3月31号，国际备份日。

关于备份的重要性，我想大家应该都已经明白了。很多人也都采取了备份手段保护自己的数据安全。

但我今天想强调的不是备份的重要性，而是——你的备份文件安全吗？

在防范勒索病毒的过程中，备份系统经常被视为数据保护的“最后一道防线”，为企业提供关键的数据恢复保障。然而，随着备份系统复杂性不断攀升，它如今却逐渐成为安全风险的源头之一。备份系统可能成为安全风险源，缺乏访问控制和安全测试令其易受攻击。

备份只是第一步，恢复才是企业的真正挑战。要确保数据可以恢复，就要确保备份数据的安全，包括以下几个方面：

1、完整性：备份数据是否完整？如何验证？

2、保密性：备份数据同样会造成数据泄露。

3、可用性：遇到灾难发生事件能否确定可以恢复？如何验证？

4、安全性：会不会被勒索病毒加密？备份数据的安全如何保障？

5、真实性：备份文件会不会被篡改？如何验证？

 近年来，我们见过太多备份数据被加密和破坏的例子。因此不要以为备份了就是安全的，只有安全的备份才能确保数据可恢复。那么，我们应该如何保证备份数据的安全呢？

先来说说安全性。勒索是目前企业数据（含备份数据）遇到的最大的安全隐患，为了防止备份数据被勒索，一般有以下措施：

一、主动防御：在备份资料存取的过程中，透过备份软件自身的检测措施或备份服务器上安全软件的检测措施，例如检测文件签名（File Signatures）是否错误，检测文件名称、扩展名或存取权限是否出现异常变动，以及是否出现大规模文件内容的变动或删除行为等，来判断是否有勒索病毒入侵，并向用户管理者发出警报。

      目前，一些备份软件自身具备防范勒索病毒攻击的功能模块，有的是利用病毒库技术，有的是利用行为检测技术，都可以抵御一部分对文件加密的攻击行为。但防御不可能做到100%。

二、被动防御：被动防御主要包括两类技术，不可变存储和AIR GAP。

1.  不可变存储（Immutable storage）：采用一写多读（Write Once Read Many，WORM）等不可变存储技术，能够锁定备份副本的状态，防止备份副本遭到删除、覆盖或者修改。

   WORM是一项历史悠久的技术。最初，WORM 技术是为了长期数据保存或合规性要求而诞生，通过存储介质的物理特性，或是存储系统底层软件、固件功能，确保写入存储介质或指定存储区的数据，无法再被更改或删除，以提供法律与诉讼上的有效性。

    而利用 WORM 技术保存数据的特性，对于保障安全也能发挥作用。由于 WORM 能保证写入后的数据，状态不再变化 —— 既不可删除，也不可更改，彻底 “锁住” 了数据状态，那么自然也不会遭到勒索软件的加密。当 WORM 用于备份存储时，即使备份副本已感染勒索软件，但由于 WORM 机制已经 “锁住” 了数据状态，从根本上杜绝了勒索软件发作、加密或删除数据的可能性。

所以在勒索软件危害盛行的今日，WORM 技术也展现出应用于合规性以外领域的潜力，开始有厂商推出结合了 WORM 技术的备份防护解决方案。

一般来说，WORM 技术可以依照储存媒体的类型，分为光学媒体式与磁性媒体式两大类型，也可以依照 WORM「锁住」资料的方式，将 WORM 分为物理型、固件型与软件型等三大类，分别透过物理特性或机构，储存装置固件，或是储存系统软件，来提供 WORM 能力，这三种形式各自利用不同原理运作，从而拥有不同层次的保存资料能力，以及使用特性。。

• 物理型的WORM技术：利用存储介质本⾝的物理性质，或是物理机构方面的设计，来提供⼀写多读的能力。许多光学存储介质如CD-R、DVD-R等，都能透过材料本身的特性，提供只允许写入⼀次。物理型WORM最⼤优点是极为可靠，其防写措施是建立在存储介质的物理性质上，从根本上防止了删改资料的可能性，也不可能会被勒索病毒加密。光学式WORM的主要缺点，是使用较为不便。首先，光学介质的容量较⼩，目前主流单面单层DVD光盘（DVD-5）的容量为4.7GB（实际二进制容量为4.38GiB），而单面双层（DVD-9）的容量为8.5GB，双面单层（DVD-10）的容量为9.4GB，双面双层DVD光盘（DVD-18）的容量则可以达到17GB。对于大型数据中心动辄几百TB或上PB的数据，无疑极不为方便的。其次，光学式WORM离线存储装置，不能满足经常读取或检索的需求，因此适用于数据量不是太大，合规要求严，无需经常读取且需要长期保存（寿命可达50年）的冷数据，如金融原始凭证、司法证物、不可篡改永久归档等。除光学介质之外，还有带物理写保护拨片的磁带、磁盘；也同样算是一种物理的防写手段——当写入资料后，随即遮盖防写孔，便构成了一写多读应用，但这种防写能力是可逆的，只要解除防写孔就能写入资料。因此不算是彻底的WORM介质。

