Bezpieczeństwo Informacji

Jakie są przyczyny utraty danych i jak się przed nimi uchronić

2008-11-24

Janek Wardęga

Spis treci:

1. Przyczyny utraty danych

2. Archiwizacja danych

3. Kompresja danych

4. Kopia zapasowa

5. Ochrona antywirusowa

6. Zapora ogniowa

7. Bibliografia

1. Przyczyny utraty danych

Najczęstszą przyczyną są błędy człowieka Jego niedbała lub nieumiejętna obsługa, złośliwość i wandalizm to aż 85% wszystkich problemów związanych
z utratą danych. Za 9% przyczyn jest odpowiedzialna technika tzn: awarie sprzętu błędy w oprogramowaniu wirusy komputerowe oraz różnice w napięciu Klęski żywiołowe tj: pożary powodzie czy też uderzenie pioruna lub sadza to zaledwie 6% wszystkich przyczyn. Powodów do obaw jest więc wiele. W nowoczesnych systemach informatycznych pojemność pamięci dyskowych podwaja się przeciętnie co półtora roku. To powoduje że liczba danych przeznaczonych do ochrony i archiwizowania wzrasta także proporcjonalnie.

2. Archiwizacja danych

Archiwizacja (ang. backup) to proces wykonywania kopii danych w celu zabezpieczenia ich przed utratą wskutek wystąpienia takich zdarzeń losowych jak powódź, pożar, włamanie, awaria sprzętu lub oprogramowania, czy skasowanie ich przez użytkownika. Pod pojęciem archiwizacji rozumie się również proces przenoszenia danych z systemów komputerowych na inne nośniki w celu zredukowania ilości danych np. już niepotrzebnych w głównym systemie komputerowym (bazie danych).

Archiwizacja może obejmować zarówno dane tworzone i przechowywane bezpośrednio przez użytkownika (dokumenty tekstowe, obrazy, filmy, bazy danych itp.), a także elementy systemu (pliki konfiguracyjne, rejestry), czy nawet całe systemy operacyjne (partycje lub dyski twarde).

Archiwizację można przeprowadzać w regularnych odstępach czasu - tym częściej im ważniejsze (dla użytkownika/użytkowników) są dane. Aby zmniejszyć objętość takich danych poddawane są one najczęściej kompresji, a przy częstych archiwizacjach zapisywane są np. tylko zmienione dane (tzw. kopie przyrostowe). Istnieje oprogramowanie ułatwiające wykonywanie takich kopii oraz ich odtwarzanie. Wybrany nośnik danych musi być wówczas podłączony do danego komputera w celu przesłania zarchiwizowanych danych.

Sposób i rodzaj archiwizacji jest ściśle związany z potrzebami, systemem operacyjnym, kosztami oraz wymaganym czasem niezbędnym do jej odtworzenia, a także wreszcie dostępnym oprogramowaniem. Najczęściej im mniej skomplikowany jest proces odtwarzania informacji tym szybciej można je odtworzyć. Stąd informacje poddane kompresji, czy podzielone na kopie przyrostowe (które wymagają połączenia) mogą przedłużyć taki proces, ale jednocześnie zajmują mniej miejsca na dysku i są przez to mniej kosztowne. W wypadku danych, które nie muszą być szybko odtwarzane nośniki z kopią danych można trzymać w innym miejscu niż nośniki z oryginalnymi danymi.

Niektóre formy archiwizacji:

• kopie analogowe (wydruki dokumentów)

• kopiowanie na nośniki wymienne (np. dyskietki, płyty CD-R, płyty DVD-R)

• kopiowanie na inny dysk tego samego komputera (np. RAID)

• kopiowanie na taśmę magnetyczną

• kopiowanie na inny komputer (np. kopia zwierciadlana serwer plików)

• zautomatyzowana archiwizacja online

1. Kompresja danych

Kompresja danych - technika redukcji wielkości plików przez zmianę formatu danych które

są w nim przechowywane, z prawidłowym zachowaniem zawartej w nim informacji.

