信息系統(tǒng)安全事件響應(yīng)

1、整理ppt第第5章章 信息系統(tǒng)安全事件響應(yīng)信息系統(tǒng)安全事件響應(yīng)“智者千慮，必有一失智者千慮，必有一失”。盡管已經(jīng)為信息系統(tǒng)的防護(hù)開發(fā)了許。盡管已經(jīng)為信息系統(tǒng)的防護(hù)開發(fā)了許多技術(shù)，但是很難沒有一點(diǎn)疏漏，何況入侵者也是一些技術(shù)高多技術(shù)，但是很難沒有一點(diǎn)疏漏，何況入侵者也是一些技術(shù)高手。手。系統(tǒng)遭受到一次入侵，就面臨一次災(zāi)難。這些影響信息系統(tǒng)安系統(tǒng)遭受到一次入侵，就面臨一次災(zāi)難。這些影響信息系統(tǒng)安全的不正當(dāng)行為，就稱為事件。事件響應(yīng)，就是事件發(fā)生后所全的不正當(dāng)行為，就稱為事件。事件響應(yīng)，就是事件發(fā)生后所采取的措施和行動。信息系統(tǒng)的脆弱，加上入侵技術(shù)的不斷進(jìn)采取的措施和行動。信息系統(tǒng)的脆弱，加上入侵技

2、術(shù)的不斷進(jìn)化，使得入侵不可避免。因此，遭受災(zāi)難后，的系統(tǒng)恢復(fù)就成化，使得入侵不可避免。因此，遭受災(zāi)難后，的系統(tǒng)恢復(fù)就成為一個與防火墻技術(shù)、入侵檢測技術(shù)等同樣重要的技術(shù)。為一個與防火墻技術(shù)、入侵檢測技術(shù)等同樣重要的技術(shù)。整理pptv1988年，莫里斯蠕蟲迅雷不及掩耳之勢肆虐互聯(lián)網(wǎng)，招致年，莫里斯蠕蟲迅雷不及掩耳之勢肆虐互聯(lián)網(wǎng)，招致上千臺計算機(jī)系統(tǒng)的崩潰，造成了以千萬美元計的損失。上千臺計算機(jī)系統(tǒng)的崩潰，造成了以千萬美元計的損失。這突如其來的災(zāi)難，給人們敲響了警鐘：面隊人類對信息這突如其來的災(zāi)難，給人們敲響了警鐘：面隊人類對信息系統(tǒng)以來程度不斷增強(qiáng)，對付入侵不僅需要防御，還要能系統(tǒng)以來程度不斷增強(qiáng)

3、，對付入侵不僅需要防御，還要能夠在事件發(fā)生后進(jìn)行緊急處理和援助。夠在事件發(fā)生后進(jìn)行緊急處理和援助。1989年，在美國國年，在美國國防部的資助下，防部的資助下，CERT（Computer Emergency Team，計，計算機(jī)緊急響應(yīng)組）算機(jī)緊急響應(yīng)組）/CC（Call Center）成立。從此緊急響）成立。從此緊急響應(yīng)被擺到了人們的議事桌上。應(yīng)被擺到了人們的議事桌上。CERT成立以后，做了大量工成立以后，做了大量工作。但最大的成就是使緊急響應(yīng)為人們普遍接受。作。但最大的成就是使緊急響應(yīng)為人們普遍接受。5.1 應(yīng)急響應(yīng)應(yīng)急響應(yīng)v一般說來，每個使用信息系統(tǒng)的組織都應(yīng)當(dāng)有一套緊急響一般說來，每個使

4、用信息系統(tǒng)的組織都應(yīng)當(dāng)有一套緊急響應(yīng)的機(jī)制。這個機(jī)制包括兩個環(huán)節(jié)：應(yīng)的機(jī)制。這個機(jī)制包括兩個環(huán)節(jié)： 應(yīng)急響應(yīng)組織；應(yīng)急響應(yīng)組織； 緊急預(yù)案。緊急預(yù)案。整理ppt5.1.1 應(yīng)急響應(yīng)組織應(yīng)急響應(yīng)組織v應(yīng)急響應(yīng)組織的主要工作有：應(yīng)急響應(yīng)組織的主要工作有： 安全事件與軟件安全缺陷分析研究；安全事件與軟件安全缺陷分析研究； 安全知識庫（包括漏洞知識、入侵檢測等）開發(fā)與管理；安全知識庫（包括漏洞知識、入侵檢測等）開發(fā)與管理； 安全管理和應(yīng)急知識的教育與培訓(xùn)；安全管理和應(yīng)急知識的教育與培訓(xùn)； 發(fā)布安全信息（如系統(tǒng)漏洞與補(bǔ)丁，病毒警告等）；發(fā)布安全信息（如系統(tǒng)漏洞與補(bǔ)丁，病毒警告等）； 安全事件緊急處理。安

5、全事件緊急處理。v應(yīng)急響應(yīng)組織包括應(yīng)急響應(yīng)組織包括應(yīng)急保障領(lǐng)導(dǎo)小組應(yīng)急保障領(lǐng)導(dǎo)小組和和應(yīng)急技術(shù)保障小組應(yīng)急技術(shù)保障小組。領(lǐng)導(dǎo)小組的主要職責(zé)是領(lǐng)導(dǎo)與協(xié)調(diào)突發(fā)事件與自然災(zāi)害的應(yīng)領(lǐng)導(dǎo)小組的主要職責(zé)是領(lǐng)導(dǎo)與協(xié)調(diào)突發(fā)事件與自然災(zāi)害的應(yīng)急處理。應(yīng)急技術(shù)保障小組主要解決安全事件的技術(shù)問題，急處理。應(yīng)急技術(shù)保障小組主要解決安全事件的技術(shù)問題，如物理實(shí)體和環(huán)境安全技術(shù)、網(wǎng)絡(luò)通信技術(shù)、系統(tǒng)平臺技術(shù)、如物理實(shí)體和環(huán)境安全技術(shù)、網(wǎng)絡(luò)通信技術(shù)、系統(tǒng)平臺技術(shù)、應(yīng)用系統(tǒng)技術(shù)等。應(yīng)用系統(tǒng)技術(shù)等。整理ppt5.1.2 緊急預(yù)案緊急預(yù)案1. 緊急預(yù)案及基本內(nèi)容緊急預(yù)案及基本內(nèi)容v執(zhí)行緊急預(yù)案的人員（姓名、住址、電話號碼以及有關(guān)執(zhí)

6、行緊急預(yù)案的人員（姓名、住址、電話號碼以及有關(guān)職能部門的聯(lián)系方法）；職能部門的聯(lián)系方法）；應(yīng)急預(yù)案是指根據(jù)不同的突發(fā)緊急事件類型和以外情形，預(yù)應(yīng)急預(yù)案是指根據(jù)不同的突發(fā)緊急事件類型和以外情形，預(yù)先制定的處理方案。應(yīng)急預(yù)案一般要包括如下內(nèi)容：先制定的處理方案。應(yīng)急預(yù)案一般要包括如下內(nèi)容：v系統(tǒng)緊急事件類型及處理措施的詳細(xì)說明；系統(tǒng)緊急事件類型及處理措施的詳細(xì)說明；v應(yīng)急處理的具體步驟和操作順序。應(yīng)急處理的具體步驟和操作順序。整理ppt2. 常見安全事件常見安全事件v物理實(shí)體及環(huán)境類安全事件，如意外停電、物理設(shè)備丟物理實(shí)體及環(huán)境類安全事件，如意外停電、物理設(shè)備丟失、火災(zāi)、水災(zāi)等。失、火災(zāi)、水災(zāi)等。

7、緊急預(yù)案要根據(jù)安全事件的類型進(jìn)行對應(yīng)的處理。下面提供緊急預(yù)案要根據(jù)安全事件的類型進(jìn)行對應(yīng)的處理。下面提供一些常見的安全事件類型供參考：一些常見的安全事件類型供參考：v網(wǎng)絡(luò)通信類安全事件：如網(wǎng)絡(luò)蠕蟲侵害等。網(wǎng)絡(luò)通信類安全事件：如網(wǎng)絡(luò)蠕蟲侵害等。v主機(jī)系統(tǒng)類安全事件，如計算機(jī)病毒、口令丟失等；主機(jī)系統(tǒng)類安全事件，如計算機(jī)病毒、口令丟失等；v應(yīng)用系統(tǒng)類安全事件，如客護(hù)信息丟失等。應(yīng)用系統(tǒng)類安全事件，如客護(hù)信息丟失等。整理ppt3. 安全事件處理的基本流程安全事件處理的基本流程（1）安全事件報警）安全事件報警值班人員發(fā)現(xiàn)緊急情況，要及時報告。報告要對安全事件進(jìn)行準(zhǔn)確描述值班人員發(fā)現(xiàn)緊急情況，要及時報告

8、。報告要對安全事件進(jìn)行準(zhǔn)確描述并作書面記錄。按照安全事件的類型，安全事件呈報條例應(yīng)依次報告：并作書面記錄。按照安全事件的類型，安全事件呈報條例應(yīng)依次報告：一、值班人員，二、應(yīng)急工作組長，三、應(yīng)急領(lǐng)導(dǎo)小組。如果想進(jìn)行任一、值班人員，二、應(yīng)急工作組長，三、應(yīng)急領(lǐng)導(dǎo)小組。如果想進(jìn)行任何類型的跟蹤調(diào)查或者起訴入侵者，應(yīng)先跟管理人員和法律顧問商量，何類型的跟蹤調(diào)查或者起訴入侵者，應(yīng)先跟管理人員和法律顧問商量，然后通知有關(guān)執(zhí)法機(jī)構(gòu)。一定要記住，除非執(zhí)法部門的參與，否則對入然后通知有關(guān)執(zhí)法機(jī)構(gòu)。一定要記住，除非執(zhí)法部門的參與，否則對入侵者進(jìn)行的一切跟蹤都可能是非法的。侵者進(jìn)行的一切跟蹤都可能是非法的。同時，

