我在《dd: 穷人的硬盘备份与恢复工具》中分享了如何做硬盘的镜像备份和硬盘恢复的小经验。不过,光用dd指令做硬盘备份,那么备份镜像文件占据的空间和源盘空间一模一样。较新的机器,不少内装的硬盘高达500GB或1TB。那么备份USB盘就需要有相应的空间。其实,硬盘上有许多未用空间,把未用空间也原样备份实在是资源浪费。我们不妨把镜像备份压缩起来。
在《dd: 穷人的硬盘备份与恢复工具》一文中我们知道如何用dd作镜像备份。我们用的指令类似于:
dd if=/dev/sda of=/media/sdc1/yourBackupDir/BACKUP.img bs=512k &
而现在,要制作压缩镜像备份,我们得把dd和gzip指令结合起来。以下是制作压缩镜像备份的指令:
dd if=/dev/sda ibs=512k | gzip > /media/sdc1/yourBackupDir/backup.gz
我解释一下指令。
if 跟随的是输入文件。这里输入文件是device下面的整个硬盘sda
这里我们不见了of(输出文件),而代之以另一个程序,叫gzip的压缩程序。dd程序的输出被送往gzip,成了gzip的输入。通过gzip的压缩,它的输出被记录在文件backup.gz中。文件backup.gz的路径是挂载于/media下的USB硬盘sdc1的文件夹yourBackupDir。
用这个指令,可以大大减少备份的空间。我的一台Lenovo台式电脑配备300GB的硬盘,安装WINDOWS XP、大量Lenovo随机软件和小孩的游戏软件。经过gzip的压缩,备份被压缩在60GB左右。我自己使用的Lenovo S10-2 Netbook,配备160GB硬盘,安装WINDOWS XP、Lenovo随机软件,TradeStation 8,OpenOffice,以及第二个操作系统“红旗Linux 6.3”。它的压缩镜像备份是22.3GB。
那么,压缩的镜像备份如何恢复呢?硬盘恢复的指令是:
gzip -dc /media/sdc1/yourBackupDir/backup.gz | dd of=/dev/sda obs=512k &
这条指令的意思是:
gzip的输入是存于硬盘sdc1中的压缩镜像备份backup.gz。gzip 的 -d 表示解压缩;-c 是把输出写到标准输出端(通常是屏幕)。然后把gzip的输出作为 dd 指令的输入。而dd指令的输出则是硬盘sda。 dd 指令的 obs=512k 表示 dd 的输出缓冲是512k。就是说 dd 等待gzip的输入,积累到了512k之后才向硬盘sda写一次。
用dd和gzip结合的方法压缩的效果不错。不过对于使用多年的机器,压缩效果就不如新的时候那么好了。这是为什么呢?
我们知道,文件压缩的原理是建立一个索引表,用较短的字符串来替代较长的字符串。比如字符串:
“This_is_a_test._This_is_a_test._This_is_a_test._This_is_a_test._”(我在这里用_表示空格,以便看清楚)。
如果我们从左到右逐字扫描第一个重复是is_。在索引表里我们建立第一个替代:
1 3 3 (第一目索引从第三个位置起,长度为3,即is_所在的位置)
这样,我们的字符串就可以写成:
“This_1a_test._This_1a_test._This_1a_test._This_1a_test._”
我们接着扫描:“This_1a_test._” 又有重复。于是索引表就成了:
1 3 3
2 1 14 (第二目检索从第一位起,长度为14)
于是,字符串可以些成:
“This_1a_test._222”
然后把检索表加在压缩文件后面,就形成了压缩文件。所有文件的储存最终都是2进位制的0和1的数字,重复率很高,所以压缩很有效。
复原时,反向运作即可复原。
当然,这只是简单说一下无损压缩的原理。每个压缩软件都有可能有不同的做法。我们用的gzip具体怎么工作的,我也不清楚。有兴趣可以查看gzip的源码。了解原理的目的是为了说明我的应用。
在前面解释文件压缩原理的那个例子中,我们看到,一个文件重复的字串越多,重复的字串越长,那么压缩效果越好。未写过的空间原本都是2进位的0,会有很长、很多的重复,有利于压缩。然而,在我们使用计算机的过程中,我们不断新建文件,不断删除文件,不断把文件来回复制、删除或下载、删除。操作系统本身也不断生成各种文件,用完后又删除。这些看似被删除的文件其实并没有真的被删除。操作系统只是在文件管理系统的检索表中把文件名的头一个字母抹掉。这样做,一是为了删除的操作快,二是为了万一用户后悔,数据可以尽可以多地恢复。操作系统在创建新的文件时,会尽可能写在完全未被使用过的空间,而不是写在已经抹掉的文件空间。这也是为了万一需要被删除的文件尽可以多地恢复。但这个做法对压缩却不利的因素。因为原来未写过的空间一色清的2进位0,现在可能被各种文件写过后,重复率降低,从而降低了压缩的效率。
我们有没有办法提高压缩效率呢?有。答案还是能在dd指令中找到。那就是,先用dd指令把硬盘所有未用空间写成0,这样已被删文件的空间就重新被0占据。这个指令是:
dd if=/dev/zero of=/media/sda1/zerofile bs=512k &
它会建立一个命名为zerofile的文件(你可以给任何文件名),dd会用0写这个文件,直到这个文件占据逻辑硬盘sda1中所有的剩余空间,无法再写为止。之后,删除这个zerofile,你就把所有未用空间重新归0了。归0之后再作硬盘的镜像压缩备份,那么备份就会小很多。
Read more: 如何制作硬盘备份的压缩镜像?dd和gzip - 老石的日志 - 贝壳村 -
