《恶意代码防范-刘功申 第4章 数据备份与数据恢复》由会员分享,可在线阅读,更多相关《恶意代码防范-刘功申 第4章 数据备份与数据恢复(38页珍藏版)》请在金锄头文库上搜索。
1、数据备份与数据恢复 刘功申上海交通大学信息安全工程学院 本章学习目标 了解数据备份和数据恢复的概念掌握个人数据备份及恢复的要求掌握企业数据备份及恢复的要求了解典型数据备份及恢复工具 本章内容 数据备份与数据恢复的意义数据备份数据恢复数据恢复工具箱数据备份及恢复常用工具 数据丢失的原因 咖啡倒在了笔记本上 数据丢了恶意代码的攻击硬盘坏了二者有区别吗 2001年 美国纽约世贸中心大楼发生爆炸 一年后 350家原本在该楼工作的公司再回来的只有150家 其它很多企业由于无法恢复对其业务至关重要的数据而被迫倒闭 1数据备份与数据恢复的意义 示例 摩根斯坦利 世贸中心最大的主顾之一摩根斯坦利宣布 双子楼的
2、倒塌并没有给公司和客户的关键数据带来重大损失 摩根斯坦利精心构造的远程防灾系统 能够实时将重要的业务信息备份到几英里之外的另一个数据中心 大楼倒塌之后 该数据中心立刻发挥作用 保障了公司业务的继续运行 有效降低了灾难对于整个企业发展的影响 摩根斯坦利在第二天就进入了正常的工作状态 摩根斯坦利几年前就制订的数据安全战略 在这次大劫难中发挥了令人瞩目的作用 a 人为原因b 软件原因c 盗窃d 硬件的毁坏e 计算机病毒f 硬件故障 数据丢失原因调查 在病毒清除工作越来越困难的今天 数据备份和恢复成了计算机病毒防治技术的一个核心问题 2数据备份 数据备份策略要决定何时进行备份 备份何种数据 以及出现故
3、障时进行恢复的方式 根据工作环境的规模 我们可以简单的分为个人PC备份策略系统级备份策略 数据备份 个人PC备份策略 一 备份个人数据所谓个人数据就是用户个人劳动的结果 包括自己制作的各种文档 编制的各种源代码 下载或从其他途径获取的有用数据和程序等等 养成良好存放的习惯 拒绝所有的缺省位置个人数据集中存放经常备份这些数据养成良好的定期备份习惯 二 备份系统重要数据磁盘的分区表 主引导区 引导区等重要区域的数据 三 注册表的备份系统把它物理地分为两个文件 USER DAT 用户设置 和SYSTEM DAT 系统设置 备份方式 系统自动备份USER DAT USER DAOSYSTEM DAT
4、SYSTEM DAOC WINDOWS SYSBCKUP目录中以CAB文件格式备份了最近五天开机后的系统文件 其备份文件名分别是rb000 cab rb001 cab rb002 cab rb003 cab和rb005 cab 可用Windows自带的Scanreg exe命令 手工备份Cfgback exe 手工备份两个文件 导出注册表 四 OUTLOOK数据的备份首先 应对注册表的相关部分备份 Hkey current user Software Microsoft InternetAccountManager Accounts然后 还要对目录文件进行备份 windows applicat
5、iondata microsoft outlook最后 通讯簿的备份 五 Foxmail数据的备份比OutLook简单 六 即时消息数据的备份1 备份MESSAGES 历史数据 2 备份ADDRESSBOOK 地址数据 七 输入法自定义词组的备份1 中文五笔输入法中自定义词组的备份C Windows System wbx emb2 智能拼音输入法中自定义词组的备份C WINDOWS SYSTEM tmmr rem3 微软拼音输入法中自定义词组的备份C Windows pjyyP UPT 八 IE收藏夹和NN书签的备份IE收藏夹C Windows Favorites文件夹NN书签将其saveas