9、還應(yīng)通知有關(guān)人員，交換相關(guān)信息，必要時可以獲得援助；同時，還應(yīng)通知有關(guān)人員，交換相關(guān)信息，必要時可以獲得援助；整理ppt安全事件處理的基本流程（續(xù)）安全事件處理的基本流程（續(xù)）（2）安全事件確認(rèn)）安全事件確認(rèn)確定安全事件的類型，以便啟動相應(yīng)的預(yù)案。確定安全事件的類型，以便啟動相應(yīng)的預(yù)案。（3）啟動緊急預(yù)案）啟動緊急預(yù)案（a）首先要能夠找到緊急預(yù)案。）首先要能夠找到緊急預(yù)案。（b）保護(hù)現(xiàn)場證據(jù)（如系統(tǒng)事件、處理者采取的行動、與外界的溝通）保護(hù)現(xiàn)場證據(jù)（如系統(tǒng)事件、處理者采取的行動、與外界的溝通等），避免災(zāi)害擴(kuò)大；等），避免災(zāi)害擴(kuò)大；整理ppt安全事件處理的基本流程（續(xù)）安全事件處理的基本流程（續(xù)

10、）（4）恢復(fù)系統(tǒng)）恢復(fù)系統(tǒng)（a）安裝干凈的操作系統(tǒng)版本。建議使用干凈的備份程序備份整個系統(tǒng)，然后）安裝干凈的操作系統(tǒng)版本。建議使用干凈的備份程序備份整個系統(tǒng)，然后重裝系統(tǒng)。重裝系統(tǒng)。（b）取消不必要的服務(wù)。只配置系統(tǒng)要提供的服務(wù)，取消那些沒有必要的服務(wù)。）取消不必要的服務(wù)。只配置系統(tǒng)要提供的服務(wù)，取消那些沒有必要的服務(wù)。檢查并確信其配置文件沒有脆弱性以及該服務(wù)是否可靠。檢查并確信其配置文件沒有脆弱性以及該服務(wù)是否可靠。（c）安裝供應(yīng)商提供的所有補(bǔ)丁。建議安裝所有的安全補(bǔ)丁，使系統(tǒng)能夠抵御）安裝供應(yīng)商提供的所有補(bǔ)丁。建議安裝所有的安全補(bǔ)丁，使系統(tǒng)能夠抵御外來攻擊，不被再次侵入，這是最重要的一步。

11、外來攻擊，不被再次侵入，這是最重要的一步。（d）查閱）查閱CERT的安全建議、安全總結(jié)和供應(yīng)商的安全提示的安全建議、安全總結(jié)和供應(yīng)商的安全提示（e）謹(jǐn)慎使用備份數(shù)據(jù)）謹(jǐn)慎使用備份數(shù)據(jù) 。在從備份中恢復(fù)數(shù)據(jù)時，要確信備份主機(jī)沒有被侵。在從備份中恢復(fù)數(shù)據(jù)時，要確信備份主機(jī)沒有被侵入。一定要記住，恢復(fù)過程可能會重新帶來安全缺陷，被入侵者利用。例如恢入。一定要記住，恢復(fù)過程可能會重新帶來安全缺陷，被入侵者利用。例如恢復(fù)用戶的復(fù)用戶的home目錄以及數(shù)據(jù)文件中，以及用戶起始目錄下的目錄以及數(shù)據(jù)文件中，以及用戶起始目錄下的.rhost文件中，也文件中，也許藏有特洛伊木馬程序。許藏有特洛伊木馬程序。（f）改

12、變密碼。在彌補(bǔ)了安全漏洞或者解決了配置問題以后，建議改變系統(tǒng)中）改變密碼。在彌補(bǔ)了安全漏洞或者解決了配置問題以后，建議改變系統(tǒng)中所有賬戶的密碼。所有賬戶的密碼。整理ppt安全事件處理的基本流程（續(xù)）安全事件處理的基本流程（續(xù)）（5）加強(qiáng)系統(tǒng)和網(wǎng)絡(luò)的安全）加強(qiáng)系統(tǒng)和網(wǎng)絡(luò)的安全（a）根據(jù)）根據(jù)CERT的的UNIX/NT配置指南檢查系統(tǒng)的安全性。配置指南檢查系統(tǒng)的安全性。CERT的的UNIX/NT配置指南可以幫助你檢查系統(tǒng)中容易被入侵者利用的配置問題。配置指南可以幫助你檢查系統(tǒng)中容易被入侵者利用的配置問題。（b）安裝安全工具。在將系統(tǒng)連接到網(wǎng)絡(luò)上之前，一定要安裝所有選擇的安全工具。）安裝安全工具。在

13、將系統(tǒng)連接到網(wǎng)絡(luò)上之前，一定要安裝所有選擇的安全工具。同時，最好使用同時，最好使用Tripwire、aide等工具對系統(tǒng)文件進(jìn)行等工具對系統(tǒng)文件進(jìn)行MD5校驗(yàn)，把校驗(yàn)碼放到安全校驗(yàn)，把校驗(yàn)碼放到安全的地方，以便以后對系統(tǒng)進(jìn)行檢查。的地方，以便以后對系統(tǒng)進(jìn)行檢查。（c）打開日志。啟動日志）打開日志。啟動日志(logging)/檢查檢查(auditing)/記賬記賬(accounting)程序，將它們程序，將它們設(shè)置到準(zhǔn)確的級別，例如設(shè)置到準(zhǔn)確的級別，例如sendmail日志應(yīng)該是日志應(yīng)該是9級或者更高。級或者更高。要經(jīng)常備份日志文件，或者將日志寫到另外的機(jī)器、一個只能增加的文件系統(tǒng)或者一要經(jīng)常備

14、份日志文件，或者將日志寫到另外的機(jī)器、一個只能增加的文件系統(tǒng)或者一個安全的日志主機(jī)。個安全的日志主機(jī)。（e）重新連接到）重新連接到Internet。全完成以上步驟以后，就可以把系統(tǒng)連接回。全完成以上步驟以后，就可以把系統(tǒng)連接回Internet了。了。應(yīng)當(dāng)注意，安全事件處理工作復(fù)雜，責(zé)任重大，至少應(yīng)有兩人參加。應(yīng)當(dāng)注意，安全事件處理工作復(fù)雜，責(zé)任重大，至少應(yīng)有兩人參加。整理ppt安全事件處理的基本流程（續(xù)）安全事件處理的基本流程（續(xù)）（6）應(yīng)急工作總結(jié)）應(yīng)急工作總結(jié)召開會議，分析問題和解決方法，參考召開會議，分析問題和解決方法，參考（a）總結(jié)教訓(xùn)。從記錄中總結(jié)出對于這起事故的教訓(xùn)，這有助于你檢討

15、自）總結(jié)教訓(xùn)。從記錄中總結(jié)出對于這起事故的教訓(xùn)，這有助于你檢討自己的安全策略。己的安全策略。（b）計算事件的代價。計算事件代價有助于讓組織認(rèn)識到安全的重要性。）計算事件的代價。計算事件代價有助于讓組織認(rèn)識到安全的重要性。（c）改進(jìn)安全策略。）改進(jìn)安全策略。整理ppt安全事件處理的基本流程（續(xù)）安全事件處理的基本流程（續(xù)）（7）撰寫安全事件報告）撰寫安全事件報告安全事件報告的內(nèi)容包括：安全事件報告的內(nèi)容包括： 安全事件發(fā)生的日期、時間；安全事件發(fā)生的日期、時間； 安全事件處理參加的人員；安全事件處理參加的人員； 事件發(fā)現(xiàn)的途徑；事件發(fā)現(xiàn)的途徑； 事件類型；事件類型； 事件涉及范圍；事件涉及范圍；

16、 現(xiàn)場記錄；現(xiàn)場記錄； 事件導(dǎo)致的損失和影響；事件導(dǎo)致的損失和影響； 事件處理過程事件處理過程 使用的技術(shù)和工具；使用的技術(shù)和工具； 經(jīng)驗(yàn)和教訓(xùn)。經(jīng)驗(yàn)和教訓(xùn)。整理ppt5.1.3 災(zāi)難恢復(fù)災(zāi)難恢復(fù)v與高層管理人員協(xié)商；與高層管理人員協(xié)商；v奪回系統(tǒng)控制權(quán)；奪回系統(tǒng)控制權(quán)；v入侵評估：分析入侵途徑，檢查入侵對系統(tǒng)的損害；入侵評估：分析入侵途徑，檢查入侵對系統(tǒng)的損害；v清除入侵者留下的后門；清除入侵者留下的后門；v恢復(fù)系統(tǒng)。恢復(fù)系統(tǒng)。災(zāi)難恢復(fù)是安全事件應(yīng)急預(yù)案中特別重要的部分。災(zāi)難恢復(fù)是安全事件應(yīng)急預(yù)案中特別重要的部分。從發(fā)現(xiàn)入侵的那刻起就圍繞它進(jìn)行，并且應(yīng)當(dāng)包括從發(fā)現(xiàn)入侵的那刻起就圍繞它進(jìn)行，并