2011年7月25日星期一
2011年7月14日星期四
给信息安全从业人员的信:跳槽的利与弊
来自InfoSecLeaders.com的信息安全职业专家Lee Kushner和Mike Murray回复了一个读者关于信息安全职业规划的问题。他们帮助一个信息安全从业人员作出正确的职业道路选择 ,请阅读一下两封信了解更多信息。
InfoSecLeaders,你好:
目前我正处于自己信息安全生涯的早期阶段,现在当我踏上成为一名首席信息安全执行官(CISO)的旅途时,我对自己的职业规划产生了疑问。
大约三年前,我从一个知名的信息安全学校获得本科学位。在上学期间,我在纽约的一家大型金融服务公司作为一名信息安全实习生工作。完成学位后,我收到了该公司提供的安全分析师职位,从此以后我一直在那里工作。
最近,我得到了一个外部的工作机会,并正在考虑。这份工作是在一家相对小的公司,但是承担的责任会更大。这个机会挺吸引人的,但是我又确实没有理由离开我目前的雇主。我目前的雇主给我提供了极好的内部和外部培训(我已经有SANS和Black Hat认证,并且在来年会得到额外的认证)。此外,我的薪酬还不错,我的工作也得到认可,并且最近我得到了微小的提升(现在我是一名高级分析师)。
我已经看过了许多来自信息安全从业人员的帖子,关于换工作是为了信息安全生涯前进的需要。但是我不确定这个对我是否适用。我也看过很多帖子说如果你为一名雇主工作很长时间,未来的雇主会质疑你的积极性和期望。
我想得到你的建议:对我来说频繁地更换雇主以便在职业路上前进是至关重要的么?如果我为目前的雇主工作8到10年我能成为一名CISO吗?
期望得到你的回复。
××××××××××××以下是回信×××××××××××××××××××
致以诚挚地问候,
忠诚是错的吗?
忠实的读者,你好:
让我从这句老话开始,“情人眼里出西施”。
我提这个意思是在职业前进过程背后有许多不同的想法。无论是频繁地更换雇主,还是为某个雇主工作很长一段时间,在判断你是否做出正确选择的主要决定性因素是,你的下个雇主的招聘经理,这个人对于雇佣跳槽者是持赞同还是否定态度?这些人在决定你是否适合其职位,甚至是否为你提供面试机会时扮演着重要的角色。
然而,如果你在寻求常规的看法时,我会建议你为一个雇主工作并且证明你的雇佣关系的稳定性。当涉及到促进职业发展和前进时,这样会帮你胜过频繁跳槽的人(你可能觉得这很奇怪,因为正如你所知,作为一名信息安全招聘人员,我的工作就是帮助人们更换工作)。
许多信息安全从业人员相信,为了职业的提升他们必须更换工作,其中的一个主要原因是:企业通常雇佣他们来解决某个特定的技术上的信息安全问题,而一旦问题解决后,他们的工作就变得枯燥乏味起来。因此,为了增加技能他们觉得必须寻找不同的、有更多紧迫问题需要解决的新公司。
另外,如果你的职业目标是成为一名首席信息安全架构师或是工程师,考虑到当你在不同的环境中尝试解决智力上富有挑战性的问题时,你可能会面对各种各样的挑战,那么定期地更换工作可能是一个好的策略。但是,由于经常地更换职位,你无法从长期地解决组织的问题中获益,这本来可能是提供你发展管理和领导技能的机会。
基于你所说的情况以及考虑到你长期的职业目标是成为一名首席信息安全官,我认为你最好为你目前的雇主继续工作,原因如下:
1)一开始他们就认可了你的天赋,并且在恶劣的经济环境下为供你一份工作,尤其他们还是金融服务公司。
2)他们已经通过认证、参加会议和职业发展为你提供职业成长的能力。
3)你认为自己的薪酬还不错。
4)你刚刚得到了提升。
在我看来,你目前的雇主已经为你提供了一个职业成长和发展的环境。你想做的可能是安排一些时间,同你的经理就你的职业发展和未来规划进行讨论。你甚至可以说最近有别的雇主联系你,为你提供机会,但是由于你对当前雇主的忠诚和感激你拒绝了。这样做的时候你巧妙地给当前的雇主施了压,从而迫使企业考虑给你更多的机会来发展你的“CISO”技能,否则企业就要冒失去你的风险。
最后,要完成你的职业目标有许多不同的路径。由于信息安全职业仍处在形成阶段,标准的职业发展不一定存在,所以任何一个过程都是可接受的。不过,随着我们的职业变得更成熟和主流,我们将必须接受这个事实:我们不得不按照其它职业所执行的人力资源规则标准来运行,这其包括了回答更多的关于“雇佣关系稳定性”的问题。
希望以上我们所说的可以帮助你。
Lee和Mike
InfoSecLeaders,你好:
目前我正处于自己信息安全生涯的早期阶段,现在当我踏上成为一名首席信息安全执行官(CISO)的旅途时,我对自己的职业规划产生了疑问。
大约三年前,我从一个知名的信息安全学校获得本科学位。在上学期间,我在纽约的一家大型金融服务公司作为一名信息安全实习生工作。完成学位后,我收到了该公司提供的安全分析师职位,从此以后我一直在那里工作。
最近,我得到了一个外部的工作机会,并正在考虑。这份工作是在一家相对小的公司,但是承担的责任会更大。这个机会挺吸引人的,但是我又确实没有理由离开我目前的雇主。我目前的雇主给我提供了极好的内部和外部培训(我已经有SANS和Black Hat认证,并且在来年会得到额外的认证)。此外,我的薪酬还不错,我的工作也得到认可,并且最近我得到了微小的提升(现在我是一名高级分析师)。
我已经看过了许多来自信息安全从业人员的帖子,关于换工作是为了信息安全生涯前进的需要。但是我不确定这个对我是否适用。我也看过很多帖子说如果你为一名雇主工作很长时间,未来的雇主会质疑你的积极性和期望。
我想得到你的建议:对我来说频繁地更换雇主以便在职业路上前进是至关重要的么?如果我为目前的雇主工作8到10年我能成为一名CISO吗?
