|
数据灾难恢复
保护企业的商业信息
由于经济全球化的影响,消费者的生活方式产生了很大变化,在服装行业,消费者对服装的个性化、多样化、差别化要求更高。在竞争激烈、创新领先的服装市场上,服装企业的设计图纸、照片、财务数据、发展计划等商业机密决定着企业的兴衰。
随着社会信息化程度的提高,服装企业的研发、设计、生产等流程应用了相应的信息系统。服装企业的商业机密也随着信息化应用的提高,多以数据信息的形式存在于企业计算机中。数据信息作为传统纸质信息的信息化载体,具有容易复制、传输方便和形态多样的特点,在企业中得到了广泛的应用。但是,数据信息容易获取的特性,使服装企业商业机密泄露屡见不鲜。
目前信息安全事件的主谋已经不再是单纯网络黑客和恶意程序,我们正面临着新的信息安全威胁,这些威胁来自于内部员工对重要数据信息的无意泄露和恶意窃取。我们看见过很多以下类似的情况:如某服装企业的设计师跳槽,这个企业的设计便随之泄露出去;某服装企业的市场总监跳槽,这个企业的市场发展方向便会被竞争对手掌握。甚至一个普通员工离职,也会造成该企业相当大部分的资源流失。
前不久,信息系统事业部的顾问接到了这样一个电话---某服装生产企业的负责人来电咨询:企业一位中高管人员离职后发现公司的文件服务器中有大量的文件删除痕迹,但是无从考证那些文件被删除了,同时怀疑该人员进行了文件拷贝携带离职,咨询有无办法查询到被删除和拷贝的文件名称及内容?经过我们初步了解,该企业缺乏针对文件、服务器、共享问件夹的规范管理,才导致出现类似事件,通过对删除文件的数据恢复我们只大致掌握了被删除的文件内容,但是拷贝出去的文件已经无法追查。是否会对企业造成损失、能造成多大损失也无法评估。
服装行业竞争激烈,一方面,作为服装企业而言,市场运作、公司章程等日常办公文档都是专门量身打造制定的,企业要求内部的文档一页纸都不要泄露到外部。另一方面,服装企业拥有众多门店,门店的销售数据等资料也非常重要,所以大多服装企业都要求对销售数据强加保护。还有,服装企业每季度或者半年有一次企业的订货会,订货会上的各类信息无论对于品牌企业还是代理商来说,这些资料信息都是非常重要的。
如何保证信息化的商业机密安全呢?一方面要求要加强管理,做好内部人员的保密教育、法制教育,另一方面也需要配置必要的技术设备,技术和管理相结合才能相得益彰。企业应该有效控制数据信息的具体使用权限。例如:哪些人,在哪些时候,能够对数据信息进行哪些操作,这些操作权限包括阅读、拷贝、打印、转载、保存和编辑等等。真正做到全方位的管理与保护。通过该类技术的实施应用,可以有效杜绝企业内部机密信息泄漏和窃取事件的发生,保护企业的商业信息,将管理的执行力度深入到数据信息的具体应用层面,才能真正提高服装企业的信息安全管理水平,实现安全稳定的发展。
某品牌服装企业,文件恶意删除、拷贝的事件后,他们邀请信息系统专家顾问小组对企业进行了一次全方位的信息系统诊断,后续为企业提供的顾问咨询方案中,不仅为企业重新梳理、制定了企业数据信息管理制度和流程,同时协助企业进行了相关技术产品的选型、使用。通过技术手段与管理制度的紧密结合,实现了企业数据信息的安全掌控与防护。现阶段企业内部的任何一个数据信息是否被授权使用,使用时间、方式,处理结果一目了然。顾问小组离开时,企业负责人由衷感慨道:“以前一点也不重视企业的数据信息管理与防护,通过这次顾问小组的服务,不仅让我们学到了更多的信息安全管理概念和方法,现在的技术管理手段更让我们在市场‘拼杀’中没有了后顾之忧。可以说亡羊补牢为时未晚啊!”