• 固件型的WORM技术：利用存储设备的固件，将存储介质设定为WORM格式，常见的如磁带。几乎所有主流磁带系统都能提供专用的WORM卡匣，透过磁带机的控制功能，与磁带槽上的识别微码配合。当磁带机识别出磁带是WORM形式时，便会禁止更改或删除已写入该磁带中的资料。如当前最普遍的LTO磁带，只要是LTO 3以后的规格，都有对应的WORM磁带版本。不过，即使是WORM磁带，理论上，也能透过从外部施加强力磁场的方式，透过消磁来强制删除这类磁性介绍中的资料，所以一般要配合实体管制措施，如防磁磁带柜，才能完整保证资料的完整性。磁带容量大（LTO8格式单盘容量12TB，LTO9格式单盘容量18TB）、保存时间长（约为30年以上），是目前很多大型数据中心冷数据备份的首选。

• 软件型的WORM技术：在存储阵列设备上，也能利用存储操作系统的软件功能，将指定的存储区域指定为一写多读，只要设定了WORM,即使是系统管理员，也无法删改该存储区域的资料。不过，与物理型或固件型WORM技术比起来，软件型WORM技术的防删改能力，仍相对不可靠，由于是依靠存储控制器的软件来提供WORM功能，其仍然是在线的，仍存在被绕过的可能，而且，只要将磁盘取出来，就失去了WORM特性。软件型WORM技术的优势，是使用便利，首先，是可透过CIFS/SMB、NFS等标准传输协议存取，满足快速读取与检索的需求。其次， 可透过设定保存期限，提供「有管制」的可逆机制。⼀般来說，WORM软件都会提供设定保存期限的选项，让管理者选择「锁住」特定档案的时间，到期后，便会解除该档案的WORM状态，此后便能将资料删除，回收存储空间。

2. Air Gap技术：可以理解为离线技术，Air-Gap能将备份环境与可能的威胁来源隔离，特别是断开与网络和互联网的边接，减少备份副本暴露在攻击下的机会。

但实际上只有磁带、光盘这类可以实体移除、分离保存的抽取式储存装置，才能做到彻底的Air-Gap效果，也就是实体的离线（offline），通过网络将备份文件写入磁带或光盘后，就将这些存储介质取出，完全与前端生产环境断开，甚至断电，彻底确保攻击者无法接触与存取这些备份存储介质。

至于基于磁盘存储或云端存储的备份环境，虽然许多声称能提供Air-Gap机制，但其实都只是逻辑架构与设定上的「虚拟」隔离，利用存取控制技术来隔离备份环境与生产环境，而百真正断开实体的网络连接，因而仍存在着因不当的系统配置、系统漏洞或人为操作错误，导致隔离失效，备份文件暴露在网络上的可能性。

由于Air-Gap的目的是安全地保存关键资料副本，所以，原则上是与备份、归档系统结合使用，而非用于须承载线上即时存取服务的主存储系统。

广受推崇的3-2-1-1备份策略建议企业采用三种介质备份数据：两份存储于不同介质，一份异地存放，另一份采用物理隔离备份。通过将物理隔离备份与加密技术及只读写入磁带（WORM）相结合，可显著提升数据中心的网络安全韧性。

除此之外，要保证数据的完整可用。还需要具备以下技术：

1、完整备份。备份内容要完整，不仅要备份数据，有时候也要备份系统和运行环境。以避免数据无法运行的情况。在备份策略上，要有增量备份，还要定期进行完全备份或定期备份合并。笔者曾在一家客户单位见过一年做了一次完全备份，每天一次增量，我们去的时候已经两百多个增量文件了。这样也是极不安全的。

2、保存多个数据副本。按照32110的原则，至少要有三份数据，存储在两种不同的介质上，其中有一份在异地保存。我们见到过太多单位，将备份数据和业务数据存储在同一个存储设备上，结果遭遇硬件损坏或勒索病毒导致业务数据和备份数据都无法打开。

3、验证技术。备份完成后能对备份文件和原始文件进行完整性验证，确保数据一致性。也可以采用区块链技术，防止文件被篡改。

4、加密技术。备份文件要加密保存，防止备份被窃取，从中恢复数据。

5、灾难恢复演练。为确保数据可恢复，应定期对备份数据进行恢复演练。

最后，祝大家所有的数据“安全无忧”，“有备无患”。都能选择到合适自己的安全的备份软件。

所有不安全的备份都是在耍流氓。