17、且應(yīng)當(dāng)包括如下幾項內(nèi)容：如下幾項內(nèi)容：整理ppt1. 與高層人員協(xié)商與高層人員協(xié)商系統(tǒng)恢復(fù)的步驟應(yīng)當(dāng)符合組織的安全預(yù)案。如果安全預(yù)案中沒有描述，應(yīng)系統(tǒng)恢復(fù)的步驟應(yīng)當(dāng)符合組織的安全預(yù)案。如果安全預(yù)案中沒有描述，應(yīng)當(dāng)與管理人員協(xié)商，以便能從更高角度進(jìn)行判斷，并得到更多部門的支持當(dāng)與管理人員協(xié)商，以便能從更高角度進(jìn)行判斷，并得到更多部門的支持和配合。和配合。2. 奪回系統(tǒng)控制權(quán)奪回系統(tǒng)控制權(quán)為了奪回對被入侵系統(tǒng)的控制權(quán)，需要將入侵其從網(wǎng)絡(luò)上斷開，包括播號為了奪回對被入侵系統(tǒng)的控制權(quán)，需要將入侵其從網(wǎng)絡(luò)上斷開，包括播號連接。如果在恢復(fù)過程中，沒有斷開被侵入系統(tǒng)和網(wǎng)絡(luò)的連接，入侵者就連接。如果在恢復(fù)過程

18、中，沒有斷開被侵入系統(tǒng)和網(wǎng)絡(luò)的連接，入侵者就可能破壞所進(jìn)行恢復(fù)工作。可能破壞所進(jìn)行恢復(fù)工作。進(jìn)行系統(tǒng)恢復(fù)也會丟失一些有用信息，如入侵者正在使用的掃描程序或監(jiān)進(jìn)行系統(tǒng)恢復(fù)也會丟失一些有用信息，如入侵者正在使用的掃描程序或監(jiān)聽進(jìn)程。因此想要繼續(xù)追蹤入侵者時，可以不采取這樣的措施，以免被入聽進(jìn)程。因此想要繼續(xù)追蹤入侵者時，可以不采取這樣的措施，以免被入侵者發(fā)現(xiàn)。但是，也要采取其他一些措施，避免入侵蔓延。侵者發(fā)現(xiàn)。但是，也要采取其他一些措施，避免入侵蔓延。整理ppt3. 復(fù)制一份被侵入系統(tǒng)的映像復(fù)制一份被侵入系統(tǒng)的映像 在進(jìn)行入侵分析之前，最好對被入侵系統(tǒng)進(jìn)行備份（如使用在進(jìn)行入侵分析之前，最好對被入

19、侵系統(tǒng)進(jìn)行備份（如使用UNIX命令命令dd）。）。這個備份在恢復(fù)失敗是非常有用。這個備份在恢復(fù)失敗是非常有用。4. 入侵評估入侵評估入侵評估包括入侵風(fēng)險評估、入侵路徑分析、入侵類型確定和入侵涉及范圍入侵評估包括入侵風(fēng)險評估、入侵路徑分析、入侵類型確定和入侵涉及范圍調(diào)查。下面介紹圍繞這些工作進(jìn)行的調(diào)查工作。調(diào)查。下面介紹圍繞這些工作進(jìn)行的調(diào)查工作。（1）詳細(xì)審查系統(tǒng)日志文件和顯示器輸出，檢查異常現(xiàn)象。）詳細(xì)審查系統(tǒng)日志文件和顯示器輸出，檢查異?，F(xiàn)象。（2）入侵者遺留物分析。包括）入侵者遺留物分析。包括 檢查入侵者對系統(tǒng)文件和配置文件的修改；檢查入侵者對系統(tǒng)文件和配置文件的修改； 檢查被修改的數(shù)據(jù)

20、檢查被修改的數(shù)據(jù) 檢查入侵者留下的工具和數(shù)據(jù)檢查入侵者留下的工具和數(shù)據(jù) 檢查網(wǎng)絡(luò)監(jiān)聽工具檢查網(wǎng)絡(luò)監(jiān)聽工具（3）其他，如網(wǎng)絡(luò)的周遍環(huán)境和涉及的遠(yuǎn)程站點(diǎn)。）其他，如網(wǎng)絡(luò)的周遍環(huán)境和涉及的遠(yuǎn)程站點(diǎn)。整理ppt5. 清除后門清除后門后門是入侵者為下次攻擊打下的埋伏，包括修改了的配置文件、后門是入侵者為下次攻擊打下的埋伏，包括修改了的配置文件、系統(tǒng)木馬程序、修改了的系統(tǒng)內(nèi)核等。系統(tǒng)木馬程序、修改了的系統(tǒng)內(nèi)核等。6. 記錄恢復(fù)過程中所有的步驟記錄恢復(fù)過程中所有的步驟 毫不夸張地講，記錄恢復(fù)過程中采取的每一步措施，是非常重毫不夸張地講，記錄恢復(fù)過程中采取的每一步措施，是非常重要的?；謴?fù)一個被侵入的系統(tǒng)是一件

21、很麻煩的事，要耗費(fèi)大量要的?；謴?fù)一個被侵入的系統(tǒng)是一件很麻煩的事，要耗費(fèi)大量的時間，因此經(jīng)常會使人作出一些草率的決定。記錄自己所做的時間，因此經(jīng)常會使人作出一些草率的決定。記錄自己所做的每一步可以幫助你避免作出草率的決定，還可以留作以后的的每一步可以幫助你避免作出草率的決定，還可以留作以后的參考，也還可能對法律調(diào)查提供幫助。參考，也還可能對法律調(diào)查提供幫助。整理ppt7. 系統(tǒng)恢復(fù)系統(tǒng)恢復(fù)各種安全事件預(yù)案的執(zhí)行都是為了使系統(tǒng)在事故后得以迅速恢復(fù)。對于服務(wù)器和數(shù)據(jù)各種安全事件預(yù)案的執(zhí)行都是為了使系統(tǒng)在事故后得以迅速恢復(fù)。對于服務(wù)器和數(shù)據(jù)庫等系統(tǒng)特別重要設(shè)備，則需要單獨(dú)訂立緊急恢復(fù)預(yù)案。庫等系統(tǒng)特

22、別重要設(shè)備，則需要單獨(dú)訂立緊急恢復(fù)預(yù)案。（1）服務(wù)器的恢復(fù)）服務(wù)器的恢復(fù)一旦服務(wù)器因故障完全停止運(yùn)行，常規(guī)的恢復(fù)方法是在一個新的硬件平臺上重建。步一旦服務(wù)器因故障完全停止運(yùn)行，常規(guī)的恢復(fù)方法是在一個新的硬件平臺上重建。步驟如下：驟如下：a）安裝服務(wù)器操作系統(tǒng)；）安裝服務(wù)器操作系統(tǒng)；b）安裝所有需要的驅(qū)動程序；）安裝所有需要的驅(qū)動程序；c）安裝所有需要的服務(wù)軟件包；）安裝所有需要的服務(wù)軟件包；d）安裝所有需要的流行修補(bǔ)程序和安全修補(bǔ)程序；）安裝所有需要的流行修補(bǔ)程序和安全修補(bǔ)程序；e）安裝備份軟件；）安裝備份軟件；f）安裝備份軟件需要的修補(bǔ)程序；）安裝備份軟件需要的修補(bǔ)程序；g）恢復(fù)最后一次完全

23、備份磁帶；）恢復(fù)最后一次完全備份磁帶；h）恢復(fù)所有增量備份或差異備份磁帶。）恢復(fù)所有增量備份或差異備份磁帶。顯然，用手工進(jìn)行服務(wù)器的恢復(fù)是非常麻煩的。如果能設(shè)計一種專門的軟件包，可以顯然，用手工進(jìn)行服務(wù)器的恢復(fù)是非常麻煩的。如果能設(shè)計一種專門的軟件包，可以生成存有服務(wù)器鏡像文件的啟動盤，來恢復(fù)服務(wù)器，就便利多了。生成存有服務(wù)器鏡像文件的啟動盤，來恢復(fù)服務(wù)器，就便利多了。整理ppt7. 系統(tǒng)恢復(fù)系統(tǒng)恢復(fù)（2）數(shù)據(jù)庫系統(tǒng)的恢復(fù)）數(shù)據(jù)庫系統(tǒng)的恢復(fù)數(shù)據(jù)庫恢復(fù)的目的是在足夠備份的基礎(chǔ)上，使數(shù)據(jù)庫盡快恢復(fù)到正常。其中數(shù)據(jù)庫恢復(fù)的目的是在足夠備份的基礎(chǔ)上，使數(shù)據(jù)庫盡快恢復(fù)到正常。其中包括：包括：a）數(shù)據(jù)文件

