新闻案例 | 数据备份不当导致企业核心资产永久丢失的致命教训
为什么写
西安一家从事工业软件开发的科技公司,去年经历了一场让整个团队心碎的灾难。公司的核心产品——一套耗时四年开发的工业仿真软件——因为一次意外的服务器硬盘故障,连同所有的源代码、技术文档和测试数据一起"消失"了。
按照公司的制度,服务器上的数据应当每天自动备份到另一台备份服务器上。但灾难发生后,技术团队发现备份服务器也在三周前的一次系统升级中意外宕机了,而备份服务器自动重启后,备份任务并没有恢复运行。三周来,没有任何人注意到备份系统已经停止工作。更让人崩溃的是,异地备份环节的硬盘已经被管理员格式化用于其他用途。于是一切的希望都破灭了,整个研发团队四年的心血被永久性抹除。
带来哪些隐患
这个案例暴露的隐患非常典型,很多企业在数据备份方面都存在类似的致命盲区。
备份的有效性得不到确认。这是最多企业存在的问题。系统管理员设置了一个自动备份任务,系统每天显示"备份成功"。但所谓的"备份成功"可能只是备份任务本身成功了,不意味着备份出来的数据是完整可用的。备份文件可能损坏、可能不完整、可能在写入过程中因为磁盘错误产生了无法读取的数据块。真正检验备份是否有效的可靠方法就是定期做恢复演练,而这一点绝大多数企业都没有做到。
备份链条的单点故障非常致命。很多企业的备份方案看似完备——有主备份、有异地备份,看起来层层保险。但如果不检查备份链条上是否存在单点故障,所有备份方案都可能同时失效。案例中,管理员的权限同时覆盖了主备份、备份服务器和异地备份的硬盘,一个人就能让所有备份同时失效。正确做法是主备份和异地备份由不同的人管理,权限分离。
备份策略的合理性也存在隐患。很多企业采用的备份策略是一天一次全量备份,保留最近三十天的数据。这个策略看起来很合理,但它有两个问题:一是恢复时间非常长,全量备份的恢复可能需要数小时甚至数天;二是如果某些数据在被覆盖之前已经损坏或者被加密,备份中保存的也是损坏或者被加密的版本。"写一次保存一次"的不可变备份方案是更好的选择,它保存了每次数据变更的版本,不会被后续的覆盖所影响。
备份操作对运维人员的依赖过重也是一个普遍的问题。很多企业的数据备份完全依赖一到两个关键人员的个人责任和技能。当这些人休假、生病或者离职时,备份系统的维护就处于真空状态。案例中,备份服务器的宕机和备份任务的中断,如果有一个自动告警系统,可以在几分钟内被发现并及时修复。但缺乏自动化监控导致了连续三周都无人知晓。
给我们什么提醒
数据备份是企业数据安全最后的保险绳,必须用最严谨的态度来对待。
要遵循三二一备份原则。这是业界公认的数据备份黄金法则:至少保留三份数据副本、使用两种不同类型的存储介质、至少有一份副本存放在异地。这样做的好处是,无论哪一种存储介质出现故障、无论哪一个地点的设施发生意外,总能有一份可用的数据副本。
定期的恢复演练必不可少。企业应当至少每季度进行一次完整的备份恢复演练,从备份文件中恢复关键业务数据,并验证数据的一致性和完整性。恢复演练的记录应当保留备查。如果发现恢复过程存在任何问题,要立即调整备份策略或修复备份系统。
备份的自动化告警体系要到位。备份任务的成功或失败应当在企业的监控大屏上实时显示。一旦备份任务连续超过两次失败,系统就应当自动向安全负责人和IT负责人的手机同时发送告警。不能让备份的状态信息只存在于一个人打开的一个系统页面上。
权限分离是防止备份体系全面崩塌的关键。不能把备份系统的管理权限集中在一个人的手中。管理数据系统的人和管理备份系统的人应当是不同的角色,必须经过双重审批才能访问备份数据。这个原则在企业遭遇勒索软件攻击时尤为重要——如果攻击者同时加密了原数据和备份数据,那就真的无计可施了。
企业启示
数据是企业最宝贵的数字资产,而备份是保护这份资产的一道保险。北京企密安信息安全技术有限公司认为,很多企业对待数据备份的态度可以用一句话来概括——"知道重要,但还没到行动的时候"。备份方案看上去有,实际上漏洞百出。企业从心态上把备份从"备选项"提升到"必选项",从"有了就行"提升到"可用才行",真正把数据备份当作一个严肃的基础设施来建设和维护。
