内的瑞星，金山，江民三足鼎立，国外的卡巴斯基，诺顿，麦咖啡群雄争霸，估计不少小伙伴也是从这时候开始用杀毒软件的，那是属于杀毒软件的黄金时代。

2.从装机必备的黄金时代到广告泛滥后的日薄西山2008年7月，一个叫奇虎360的公司横空出世，宣布自己的杀毒软件永久免费。

2.从装机必备的黄金时代到广告泛滥后的日薄西山5年后，时任瑞星市场总监的唐威跟媒体坦白：“我们当时没有意识到这种模式的颠覆性，因为看不清楚免费模式要怎么生存。”看不懂的不光瑞星，当时几乎所有同行都不理解这种做法，大家觉得周鸿祎就是来做慈善的，也都没把他放在眼里。但360的商业模式压根就跟同行不一样，他用免费杀毒给自己的浏览器，导航等等产品带来了大量的流量，用广告变现的方式来支撑杀毒软件的研发和维护。

2.从装机必备的黄金时代到广告泛滥后的日薄西山就在所有人还等着360垮台的时候，它的用户数很快就突破了3亿，以坐火箭的速度拿下了中国杀软届的头把交椅。那段时间，360把广告甚至打到了央视。他身后的瑞星和金山也被迫跟着一块跑。金山在2010年宣布永久免费，而瑞星苦苦撑到2011年也彻底放弃了收费模式。到此，昔日的杀毒软件霸主接连退场，杀软的付费模式也彻底宣告落幕。3.杀毒软件现状杀毒软件也不再是以往单纯的杀毒，变成了啥都能干的“网管”。里面到处是页游广告和垃圾新闻，这些玩意甚至比病毒还恶心。要是你装了好几个杀毒软件，你就能看到真正的流氓打架：不打招呼就上全家桶，随便篡改你的主页，不断用“警告、危险”等弹窗对你连哄带吓。目的只有一个，就是争夺你电脑的主控权。为什么我们现在不再需要杀毒软件了？现如今用杀毒软件的人已经越来越少了，以前隔三差五总会出现一些新的电脑病毒，但最近几年好像都没听说装不装杀毒软件，杀毒软件到底有没有用，这些十年前就存在争议的话题似乎从来没有停止，一边是杀毒软件在PC上逐渐销声匿迹，而另一边却接连不断发生网络安全事件：游戏服务器、企业网站甚至政府部门的计算机都被病毒攻击过。那为什么杀毒软件的存在感越来越低了呢？为什么我们现在不再需要杀毒软件了？2006年中国互联网安全报告上的数据，全年共截获234211个新病毒，当年的毒王就是“熊猫烧香”。而到了2020年，仅仅是勒索病毒一种，就已经有78.1万个，而恶意程序的数量是4298万余个。这样的数量放在当年是不敢想象的。其实近几年也不是没有大规模的爆发过电脑病毒，比如17年爆发的WannaCry勒索病毒，就让一百五十多个国家，超过三十万台电脑都中招了，甚至国内多个高校的校内网，企业和政府机构的网站也遭到勒索。为什么我们现在不再需要杀毒软件了？18年爆发过大规模的挖矿病毒，这种病毒悄无声息的就把你的电脑变成矿机。所以说，不管是在数量上还是危害性上，电脑病毒一点都没少，甚至上网环境要比之前更恶劣。为什么我们感觉不到病毒的猖獗了？最主要的原因是因为，那些能让你觉察到的病毒，基本都不赚钱，所以自然就没人做了。为什么我们现在不再需要杀毒软件了？早期的病毒基本都是这种“损人不利己”类型的，像CIH、彩虹猫这种，大部分的作者都是为了炫技，出风头，其实做这种病毒还不如搞外挂赚得多。就算是大名鼎鼎的熊猫烧香，它的作者李俊也才“不法获利14万”。想象一下，要是当年“熊猫烧香”隐秘发作，偷偷把你的手机号、个人信息、银行卡号等等传到服务器，再卖出去，是不是要比单纯搞破坏赚的多？为什么我们现在不再需要杀毒软件了？很多情况下，你感受不到病毒，并不是因为没病毒了，而是它越来越隐蔽，从破坏到勒索，以偷取隐私，流量劫持为主，对软硬件损害小了，但危害一点没小。而它们的目标也从个人PC变成了公司、企业这类更有价值的对象，这些机构的设备可比你的电脑值钱多了。为什么我们现在不再需要杀毒软件了？其次，杀毒软件的技术也有了革命性的突破。传统杀毒软件用的基本都是特征码＋人工杀毒的技术，运用程序中某一段或几段64字节以下的代码作为判别程序病毒的主要依据，但如果出现变种病毒和未知病毒，那病毒的特征码就很难描述，所以及时更新病毒库就非常重要。但现在出现了主动防御，白名单，智能码标识之类的技术，对病毒都是“宁可错杀一千，也不放过一个”。为什么我们现在不再需要杀毒软件了？另外，系统的安全性也在不断提高，从DOS时代到Win11，权限管理越来越严格，一般的病毒如果没有权限，根本就没办法在硬盘上写入任何不良信息，除非有能力绕过权限机制，比如利用0day漏洞之类的。但一个0day漏洞的价值已经远远超过一台电脑，在黑市上，可以卖到几万美元到几十万美元不等，而0day一旦暴露，很快就会被厂商修复了。简答：什么是恶意代码？它与传统的计算机病毒的概念有何区别？操作实验：访问以下安全网站，了解其提供的安全产品、技术报告，下载试用版软件。[1] 安天实验室，。[2] 英国Sophos杀毒软件公司，。[3] 卡巴斯基实验室，。[4] Eset公司，。[5] 360安全中心，。[6] QQ安全中心，。[7] VirusTotal查毒引擎，。谢谢第八章数据安全数据安全数据本身的安全，利用现代密码学的手段对数据进行主动保护。数据防护的安全，采用现代信息存储手段对数据进行保护，如：磁盘阵列，数据备份，异地容灾等。数据安全是一个主动的保护措施。