24、恢復(fù)：把備份文件恢復(fù)到原來位置。）數(shù)據(jù)文件恢復(fù)：把備份文件恢復(fù)到原來位置。b）控制文件恢復(fù)：控制文件受損時，要將其恢復(fù)到原位重新啟動。）控制文件恢復(fù)：控制文件受損時，要將其恢復(fù)到原位重新啟動。c）文件系統(tǒng)恢復(fù)：在大型操作系統(tǒng)中，可能會因介質(zhì)受損，導(dǎo)致文）文件系統(tǒng)恢復(fù)：在大型操作系統(tǒng)中，可能會因介質(zhì)受損，導(dǎo)致文件系統(tǒng)被破壞。其恢復(fù)步驟為：件系統(tǒng)被破壞。其恢復(fù)步驟為： 將介質(zhì)重新初始化；將介質(zhì)重新初始化； 重新創(chuàng)建文件系統(tǒng)；重新創(chuàng)建文件系統(tǒng)； 利用備份完整地恢復(fù)數(shù)據(jù)庫中的數(shù)據(jù)；利用備份完整地恢復(fù)數(shù)據(jù)庫中的數(shù)據(jù)； 啟動數(shù)據(jù)庫系統(tǒng)。啟動數(shù)據(jù)庫系統(tǒng)。整理ppt5.2 數(shù)據(jù)容錯、數(shù)據(jù)容災(zāi)和數(shù)據(jù)備份數(shù)據(jù)容錯

25、、數(shù)據(jù)容災(zāi)和數(shù)據(jù)備份v信息系統(tǒng)是脆弱的，它的可靠性不斷遭受者威脅。為了保證系統(tǒng)的可靠性，信息系統(tǒng)是脆弱的，它的可靠性不斷遭受者威脅。為了保證系統(tǒng)的可靠性，經(jīng)過長期摸索，人們總結(jié)出了三條途徑：經(jīng)過長期摸索，人們總結(jié)出了三條途徑：避錯、糾錯和容錯避錯、糾錯和容錯。避錯是完善。避錯是完善設(shè)計和制造，試圖構(gòu)造一個不會發(fā)生故障的系統(tǒng)。但是，這是不太現(xiàn)實(shí)的。設(shè)計和制造，試圖構(gòu)造一個不會發(fā)生故障的系統(tǒng)。但是，這是不太現(xiàn)實(shí)的。任何一個系統(tǒng)總會有紕漏。因此，人們不得不用糾錯作為避錯的補(bǔ)充。一任何一個系統(tǒng)總會有紕漏。因此，人們不得不用糾錯作為避錯的補(bǔ)充。一旦系統(tǒng)出現(xiàn)故障，可以通過檢測和核實(shí)來消除，在進(jìn)行系統(tǒng)的恢復(fù)

26、。旦系統(tǒng)出現(xiàn)故障，可以通過檢測和核實(shí)來消除，在進(jìn)行系統(tǒng)的恢復(fù)。v容錯是第三條途徑。其基本思想是，即使出現(xiàn)錯誤，系統(tǒng)也還能執(zhí)行一組容錯是第三條途徑。其基本思想是，即使出現(xiàn)錯誤，系統(tǒng)也還能執(zhí)行一組規(guī)定的程序。或者說，程序不會因?yàn)橄到y(tǒng)中的故障而中斷或被修改，并且規(guī)定的程序?；蛘哒f，程序不會因?yàn)橄到y(tǒng)中的故障而中斷或被修改，并且故障也不引起執(zhí)行結(jié)果的差錯。或者簡單地說，容錯就是系統(tǒng)可以抵抗錯故障也不引起執(zhí)行結(jié)果的差錯。或者簡單地說，容錯就是系統(tǒng)可以抵抗錯誤的能力。誤的能力。v容災(zāi)是針對災(zāi)害而言的。災(zāi)害對系統(tǒng)危害要比錯誤要大、要嚴(yán)重。容災(zāi)是針對災(zāi)害而言的。災(zāi)害對系統(tǒng)危害要比錯誤要大、要嚴(yán)重。v從保護(hù)數(shù)據(jù)的

27、安全性出發(fā)，數(shù)據(jù)備份是數(shù)據(jù)容錯、數(shù)據(jù)容災(zāi)以及數(shù)據(jù)恢復(fù)從保護(hù)數(shù)據(jù)的安全性出發(fā)，數(shù)據(jù)備份是數(shù)據(jù)容錯、數(shù)據(jù)容災(zāi)以及數(shù)據(jù)恢復(fù)的重要保障。的重要保障。整理ppt5.2.1 數(shù)據(jù)容錯系統(tǒng)與基本技術(shù)數(shù)據(jù)容錯系統(tǒng)與基本技術(shù)1. 容錯系統(tǒng)分類容錯系統(tǒng)分類根據(jù)容錯系統(tǒng)的應(yīng)用環(huán)境，可以將容錯系統(tǒng)分為如下根據(jù)容錯系統(tǒng)的應(yīng)用環(huán)境，可以將容錯系統(tǒng)分為如下5種類型。種類型。v（1）高可用度系統(tǒng)）高可用度系統(tǒng)可用度用系統(tǒng)在某時刻可以運(yùn)行的概率衡量。高可用度系統(tǒng)面向通用計可用度用系統(tǒng)在某時刻可以運(yùn)行的概率衡量。高可用度系統(tǒng)面向通用計算機(jī)系統(tǒng)，用于執(zhí)行各種無法預(yù)測的用戶程序，主要面向商業(yè)市場。算機(jī)系統(tǒng)，用于執(zhí)行各種無法預(yù)測的用戶

28、程序，主要面向商業(yè)市場。v（2）長壽命系統(tǒng)）長壽命系統(tǒng)長壽命系統(tǒng)在其生命期中不能進(jìn)行人工維修，常用于航天系統(tǒng)中。它實(shí)長壽命系統(tǒng)在其生命期中不能進(jìn)行人工維修，常用于航天系統(tǒng)中。它實(shí)際上也是一種容災(zāi)系統(tǒng)。際上也是一種容災(zāi)系統(tǒng)。v（3）延遲維修系統(tǒng)）延遲維修系統(tǒng)這也是一種容災(zāi)系統(tǒng)，用于航空等在一定階段不能進(jìn)行維修的場合。這也是一種容災(zāi)系統(tǒng)，用于航空等在一定階段不能進(jìn)行維修的場合。v（4）高性能系統(tǒng)）高性能系統(tǒng)這類系統(tǒng)對于故障（瞬時或永久）都非常敏感，應(yīng)當(dāng)具有瞬時故障的自這類系統(tǒng)對于故障（瞬時或永久）都非常敏感，應(yīng)當(dāng)具有瞬時故障的自動恢復(fù)能力，并增加平均無故障時間。動恢復(fù)能力，并增加平均無故障時間。v

29、（5）關(guān)鍵任務(wù)系統(tǒng)）關(guān)鍵任務(wù)系統(tǒng)這類系統(tǒng)出錯可能危機(jī)人的生命或造成重大經(jīng)濟(jì)損失，要求處理正確無這類系統(tǒng)出錯可能危機(jī)人的生命或造成重大經(jīng)濟(jì)損失，要求處理正確無誤，而且故障恢復(fù)時間要最短。誤，而且故障恢復(fù)時間要最短。整理ppt2. 常用數(shù)據(jù)容錯技術(shù)常用數(shù)據(jù)容錯技術(shù)v（1）“空閑空閑”設(shè)備設(shè)備“空閑空閑”設(shè)備也稱雙件熱備，就是配置兩套相同的部件。在正常狀態(tài)下，設(shè)備也稱雙件熱備，就是配置兩套相同的部件。在正常狀態(tài)下，一個運(yùn)行，另一個空閑。當(dāng)正常運(yùn)行的部件出現(xiàn)故障時，原來空閑的一一個運(yùn)行，另一個空閑。當(dāng)正常運(yùn)行的部件出現(xiàn)故障時，原來空閑的一臺立即替補(bǔ)。臺立即替補(bǔ)。v（2）鏡像）鏡像鏡像是把一份工作交給兩

30、個相同的部件同時執(zhí)行。這樣在一個部件出現(xiàn)鏡像是把一份工作交給兩個相同的部件同時執(zhí)行。這樣在一個部件出現(xiàn)故障時，另一個部件繼續(xù)工作。故障時，另一個部件繼續(xù)工作。v（3）復(fù)現(xiàn)）復(fù)現(xiàn)復(fù)現(xiàn)也稱延遲鏡像。復(fù)現(xiàn)與鏡像一樣需要兩個系統(tǒng)，但是它把一個稱為復(fù)現(xiàn)也稱延遲鏡像。復(fù)現(xiàn)與鏡像一樣需要兩個系統(tǒng)，但是它把一個稱為原系統(tǒng)，一個稱為輔助系統(tǒng)；輔助系統(tǒng)從原系統(tǒng)中接收數(shù)據(jù)。與原系統(tǒng)原系統(tǒng)，一個稱為輔助系統(tǒng)；輔助系統(tǒng)從原系統(tǒng)中接收數(shù)據(jù)。與原系統(tǒng)中的數(shù)據(jù)相比，輔助系統(tǒng)的數(shù)據(jù)接收存在一定延遲。當(dāng)原系統(tǒng)出現(xiàn)故障中的數(shù)據(jù)相比，輔助系統(tǒng)的數(shù)據(jù)接收存在一定延遲。當(dāng)原系統(tǒng)出現(xiàn)故障時，輔助系統(tǒng)只能在接近故障點(diǎn)的地方開始工作。與鏡像相

