[精选]信息安全管理讲义.pptx
《[精选]信息安全管理讲义.pptx》由会员分享,可在线阅读,更多相关《[精选]信息安全管理讲义.pptx(66页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、信息安全管理二信息安全管理二一、容灾与数据备份一、容灾与数据备份容灾就是减少灾难事件发生的可能性以及限制灾难对关键业务流程所造成的影响的一整套行为。容灾的目的和实质就是保持信息系统的业务持续性,将灾难损失降到可容忍的范围。容灾方案需要考虑的要点:灾难的类型恢复时间恢复程度实用技术成本容灾等级容灾等级第0级本地冗余备份,投资少,技术简单,但原始数据和备份数据可能一起被毁第1级数据介质转移,数据异地存放,安全保管,但无备用系统,会丧失局部数据第2级应用系统冷备,数据异地存放,有备用系统,系统硬件冷备份,会丧失局部数据第3级数据电子传送,使用网络传输技术,自动异地备份,提高备份频率第4级应用系统温备
2、,备份系统处于活动状态,数据恢复到达小时级第5级应用系统热备,系统镜像,同步更新,灾难发生时需要人工切换,数据恢复到达分钟级第6级数据零丧失,在线实时镜像,作业动态分配,自动切换数据备份数据备份数据备份是指为了防止出现因自然灾害、硬件故障、软件错误、认为误操作等造成的数据丧失,而将全部或局部原数据集合复制到其他的存储介质中的过程。当数据丧失或被破坏时,结合其他恢复工具,原数据可以从备份数据中恢复出来。数据备份策略数据备份策略完全备份:每隔一段时间对系统进行一次全面备份增量备份:先对系统进行一次完全备份,然后每隔一段时间进行一次备份,仅仅备份在这个期间更改的内容累计备份:备份从上次进行完全备份后
3、更改的全部数据文件混合应用:设立备份周期,结合不同备份方式的特点,制定策略。备份策略设计周一:完全备份周二:增量备份周三:增量备份周四:增量备份周五:累计备份周六:增量备份周日:增量备份常用的数据备份技术常用的数据备份技术1、NAS,作为以太网文件效劳器,提供文件级数据访问2、远程镜像技术,又叫远程复制,产生同一个数据的镜像视图3、快照技术,在远程存储系统中产生多个逻辑备份4、IP SAN,建立高速子网提供高性能存储环境,可实现动态数据块存储。1、批处理命令实现备份、批处理命令实现备份固定路径的备份:md c:%date%xcopy d:1 c:%date%/e/y/c说明:Md 新建文件夹D
4、ata 当前日期XCOPY source destination 参数/y/e source 指定要复制的文件。destination 指定新文件的位置和/或名称。/e 复制目录和子目录,包括空的。/y 禁止提示以确认改写一个现存目标文件。/c 即使有错误,也继续复制。2、利用、利用SuperFlexible软件备份数据软件备份数据同步文件备份工具。用于在不同位置PC、笔记本电脑和效劳器之间备份数据或同步文件支持定时自动备份。可同步文件、支持多配置文件、检测删除的文件、支持方案运行、可用邮件通知、支持完全镜像模式备份、可安全备份数据库文件、支持备份一个文件的多个版本、支持日志、支持备份超过64
5、GB的文件。练习:练习:1、d:a与e:b之间测试各种备份方式,如完全备份、增量备份、累计备份、删除文件同步等。2、d:a与ftp:/10.144.0.19io之间测试网络备份3、根据需要制定一个适宜需求的7天的混合备份策略,并用SuperFlexible实现。数据灾难恢复数据灾难恢复数据的灾难恢复是在计算机发生意外故障时,使硬盘上的文件信息丧失的故障降到最低,为了提高灾难恢复的成功率,我们在平时使用电脑时应注意一下几点:1、重要的资料归档分类2、数据存储在硬盘分区的后面几个分区,系统盘读写频繁,容易损坏,恢复困难3、定期备份,最好能做到异地网络备份数据存储原理及硬盘分区数据存储原理及硬盘分区
