快讯
贵州茅台发生大宗交易成交溢价率3.26%
1小时前
三连板的海汽集团:不存在未披露的重大信息
1小时前
三六零发生大宗交易成交折价率11.92%
1小时前
伊利股份大宗交易成交20万股成交额631.80万元
1小时前
兴业矿业现2笔大宗交易总成交金额9591.19万元
2小时前
新和成7月3日大宗交易成交1.09亿元
2小时前
伟明环保现2笔大宗交易总成交金额7227.50万元
2小时前
福耀玻璃7月3日大宗交易成交1.51亿元
2小时前
正邦科技发生2笔大宗交易合计成交6573.00万元
2小时前
恒瑞医药受沪股通青睐连续3日净买入
2小时前
大北农现4笔大宗交易总成交金额1.08亿元
2小时前
融资买入量占成交量53.31%重庆水务登陆龙虎榜
2小时前
天威视讯合资公司独家运营广电5G(深圳)试验网首期计划建设200余个5G基站
3小时前
中兴通讯获南向资金连续6天净买入
3小时前
深股通连续3日净卖出格力电器累计净卖出2.79亿元
3小时前
大连圣亚新任董事长收警示函交易所追问控制权是否已变更
3小时前
格力深夜回应“被取消中标资格”:投标人员整理材料失误
5小时前
科拓生物IPO上会前隐瞒重要不利信息发行人及保荐机构被警示
5小时前
丽珠集团拟与LTS合作开发授权产品阿塞那平透皮贴剂
6小时前
涪陵榨菜设国际贸易子公司拓展国际市场
6小时前
上汽通用五菱6月销量同比大涨24%
7小时前
探秘长安福特杭州工厂
7小时前
《地平线零之曙光》PC版将于8月7日推出包含本体及DLC内容
7小时前
《怪物猎人世界Iceborne》开发者日记Ver.6煌黑龙、霜刃冰牙龙登场!
7小时前
鑫苑服务:拟配售5000万股募集资金1.30亿港元
8小时前
格力造假系竞争对手举报事发一个月前
8小时前
扫描山东省的城商行:净利润变动较大,5家不良率超2%
8小时前
三峡水利重组收官管理层调整
8小时前
神驰机电获1206万元政府补助
8小时前
A股加速冲大顶!别被所谓“牛市信号”忽悠了主力是心理学大师和"影帝"
8小时前

从微盟删库事件谈数据修复的技术原理与时效挑战

2020-03-02 12:21:46 推荐

微盟删库事件至今发生已快1周时间,根据微盟公告介绍,官方正在紧锣密鼓的进行着数据恢复工作。本篇文章,联想数据恢复中心专家赵榛为这次的数据恢复工作做简单技术分析,帮助更多关心数据恢复这件事的人能够更好的理解技术原理和时效挑战等热点问题。

一、    针对人为恶意删除数据库

人为恶意删库在国内IT圈已经不是第一次发生了,此类事件由于其高破坏性、高突发性、高随机性,给众多中招企业带来了不可承受的打击。

从数据恢复技术的角度来讲,行业内针对这种问题的解决方案都是根据具体场景来制定的。

在技术难度上,Windows系统低于Linux系统和Unix系统,Sql数据库低于Oracle数据库和MySql数据库。

二、    数据能否恢复的主要难点:数据被删除后新写入的数据量,是否使用SSD

数据能否成功被拯救,需要评估数据丢失后数据环境的破坏程度。不同的丢失原因,评估的方向不同,下面主要介绍针对此次丢失原因的评估方向,这就要涉及到操作系统的部分知识了。

我们常见的数据储存介质分为HDD硬盘(机械硬盘)、SSD硬盘(固态硬盘)等,而两种硬盘处理删除文件的机制却大不相同:

HDD硬盘:我们之所以可以将删除的数据重新恢复出来,是因为在操作系统的删除逻辑里,只是把数据打上了删除标记,数据并没有真正从硬盘中删除。但此时,如果操作系统写入新的数据,就有很大机率将这些被标记为已删除的数据覆盖掉,而一旦发生覆盖,数据就彻底丢失了。