期望得到你的回复。
××××××××××××以下是回信×××××××××××××××××××
致以诚挚地问候,
忠诚是错的吗?
忠实的读者,你好:
让我从这句老话开始,“情人眼里出西施”。
我提这个意思是在职业前进过程背后有许多不同的想法。无论是频繁地更换雇主,还是为某个雇主工作很长一段时间,在判断你是否做出正确选择的主要决定性因素是,你的下个雇主的招聘经理,这个人对于雇佣跳槽者是持赞同还是否定态度?这些人在决定你是否适合其职位,甚至是否为你提供面试机会时扮演着重要的角色。
然而,如果你在寻求常规的看法时,我会建议你为一个雇主工作并且证明你的雇佣关系的稳定性。当涉及到促进职业发展和前进时,这样会帮你胜过频繁跳槽的人(你可能觉得这很奇怪,因为正如你所知,作为一名信息安全招聘人员,我的工作就是帮助人们更换工作)。
许多信息安全从业人员相信,为了职业的提升他们必须更换工作,其中的一个主要原因是:企业通常雇佣他们来解决某个特定的技术上的信息安全问题,而一旦问题解决后,他们的工作就变得枯燥乏味起来。因此,为了增加技能他们觉得必须寻找不同的、有更多紧迫问题需要解决的新公司。
另外,如果你的职业目标是成为一名首席信息安全架构师或是工程师,考虑到当你在不同的环境中尝试解决智力上富有挑战性的问题时,你可能会面对各种各样的挑战,那么定期地更换工作可能是一个好的策略。但是,由于经常地更换职位,你无法从长期地解决组织的问题中获益,这本来可能是提供你发展管理和领导技能的机会。
基于你所说的情况以及考虑到你长期的职业目标是成为一名首席信息安全官,我认为你最好为你目前的雇主继续工作,原因如下:
1)一开始他们就认可了你的天赋,并且在恶劣的经济环境下为供你一份工作,尤其他们还是金融服务公司。
2)他们已经通过认证、参加会议和职业发展为你提供职业成长的能力。
3)你认为自己的薪酬还不错。
4)你刚刚得到了提升。
在我看来,你目前的雇主已经为你提供了一个职业成长和发展的环境。你想做的可能是安排一些时间,同你的经理就你的职业发展和未来规划进行讨论。你甚至可以说最近有别的雇主联系你,为你提供机会,但是由于你对当前雇主的忠诚和感激你拒绝了。这样做的时候你巧妙地给当前的雇主施了压,从而迫使企业考虑给你更多的机会来发展你的“CISO”技能,否则企业就要冒失去你的风险。
最后,要完成你的职业目标有许多不同的路径。由于信息安全职业仍处在形成阶段,标准的职业发展不一定存在,所以任何一个过程都是可接受的。不过,随着我们的职业变得更成熟和主流,我们将必须接受这个事实:我们不得不按照其它职业所执行的人力资源规则标准来运行,这其包括了回答更多的关于“雇佣关系稳定性”的问题。
希望以上我们所说的可以帮助你。
Lee和Mike
2011年7月13日星期三
DDoS攻击对移动网络安全的威胁
由于使用3G移动设备(如智能电话或带无线网卡的PC)连接Web 2.0应用(如视频,社交媒体)的增多,穿越移动宽带网络的数据流量以非凡的速率增长。例如,Cisco公司便预测到2013年,移动数据将会增长66倍。
为满足这种爆发性需求,移动营运商一直在网络基础设施(如3G到LTE)方面进行主要投资,并着眼于创建服务和提升总体用户体验。移动营运商处于高度竞争的市场中,因而服务差异化和客户满意度是提高客户忠诚度和每用户平均收入指标(ARPU)的关键因素。
可是,移动网络的安全状况并未随数据网络本身的增长而相应演进。值得注意的是,就安全而言,许多移动及固定无线网络运营商似乎仅具备与8到10年前有线运营商之状况相近的保护能力。
根据Arbor公司2010年度全球互联网基础设施安全报告,就网络的可见性和控制,以及保护自身和客户免受攻击的整体能力而言,发展最迅速的手机和固网的无线网络运营服务可能是互联网服务提供商(ISP)中缺乏充分准备的一环。手机和固网的无线网络运营商都表示对其网络上的数据流量几乎没有可见性。
有近60%的受访者表示对其无线分组核心的流量缺乏可见性或受限。
有46%的受访者表示在年报调查时段内经历过因网络安全事故造成的客户使用瘫痪事件。根据前面提到的网络可见性的欠缺情况,我们认为这个46%的比例可能是低估了。
从 某种意义上讲,移动运营商在某程度上已成为ISP了。在短短几年中,他们已将其投资从语音转向移动数据和视频业务。支撑这些投资的最基本要素是网络和服务 本身的可用性。随着其业务变成以数据为中心,并且转为全IP网络,移动运营商正在变成数据中心运营商。互联网数据中心可用性的头号威胁是分布式拒绝服务(DDoS)攻击,而行动营运商也正在面对同样的威胁。
多户环境(如IDC) 是DDoS攻击的首要目标,因为这种环境有可能连带破坏多位客户的资料联机。另一方面,攻击的变化也很快,从基于数量的直接压跨数据连接,变成针对特定服 务的更复杂的应用层DDoS攻击。应用层DDoS攻击不是大带宽的,因而难于识别,但它却能威胁到众多的服务。相当多的移动网络运营商表示,他们遭遇过直 接针对其支持附属基础设施要素的应用层DDoS攻击。这些要素包括DNS服务器、门户网站服务器、SMTP服务器、Diameter服务器,甚至GTP通道和SMS网关。
