3-2-1-1 備份策略實作：保護企業關鍵資料

前言：備份不是選項，而是必要

勒索病毒攻擊在過去五年間成長了超過 300%，台灣更是亞太地區受攻擊最頻繁的國家之一。根據資安研究機構統計，2025 年全球勒索軟體造成的損失預估超過 200 億美元。面對這樣的威脅，「不是會不會被攻擊，而是什麼時候被攻擊」已經成為資安界的共識。

備份是企業最後一道防線。然而，許多企業的備份策略仍停留在「有備份就好」的階段，缺乏系統性的規劃。當勒索病毒真的來襲時，才發現備份檔案也被加密、備份太久沒驗證已經損壞、或是還原速度根本趕不上業務需求。

本文將深入介紹3-2-1-1 備份法則的完整實作方式，幫助企業建立真正可靠的資料保護體系。

一、從 3-2-1 到 3-2-1-1：備份法則演進

經典 3-2-1 法則

3-2-1 備份法則由知名攝影師暨資安專家 Peter Krogh 在 2005 年提出，至今仍是備份策略的黃金標準：

• 3：至少保留三份資料副本（1 份正本 + 2 份備份）
• 2：使用兩種不同的儲存媒體（例如硬碟 + 磁帶，或本地 + 雲端）
• 1：至少一份副本存放在異地（Off-site）

為什麼需要升級到 3-2-1-1？

傳統 3-2-1 法則無法應對現代勒索病毒的攻擊手法。進階勒索軟體不只加密正式資料，還會主動搜尋並破壞備份檔案、刪除 Volume Shadow Copy、甚至攻擊備份伺服器。因此，業界提出了強化版的 3-2-1-1 法則：

• 3：三份資料副本
• 2：兩種不同儲存媒體
• 1：一份異地副本
• 1：一份不可變（Immutable）或離線（Air-Gapped）副本

最後一個「1」是關鍵的升級——即使攻擊者取得管理員權限，也無法修改或刪除這份備份。

二、不可變備份（Immutable Backup）

不可變備份是指在設定的保留期間內，任何人（包括管理員）都無法修改、刪除或加密的備份副本。這是對抗勒索病毒最有效的技術防護。

不可變備份的實作方式

技術方案	原理	適用場景
Linux Hardened Repository	利用 Linux 檔案系統的 immutable flag，配合無 SSH 存取的硬化系統	Veeam 環境，成本低
Object Lock（S3 相容）	AWS S3 或相容儲存（MinIO）的 Object Lock 功能，啟用 WORM 模式	雲端備份、混合架構
硬體 WORM 儲存	專用儲存設備的硬體級寫入保護	法規合規需求高的產業
磁帶離線儲存	實體隔離，備份完成後磁帶離開機器人	大量資料、長期保存

Veeam Hardened Repository 實作要點

以 Veeam Backup & Replication 為例，建置 Linux Hardened Repository 的關鍵步驟：

• 使用 Ubuntu Server LTS 作為基礎，最小化安裝
• 建立專用的 XFS 檔案系統掛載備份目錄
• 禁用 SSH 服務（首次設定完成後），僅透過 Veeam 專用通道通訊
• 在 Veeam 中設定「Make recent backups immutable for X days」
• 建議不可變期間至少設定 7 天，理想為 14-30 天
• 定期驗證不可變性——嘗試手動刪除備份檔案確認失敗

三、離線副本（Air-Gapped Copy）

Air-Gap（氣隙隔離）指的是備份媒體與網路完全斷開，形成物理隔離。這是最強的防護等級，因為攻擊者無論技術多高超，都無法透過網路觸及不在線上的儲存裝置。

常見的 Air-Gap 實作

• LTO 磁帶：備份完成後磁帶從機器人取出，放入防火保險櫃或異地保管。LTO-9 單卷可儲存 18TB（壓縮後 45TB），非常適合大資料量場景
• 可卸除硬碟：使用 USB 或 eSATA 外接硬碟，備份完成後拔除並安全存放。適合中小企業，建議準備至少兩組輪替
• 旋轉式 NAS：準備兩台 NAS，輪流連線進行備份，非備份時段完全斷電離線。自動化程度比磁帶高

Air-Gap 備份管理注意事項

• 建立明確的輪替排程（例如：每週一、三、五輪替）
• 標記媒體編號與日期，維護媒體管理日誌
• 定期（至少每季）從離線媒體執行還原測試
• 離線媒體存放環境需控制溫濕度（尤其是磁帶）

四、RTO 與 RPO 規劃

備份策略的核心指標是 RTO 與 RPO，兩者決定了備份的頻率與還原的速度要求。

關鍵定義

• RPO（Recovery Point Objective）：可容忍的最大資料遺失量。RPO = 4 小時表示最多可接受遺失 4 小時的資料
• RTO（Recovery Time Objective）：從災難發生到服務恢復的最大容許時間。RTO = 2 小時表示必須在 2 小時內恢復服務

