3.5 数据备份

计算机或手机被病毒感染后，首先应该采取必要的数据备份措施，将重要的数据文件和硬盘的主引导信息通过整盘拷贝或专用工具备份出来，一方面可以防止数据丢失，另一方面有利于取证分析，而且一旦解毒失败了还有机会恢复计算机的原貌，再用反病毒软件修复。其次是启动反病毒软件，对硬盘的所有分区进行查毒，同时对计算机“内存”“压缩文件”和“邮件”进行检查。如果病毒已经破坏了操作系统关键文件，则应重装正版的系统。随着近些年勒索病毒在网络空间肆虐，数据备份的重要性得到再一次加强，无论是预防网络攻击还是攻击后确保数据安全，都应该重视数据备份，这是我们保护个人数据信息的重中之重。

数据备份是指为防止系统出现操作失误或者系统故障导致数据丢失，而将全部或部分数据集合从应用主机的硬盘或阵列复制到其他存储介质的过程。传统的数据备份主要是采用内置或外置的磁带机进行冷备份。这种方式的缺点是只能防止操作失误等人为故障，而且其恢复时间很长。随着网络技术的不断发展和数据的海量增加，不少企业开始采用网络备份。网络备份一般通过专业的数据存储管理软件结合相应的硬件和存储设备来实现。

3.5.1 数据备份的方式

数据备份方式有很多，本节将讨论较为常见的备份方式[6]。

1．定期进行磁带备份

定期进行磁带备份是指通过远程磁带库、光盘库备份，将数据传到远程备份中心制作完整的备份磁带或光盘。这种方式采用磁带备份数据，生产机实时向备份机发送关键数据。

2．数据库备份

这种方式就是在与主数据库所在主机相分离的备份机上建立主数据库的一个拷贝或镜像。由于传统的数据存储方式过于简单，过于集中管理，因此造成了大量数据的堆积。一个企业如果想使用大量的数据，就需要大量的存储数据的介质，这会导致服务器的响应速度下降乃至崩溃。近年来，分布式数据库技术在构建企业级应用程序中广泛流行，分布式数据库存储方式给企业带来了很多便利。

3．网络数据备份

这种方式是对生产系统的数据库数据和需要跟踪的重要目标文件的更新进行监控与跟踪，并且更新日志实时通过网络传送到备份系统，备份系统则根据日志对磁盘进行更新。

4．远程镜像

通过高速光纤通道线路和磁盘控制技术将镜像磁盘延伸到远离生产机的地方，镜像磁盘数据与主磁盘数据完全一致，更新方式为同步或异步。目前常见的云备份方式可以看作是网络备份和远程镜像的一种应用，具有广阔的应用前景。

5．正常备份

正常备份也叫完全备份，是普遍使用的一种备份方式。这种备份方式会将整个系统的状态和数据进行备份，包括服务器的操作系统、应用软件、所有的数据和现有的系统状态。

正常备份的优点是全面、完整。如果发生数据损坏，可以通过故障前一天的正常备份完全恢复数据。但是，正常备份的缺点也很明显，就是需要占用大量的备份空间，并且这些数据有大量重复内容，在备份的时候也需要花大量的时间。

6．差异备份

差异备份是将上一次正常备份之后增加或者修改过的数据进行备份，假设企业周一进行了正常备份，如果周二进行差异备份，那么备份的就是周二更改过的数据。这种方式大大节省了备份时所需的存储空间和备份所花的时间。如果需要恢复数据，只需用两个备份就可以恢复到灾难发生前的状态。

7．增量备份

增量备份是将上一次备份之后增加或者更改过的数据进行备份。需要注意的是，差异备份是备份上一次正常备份之后发生或更改的数据，而增量备份是备份上一次备份之后发生过更改的数据，并不一定是针对上一次正常备份的。所以，增量备份是备份量最小的方式，但在恢复数据时又是耗时最长的，因为要把每一次的备份都还原。

3.5.2 主要的备份技术

目前的备份技术多种多样，大致可以分为以下几种。

1．LAN备份

传统设备需要在每台主机上安装磁带机备份本机系统，采用LAN备份策略，在数据量不是很大的时候，可集中备份。

2．LAN-Free备份

当需要备份的数据较大且备份时间窗口紧张时，网络容易发生堵塞，比如在SAN环境下，这时可采用存储网络的LAN-Free备份。

需要备份的服务器通过SAN连接到磁带机上，在LAN-Free备份客户端软件的触发下，读取需要备份的数据，通过SAN备份到共享的磁带机。这种独立网络不仅可以使用LAN流量得以转移，而且运行所需的CPU资源远低于LAN方式，这是因为光纤通道连接不需要经过服务器的TCP/IP堆栈，而且某些层的错误检查可以由光纤通道内部的硬件来完成。

3．Server-Less备份

LAN-Free备份需要占用备份主机的CPU资源。如果备份过程能够在SAN内部完成，大量的数据无须经过服务器，则可以极大地降低备份操作对生产系统的影响。Server-Less备份就是这样的技术。

Server-Less（无服务器）意味着无维护，但Server-Less不代表完全去除服务器，而是代表去除有关对服务器运行状态的监控，比如它们是否在工作、应用是否正常运行等。Server-Less是备份思维方式的转变，从过去构建一个框架运行在一台服务器上，对多个事件进行响应，变为“构建或使用一个微服务或微功能来响应一个事件”。Server-Less在规模扩展性方面充分利用云计算的特点，因此其扩展是平滑的，同时，由于Server-Less是基于微服务的，而部分微功能、微服务的云计算是零收费，这些都有助于降低整体运营费用。