数据安全数据丢失原因分析

1、误操作

2、人为破坏

3、病毒，黑客破坏

4、软硬件故障，电源，硬盘驱动器毁坏

5、环境因素

6、灾害存储技术介绍Raid技术硬盘是计算机最重要的外部存储设备，但一旦硬盘损坏，数据可能丢失。RAID是美国加利福尼亚伯克利分校提出的，RedundantArrayofInexpensiveDisks,廉价冗余磁盘阵列，又称独立冗余磁盘阵列。所谓的RAID就是利用若干个硬盘驱动器加上控制器按一定的组合方式组成的一个大容量、快速响应和高可靠的存储子系统。RAID特点传输速率高过去十几年来,CPU的处理速度增加了五十倍有多,内存(memory)的存取速度亦大幅增加,而数据储存装置--主要是磁盘(hard

disk)--的存取速度只增加了三、四倍,形成电脑系统的瓶颈,拉低了电脑系统的整体性能,若不能有效的提升磁盘的存取速度,CPU、内存及磁盘间的不平衡将使CPU及内存的改进形成浪费。磁盘阵列是把多个磁盘组成一个阵列,当作单一磁盘使用,它将数据以分段(striping)的方式储存在不同的磁盘中,存取数据时,阵列中的相关磁盘一起动作,大幅减低数据的存取时间,同时有更佳的空间利用率。RAID特点容错(fault

tolerance),即安全性。普通硬盘无法提供容错功能。尽量的平衡CPU,内存及磁盘的性能差异,提高电脑的整体工作性能。

磁盘阵列中针对不同的应用使用的不同技术,称为RAID

level,RAID是RedundentArray

of

Inexpensive

Disks的缩写,而每一level代表一种技术,目前业界公认的标准是RAID

0~RAID

5。这个level并不代表技术的高低,level

5并不高于level

3,level1也不低过level

4,至于要选择那一种RAID

level的产品,纯视用户的操作环境及应用而定,与level的高低没有必然的关系。

RAID技术

RAID

0及RAID

1适用于PC及PC相关的系统如小型的网络服务器(network

server)及需要高磁盘容量与快速磁盘存取的工作站等,比较便宜;RAID

3及RAID

4适用于大型电脑及影像、CAD/CAM等处理;RAID

5多用于OLTP,因有金融机构及大型数据处理中心的迫切需要,故使用较多而较有名气,

RAID

2较少使用,其他如AID

6,RAID

7,乃至RAID10等,都是厂商各做各的,并无一致的标准,在此不作说明。介绍各个RAID

level之前,先看看形成磁盘阵列的两个基本技术。磁盘延伸译为磁盘延伸,能确切的表示disk

spanning这种技术的含义。如图磁盘阵列控制器,联接了四个磁盘,这四个磁盘形成一个阵列(array),而磁盘阵列的控制器(RAIDcontroller)是将此四个磁盘视为单一的磁盘,如DOS环境下的C:盘。这是diskspanning的意义,因为把小容量的磁盘延伸为大容量的单一磁盘,用户不必规划数据在各磁盘的分布,而且提高了磁盘空间的使用率。并使磁盘容量几乎可作无限的延伸;而各个磁盘一起作取存的动作,比单一磁盘更为快捷。磁盘阵列控制器磁盘1磁盘2磁盘3磁盘4磁盘延伸磁盘数据分段因为磁盘阵列是将同一阵列的多个磁盘视为单一的虚拟盘，所以其数据是以分段(block

or

segment)的方式顺序存放在磁盘阵列中,数据按需要分段,从第一个磁盘开始放,放到最後一个磁盘再回到第一个磁盘放起,直到数据分布完毕。至于分段的大小视系统而定,有的系统或以1KB最有效率,或以4KB,或以6KB,甚至是4MB或8MB的,但除非数据小于一个扇区(sector,即521bytes),否则其分段应是512byte的倍数。

