数据安全及安全应急响应服务

一、磁盘数据结构

引导区病毒,感染磁盘的引导区。CIH病毒破坏时,硬盘上的数据会遭到破坏,甚至所有数据全部丢失。硬盘分区表中占64个字节。每项都有自己的意义。

关于硬盘结构的知识,已经有很多资料在网上发表,也有一些书籍涉及这方面的知识,有兴趣者请自行学习。

信息安全,是没有绝对的百分之百的安全,联邦调查局或者著名安全企业的服务器,数据也曾经失窃。微软的Windows软件,源代码都会被窃走,因此没有百分之百的安全。之所以给大家讲这个问题,这就引申出另一项工作——灾难的恢复。

一个硬盘存储的数据有结构,它的结构是什么样的？最先是MBR,是硬盘的一个扇区,然后是保留扇区。有一些分区软件,特别是非常规的,会在保留扇区当中做记录,特别是系统引导,在一台计算机上可以安装服务器系统,一般都会在保留扇区做些操作。

DBR是DOS引导扇区,它的位置在63扇,这里记录着DOS引导所需要的信息。由于这个扇区比较关键,通常会有一个备份,在第69扇区。然后依然是保留扇区,分区为FAT32的硬盘,从FAT32开始有两个表,FAT1和FAT2,它的大小在DBR有标记,有一个关键的项目。FAT1和FAT2相互备份,FAT2是FAT1的完整备份,就是说FAT1有多大,FAT2就有多大。

一般情况下操作系统能够识别的只是FAT1,FAT2不识别。就是说一块硬盘FAT1损坏了,FAT2不会被识别,操作系统不会被认可。但是一些特殊的软件,或者修改操作系统的参数,可以识别FAT2。大家要注意除了MBR扇区是独立于操作系统,剩下的并不是一定会出现的,我只是针对FAT32分区的微软的操作系统。

FAT表之后紧接是根目录表。C盘根目录的文件都会在根目录FDT里。根目录表做一些记录,建立时间、修改时间、有多大,跟FAT表相配合。我们的硬盘,比如只有一个字节的文件,在硬盘当中也是占用一个簇的空间。现在最大的支持应该是64K。经常有一些文件一个簇根本装不下。根目录当中记录的文件,第一个FDT,标号到相应的硬盘物理位置读取数据,读写完成之后会查FAT表,FAT表有一个记录,会查相应的记录位置。FAT表当中记录着这个文件的下一个文件簇在哪里。硬盘当中每簇是4K的字节,一个文件是10K,这个文件的簇会在根目录表当中,比如簇号是2,操作系统会在数据区读簇号为2的4K的数据,读写出来存到一个临时的文件当中,再根据根目录表当中标识簇号是2,再到FAT表当中查找簇号是2的标记项,比如下一个簇是第4簇,就从数据区中的第4簇再读4K的信息接在下面。这个文件是10K,现在两个4K,操作系统又会从FAT表当中,它是在第4簇的标识,又到第4簇的标识里读,看下一个簇的位置在哪里,读完了之后,记录出来一个数,比如这个数是3,一个逆向的顺序,2、4、3的顺序,再到3里读,读完之后再返回到FAT表当中,发现FAT表第3簇的位置标识着文件的节数,这样整个文件就出来了。所有的FAT结构的操作系统都是这样的工作顺序。