有56%的受访者表示其附属支持基础设施(如门户网站服务器、DNS和其它相关服务)在12 个月的年度调查期间遭受DDoS攻击的不利影响。
有44%的受访者表示移动电话或具备无线连接的终端用户计算机遭受DDoS攻击的影响。
有50%的受访者表示他们观察到源于受影响用户节点的向外/跨界DDoS攻击。假设如前所述,网络的可见性处于缺失状态,我们认为这个统计数据可能也低估了。
大约22%的受访者表示其网络上基于状态检测的防火墙和/或NAT设备在调查期间遭受DDoS攻击的不利影响。
电脑黑客在 寻找机会,他们看到移动网络上的大量内容,从基础设施本身,到无处不在的接入设备,以及利用这些设备装载各种形式的个人信息的用户。正如2010年度互联 网基础设施安全报告所述,移动营运商是在快步追赶。他们缺乏监视网络上恶意数据流量的能力,缺乏采取措施的能力。他们正在使用的网络带宽不断增加,脆弱的 基础设施,很少的网络控制点,但他们却要与无限的网络僵尸攻击抗争。从安全角度看,移动网络数据的增长将改变游戏规则。
为满足这种爆发性需求,移动营运商一直在网络基础设施(如3G到LTE)方面进行主要投资,并着眼于创建服务和提升总体用户体验。移动营运商处于高度竞争的市场中,因而服务差异化和客户满意度是提高客户忠诚度和每用户平均收入指标(ARPU)的关键因素。
可是,移动网络的安全状况并未随数据网络本身的增长而相应演进。值得注意的是,就安全而言,许多移动及固定无线网络运营商似乎仅具备与8到10年前有线运营商之状况相近的保护能力。
根据Arbor公司2010年度全球互联网基础设施安全报告,就网络的可见性和控制,以及保护自身和客户免受攻击的整体能力而言,发展最迅速的手机和固网的无线网络运营服务可能是互联网服务提供商(ISP)中缺乏充分准备的一环。手机和固网的无线网络运营商都表示对其网络上的数据流量几乎没有可见性。
有近60%的受访者表示对其无线分组核心的流量缺乏可见性或受限。
有46%的受访者表示在年报调查时段内经历过因网络安全事故造成的客户使用瘫痪事件。根据前面提到的网络可见性的欠缺情况,我们认为这个46%的比例可能是低估了。
从 某种意义上讲,移动运营商在某程度上已成为ISP了。在短短几年中,他们已将其投资从语音转向移动数据和视频业务。支撑这些投资的最基本要素是网络和服务 本身的可用性。随着其业务变成以数据为中心,并且转为全IP网络,移动运营商正在变成数据中心运营商。互联网数据中心可用性的头号威胁是分布式拒绝服务(DDoS)攻击,而行动营运商也正在面对同样的威胁。
多户环境(如IDC) 是DDoS攻击的首要目标,因为这种环境有可能连带破坏多位客户的资料联机。另一方面,攻击的变化也很快,从基于数量的直接压跨数据连接,变成针对特定服 务的更复杂的应用层DDoS攻击。应用层DDoS攻击不是大带宽的,因而难于识别,但它却能威胁到众多的服务。相当多的移动网络运营商表示,他们遭遇过直 接针对其支持附属基础设施要素的应用层DDoS攻击。这些要素包括DNS服务器、门户网站服务器、SMTP服务器、Diameter服务器,甚至GTP通道和SMS网关。
有56%的受访者表示其附属支持基础设施(如门户网站服务器、DNS和其它相关服务)在12 个月的年度调查期间遭受DDoS攻击的不利影响。
有44%的受访者表示移动电话或具备无线连接的终端用户计算机遭受DDoS攻击的影响。
有50%的受访者表示他们观察到源于受影响用户节点的向外/跨界DDoS攻击。假设如前所述,网络的可见性处于缺失状态,我们认为这个统计数据可能也低估了。
大约22%的受访者表示其网络上基于状态检测的防火墙和/或NAT设备在调查期间遭受DDoS攻击的不利影响。
电脑黑客在 寻找机会,他们看到移动网络上的大量内容,从基础设施本身,到无处不在的接入设备,以及利用这些设备装载各种形式的个人信息的用户。正如2010年度互联 网基础设施安全报告所述,移动营运商是在快步追赶。他们缺乏监视网络上恶意数据流量的能力,缺乏采取措施的能力。他们正在使用的网络带宽不断增加,脆弱的 基础设施,很少的网络控制点,但他们却要与无限的网络僵尸攻击抗争。从安全角度看,移动网络数据的增长将改变游戏规则。
印度外包商的妙计:帮你在机房值夜班
“夜班永远是痛苦的,即使IBM也不例外。”成立了Maintec的总裁Sonny Gupta说道。特别是小一点的商店,很难找到资源来管理他们的机器,他说。
Gupta称,修理一个简单的VPN连接或者租用的专线,经过Maintec训练,管理者确保了每个晚上极其重要的批处理工作能准时完成,他们也可以监督其他在线设备。
公司第一次进入大型机管理市场,提出了该动机,不过它已经有了足够的经验。它处于班加罗尔的地理环境也对业务大有帮助。
“在美国的夜班相当于我们的早班,这是个极大的机遇,”Gupta说道:“如果我们试着配置美国的早班,那对我们也是同样的挑战。”
班加罗尔处于印度标准时区,GMT + 5:30。所以如果在纽约是凌晨一点,在班加罗尔就是早上十一点半。
外包服务,所有还是没有?