因为磁盘的读写是以一个扇区为单位,若数据小于512bytes,系统读取该扇区后,还要做组合或分组(视读或写而定)的动作,浪费时间。从上图我们可以看出,数据以分段于在不同的磁盘,整个阵列的各个磁盘可同时作读写,故数据分段使数据的存取有最好的效

率,理论上本来读一个包含四个分段的数据所需要的时间约=(磁盘的access

time+数据的tranfer

time)X4次,现在只要一次就可以完成。

磁盘分段图磁盘数据分段A0-A1B0-B1C0-C1D0-D1A2-A3B2-B3C2-C3D2-D3A4-A5B4-B5C4-C5D4-D5A6-A7B6-B7C6-C7D6-D7磁盘1磁盘2磁盘3磁盘4Disk

striping也称为RAID

0,很多人以为RAID

0没有甚么,其实这是非常错误的观念,因为RAID

0使磁盘的输出入有最高的效率。而磁盘阵列有更好效率的原因除数据分段,它可以同时执行多个输出入的要求,因为阵列中的每一个磁盘都能独立动作,分段放在不同的磁盘,不同的磁盘可同时作读写,而且能在快取内存及磁盘作并行存取(parallel

access)的动作,但只有硬件的磁盘阵列才有此性能表现。RAID0至少需要两块硬盘，没有任何的保护。只要一个硬盘出事，所有数据都会破坏。所以，RAID0应用在不重要的数据上。RAID0阵列的实际容量为Mxn,MM为硬盘驱动器的容量，n为硬盘驱动器的数量。磁盘的利用率100%。RAID0技术RAID0技术 RAID0无冗余无校验磁盘阵列每块硬盘可以同时写每块硬盘可以同时读数据数据数据数据数据数据RAID0示意图RAID

1是使用磁盘镜像(disk

mirroring)的技术，它的方式是在工作磁盘(working

disk)之外再加一额外的备份磁盘(backup

disk),两个磁盘所储存的数据完全一样,数据写入工作磁盘的同时亦写入备份磁盘。数据的写入时间会长一点。但数据的读取没有影响，两块硬盘可同时读取数据。在一对影像盘中，如果一块硬盘发生错误不会损失任何数据，因为数据可以从影像盘中恢复。但如果两个硬盘驱动器都发生了错误，数据则丢失。很多人以为RAID

1要加一个额外的磁盘,形成浪费而不看好RAID

1,事实上磁盘越来越便宜,并不见得造成负担,况且RAID

1有最好的容错(fault

tolerence)能力,其效率也是除RAID

0之外最好的。RAID1技术 RAID1技术RAID1影像磁盘阵列复制数据分别写入两块硬盘数据数据每块硬盘可同时读RAID2技术RAID

2是把数据分散为位(bit)或块(block),加入海明码Hamming

Code,在磁盘阵列中作间隔写入(interleaving)到每个磁盘中,而且地址(address)都一样,也就是在各个磁盘中,其数据都在相同的磁道(cylinder

or

track)及扇区中。RAID

2的设计是使用共轴同步(spindle

synchronize)的技术,存取数据时,整个磁盘阵列一起动作,在各作磁

盘的相同位置作平行存取,所以有最好的存取时间(accesstime),其总线(bus)是特别的设计,以大带宽(band

wide)并行传输所存取的数据,所以有最好的传输时间(transfertime)。在大型档案的存取应用,RAID

2有最好的性能,但如果档案太小,会将其性能拉下来,因为磁盘的存取是以扇区为单位,而RAID

2的存取是所有磁盘平行动作,而且是作

单位元的存取,故小于一个扇区的数据量会使其性能大打折扣。RAID

2是设计给需要连续且大量数据的电脑使用的,如大型电脑、作影像处理或CAD/CAM的工作站(workstation)等,并不适用于一般的多用户环境、网络服务器(network