SSD硬盘:由于SSD自身机制原因,为了提高SSD写入效率,操作系统开发了Trim指令来帮助SSD提效。但这种提效的方式会导致每一次数据被标记为被删除后,SSD便会在很快的时间里对这一区域做清除操作,彻底销毁这些数据。此时,除非在系统层面关闭Trim指令,不然SSD针对人为删除这种情况几乎是无法恢复数据的。

鉴于微盟并没有直接对外宣布数据丢失,而是花费了几天时间进行数据抢救和恢复,可以判断,微盟并非这种情况,以下两种情况的概率更大。一,使用的是HDD硬盘,二,使用SSD服务器但没有开启Trim指令。这两种情况都为数据恢复留下了一线生机。

另外,通过总结之前发生过的人为恶意删库事件,可以看出这种破坏多发生在非工作时间,用户、业务管理者、运维人员很难第一时间发现,难以及时停机或由于业务连续性因素即便发现也无法停机,或多或少会导致数据覆盖的现象发生,这给数据恢复造成了很大的困难,难以保证将100%的数据完美恢复。

当然,在删库同时将业务环境也破坏,使整个业务系统瘫痪,这会阻止新数据的写入,反而对数据恢复成功率和完整性有了很大的帮助。

三、    数据恢复实施流程:环境克隆、工具扫描、数据导出、数据整理、数据还原

1.   环境克隆:针对LUN做克隆,使整个恢复操作在镜像版本中进行,避免破坏原数据环境,降低恢复失败的风险。如果LUN容量大太,无法有同等空间存储镜像,也可以克隆每一块物理硬盘,但克隆完成后需要在恢复环境虚拟重组成RAID阵列,才能对LUN展开恢复。由于多了虚拟重组的步骤,因此会额外增加恢复时间。

2.   工具扫描:根据用户使用的文件系统对文件的组织方式,使用通用或定制开发的工具对LUN进行扫描,寻找被删除的数据,此过程视LUN容量大小决定扫描所需时间。

3.   数据导出:将工具扫描找到的被删除数据导出到第三方存储空间,此过程视找到的数据量大小决定导出所需时间。

4.   数据整理:对导出的数据库或非结构化数据做校验、归档。

5.   数据还原:将数据库或非结构化数据重新导入原系统环境,使业务系统重新上线,此过程视需还原数据量大小决定所需时间

四、    数据恢复实施难点:数据量规模过大、潜在硬件故障风险

1.   数据量规模过大:由于技术方案相对成熟,人工效率不是瓶颈,通过计算硬盘I/O速度,可以大致评估出整个恢复过程的时效。但是数据量规模过大会导致容错率降低,每一次人为原因或设备原因导致的错误都会增加很多额外的恢复时间。同时数据量规模过大还会导致恢复所需资源的增加,对整个恢复的成本造成很大的影响。

根据微盟的上市公司公告,微盟有300万注册用户,以及7万付费用户,据此估计,微盟被删的数据体量应该非常大,甚至有可能达到百T级别。如果按照整个恢复过程不出任何错误,同时恢复资源完全到位,所以数据并行同步恢复的的状况来评估,至少也需要5到7天的时间来完成。而每一次微小的差错都有可能增加1到2天的额外恢复时间。截至当前,微盟仍未能完全恢复数据,想必也是因为数据量规模过大造成的。

2.   潜在硬件故障风险:了解数据中心运维的人都知道,企业级设备最怕关机重启。多年运转顺利的设备,可能因为一次关机维护反而暴发了硬件故障。因此在环境克隆这个阶段,有一定几率会遇到硬盘I/O错误或其他硬件类问题,这种故障轻则导致恢复时间延长,重则影响镜像完整性,给数据恢复的成功率和完整性造成很大的影响。

联想数据恢复中心专家赵榛认为,此次微盟数据修复工作是一个较大的工程。为了争取数据修复的实效同时保证修复的效果,相信微盟每一步都非常谨慎,争取在不耗费额外时间的前提下,将丢失的数据找回来。我们目前还很难对最后的结果做预测,但作为从业者,还是由衷的祝愿微盟可以早日渡过这个艰难的时刻。

赵榛,联想云领(联想商用服务品牌)数据安全实验室负责人,数据恢复行业技术专家,获得全国工业和信息化岗位高级数据恢复工程师认证,从事数据恢复工作超过10年,拥有丰富的企业级数据恢复行业经验和成功案例。


相关文章

{{news.title}}

{{news.timeFormat}} {{news.author}}

正在加载......