尚 方,韩 冰,国恩东
(黑龙江省电力科学研究院,黑龙江 哈尔滨 150030)
数据恢复技术在国网公司中的应用
尚 方,韩 冰,国恩东
(黑龙江省电力科学研究院,黑龙江 哈尔滨 150030)
随着科学技术的迅猛发展,大数据时代已经来临。人们在工作和生活中越来越依赖于利用计算机处理和存储信息,但同时数据损坏也带来了极为不利的影响。从数据恢复的基础出发,分析国网公司数据存储、数据丢失与恢复现状,阐述了数据恢复领域最新的发展并做出展望。
计算机;存储介质;数据恢复;国网公司
在当今大数据时代,信息作为一种无形资产在人们生产生活中起到越来越重要的作用[1]。目前信息往往以数据形式保存在多种多样的存储介质中,信息系统会因为多种故障而导致数据的丢失,其中很多故障在使用中难以避免[2]。与纸质资料不同,电子数据容易因误操作、中毒等情况发生改变、丢失或者变成“脏数据”(dirty data)而失去意义,导致严重后果。正因为如此,数据恢复技术的研究对于个人、企业以及社会有着重要的意义[3]。
数据丢失的原因是多种多样的,但大体可以分为以下几个方面[4]。
a.用户操作不当。用户对于数据的误删除、误格式化等,也有当时认为数据已经过期不再需要,而过一段时间后又需要这些数据的。
b.操作系统或者软件问题。用户在使用某些数据时,如果出现系统突然死机,软件不能响应、U盘掉电等情况,常常造成现有编辑文件的丢失、文件发生损坏不能打开等情况。
c.病毒、木马以及恶意攻击。有些文件由于感染病毒而被杀毒软件杀掉,有些文件被杀毒软件误认为是病毒而删除,某些文件保护系统把没有标识码的存储介质屏蔽,数据被病毒、木马甚至恶意删除等攻击情况,也常常发生数据丢失的情况。
d.硬件耗损以及发生故障。存储介质在长时间工作过程中的正常耗损,比如磁盘磁性减弱,存储卡出现的坏块等。也有在工作过程中存储介质发生供电不稳、受到磕碰震动、受到水淹火烧等意外发生。常见的如在数据移动过程中U盘掉电,手机平板电脑等移动智能设备死机,也有存储介质遭到恶意砸伤损坏等情况。这是存储介质本身发生的故障,而且常常同时包含上面提到的多种软件故障情况,恢复难度较大。
如今需要频繁使用各类存储介质,想要完全避开上述数据丢失的隐患非常困难。
根据数据丢失的原因,可以把数据恢复所使用的方法大体归为2类:一是存储介质本身没有出现问题,仅需要使用软件工具对介质进行扫描并采用相符合的算法进行恢复[5]。如果没有新数据的覆盖,恢复成功率比较高。二是存储介质已经损坏,不能正常工作,这时需要复原数据通路和电源通路,往往需要引入新的元件。新元件的引入,都要通过专门的设备和方法,并且和存储介质的种类型号密切相关,这是比较复杂和困难的。根据长期的统计数字来看,可以通过软件工具完成的数据恢复的情况大约能占数据恢复需求的70%~80%[6],从技术角度来看,这些情况不是必须拿到实验室进行数据恢复的,如果在介质本地有相应的设备,实验室的数据恢复工程师完全可以通过远程控制的方式完成数据恢复工作。然而涉及硬件问题的恢复任务难度大,风险高,往往需要临时购买专门的硬件设备作为配件,需要在无尘的环境下进行,且一旦操作失误将造成故障的扩大甚至使数据彻底丢失,因此一定要送到实验室由专门的技术人员利用特殊的工具进行数据恢复[7]。如图1展示的就是工程师在无尘室中配合工作的场景。
图1 洁净室内工作场景
经常有客户对此问题产生误解:一块硬盘购买成本大约为几百元,可是数据恢复的成本经常要花费几千乃至万元以上,于是认为数据恢复的价格不合理。这实际上就是模糊了数据恢复与存储介质维修的概念,这两者之间有非常大的区别。其一,数据恢复的最终目的是获取数据,而非修好存储介质;而存储介质的维修最终目的是保证存储介质的可用性,而对介质中原先存在的数据是否能够读取不做要求。其二,数据恢复预计支出费用不应超过数据本身价值,与数据所在的存储介质价格无关;存储介质维修预计支出费用不应大于存储介质本身的价格,否则重新购买一个新的存储介质是更明智的选择。
经过数据恢复的存储介质,并不一定可以继续使用,具体可以分为以下几种情况。
a.如果是逻辑原因造成的数据丢失,从技术角度来看介质可以正常使用,但从工作实际来看,工程师常常不建议用户继续使用。因为在实际工作中经常会遇到用户不能准确描述需求的情况,用户如果继续使用经过数据恢复的存储介质,会破坏其中的原始资料。而在此之后用户如果发现经过数据恢复得到的数据不是需要的版本,则此时二次数据恢复的成功率会大大降低。
b.如果是物理原因造成的数据丢失,如因存储介质的损坏而不能读取数据的情况[4,8],需要对存储介质进行维修甚至做必要的硬件更换。若更换的是磁头等耗损零件,不建议用户使用此介质;若更换的是电路板、电阻等零件,对存储介质进行补焊等维修等,此类介质可以正常使用。
c.在某些情况下,因为存储介质存在固件缺陷或者大量坏块等原因,操作系统已经不能读取数据,但是可以通过专门的工具和方法对介质存储的数据进行读取,成功获取了数据之后,就不需要对存储介质的硬件进行维修,这类存储介质用户也是不能使用的。
