恢复raid5数据恢复

信息网络安全技术研究数据恢复技术综述'下)一中国人民解放军63961部队戴士剑张杰郭久武5.
常用备份工具目前有很多成熟的商用备份管理工具,如cA,BMc,veritas,symantec,EMc,Tivoli等,能够配合磁带机之类的硬件,提供完全的备份管理解决方案,当然,这些专业工具的价格一般比较昂贵,操作比较复杂.
(1)IBM公司的TivoliPortalTivoliPortal可以实现:存储管理:智能化的存储管理方案,降低存储成本和复杂性.
开放平台,支持平滑的数据迁移,消除由于存储空间不足造成的应用故障;数据备份和恢复,保护数据,支持灾难备份.
安全管理:全面的安全管理,包括认证、授权和审计三步曲;侧重企业安全总控管理和以企业用户为核心的访问控制管理.
特点有:·集中管理:保证安全策略的一致性·遵循标准·灵活可扩展系统性能管理:集成、统一的管理体系.
有效地监控操作系统、网络、数据存储、信息安全和业务应用;准确地定位和综合诊断系统异常的原因并提出修复方案;与业界最佳管理流程ITIL相结合,为企业提供更优的自动化管理流程.
将fT管理与业务优先级紧密地联系起来,侧重服务水平管理,使企业能够为其用户提供更优的服务.
(2)VERITAsNetBackupvERITAsNetBackup软件基于磁盘数据保护解决方案,能够提供接近即时的数据恢复,同时提高备份性能,减少数据丢失.
vERITAsNetBackup软件的高级客户端(Advancedclient)可以通过一个简单、易于使用和配置的客户端界面,提供多种基于磁盘的高级备份和恢复快照(snapshot)功能.
2006年第2期(总第62期)54借助快照策略配置向导,用户能够快速配置快照,轻松执行高级客户端备份和恢复操作.
通过这种高级方法,用户能根据自身需求轻松定制环境,从而进行更快的备份和恢复,减少备份对系统的影响.
vERITAsNetBackup软件现在还提供增强的磁盘缓冲备份(Diskstagin曲功能.
该功能使NetBackup用户能更加灵活地配置备份和恢复策略.
由于没有磁带设备的延迟,磁盘缓冲备份可以促进更快的备份和恢复.
用户可使用通过这一功能生成的非多路复用备份数据映像,来实现更怏的磁带恢复.
VERITAsNetBackup软件提供了合成备份(synthedcBackup)功能,可显著增强备份和恢复操作.
NetBackup用户能将增量备份数据存储在磁盘上,然后合成为完全备份,并对其进行处理,存储到磁带上,从而减少了执行恢复所需的时间.
现在,新文件或经过更改的文件只需在NetBackup介质服务器上备份一次,从而降低备份对应用主机的影响.
合成备份可减少网络上的数据传输量,最大限度地降低备份和恢复所需的网络带宽.
NetBackupvault可以管理到磁带设备cartridgeAccessPort(cAP)或MediaAccessPort(MAp)的磁带副本的弹出、pick/pull报告的创建、异地介质保存期的监控.
NetBackupvault为创建的介质副本的管理提供便利,既能与主备份并行进行,也能在预定的特定时间(例如在非生产时间)进行.
其他还有vER【TAs的BAcKuPExEc、LEGATo公司的NETwoRKER、cA公司的ARcsERvE2000、HP公司的oPENvIEwoMNIBAcK等,不再一一介绍.
(3)个人备份方案如果是小型企业,或个人,使用NortonGhost就可以实现一般的备份管理功能.
NortonGhost是一个非常优秀的磁盘克隆与管理工具,信息网络安全支持FATl2、FATl6、FAT32、NTFs、HPFs、Novell、uNIx、Linuxext2等文件系统.
既可整盘克隆,也可以只克隆单个分区.
这些功能可以实现:系统灾难恢复诸如NT、Netware、Linux之类处于正常运行中的网络服务器,其数据都是由相对稳定的系统数据和处于变化之中的用户数据组成的.
考虑到灾难恢复,不仅要备份用户数据,而且要备份系统数据.
因此,可以在网络服务器调试完毕投入使用前,利用NortonGhost克隆系统硬盘到一个映像文件中并保存在安全的存储介质上,同时每天采用常规方法备份用户数据.