server),小型机或PC。

RAID

2的安全采用内存阵列(memory

array)的技术,使用多个额外的磁盘作单位错误校正(single-bit

correction)及双位错误检测(double-bit

detection);至于需要多少个额外的磁盘,则视其所采用的方法及结构而定,例如八个数据磁盘的阵列可能需要三个额外的磁盘,有三十二个数据磁盘的高档阵列可能需要七个额外的磁盘。RAID2技术RAID2纠错海明码磁盘阵列第2n个硬盘存放校验值校验值校验值校验值校验值校验值校验值每块硬盘同时读海明码简介码距：一个编码系统中任意两个合法编码（码字）之间不同的二进数位（bit）数叫这两个码字的码距，而整个编码系统中任意两个码字的的最小距离就是该编码系统的码距。如图1所示的一个编码系统，用三个bit来表示八个不同信息中。在这个系统中，两个码字之间不同的bit数从1到3不等，但最小值为1，故这个系统的码距为1。如果任何码字中一位或多位被颠倒了，结果这个码字就不能与其它有效信息区分开。例如，如果传送信息001，而被误收为011，因011仍是表中的合法码字，接收机仍将认为011是正确的信息。然而，如果用四个二进数字来编8个码字，那么在码字间的最小距离可以增加到2，如图2的表中所示。海明码注意，图2的8个码字相互间最少有两bit的差异。因此，如果任何信息的一个数位被颠倒，就成为一个不用的码字，接收机能检查出来。例如信息是1001，误收为1011，接收机知道发生了一个差错，因为1011不是一个码字（表中没有）。然而，差错不能被纠正。假定只有一个数位是错的，正确码字可以是1001，1111，0011或1010。接收者不能确定原来到底是这4个码字中的那一个。也可看到，在这个系统中，偶数个（2或4）差错也无法发现。海明码奇偶校验奇偶校验可描述为：给每一个码字加一个校验位，用它来构成奇性或偶性校验。例如，在图8-2中，就是这样做的。可以看出，附加码元d2，是简单地用来使每个字成为偶性的。因此，若有一个码元是错的，就可以分辨得出，因为奇偶校验将成为奇性。奇偶校验编码通过增加一位校验位来使编码中1个个数为奇数（奇校验）或者为偶数（偶校验），从而使码距变为2。因为其利用的是编码中1的个数的奇偶性作为依据，所以不能发现偶数位错误。再以数字0的七位ASCII码（0110000）为例，如果传送后右边第一位出错，0变成1。接收端还认为是一个合法的代码0110001（数字1的ASCII码）。若在最左边加一位奇校验位，编码变为10110000，如果传送后右边第一位出错，则变成10110001，1的个数变成偶数，就不是合法的奇校验码了。但若有两位（假设是第1、2位）出错就变成10110011，1的个数为5，还是奇数。接收端还认为是一个合法的代码（数字3的ASCII码）。所以奇偶校验不能发现。海明码海明校验推求海明码时的一项基本考虑是确定所需最少的校验位数k。考虑长度为m位的信息，若附加了k个校验位，则所发送的总长度为m+k。图列出了m=4，k=3时，信息位和校验位的分布情况。图海明码中校验位和信息位的定位海明码校验位的确定k个校验位是通过对m+k位复合码字进行奇偶校验而确定的。其中：P1位负责校验海明码的第1、3、5、7、…（P1、D1、D2、D4、…）位，（包括P1自己）P2负责校验海明码的第2、3、6、7、…（P2、D1、D3、D4、…）位，（包括P2自己）P3负责校验海明码的第4、5、6、7、…（P3、D2、D3、D4、…）位，（包括P3自己）海明码因此可得到三个校验方程及确定校验位的三个公式：A=B1⊕B3⊕B5⊕B7=0得P1=D1⊕D2⊕D4B=B2⊕B3⊕B6⊕B7=0得P2=D1⊕D3⊕D4C=B4⊕B5⊕B6⊕B7=0得P3=D2⊕D3⊕D4海明码若四位信息码为1001，利用这三个公式可求得三个校验位P1、P2、P3值。和海明码，如图7则表示了信息码为1001时的海明码编码的全部情况。而图8中则列出了全部16种信息（D1D2D3D4=0000～1111）的海明码。海明码在接收方，也可根据这三个校验方程对接收到的信息进行同样的奇偶测试：A=B1⊕B3⊕B5⊕B7=0；B=B2⊕B3⊕B6⊕B7=0；C=B4⊕B5⊕B6⊕B7=0。若三个校验方程都成立,即方程式右边都等于0，则说明没有错。若不成立即方程式右边不等于0，说明有错。从三个方程式右边的值，可以判断那一位出错。例如，如果第3位数字反了，则C=0(此方程没有B3），A=B=1（这两个方程有B3）。可构成二进数CBA，以A为最低有效位，则错误位置就可简单地用二进数CBA=011指出。同样，若三个方程式右边的值为001，说明第1位出错。若三个方程式右边的值为100，说明第4位出错。RAID3技术RAID