国网公司作为关系到国计民生的央企,担任着在全国26个省超过11亿人口的供电业务。国网公司的业务数据是重要的战略基础性数据,数据的丢失和泄露都会给国家和用户造成重大的经济损失和严重的安全隐患[8]。因此国网公司一贯注重信息安全工作,信息化工作起步较早[9],信息化程度处于企事业单位前列,一方面国网公司相对于其他低科技含量的公司而言更加需要关注数据的安全,另一方面在数据恢复方面相对于其他的企事业单位更具备专业能力。
从数据丢失的数量上看,主要是个人办公存储介质占有绝大多数。个人办公存储介质主要包括台式机、笔记本电脑、移动硬盘、系统内保密U盘、各类测量工具的存储卡等,也有少量的光盘以及手机数据恢复的情况(内含有办公电话簿,工作短信,现场拍照图片、视频)。个人办公存储介质内的数据备份情况较差,一旦发生数据丢失的情况,多数不能找到完整的备份。数据丢失的原因基本涵盖了上文提到的所有情况。需要进行数据恢复的往往是实验数据、合同、技术文档、调研资料等。这些信息又是与国网公司的商业秘密与国民基本数据相关的,仅能依靠公司内部技术力量进行解决。个人电脑、保密U盘、笔记本电脑等办公设备已经是公司日常生产活动中不能缺少的组成部分,每个用户都频繁使用多个存储介质,每个介质都要存放大量临时和长期的数据信息。尽管单个存储介质发生数据丢失是小概率事件,但是在这个巨大的基数面前,个人办公存储介质的数据丢失数量非常多。
从数据丢失的严重性上看,业务系统发生数据丢失的危害更大。经过长时间的建设,国网公司的重要业务系统数据目前都存储在磁盘阵列上,而且根据信息管理制度定期备份,也有异地转存的情况[10]。内外网的隔离制度和多区划分等各种管理和技术手段也对外来恶意破坏数据的行为有效阻止,一般不容易有数据丢失的情况。然而也有涉及磁盘阵列数据恢复的情况,例如磁盘阵列中存储的是最新数据信息,那么原有的备份信息不能替代了,这样大规模的数据采集和计算如果重新进行,需要耗费大量的时间精力,现实情况往往马上到下一个任务节点,重新做这些工作时间上也来不及。还有一些已经下线的业务系统,一旦需要查询历史数据,就要把已经在库房中长期封存的存储阵列加载后重新读取,此时经常会发生需要复原原来阵列的组合,密码破解等情况。也会有存储介质由于长期封存而造成磁性弱化,电路发生短路断路等情况。这些都需要专业的技术人员针对具体情况,仔细订正分析才能进行数据的读取操作。重要业务系统的数据恢复业务量不如个人存储介质业务量大,但数据往往关系到生产、营销、人资等重要基础类数据信息,一旦有数据恢复要求则对成功率、恢复时间有严格要求,如果不能成功恢复则会导致严重的经济损失和恶劣的社会影响。
从对于数据恢复的时效性来看,国网公司丢失的数据需要在更短的时间内恢复。国网公司的数据都是办公数据,有关系到企业发展的核心秘密,有关系到电网安全运行测试数据,有记录营销情况的大量信息,因为数据丢失每小时的延误,都可能给公司和企业造成极大的损失,因此对于数据恢复工作不单要求成功率,也有时间上更进一步的限制。这与普通的私人数据恢复案例有重要区别的。
电力系统的信息化程度高,国网公司一贯注重信息化建设情况,因此信息化管理水平、人员素质、信息化设备的使用情况相对于一般的企事业单位更好。即使如此,前几年也发生了因为重要业务系统数据丢失,因个人电脑到外部送修泄密的安全隐患。而其他行业的信息系统数据安全情况,则更加严重。在国网公司各业务系统的数据量没有井喷式增长时,长期工作在信息一线的领导和专家即前瞻性地提出筹建国网公司自己的数据恢复实验室的想法。经过多方支持和准备,于2011年9月由中国电力科学研究院授权成立中国电力科学研究院信息安全实验室数据恢复及销毁分中心,如图2所示。
图2 实验室外景
在各级领导的关怀下,实验室各级工作人员积极进取,攻克技术难关,同时取得了一系列的成绩。先后获得中国合格评定国家认可委员会颁发的ISO/IEC 17025实验室认可证书(CNAS证书)、中国国家认证认可监督管理委员会颁发的国家级司法鉴定机构资质认定证书(CMA证书),具有出具国际互认司法鉴定报告的资格,已经成为中央企业和东三省第一家从事电子数据鉴定业务的司法鉴定机构,是集研发服务为一体的专业性信息安全数据恢复及销毁实验室。自实验室成立以来,国网公司成功完成数据恢复业务数百项,对挽回经济损失与保障电网安全生产起到了关键作用。作为央企,国网公司承担了重要的社会责任,实验室也为公检法部门提供电子物证类司法鉴定服务,为政府、其它企事业单位完成数据恢复业务多次,挽回了经济损失,产生了巨大的社会效益,为国网公司树立了良好企业形象。
如图3所示,实验室根据工作的需要,有严格的区域划分[10-11]。包含预检区、数据分析区、逻辑修复区、物理修复区、介质档案保存区,中心机房等。在完成业务受理之后,工程师在预检区对需要数据恢复的介质进行预检,判断数据丢失的原因,预估恢复效果,为后续工作做准备,然后在根据实际情况完成物理和逻辑方面的修复。在修复过程中,常常会应用多种数据分析,密码破解,数据组合的软件工具。最后数据成功恢复之后,要对信息进行二次整理:清理用户不需要的数据,清理临时文件,清理碎片文件,修正路径文件名称等。如图4所示,实验室的中心机房集中部署了多种数据恢复、数据存储、密码破解、区域监控、实验室系统管理的服务器,为各种数据恢复业务提供了有力保证。