6、硬盘是计算机中最重要的数据存储设备,计算机的操作系统、应用软件、驱动程序、数据资料都保存在硬盘中。硬盘的外部结构包括接口、控制电路板和外壳。硬盘接口分为IDE、SATA、SCSI和光纤通道四种。1、硬盘的内部结构、硬盘的内部结构2 2、硬盘工作原理:、硬盘工作原理:硬盘读写期间,硬盘磁头通常在硬盘盘面上进行读写数据的操作,磁头本身悬浮于盘片上方,与盘片的距离在0.3微米以内,当运行期间驱动器发生物理震动时,驱动器磁头和驱动器盘面可能会直接发生接触,从而造成数据丧失,甚至形成物理坏道,造成硬盘损坏。所以硬盘的损坏通常来自于硬盘的物理震动,发生在硬盘进行读写操作时。对于用户来说个人数据安全非常重要
7、,很多数据是不能丧失的,毫不夸张地说,硬盘上存储的数据的价值甚至要超过电脑本身。因此,“安全性理所当然地成为电脑的重点。3、硬盘分区、硬盘分区分区后将硬盘分成主引导扇区、操作系统引导扇区、FAT表、DIR目录区和Data数据区五局部。其中主引导扇区MBR在一个硬盘中是是唯一的,MBR区的内容只有在硬盘启动时才读取其内容,然后驻留内存。其它4局部则根据硬盘分区的多少而异。主引导扇区MBR位于整个硬盘的0磁道0柱面1扇区,包括硬盘主引导记录MBRMain Boot Record和分区表DPTDisk Partition Table。其中主引导记录的作用就是检查分区表是否正确以及判别哪个分区为可引导
8、分区,并在程序结束时把该分区的启动程序也就是操作系统引导扇区调入内存加以执行。操作系统引导扇区OBROS Boot Record,通常位于硬盘的0磁道1柱面1扇区对于多重引导方式启动的系统则位于相应的主分区/扩展分区的第一个扇区,是操作系统可直接访问的第一个扇区,它也包括一个引导程序和一个被称为BPBBIOS Parameter Block的本分区参数记录表。文件分配表FATFile Allocation Table,是DOS/Win9x系统的文件寻址系统。目录区DIR是Directory即根目录区的简写,DIR记录着每个文件目录的文件名,扩展名,起始单元这是最重要的、文件的属性,大小,创立日
9、期,修改日期等住处内容。操作系统在读写文件时,根据DIR中的起始单元,结合FAT表就可以知道文件在磁盘的具体位置,然后顺序读取每个簇的内容就可以了。数据区DATA是真正意义上的数据存储区,DATA虽然占据了硬盘的绝大局部空间,但没有了前面的各局部,它对于我们来说只能是一些没有任何意义的二进制代码。我们通常所说的格式化程序Format,并没有把DATA区的数据去除,只是重写了FAT表而已,至于硬盘分区,也只是修改了MBR和OBR,绝大局部的DATA区的数据并没有被改变,这也是许多硬盘数据能够得以修复的原因。如果你经常整理磁盘,那么你的数据区的数据可能是连续的,这样即使MBR/FAT/DIR全部坏
10、了,我们也可以使用数据恢复软件如Finaldata,只要找到一个文件的起始保存位置,就可以恢复了。硬盘分区表损毁硬盘分区表损毁 如果电脑在进行磁盘整理或者其他需要大量磁盘读写过程的操作的时候,突如其来的断电有很大可能会产生分区表损坏,造成硬盘所有分区信息丧失,无法进入操作系统,更严重的是由于FAT表被破坏,文件起始地址无法查找,所有数据都不能访问。如果硬盘数据不重要的话,只要重新分区并格式化,硬盘就可以重新使用了;但是,如果里面有比较重要的数据,怎样在保存系统和数据的情况下解决这个问题呢?我们可以用DiskMan这个软件去自动修复分区表。该软件采用图形界面,以图表的形式揭示了分区表的详细结构。