Zastosowanie: przesyłanie danych, Internet, multimedia, aparaty cyfrowe, filmy DVD, telewizja cyfrowa itd.

Tekst daje się zazwyczaj skompresować do 40% pierwotnej objętości, pliki graficzne w granicach 20 - 90%, niektóre pliki kompresują się w niewielkim stopniu. Pliki audio i video

można skompresować nawet do 5% ich pierwotnej objętości (kompresja startna).

TYPY KOMPRESJI:

- Kompresja ilościowa (bezstratna): wielokrotna kompresja - dekompresja plików nie

powoduje utraty żadnej części danych (nie gubi ani jednego bitu). Stosowana przy kompresji dokumentów, baz danych, arkuszy kalkulacyjnych.

Algorytmy kompresji:

WinZIP, WinRAR.

- Kompresja jakościowa (stratna): kompresja powodująca bezpowrotna utratę najmniej ważnych części plików, w przypadku obrazów i dźwięków usunięciu tych części plików, których nie jest w stanie zarejestrować ludzkie ucho i zobaczyć ludzkie oko.

3. Kopia bepieczeństwa

Kopia bezpieczeństwa (ang. Backup copy) lub po prostu Backup - w informatyce dane, które mają służyć do odtworzenia oryginalnych danych w przypadku ich utraty lub uszkodzenia. Proces wykonywania kopii bezpieczeństwa, w odniesieniu do kopii długotrwałych, jest nazywany archiwizacją.

Niektóre edytory i procesory tekstu wykonują taką kopię automatycznie, aby umożliwić odtworzenie zawartości pliku w razie awarii komputera lub samego programu, a także aby umożliwić odtworzenie poprzedniej wersji pliku po stwierdzeniu dokonania niepożądanych zmian. W obu przypadkach kopia dokonywana jest automatycznie, w pierwszym wypadku jest wykonywana co pewien czas, a w drugim podczas zapisu. Taka krótkotrwała kopia jest najczęściej automatycznie nadpisywana przy wykonywaniu następnej kopii.

Mechanizm kopii bezpieczeństwa spotykany jest najczęściej w środowiskach serwerowych, gdzie regularne i automatyczne tworzenie kopii ważnych danych jest podstawowym mechanizmem ochrony tych danych. W zadanych odstępach czasu specjalne oprogramowanie serwera automatycznie tworzy kopie chronionych danych na zewnętrznych nośnikach, np. taśmach magnetycznych, płytach CD/DVD lub zewnętrznych dyskach twardych. Istnieją również specjalistyczne systemy, pozwalające na zdalne wykonywanie kopii bezpieczeństwa, np. przez sieć lokalną lub Internet; chronione w ten sposób dane umieszczane są na dyskach serwerów w odległych centrach archiwizacji. Taka technika pozwala skutecznie chronić dane przed większością zdarzeń losowych takich jak: kradzieże sprzętu, pożary, powodzie, reinstalacją.

Rodzaje

pełna

Kopia pełna polega na skopiowaniu wszystkich wybranych plików i oznaczeniu każdego z nich jako zarchiwizowanego]. Kopie pełne są najłatwiejsze w użyciu podczas odzyskiwania plików, ponieważ wymagają jedynie posiadania najświeższej taśmy lub pliku. Wykonywanie kopii pełnych zajmuje najwięcej przestrzeni na nośnikach (i zazwyczaj czasu), ponieważ kopiowany jest każdy plik, niezależnie od tego, czy został zmieniony od czasu tworzenia ostatniej kopii zapasowej.