事实上,大多数大型机商店将不适用于这种部分的外包服务。纽约保险供应商EmblemHealth的信息服务主管Art Louise说道。
Louise说,在进入EmblemHealth之前,GHI(Group Health Incorporated,美国医疗保险的一种)完全外包。这种解决方法比较适合,他说:“他们将不会使用单独轮班的外包服务。”他说为夜班提供外包服务 的主意很有趣,“但是在这儿行不通。”
CA主机客户解决组的副总裁Mark Combs预测,Maintec的夜班服务很可能只会引起小部分商店的注意。
“对于大部分大客户来说,夜班服务在大量关键工作发生的时候才有用,但他们仍希望能插手。”
至于很难找人来做夜班,“这不是一点方法也没有,”他补充道:“你总是可以找到学生或者其他想夜晚工作的人。”
Joe Clabby是Clabby Analytics的总裁,他说大型机商店总是足智多谋的。“他们将找到最棒的工作人员,并吸引他们进入大型机工作。”
如果不能选择内部培养,大型机商店会从800左右的组织中寻找人,教他们大型机技术,或利用平台的易用性,他补充道。
EmblemHealth的Louise对此意见一致:“我们曾经有能力通过专门机构或者朋友来找到合适的人,但是你永远不会知道你能在哪儿找到,我们只能雇佣那些父辈有过IT工作经验的人。”
Maintec的总裁Gupta仍然对此乐观。他说:“我们已经得到了不少机会,如果成功的话,Maintec可能会开展日班的业务,并最终胜任。”
2011年7月10日星期日
没测试过的灾备系统才是企业最危险的敌人
如今美国已经整体步入夏季,这意味着我们企业中的IT系统随时可能在刹那间遭受飓风、龙卷风、洪水、森林火灾、剧烈的雷暴以及其它各种自然灾害的袭击。
考虑到上述情况,相信大家一定都已经为自己的企业IT系统及关键性企业应用准备了灾难恢复方案。然而,这些方案只能说是防范措施的基础。
上述体系一旦搭建完成,只需轻按一个开关,我们就能在必要时从异地数据中心处托管自己的关键性应用程序备份。然而要保证其正常工作,必要的维护、更新及定期测试绝对不能缺少。因为只有这样,灾备体系才能在灾难来临时真正成为积极可靠的安全后盾。
对于多数IT机构来说,往往压根不做这类测试。事实上如果没有按计划严格执行的审查及测试,灾难恢复体系本身就是一颗蠢蠢欲动的定时炸弹。
没做过测试,一切都是浮云
“我理解对于机构来说,随便凑过去按下开关将正在运行产品的服务器关闭这种状况听起来有多可怕。不过在进行灾备机制检测时,这是必要的一环。”Daniel M.Kusnetzky说道。他是Kusnetzky集团有限责任公司的首席分析师。“其实一套从未进行过测试的灾备系统才是企业最危险的敌人。”
测试整套体系最重要的原因是,Kusnetzky说,一旦设备并未如预期般运作,那么立即着手处理问题总比到了电力真的中断时才干着急要好。毕竟进行测试时我们的技术支持团队能提供在线指导、整套业务系统也并未真正面临自然灾害。
IT专职人员必须能在紧要关头为关键性业务应用的上线及运行、包括这些应用所必需的一切连接系统提供保障,Kusnetzky说道。“这不仅涉及到应用程序,同时还要考虑支持这类应用运行所必不可少的完整配置。如果这些条件不能保证,我们恐怕就必须对进程或是应用程序本身进行重新配置。”
而要想检验上述设置是否按既定方针实施,惟一的方法就是进行测试。测试、调整、再测试,灾备体系必须通过这种流程加以完善,他说。
“仅仅将应用程序复制到别处并尝试启用,这种无意义的做法不会为企业中的员工带来任何实质性的帮助,”Kusnetzky如是说。
在这方面,虚拟化技术能够帮上大忙,因为如果工作负载实际是运行在一套或多套虚拟机上的,那么这些负载就能够良好地适应我们在灾难恢复策略中所预留的后备硬件设备,Kusnetzky指出。基于同样的原因,使用虚拟存储技术也是有所助益的。
与此同时,虚拟化也要被客观看待,它无法解决灾备方案中的全部问题。“虚拟化帮得上忙,但与其它各种技术一样,它也不是万能的。”他说。“它只是种工具。我们需要同时引入其它技术协同作战。”
测试方式的选择非常关键
Gabriel咨询集团的一位分析师Dan Olds在谈及灾备时表示,灾备机制测试方式的选择非常关键。他认为最好的办法是每次对企业内部的单独一套系统进行测试,这样不仅达到了预期目的,更可以尽量减少对IT人员及公司日常工作的影响。