数据恢复预备知识
说到数据恢复,我们就不能不提到硬盘的数据结构、文件的存储原理,甚至操作系统的启动流程,这些是你在恢复硬盘数据时不得不利用的基本知识。即使你不需要恢复数据,理解了这些知识(即使只是稍微多知道一些),对于你平时的电脑操作和应用也是很有帮助的。
我们就从硬盘的数据结构谈起吧……
硬盘数据结构
初买来一块硬盘,我们是没有办法使用的,你需要将它分区、格式化,然后再安装上操作系统才可以使用。就拿我们一直沿用到现在的Win9x/Me系列来说,我们一般要将硬盘分成主引导扇区、操作系统引导扇区、FAT、DIR和Data等五部分(其中只有主引导扇区是唯一的,其它的随你的分区数的增加而增加)。
主引导扇区
主引导扇区位于整个硬盘的0磁道0柱面1扇区,包括硬盘主引导记录MBR(Main Boot Record)和分区表DPT(Disk Partition Table)。其中主引导记录的作用就是检查分区表是否正确以及确定哪个分区为引导分区,并在程序结束时把该分区的启动程序(也就是操作系统引导扇区)调入内存加以执行。至于分区表,很多人都知道,以80H或00H为开始标志,以55AAH为结束标志,共64字节,位于本扇区的最末端。值得一提的是,MBR是由分区程序(例如DOS 的Fdisk.exe)产生的,不同的操作系统可能这个扇区是不尽相同。如果你有这个意向也可以自己去编写一个,只要它能完成前述的任务即可,这也是为什么能实现多系统启动的原因(说句题外话:正因为这个主引导记录容易编写,所以才出现了很多的引导区病毒)。
操作系统引导扇区
OBR(OS Boot Record)即操作系统引导扇区,通常位于硬盘的0磁道1柱面1扇区(这是对于DOS来说的,对于那些以多重引导方式启动的系统则位于相应的主分区/扩展分区的第一个扇区),是操作系统可直接访问的第一个扇区,它也包括一个引导程序和一个被称为BPB(BIOS Parameter Block)的本分区参数记录表。其实每个逻辑分区都有一个OBR,其参数视分区的大小、操作系统的类别而有所不同。引导程序的主要任务是判断本分区根目录前两个文件是否为操作系统的引导文件(例如MSDOS或者起源于MSDOS的Win9x/Me的IO.SYS和MSDOS.SYS)。如是,就把第一个文件读入内存,并把控制权交予该文件。BPB参数块记录着本分区的起始扇区、结束扇区、文件存储格式、硬盘介质描述符、根目录大小、FAT个数、分配单元(Allocation Unit,以前也称之为簇)的大小等重要参数。OBR由高级格式化程序产生(例如DOS 的Format.com)。
文件分配表
FAT(File Allocation Table)即文件分配表,是DOS/Win9x系统的文件寻址系统,为了数据安全起见,FAT一般做两个,第二FAT为第一FAT的备份, FAT区紧接在OBR之后,其大小由本分区的大小及文件分配单元的大小决定。关于FAT的格式历来有很多选择,Microsoft 的DOS及Windows采用我们所熟悉的FAT12、FAT16和FAT32格式,但除此以外并非没有其它格式的FAT,像Windows NT、OS/2、UNIX/Linux、Novell等都有自己的文件管理方式。
目录区
DIR是Directory即根目录区的简写,DIR紧接在第二FAT表之后,只有FAT还不能定位文件在磁盘中的位置,FAT还必须和DIR配合才能准确定位文件的位置。DIR记录着每个文件(目录)的起始单元(这是最重要的)、文件的属性等。定位文件位置时,操作系统根据DIR中的起始单元,结合FAT表就可以知道文件在磁盘的具体位置及大小了。在DIR区之后,才是真正意义上的数据存储区,即DATA区。
数据区
