如何防止攻击者识别并攻破备份管理系统？

来源：市场资讯

（来源：twt企业IT社区）

导读

本文来自课题“复合型数据中心全局防勒索体系建设课题”课题下的探讨，由三位同行根据从业经验、监管文件解读以及未来发展等角度进行了分享。

议题主要探讨以下几点：

一、仅从备份管理系统的角度出发，如何防止攻击者识别并攻破备份管理系统，甚至删除或加密备份数据？备份管理网络如何隔离？备份软件权限如何管控？以及日常数据恢复验证如何管理？数据存储周期设计建议，可结合光盘库、磁带库或对象存储给些行业建议或落地实践。

二、从数据保护角度或数据容灾角度看，数据备份在下面两个点如何解读？（外部检查经常在这个点上，出现边界模糊的情况，相关文件中，也未看到单独清晰的讲数据备份的事，都是站在容灾的体系下讲数据保护的事）

1.对于分布式数据库本地多副本、同城数据中心多副本、异地多副本和独立三方备份系统的边界及定位如何解读，是否都算是备份数据？

2.对于传统关系型数据库，数据库的同城容灾、异地容灾和和独立三方备份系统的边界及定位如何解读，是否都算备份数据？

· 本文来自“实现SLA 99.95%高可用大模型实例运维”课题方向 | 复合型数据中心全局防勒索体系建设课题

【分享一】 李威 某大型金融企业 架构师

备份管理系统的安全防护设计这是一个非常大的话题，甚至都可以作为一个专题来讲，简要提取几个重点进行讨论和说明。从攻击路径反推防护策略：真实的攻击通常遵循以下路径：业务系统入侵 → 横向移动 → 获取高权限账号 → 定位备份系统 → 删除备份 → 加密数据。根据这个路径，反推防护策略的主旨是降低暴露面与隔离控制面，日常工作中有两种典型：

1. 避免备份系统在基础设施中“显性存在”

不应使用明显标识用途的主机命名（如backup/nbu/commvault），隔离备份资源并和生产业务资源尽量物理隔开。

2. 从架构上避免备份系统与生产域形成强依赖

备份系统应采用独立的权限控制，避免共用同一鉴权系统（如AD），同时将备份的流量网络、管理网络独立出去，减少和生产业务的强依赖，收敛生产业务数据面到备份系统的ACL，最小化使用。

控制面隔离是核心要点，这里可以展开为很多点，常见的如：鉴权平面、网络平面、运维平面。

鉴权平面，使用独立认证源，不复用生产域账号，同时拆分备份的角色，拒绝一个admin账号管理全部的做法，备份使用管理接口仅通过受控通道访问，如堡垒机。尽量达成“即使攻击者完全控制生产环境，也无法直接登录或操作备份系统”的目标。

网络平面，生产网络不能直接访问备份管理网络，而备份管理网络仅通过有限接口控制数据流。这样即使业务系统被攻破，攻击者也无法直接操作备份控制节点。

运维平面，从身份、权限、访问三个方面入手，将安全可信的防范点碎片化，通常做法是管控分离（身份）、可信终端登录（访问）、三权分立（权限）。

两个问题的解读：

1. 对于分布式数据库本地多副本、同城数据中心多副本、异地多副本和独立三方备份系统的边界及定位如何解读，是否都算是备份数据？

解答：无论是本地多副本、同城多中心，还是异地多副本，本质上都是数据复制机制，其目标是保证系统持续可用。数据是实时同步的，一旦发生逻辑错误（如误删除或数据被加密），这些错误会被同步扩散。因此，这类机制属于高可用或容灾能力，而不属于备份。

2. 对于传统关系型数据库，数据库的同城容灾、异地容灾和和独立三方备份系统的边界及定位如何解读，是否都算备份数据？

解答：对于传统数据库，同城容灾或异地容灾（如主备复制）同样属于数据同步机制，其作用是缩短业务中断时间。但其局限性也一致：无法回退到历史时间点/无法抵御逻辑错误传播。只有独立的备份系统，具备时间点恢复和数据隔离能力，才能被认定为真正的备份。

这两个问题需要明确：容灾（传统技术）/多副本（分布式）体系解决“系统是否持续运行”，而数据备份是解决另一个层次面的问题：

数据备份的本质，不是简单的“多一份数据”，而是“构建一个与生产体系解耦、具备能够回到过去任意可信时间点的数据恢复能力”。

【分享二】 臧阳 某农信 系统管理工程师

我行采用的是“备份一体机 + 备份软件”的部署方式。其中，备份一体机的管理网络采用独立的带外网络，该网络在全行范围内与其他网络区域实现物理/逻辑隔离。所有需要备份的数据库均配置了独立的备份网络，与业务网络严格隔离，仅用于备份数据传输，不与其他行内网络互通。

在权限管控方面，备份软件为每套数据库分别设置了独立的管理账号，每个账号只能操作对应数据库的备份，无法跨库访问。账号密码采用复杂密码策略，并定期进行修改。

备份数据在备份一体机中以WORM（Write Once, Read Many）模式保存。超出一定保留期限的数据，会转存至磁带库进行离线保存。每季度通过备份软件或手动方式，对备份数据进行恢复并校验其可用性。