przyrostowa

Kopia przyrostowa polega na kopiowaniu jedynie tych plików, które zostały utworzone lub zmienione od czasu utworzenia ostatniej kopii przyrostowej lub normalnej oraz na oznaczeniu ich jako zarchiwizowanych. Pozwala to na skrócenie czasu potrzebnego do ukończenia procesu tworzenia kopii zapasowej. Przed utworzeniem pierwszej kopii przyrostowej powinno się utworzyć normalną kopię systemu. Jeżeli korzysta się z kombinacji kopii normalnych oraz przyrostowych, to do odtworzenia danych konieczne jest posiadanie, w chronologicznym porządku, ostatnio utworzonej kopii normalnej oraz wszystkich kolejnych kopii przyrostowych.

różnicowa

Kopia różnicowa polega na kopiowaniu jedynie tych plików, które zostały utworzone lub zmienione od czasu utworzenia ostatniej kopii normalnej. Pozwala to skrócić czas konieczny do jej utworzenia. Podczas wykonywania kopii różnicowej kopiowane pliki nie są oznaczane jako zarchiwizowane. Przed utworzeniem pierwszej kopii różnicowej zalecane jest wykonanie pełnej kopii normalnej. Jeżeli korzysta się z kombinacji kopii normalnych oraz różnicowych, to do odtworzenia danych konieczne jest posiadanie ostatniej kopii normalnej oraz ostatniej kopii różnicowej.

kopia

Kopia typu kopia wykonuje kopię wybranych plików bez zmieniania ustawień atrybutu archiwizacji. Podobnie, jak w przypadku codziennej kopii zapasowej, również ta metoda umożliwia wykorzystanie narzędzia Kopia zapasowa do skopiowania kilku plików bez jednoczesnego naruszenia integralności wykonywanych przyrostowych kopii zapasowych.

codzienna

kopia codzienna kopię wszystkich plików, które zostały zmodyfikowane określonego dnia, ale nie zmienia ustawień atrybutu archiwizacji. Metoda ta jest przydatna do wykonywania szybkiej kopii zapasowej danych z określonego dnia bez naruszania integralności wykonywanych niezależnie przyrostowych kopii zapasowych.