6、为一个html文件 数据备份 系统级备份策略一 数据备份需求分析 关键服务器的地位越来越重要 需要备份造成系统失效的主要原因有以下几个方面 硬盘驱动器损坏 由于一个系统或电器的物理损坏导致文件 数据的丢失 人为错误 人为删除一个文件或格式化一个磁盘 占数据灾难的80 黑客的攻击 黑客侵入计算机系统 破坏计算机系统 病毒 使计算机系统感染 甚至损坏计算机数据 自然灾害 火灾 洪水或地震也会无情地毁灭计算机系统 电源浪涌 一个瞬间过载电功率损害计算机驱动器上的文件 磁干扰 生活 工作中常见的磁场可以破坏磁碟中的文件 建立完整的网络数据备份系统必须考虑以下内容 计算机网络数据备份的自动化 以减少系统
7、管理员的工作量 使数据备份工作制度化 科学化 对介质管理的有效化 防止读写操作的错误 对数据形成分门别类的介质存储 使数据的保存更细致 科学 自动介质的清洗轮转 提高介质的安全性和使用寿命 以备份服务器形成备份中心 对各种平台的应用系统及其他信息数据进行集中的备份 系统管理员可以在任意一台工作站上管理 监控 配置备份系统 实现分布处理 集中管理的特点 维护人员可以容易地恢复损坏的整个文件系统和各类数据 备份系统还应考虑网络带宽对备份性能的影响 备份服务器的平台选择及安全性 备份系统容量的适度冗余 备份系统良好的扩展性等因素 二 备份设备的选择 常用的存储介质类型有 磁盘 磁带 光盘和MO 磁光
8、盘 等 1 四种磁带技术的比较Dat螺旋扫描 4mm 高强金属带 20GBDlt高强金属带 40GBLto开放标准 100GB8mm螺旋扫描 高速 2 数据备份的容量计算网络中的总数据量 q1 数据备份时间表 即增量备份的天数 假设用户每天作一个增量备份 周末作一个全备份 d 6天每日数据改变量 即q2期望无人干涉的时间 假定为3个月 m 3数据增长量的估计 假定每年以20 递增 i 20 考虑坏带 不可预见因素 一般为30 假定u 30 通过以上各因素考虑 可以较准确地推算出备份设备的大概容量为 c q1 q2 d 4 m 1 i 1 u 三 分析应用环境 选择备份管理软件 大型数据库自动备
9、份功能缺陷包括 但它们既不能实现自动备份 而且只能将数据备份到磁带机或硬盘上 不能驱动磁带库等自动加载设备 现有产品 legatonetworker caarcserve hpopenviewomnibackii ibmadsm及veritasnetbackup等 四 存储备份策略 备份策略可以确定需备份的内容 备份时间及备份方式 目前被采用最多的备份策略主要有以下三种 1 完全备份 fullbackup 2 增量备份 incrementalbackup 3 差分备份 differentialbackup 差分备份即备份上一次完全备份后产生和更新的所有新的数据 差分备份的恢复简单 系统管理员只
10、需要对两份备份文件进行恢复 即完全备份的文件和灾难发生前最近的一次差分备份文件 就可以将系统恢复 增量备份恢复复杂 在实际应用中 备份策略通常是以上三种的结合 例如每周一至周六进行一次增量备份或差分备份 每周日进行全备份 每月底进行一次全备份 每年底进行一次全备份 五 项目实施过程应注意的问题 1 统计备份客户机信息了解各台备份主机的系统配置 备份数据量 备份方式 文件 数据库在线 允许的备份时间窗口 每日数据增量等信息 2 做好培训工作3 制定备份策略制定备份日程表制定备份客户机分组方案制定备份卷分组方案 配置各客户机选项其它选项配置 包括管理员设置 数据远程恢复权限设置 设备并行流设置 设
11、备自动管理选项 数据压缩选项等4 日常维护有关问题硬件 磁带磁头等 软件维护 3数据恢复 数据恢复正常数据恢复灾难数据恢复所谓灾难数据恢复是指由于各种原因导致数据损失时把保留在介质上的数据重新恢复的过程 即使数据被删除或硬盘出现故障 只要在介质没有严重受损的情况下 数据就有可能被完好无损地恢复 重要性 一 灾难数据恢复的分类 软件恢复由病毒感染 误分区 误格式化等造成的数据丢失 仍然有可能使用第三方软件来恢复硬件恢复至于硬件恢复 如修复盘面划伤 磁组撞毁 芯片以及其他元器件烧坏等都成为硬件恢复 二 数据可恢复的前提 如果被删除的文件已经被其他文件取代 或者文件数据占用的空间已经分配给其他文件