“这不仅是为了保证紧急情况下能够正常工作而对你的(灾难恢复服务)供应商进行测试,这个过程同时也能够让企业中的员工切身了解具体的操作流程,”Olds说道。“有了这样的知识及经验储备,意外发生时大家就不会惊慌失措了。事实上灾备体系的使用过程应该是舒适自然的,而且以这样的状态进行操作也的确能使其发挥更好的保障效果。通过体验我们会认清启动灾备不需要像与时间赛跑那样搏命,也不存在洪水持续上涨那种不成功便成仁的紧迫感。”
通常情况下,这种注重细节的测试并不该由客户来进行,当然干脆不做就更不可取了。“我要对这些应用程序进行测试;我必须有胆量着手进行。大家要给自己这样的信念。”
Olds强调,请务必留心冗余性与可用性之间的差异,这在涉及到紧急情况下企业数据及应用程序的保障方面至关重要。“我们都希望自己的数据得到全天候的保护,无论遭遇何种恶劣的情况,数据绝不能丢失。当然,轻度损失在所难免,最近半小时的数据无法保障可以理解。”
但我们同时要看到,如果灾难真的来临,并不是所有数据都需要立即恢复访问。那些最重要、最关键的业务信息才是我们在紧急情况下亟需保护的重中之重。
“这就要求我们制定优先次序,”Olds说。“将整套基础设施完全制作成镜像,虽然可以保证立即恢复每一个应用程序,但这种做法无疑是愚蠢的,且带来的成本既高昂又不必要。绝大多数企业根本不需要这种级别的可用性。”
排布优先级的方式之一,是为那些在紧急情况下会最先被用到的业务应用及数据制作名单,恢复时即从名单上的项目入手。而其它那些相对将要的应用程序及数据则可以在灾难过后慢慢恢复。
同时,在制订这些规划时也别忘了从企业内部听取不同的声音。“IT部门负责人需要确认自己名单上的项目确实是最关键、最需要及时恢复的业务内容,”他说。“我们必须确保IT人员的想法能够得到业务部门人员的认可和支持。”
通过对应急预案进行定期测试,我们能够确保全部关键性内容都涵盖其中而没有遗漏,例如网络拓扑细节及公司的IP地址等。“这都是我们无需论证就必须保护好的重要信息,”Olds说道。“大家必须竭尽所能将其全部导入镜像,以便在服务中断时能够借助企业外部的基础设施使其尽快重新运作。而如果企业中的数据中心被洪水吞没,那么这种灾备预案还要具备一定的可持续性。”
一旦大家开始进行测试,一定记得将这种良好的习惯坚持下去,尤其是应用程序或基础设施出现变动时。原因很简单:我们必须确保系统方面的定期变动不会与现有的灾难恢复系统相冲突,并进而导致紧要关头失去保护作用。
“我们要时刻提醒自己,能够通过正确的数据及其它相关因素将应用程序恢复到灾前状态才是我们建立灾备机制的根本目的,”他说道。“目的清晰是关键。我建议大家在应用程序更新过程中添加检查对话框,这样一来就能及时了解应用程序或系统的变更是否会对相关备份恢复计划产生影响。一切按计划进行是我们的终极目标,因此上述类型的变化都应详细加以记录并不断检查,以确保整套体系运行良好。”
缺少了测试,这样的灾难恢复规划就是不完整的,并且很可能在需要的时候起不到应有的作用——这就违背了当初我们部署该系统的初衷了。
考虑到上述情况,相信大家一定都已经为自己的企业IT系统及关键性企业应用准备了灾难恢复方案。然而,这些方案只能说是防范措施的基础。
上述体系一旦搭建完成,只需轻按一个开关,我们就能在必要时从异地数据中心处托管自己的关键性应用程序备份。然而要保证其正常工作,必要的维护、更新及定期测试绝对不能缺少。因为只有这样,灾备体系才能在灾难来临时真正成为积极可靠的安全后盾。
对于多数IT机构来说,往往压根不做这类测试。事实上如果没有按计划严格执行的审查及测试,灾难恢复体系本身就是一颗蠢蠢欲动的定时炸弹。
没做过测试,一切都是浮云
“我理解对于机构来说,随便凑过去按下开关将正在运行产品的服务器关闭这种状况听起来有多可怕。不过在进行灾备机制检测时,这是必要的一环。”Daniel M.Kusnetzky说道。他是Kusnetzky集团有限责任公司的首席分析师。“其实一套从未进行过测试的灾备系统才是企业最危险的敌人。”
测试整套体系最重要的原因是,Kusnetzky说,一旦设备并未如预期般运作,那么立即着手处理问题总比到了电力真的中断时才干着急要好。毕竟进行测试时我们的技术支持团队能提供在线指导、整套业务系统也并未真正面临自然灾害。
IT专职人员必须能在紧要关头为关键性业务应用的上线及运行、包括这些应用所必需的一切连接系统提供保障,Kusnetzky说道。“这不仅涉及到应用程序,同时还要考虑支持这类应用运行所必不可少的完整配置。如果这些条件不能保证,我们恐怕就必须对进程或是应用程序本身进行重新配置。”
而要想检验上述设置是否按既定方针实施,惟一的方法就是进行测试。测试、调整、再测试,灾备体系必须通过这种流程加以完善,他说。
“仅仅将应用程序复制到别处并尝试启用,这种无意义的做法不会为企业中的员工带来任何实质性的帮助,”Kusnetzky如是说。
