如何提高备份复本的安全性与可用性？

备份为资料提供了最基本的保护，但企业平常产生的资料中，往往含有许多不必要的档案，甚至是病毒，如何提高复本的可用性与安全性？
备份是保护资料的最基本手段，但企业资料内容成分混杂，除了资料库等结构性的资料外，还有大量以档案型态存在的非结构性资料。如果不区分资料的性质与内容重要性，一律予以备份，不但浪费备份储存媒体的空间，甚至还可能因而备份到含有病毒的资料，以致危害了资料的安全。
要解决这问题，可以从源头管制、过滤备份档案类型，以及在备份前启动病毒扫描等方面下手：
源头管制——禁止特定类型档案的储存
最根本的办法，就是禁止特定类型档案存放在企业公用储存区中，直接管制允许存放在档案伺服器中的资料类型，禁止影片档或音乐档的存放，这样自然就不会备份到不必要的档案。目前许多NAS都能提供这类功能。
排除特定类型的档案，不予备份
另一种方法，就是在备份前过滤特定的档案类型，如此即使线上磁碟中含有部分重要性不高、无须备份的档案，也不会全部复製到后端储存媒体上。目前绝大多数的备份软体，都能提供这类功能。
这种方式的不足，就是只能以档案类型（通常是副档名）为过滤基准，因此只要更改副档名，就能避掉过滤机制，也无法判断档案中是否存在可能带来危害的病毒等资料。若一时不慎而备份到含有病毒的资料，则很可能在塬始档案损毁、急需透过备份还原档案时，才发现内含病毒的备份复本也是不可用的。
[img]http://www.amteam.org/Uploads/Org/2008/200805/67A58DC7F2A6829DC8C6E53465D04C86.jpg[/img]
备份资料的主动式预防机制。
Symantec的BESR 8内含主动式安全防护机制，在连线状态时，用户可在备份管理选单中的事件触发器功能中，启用「ThreatCon回应」，只要系统侦测到安全威胁大于设定层级时，就会自动启动备份。
备份前启动病毒扫描
为弥补仅过滤档案类型的不足，我们可在执行备份前，先扫描欲备份的磁碟区是否有病毒，以免不慎备份到含有病毒的档案。某些备份软体如CA的ARCBackup本身已经内含了eTrust Antivirus扫毒引擎，备份软体本身就能执行扫毒工作，但对其他产品来说，还有叁种可用的替代方式：
透过排程依序启动扫毒与备份
扫毒软体与备份软体都含有排程启动的机制，因此可事先订好排程，在启动备份排程之前，先排入一次扫毒作业。这种作法最为简单，但较大的问题在于任何时间都有可能发生病毒侵入，如果扫毒与备份排程相距过久，系统很可能在空窗期内染上病毒，因此事先必须抓好两种软体的启动时间。
[img]http://www.amteam.org/Uploads/Org/2008/200805/4C5946505C2438A4C68919A0FB369092.jpg[/img]
透过档案过滤排除不必要的备份档案。
利用备份软体的档案筛选功能，排除没有必要备份的档案，提高备份储存媒体的利用率。
利用备份软体的附加事前指令
除了利用排程机制以外，也可以利用备份软体的附加指令，在执行备份前，先启动扫毒软体。附加指令一般可分事前与事后两种，这裡要用到的是事前指令。
附加指令塬本是备份软体为了搭配某些资料库的运作而产生的，例如可设定事前指令让资料库在备份前暂停，确保完整备份资料库，备份完毕后再利用事后指令让资料库恢復运作。
[img]http://www.amteam.org/Uploads/Org/2008/200805/A4F4242827CA541E57C03F84B4B6259B.jpg[/img]
透过附加事前指令，在备份前启动扫毒。
目前多数备份软体都提供附加指令功能，可在执行备份前先启动第叁方扫毒软体，执行扫毒。
主动式预防
扫毒毕竟消极，目前已有备份软体厂商推出整合主动式预防的备份产品。主动式预防算是一种事件触发式的备份启动机制，可搭配网路资安风险判断机制，在安全威胁大于一定层级时，自动启动备份作业，如Symantec在Backup Exec 12与Backup Exec System Recovery 8均有内建的Symantec ThreatCon服务，就是典型的主动式预防机制。

恒亿科技  发表于: 2009-12-15