12、那么该文件就不可能再恢复了 电子碎纸机就是利用这种原理来设计的 如果硬件或介质损坏严重 也是不可能恢复的 三 出现数据灾难时如何处理 如果是由病毒感染 误分区 误格式化等原因造成的数据丢失 这将关系到整块硬盘数据的存亡 千万不要再用该硬盘进行任何操作 更不能继续往上面写任何数据 而应马上找专业人员来处理 如果是由硬件原因造成的数据丢失 如硬盘受到激烈振动而损坏 则要注意事故发生后的保护工作 不应继续对该存储器反复进行测试 否则 将造成永久性的损坏 四 低难度数据恢复 1 如果怀疑硬盘有故障 先检查信号线和电源是否插好 或将硬盘挂接到另一台正常机器上 用BIOS检测 如果还是无法检测到硬盘 就是
13、硬件故障 2 如果怀疑分区损坏 可用Fdisk命令观察 如无任何分区显示即表示已被破坏 3 如果怀疑硬盘电路板有故障 可以找一个相同型号的好硬盘更换电路板 4 如果是硬盘分区损坏 误格式化或误删除 可以将该硬盘挂接到另一台正常机器上作为第二个硬盘 用Easyrecovery或Finaldata数据恢复软件抢救数据 五 高难度数据恢复 第一 分区表破坏原因 1 个人误操作删除分区 只要没有进行其它的操作完全可以恢复 2 安装多系统引导软件或者采用第三方分区工具 有恢复的可能性 3 病毒破坏 可以部分或者全部恢复 4 利用Ghost克隆分区 硬盘破坏 只可以部分恢复或者不能恢复 牢记以下两点 1
14、在硬盘数据出现丢失后 请立即关机 不要再对硬盘进行任何写操作 那样会增大修复的难度 也影响到修复的成功率 2 你的每一步操作都应该是可逆的 就像NortonDiskDoctor中的Undo功能 或者对故障硬盘是只读的 大名大名鼎鼎的EasyRecovery和Lost Found都是这种工作原理 第二 硬盘坏扇区 逻辑坏道 软件恢复物理坏道 标记坏道使用硬盘的注意事项 1 硬盘在工作时不能突然关机2 防止灰尘进入3 要防止温度过高4 要定期整理硬盘上的信息5 要定期对硬盘进行杀毒 6 用手拿硬盘时要小心7 尽量不要使用硬盘压缩技术8 在工作中不能移动硬盘9 使用塑料或橡皮来消除硬盘噪音 第三 磁
15、头损坏 精度是1 2微寸一粒灰尘是4 8微寸 人的头发是10微寸 恢复难度较大 更换磁头 第四 盘片损伤 硬盘的盘片都是使用塑料材料作为盘片基质 然后再在塑料基质上涂上磁性材料就可构成硬盘的盘片 采用铝材料作为硬盘盘片基质随后推出 目前市场上的IDE硬盘几乎都是使用铝硬盘盘片基质 而采用玻璃材料作为盘片基质则是最新的硬盘盘片技术 硬盘由多个盘片组成 可以恢复未被破坏的那些盘片 4数据恢复工具箱 一 EasyRecovery6 0恢复被删除文件 连不小心格式化后的分区数据都可以恢复 恢复引导记录 BIOS参数数据块 分区表 FAT表 引导区等 6 0版本能对ZIP文件及Office文档进行修复
16、二 FinaData它不依赖目录入口和FAT表记录的信息 所以它既可以恢复的被删除的文件 还可以在整个目录入口和FAT表都遭到破坏的情况下进行数据恢复 甚至在磁盘引导区被破坏 分区全部信息丢失 如硬盘被重新分区或者格式化 的情况下进行数据恢复 三 Recall该软件对于因使用SHIFT DEL或清空回收站 及使用DEL命令删除的文件恢复非常方便 只需轻轻的点击几次鼠标 就可以把自己需要的文件找回来 四 三茗硬盘医生这个软件是西安三茗公司开发的硬盘救助软件 它具有备份和恢复硬盘主引导区和引导扇区功能 同时还有修复具有错误的分区表的功能 五 FlipFlop软盘恢复工具对于软盘上文件被误删除或格式化 软盘介质损坏的数据恢复非常有用 六 Undelete和UnformatDOS6 2有Undelete和Unformat可以方便地恢复我们误删除或误格式化造成的过失 七 诺顿磁盘医生DISKEDIT可以对磁盘扇区进行读写和查找功能 对于手动恢复数据非常有用 五 KV3000附带的功能F10功能对于修复被CIH病毒破坏的硬盘非常方便 能够快速的找回丢失的D E F 等逻辑分区 5数据备份及恢复常用
