互聯(lián)網(wǎng)網(wǎng)絡(luò)信息安全中的災(zāi)難恢復(fù)技術(shù)

1、互聯(lián)網(wǎng)網(wǎng)絡(luò)信息安全中的災(zāi)難恢復(fù)技術(shù)一、災(zāi)難恢復(fù)的定義災(zāi)難恢復(fù)( (DisasterRecovery)DisasterRecovery)就是將信息系統(tǒng)從災(zāi)難造成的故障或癱瘓狀態(tài)恢復(fù)到可正常運(yùn)行狀態(tài)， 并將其支持的業(yè)務(wù)功能從災(zāi)難造成的不正常狀態(tài)恢復(fù)到可接受狀態(tài)， 而設(shè)計的活動和流程。 災(zāi)難恢復(fù)所需的時間是災(zāi)難恢復(fù)中最關(guān)鍵的性能指標(biāo)。災(zāi)難恢復(fù)系統(tǒng)是為了保障計算機(jī)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)在發(fā)生災(zāi)難的情況下，能夠迅速地得以恢復(fù)到原來狀態(tài)而特意建立的一整套完整的系統(tǒng)， 它包括備份運(yùn)行系統(tǒng)、可重置路由的數(shù)據(jù)通信線路、電源以及數(shù)據(jù)備份等。止匕外，災(zāi)難恢復(fù)系統(tǒng)的制定還應(yīng)該包括對該系統(tǒng)的測試和對使廂人員的培訓(xùn)， 這將有助于

2、參與災(zāi)難恢復(fù)系統(tǒng)的人們能夠更好地對災(zāi)難的發(fā)生作出合理的反應(yīng)。二、災(zāi)難恢復(fù)的種類按照數(shù)據(jù)恢復(fù)范圍的大小，保護(hù)緩沖區(qū)免受緩?fù)ǔ？梢苑譃槿悾阂活愂莻€別文件恢復(fù)，另一類是全盤恢復(fù)，還有一類是重定向恢復(fù)。個別文件恢復(fù)。如果系統(tǒng)受到的破壞不是很嚴(yán)重，或者是攻擊剛剛開始就被阻止，攻擊造成的破壞僅僅是小部分范圍，就可以實施個別文件恢復(fù)。針對受損的個別文件，只需瀏覽備份數(shù)據(jù)庫的目錄，找到該文件，觸發(fā)系統(tǒng)的恢復(fù)功能，恢復(fù)軟件將可以自動恢復(fù)指定的文件。全盤恢復(fù)。全盤恢復(fù)一般用在服務(wù)器發(fā)生意外災(zāi)難導(dǎo)致數(shù)據(jù)全部丟失、 系統(tǒng)崩潰或是有計劃的系統(tǒng)升級、 系統(tǒng)重組等情況， 也稱為系統(tǒng)恢復(fù)。重定向恢復(fù)。重定向恢復(fù)是將備份的文

3、件恢復(fù)到另一個不同的位置或系統(tǒng)上去，而不是進(jìn)行備份操作時它們當(dāng)時所在的位置。重定向恢復(fù)可以是對整個系統(tǒng)進(jìn)行恢復(fù)，也可以是針對個別受損文件單獨進(jìn)行恢復(fù)。三、災(zāi)難恢復(fù)的步驟1 1 . .切斷入侵者的訪問途徑這個步驟的目的是要阻止入侵者繼續(xù)入侵，避免入侵者對系統(tǒng)造成更嚴(yán)重的破壞。 如果在恢復(fù)過程中沒有切斷入侵者的訪問途徑， 入侵者就可能干擾并破壞恢復(fù)工作，導(dǎo)致恢復(fù)操作失敗。2 2 . .復(fù)制一份被侵入的系統(tǒng)在進(jìn)行入侵分析之前，先備份被入侵過的系統(tǒng)，保留一份原始的入侵?jǐn)?shù)據(jù)和記錄，以便作分析。如果將來決定要對入侵行為進(jìn)行法律訴訟，這些數(shù)據(jù)也將成為有力的證據(jù)。在必要的時候，可以將這些數(shù)據(jù)存檔。3 3 .

4、.分析入侵途徑通過對入侵途徑的分析，可以了解到入侵者進(jìn)入系統(tǒng)的手段，知道系統(tǒng)目前存在的安全漏洞，從而為今后的系統(tǒng)修補(bǔ)打下基礎(chǔ)。入侵途徑的分析，有助于管理員發(fā)現(xiàn)入侵者留下的“后門”和對系統(tǒng)的改動。 這些信息對于評估系統(tǒng)的受損程度有著重要的意義。4 4 . .遺留物分析遺留物主要是入侵者在系統(tǒng)中留下的攻擊痕跡，如“后門”馬程序、被篡改的文件等。(1)(1)檢查入侵者對系統(tǒng)軟件和配置文件的修改。 在檢查入侵者對系統(tǒng)軟件和配置文件的修改時， 必須要記住的是所使用的校驗工具本身可能已經(jīng)被入侵者修改過，操作系統(tǒng)的內(nèi)核也可能被修改了。用這些被修改過的工具、系統(tǒng)內(nèi)核檢測是不安全的，因此，最好甩一個可信的內(nèi)核去