11、具有分区表重建功能,能自动恢复被破坏的分区表;还可以备份包括逻辑分区表及各分区引导记录在内的所有硬盘分区信息。常见常见Raid故障及可恢复性分析故障及可恢复性分析1、软件故障:a突然断电造成RAID磁盘阵列卡信息的丧失的数据恢复。b重新配置RAID阵列信息,导致的数据丧失恢复。c如果磁盘顺序出错,将会导致系统不能识别数据。d误删除、误格式化、误分区、误克隆、文件解密、命毒损坏等数据恢复工作。2、硬件损坏:araid一般都会有几块硬盘,其中某一块硬盘出现损坏,数据将无法读取。braid出现坏道,导致数据丧失,这种恢复成功率比较大。c如果硬盘同时出现两块以上的损坏,恢复工作非常复杂,成功率比较低。
12、RAID故障本卷须知故障本卷须知1、数据丧失后,用户千万不要对硬盘进行任何操作,将硬盘按顺序卸下来,用镜像软件将每块硬盘做成镜像文件,留下备份盘。2、不要对Raid卡进行Rebuild操作,否则会加大恢复数据的难度。3、标记好硬盘在Raid卡上面的顺序。4、一旦出现问题,可以拨打专业数据恢复中心的咨询 找专业工程师进行咨询,切忌自己试图进行修复,除非你确信自己有足够的技术和经验来处理数据风险。上海数据恢复中心上海数据恢复中心联系 :800-8199166 13818281066FinalData V2.0 超级数据恢复工具,其特性功能包括:支持FAT16/32和NTFS,恢复完全删除的数据和目
13、录,恢复主引导扇区和FAT表损坏丧失的数据,恢复快速格式化的硬盘和软盘中的数据,恢复CIH破坏的数据,恢复硬盘损坏丧失的数据,通过网络远程控制数据恢复等等。在Windows环境下删除一个文件,只有目录信息从FAT或者MFTNTFS删除。这意味着文件数据仍然留在你的磁盘上。所以,从技术角度来讲,这个文件是可以恢复的。FinalData就是通过这个机制来恢复丧失的数据的,在清空回收站以后也不例外。另外,FinalData可以很容易地从格式化后的文件和被病毒破坏的文件恢复。甚至在极端的情况下,如果目录结构被局部破坏也可以恢复,只要数据仍然保存在硬盘上。数据恢复工具数据恢复工具RecoverMyFil
14、es可根据文件类型快速恢复数据恢复步骤:1、选择分区,扫描分区目录表,检测出已删除的文件2、定义恢复文件的簇大小,1Mb256个簇3、将文件保存到其他分区数据恢复练习:数据恢复练习:1、在d:新建一个word文件,输入一些字符后保存。将这个文件删除,并清空回收站。利用finaldata 恢复这个文件到c:。利用RecoverMyFiles恢复。2、对d:进行格式化利用finaldata 恢复原来d盘的文件到c:。利用RecoverMyFiles恢复数据库创立、备份、恢复和调用数据库创立、备份、恢复和调用以SQl2000为例一、1、建立一个数据库abc,创立一个含有id和name字段的数据表12
15、3,添加几条记录 2、制作备份abc.bak,然后删除数据库abc 3、新建数据库abc,将备份复原到数据库上,查看数据表中的记录 4、建立一个定时备份的维护方案,每天23点定时备份。二、新建一个数据库,名字任意,将一个外部备份文件复原到这个数据库上。查看数据表字段,观察SQL注入攻击型态。Sqlserver数据库备份数据库备份数据库自动备份必须要启动数据库自动备份必须要启动TaskScheduler效劳效劳二、操作系统安全设置操作系统主要负责处理器管理、存储管理、文件管理、设备管理和作业管理。一般分为内核Kernel和壳Shell操作系统安全要素:用户认证存储器保护文件和I/o设备的访问控制