微软从NT构架操作系统当中开始,支持NTFS也跟FAT相类似。我们所说的FAT32,一个表占32位字节。当中包括文件读写权限,是否已经加密。

分区表中的00表示分区项。01表示这是FAT12。FAT12是在软盘当中使用的,现在只有软盘使用。05是逻辑分区。我们分区的时候一般都是这样操作,先建立一个主分区,把剩余的空间给扩展分区,扩展分区再建立逻辑盘,包括D盘、E盘、F盘之类的,逻辑盘的标识是05。06标识是FAT16,比如Windows97开始微软支持FAT32。07标识是NTFS。0B标识是FAT32。0B和0C LBA都是指FAT32。当你使用LBA这种模式对硬盘进行分区,会把分区表项建立07。0B是扩展分区。还有42,动态磁盘,Windows2000开始支持。不管是0或者5,还是1,都会是42。这种情况下,分区表就没有意义了,只是告诉操作系统,我这里面还有分区,然后把这些分区的信息放在当前需要的最后一道空间当中做标记,这个就比较困难了。现在一般的动态磁盘很少被人使用,可以在管理工具当中,资源管理器当中能够看到。紧接着常见的是82和83,82是Lieux组成区,83是交换区。Linux操作系统至少建两个分区,一个是根目录,另外一个是交换区,作为临时文件的存储。当然,一般的安全厂商或者专家都建议装Linux要做这种分区,把系统放在一个分区当中,把用户的数据,或者E-mail存储放在另外一个分区当中,这样一旦系统崩溃了,分区里还有。这也是一种安全方面的考虑

二、数据安全

数据安全包括以下几点：数据的传输安全、存储安全和数据的保密安全。传输又分逻辑传输、物理传输。逻辑传输是指某个文件信息的共享,在传输的过程当中,可以进行更新；在地下铺设光纤线路,施工的时候很容易就拉断了,这属于物理传输的问题。

还有关于窃听,在物理传输的时候通过网线进行传播,可以用插针的方式,把自己外接的网线插在正常传输的网线当中窃听传输。而且现在变得简单了,拿一个钳子把网线夹带,装一个窃听头、窃听器,把正常网线接上,同时他把自己的一台机器并连到这根网线上,截取你的程序。这种数据传输,完全是一种开放的传输,可以准确的接收到网线当中传输的任何数据。现在一般的企业或者比较大的公司,在一个新的房间开始工作之前,在楼宇建设当中这都是比较重要的考虑范畴。逻辑传输的安全方面考虑的问题更多,比如获取数据信息,进行监听。为了防范这点,一般建议用户使用逻辑传输,物理传输要从制度方面,或者一开始建立的时候就要做好相应的准备。而逻辑传输需要从制度上开始严格把关,制定相应的奖惩制度。尽量使用交换机,现在的交换机相对来说便宜很多,而交换机是通过内网传输数据,一般的网络入侵检测都会放在交换机上。

存储安全,我们经常可以看到一些重要的部门把数据放在服务器当中,文件服务器被入侵就会造成数据的窃密,有很多这样的例子。存储的安全,需要大家对设备有相应的安全规范,特别是重要的服务器,不允许一般人员进入,或者直接的物理接触,对做的比较好的像银行,一般的银行网管间和响应机之间是分开的,密码刷卡,如果没有得到相应的授权,就没有办法进入。另外,对一些数据库,要防止超时,在客户端设置的时候要考虑安全性。

存储介质的安全性,一般是指物理设备,比如硬盘、光盘。现在大家有一个普遍的误区,光盘是最安全的,可以放很多年不会坏,刻录光盘。其实刻录光盘也未见得安全。如果大家有兴趣可以做一个很简单的实验,自己找一张刻录光盘,放在窗台上晒,两个小时再看看能不能读。存储介质,瑞星公司经常接到用户拿过来的硬盘,帮助修复一下上面的数据,有很多是物理损坏的。一般一个硬盘的正常使用年限是3-5年,再长的还有多的。物理介质的修复比较麻烦,最简单的,物理硬盘上有划伤,通过常规的设备不能正常工作,需要拿出盘片,在专门的设备当中把数据读出来。

对于硬盘大家还有一个误区,认为硬盘是真空的,其实不是,它是有空气的,而且是通过一个孔。

我们经常对比较重要的,特别是财务信息加密,微软的2000提供EMF这种加密方式,用非对称的加密算法对数据进行加密,或者对一个文件夹进行加密,都存储在文件夹当中的东西都是加密过的,保证安全,只有文件夹加密的建立者和系统管理员能够读取当中的加密信息,基于非对称算法。加密的时候,使用了公钥解密,比如用户是123,加密一个文件夹,加密的时候就会用123公钥,通过一种算法直接计算,通过123公钥加密。读取这个数据的时候要通过私钥读取。这种加密信息是存储在MFP表当中的一个流。