4. Ochrona antywirusowa

Ochrona antywirusowa-to program komputerowy, którego celem jest wykrywanie, zwalczanie, usuwanie i zabezpieczanie systemu przed wirusami komputerowymi, a często także naprawianie w miarę możliwości uszkodzeń wywołanych infekcją wirusową. Współcześnie najczęściej jest to pakiet programów chroniących komputer przed różnego typu zagrożeniami. Programy antywirusowe często są wyposażone w dwa niezależnie pracujące moduły:
• skaner - bada pliki na żądanie lub co jakiś czas; służy do przeszukiwania zawartości dysku
• monitor - bada pliki ciągle w sposób automatyczny; służy do kontroli bieżących operacji komputera.
Program antywirusowy powinien również mieć możliwość aktualizacji definicji nowo odkrytych wirusów, najlepiej na bieżąco, przez pobranie ich z Internetu, ponieważ dla niektórych systemów operacyjnych codziennie pojawia się około trzydziestu nowych wirusów. Widoczna jest tendencja do integracji narzędzi do ochrony komputera. Kiedyś był to jedynie skaner, który wyszukiwał wirusy, początkowo na podstawie sygnatur znanych wirusów, a potem także typujący pliki jako zawierające podejrzany kod za pomocą metod heurystycznych. Obecnie poza skanerem, monitorem i modułem do aktualizacji sieciowej pakiet antywirusowy zawiera często także zaporę sieciową, moduły kontroli przesyłek poczty elektronicznej i plików pobieranych z sieci, a poza wirusami chroni też ogólnie przed tzw. malware, czyli różnego rodzaju szkodliwym oprogramowaniem, oraz dba o ochronę prywatności danych użytkownika. Nieraz zawiera też narzędzia ułatwiające administrację większej ilości stanowisk ( Np zdalna aktualizacja czy zgłaszanie zagrożeń administratorowi sieci), co przydaje się w zarządzaniu lokalnymi sieciami firm i organizacji.
Moduły programów antywirusowych:
Skanery - to najstarszy i najprostszy sposób ochrony antywirusowej. Ich działanie polega na wyszukiwaniu określonej sekwencji bajtów w ciągu danych. W większości wirusów można wyróżnić unikalną sekwencję bajtów, tzw. sygnaturę, dzięki której możliwe jest odnalezienie wirusa w pamięci lub w zarażonej ofierze. Skuteczność skanera antywirusowego zależy od tego, jak bardzo charakterystyczna jest dana sekwencja. Najlepiej, jeżeli wirus zawiera w sobie jakiś bardzo specyficzny napis lub ciąg bajtów. Wraz z pojawieniem się wirusów polimorficznych znaczenie skanerów trochę zmalało, jednak nadal jest to najważniejsza metoda walki z wirusami. Wirusy polimorficzne są trudne do wykrycia, gdyż ich różne próbki nie wyglądają tak samo. Często dwie próbki danego wirusa nie mają ze sobą nic wspólnego. Polimorfizm może być osiągnięty poprzez zakodowanie ciała wirusa. W przypadku tych wirusów również używa się skanera, choć dopiero w późniejszej fazie wykrywania.
Monitory - to program antywirusowy zainstalowany jako TSR (ang. Terminate but Stay Resident) lub sterownik SYS, który - poprzez monitorowanie odpowiednich funkcji DOS i BIOS - pozwala na wykrywanie wszystkich wykonywanych za pomocą tych funkcji odwołań do dysków. To, czy monitor będzie działał prawidłowo zależy często od momentu, w którym przejął on kontrolę nad systemem (przed działaniem wirusa, czy już po) oraz od tego, jak głęboko wnika on w system operacyjny. Jak widać autorzy programów antywirusowych muszą korzystać z metod podobnych do tych, które stosują twórcy wirusów. Dużą wadą programów monitorujących jest to, że powodują one często fałszywe alarmy. Niekiedy zdarza się tak, że użytkownik po kolejnym potwierdzeniu jakiejś zwykłej operacji dyskowej staje się mniej uważny i nawet usuwa program antywirusowy z pamięci.
Szczepionki - Są to programy skierowane przeciwko konkretnym wirusom. Na podstawie posiadanego czy wykrytego egzemplarza wirusa można, po odpowiedniej analizie jego kodu, zdefiniować tzw. sygnatury, na podstawie których wykrywa się kolejne kopie wirusa w systemie. Dokładna analiza kodu wirusa pozwala niekiedy odnaleźć w nim oryginalne wartości pewnych parametrów, które mogą posłużyć do wyleczenia plików. Większość z istniejących szczepionek to rozbudowane programy, które potrafią wykryć i usunąć kilka tysięcy określonych wirusów. Tylko w przypadkach nowych wirusów szczepionki nie są wcale efektywne.
Programy autoweryfikujące - Programy te służą do sprawdzania czy dany program nie został w jakiś sposób zmieniony przez wirusa. Sprawdzanie to jest możliwe poprzez dodanie do wskazanego pliku określonego, krótkiego programu. Dodawany kod dopisuje się do pliku wykorzystując te same mechanizmy co wirusy, i pozwala on na autoweryfikację, czyli automatyczne sprawdzanie czy dany program nie został zmodyfikowany. Niestety, programy tego typu najczęściej nie są odporne na technikę ukrywania kodu wirusa stealth i w systemie zainfekowanym przez wirusa używającego tej techniki okażą się całkowicie nieefektywne.

5. Zapora ogniowa

Zapora sieciowa (ang. firewall - "ściana ogniowa") - jeden ze sposobów zabezpieczania sieci i systemów przed intruzami.