3的数据储存及存取方式都和RAID

2一样,但在安全方面以奇偶校验(parity

check)取代海明码做错误校正及检测,所以只需要一个额外的校检磁盘(parity

disk)。奇偶校验值的计算是以各个磁盘的相对应位作XOR的逻辑运算,然后将结果写入奇偶校验磁盘,任何数据的修改都要做奇偶校验计算。如某一磁盘故障,换上新的磁盘后,整个磁盘阵列(包括奇偶校验磁盘)需重新计算一次,将故障磁盘的数据恢复并写入新磁盘中;如奇偶校验磁盘故障,则重新计算奇偶校验值,以达容错的要求。RAID3技术RAID3带校验的并行磁盘阵列数据数据数据数据数据校验值读数据读写操作跨越硬盘RAID5技术RAID

4是以扇区作数据分段,各磁盘相同位置的分段形成一个校验磁盘分段(parityblock),放在校验磁盘。这种方式可在不同的磁盘平行执行不同的读取命今,大幅提高磁盘阵列的读取性能;但写入数据时,因受限于校验磁盘,同一时间只能作一次,启动所有磁盘读取数据形成同一校验分段的所有数据分段,与要写入的数据做好校验计算再写入,因有RAID

5而使得RAID

4较少使用。RAID5避免了RAID

4的瓶颈,方法是不用校验磁盘而将校验数据以循环的方式放在每一个磁盘中。磁盘阵列的第一个磁盘分段是校验值,第二个磁盘至后一个磁盘再折回第一个磁盘的分段是数据,然后第二个磁盘的分段是校验值,从第三个磁盘再折回第二个磁盘的分段是数据,以此类推,直到放完为止。也就是校验值是由各磁盘同一位置的分段的数据所计算出来。这种方式能大幅增加小档案的存取性能,不但可同时读取,甚至有可能同时执行多个写入的动作,如可写入数据到磁盘1而其parityblock在磁盘2,同时写入数据到磁盘4而其parity

block在磁盘1。RAID5技术带校验不固定磁盘的磁盘阵列数据/校验值数据/校验值数据/校验值数据/校验值数据/校验值每块硬盘可同时读磁盘阵列磁盘阵列是将多个类型、容量一致的专用硬盘或普通硬盘连成一个阵列，使其能以某种快速、准确和安全的方式来读写磁盘数据，从而达到提高数据读取数据和安全性的一个手段。提高了存储容量，提高数据传输率。有校验技术，提高了可靠性。磁盘阵列的额外的容错功能事实上容错功能已成为磁盘阵列最受青睐的特性,为了加强容错的功能以及使系统在磁盘故障的情况下能迅速的重建数据,以维持系统的性能,一般的磁盘阵列系统都可使用热备份的功能,所谓热备份是在建立磁盘阵列系统的时候,将其中一磁盘指定为后备磁盘,此一磁盘在平常并不操作,但若阵列中某一磁盘发生故障时,磁盘阵列即以后备磁盘取代故障磁盘,并自动将故障磁盘的数据重建(rebuild)在后备磁盘之上,因为反应快速,加上快取内存减少了磁盘的存取,所以数据重建很快即可完成,对系统的性能影响很小。对于要求不停机的大型数据处理中心或控制中心而言,热备份更是一项重要的功能,因为可避免晚间或无人值守时发生磁盘故障所引起的种种不便。坏扇区转移(bad

sector

reassignment)。坏扇区是磁盘故障

的主要原因,通常磁盘在读写时发生坏扇区的情况即表示此磁盘故障,不能再作读写,甚至有很多系统会因为不能完成读写的动作而死机。坏扇区转移是当磁盘阵列系统发现磁盘有坏扇区时,以另一空白且无故障的扇区取代该扇区,以延长磁盘的使用寿命,减少坏磁盘的发生率以及系统的维护成本。硬件磁盘阵列还是软件磁盘阵列一个完整的磁盘阵列硬件与系统相接。内置CPU,与主机并行运作,所有的I/O都在磁盘阵列中完成,减轻主机的工作负载,