这种加密方式很多人在使,像一些军队,或者涉密的机关都在使用,机密做的不错,很难破解,但是有一个问题,就是灾难恢复比较难。比如当中有一个财务数据很重要,加密了,操作系统崩溃了,谁也不敢保证操作系统永远不崩溃,崩溃了就重装,重装之后,建立了一个123的帐户,想用123打开加密过的文字,打不开,这是它的一个缺陷。

有一些资料,甚至官方网站,可以通过管理员对文件进行解密、恢复。我们也与微软的技术人员交流过,他们说这样的成功率很低。我给大家推荐一个加密软件,叫TBP,现在最新的版本对于个人用户来说,应该是TBP的8.0,免费软件,使用了128位的算法进行加密,安全度很高,会形成一个公钥和私钥的文件。只要把这两个文件保存好,记住你的密码,一旦发生灾难进行恢复的时候,只要两个密钥文件在就能正常工作,是完全免费的。

联邦调查局抓毒枭,已经抓住了,但是没有证据,这个毒枭在狱中通过电子邮件和他的手下、儿子进行通讯。电子邮件的安全性相对来说比较低,很容易被别人截获,联邦调查局把邮件全部截获,但是没有办法发现邮件内容,就开始用加密,最后破解不了,最后联邦调查局在毒枭儿子电脑的下面放了一个窃听器,窃听键盘的机械声音,每个按键的声音是不同的,按空格键和字母键的声音有细微的差别,联邦调查局根据声音的差距,确定他按了哪些键,得到了密码,解开了电子邮件,得到了直接的犯罪证据

我们相信联邦调查局的技术实力很高、很强,但是它也没有办法直接进行解密。

三、数据安全制度及其管理

制度和管理。我们要建立一个非常完善的安全制度,有很好的加密手段,用各种各样的加密,多重加密或者怎么样。如果没有一个好的制度,操作人员把这个版本的重要数据携带出去,我们经常听到一些专家的建议,三分技术、七分管理,如果没有一个完善、健全的管理体制,再好的技术都是不安全的。

数据丢失的一些原因,按照顺序排,最多的是由于误操作,把文件删除了,或者分区格式化。经常出现的误操作我举个例子,2000的操作系统,我的系统在C区里,想把C盘格式化重新安装,用98引导盘格式化后,发现把自己的E盘格式化了,98的操作系统不支持ntfs分区,启动的时候把第二个分区格式化了,这是最常见的误操作。还有就是认为这个文件没用,删完之后才发现删错了。

第二个是人为破坏,纯恶意的,这个比较多。前段时间的非典挺严重的,小汤山医院,有很多家单位承担项目,我们接触了一个客户,他是负责小汤山的电力工程,公司的一个网管由于一些特殊的原因被解雇了,这个网管是做编程的,做了两三年,在网络中植入了一个程序,周一上班的时候,大块机器发现只要开机,Word、ASM,还有PWG全部被删除,这是属于人为的破坏。这种例子很多,我们经常能在媒体上看到。

第三个是病毒破坏。最近新出现的一个病毒将硬盘前八个数据区彻底破坏掉,几乎没有办法修护。

第四是软硬件故障,包括硬盘的物理设备损坏。软件的故障也是比较多的。Windows早期的文件名是8.3格式的,八个字符的文件名,中间一个点,后面三个字符的扩展名,Windows95开始支持长文件名,128个字符服务,扩展名不仅仅限于三个字符的扩展名,这时有很多原来在DOS状态下工作的磁盘扫描软件,磁盘碎片整理的软件不支持长文件名,整理完了之后会发现文件全都是乱了,打不开,数据丢失了。DOS时代没有太多、太好的应用软件,U8是比较经典的。很多用户升级到95以后,拿U8来扫描,扫描之后发现数据全丢了,这是软件原因。

