1.封閉沒有使用的端口

 

    查看你的備份廠商的說(shuō)明文件，確定哪一個(gè)端口對(duì)于你的備份系統(tǒng)的正常運(yùn)行是絕對(duì)必要的，然后封鎖所有其它的端口。例如，例如，如果你的備份服務(wù)器不需要成為NFS(網(wǎng)絡(luò)文件系統(tǒng))或者CIFS(通用互聯(lián)網(wǎng)文件系統(tǒng))服務(wù)器，那么，你就要關(guān)閉或者撤銷備份服務(wù)器提供這種服務(wù)的功能。對(duì)于Web、打印、Telnet和其它備份服務(wù)器運(yùn)行不需要的服務(wù)都要采取同樣的封閉措施。

 

    2.要求加密訪問

 

    如果你正在使用明文協(xié)議管理你的備份服務(wù)器，入侵者能夠監(jiān)視你的數(shù)據(jù)包并且確定你的管理口令。創(chuàng)建一個(gè)策略，禁止明文訪問你的備份服務(wù)器并且強(qiáng)制執(zhí)行這個(gè)策略。首先要卸載或者關(guān)閉明文協(xié)議，如Telnet、FTP、HTTP等協(xié)議。然后，要求所有的管理工作都必須通過(guò)加密的協(xié)議實(shí)施，如SSH、HTTPS、加密FTP和SCP等協(xié)議。

 

    3.減少擁有全部訪問權(quán)限的人員數(shù)量

 

    如果你的備份服務(wù)器需要根或者管理員訪問權(quán)限來(lái)進(jìn)行管理，限制擁有這種權(quán)限的人員數(shù)量。為備份服務(wù)器提供不同的管理口令，并且僅把口令提供給需要訪問備份服務(wù)器的人。一般的管理員可能不喜歡這種做法，因?yàn)樗麄兺ǔ�擁有訪問整個(gè)系統(tǒng)的權(quán)限。但是，你要向他們解釋這樣做是為了保護(hù)他們。把備份系統(tǒng)的管理口令放在安全的地方，僅允許真正需要的人接觸這個(gè)口令。

 

    4.記錄備份活動(dòng)并盡可能把記錄放到別的服務(wù)器

 

    使用Unix備份服務(wù)器中的系統(tǒng)記錄功能或者第三方的數(shù)據(jù)保護(hù)管理產(chǎn)品來(lái)記錄所有的備份活動(dòng)，并且把記錄放到另外的服務(wù)器中，防止惡意的管理員覆蓋這些記錄。

 

    5.介質(zhì)管理與備份管理分開

 

    你還可以把介質(zhì)管理和備份管理的權(quán)限讓兩個(gè)人分別承擔(dān)，一個(gè)人負(fù)責(zé)裝載磁帶，另一個(gè)人負(fù)責(zé)設(shè)置備份。一般來(lái)說(shuō)，這些任務(wù)都是由一個(gè)人來(lái)完成的。但是，把這些工作分開可以避免惡意雇員造成的災(zāi)難。如果一個(gè)惡意雇員有管理權(quán)限，但是，他們有接觸存儲(chǔ)介質(zhì)的權(quán)限，他不能造成任何破壞。如果惡意雇員能夠接觸到存儲(chǔ)介質(zhì)，但是，他沒有向介質(zhì)中放入任何東西的權(quán)限，他也不能造成任何破壞。

 

    6.調(diào)研你的備份產(chǎn)品的安全功能

 

    備份軟件產(chǎn)品在過(guò)去的幾年里已經(jīng)增加了許多安全功能，包括加密、基于任務(wù)的安全和增強(qiáng)的客戶和管理員身份識(shí)別等。加密功能可以加密備份過(guò)程，備份磁帶或者管理過(guò)程�；�于任務(wù)的安全措施能夠阻止要求以根或者管理員權(quán)限進(jìn)行訪問以便管理系統(tǒng)的過(guò)程，并且能夠讓你分開職責(zé)和分散權(quán)力。最后，增強(qiáng)的身份識(shí)別系統(tǒng)放棄了使用IP地址和主機(jī)名識(shí)別系統(tǒng)的老做法。調(diào)研你的產(chǎn)品采用了上述哪一種功能，并且立即使用這些功能。

 

    上述小竅門中有一些做法很難做到。但是，應(yīng)用這些小竅門比沒有任何竅門要好得多。讓我們確保這些備份服務(wù)器的安全吧!