如何提高備份複本的安全性與可用性？

iT邦幫忙是 iThome Online專為 IT 人推出的新服務，在這個 IT 知識分享社群裡，有疑問的人可以找到答案，有知識的人可以幫助他人。快來這裡與 IT 人一起討論交流。 更多IT解答，請至iT邦幫忙

備份是保護資料的最基本手段，但企業資料內容成分混雜，除了資料庫等結構性的資料外，還有大量以檔案型態存在的非結構性資料。如果不區分資料的性質與內容重要性，一律予以備份，不但浪費備份儲存媒體的空間，甚至還可能因而備份到含有病毒的資料，以致危害了資料的安全。

要解決這問題，可以從源頭管制、過濾備份檔案類型，以及在備份前啟動病毒掃描等方面下手：

源頭管制——禁止特定類型檔案的儲存
最根本的辦法，就是禁止特定類型檔案存放在企業公用儲存區中，直接管制允許存放在檔案伺服器中的資料類型，禁止影片檔或音樂檔的存放，這樣自然就不會備份到不必要的檔案。目前許多NAS都能提供這類功能。

排除特定類型的檔案，不予備份
另一種方法，就是在備份前過濾特定的檔案類型，如此即使線上磁碟中含有部分重要性不高、無須備份的檔案，也不會全部複製到後端儲存媒體上。目前絕大多數的備份軟體，都能提供這類功能。

這種方式的不足，就是只能以檔案類型（通常是副檔名）為過濾基準，因此只要更改副檔名，就能避掉過濾機制，也無法判斷檔案中是否存在可能帶來危害的病毒等資料。若一時不慎而備份到含有病毒的資料，則很可能在原始檔案損毀、急需透過備份還原檔案時，才發現內含病毒的備份複本也是不可用的。

備份前啟動病毒掃描
為彌補僅過濾檔案類型的不足，我們可在執行備份前，先掃描欲備份的磁碟區是否有病毒，以免不慎備份到含有病毒的檔案。某些備份軟體如CA的ARCBackup本身已經內含了eTrust Antivirus掃毒引擎，備份軟體本身就能執行掃毒工作，但對其他產品來說，還有三種可用的替代方式：

透過排程依序啟動掃毒與備份
掃毒軟體與備份軟體都含有排程啟動的機制，因此可事先訂好排程，在啟動備份排程之前，先排入一次掃毒作業。這種作法最為簡單，但較大的問題在於任何時間都有可能發生病毒侵入，如果掃毒與備份排程相距過久，系統很可能在空窗期內染上病毒，因此事先必須抓好兩種軟體的啟動時間。

利用備份軟體的附加事前指令
除了利用排程機制以外，也可以利用備份軟體的附加指令，在執行備份前，先啟動掃毒軟體。附加指令一般可分事前與事後兩種，這裡要用到的是事前指令。

附加指令原本是備份軟體為了搭配某些資料庫的運作而產生的，例如可設定事前指令讓資料庫在備份前暫停，確保完整備份資料庫，備份完畢後再利用事後指令讓資料庫恢復運作。

主動式預防
掃毒畢竟消極，目前已有備份軟體廠商推出整合主動式預防的備份產品。主動式預防算是一種事件觸發式的備份啟動機制，可搭配網路資安風險判斷機制，在安全威脅大於一定層級時，自動啟動備份作業，如Symantec在Backup Exec 12與Backup Exec System Recovery 8均有內建的Symantec ThreatCon服務，就是典型的主動式預防機制。文⊙張明德