增加系统整体性能。有卓越的总线主控(bus

mastering)及DMA能力,加速数据的存取及传输性能。与快取内存结合在一起,不但增加数据的存取及传输性能,更因减少对磁盘的存取而增加磁盘的寿命。软件磁盘阵列是一个程序,在主机执行,透过一块SCSI卡与磁盘相接形成阵列,它最大的优点是便宜,因为没有硬件成本(包括研发、生产、维护等),而SCSI卡很便宜(亦有的软件磁盘阵列使用指定的很贵的SCSI卡);它最大的缺点是使主机多了很多进程(process),增加了主机的负担,尤其是输出入需求量大的系统。目前市面上的磁盘阵列系统大部份是硬件磁盘阵列,软件磁盘阵列较少。IDE，SCSI，FC接口硬盘接口是硬盘与主机系统间的连接部件，作用是在硬盘缓存和主机内存之间传输数据。不同的硬盘接口决定着硬盘与控制器之间的连接速度，在整个系统中，硬盘接口的性能高低对磁盘阵列整体性能有直接的影响。SCSI是一种连结主机和外围设备的接口，支持包括磁盘驱动器、磁带机、光驱、扫描仪在内的多种设备。它由SCSI控制器进行数据操作，SCSI控制器相当于一块小型CPU，有自己的命令集和缓存。能够处理大部分工作，减轻了中央处理器的负担(CPU占用率)。FC光纤通道接口，带宽高，适合于SAN存储方案。DAS、NAS、SAN存储模式目前磁盘存储市场上，存储分类（如下表一）根据服务器类型分为：封闭系统的存储和开放系统的存储，封闭系统主要指大型机，AS400等服务器，开放系统指基于包括Windows、UNIX、Linux等操作系统的服务器；开放系统的存储分为：内置存储和外挂存储；开放系统的外挂存储根据连接的方式分为：直连式存储（Direct-AttachedStorage，简称DAS）和网络化存储（Fabric-AttachedStorage，简称FAS）；开放系统的网络化存储根据传输协议又分为：网络接入存储（Network-AttachedStorage，简称NAS）和存储区域网络（StorageAreaNetwork，简称SAN）。由于目前绝大部分用户采用的是开放系统，其外挂存储占有目前磁盘存储市场的70%以上，因此本文主要针对开放系统的外挂存储进行论述说明。存储模式存储方案直连式存储（DAS）直连式存储依赖服务器主机操作系统进行数据的IO读写和存储维护管理，数据备份和恢复要求占用服务器主机资源（包括CPU、系统IO等），数据流需要回流主机再到服务器连接着的磁带机（库），数据备份通常占用服务器主机资源20-30%，因此许多企业用户的日常数据备份常常在深夜或业务系统不繁忙时进行，以免影响正常业务系统的运行。直连式存储的数据量越大，备份和恢复的时间就越长，对服务器硬件的依赖性和影响就越大。直连式存储与服务器主机之间的连接通道通常采用SCSI连接，带宽为10MB/s、20MB/s、40MB/s、80MB/s等，随着服务器CPU的处理能力越来越强，存储硬盘空间越来越大，阵列的硬盘数量越来越多，SCSI通道将会成为IO瓶颈；服务器主机SCSIID资源有限，能够建立的SCSI通道连接有限。无论直连式存储还是服务器主机的扩展，从一台服务器扩展为多台服务器组成的群集(Cluster)，或存储阵列容量的扩展，都会造成业务系统的停机，从而给企业带来经济损失，对于银行、电信、传媒等行业7×24小时服务的关键业务系统，这是不可接受的。问题解决针对I/O是整个网络系统效率低下的瓶颈问题，将数据从通用的应用服务器中分离出来以简化存储管理。存在的问题：每个新的应用服务器都要有它自己的存储器。这样造成数据处理复杂，随着应用服务器的不断增加，网络系统效率会急剧下降。问题解决将存储器从应用服务器中分离出来，进行集中管理。这就是所说的存储网络（StorageNetworks）专家们针对这一办法又采取了两种不同的实现手段，即NAS（NetworkAttachedStorage）网络接入存储和SAN(StorageAreaNetworks)存储区域网络。

存储区域网络SAN存储区域网络（StorageAreaNetwork，简称SAN）采用光纤通道（FibreChannel）技术，通过光纤通道交换机连接存储阵列和服务器主机，建立专用于数据存储的区域网络。SAN经过十多年历史的发展，已经相当成熟，成为业界的事实标准（但各个厂商的光纤交换技术不完全相同，其服务器和SAN存储有兼容性的要求）。SAN存储采用的带宽从100MB/s、200MB/s，发展到目前的1Gbps、2Gbps。网络接入存储NAS

网络接入存储（Network-AttachedStorage，简称NAS）采用网络（TCP/IP、ATM、FDDI）技术，通过网络交换机连接存储系统和服务器主机，建立专用于数据存储的存储私网。随着IP网络技术的发展，网络接入存储（NAS）技术发生质的飞跃。NAS，SAN的不同NAS：用户通过TCP/IP协议访问数据，采用业界标准文件共享协议如：NFS、HTTP、CIFS实现共享。