不同系統的 RTO/RPO 建議

系統類型	建議 RPO	建議 RTO	備份方式
ERP / 核心資料庫	15 分鐘 - 1 小時	1 - 4 小時	CDP 持續備份 + 每日完整備份
電子郵件系統	1 - 4 小時	2 - 8 小時	每 4 小時增量備份
檔案伺服器	4 - 24 小時	4 - 24 小時	每日增量 + 每週完整備份
開發測試環境	24 小時	24 - 48 小時	每日備份
靜態網站 / 文件	24 - 48 小時	24 - 48 小時	每週完整備份

五、備份架構設計實務

中小企業典型架構（50-300 人）

以下是一個常見的 3-2-1-1 備份架構範例：

• 第一份：正式資料 — 存放在生產環境的伺服器或儲存設備
• 第二份：本地備份 — Veeam 備份到獨立的備份儲存（NAS 或專用伺服器），每日增量 + 每週完整
• 第三份：異地/雲端副本 — 透過 Veeam Cloud Connect 或 AWS S3 將備份複製到異地，啟用 Object Lock
• 不可變副本 — 本地 Linux Hardened Repository，設定 14 天不可變期間

備份排程建議

• 增量備份：每日凌晨 2:00 執行，預估時間 30-60 分鐘
• 完整備份：每週日凌晨 0:00 執行，預估時間 2-4 小時
• 異地複製：每日增量備份完成後自動觸發，透過 WAN 加速傳輸
• 離線副本：每週五下午手動執行，將可卸除硬碟帶離現場

備份軟體比較

產品	授權模式	支援平台	特點
Veeam Backup & Replication	Socket / 工作負載	VMware、Hyper-V、實體機、Microsoft 365、AWS	市占率最高，功能完整，Hardened Repository 原生支援
Acronis Cyber Protect	工作負載	虛擬化、實體機、雲端	整合備份 + 資安防護，適合中小企業
Commvault	容量	全平台	企業級功能，適合大型環境
Nakivo	Socket / VM	VMware、Hyper-V、Nutanix	性價比高，介面直覺

六、備份驗證與還原測試

「未經測試的備份等於沒有備份」——這是備份管理最重要的一句話。許多企業在遭遇災難時才發現備份檔案損壞或無法還原，為時已晚。

自動化驗證（SureBackup / SureReplica）

Veeam 提供 SureBackup 功能，可自動將備份還原到隔離的沙箱環境中進行驗證：

• 自動啟動還原的虛擬機並檢查心跳（Heartbeat）
• 測試特定服務是否正常運作（Ping、Port、Script）
• 驗證完成後自動清理測試環境
• 建議每週至少執行一次核心系統的自動驗證

定期還原演練

除了自動驗證外，建議每季進行一次完整的還原演練：

• 模擬真實災難場景（如：勒索病毒加密所有伺服器）
• 記錄實際 RTO——從開始還原到服務上線所需時間
• 驗證資料完整性——還原後的資料是否與預期一致
• 測試從不同備份副本還原（本地、異地、離線）
• 將演練結果與 RTO/RPO 目標比對，找出改善空間

七、勒索病毒防禦整合

備份策略不應獨立存在，而應與整體資安防禦策略整合：

備份系統加固

• 專用帳號：備份服務使用獨立的服務帳號，不與日常管理帳號共用
• 網路隔離：備份網路與生產網路分離，使用獨立 VLAN
• 存取控制：備份主控台啟用 MFA，限制管理員 IP
• 加密傳輸：備份資料傳輸全程加密，靜態資料加密保護
• 權限最小化：備份儲存只允許備份軟體的服務帳號寫入

事件回應整合

• 在勒索病毒應變 SOP 中明確納入備份還原流程
• 定義「乾淨還原點」的判斷標準——確認備份中不含惡意程式
• 建立備份還原的優先順序清單，先恢復最關鍵的業務系統
• 與 SIEM/SOC 整合，監控備份系統的異常存取行為

八、常見錯誤與改善建議

• 只有單點備份：所有備份存放在同一台 NAS 上，NAS 故障或被加密就全部失去。解決方案：落實 3-2-1-1 多副本策略
• 從不測試還原：備份作業都正常完成，但實際還原時才發現問題。解決方案：建立每月自動驗證 + 每季手動演練機制
• 備份帳號權限過大：備份服務帳號同時是 Domain Admin，被攻破後連備份都被刪除。解決方案：專用服務帳號 + 最小權限原則
• 忽略 Microsoft 365 備份：以為 Microsoft 365 有內建備份，實際上微軟只保證平台可用性，不保證用戶資料恢復。解決方案：採用 Veeam for Microsoft 365 等第三方備份
• 備份保留期太短：只保留 7 天備份，但勒索病毒潛伏期可能長達 30 天以上。解決方案：至少保留 30 天日備份 + 12 個月月備份