31、比，復(fù)現(xiàn)同時，輔助系統(tǒng)只能在接近故障點(diǎn)的地方開始工作。與鏡像相比，復(fù)現(xiàn)同一時間只需管理一套設(shè)備。一時間只需管理一套設(shè)備。v（4）負(fù)載均衡）負(fù)載均衡負(fù)載均衡就是將一個任務(wù)分解成多個子任務(wù)，分配給不同的服務(wù)器執(zhí)行，負(fù)載均衡就是將一個任務(wù)分解成多個子任務(wù)，分配給不同的服務(wù)器執(zhí)行，通過減少每個部件的工作量，增加系統(tǒng)的穩(wěn)定性。通過減少每個部件的工作量，增加系統(tǒng)的穩(wěn)定性。整理ppt5.2.2 數(shù)據(jù)容災(zāi)系統(tǒng)與基本技術(shù)數(shù)據(jù)容災(zāi)系統(tǒng)與基本技術(shù)v真正的數(shù)據(jù)容災(zāi)就是要能在災(zāi)難發(fā)生時，全面、及時地恢復(fù)整個系統(tǒng)。在系統(tǒng)遭受災(zāi)害時，使系統(tǒng)還能工作或盡快恢復(fù)工作的最基礎(chǔ)的工作是數(shù)據(jù)備份。不論任何一個容災(zāi)系統(tǒng)，沒有備份的數(shù)據(jù)

32、，任何容災(zāi)方案都沒有現(xiàn)實(shí)意義。整理ppt1. 數(shù)據(jù)容災(zāi)等級數(shù)據(jù)容災(zāi)等級從技術(shù)上看，衡量數(shù)據(jù)容災(zāi)系統(tǒng)有兩個主要指標(biāo)：從技術(shù)上看，衡量數(shù)據(jù)容災(zāi)系統(tǒng)有兩個主要指標(biāo)：RPO（Recovery Point Object）和）和RTO（Recovery Time Object），其中），其中RPO代表了當(dāng)災(zāi)難發(fā)生代表了當(dāng)災(zāi)難發(fā)生時允許丟失的數(shù)據(jù)量；而時允許丟失的數(shù)據(jù)量；而RTO則代表了系統(tǒng)恢復(fù)的時間。則代表了系統(tǒng)恢復(fù)的時間。設(shè)計一個容災(zāi)備份系統(tǒng)，需要考慮多方面的因素，如備份設(shè)計一個容災(zāi)備份系統(tǒng)，需要考慮多方面的因素，如備份/恢復(fù)數(shù)據(jù)量大小、恢復(fù)數(shù)據(jù)量大小、應(yīng)用數(shù)據(jù)中心和備援?dāng)?shù)據(jù)中心之間的距離和數(shù)據(jù)傳輸方式

33、、災(zāi)難發(fā)生時所應(yīng)用數(shù)據(jù)中心和備援?dāng)?shù)據(jù)中心之間的距離和數(shù)據(jù)傳輸方式、災(zāi)難發(fā)生時所要求的恢復(fù)速度、備援中心的管理及投入資金等。根據(jù)這些因素和不同的要求的恢復(fù)速度、備援中心的管理及投入資金等。根據(jù)這些因素和不同的應(yīng)用場合，常見的容災(zāi)等級有以下應(yīng)用場合，常見的容災(zāi)等級有以下4個：個：（1）第）第0級：本地備份、本地保存的冷備份級：本地備份、本地保存的冷備份 （2）第）第1級：本地備份、異地保存的冷備份級：本地備份、異地保存的冷備份（3）第）第2級：熱備份站點(diǎn)備份級：熱備份站點(diǎn)備份（4）第）第3級：活動互援備份級：活動互援備份 整理ppt2. 異地容災(zāi)技術(shù)異地容災(zāi)技術(shù)（1）遠(yuǎn)程鏡像技術(shù)）遠(yuǎn)程鏡像技術(shù)在建

34、立容災(zāi)備份系統(tǒng)時會涉及到多種技術(shù)，如：在建立容災(zāi)備份系統(tǒng)時會涉及到多種技術(shù)，如：SAN或或NAS技術(shù)、遠(yuǎn)程鏡像技術(shù)、遠(yuǎn)程鏡像技術(shù)、虛擬存儲、基于技術(shù)、虛擬存儲、基于IP的的SAN的互連技術(shù)、快照技術(shù)等。的互連技術(shù)、快照技術(shù)等。遠(yuǎn)程鏡像技術(shù)是在主數(shù)據(jù)中心和備援中心之間的數(shù)據(jù)備份時用到。鏡像是在兩個或多遠(yuǎn)程鏡像技術(shù)是在主數(shù)據(jù)中心和備援中心之間的數(shù)據(jù)備份時用到。鏡像是在兩個或多個磁盤或磁盤子系統(tǒng)上產(chǎn)生同一個數(shù)據(jù)的鏡像視圖的信息存儲過程，一個叫主鏡像系個磁盤或磁盤子系統(tǒng)上產(chǎn)生同一個數(shù)據(jù)的鏡像視圖的信息存儲過程，一個叫主鏡像系統(tǒng)，另一個叫從鏡像系統(tǒng)。按主從鏡像存儲系統(tǒng)所處的位置可分為本地鏡像和遠(yuǎn)程鏡統(tǒng)，

35、另一個叫從鏡像系統(tǒng)。按主從鏡像存儲系統(tǒng)所處的位置可分為本地鏡像和遠(yuǎn)程鏡像。像。遠(yuǎn)程鏡像又叫遠(yuǎn)程復(fù)制，是容災(zāi)備份的核心技術(shù)，遠(yuǎn)程鏡像又叫遠(yuǎn)程復(fù)制，是容災(zāi)備份的核心技術(shù)，同時也是保持遠(yuǎn)程數(shù)據(jù)同步和實(shí)現(xiàn)同時也是保持遠(yuǎn)程數(shù)據(jù)同步和實(shí)現(xiàn)災(zāi)難恢復(fù)的基礎(chǔ)。遠(yuǎn)程鏡像按請求鏡像的主機(jī)是否需要遠(yuǎn)程鏡像站點(diǎn)的確認(rèn)信息，又災(zāi)難恢復(fù)的基礎(chǔ)。遠(yuǎn)程鏡像按請求鏡像的主機(jī)是否需要遠(yuǎn)程鏡像站點(diǎn)的確認(rèn)信息，又可分為同步遠(yuǎn)程鏡像和異步遠(yuǎn)程鏡像。可分為同步遠(yuǎn)程鏡像和異步遠(yuǎn)程鏡像。 同步遠(yuǎn)程鏡像（同步復(fù)制技術(shù)）是指通過遠(yuǎn)程鏡像軟件，將本地數(shù)據(jù)以完全同步的方同步遠(yuǎn)程鏡像（同步復(fù)制技術(shù)）是指通過遠(yuǎn)程鏡像軟件，將本地數(shù)據(jù)以完全同步的方式復(fù)制到

36、異地，每一本地的式復(fù)制到異地，每一本地的I/O事務(wù)均需等待遠(yuǎn)程復(fù)制的完成確認(rèn)信息，方予以釋放。事務(wù)均需等待遠(yuǎn)程復(fù)制的完成確認(rèn)信息，方予以釋放。同步鏡像使遠(yuǎn)程拷貝總能與本地機(jī)要求復(fù)制的內(nèi)容相匹配。同步鏡像使遠(yuǎn)程拷貝總能與本地機(jī)要求復(fù)制的內(nèi)容相匹配。 異步遠(yuǎn)程鏡像（異步復(fù)制技術(shù)）保證在更新遠(yuǎn)程存儲視圖前完成向本地存儲系統(tǒng)的基異步遠(yuǎn)程鏡像（異步復(fù)制技術(shù)）保證在更新遠(yuǎn)程存儲視圖前完成向本地存儲系統(tǒng)的基本本I/O操作，而由本地存儲系統(tǒng)提供給請求鏡像主機(jī)的操作，而由本地存儲系統(tǒng)提供給請求鏡像主機(jī)的I/O操作完成確認(rèn)信息。遠(yuǎn)程的操作完成確認(rèn)信息。遠(yuǎn)程的數(shù)據(jù)復(fù)制是以后臺同步的方式進(jìn)行的，這使本地系統(tǒng)性能受到的

37、影響很小，傳輸距離數(shù)據(jù)復(fù)制是以后臺同步的方式進(jìn)行的，這使本地系統(tǒng)性能受到的影響很小，傳輸距離長（可達(dá)長（可達(dá)1000公里以上），對網(wǎng)絡(luò)帶寬要求小。但是，許多遠(yuǎn)程的從屬存儲子系統(tǒng)的公里以上），對網(wǎng)絡(luò)帶寬要求小。但是，許多遠(yuǎn)程的從屬存儲子系統(tǒng)的寫沒有得到確認(rèn)，當(dāng)某種因素造成數(shù)據(jù)傳輸失敗，可能出現(xiàn)數(shù)據(jù)一致性問題。為了解寫沒有得到確認(rèn)，當(dāng)某種因素造成數(shù)據(jù)傳輸失敗，可能出現(xiàn)數(shù)據(jù)一致性問題。為了解決這個問題，目前大多采用延遲復(fù)制的技術(shù)，即在確保本地數(shù)據(jù)完好無損后進(jìn)行遠(yuǎn)程決這個問題，目前大多采用延遲復(fù)制的技術(shù)，即在確保本地數(shù)據(jù)完好無損后進(jìn)行遠(yuǎn)程數(shù)據(jù)更新。數(shù)據(jù)更新。整理ppt（2） 快照技術(shù)快照技術(shù)遠(yuǎn)程鏡像技