SAN：通过专用光纤通道交换机访问数据，采用SCSI、FC-AL接口。什么是NAS和SAN的根本不同点？NAS和SAN最本质的不同就是文件管理系统在哪里。如图：由图可以看出，SAN结构中，文件管理系统（FS）还是分别在每一个应用服务器上；而NAS则是每个应用服务器通过网络共享协议（如：NFS、CIFS）使用同一个文件管理系统。换句话说：NAS和SAN存储系统的区别是NAS有自己的文件系统管理。数据备份技术简介数据存储的不安全性主要来自以下几个方面：病毒、非法操作、黑客攻击、内部人员故意破坏篡改、误操作、自然灾害等。据统计，硬件故障、软件错误、人的误操作是数据丢失的最主要原因。50%以上的数据丢失是由于硬件故障或软件错误造成的；30%以上的数据丢失是由人的错误操作造成的；病毒和自然灾害造成的数据丢失不到15%。调查结果显示，具备计算机网络的公司有2/3遭遇过数据丢失的情况。在这种情形下，数据备份的作用已经越来越引起人们的重视。数据备份技术也逐渐成为人们研究的热点。备份技术分类数据备份有多种实现形式，从不同的角度可以对备份进行不同的分类：从备份模式来看，可以分为物理备份和逻辑备份；从备份策略来看，可以分为完全备份、增量备份和差分备份；根据备份服务器在备份过程中是否可以接收用户响应和数据更新，又可以分为离线备份和在线备份，或称为冷备份和热备份。物理备份-基于块（block-based）的备份，基于文件（file-based）的备份基于设备（device-based）的备份备份模式逻辑备份每个文件都是由不同的逻辑块组成的，每一个逻辑的文件块存储在连续的物理磁盘块上。但是，组成一个文件的不同逻辑块极有可能存储在分散的磁盘块上。比如UNIX系统，它使用了索引节点或“inode”结构来映射逻辑块地址和相应的磁盘上的物理地址。一个inode包含了指向物理磁盘块的指针。对于比较大的文件来说，一个单一的inode太小，无法映射所有的逻辑块，需要多个块的间接引用包含更多的指针。备份软件通常既可以进行文件操作又可以对磁盘块进行操作。基于文件的备份系统能够识别文件结构，并拷贝所有的文件和目录到备份资源上。这样的系统跨越了存储在每个inode上的指针，顺序的读取每个文件的物理块。然后备份软件连续的将文件写入到备份媒介上。这样的备份使得每个单独文件的恢复变得很快。但是，连续的存储文件会使得备份速度减慢，因为在对非连续存储在磁盘上的文件进行备份时需要额外的查找操作。这些额外的查找操作增加了磁盘的开销，降低了磁盘的吞吐率。基于文件的逻辑备份的另外一个缺点就是对于文件的一个很小的改变也需要将整个文件备份。物理备份与之相比，物理的或“基于设备的备份”系统在拷贝磁盘块到备份媒介上时忽略文件结构。这样会提高备份的性能，因为备份软件在执行过程中，花费在搜索操作上的开销很少。但是，这种方法使得文件的恢复变得复杂而且缓慢。因为文件并不是连续的存储在备份媒介上。为了允许文件恢复，基于设备的备份必须要收集文件和目录是如何在磁盘上组织的信息，才能使得备份媒介上的物理块与特定的文件相关联。因而，基于设备的备份适合于指定一个特定的文件系统来实现，并且不易移植。基于文件的方案则更易移植，因为备份文件包含的是连续文件。基于设备的备份方案的另外一个缺点是可能引入数据的不一致性。操作系统的核心一般会在写磁盘前对要写的数据进行缓存；基于设备的备份方案的特色就是跨越磁盘块，这样就会忽略文件缓存区中的数据，备份文件的较早版本。相对的，基于文件的备份方案考虑了文件的缓存区，备份了文件的当前版本。备份策略数据备份策略决定何时进行备份，备份收集何种数据，以及出现故障时进行恢复的方式。完全备份（fullbackup）完全备份是指对整个系统（如组成服务器的所有卷）或用户指定的所有文件数据进行一次全面的备份。这是最基本也是最简单的备份方式，这种备份方式的好处就是很直观，容易被人理解。如果在备份间隔期间出现数据丢失等问题，可以只使用一份备份文件快速的恢复所丢失的数据。但是它的不足之处也很明显：它需要备份所有的数据，并且每次备份的工作量也很大，需要大量的备份介质，如果完全备份进行的比较频繁，在备份文件中就有大量的数据是重复的。这些重复的数据占用了大量的磁带磁盘空间，这对用户来说就意味着增加成本。而且如果需要备份的数据量相当大，备份数据时进行读写操作所需的时间也会较长。因此这种备份不能进行得太频繁，只能每隔一段较长时间才进行一次完整的备份。但是这样一旦发生数据丢失，只能使用上一次的备份数据恢复到前次备份时数据状况，这期间内更新的数据就有可能丢失。备份策略增量备份（incrementalbackup）：增量备份为了解决上述完全备份的两个缺点，更快、更小的增量备份应时而出。增量备份只备份相对与上一次备份操作以来新创建或者更新过的数据。因为在特定的时间段内只有少量的文件发生改变，没有重复的备份数据，既节省了磁带空间，又缩短了备份的时间。因而这种备份方法比较经济，可以频繁的进行。典型的增量备份方案是在偶尔进行完全备份后，频繁的进行增量备份。但是在增量备份系统中，一旦发生数据丢失或文件误删除操作时，恢复工作会比较麻烦；因为恢复操作需要查询一系列的备份文件，从最后一次完全备份开始，将记录在一次或多次的增量备份中的改变应用到文件上，增量备份的恢复需要多份的备份文件才可以完成。在这种备份下，各盘磁带间的关系就像链子一样，一环套一环，其中任何一盘磁带出现了问题都会导致整条链子脱节。因此这种备份的可靠性也最差。