16、共享的实现内部进程通信同步硬件硬件硬件硬件硬件抽象层硬件抽象层硬件抽象层硬件抽象层HALHALI/OI/O管理器管理器管理器管理器微微微微 内内内内 核核核核对象对象对象对象管理器管理器管理器管理器安全引用安全引用安全引用安全引用监视器监视器监视器监视器本地过程本地过程本地过程本地过程调用程序调用程序调用程序调用程序进程进程进程进程管理器管理器管理器管理器虚拟内存虚拟内存虚拟内存虚拟内存管理器管理器管理器管理器图形设备图形设备图形设备图形设备管理器管理器管理器管理器即插即用即插即用即插即用即插即用管理器管理器管理器管理器电源电源电源电源管理器管理器管理器管理器配置配置配置配置管理器管理器管理器
17、管理器缓存缓存缓存缓存管理器管理器管理器管理器安全子系统安全子系统安全子系统安全子系统LSALSAWin32Win32子系统子系统子系统子系统其他子系统其他子系统其他子系统其他子系统PosixPosix,RASRAS登录过程登录过程登录过程登录过程WinlogonWinlogonDOSDOS客户客户客户客户Win32Win32客户客户客户客户其他客户其他客户其他客户其他客户PosixPosix,RASRASWin16Win16客户客户客户客户WOWWOWVDMVDM内内内内核核核核模模模模式式式式0 0GGBB|2 2GGB B用用用用户户户户模模模模式式式式2 2GGBB|4 4GGB BW
18、indows2000Windows2000系统结构系统结构系统结构系统结构1.1.基本功能基本功能基本功能基本功能a.a.调度线程执行调度线程执行调度线程执行调度线程执行b.b.在线程之间切换设备环境在线程之间切换设备环境在线程之间切换设备环境在线程之间切换设备环境c.c.捕获并处理中断和异常捕获并处理中断和异常捕获并处理中断和异常捕获并处理中断和异常d.d.对内核对象的管理对内核对象的管理对内核对象的管理对内核对象的管理e.e.在处理器之间负责同步在多处理器系统中在处理器之间负责同步在多处理器系统中在处理器之间负责同步在多处理器系统中在处理器之间负责同步在多处理器系统中2.2.内核进程的特性
19、内核进程的特性内核进程的特性内核进程的特性a.a.内核的执行除了中断效劳例程内核的执行除了中断效劳例程内核的执行除了中断效劳例程内核的执行除了中断效劳例程ISRISR外,不会被其他线外,不会被其他线外,不会被其他线外,不会被其他线程所抢先程所抢先程所抢先程所抢先b.b.内核的大局部代码和数据不会被调页到物理内核的大局部代码和数据不会被调页到物理内核的大局部代码和数据不会被调页到物理内核的大局部代码和数据不会被调页到物理RAMRAM之外之外之外之外3.3.内核和执行体内核和执行体内核和执行体内核和执行体对象管理器、内存管理器等统称为执行体对象管理器、内存管理器等统称为执行体的的的的关系:关系:关
20、系:关系:1.1.两者都在文件两者都在文件两者都在文件两者都在文件C:WINNTSYSTEM32NTOSKRNL.EXEC:WINNTSYSTEM32NTOSKRNL.EXE中实现中实现中实现中实现2.2.执行体具有相对较高的级别执行体具有相对较高的级别执行体具有相对较高的级别执行体具有相对较高的级别3.3.内核不能从用户模式调用,其功能是通过执行体来从用户内核不能从用户模式调用,其功能是通过执行体来从用户内核不能从用户模式调用,其功能是通过执行体来从用户内核不能从用户模式调用,其功能是通过执行体来从用户模式下访问的模式下访问的模式下访问的模式下访问的操作系统微内核操作系统微内核操作系统微内核
