項目八應急響應與災難恢復

項目八應急響應與災難恢復2024/3/29項目八應急響應與災難恢復學習目標通過本章的學習，能夠——了解應急響應與災難恢復的含義；了解容災與數(shù)據(jù)備份的方法和技術(shù)；了解應急響應的組織與程序；了解災難恢復的策略與步驟；掌握Ghost和Winhex的基本使用方法。項目八應急響應與災難恢復目錄·Contents8.1應急響應與災難恢復概述

8.2應急響應模型與操作流程

8.3數(shù)據(jù)備份

8.4災難恢復與容災建設

8.5容錯系統(tǒng)

8.6應用實例項目八應急響應與災難恢復目錄·Contents8.1應急響應與災難恢復概述8.1.1

應急響應與信息災難的含義

8.1.2

應急響應組織的產(chǎn)生與發(fā)展

8.1.3

災難發(fā)生的原因與危害

8.1.4

災難發(fā)和災難恢復

項目八應急響應與災難恢復8.1應急響應與災難恢復概述8.1.1應急響應與信息災難的含義

應急響應通常是指一個組織為了應對各種安全事件的發(fā)生所做的準備工作以及在突發(fā)事件發(fā)生時或者發(fā)生后所采取的措施。1.應急響應的含義項目八應急響應與災難恢復安全事件破壞數(shù)據(jù)與信息系統(tǒng)的行為保密性安全事件：入侵系統(tǒng)并讀取信息、搭線竊聽、遠程探測網(wǎng)絡拓撲結(jié)構(gòu)和計算機系統(tǒng)配置等。

完整性安全事件：入侵系統(tǒng)并篡改數(shù)據(jù)、劫持網(wǎng)絡連接并篡改或插入數(shù)據(jù)、安裝特洛伊木馬、計算機病毒（修改文件或引導區(qū)）等?？捎眯园踩录合到y(tǒng)故障、拒絕服務攻擊、計算機蠕蟲（以消耗系統(tǒng)資源或網(wǎng)絡寬帶為目的）等。

8.1應急響應與災難恢復概述項目八應急響應與災難恢復8.1應急響應與災難恢復概述

由于自然的原因（洪水、臺風、地震、雷擊等），意外事故（火災、塌方、供電故障），惡意攻擊，人為失誤等造成信息系統(tǒng)運行嚴重故障或癱瘓，使信息系統(tǒng)支持的業(yè)務功能停頓或服務水平不可接受、達到特定的時間的突發(fā)性事件。72.信息災難的含義與現(xiàn)象項目八應急響應與災難恢復1970年越南戰(zhàn)爭期間，美國威斯康星大學的國防數(shù)學研究中心遭到炸彈襲擊。結(jié)果是一個研究生被殺害，整個建筑被炸，計算機信息系統(tǒng)與積累了20年的數(shù)據(jù)全部毀于一旦。9.11恐怖襲擊事件更是使入駐世貿(mào)中心的幾百家公司數(shù)據(jù)瞬間被毀，造成許多公司無法繼續(xù)運營。8.1應急響應與災難恢復概述項目八應急響應與災難恢復8.1應急響應與災難恢復概述災難系統(tǒng)災難數(shù)據(jù)災難數(shù)據(jù)失真數(shù)據(jù)部分喪失數(shù)據(jù)完全被毀系統(tǒng)失靈系統(tǒng)癱瘓系統(tǒng)惡變3.災難的類型項目八應急響應與災難恢復8.1.3災難發(fā)生的原因與危害1.災難發(fā)生的原因8.1應急響應與災難恢復概述項目八應急響應與災難恢復2.災難的危害根據(jù)互聯(lián)網(wǎng)數(shù)據(jù)中心的調(diào)查，在20世紀最后10年中，在美國發(fā)生過災難的公司中，55%的公司當即倒閉，剩下45%中，因為信息數(shù)據(jù)丟失，其中29%的公司在兩年內(nèi)倒閉，能生存下來的僅占16%。根據(jù)美國勞工部的統(tǒng)計數(shù)據(jù)，在丟失關(guān)鍵數(shù)據(jù)記錄的公司里，90%的公司在1年內(nèi)破產(chǎn)。對于那些丟失重要數(shù)據(jù)記錄的公司來說，其利潤將下降30%~50%！9.1應急響應與災難恢復概述項目八應急響應與災難恢復8.1.4容災和災難恢復容災與災難恢復容災技術(shù)災難恢復8.1應急響應與災難恢復概述項目八應急響應與災難恢復容災對于計算機信息系統(tǒng)而言，就是提供一個能防止用戶業(yè)務系統(tǒng)遭受各種災難破壞與攻擊影響的系統(tǒng)。8.1應急響應與災難恢復概述1.容災技術(shù)項目八應急響應與災難恢復