DATA虽然占据了硬盘的绝大部分空间,但没有了前面的各部分,它对于我们来说,也只能是一些枯燥的二进制代码,没有任何意义。在这里有一点要说明的是,我们通常所说的格式化程序(指高级格式化,例如DOS下的Format程序),并没有把DATA区的数据清除,只是重写了FAT表而已,至于分区硬盘,也只是修改了MBR和OBR,绝大部分的DATA区的数据并没有被改变,这也是许多硬盘数据能够得以修复的原因。但即便如此,如MBR/OBR/FAT/DIR之一被破坏的话,也足够咱们那些所谓的DIY老鸟们忙乎半天了……需要提醒大家的是,如果你经常整理磁盘,那么你的数据区的数据可能是连续的,这样即使MBR/FAT/DIR全部坏了,我们也可以使用磁盘编辑软件(比如DOS下的DiskEdit),只要找到一个文件的起始保存位置,那么这个文件就有可能被恢复(当然了,这需要一个前提,那就是你没有覆盖这个文件……)。
硬盘分区方式
我们平时说到的分区概念,不外乎三种:主分区、扩展分区和逻辑分区。
主分区是一个比较单纯的分区,通常位于硬盘的最前面一块区域中,构成逻辑C磁盘。在主分区中,不允许再建立其它逻辑磁盘。
扩展分区的概念则比较复杂,也是造成分区和逻辑磁盘混淆的主要原因。由于硬盘仅仅为分区表保留了64个字节的存储空间,而每个分区的参数占据16个字节,故主引导扇区中总计可以存储4个分区的数据。操作系统只允许存储4个分区的数据,如果说逻辑磁盘就是分区,则系统最多只允许4个逻辑磁盘。对于具体的应用,4个逻辑磁盘往往不能满足实际需求。为了建立更多的逻辑磁盘供操作系统使用,系统引入了扩展分区的概念。
所谓扩展分区,严格地讲它不是一个实际意义的分区,它仅仅是一个指向下一个分区的指针,这种指针结构将形成一个单向链表。这样在主引导扇区中除了主分区外,仅需要存储一个被称为扩展分区的分区数据,通过这个扩展分区的数据可以找到下一个分区(实际上也就是下一个逻辑磁盘)的起始位置,以此起始位置类推可以找到所有的分区。无论系统中建立多少个逻辑磁盘,在主引导扇区中通过一个扩展分区的参数就可以逐个找到每一个逻辑磁盘。
需要特别注意的是,由于主分区之后的各个分区是通过一种单向链表的结构来实现链接的,因此,若单向链表发生问题,将导致逻辑磁盘的丢失。
数据存储原理
既然要进行数据的恢复,当然数据的存储原理我们不能不提,在这之中,我们还要介绍一下数据的删除和硬盘的格式化相关问题……
文件的读取
操作系统从目录区中读取文件信息(包括文件名、后缀名、文件大小、修改日期和文件在数据区保存的第一个簇的簇号),我们这里假设第一个簇号是0023。
操作系统从0023簇读取相应的数据,然后再找到FAT的0023单元,如果内容是文件结束标志(FF),则表示文件结束,否则内容保存数据的下一个簇的簇号,这样重复下去直到遇到文件结束标志。
文件的写入
当我们要保存文件时,操作系统首先在DIR区中找到空区写入文件名、大小和创建时间等相应信息,然后在Data区找到闲置空间将文件保存,并将Data区的第一个簇写入DIR区,其余的动作和上边的读取动作差不多。
文件的删除
看了前面的文件的读取和写入,你可能没有往下边继续看的信心了,不过放心,Win9x的文件删除工作却是很简单的,简单到只在目录区做了一点小改动——将目录区的文件的第一个字符改成了E5就表示将改文件删除了。
Fdisk和Format的一点小说明
和文件的删除类似,利用Fdisk删除再建立分区和利用Format格式化逻辑磁盘(假设你格式化的时候并没有使用/U这个无条件格式化参数)都没有将数据从DATA区直接删除,前者只是改变了分区表,后者只是修改了FAT表,因此被误删除的分区和误格式化的硬盘完全有可能恢复……
系统启动流程
各种不同的操作系统启动流程不尽相同,我们这里以Win9x/DOS的启动流程为例。
第一阶段:系统加电自检POST过程。POST是Power On Self Test的缩写,也就是加电自检的意思,微机执行内存FFFF0H处的程序(这里是一段固化的ROM程序),对系统的硬件(包括内存)进行检查。