38、術(shù)往往同快照技術(shù)結(jié)合起來實(shí)現(xiàn)遠(yuǎn)程備份，即通過鏡像把數(shù)據(jù)備遠(yuǎn)程鏡像技術(shù)往往同快照技術(shù)結(jié)合起來實(shí)現(xiàn)遠(yuǎn)程備份，即通過鏡像把數(shù)據(jù)備份到遠(yuǎn)程存儲系統(tǒng)中，再用快照技術(shù)把遠(yuǎn)程存儲系統(tǒng)中的信息備份到遠(yuǎn)程的份到遠(yuǎn)程存儲系統(tǒng)中，再用快照技術(shù)把遠(yuǎn)程存儲系統(tǒng)中的信息備份到遠(yuǎn)程的磁帶庫、光盤庫中。磁帶庫、光盤庫中。 快照是通過軟件對要備份的磁盤子系統(tǒng)的數(shù)據(jù)快速掃描，建立一個要備份數(shù)快照是通過軟件對要備份的磁盤子系統(tǒng)的數(shù)據(jù)快速掃描，建立一個要備份數(shù)據(jù)的快照邏輯單元號據(jù)的快照邏輯單元號LUN和快照和快照cache，在快速掃描時，把備份過程中即將，在快速掃描時，把備份過程中即將要修改的數(shù)據(jù)塊同時快速拷貝到快照要修改的數(shù)據(jù)塊同

39、時快速拷貝到快照cache中?？煺罩??？煺誏UN是一組指針，它指是一組指針，它指向快照向快照cache和磁盤子系統(tǒng)中不變的數(shù)據(jù)塊（在備份過程中）。在正常業(yè)務(wù)和磁盤子系統(tǒng)中不變的數(shù)據(jù)塊（在備份過程中）。在正常業(yè)務(wù)進(jìn)行的同時，利用快照進(jìn)行的同時，利用快照LUN實(shí)現(xiàn)對原數(shù)據(jù)的一個完全的備份。它可使用戶在實(shí)現(xiàn)對原數(shù)據(jù)的一個完全的備份。它可使用戶在正常業(yè)務(wù)不受影響的情況下，實(shí)時提取當(dāng)前在線業(yè)務(wù)數(shù)據(jù)。其正常業(yè)務(wù)不受影響的情況下，實(shí)時提取當(dāng)前在線業(yè)務(wù)數(shù)據(jù)。其“備份窗口備份窗口”接近于零，可大大增加系統(tǒng)業(yè)務(wù)的連續(xù)性，為實(shí)現(xiàn)系統(tǒng)真正的接近于零，可大大增加系統(tǒng)業(yè)務(wù)的連續(xù)性，為實(shí)現(xiàn)系統(tǒng)真正的724運(yùn)轉(zhuǎn)提供運(yùn)轉(zhuǎn)提供了

40、保證。了保證。 快照是通過內(nèi)存作為緩沖區(qū)（快照快照是通過內(nèi)存作為緩沖區(qū)（快照cache），由快照軟件提供系統(tǒng)磁盤存儲），由快照軟件提供系統(tǒng)磁盤存儲的即時數(shù)據(jù)映像，它存在緩沖區(qū)調(diào)度的問題。的即時數(shù)據(jù)映像，它存在緩沖區(qū)調(diào)度的問題。整理ppt（3） 互連技術(shù)互連技術(shù)早期的主數(shù)據(jù)中心和備援?dāng)?shù)據(jù)中心之間的數(shù)據(jù)備份，主要是基于早期的主數(shù)據(jù)中心和備援?dāng)?shù)據(jù)中心之間的數(shù)據(jù)備份，主要是基于SAN的遠(yuǎn)程的遠(yuǎn)程復(fù)制（鏡像），即通過光纖通道復(fù)制（鏡像），即通過光纖通道FC，把兩個，把兩個SAN連接起來，進(jìn)行遠(yuǎn)程鏡像連接起來，進(jìn)行遠(yuǎn)程鏡像（復(fù)制）。當(dāng)災(zāi)難發(fā)生時，由備援?dāng)?shù)據(jù)中心替代主數(shù)據(jù)中心保證系統(tǒng)工作的（復(fù)制）。當(dāng)災(zāi)難發(fā)

41、生時，由備援?dāng)?shù)據(jù)中心替代主數(shù)據(jù)中心保證系統(tǒng)工作的連續(xù)性。這種遠(yuǎn)程容災(zāi)備份方式存在一些缺陷，如：實(shí)現(xiàn)成本高、設(shè)備的互連續(xù)性。這種遠(yuǎn)程容災(zāi)備份方式存在一些缺陷，如：實(shí)現(xiàn)成本高、設(shè)備的互操作性差、跨越的地理距離短（操作性差、跨越的地理距離短（10公里）等，這些因素阻礙了它的進(jìn)一步推公里）等，這些因素阻礙了它的進(jìn)一步推廣和應(yīng)用。廣和應(yīng)用。目前，出現(xiàn)了多種基于目前，出現(xiàn)了多種基于IP的的SAN的遠(yuǎn)程數(shù)據(jù)容災(zāi)備份技術(shù)。它們是利用基于的遠(yuǎn)程數(shù)據(jù)容災(zāi)備份技術(shù)。它們是利用基于IP的的SAN的互連協(xié)議，將主數(shù)據(jù)中心的互連協(xié)議，將主數(shù)據(jù)中心SAN中的信息通過現(xiàn)有的中的信息通過現(xiàn)有的TCP/IP網(wǎng)絡(luò)，網(wǎng)絡(luò)，遠(yuǎn)程復(fù)制到

42、備援中心遠(yuǎn)程復(fù)制到備援中心SAN中。當(dāng)備援中心存儲的數(shù)據(jù)量過大時，可利用快照中。當(dāng)備援中心存儲的數(shù)據(jù)量過大時，可利用快照技術(shù)將其備份到磁帶庫或光盤庫中。這種基于技術(shù)將其備份到磁帶庫或光盤庫中。這種基于IP的的SAN的遠(yuǎn)程容災(zāi)備份，可的遠(yuǎn)程容災(zāi)備份，可以跨越以跨越LAN、MAN和和WAN，成本低、可擴(kuò)展性好，具有廣闊的發(fā)展前景?；?，成本低、可擴(kuò)展性好，具有廣闊的發(fā)展前景。基于于IP的互連協(xié)議包括：的互連協(xié)議包括：FCIP、iFCP、Infiniband、iSCSI等。等。整理ppt（4） 虛擬存儲虛擬存儲在有些容災(zāi)方案產(chǎn)品中，還采取了虛擬存儲技術(shù)，如西瑞異地容災(zāi)方案。虛在有些容災(zāi)方案產(chǎn)品中，還采

43、取了虛擬存儲技術(shù)，如西瑞異地容災(zāi)方案。虛擬化存儲技術(shù)在系統(tǒng)彈性和可擴(kuò)展性上開創(chuàng)了新的局面。它將幾個擬化存儲技術(shù)在系統(tǒng)彈性和可擴(kuò)展性上開創(chuàng)了新的局面。它將幾個IDE或或SCSI驅(qū)動器等不同的存儲設(shè)備串聯(lián)為一個存儲池。存儲集群的整個存儲容量驅(qū)動器等不同的存儲設(shè)備串聯(lián)為一個存儲池。存儲集群的整個存儲容量可以分為多個邏輯卷，并作為虛擬分區(qū)進(jìn)行管理。存儲由此成為一種功能而可以分為多個邏輯卷，并作為虛擬分區(qū)進(jìn)行管理。存儲由此成為一種功能而非物理屬性，而這正是基于服務(wù)器的存儲結(jié)構(gòu)存在的主要限制。非物理屬性，而這正是基于服務(wù)器的存儲結(jié)構(gòu)存在的主要限制。虛擬存儲系統(tǒng)還提供了動態(tài)改變邏輯卷大小的功能。事實(shí)上，存儲

44、卷的容量虛擬存儲系統(tǒng)還提供了動態(tài)改變邏輯卷大小的功能。事實(shí)上，存儲卷的容量可以在線隨意增加或減少。可以通過在系統(tǒng)中增加或減少物理磁盤的數(shù)量來可以在線隨意增加或減少?？梢酝ㄟ^在系統(tǒng)中增加或減少物理磁盤的數(shù)量來改變集群中邏輯卷的大小。這一功能允許卷的容量隨用戶的即時要求動態(tài)改改變集群中邏輯卷的大小。這一功能允許卷的容量隨用戶的即時要求動態(tài)改變。另外，存儲卷能夠很容易的改變?nèi)萘?，移動和替換。安裝系統(tǒng)時，只需變。另外，存儲卷能夠很容易的改變?nèi)萘?，移動和替換。安裝系統(tǒng)時，只需為每個邏輯卷分配最小的容量，并在磁盤上留出剩余的空間。隨著業(yè)務(wù)的發(fā)為每個邏輯卷分配最小的容量，并在磁盤上留出剩余的空間。隨著業(yè)務(wù)的

45、發(fā)展，可以用剩余空間根據(jù)需要擴(kuò)展邏輯卷。你也可以將數(shù)據(jù)在線從舊驅(qū)動器展，可以用剩余空間根據(jù)需要擴(kuò)展邏輯卷。你也可以將數(shù)據(jù)在線從舊驅(qū)動器轉(zhuǎn)移到新的驅(qū)動器上，而不中斷服務(wù)的運(yùn)行。轉(zhuǎn)移到新的驅(qū)動器上，而不中斷服務(wù)的運(yùn)行。 存儲虛擬化的一個關(guān)鍵優(yōu)勢是它允許異質(zhì)系統(tǒng)和應(yīng)用程序共享存儲設(shè)備，而存儲虛擬化的一個關(guān)鍵優(yōu)勢是它允許異質(zhì)系統(tǒng)和應(yīng)用程序共享存儲設(shè)備，而不管它們位于何處。公司將不再需要在每個分部的服務(wù)器上都連接一臺磁帶不管它們位于何處。公司將不再需要在每個分部的服務(wù)器上都連接一臺磁帶設(shè)備。設(shè)備。整理ppt5.2.3 數(shù)據(jù)備份的策略數(shù)據(jù)備份的策略數(shù)據(jù)備份可以依據(jù)條件和需要選擇不同的策略。下面是幾種基本的