從狹義的角度講，容災是指除了生產(chǎn)站點以外，用戶另外建立的冗余站點，當災難發(fā)生，生產(chǎn)站點受到破壞時，冗余站點可以接管用戶正常的業(yè)務，達到業(yè)務不間斷的目的，業(yè)務連續(xù)性是容災的最終建設目標。8.1應急響應與災難恢復概述項目八應急響應與災難恢復災難恢復是將信息系統(tǒng)從災難造成的故障或癱瘓狀態(tài)恢復到可正常運行狀態(tài)，并將其支持的業(yè)務功能從災難造成的不正常狀態(tài)恢復到可接受狀態(tài)。8.1應急響應與災難恢復概述2.災難恢復項目八應急響應與災難恢復8.2應急響應模型與操作流程8.2.1應急響應模型美國國防部提出了信息保障(InformationAssurance，IA)的概念，并給出了包含防護(Protection)、檢測(Detection)、響應(Response)3個環(huán)節(jié)的動態(tài)模型，后來又增加了恢復(Restore)環(huán)節(jié)，簡稱為PDRR模型。161.PDRR應急響應模型項目八應急響應與災難恢復8.2應急響應模型與操作流程17應急響應過程操作流程可以用三階段來描述:項目八應急響應與災難恢復目錄·Contents8.3數(shù)據(jù)備份8.3.1數(shù)據(jù)安全問題8.3.2數(shù)據(jù)存儲技術(shù)188.3.3數(shù)據(jù)備份技術(shù)項目八應急響應與災難恢復

IDG公司對美國發(fā)生過信息災難的公司進行統(tǒng)計，55%的公司立即倒閉，29%的公司2年后倒閉。2003年，上海發(fā)生軌道工程工地坍塌，3座大樓安全受到嚴重威脅。為搶救樓內(nèi)的數(shù)據(jù)信息，人們冒著生命危險進入即將倒塌的樓內(nèi)將存放重要數(shù)據(jù)的磁盤強出。191.保護數(shù)據(jù)的重要性8.3數(shù)據(jù)備份項目八應急響應與災難恢復數(shù)據(jù)存儲量急劇膨脹。數(shù)據(jù)訪問時間和方式的全方位要求，即7*24*365隨時隨地提供訪問。數(shù)據(jù)結(jié)構(gòu)與格式多樣性。存儲設備異構(gòu)性。20數(shù)據(jù)的多樣性也為數(shù)據(jù)保護提出了新的技術(shù)要求。2.數(shù)據(jù)的多樣性8.3數(shù)據(jù)備份項目八應急響應與災難恢復如何才能保護企業(yè)與個人賴以生存和發(fā)展的數(shù)據(jù)安全？最重要的是冗余技術(shù)，包括數(shù)據(jù)備份、冗余的設備、軟件和人員等。目前已經(jīng)有許多數(shù)據(jù)保護的技術(shù)：213.數(shù)據(jù)的保護與措施8.3數(shù)據(jù)備份項目八應急響應與災難恢復存儲介質(zhì)存儲方式228.3數(shù)據(jù)備份8.3.2數(shù)據(jù)存儲技術(shù)項目八應急響應與災難恢復存儲介質(zhì)存儲方式磁盤與磁盤陣列、磁帶機與磁帶庫、光盤與光盤庫23（1）DAS-DirectAttachedStorage——直接附加存儲（2）NAS-NetworkAttachedStorage——網(wǎng)絡附加存儲（3）SAN-StorageAreaNetwork——區(qū)域網(wǎng)絡存儲（4）分級存儲（5）虛擬存儲8.3數(shù)據(jù)備份項目八應急響應與災難恢復241.數(shù)據(jù)備份的定義與意義定義：就是將數(shù)據(jù)加以保存，以便在系統(tǒng)遭受破壞或其他特定情況下，重新加以利用進行系統(tǒng)恢復的一個過程意義：數(shù)據(jù)備份與數(shù)據(jù)恢復是保護數(shù)據(jù)的最后手段，也是防止信息攻擊的最后一道防線數(shù)據(jù)備份8.3數(shù)據(jù)備份8.3.3數(shù)據(jù)存儲技術(shù)項目八應急響應與災難恢復252.數(shù)據(jù)備份分類依據(jù)備份的數(shù)據(jù)量分類：全備份、增量備份、差分備份、綜合性完備備份依據(jù)備份形式分類：物理備份、邏輯備份依據(jù)備份時間分類：冷備份（脫機備份）、熱備份（聯(lián)機備份）依據(jù)備份實現(xiàn)的層次分類：硬件冗余、軟件備份依據(jù)備份地點分類：本地備份、異地備份8.3數(shù)據(jù)備份項目八應急響應與災難恢復