21、操作系统微内核名称名称模模块块所所实现实现的位置的位置模式模式何何时时被启被启动动/被加被加载载由由谁谁启启动动HAL.DLL硬件抽象层N/A系统启动时SYSTEMNTOSKRNL.EXE内核和执行体内核系统启动时SYSTEMKERNEL32.DLLWIN32子系统.DLLN/A系统启动时SYSTEMGDI32.DLLWIN32子系统.DLLN/A系统启动时SYSTEMUSER32.DLLWIN32子系统.DLLN/A系统启动时SYSTEMADVAPI32.DLLWIN32子系统.DLLN/A系统启动时SYSTEMSMSS.EXE会话管理器用户系统启动时SYSTEMWIN32K.SYSWIN3
22、2的内核模式局部内核系统启动时SMSS.EXECSRSS.EXE用户模式进程用户系统启动时SMSS.EXEWINLOGON.EXEWindows登录进程用户系统启动时SMSS.EXELSASS.EXE本地安全性鉴别子系统用户系统启动时WINLOGON.EXEMSGINA.DLL缺省GINAN/A系统启动时WINLOGON.EXESERVICES.EXE效劳控制器用户系统启动时WINLOGON.EXENTDLL.DLL支持函数和到执行体的接口NA系统启动时SMSS.EXEOS2SS.EXEOS/2子系统进程用户根据需要SMSS.EXEPSXDLL.DLLPOSIX子系统.DLLNA根据需要SMS
23、S.EXEPSXSS.DLLPOSIX子系统进程用户根据需要SMSS.EXEWindowsWindows重要的系统文件重要的系统文件重要的系统文件重要的系统文件硬件硬件硬件硬件硬件抽象层硬件抽象层硬件抽象层硬件抽象层HALHALI/OI/O管理器管理器管理器管理器微微微微 内内内内 核核核核对象对象对象对象管理器管理器管理器管理器安全引用安全引用安全引用安全引用监视器监视器监视器监视器本地过程本地过程本地过程本地过程调用程序调用程序调用程序调用程序进程进程进程进程管理器管理器管理器管理器虚拟内存虚拟内存虚拟内存虚拟内存管理器管理器管理器管理器图形设备图形设备图形设备图形设备管理器管理器管理器管
24、理器即插即用即插即用即插即用即插即用管理器管理器管理器管理器电源电源电源电源管理器管理器管理器管理器配置配置配置配置管理器管理器管理器管理器缓存缓存缓存缓存管理器管理器管理器管理器安全子系统安全子系统安全子系统安全子系统LSALSAWin32Win32子系统子系统子系统子系统其他子系统其他子系统其他子系统其他子系统PosixPosix,RASRAS登录过程登录过程登录过程登录过程WinlogonWinlogonDOSDOS客户客户客户客户Win32Win32客户客户客户客户其他客户其他客户其他客户其他客户PosixPosix,RASRASWin16Win16客户客户客户客户WOWWOWVDMV
25、DMWindows子系统与文件的对应关系子系统与文件的对应关系对应文件对应文件对应文件对应文件 NTOSKRNL.EXENTOSKRNL.EXE对应文件对应文件对应文件对应文件HAL.DLLHAL.DLLKERNEL32.DLLGDI32.DLLUSER32.DLLADVAPI32.DLLWIN32K.SYSPSXSS.DLLPSXDLL.DLLLSASS.EXE1.NT/Win2000启动所需文件:启动所需文件:a.Ntldr-这是一个隐藏的,只读的系统文件,用来装载操作系统这是一个隐藏的,只读的系统文件,用来装载操作系统b.Boot.ini-这是一个只读的系统文件,用来在基于这是一个只读的
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 精选 信息 安全管理 讲义
限制150内