1.封閉沒有使用的端口

 

    查看你的備份廠商的說明文件，確定哪一個端口對于你的備份系統(tǒng)的正常運行是絕對必要的，然后封鎖所有其它的端口。例如，例如，如果你的備份服務(wù)器不需要成為NFS(網(wǎng)絡(luò)文件系統(tǒng))或者CIFS(通用互聯(lián)網(wǎng)文件系統(tǒng))服務(wù)器，那么，你就要關(guān)閉或者撤銷備份服務(wù)器提供這種服務(wù)的功能。對于Web、打印、Telnet和其它備份服務(wù)器運行不需要的服務(wù)都要采取同樣的封閉措施。

 

    2.要求加密訪問

 

    如果你正在使用明文協(xié)議管理你的備份服務(wù)器，入侵者能夠監(jiān)視你的數(shù)據(jù)包并且確定你的管理口令。創(chuàng)建一個策略，禁止明文訪問你的備份服務(wù)器并且強制執(zhí)行這個策略。首先要卸載或者關(guān)閉明文協(xié)議，如Telnet、FTP、HTTP等協(xié)議。然后，要求所有的管理工作都必須通過加密的協(xié)議實施，如SSH、HTTPS、加密FTP和SCP等協(xié)議。

 

    3.減少擁有全部訪問權(quán)限的人員數(shù)量

 

    如果你的備份服務(wù)器需要根或者管理員訪問權(quán)限來進行管理，限制擁有這種權(quán)限的人員數(shù)量。為備份服務(wù)器提供不同的管理口令，并且僅把口令提供給需要訪問備份服務(wù)器的人。一般的管理員可能不喜歡這種做法，因為他們通常擁有訪問整個系統(tǒng)的權(quán)限。但是，你要向他們解釋這樣做是為了保護他們。把備份系統(tǒng)的管理口令放在安全的地方，僅允許真正需要的人接觸這個口令。

 

    4.記錄備份活動并盡可能把記錄放到別的服務(wù)器

 

    使用Unix備份服務(wù)器中的系統(tǒng)記錄功能或者第三方的數(shù)據(jù)保護管理產(chǎn)品來記錄所有的備份活動，并且把記錄放到另外的服務(wù)器中，防止惡意的管理員覆蓋這些記錄。

 

    5.介質(zhì)管理與備份管理分開

 

    你還可以把介質(zhì)管理和備份管理的權(quán)限讓兩個人分別承擔(dān)，一個人負責(zé)裝載磁帶，另一個人負責(zé)設(shè)置備份。一般來說，這些任務(wù)都是由一個人來完成的。但是，把這些工作分開可以避免惡意雇員造成的災(zāi)難。如果一個惡意雇員有管理權(quán)限，但是，他們有接觸存儲介質(zhì)的權(quán)限，他不能造成任何破壞。如果惡意雇員能夠接觸到存儲介質(zhì)，但是，他沒有向介質(zhì)中放入任何東西的權(quán)限，他也不能造成任何破壞。

 

    6.調(diào)研你的備份產(chǎn)品的安全功能

 

    備份軟件產(chǎn)品在過去的幾年里已經(jīng)增加了許多安全功能，包括加密、基于任務(wù)的安全和增強的客戶和管理員身份識別等。加密功能可以加密備份過程，備份磁帶或者管理過程。基于任務(wù)的安全措施能夠阻止要求以根或者管理員權(quán)限進行訪問以便管理系統(tǒng)的過程，并且能夠讓你分開職責(zé)和分散權(quán)力。最后，增強的身份識別系統(tǒng)放棄了使用IP地址和主機名識別系統(tǒng)的老做法。調(diào)研你的產(chǎn)品采用了上述哪一種功能，并且立即使用這些功能。

 

    上述小竅門中有一些做法很難做到。但是，應(yīng)用這些小竅門比沒有任何竅門要好得多。讓我們確保這些備份服務(wù)器的安全吧!