如何提高备份复本的安全性与可用性

备份为资料提供了最基本的保护,但企业平常产生的资料中,往往含有许多不必要的档案,甚至是病毒,如何提高复本的可用性与安全性?

  备份是保护资料的最基本手段,但企业资料内容成分混杂,除了资料库等结构性的资料外,还有大量以档案型态存在的非结构性资料。如果不区分资料的性质与内容重要性,一律予以备份,不但浪费备份储存媒体的空间,甚至还可能因而备份到含有病毒的资料,以致危害了资料的安全。

  要解决这问题,可以从源头管制、过滤备份档案类型,以及在备份前启动病毒扫描等方面下手:

  源头管制——禁止特定类型档案的储存

  最根本的办法,就是禁止特定类型档案存放在企业公用储存区中,直接管制允许存放在档案伺服器中的资料类型,禁止影片档或音乐档的存放,这样自然就不会备份到不必要的档案。目前许多NAS都能提供这类功能。

  排除特定类型的档案,不予备份

  另一种方法,就是在备份前过滤特定的档案类型,如此即使线上磁碟中含有部分重要性不高、无须备份的档案,也不会全部复?到后端储存媒体上。目前绝大多数的备份软体,都能提供这类功能。

  这种方式的不足,就是只能以档案类型(通常是副档名)为过滤基准,因此只要更改副档名,就能避掉过滤机制,也无法判断档案中是否存在可能带来危害的病毒等资料。若一时不慎而备份到含有病毒的资料,则很可能在塬始档案损毁、急需透过备份还原档案时,才发现内含病毒的备份复本也是不可用的。

 

  图1

  备份资料的主动式预防机制。

  Symantec的BESR 8内含主动式安全防护机制,在连线状态时,用户可在备份管理选单中的事件触发器功能中,启用「ThreatCon回应」,只要系统侦测到安全威胁大于设定层级时,就会自动启动备份。

  备份前启动病毒扫描

  为弥补仅过滤档案类型的不足,我们可在执行备份前,先扫描欲备份的磁碟区是否有病毒,以免不慎备份到含有病毒的档案。某些备份软体如CA的ARCBackup本身已经内含了eTrust Antivirus扫毒引擎,备份软体本身就能执行扫毒工作,但对其他产品来说,还有叁种可用的替代方式:

  透过排程依序启动扫毒与备份

  扫毒软体与备份软体都含有排程启动的机制,因此可事先订好排程,在启动备份排程之前,先排入一次扫毒作业。这种作法最为简单,但较大的问题在于任何时间都有可能发生病毒侵入,如果扫毒与备份排程相距过久,系统很可能在空窗期内染上病毒,因此事先必须抓好两种软体的启动时间。

 

  图2

  透过档案过滤排除不必要的备份档案。

  利用备份软体的档案筛选功能,排除没有必要备份的档案,提高备份储存媒体的利用率。

  利用备份软体的附加事前指令

  除了利用排程机制以外,也可以利用备份软体的附加指令,在执行备份前,先启动扫毒软体。附加指令一般可分事前与事后两种,这?要用到的是事前指令。

  附加指令塬本是备份软体为了搭配某些资料库的运作而产生的,例如可设定事前指令让资料库在备份前暂停,确保完整备份资料库,备份完毕后再利用事后指令让资料库恢?运作。

  

  图3

  透过附加事前指令,在备份前启动扫毒。

  目前多数备份软体都提供附加指令功能,可在执行备份前先启动第叁方扫毒软体,执行扫毒。

  主动式预防

  扫毒毕竟消极,目前已有备份软体厂商推出整合主动式预防的备份产品。主动式预防算是一种事件触发式的备份启动机制,可搭配网路资安风险判断机制,在安全威胁大于一定层级时,自动启动备份作业,如Symantec在Backup Exec 12与Backup Exec System Recovery 8均有内建的Symantec ThreatCon服务,就是典型的主动式预防机制。