数据备份必须考虑到数据恢复的问题。数据恢复包括双机热备、磁盘镜像或容错、备份磁带异地存放、关键部件冗余等多种灾难预防措施。这些措施能够在系统发生故障后进行恢复。但是这些措施只能处理计算机单点故障，对区域性、毁灭性灾难则束手无策，不具备灾难恢复能力。

3.5.3 数据恢复技术

在生产和生活环境中，当存储介质出现损伤或由于人员误操作、操作系统本身故障所造成的数据不可见、无法读取、丢失等情况时，工程师需要通过使用特殊技术恢复这些数据。数据恢复（Data Recovery）是指通过技术手段，将保存在计算机硬盘、服务器磁盘、存储磁带库、移动硬盘、U盘等设备上丢失的数据进行抢救和还原的技术。

1．数据恢复的原理

硬盘保存文件时是按簇保存在硬盘中的，而保存在哪些簇中则记录在文件分配表里。硬盘文件删除时，并非把所有内容全部清零，而是在文件分配表里把保存该文件位置的簇标记为未使用，以后就可以将文件直接写入这些被标记为未使用的簇。在重新写入之前，上次删除文件的内容实际上依然在该簇中，所以，只要找到该簇，就可以恢复文件内容。这也是专家建议误删文件后不要再往该硬盘写入数据的原因。只有在相同簇中写入新文件后，文件才会被彻底破坏。

所以，如果数据没有被覆盖，我们就可以用软件通过操作系统的寻址和编址方式，重新找到那些没有被覆盖的数据并组成一个文件。如果只有几个小地方被覆盖，可以用差错校验位来纠正；如果已被全部覆盖，则很难恢复。

2．数据恢复的种类

大致来说，数据恢复可以分为以下几类。

1）逻辑故障数据恢复

逻辑故障是指与文件系统有关的故障。常见的逻辑故障有无法进入操作系统、文件无法读取、文件无法被关联的应用程序打开、文件丢失、分区丢失、乱码显示等。

因为硬盘数据的写入和读取都是通过文件系统来实现的，如前面介绍的Windows的NTFS文件系统和Linux与UNIX常用的ext3\ext4等文件系统。如果磁盘文件系统被损坏，那么计算机就无法找到硬盘上的文件和数据。这些由逻辑故障造成的数据丢失，在大部分情况下可以通过专用数据恢复软件找回。

2）硬件故障数据恢复

硬件故障也非常常见，占所有数据意外故障的一半以上，大家对此应该不陌生。比如，雷击、高压、高温等造成的电路故障；高温、震动碰撞等造成的机械故障；高温、震动碰撞、存储介质老化造成的物理坏磁道扇区故障和意外丢失损坏的固件BIOS信息等都属于硬件故障。硬盘一般由多个组件构成，其中任何一个组件损坏都可能发生故障。

（1）电路故障（PCB Burned）：硬盘的电路板烧毁，或者硬盘电路板上的控制芯片损坏都属于电路故障。由于硬盘电路板使用的都是可编程芯片，因此，硬盘电路板的修复不仅仅是“电烙铁”和“焊锡”的工作，还需要专门的编程设备。

（2）固件损坏（Firm Corrupt）：固件是控制硬盘正常运转的硬件程序，是硬盘的“大脑”，固件损坏也会造成极大的危害。

（3）磁头和电机故障（Head&Motor Failed）：磁头和电机是硬盘的机械组件，位于密闭的、无尘的盘体内部。磁头老化、变形，电机烧毁、卡住都会造成硬件故障，这两个组件一旦损坏，硬盘将面临报废的危险，只有使用专门的设备才可恢复数据。

（4）盘片损伤（Platter Scratch）：盘片是保存数据的载体。硬盘在使用过程中，会由于老化或划伤产生坏扇区。

3）磁盘阵列RAID数据恢复

磁盘阵列的恢复过程是先排除硬件及软故障，然后分析阵列顺序、块大小等参数，用阵列卡或阵列软件重组或者使用专用软件（如Disk Genius）虚拟重组RAID，重组后便可按常规方法恢复数据。

3.5.4 常见设备的数据恢复方法

本节将介绍两种常见设备的数据恢复方法。

1．硬盘数据恢复

硬盘的数据恢复步骤是先诊断，找到故障点。然后修复硬件故障，再修复其他软件故障，最终将数据成功恢复。

修复硬件故障需要具备一定的电路基础知识，并深入了解硬盘工作原理和流程。机械磁头故障需要100级以上的超净工作台或工作间来进行诊断修复工作。另外，还需要一些软硬件维修工具配合来修复固件区等故障。

同时，还要采用硬盘数据恢复软件来进行数据恢复。数据恢复软件一般包含逻辑层恢复和物理层恢复功能。逻辑层恢复通常是指误删除、误克隆、误格式化、病毒感染等情况；物理层恢复是指由于硬件物理损伤引起的丢失数据恢复，如电机卡死、盘片物理坏道，硬盘计算机不识别、磁头移位等。

根据硬盘的损坏程度要采用不同的处理措施。如果硬盘损坏很严重，数据很重要，需要求助专业的数据恢复公司。

上述手段并不能保证百分之百恢复数据，明智的做法是对于一些重要的文件，要定期备份，以防万一。

2．U盘数据恢复

当遇到U盘损坏或出现电路板故障、磁头偏移、盘片划伤等情况时，可采用开体更换、加载、定位等方法进行数据修复，然后使用U盘数据恢复工具（如PC-3000 Flash SSD Edition）进行恢复。