數(shù)據(jù)備份的策略是指確定需要備份的內(nèi)容、備份時間以及備份方式。常用的備份策略有完全備份、增量備份、差分備份以及這三種備份策略的組合。對于操作系統(tǒng)和應用程序代碼，可在每次系統(tǒng)更新或安裝新軟件時做一次全備份。對于日常更新量很大，但總體數(shù)據(jù)量不是很大的關(guān)鍵應用數(shù)據(jù)庫，可在每天用戶使用量較小的時段安排做全備份。對于總體數(shù)據(jù)量很大，但日常更新量相對較小的關(guān)鍵應用數(shù)據(jù)庫，可每隔一周或更長時間做一次全備份，而每隔一個較短的時間（如：每天）做一次增量備份。制定備份策略時可以參考如下規(guī)則：263.指定數(shù)據(jù)備份的規(guī)則8.3數(shù)據(jù)備份項目八應急響應與災難恢復8.4數(shù)據(jù)恢復工具

流行的數(shù)據(jù)恢復工具有：Finaldata、EasyRecovery、DataExplore、R-Studio和Lost&Found。項目八應急響應與災難恢復28容災中心建設方式自行建設多方共建或通過互惠協(xié)議獲?。蛔庥蒙虡I(yè)化災難備份中心的基礎設施。8.4災難恢復與容災建設3.容災中心建設方式項目八應急響應與災難恢復8.5容錯系統(tǒng)8.5.1容錯系統(tǒng)與容錯計算機系統(tǒng)的故障可分為兩類：一類是“致命的”，不可能自行修復，例如系統(tǒng)的主要部件全部損壞；另一類是局部的，可能被修復，例如部分元件失效、線路故障、偶然干擾引起的差錯等

。容錯系統(tǒng)就是利用容錯技術(shù)構(gòu)造的一種能夠自動排除非致命性故障的系統(tǒng)。1.容錯系統(tǒng)29項目八應急響應與災難恢復8.5容錯系統(tǒng)硬件容錯是指電子計算機在工作過程中，一旦硬件部分發(fā)生故障，在容錯功能電路的支持下，自動進行切換，用正常的電路部分代替故障電路部分，從而保證系統(tǒng)不間斷地連續(xù)運行，保證原定計算方法或運行程序準確地執(zhí)行及完成的能力。軟件容錯是指對軟件錯誤的容許程度以及支持硬件容錯的相應軟件功能。容錯系統(tǒng)具有對故障的容許能力和自測試能力，包括硬件容錯與軟件容錯兩部分。30項目八應急響應與災難恢復8.5容錯系統(tǒng) 容錯技術(shù)是建立在冗余技術(shù)基礎之上的。冗余技術(shù)又稱儲備技術(shù)，它是利用系統(tǒng)的并聯(lián)模型來提高系統(tǒng)可靠性的一種手段。3.冗余技術(shù)冗余技術(shù)根據(jù)資源不同 根據(jù)線路的物理連接方式 硬件冗余

