1、 数 据 安 全刘春林数据备份重点内容u应急响应和数据恢复u容灾备份原理u数据备份技术 uWindows文件恢复 应急响应和数据恢复计算机应急响应和数据恢复的背景:自互联网诞生以来,计算机网络安全就成为大家共同面对的问题,从进入 21世纪后,这一全球性问题骤然变得突出起来。如 2000年 yahoo网站遭到大规模拒绝服务攻击而瘫痪, 2001年爆发了红色代码等蠕虫事件, 2002年全球的根域名服务器遭到大规模服务攻击, 2003年又爆发了 SQL Slammer等蠕虫事件,其间还发生着不计其数的网页恶意篡改和黑客攻击竞赛等计算机网络安全问题。针如何对这些问题进行预防和补救呢,应急响应和数据恢复
2、应运而生应急响应和数据恢复u应急响应概念计算机安全技术人员在计算机系统遇到突发事件后所采取的措施和行动。突发事件是指影响一个系统正常工作的情况,可分为主机范畴和网络范畴两个方面,具体是指黑客入侵、信息窃取、拒绝服务攻击、宕机、网络数据流量异常等等应急响应和数据恢复u数据恢复是指系统数据在遭到意外破坏或丢失的时候,将实现备份复制的数据释放到系统中去的过程。数据恢复在应急响应处理中具有举足轻重的作用。数据恢复包括:系统文件的恢复、系统配置内容的恢复、数据库数据的恢复等等应急响应和数据恢复u应急响应的一般阶段:1、确认2、遏制3、根除4、恢复5、跟踪应急响应和数据恢复1、确认 1)指定事件处理责任人
3、,全权处理事件并给予一定资源2)确认事件的影响程度,预计采用什么样的资源修复。2、遏制 1)初步分析,采用重点的遏制方法,如隔离2)确定进一步操作风险,控制损失保持最小3、根除 1)分析原因和漏洞2)进行安全加固3)改进安全策略4、恢复 1)被攻击的是同有备份来恢复2)做新的备份3)对所有安全上的变更作备份4)服务重新上线并持续监控5、跟踪 1)关注系统恢复以后运行的安全状况2)建立跟踪文档,记录跟踪结果3)对响应效果给出评估应急响应u 重新获得控制权从网络中断开备份被攻破的系统镜像启动安全系统,把泄密系统挂到安全系统u 分析入侵寻找被修改的程序或配置文件寻找被修改的数据,如 web page
4、s, 寻找入侵者留下的工具和数据# find / ( -perm -004000 -o -perm -002000 ) -type f printTar d 显示备份系统与被破坏系统的差别Md5sum检查被更改的 rpm包检查日志文件 messages,xferlog,utmp,wtmp, /.history应急响应u 恢复安装一份干净的操作系统 关掉所有不必要的服务 安装所有的补丁 修改所有用户口令 根据 UNIX / Windows的安全配置指南文件检查系统安全性http:/www.cert.org/tech_tips/unix_configuration_guideline s.htmlhttp:/www.auscert.org.au/Information/Auscert_info/Papers /win_configuration_guidelines.html 安装安全工具 激活记账功能 配置防火墙数据备份与恢复技术u 高可用性系统u 网络备份u SAN备份u 灾难恢复方案