第二阶段:读取分区记录和引导记录。当微机检查到硬件正常并与CMOS设置相符后,按照CMOS设置从相应设备启动(我们这里假设从硬盘启动),读取硬盘的分区记录(DPT)和主引导记录(MBR)。
第三阶段:读取DOS引导记录。微机正确读取分区记录和主引导记录后,如果主引导记录和分区表校验正确,则执行主引导记录并进一步读取DOS引导记录(位于每一个主分区的第一个扇区),然后执行该DOS引导记录。
第四阶段:装载系统隐含文件。将DOS系统的隐含文件IO.SYS入内存,加载基本的文件系统FAT,这时候一般会出现Starting Windows 9x...的标志,IO.SYS将MS.SYS读入内存,并处理System.dat和User.dat文件,加载磁盘压缩程序。
第五阶段:实DOS模式配置。系统隐含文件装载完成,微机将执行系统隐含文件,并执行系统配置文件(Config.sys),加载Config.sys中定义的各种驱动程序。
第六阶段:调入命令解释程序(Command.com)。系统装载命令管理程序,以便对系统的各种操作命令进行协调管理(我们所使用的Dir、Copy等内部命令就是由Command.com提供的)。
第七阶段:执行批处理文件(Autoexec.bat)。微机将一步一步地执行批处理文件中的各条命令。
第八阶段:加载Win.com。Win.com负责将Windows下的各种驱动程序和启动执行文件加以执行,至此启动完毕。
数据恢复的基础知识到此就给你介绍得差不多了。如果你领会了以上的这些知识,相信加上工具软件的辅助,恢复你丢失的数据简直是轻而易举,这里就不再多说,我们走入真正的实战操作吧……
国企首创政府机关数据恢复问题解决方案
张子伟是苏州某电子公司电脑维护员, 2007年10月10日,张子伟通过单位电脑,侵入了上海某公司的计算机信息系统,直接登陆对方服务器共享里面的资源,先备份该系统服务器上D盘、E盘上的全部数据,再将原系统上的备份数据予以删除,然后要求对方将索要的钱直接打入他农行卡账户,并威胁如钱不到,备份资料就将被销毁。
“网上黑客远程入侵,删除数据勒索钱财”的案例不再是国外黑客的专利,不法分子通过网络远程攻击任意单位的计算机系统,然后对数据进行备份,再删除该单位电脑备份数据,以此向受害单位索要钱款。
在网络危机重重的今天,如何才能不受制于人,把握数据的绝对主动权?很明显运用“数据备份”的方式已经不能保全数据的完整性,不管是外人入侵还是内部硬件保障或者人员误操作,都将导致数据的丢失,而数据恢复这种事后唯一的补救措施,显得尤其重要。
每年美国数据丢失所造成的损失约在 1800 亿美元到 2000 亿美元之间。许多网络犯罪人已经可以成功地避过防火墙等边界网络安全措施。各国政府数据已经被黑客入侵、人为误删除、病毒等问题困绕,数据恢复成为一个不可或缺的保护项。
电子政务面临潜在破坏和攻击
电子政务涉及对国家机密和敏感度高的核心政务信息的保护、涉及到维护社会公共秩序和行政监管的准确实施、涉及到为企业和公民提供公共服务的质量保证。
在电子政务系统中,政府机关的公文往来、资料存储、服务提供都以电子化的形式来实现。然而,电子政务一方面的确可以提高办公效率、精简机构人员、扩大服务内容、提升政府形象,另一方面也为某些居心不良者提供了通过技术手段窃取重要信息的可能。电子政务是政府有效开展管理、服务和决策的重要手段之一,必然会遭遇到国内外不法分子的破坏和攻击。
此外,电子政务系统是基于互联网平台的,从技术角度来说,互联网是存在许多不安全因素的全球性网络,对国外不法势力的恶意攻击和破坏还缺少相关国际法,打击跨国网络犯罪难度很大。因此,开展电子政务所面临的网络安全问题非常突出,必须建立完善的电子政务数据信息安全体系。
规避安全风险十大要点
时间就是金钱,对于一般的企业来说,时间是远远不够的。本文中安全专家将分享他们使用最小的资源来减轻信息安全风险的好方法。
保护我们的中小企业的最好的方法是什么?