图3 数据恢复实验室网络结构
图4 实验室中心机房
实验室拥有百级开盘专用洁净室,有数据获取、恢复、校验和销毁相关设备100多套,拥有包括电子数据取证专用机、动态虚拟仿真取证系统、HRT等数据恢复和司法取证最先进最专业的电子数据鉴定设备和工具软件。实验室还在国网公司范围内推广远程在线数据恢复系统,系统的服务器端位于实验室中心机房,系统的客户端位于相关省公司。一旦发生了数据丢失的情况,实验室的工程师可以通过该系统远程对存储介质进行数据恢复,大大提高了数据恢复的效率,节约了时间以及运输成本。同时实验室还有一支年轻的高素质人员队伍,拥有执业司法鉴定人、电子数据鉴定取证调查分析师、注册信息安全专业员(CISP)等多项资质。
国网公司积极开展数据恢复工作,筹建了专门的实验室,在技术层面为企业信息安全保障提供了能力支撑和全方位的技术支持,更为安全高效的生产经营活动保驾护航。良好的数据恢复能力不仅是信息化建设的坚实保障,更是健全了发生事故后的取证分析工作。随着信息化进程在各个领域的深入发展,信息安全已经成为世界各国普遍关注的一个战略问题,已经成为国家综合安全的重要组成部分。而数据恢复技术是支撑信息安全的重要支柱,现在并且在随后的长时间内将一直会处于高速发展的阶段。国网公司在数据恢复工作方面承担社会责任、规范管理、提高技术等所做的努力,对促进数据恢复行业管理水平的健康发展,对于数据恢复行业整体技术水平的促进,起到了相当大的作用。
[1]王 飞.探讨计算机硬盘数据恢复技术[J].信息通信,2014,12(6):151-151.
[2]刘洋洋.硬盘数据恢复技术探究[J].信息网络安全,2013,2(2):70-72.
[3]许志军.硬盘维修技术[M].北京:国防工业出版社,2013.
[4]韩雪涛,韩广兴,吴 瑛.硬盘维修从入门到精通[M].北京:中国铁道出版社,2009.
[5]旋转数据.存储的奥秘:数据存储、备份与恢复完全解析[M].北京:中国铁道出版社,2010.
[6]陈学平,徐 杨.计算机硬盘维修与数据恢复高手[M].北京:电子工业出版社,2015.
[7]戴士剑,涂彦晖.数据恢复技术经典重现版[M].北京:电子工业出版社,2014.
[8]张新波.收集工作是做好电力企业档案工作的根本[J].东北电力技术,2013,34(12):47-48.
[9]胡 博,关 艳,王志斌.智能用电营销服务一体化应用模型研究与探索[J].东北电力技术,2013,34(12):10-14.
[10]随合轼.基于一体机架构的海量数据集中与处理[J],东北电力技术,2015,36(9):12-15.
[11]王 刚.浅析数据恢复及销毁实验室的构建[J].计算机光盘软件与应用,2013(14):171,173.
Application on Data Recovery Technology in State Grid Corporation
SHANG Fang,HAN Bing,GUO En⁃dong
(Heilongjiang Electric Power Research Institute,Heilongjiang Electric Power Research Institute,Haerbin,Heilongjiang 150030,China)
With the rapid development of computer science and technology,The era of big data has come.Computer data storage in people's work and life has brought a lot of convenience,but it also brings some adverse effects because of data corruption.This paper analyzes the statement of data storage,data lost and data recovery based on the principle of data storage structure techniques in state grid corporation.The latest development of data recovery is described and prospected.
Computer;Storage media;Data recovery;State grid corporation
TP309.3
A
1004-7913(2016)03-0059-04
尚 方(1986—),男,硕士,工程师,主要从事数据恢复与计算机应用等方面工作。
2016-01-13)