第五是环境因素。这个相对来说比较少。一般的机房,中国对计算机机房的环境有相关的条例,还要做到防水、防火,电源要稳定。有很多设备,包括计算机或者硬盘也会因为环境因素造成损坏,比如一个瞬间高压脉冲接在硬盘上,硬盘就会报废。有一个专门做计算机电源的公司公布了一个数据,数据丢失是80%多的原因跟电源有关,我个人认为这个数据值得商榷,但是同时说明了电源的因素造成损失的情况比较多。另外是水、火都会造成数据的丢失。安全环境也是比较重要的。FBI的文件当中,可以通过监测电磁场的变化,在一千米的范围内还原出计算机的显示屏,通过电磁辐射。纯屏的显示器,CRT显示器在屏幕前打荧光粉,使它发光,通过这种方式呈像,通过一些专用的设备接收电磁的干扰,还原计算机当中的屏幕显示,这都是可以做到的。

第六是灾难。包括火灾等等,这也是常见的数据丢失的原因。

四、数据修复

瑞星根据这些情况采取了修复服务,分为硬盘、软盘、光盘、USB存储设备、磁盘阵列、存储卡修复。难度最大的应该是磁盘阵列。一般比较大的企业都会有服务器,包括使传输速度变快,两块硬盘,数据同时往两块硬盘操作,数据是分散的,比如一个文件当中有可能前一部分在第一块硬盘当中,第二块硬盘当中。

raid第一块数据和第二块硬盘的数据是完全一致的,这时第一块硬盘由于物理原因,第二块硬盘保留了完整的数据,可以有灾难恢复的数据。

对于大型企业,经常用的是raid5,既兼顾了存储的效果,又兼顾了灾难的恢复。多块硬盘,最少是三块硬盘构成磁盘阵列。比如说我有三个40G的硬盘,构成一个raid5磁盘阵列,在操作系统当中识别,它会认为是一个硬盘,这个硬盘的容量是80G,留出了40G。一般情况下都会用五块硬盘或者七块,甚至更多的,银行一般都用硬盘卡。如果用5块硬盘做raid5磁盘阵列,每块硬盘是40G,这个硬盘的容量应该是160G依然要留出一部分保留空间,而且这个保留空间在每块硬盘当中都会有,这样兼顾存储效率。raid5有一块硬盘损坏了,可以拿一块新的硬盘替换,这时raid5可以从剩下的四块硬盘当中,把损坏的那块硬盘的数据计算出来,还原到同一块硬盘上,保证数据安全和完整。如果磁盘阵列出现了问题,我们可以把数据进行修复

磁盘阵列的顺序是非常重要的,一般介绍磁盘阵列相关的性能,但是没有介绍它的顺序。实际上它的顺序非常重要。比如第一块硬盘,第二块硬盘,物理顺序绝对不能变,从上往下五个槽,第一个槽放第一块硬盘。如果调过来,逆向来排,数据就丢了,而且这种丢失的修复非常困难。

可以修复的操作系统,包括DOS、Windows、Linux、Novell。DOS的修复很简单,现在我们能够真正修复Novell和Linux。Linux通过存储节点,包括FAT表、根目录FDT表之类的,我们现在已有成功修复的Linux丢失数据的案例。

修复的范围,包括误操作、病毒破坏、软硬件故障。瑞星可以修复硬盘的物理性损伤,可以进行盘体、芯片级修复,比如硬盘当中某一个芯片损坏了,没有办法识别,我们可以修复。盘体包括硬盘在外面看不到的,把盘箱拆开之后,我们均能够修复。硬盘经过了剧烈振动,导致盘片的划伤,硬盘有一个钢板,磁头在上面,非常精确的位置,在那里悬浮,盘片高速旋转,如果有振动,就会导致磁头臂碰到盘片,现在笔记本的硬盘应该是每分钟3600转,有10000转,转速非常高,哪怕磁头在盘片轻轻一点,就会使很多磁道损伤,我们进行盘体的维修,可以把硬盘的盘片拆出来,通过专用设备读取数据。