46、數(shù)據(jù)數(shù)據(jù)備份可以依據(jù)條件和需要選擇不同的策略。下面是幾種基本的數(shù)據(jù)備份策略。備份策略。v1. 全盤備份全盤備份全盤備份是將所有文件寫入備份介質(zhì)。這種方法簡單，操作起來比全盤備份是將所有文件寫入備份介質(zhì)。這種方法簡單，操作起來比較方便。較方便。v2. 增量備份增量備份增量備份只備份上次備份后作過更新的文件。這種系統(tǒng)性能和容量增量備份只備份上次備份后作過更新的文件。這種系統(tǒng)性能和容量可以很好的改善。但是，僅僅依靠文件屬性識別文件是否作過修改，可以很好的改善。但是，僅僅依靠文件屬性識別文件是否作過修改，不太可靠。通常與全盤備份配合使用。不太可靠。通常與全盤備份配合使用。v3. 差別備份差別備份差別備

47、份是只對上次全盤備份之后更新過的所有文件。這樣，全部差別備份是只對上次全盤備份之后更新過的所有文件。這樣，全部系統(tǒng)只需要兩組磁帶（最后一次全盤備份磁帶和最后一次差別備份系統(tǒng)只需要兩組磁帶（最后一次全盤備份磁帶和最后一次差別備份磁帶）就可以恢復(fù)。磁帶）就可以恢復(fù)。v4. 按需備份按需備份按需備份是指在正常的備份之外額外有選擇地進(jìn)行的備份操作。按按需備份是指在正常的備份之外額外有選擇地進(jìn)行的備份操作。按需分配可以彌補(bǔ)冗余管理或長期轉(zhuǎn)儲的日常備份的不足。需分配可以彌補(bǔ)冗余管理或長期轉(zhuǎn)儲的日常備份的不足。整理ppt5.3 數(shù)字證據(jù)獲取數(shù)字證據(jù)獲取v現(xiàn)在，信息系統(tǒng)的攻擊和對抗已經(jīng)不僅僅是技術(shù)領(lǐng)域和管理現(xiàn)

48、在，信息系統(tǒng)的攻擊和對抗已經(jīng)不僅僅是技術(shù)領(lǐng)域和管理領(lǐng)域的問題了。許多問題已經(jīng)進(jìn)入涉訟，成為法學(xué)案件。隨領(lǐng)域的問題了。許多問題已經(jīng)進(jìn)入涉訟，成為法學(xué)案件。隨著數(shù)字犯罪案件的增多，數(shù)字證據(jù)的獲取已經(jīng)成為信息技術(shù)著數(shù)字犯罪案件的增多，數(shù)字證據(jù)的獲取已經(jīng)成為信息技術(shù)和法學(xué)家們共同關(guān)注的熱點(diǎn)。和法學(xué)家們共同關(guān)注的熱點(diǎn)。v早先，數(shù)字證據(jù)也被成為計算機(jī)證據(jù)。對于它的研究最早是早先，數(shù)字證據(jù)也被成為計算機(jī)證據(jù)。對于它的研究最早是從應(yīng)急響應(yīng)的角度開始的，目的是為了搜集攻擊者的有關(guān)信從應(yīng)急響應(yīng)的角度開始的，目的是為了搜集攻擊者的有關(guān)信息。直到息。直到2001年人們才轉(zhuǎn)移到從司法的角度來看待它，關(guān)于年人們才轉(zhuǎn)移到從

49、司法的角度來看待它，關(guān)于它的研究，才從純技術(shù)領(lǐng)域轉(zhuǎn)向技術(shù)與法學(xué)的結(jié)合上。它的研究，才從純技術(shù)領(lǐng)域轉(zhuǎn)向技術(shù)與法學(xué)的結(jié)合上。整理ppt5.3.1 數(shù)字證據(jù)的特點(diǎn)數(shù)字證據(jù)的特點(diǎn)1. 依附性和多樣性依附性和多樣性一般說來，數(shù)字證據(jù)就是在計算機(jī)或在計算機(jī)系統(tǒng)運(yùn)行過程中產(chǎn)生的、以一般說來，數(shù)字證據(jù)就是在計算機(jī)或在計算機(jī)系統(tǒng)運(yùn)行過程中產(chǎn)生的、以其記錄的內(nèi)容來證明案件事實(shí)的電磁記錄。與其他證據(jù)相比，它有如下一其記錄的內(nèi)容來證明案件事實(shí)的電磁記錄。與其他證據(jù)相比，它有如下一些特點(diǎn)。些特點(diǎn)。電磁證據(jù)依附在不同介質(zhì)上。這就帶來兩個方面的特點(diǎn)：一是數(shù)字證據(jù)不會電磁證據(jù)依附在不同介質(zhì)上。這就帶來兩個方面的特點(diǎn)：一是數(shù)字

50、證據(jù)不會像傳統(tǒng)的證據(jù)那樣可以獨(dú)立存在；二是不同的介質(zhì)，使同樣的信息表現(xiàn)出不像傳統(tǒng)的證據(jù)那樣可以獨(dú)立存在；二是不同的介質(zhì)，使同樣的信息表現(xiàn)出不同的形態(tài)，如在導(dǎo)體中是以電流或電壓表現(xiàn)的數(shù)字脈沖，在顯示器上是文字同的形態(tài)，如在導(dǎo)體中是以電流或電壓表現(xiàn)的數(shù)字脈沖，在顯示器上是文字或圖形，在磁盤中是磁核的排列形式，在光纜中是光波等?；驁D形，在磁盤中是磁核的排列形式，在光纜中是光波等。整理ppt2. 可偽性和弱證明性可偽性和弱證明性數(shù)字證據(jù)的非實(shí)物性，使得其竊取、修改甚至銷毀都比較容易。例如，黑數(shù)字證據(jù)的非實(shí)物性，使得其竊取、修改甚至銷毀都比較容易。例如，黑客在入侵之后，可以對現(xiàn)場進(jìn)行一些滅跡、制造假象等

51、工作，給證據(jù)的認(rèn)客在入侵之后，可以對現(xiàn)場進(jìn)行一些滅跡、制造假象等工作，給證據(jù)的認(rèn)定帶來困難，直接減低了證明力度，增加了跟蹤和偵查的難度。定帶來困難，直接減低了證明力度，增加了跟蹤和偵查的難度。整理ppt3. 數(shù)據(jù)的揮發(fā)性數(shù)據(jù)的揮發(fā)性計算機(jī)系統(tǒng)中所處理的數(shù)據(jù)有一些是動態(tài)的。這些動態(tài)數(shù)據(jù)對于抓住犯罪的蛛計算機(jī)系統(tǒng)中所處理的數(shù)據(jù)有一些是動態(tài)的。這些動態(tài)數(shù)據(jù)對于抓住犯罪的蛛絲馬跡非常有用。但是它們卻有一定的時間效應(yīng)。即有些數(shù)據(jù)會因失效或消失絲馬跡非常有用。但是它們卻有一定的時間效應(yīng)。即有些數(shù)據(jù)會因失效或消失而揮發(fā)。在收集數(shù)字證據(jù)時必須充分考慮數(shù)據(jù)的揮發(fā)性。描述了數(shù)字證據(jù)數(shù)據(jù)而揮發(fā)。在收集數(shù)字證據(jù)時必須

52、充分考慮數(shù)據(jù)的揮發(fā)性。描述了數(shù)字證據(jù)數(shù)據(jù)的揮發(fā)性。的揮發(fā)性。數(shù)數(shù) 據(jù)據(jù)硬件或位置硬件或位置存活時間存活時間CPU高速緩沖器，管道高速緩沖器，管道幾個時鐘周期幾個時鐘周期系統(tǒng)系統(tǒng)RAM關(guān)機(jī)前關(guān)機(jī)前內(nèi)核表內(nèi)核表進(jìn)程中進(jìn)程中關(guān)機(jī)前關(guān)機(jī)前固定介質(zhì)固定介質(zhì)Swap/tmp直至被覆蓋或被抹掉直至被覆蓋或被抹掉可移動介質(zhì)可移動介質(zhì)Cdrom,Floppy,HDO直至被覆蓋或被抹掉直至被覆蓋或被抹掉打印輸出打印輸出被拷貝打印輸出被拷貝打印輸出直至被毀壞直至被毀壞表表5.1 數(shù)字證據(jù)的揮發(fā)性數(shù)字證據(jù)的揮發(fā)性整理ppt5.3.2 數(shù)字取證的原則數(shù)字取證的原則實(shí)施數(shù)字取證應(yīng)當(dāng)遵循如下原則：符合程序，共同監(jiān)督，保實(shí)施