差分备份技术差分备份即备份上一次完全备份后产生和更新的所有新的数据。它的主要目的是将完全恢复时涉及到的备份记录数量限制在2个，以简化恢复的复杂性。差分备份在避免了另外两种策略缺陷的同时，又具有了它们的优点。首先，它无需频繁的作完全备份，工作量小于完全备份，因此备份所需要时间短，并节省磁盘空间；其次，虽然每次做差分备份工作的任务比增量备份的工作量要大，但是它的灾难恢复相对简单。系统管理员只需要对两份备份文件进行恢复，即完全备份的文件和灾难发生前最近的一次。差分备份文件，就可以将系统恢复。而在增量备份中，要顺序的进行从上次完全备份以来的每一次增量备份的恢复。增量备份和差分备份区别这两种方法的备份方法都是依赖于时间，或者是基于上一次备份(增量)，或者基于上一次完全备份。冷备份冷备份又叫离线备份，它是指当执行备份操作时，服务器将不接受来自用户和应用对数据的更新。离线备份很好的解决了备份选择进行时并发更新带来的数据不一致性问题，缺点是用户需要等待很长的时间，服务器将不能及时响应用户的需求。目前的新技术有LAN-Free、Server-Free等，这种方式的恢复时间比较长，但投资较少。热备份热备份也称在线备份，或数据复制，即同步数据备份，就是在用户和应用正在更新数据时，系统也可以进行备份。由于是同步备份，资源占用比较多，投资较大，但是它的恢复时间非常短。在热备份中有一个很大的问题就是数据有效性和完整性，如果备份过程中产生了数据不一致性，会导致数据的不可用。解决此问题的方法是对于一些总是处于打开状态的重要数据文件，备份系统可以采取文件的单独写/修改特权，保证在该文件备份期间其他应用不能对它进行更新。集群技术简介Cluster集群技术可如下定义：一组相互独立的服务器在网络中表现为单一的系统，并以单一系统的模式加以管理。此单一系统为客户工作站提供高可靠性的服务。大多数模式下，集群中所有的计算机拥有一个共同的名称，集群内任一系统上运行的服务可被所有的网络客户所使用。Cluster必须可以协调管理各分离的组件的错误和失败，并可透明地向Cluster中加入组件。一个Cluster包含多台(至少二台)拥有共享数据存储空间的服务器。任何一台服务器运行一个应用时，应用数据被存储在共享的数据空间内。每台服务器的操作系统和应用程序文件存储在其各自的本地储存空间上Cluster内各节点服务器通过一内部局域网相互通讯。当一台节点服务器发生故障时，这台服务器上所运行的应用程序将在另一节点服务器上被自动接管。当一个应用服务发生故障时，应用服务将被重新启动或被另一台服务器接管。当以上的任一故障发生时，客户都将能很快连接到新的应用服务上。应用的服务器容错技术服务器群集技术双机热备份技术单机容错技术它们各自所对应的容错级别是从低到高的，也就是说服务器群集技术容错级别最低，而单机容错技术级别最高。

双机热备份技术双机热备份技术是一种软硬件结合的较高容错应用方案。该方案是由两台服务器系统和一个外接共享磁盘阵列柜(也可没有，而是在各自的服务器中采取RAID卡)及相应的双机热备份软件组成，如图所示。双机热备份系统在这个容错方案中，操作系统和应用程序安装在两台服务器的本地系统盘上，整个网络系统的数据是通过磁盘阵列集中管理和数据备份的。数据集中管理是通过双机热备份系统，将所有站点的数据直接从中央存储设备读取和存储，并由专业人员进行管理，极大地保护了数据的安全性和保密性。用户的数据存放在外接共享磁盘阵列中，在一台服务器出现故障时，备机主动替代主机工作，保