这样,当系统发生故障需要重建时,就可以简单地利用事前制作的系统硬盘映像文件快速恢复整个系统,再把用户数据恢复到刚才重建的系统上,这样系统就恢复到了故障前的状态,从而极大地缩短了系统灾难恢复所需的时间.
服务器与工作站的克隆每个公司的MIs系统都可能需要安装、设置多台同样配置的服务器或者工作站,NortonGhost为Netware、NT、Linux服务器和Dos、win9x工作站提供了可靠的克隆、复制、映像和恢复功能.
先安装一套标准的服务器和工作站,再利用NortonGhost制作标准机的硬盘映像文件,用标准映像文件来安装其他的服务器和工作站,此时目标磁盘不需要格式化或其它准备工作,NortonGhost会自动对目标磁盘进行格式化,而不需要用户手工进行乏味的FDIsK和FoRMAT操作.
利用这种方法,能够极大地减少服务器/工作站安装和升级所需的时间,用户可以将更多的时间投入到其它重要工作中去.
NortonGhost既提供简单的图形用户界面(在应用中需要用户的响应和干预),也提供命令行方式(可追加各种参数让Ghost以批方式自动运行,不需要用户的干预).
硬盘映像文件可以存储在网络、cD—R、磁带等介质上.
NortonGhost既支持同一台机器上的源和目标(如内部硬盘之间,内部硬盘与本地scsI磁带机之间),也支持不同机器上的源和目标(源和目标计算机要么采用并口或NetBios进行点对点连接,要么采用MulticastserverTcP/lP连接).
在克隆过程中,NortonGhost根据需要自动调整目标磁盘上分区的大小、自动执行分区和格式化操作,并不要求源和目标硬盘结构完全一致,从而节省时间、减轻用户的负担.
伴随Ghost有5个附加的工具软件:·GhostMulticastserver用一个IPmulticast会话同时向多个NortonGhost客户机load映像文件,或者从第一个连接的客户机dump映像文件;55技术研究·Ghostwalker用于修改克隆windowsNT系统的sID(securityidentmer),以保证每套克隆windowsNT系统都具有唯一的sID;·GhostExplorer用于浏览映像文件,可以向映像文件追加、从映像文件删除/恢复单个的目录/文件;·GDIsK完全代替了FDIsK和FoRMAT的功能,能够提供快速的硬盘分区和格式化.
·MulticastAssist用于指导用户制作和GhostMulticastserver通信的NortonGhost客户机启动软盘.
1.
抢救恢复的概念抢救恢复指的是对对管理者而言已经丢失的数据进行恢复.
通常通过一定的技术手段,对通过简单的备份恢复操作已经不可能得到的数据进行抢救.
重要数据的拥有者都会对其数据进行合理的备份,甚至是异地备份和多份备份.
但是,备份仍然不可能完全取代抢救恢复.
原因有二:一是完全的实时备份难度大,不容易实现,即使是可以实现完全的实时备份,也只能是降低数据丢失的风险,不可能完全避免出现数据丢失;二是操作上的失误和意外.
丢失数据本身就是不可避免的,所以,备份恢复与抢救恢复,是互补的,前者是预防措施,后者是补救措施.
2.
抢救恢复的应用领域然而,抢救恢复技术研究的意义远不只是抢救数据这么简单.
概括的说,它可用来:(1)恢复:对丢失的数据进行恢复和重建,使数据失而复得;(2)保密技术检查:对涉密机构的信息设备进行保密技术检查,确认有无违规现象;(3)技术检测:对追回的失控设备(比如被抢、被盗、丢失的存储设备)进行技术检测,确认失控设备中的信息有无非法访问记录、有无泄密事件发生;(4)安全销毁:对需要清除的信息进行安全销毁,使之不可恢复;(5)窃密:对敌方或竞争对手进行窃密;(6)取证:计算机犯罪、违规取证;(7)教育:保密宣传教育;(8)信息对抗及信息战.
事实上,抢救恢复是信息安全体系中重要的一环,伴随2006年第2期(总第62期)信息网络安全信息全生命周期.
目前一个普遍存在的观点就是认为黑客攻击系统的目标已经从最初的技术挑战,转而为赢利目的.
那么,黑客必然要关心所入侵系统的关键数据.
一般大家关注的都是可见信息的泄密,而不太重视不可见信息的泄密,事实上,对党、政、军和重要部门、企业来说,不仅要注意防止可见信息的泄密,更要防止不可见信息的泄密.