联邦调查局声称只有数据反复被覆盖七次以上,才是真正不可修复的,六次的时候还能够找出丢失的数据,用一些专用的设备。硬盘的数据都是以磁的方式存储的,写入数据的时候,是把磁的方向重新改一遍,通过这种方式提供数据。硬盘在旋转的过程当中会有扩展,就像汽车在拐弯的时候会有把人往外甩的感觉,就会使盘片向外扩张,稍微变大了一点。硬盘在运转的时候会发热,会有热胀冷缩,磁头臂也会有热胀冷缩,这样会导致数据的读写不是一一对应的。比如这只手正常的时候,硬盘读写数据的时候覆盖,比如文件覆盖是一对一的盖着,但是由于盘片的高速旋转,热胀冷缩会使得不是一一覆盖,或者有一定的偏差,留出一部分缝隙来。可以通过扫描残磁的方式读到,

数据修复的方式,现在做修复的公司很多,不光瑞星一家,有很多家都在开展,我们的优势在哪里？我们更专业,只读不写的恢复,避免二次破坏。把数据从损坏的硬盘中读出来,但是不往里写数据。中关村有很多修硬盘的,很粗放,更有甚者,把硬盘接到机器上之后,做一些操作,发现自己修不了,我修不了别人也别想修,把垃圾信息覆盖到硬盘上,我修不了别人也没法修,这是属于职业道德问题。

我们的服务特色有免费咨询,免费检测,系统覆盖面最广,维修人员专业,我们的修复业务从2000年开始开展,我做数据修复以来,修复的硬盘有几百块。进行修复的很多,我们的人员很专业,通过相应的培训,我一开始做修复之前,是通过系统严格的培训,而且通过考核后才可以上岗。

通过这些途径可以联系到我们的数据修复。网站有 Http：//Sos.Rising.COM.CN。电话是(010)82678866-552。

瑞星的安全应急响应服务。现在对一些重大安全事件进行回顾,CIH在国内是非常有名的病毒,疯狂的NIMDA,最先在北美洲出现,然后到了亚洲,再到欧洲,传播时间不超过24小时。感染的用户数量非常多,媒体说这个病毒是活在网线当中的,很难根本清除,传播方式非常多。恐怖的冲击波,也是叫嚣的最响的。微软为它开设了单独的窗口,针对冲击波病毒的应急措施。全球有上千万台电脑被它攻击过。

遇到这些病毒的时候,瑞星有紧急安全的服务,紧急救援服务。瑞星提供的应急杀毒业务,如果系统遭到病毒的威胁,可以联系我们。现在有很多住宅小区都会有一两家做电脑救援,24小时服务,打电话就可以替你上门解决。但是他们的服务不够专业,一些简单的问题他们能很轻松的处理,稍微复杂的他们有处理能力吗？也许有,也许没有。针对这种情况,我们推出紧急响应服务。一旦出现大规模的病毒泛滥,可以联系我们,我们会派出工程师上门为大家解决问题,包括企业级用户。5天*8小时工作日紧急救援服务。我们了解情况,派人在4个小时之内上门服务,为用户解决相应的问题

对于一些特殊的部门,我们提供7×24小时的紧急救援服务,24小时提供服务。在这个展会开始的前一天,13号早晨我的同事到一个国家的安全部门提供这种服务,安全级别很高。紧急的任务,保证2小时之内到达现场。紧急的安全救援,现在已经有三四十家了。

我们的优势,反应速度在国内同类企业当中是最快的。快速的解决问题。我们有非常强大的网络安全和数据安全方面的专家,针对具体问题提出具体的解决方案。合理的方案。

瑞星公司是国内资深的反病毒软件企业,有强大的反病毒研发队伍,在反病毒安全方面我们可以说在国内是第一。瑞星公司有一批经验丰富、水平高超的网络安全工程师。我们的网络版杀毒软件、防火墙、入侵检测这些产品完全是瑞星自己研发的,我们有自主的知识产权,没有借用外国的技术,这也从一个侧面证明了我们的实力。

紧急救援服务的流程,首先是客户向瑞星提出紧急救援申请,我们接受申请之后,会了解用户的网络安全现状。对于我们做过一次服务的用户,留有相应的安全方面的相关资料,比如第一次找瑞星公司,要介绍网络规模大概是什么样的,什么系统,有什么问题,位置在哪里,找谁联系。双方协商服务的时间和形式。我们的应急响应服务代表会跟客户进行联系,确定我们在什么时间到。安全工程师现场了解网络安全环境,提出解决方案,实施服务。最后服务结束,会要求用户给我们填写确认单,确认服务生效。