不像大企业,它们雇用擅长于某一方面特定安全规则的IT专家。小公司的安全角色经常需要一些能够扮演“全能安全专家”的人。这种粗糙的方法必然最大化了安全风险,所以一个小组可以真正和有效的为一整个组织风险管理安全,也许是兼职的。
不像大的公司,中小企业很少有员工专注于信息安全,大部分完全依靠顾问或者厂商。中小企业平均花费很少资源来保证安全。“我们遇到的典型的小公司告诉我们它们花费IT预算的3%到5%在安全上,”CJ Desal说,他是Symantec的高级产品经理。比较而言,根据Forrester Research的报告,企业平均花费它们IT预算的8%在安全上。
就像以上数据表明的那样,许多中小企业缩减安全预算。Small Business Technology Institute的研究表明,1/5的小公司(1-100个雇员)没有足够的恶意软件保护措施,大部分没有任何安全策略,许多公司只是在灾难发生后才制定相应计划。然而中小企业和大公司面对恶意软件攻击的危险性是一样的。
考虑到各种各样的危险,包括可用时间,资源和安全专家的不足,中小企业需要一个行动计划,它强调了他们今天需要集中面对的安全风险,使用已经存在的人力,时间和资源来减少威胁的数目。
安全专家分享了他们的十个方法来达到更快,更便宜也更容易控制的安全计划。
1. 用自动保护阻止恶意软件
保护中小企业的第一道防线是阻止和减少病毒,蠕虫,间谍软件和其他恶意软件,包括木马下载和击键记录器,无论是端点还是网关上的。相应的,为e-mail网关安装预防恶意软件和过滤软件,阻止恶意软件和垃圾邮件(它经常携带恶意软件)到达用户端的PC。为了处理这些,许多中小企业购买了所谓的统一的威胁管理程序,它在一个设备上采用多个安全技术。
但是只有网关保护是不够的。就像Randy Abrams,ESET技术教育的管理者,一个安全软件的提供者说的,“太在意目标就会错过一些东西,”所以确保在每个笔记本,桌上电脑,服务器,有可能的话包括移动设备上都安装杀毒软件套装。这样的套装也包括个人防火墙和基于主机入侵防御措施。
使用PC上的管理员权限来阻止用户删除他们的安全套装,“所以如果IM不工作,雇员不能关掉防火墙,”Ron Teixeira,国家密码安全联盟(NCSA),一个协同安全,非营利,学术和政府安全工作的组织的执行经理说。
也使用尖端反病毒技术:晚上关掉所有的PC。这不仅会阻止消耗时间,当用户重启时,“他们的操作系统可以开始扫描任何可能有的恶意东西”,他说。
2. 尽快给你的漏洞打补丁
一个有效的安全计划需要保持操作系统和应用程序都是打了补丁的。“如果不是的话你可能会导致你的其他所有机制都无效”Abrams说。目的是迅速的给PC和服务器打补丁。
什么样才叫快?如果你一年前这么问,我会说一季度就合适了。但是我看到的更多的是每月都有变化,越来越多的厂商都是这样--不只是微软--每个月都发布补丁。但是,我们需要做决定,“你不能把一切都做好,你得实际点”。相应的,搜索外部资源,比如SANS 上最容易受攻击的20个网络安全攻击目标列表,以便决定哪个漏洞需要打补丁,以什么样的顺序打补丁。
3.密码:对“Fluffy”说不