如现在涉密单位都要求内外网物理隔离,但限于技术和观念的原因,往往会出现以下一些误区:误区1:办公信息都存储在移动硬盘中,办公计算机联网(内部局域网)就安全了.
误区2:将办公计算机硬盘中的涉密信息删除,重新格式化、重新分区,重装系统,安装必要的防病毒软件、防火墙等,然后联网,就安全了.
误区3:将移动存储设备中的涉密文件删除后,插入到接入Incernec的机器中拷贝数据,就安全了.
误区4:将不再使用的计算机中存储的文件删除后,计算机就可以报废或处理掉.
误区5:将涉密文件采用加密处理后通过Interner进行传输就安全了.
事实上,单纯这么处理,是远远不够的.
不仅仅是这种有意删除的文件,其他各种原因造成的不可见文件,如系统软硬件故障、BuG、死机、病毒破坏、断电、黑客攻击、木马破坏、误操作、磁盘阵列失效、磁盘电路板损坏、盘体坏、磁道坏、磁盘内部损坏,重分区、重格式化、口令遗失、文档错乱、临时文件、中间文件等,通过技术手段,几乎都是可以恢复的.
如果我们将信息载体丢弃,或联网,或不到军队指定单位进行信息恢复,都可能导致信息泄密或被窃取.
如闪存偷窥者,会自动监视插入usB口的u盘,在后台悄悄地打包,然后利用空闲地带宽将打包的闪存镜像传送到预设的机器中,完成数据窃取.
3.
抢救恢复技术研究现状抢救恢复技术,是近20年发展起来的一门新兴技术,在国内只有近十年的历史.
该技术通过直接对存储设备底层信息进行一定的操作而找回数据.
既包括无意丢失的数据,也包括遭到有意破坏而丢失的数据.
它的工作对象包括软盘、硬盘、磁带、光盘、移动存储设备、数码存储设备、MP3、录音笔、工控设备、嵌入式设备,以用各种操作系统下的多种组合存储方式如RAID、NAs、sAN等.
当前国际上数据恢复技术主要有:软恢复(文件系统问题)、硬恢复(硬件问题)、大型数据库系统、异型系统的数2006年第2期(总第62期)56技术研究据恢复、数据覆盖后的恢复.
其中软恢复指的是存储系统,或操作系统,或文件系统层次上的数据丢失.
对于一般文件系统来说,这方面的研究工作起步较早,国内外研究的都比较深,尤其以我单位为龙头.
这方面的主要难点是:文件碎片的恢复处理、文档修复和密码恢复.
硬恢复指的是由于硬件故障所造成的数据丢失,如磁盘电路板损坏、盘体坏、磁道坏、磁盘片损坏、硬盘内部系统区严重损坏等,这种情况几乎都会出现系统不认盘或认盘困难等症状,恢复起来难度较大,如果是内部盘片数据区严重划伤,会造成数据彻底丢失,而无法恢复数据.
大型数据库系统往往存储着一些非常重要的数据,其组成复杂,一般都有较完善的保护措施,所以一般不会出现小问题,只要出现问题,基本上都是较难处理的问题,恢复的难度较大.
典型的大型数据库系统主要是sQLserver,Informix,sybase,oracle币口IBMuDB/DB2等.
异型操作系统的数据恢复,指的是不常用的,比较少见的操作系统下的数据恢复,如MAc、os2、嵌入式系统、手持系统、实时系统等.
数据被覆盖后,再要恢复的话,难度非常大,这与其他四类数据恢复有着质的区别,目前只有个别硬盘厂商及少数几个国家的特殊部门能够做到,它的应用,一般都与国家安全有关.
据说美国军方可以恢复覆盖6~9次的数据,俄罗斯可以恢复覆盖3~4次的数据,IBM自己耗资6亿美元的研究成果是可以恢复覆盖2~3次的数据,由于这些都涉及到国家核心机密,具体的细节和可靠性都尚不可知,不过,通过日本对涉密载体要求必须低级格式化6—9次方可回收,也间接的说明了这一问题的重要性.
任何单位或部门,要想系统安全稳定可靠运行,都需要不断对系统进行监视,制定详细可行的技术预案,以应对各种突发情况.
目前有一些不正确的思想,如认为配备了安全产品就意味着安全了.
其实,任何一种安全产品都只能在某种环境和条件下发挥安全作用,而安全技术是不断发展的,安全漏洞也会不断地被发现,因此安全产品的配置虽然可以降低安全风险,但不能完全消除安全风险.