瑞星应急响应服务的联系方式,电话是82678800。传真：62564934或62641700。

瑞星安全外包服务,“外包”是比较时尚的名词。利用资深的技术、服务和经验等优势,开展的一项增值服务。由瑞星网络安全工程师组成的安检小组,会根据协议规定,定期到指定维护的计算机系统现场,对计算机系统安全状况进行检测,这是长期的,一般会跟用户签订一个协议,在一年内或两年内,或在一段时间内负责安全问题,如果出现安全隐患或者安全问题,联系我们,我们会派出专门的人员到现场提供安全服务。这项业务现在做的并不少,我们可以做的非常系统,可以针对你的系统提供非常详尽的安全检测报告,网络安全工程师可以检测你的系统。这方面我们也有成功的案例,大的网站拿出一台服务器,进行评估,按照正在运作网站相关的构架,我们进行安全检测,看看有没有漏洞,有没有入侵,我们会提供入侵安全检测报告,并且提供改进的方案。安全外包是把网络的安全服务提供给客户,一些大的公司没有相应的或者足够人员负责安全性,或者技术实力没有达到相关的能力,这对于他们来说非常实用。很多国外的企业进入到国内,一开始来是几十个人,或者100、200人,安全对他来说是非常重要的,因为他要跟总公司进行联系,某一个点出现问题,整个公司的安全都会被否定,和总公司进行联络,如果这几十个人当中分出一部分人做安全,成本非常高,效率非常低,这时他们找我们,我们负责它的安全。

和我们签定协议的,瑞星提供每年至少四次的上门服务,这是协议规定的,并在每季度定期安排一次工程师的上门安检及维护。

病毒紧急响应,当用户出现大面积病毒发作时,瑞星可以提供紧急上门服务,都是在安全外包的范畴之内。

安全外包的服务内容有网络信息技术备忘录,设置调试安全防护软件,升级安全软件版本,清除系统中的已知病毒,检测和提取可疑病毒载体。

安全外包服务流程。用户向瑞星提出外包服务申请,瑞星公司接受申请之后,会根据用户的网络现状进行相应的分析,有一个粗略的解决方案。双方协商服务时间和形式,瑞星安全工程师上门现场了解企业网络安全环境,并提出解决方案。解决方案是针对企业量身定制的。双方洽谈服务条款,安全外包是长期的,不像应急,我们只去一次,两天就能解决,这是长期的过程。我们就要洽谈相应的服务条款、服务内容,并且签署协议。协议生效后,瑞星会按时提供安全服务,每次服务结束之后,都需要用户填写确认单,确认服务生效。这是对双方的约束。

安全外包服务获得方式,网站是 Http：//www.Rising.Com.CN。 support@Rising.com.cn 。电话：82616666。

安全评估是针对目前网络的安全现状推出的服务项目。针对网络或主机安全评估加固服务,找出系统漏洞。很多黑客入侵活动都是通过漏洞,病毒也是这样的,蠕虫病毒、冲击波。我们可以进行专业化的安全优化,提供安全的解决方案,配置相应的安全文档或者安全模板。安全评估之后会给用户非常详细的评估报告,通过评估报告可以显示系统当中的问题,对于这些问题我们有针对性的提出解决方案。

安全评估服务的内容,可以对整体的网络,或者网络中的重点设备进行安全评估,包括操作系统、服务器系统安全、防火墙系统安全、网络设备的安全,包括交换机和路由器。

系统漏洞和网络漏洞,针对系统帐户的设置,系统日志的分析,系统配置文件的配置,口令强度,开放端口和系统服务的合理性进行检查和评估。

网络评估的后续服务,网络安全咨询、安全通告,安全紧急响应,安全入侵,可以模拟一个小的网络,如果成功了会告诉您我们是通过什么方式,这些方式是什么。对于Windows平台的安全打包服务,Unix相对比较复杂一些,技术难度更高一些.