在这方面,虚拟化技术能够帮上大忙,因为如果工作负载实际是运行在一套或多套虚拟机上的,那么这些负载就能够良好地适应我们在灾难恢复策略中所预留的后备硬件设备,Kusnetzky指出。基于同样的原因,使用虚拟存储技术也是有所助益的。
与此同时,虚拟化也要被客观看待,它无法解决灾备方案中的全部问题。“虚拟化帮得上忙,但与其它各种技术一样,它也不是万能的。”他说。“它只是种工具。我们需要同时引入其它技术协同作战。”
测试方式的选择非常关键
Gabriel咨询集团的一位分析师Dan Olds在谈及灾备时表示,灾备机制测试方式的选择非常关键。他认为最好的办法是每次对企业内部的单独一套系统进行测试,这样不仅达到了预期目的,更可以尽量减少对IT人员及公司日常工作的影响。
“这不仅是为了保证紧急情况下能够正常工作而对你的(灾难恢复服务)供应商进行测试,这个过程同时也能够让企业中的员工切身了解具体的操作流程,”Olds说道。“有了这样的知识及经验储备,意外发生时大家就不会惊慌失措了。事实上灾备体系的使用过程应该是舒适自然的,而且以这样的状态进行操作也的确能使其发挥更好的保障效果。通过体验我们会认清启动灾备不需要像与时间赛跑那样搏命,也不存在洪水持续上涨那种不成功便成仁的紧迫感。”
通常情况下,这种注重细节的测试并不该由客户来进行,当然干脆不做就更不可取了。“我要对这些应用程序进行测试;我必须有胆量着手进行。大家要给自己这样的信念。”
Olds强调,请务必留心冗余性与可用性之间的差异,这在涉及到紧急情况下企业数据及应用程序的保障方面至关重要。“我们都希望自己的数据得到全天候的保护,无论遭遇何种恶劣的情况,数据绝不能丢失。当然,轻度损失在所难免,最近半小时的数据无法保障可以理解。”
但我们同时要看到,如果灾难真的来临,并不是所有数据都需要立即恢复访问。那些最重要、最关键的业务信息才是我们在紧急情况下亟需保护的重中之重。
“这就要求我们制定优先次序,”Olds说。“将整套基础设施完全制作成镜像,虽然可以保证立即恢复每一个应用程序,但这种做法无疑是愚蠢的,且带来的成本既高昂又不必要。绝大多数企业根本不需要这种级别的可用性。”
排布优先级的方式之一,是为那些在紧急情况下会最先被用到的业务应用及数据制作名单,恢复时即从名单上的项目入手。而其它那些相对将要的应用程序及数据则可以在灾难过后慢慢恢复。
同时,在制订这些规划时也别忘了从企业内部听取不同的声音。“IT部门负责人需要确认自己名单上的项目确实是最关键、最需要及时恢复的业务内容,”他说。“我们必须确保IT人员的想法能够得到业务部门人员的认可和支持。”
通过对应急预案进行定期测试,我们能够确保全部关键性内容都涵盖其中而没有遗漏,例如网络拓扑细节及公司的IP地址等。“这都是我们无需论证就必须保护好的重要信息,”Olds说道。“大家必须竭尽所能将其全部导入镜像,以便在服务中断时能够借助企业外部的基础设施使其尽快重新运作。而如果企业中的数据中心被洪水吞没,那么这种灾备预案还要具备一定的可持续性。”
一旦大家开始进行测试,一定记得将这种良好的习惯坚持下去,尤其是应用程序或基础设施出现变动时。原因很简单:我们必须确保系统方面的定期变动不会与现有的灾难恢复系统相冲突,并进而导致紧要关头失去保护作用。
“我们要时刻提醒自己,能够通过正确的数据及其它相关因素将应用程序恢复到灾前状态才是我们建立灾备机制的根本目的,”他说道。“目的清晰是关键。我建议大家在应用程序更新过程中添加检查对话框,这样一来就能及时了解应用程序或系统的变更是否会对相关备份恢复计划产生影响。一切按计划进行是我们的终极目标,因此上述类型的变化都应详细加以记录并不断检查,以确保整套体系运行良好。”
缺少了测试,这样的灾难恢复规划就是不完整的,并且很可能在需要的时候起不到应有的作用——这就违背了当初我们部署该系统的初衷了。
CentOS 6.0 下载地址及发行注记
CentOS 6.0 是用一个较新的建设系统所建造出来的,而函数库亦被检定可兼容上游的二元档。
我们已决定不依从 UOP 的安装别名。系统管理员在安装时可访问所有的「频道」。
安装程序须要至少 392MB 内存才能运作。文字模式会自动被应用于拥有少于 652MB 内存的系统上。
相比起图像安装程序,文字安装程的功能受到局限。尤其是它不支持设置分区的分布、存储方式、或选择组件。详情请参考官方文档。
Insufficient memory to configure kdump! 这个消息在安装时会出现。这个已知的上游错误出现在少于 4GB 内存的系统上,而更新至 kexec-tools-2_0_0-153_el6 或更新的版本可把问题解决。