53、數(shù)字取證應(yīng)當(dāng)遵循如下原則：符合程序，共同監(jiān)督，保護(hù)隱私，影響最小，證據(jù)連續(xù)，原汁原味。下面分別予以說護(hù)隱私，影響最小，證據(jù)連續(xù)，原汁原味。下面分別予以說明。明。v1. 符合程序符合程序取證應(yīng)當(dāng)首先啟動法律程序，要在法律規(guī)定的范圍內(nèi)展開取證應(yīng)當(dāng)首先啟動法律程序，要在法律規(guī)定的范圍內(nèi)展開工作，否則會陷入被動。工作，否則會陷入被動。v2. 共同監(jiān)督共同監(jiān)督由原告委派的專家所進(jìn)行整個的檢查、取證過程，必須受由原告委派的專家所進(jìn)行整個的檢查、取證過程，必須受到由其他方委派的專家的監(jiān)督。到由其他方委派的專家的監(jiān)督。v3. 保護(hù)隱私保護(hù)隱私在取證過程中，要尊重任何關(guān)于客戶代理人的隱私。一旦在取證過程中，要尊

54、重任何關(guān)于客戶代理人的隱私。一旦獲取了一些關(guān)于公司或個人的隱私，決不能泄露。獲取了一些關(guān)于公司或個人的隱私，決不能泄露。整理ppt數(shù)字取證的原則數(shù)字取證的原則v4. 影響最小影響最小 如果取證要求必須運(yùn)行某些業(yè)務(wù)程序，應(yīng)當(dāng)使運(yùn)行時間盡如果取證要求必須運(yùn)行某些業(yè)務(wù)程序，應(yīng)當(dāng)使運(yùn)行時間盡量短；量短； 必須保證取證不給系統(tǒng)帶來副作用，如引進(jìn)病毒等。必須保證取證不給系統(tǒng)帶來副作用，如引進(jìn)病毒等。v5. 證據(jù)連續(xù)證據(jù)連續(xù)必須保證證據(jù)的連續(xù)性（必須保證證據(jù)的連續(xù)性（Chain of Custody），即在將證），即在將證據(jù)提交法庭前要一直跟蹤證據(jù)，要向法庭說明在這段時間內(nèi)據(jù)提交法庭前要一直跟蹤證據(jù)，要向法

55、庭說明在這段時間內(nèi)證據(jù)有無變化。此外，要向法庭說明該證據(jù)的完全性。證據(jù)有無變化。此外，要向法庭說明該證據(jù)的完全性。v6. 原汁原味原汁原味 必須保證提取出來的證據(jù)不受電磁或機(jī)械的損害；必須保證提取出來的證據(jù)不受電磁或機(jī)械的損害； 必須保證收集的證據(jù)不被取證程序破壞。必須保證收集的證據(jù)不被取證程序破壞。整理ppt5.3.3 數(shù)字取證的一般步驟數(shù)字取證的一般步驟v1. 保護(hù)現(xiàn)場保護(hù)現(xiàn)場 在取證過程中，保護(hù)目標(biāo)系統(tǒng)，避免發(fā)生任何改變、損害；在取證過程中，保護(hù)目標(biāo)系統(tǒng)，避免發(fā)生任何改變、損害； 保護(hù)證據(jù)的完整性，防止證據(jù)信息的丟失和破壞；保護(hù)證據(jù)的完整性，防止證據(jù)信息的丟失和破壞； 防止病毒感染。防止

56、病毒感染。v2. 證據(jù)發(fā)現(xiàn)證據(jù)發(fā)現(xiàn)證據(jù)發(fā)現(xiàn)首先要識別可獲取證據(jù)的信息類型。按照證據(jù)信息證據(jù)發(fā)現(xiàn)首先要識別可獲取證據(jù)的信息類型。按照證據(jù)信息變化的特點(diǎn)，可以將證據(jù)信息分為兩大類：變化的特點(diǎn)，可以將證據(jù)信息分為兩大類： 實(shí)時信息（或易失信息），例如網(wǎng)絡(luò)連接；實(shí)時信息（或易失信息），例如網(wǎng)絡(luò)連接； 非易失信息，即不會隨時間或設(shè)備斷電消失。非易失信息，即不會隨時間或設(shè)備斷電消失。數(shù)字取證過程一般可以按如下步驟進(jìn)行。數(shù)字取證過程一般可以按如下步驟進(jìn)行。整理pptv（1）日志：如操作系統(tǒng)日志等。）日志：如操作系統(tǒng)日志等。v（2）文件。如可以進(jìn)行的文件搜索有：）文件。如可以進(jìn)行的文件搜索有： 搜索目標(biāo)系統(tǒng)中

57、所有文件（包括現(xiàn)存的正常文件、已經(jīng)被刪除但仍存搜索目標(biāo)系統(tǒng)中所有文件（包括現(xiàn)存的正常文件、已經(jīng)被刪除但仍存在于磁盤上還沒有被覆蓋的文件、隱藏文件、受密碼保護(hù)的和加密文在于磁盤上還沒有被覆蓋的文件、隱藏文件、受密碼保護(hù)的和加密文件）；件）； 盡量恢復(fù)所發(fā)現(xiàn)的文件；盡量恢復(fù)所發(fā)現(xiàn)的文件； 在法律允許的情況下，訪問被保護(hù)或加密的文件；在法律允許的情況下，訪問被保護(hù)或加密的文件； 分析磁盤特殊區(qū)域（未分配區(qū)域、文件棧區(qū)等）。分析磁盤特殊區(qū)域（未分配區(qū)域、文件棧區(qū)等）。v（3）系統(tǒng)進(jìn)程：如進(jìn)程名、進(jìn)程訪問文件等。）系統(tǒng)進(jìn)程：如進(jìn)程名、進(jìn)程訪問文件等。v（4）用戶：特別是在線用戶的服務(wù)時間、使用方式等。）

58、用戶：特別是在線用戶的服務(wù)時間、使用方式等。v（5）系統(tǒng)狀態(tài)：如系統(tǒng)開放的服務(wù)、網(wǎng)絡(luò)運(yùn)行的狀態(tài)等。）系統(tǒng)狀態(tài)：如系統(tǒng)開放的服務(wù)、網(wǎng)絡(luò)運(yùn)行的狀態(tài)等。v（6）通信連接記錄：如網(wǎng)絡(luò)路由器的運(yùn)行日志等。）通信連接記錄：如網(wǎng)絡(luò)路由器的運(yùn)行日志等。v（7）存儲介質(zhì)：如磁盤、光盤、閃寸等。）存儲介質(zhì)：如磁盤、光盤、閃寸等。在證據(jù)發(fā)現(xiàn)階段可以使用的技術(shù)有：在證據(jù)發(fā)現(xiàn)階段可以使用的技術(shù)有：IDS、蜜罐技術(shù)、網(wǎng)絡(luò)線索自動識、蜜罐技術(shù)、網(wǎng)絡(luò)線索自動識別技術(shù)、溯源技術(shù)等。同時還可以使用一些相關(guān)的工具。為一些常用實(shí)別技術(shù)、溯源技術(shù)等。同時還可以使用一些相關(guān)的工具。為一些常用實(shí)時取證類工具。時取證類工具。下面是可以作為證

59、據(jù)或可以提供相關(guān)信息的信息源。下面是可以作為證據(jù)或可以提供相關(guān)信息的信息源。數(shù)字證據(jù)的信息源數(shù)字證據(jù)的信息源整理ppt一些常用實(shí)時取證類工具一些常用實(shí)時取證類工具工具名稱工具名稱用途描述用途描述Netstat顯示當(dāng)前受害系統(tǒng)的網(wǎng)絡(luò)監(jiān)聽程序和網(wǎng)絡(luò)連接顯示當(dāng)前受害系統(tǒng)的網(wǎng)絡(luò)監(jiān)聽程序和網(wǎng)絡(luò)連接ARP查看受害系統(tǒng)的地址解析緩存表查看受害系統(tǒng)的地址解析緩存表Who顯示系統(tǒng)在線用戶信息顯示系統(tǒng)在線用戶信息last顯示系統(tǒng)登錄用戶信息顯示系統(tǒng)登錄用戶信息ps查看查看UNIX系統(tǒng)進(jìn)程信息系統(tǒng)進(jìn)程信息表表5.2 一些常用實(shí)時取證類工具一些常用實(shí)時取證類工具整理ppt數(shù)字取證的一般步驟（續(xù)）數(shù)字取證的一般步驟（續(xù)

60、）v3. 證據(jù)固定證據(jù)固定針對數(shù)字證據(jù)的揮發(fā)性，數(shù)字證據(jù)的固定非常重要。針對數(shù)字證據(jù)的揮發(fā)性，數(shù)字證據(jù)的固定非常重要。v4. 證據(jù)提取證據(jù)提取證據(jù)提取主要是提取特征。包括：證據(jù)提取主要是提取特征。包括： 過濾和挖掘；過濾和挖掘； 解碼：對軟件或數(shù)據(jù)碎片進(jìn)行殘缺分析、上下文分析，恢復(fù)原來的面解碼：對軟件或數(shù)據(jù)碎片進(jìn)行殘缺分析、上下文分析，恢復(fù)原來的面貌。貌。v5. 證據(jù)分析證據(jù)分析分析的目的大致有：分析的目的大致有： 犯罪行為重構(gòu)；犯罪行為重構(gòu)； 嫌疑人畫像；嫌疑人畫像； 確定犯罪動機(jī)；確定犯罪動機(jī)； 受害程度行為分析等。受害程度行為分析等。v6. 提交證據(jù)提交證據(jù)向律師、管理者或法庭提交證據(jù)。