今天许多登录仍然是以密码形式,所以,“确保雇员使用有效的密码,只要有可能,使用多种认证技术,因为不管你相不相信,小公司的雇员特别愿意使用他们的名字作为登录名和密码,这对黑客和在线鉴别贼来说是很容易算出的”Teixeira说,事实上,字典攻击—自动快速使用成千上万的已知单词去猜测密码—可能在几分钟之内猜出这种密码。
这是一个简单的解决方案:让使用者避免使用真正的单词,而是使用他们记住的一个长句子的每个单词的首字母。在创建一个更好的密码一文中可获得更多相关信息。
4.定义“好的行为”(Define “Good Behavior”)
什么是可接受的行为?无论是从可行性还是法律来衡量都不可能很容易的实现,除非已经很明确的规定。
进入安全策略和规程。“用户会做愚蠢的事情,你必须有能够实施的策略,至少能够抑制一些用户准备要做的事情”。Abram说。事实上,规程告诉职员什么是需要的(每隔30天改变密码)或者是禁止的(观看成人网页)。
设置策略不需要很大代价,花费时间或者很难。例如,SANS组织的安全策略项目在网上提供30个免费的模型策略,还有一些收钱的。“Information Security Policy Made Easy”这本书和CD-ROM提供超过1350种方法。但是,不要只是添加公司的名字到空白地方。而是,在策略方面训练雇员,把策略放在共享网络驱动或内部互联网的一个显著位置,并且经常访问它们。
5.小心警惕应用软件
为了用最少的时间最大化安全性能,作为“可接受使用(acceptable use)”策略的一部分,要禁止使用者在PC上安装没有经过认证的软件。“然后实施和确保你是唯一合适使用了商业上需要的软件的人”Abrams说。
这种简单的方法改进了安全性,节省了时间。因为第三方软件很容易成为恶意软件的躲藏处,从而引起安全漏洞,并且它需要额外的时间来打补丁。此外,如果PC感染了恶意软件—它通常是很难根除的—使用标准磁盘镜像来清除和重恢复PC可以更加快捷,而不用安装额外的应用程序。
6.要准备计划
如果有些地方出了问题—在安全方面—雇员会知道怎么处理吗?“当没有IT人才每天24小时在岗的时候(这是很多中小企业的一种典型情况),人们需要相应的处理步骤,至少要有一个协调和交流的观点”Webroots Eschelbeck说。
事先计划和考虑需要时间,对于中小企业来说,这无可否认是一种很罕见的安全奢侈行为。即使这样,“制定一个紧急应对计划:预测一个成功的攻击,知道当攻击发生时怎么处理它”Abrams建议。特别的,雇员在他们的安全软件报告它们已经被恶意软件感染时他们应该向谁求助?
在计划紧急情况时,要尤其注意到法律的要求。例如,如果一个公司收集顾客的个人信息,全国有超过一半的州已经通过了一项称为数据破坏通知法案(data breach notification laws)要求公司在信息丢失,被窃,或怀疑已经被破坏时要通知所有的州居民。
7.备份是个优点
盗窃,飓风,龙卷风,破坏性的恶意软件,爆裂的管子,破坏的硬盘,电火花,生气的员工:假设数据已经备份,这些都和数据完整性无关了。当然每个人都知道他们应该备份,但是很少有人去做。因此,是由IT人士去保护这些数据。
考虑安装一个自动备份软件,为了防范物理灾难,确保最后的备份不是存储在站点上。如果要获得更方便的使用—虽然代价不低—聘请一项自动在线备份服务。
|
|
.png)
新公网安备65010202000297号