315，我们也来打打安全圈的假（一）

在这里我们要提到了一个词 Rt（Response time），指的是响应时间，当灾难发生时，我们按照预先设定好的策略进行响应所需要的时间。比如，双机是一种常见的高可用（HA）的安全措施，为了预防单机故障，一旦主机发生硬件故障导致宕机，备机会在第一时间接管，以保证业务不停。那么，从主机出现故障到备机接管的时间即为响应时间。

而我们所说的RTO里的R，指的是Recovery，不是Response。RTO是灾难恢复中的概念。什么是灾难，系统中断了，对业务带来影响了，这叫灾难，如果一台系统中断了，另一台迅速接管，对业务没有带来影响，这说明我们之前预设的安全防护措施生效了，这不叫恢复。如果接管的机器没有起来，这就是灾难了。因为这个时候业务真的中断了。

对于甲方，了解正确的知识也是非常重要的。

异机还原功能‌是指将一个已备份的操作系统镜像文件恢复到另一台不同的计算机上，即使硬件配置不同，也能确保恢复后的系统能够正常运行。这种技术适用于不同的硬件配置，包括更换硬盘、处理器、内存等硬件，或者更换一台全新的电脑‌

工作原理

异机还原的核心思想是通过映射技术，将源设备的数据和配置全部复制并转移到目标设备。这个过程通常需要通过专业的异机还原软件来完成，例如****(避免广告嫌疑，把品牌去掉了）。这些软件会对设备硬件、硬盘、操作系统、文件系统等进行识别和分析，建立一套完整的设备模型。在还原时，软件会自动将源设备的数据和系统配置一一对应地还原到目标设备，并自动调整目标设备的驱动程序和配置，使之与源设备相同，从而避免兼容错误导致的无法启动故障‌

应用场景

‌系统崩溃恢复‌：当一台计算机系统崩溃后，可以使用另一台正常工作的计算机创建一个系统备份，然后将系统镜像还原到故障计算机‌

‌系统迁移‌：将系统迁移到具有不同硬件的计算机上，确保迁移后的目标计算机可以正常启动‌

‌软件测试‌：软件测试人员可以使用此功能在物理计算机和虚拟机之间安装系统，进行测试‌

‌硬件更换‌：如果更换主板、CPU等硬件，可以通过异机还原来避免重新安装系统‌

‌新计算机安装‌：在新计算机上安装操作系统、配置驱动程序和应用程序后，通过异机还原功能将系统镜像还原到新计算机‌

所以，我们所说的异机还原，一般是指还原到不到的硬件配置的计算机上。

开始的时候，有这个功能的厂商很少。后来，我发现越来的越多的厂商也其宣传中也加入了这个功能，我就感觉不对劲，这个功能是这么容易实现的吗？

于是我查看了他们的使用说明，并进行了实际测试，发现了一些“猫腻”。

这些产品所称的异机，指的是不同机器，但要求必须是同一品牌同一型号。

跟他们销售人员进行交流的时候，对方也说的理直所壮：

厂商：我们从A机恢复到B机，这两台电脑是同一个机器吗？

我：不是

厂商：不是同一台，没有恢复到本机，那还不是异机吗？

我：……

其实，对这样的李鬼打假也很简单，做POC测试，找两台不同品牌不同硬件的电脑，把其中一台电脑做整机备份，然后整体恢复到另一台电脑上，看系统是否能正常启动。注意这些说的整机备份，不是文件拷贝哦。

可能有的看官说了，这个功能有啥用呢？为什么要恢复到不同的机器上？在新电脑上重装系统和应用不就行了吗？很多时候确实是可以的，不过有些场景还是很有用的，比如：

我们曾经去一家水泥制造企业，他们的一台服务器上部署了一个过磅管理的系统，是很多年前找当地一个公司给他们开发的，现在那家公司早已经找不到了。现在服务器出现了问题，但是他们不敢换，因为换到新的系统上该业务系统就部署不上了。

再比如说对于很多工业控制系统来说（比如生产线上的控制电脑、比如医院的CT机等），上面安装的应用系统一般的IT部门是不会安装和设置的，只能等原厂工程师过来处理，一般出现问题可能要等待很长时间。

再比如，如果原电脑硬件坏了，可能是一台老旧的电脑，上面有重要的系统，你能保证买到一模一样的主机吗？

每个功能都是对应了特定场景的需求。一般的人可能用不上，但要求需要这个功能的客户一定是有用的，糊弄客户可能会在关键时候给用户带来重大的损失。

也希望每一位用户在选择产品的时候一定要认真做好测试工作。用一句广告语：

不看广告，看疗效。

我不听你怎么说，我要看你能不能真正做到。

3、CDP

这个技术要不要讲，其实我还是挺纠结的。

容我想想……

今天先发了吧，要不然赶不上315了。

原文始发于微信公众号（大兵说安全）：315，我们也来打打安全圈的假（一）