x86_64 的内容被分为两张DVD。第二张碟只包含来自上游 Optional 频道的组件。不涉及 Optional 类组件的安装应该只需要 DVD#1。
i386 DVD 的尺寸刚好收录于一张单面的 DVD+R 媒体内。它可以顺利地被烧录到一张 DVD-R 上。
国内用户可访问下载:http://mirrors.163.com/centos/6.0/isos/i386/ (32位)
http://mirrors.163.com/centos/6.0/isos/x86_64/ (64位)
我们已决定不依从 UOP 的安装别名。系统管理员在安装时可访问所有的「频道」。
安装程序须要至少 392MB 内存才能运作。文字模式会自动被应用于拥有少于 652MB 内存的系统上。
相比起图像安装程序,文字安装程的功能受到局限。尤其是它不支持设置分区的分布、存储方式、或选择组件。详情请参考官方文档。
Insufficient memory to configure kdump! 这个消息在安装时会出现。这个已知的上游错误出现在少于 4GB 内存的系统上,而更新至 kexec-tools-2_0_0-153_el6 或更新的版本可把问题解决。
x86_64 的内容被分为两张DVD。第二张碟只包含来自上游 Optional 频道的组件。不涉及 Optional 类组件的安装应该只需要 DVD#1。
i386 DVD 的尺寸刚好收录于一张单面的 DVD+R 媒体内。它可以顺利地被烧录到一张 DVD-R 上。
国内用户可访问下载:http://mirrors.163.com/centos/6.0/isos/i386/ (32位)
http://mirrors.163.com/centos/6.0/isos/x86_64/ (64位)
欧盟将封杀美国云计算服务商 保障数据安全
据国外媒体报道,消息人士称,欧盟将封杀欧洲市场上由美国公司提供的云服务。
消息人士表示,在发现美国试图将其《爱国法案》(Partriot Act)应用到所有在欧洲的云计算服务后,欧盟委员会感到非常不满。根据《爱国法案》法案,提供云计算服务的美国公司在特定情况下需要将欧洲用户的数据提交给美国相关部门。微软已经表示将不得不遵守该规定。
欧洲议会公民自由委员会很烂成员索菲·维尔德(Sophie in 't Veld)表示,希望了解《爱国法案》与欧洲数据保护法相冲突的情况。她正尝试确定欧洲数据保护立法能够被充分地执行,尤其对于云计算系统。
欧盟对于美国的规定感到非常惊讶,因为欧洲数据保护法可能因为《爱国法案》的引入而变得无效。一旦该规定生效,美国特工将获得所有储存于欧洲的数据。
目前,欧盟一直在起草严厉的立法,希望能够获得更多管理终端消费者的权力以及对那违反规则的人施行更严厉的惩罚。但是这些努力主要专注于Facebook等社交网络,而非谷歌、惠普、微软等公司正在建立的云计算系统。欧盟已经向微软、谷歌和Facebook表示,“必须遵守”严格的欧盟隐私规定。
欧盟的消息人士表示,为迫使美国更改该立法,欧盟将不得不禁止美国公司在欧洲运营云计算系统。尽管美国坚持实施《爱国法案》,但国际贸易机构介入的可能性不大。事实上这些机构更可能就有关干涉对外贸易方面的问题对美国进行审查。
消息人士表示,在发现美国试图将其《爱国法案》(Partriot Act)应用到所有在欧洲的云计算服务后,欧盟委员会感到非常不满。根据《爱国法案》法案,提供云计算服务的美国公司在特定情况下需要将欧洲用户的数据提交给美国相关部门。微软已经表示将不得不遵守该规定。
欧洲议会公民自由委员会很烂成员索菲·维尔德(Sophie in 't Veld)表示,希望了解《爱国法案》与欧洲数据保护法相冲突的情况。她正尝试确定欧洲数据保护立法能够被充分地执行,尤其对于云计算系统。
欧盟对于美国的规定感到非常惊讶,因为欧洲数据保护法可能因为《爱国法案》的引入而变得无效。一旦该规定生效,美国特工将获得所有储存于欧洲的数据。
目前,欧盟一直在起草严厉的立法,希望能够获得更多管理终端消费者的权力以及对那违反规则的人施行更严厉的惩罚。但是这些努力主要专注于Facebook等社交网络,而非谷歌、惠普、微软等公司正在建立的云计算系统。欧盟已经向微软、谷歌和Facebook表示,“必须遵守”严格的欧盟隐私规定。
欧盟的消息人士表示,为迫使美国更改该立法,欧盟将不得不禁止美国公司在欧洲运营云计算系统。尽管美国坚持实施《爱国法案》,但国际贸易机构介入的可能性不大。事实上这些机构更可能就有关干涉对外贸易方面的问题对美国进行审查。
订阅:
博文 (Atom)