【分享三】 陈耀斌 金融企业 DBA

一、防止攻击者识别与攻破备份系统

攻击者通常在横向移动阶段扫描内部网络，寻找备份服务器、管理控制台或存储设备。要防止被识别和攻破，需要从架构和认证层面入手：

1.隐藏备份管理平面

限制管理端口暴露：严格限制备份服务器的管理端口（如SSH、RDP、HTTPS管理界面）的访问来源IP。只允许特定的运维跳板机（堡垒机）IP地址访问，甚至可以考虑在非工作时间关闭管理端口。

避免使用默认端口：更改备份软件常用的服务端口，降低被自动化扫描工具直接发现的概率。

禁用不必要的服务：关闭备份服务器上的文件共享服务（如SMB/CIFS），除非绝对必要。

2.强化身份认证

多因素认证：对备份管理控制台强制启用MFA。即使攻击者通过键盘记录器获取了密码，也无法登录控制台进行删除作业或修改策略的操作。

唯一服务账户：为备份系统创建专用的服务账户，禁止使用域管理员账户运行备份服务。这些账户应配置为仅能在特定服务器上登录。

3.主机加固

备份服务器本身应被视为核心资产，安装EDR（端点检测与响应）或抗勒索软件模块。如果备份服务器自身被加密，攻击者就可以从容地破坏所有备份任务。

二、备份网络的隔离策略

备份流量通常占用较大带宽，且包含核心数据。网络隔离的目标是防止攻击者从生产网络跳板进入备份网络。

1.物理隔离 vs. 逻辑隔离

物理隔离（最安全）：备份网络使用完全独立的交换机、网卡和线缆，与办公网和生产网不互通。访问备份数据必须通过物理方式接入控制台。这种方式成本高，主要用于高敏数据（如关键基础设施）。

逻辑隔离（主流方案）：使用VLAN（虚拟局域网）划分网络，并在防火墙上设置严格的ACL（访问控制列表）。

2.三层架构隔离模型

建议将备份网络分为以下三个层次进行隔离：

备份生产区（前端）：生产服务器上的备份代理（Agent）可以发起连接到备份服务器，但反向连接（从备份服务器到生产服务器）必须受到严格控制。

备份管理区（中端）：备份服务器和介质服务器位于此区域。该区域绝对不能直接暴露在互联网。

备份存储区（后端）：备份存储设备（如磁带库、磁盘阵列、对象存储）。

3.核心防御机制：不可变存储与空气间隙

不可变备份：使用支持对象锁定的存储（如S3 Object Lock）或特定文件系统。在设定的保留期内（如30天），任何人都无法删除或修改备份数据，包括管理员和系统自身。这能直接对抗勒索软件的加密和删除行为。

空气间隙：

离线介质：定期将备份复制到磁带或光盘，然后物理弹出并离线存放。当物理线缆断开时，攻击者无法通过网络触及。

逻辑空气间隙：利用备份软件功能，定期唤醒备份存储库，完成同步后立即将其从网络中卸载（Dismount）或关闭相关服务。

三、备份软件权限管控

权限管控的核心原则是最小权限和职责分离，防止单一账户被攻破导致全盘皆输。

1.角色分离

备份管理员：负责配置备份策略、添加作业。可以查看有哪些备份数据，但不应具备直接删除备份数据或修改已写入数据的权限（尤其是针对不可变存储）。

恢复操作员：这是一个独立的角色，仅在需要恢复数据时临时激活。很多企业的策略是，恢复操作必须经过审批流程，甚至由两个人共同完成。

审计员：拥有查看日志的权限，但无权执行备份或恢复操作。

2.访问控制模型

多租户与资源分组：大型组织中，不同部门的数据应由各自的备份管理员管理。配置RBAC（基于角色的访问控制），防止A部门的备份管理员误删或查看B部门的备份数据。

API密钥管理：如果使用脚本调用备份API，务必使用短生命周期的令牌或妥善保管密钥，并定期轮换。避免在脚本中明文硬编码密码。

3.删除操作的保护

软删除：启用备份软件的“回收站”或“软删除”功能。删除操作只是标记数据，实际数据在保留期后才被擦除。

二次确认与延迟：对备份轮询策略的修改或存储库的删除操作，可以设置“法定人数批准”或24小时的执行延迟。这给了安全团队在发现入侵后阻止恶意操作的时间。

四、总结：攻击链与防御对应

1.攻击者扫描网络发现备份服务器

防御：VLAN隔离、端口隐藏、堡垒机跳转。

2.攻击者窃取备份管理员凭证

防御：MFA、专用服务账户、PIM/PAM（特权身份管理）。

3.攻击者登录控制台尝试删除备份数据

防御：不可变存储（数据无法删除）、软删除（数据可恢复）、恢复权限分离。

4.攻击者加密备份服务器本身

防御：备份服务器安装EDR、离线/不可变备份副本。