軟件冗余

時間冗余

信息冗余

重復線路

備份線路31項目八應急響應與災難恢復8.5容錯系統(tǒng) 硬件冗余是通過外加硬件的方式來達到系統(tǒng)容錯目的的容錯方式，該技術(shù)廣為采用。它是用兩倍、四倍甚至更多的元件堆積重復，相互并聯(lián)，從而增加系統(tǒng)的可靠性。硬件冗余的部件可以是并行工作的，也可以只有一個模塊工作，而其它模塊則處于待命狀態(tài)。一旦工作模塊出現(xiàn)故障，立即切換到備份的模塊之一。這種系統(tǒng)必須具備檢錯和切換能力。 軟件容錯技術(shù)是指開發(fā)容錯軟件的適宜環(huán)境和系統(tǒng)方法，其主要目的是提供足夠的冗余信息與算法程序，使系統(tǒng)在實際運行過程中能夠及時發(fā)現(xiàn)程序錯誤，采取補救措施，保證整個計算的正確運行。(1)硬件冗余(2)軟件冗余32項目八應急響應與災難恢復8.5容錯系統(tǒng) 時間冗余是指以重復執(zhí)行指令（指令復執(zhí)）或程序（程序復算）來消除瞬時錯誤帶來的影響。其典型應用是程序卷回。這種技術(shù)用來檢驗一段程序完成時的計算數(shù)據(jù)，如發(fā)現(xiàn)有錯，則卷回繼續(xù)重算那一部分。如果一次卷回不解決問題，還可多次卷回，直到故障消除或判定不能消除故障為止。 信息冗余是靠增加信息的多余度來提高可靠性的，這些附加的信息位具有如下功能：當代碼中某些信息位發(fā)生錯誤包括附加位本身的錯誤時能及時發(fā)現(xiàn)錯誤檢錯，或者能恢復原來的信息糾錯。在數(shù)字系統(tǒng)中的信息傳送和算術(shù)邏輯運算中廣泛使用的奇偶碼、海明碼、乘積碼、循環(huán)碼，以及各種算術(shù)誤差碼都有很強的檢錯或糾錯能力。(3)時間冗余(4)信息冗余33項目八應急響應與災難恢復目錄·Contents8.6應用實例8.6.1運用NortonGhost進行文件備份與還原

8.6.2運用Windows7創(chuàng)建系統(tǒng)映像

34項目八應急響應與災難恢復358.6應用實例1.NortonGhost的功能NortonGhost是美國賽門鐵克公司旗下的一款出色的硬盤備份還原工具，可以實現(xiàn)FAT16、FAT32、NTFS、OS2等多種硬盤分區(qū)格式的分區(qū)及硬盤的備份還原。Ghost2003可以在Windows環(huán)境下運行，但其核心的備份和恢復仍要在DOS下完成，Ghost最新的版本是15.0，可以讓用戶直接在Windows環(huán)境下，對系統(tǒng)分區(qū)進行熱備份而無須關(guān)閉Windows系統(tǒng)，它新增的增量備份功能，可以將磁盤上新近變更的信息添加到原有的備份鏡像文件中去，不必再反復執(zhí)行整盤備份的操作，它還可以在不啟動Windows的情況下，通過光盤啟動來完成分區(qū)的恢復操作。8.6.1運用NortonGhost進行文件備份與還原項目八應急響應與災難恢復368.6應用實例2.Ghost15的安裝與設置

安裝（1）運行Setup.exe，然后在Ghost15安裝界面中單擊【下一步】按鈕，如圖9-8所示。

（2）在“NortonGhostInstallShieldWizard”對話框中，勾中“我接受該許可證協(xié)議中的條款(A)”，若要將ghost安裝到C盤則單擊【立即安裝】，若要將ghost安裝到其他盤則單擊【自定義安裝】按鈕，進行安裝路徑設置，如圖9-9所示。圖9-8Ghost安裝界面圖9-9“NortonGhostInstallShieldWizard”對話框

項目八應急響應與災難恢復378.6應用實例（3）安裝完畢重啟計算機后，Ghost15有個激活向?qū)?，引導用戶激活產(chǎn)品，在沒有激活的狀態(tài)下，用戶可以正常使用Ghost15的備份/恢復功能，但一些輔助功能不能使用。如果有密鑰，選擇第一個，輸入許可證密鑰并單擊【下一步】進行激活，如圖9-10所示。（4）進入完成界面，單擊【完成】按鈕。此時，要運行Ghost需要進行重啟，在確保重要文件都已保存的情況下重啟電腦。