安全产品靠人来操作、使用和管理,人员的安全意识、安全素质显得十分重要.
信息网络安全因此,安全要做到人、技术和管理相结合.
另外对于安全产品,也要有正确的认识,不能认为安全产品通过安全测评就一定安全.
安全测评是对产品具有的安全功能进行评测,但它受到测评机构当时的技术水平和测评设备的先进程度的限制,至于产品在设计上和工程实践中存在的先天不足,测评机构未必能分析出来.
从对引进的安全产品的分析来看,工程实践上的安全漏洞不能靠安全功能的测评来发现.
因此,对安全产品的安全性也要有一定的警惕性.
总之,信息安全要靠技术,更要靠管理,要把技术和管理相结合,以人为本,提高安全意识,从体系上对数据进行保护,建立符合安全本身动态、发展规律的机制,才能增强信息安全的保障.
事实上,没有绝对可靠的系统,无论存储系统设计的多么可靠,备份措施如何完备,都不能保证数据的绝对可靠,举一个典型的实例来说明这个问题.
如图4所示,在一个典型的应用中,主服务器磁盘阵列失效,致使数据库系统出现问题,操作中又导致从服务器数据库损坏,从而导致整个系统无法运行,业务中断,此时,备份载入是无能为力的.
后经我们的数据恢复专家进行抢救,通过对组成磁盘阵列已经被打散为独立磁盘的硬盘进行底层技术操作,将数据全技术研究部恢复.
所以说,数据恢复是信息安全的最后一道防线,防止数据泄密亦然.
图4典型系统失效数据安全管理是一个系统工程,其环节缺一不可.
任何时候,备份重要数据都是防止数据丢失的重要途径,也是最可行的途径,目前国外主要国家的系统备份已经达到85%以上,而在国内,有完整备份方案和设备的尚不足10%.
抢救恢复有其自身的地位和作用,两者应用在不同的领域,相互之间有互补关系,但绝无替代关系.
相对来说,抢救恢复涉及的领域更为宽广,掌握了这一基础技术,在其上建立的各种存储形式,都只是表现方式不一样而已,所以,更是一个值得关注的研究方向.
确切地说,抢救恢复是一项基础技术,它的应用,还远远没有达到其应有的高度,如何保护信息系统,发展可信计算,打击日益猖獗的计算机犯罪等.
(上接49页)本信息管理系统共享的.
这样,即使有怀有恶意的人截获了该病毒样本包,也没有办法得到病毒活动信息和样本,只有通过病毒样本信息管理系统才能得到密钥解开压缩包,查看其中的内容.
生成病毒样本包后,工作会交给系统安全子模块来保证系统不会因病毒攻击而崩溃.
3.
系统安全子模块主要负责清除经分析后的病毒.
系统在以下几个区域清除病毒:1)通过killtask将该进程在内存中杀死.
2)将该文件与系统文件列表比较,如果是系统文件,则检查其md5校验码,如果不正确,则使用备用的系统文件替换:如果不是系统文件,则将其删除.
3)使用备份的注册表将注册表还原.
病毒样本传输模块打开一个传输格式为soAP的HTTP通道,通过远程调用病毒样本信息管理系统中的接口,将病毒样本包传递到远程主机.
病毒样本接收模块该模块可分为两个子模块:571.
传输监视模块打开Remoting所需的传输格式为soAPHTTP通道,等待远程调用.
远程调用完成后抛出需要病毒样本重组的消息.
2.
病毒样本重组模块当该模块收到需要病毒样本重组的消息后,从压缩包中读取解压密码,用共享密钥得到真正的解压密钥,然后解开压缩包将病毒活动信息和样本通过告警等方式以可读的方式显示给病毒研究人员.
系统实现本系统使用c#作为开发语言,系统运行的操作系统环境为Microsoftwindows系列,需要安装NetFramework.
本系统使用了向导的方式来引导客户执行各种日常操作.
在运行过程中需要调用外部病毒查杀软件作病毒扫描以获取日志:调用winRAR获取RAR等不公开格式压缩包中的病毒文件.
在监测过程中还可以安装一些已知的具有漏洞的应用软件来吸引病毒的攻击,如MicrosoftIIs,MicrosoftsQLserver等.
为了获得最好的监测和病毒样本采集效果,安装有本系统的蜜罐应广泛置于各大网络中,管理系统和数据库则应置于局域网内,以避免来自于Internet的矗接攻击.
二2∞6年第2期(总第62期)