5、啟動系統(tǒng)，然后使用一個靜態(tài)連接的干凈系統(tǒng)和工具來進(jìn)行檢測。(2)(2)檢查被修改的數(shù)據(jù)。 為了以后再次入侵， 或者是達(dá)到入侵的某種目的，入侵者通常會修改系統(tǒng)中的數(shù)據(jù)和文件，所以要對 WebWeb 頁面文件、存檔文件、用戶目錄下的文件以及其他文件進(jìn)行校驗， 以免遺留下入侵者特意留下的特洛伊木馬和“后門”。(3)(3)檢查入侵者留下的文件和數(shù)據(jù)。 入侵者一般會在系統(tǒng)中留下以下種類的文件：網(wǎng)絡(luò)監(jiān)聽工具。 網(wǎng)絡(luò)監(jiān)聽工具就是監(jiān)視和記錄網(wǎng)絡(luò)行為的一種攻擊程序。入侵者通常會使用網(wǎng)絡(luò)監(jiān)聽工具來獲得網(wǎng)絡(luò)上使用明文進(jìn)行傳輸?shù)挠脩裘兔艽a。特洛伊木馬。入侵者通常利用特洛伊木馬程序隱藏自己的行為，以獲得用戶名和密碼數(shù)

6、據(jù)，建立“后門”，方便自己將來再次入侵系統(tǒng)。安全缺陷攻擊程序。系統(tǒng)運(yùn)行存在安全缺陷的軟件是系統(tǒng)被侵入的一個主要原因。入侵者經(jīng)常會使用一些針對安全缺陷的攻擊工具來獲得對系統(tǒng)的非法訪問權(quán)限，這些工具經(jīng)常會留在系統(tǒng)中某個隱蔽的目錄里。一是為了隱藏自己的攻擊行為，二是為下次的入侵做準(zhǔn)備，因此，對于隱藏目錄下的不明程序要特別留意?！昂箝T”?！昂箝T”程序?qū)⒆约弘[藏在被侵入的系統(tǒng)中，入侵者通過它就可以繞開系統(tǒng)正常的驗證，不必使用安全缺陷攻擊程序就進(jìn)入系統(tǒng)。其他工具。入侵者可能還會留下其他入侵工具，這些工具包括系統(tǒng)安全缺陷探測工具、系統(tǒng)漏洞掃描工具、對站點發(fā)起大規(guī)模探測的腳本程序、發(fā)起拒絕服務(wù)攻擊的工具、使用

7、被侵入主機(jī)計算機(jī)網(wǎng)絡(luò)資源的程序等。入侵工具或程序留下的日志文件，其中包含著入侵工具的入侵日志等信息，例如 PingPing 通過了哪個端口，哪個用戶的登錄賬號是空密碼等。(4)(4)檢查網(wǎng)絡(luò)監(jiān)聽工具。 入侵者侵入系統(tǒng)后， 為了獲得用戶名和密碼信息，一般會在系統(tǒng)上安裝一個網(wǎng)絡(luò)臟聽程序。對于 NTNT 系統(tǒng)，入侵者則通常會打開另外的端口， 用遠(yuǎn)程管理程序?qū)崿F(xiàn)監(jiān)聽的目的。 要判斷系統(tǒng)是否被安裝了網(wǎng)絡(luò)監(jiān)聽工具，首先要看當(dāng)前是否有網(wǎng)絡(luò)接口處于混雜( (PtomiscuousPtomiscuous 膜式。如果任何網(wǎng)絡(luò)接口處于混雜模式，就表示可能系統(tǒng)被安裝了網(wǎng)絡(luò)監(jiān)聽程序。 不過一些合法的網(wǎng)絡(luò)監(jiān)聽程序和協(xié)議分析程序也會把網(wǎng)絡(luò)接口設(shè)置為混雜模式，因此，檢測到系統(tǒng)處于混雜模式后，還要找出使用該設(shè)備的系統(tǒng)進(jìn)程。5 5 . .評估入侵影響，重建系統(tǒng)以上所有對入侵的分析，都是為了對入侵行為給系統(tǒng)造成的影響進(jìn)行恰當(dāng)?shù)卦u估， 從而決定應(yīng)采取哪些措施來恢復(fù)和重建系統(tǒng)。 單純的恢復(fù)或重建系統(tǒng)相對來說要容易一些， 只要按照上述步驟操作， 抹掉入侵者的入侵痕跡、途徑，修補(bǔ)好系統(tǒng)安全隱患，重新試運(yùn)行系統(tǒng)，或者重新安裝系統(tǒng)后有針對性地進(jìn)行新的安全配置就可以了。一般來說，在系統(tǒng)重建之后，往往要先試運(yùn)行一段時間，以判斷新系統(tǒng)是否已經(jīng)足夠安全。6 6 . .清理遺留，