圖9-10“NortonGhost產(chǎn)品激活”對話框

項目八應急響應與災難恢復388.6應用實例初始設置（1）設置備份的目標位置：在圖9-12“EasySetup”對話框“備份目標”框中單擊【瀏覽】按鈕，可以選擇備份存放的位置。

（2）更改調(diào)度：在“備份我的文檔”框中單擊“調(diào)度”命令，打開“更改調(diào)度”對話框，在這里可以指定運行備份的時間和頻率，如圖9-13所示。

圖9-12“EasySetup”對話框

圖9-13“更改調(diào)度”對話框

項目八應急響應與災難恢復398.6應用實例（3）通過對事件觸發(fā)器中的常規(guī)選項設置，可以指定在某些事件發(fā)生時自動運行備份，如圖9-14。例如啟動指定的應用程序或任意用戶登錄到計算機時運行備份，可以有效防止因操作失誤而造成的損失或破壞，也可以有效防止黑客或病毒的攻擊，通過恢復備份將應用程序或計算機狀態(tài)恢復到黑客或病毒攻擊之前的狀態(tài)。

圖9-14設置“常規(guī)”選項

項目八應急響應與災難恢復408.6應用實例定義備份向?qū)В?）在“定義備份向?qū)А睂υ捒蛑羞x擇“備份我的電腦”，單擊【下一步】，如圖9-15所示。

（2）在“備份驅(qū)動器選擇”欄中選擇C盤進行備份，單擊【下一步】。

（3）選擇“恢復點集”選項，以節(jié)約備份所占磁盤空間及花費時間，如圖9-17所示。

圖9-15

“定義備份向?qū)А睂υ捒?/p>

圖9-17選擇“恢復點集”選項

項目八應急響應與災難恢復418.6應用實例（4）用戶除了將備份文件儲存在本地磁盤空間外，還可以設置存儲目錄為網(wǎng)絡目標。這樣就可以避免本地硬盤出故障時，原文件與備份文件同時丟失的問題，如圖9-18所示。

（5）對于使用GoogleDesktop工具的用戶，可以選中“為GoogleDesktop啟用搜索引擎支持”，開啟該功能后，用戶就可以使用GoogleDesktop來搜索并恢復存儲在恢復文件中的文件，如圖9-19所示。

圖9-18

備份目標

圖9-17為GoogleDesktop啟用搜索引擎支持

項目八應急響應與災難恢復428.6應用實例（6）用戶可以選擇對備份文件進行加密，Ghost15支持多種高強度加密方式，避免了備份文件泄密問題，如圖9-20所示。

（7）在備份時間中，根據(jù)自己的需要，設置備份時間和頻率，如圖9-21所示。

圖9-20加密設置

圖9-21備份時間設置

項目八應急響應與災難恢復438.6應用實例（8）最后檢驗定義備份向?qū)瓿山缑嬷械脑O置信息是否與你期望的設置一致，若一致，則單擊【完成】，若不一致，單擊【上一步】進行修改，如圖9-22所示。

圖9-22定義備份向?qū)瓿山缑?/p>

項目八應急響應與災難恢復448.6應用實例3.在windows界面中運行Ghost15進入Ghost15的主頁

打開Ghost15主界面選擇“主頁”標簽，用戶可以看到“當前備份狀態(tài)（備份風險警報）、備份文件存儲目標狀況、快速進行備份與恢復、甚至還能查看實時的賽門鐵克的病毒安全風險級別”這些信息，如圖9-23所示。

圖9-23Ghost主頁項目八應急響應與災難恢復458.6應用實例查看狀態(tài)信息并恢復文件

（1）在Ghost15主界面選擇“狀態(tài)”標簽，可以看到備份情況狀態(tài)表格圖，如圖9-24所示?？梢钥吹礁鱾€磁盤分區(qū)的備份情況與備份時間，還可以快速的進行恢復操作。用戶選中某個備份目標時，可以進行快速的文件或分區(qū)的恢復操作。例如，右擊選擇“恢復我的文件”命令。圖9-24

Ghost狀態(tài)界面

項目八應急響應與災難恢復468.6應用實例（2）在“恢復文件”對話框中輸入部分文件名或者文件類型，例如輸入“exe”，如圖9-25所示。

（3）單擊【搜索】按鈕后，找到3個exe相關(guān)的文件，選中需要恢復的文件可以進行恢復，如圖9-26所示?；謴臀募r會顯示文件恢復進程。