Termin ten może odnosić się zarówno do dedykowanego sprzętu komputerowego wraz ze specjalnym oprogramowaniem, jak i do samego oprogramowania blokującego niepowołany dostęp do komputera, na którego straży stoi. Pełni rolę połączenia ochrony sprzętowej i programowej sieci wewnętrznej LAN przed dostępem z zewnątrz tzn. sieci publicznych, Internetu, chroni też przed nieuprawnionym wypływem danych z sieci lokalnej na zewnątrz. Często jest to komputer wyposażony w system operacyjny (np. Linux, BSD) z odpowiednim oprogramowaniem. Do jego podstawowych zadań należy filtrowanie połączeń wchodzących i wychodzących oraz tym samym odmawianie żądań dostępu uznanych za niebezpieczne.

Najczęściej używanymi technikami obrony są:

• filtrowanie pakietów, czyli sprawdzanie pochodzenia pakietów i akceptowanie pożądanych

• stosowanie algorytmów identyfikacji użytkownika (hasła, cyfrowe certyfikaty)

• zabezpieczanie programów obsługujących niektóre protokoły (np.FTP, TELNET)

Bardzo ważną funkcją zapory przeciwogniowej jest monitorowanie ruchu sieciowego i zapisywanie najważniejszych zdarzeń do dziennika (logu). Umożliwia to administratorowi wczesne dokonywanie zmian konfiguracji. Poprawnie skonfigurowany firewall powinien odeprzeć wszelkie znane typy ataków. Na zaporze można zdefiniować strefę ograniczonego zaufania - podsieć, która izoluje od wewnętrznej sieci lokalne serwery udostępniające usługi na zewnątrz.

Typy zapór sieciowych

• filtrujące: monitorują przepływające przez nie pakiety sieciowe i przepuszczają tylko zgodne z regułami ustawionymi na danej zaporze (zapora pracująca dodatkowo jako router). Zwykle w niewielkich sieciach jest zapora sprzętowa bądź wydzielony komputer z systemem operacyjnym Linux. Obecnie najczęściej wykorzystywana metoda filtrowania w Linuksie to reguły oparte na iptables. Dostępne są także zamknięte komercyjne rozwiązania programowe, z których wiele posiada bardzo wymyślne własności i rozbudowany system konfiguracji oraz wachlarz możliwych do zintegrowania rozwiązań, pozwalających nie tylko na analizę (Snort, psad) i filtrowanie pakietów IP, ale także na sprawdzanie poprawności pakietów z punktu widzenia wyższych warstw modelu ISO/OSI a nawet na prowadzenia ochrony antywirusowej.

• oprogramowanie komputerów stacjonarnych: udostępnia wybrane porty do połączeń "z zewnątrz" monitorując ruch, udostępnia także połączenia na zewnątrz komputera wybranym usługom/programom. Często zintegrowane z ochroną antywirusową (na przykład Norton Internet Security)

• zapory pośredniczące (proxy): wykonujące połączenie z serwerem w imieniu użytkownika. Przykładowo, zamiast uruchomienia sesji http bezpośrednio do zdalnego serwera WWW, uruchamiana jest sesja z zaporą i dopiero stamtąd uruchamiane jest połączenie z systemem zdalnym. Cała komunikacja na serwer http przechodzi przez proxy, które może filtrować ruch. Proxy, jeśli ma taką funkcjonalność, potrafi rozpoznać komendy http jak i analizować zawartość pobieranych stron WWW (działa w warstwie aplikacji modelu ISO/OSI). Zabezpieczające działanie zapory, z punktu widzenia klienta, polega w tym wypadku na tym, iż możliwe jest blokowanie wybranej treści (ang. content filtering), aby nie dotarła ona do klienta (np. strony ze słowami wulgarnymi, o treści pornograficznej itp.)

6. Bibliografia

http://www.zgapa.pl/data_files/referat_4180.html http://pl.wikipedia.org/wiki/Kopia_bezpiecze%C5%84stwa http://deuter.am.put.poznan.pl/zwm/eskrypty_pliki/podstawyinformatyki/kompresjadanych.pdf http://www.sciaga.pl/tekst/82624-83-ochrona_antywirusowa http://pl.wikipedia.org/wiki/Zapora_sieciowa

2

---