关于备份
指望硬盘不挂掉是 很拼人品的事情(附带说一句,从某种意义上说,21世纪的硬盘质量并没有下降,只是单位容量出现故障的概率没有显著提高,而硬盘容量的扩大使得单块硬盘的故障率看起来提高了,但是如果我们从单位容量的故障率来看,坏损率并没有非常显著的增长)。所以想要长久地保存数据,就必须采用各式各样的冗余和备份手段。冗余和备份是不一样的,前者往往会采用同样的访问控制逻辑,提供在线或近线的数据存储,强调的是数据访问的及时性;而后者则强调的是数据的可恢复性。
关于访问控制
一般来说,不希望备份与原始数据采取相同的访问控制机制。例如,对网站来说,可以读写数据库的那个 Web 访客的数据库账户,很可能并不能直接读写网站的备份数据。有时,备份甚至是以一种"外科手术"的方式进行的:对文件系统做快照,然后将快照打包发到异地的另一套系统。
采取不同的访问控制机制有很多好处。备份的目的之一是保护先前版本的数据不受影响。举个现实生活中的例子,公司的账簿可能会影印之后放到档案寄存机构,而公司会计可能并不负责,甚至没有权限去调出账簿副本。在这个例子中,由于副本和正本由两个角色分别负责,为确保其不被其中任何一个人恶意篡改提供了一定的保障。
对于服务器或桌面系统,这种控制也同样重要。例如,用户可能有权限删除自己的文件,但不应有权限以同样的方式删除或修改备份。这种限制可以缓解由于误操作或入侵(例如木马、或特权提升)导致的损失。这一点是备份与冗余之间的重要区别。
推 or 拉?
两种方式各有利弊,但我个人比较倾向于使用拉(即备份机登录原始数据的机器)的方式而不是推的方式。原因是备份机往往可以设置更为严厉的安全策略,例如放在防火墙后面,等等,而攻击者在入侵成功之后,想要找到备份机在什么地方也需要一些时间,从而给检测入侵创造条件。推的方式的优点是可以比较方便地控制何时备份,以及备份的I/O占的比例,不过,通过合理地设计备份系统,并不是拉的方式并不是完全不能实现这类功能。
关于异地备份
将备份与原始数据放在同一个物理位置(例如同一个机房、同一棟建筑、同一座城市,甚至同一个省或同一个国家/大洲)很可能是有风险的。一般来说,副本与原始数据的距离越远,从备份的可靠性角度考虑便越有把握,同时,将备份设在电费和托管费用较低的二三线城市,也可以在一定程度上降低整个系统的运营成本。
离线备份
离线备份往往用于保存非常有价值并且不经常改变的数据。例如将数据刻录成光盘邮寄给不同大洲的人,等等。不过,离线备份的问题是其访问控制很可能不太容易,想要解决这个问题,可以采用门限加密的方法(例如,将数据分成三份,密钥也分成三份,给三个备份点分别发第其中的1,2;1,3;2,3,在这个方案中,攻击者必须掌握三份备份中的至少两份才能够恢复密文内容)对数据进行处理。