互联网网络信息安全中的灾难恢复技术
一、灾难恢复的定义
灾难恢复( Disaster Recovery)就是将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态，并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态，而设计的活动和流程。

灾难恢复所需的时间是灾难恢复中最关键的性能指标。

灾难恢复系统是为了保障计算机系统和网络系统在发生灾难的情况下，能够迅速地得以恢复到原来状态而特意建立的一整套完整的系统，它包括备份运行系统、可重置路由的数据通信线路、电源以及数据备份等。

此外，灾难恢复系统的制定还应该包括对该系统的测试和对使厢人员的培训，这将有助于参与灾难恢复系统的人们能够更好地对灾难的发生作出合理的反应。

二、灾难恢复的种类
按照数据恢复范围的大小，保护缓冲区免受缓通常可以分为三类：一类是个别文件恢复，另一类是全盘恢复，还有一类是重定向恢复。

个别文件恢复。

如果系统受到的破坏不是很严重，或者是攻击刚刚开始就被阻止，攻击造成的破坏仅仅是小部分范围，就可以实施个别文件恢复。

针对受损的个别文件，只需浏览备份数据库的目录，找到该文件，触发系统的恢复功能，恢复软件将可以自动恢复指定的文件。

全盘恢复。

全盘恢复一般用在服务器发生意外灾难导致数据全
部丢失、系统崩溃或是有计划的系统升级、系统重组等情况，也称为系统恢复。

重定向恢复。

重定向恢复是将备份的文件恢复到另一个不同的位置或系统上去，而不是进行备份操作时它们当时所在的位置。

重定向恢复可以是对整个系统进行恢复，也可以是针对个别受损文件单独进行恢复。

三、灾难恢复的步骤
1．切断入侵者的访问途径
这个步骤的目的是要阻止入侵者继续入侵，避免入侵者对系统造成更严重的破坏。

如果在恢复过程中没有切断入侵者的访问途径，入侵者就可能干扰并破坏恢复工作，导致恢复操作失败。

2．复制一份被侵入的系统
在进行入侵分析之前，先备份被入侵过的系统，保留一份原始的入侵数据和记录，以便作分析。

如果将来决定要对入侵行为进行法律诉讼，这些数据也将成为有力的证据。

在必要的时候，可以将这些数据存档。

3．分析入侵途径
通过对入侵途径的分析，可以了解到入侵者进入系统的手段，知道系统目前存在的安全漏洞，从而为今后的系统修补打下基础。

入侵途径的分析，有助于管理员发现入侵者留下的“后门”和对系统的改动。

这些信息对于评估系统的受损程度有着重要的意义。

4．遗留物分析
遗留物主要是入侵者在系统中留下的攻击痕迹，如“后门”、木马程序、被篡改的文件等。

(1)检查入侵者对系统软件和配置文件的修改。

在检查入侵者对系统软件和配置文件的修改时，必须要记住的是所使用的校验工具本身可能已经被入侵者修改过，操作系统的内核也可能被修改了。

用这些被修改过的工具、系统内核检测是不安全的，因此，最好甩一个可信的内核去启动系统，然后使用一个静态连接的干净系统和工具来进行检测。

(2)检查被修改的数据。

为了以后再次入侵，或者是达到入侵的某种目的，入侵者通常会修改系统中的数据和文件，所以要对Web 页面文件、存档文件、用户目录下的文件以及其他文件进行校验，以免遗留下入侵者特意留下的特洛伊木马和“后门”。

(3)检查入侵者留下的文件和数据。

入侵者一般会在系统中留下以下种类的文件：
网络监听工具。

网络监听工具就是监视和记录网络行为的一种攻击程序。

入侵者通常会使用网络监听工具来获得网络上使用明文进行传输的用户名和密码。

特洛伊木马。

入侵者通常利用特洛伊木马程序隐藏自己的行为，以获得用户名和密码数据，建立“后门”，方便自己将来再次入侵系统。

安全缺陷攻击程序。

系统运行存在安全缺陷的软件是系统被侵入的一个主要原因。

入侵者经常会使用一些针对安全缺陷的攻击工具
来获得对系统的非法访问权限，这些工具经常会留在系统中某个隐蔽的目录里。

一是为了隐藏自己的攻击行为，二是为下次的入侵做准备，因此，对于隐藏目录下的不明程序要特别留意。

“后门”。

“后门”程序将自己隐藏在被侵入的系统中，入侵者通过它就可以绕开系统正常的验证，不必使用安全缺陷攻击程序就进入系统。

其他工具。

入侵者可能还会留下其他入侵工具，这些工具包括系统安全缺陷探测工具、系统漏洞扫描工具、对站点发起大规模探测的脚本程序、发起拒绝服务攻击的工具、使用被侵入主机计算机网络资源的程序等。

入侵工具或程序留下的日志文件，其中包含着入侵工具的入侵日志等信息，例如Ping通过了哪个端口，哪个用户的登录账号是空密码等。

(4)检查网络监听工具。

入侵者侵入系统后，为了获得用户名和密码信息，一般会在系统上安装一个网络脏听程序。

对于NT系统，入侵者则通常会打开另外的端口，用远程管理程序实现监听的目的。

要判断系统是否被安装了网络监听工具，首先要看当前是否有网络接口处于混杂( Ptomiscuous)摸式。

如果任何网络接口处于混杂模式，就表示可能系统被安装了网络监听程序。

不过一些合法的网络监听程序和协议分析程序也会把网络接口设置为混杂模式，因此，检测到系统处于混杂模式后，还要找出使用该设备的系统进程。

5．评估入侵影响，重建系统
以上所有对入侵的分析，都是为了对入侵行为给系统造成的影响进行恰当地评估，从而决定应采取哪些措施来恢复和重建系统。

单纯的恢复或重建系统相对来说要容易一些，只要按照上述步骤操作，抹掉入侵者的入侵痕迹、途径，修补好系统安全隐患，重新试运行系统，或者重新安装系统后有针对性地进行新的安全配置就可以了。

一般来说，在系统重建之后，往往要先试运行一段时间，以判断新系统是否已经足够安全。

6．清理遗留，恢复系统
这一步是针对上面第四步来进行的。

对前面分析出来的入侵者遗留下来的入侵痕迹要全部清理掉，以免给系统遗留下安全隐患。

尤其是入侵者留下的入侵工具、“后门”和特洛伊木马，不清理掉，入侵者很容易就可以通过这些遗留的工具再次进入系统，实施破坏行为。